• EN

Kişisel Verilerin Korunması Kanunu ve Uyum Süreci

Anayasamızın 20. maddesinde düzenlenen “Özel Hayatın Gizliliği ve Korunması Hakkı”, kişinin temel hak ve özgürlüklerinden biri olup Anayasal düzeyde tanınan ve korunan bir haktır.

5982 Sayılı Kanun vasıtasıyla 2010 yılında yapılan değişiklik ile AY m.20’ye bir ek fıkra eklenmiştir. Bu fıkra şöyledir:

Kişisel verinin değeri konusu günümüzde artık ekonomilerin en önemli unsuru haline gelmiştir. Big Data denilen kişisel veriler para ile satılır hale gelmiş olup Big Data’ya sahip olan işletmelerin ekonomik trendde önemleri gittikçe artmaktadır. Teknolojinin de gelişmesiyle birlikte gerek devlet kurumları gerekse özel kuruluşlar her gün binlerce kişisel veriyi elde etmekte, işlemekte ve aktarabilmektedir. Hal böyle olunca kişisel verilerin korunması gereği duyulmuştur.

Avrupa Konseyi Ne Gibi Çalışmalar Yürütüyor?

1970’li yılları takiben Avrupa Konseyi tarafından kişisel verilerin korunması alanında çeşitli çalışmalar başlatılmıştır. Akabinde 1 Ekim 1985 tarihinde ise “Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi” yürürlüğe girmiştir. Ülkemiz ise bu sözleşmeyi imzalayan ilk ülkelerden biri olarak 17 Mart 2016 tarih ve 29656 sayılı Resmi Gazete’de yayımlayarak iç hukukta yürürlüğe girmiştir.

Günümüzde gerek devlet gerek ise özel kuruluşlar, her geçen gün binlerce kişiye ilişkin bilgilere kolaylıkla ulaşabilmektedir. Bilişim teknolojisinin ilerlemesi ile şirketlerin bu verileri işlemesi ve aktarması oldukça kolaylaşmıştır. Teknolojik gelişmelerin temel hak ve hürriyetlere müdahale edebilmeyi kolay hale getirmesi ve bu durumun hukuki bir sorun haline gelmesi her bir kişisel verilerin korunması ihtiyacını gündeme getirmiştir.

Geçtiğimiz günlerde yayınladığımız yazılarımızda kişisel verileri saklayacak ve/veya işleyecek olan gerçek ve tüzel kişilerin veri sahibine karşı sorumluluklarına değinmiş idik.

Kişisel verileri saklayacak ve/veya işleyen taraf 6698 sayılı Kişisel Verilerin Korunması Kanununda Veri Sorumlusu olarak tabir edilmiştir. Bu sebeple işbu yazımızın devamında biz de bu gerçek veya tüzel kişileri Veri Sorumlusu olarak tabir edeceğiz.

Kanun veri sorumlusuna birtakım yükümlülükler tahmil etmektedir. Bunlardan bazıları veri sahibine karşı yükümlülükler iken bazıları ise Kuruma veya genel manada kamuya karşı sorumluluklardır. Bu sorumluluklar şöyle sıralanabilir:

Günümüzde hemen her şirket, gerek kendi bünyesinde gerekse işbirliği veya temas içerisinde olduğu birçok şirkete her gün yüzlerce veri aktarımı gerçekleştirmektedir. Aynı şekilde yine şirketler, büyümek ve dış ticarete de dâhil olmak amacı ile yurt dışı menşeli birçok şirketle iş ortaklığı yapmaktadır. Keza yurt dışı menşeli pek çok şirket de ülkemizde faaliyet göstermektedir. Haddizatında, hayatın rutin akışında her bir faaliyet bir veri paylaşımına sebep olabilmektedir. Hal böyle olunca şirketler nezdinde yer alan kişisel verilerin üçüncü kişilere aktarımı kaçınılmazdır.

6698 Sayılı Kişisel Verilerin Korunması Kanunu na ( KVKK )uyum sürecinin 07.04.2018 tarihi itibariyle sona ermesi neticesinde günlük hayatımızda gittikçe daha fazla yer edinen kişisel verilerin hukuka uygun olarak saklanması/işlenmesi konusunda geçtiğimiz günlerde Açık Rıza’nın kanundaki önemine değindiğimiz bir yazımızı yayınlamıştık.

Veri sorumlusu 6698 Sayılı Kişisel Verilerin Korunması Kanunu ( KVKK ) ile birlikte kişisel verileri, sahibinin açıkça rızası olmaksızın elde edememekte, aktaramamakta ve muhafaza edememektedir. Lakin KVKK, veri sorumlusunun kanundan doğan bir yükümlülüğünün olması durumlarında veri sahibinin açık rızası olmaksızın da kişisel verileri kullanabileceği hususuna ilişkin diğer kanun hükümleri saklı tutmuştur. Zira veri sorumlusunun o veriyi kullanmak, muhafaza etmek ya da aktarmak konusunda haklı bir gerekçesi bulunmaktadır.

Kişisel Verilin Korunması Kanunu ( KVKK ) yayımlandıktan sonra, bu kanun kapsamında yürürlüğe giren Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmelik ile VERBİS ’e kayıt olmakla yükümlü olan veri sorumluları, kişisel veri saklama ve imha politikası hazırlamakla yükümlü kılınmıştır. İmha politikası da kişisel verilerin ortadan kaldırılmasına ilişkindir.

Kişisel veri kavramını her geçen gün daha fazla duymaktayız. Gittikçe daha popüler bir konu haline gelen kişisel verilerin korunması hususunun bu yükselişinin temel sebebi 07.04.2016’da Resmi Gazete’de yayınlanmakla yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu’na uyum süreci için öngörülen 2 yıllık sürenin 07.04.2018 tarihi itibariyle sona ermesi.

6698 Sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ile birlikte, veri sorumlusunun veri sahibinin kişisel verilere ilişkin olarak birtakım yükümlülükleri doğmuştur. Veri sorumluları yani genel olarak şirketler, veri sahibinin (şirket çalışanı, müşteri, iş ortağı, ziyaretçi gibi) kişisel verilerini şirketlerin işleyiş amacının gerektirdiği süre içerisinde, sınırlı ve ölçülü olarak kullanmalıdır.

Kişisel Verilerin Korunması Kanunu’nun yürürlüğe girmesi ile birlikte “verinin hukuka uygun işlenmesi” şeklinde bir kavram daha ortaya çıkmıştır. Hukuka uygun veri işlenmesi için Kanun, aşağıda belirtilen üç koşulun bir arada gerçekleşmesini öngörmüştür. Bu koşulları şöyle sıralayabiliriz:

Kişisel veri, kişinin özel hayatının bir parçası olarak değerlendirilmekte olup bireylerin kimliklerini belirli hale getirmeye elverişli her türlü bilgiyi ifade etmektedir. Bu verilerin gelişigüzel kullanılması başta özel hayatın gizliliği olmak üzere, birçok farklı menfaatin ihlali manasına gelmektedir. 6698 Sayılı Kişisel Verilerin Korunması Kanunu ( KVKK ) ise kişisel verileri koruyarak kişilerin özel hayatın gizliliğinin yanı sıra kişilik hakkı, konut dokunulmazlığı, serbest iradenin korunması gibi birçok farklı menfaatlerin korunmasına hizmet etmeyi amaçlamaktadır.  

6698 sayılı Kişisel Verilerin Korunması Kanunu nun (KVKK) yürürlüğe girmesi ve bu kanun doğrultusunda 01.01.2018 tarihinde yürürlüğe girmiş olan Veri Sorumluları Sicili Hakkında Yönetmeliğin de ( Yönetmelik ) yayımlanması ile veri sorumluları için bir kısım yükümlülükler belirlenmiştir. Bu yükümlülüklerden biri de veri sorumlularının Veri Sorumluları Sicili'ne ( Sicil ) kayıt yaptırmalarıdır. Nedir bu Veri Sorumluları Sicili, bu Sicil'e nasıl kayıt yaptırılacaktır?

Veri Sorumluları Sicili Hakkında Yönetmelik ("Yönetmelik") 30.12.2017 tarihli ve 30286 sayılı Resmi Gazete de yayımlanmış ve 01.01.2018 tarihinde yürürlüğe girmiştir.

Kişisel veri hukukumuzda "kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi" olarak tanımlanmıştır. Bu bağlamda kişinin adı-soyadı, adresi, dini inancı, hastalıkları, siyasi düşüncesi, telefon numarası gibi birçok veri, kişisel veri olarak kabul edilmektedir. Teknolojinin de gelişmesi ile birlikte kişisel verilerin işlenmesi günlük hayatın hemen her alanında karşımıza çıkmaktadır. Bu kavram, alışveriş yaptığımızda tüketici hukuku, hastaneye gittiğimizde sağlık hukuku, çalışma hayatında iş hukuku gibi hukukun birçok alanında da yer almaktadır.