KİŞİSEL VERİLERİN KORUNMASI HAKKINDA KANUN UYARINCA HUKUKUMUZA GİREN TANIMLAR, HAKLAR, SORUMLULUKLAR VE CEZAİ YAPTIRIMLAR

Ülkemizde ise Avrupa Birliği müzakere sürecinde bu konu gündeme gelmiş, uzun süredir tıkanma noktasında olan ilişkilere rağmen ülkemiz bu konuda gerekli düzenlemeyi yaparak kişisel verilerin korunması hususunda çok önemli bir adım atmıştır.

Kişisel Verileri Koruma Kanunu 24.03.2016 tarihinde kabul edilmiş ve 07.04.2016 tarih 29677 sayılı Resmi Gazete ile yayımlanmıştır.

Kanunda yer alan 8. Madde(Kişisel verilerin aktarılması), 9. Madde(Kişisel Verilerin Yurt Dışına Aktarılması), 11. Madde: İlgili Kişinin Hakları), 13. Madde (Veri Sorumlusuna Başvuru), 14. Madde (Kurula Şikayet), 15. Madde(Şikâyet üzerine veya resen incelemenin usul ve esasları), 17. Madde (Suçlar), 18. Madde (Kabahatler) hükümleri kanunun yayım tarihinden 6 ay sonra diğer maddeler ise yayımlanması ile birlikte yürürlüğe gireceği düzenlenmiş bugün itibariyle kanunun tüm maddeleri yürürlüğe girmiştir.

6698 Sayılı Kişisel Verilerin Korunması Hakkında Kanun’ da yer alan bir takım tanımlar kanunun uygulanması ve yorumlanması noktasında önemlidir. Kanunun üçüncü maddesinde yer alan tanımlardan bir kısmının yazımda da paylaşılmasının uygun olacağını düşünmekteyim.

Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi

Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem

Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi

Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi

 Kanunu uyarınca uhdesinde kişisel veri bulunduran gerçek ya da tüzel kişi verileri kanuna uygun olarak işlemelidir. Kişisel verilerin işlenmesinde hukuka ve dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine uygun olarak hareket edilmesi gerekmektedir.

Kural olarak kişisel verilerin işlenmesi ancak ilgili kişinin açık rızası ile mümkündür. Ancak kanunun 5. Maddesinin 2. Fıkrasında birtakım istisnalar düzenlenmiştir. Bunlar;

a) Kanunlarda açıkça öngörülmesi.

b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.

c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.

ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.

d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.

e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.

f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

 Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir. Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.

Kanunun 6. Maddesinin 3. Fıkrası uyarınca, sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.

Kanun kişisel veriler konusunda nitelik ayrımı yapmış ve verilerin işlenmelerini bazı şartlara bağlamıştır. Yine kanunun 6. Maddesinin 4. Fıkrasında Özel Nitelikli Kişisel Verilerin İşlenmesi konusunda Kurul tarafından ayrıca önlemlerin alınmasını şart koşmuştur. Kurul tarafından bu hususta verilmiş bir ilke karar mevcut değildir.

- İşlenen Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi

İşlenen kişisel verilerin işlenmesinin silinmesi, yok edilmesi veya anonim hale getirilmesi ise işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından yerine getirilmektedir.

Kanunun 7. Maddesi uyarınca kişisel verilerin işlenmesinin silinmesi, yok edilmesi veya anonim hale getirilmesi hususunda Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmelik 28.10.2017 tarihli ve 30224 sayılı resmi gazetede yayımlanmıştır.

Yönetmelik incelendiğinde genel anlamda veri sorumlusunun Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim hale getirmesi hususunda kanuna ve yönetmeliğe uygun bir politika belirlemeli ve en uygun yöntemi seçerek işlemi bu şekilde yerine getirmek durumundadır.

Yine kişisel verilerin silinmesi ve ortadan kaldırılması işleminde verilerin ulaşılamaz ve tekrar kullanılamaz hale gelmesi hususunda gerekli tedbirleri ve altyapıyı hazırlamalıdır. Yine anonim hale getirilmesi işleminde de anonim hale getirilen verilerin sahibi eşleşme ihtimalini ortadan kaldıracak teknik altyapıyı hazırlaması gerektiği vurgulanmıştır.

Daha ayrıntılı bilgi edinilmesi için yönetmelik incelenmeli ve kurul tarafından belirlenecek ilke kararlar dikkate alınarak kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirmesi işlemi gerçekleştirilmelidir.

- Kişisel Verilerin Aktarılması

Kanunun 8. Maddesi uyarınca kural olarak kişisel veriler ilgilisinin açık rızası olmaksızın aktarılamamaktadır.

Ancak kanun bu kuralın da istinaslarını düzenlenmiştir. Bu istinaslardan ilki yukarıda da ayrıntılı olarak yazdığımız kanunun 5. Maddesinin 2. Fıkrasında yer alan şartlardan herhangi birinin gerçekleşmiş olmasıdır. Yine yeterli önlemlerin alınması halinde kanunun 6. Maddesinin 3. Fıkrasında belirtilen şartlardan birinin gerçekleşmesi halinde de ilgilinin rızası aranmadan kişisel veriler aktarılabilecektir.

Kanun kişisel verilerin yurtdışına aktarılması hususunun yukarıda anılı şartların yanında aktarım yapılacak ülkede kişisel verilere yönelik yeterli korumanın bulunması ve yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması şartlarına bağlamaktadır. Yeterli korumanın bulunduğu ülkelerin kurul tarafından belirlenip ilan edileceği belirtilmiştir.

Kurul tarafından henüz liste halinde yeterli korumanın bulunduğu ülkeler ilan edilmemiştir. Ancak 02.05.2019 tarih ve 2019/125 sayılı kararı ile “Yeterli Koruma” şartını sağlayan ülkelerin belirlenmesinde esas alınacak kriterlerin belirlenmesine ilişkin formu yayımlamıştır.

Kanunun 9. Maddesinin 5. Fıkrası uyarınca kişisel veriler, uluslararası sözleşme hükümleri saklı kalmak üzere, Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, ancak ilgili kamu kurum veya kuruluşunun görüşü alınarak Kurulun izniyle yurt dışına aktarılabilir.

- Veri Sorumlusunun Aydınlatma Yükümlülüğü ve İlgilinin Hakları

Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere; veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ve kanunun 11. maddesinde yer alan hakları konusunda bilgi vermekle yükümlüdür.

Veri sorumluları tarafından son derece sınırlı sayılan bu şartlar dışında tüm kanun kapsamı incelenerek ve işlenen verilerin niteliği dikkate alınarak ayrıntılı bir Aydınlatma Metni hazırlanmalı ve ilgisine tebliğ edilmelidir.

 Herkes, veri sorumlusuna başvurarak kendisiyle ilgili; kişisel veri işlenip işlenmediğini öğrenme, kişisel verileri işlenmişse buna ilişkin bilgi talep etme, kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme, 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme, düzeltme, yok etme, silme veya anonim hale getirme işlemlerinin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, işlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme, kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etmehaklarına sahiptir.

Kanun ilgilisine verilerin akıbeti hakkında bilgi sahibi olunması noktasında birçok hak tanımış ve işlemlerin ilgilinin talebi halinde bilgisi dahilinde yapılması gerekliliğini vurgulamaktadır.

Aydınlatma yükümlülüğüne aykırı hareket edilmesi halinde kanunun 18. Maddesinin 1. Fıkrasının a bendi gereği 5.000-TL’ den 100.000-TL’ ye kadar idari para cezası verilecektir.

- Veri Güvenliği Hususunda Yükümlülükler

Kanunun 12. Madde gereğince veri sorumlusu; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.

Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde yukarıda belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumlu olacaktır.

Veri sorumlusunun, kendi kurum veya kuruluşunda, kanunun uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorunluluğu bulunmaktadır. Veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri kanuna aykırı olarak başkasına açıklayamaz. Yine verilerin işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam etmektedir.

İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirmekle yükümlüdür. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edecektir.

Veri güvenliği hükümlerine aykırı hareket edenler hakkında kanunun 18. Maddesinin 1. Fıkrasının b bendi uyarınca 15.000-TL’ den 1.000.000-TL’ ye kadar idari para cezası verilecektir.

- İlgilinin Veri Sorumlusuna Başvurusu

Başvuru usulü kanunun 13. Maddesinde düzenlenmiştir. Yine bu hususta Kurum tarafından 10.03.2018 tarihli Resmi Gazetede yayımlanan Veri Sorumlusuna Başvuru Usul Ve Esasları Hakkında Tebliğ düzenlemesi yapılmıştır. Başvuru usulü hakkında ayrıntılı bilgiye tebliğ üzerinden ulaşılabilecektir.

İlgili kişi, bu Kanunun uygulanmasıyla ilgili taleplerini yazılı olarak veya Kurulun belirleyeceği diğer yöntemlerle veri sorumlusuna iletebilmektedir. Veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır. İşlemin ayrıca bir maliyeti gerektirmesi hâlinde Veri Sorumlusuna Başvuru Usul Ve Esasları Hakkında Tebliğ’ in 7. Maddesi uyarınca ücret talep edilebilecektir.

Veri sorumlusu talebi kabul eder veya gerekçesini açıklayarak reddeder ve cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir. Başvuruda yer alan talebin kabul edilmesi hâlinde veri sorumlusunca gereği yerine getirilir. Başvurunun veri sorumlusunun hatasından kaynaklanması hâlinde alınan ücret ilgiliye iade edilir.

Başvurunun veri sorumlusu tarafından reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde ilgili kişi, veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve her hâlde başvuru tarihinden itibaren altmış gün içinde Kişisel Verileri Koruma Kurulu’ na şikâyette bulunabilir. Şikayet yoluna başvuru için öncelikle veri sorumlusuna başvuru yolunun tüketilmesi gerekmektedir.

Kurula yapılacak ihbar veyahut şikayetlerin 1/11/1984 tarihli ve 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanunun 6 ncı maddesinde yer alan şartları taşıması kanuni bir zorunluluktur.

Kurul 14. Madde uyarınca ilgiliden gelen şikayet üzerine veyahut ihlal iddiasını herhangi bir şekilde öğrenmesi üzerine re’sen gerekli incelemeleri yapmaya başlayacaktır.

Veri sorumlusu devlet sırrı niteliğindeki bilgi ve belgeler hariç; Kurulun, inceleme konusuyla ilgili istemiş olduğu bilgi ve belgeleri on beş gün içinde göndermek ve gerektiğinde yerinde inceleme yapılmasına imkân sağlamak zorundadır. Şikâyet üzerine Kurul, talebi inceleyerek ilgililere bir cevap verir. Şikâyet tarihinden itibaren altmış gün içinde cevap verilmezse talep reddedilmiş sayılır.

Şikâyet üzerine veya resen yapılan inceleme sonucunda, ihlalin varlığının anlaşılması hâlinde Kurul, tespit ettiği hukuka aykırılıkların veri sorumlusu tarafından giderilmesine karar vererek ilgililere tebliğ eder. Bu karar, tebliğden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirilmesi zorunluluğu getirilmiştir.

Kurul kararlarının yerine getirilmemesi halinde kanunun 18. Maddesinin 1. Fıkrasının c bendi gereği Veri sorumlusuna ihlalin niteliğine göre 25.000-TL den 1.000.000-TL’ ye kadar idari para cezası verilecektir.

Kurul şikâyet üzerine veya resen yapılan inceleme sonucunda, ihlalin yaygın olduğunun tespit edilmesi hâlinde bu konuda bir ilke kararı alacak olup kararı yayımlayacaktır. Kurul kararları Kişisel Verileri Koruma Kurumu’ nun resmi sitesinde yer almaktadır. İhlal ve ilke kararlarına resmi site üzerinden ulaşılabilmektedir. Yine Kurul gördüğü lüzum üzerine ilke kararlarını Resmi Gazete’ de yayımlamaktadır.

Telafisi güç veya imkânsız zararların doğması ve açıkça hukuka aykırılık olması hâlinde Kurul veri işlenmesinin veya verinin yurt dışına aktarılmasının durdurulmasına yönelik bir tedbir kararı verebilmektedir.

-Veri Sorumluları Siciline Kayıt Zorunluluğu ve İstisnaları

Kişisel Verilerin Korunması Hakkında Kanuna göre veri işleyen veri sorumlularının kurum tarafından kurulacak Veri Sorumluları Sicili’ ne kaydolması gerekmektedir.

Kanunun 16. Maddesi uyarınca sicile yapılacak kayıt bildiriminin son derece ayrıntılı olarak yapılması gerekmektedir. Başvuruda bulunması gereken kriterler 16. Maddede açıkça dile getirilmiştir.

Yine Kişisel Verileri Koruma Kurumu tarafından 30.12.2017 tarihli Resmi Gazete’de Veri Sorumluları Sicili Hakkında Yönetmelik yayımlanmıştır. Sicil hakkında ayrıntılı bilgiye yönetmelik üzerinden ulaşılabilmektedir.

Sicile kayıt istisnaları Veri Sorumluları Sicili Hakkında Yönetmelik’ te düzenlenmiştir. Yönetmeliğin 15. Maddesi uyarınca; kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması, ilgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi, kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması, kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması hallerinde veri sorumlusunun sicile kayıt zorunluluğu bulunmamaktadır.

Yönetmeliğin 16. Maddesi uyarınca Kurul belirli aralıklarla 15. ve 16. Maddede yer alan ilkeler ışığında istisnalara ilişkin uygulamaya yönelik kararlar alabilmektedir. Örneğin kurul 05.07.2018 tarihli ve 2018/75 sayılı kararında Arabulucular yönünden istisna şartlarının oluştuğundan bahisle sicile kayıt yükümlülüklerinin bulunmadığına karar verilmiştir.

Kurul tarafından verilen 19.07.2018 tarihli ve 2018/88 sayılı kararı ile henüz sicile kayıt yaptırmayan sorumlular hakkında son kayıt tarihlerini belirlemiştir. Karar uyarınca;

Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları için Veri Sorumluları Siciline kayıt yükümlülüğü başlangıç tarihinin 01.10.2018 olması ve Sicile kayıt yaptırmaları için bu veri sorumlularına 30.09.2019 tarihine kadar süre verilmesinin kabulüne,

Yurtdışında yerleşik gerçek ve tüzel kişi veri sorumluları için Veri Sorumluları Siciline kayıt yükümlülüğü başlangıç tarihinin 01.10.2018 olması ve Sicile kayıt yaptırmaları için bu veri sorumlularına 30.09.2019 tarihine kadar süre verilmesinin kabulüne,

Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olmakla birlikte ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumluları için Veri Sorumluları Siciline kayıt yükümlülüğü başlangıç tarihinin 01.01.2019 olması ve Sicile kayıt yaptırmaları için bu veri sorumlularına 31.03.2020 tarihine kadar süre verilmesinin kabulüne,

Kamu kurum ve kuruluşu veri sorumluları için Veri Sorumluları Siciline kayıt yükümlülüğü başlangıç tarihinin 01.04.2019 olması ve Sicile kayıt yaptırmaları için bu veri sorumlularına 30.06.2020 tarihine kadar süre verilmesinin kabulüne,

karar verilmiştir.

Kanunun 18. Maddesinin 1. Fıkrasının ç bendi uyarınca sicile kayıt yükümlülüğün yukarıda Kurul tarafından bildirilen tarihlerde yerine getirilmemesi halinde 20.000-TL’ den 1.000.000-TL’ ye kadar idari para cezası verilecektir.

- Kanunun Uygulanması Yönünden İstisnalar

Kişisel Verilerin Korunması Hakkında Kanun’ un 28. Maddesi uyarınca kanunun hangi hallerde uygulanmayacağı hüküm altına alınmıştır. Bunlar:

1- Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi.

2- Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.

3- Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.

4- Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi.

5- Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesidir.

Kanunda sayılan bu istisnalar uygulama ve kurul kararları ile daha net şekilde ortaya konulacaktır.

Kanunun amacına ve temel ilkelerine uygun ve orantılı olmak kaydıyla veri sorumlusunun aydınlatma yükümlülüğü, zararın giderilmesini talep etme hakkı hariç ilgili kişinin hakları ve veri sorumluları siciline kayıt yükümlülüğü aşağıdaki hâllerde uygulanmamaktadır:

1-Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.

2-İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.

3-Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.

4- Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması,

Durumlarında yukarıda anılı yükümlülükler uygulanmayacaktır.

- Konusu Suç Teşkil Eden Fiiller Yönünden

Kişisel verilere ilişkin suçlar bakımından Türk Ceza Kanunu’ nun 135-140 maddeleri arasındaki hükümler tatbik edilecektir.

Kanunun 7. Maddesine aykırı olarak kişisel verileri silmeyen veyahut anonim hale getirmeyenler Türk Ceza Kanunu’ nun 138. Maddesi uyarınca cezalandırılacaktır.

Türk Ceza Kanunu m.138:

“Kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlara görevlerini yerine getirmediklerinde bir yıldan iki yıla kadar hapis cezası verilir

Suçun konusunun Ceza Muhakemesi Kanunu hükümlerine göre ortadan kaldırılması veya yok edilmesi gereken veri olması hâlinde verilecek ceza bir kat artırılır.”

Kanun ve yukarıdaki anlatımlar dikkate alındığında Kişisel Verilerin İşlenmesi hususunun son derece ayrıntılı olarak kanunda düzenlendiği ortadadır. Verilerin işlenmesi, güvenliği, aktarılması, ilgili hakları vb. düzenlemeler karşısında veri sorumluları cezai müeyyideye maruz kalmamaları amacıyla kişisel verilerin korunması konusunda bu alanda bilgi sahibi olan hukukçulardan destek almalıdır.

Av. Ali ÖZDEMİR

Avatar
Adınız
Yorum Gönder
Kalan Karakter:
Yorumunuz onaylanmak üzere yöneticiye iletilmiştir.×
Dikkat! Suç teşkil edecek, yasadışı, tehditkar, rahatsız edici, hakaret ve küfür içeren, aşağılayıcı, küçük düşürücü, kaba, müstehcen, ahlaka aykırı, kişilik haklarına zarar verici ya da benzeri niteliklerde içeriklerden doğan her türlü mali, hukuki, cezai, idari sorumluluk içeriği gönderen Üye/Üyeler’e aittir.
Avatar
osman 3 gün önce

Kanunu kopyalayıp yapıştırmışsınız, çok güzel makale olmuş