whatsapp

HIZLI MENU

KİŞİSEL VERİLERİN KO­RUN­MA­SI KA­NU­NU

Günümüzde yaşadığımız her an her dakika farkında olmadan kişisel veri üretiyoruz. Ve bu kişisel verileri çeşitli sosyal mecralarda ve internet alışverişleri sırasında hiç farkın bile varmadan yayıyoruz. Söz konusu kişisel veriler, sosyal medya hesapları bize ait dahi olsa yahut alışveriş yaptığımız siteler yüksek güvenlikli olsa bile çeşitli kötü amaçlı yazılımlar ve siteler tarafından ele geçirilme tehlikesi altındadır. Nitekim yakın zamanda sosyal medya üzerinden başlatılan 20'li yaşlar akımında insanların fotoğraf paylaşımı şeklinde kişisel verilerini paylaşması sağlanmıştır. Söz konusu paylaşım ile binlerce kişiye ait kişinin görüntüsü olan kişisel verisi kişinin rızası olmaksızın depolanmıştır. Bir diğer örnek son zamanlarda sık sık duyduğumuz işletmelerin siber saldırıya uğradığı ve bu saldırılar sonucunda müşterilere ait kişisel verilerin çalındığı şeklindedir. Bu konuda da gün geçmiyor ki yeni bir şirketin, işletmenin depoladığı kişisel veriler çalınmıyor olsun.

Tüm dünya bu tehlikeli saldırılar ile baş etmek adına çeşitli argümanlar geliştirmekte ve bunu hukuk düzenine yansıtmaktadır. Avrupa Birliği bu konuda önce 96/46/EC saylı Kişisel Verilerin İşlenmesi Ve Serbest Dolaşımı Bakımından Bireylerin Korunmasına İlişkin Avrupa Parlementosu Ve Avrupa Konseyi Direktifi'ni yayınlamıştır. Bu direktif ile temel olarak kişisel verilerin korunması hedeflenmiş daha sonra çıkarılan çeşitli direktiflerle bu konu desteklenmiştir. Nihayetinde Avrupa Birliği Genel Veri Koruma Tüzüğü ( General Data Protection Regulation-GDPR) yürürlüğe girmiştir. Bu tüzüğe güre GDPR traafından getirilen yükümlülüklere aykırı hareket etmek çok ciddi yaptırımlara bağlanmıştır.

Ülkemizde ise kişisel verilerin korunması 24 Mart 2016 tarihinde 6698 sayılı Kişisel Verilerin Korunması Kanunu TBMM' de kabul edilmiştir. 7 Nisan 2016 6698 sayılı Kişisel Verilerin Korunması Kanunu 7 Nisan 2016 tarih ve 29677 sayılı Resmi Gazetede yayımlanarak yürürlüğe girmiştir. Söz konusu kanun Türkiye'de kişisel verilerin korunması ile alakalı ilk düzenleme olması hasebiyle büyük bir öneme sahiptir.


Kişisel verilerin Korunması Kanunu başlangıç kısmında kişisel verinin tanımı yapılmıştır. Aslında kişisel verilerin neler olduğunun kapsamı tam olarak belirlenememekle birlikte kanunumuza göre kişisel veri '' kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi '' olarak tanımlanmıştır. Buna göre kişinin ismi soyismi, adresi, doğum tarihi gibi o kişiyi teşhise yarayan tüm bilgiler kişisel veri olacaktır ve bu kanun kapsamında korunması gerekecektir.

Buna göre kişisel veriden bahsedebilmek için öncelikle bir bir verinin bulunması gerekir. Dolayısı ile veri vasfına taşımayan bilgiler bu anlamda değerlendirilemeyecektir. Bir diğer şart verinin bir gerçek kişiye ait olmasıdır ki tüzel kişilere ait veriler bu kanun kapsamında değerlendirilmeyecektir. Örneğin gerçek kişilere ait Türkiye Cumhuriyet Kimlik Numarası kişisel veri olurken tüzel kişiliği olan bir şirkete ait vergi kimlik numarası kişisel veri olmayacaktır. Zira kanunun korumayı hedeflediği veri türü gerçek kişilere ait verilerdir. Kanunun aradığı bir diğer şart verinin kişiyi belirli veya belirlenebilir kılması şeklinde açıklanmıştır. Yani söz konusu verilerin kişiyi doğrudan ya da dolaylı olarak belirlenebilir kılması, kişi tanımlayabilmesi gerekir. Bu anlamda eğer tek başına bir isim soy isim verilmesi, kuvvetle muhtemel o isim ve soy isimde başka şahıslarda olacağından kişisel veri olmayacaktır ama isim soy isim ile birlikte telefon numarası. Adres. T.C., mail adresi gibi başka bilgiler eşliğinde verildiğinde söz konusu isim ve soy isim kesinlikle kişisel veri olacaktır.

Yine kanunumuzda açık rıza, veri işleyen, veri sorumlusu, veri kayıt sistemi, kişisel verilerin işlenmesi, depolanması ve hangi şartlarla yok edilmesi gerektiği de belirtilmiş tanımı yapılmıştır. Buna göre açık rıza; Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı, veri işleyen; Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi, Veri sorumlusu; Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi, Veri kayıt sistemi; Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini, kişisel verinin işlenmesi; Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, , elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi, tanımladığı şeklinde açıklama getirilmişitir.

Kanunda kişisel verilerin, verisi işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek veya tüzel kişiler hakkında uygulanır ifadesinden gerek özel sektörde faaliyet gösteren kuruluşlar gerekse de kamu kurum ve kuruluşları arasında bir ayrım yapılmayıp bahse geçen usul ve esasların özel-kamu ayrımı yapılmadan tümüne uygulanması esas alınmıştır.

Diğer taraftan aşağıda belirtilen bazı durumlarda ise kanun hükümleri uygulanmayacaktır. Bunlar; Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi, Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi, Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi, kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi, Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi. Kanun kapsamında tanımlanan bazı hususlar ise ilgili kişi, veri sorumlusu, veri işleyen, özel nitelikli kişisel veri, veri kayıt sistemidir. Bunlara değinecek olursak; İlgili kişi, kişisel verisi işlenen gerçek kişiyi yani bu makaleyi okumak için her hangi bir verinizi kaydetmişsek siz, yahut benze bir ifade ile bir araştırma için girilen sitede devam etmek için kişiye ait veriler isteniyorsa verileri kaydedilen kişi ilgili kişidir.

Veri sorumlusu; Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade etmektedir. Örnek verilecek olursa bireysel olarak hizmet ya da mal aldığımız kurumlar.

Veri işleyen; Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek veya tüzel kişiyi ifade etmektedir.

Özel Nitelikli Kişisel Veri; Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini mezhebi ve diğer inançları, kılık kıyafeti, dernek vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti, biyometrik ve genetik verileri kişinin özel nitelikli kişisel verileridir.

Veri Kayıt Sistemi; Veri Kayıt Sistemi elektronik veya fiziki ortamda oluşturulabilir. Veri kayıt sistemi Kişisel verilerin belirli kritelere göre yapılandırılarak işlendiği kayıt sistemidir. Örneğin kişisel verilerin otomatik olarak tutulduğu bir hastanedeki hasta kabul sistemi yahut ziyaretçilerin tutulduğu bir excel dosyası, bir veresiye defteri vb. Kişisel verilerin korunması konusunda Kurum ve Kurul tarafından da çalışmalar devam etmektedir. Kurum veri ihlallerini tespit edip gerekliiidari yaptırımları uygularken Kurul ise kişisel verilerle igili gelişmeleri izleme ve değerlendirme, görev alanına giren konularda uluslararası kuruluşlarla iş birliği yapma, toplantılara katılma, yıllık faaliyet raporlarını Cumhurbaşkanlığına, Türkiye Büyük Millet Meclisi İnsan Hakları İnceleme Komisyonuna ve Başkanlığına sunma gibi görevleri icra ederek hem kişisel verilerin en yüksek seviyede korunmasına hem de insan hakları ihlallerinin önüne geçilmesi konularında bu alana katkı sunmaktadır.

Kurum ve Kuruluşların kişisel verilerin korunması konusunda hassas davranması gerekmektedir. Zira ilerleyen yazılarda da belirtileceği üzere veri sorumlularının ilgili veriyi/verileri Anayasaya, kanuna, ve diğer usul ve esasları uygun şekilde koruma sağlamadan depolaması/saklaması halinde, veri sorumluları yüksek miktarlarda idari para cezası, cezai takibat ve tazminat sorumlulukları ile karşı karsıya kalmaktadır. Ülkemiz ve tüm dünya için büyük önem arzeden kişisel veri alanının gerekli şekilde korunabilmesi için sorumlu olan herkesin gerekli hassasiyeti göstermesi gerekmektedir.

KAYNAKÇA:

Kişisel Verilerin Korunması Hukuku (Murat Volkan Dülger)

KVKK ve ilgili mevzuatlar