Kişisel Verileri Koruma Kanunu Ve Bilgilerin İşlenmesi

Kişisel verileri koruyan tüm kanun hükümlerinin kişisel verileri koruma kanununa uygun bir şekilde gelişim göstermesi ve bu ilkelere göre yorumlanması gerekir. Bu makalede de kişisel verileri koruma kanunu ve bilgilerin işlenmesi odağında bilgi paylaşımında bulunacağız. 

Özet

Günümüzde bilgi teknolojilerinin hızla yayılması ile beraber, hukuk da hızlı bir gelişme göstermektedir. Bu gelişim içinde toplum ve değerleri de farklılaşmaktadır. Bunların içinde en önemlisi kişisel verilerdir. Öncelik gösteren “özel yaşam kavramı” ve “özel yaşam hakkı” Türk hukuku açısından özel yaşamda ve uluslararası alanda büyük önem teşkil etmektedir. Nitekim kişisel veri kavramının hukuki niteliği ve bunun korunmasına ilişkin yöntemin belirlenmesi temel esas sayılmaktadır. Özetle; kişisel verileri koruyan tüm kanun hükümlerinin kişisel verileri koruma kanununa uygun bir şekilde gelişim göstermesi ve bu ilkelere göre yorumlanması gerekir.

Anahtar Kelimeler: kişisel veri, kişisel verilerin korunması, özel hayat, kişisel verileri koruma kanunu, kişisel verileri koruma kurumu

Giriş

Kişisel verilerin korunması anayasanın 20. maddesinin 3. fıkrasıyla temel bir hak olarak tanınmıştır. Bu kanuna göre kişisel verilerin silinmesi, anonim hale getirilmesi, yok edilmesi gibi esaslar düzenlenmiştir. Hatta 1960’lı yıllardan itibaren verilerin otomatik olarak işlenmeye başlaması ile devlet kurumları kişisel verilere ilişkin daha kapsamlı bilgi kasaları oluşturmaya başlamıştır. Bilgi ve iletişim teknolojilerinin gelişmesi ile beraberse bilgiye elektronik ortamda erişim daha kolay hale gelmiştir. Bunun sonucunda bireylerin mahremiyete yönelik bilgi ve hakimiyetin sınırlandırılması yönündeki talepleri atış göstermiştir. Günümüz şartlarında anonim verilerle dahi kişilerin kimlik tespitinin mümkün olması ile beraber kişisel verileri koruma kanunu temel ihtiyaç haline gelmiştir.

Kişisel Verileri Koruma Kanunu Ve Verilerin İşlenmesi

Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü kapsamlı bilgidir. Kişisel veri konusundaki düzenlemelerde özel(kişisel) veri ve genel kişisel veri şeklinde iki ayrı sınıflandırma yapılmaktadır. Özel nitelikli kişisel veriler için daha kısıtlayıcı ve sıkı olan önlemli yükümlülükler getirilmiştir. İkisi arasındaki farkları daha detaylı inceleyeceğiz:

Özel kişisel veri, özel nitelikte olan hassas verileri içerirken Adi kişisel veri özelin dışında kalan veriler için kullanılır. Türk hukukunda özel kişisel veri kişilerin; ırkı, etnik kökeni, felsefi inancı, dini, siyasi düşüncesi, sağlığı, vakıf veya sendika üyeliği ile ilgili verilerdir. Adi kişisel verinin kapsamı ise daha dar olmakla beraber kişiyi belirlenebilir hale getiren her türlü bilgidir.

Kişisel verilerin işlenmesi verilerin kaydedilmesi ile başlar ve bu verilerin muhafaza edilip sınıflandırılmasına kadar gider. Bu durumda kişisel verilerin muhafaza edildiği ortam dijital veya analog olur.

Kişisel verilerde, verinin kişi rızası olmadan işlenmesi kanunen yasaktır!

Özel nitelikli olan kişisel verilerde,  kişinin rızası olmadan verinin işlenmesi yasaktır. Kişisel verilerin toplanması ile ilgili genel ilkeler hukuka ve dürüstlük kurallarına uygun olma, belirli, açık ve meşru amaçlar için işlenme, öngörülen amaç için gerekli olan süre kadar muhafaza edilme olarak belirlenmiştir. Kişisel verilerin korunmasına dair genel ilkeler; dürüst toplama, asgarilik, amaca bağlılık, sınırlı kullanım, güvenlik, doğruluk, bireyin katılması ve sorumluluk ilkesi olarak sınıflandırılmıştır. Bu ilkeler dağınık veya düzenli toplanmış bütün düzenlemelerde geçerlidir. Rıza olsa bile verilerin ilkelere aykırı olarak işlenmesi durumunda hukuka aykırı veri işleme gündeme gelecektir.

Kişisel Verilerin İşlenmesinde Genel İlkeler

 Kişisel verilerin işlenmesi konusunda bazı temel ilkeler bulunmaktadır. Bunlar uygulanmadığı takdirde işlenen veriler saklama hükümlerine ve hukuka aykırı olmuş olur. Hukuki verilerin işlenmesindeki genel ilkeleri 8 madde halinde inceleyeceğiz.

  1. Rıza Gösteren Kişinin Ehliyeti

Kişisel verilerin korunması talep hakkı verilerin gizli olup olmadığına bakılmaksızın sınırsız bir şekilde kaydedilmez ve işlenmez. Devlet otoritesi kişinin verileri üzerinde kişinin hak ve özgürlüklerini dikkate alarak sınırlandırma yapar.

  1. Verinin Hukuka, Dürüstlük Kuralına ve Şeffaflık İlkesine Uygun İşlenmesi

Kişisel verilerin hukuka ve dürüstlük kurallarına uygun bir şekilde işlenebilmesi için kişinin kendi hakkında veri toplayan kişiyi bilmesi bilgi edinme, düzeltme ve sildirme gibi işlemler açısından kolaylık sağlayacaktır. Kişisel verilerin hukuka ve dürüstlük kurallarına uygun olarak şeffaf bir biçimde işlenmesi diğer ilkelere kaynaklık eden temel ilkedir. Bu ilke kişisel verilerin toplanmasından işlenmesine ve silinmesine kadar geçerlidir.

  1. Verinin Doğru ve Güncel Olması

Doğru ve güncel olma ilkesi ile kast edilen kişisel verilerin gerçeğe uygun şekilde işlenmesidir. Bu ilkeye göre verilerden sorumlu olan kişi işlenen verilerin hatasız ve güncel olması konusunda beklenen özeni göstermelidir.

  1. Verinin Belirli, Meşru ve Açık Amaç İle İşlenmesi

Kişisel veriler ancak meşru ve kişinin rızasının alınması ile işlenebilir. Meşru olmanın sınırları ile kamu düzeni ve kişilik haklarına aykırı olmamalıdır. Kişisel verilerin toplanma amacı veri toplama anında belli olmalıdır. Bu nedenle mevcut durum dışında gelecekte ortaya çıkacak ihtiyaç için veri işlenemez.

  1. Verinin Toplanma Amacıyla Bağlantılı ve Ölçülü İşlenmesi

Bu ilkenin diğer adı veri ekonomisi ve verilerin asgarileştirilmesidir. Bu ilke ile amaçlanan en az sayıda veri ile işlem yapabilmektir. Bu işleme göre veriler amaca yetecek oranda işlenmelidir. Ölçülülük ilkesi ise veri işleme yapılmaksızın amaca ulaşmanın mümkün olduğu durumlarda gündeme gelir. Bu durumlarda da en az verinin işlenmesi esastır.

  1. Verinin Mevzuatta Öngörülen veya İşlendiği Amaçla Sınırlı Sürede Olması

Bu ilkeye göre kişisel veriler mevzuatta öngörülen veya işlendikleri amaç süresince saklanmalıdır. Bu duruma göre veri elde edildikten ve amacına hizmet ettikten sonra saklama konusunda kanuni bir gereklilik bulunmuyorsa kişisel verilerin imha edilmesi gerekir. Bu sürenin belli olmasındaki kural için kanunlara bakmak gerekir. Eğer verilerin saklanma amacı kalmamışsa derhal anonimleştirilmesi veya silinmesi gerekir.

  1. Hesap Verilebilirlik

Kişisel Verileri Koruma Kanunu’nda “verilerin bütünlük ve gizlilik içinde” işlenmesi ile “sorumluluk” ilkesi tüzüğe göre uygun bir biçimde belirlenmiştir. Bu durumda verilerin korunması yani kaybolma, başkasının eline geçme, tahrip edilme, değiştirilme gibi hususlara karşı tedbirlerin alınmasıdır. Veri sorumlusunun kişisel verilerin korunmasına yönelik politika ve yöntemler geliştirmesi gerekir. Buna örnek olarak bankaların müşterilerine her türlü hizmetten doğan sorun için cevap verecek bir sistem kurması verilebilir.

  1. Kişisel Verilerin Ülke Dışına Aktarılması

Kişisel veriler kişinin rızası olmadan başka bir ülkeye aktarılamaz. Kişisel veriler ancak yabancı ülkeye aynı düzeyde koruma sağlayan güvenli ülkelere transfer edilebilir. Güvenli ülkeler Avrupa Birliği’nde veri koruma otoriteleri tarafından liste halinde yayınlanmaktadır. Kişisel Verileri Koruma Kurulu korumanın bulunduğu güvenli ülkeleri belirleyerek ilan eder.

Kişisel Verileri Koruma Kurumu’nun Görevleri

Kişisel Verileri Koruma Kurumu idari ve mali özerkliğe sahip bağımsız bir idari otorite görevindedir. Bu kurum Kişisel Verileri Koruma Kurulu ile Başkanlıktan oluşur. Kurumun görevlerinden başlıcası uygulama ve mevzuattaki gelişmeleri takip ederek güncel önerilerde bulunmaktır. Bununla beraber kamu kurum ve kuruluşlarıyla, sivil toplum kuruluşları ve meslek örgütleri ile işbirliği yapmak da kurumun görevleri arasındadır. Kişisel Verileri Koruma Kurulu bu alanda deneyim ve tecrübesi olan, kamu veya özel sektörde en az 10 yıl çalışmış olan 9 kişiden oluşur. Başkan Kurum ve Kurul’un en üst amiridir. Başkan kurumun hizmetlerini amaç ve politikalarına uygun şekilde düzenler ve yürütür.

Sonuç

Kişisel veriler özellikle bilgisayarlardan ve arama motorlarından oldukça fazla bilgi toplamaktadır. Bu verilerin daha sonrasında kullanımına ilişkin endişeler oluşabilmektedir. Bu nedenle zorunlu hale gelen kişisel verilerin korunması kanunu ve verilerin işlenmesi durumunda hangi nitelik ve prensiplerin uygulandığı önemli hale gelmiştir. Kişinin açık rızası hem özel verilerde hem de adi(genel) nitelikteki verilerin hukuka uygun olarak işlenmesini zorunlu hale getirir. Bu verilerle birlikte verilerin işlenmesindeki nitelikler ile özel hukukta tazminat yaptırımı ile koruma sağlanmış olur. Tüm bunların yetkili merci olarak Kişisel Verileri Koruma Kurumu etkin bir görev üstlenir. Bu kapsamda kişisel verilerin hukuka aykırı biçimde işlendiği iddiasında bulunan kişiler maddi manevi tazminat ile bu durumu durdurma hakkından faydalanabilirler.

Kaynakça

  • SEFER Oğuz, Kişisel Verilerin Korunması Hukukunun Genel İlkeleri, 2018
  • AKKURT Sinan Sami, Kişisel Veri Kavramının Hukuki Niteliğine İlişkin Yaklaşımlara Mukayeseli Bir Bakış, 2020
  • ÖKSÜZOĞLU Tuğba Hilal, 6698 Sayılı Kişisel Verilerin Korunması Kanunu ve Avrupa Birliği Hukukunda Kişisel Verilerin Silinmesi ve Düzeltilmesi, 2019

💡 Zoom’dan Yeni Güncelleme

Bülten Aboneliğinizi Aktifleştirin

Güncel makaleler, sektörel haberler ve ücretsiz etkinlikler için mail listemize abone olun.

Abone olduğunuz için teşekkür ederiz.

Bir şeyler yanlış gitti.

Bir Yorum Yap

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir