Kişisel Verilerin Korunması Kanunu

Kişisel verilerin korunması hukuku, bilgi toplumunda insan hakları bilincinin ve özel yaşamın gizliliği hassasiyetinin gelişmesine paralel olarak ortaya çıkmıştır. Günümüzde, bireylerin kimliklerini belirli hale getirmeye elverişli her türlü bilgi “kişisel veri” olarak kabul edilmekte ve bu bilgilere tüm gelişmiş ülkelerde, ulusal ve uluslararası alanda, hukuki himaye sağlanmaktadır. 
Kişisel verilerin korunması kanunu konusu, dünyada 1980’li yıllardan itibaren gündeme gelmeye başlamış, bu verilere ülkemizde sağlanan güvence ise 2010 yılındaki Anayasa değişikliğini takiben 2016 yılında yasalaşan 6698 sayılı Kişisel Verilen Korunması Kanunu ile pekiştirilmiştir. Konu, özellikle Avrupa İnsan Hakları Mahkemesi tarafından verilen yenilikçi kararlar sonucunda tüm dünyada bilinirliğe kavuşmuş, iktisadi hayatı yakından ilgilendiren gelişmeler doğurmuştur. 
Kişisel veriler, ülkemizde, ilgili mevzuata aykırılığa sebep olan ilgililere hukuki, cezai ve idari yaptırımlar uygulanmak suretiyle korunmaya başlanmıştır. Bu durum, ticari faaliyetleri kapsamında müşteri ve/veya çalışanlarının kişisel verilerini muhafaza eden veya kullanan kurumlar için mevzuata uyum zorunluluğu doğurmaktadır. Özellikle, kişisel verilerin sıklıkla kullanıldığı şirket, vakıf veya derneklerde yeni düzenlemelere uyum süreci büyük önem taşımaktadır.

Kanun, gerçek kişilere ait kişisel verilerin korunması ve işlenmesine dair süreçler ile kişisel veri işleyen şirketlerin yükümlülüklerini düzenlemekte; belirtilen yükümlülüklere uyum sağlamayan şirketler ve şirket temsilcileri için de;

• 5 bin TL’den başlayıp 1 milyon TL’ye kadar çıkabilen idari yaptırımlar ile 
• 1 yıldan 4,5 yıla kadar çıkabilen cezai yaptırımlar öngörmektedir.

Genel Bilgiler

Bir gerçek kişinin, üçüncü kişilerin bilgisine sunmadığı, ancak istendiğinde kendi açık rızası ile belirli bir amaç doğrultusunda sınırlı bir çevre ile paylaştığı unsurlar “kişisel veri” olarak kabul edilmektedir. Bu çerçevede, ilgili yasal düzenlemeler, kişiyi toplumdaki diğer bireylerden ayıran ve onun niteliklerini ortaya koyan aşağıdaki unsurları güvence altına almaktadır:

• Nüfus bilgileri, adli sicil kaydı, yerleşim yeri, medeni hal, fotoğraf, ses ve görüntü kaydı, telefon numarası, e- posta adresi, konum veya IP adresi gibi kimlik ve iletişim bilgileri,
• Eğitim durumu, meslek, özgeçmiş, banka hesap bilgileri gibi iş hayatına ilişkin bilgiler, 
• Kan grubu, parmak izi, DNA, saç, tırnak, sağlık raporları gibi biyolojik bilgiler, 
• Etnik köken, cinsel ve ahlaki eğilim, siyasi ve dini görüş, sendikal bağlantılar gibi sosyal bilgiler kişisel veri olarak değerlendirilmektedir.

Kişisel verilerin korunmasında temel mevzuat niteliğindeki 6698 sayılı Kişisel Verilerin Korunması Kanunu 07/04/2016 tarihinde yürürlüğe girmiş olup, yukarıda anılan unsurların bir veri kayıt sisteminin parçası olması halini düzenlemektedir.

“Veri kayıt sistemi”, kişisel verilerin belirli sınıflandırmalara göre yapılandırılarak işlendiği bir kayıt sistemini ifade etmektedir. Kişisel verilerin otomatik olan veya herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenmesi veya bu dosyalama sisteminin elektronik ortamda oluşturulmuş olmaması mezkûr düzenleme açısından herhangi bir fark yaratmamaktadır.

Dolayısıyla, ister çalışanı ister müşterisi hakkında olsun, herhangi bir kişiye ilişkin kişisel verileri ticari faaliyeti çerçevesinde bir dosyalama sistemi vasıtasıyla muhafaza eden veya kullanan tüm kişi ve kurumlar, ilgili yasal düzenlemelerin kapsamına girmekte ve bu kişi ve kurumlar açısından başta uyum zorunluluğu olmak üzere çeşitli yükümlülükler doğmaktadır.
Yükümlülükler
Kişilerin kişisel verileri üzerindeki hakları, bu verilere erişim ve bilgilendirilme hakkını içerdiği gibi bu verilerin düzeltilmesi, değiştirilmesi, silinmesini ve hukuka aykırılık durumunda zararın giderilmesini talep hakkını da bünyesinde bulundurmaktadır. Bu haklara paralel olarak, ilgili mevzuat, kişisel verileri muhafaza eden veya kullanan kişi ve kurumlara da çeşitli yükümlülükler getirmektedir.

Bu çerçevede öngörülen asli yükümlülük “kişisel verilerin işlenmesi” faaliyeti üzerinden tasarlanmıştır. “Kişisel verilerin işlenmesi”, kişisel verilerin bir veri kayıt sisteminin parçası olarak elde edilmesi, kaydedilmesi, depolanması, yeniden düzenlenmesi, aktarılması, açıklanması, devralınması, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade etmektedir. Kişisel veriler ancak mevzuatın öngördüğü ilkeler doğrultusunda ilginin açık rızası alınmak koşuluyla işlenebileceğinden; bu verileri muhafaza eden veya kullananların kişisel verileri edinirken ve edindiği verileri işlerken ilgili mevzuatın öngördüğü ilkeler yönünden bir denetim yapması gerekmektedir.

Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiler 6698 sayılı Kanun uyarınca “veri sorumlusu” olarak kabul edilmektedir. Kişisel verilerin, şirketin çalışanı veya veri işleme veya saklama hizmeti satın alınan üçüncü kişiler vasıtasıyla işlenmesi, veri sorumlularının yükümlülüğünü ortadan kaldırmamaktadır. Veri sorumlularının yukarıda anılan asli yükümlülüğün yanı sıra aşağıda örneklenen tali yükümlülükleri mevcuttur:

• Aydınlatma yükümlülüğü, 
• Verilerin güvenliğini sağlama yükümlülüğü, 
• Kişisel Verilerin Korunması Kurulu tarafından belirlenen şekilde Veri Sorumluları Siciline kayıt yaptırma yükümlülüğü, 
• Kanundan önce işlenmiş olan kişisel verileri Kanun hükümlerine uygun hâle getirme yükümlülüğü, 
• Veri Sorumluları Siciline kayıt yükümlülüğü bulunan veri sorumlularının “kişisel veri işleme envanteri” ve “kişisel veri saklama ve imha politikası” hazırlama yükümlülüğü.

Uyum Çalışmaları ve Önemi

İlgili mevzuatın kişi ve kurumlar için öngördüğü yükümlülükler “mevzuat uyum çalışmaları” gerçekleştirme gerekliliği doğurmaktadır.  Kanuna göre, 7 Nisan 2016 tarihinden önce işlenmiş kişisel verilerin 7 Nisan 2018 tarihine kadar Kanun hükümlerine uyumlu hale getirilmiş olması gerekmektedir. Kanun hükümlerine aykırı olduğu tespit edilen kişisel verilerin derhal silinmemesi, yok edilmemesi veya anonim hale getirilmemesinin müeyyidesi hapis cezası olarak tespit edilmiştir

Mevzuat uyum çalışmalarını başarıyla tamamlayan kişi ve kurumlar, ilgili mevzuattan doğan asli ve tali yükümlülüklerini yerine getirmiş olacaklar ve örneğin;

• Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edilmesi durumunda 1.000.000 Türk lirasına kadar para cezasından korunmuş olacaklardır. 
• Aydınlatma yükümlülüğünü yerine getirmeme durumunda 100.000 Türk lirasına kadar olan para cezasından korunmuş olacaklardır. 
• Kişisel verilerin hukuka uygun işlenmesi sayesinde, hukuka aykırılık durumunda ilgililer için cezai sorumluluk (Örneğin 2 yıldan 4 yıla hapis cezası) doğmasının önüne geçilmiş olunacaktır. 
• Kişisel verilerin hukuka aykırı işlenmesi durumunda kişilerin zararlarının giderilmesi taleplerinin şirketler üzerinde milyonlarca Türk Lirası tazminat yükü yaratmasının önüne geçilmiş olunacaktır. 
• Konunun bağlantılı mevzuat ile ilişkilendirilmesi sayesinde bir kişisel veri hukuku ihlalinin aynı zamanda haksız rekabet veya fikri mülkiyet hukukuna ilişkin ihlal doğurmasına engel olunacaktır.

Mevzuatın uygulanmasına yönelik Şubat 2019 itibariyle;

• Yurtiçinden 301’i şikayet, 35’i ihbar, 34’ü de veri ihlali olmak üzere toplam 395 başvuru,
• Yurtdışından 744 başvuru yapılmıştır.

Toplam 1139 başvurudan sonuçlandırılmış olan 233 başvuru için toplamda 1.363.000 TL idari para cezası uygulanmıştır.
Şubat 2019 itibariyle mevzuatla ilgili 161 Kurul ve 4 ilke kararı yayınlanmıştır. 
Kişisel Verilerin Korunması Kanunu Bilgi Danışma Hattı ALO 198’e ortalama günlük 300 aylık 9000 çağrı gelmektedir.

Sonuç

Yukarıda genel olarak açıklandığı üzere, kişisel verilerin korunması hukuku kişisel verilerin muhafazası ve kullanımında özel bir düzen öngörmekte, bu düzene uymayan ilgililere ise hukuki, cezai ve idari yaptırımlar uygulanmasına imkân vermektedir. İlgili mevzuatın kapsamına giren tüm kişi ve kurumların düzenlemeler hakkında bilgi sahibi olması ve kurum içi işleyişlerini, gerekirse uzmanlardan destek alarak, bu düzen ile uyumlu hale getirmesi büyük önem taşımaktadır.