Kişisel Verilerin Korunması Kanunu
Kişisel Verileri Koruma Kurumu, 6698 sayılı Kişisel Verilerin Korunması Kanununun web sitesinde uygulanmasına ilişkin iki kılavuz yayımlamıştır:
• Kişisel Verilerin Korunması Kanunu Uygulama Rehberi; ve
• Kişisel Verilerin Korunması Kanunu Hakkında Sıkça Sorulan Sorular (SSS) Belgesi.
Buradaki işbu kılavuz ilkeler, mevzuatın bir parçası yahut yasal olarak bağlayıcı nitelikte olmamakla beraber, veri koruma kanunları uyarınca düzenlenen veri koruma kavramlarının ve prosedürlerinin uygulanması hakkında hükümler içerir. Bu nedenle, Kişisel Verileri Koruma Kurumunun veri korumaya ilişkin yükümlülükler konusundaki bakış açısını anlamak için, kılavuzların analiz edilmesi önemlidir.
Kişisel Verilerin Korunması Kanunu, Türk mevzuatında bu alanda yapılan ilk çalışmadır. Ayrıca, kişisel verilerin korunmasına ilişkin genel prensip ve prosedürleri özel olarak düzenler. Dolayısıyla belirli örnekler içermez, genel hükümleri düzenler. Uygulamada önemli olan veri koruma kavramları, veri koruma uygulayıcıları için belirsizdir ve Kişisel Verilerin Korunması Kanunu’nda yer alan hükümlerde gri alanlar, yeni sunulan kişisel verilerin koruma kurallarının açık bir şekilde anlaşılmasını engellemektedir. Bu yeni düzenleme, kişisel verilerin korunması hükümlerinin daha belirsiz alanlarına ve kılavuz ilkelerin sunduğu açıklamalara odaklanmaktadır.
Veri koruma yasasının bölgesel uygulanabilirliği
Bölgesellik ilkesi olarak kabul edildiğinde, Türkiye’de ikamet eden gerçek ve tüzel kişilere işbu hükümler uygulanmalıdır. Bu ilke kapsamında, veri koruma yasası Türkiye dışında bulunan şirketler için geçerli olmamalıdır. Ancak kurallar açıkça, eğer bir şirket Türkiye’de bir faaliyette bulunuyorsa veri koruma yasasının Türkiye dışındaki veri denetleyicileri için de geçerli olduğunu belirtmektedir.
Açık rıza
Kişisel Verilerin korunması Kanunu uyarınca; genel bir kural olarak, veri konusunun açık rızası, kişisel verilerin işlenmesi için gereklidir. Kılavuzlar, açıkça bir şekilde verilen rızanın genel bir kapsamı olmaması gerektiğini ve bunun kişisel verilerin işlenmesinin özel amacına odaklanması gerektiğini ifade ettiğini belirtir. Sıkça Sorulan Sorular Belgesi, açıkça rızanın, serbest bir iradeye dayanması gerektiği için veri konusuna mal veya hizmet sağlamak için bir ön koşul olmaması gerektiğini belirtir.
Veri denetleyici, yönergeleri kişisel verilerin korunmasıyla ilgili konuları yönetmek ve denetlemek için bir veri denetleyicisi olarak gerçek bir kişi atayabilir. Bu gibi durumlarda, veri denetleyicisi de halen bir şirket olacaktır. Bu nedenle, veri denetleyicisinin kimliği ve sorumlulukları yetkili kişi olarak atanmış kişilere devredilemez.
Kişisel verilerin açık rıza olmadan işlenmesi
En çok tartışılan kavramlardan biri de veri denetleyicisinin meşru faydasının, veri konusunun temel haklarının ihlal edilmemesi koşuluyla, açıkça rıza gerekliliğini ortadan kaldırıp azaltmadığıdır. Bazı durumlarda, meşru fayda boşluğunun kullanılması, bir şirketin iş akışını kolaylaştırabilir, çünkü açık bir şekilde kişisel verileri işlemesi gerekmeyecektir. Bununla birlikte, veri kontrolörleri, veri koruma hükümlerinin ruhuna aykırı olan veri konularının kişinin özgür iradesinden kaçınmak için kullanabileceğinden, bu kavramın çok geniş bir şekilde yorumlanmaması şartıyla, AB Veri Koruma Direktifi (95/46 / EC) referans alınarak yasal bir ticari çıkar olarak yorumlanabilir.
Bir ‘meşru çıkar ile ‘veri konusunun temel hakları’ arasındaki fark konusunda rehberlik sağladıkları gibi, kılavuzun çalışma tarafının meşru çıkar hakkındaki görüşünün 29. maddesine uygun olduğu da açıktır. Sonuç olarak, meşru çıkar tanımlanmasına rağmen belirsizliğini koruyor, ancak pratikte AB mevzuatlarına uyacak gibi görünüyor. Son olarak, kurallar ayrıca meşru bir çıkarın açık onay gerekliliğinden kaçınmak için veri denetleyicileri için son çare olmadığını belirtir.
Kişisel verilerin üçüncü taraflara aktarılması
Uygulama Rehberi’nin 8. maddesi, Türkiye’deki kişisel verilerin üçüncü şahıslara aktarılmasıyla ilgili genel prensipleri ortaya koymaktadır. Uygulama Rehberi, bir şirket grubu için istisna oluşturmaz ve bu kavram AB uygulamasından farklıdır. Buna göre, kişisel veriler, veri konusunun açık rızası olmadan aktarılamaz. Ayrıca, Kişisel Verileri Koruma Kurumu’nun temel ilkeleri, kişisel verilerin şirket grupları arasında transferinin üçüncü bir tarafa transfer olarak değerlendirileceğini belirtmektedir.
Departmanlar, birimler ve tek bir veri denetleyicisinin şubeleri arasındaki transferler, iş bu ilkeler kapsamında üçüncü bir tarafa transfer sayılmaz. Son olarak, bu kurallar bazı veri koruma yasalarının daha belirsiz noktalarının nasıl yorumlanacağına ışık tutsa bile, bu hükümlerin nasıl uygulanacağını ve uygulanmasının ne kadar külfetli olabileceğini netleştirmemektedir. İkincil mevzuatların yürürlüğe girmesi ve Kişisel Verileri Koruma Kurumu’nun veri koruma kuralları konusundaki erkini kullanması üzerine süreç daha net olacaktır.