Kişisel Verilen Korunması

Kişisel verilerin korunması, gerçek kişilere ait olan ve onların belirlenebilir olmasını sağlayan kişiye özgü ve özel bilgilerin hukuki anlamda koruma altına alınmasını ifade eder. Bir başka ifadeyla kişisel verilerin korunması, teknolojinin ilerlemesi ve veri güvenliği konularının gündeme gelmesi üzerine ilk defa 1995 yılında Avrupa’da hukuki çerçeveye oturmaya başlamıştır.

Kişisel Verilerin Korunması Kanunu

Türkiye, gerek üyelik sürecinde olduğu Avrupa Birliği’nin müktesebatına uyum sağlamak gerekse 1981 yılında imzaladığı “Kişisel Nitelikteki Verilerin Otomatik İşleme Tabi Tutulması Karşısında Şahısların Korunmasına Dair Sözleşme”nin onayı kapsamında Kişisel Verilerin Korunmasına Dair Kanun tasarısını hazırlamış ve 2008 yılında TBMM’ye göndermiştir. Aradan geçen 8 yılın sonunda söz konusu kanun tasarısı ancak 2016 yılında yasalaşmıştır. 6698 Sayılı Kişisel Verilerin Korunması Kanunu, 07.04.2016 tarihinde Resmi Gazete’de yayınlanmış ancak kanunun bazı maddelerinin 6 ay sonra yürürlüğe gireceğine dair yürütme maddesi nedeniyle söz konusu kanunun bazı kritik maddeleri 7 Ekim 2016 tarihinde yürürlük kazanmıştır.

“Kişisel Veri” Kavramı

Kişisel Verilerin Korunması Kanunu’nda “kişisel veri” kavramı 1995/46/EC sayılı Avrupa Komisyonu direktifine (data protection directive) paralel şekilde, “kimliği belirli veya kimliği belirlenebilir gerçek kişilere ilişkin her türlü bilgi” olarak tanımlanmıştır. Kanunun gerekçesinde, kişisel veri kavramının sadece ad, soyad, doğum yeri, doğum tarihi gibi kişilerin tanınmasını ve teşhisini sağlayan bilgilerden ibaret olmadığı ayrıca kişilerin fiziksel, sosyal, kültürel, ekonomik, psikolojik tüm bilgileri kapsadığı ifade edilmiştir. Bu kapsamda kişinin kimlik bilgilerine ek olarak, vatandaşlık numarası, vergi numarası, pasaport numarası, sosyal güvenlik numarası, sürücü belgesi numarası, taşıt plakası, ev adresi, iş adresi, e-posta adresi, telefon numarası, faks numarası, özgeçmişi, fotoğrafı, videosu, genetik bilgileri, kan grubu, kriminal geçmişi ve adli sicil bilgileri gibi kişinin belirli veya belirlenebilir olmasını sağlayan tüm bilgiler kişisel veri niteliği taşımaktadır ve kişisel verilerin korunması kapsamına girmektedir.

Veri Sorumlusu kimdir, görevi nedir?

Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişileri ifade etmektedir. Kanuna göre, veri sorumlusu sıfatı taşıyanlar, kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sisteminin kurulması ve yönetilmesi işlemlerinden sorumludur. Bu itibarla, veri sorumlusunun kanunda tanımlanan temel görevlerinden ilki aydınlatma yükümlüğüdür. Veri sorumlusu, kişisel verilerin elde edilmesi sırasında ilgili kişilere, kendi kimliği, veri toplamanın yöntemi ve hukuki sebebi, verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği ve ilgili kişilerin hakları konusunda  bilgi vermekle ve ilgili kişileri bu anlamda aydınlatmakla yükümlüdür. Veri sorumlusunun, kişisel verilerin korunması kapsamında  diğer bir görevi ise verilerin güvenliğini sağlamaktır. Dolayısıyla, veri sorumlusu, kişisel verilerin hukuka aykırı olarak erişilmesini ve işlenmesini önlemek, bunların muhafazasını sağlamak ve gerekli denetimleri yapmakla yükümlüdür.

Kişisel Verinin İşlenmesi Nedir?

Kişisel verilerin işlenmesi, kişisel verilerin kısmen veya tamamen otomatik yollarla veya herhangi bir veri kayıt sistemine eklenmek için işlenmesidir. İşleme, verinin kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem anlamına gelmektedir. Nitekim ilgili AB Direktifinde de kişisel verilerin işlenmesi tanımında “otomatik ve otomatik olmayan” ibaresine yer verilmiştir. Dolayısıyla işleme açısından verinin işlenme şeklinin bu anlamda önemli olmadığı vurgulanmıştır.

Kişisel Verilerin İşlenme Şartları

Kişisel verilerin işlenmesi için temel şart, ilgili kişinin açık rızasının alınmasıdır. Dolayısıyla kişisel verilerin korunması amacıyla ilgili şahıs açıkça rıza göstermediği sürece kişisel veriler işlenemez. Ancak genel kural bu olmakla birlikte aşağıdaki belirtilen durumlarda kişisel verilerin işlenmesi için ilgili kişinin rızası aranmayacaktır.

• Kanunlarda kişisel verinin işleneceğinin açıkça öngörülmesi.
• Rızasını açıklayamayacak durumda bulunan veya rızası hukuken geçersiz kişinin kendisinin veya bir başkasının hayat/beden bütünlüğünün korunması için zorunlu olması.
• Bir sözleşmenin kurulması veya ifasıyla doğrudan alakalı olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
• Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
• İlgili kişinin kendisi tarafından alenileştirilmiş olması.
• Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
• İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

Kişisel veriler, işlenmeyi gerektiren sebeplerin sona ermesi durumunda resen veya ilgili kişinin talebi üzerine silinecek, yok edilecek veya anonimleştirilecektir. Bu işlemler, bunları yapmakla yükümlü olan kişi olarak veri sorumlusu tarafından yerine getirilecektir. Bu itibarla kişisel verinin işlenmesini gerektiren sebep ve durumlar ortadan kalktığında veriler yok edilecek veya anonim hale getirilecektir. Aynı şekilde kişisel veri sahibi talep ettiğinde artık kişisel veri işlenemeyecek ve silinerek yok edilecek ya da anonim hale getirilecektir.

Özel Nitelikli Kişisel Veri Kavramı

Özel nitelikli kişisel veri, kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi gibi verilerdir. Ayrıca kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyetiyle ilgili verileri ile biyometrik ve genetik verilerdir özel niteliklidir. Görüldüğü üzere, Kişisel Verilerin Korunması Kanunu, birtakım kişisel verileri “özel nitelikli kişisel veri” kapsamında değerlendirmiş ve ilgilinin rızası olmaksızın bu tür verilerin işlenmesini yasaklamıştır. Bu kapsamda olmak üzere kişilerin ırkı, siyasi düşüncesi, felsefi inancı, dini inancı, mezhebi veya diğer inançları ile dernek, vakıf veya sendika üyeliği, sağlık bilgileri ile özel yaşamları dair bilgiler ile herhangi suçtan mahkumiyete dair tüm bilgiler “özel veri” sayılmıştır. Ve bu tür özel verilerin işlenmesi prensip olarak yasaklanmış ve bu verilerin işlenmesi belirli şartlara bağlanmıştır.

Elektronik Ticaret Kanunu’nda Kişisel Verilerin Korunması

Elektronik Ticaret Hukuku, özellikle e-ticaret yapan kişi ve kurumlar (hizmet sağlayıcı) ile e-ticaret yapılması için ortam sağlayanlar (aracı hizmet sağlayıcı) için kişisel verilen korunması bakımdan bazı yükümlülükler getirmektedir. Ancak, kişisel verilerin korunması hususu tasarı halindeki bir yasayla düzenlendiğinden, e-ticaretle ilgili bu kanunda kişisel verilere ilişkin düzenlemeler getirilmemiştir. Hatta kanun tekniğine aykırı şekilde kişisel verilerin korunmasına dair bir takım yükümlülükler getirildiği halde kanun metnine herhangi bir yaptırım konulmamıştır. Şöyle ki; elektronik ticaret kanununun idari para cezalarına ilişkin 12. maddesinde diğer ihlallerle ilgili birtakım para cezası yaptırımlarına yer verilmiştir. Ancak kişisel verilerin korunması yükümlülüğünün ihlali bakımından herhangi bir para cezası öngörülmemiştir. Kişisel verilerin korunması noktasında Türk Ceza Kanunu’nun 135. ve 136. maddeleri kişisel verilerin kaydedilmesi ve ele geçirilmesi suçlarını düzenlemektedir.

Av. İlker ATAMER

Bu sitedeki tüm makale ve içerikler Av. İlker ATAMER’e ait olup, yazı ve içerikler aidiyet tescili bakımından elektronik imzalı zaman damgası ile mühürlenmiştir. Sitedeki yazı ve içeriklerin yazılı izin olmaksızın kopyalanması veya başka yerde yayınlanması durumda FSEK kapsamında yasal işlem yapılacaktır.