6698 sayılı Kişisel Verilerin Korunması Kanunu, 10 yılı aşkın bir süre tasarı olarak yasalaşmayı bekledikten sonra, 7 Nisan’da Resmî Gazete’de yayımlanarak yürürlüğe girdi. Kanun’un birçok maddesi yayınlandığı tarihte yürürlüğe girerken, bazı maddeleri yayımından 6 ay sonra, yani 7 Ekim 2016 tarihinde yürürlüğe girecek.
Kamuoyunda gerek tasarı sürecinde ve gerekse yayınlandıktan sonra çokça tartışılan ve çıkış noktası, kişinin kimliğinin belirlenmesine ilişkin her türlü bilgi olarak tanımlanan kişisel verilerin korunması olan Kanun kapsamında, gerçek ve tüzel kişilere çeşitli yaptırımlar öngörülüyor. Hali hazırda yürürlükte olan maddeler ile başta kişisel verilerin işlenmesi, silinmesi, yok edilmesi ve anonim hale getirilmesi, veri sorumlusunun ilgili kişileri aydınlatma yükümlülüğü gibi birçok sorumluluk düzenlenerek bu düzenleme yürürlüğe girmişti. 7 Ekim’den itibaren ise veri sorumlularının kişisel verileri işlenen gerçek kişilerin hakları kapsamındaki düzenlemelere, kişisel verilerin yurtiçinde ve yurtdışına aktarılmasına, veri sorumluları siciline kayda ile Kanun’a aykırılık halinde uygulanacak yaptırımlara ilişkin hükümlerin yürürlüğe girmesi öngörülüyor.
7 Ekim itibarı ile yürürlüğe girecek hükümlerden en önemlileri, kişisel verileri işlenen kişilerin haklarına ilişkin hükümler. Bu hükümler kapsamında, kişisel verileri işlenen, Kanun’daki tanımı ile “ilgili kişiler”, veri sorumlusu olan gerçek ve tüzel kişilere başvuruda bulunarak kişisel verilerin işlenip işlenmediğini ve verilerin amacına uygun kullanılıp kullanılmadığını, veriler üçüncü kişilere aktarılmış ise verilerin aktarıldığı kişileri öğrenebilecek, veriler işlenmiş ise buna ilişkin bilgi talep edebilecek ve bunun yanında, verileri işlenen kişiler bakımından belki de önemlisi, kişisel verilerin silinmesini veya yok edilmesini talep edebilecekler. İlgili kişiler ek olarak, kişisel verilerinin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde veri sorumlularından zararlarını da talep edebilecekler. Kanun kapsamında ilgili kişiler, taleplerini veri sorumlusuna yazılı olarak iletmekle ve veri sorumlusu ise bu talepleri 30 gün içinde cevaplamakla yükümlü kılınmıştır. Öte yandan ilgili kişilerin, veri sorumlusunu Kanun’da belirtilen şartların gerçekleşmesi halinde Kişisel Verileri Koruma Kurulu’na şikayet de edebilecekleri de öngörülmüştür.
Veri sorumluların durumu
Bu noktada, Kanun’la belirlenen birçok görevinin yanında, gerek ilgili kişiler tarafından yapılacak şikâyetleri karara bağlamak ve gerekse veri sorumluları sicilinin tutulmasına ilişkin yetki ve görevler Kişisel Verileri Koruma Kurulu’na verilmiştir. Kanun kapsamında kurulması öngörülen Kişisel Verileri Koruma Kurumu’nun 7 Ekim itibarı ile çalışmaya başlaması planlanmışsa da, güncel durumda gerek Kurum ve gerekse Kurul henüz aktif olarak çalışmaya başlamadı. Bununla birlikte, Kanun’un yürürlük maddesinde herhangi bir değişiklik yapılmamış olması sebebiyle ilgili maddeler yürürlüğe her halükârda girecektir. Bu sebeple, Kanun kapsamında veri sorumlusu olan gerçek ve tüzel kişilerin Kanun’a uygunluk çalışması yapmasının yanında, kişisel verileri işlenen kişilerin başvurabilecekleri mekanizmaları kurmaları ve işletmeye başlamaları da gerekmektedir. Bu noktada, Kurum ve Kurul henüz aktif olarak çalışmaya başlamadığından Kanun’da öngörülen yaptırımların ne şekilde işletileceği, daha da önemlisi kişisel verilerin yurtdışına aktarılması noktasında Kurul’dan alınacak izin ile veri sorumluları siciline yaptırılacak kayıtların ne şekilde yaptırılacağı henüz kesin olarak belirlenmemiştir.
Av. Nihan Güneli
Yorumlar