Kişisel bilgi paylaşımında yeni dönem
Kişisel bilgi paylaşımında yeni dönem
Kişisel veriler, her geçen gün daha da önemli hale geliyor. Gelişen teknoloji, kişisel bilgilerin edinilmesi, depolanması ve yorumlanarak yeniden kullanımı için önemli fırsatlar sunuyor. Bir tarafta şirketler, potansiyel tüketicisinin ihtiyacını, tercihini hatta ödemeye razı olduğu bedeli anlamaya yönelik olarak sürekli ve sınırsız bir şekilde bilgi edinmeye çalışıyor, Diğer tarafta da kişisel verilerin istismarı riski büyüyor ve korunması ihtiyacı yeni yasal düzenlemeleri beraberinde getiriyor.
Günümüzde, terazinin iki tarafı arasında denge oluşturulmaya çalışılıyor. Yasal düzenlemeler, kişisel bilginin korunması hakkı ile değişen teknoloji çerçevesinde hayatın olağan akışının gereklilikleri ve üçüncü kişinin bu bilgiyi edinme hakkı arasındaki menfaatleri dengelemeyi amaçlıyor. Bu amaçla hazırlanan Kişisel Verilerin Korunması Kanunu, 7 Nisan 2016 tarihinde Resmi Gazete’de yayımlanarak yürürlüğe girdi.Kamuda ya da özel sektörde, mal ve hizmet sunan tüm şirketlerin temel amacı; kişilerin ihtiyaçlarını karşılayabilen en doğru ürünü veya hizmeti tasarlayabilmek ve piyasaya sunmak. Bu amaca ulaşabilmek için de şirketler, potansiyel tüketicisinin ihtiyacını, tercihini hatta ödemeye razı olduğu bedeli anlamaya yönelik olarak sürekli ve sınırsız bir şekilde bilgi edinmeye çalışıyor. Bu bilgi edinme süreci, sunulan hizmet ya da ürünün kişiselleştirilebilmesi sayesinde ilgili kişinin (ve zaman zaman kamunun) faydasına olmakla birlikte, teknolojideki gelişme, artık kişilerin farkında olmadan haklarında bilgi toplama ve depolama işleminin yapılabilmesini mümkün kılıyor.
Kişisel verilerin korunması ihtiyacı
Bu durum, kişisel bilginin istismarı riskini ortaya çıkardı ve korunması ihtiyacını doğurdu. Burada koruma ile kastedilen mal ve hizmet sunanlarla bunları satın alan kişiler arasındaki tüm bilgi alışverişini durdurmak değil. Bugün artık “kişisel veri” olarak adlandırılan kimlik, iletişim, sağlık ve mali bilgiler ile özel hayata, dini inanca ve siyasi görüşe ilişkin bilgilerin toplanması ve işlenmesini belirli bir düzen içerisinde gerçekleştiriliyor. Korumadan kastedilen, işte bu düzeni sağlamak. Diğer bir deyişle, kişisel bilginin korunması hakkı ile değişen teknoloji çerçevesinde hayatın olağan akışının gereklilikleri ve üçüncü kişinin bu bilgiyi edinme hakkı arasındaki menfaatleri dengelemek. Bu amaçla hazırlanan Kişisel Verilerin Korunması Kanunu (“Kanun”), 7 Nisan 2016 tarihinde Resmi Gazete’de yayımlanarak yürürlüğe girdi.
Kanun yürürlüğe girmeden önceki dönem
Kişisel verilerin korunmasına yönelik uluslararası alandaki ilk adım, bizlerin teknolojiyi –özellikle interneti- bugün olduğu kadar yaygın bir şekilde kullanmaya başlamamızdan çok daha öncesinde, 1980 yılında atıldı. Türkiye’nin de üyesi bulunduğu OECD tarafından “Kişisel Alanın ve Sınır Aşan Kişisel Bilgi Trafiğinin Korunmasına İlişkin Rehber İlkeler” 23 Eylül 1980 tarihinde kabul edildi. Hemen arkasından, 28 Ocak 1981 tarihinde Avrupa Konseyi tarafından imzaya açılan “Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi” Türkiye tarafından da imza edildi. Ancak bu sözleşmenin TBMM tarafından onaylanması, 35 yıl sürdü ve Kanun ile hemen hemen aynı günlerde onaylanarak yürürlüğe girdi.
Kişisel verilerin korunmasına yönelik 7 Nisan’da yürürlüğe giren Kanun’dan önceki düzenlemelere bakmak gerekirse;
Türkiye’nin de taraf olduğu Avrupa İnsan Hakları Sözleşmesi’nin 8’inci maddesinde temel bir hak olarak kabul görüyordu.
Ayrıca, 12 Eylül 2010 tarihinde gerçekleştirilen halk oylaması sonucunda kişisel verilerin korunması temel bir insan hakkı olarak Anayasa’nın 20‘nci maddesinde yerini aldı. Benzer şekilde Türk Medeni Kanunu (Madde 23), Borçlar Kanunu (Madde 27), Türk Ceza Kanunu (Madde 135, 136 ve 138) ile daha özel nitelikteki İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun, Elektronik Ticaretin Düzenlenmesi Hakkında Kanun ve Bankacılık Kanunu da kişisel verilerin korunmasına yönelik düzenlemeler içeriyordu.
Bütün bunların yanı sıra KPMG olarak, Uluslararası Sözleşmeler ve Anayasa ile teminat alınan temel bir hak olarak kişisel verilerin korunmasının, konuya özgü bir kanun ile ele alınması ve düzenlenmesini olumlu ve yerinde bir adım olarak değerlendiriyoruz.
Kanun ile getirilen yenilikler
- Kanun kişisel veriyi “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” olarak tanımlıyor. Kanun’un gerekçesinde kişisel veriye örnek olarak kimlik, iletişim, sağlık ve mali bilgiler ile özel hayata, dini inanca ve siyasi görüşe ilişkin bilgiler sayılıyor. Bu tanıma ilaveten, Kanun kapsamında kişisel veriler (kimlik ve iletişim bilgileri vb) ile özel nitelikli kişisel veriler (özel hayat, dini inanç ve siyasi görüş vb) birbirinden ayrılmış ve özel nitelikli kişisel veriler için daha sınırlayıcı bir rejim öngörülüyor.
- Kanun, kişisel verilerin işlenme amaçlarının ve vasıtalarının belirlenmesi, veri kayıt sistemlerinin kurulması ve yönetilmesi işini Veri Sorumlusu’na yüklüyor. Bununla birlikte, verilerin, Veri Sorumlusu adına üçüncü kişiler tarafından işlenmesini mümkün kılınıyor ve bu üçüncü kişi, Veri İşleyen olarak tanımlanıyor. Veri Sorumlusu’nun gerekli tedbirlerin alınması konusunda Veri İşleyen ile müşterek sorumlu tutulmuş olması Avrupa Konseyi ve Avrupa Parlamentosu tarafından 24 Ekim 1995 yılında yürürlüğe koyulan “Kişisel Verilerin İşlenmesi Sırasında Gerçek Kişilerin Korunması ve Serbest Veri Trafiği Direktifi” (“Direktif”) ile de uyumlu ve yerinde bir düzenleme oldu.
- Kişisel verilerin yurtdışına aktarılmasına ilişkin sınırlamalar ve istisnalar da Kanun’da yer alıyor. Kural olarak kişisel veriler, ilgili kişinin açık rızası olmaksızın yurtdışına aktarılamaz. Ancak kişisel verilerin aktarılmasının kanunlarda açıkça öngörülmesi, kişisel verinin ilgili kişinin kendisi tarafından alenileştirilmiş olması gibi durumlarda verilerin aktarılacağı ülke,Veri Koruma Kurulu’nun güvenli ülkeler listesinde ise veya Veri Sorumluları’nın taahhüt ettiği koruma, Kurul tarafından yeterli bulunursa ilgili kişinin açık rızası aranmaksızın yurtdışına kişisel veriler aktarılabilecek.
- Kanun, temel görevi uygulamayı denetlemek, veri koruma sicilinin tutulmasını sağlamak, ihlallere ilişkin şikayetleri karara bağlamak ve idari para cezalarını uygulamak olan bir Kişisel Verileri Koruma Kurumu kurulmasını öngörüyor. Söz konusu Kurum, idari ve mali özerkliğe sahip olacak ve yedi kişiden oluşan bir Kişisel Verileri Koruma Kurulu ile Başkanlık’tan oluşacak.
AB Müktesebatına uyum ve ikincil mevzuat ihtiyacı
Kanun hazırlanırken genel olarak Direktif’teki düzenlemeler esas alındı. Ancak Kanun’un yürürlüğe girmesinden yaklaşık bir hafta sonra, 14 Nisan 2016’da AB Parlamentosu kişisel verilerin korunmasını düzenleyen yeni bir direktifi kabul etti. Diğer direktiflerden farklı olarak (Britanya ve Danimarka haricindeki) tüm AB ülkelerinde doğrudan uygulanacak olan bu yeni direktif hükümlerinin yürürlüğü AB Resmi Gazetesi’nde ilan edilmesinden iki yıl sonrasına ertelendi.
Yeni düzenleme ile Direktif’ten (dolayısıyla Kanun’dan) farklı olarak ele alınan başlıca konular şunlar oldu:
- Unutulma hakkı,
- Kişisel verilerin işlenmesine ilişkin irade beyanının içeriği,
- Kişisel verilerin başka bir servis sağlayıcıya aktarılması,
- Kişisel verilerin hacklendiğini öğrenme hakkı,
- Gizlilik politikalarının açık ve anlaşılır bir dilde yazılması,
- Mevzuat para cezalarının arttırılması (Dünya genelinde cironun yüzde 4’üne kadar) ve daha sıkı uygulanması
Yeni direktifte yer alan hususların Kanun’da düzenlenmemiş olmasının yanında, Kanun herhangi bir sektöre yönelik özel hükümler de içermiyor. Kanun’da herhangi bir sektöre yönelik özel düzenleme bulunmaması, Gerekçe’de Kanun’un çerçeve bir düzenleme olmasıyla açıklanıyor. Daha açık ifade etmek gerekirse; Avrupa Konseyi Bakanlar Komitesi’nin tıbbi veri bankaları, bilimsel araştırma ve istatistik, doğrudan pazarlama, sosyal güvenlik, sigorta, istihdam, elektronik ödeme, telekomünikasyon ve internet gibi sektörlere yönelik olarak almış olduğu tavsiye kararları Kanun hazırlanırken genel olarak dikkate alınmakla birlikte, Kanun’da yer almadı. Bu durumun doğal bir sonucu olarak, söz konusu tavsiye kararlarının –eğer şimdiye kadar başka bir düzenleme ile yapılmadıysa- adı geçen sektörlere yönelik ikincil mevzuatlar kapsamında yürürlüğe konması öngörüldü. Yürürlüğe konacak ikincil mevzuat, Kanun’un uygulanmasına açıklık getirecek olmakla birlikte, ilgili sektörlerde faaliyet gösteren şirketlere tavsiye kararlarındakilere paralel ek yükümlülükler getirmesini beklemek yanlış olmaz.
Bilgi toplayan şirketler ne yapmalı?
Kişisel verilerle ilgili uzun yıllar süren kuralsızlık hali ve rekabetçi bir ortamda var olabilme çabası, işletmeleri düzen yerine kaosun hâkim olduğu bir piyasaya alıştırdı. Bu durum, kişisel veri toplayan işletmelerin Kanun’a uyum sağlamakta zorlanmasına yol açabilir. Her ne kadar Kanun’un cezai müeyyidelerinin uygulanması 7 Ekim 2016 tarihine kadar ertelenmiş olsa da gerekli uyarlamaların yapılması ve bunların her işletmenin esaslı unsuru olan çalışanlar tarafından benimsenmesinin de belirli zaman alacağı yadsınamaz bir gerçek. Bu itibarla, tüm işletmelerin öncelikle konunun uzmanlarına bir uyum analizi yaptırarak, Kanun’un öngördüğü yükümlülüklerin hâlihazırda ne kadarının yerine getirildiğini tespit etmelerinin ve bu tespitler doğrultusunda bilişim sistemleri, sözleşmeler ve çalışma prensiplerinin uyarlanmasına ve hatta gerekirse ilgili personelin eğitilmesine yönelik adımların atılmasının faydalı olacağı kanaatindeyiz.
© 2024 KPMG Bağımsız Denetim ve Serbest Muhasebeci Mali Müşavirlik A.Ş., şirket üyelerinin sorumluluğu sundukları garantiyle sınırlı özel bir İngiliz şirketi olan KPMG International Limited ile ilişkili bağımsız şirketlerden oluşan KPMG küresel organizasyonuna üye bir Türk şirketidir. Tüm hakları saklıdır.
Küresel KPMG ağının yapısı hakkında detaylı bilgi için kpmg.com/governance adresini ziyaret edebilirsiniz.