Kişisel Veriler ve Korunması
Bilgiyi çağımızın en önemli gücü olarak tanımlayabiliriz. Veri ise bilginin henüz işlenmemiş, analiz edilmemiş, kullanıma hazır olmayan ham halidir. Son zamanlarda gerek kamusal alanda gerekse özel sektörde sıkça karşılaştığımız kişisel veri kavramı ile birlikte bunların işlenmesi, işlenme gerekliliği ve aynı zamanda korunması kavramları hakkında çoğu kez şüpheye düşülmektedir. Bazı durumlarda bu kavramlarım tedirginlik yarattığı hususu da yadsınamaz bir gerçektir.
Günümüzde teknolojinin de bu denli hızlı bir şekilde gelişmesi ile birlikte bilginin aktarım hızı dolayısı ile; elde edilmesi, toplanması ve kaydedilmesi oldukça kolaylaşmıştır. Özellikte devlet kurumları ve özel kuruluşlarca vatandaşlar hakkında hayati önem taşıyabilen birçok veri toplanmakta, işlenmekte ve günü geldiğinde kullanılabilmesi amacıyla kaydedilmektedir. Dolayısı ile bu durum bireylerin korunması ihtiyacını doğurmuştur. Mevzuatımızda çeşitli kanunlarla kısıtlı alanlar hakkında kişisel verilerin korunması yönünde düzenlemeler bulunsa da net bir şekilde buna özel bir düzenleme getiren 6698 Sayılı Kişisel Verilerin Korunması Kanunu 24.03.2016 TBMM’de kabul edilerek kanunlaşmıştır. Bu durum her şeyden önce temel bir insan hakkı olan özel hayatın gizliliği kapsamında da bir gerekliliktir.
Kanunun amacı isminden de anlaşıldığı gibi olmakla birlikte,kapsamı 2. Maddede “…kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında…” şeklinde tanımlanarak gerçek kişilerin verileri bakımından kamu ve özel sektör ayrımı yapmadan korumacı bir düzenleme getirdiği görülmektedir.Bununla birlikte kanun kişisel veriyi, kimliği belirli veya belirlenebilir gerçek kişilere ait her türlü bilgi olarak tanımlamıştır. Bunlar kişilerin adı, soyadı, doğum yeri etnik kökeni, ırkı, felsefi inançları, dini, mezhebi veya diğer inançları, dernek veya sendika üyelikleri ya da ceza mahkûmiyeti, cinsel hayatıyla ilgili veriler ya da genetik verileri vb. olarak sayılmıştır. İşte bu verilerin kaydedilmesi, depolanması, saklanması, değiştirilmesi, sınıflandırılması gibi kişisel veriye ilişkin her türlü faaliyet kişisel verilerin işlenmesi olarak adlandırılmaktadır.
Kişisel Verilerin Korunması Kanunu ile birlikte bireylerin verilerinin işlenmesi ile ilgili olarak bir takım şartlar öngörülmüştür. Birkaç istisnai durum haricinde öngörülen en önemli şart veri sahibinin yani kanunun değimi ile ilgili kişinin açık rızasıdır. Açık rızanın alt unsurlarına bakıldığında; hangi konuyla alakalı olarak beyan edildiği, ilgili tarafından bu konuya ilişkin olarak yeterince bilgilendirildiği ve rızanın açıklanmasında herhangi bir dış faktörden bağımsız olarak özgür irade ile açıklanmış olması gibi kıstaslar aranmaktadır. Günümüz e-dünyası bakımından bu rızanın özellikle yazılı olarak alınmasına gerek yoktur. Halihazırda artık herhangi bir online platforma, derneğe veya vakıfa üye olduğumuzda ya da özel/kamu hukuk tüzel kişileri ile ortak çalışma veya müşteri olma durumlarında ya da kamusal bağlamda bilgileriniz talep edildiğinde, bu rızayı verdiğinize dair onam formları veya kutucukları ile karşılaşmaktayız. Her ne kadar şeklen kanuna uygun olarak rızanın alınması prosedürleriartık pratikte uygulanmakta ise de bu durum verilerimizin ne kadar güvende olduğu konusunu henüz tam manası ile aydınlatmamaktadır. Zira ülkemizde ve dünya genelinde hala data satışlarının olduğu, ticari pazar oluşturmada sınıflandırmaların yapıldığı ve buna göre reklam faaliyetlerinin yürütüldüğü bilinen bir gerçektir.
Her ne kadar günlük yaşantımızda çok fazla karşılaşmasak da Kişisel Verilerin Korunması Kanunu tarafından getirilen önemli iki yeni kavram daha bulunmaktadır. Bunlar kanunda veri sorumlusu ve veri işleyen olarak isimlendirilip tanımlanmıştır. Veri sorumlusu, bireylerin kişisel verilerini ne amaçla ve hangi araçlarla işleyeceğini belirleyen, aynı zamanda bu işlemler için veri kayıt sisteminin kurulmasından sorumlu gerçek veya tüzel kişiyi ifade etmektedir. Örneklendirmek gerekirse işveren konumunda bulunan bir şirket veri sorumlusudur denilebilir. Veri işleyen ise veri sorumlusu tarafından görevlendirilen ve teknik manada veriyi işleyen gerçek veya tüzel kişiyi ifade etmektedir.
Gerek Kişisel Verilerin Korunması Kanununda gerekse 5237 Sayılı Türk Ceza Kanununda kişisel verilerin işlenmesi için öngörülen prosedürlere karşı ortaya çıkabilecek durumlar hakkında bazı yaptırımlar öngörülmüştür. Meydana gelen aykırılığın suç veya kabahat olmasına göre yaptırımlar farklılaşmaktadır. Suç olması durumunda bu suçu işleyen kişinin niteliğine ve suçun işleniş biçimine göre değişmekle birlikte 1 yıldan 6 yıla kadar hapis cezası öngörülmüştür. Aykırılığın suç olarak tanımlanmadığı yani kabahat olarak öngörüldüğü durumlarda ise 5000 TL’den 1.000.000 TL’ye kadar idari para cezasına hükmedilir. Buna karar veren ise Ankara’da bulunan Kişisel Verileri Koruma Kurumu’dur.
Kişisel Verileri Koruma Kurumu idari ve mali özerkliğe sahip bir kamu tüzel kişisi olarak kurulmuştur. Kurumun karar organı ise kuruldur. Kurul bir başkan ve sekiz üye olmak üzere toplam dokuz kişiden oluşur. Üye tam sayısının salt çoğunluğu ile karar alır. Hâlihazırda kurul biriprofesör olmak üzere iki hukukçu, iki elektrik elektronik mühendisi, bir üniversite mezunu idareci, bir ilahiyatçı, iki siyasal bilgiler mezunu ve bir tıp doktorundan oluşmaktadır. Kurul üyelerinin görev süresi ise dört yıldır.
Av. Iyaz Çimen & Av. Kerem YAZICI
KAYNAKÇA :
https://www.mevzuat.gov.tr/MevzuatMetin/1.5.6698.pdf
https://www.kvkk.gov.tr/
http://www.mevzuat.gov.tr/MevzuatMetin/1.5.5237.pdf