Kişisel Verilerin Güvenliği Kanunu – Bölüm 1

Kişisel Verilerin Güvenliği Kanunu - Giriş

Kişisel Verilerin Güvenliğinden bahsetmeye başlamadan önce, Dünya’daki ve Ülkemizdeki çıkış noktasıyla başlamak daha doğru olacak ve çeşitli weblinkler ile desteklemek, detaya doğru giderken bize ön fikirler verecektir diye düşünmekteyim.

GDPR diye kısaltılan, General Data Protection Regulations olarak açılımı bulunan Avrupa Birliği Genel Veri Koruma Regülasyonu tüm Avrupa ve AB genelinde AB Vatandaşlarını korumaya yönelik uyumlu bir dizi veri gizliliği yasası hazırlamak için geliştirilmiştir. Bu Regülasyon, 95/46/EC Sayılı Veri Koruma Direktifinin yerini aldı ve 25 Mayıs 2018’de yürürlüğe girdi.

Konuyu herkesin hatırlayacağı şekilde örneklendirmek gerekirse; Facebook Kurucusu Mark ZUCKERBERG’in Amerika Birleşik Devletleri Federal Ticaret Komisyonu (FTC) tarafından “kişisel verilerin gizliliği konusunda ihlaller nedeniyle” cezalandırıldığını biliyorsunuzdur ancak tutarın 5milyar dolar olduğunu anımsamıyor olabilirsiniz. Mahkemenin gerekçeli kararı şöyleydi: “Dünya çapında milyarlarca kullanıcıya, kişisel verilerinin ne şekilde kullanılacağını yönünde verilmiş sözlere rağmen Facebook tüketicilerin tercihlerini yok saymıştır” denildi.

Bu ceza sonrasındaki döneme denk gelen bir konuşma da Stanford Üniversitesi 2019 Mezuniyet Töreni’nde Apple CEO’su Tim COOK tarafından geldi. (Gerçek adı: Timothy Donald “Tim” COOK) Buradaki linkten Türkçe altyazılı olarak konuşmasına erişebilirsiniz. Bende de yeri geldikçe konuşmasından alıntıları, yazı dizisinde paylaşıyor olacağım.

Tüm bu örneklerden sonra, belki de Türkiye’nin Dünya’daki uygulamalardan ilk kez en önce yaptığı ve yayınladığı bir yasadan bahsetmek istiyorum. 6698 Sayılı Kişisel Verilerin Korunması Kanunu. 24 Mart 2016 tarihinde Resmi Gazetede yayınlandı. Avrupa Birliği Uyum Yasaları kapsamında ele alınıp hızlıca yasalaşan ancak günümüze geldiğimizde bir şekilde henüz bu yasa, maalesef tüm ilişkili kişilerce yani veri ve bilgi ve ürün üreticilerini ve bunları bir şekilde tüketen kişilerce özümsenemedi.

Bir kaynak olması amacıyla detaylarıyla birkaç bölüm olarak Kişisel Verinin ne olduğundan, Bunun yasal karşılığının ne olduğundan, Açık Rıza Beyanını izah edip örnek paylaşarak bu seriyi takip edenlerin kendileri için neler yapabileceğinden, Kişisel Verilerin nasıl korunması gerektiğinden, koruma kapsamında olumsuz durumlarda müeyyidelerin neler olacağından, DLP ve SIEM nedir ve neler yapabiliriz bunları konuşurken şirketiniz için bir Envanter oluştururken neler yapılması gerektiğinden ve de en önemlisi Yerel Mevzuatlarla bunları destekleyerek bahsediyor olacağım.

Kanunun Amacı, Kapsamı, Yasadaki Tanımlar ve Genel İlkeler ile İşlenme Şartları

MADDE 1- (1) Bu Kanunun amacı, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir.

Yasa diyor ki, işiniz gereği, kişiye ait herhangi bir veriye erişim sağladınız, bunun güvenliğinden sorumlusunuz ve bunu yaparken bazı usuller var, bunlara uymakla yükümlüsünüz.

MADDE 2- (1) Bu Kanun hükümleri, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır.

Kişisel Veri, bir kişiye ait olduğu için, ilgili olan kişi ile bu veriye erişim sağlayan Ticari İşletme arasında bir olguya sahip olduğu için, kanunun kapsamı sadece bu iki taraf arasındadır.

MADDE 3- (1) Bu Kanunun uygulanmasında;

a) Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı,

b) Anonim hâle getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini,

d) Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,

e) Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,

ğ) Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi,

ı) Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi,

h) Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini,

MADDE 4- (1) Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.

(2) Kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması zorunludur:

a) Hukuka ve dürüstlük kurallarına uygun olma.

b) Doğru ve gerektiğinde güncel olma.

c) Belirli, açık ve meşru amaçlar için işlenme.

ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.

d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.

MADDE 5- (1) Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez.

(2) Aşağıdaki şartlardan birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür:

a) Kanunlarda açıkça öngörülmesi.

b) Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması. (Covid19’a yakalanan personelin direkt ilgili kurumlara bildirilmesi gibi)

c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması. (sözleşme maddelerinde unvan, adres, vergi no, tc kimlik, telefon, eposta vb. gibi bilgilerin yer alması)

ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.

d) İlgili kişinin kendisi tarafından alenileştirilmiş olması. (şahsi bilgilerinin sosyal medya, websitesi, kartvizit gibi ortamlarda paylaşılması)

e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması. (işe alınırken paylaşılan özlük evrakları -sağlık verileri hariç-)

f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

yukarıdaki tüm açıklamalardan yola çıkarsak; bir kayıt sisteminiz olmalı, kayıt sisteminizde belirli bir kriterde yani kategorilere ayrılmış şekilde olmalıdır. Buraya kayıtları yapacak Veri İşleyen birisi olacak ama bu organizasyonun da bir sorumlusu olacak, verinin sahibinin verisinin işlenme sebebi ve ne amaçla işleneceği açık ve net şekilde aktarılıp açık rızası alınacak, gerekli durumlarda veri kullanacaksa, verinin asıl sahibini işaret etmeyecek şekilde anonim hale getirilecektir.

Özel Nitelikli Kişisel Veriler

MADDE 6- (1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.

(2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.

(3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hallerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.

(4) Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.

yasanın bu maddesi, tüm herkesi ilgilendiren bir konu aslında. şöyle ki, yasanın muaf tuttuğu kişiler ve kuruluşlar var ancak her ne kadar muaf tutulursa tutulsun “özel nitelikli veri” kişiye özel ve onu direkt niteleyen bir sıfattır. Örneğin, “Şirketimizin Finansman Birimindeki çalışma arkadaşlarımız Covid nedeniyle izole ediliyor” dediğinizde, birimde direkt kişiyi hedef göstermiyorsunuz, ancak “Şirketimizde Finans Birimindeki Şef arkadaşımız” dediğinizde onun kim olduğu hem şirket çalışanlarınca bilinecek hem de şirketi bilmeyenler hiyerarşik yapıdan kişiyi tespit edecektir. Sağlık verileri özel nitelikli verilerdir ve bu şekilde alenileştirilemez yani rızası olmadan anonimleştirilemez. Kısaca yasa, kişiyi direkt tanımlayan, yani kişiyi betimlercesine onu hedef göstermeyi yasaklamıştır.

Kişinin özlük dosyasında bulunan sağlık verileri, özlük dosyalarından ayrıştırılarak varsa işyeri hekimine ait saklama dolabında, işyeri hekimi yoksa, işletme bünyesinde özel nitelikli verinin güvenliği ile ilgili apayrı bir veri sorumlusu atanıp onun sorumluluğunda muhafaza edilmelidir. Özlük evraklarından ayrıştırılmalıdır.

Bu bölümde ayrıca dikkat edilmesi gereken konu, “sır saklama yükümlülüğü olan kişiler açık rıza şartı aranmaksızın verileri işleyebilir” denilmektir. Yani Avukatlar, Mali Müşavirler, Doktorlar tâbi oldukları yasalar gereği zaten süre ile sınırlandırılmadan sır saklama yükümlülükleri vardır. Diğer kişiler ise, veriyi işleyeceklerse, kesinlikle açık rıza şartına sahip olmaları gerekiyor.

Bu konuyla ilgili olarak buraya tıklayarak, Anayasa Mahkemesinin verdiği kararı inceleyebilirler (sayfa 10, madde 78)