24.03.2016 tarih ve 6698 kanun numarasıyla “Kişisel Verilerin Korunması Kanunu” yayımlandı. Artık kanun da çıktığına göre kişisel verilerimiz güvendemi sorusu insanın aklına gelmiyor değil ?
Bu soruya sağlıklı bir cevap verebilmek için öncelikle “Kişisel Veri” nedir bunu tanımlamak gerek. TBMM 117 sıra sayılı Kişisel Verilerin Korunması Tasarısı ve Adalet Komisyonu raporunda şu şekilde ifade edilmiştir.
Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir. Bu bağlamda sadece bireyin adı, soyadı, doğum tarihi ve doğum yeri gibi onun kesin teşhisini sağlayan bilgiler değil, aynı zamanda kişinin fiziki, ailevi, ekonomik, sosyal ve sair özelliklerine ilişkin bilgiler de kişisel veridir. Bir kişinin belirli veya belirlenebilir olması, mevcut verilerin herhangi bir şekilde bir gerçek kişiyle ilişkilendirilmesi suretiyle, o kişinin tanımlanabilir hale getirilmesini ifade eder. Yani verilerin; kişinin fiziksel, ekonomik, kültürel, sosyal veya psikolojik kimliğini ifade eden somut bir içerik taşıması veya kimlik, vergi, sigorta numarası gibi herhangi bir kayıtla ilişkilendirilmesi sonucunda kişinin belirlenmesini sağlayan tüm halleri kapsar. İsim, telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, genetik bilgiler gibi veriler dolaylı da olsa kişiyi belirlenebilir kılabilme özellikleri nedeniyle kişisel verilerdir.
Tanımdan da anlaşılacağı üzere kişinin kendisi ile ilişkilendirebileceğimiz her türlü veri kişisel veri olarak tanımlamak mümkün. T.C. Kimlik numaramız, telefon numaramız hemen hemen her gün bir yerlere verdiğimiz bilgilerin başında gelmektedir. Telefonlarımıza her gün – en azından benim telefonuma 🙂 – daha önce hiç alışveriş yapmadığım yada tanımadığım bir yerden reklam mesajı gelmektedir. Eeee tanımıyoruz, tanımadığım yerden geliyor. Kanun da çıktı…
Gerek kamu kurumlarımız olsun gerekse özel şirketler olsun vatandaşın kişisel verileriyle doludur. Kanun dediğimiz husus kural koyar ve çerçeveyi çizer. 6698 Kişisel Verilen Korunması Kanunu da aynı şekilde kuralları belirledi ve çerçeveyi çiziyor. Gerisi …!!! gerisi bilinçli vatandaş ve sorumluluğunu bilen yöneticilere kalıyor.
Kanun ne diyor ???
MADDE 3- (1) Bu Kanunun uygulanmasında;
- a) Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı,
- b) Anonim hâle getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini,
Kanunun 3. maddesinin 1.a) bendinde Açık Rıza kavramından bahsediyor. Nedir açık rıza ? Sizin kendi isteğiniz ve onayınızla size ait olan bilgilerin ve verilerin kullanılması durumudur. Örneğin sizin sağlık verileriniz, size ait olan tüm veriler. Eğer kendi rızanızla bu verilerin kullanılmasını isterseniz bu veriler açık bir şekilde yine kanunun 4. Maddesinde belirtilen hususlar çerçevesinde kullanılacaktır.
MADDE 4- (1) Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.
(2) Kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması zorunludur:
- a) Hukuka ve dürüstlük kurallarına uygun olma.
- b) Doğru ve gerektiğinde güncel olma.
- c) Belirli, açık ve meşru amaçlar için işlenme.
yine 3. maddede ifade edilen başka bir kavram ise Anonim Hale Getirme kavramıdır. Sizi açıkça ifade etmeyecek verilerdir. Örneğin Kastamonu ili Tosya ilçesinde yaşayan 90 yaş üstü erkek sayısı yada 90 yaş üzeri bakıma muhtaç olan kişi sayısı gibi. Bakanlıklar genelde çalışma alanlarına göre çeşitli konularda vizyon belirleme, politika geliştirme gibi konular için bu tarz istatistikleri sıkça kullanmaktadır.
T.C. Sağlık Bakanlığı Kamu Hastaneleri Kurumu tarafından http://rapor.saglik.gov.tr/istatistik/rapor/index.php hazırlamış olduğu bu web sitesi kişisel verilerin anonim hale getirilmesi ile ilgili güzel bir çalışmadır. Göreceğiniz üzere verilen istatistiklerden herhangi bir kişi verisi mevcut değildir.
Kanunda;
- Kişisel verilerin işlenme şartları
- Özel nitelikli kişisel verilerin işlenme şartları
- Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesi
- Kişisel verilerin aktarılması
- Kişisel verilerin yurt dışına aktarılması
- Veri sorumlusunun aydınlatma yükümlülüğü
- İlgili kişinin hakları (Kişisel Verinin Sahibinin Hakları)
- Veri güvenliğine ilişkin yükümlülükler
- Başvuru, Şikâyet ve Veri Sorumluları Sicili
- Suçlar ve Kabahatler
konulara değinilmiştir.
İnternet ortamında size ait bir veri olduğunu düşündüğünüz bir durumda ( sosyal medyada paylaşılmış bir fotograf, size ait bir bilgi, veri vs .) kanunun 11. maddesinde tanımlanmıştır.
MADDE 11 – (1) Herkes, veri sorumlusuna başvurarak kendisiyle ilgili;
a) Kişisel veri işlenip işlenmediğini öğrenme,
b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
e) 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme,
haklarına sahiptir.
bu çerçevede ilgili web sitesinin yetkililerine ulaşıp yukarıdaki haklarınız doğrultusunda taleplerinizi iletebilirsiniz. Bu adımı izlediniz ve hala sonuç alamadıysanız o halde kanunun 13., 14. ve 15. Maddeleri devreye giriyor. Ne mi onları ??? işte buyrun.
DÖRDÜNCÜ BÖLÜM
Başvuru, Şikâyet ve Veri Sorumluları Sicili
Veri sorumlusuna başvuru
MADDE 13 – (1) İlgili kişi, bu Kanunun uygulanmasıyla ilgili taleplerini yazılı olarak veya Kurulun belirleyeceği diğer yöntemlerle veri sorumlusuna iletir.
(2) Veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde, Kurulca belirlenen tarifedeki ücret alınabilir.
(3) Veri sorumlusu talebi kabul eder veya gerekçesini açıklayarak reddeder ve cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir. Başvuruda yer alan talebin kabul edilmesi hâlinde veri sorumlusunca gereği yerine getirilir. Başvurunun veri sorumlusunun hatasından kaynaklanması hâlinde alınan ücret ilgiliye iade edilir.
Kurula şikâyet
MADDE 14 – (1) Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; ilgili kişi, veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve her hâlde başvuru tarihinden itibaren altmış gün içinde Kurula şikâyette bulunabilir.
(2) 13 üncü madde uyarınca başvuru yolu tüketilmeden şikâyet yoluna başvurulamaz.
(3) Kişilik hakları ihlal edilenlerin, genel hükümlere göre tazminat hakkı saklıdır.
Şikâyet üzerine veya resen incelemenin usul ve esasları
MADDE 15 – (1) Kurul, şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen, görev alanına giren konularda gerekli incelemeyi yapar.
Peki, sizin açık izniniz olmadan size ait bir verinin paylaşıldığını düşündünüz ve yukarıdaki adımları işlettiniz. Sonuç ne olur dersiniz. Yani kanuna uygun olmayan bir kullanım karşısında, kullananlar bu durumda cezai olarak ne gibi yaptırımlarla karşı karşıya kalırlar.
kanunun 5. Bölümünde 16. ve 17. Maddelerde Suç ve Kabahatler başlığında konuya açıklık getirmiştir.
BEŞİNCİ BÖLÜM
Suçlar ve Kabahatler
Suçlar
MADDE 17 – (1) Kişisel verilere ilişkin suçlar bakımından 26/9/2004 tarihli ve 5237 sayılı Türk Ceza Kanununun 135 ila 140 ıncı madde hükümleri uygulanır.
“Kişisel verilerin kaydedilmesi
Madde 135 – (1) Hukuka aykırı olarak kişisel verileri kaydeden kimseye bir yıldan üç yıla kadar hapis cezası verilir.
(2) Kişisel verinin, kişilerin siyasi, felsefi veya dini görüşlerine, ırki kökenlerine; hukuka aykırı olarak ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin olması durumunda birinci fıkra uyarınca verilecek ceza yarı oranında artırılır.
Verileri hukuka aykırı olarak verme veya ele geçirme
Madde 136 – (1) Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, iki yıldan dört yıla kadar hapis cezası ile cezalandırılır.
Nitelikli haller
Madde 137 – (1) Yukarıdaki maddelerde tanımlanan suçların;
a) Kamu görevlisi tarafından ve görevinin verdiği yetki kötüye kullanılmak suretiyle,
b) Belli bir meslek ve sanatın sağladığı kolaylıktan yararlanmak suretiyle,
işlenmesi halinde, verilecek ceza yarı oranında artırılır.
Verileri yok etmeme
Madde 138 – (1) Kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlara görevlerini yerine getirmediklerinde bir yıldan iki yıla kadar hapis cezası verilir.
(2) Suçun konusunun Ceza Muhakemesi Kanunu hükümlerine göre ortadan kaldırılması veya yok edilmesi gereken veri olması hâlinde verilecek ceza bir kat artırılır.
Şikayet
Madde 139 – (1) Kişisel verilerin kaydedilmesi, verileri hukuka aykırı olarak verme veya ele geçirme ve verileri yok etmeme hariç, bu bölümde yer alan suçların soruşturulması ve kovuşturulması şikayete bağlıdır.
Tüzel kişiler hakkında güvenlik tedbiri uygulanması
Madde 140- (1) Yukarıdaki maddelerde tanımlanan suçların işlenmesi dolayısıyla tüzel kişiler hakkında bunlara özgü güvenlik tedbirlerine hükmolunur.”
(2) Bu Kanunun 7 nci maddesi hükmüne aykırı olarak; kişisel verileri silmeyen veya anonim hâle getirmeyenler 5237 sayılı Kanunun 138 inci maddesine göre cezalandırılır.
“Verileri yok etmeme
Madde 138 – (1) Kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlara görevlerini yerine getirmediklerinde bir yıldan iki yıla kadar hapis cezası verilir.
(2) Suçun konusunun Ceza Muhakemesi Kanunu hükümlerine göre ortadan kaldırılması veya yok edilmesi gereken veri olması hâlinde verilecek ceza bir kat artırılır.”
Kabahatler
MADDE 18 – (1) Bu Kanunun;
a) 10 uncu maddesinde öngörülen aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar,
b) 12 nci maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar,
c) 15 inci maddesi uyarınca Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar,
ç) 16 ncı maddesinde öngörülen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar,
idari para cezası verilir.
(2) Bu maddede öngörülen idari para cezaları veri sorumlusu olan gerçek kişiler ile özel hukuk tüzel kişileri hakkında uygulanır.
(3) Birinci fıkrada sayılan eylemlerin kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları bünyesinde işlenmesi hâlinde, Kurulun yapacağı bildirim üzerine, ilgili kamu kurum ve kuruluşunda görev yapan memurlar ve diğer kamu görevlileri ile kamu kurumu niteliğindeki meslek kuruluşlarında görev yapanlar hakkında disiplin hükümlerine göre işlem yapılır ve sonucu Kurula bildirilir.
şeklinde ifade edilmiştir.
Son olarak,
Vatandaş olarak kanun koyucu kuralları koymuş ve anlaşılacağı üzere açıkça da tanımlamıştır. Tüm kamu ve özel kurumların artık bu çerçevede gerekli tedbirleri alma ve uygulama zorunluluğu doğmuştur. Bu doğrultuda kurumların kişisel verileri sakladıkları, işledikleri, transfer ettikleri tüm bilişim altyapılarını gözden geçirme ve gerekli düzenlemeleri yapmaları gerekmektedir.
Nedir bu düzenlemeler ???
Konuyla yakından ilişkili iki tane standarttan bahsetmek mümkün,
1- TS ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi Standardı
2- BS 10012 Veri koruma, Kişisel Bilgi Yönetimi Sistemi Standardı’dır.
bu standartlar ne işe yarar, kişisel verilen daha güvenli hale nasıl getirmek gerekir, bu konularada bir sonraki makalemde anlatmaya çalışacağım..
Eeeee Kişisel Verilerimiz Güvendemi ? Hayırlı olsun kanunumuz var artık 🙂