Avrupa Konseyi (AK) bünyesinde hazırlanarak 28 Ocak 1981 tarihinde Strazburg’da imzaya açılan ve 1 Ekim 1985 tarihinde yürürlüğe giren ‘Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Anlaşması, Türkiye Cumhuriyeti Devleti tarafından 28 Ocak 1981 tarihinde imzalanmış ve 30/01/2016 tarihli ve 6669 sayılı kanunla onaylanarak söz konusu uluslararası anlaşma ülkemiz açısından nihai olarak bağlayıcı hale gelmiştir.
Söz konusu uluslararası anlaşmanın ülkemiz kanunlarına entegrasyonu için hazırlanan 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVK”) ise 07.04.2016 tarihinde kademeli şekilde yürürlüğe girmiştir. KVK ile kanunun yayım tarihinden önce işlenmiş olan kişisel verilerin 2 (iki) yıl içinde KVK hükümlerine uygun hale getirilmesi zorunlu tutulmuş, 07.04.2018 tarihinde de KVK’nın tanımış olduğu söz konusu 2 (iki) yıllık geçiş süreci sona ererek tüm kişisel veri sorumluları ve veri işleyenler için KVK hüküm ve sonuçlarını doğurmaya başlamıştır. 07.04.2018 tarihinden itibaren KVK tüm yönleri ile hayatımıza entegre olacak yeni bir düzen getirmektedir.
KVK’nın 3.maddesinde ‘’Kişisel Veri’’, en geniş hali ile, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” olarak tanımlanmaktadır. Anayasa Mahkemesi’ne göre ise kişisel veriler, kişinin adı, soyadı, doğum tarihi ve doğum yeri gibi bireyin sadece kimliğini ortaya koyan bilgiler değil; telefon numarası, motorlu taşıt plakası, SGK numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, genetik bilgiler, IP adresi, e-posta adresi, hobiler, tercihler, etkileşimde bulunulan kişiler, grup üyelikleri, aile bilgileri gibi kişiyi doğrudan veya dolaylı olarak belirlenebilir kılan tüm verilerdir.
KVK ayrıca, başkaları tarafından öğrenildiği takdirde ilgili kişinin mağdur olabilmesine veya ayrımcılığa maruz kalabilmesine neden olabilecek nitelikle olan (etnik mezhep, inanç, cinsel tercih, vakıf ya da dernek üyeliği, ceza mahkumiyeti vb.) ve bu nedenle daha fazla korumaya ihtiyaç duyulan kişisel verileri “Özel Nitelikli Kişisel Veri”olarak tanımlanmıştır.
Bu şekilde özel hayatın tüm alanlarını içine alan kişisel ve özel nitelikli kişisel tüm veriler, KVK ile artık tam bir koruma altına alınmış durumdadır.
Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem, KVK kapsamında kişisel verilerin işlenmesi olarak tanımlanmış ve kişisel verileri işleyen gerçek ve tüzel kişiler veri sorumlusu olarak çeşitli yükümlülüklere tabi tutulmuştur.
Kanun kapsamında, kişisel verilerin işlenmesi ve aktarılması ayrı ayrı değerlendirilmiş ve gerek verilerin işlenmesinde gerekse aktarılmasında, kanunda belirlenen istisnai haller ayrık tutularak, kişinin açık rızasının alınması şart kılınmıştır. Dolayısıyla, kişisel veri ve özel nitelikli kişisel verilerin ilgilisinin açık rızası olmaksızın işlenmesi yada aktarılması (istisnalar hariç) KVK ile birlikte çeşitli yaptırımlara bağlanarak yasaklanmıştır.
Yasal düzenlemeler çerçevesinde hukuka uygun halde işlenmeyen tüm verilerin imha zorunluluğu bulunmaktadır. Bu anlamda da kişisel verilerin işlenmesinde uyulması gerekli şu esaslar söz konusu olacaktır; (i) Hukuka ve dürüstlük kurallarına uygun olma, (ii) Doğru ve gerektiğinde güncel olma, (iii) Belirli, açık ve meşru amaçlar için işlenme, (iv) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, (v) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.
Veri sorumlusunun en temel yükümlülükleri ise; (i) Genel İlkelere Uyum Sağlama, (ii) İşleme Şartlarına Uyum Sağlama, (iii)Aydınlatma Yükümlülüğü, (iv) Silme/Yok Etme/Anonimleştirme, (v)Teknik ve İdari Tedbirleri Alma, (vi) Denetim Yükümlülüğü, (vii) Veri Sorumluları Siciline kayıt, (viii) İlgilinin başvurusunu yanıtlama yükümlülüğüdür.
Bugün kişisel veriler birçok farklı kanaldan veri sorumlusunun önüne gelmekte ve veri sorumlularına yükümlülüklerinin yerine getirilmesi noktasında, hukuka uygun rızaların alınması, kişisel verilerin bu rızaların doğrultusunda muhafazası, gerekmesi halinde kişisel verilerin imhası için süreçler tesis edilmesi ve veri politikalarının oluşturulması gibi pek çok zorunluluğunu da beraberinde getirmektedir.
Veri sorumlusunun aydınlatma yükümlülüğünü gerçekleştirmesi için ise yazılı ya da elektronik ortamda paylaşılabilecek aydınlatma metni ve veri saklama ve imha politikaları bu yükümlülüğünün öncelikli olarak yerine getirilmesinde son derece büyük fayda sağlamaktadır.
Ancak veri güvenliği ve verilerin işlenerek saklanmasının tek seferlik bir iş olmadığı daima hatırlanarak sürekli olarak denetim mekanizmalarının devrede tutulması, tam anlamıyla hukuka uygun ve kontrollü bir veri depolamasının yapılması ve gerektiğinde bunlara uygun imha yöntemlerinin uygulanması konusunda tüm veri sorumlularının ciddi önlemler alması gerekmektedir.
Av. Gonca Tekeli