On yılı aşkın süredir gündeme gelen çeşitli yasa tekliflerinin ardından Türkiye Büyük Millet Meclisi Kişisel Verilerin Korunması Kanunu (“Kanun”)’nu kabul etti. Bunu takip eden süreçte, yeni kanunun Cumhurbaşkanı’nın onayını takiben Resmi Gazete’de yayımlanması beklenecektir. Yeni Kanun, önemli aktörlerin, şirketlerin ve veri işleyen firmaların yükümlülüklerini belirlemenin yanında; verilerin işlenmesi ve transferine ilişkin yöntemlere açıklık getirmektedir. Yeni Kanun kapsamında “Kişisel Veri”, “Hassas Veri”, “Veri İşleyen”, “Veri Sorumlusu” ve “Açık Rıza” dahil birçok ifadenin tanımı yapılmıştır. Bunun yanı sıra, kişisel verilerin veri sahibinin açık rızası olmadan işlenmesi veya saklanmasına ilişkin genel bir yasaklama getirilmiştir. Kanun’un yürürlük tarihinden önceki bir tarihte saklanmış veya işlenmeye başlanmış kişisel verilerin Kanun’un getirdiği yeni yükümlülüklere uyumlu hale getirilmesi amacıyla veri işleyen ve veri sorumlusu bakımından iki yıllık bir uyum süresi öngörülmüştür.Kişisel Verilerin Korunması Kanunu, Adalet Bakanlığı tarafından 18 Ocak 2016 tarihinde Bakanlar Kurulu’na sunulmuştu. Meclis 24 Mart 2016 tarihinde kişisel verilerin yurt dışına aktarımı ve Veri Koruma Kurulu’nun seçim esaslarına ilişkin değişiklikler yaparak Kanun’u kabul ettiKanun’a ilişkin ikincil mevzuatın ise Kanun’un yürürlük tarihinden itibaren bir yıl içinde düzenlenmesi gerekmektedir.
Onay verilen Kanun Avrupa Birliği dahilindeki veri koruma hükümleri açısından benzer bir çerçeve sunsa da; Avrupa Birliği’nin veri koruması rejimine tam uyumun sağlanabilmesi için Türk mevzuatında halen bir takım değişikliklerin yapılması gerekmektedir.
Kabul edilen Kanun ile önemli değişiklikler gerçekleştirildi:
- Verilerin korunmasına ilişkin olarak getirilen tanımlar aşağıdaki gibi özetlenebilir:
- “Kişisel Veri” belirli veya belirlenebilir olup hayatta olan bir kişi hakkındaki herhangi bir bilgiyi ifade edecektir.
- “Hassas Veri” Kişisel Veri kapsamında sayılmakla birlikte fazladan bir takım özel şartlara tabidir.Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, dini veya felsefi inancı, görünüşü, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik verilerine ilişkin olan bilgiyi ifade edecektir.
- Veri Sorumlusu, Veri İşleyen ve Veri Sorumlusu Sicili tanımlarının yapılmasının yanında, bu hususta Avrupa Birliği mevzuatından farklı bir yaklaşım sergilenmiştir.
- “Açık Rıza” ifadesinin tanımı yapılmıştır.
- “Anonim Hale Getirme” ifadesinin tanımı mevzuata girmiştir.
- Açık izin alınmadan “Kişisel Veriler”in ve ”Hassas Veriler”in işlenmesi yasaklandı. Belirtmek gerekir ki, Kanun’da izin alma yöntemi belirtilmemiştir, dolayısıyla şirketlerin bu izni yazılı ve/veya elektronik yollarla kayıt altına alıp saklaması uygun olacaktır.
- Veri sorumlusu ile veri işleyen arasındaki ayrım netleştirildi ve buna bağlı olarak bu aktörlerin yükümlülükleri belirlendi. Ayrıca, veri sorumlularının, etkin bir biçimde veri işleme faaliyetlerine başlamadan önce yeni kurulmuş olan Veri Sorumlusu Sicili’ne kaydı zorunlu hale getirildi. Sicil, Kişisel Verileri Koruma Kurulu’nun kuruluşunu takiben Kanun’un yürürlük tarihinden itibaren altı ay içerisinde faaliyete geçecektir.
- Kanun, Resmi Gazetede yayımı tarihi itibarıyla hüküm doğuracaktır. Bu sebeple, Kanun’un getirdiği yükümlülükler, yeni verilerin toplanması ve saklanması bakımından derhal uygulanmaya başlanacaktır. Bu konudaki bir istisna, Veri Sorumlusu Sicili’ne kayda ilişkindir. Sicil, Kişisel Verileri Koruma Kurulu’nun kuruluşunu takiben Kanun’un yürürlük tarihinden itibaren altı ay içerisinde faaliyete geçecektir.
- Kanun’un yürürlüğe girme tarihinden önce toplanmış/saklanmış kişisel verilerin iki yıl içinde onay verilen Kanun’a uygun hale getirilmesi gerekmektedir. Aksi halde bu verilerin silinmesi veya anonim hale getirilmesi gerekecektir.
- Kişisel verileri toplayan/saklayan kişi veya şirketlerin teknik ve idari tedbir ve denetimlere uyması gerekmektedir.
- Üçüncü kişilere ve/veya yurt dışına veri transferinin usulü ve kuralları belirlenmiş, verilerin bu yönde işleme tabi tutulmasında açık izin alma şartının bulunmadığı sınırlı sayıda istisnaya da yer verilmiştir.
- Türkiye’nin veri koruma otoritesinin yasal temeli ve tanımının yapılması amacıyla Kişisel Verileri Koruma Kurumu’nun oluşturulması öngörülmüştür. Kişisel Verileri Koruma Kurumu çatısı altında Kişisel Verileri Koruma Kurulu ile Kurul’un Başkanı da yer alacaktır.
Kanun’un yayımlanmasından itibaren altı ay içinde Veri Koruma Kurulu oluşturulacaktır. Dokuz Kurul üyesinin ikisi Bakanlar Kurulu, ikisi de Türkiye Cumhuriyeti Cumhurbaşkanı tarafından atanacaktır. Geri kalan beş Kurul üyesi de Meclis tarafından seçilecektir.
Veri işleyen/saklayan kişi ve şirketler bu alanda yakın gelecekte meydana geleecek bir takım gelişmelere ilişkin aşağıdaki takvimi takip etmeleri de önem taşımaktadır:
- Resmi Gazete’de yayım ve yürürlük tarihi (Kanun’un getirdiği yükümlülükler bu tarihten itibaren yeni kişisel veriler bakımından uygulanmaya başlanacak olup ayrıca diğer esaslı gelişmeler yönünden de bu tarih esas alınacaktır).
- Yürürlük tarihini takip eden altı ay (Veri Sorumlusu Sicili’nin faaliyete geçmesi için son tarih).
- Yürürlük tarihini takip eden on iki ay (ikincil mevzuatın düzenlenmesi için son tarih).
- Yürürlük tarihini takip eden iki yıl (Kanun’un yürürlük tarihinden önce toplanmış olan tüm kişisel verilerin Kanun ile uyumlu hale getirilmesi için son tarih).
Kanun’un Türkiye Büyük Millet Meclisi tarafından Kabul edilen tam metnine linkten ulaşabilirsiniz.