KİŞİSEL VERİLERİN KORUNMASI KANUNU HAKKINDA
Kişisel Verilerin Korunması kavramı ilk kez 2010 yılındaki referandum ile Türkiye Cumhuriyeti Anayasası’na girerek Türk Hukukunda yer almıştır. Anayasa’nın Özel Hayatın Gizliliği başlıklı 20. maddesinin 3.fıkrasında Kişisel Verilerin Korunması kavramı;
“Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.”
şeklinde açıklanarak Anayasa ile Kişisel Verilerin Korunmasına ilişkin esas ve usullerin kanunla düzenlenebileceği söylenerek Kanun’a temel oluşturulmuş ve 7 Nisan 2016’da 6698 Sayılı Kişisel Verilerin Korunması Kanunu Resmi Gazete’de yayınlanarak yürürlüğe girmiştir.
Kanun kapsamında Kişisel Verileri Koruma Kurulu oluşturularak çalışmalarına başlamıştır.
Temel Kavramlar
Kişisel Veri
KVKK’da kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak tanımlanan kişisel veriye değinmek gerekmektedir. Bu kapsamda gerçek kişinin adı, soyadı, kimlik bilgileri, adresi, araba plakası, ses kayıtları, resmi, özgeçmişi, genetik bilgileri, sağlık verileri ve bunlarla kısıtlı olmamak kaydıyla, kişinin kimliğini belirlemeye yarayan her türlü veri Kişisel Veri’dir.
Kanun ile bazı kişisel veri tipleri sayma yöntemi ile özel nitelikli olarak belirlenmiş ve bu kişisel veriler bakımından özel tedbirler alınması amaçlanmıştır. Özel nitelikli kişisel veriler; kişilerin sağlık verileri, genetik verileri, biyometrik verileri, cinsel hayatı, dernek, vakıf ve sendika üyeliği, ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri özel nitelikli kişisel veriler olup işlenmeleri, genel nitelikli kişisel verilerden farklı hükümlerle düzenlenmiştir.
Kişisel Verilerin İşlenmesi
Bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işleme ise kişisel verilerin işlenmesi denir.
İlgili Kişi
Kişisel verisi işlenen, kişisel verinin sahibi olan gerçek kişiler ise İlgili Kişi olarak tanımlanmıştır. Şirketlerdeki ilgili kişilerden bazıları;
Şeklinde örneklerle listeyi artırmak mümkündür.
Veri Kayıt Sistemi
Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi olarak tanımlanmıştır. Veri kayıt sistemi, kurumsal bir şirkette elektronik ortamda tutulan sistematik kayıtlar olabileceği gibi, sık sık verilen örnek olarak bir bakkalın veresiye defteri de olabilir.
Veri Sorumlusu
Herhangi bir kayıt sisteminin parçası olmak kaydıyla kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan her gerçek veya tüzel kişi veri sorumlusudur. Çalışanlarından bağımsız olarak ‘’veri sorumlusu’’ sıfatını doğrudan şirket tüzel kişiliği haizdir.
İrtibat Kişisi
Veri sorumlusunun kurul ile iletişim amacıyla atadığı gerçek kişi yetkilisidir. Uygulamada veri sorumlusu ile irtibat kişisi kavramları birbiriyle karıştırılmaktadır.
Veri İşleyen
Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi ifade eder. Örneğin, şirketin dışarıdan destek aldığı mali müşaviri, o tüzel kişiliğin verileri bakımından veri işleyendir.
Aydınlatma Yükümlülüğü
Kişisel Verilerin Korunması Kanunu kapsamında veri sorumlusunun veri sahibi ilgili kişilere, kişisel verilerinin işlenme amaçlarına ilişkin detaylı olarak bilgilendirme yapması, kanundaki adıyla aydınlatma yapması gerekmektedir. Bu aydınlatmanın asgari olarak aşağıdaki bilgileri içermesi de zorunludur:
Aydınlatma yükümlülüğünün yerine getirilmesinde uyulacak usul ve esaslar hakkında tebliğ üzerine aydınlatma yükümlülüğü ile ilgili detaylı yazıya bakabilirsiniz.
Açık Rıza
Açık rıza, belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızadır. Kanun kişisel verilerin işlenmesini kural olarak kişilerin açık rızası olmasına bağlamıştır, ancak kanunda belirtilen hallerde kişilerin açık rızası olmaksızın veriler işlenebilir.
Biyometrik veri, ceza mahkumiyeti verisi, dernek ve vakıf üyeliği gibi kişiyi ayrımcılığa maruz bırakabilecek veriler ise özel nitelikli veriler olarak tanımlanmıştır ve özel nitelikli veriler, ancak kanunlarda öngörüldüyse açık rıza olmaksızın işlenebilir.
Sağlık verisi ve cinsel hayata ilişkin özel nitelikli veriler ise yalnızca kamu sağlığının korunması, tıbbi teşhis, tedavi amaçlarıyla sır saklama yükümlülüğü altında bulunan kişiler tarafından işlenebilir. Bu nedenle bu verilerin işlenmesi zorunlu ise öncelikle sır saklama yükümlülüğü bulunan iş yeri hekimi ve benzeri kimse tarafından işlenmesi, mümkün değil ise açık rıza alınması gerekmektedir.
Açık rıza alınırken dikkat edilmesi gereken konu açık rızanın;
Gerektiğidir. Özgür irade, kişinin bu açık rızayı her zaman geri çekebilmesi anlamına gelmektedir ki bu da kişisel verilerin işlenmesi için başka bir şart bulunmaması halinde imha edilmesi gerektiği anlamına gelecektir. Bu koşullar olmaksızın alınan açık rızalar battaniye açık rızalar olarak ifade edilmekte ve hukuki geçerliliğini kaybetmektedir.
Av. Gökçenur Bilgin, MBA