KİŞİSEL VERİLERİN KORUNMASI NEDİR?

Kişisel Verilerin Korunması Nedir?

6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), 7 Nisan 2016 tarihli Resmi Gazete’de yayımlanarak yürürlüğe girmiştir. Anılan yasa bir bütün olarak, kişisel verileri, bunların işlenmesini ve korunmasını tanımlayan, özellikle kişisel verilerin işlenmesinin ve korunmasının nasıl olacağını belirleyen, bunun yanı sıra işleme ve koruma kurallarına uyulmaması halinde bunların yaptırımının neler olacağını tespit eden düzenleyici yasadır.

Günümüzde bilgisayar, internet ve cep telefonları gibi modern iletişim araçlarının yardımıyla bireylere ait kişisel verilere kolayca ulaşılabilmekte ve bu veriler kişiler, şirketler ve ülkeler arasında çok hızlı şekilde paylaşılabilmektedir. Bu durum, kişisel verilerin sahibi olan bireylerin hukuki güvenliğini tehdit edecek ve özel yaşamlarının gizliliğini bozabilecek seviyelere gelmiştir. Yaşamlarının birçok alanında devlet ile etkileşim içerisinde olan bireylerin, kamu idareleri tarafından kişisel verileri teknolojik gelişmelerin de yardımıyla daha kolay elde edilmekte, işlenmekte ve kullanılabilmektedir.

Kanunun Amacı
Kanunun amaç başlıklı 1. mdsinde; “Bu kanunun amacı, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir.” şeklinde ifade edilmektedir. Kanunun kapsam başlıklı 2. md’sinde ise; “Bu kanun hükümleri kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır.” ifadesiyle kapsamına aldığı hukuki süjeleri açıklamaktadır.

KVKK’nın 3/d md’sinde; “Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder.” şeklinde tanımlanmıştır. Bu tanım çerçevesinde örneğin kişinin adı, adresi, doğum tarihi, medeni hali, tabiiyeti, mesleği, görüntüsü, kanaatleri, fotoğrafı, elektronik posta adresi, banka bilgileri, bilgisayarının IP adresi, kimlik, emeklilik, kurum sicili ve vergi numarası, parmak izi, eğitim bilgileri, sağlık verileri, telefon mesajları, telefon rehberi, mail, facebook, tweeter gibi sosyal paylaşım sitelerinde yazdığı veya paylaştığı yazı, fotoğraf, ses ve görüntü kayıtları “kişisel veri” olarak belirtilebilir.

Kanunun, 6/2 md’sinde “ilgilinin açık rızası olmaksızın işlenmesi yasak olan” özel nitelikli kişisel verileri de kapsamına almıştır. Özel nitelikli kişisel veri, kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileridir.

Kanunun Uygulama Kapsamı
KVKK kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişilere uygulanır. Tanımlardan da anlaşıldığı üzere, ilgili kişi, bir başka deyişle kişisel verileri kanun tarafından korunan kişi ancak bir gerçek kişi olabilir; öte yandan veri sorumlusu bir gerçek kişi veya tüzel kişi olabilmektedir. Kişisel verilerin korunması özel yaşamın gizliliğinin korunmasıyla bağlantılı olduğundan, KVKK uygulama alanının dışında kalan istisnai hallerde; örneğin kişisel verileri kanun hükmüne tabii olmaksızın işlenebilecek kişiler gibi haller kanunda belirlenmemiştir. Bunun yerine, istisnalar kanunda amaçlarına yönelik olarak sıralanmıştır.

Söz konusu istisnalar aşağıdaki şekilde özetlenebilir:

Gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenme,
Araştırma, planlama ve resmi istatistik ile anonim hale getirmek gibi amaçlar ile işlenme,
Millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenme,
Önleyici, koruyucu ve istihbarat amaçlı faaliyetler kapsamında işlenme,
Soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin işlenme.

Kanuna Göre Veri İşleme Koşulları
KVKK’nın getirdiği en önemli yenilik kişisel verilerin işlenmesine ilişkindir. Buna göre, belli bazı şartlar söz konusu değilse, kişisel veriler veri süjesinin açık rızası olmadan işlenemez (md. 5/1). KVKK bu kuralın istisnalarını da düzenlemektedir.

İlgili istisnalar aşağıdaki gibi özetlenebilir:

Kanunlarda açıkça öngörülmesi,
Rızasını açıklayamayacak durumda bulunan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması,
Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
İlgili kişinin kendisi tarafından alenileştirilmiş olması,
Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

Ancak söz konusu kriterler ancak genel nitelikli kişisel verilere uygulanır. Kanun özel nitelikli kişisel veri adı verilen bir alt kategori daha öngörmektedir. Özel nitelikli, kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerdir. Bu tip veriler veri süjesinin açık rızası olmadan işlenmesi yasaktır.

Veri Sorumlusunun Yükümlülükleri
KVKK veri sorumlusu veya yetkilendirdiği kişinin, ilgili kişilere; veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ve diğer haklarına dair aydınlatma yükümlülüğü bulunur (md. 10). Veri sorumlusunun kanunun uygulanması ve uygulamanın denetlenmesi bakımından da çeşitli yükümlülükleri vardır (md. 12).

Özel nitelikli kişisel verilerden, sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hallerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise kanunda öngörülen amaçlar doğrultusunda sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir. Görüldüğü üzere, kişinin farklı yerlerdeki kişisel verilerinin bir araya getirilmesi, temel hak ve özgürlükleri açısından tehlikeye yol açabilecek kişilik profilinin oluşturulmasına neden olabilmektedir. Zira, kişinin sahip olduğu insan onuru ve kişilik hakkı, bireyin kişisel verilerinin korunmasını gerektirmektedir.

Günümüz teknolojisinde ve özellikle iletişim teknolojilerinde meydana gelen gelişmeler, sürekli genişleyen haberleşme ağları, bir yandan bilgi alışverişi ve bilgilerin toplanması olanaklarını oldukça artırırken, diğer yandan da kişilerin hukuki güvenliği açısından bazı tehditlerin çıkmasına yol açmaktadır. Günlük yaşamın farklı alanlarında gerçek ve tüzel kişilerle ilişkiye giren bireyin kişisel verileri, veri sorumlusu dahi olmayan sujeler tarafından kayıt altına alınmakta, işlenmekte ve kullanılmaktadır. Örneğin, internet üzerinden alışverişlerde, elektronik posta adresi almada, elektronik bankacılık hizmetlerinden faydalanmak isteyen kişiden çeşitli kişisel veriler istenilmekte ve istenilen bilgileri kişi kendi rızasıyla vermektedir. İnternet şirketleri, bir yandan kişilerin internet aracılığıyla yaptıkları alışveriş nedeniyle, diğer yandan internette yaptıkları sörfler sonucu, ilgi alanları, mağazalar ve ürünler gibi konular hakkında tüm kullanıcılara ait bilgileri elinde bulundurmaktadır. Kişisel verilerin korunması hakkını özümseyen birey, yukarıda verilen örnek durumlarla karşılaştığında sahip olduğu kişilik hakkı ve insan onuru nedeniyle kişisel verilerinin gizli kalmasını, kayıt altına alınmamasını ve işlenmemesini isteyebilmektedir.

Kişisel Verilerin İşlenmesinde Akış Sırası
Verilerin işlenmesi, başlangıcından silinmesine kadar kanunda öngörülen aşağıdaki akış sürecini izlemek durumundadır.

a) Veri sorumluları siciline kayıt: Kişisel verileri işleyecek kişi, kurum ya da kuruluşun kişisel verileri toplamadan ve işlemeden önce belirledikleri veri sorumlusu ve varsa temsilcisi “Veri Sorumluları Sicili”ne kaydolmak zorundadır. Veri sorumluları siciline ilişkin usul ve esaslar, yönetmelikle düzenlenir.
b) Kişisel verileri toplamaya hazırlık: Ancak veri sorumluları siciline kayıt yapıldıktan sonra kişisel verilerin toplanacağı ortam kişilerin erişimine açılır. Kullanılacak yapı, kişilerin açık iradesini kayıt altına almalıdır.
c) Kişilerin aydınlatılması: Kişisel verileri toplanacak kişilere, veri sorumlusunun kimliği, verilerin kullanım amaçları, paylaşım olup olmayacağı bilgileri verilir ve onayı talep edilir. Kişi, veri toplayan ve verileri üzerindeki hakları konusunda bilgilendirilmelidir.
d) Kişinin açık rızası: Yeterli bilgilendirmeye sahip kişinin onay verdiği kuşkuya yer bırakmayacak şekilde alınmalı ve ispat için kaydı yapılmalıdır. Açık rıza; belirli bir konuya ilişkin olmalı, yeterli düzeyde bilgilendirmeyle gerçekleşmeli, kişi kararını baskı olmadan serbestçe verebilmelidir. Özel nitelikli kişisel veri, ancak ilgili kişinin açık rızası ile işlenebilir. Verileri veren kişi değil, verileri toplayan ispatlamak zorundadır.
e) Kişisel verilerin işlenmesi: Veri işleme, bilgisayar gibi bilgi teknolojisi kullanan cihazların yanı sıra iş başvuru formu gibi kağıt ortamında bir amaç için kişilere ait bilgilerin saklanmasıdır. Bazı durumlarda verilerin işlenmesi için ilgili kişiyi aydınlatma yükümlülüğü ve açık rızanın alınması şartı yoktur. Kanunun md.5/2 bendinde bu şartlar açıklanmaktadır.
f) Kişisel verilerde değişiklik olursa başvurma: Sicile kayıttan sonra verilerde, amaçlarda ya da paylaşılan kişilerde değişiklik olursa sicilde değişiklik için başvurulması gerekir. Rızanın alındığı zamana göre değişiklik varsa ilgili kişiden alınan açık rızanın mevcut duruma göre yenilenmesi gerekir.
g) Verilerin yok edilmesi veya anonimleştirme: Toplanan kişisel verilerle ilgili işlemler bittiğinde veya kişiden alınan onayın şartları ortadan kalktığında ya da kişinin verilerinin işlenmesini durdurma hakkı olduğunda ve bu kullanıldığında verilerin silinmesi gerekir. Silinmesi istenmeyen veriler anonim hale getirilir. Kişisel verilerin silinmesine, yok edilmesine veya anonim hale getirilmesine ilişkin usul ve esaslar yönetmelikle düzenlenir.

İlgili Kişinin Hakları
Kişisel verileri işlenen kişi, bilgi edinmek ya da kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesi için talep etme hakkına sahiptir. Bunun için tüketilmesi gereken başvuru yolu aşağıdaki şekilde gerçekleşecektir.

Veri süjesinin hakları aşağıdaki şekilde özetlenebilir:

Kişisel verilerinin işlenip işlenmediğini öğrenme,
Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
Kişisel verilerin silinmesini veya yok edilmesini isteme,
Kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme
İtiraz etme,
Kişisel Verileri Koruma Kurulu’na şikayet,
Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.

Kişisel Verileri Koruma Kurulu’na Şikayet
Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya veri sorumlusunun süresinde cevap vermemesi hallerinde ilgili kişi, cevabı öğrendiği tarihten itibaren 30 gün ve her halde başvuru tarihinden itibaren 60 gün içinde kurula şikayette bulunabilir. Kişilik hakları ihlal edilenlerin genel hükümlere göre tazminat hakları saklıdır. Kurul, şikayet üzerine veya ihlal iddiasını öğrenmesi durumunda resen, görev alanına giren konularda inceleme yapar. Şikâyet tarihinden itibaren 60 gün içinde cevap verilir, cevap verilmezse reddedilmiş sayılır. Veri sorumlusu, devlet sırrı niteliğindeki bilgi ve belgeler hariç istenilen belgeleri 15 gün içinde göndermek ve gerektiğinde yerinde inceleme yapılmasına imkân sağlamak zorundadır. İhlal var ise kurul ihlalin ortadan kaldırılmasını ister. Veri sorumlusu, gecikmeksizin ve en geç 30 gün içinde yerine getirir. Kurul, telafisi güç veya imkânsız zararların doğması ve açıkça hukuka aykırılık olması halinde veri işlenmesinin veya verinin yurt dışına aktarılmasının durdurulmasına da karar verebilir.

Suçlar ve Kabahatler
Kanun, beşinci bölümünde kişisel verilere ilişkin suç ve kabahatlere uygulanacak hükümleri düzenlemektedir. İlgili kişiye karşı veri sorumlusu, hukuki bir sorumluluğa sahiptir. Veri işleyenin sorumluluğu ise sadece veri sorumlusuna karşıdır.

Kişisel verilere ilişkin “Suçlar” bakımından Türk Ceza Kanunu’nun 135 ila 140 ıncı madde hükümleri uygulanır.

Kişisel verileri hukuka aykırı olarak kaydedenler, başkalarına verenler veya ele geçirenler ile kişisel verileri yok etmeyen veya anonim hale getirmeyenler Türk Ceza Kanunu’nun ilgili maddeleri hükümlerine göre cezalandırılır. Kişisel Verilerin Korunması Kanunu’nun 7 nci maddesi hükmüne aykırı olarak; kişisel verileri silmeyen veya anonim hale getirmeyenler Türk Ceza Kanunu’nun 138 inci maddesine göre cezalandırılır. Kişisel verileri hukuka aykırı olarak kaydedenler, başkalarına verenler veya ele geçirenler ile kişisel verileri yok etmeyen veya anonim hale getirmeyenler hakkındaki suçlarının soruşturulması ve kovuşturulması şikayete bağlı değildir.

Kişisel verilere ilişkin “Kabahatler” bakımından, veri sorumlusu olan gerçek kişiler ile özel hukuk tüzel kişileri hakkında;

Aydınlatma yükümlülüğünü yerine getirmemesi halinde 5.000 TL’den 100.000 TL’ye kadar,
Veri güvenliğine ilişkin yükümlülüklerini yerine getirmediğinde, 15.000 TL’den 1.000.000 TL’ye kadar,
Kurul tarafından verilen kararları yerine getirmeyenler hakkında, 25.000 TL’den 1.000.000 TL’ye kadar,
Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler, 20.000 TL’den 1.000.000 TL’ye kadar idari para cezası uygulanır.