Kişisel veri;  genel olarak kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiye kişisel veri diyebiliriz. Kanun kişisel veriyi tanım olarak ikiye ayırmıştır. Buna göre;

•  kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile pirometri verileri “özel nitelikli kişisel veri” niteliğindedir.

• Özel nitelikli kişisel veri kapsamı dışında kalan tüm kişisel veriler ise genel nitelikli “kişisel veridir (örneğin, e-mail adresi, ev adresi, telefon numarası, kredi kartı

numarası, telefon veya bilgisayar yazışmaları, vb.).

Özel nitelikli kişisel veri olsun olmasın kişisel verilerin tamamı yalnızca Kanun hükümlerine tabi olarak işlenebilir. Bir kişinin açık rızası olmaksızın kişisel veriler işlenemez.

Açık rızanın aranmadığı istisnai haller de Kanun’da ayrıca belirtilmiştir. Örneğin, genel nitelikli kişisel verilerin işlenmesinde ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için kişisel bir verinin işlenmesinin zorunlu olduğu hallerde ilgili kişinin acık rızası olmaksızın kendisine ait kişisel verileri işlenebilecektir.

Özel nitelikli kişisel veriler için ise sağlık ve cinsel hayat dışındaki kişisel veriler Kanun’da öngörülen hallerde ilgili kişinin açık rızası aranmaksızın işlenebilecektir.

Kişisel verilerin hukuka ve dürüstlük kurallarına aykırı olarak, doğru ve güncel olmayan, belirli, açık ve meşru amaçlar için işlenmeyen, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, ele geçirilmesi, değiştirilmesi, yayılması, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi belirlenen sure dışında verileri imha etmeyip tutmaya devam edilmesi gibi durumlar Kanun’un ihlali anlamına gelir.

Öncelikle firmaların kişisel veri işlenmesi alanında bir envanter çıkarmaya ihtiyaçları bulunmaktadır.

Firma içinde kimler, kimlere ait hangi kişisel verileri işliyor, saklıyor ve bu kişisel verileri başkaca üçüncü kişilere aktarıyorlar mı yoksa aktarmıyorlar mı? Bu bilgilerin çok net bir şekilde ortaya çıkması gerekmektedir.

Tehlikenin boyutları bilinmediği takdirde alınacak önlemler de doğru bir şekilde Kişisel verilerin işlenmesi ve saklanması firmalar açısından potansiyel bir sorumluluk kaynağıdır. Bu nedenle, mevcut uygulamalarda işlenen ve saklanan kişisel verilerin ne kadarının işlerin aksamadan devam etmesi için gerekli olduğunun, ne kadarının kanunen getirilmiş bir zorunluluk çerçevesinde işlenip, saklandığının belirlenmesi de gereklidir. Eğer bir kişisel verinin işlenip, saklanması firmanın operasyonları açısından gerekli veya kanunen zorunlu değilse, o verinin alınmamasını, bir şekilde alınırsa bile hemen silinmesini temin etmek gereklidir.

Firmaların kişisel verileri koruma ihtiyacına baktığımızda koruma ihtiyacı olan üç grubu görüyoruz;

• çalışanlarına ait kişisel veriler,

• beraber iş yaptığı iş ortakların veya danışmanlarının kişisel verileri ve

• müşterilerine ait kişisel veriler.

Bütün bu verilerin muhafazasını sağlamak veri koruması kanunu kapsamında firmalar için bir yükümlülüktür ve Kanun kişisel verileri korumakla yükümlü firmalara “uygun güvenlik düzeyini sağlamaya yönelik her turlu teknik ve idari tedbirleri alma” zorunluluğu getirmiştir.

Güvenlik düzeyini sağlamak için öncelikle firma içerisinde ihtiyacın ve sorumlulukların belirlenmesi gerekir.

Sorumlular belirlenip konuya firma içerisinde liderlik edecek ekip oluşturulduktan sonra ekibin hangi veriyi nasıl güvence altına alacağını anlatan süreçlerin oluşturulması gerekiyor. Daha sonra bu süreçlerin etkin bir şekilde çalışmasına yardımcı olacak teknolojinin tesis edilmesi gerekiyor. Son olarak da kurulan bu yapının tasarlandığı gibi çalıştığından emin olmak için düzenle denetimlere tabi tutuluyor olması gerekir.

Kişisel verinin korunması konusunda en büyük sorumluluk bireylerin kendisindedir. Hangi kurum veya kuruluşlarla hangi verileri paylaştığına çok dikkat etmeleri gerekir. Telefon veya e-mail ile gelen kişisel veri paylaşım taleplerini değerlendirirken olabildiğince şüpheci yaklaşmakta fayda var.

Bilgi güvenliğinin üç temel ilkesi vardır: gizlilik, bütünlük ve erişilebilirlik.

Bir verinin güvenliğinin sağlandığını söyleyebilmemiz için gizliliği ve tamlığı korunmalıdır ve bununla birlikte gerektiğinde erişilebilir olmalıdır.

Şirketlerin sahip olduğu bütün verilere erişimi kısıtlamadan önce şirketler ilk olarak sahip olduğu verileri ortaya koymalıdırlar. Veriler teker teker önem sırasına dizildikten sonra hangi verinin nasıl korunacağına karar vermeleri gerekir. Güvenlik önlemlerini de yapılan bu veri sınıflandırması çalışması sonrasında ortaya çıkan ihtiyaç doğrultusunda almaları gerekmektedir. Şirketlerin bazı verileri bütün çalışanlar tarafından bilinmesi gerekirken bazı verilere sadece kısıtlı sayıda erişimin gerçekleşmesi gerekiyor olabilir. Kimin nereye erişeceğine karar verirken mümkün olan minimum yetki prensibi benimsenmelidir. Yani şirkette kimseye işlerini yürütebilmesi için ihtiyacı olandan daha fazla erişim yetkisi verilmemelidir. Verilen erişim yetkileri de düzenle olarak kontrol edilmelidir.

Düzenleme hükümlerine aykırı olduğu tespit edilen kişisel veriler derhal silinecek, yok edilecek veya anonim hale getirilecek. Ancak bu kanunun yayımı tarihinden önce hukuka uygun olarak alınmış rızalar, bir yıl içinde aksine bir irade beyanında bulunulmaması halinde bu kanuna uygun kabul edilecek. Yasaya göre, veri sorumlusu, kişisel verilerin hukuka aykırı olarak işlenmesini ve kişisel verilere hukuka aykırı olarak erişilmesini önlemekle yükümlü olacak.

Veri sorumlusu ayrıca, bu verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alacak. Veri sorumluları, öğrendikleri kişisel verileri bu düzenlemedeki hükümlere aykırı olarak başkasına açıklayamayacak ve kendi şahsi çıkarları için kullanamayacak. Bu yükümlülük, görevden ayrılmalarından sonra da devam edecek.

Yasanın veri sorumlusuna başvuru şekline ilişkin maddeye göre, ilgili kişi taleplerini veri sorumlusuna iletecek. Veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç 30 gün içinde ücretsiz olarak sonuçlandıracak. Başvurusu reddedilen kişi, cevabı öğrendiği tarihten itibaren 30 ve her halde başvuru tarihinden itibaren 60 gün içinde yönetmelik kapsamında oluşturulacak Kişisel Verileri Koruma Kurulu'na şikayette bulunabilecek. Kişilik hakları ihlal edilenlerin, genel hükümlere göre tazminat hakkı saklı olacak.

Yasaya göre, altı ay içinde, yasayla belirlenen usul kapsamında Kişisel Verileri Koruma Kurulu üyeleri seçilecek ve Başkanlık teşkilatı oluşturulacak.

Kişisel verilerin güvenliği çokuluslu şirketlerde şirket merkezinin sorumluluğunda mı, yoksa faaliyet gösterilen ülkenin sorumluluğunda mıdır? Olası bir veri ihlali durumunda, yasal süreç nasıl ilerler ?

Öncelikle şirketlerin uluslararası bir gruba bağlı olması buradaki şirketin ve yetkililerinin sorumluluklarını kaldırmaz.  En fazla eğer kişisel verilerin işlenmesi ile ilgili talimatlar doğrudan yurtdışından geliyorsa yurtdışındaki merkezin de sorumluluğunun olması söz konusu olabilecektir. Burada özellikle kişisel verilerin yurtdışına çıkarılması hususuna temas etmek gerekiyor. Kişisel verilerin yurtdışına çıkarılmasında çok hassas olmak ve bu konuda kriterleri iyi uygulamak gerekiyor.

Kanun uyarınca kişisel verileri yurtdışına çıkarmak için öncelikle kişinin açık rızasının alınması ve kişisel verinin aktarılacağı yabancı ülkede yeterli korumanın bulunması gerekir. Yeterli korumanın bulunmadığı takdirde ise Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve bu konuda da Kurul’un izninin alınması gerekiyor.

Peki, şirketler yeterli korumanın bulunup bulunmadığını nasıl fark edecekler veya izin verip vermeyeceğini hangi kritere dayanarak karar verecekler? Kurul yeterli korumanın bulunduğu ülkeleri ilan edecek ve eğer ilan ettiği ülkeler arasında yer almayan bir ülkeye aktarım yapılacak ise; bu durumda Türkiye’nin taraf olduğu uluslararası sözleşmeleri, kişisel veri talep eden ülke ile Türkiye arasında veri aktarımına ilişkin karşılıklılık durumunu, kişisel verinin niteliği ile işlenme amaç ve suresini, kişisel verinin aktarılacağı ülkede bulunan veri sorumlusu tarafından taahhüt edilen önlemleri bir bütün olarak değerlendirdikten ve ihtiyaç duyarsa ilgili kurum ve kuruluşların da görüşlerini aldıktan sonra karar verecektir. Bu nedenle ne de olsa aynı gruba dahiliz diye kişisel verileri yurtdışındaki merkeze veya bağlı ortaklığa çıkartmak tek başına bir sorumluluk nedeni olabilecektir.

Kanun ile Kişisel Verileri Koruma Kurumu (“Kurum”) düzenlenmiştir. Kurum’un bünyesinde kurulacak olan Kişisel Verileri Koruma Kurulu (“Kurul”) Türkiye Büyük Millet Meclisi, Bakanlar Kurulu ve Cumhurbaşkanınca seçilecek olan 9 üyeden oluşacak olup, söz konusu Kanun ve diğer mevzuatla verilen görev ve yetkilerini kendi sorumluluğu altında, bağımsız

olarak yerine getirecektir. Kurulun öncelikli görevleri arasında, kişisel verilerin temel hak ve

özgürlüklere uygun şekilde işlenmesini sağlamak, hakların ihlal edildiğini ileri sürenlerin şikayetlerini karara bağlamak, gerekli görüldüğü takdirde idari yaptırımlara karar vermek, resen görev alanına giren konularda kişisel verilerin kanunlara uygun olarak işlenip işlenmediğini incelemek ve gerektiğinde bu konuda geçici önlemler almak bulunuyor.

Kişisel verilerin işlenebilmesi için bazı ilkelere uyulmasının yanında ilgili kişinin acık rızasının alınması şartı da bulunuyor. Kanunda açık rıza, belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza olarak tanımlanmıştır. Avrupa Birliği’nin kişisel verilere ilişkin mevzuatında da ilgili kişinin açık ve tartışmasız onayının alınması şart koşulmuş; fakat onaya ilişkin bir şekil şartı öngörülmemiştir.

İlgili Kişinin acık rızasının aranmadığı istisnai bazı durumlar da söz konusudur. Özel nitelikli kişisel veriler ise Kurul tarafından belirlenen yeterli önlemler alınmaksızın hiçbir şekilde işlenemez.

Öncelikle işlenecek verilere ilişkin olarak, kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce “Veri Sorumluları Sicili ”ne kaydolmak zorundadır. Sicil kayıtları, Kişisel Verileri Koruma Kurulu Başkanlığı tarafından, kamuya acık olarak tutulacaktır. Kanun kapsamında kişisel verilerin ne kadar sure ile saklanabileceğine ilişkin bir yükümlülük öngörülmemektedir. Ancak kişisel verinin işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinebilir veya yok edilebilir. Bunun yanı sıra özel kanunlarda surelere ilişkin düzenlemeler bulunmaktadır. Örneğin, elektronik haberleşme sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğinin Korunması Hakkında Yönetmelik’in 14. Maddesi gereğince, “belirli veya kimliği belirlenebilir gerçek ve tüzel kişilere ilişkin bütün bilgiler” şeklinde tanımlanan Kişisel Verilere ilişkin işlem kayıtlarının 4 yıl sureyle saklanması gerekiyor. Aynı şekilde, İş Sağlığı ve Güvenliği Hizmetleri Yönetmeliği’nin 7. maddesine göre, işveren; işyerinde yürütülen iş sağlığı ve güvenliği faaliyetlerine ilişkin her turlu kayıt ile işten ayrılma tarihinden itibaren en az 15 yıl sureyle çalışanların kişisel sağlık dosyalarını saklamakla yükümlüdür.

Kişisel Verilere ilişkin suçlar bakımından 5237 sayılı Türk Ceza Kanunu’nun ilgili hükümleri

uygulanacaktır. Buna göre, hukuka aykırı olarak kişisel verileri kaydeden kimseye bir yıldan üç yıla kadar hapis cezası verilebileceği gibi kişisel verileri hukuka aykırı olarak veren veya ele geçiren bir kişiye iki yıldan dört yıla kadar hapis cezası verilebilecektir.

Ayrıca Kanun uyarınca aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk Lirasından 100.000 Türk Lirasına kadar idari para cezası söz konusu iken; kişisel veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler 15.000 Türk Lirasından 1.000.000 Türk Lirasına kadar, Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk Lirasından 1.000.000 Türk Lirasına kadar ve sicile kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk Lirasından 1.000.000 Türk Lirasına kadar idari para cezası söz konusudur.

Eğer bir ihlal söz konusu ise ve bu ihlali ilk olarak firmanın kendisi fark ettiyse, olayın üstünü kapamak yerine en kısa zamanda özellikle kişisel verileri, kanuna aykırı bir şekilde elde edilmiş veya işlenmiş kişiye haber vermek gerekiyor. Zamanında haber verme zorunluluğu aslında kişisel verilerin korunması hukukunun önemli bir saç ayağı. İkinci olarak alınması gereken tedbir, bu tur bir ihlalin veya ihmalin tekrarlanmaması için gerekli önlemlerin alınması. Tabii eğer, kişisel verilerin ihlalini gerçekleştirenler belli ise, bu kişilere karşı hızlı bir şekilde hukuki yollara başvurulması, dava açılması da alınması gereken tedbirlere dahil.

Veri ihlali yaşandıktan sonra başarılı bir şekilde teknik analizi yapmak, ihlalin nasıl gerçekleştiğini anlamak ve zararın boyutunu tespit edebilmek için kritik başarı  faktörlerindendir. Başarılı bir şekilde teknik inceleme yapabilmek için firmaların bu gibi durumlar için hazırlıklı olması ve ihlal yaşandıktan sonra nasıl hareket edileceğinin tatbikatını

Yapmış olmaları gerekir. İhlale ilişkin hukuki geçerliliği olan kanıtların toplanması uzmanlık

Gerektiren bir konudur. Onun için, konu uzmanı kişilerden bunun gibi durumlarda yardım almakta fayda vardır. Konu uzmanı kişilerin olaya müdahale ve/ veya güvenlik ihlali incelemesi yapabilmesi için inceleme yapılabilir bir zemin firma tarafından oluşturulmuş olmalıdır. Kişisel verilere erişim kayıtları, kişisel verilerin tutulduğu veya işlendiği altyapılara erişim kayıtları gibi kritik veri ve sistem üzerinde tutulan kayıtların muhafaza ediliyor olması gerekir. Ancak bu şekilde başarılı inceleme gerçekleştirilebilir.