KİŞİSEL VERİLERİN KORUNMASI KANUNU (KVKK) - I

KİŞİSEL VERİ, ÖZEL NİTELİKTE KİŞİSEL VERİ, AÇIK RIZA VE ANONİM HALE GETİRME KAVRAMLARI

Kişisel veriler, kişinin sahip olduğu bir özellik, mensup olduğu bir yapı gibi veriler  sayesinde, sahibinin kim olduğunu belirleyen ya da belirlenebilir hale getiren verileri ifade eder.  Belirli ya da belirlenebilir olması, söz konusu verinin herhangi bir suretle bir kişiye isnat  edilmesini ifade eder. Bu kapsamda kişinin sadece isim, soyisim, Türkiye Cumhuriyeti kimlik  numarası gibi kişinin kesin tespitini sağlayacak bilgiler haricinde kişinin ekonomik, ailevi,  sosyal, dini görüşü, siyasi görüşü gibi bilgiler de kişisel veri olarak değerlendirilir. Kişisel  verilerin en önemli özelliklerinden biri gerçek kişiye ait olmasıdır. Tüzel kişiye ait kişisel veri  niteliğine haiz bilgiler kişisel veriler kapsamında değerlendirme altına alınamaz. 

Kişisel veriler, insanların bir arada yaşadığı günden bugüne kadar var olmuştur. Birbirleriyle iletişim halinde olan insanlar kimi sebeplerle sahip oldukları kişisel veri  niteliğindeki bilgileri paylaşmışlardır. Ancak 20. ve 21. YY itibari ile teknoloji ve internetin  yaygın hale gelmesi sonucunda kişisel veriler daha da önem kazanmıştır. Özellikle internet  ortamında reklam ve benzeri amaçlar uğruna kişisel veriler yayılmakta hatta çeşitli kurumlar ve kişiler tarafından kullanılıp, işlenmektedir. İnsanların sahip olduğu fiziksel özelliklere, siyasi,  dini görüşe göre beğenebileceği ürünlerin karşısına çıkması ya da herhangi bir şekilde bu  bilgilerle ilişkilendirilebilecek durumlara maruz kalması kişisel verilerinin kullanıldığını  gösterir. Kişisel verilerin korunması burada karşımıza çıkar. Kişisel verilerin korunmaması  bilinçsizce işlenmesi veya kötü niyetli kullanımlara sebep olmaktadır. Örneğin kişinin Türkiye  Cumhuriyeti kimlik numarası bir kişisel veridir. Bu verinin bilinçsizce işlenmesi, korunamaması ve yayılması  sonucu kötü niyetli kişiler yüzünden verisi işlenen kişi haksız bir şekilde bir yükümlülük altına sokulabilir ya da kişinin hiç yapmadığı bir şey o kişi yapmış gibi gösterilebilir. Bu gibi ve bundan daha büyük sonuçlara yol açacak olayların önüne geçilmesi için kişisel verilerin  korunması oldukça önemli bir konudur. Bu koruma sayesinde bilinçsiz bir şekilde kişisel  verilerin toplanmasının, hukuka uygun toplanan kişisel verilerin bilinçsizce işlenmesine ve kötü  niyetli kullanımların önüne geçilir.

Kişisel verilerin ne kadar önemli olduğunun farkına varan Avrupa Konseyi, 1970’li yıllardan  itibaren kişisel verilerin korunması alanında çalışmalar yapmıştır. Yapılan çalışmalar  neticesinde 28 Ocak 1981 tarihli Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında  Bireylerin Korunması Sözleşmesini imzaya açmıştır. Bu sözleşmenin temel amacı, sözleşmeye  imza atan ülkelerde insanların uyruğu veya yerleşim yeri ne olursa olsun, bir kişiye ait kişisel  nitelikteki verilerin otomatik işleme tabi tutulması karşısında bireyin özel hayatını ve özel  hayatın gizliliğini öncelemektir. Türkiye’nin bu sözleşmeyi 28 Ocak 1981 tarihinde imzalayarak  neredeyse ilk imza atan ülkelerden biri olmasına karşın sözleşme 17 Mart 2016 tarihinde Resmi Gazete’de yayınlanarak iç hukuka dahil edilmiştir. Daha sonra bu sözleşmeye Ek Denetleyici Makamlar ve Sınır Aşan Veri Akışına İlişkin Protokolü de Türkiye’de, ilk imzalayan ülkelerden biri olunmasına karşın iç hukuka 5 Mayıs 2016 tarihinde dahil edilmiştir. 

Türkiye iç hukukunda kişisel verilerin korunması açısından yapılan ilk düzenleme ise  26 Eylül 2004 tarihli ve 5237 Sayılı Türk Ceza Kanununa dayanır. Bu kanunla beraber kişisel  verilerin kaydedilmesi, kişisel verilerin ele geçirilmesi ve kişisel verileri yok etme suçları  yaptırım altına alınmış, bu fiilleri işleyen kişilerin cezai sorumluluğu doğmuştur. Daha sonra  2010 yılında yapılan Anayasa değişikliği ile beraber kişisel verilerin korunması Anayasa ile  güvence altına alınmıştır. Anayasa’nın özel hayatın gizliliğini konu alan 20. Maddesine  “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin  kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların  düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp  kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya  kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla  düzenlenir.” hükmü eklenmiştir. Her ne kadar bu düzenlemeler yapılmış olsa da, kişisel  verilerin daha kapsamlı bir şekilde ele alındığı bir kanun yapma ihtiyacı hasıl olmuştur. Yapılan  çalışmalar neticesinde 24 Mart 2016 tarih 6698 sayılı Kişisel Verilerin Korunması Kanunu  yayımlanmıştır. Bu kanun, kişisel verilerin nasıl korunacağı ve kişisel verilerin nasıl işleneceği  konularına bir yol gösterici olmuştur. Bu kanunla beraber kişisel verilerin bilinçsiz bir şekilde  işlenmesi ve yayılmasının tam anlamıyla önüne geçilmesi amaçlanmıştır. 

6698 sayılı Kişisel Verilerin Korunması Kanunu, insanların kişisel verilerini çeşitli  sebeplerle toplayan kurum ve kuruluşların bu verileri hukuka uygun bir şekilde işlenmesi ve korunmasını denetlemek için Kişisel Verilerin Korunması Kurumunu öngörmüştür. Bu kurum 6698 sayılı kanunun gereklerini yerine getirmek için 30 Ocak 2017 tarihinde kurulmuştur. Söz  konusu kurumun görevleri 6698 sayılı kanunun 20. maddesinde sayılmıştır.

Kişisel Verilerin Korunması Kanunu m. 20 “(1) Kurumun görevleri şunlardır: 

a) Görev alanı itibarıyla, uygulamaları ve mevzuattaki gelişmeleri takip etmek, değerlendirme  ve önerilerde bulunmak, araştırma ve incelemeler yapmak veya yaptırmak. 

b) İhtiyaç duyulması hâlinde, görev alanına giren konularda kamu kurum ve kuruluşları, sivil  toplum kuruluşları, meslek örgütleri veya üniversitelerle işbirliği yapmak.

c) Kişisel verilerle ilgili uluslararası gelişmeleri izlemek ve değerlendirmek, görev alanına giren  konularda uluslararası kuruluşlarla işbirliği yapmak, toplantılara katılmak. 

ç) Yıllık faaliyet raporunu Cumhurbaşkanlığına, Türkiye Büyük Millet Meclisi İnsan Haklarını  İnceleme Komisyonuna (…) sunmak.

d) Kanunlarla verilen diğer görevleri yerine getirmek.”

        Kurum, genel olarak kişisel verilerin korunması alanında gelişmeleri takip edip bu konuda  işlemler yapmakla görevlidir. Ayrıca Kişisel Verilerin Korunması Kanunu m.18’de belirtilen  kabahatler ortaya çıktığında idari para cezası vermeye de yetkilidir. 

6698 Sayılı Kişisel Verilerin Korunması Kanunu kapsamında kişisel veriler hakkında  önemli kavramlara yer verilmiştir. Bu kavramlar temel kavramlar olup kanun koyucu  tarafından açıklanmıştır. Ancak ele alınmasında fayda vardır.

1-) Özel Nitelikte Kişisel Veri

Kişisel verinin ne olduğundan detaylı bir şekilde bahsetmiştik ancak özel nitelikte  olması o veriyi kimi durumlarda daha önemli ve korunmaya muhtaç hale getirir. Özel  nitelikteki kişisel veriler; kişilerin ırkı, siyasi düşüncesi, dini ve mezhebi, üye olduğu dernek ve vakıflar, sağlığı, genetik bilgileri gibi verilerdir. Bu tür verilerin işlenmesi daha ağır şartlara bağlanmıştır.

2-) Açık Rıza

Kişisel verilerin işlenmesi için en önemli şartlardan biri olan açık rıza kavramı kanunun birçok maddesinde ele alınmıştır. Açık rıza, ayrıca uluslararası metinlerde de yer bulan önemli  bir kavramdır. Açık rıza, kişinin sahip olduğu verinin, kendi isteği ya da karşı taraftan gelen  işlenmesi isteğine rıza gösterilmesidir. Kanun açık rızanın 3 unsuru olduğunu belirtmiştir.

∙ Belirli bir konuya ilişkin olması: Rızanın hangi verileri ve hangi işlemleri kapsayacağının belirli olmasıdır.

∙ Bilgilendirmeye dayanması: Rıza verilmeden önce kişinin söz konusu rızanın neleri  kapsayacağı konusunda detaylı bilgilendirilmiş olmasıdır.

∙ Özgür iradeyle açıklanması: Rızanın herhangi bir etki ve baskı altında olmadan  özgür bir şekilde açıklanmasıdır.

3-) Anonim Hale Getirme

Verilerin başka verilerle eşleştirilmesi sonucunda bile hiçbir şekilde veri sahibinin  kimliğinin belirli ya da belirlenebilir hale gelmemesine anonim hale getirme denilir. Yani  anonim hale getirme sonucu o veri sahibine isnat edilebilir olmaktan çıkacak ve kimseye isnat  edilemeyecektir. Anonim hale getirme sonucunda verilerin işlenmesine bazı şartların da varlığı  halinde izin verilebilecektir.