Kişisel Verilerin Korunması Kanunu ve Getirdiği Düzenlemeler

I.KISIM

KİŞİSEL VERİ KAVRAMI, KİŞİSEL VERİLERİN İŞLENMESİ, TEMEL İLKELER VE İŞLENME ŞARTLARI

Kişisel veri, bir gerçek kişiyi belirli veya belirlenebilir kılan kişiye ait her türlü bilgidir. Kişiye ait verilerden bahsedilince, tüm dünyadaki hukuk düzenlemelerinde ilk sırada yer alan temel hak ve özgürlüklerin korunma ihtiyacı da teknolojik gelişmeler ve buna bağlı olarak bilginin çok hızlı şekilde yayılması ile gittikçe artmaktadır. Kişisel verilerin korunması ile ilgili birçok uluslararası düzenleme mevcut olmakla bağlayıcılığı açısından en önemli olan ise 25 Mayıs 2018 tarihinde yürürlüğe giren 2016/679 sayılı Avrupa Birliği Genel Veri Koruma Tüzüğü’dür. Türkiye’deki ulusal düzenlemelere baktığımızda ise kronolojik sıra, kişisel veriler bakımından önleyici bir kanun niteliğinde olmayan ancak madde 135 ve 140 arasında cezai yaptırımları belirten 2004 yılında yürürlüğe giren 5237 sayılı TCK, kişisel verilerin ilk defa anayasa hükmünde yer alması bakımından önemli olan 12 Eylül 2010 tarihli Anayasa (mevcut anayasanın 20.maddesi) ve 7 Nisan 2016 tarihli Kişisel Verileri Koruma Kanunu’dur.Bu yazımızın konusunu oluşturan kişisel verileri koruma kanununun temel kavramlarına değinmeden önce  Kişisel Verileri Koruma Kurumu ve Kişisel Verileri Koruma Kurulu’nun ortaya çıkmasındaki gerekliği anlamak bakımından Anayasa’nın 20.maddesine bakmakta fayda olduğunu düşünmekteyim.

 

ANAYASA 20.MADDE

Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.”

Açıkça anlaşılacağı üzere bu maddede, kişisel verilerin korunmasına ilişkin esas ve usullerin kanunla düzenleneceği belirtilmiş olup, verisi işlenen gerçek kişinin sahip olduğu haklara değinilmiş ve veri işleme şartlarından olan açık rıza da madde de yerini almıştır.

 

Kişisel Veri Nedir ? Kişisel Verilerin İşlenmesi Ne Anlama Gelmektedir ?

Yukarıda da tanımı yapıldığı üzere, kişiyi belirli veya belirlenebilir kılan gerçek kişiye ait  her türlü veriye kişisel veri diyebiliriz. Kişisel veri kavramından sadece ad soyad veya sağlık verilerimizin anlaşılması büyük bir hata olacaktır zira gittiğimiz mekanlarda yaptığımız check-in’ler, google’da yapmış olduğumuz aramalar, güvenlik kameralarındaki görüntülerimiz, işe-giriş çıkış yaptığımız yerlerde kart okuyucular ile saatlerin kayıt alınmasına kadar kendimizle ilgili olan her şey aslında birer kişisel veridir. Aslında kişisel veri  hayatımızın olağan akışı içerisinde bıraktığımız izlerimizdir. İşte bu bize ait olan izleri, teknik anlamda verileri, muhafaza eden ve işleyenlerde veri sorumluları ve veri işleyenlerdir. Yaşamın gittikçe daha çok kompleks hale gelmesi ve teknolojik gelişmelerin gittikçe artmasıyla verilerimizi paylaştığımız gerçek ve tüzel kişiler artmakta ve verilerimizin korunma ihtiyacı gittikçe daha da önemli olmaktadır. Peki kişisel verilerin işlenmesinden ne anlayabiliriz? Kişisel verilerin işlenmesi; kişisel verilerin kısmen yada tamamen otomatik yollarla veya herhangi bir veri kayıt sisteminin parçası olmak şartıyla otomatik olmayan yollarla elde edilmesiyle başlayan süreci ve  verilerin toplanmasını, bilişim sistemine girilmesini, düzeltilmesini, muhafaza edilmesini, silinmesini, yok edilmesini veya anonim hale getirilmesini kapsayan genel bir kavramdır.Örnek vermek gerekirse, bir hastaneye gittiğinizde kimlik bilgilerinizin ve hangi tıbbi bölümde muayane olduğunuzun hastane veri kayıt sistemine girilmesi ve burada tutulması ( örnek: önceki ziyaret geçmişiniz) bir veri işleme faaliyetidir. Muhatap olduğumuz birçok tüzel kişi ya da gerçek kişi  ya açık rızamız ile ya da kanunda belirtilen diğer şartları sağlama koşulu verilerimizi işleyebilmektedir. Verilerimizin işlenebilmesi için uyulması gereken temel ilkeler ve şartlar kanunda belirtilmiş olmakla birlikte bu şartlara birazdan değinilecektir. Kişisel verilerin gerçek veya tüzel kişiler tarafından işlenmesi deyince karşımıza veri sorumlusu ve veri işleyen olarak 2 kavram ortaya çıkmaktadır. Birçok konuda verisi işlenen ilgili kişilere karşı müştereken sorumlu olan veri sorumlusu ve veri işleyen birbirinden farklı anlamlara gelmektedir. Veri sorumlusu, veri kayıt sistemini kuran ve hangi verilerin hangi amaçla ve ne kadar süre için işleneceğini belirleyen gerçek veya tüzel kişidir. Veri işleyen ise, bu işlemlerin teknik sürecini yöneten gerçek veya tüzel kişiyi ifade etmektedir. Örnek vermek gerekirse bir özel okul öğrencilerinin ve velilerinin bilgilerinden yana veri sorumlusudur ancak velilerle görüşmeleri gerçekleştirmek üzere bir çağrı merkezi ile anlaştıysa o çağrı merkezi veri işleyen durumundadır.

 

Kişisel Verilerin İşlenme Şartları Nelerdir ?

 Kanunun 5. maddesinde kişisel verilerin işlenme şartları düzenlenmiştir. Özel nitelikli kişisel verilerin işlenme şartları ise Kanunun 6. maddesinde farklı esaslara bağlanmıştır. Bu çerçevede, özel nitelikli olmayan kişisel verilerin hangi hallerde hukuka uygun olarak işlenebileceği Kanundaki esaslara göre aşağıdaki şekilde düzenlenmiş olup, bu şartlardan sadece bir tanesinin bulunması özel nitelikli olmayan kişisel verilerin işlenmesi için yeterli hukuki şartı oluşturacaktır.

  1. İlgili kişinin açık rızasının varlığı
  2. Kanunlarda açıkça öngörülmesi,
  3. Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, (ameliyat için yakınlarından izin alınması)
  4. Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, (satış sözleşmesi kurulurken banka hesap bilgilerinin paylaşılması)
  5. Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
  6. İlgili kişinin kendisi tarafından alenileştirilmiş olması, (ünlü bir kişinin hayatına ilişkin bilgileri blogda veya sosyal medyada paylaşmasıyla bu verilerin elde edilmesi)
  7. Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
  8. İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması. (bir şirketin organizasyon şemasında değişikliğe gidilebilmesi amacıyla bilişim sisteminde veriler işlenmek zorunda kalınması)

Kişisel verilerin işlenme şartları, yani hukuka uygunluk halleri, kanunda sınırlı sayıda sayılmış olup, bu şartlar genişletilemez. Burada belki de açık rıza ve diğer koşullar arasındaki bağlantı bakımından bahsetmemiz gereken en önemli konu, açık rıza dışında veri işleme şartlarından biri mevcut iken açık rıza alınarak verilerin işlenmesi ancak rıza geri alındığında mevcut olan diğer şartlardan birine dayanılarak veri işleme faaliyetine devam edilmesinin kötü niyetli bir hareket olduğudur. Kişisel verilerin işlenmesi sırasında uyulması gereken temel ilkelerden olan hukuka ve dürüstlük kuralına uygun davranma ilkesinin açıkça ihlal edilmiş olacağı ortadadır.

 

Kişisel Verilerin İşlenmesi Sırasında Uyulması Gereken Temel İlkeler Nelerdir ?

Kişisel verilerin işlenmesinde her zaman Kanunda ortaya konulan genel ilkelere uygun davranılmalıdır. Kişisel verilerin işlenmesinde genel ilkeler şunlardır:

  1. Hukuka ve dürüstlük kurallarına uygun olma,
  2. Doğru ve gerektiğinde güncel olma, ( adres bilginizi güncellemeyen elektrik dağıtım şirketinin ödenmeyen fatura için gönderdiği ihbarnamenin farklı adrese ulaşması sebebiyle elektrik hizmetinizin kesilmesi )
  3. Belirli, açık ve meşru amaçlar için işlenme, ( Veri sorumlusunun yükümlüklerinden olan aydınlatma yükümlülüğünün temelini oluşturan ilkedir. Verilerin hangi konu için işlendiği ne amaçla işlendiği açıkça belirtilmelidir. )
  4. İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
  5. İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.

Kişisel verilerin işlenmesine ilişkin ilkeler, tüm kişisel veri işleme faaliyetlerinin özünde bulunmalı ve tüm kişisel veri işleme faaliyetleri bu ilkelere uygun olarak gerçekleştirilmelidir.

Konunun buraya kadar olan bölümünde anlatmak istenilen husus şudur ki, kişisel verilerimizin veri sorumlusu veya veri işleyenlerce işlendiği, verilerimizi işleyenlerin uyması gereken temel ilkeler olduğu ve her şeyden önce kanunda belirtilen şartlardan biri mevcut ise verilerimizin işlenebileceğidir. Bu yazı dizisinin ikinci kısmında, verilerimizin yurtdışı veya yurtiçi aktarımı için var olması gereken şartlara, veri sorumlusunun yükümlülüklerine, verisi işlenen gerçek kişi olarak sahip olduğumuz haklara ve veri sorumlularının karşılaşacağı idari yaptırımlar ile kuruma karşı olan şikayet hakkımızı nasıl kullanacağımız konusuna değineceğim. Kişisel verilerimiz konusunda en hassas kişinin kendimiz olduğunu unutmamak dileğiyle bir sonraki yazımda görüşmek üzere.

 

Stj. Av. Gökhan KURUCA – yirmibir YK Başkanı

Leave a Reply

Your email address will not be published. Required fields are marked *