Av. Nur Banu Kaylan Deligöz

1. Kişisel Veri Tam Olarak Nedir?

6698 Sayılı Kişisel Verilerin Korunması Kanununda yer alan tanımı ile “Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi” ifade eden kişisel veri aslında kısaca gerçek kişiye dair her tür bilgi olarak tanımlanabilir. Kişisel veri denince akla ilk gelen isim-soy isim, kullanılan son ilacın ismi ve hatta düzenli olarak işyerinde bulunulan saatler dahi kişisel veridir. Gerek akıllı nesneler gerekse gelişen diğer teknolojiler ile kişilerin gizlilik ihtiyaçları karşılanamaz hale gelmiş ve böylelikle kişisel verilerin korunması için yasal düzenlemeler yapılmaya başlanmıştır. Verilerin kullanım alanının teknoloji ile beraber hızla artması ve çeşitlenmesi bu yasalaşmanın sıkı yöntemler ile yapılmasını mecburi kılmış ve yukarıda da bahsedildiği gibi neredeyse hiçbir istisna bırakılmaksızın gerçek kişiye ait her türlü bilgi kişisel veri sayılmıştır.

 

2. Kişisel Verilerin Korunması Neden Önemlidir?

 

2003 yılına kadar kayıt altına alınmış toplam veri miktarı olan 5 Milyar gigabayt verinin 2011 yılında her iki günde bir ve günümüzde belki de dakikalar içerisinde üretildiği[2] düşünülecek olursa yaşamakta olduğumuz devri “Big Data” yani Büyük Veri Devri olarak adlandırmamız hiç de yanlış olmayacaktır. Bu da aslında, kişisel verilerin ekonomi, sosyal yaşam, eğitim, savunma gibi birçok alanda iyi ya da kötü niyetler ile her gerçek ve tüzel kişi ve hatta her akıllı nesne tarafından kullanılmaya açık olduğu anlamına gelmektedir. Kısaca, kişisel verilerin korunması günümüzde ekstra bir yükümlülük olarak değil ancak toplum düzeni için olmazsa olmaz bir husus olarak görülmelidir.

 

3. KVKK Kimleri Kapsıyor?

Kişisel verilerin sınırsız olarak işlenmesi ve aktarılmasının önüne geçmeyi amaçlayan KVKK, otomatik olan yani bilgisayar/bilişim sistemlerinde bulunan yazılım ya da donanımlar ile veya bir kritere bağlı olmak kaydıyla otomatik olmayan yani insan gücüyle tamamen veya kısmen veri işleyen her gerçek ve tüzel kişiyi kapsamaktadır. Yani, bir bilgisayarda kurulu bulunan sisteme veri girişi yapılan, veri depolamak için e-arşiv kullanılan bir şirket de ya da ürün almakta olduğu tedarikçilerin iletişim bilgilerini manuel olarak bir kâğıt üzerine yazarak işlemlerine devam eden kişi de ve hatta Instagram’da beğendiği gönderinin ekran görüntüsünü alarak arkadaşına gönderen genç de bu Kanuna tabi olacaktır.

 

4. Kişisel Veri İşleme Ne Demektir?

KVKK’nın 3.maddesindeki tanımdan yola çıkılarak kişisel verilerin işlenmesi; verinin elde edilmesi, arşivlenmesi, aktarılması, yok edilmesi, değiştirilmesi gibi çeşitli faaliyetleri ifade eder. İşe yeni başlayan çalışandan istenen evrakların işe girişten itibaren özlük dosyasında saklanması ve ayrıldığında arşivlenmesi, katıldığınız eğitimde fotoğrafınızın çekilmesi ve bu fotoğrafın eğitmen tarafından kendi sayfasında paylaşılması, alışveriş yaptığınız mağazada sisteme isim-soy isminiz, telefon numaranız ve TC Kimlik Numaranızın kaydedilmesi veri işlemeye örnek olarak gösterilebilecektir.

 

5. Kanunun İstisnaları Nelerdir?

KVKK ve Avrupa Birliği ülkelerinde uygulanmakta olan GDPR ile amaçlanan temel husus veri minimizasyonu yani işleyişi aksatmayacak kadar veri işlenmesidir. Bu noktada KVKK, veri işleme için temel koşulu açık rıza olarak belirleyerek zorlayıcı sınırlamalar koymuştur. Ancak, her faaliyet için ilgili kişiden açık rıza almanın iş akışını durduracağını öngören Kanun Koyucu KVKK’nın 5.Maddesinin 2.fıkrasında açık rıza olmaksızın kişisel veri işlenmesinin mümkün olduğu durumlara yer vermiştir. Veri işlemenin; kanunlarda açıkça öngörülmesi, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması ve bir sözleşmenin kurulması veya ifasıyla doğrudan ilgili olması bu istisnalardan bazılarıdır.

 

6. Açık Rıza Nedir? Zorunlu Mudur?

Kanunda yer alan tanımından yola çıkılacak olursa açık rıza; “Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı,” ifade etmektedir. Örneğin; bir mağazada alışveriş yaparken alışverişlerinizde size avantaj sağlayabilecek olan (ancak kartı almadan da alışverişinize devam edebileceğiniz) üyelik kartı ile bağlantılı olarak; mağazanın hangi verilerinizi, hangi amaçlar ile ve hangi süreyle saklayacağını size bildirmesi ve karşılığında veri işleme faaliyetinin gerçekleştirilebilmesi için müşterinin verdiği onay açık rızadır. Uygulamada oluşan genel algının aksine açık rıza her veri işleme için olmazsa olmaz değildir. Temel kural açık rıza olmakla beraber Kanunun 5.maddesinde sayılan istisnalar kapsamına girilmesi halinde açık rıza gerekli değildir. Zira istisna kapsamında işlenebilecek olan veri ile bağlantılı olarak ilgili kişiden açık rıza vermesini istemek kişiye her an rızasını geri alarak veri işleme faaliyetini durdurabileceğini düşündürecek ve ilgili kişiyi yanıltıcı bir uygulama teşkil edecektir.

 

7. Kanun Kapsamında Öngörülen Yaptırımlar Nelerdir?

KVKK, 17. ve 18. Maddelerinde ihlal halinde karşılaşılacak idari ve cezai yaptırımlara yer vermiştir. Buna göre, kişisel veri ihlali ile bağlantılı olarak Türk Ceza Kanunu kapsamında oluşan suçlar nedeniyle 1 yıldan 4 yıla kadar hapis cezası ile karşılaşılabilecektir. Kişisel Verileri Koruma Kurumu resen veya şikâyet üzerine yapacağı denetimler ile herhangi bir veri ihlaline rastlaması durumunda ayrıca 5.000 TL’den 1 Milyon TL’ye kadar da idari para cezası verebilecektir.

 

İdari ve cezai yaptırımların yanında Kişisel Verileri Koruma Kurumunun uyguladığı ve Şirketler açısından büyük çaplı bir ekonomik kayıptan çok daha olumsuz sonuçlara yol açabilecek olan müeyyide ise Kurumun veri ihlaline sebep olduğunu tespit ettiği Şirketleri resmi web sayfasında ifşa etmesidir. Bu durum Şirketler için ciddi itibar kayıplarına yol açabilecektir.

 

8. Yaptırımları Uygulama Yetkisi Kimdedir?

6698 Sayılı Kişisel Verilerin Korunması Kanunu kapsamında veri ihlallerini resen veya şikayet üzerine tespit ederek Kanunda yer verilen yaptırımları uygulayacak olan otorite, idari ve mali özerkliğe sahip ve Başbakanlığa bağlı olarak kurulmuş olan Kişisel Verileri Koruma Kurumudur. 9 üyeden oluşan Kurum, içerisinde kendi karar organı olan Kişisel Verileri Koruma Kurulunu da barındırmaktadır. Bu Kurulun başlıca görevi; şikâyetleri karara bağlamak ve kişisel verilerin Kanun’a uygun olarak işlenip işlenmediğini kontrol ederek gerekirse geçici önlem ve idari yaptırımlara karar vermektir.

 

9. KVKK Hayatımızda Doğrudan Neyi Değiştirdi ve Değiştirmeye Devam Edecek?

KVKK ile beraber gerek kişisel veri işleyen gerçek kişiler gerekse tüzel kişilikler ve bunlarla bağlantılı olarak faaliyet göstermekte olan akıllı nesnelerin veri işleme süreçlerini baştan sona kontrol ederek yeniden planlanması kaçınılmaz hale gelmiştir. Bu durum kısaca; Kanunun başlıca hedef alanına giren özel sektör temsilcileri ve kamu tüzel kişilikleri için başlı başına bir iş gücü ve bütçe ayrılmasını gerektiren yepyeni bir alan ortaya çıkarmaktadır. Özellikle özel sektör tüzel kişiliklerinin bu süreci yok saymadan hızla işleyişlerine dâhil etmeleri ve faaliyetlerini kanuna uygun hale getirmeleri gerekmektedir.

 

10. Veri Sorumlusu/Veri İşleyenlerin Alabileceği Önlemler Nelerdir?

KVKK 12.Maddesi ile bağlantılı olarak veri sorumluları ve veri işleyenlerin kişisel verilerin hukuka uygun olarak işlenmesi ve muhafazası için alması gereken bazı teknik ve idari tedbirler bulunmaktadır[3]. Bu tedbirler ile işlenmekte olan verilerin muhtemel siber saldırılara karşı korunması amaçlanmıştır. İdari tedbirlerden bazıları; çalışanların bilinçlendirilmesi için yapılacak farkındalık eğitimleri, kişisel veri güvenliği politikalarının ve prosedürlerinin belirlenmesi ve veri işleyenler ile ilişkilerin düzenlenmesidir. Bu kapsamda; veri işleyenler ile ilişkilerin düzenlenmesi özellikle önem arz etmektedir. Zira, KVKK 12.Maddesinin 2.fıkrasına göre veri işleyenler ile veri sorumluları idari ve teknik tedbirlerin alınması konusunda müştereken sorumludurlar. İdari tedbirler haricinde kişisel veri içeren ortamların güvenliğinin sağlanması, siber güvenliğin sağlanması ve kişisel verilerin dijital ortamda yedeklenmesi de veri sorumluları ile veri işleyenlerin alabileceği güvenlik önlemlerinden bazılarıdır.

 

KAYNAKÇA

 

  1. 7 Nisan 2016 tarih ve 29677 Sayılı Resmi Gazete’de yayımlanan 6698 Sayılı Kişisel Verilerin Korunması Kanunu

  2. Yard. Doç. Dr. Mesut Serdar Çekin, Avrupa Birliği Hukukuyla Mukayeseli Olarak 6698 Sayılı Kişisel Verilerin Korunması Kanunu, İstanbul, On İki Levha Yayıncılık, 2018

  3. Kişisel Veri Güvenliği Rehberi, Ocak 2018, Kişisel Verileri Koruma Kurumu