Aristoteles’e göre insan sosyal bir hayvandır. Sosyalleşme ihtiyacı doğrultusunda iletişim kurmaya, bilgi edinmeye, kendi bilgilerini aktarmaya ve topluluklar oluşturmaya ihtiyaç duymaktadır. İnsanlar tarih sahnesinde tehlike ve risklerden kaçınmak, uygunsuz davranışları tespit etmek, başkalarının davranışlarını kontrol etmek, kendileri veya başkalarının kaydettiği ilerlemeyi görmek ve ölçümlemek, toplumsal olarak örgütlenmek için çevresindekilerin davranışlarını incelemiş, kaydetmişlerdir.
Teknolojinin son çeyrek yüzyılda bu denli gelişmesi ve ‘internet’ olgusu ile emsali görülmemiş şekilde bireylerin bilgiyi paylaşması ve saniyeler içerisinde dünya çapında yayılması mümkün olmuştur. İnternet kullanımının artması kişisel verilere duyulan ihtiyacı artırmışsa da söz konusu bu durum diğer yandan kişisel verileri tehlikeye açık hale getirmiştir.
Tüm bu riskler, kişilerin bilgilerinin kendi hakimiyetinden de çıkması sonucunu doğurmuştur. Çünkü günümüzde kişi, kendi kişisel verilerini silmek istediğinde dahi o içerik kişinin bilgisi olmaksızın pek çok farklı platform tarafından çoğaltılarak paylaşılmakta ve sanal ortamda varlığını sürdürmeye devam etmektedir. Tüm bu nedenler ile nihayetinde kişisel veri kavramı gündeme gelmiştir. Bu kavramın kabulü ile birlikte söz konusu kişisel verilerin korunabilmesi adına çeşitli hukuki düzenlemeler yapılmıştır.
Kişisel Verilerin Korunması, temel insan hakkıdır bu nedenle Kanun’un, ülkemizde özüyle ve sözüyle uygulanması temel bir gerekliliktir. Zira çeşitli dönemlerde yapılan hukuka aykırı etiketlemeler bireylerin temel hak ve özgürlüklerine haksız müdahalelerin sonuçları, kişisel verilerin yeterince korunmaması durumunda oluşabilecek zararların somut örnekleridir. Bunun yanında Kişisel Verilerin Korunmasının bir diğer gereklilik noktası da uluslararası iletişim ve ticari etkinliklerdir. Ülkemizin hızla gelişmekte olan uluslararası ekonomik etkinlik süreçlerine dahil olabilmesi için kişisel verilerin korunması gerekmektedir. Ayrıca, 95/46/AT sayılı Avrupa Yönergesi’nin 25. ve 26. maddelerinin yeterli korumayı sağlamayan ülkelere kişisel verilerin aktarımını yasaklamaktadır. Bu nedenle Avrupa ülkeleri ile ticari etkinlik süreçlerine girebilmek ve ilgili yasağa takılmamak için ülkemizde bu yönde bir düzenlemenin tam olarak uygulanması ve diğer yandan ‘veri koruma’ bilincinin her tabakaya adapte edilmesi bir gerekliliktir.
Avrupa’da birçok devletin mevzuatında kişisel verilerin korunması ile ilgili kanunlar çok uzun zamandan beri yer almaktadır. Avrupa Parlamentosu, Avrupa Konseyi ve Avrupa Komisyonu tarafından Avrupa Birliği Genel Veri Koruma Tüzüğü (‘‘GDPR’’) adıyla her türlü kişisel verinin güvence altına alınması amacıyla tüzük yürürlüğe girmiştir. Yapılan düzenlemeler ile kişisel verilerin korunmasına ilişkin yüksek düzeyde bir gizlilik korunmasının sağlanması amaçlanmaktadır. Ülkemizde ise 6698 sayılı Kişisel Verilerin Korunması Kanunu, 7 Nisan 2016 tarihli ve 29677 sayılı Resmi Gazetede yayımlanarak yürürlüğe girmiştir. Her ne kadar KVKK ’nın 2016 yılında Türk Hukuku’na girdiği görülüyorsa da Kişisel verilerin korunması ulusal mevzuatımızda çeşitli kanunlarla doğrudan ve dolaylı olarak düzenlenmiştir. Başta Anayasa olmak üzere, TCK, CMK, PVSK, Elektronik Haberleşme Kanunu, Elektronik Ticaret Kanunu, Medeni Kanun, İş Kanunu ve Bankacılık Kanunu ‘nda kişisel verilerin korunmasına ilişkin düzenlemeler hali hazırda mevcuttur. Ancak söz konusu düzenlemelerin yeterli olmayışı Kişisel Verilerin Korunması Kanunu’nun kaleme alınması zorunluluğunu doğurmuştur.
Kişisel veri kavramı, kanunda “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” şeklinde tanımlanmıştır. Kanun tanımından anlaşılacağı üzere kişisel veri, ‘‘Ad, Soyad’’ gibi tanımlayıcılardan ibaret kılınmamış, kapsamı son derece geniş tutulmuştur. Zira teknoloji sayesinde internet ortamında, belirli cihazları kullanan kişilerin davranışları tespit edilebilmektedir. Böylece ad, soyad veya adres gibi bilgilere ihtiyaç duyulmaksızın, kişinin sosyo-ekonomik, psikolojik, felsefi veya diğer bağlamlarda kategorize edilmesi ve internete bağlandığı cihaz aracılığıyla gerçekleştirdiği davranışların ona atfedilmesi mümkündür.
Kişisel Verilerin Korunması Kanunu’nun “Amaç” başlıklı 1. maddesinde Kanun ile elde edilmesi umulan amaç belirtilmiştir. Buna göre Kişisel Verilerin Korunması Kanunu’nun amacı, “kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir.”
Kanunun gerekçesinde de belirtildiği gibi, Kanun, kişisel verileri işlenen gerçek kişiler ile bu verileri işleyen gerçek ve tüzel kişiler hakkında uygulanmaktadır. Kanunun uygulaması bakımından kamu ve özel sektör ayrımı yapılmamış olup, düzenlenen usul ve esaslar her iki sektör bakımından da uygulama alanı bulmaktadır. Kanun, kişisel verilerin otomatik veya herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenmesi durumunda uygulanmaktadır.
Şirketler KVKK mevzuatı uyarınca veri işleme faaliyetlerini gerçekleştirdikleri için Veri Sorumlusu veya Veri İşleyen olarak kabul edilirler. Veri Sorumlusu kanunda kişisel verilerin işlenme amaçlarını ve yöntemlerini belirleyen gerçek veya tüzel kişi, veri işleyen ise veri sorumlusunun talimatları doğrultusunda onun adına verileri işleyen gerçek veya tüzel kişi olarak tanımlanmıştır. Kişisel verilerin işlenmesi süresince hem veri sorumlusu hem de veri işleyen şirketlerin belirli yükümlülükleri mevcuttur. Bunların en başında KVKK mevzuatına uyum ve kişisel verileri hukuka uygun bir şekilde işlemek yer almaktadır. Kişisel veri işleme faaliyeti Kanun’da belirtilen veri işleme şartlarına tabidir, bu şartlar sınırlı şekilde sayılmıştır ve çoğaltılması imkansızdır. Kanun, Veri Sorumlusu’ na kişisel verilerin korunmasına ilişkin birtakım yükümlülükler yüklemiştir. Bu yükümlülüklerin yerine getirilmemesinin sonucu ağır yaptırımlara tabi kılınmıştır. Bunlar kısaca şu şekildedir;
Kanunda belirtilen yaptırımlara maruz kalmamak adına şirketlerin yukarıda belirtilen yükümlülüklerin yanı sıra ek olarak belirli şartları sağlaması halinde kişisel veri envanteri hazırlamaları ve VERBİS adıyla bilinen veri sorumluları siciline kayıt olmaları gerekmektedir. Şirketlerin KVKK kapsamındaki yükümlülükleri yerine getirmemeleri halinde mevzuatta öngörülmüş idari para cezaları ise en güncel haliyle şöyledir:
Aydınlatma yükümlülüğünü ihlal edenler hakkında 100.000 TL – 180.264 TL,
Veri güvenliğini ilişkin yükümlülükleri ihlal edenler hakkında 1.000.000 TL – 1.802.641 TL,
Kurul tarafında verilen kararlara uymayan hakkında 1.000.000 TL – 1.802.641 TL,
VERBİS yükümlülüğünü yerine getirmeyenler hakkında 1.000.000 TL – 1.802.641 TL
Bu para cezalarının yanı sıra çeşitli kişisel verileri hukuka uygun olarak işlemeyen gerçek kişilerin ise bu davranışı suç olarak kabul edilmekte ve Türk Ceza Kanunu kapsamında aşağıdaki hapis cezalarına hükmedilebilmektedir:
Kişisel verileri hukuka aykırı olarak kaydeden hakkında 1 yıldan – 6 yıla kadar,
Özel nitelikli kişisel verileri hukuka aykırı olarak kaydeden hakkında 1 yıl 6 aydan – 6 yıl 9 aya kadar,
Kişisel verileri başkasına vermek, yaymak veya ele geçiren hakkında 2 yıldan – 6 yıla kadar,
Kanunların belirlediği sürelerin geçmiş olmasına karşın kişisel verileri yok etmeme 1 yıldan – 3 yıla kadar hapis cezasıdır.
Av. Kübra ÜNAL