Kişisel Verilerin Korunması 09 Haziran 2012 ggfgdfgadfgadfg
1- Veri Koruma Kanununa Neden İhtiyaç Var. Sunum Planı 1- Veri Koruma Kanununa Neden İhtiyaç Var. 2- Kişisel Verileri Koruma Hukukunun Genel İlkeleri. 3- Eski Tasarı İle Yeni Tasarı Arasındaki Temel Farklar. 4- Tasarıyla Getirilen Düzenlemeler. ggfgdfgadfgadfg
1- Kanun Niçin Gereklidir? Kişisel veri, kişilerin isimleri, adresleri, telefon numaraları, hastalıkları, banka hesap numaraları, kredi kartları, şifreleri, mali kayıtları, aldığı cezalar, arkadaşları, akrabaları gibi bilgilerdir. Bu veriler bugün hayatın her alanında yaygın olarak kaydedilmekte, transfer edilmekte, paylaşılmaktadır (işleme). (Özellikle bilgisayar ve internet aracılığıyla). Verilerin işlenmesi gerek kamu ve gerekse özel sektör tarafından her gün yapılmaktadır. Veri işlemeyle ilgili kamu ve özel sektör için yeterli ve açık yasal düzenleme bulunmamaktadır. Yasal boşluk söz konusudur. ggfgdfgadfgadfg
1- Kanun Niçin Gereklidir? Bu verilerin kontrolsüz şekilde işlenmesi, bazı temel hakların ihlal edilmesine sebep olmaktadır. “Fişleme” denilen ve yasal dayanağı olmayan bazı veri arşivlerinin tutulduğu ve kullanıldığı dile getirilmektedir. Ülkemizde verilerin işlenmesi süreçlerini kontrol edecek ve denetleyecek özel bir kurum bulunmamaktadır. TCK’nda (135 vd) kişisel verilerin hukuka aykırı olarak işlenmesi suç sayılmış, ancak ne zaman hukuka aykırı, ne zaman hukuka uygun olduğuna dair düzenleme bulunmamaktadır. 2010 yılında Anayasa değişikliğiyle kişisel verilerin korunması temel bir hak olarak koruma altına alınmış ve detayların kanunla düzenleneceği belirtilmiştir. ggfgdfgadfgadfg
1- Kanun Niçin Gereklidir? AB müzakere fasıllarından 4’ü kişisel verilerle ilgilidir. Yargı ve temel haklar. Polis işbirliği. Bilgi Toplumu ve Medya. Tüketici ve Sağlığın Korunması. İlerleme Raporları, Katılım Ortaklığı Belgesi, 23. Fasıl Tarama Sonu Raporu gibi belgelerde bu konudaki eksiklik eleştirilmektedir. Europol ile operasyonel işbirliği anlaşması yapılamamaktadır. Mevcut işbirliği çerçevesinde bilgi belge değişimi elektronik iletim hattından yapılamamaktadır. ggfgdfgadfgadfg
1- Kanun Niçin Gereklidir? Schengen Bilgi Sistemi ve Sirene Ofisi tesisi için de bu Kanuna gerek bulunmaktadır. Bu sistem üzerinden çalıntı oto, pasaport, Avrupa tutuklama müzekkeresi, aranan şahıslar, istenmeyen yabancılar vb konularda önemli veriler paylaşılabilmektedir. Yine bazı ülkelerle polis ve adli konularda işbirliği anlaşması yapılamamaktadır. (Fransa - Belçika) Sağlık alanında tutulan kayıtların iyi korunamaması riski söz konusudur. Bu hal AİHM tarafından 8. maddenin ihlali olarak nitelendirilmektedir. ggfgdfgadfgadfg
1- Kanun Niçin Gereklidir? Dışişleri Bakanlığımızın yabancı ülkelerle askerlik, kimlik, vatandaşlık gibi konularda bilgi paylaşımında tereddütler ve sorunlar yaşanmaktadır. Yabancı ülkelerden bu nitelikli veriler alınamamaktadır. EUROJUST ile sınır aşan organize suçlar için operasyonel işbirliği yapılamamaktadır. Yargı alanında suçluların iadesi, bilgi, belge ve delil paylaşımı konularında sıkıntılar yaşanmaktadır. Yabancı sermayenin ülkemizde yatırım yapmasına engel olmaktadır. Mevzuatları ellerindeki verilerin Türkiye’deki iştirakine aktarılmasına izin vermemektedir. ggfgdfgadfgadfg
1- Kanun Niçin Gereklidir? İşadamlarımız yabancı ülkelerdeki ortaklarından veri alamamakta ve sorun yaşanmaktadır. Bazı ihalelere girmek için kişisel verilerin etkin şekilde korunması koşulu aranmaktadır. Ülkemiz veri güvenliği konusunda “güvenilmez ülke” olarak nitelendirilmektedir. Tüm bu sayılanlar bir an önce bu Kanunun yürürlüğe sokulmasını gerektirmektedir. ggfgdfgadfgadfg
2- Veri Koruma Hukukunun Temel İlkeleri Kişisel verilerin korunması hukukunun temel ilkeleri 95-46 sayılı AB direktifinde yer almıştır. 1- Korumanın Kapsamı: Koruma sadece gerçek kişiler içindir. Otomatik ya da otomatik olmayan yollarla gerçekleştirilen veri işlemeler korunur. Kamu güvenliği, ülke savunması, devlet güvenliği ve ceza hukuku alanındaki faaliyetler kapsam dışına alınabilir. Kişisel veya ailevi faaliyetler çerçevesinde yapılan işlemler kapsam dışındadır. ggfgdfgadfgadfg
2- Veri Koruma Hukukunun Temel İlkeleri 2- Verilerde Olması Gereken Nitelikler Amaca uygunluk. Verinin doğru, tam ve güncel olması. Amaç için elverişli, yeterli ve orantılı olması. Amaca ulaştıktan sonra verinin yok edilmesi vb. 3- Kişisel Verilerin İşlenme Koşulları Rıza Sözleşmenin kurulması ve ifası. Hukuki bir sorumluluğun yerine getirilmesi. Hayati çıkarlarının korunması vb. ggfgdfgadfgadfg
2- Veri Koruma Hukukunun Temel İlkeleri 4- Hassas Veriler Hassas veriler; ırksal ya da etnik köken, politik düşünce, dinsel veya felsefi kanaat, sendikaya aidiyet, sağlık, cinsel yaşamla ilgili bilgilerdir. Hassas veriler kural olarak işlenemez. Ancak bazı koşullar altında işlenmesi mümkündür. 5- Yabancı Ülkelere Veri Aktarımı Yabancı ülkede eşdeğer koruma bulunuyorsa yurtdışına aktarılabilir. ggfgdfgadfgadfg
2- Veri Koruma Hukukunun Temel İlkeleri Eşdeğer koruma olmayan hallerde, belirli koşullar altında istisnai olarak veri yurt dışına aktarılabilir. 6- İlgili Kişinin Aydınlatılması ve Diğer Hakları Hakkında veri işlenen kişinin, yapılan işlemler ve kendisine tanınan haklarla ilgili bilgilendirilmesi. İlgili kişinin verilere erişme, düzeltme, sildirme, engelleme, itiraz ve yasa yoluna başvurma hakkı. 7- Veri Güvenliğinin Sağlanması Verilerin kaybedilmesi, yetkisiz kişilerin ulaşması, verilerin tahrip edilmesi, değiştirilmesi veya alenileştirilmesi risklerine karşı önlem alınması. ggfgdfgadfgadfg
2- Veri Koruma Hukukunun Temel İlkeleri 9- Veri Koruma Kurulu Veri işlemeleri konusunda bir ulusal kontrol organı kurulması. Bu organın bağımsız karar alabilmesi. Bu organın yeterli maddi imkana, araç ve personele sahip olması. Bilgilere ulaşma, araştırma, inceleme, uyarma, engelleme, silme vb yetkilerinin olması. ggfgdfgadfgadfg
3- Tasarıda Yapılan Değişiklikler Tasarının sistematiği sadeleştirildi. Madde sayısı azaltıldı. Aynı konular aynı bölümlerde düzenlendi. Aynı konuyu düzenleyen maddeler birleştirildi. Bazı konular yönetmeliğe bırakıldı. Özü itibariyle 95/46 Direktifine daha uygun hale getirildi. Tüzel kişiler koruma kapsamından çıkarıldı. ggfgdfgadfgadfg
3- Tasarıda Yapılan Değişiklikler Yargısal işlemler Kanun kapsamından çıkartıldı. Türk hukuk terminolojisine uygun bir yazım yapılmaya çalışıldı. Diğer kanunlarda 2 yıl içinde gerekli değişikliklerin yapılması öngörüldü. Uzman desteği alındı. 95/46 değişikliği beklenmedi. ggfgdfgadfgadfg
4- Tasarıyla Getirilen Düzenlemeler Amaç: Kişinin temel hak ve özgürlüklerini korumak. Veri işleyenlerin uyacakları esasları düzenlemek. Kapsam: Sadece gerçek kişilerin kişisel verileri korunuyor. ggfgdfgadfgadfg
4- Tasarıyla Getirilen Düzenlemeler Veri İşlemede Genel İlkeler: Bu Kanunda ve diğer kanunlarda öngörülen hâllerde işlenebilme. Hukuka ve dürüstlük kurallarına uygunluk. Belirli, açık ve meşru amaç. Amaçla bağlantılı, sınırlı ve ölçülü olma. Doğru olma ve gerektiğinde güncellenme. Kişinin kimliğini belirtecek biçimde kaydedilme. Amaç için gerekli olan süre kadar saklama. ggfgdfgadfgadfg
4- Tasarıyla Getirilen Düzenlemeler Veri İşleme Koşulları: Kanunlarda açıkça öngörülen haller. İlgili kişinin açık rızası. Hayat veya beden bütünlüğünün korunması. Sözleşmenin kurulması ve ifası. Hukuki yükümlülüğün yerine getirebilmesi Alenileşmiş kişisel verilerin işlenmesi. ggfgdfgadfgadfg
4- Tasarıyla Getirilen Düzenlemeler Özel Nitelikli Veriler: Kişilerin ırk, etnik köken, siyasî düşünce, felsefî inanç, din, mezhep veya diğer inançları, dernek, vakıf veya sendika üyeliği, sağlık, cinsel hayat, her türlü cezaî mahkûmiyet ve güvenlik tedbiri ile ilgili veriler. Özel nitelikli verilerin islenmesi kural olarak yasaktır. ggfgdfgadfgadfg
4- Tasarıyla Getirilen Düzenlemeler Hassas veriler aşağıdaki koşullarda işlenebilir: İlgili kişinin açık rızası. Kar amacı gütmeyen kuruluşların, faaliyet alanlarıyla sınırlı olarak üyeleriyle ilgili veriler. İlgili kişi tarafından alenileştirilmiş bilgilier. Bir hakkın tesisi, kullanılması veya korunması. Sağlık, teşhis, tedavi sebebiyle işleme istisnadır. ggfgdfgadfgadfg
4- Tasarıyla Getirilen Düzenlemeler Silinmesi, yok edilmesi veya anonim hale getirilmesi: Kanun hükümlerine uygun olarak işlenmiş olmasına rağmen ihtiyaç duyulmayan kişisel veriler silinir veya anonim hale getirilir. Mevzuattan kaynaklanan zorunluluğun sona ermesi ya da sözleşmeden doğan edimlerin tam ifası halinde talep üzerine silinir veya anonimleştirilir. ggfgdfgadfgadfg
4- Tasarıyla Getirilen Düzenlemeler Üçüncü kişilere Aktarım: Üçüncü kişilere aktarımda da veri işleme koşulları aranır. Yabancı ülkede yeterli koruma bulunması halinde veriler aktarılabilir. Yeterli koruma olduğuna Kurul belirler. Yeterli bir koruma yoksa aşağıdaki hallerde veri yabancı ülkeye aktarılabilir. Açık rıza. Sözleşmenin kurulması veya ifası. Bir hakkın tesisi, icrası veya korunması. İlgili kişi tarafından alenileştirilmesi. ggfgdfgadfgadfg
4- Tasarıyla Getirilen Düzenlemeler İlgili kişinin hayatı veya beden bütünlüğünün korunması için aktarımın zorunlu olması. Veri sorumlularının taahhüt etmesi ve Kurulun izin vermesi halinde de veri aktarılabilir. Kurul izin verirken ve yeterli koruma olduğunu kabul ederken bazı kriterleri göz önünde bulundurur. Yabancı ülkelere veri aktarılmasına ilişkin diğer kanun hükümleri saklıdır. ggfgdfgadfgadfg
4- Tasarıyla Getirilen Düzenlemeler Aydınlatma Yükümlülüğü: Veri sorumlusu, ilgili kişiyi, işlenen verilerle ve haklarıyla ilgili bilgilendirmek zorundadır. İlgili Kişinin Hakları: Veri işlenip işlenmediğini öğrenme. Veriye erişim. Düzelttirme, sildirme, aktarımını engelleme. Otomatik karara konu edilmeme. Zararının tazmini isteme. ggfgdfgadfgadfg
4- Tasarıyla Getirilen Düzenlemeler Veri Güvenliğine İlişkin Yükümlülükler: Veri sorumlusu, verilerin kaybolmaması, aktarılması vb. konularda gerekli önlemleri almak zorundadır. Veri başka bir gerçek ya da tüzel kişi tarafından işleniyorsa müşterek yükümlülük esastır. Sır saklama yükümlülüğü. Gerekli denetimleri yapma ve yaptırma yükümlülüğü. Sızma halinde ilgilisine ve Kuruma bildirim yükümlülüğü. ggfgdfgadfgadfg
4- Tasarıyla Getirilen Düzenlemeler Veri Koruma Kurulu ggfgdfgadfgadfg
4- Tasarıyla Getirilen Düzenlemeler Kurulun görev ve yetkileri: Şikayetleri karara bağlamak. Veri sorumluları sicilini tutmak. İhbar veya şikayet üzerine ya da resen inceleme ve denetleme yapmak. İdari yaptırımlara karar vermek. İlgili mevzuat hakkında görüş bildirmek. ggfgdfgadfgadfg
4- Tasarıyla Getirilen Düzenlemeler Başvuru: İlgili kişi taleplerini veri sorumlusuna iletir. Veri sorumlusu gereğini yerine getirir ya da red eder. Şikayet: Başvurunun reddi, cevap verilmemesi veya cevabın yetersiz olması hallerinde 30 gün içinde Kurula şikayet. 3 ay içinde inceleme. 1 defa uzatma. Başvuru yolu tüketilmeden şikayet yoluna gidilemez. Kurul kararlarına karşı yargı yolu açıktır. Zararın tazmin yolu her zaman mümkün. ggfgdfgadfgadfg
4- Tasarıyla Getirilen Düzenlemeler Kurul Kararları: Kurul kararları derhal yerine getirilir. Bilgi belge isteyebilir. Verilmesi zorunludur. Devlet sırrı niteliğindeki bilgi ve belgeler verilmez. Yaygın aykırılıklarda ilke kararı - herkesçe uygulanma. Telafisi güç ve imkansız zarar doğması ve açıkça hukuka aykırılık halinde tedbir alma. ggfgdfgadfgadfg
4- Tasarıyla Getirilen Düzenlemeler Veri sorumluları sicili Suçlar ve kabahatler Kanunun uygulaması bakımından tam istisnalar Kanunun uygulaması bakımından kısmi istisnalar Kanunun uygulaması bakımından tam istisnalar: Kişisel ve ailevi veri işleme. Anonim hale getirilen verilerin araştırma, planlama, istatistik gibi amaçlarla işlenmesi. Bazı koşullar altında basın özgürlüğü çerçevesinde işlenmesi. 2559-2803 ve 2937 sayılı kanunların istihbarata yönelik hükümleri çerçevesinde işlenmesi. Yargı mercileri tarafından yargısal faaliyet çerçevesinde işlenmesi. Kanunun uygulaması bakımından kısmi istisnalar: Suç işlenmesinin önlenmesi. Disiplin soruşturması veya kovuşturması. Bütçe, vergi ve mâli konulara ilişkin olarak Devletin ekonomik veya mâli çıkarlarının korunması. Bu konularda, görevli ve yetkili mercilerin izleme, denetleme veya düzenleme görevlerinin yürütülmesi için gerekli olması hallerinde bu Kanunun bazı maddeleri uygulanmaz. ggfgdfgadfgadfg
Saygılarımızla… ggfgdfgadfgadfg