7 Nisan 2016 tarihinde, kişisel verilerin korunmasına ilişkin özel kanun olarak Türkiye’de 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) yürürlüğe girmiştir.
Kanun, Türkiye’deki mevzuatı AB mevzuatı ile uyumlaştırmaya yönelik atılmış bir adım olup, verilerin korunmasına ilişkin 95/46/EC sayılı Direktif (“Veri Koruma Direktifi”) esas alınarak hazırlanmıştır. Kanun, Veri Koruma Direktifi’ne büyük ölçüde benzerlik göstermekle birlikte, Kanun hazırlığında Genel Veri Koruma Tüzüğü’nün (“GDPR”) bazı kuralları da dikkate alınmıştır. Kanun’un uygulaması ve lafzı bakımından GDPR’dan ayrılan bazı temel konular bulunduğu söylenebilir ve bu farklılıkların gözetilmesi özellikle Türkiye’de faaliyette bulunan yabancı şirketler için önemlidir.
Kişisel Verilerin Korunması Kanunu’nun Uygulanması
Kanun hükümleri, kişisel verileri işleyen ve aktaran veri sorumlularına uygulanmaktadır. Veri sorumlularının söz konusu süreçler için üçüncü taraf veri işleyenlerin hizmetlerinden faydalanmaları halinde, Kanun bu tarafları, kişisel verilerin korunmasını temin etmek ve kanuna aykırı her türlü erişim veya işleme faaliyetini engellemek üzere öngörülen teknik ve idarî tedbirlerin tamamının alınması konusunda müştereken sorumlu tutmaktadır.
Kanun, bölge bakımından uygulama kapsamını düzenlememiştir. Bununla birlikte, GDPR’da kabul edilen yaklaşımın benimsendiği söylenebilir ve buna göre Kanun, uyruğuna bakılmaksızın, Türkiye’de ikamet etmemelerine rağmen Türkiye’deki veri sahiplerini hedef alan veri sorumlularının (Türkiye’de yerleşik veya Türkiye’ye mal ve hizmet sunan) yanı sıra Türkiye’de yerleşik veri sorumluları bakımından uygulama alanı bulacaktır. Kanun’un yurt dışında ikamet eden ve Türkiye’deki veri sahiplerini hedeflemeyen ancak rastlantı sonucu Türkiye’deki kişilere mallar/hizmetler sağlayabilen (pasif olarak) kişilere uygulanmasının amaçlanmadığı söylenmektedir.
Kanun’un uygulama kapsamı dışında kalan haller aşağıdaki gibidir:
- Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla, gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi;
- Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi;
- Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi;
- Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi veya
- Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.
Büro olarak, Türkiye’de kuruluşları bulunsun veya bulunmasın, Türkiye’de faaliyetler yürüten global ve yerel şirketlere Kanun’a uyum konusunda hukuki destek sağlamakta, faaliyetlerini değerlendirmekte ve Kanun uyarınca izlemeleri gereken prosedürler konusunda tavsiyelerde bulunmaktayız.