KVKK KİŞİSEL VERİLERİN KORUNMASI KANUNU
1) Kişisel Verilerin Korunmasına Neden İhtiyaç
Duyulmuştur?
Gerek kamu, gerekse özel kurum ve kuruluşlar, bir
görevin yerine getirilmesi veya bir hizmetin sunumuyla
bağlantılı olarak, kişisel veri niteliğindeki bilgileri, uzun
süredir toplamaktadırlar. Bu durum, bazen kanunlardan
kaynaklanmakta bazen kişilerin rızasına veya bir
sözleşmeye dayanmakta bazen de yapılan işlemin
niteliğine bağlı olarak ortaya çıkmaktadır. Belirtmek
gerekir ki, kişilerin temel hak ve hürriyetlerinin veri işleme
sürecinde de korunması öncelikli konulardan biridir.
Ayrıca, sosyal ve ekonomik hayatın düzen içinde
sürdürülmesi, kamu hizmetlerinin etkin biçimde sunumu,
mal ve hizmetlerin ekonominin gereklerine uygun biçimde
geliştirilmesi, dağıtımı ve pazarlanması için kişisel
verilerin toplanması kaçınılmaz olmakla birlikte, kişisel verilerin sınırsız ve gelişigüzel
toplanmasının, yetkisiz kişilerin erişimine açılmasının, ifşası, amaç dışı ya da kötüye
kullanımı sonucu kişisel hakların ihlal edilmesinin önüne geçilmesi gereklidir.
Bunun yanı sıra, Avrupa Konseyi tarafından, tüm üye ülkelerde kişisel verilerin aynı
standartlarda korunması ve sınır ötesi veri akışı ilkelerinin belirlenmesi amacıyla hazırlanan
“Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunmasına
İlişkin 108 Sayılı Sözleşme”, 28 Ocak 1981 tarihinde imzaya açılmış ve ülkemiz tarafından
da imzalanmıştır. Bu sözleşme 17 Mart 2016 tarih ve 29656 sayılı Resmî Gazetede
yayımlanarak iç hukuka dâhil edilmiştir. 108 sayılı Sözleşmenin 4. maddesi çerçevesinde,iç hukukta kişisel verilerin korunmasına yönelik yasal düzenleme yapılması gerekli hale
gelmiştir.
Nitekim, Anayasa Mahkemesinin 9 Nisan 2014 tarih ve E:2013/122, K:2014/74 sayılı
kararında da; “Kişisel verilerin korunması hakkı, kişinin insan onurunun korunmasının
ve kişiliğini serbestçe geliştirebilmesi hakkının özel bir biçimi olarak, bireyin hak ve
özgürlüklerini kişisel verilerin işlenmesi sırasında korumayı […]” amaçladığı tespit edilerek,
“kişisel verilerin ticari işletmeler için kıymetli bir varlık niteliği kazanması neticesinde,
özel sektör unsurlarınca yaratılan risklerin daha yaygın ve önemli boyutlara ulaşması
ve terör ve suç örgütlerinin kişisel verileri ele geçirme yönündeki faaliyetlerinin artması
gibi etkenler” sebebiyle kişisel verilerin geçmişte olduğundan çok daha fazla korunmaya
muhtaç olduğu ifade edilmiştir.
2) Kişisel Verilerin Korunması Hakkının Dayanağı
Nedir ve Bu Hak Sınırsız Bir
Hak mıdır?
2010 yılında yapılan Anayasa değişikliği ile Anayasanın
özel hayatın gizliliğini düzenleyen 20. maddesine “Herkes,
kendisiyle ilgili kişisel verilerin korunmasını isteme
hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel
verileri hakkında bilgilendirilme, bu verilere erişme,
bunların düzeltilmesini veya silinmesini talep etme
ve amaçları doğrultusunda kullanılıp kullanılmadığını
öğrenmeyi de kapsar. Kişisel veriler, ancak Kanunda
öngörülen hallerde veya kişinin açık rızasıyla işlenebilir.
Kişisel verilerin korunmasına ilişkin esas ve usuller
kanunla düzenlenir” şeklinde bir fıkra eklenerek, kişisel
verilerin korunması açıkça anayasal güvence altına
alınmıştır.
Temel bir hak olarak düzenlenen kişisel verilerin korunmasını isteme hakkı, Anayasanın
kişinin hak ve ödevlerine ilişkin bölümünde yer almaktadır. Bununla birlikte, tüm hak ve
özgürlüklerde olduğu gibi, kişisel verilerin korunmasına ilişkin hak da Anayasada çizilen
sınırlar çerçevesinde diğer hak ve özgürlükler lehine sınırlandırılabilir. Buna göre, kişisel
verilerin korunmasına ilişkin 20. maddede tanınan her bir hakkın uygulanması ve diğer
haklar lehine sınırlanmasına ilişkin düzenlemeler ancak kanun yoluyla gerçekleştirilebilir.
3) Kişisel Verilerin Korunması Kanunu Ne Zaman
Yürürlüğe Girmiştir?
Avrupa Birliğine uyum kapsamında
hazırlanan Kişisel Verilerin
Korunması Kanunu Tasarısı
18 Ocak 2016 tarihinde TBMM
Başkanlığına sevk edilmiştir.
Söz konusu metin 24 Mart
2016 tarihinde TBMM Genel
Kurulu tarafından kabul edilerek
kanunlaşmış ve 7 Nisan 2016 tarih
ve 29677 sayılı Resmî Gazetede
yayımlanarak yürürlüğe girmiştir.
4) Kişisel Verilerin Korunması Kanunu Kimleri
Kapsamaktadır?
Kanun, kişisel verileri işlenen gerçek
kişiler ile bu verileri tamamen veya
kısmen otomatik olan ya da herhangi bir
veri kayıt sisteminin (kişisel verilerin belirli
kriterlere göre yapılandırılarak işlendiği
kayıt sistemi) parçası olmak kaydıyla
otomatik olmayan yollarla işleyen gerçek
ve tüzel kişiler hakkında uygulanır.
Bu doğrultuda, özel sektörde faaliyet
gösteren kuruluşlar ile kamu kurum
ve kuruluşları bakımından bir ayrım
yapılmamış olup, öngörülen usul ve
esasların tüm kurum ve kuruluşlar
açısından uygulanması benimsenmiştir.
Kanunda verisi işlenen gerçek kişilerden
bahsedildiği için hak ehliyetine sahip olan
herkes Kanun kapsamındadır.
5) Her Türlü Veri İşleme Faaliyeti İçin Bu Kanun
Hükümleri Uygulanacak mıdır?
Kanunun 28. maddesinde, bazı hallerde Kanun hükümlerinin uygulanmayacağı
belirtilmektedir. Bu çerçevede, Kanun kapsamına girmeyen haller, 28. maddede tamamen
veya kısmen kapsam dışı olan haller olmak üzere ikili bir ayrıma tabi tutulmuştur. Bu
maddenin 1. fıkrasında tam istisnalar, 2. fıkrasında ise kısmi istisnalar düzenlenmiştir.
Tam istisna halinde Kanun hükümleri hiçbir şekilde uygulanmamakta iken, kısmi istisna
hallerinde, Kanunun sadece bazı hükümleri (aydınlatma yükümlülüğü, ilgili kişinin hakları
ve veri sorumluları siciline kayıt) uygulanmamaktadır.
6) Kişisel Verilerin Korunması Ne Demektir?
Kişisel verilerin korunması, kişisel verilerin işlenmesinin disiplin altına alınması ile temel
hak ve özgürlüklerin korunmasıdır.
Kişisel verilerin korunması, temelde verilerin değil, bu verilerin ilişkili olduğu kişilerin
korunmasını amaçlamaktadır. Başka bir ifade ile verilerin korunması; kişileri, onlar
hakkındaki verilerin tamamen veya kısmen otomatik olan ya da otomatik olmayan
yollarla işlenmesinden doğacak zararlardan koruma amacına yönelmiş ve kişisel verilerin
korunmasına ilişkin ilkelerde somutlaşmış idari, teknik ve hukuki önlemleri ifade eder. Bu
anlamda kişisel verilerin korunmasının, kişilere ilişkin verilerin toplanması, saklanması,
kullanılması ve aktarılması gibi veri işleme süreçlerinin bütün aşamalarını kapsar
şekilde bireylere kontrol hakkını yeniden kazandırmayı amaçladığı söylenebilir. Bu amaç
kapsamında kişisel verilerin korunması, kişinin verilerinin geleceğini bizzat kendisinin
belirleme hakkını ifade eder. Aynı zamanda bu koruma insan onurunun ve kişilik hakkının
da bir gereğidir.
7) Kişisel Veri Nedir?
Kişisel veri, kimliği belirli veya belirlenebilir gerçek
kişiye ilişkin her türlü bilgiyi ifade etmektedir. Kişisel
veriden söz edebilmek için, verinin bir gerçek kişiye
ilişkin olması ve bu kişinin de belirli ya da belirlenebilir
nitelikte olması gerekmektedir. Buna göre;
1. Gerçek kişiye ilişkin olma: Kişisel veri, gerçek
kişiye ilişkin olup, tüzel kişilere ilişkin veriler kişisel
verinin tanımının dışındadır. Dolayısıyla, bir şirketin
ticaret unvanı ya da adresi gibi tüzel kişiliğe ilişkin
bilgiler (bir gerçek kişiyle ilişkilendirilebilecekleri
durumlar haricinde) kişisel veri sayılmayacaktır.
2. Kişiyi belirli veya belirlenebilir kılması: Kişisel veri, ilgili kişinin doğrudan kimliğini
gösterebileceği gibi, o kişinin kimliğini doğrudan göstermemekle birlikte, herhangi bir
kayıtla ilişkilendirilmesi sonucunda kişinin belirlenmesini sağlayan tüm bilgileri de kapsar.
3. Her türlü bilgi: Bu ifade son derece geniş olup, bir gerçek kişinin; adı, soyadı, doğum
tarihi ve doğum yeri gibi bireyin sadece kimliğini ortaya koyan bilgiler değil; telefon
numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş,
resim, görüntü ve ses kayıtları, parmak izleri, e-posta adresi, hobiler, tercihler, etkileşimde
bulunulan kişiler, grup üyelikleri, aile bilgileri, sağlık bilgileri gibi kişiyi doğrudan veya
dolaylı olarak belirlenebilir kılan tüm veriler kişisel veri olarak kabul edilmektedir.
Kanunda hangi bilgilerin kişisel veri olarak kabul edileceğine ilişkin sınırlı sayım yoluna
gidilmediğinden, kapsamının genişletilmesi mümkündür. Önemli olan verinin kişi ile
ilişkilendiriliyor olması ya da onu tanımlayabilmesidir.
Örneğin, takma isimler tek başına veya başka kaynaklarla birleştirildiğinde kişiyi
tanımlamayı sağlayabilecek nitelikte ise bu tarz veriler de kişisel veri olarak kabul edilir.
Ayrıca, sıkça kullanılan kimliği belirli veya belirlenebilir gerçek kişiyle ilişkili müşteri
şikayet raporları, çalışan performans değerlendirme raporları, mülakat değerlendirme
raporları gibi raporlar, ses veya görüntü kayıtları, resimler, kullanıcı işlem kayıtları gibi
kayıtlar, özgeçmiş, bordro, fatura, banka dekontları, kredi kartı ekstreleri, nüfus cüzdanı
fotokopileri gibi belgeler ve mektup, davet yazıları gibi yazılar/kayıtlar içinde yer alan
veriler de kişisel veri olarak addedilebilir.
Ancak yine de bunların kişisel veri olup olmadığı her somut olayın özelliğine göre “kişiyi
tanımlayabilme” kabiliyeti dikkate alınarak değerlendirilmelidir.
8) Özel Nitelikli (Hassas) Kişisel Veri Ne Demektir?
Özel nitelikli kişisel veriler, başkaları
tarafından öğrenildiği takdirde ilgili
kişinin mağdur olabilmesine veya
ayrımcılığa maruz kalabilmesine
neden olabilecek nitelikteki
verilerdir. Kanunda, hangi kişisel
verilerin özel nitelikli kişisel veri
olduğu tek tek belirtilmiş olup, bu
sayılanlar dışındakiler özel nitelikli
kişisel veri olarak kabul edilemez.
Bu bakımdan, özel nitelikli kişisel
verilerin sınırlı olarak sayıldığı kabul
edilir.
9) Kişisel Sağlık Verisi Nedir?
Kişisel sağlık verisi, kişinin fiziksel ve ruhsal
sağlığına ilişkin her türlü veri ile kişiye sunulan
sağlık hizmeti ile ilgili bilgilerdir. Örneğin; her türlü
tahlil sonucu, kişinin geçirdiği hastalıklar, kullandığı
ilaçlar gibi veriler kişisel sağlık verileridir. Kişisel
sağlık verisi özel nitelikli kişisel veridir. Dolayısıyla
Kanunda düzenlenen özel nitelikli kişisel verilerin
işlenme şartlarına tabidir.
10) İlgili Kişi Kimdir?
İlgili kişi, kişisel verisi işlenen gerçek kişiyi
ifade eder. Kanunda, yalnızca gerçek kişilerin
verilerinin korunması öngörülmüş, tüzel
kişilerin verileri Kanun kapsamı dışında
tutulmuştur.
Kanunda yer alan kişisel verinin tanımı gereği,
tüzel kişiye ait bir verinin herhangi bir gerçek
kişiyi belirlemesi ya da belirlenebilir kılması
halinde, bu veriler de Kanun kapsamında
koruma altındadır. Ancak, burada korunan menfaat tüzel kişiye değil, düzenlemenin
temellendirdiği öncelik gereği belirlenen ya da belirlenebilecek gerçek kişiye ait olacaktır.
Çünkü Kanun, tüzel kişilere ait verilerin korunmasını hiçbir şekilde düzenlememektedir.