Transcript Kişisel Verilerin Korunması

Kişisel Verilerin Korunması
09 Haziran 2012
1
Sunum Planı
1- Veri Koruma Kanununa Neden İhtiyaç Var.
2- Kişisel Verileri Koruma Hukukunun Genel İlkeleri.
3- Eski Tasarı İle Yeni Tasarı Arasındaki Temel Farklar.
4- Tasarıyla Getirilen Düzenlemeler.
2
1- Kanun Niçin Gereklidir?
 Kişisel veri, kişilerin isimleri, adresleri, telefon
numaraları, hastalıkları, banka hesap numaraları, kredi
kartları, şifreleri, mali kayıtları, aldığı cezalar,
arkadaşları, akrabaları gibi bilgilerdir.
 Bu veriler bugün hayatın her alanında yaygın olarak
kaydedilmekte, transfer edilmekte, paylaşılmaktadır
(işleme). (Özellikle bilgisayar ve internet aracılığıyla).
 Verilerin işlenmesi gerek kamu ve gerekse özel sektör
tarafından her gün yapılmaktadır.
 Veri işlemeyle ilgili kamu ve özel sektör için yeterli ve
açık yasal düzenleme bulunmamaktadır. Yasal boşluk
söz konusudur.
3
1- Kanun Niçin Gereklidir?
 Bu verilerin kontrolsüz şekilde işlenmesi, bazı temel
hakların ihlal edilmesine sebep olmaktadır.
 “Fişleme” denilen ve yasal dayanağı olmayan bazı veri
arşivlerinin tutulduğu ve kullanıldığı dile getirilmektedir.
 Ülkemizde verilerin işlenmesi süreçlerini kontrol edecek
ve denetleyecek özel bir kurum bulunmamaktadır.
 TCK’nda (135 vd) kişisel verilerin hukuka aykırı olarak
işlenmesi suç sayılmış, ancak ne zaman hukuka aykırı,
ne zaman hukuka uygun olduğuna dair düzenleme
bulunmamaktadır.
 2010 yılında Anayasa değişikliğiyle kişisel verilerin
korunması temel bir hak olarak koruma altına alınmış ve
detayların kanunla düzenleneceği belirtilmiştir.
4
1- Kanun Niçin Gereklidir?
 AB müzakere fasıllarından 4’ü kişisel verilerle ilgilidir.
 Yargı ve temel haklar.
 Polis işbirliği.
 Bilgi Toplumu ve Medya.
 Tüketici ve Sağlığın Korunması.
 İlerleme Raporları, Katılım Ortaklığı Belgesi, 23. Fasıl
Tarama Sonu Raporu gibi belgelerde bu konudaki
eksiklik eleştirilmektedir.
 Europol
ile
operasyonel
yapılamamaktadır.
işbirliği
anlaşması
 Mevcut işbirliği çerçevesinde bilgi belge değişimi
elektronik iletim hattından yapılamamaktadır.
5
1- Kanun Niçin Gereklidir?
 Schengen Bilgi Sistemi ve Sirene Ofisi tesisi için de bu
Kanuna gerek bulunmaktadır.
 Bu sistem üzerinden çalıntı oto, pasaport, Avrupa
tutuklama müzekkeresi, aranan şahıslar, istenmeyen
yabancılar
vb
konularda
önemli
veriler
paylaşılabilmektedir.
 Yine bazı ülkelerle polis ve adli konularda işbirliği
anlaşması yapılamamaktadır. (Fransa - Belçika)
 Sağlık alanında tutulan kayıtların iyi korunamaması riski
söz konusudur. Bu hal AİHM tarafından 8. maddenin
ihlali olarak nitelendirilmektedir.
6
1- Kanun Niçin Gereklidir?
 Dışişleri Bakanlığımızın yabancı ülkelerle askerlik,
kimlik, vatandaşlık gibi konularda bilgi paylaşımında
tereddütler ve sorunlar yaşanmaktadır. Yabancı
ülkelerden bu nitelikli veriler alınamamaktadır.
 EUROJUST ile sınır aşan organize
operasyonel işbirliği yapılamamaktadır.
suçlar
için
 Yargı alanında suçluların iadesi, bilgi, belge ve delil
paylaşımı konularında sıkıntılar yaşanmaktadır.
 Yabancı sermayenin ülkemizde yatırım yapmasına engel
olmaktadır. Mevzuatları ellerindeki verilerin Türkiye’deki
iştirakine aktarılmasına izin vermemektedir.
7
1- Kanun Niçin Gereklidir?
 İşadamlarımız yabancı ülkelerdeki ortaklarından veri
alamamakta ve sorun yaşanmaktadır.
 Bazı ihalelere girmek için kişisel verilerin etkin şekilde
korunması koşulu aranmaktadır.
 Ülkemiz veri güvenliği konusunda “güvenilmez ülke”
olarak nitelendirilmektedir.
 Tüm bu sayılanlar bir an önce bu Kanunun yürürlüğe
sokulmasını gerektirmektedir.
8
2- Veri Koruma Hukukunun Temel İlkeleri
 Kişisel verilerin korunması hukukunun temel ilkeleri 9546 sayılı AB direktifinde yer almıştır.
 1- Korumanın Kapsamı:
 Koruma sadece gerçek kişiler içindir.
 Otomatik ya da otomatik olmayan
gerçekleştirilen veri işlemeler korunur.
yollarla
 Kamu güvenliği, ülke savunması, devlet güvenliği ve
ceza hukuku alanındaki faaliyetler kapsam dışına
alınabilir.
 Kişisel veya ailevi faaliyetler çerçevesinde yapılan
işlemler kapsam dışındadır.
9
2- Veri Koruma Hukukunun Temel İlkeleri
 2- Verilerde Olması Gereken Nitelikler
 Amaca uygunluk.
 Verinin doğru, tam ve güncel olması.
 Amaç için elverişli, yeterli ve orantılı olması.
 Amaca ulaştıktan sonra verinin yok edilmesi vb.
 3- Kişisel Verilerin İşlenme Koşulları
 Rıza
 Sözleşmenin kurulması ve ifası.
 Hukuki bir sorumluluğun yerine getirilmesi.
 Hayati çıkarlarının korunması vb.
10
2- Veri Koruma Hukukunun Temel İlkeleri
4- Hassas Veriler
 Hassas veriler; ırksal ya da etnik köken, politik
düşünce, dinsel veya felsefi kanaat, sendikaya
aidiyet, sağlık, cinsel yaşamla ilgili bilgilerdir.
 Hassas veriler kural olarak işlenemez. Ancak bazı
koşullar altında işlenmesi mümkündür.
5- Yabancı Ülkelere Veri Aktarımı
 Yabancı ülkede eşdeğer
yurtdışına aktarılabilir.
koruma
bulunuyorsa
11
2- Veri Koruma Hukukunun Temel İlkeleri
 Eşdeğer koruma olmayan hallerde, belirli koşullar
altında istisnai olarak veri yurt dışına aktarılabilir.
6- İlgili Kişinin Aydınlatılması ve Diğer Hakları
 Hakkında veri işlenen kişinin, yapılan işlemler ve
kendisine tanınan haklarla ilgili bilgilendirilmesi.
 İlgili kişinin verilere erişme, düzeltme, sildirme,
engelleme, itiraz ve yasa yoluna başvurma hakkı.
7- Veri Güvenliğinin Sağlanması
 Verilerin kaybedilmesi, yetkisiz kişilerin ulaşması,
verilerin tahrip edilmesi, değiştirilmesi veya
alenileştirilmesi risklerine karşı önlem alınması.
12
2- Veri Koruma Hukukunun Temel İlkeleri
9- Veri Koruma Kurulu
 Veri işlemeleri konusunda bir ulusal kontrol organı
kurulması.
 Bu organın bağımsız karar alabilmesi.
 Bu organın yeterli maddi imkana, araç ve personele
sahip olması.
 Bilgilere ulaşma, araştırma, inceleme,
engelleme, silme vb yetkilerinin olması.
uyarma,
13
3- Tasarıda Yapılan Değişiklikler
 Tasarının sistematiği sadeleştirildi.
 Madde sayısı azaltıldı.
 Aynı konular aynı bölümlerde düzenlendi.
 Aynı konuyu düzenleyen maddeler birleştirildi.
 Bazı konular yönetmeliğe bırakıldı.
 Özü itibariyle 95/46 Direktifine daha uygun hale getirildi.
 Tüzel kişiler koruma kapsamından çıkarıldı.
14
3- Tasarıda Yapılan Değişiklikler
 Yargısal işlemler Kanun kapsamından çıkartıldı.
 Türk hukuk terminolojisine uygun bir yazım yapılmaya
çalışıldı.
 Diğer kanunlarda 2 yıl içinde gerekli değişikliklerin
yapılması öngörüldü.
 Uzman desteği alındı.
 95/46 değişikliği beklenmedi.
15
4- Tasarıyla Getirilen Düzenlemeler
Amaç:
 Kişinin temel hak ve özgürlüklerini korumak.
 Veri işleyenlerin uyacakları esasları düzenlemek.
Kapsam:
 Sadece gerçek kişilerin kişisel verileri korunuyor.
16
4- Tasarıyla Getirilen Düzenlemeler
Veri İşlemede Genel İlkeler:
 Bu Kanunda ve diğer kanunlarda öngörülen hâllerde
işlenebilme.
 Hukuka ve dürüstlük kurallarına uygunluk.
 Belirli, açık ve meşru amaç.
 Amaçla bağlantılı, sınırlı ve ölçülü olma.
 Doğru olma ve gerektiğinde güncellenme.
 Kişinin kimliğini belirtecek biçimde kaydedilme.
 Amaç için gerekli olan süre kadar saklama.
17
4- Tasarıyla Getirilen Düzenlemeler
Veri İşleme Koşulları:
 Kanunlarda açıkça öngörülen haller.
 İlgili kişinin açık rızası.
 Hayat veya beden bütünlüğünün korunması.
 Sözleşmenin kurulması ve ifası.
 Hukuki yükümlülüğün yerine getirebilmesi
 Alenileşmiş kişisel verilerin işlenmesi.
18
4- Tasarıyla Getirilen Düzenlemeler
Özel Nitelikli Veriler:
 Kişilerin ırk, etnik köken, siyasî düşünce, felsefî inanç,
din, mezhep veya diğer inançları, dernek, vakıf veya
sendika üyeliği, sağlık, cinsel hayat, her türlü cezaî
mahkûmiyet ve güvenlik tedbiri ile ilgili veriler.
 Özel nitelikli verilerin islenmesi kural olarak yasaktır.
19
4- Tasarıyla Getirilen Düzenlemeler
Hassas veriler aşağıdaki koşullarda işlenebilir:
 İlgili kişinin açık rızası.
 Kar amacı gütmeyen kuruluşların, faaliyet alanlarıyla
sınırlı olarak üyeleriyle ilgili veriler.
 İlgili kişi tarafından alenileştirilmiş bilgilier.
 Bir hakkın tesisi, kullanılması veya korunması.
 Sağlık, teşhis, tedavi sebebiyle işleme istisnadır.
20
4- Tasarıyla Getirilen Düzenlemeler
Silinmesi, yok edilmesi veya anonim hale getirilmesi:
 Kanun hükümlerine uygun olarak işlenmiş olmasına
rağmen ihtiyaç duyulmayan kişisel veriler silinir veya
anonim hale getirilir.
 Mevzuattan kaynaklanan zorunluluğun sona ermesi ya
da sözleşmeden doğan edimlerin tam ifası halinde talep
üzerine silinir veya anonimleştirilir.
21
4- Tasarıyla Getirilen Düzenlemeler
Üçüncü kişilere Aktarım:
 Üçüncü kişilere aktarımda da veri işleme koşulları
aranır.
 Yabancı ülkede yeterli koruma bulunması halinde veriler
aktarılabilir. Yeterli koruma olduğuna Kurul belirler.
 Yeterli bir koruma yoksa aşağıdaki hallerde veri yabancı
ülkeye aktarılabilir.
 Açık rıza.
 Sözleşmenin kurulması veya ifası.
 Bir hakkın tesisi, icrası veya korunması.
 İlgili kişi tarafından alenileştirilmesi.
22
4- Tasarıyla Getirilen Düzenlemeler
 İlgili kişinin hayatı veya beden bütünlüğünün
korunması için aktarımın zorunlu olması.
 Veri sorumlularının taahhüt etmesi ve Kurulun izin
vermesi halinde de veri aktarılabilir.
 Kurul izin verirken ve yeterli koruma olduğunu kabul
ederken bazı kriterleri göz önünde bulundurur.
 Yabancı ülkelere veri aktarılmasına ilişkin diğer kanun
hükümleri saklıdır.
23
4- Tasarıyla Getirilen Düzenlemeler
Aydınlatma Yükümlülüğü:
 Veri sorumlusu, ilgili kişiyi, işlenen verilerle ve
haklarıyla ilgili bilgilendirmek zorundadır.
İlgili Kişinin Hakları:
 Veri işlenip işlenmediğini öğrenme.
 Veriye erişim.
 Düzelttirme, sildirme, aktarımını engelleme.
 Otomatik karara konu edilmeme.
 Zararının tazmini isteme.
24
4- Tasarıyla Getirilen Düzenlemeler
Veri Güvenliğine İlişkin Yükümlülükler:
 Veri sorumlusu, verilerin kaybolmaması, aktarılması vb.
konularda gerekli önlemleri almak zorundadır.
 Veri başka bir gerçek ya da tüzel kişi tarafından
işleniyorsa müşterek yükümlülük esastır.
 Sır saklama yükümlülüğü.
 Gerekli denetimleri yapma ve yaptırma yükümlülüğü.
 Sızma
halinde
yükümlülüğü.
ilgilisine
ve
Kuruma
bildirim
25
4- Tasarıyla Getirilen Düzenlemeler
Veri Koruma Kurulu
26
4- Tasarıyla Getirilen Düzenlemeler
Kurulun görev ve yetkileri:
 Şikayetleri karara bağlamak.
 Veri sorumluları sicilini tutmak.
 İhbar veya şikayet üzerine ya da resen inceleme ve
denetleme yapmak.
 İdari yaptırımlara karar vermek.
 İlgili mevzuat hakkında görüş bildirmek.
27
4- Tasarıyla Getirilen Düzenlemeler
Başvuru:
 İlgili kişi taleplerini veri sorumlusuna iletir.
 Veri sorumlusu gereğini yerine getirir ya da red eder.
Şikayet:
 Başvurunun reddi, cevap verilmemesi veya cevabın
yetersiz olması hallerinde 30 gün içinde Kurula şikayet.
 3 ay içinde inceleme. 1 defa uzatma.
 Başvuru yolu tüketilmeden şikayet yoluna gidilemez.
 Kurul kararlarına karşı yargı yolu açıktır.
 Zararın tazmin yolu her zaman mümkün.
28
4- Tasarıyla Getirilen Düzenlemeler
Kurul Kararları:
 Kurul kararları derhal yerine getirilir.
 Bilgi belge isteyebilir. Verilmesi zorunludur. Devlet sırrı
niteliğindeki bilgi ve belgeler verilmez.
 Yaygın aykırılıklarda ilke kararı - herkesçe uygulanma.
 Telafisi güç ve imkansız zarar doğması ve açıkça hukuka
aykırılık halinde tedbir alma.
29
4- Tasarıyla Getirilen Düzenlemeler
Veri sorumluları sicili
Suçlar ve kabahatler
Kanunun uygulaması bakımından tam istisnalar
Kanunun uygulaması bakımından kısmi istisnalar
30
Saygılarımızla…
31