Kişisel verilerin korunmasına dair duyulan ihtiyaç doğrultusunda, Avrupa Birliği’ne uyum kapsamında Kişisel Verilerin Korunması Kanunu adıyla TBMM’ye tasarı sunulmuştur. Tasarı, 24 Mart 2016 tarihinde meclisten onay alarak kanunlaştı; 7 Nisan 2016 tarihinde 29677 sayılı Resmî Gazetede yayımlandı.
Kişilerin tedirginliğini giderme ve dijital dünyada kendilerini güvende hissetmeleri açısından önemi büyük olan bu kanunun ne gibi kavramları ve konuları içerdiğini; gerektirdiklerinin neler olduğunu bu yazımızda sunuyoruz.
Kişisel verilerin korunması, veri işleme faaliyetlerinin önceden belirlenen kurallar gözetilerek yapılması ve kişinin temel hak ve özgürlüklerinin zarar görmemesi için bir disiplin sağlanmasıdır. Bu noktada vurgulanması gereken şudur: Veriyi korumak, verinin kullanılmasının yasaklanması değil; verinin kim tarafından hangi amaca yönelik olarak ve nasıl kullanacağının kararını, verinin sahibinin vermesini sağlamak ve veri sahibinin bu konuda bilgi talep etme hakkını daimi kılmaktır.
Kişisel verilerin korunması, anayasa ile güvence altına alınmıştır. Kişisel verilerin korunması; anayasanın, özel hayatın gizliliğini düzenleyen 20. maddesinde yapılan değişikliğin gereğidir. Elbette bu sınırsız bir hak değildir. Türkiye Cumhuriyeti Anayasası’nda meşru amaçlara yönelik olarak sınırlandırılan bu hak, Avrupa Birliği’nde 1995 yılı itibariyle 95/46/EC sayılı direktif ile sağlanmıştır.
Bilgi teknolojilerinin büyük bir hızla geliştiği ve resmi işlemlerin de çoğunlukla elektronik ortamda yapıldığı çağımızda, kişisel verilerin işlenmesinin pek çok avantajı vardır. Örneğin bilgilerinizi verdiğiniz bir kurumdan kampanya ve indirim günlerinde haber alabilirsiniz. Ancak bilgilerinizin kötüye kullanılması olasılığı da vardır. Kanunun amacı bu olasılığı ortadan kaldırmaktır. KVKK’nda amaç, verilerin belli bir rejimde işlenmesini sağlamak ve veri işleme faaliyetlerinin şeffaflık ilkesi benimsenerek yapılmasıdır. Bu sayede veri sahibinin verileri üzerinde söz sahibi olmasını sağlanır.
KVKK, hak ehliyeti bulunan tüm gerçek ve tüzel kişileri kapsar. Kamu kurumları dahil olmak üzere her vatandaş, kanunun usul ve esaslarına uymakla yükümlüdür. Kanunun, milli güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ön koşuluna bağlı olarak istisna şeklinde belirttiği haller şöyledir:
Kanunun amacına, temel ilkelerine uygun olma şartıyla kısmi istisna sayılan haller ise; suç işlenmesinin önlenmesi, disiplin kovuşturması ve soruşturması, devletin mali çıkarlarının korunması amaçlarına yönelik verilerin işlenmesidir.
Gerçek kişilere ait olan her türlü özel bilgi, kişisel veridir. Telefon numarasından araç plakasına, hobilerinden sağlık bilgilerine kadar, kişiyi direkt olarak ya da dolaylı yoldan belirlenebilir kılan her tür bilgi, kişisel veri kapsamındadır.
Bir örnek verelim: Kalabalığın içinde “Burada bulunan Ahmet, Galatasaray takımını tutuyor” şeklinde açıklama yapıldığında, Ahmet ile ilgili kişisel veri paylaşılmış olur ki bu noktada Ahmet’in kişisel verisini açıklayan kişinin, veriye nasıl ve nereden ulaştığı, bu bilgi ile neler yapabileceği ve ihlal durumu söz konusu olduysa nasıl cezalandırılacağı gibi süreçler kanun ile belirlenmiştir.
Özel nitelikli veri, hassas verilerdir. Çünkü dini inanç, siyasi görüş, dernek ya da sendika üyeliği, ceza mahkumiyeti, cinsel hayat gibi konulara ait veriler; başkaları tarafından öğrenildiğinde ilgili kişinin mağduriyetine ya da ilgili kişiye ayrıcalık verilerek diğer insanların mağduriyetine sebebiyet verebilir.
İlgili kişi, kişisel verisi ile ilgili faaliyette bulunulan, veri işleme faaliyeti sonucunda ulaşılan kişidir. Tüzel kişilere ait verilerin sonucunda ulaşılan gerçek kişi ise bu veriler de kanun kapsamında değerlendirilir.
Veri sorumlusu, kişisel verilerin hangi amaca yönelik olarak işleneceğinin, hangi kanallar aracılığıyla veri işleme faaliyeti yapılacağının kararını vererek verinin yönetilmesinde sorumlu olan kişidir. Dolayısıyla veriler ile ilgili ne yapacağını belirleyen veri sorumlusu olduğundan kanun kapsamında, sorumluluğu en üst düzeyde olan kişidir. Veri sorumlusunun, veri işleyen alt düzeydeki sorumluların eylemlerine karşı da tazminata varan sorumluluğu vardır.
Veri sorumlusunun verdiği yetkiye dayanarak veriyi işleme faaliyetini gerçekleştiren kişi veri işleyen kişidir. Bazı durumlarda veri işleyen bağımsız bir veri sorumlusu olabilmektedir. Bu durumu bir örnekle açıklayalım:
Bir içecek firması, pazarlama yöntemi olarak anket yapmayı tercih etmiş ve uzman bir tedarikçi ile anlaşmıştır. Tedarikçinin yalnızca sokakta anketlerin doldurulması için işgücü temini yaparak, iletilen formları doldurulduğu şekliyle içecek şirketine göndermesi, anket şirketinin veri işleyen olduğunu gösterir. Anketin ne şekilde yapılacağına, verileri nasıl yönetebileceğine ilişkin kararı veren anket şirketi olsaydı, veri sorumlusu anket şirketi diyebilirdik.
Bir kişisel verinin; tamamının ya da bir kısmının, manuel olarak elde edilmesi, saklanması, değiştirilmesi, aktarılması, kullanılmasının engellenmesi gibi her türlü işlem, kişisel verilerin işlenmesi anlamına gelir. Bir başkasına ait bilgiyi, üzerinde başka herhangi bir işlem yapılmaksızın bir hard diskte, CD’de saklamak da veri işleme faaliyetidir.
KVKK kapsamında oluşturulan Kişisel Verileri Koruma Kurumu’nun yönetim organı olan Kurul, kişisel verilerin korunması ile ilgili kararları vermekle yükümlüdür. 9 kişiden oluşan kurum; Kanun’da belirtilen hallerin gerçekleşmesi durumunda şikayetleri dinlemek, gerektiğinde maddi yaptırım uygulamak, veri sorumluları sicilini saklamak ile yükümlüdür. Kurul’un 4 üyesi Cumhurbaşkanı tarafından, 5 üyesi ise TBMM’deki siyasi parti gruplarının üye sayısı oranında, parti grupların aday gösterdiği kişiler arasında seçilir.