Page 6 - VG Mayıs
P. 6
Vergide Gündem
Ceylan Necipoğlu
Avrupa Birliği Genel Veri Koruma Yönergesi
ve Türkiye’de Kişisel Verilerin Korunması
Kanunu karşılaştırması
1. Giriş
Kişisel verilerin korunması ile bireylerin verileri üzerinde daha iyi kontrol sağlaması ve
Avrupa Birliği genelinde yüksek düzeyde veri koruması oluşturmayı amaçlayan Avrupa
Birliği (‘AB’) Genel Veri Koruma Yönetmeliği (General Data Protection Regulation-
GDPR) uzun süren çalışmalar sonucunda ve 95/46/EC sayılı AB Veri Koruma Direktifini
yürürlükten kaldırarak Avrupa Parlamentosu tarafından kabul edilmiştir. 1995 yılında
yayınlanan eski çerçeve 95/46/EC sayılı Yönerge, internet henüz emeklemeye
başladığında yürürlüğe konulmuş iken getirilen yeni regülasyon; sosyal medya,
internet bankacılığı, global transferler ve akıllı telefonların dijitalleştirdiği yeni dünyada
vatandaşların kendi verileri üzerinde kontrolünü artırıyor. Bu regülasyon sonrasında
Avrupalı vatandaşların verilerini işleyen firmaların yeni düzenlemedeki kurallar
çerçevesinde hazırlıklara başlaması gerekmekte olup kişisel veri kanunu olan ülkeler
kanunlarını 2 yıl içinde yeni düzenlemeye uydurmalı, ilgili kanunları olmayanlar ise bu
düzenlemeye uygun bir kanun çıkarmalıdırlar.
2. 6698 sayılı Kişisel Verilerin Korunması Kanunu
Kişisel verilerin korunması, gerçek kişilere ait olan ve onların belirlenebilir olmasını
sağlayan kişiye özgü ve özel bilgilerin hukuki anlamda koruma altına alınmasını ifade
eder. Kişisel veri ise kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi
olup, kişinin “adı, soyadı, doğum tarihi ve doğum yeri, telefon numarası, motorlu taşıt
plakası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, IP
adresi, e-posta adresi, hobiler, tercihler, etkileşimde bulunulan kişiler, grup üyelikleri,
aile bilgileri, sağlık bilgileri” gibi kişiyi doğrudan veya dolaylı olarak belirlenebilir kılan
tüm veriler kişisel veri olarak kabul edilmektedir.
Kişisel verilerin işlenmesi
Kişisel verilerin işlenmesi, kişisel verilerin tamamen veya kısmen otomatik olan ya
da olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi,
değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde
edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler
üzerinde gerçekleştirilen her türlü işlem olup bu işlemlerin gerçekleştirilebilmesi için
uyulması gereken temel ilkeler Kanun’da gösterilmiştir. Kanun’a göre, sayılan temel
ilkelere uygun olmak şartıyla kişisel veriler kural olarak ancak ilgili kişinin açık rızası
olması koşuluyla işlenebilecektir. Bununla birlikte Kanun’da sayılan istisnalardan birinin
varlığı halinde açık rıza olmaksızın da kişisel verilerin işlenmesi mümkün olabilecektir.
Veri sorumlusu ve veri işleyen
Kanun’da veri sorumlusu ve veri işleyen olarak birbirinden ayrı kavramlara yer
verilmiştir. Veri sorumlusu veri kayıt sisteminin bir birim, kurum ya da temsilci
bünyesinde kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi
olarak tanımlanırken veri işleyen, veri sorumlusunun verdiği yetkiye dayanarak onun
adına kişisel verileri işleyen gerçek veya tüzel kişi olarak tanımlanmıştır.
6 Mayıs 2017