KİŞİSEL VERİ NE DEMEKTİR? KİŞİSEL VERİ KORUMA DÜZENİ

                                                                                                      KVKK Uzmanı Endüstri Mühendisi Nadide Nur GÖÇ

GİRİŞ

Kamu kurum ve kuruluşlarının çeşitli iş ve faaliyetlerini elektronik cihazlar ve ağlar üzerinden yürütmesi bir dizi risk taşır. Zararlı yazılımlar ve kötü niyetli kişiler tarafından yapılan elektronik saldırılar; kişisel, kurumsal ve kamusal verilerin gizliliğini riske atmakta, bilgi erişiminin denetimi zorlaştırmakta ve çeşitli güvenlik tehlikelerini ortaya çıkarmaktadır. Özellikle bilgi ve iletişim teknolojilerinin hızla yaygınlaşması, başta internet olmak üzere çeşitli iletişim kanallarının ve elektronik cihazların gündelik yaşamda daha fazla yer alması ve kişisel verilere erişimin kolaylaştığı dikkate alındığında en temel insan hakları arasında görülen kişisel verilerin korunmasının ulusal ve uluslararası standartlar çerçevesinde ele alınması gerekmektedir.

Çeşitli ülkelerde ortaya çıkan kişisel verilerin hukuka aykırı şekilde kötü niyetli kişilerin eline geçmesi ve kullanılması bu konuda toplumda çok ciddi bir hassasiyet yaratmıştır. Avrupa Birliği’nin Türkiye’den kişisel verilerin korunması hakkında yasal ve yönetsel düzenleme talep etmesi üzerine Türkiye’nin bu alandaki politikaları ve yasal mevzuatları geliştirilmiştir. Bir başka deyişle, Türkiye için kişisel veri politikalarının geliştirilmesi açısından en önemli itici güç Avrupa Birliği olmuştur.

1. Kişisel Veri Kavramı

Kişisel veri, bireylerin kimliklerini belirli hale getirmeye yarayan her türlü bilgiye verilen addır. Kişinin kimlik, iletişim, sağlık ve mali bilgileri ile özel hayatına, dini inancına ve siyasi görüşüne ilişkin bilgilerin hepsi kişisel veri olarak tanımlanmaktadır (Kişisel Verilerin Korunması Kanunu Tasarısı ve Adalet Komisyonu Raporu, 2016). Anayasa Mahkemesi tarafından ise “Kişisel veri kavramı, belirli veya kimliği belirlenebilir olmak şartıyla, bir kişiye ilişkin bütün bilgileri ifade etmektedir.” şeklinde açıklanmaktadır (Anayasa Mahkemesi E. 2014/122 K. 2015/123 m. 20).

Kişisel veriler sadece kişilerin adı, soyadı, doğum tarihi ve doğum yeri gibi onun doğrudan teşhisini sağlayan bilgiler değil, bunlara ek olarak kişinin fiziki, ailevi, ekonomik, sosyal özelliklerine ilişkin bilgileri de bünyesinde barındırmaktadır. Bir kişinin belirli veya belirlenebilir olması, mevcut verilerin gerçek kişiyle ilişkilendirilerek, mevcut kişinin tanımlanabilir hale getirilmesi sürecidir. Diğer bir deyişle veriler; kişinin herhangi bir kayıtla ilişkilendirilmesi sonucunda kişinin belirlenmesini sağlayan tüm halleri kapsar (Komisyon Raporu, 2016). Kişinin adı, telefon numarası, adresi, doğum tarihi, medeni durumu, uyruğu, sağlık durumu, görüntüsü, taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri gibi veriler dolaylı olarak kişiyi belirlenebilir kılması nedeniyle kişisel veriler olarak nitelendirilir (Komisyon Raporu, 2016). Dolayısıyla kişisel veri, kişinin yalnızca özel yaşamındaki bilgileri içermez, ekonomik ve mesleki bilgileri de dahil onun kimliğini ortaya çıkararak kişiyi belirli kılan ve kişiyi karakterize eden bütün bilgi ve verilerdir (Akgül, 2013).

Kişisel verilerin korunması hakkının asıl amacı, kişilerin özel hayatının gizliliğini güvence altına alarak kamu veya özel sektör tarafından tutulan kayıtların korunması için gerekli önlemlerin alınması ve böylece kişileri korumaktır (Akgül, 2015).

2. Kişisel Verilerin İşlenmesi

Kişisel verilerin işlenmesi; kişisel verilerin otomatik veya manuel yollarla elde edilmesinin, kaydedilmesinin, depolanmasının, değiştirilmesinin, silinmesinin veya yok edilmesinin, yeniden düzenlenmesinin, açıklanmasının veya başka bir şekilde elde edilebilir hale getirilmesinin ve üçüncü kişilere aktarılmasının sınırlandırılması amacıyla bu veriler üzerinde gerçekleştirilen her türlü işlem veya işlemler bütünü olarak tanımlanabilir. Diğer bir deyişle kişisel verilerin işlenmesi, verilerin elde edilmesinden yok edilmesine kadar geçen süreçte verilerle yapılan her türlü işlemi içermektedir (Kaya, 2011). Toplama, kaydetme, depolama, değiştirme ve silme gibi işlemler, bu süreçte birbirini takip eden ayrı bölümlerdir. Fakat, verilerin işlenmesi için tüm bölümlerin gerçekleşme zorunluluğu yoktur; birkaçının tek başına yapılması da veri işleme olarak kabul edilmektedir.

Kişisel verilerin işlenmesinde otomatik veya manuel yollar kullanılmasının arasında bir fark yoktur. Kişisel verilerin cihazlarda ya da kâğıt, dosya gibi fiziki evraklarda depolanmasına bakılmaksızın her iki durum da veri işleme sayılmakta ve veri koruma hukuku kurallarına tabi tutulmaktadır. Türk Ceza Kanunun 135. maddesinde de kişisel verilerin hukuka aykırı olarak kaydedilmesi suçu açısından verilerin bilgisayar ortamında veya kâğıt üzerinde kayda alınması arasında bir ayırım belirtilmemiştir.

Türkiye’de kişisel verilerin korunması bağlamında, genellikle sadece kişisel verilerin kaydedilmesi eylemi akla gelmekte ve veri koruma hukukunun sadece kişisel verilerin hukuka aykırı olarak kaydedilmesini engellemeye çalıştığı şeklinde bir düşünce vardır. Ancak, “işleme” kavramının tanımı, kişisel verilerin elde edilmesi ve kaydedilmesinden başlayarak bu verilerin yurtdışına aktarılmasına kadar pek çok işlemi kapsamaktadır. Diğer bir deyişle veri koruma hukukunun amacı, bu veriler üzerinde gerçekleştirilen tüm işlemlerin hukuka uygun gerçekleştirilmesini sağlamaktır (Uygun, 2010). Bu bağlamda değerlendirildiğinde, kişisel verilerin işlenmesine pek çok örnek verilebilir. Kişinin sağlık durumuna ilişkin bilgilerin sağlık dosyalarına kaydedilmesi, nüfus ve adres bilgilerinin kişinin kendisinden veya başka bir kaynaktan elde edilmesi, bir otomatik sisteme veya fiziki bir dosyaya elle kaydedilmesi, bu bilgilerin saklanması veya başkalarına aktarılması, kişinin fotoğraf veya parmak izinin elde edilmesi ve saklanması, sesinin veya görüntüsünün kaydedilmesi veya bu kayıtların başkalarına aktarılması veya yayınlanması, kişinin telefon numarasının, e posta adresinin veya IP adresinin elde edilmesi, bunların başkalarına verilmesi veya doğrudan pazarlama amacıyla kullanılması sayısız veri işleme faaliyetlerinden sadece birkaçıdır (Uygun, 2010).

3. Kişisel Verilerin Korunması Düzeni

Günümüzde bilgi, güç ile eş değer tutulmaktadır. Bu sebeple kişisel veriler, hem kamu hem de özel sektör tarafından toplanılmakta, çeşitli şekillerde kullanılmaktadır. Devletler, vatandaşlarının hak ve özgürlüklerini güvence altına almak amacıyla, kamu güvenliğini sağlamak ve sosyal düzeni korumak zorundadır. Bu nedenle kamu kuruluşları, daha sağlıklı kamu hizmeti sunmak, suçlularla mücadele etmek ve vergi toplamak gibi çeşitli amaçlarla, bireyler hakkında bilgiler toplamaktadır. Aynı şekilde özel hukuk tüzel kişileri de hedef kitleleri olan tüketicilerden elde edebildikleri her türlü bilgiyi depolama eğilimindedirler, böylece sundukları hizmetin kalitesini arttırabilmekte ve bu bilgileri üçüncü kişilere aktararak ticari kazanç sağlamaktadırlar (Aksoy, 2010; Arslan, 2011).

Özellikle bilgisayar ve internete yönelik teknolojideki gelişmelere paralel olarak hem kamu kurumları hem de özel sektör tarafından toplanan kişisel veriler, bilişim sistemleri üzerinde depolanmaya başlamıştır. Bunun devamında verilerin hukuka aykırı olarak paylaşılması ve ifşa olması gibi riskler ortaya çıkmıştır. Kişisel verilerin önemi ve bu bilgilerin yoğun bir şekilde işlenmesi eğilimi sonucunda doğan veri koruma hukukunun amacı, bireyin temel kişilik haklarının korunması ile verilerin serbest dolaşımı arasındaki dengenin kurulmasıdır (Aksoy, 2010; Arslan, 2011).

Veri koruma hukuku kapsamında kişisel verilerin korunmasına yönelik Avrupa Birliği önemli adımlar atmıştır. Bununla birlikte Avrupa Birliği’nin Türkiye’den kişisel verilerin korunması kapsamında düzenleme talep etmesi sonucunda Türkiye’de de kişisel veri koruma politikaları oluşturulmaya başlanmıştır. Ayrıca Türkiye ile Avrupa Birliği entegrasyon ve katılım müzakereleri, bu politikaların oluşturulmasında oldukça etkili olmuştur (Pehlivan, 2016). Diğer bir deyişle Avrupa Birliği, Türkiye’de kişisel veri politikalarının oluşturulmasında birincil güç olmuştur.

Türkiye’de kişisel verilerin korunmasına yönelik doğrudan bir çerçeve yasa hükmündeki 6698 sayılı Kişisel Verilerin Korunması Kanunu 24 Mart 2016 tarihinde TBMM’de kabul edilerek yasalaşmıştır. Kanun özellikle kişisel verilerin korunmasına dair birçok hak ihlalinin engellenmesi açısından oldukça önemli bir adımdır. 6698 sayılı Kanun’un 1. maddesinde Kanun’un hedefinin, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerinin korunması ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasların düzenlenmesi olduğu belirtilmektedir.

Kişisel veriler, bireylerin makul beklentileri dikkate alınarak işlenmeli ve yasal sebeplere dayandırılmaksızın bireylerin aleyhinde kullanılmamalıdır. Kişisel verilerin hangi amaçlar dahilinde toplandığı açıkça belirtilmeli; toplanan veriler, ilgili iş ya da eylemle ilişkili olmalı ve belirtilen amaçlar dışında işlenmesi halinde veri işleme görevlileri sorumlu tutulabilmelidir (European Commission, 2013).

Kişisel verilerin korunmasına ilişkin önemli konulardan bir diğeri de “özel nitelikli kişiler”in verilerinin işlenmesidir. 6698 sayılı Kanun’un 6. maddesinde özel nitelikli kişisel verilerin kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerinden oluştuğu belirtilmektedir. Kural olarak özel nitelikli kişisel verilerin işlenmesi yalnızca bireylerin açık rızası dahilinde yasaldır. Bunun yanı sıra özel nitelikli kişisel verilerin işlenmesine dair bazı istisnalar bulunmaktadır. Bu istisnalar çerçevesinde özel nitelikli kişisel verilerin işlenmesinde 6698 sayılı Kanun Kişisel Verileri Koruma Kurulu’nun gerekli ek tedbirleri almakla yükümlü olduğu hüküm altına alınmıştır.

6698 Sayılı Kanun çerçevesinde işlenen kişisel veriler, veri işlenmesini gerektiren şartların kalkması halinde resen ya da ilgili kişinin istemi üzerine veri sorumluları tarafından silinebilir (m. 7). Bu verilerin silinmesi kayıtlı oldukları evrak, dosya, CD, disket, hard disk gibi diğer tüm araçlardan da geri dönüştürülemeyecek şekilde silinmesi anlamına gelmektedir. Böylece silinmiş kişisel verilerin hiçbir şekilde tekrardan kullanılamaması ve geri getirilemeyecek bir biçimde imha edilmesi amaçlanmaktadır. Bunun yanı sıra kişisel veriler başka verilerle eşleştirilerek belirli veya belirlenebilir gerçek kişiyle ilişkilendirilemeyecek şekilde anonim hale getirilebilir. Bu kapsamda TCK 138. maddesinde kişisel verilerin kanunların belirlediği sürelerin geçmiş olmasına rağmen verileri sistem içinde yok etmekle yükümlü olanlara görevlerini yerine getirmediklerinde altı aydan bir yıla kadar hapis cezası verileceği hüküm altına alınmıştır.

Kişisel verilerin korunmasına ilişkin mühim konu başlıklarından birisi de “kişisel verilerin yurt dışına aktarılması”dır. Kural olarak ilgili kişinin açık rızası olmaksızın verilerin aktarılması mümkün değildir; fakat 6698 Sayılı Kanun ile diğer tüm hukuki bağlayıcı düzenlemeler çerçevesinde açık rıza aranmaksızın da bazı kişisel verilerin yurtdışına aktarımı olanak dahilindedir. Bu bağlamda kişisel verinin aktarılacağı yabancı ülkede yeterli korumanın bulunması veya yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak üstlenmeleri ve Kişisel Verileri Koruma Kurul izninin bulunması koşuluyla ilgili kişinin açık rızası aranmaksızın yurt dışına verilerin aktarımı gerçekleştirilebilmektedir. Hangi ülkelerin yeterli korumayı sağladığının Koruma Kurulu tarafından belirlenerek ilan edilmesi hüküm altına alınmıştır (m. 9/3).

6698 sayılı Kanunun Haklar ve Yükümlülükler başlıklı Üçüncü Bölümü’nde veri sorumluları ile ilgili veri sahibi kişilerin hakları ve görevleri açıklanmıştır. Bu bağlamda her birey, veri sorumlularına başvurarak kendisi hakkındaki kişisel verilere yönelik bilgi talep etme hakkına sahiptir. Bu talepler ilgili hukuki mevzuattaki hükümler ve istisnalar dâhilinde gerçekleştirilebilir.

6698 sayılı Kanun’da veri güvenliğine ilişkin önemli yükümlülükler bulunmaktadır. Kişisel verilerin korunması hususunda yasal düzenlemeler kadar kişisel veri sorumlularının da güvenirliğine ilişkin endişelerin giderilmesine yönelik önlemler alınmalıdır. Veri sorumluları, kişisel verilerin hukuka aykırı olarak işlenmesinin, erişilmesinin engellenmesi ve kişisel verilerin korunmasını sağlamak amacıyla gerekli her türlü teknik ve idari önlemleri almakla mükellef kılınmıştır (m. 12/1). Ayrıca Kişisel Verileri Koruma Kurumu Başkanlığı veri sorumlularının sicilini tutmakla görevlidir (m. 25/4). Bununla birlikte veri sorumluları ve veri işleyen kişiler, öğrendikleri kişisel verileri üçüncü kişilere açıklayamamakta, işlenme amacı dışında kullanamamaktadır. Ayrıca bu kişiler bahsedilen yükümlülükleri görevden ayrıldıktan sonra da sürdürmek zorundadır. İşlenen kişisel verilerin yasal olmayan yollarla başkaları tarafından elde edilmesi durumunda ise, veri sorumlusu bu durumu en kısa sürede ilgili birime ve Kişisel Verileri Koruma Kurulu’na bildirmekle yükümlüdür. Kurul, gerekli görmesi hâlinde durumu kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilme hakkına sahiptir (m. 12/4-5).

SONUÇ

Bilgi ve iletişim teknolojilerinde yaşanan gelişmeler yüzyılımıza damgasını vurmuştur. Özellikle İnternetin yaygınlaşmasıyla birlikte dünyadaki iletişim ve veri paylaşımını oldukça kolaylaşmış ve hızlanmıştır. Küreselleşen dünyada, veri paylaşımı da küresel boyutlara ulaşmıştır. Bu nedenle, ülkeler yaptıkları uluslararası sözleşmelerle verileri güvenli bir şekilde paylaşabilmenin yollarını aramaktadırlar.

Ülkemizde kişisel verilerin korunması, 2010 Anayasa değişikliği ile anayasal bir hak olarak düzenlenmiştir. Bu düzenleme, kişisel verilerin korunmasını temel bir hak olarak düzenleyen Avrupa Birliği Temel Hakları Şartıyla da uyumludur. 6698 sayılı Kanun Kişisel Verileri Koruma Kanunu, kişisel verilerin hukuka uygun olarak işlenmesinin çerçevesini belirlemekte, vatandaşlara konuyla ilgili çeşitli haklar vermektedir. Ayrıca, ulusal ve uluslararası alanda veri alışverişi ve veri korumada belirli bir standart oluşturarak temel hak ve özgürlüklerin korunmasına ciddi katkılar sağlamaktadır.

Günümüzde kişisel veriler hem devlet hem de özel sektör tarafından işlenmektedir. Kamu veya özel sektör tarafından işlenen veriler, hukuka uygun olarak, belirli sürelerle, şeffaflık ilkesi çerçevesinde işlenmelidir. Kişiler, kendileriyle ilgili veri işlenip işlenmediğini öğrenebilmeli, söz konusu bilgilerde eksiklik veya yanlışlık varsa düzeltebilmelidirler. Bilgi ve iletişim teknolojilerinde yaşanan gelişmelerle, veri paylaşımının ülke sınırlarını aşması nedeniyle kişisel verilerin korunmasında uluslararası iş birliği hayati önem taşımaktadır. Bu nedenle gerek uluslararası örgütler gerekse devletler bu konudaki çalışmalarını güncelleyerek ortak çalışmaya devam etmelidirler.

KAYNAKÇA