Günümüzde gerek devlet kurumları gerekse özel kuruluşlar, her gün binlerce kişiye ilişkin çeşitli bilgilere ulaşabilmektedir. Elde edilen bilgiler, bilişim teknolojilerinde yaşanan gelişmelerin de etkisiyle, kolaylıkla işlenebilmekte ve aktarılabilmektedir. Bunun sonucunda da kişisel verilerin korunması ihtiyacı doğmuştur.
Kişisel verilerin korunması, temel bir insan hakkı olan özel hayatın gizliliği ile doğrudan bağlantılıdır. Kişilerin özel hayatının gizliliğini sağlayabilmek için üçüncü kişilerin eline geçmesinde sakınca bulunan verilerin hukuken korunması gerekmektedir.
Kişisel Veri Nedir?
Kişisel veri, belirli ya da belirlenebilir nitelikteki bir kişiye ilişkin her türlü bilgidir. Bu durumdaki kişisel veriyi, kişisel olmayan verilerden ayırabilmek için temelde iki ölçütten yararlanıldığı söylenebilir. Buna göre, kişisel veriden söz edebilmek için, verinin bir kişiye ilişkin olması ve bu kişinin de belirli ya da belirlenebilir nitelikte olması gerekmektedir.
Kişisel veri, bireyin şahsi, ailevi ve mesleki özelliklerini gösteren, bireyi diğer bireylerden ayırmaya elverişli her türlü bilgidir. Kanunda kişisel veri “ Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” şeklinde tanımlanmıştır. Bu bilgiler, belli bir kimsenin kimliği, ikamet adresi, etnik kökeni, fiziksel özellikleri, aile hayatı, cinsel yaşamı, başkaları ile yaptığı haberleşmeler, alışveriş alıkşkanlıkları gibi hususları kapsamaktadır.
Kişinin belirli veya belirlenebilir olması, mevcut verilerin herhangi bir şekilde bir gerçek kişiyle ilişkilendirilmesi suretiyle, o kişinin tanımlanabilir hale getirilmesini ifade etmektedir. Kanunun gerekçesinde bireyin adı, soyadı, doğum tarihi ve doğum yeri gibi onun kesin teşhisini sağlayan verilerin yanı sıra kişinin fiziki, sosyal, ekonomik, ailevi vs. özelliklerine ilişkin verilerin de kişisel veri niteliğinde olduğu belirtilmiştir. Bir kişinin belirli veya belirlenebilir olması, mevcut verilerin herhangi bir şekilde bir gerçek kişiyle ilişkilendirilmesiyle o kişinin tanımlanabilir hale getirilmesini ifade etmektedir. Başka bir ifadeyle kişisel veriler somut bir içerik taşıyabileceği gibi, kimlik, vergi, sigorta numarası gibi herhangi bir kayıtla ilişkilendirilmesi sonucunda kişinin belirlenmesini sağlayan tüm verileri kapsamaktadır. Nitekim telefon numarası, taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, genetik bilgiler gibi verilerin dolaylı da olsa kişiyi belirlenebilir kılabilme özellikleri nedeniyle kişisel veri olarak kabul edilmesi gerektiğine işaret edilmiştir.
KİŞİSEL VERİLEN İŞLENMESİ
Uluslararası belgelerde kabul görmüş ve pek çok ülke uygulamasına yansımış olan kişisel verilerin işlenmesine ilişkin temel ilkeler bulunmaktadır. Buna göre; kişisel veriler ancak, hukuka ve dürüstlük kurallarına uygun şekilde, belirli, açık ve meşru amaçlar kapsamında, doğru ve gerektiğinde güncel olma şartıyla, işlendikleri amaçla bağlantılı olma ve işlendikleri amaç için gerekli olan süre kadar muhafaza edilme koşullarına uygun işlenebilecektir.
Kişisel Verilerin İşlenmesi Şartları
Kişisel verilerin işlenmesi, Kişisel Verilerin Korunması Kanunu’nun 3.maddesinde tanımlanmıştır. Buna göre; kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem, kişisel verilerin işlenmesi olarak kabul edilmiştir.
Kişisel verilerin işlenebilmesi için ilke olarak, verisi işlenen gerçek kişinin açık rızasının alınması gerekir. Dolayısıyla açık rıza alınmadan kişisel verilerin işlenmesi bazı istisnalar dışında hukuka aykırılık teşkil etmektedir. Kanunun “Tanımlar” başlıklı 3.maddesinde açık rızanın tanımı yapılmıştır. Açık rıza; belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızadır. Kanunda rızanın açık olması gerektiği belirtildiği için ilgili kişinin sessiz kalması onaylama şeklinde anlaşılamaz.
Kanun, bazı kişisel verilere özel bir önem atfetmekte ve bu verilerle ilgili farklı bir düzenleme getirmektedir. Kanun bunları özel nitelikli kişisel veri ya da hassas veriler olarak kabul etmektedir. Hassas veriler (Özel nitelikli kişisel veriler), sahibinin açık rızası olmaksızın işlenemez. Kanun, hassas verilerin sınırlı hallerde veri sahibinin açık rızası olmaksızın işlenebileceğini kabul etmektedir ve hassas veriler arasında da bir ayrım yapmıştır. Buna göre sağlık ve cinsel hayata ilişkin kişisel verilerin işlenmesi ile bunlar dışındaki özel nitelikli kişisel verilerin, rıza olmaksızın işlenebileceği halleri farklı düzenlemiştir.
Kanunda özel nitelikli kişisel veriler, sınırlı sayma yoluyla belirlenmiştir. Bunlar; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileridir. Özel nitelikli kişisel verilerin kıyas yoluyla genişletilmesi mümkün değildir.
Kişisel Verilerin Korunması Kanunu md. 11 “İLGİLİ KİŞİNİN HAKLARI”
Kanunun 11.maddesinde ilgili kişinin sahip olduğu haklar düzenlenmiştir. İlgili kişi bu haklarını veri sorumlusuna başvurmak suretiyle kullanabilecektir. Buna göre ilgili kişinin sahip olduğu haklara değinecek olursak; İlgili kişi, kişisel verilerinin işlenip işlenmediğini öğrenme, kişisel verileri işlenmişse buna ilişkin bilgi belge talep etme, kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme, kişisel verilerin silinmesini veya yok edilmesini isteme, kişisel verilerin düzeltilmesi, silinmesi veya yok edilmesine ilişkin işlemlerin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, işlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme, kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etmedir.
CEZA HÜKÜMLERİ (SUÇLAR VE KABAHATLER)
Kişisel Verilerin Korunması Kanunu’nun 17 ve 18.maddelerinde kişisel verilerin hukuka aykırı olarak işlenmesine ilişkin 5237 Sayılı Türk Ceza Kanunu’nun 135 ila 140. Maddeleri arasında yer alan hapis cezası yaptırımlarının uygulanması öngörülmüştür. Kanunda düzenlenen aydınlatma, veri güvenliği, kurul kararlarının yerine getirilmemesi ve veri sorumluları siciline kayıt yükümlülüklerinin yerine getirilmemesi hallerinin ise kabahatler kapsamında değerlendirildiği ve dolayısıyla idari para cezası yaptırımına bağlandığı ilgili madde gerekçesinde belirtilmiştir.
Kanunun 17.maddesi şöyledir: “(1) Kişisel verilere ilişkin suçlar bakımından 26.09.2004 tarihli ve 5237 sayılı Türk Ceza Kanunun 135 ila 140’ıncı madde hükümleri uygulanır. (2) Bu kanunun 7’nci maddesi hükmüne aykırı olarak; kişisel verileri silmeyen veya anonim hale getirmeyenler Türk Ceza Kanununun 138’nci maddesine göre cezalandırılır.”
Kişisel verilere ilişkin suçlar, TCK’nın “Özel Hayata ve Hayatın Gizli Alanına İlişkin Suçlar” bölümü içerisinde ele alınmıştır. TCK’nın 135. Maddesinin 1.fıkrasına göre: “Hukuka aykırı olarak kişisel verileri kaydeden kimseye altı aydan üç yıla kadar hapis cezası verilir.” Kanunda ve TCK’nın ilgili madde gerekçesinde kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak tanımlanan kişisel verilerin hukuka aykırı şekilde kaydedilmesi, suçun oluşması için yeterlidir. Burada suçun oluşumunun hukuka aykırılık olarak belirlendiğine dikkat çekmek gerekir. TCK’nın 135.maddesinin 1.fıkrasına göre: “Kişisel verilerin, kişilerin siyasi, felsefi veya dini görüşlerine, ırki kökenlerine; hukuka aykırı olarak ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin olması durumunda birinci fıkra uyarınca verilecek ceza yarı oranında artırılır.”
TCK’nın 136.maddesine göre: “Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, iki yıldan dört yıla kadar hapis cezası ile cezalandırılır.” TCK’nın 135.maddesindeki düzenlemeye benzer şekilde kişisel verilerin üçüncü bir kişiye verilmesi, yayılması ya da ele geçirilmesi suçlarının hukuka aykırılık ön koşuluna bağlandığı görülmektedir. TCK’nın 138.maddesinde şikayet usulü düzenlenmektedir. Buna göre kişisel verilerin kaydedilmesi, verileri hukuka aykırı olarak verme veya ele geçirme ve verileri yok etmeme hariç, bu bölümde yer alan suçların soruşturulması ve kovuşturulması şikayete bağlıdır. Ayrıca aynı madde uyarınca, yukarıdaki maddelerde tanımlanan suçların işlenmesi dolayısıyla tüzel kişiler hakkında bunlara özgü güvenlik tedbirlerine hükmolunacağı belirtilmektedir.
KVKK’nun 18.maddesi uyarınca; madde gerekçesinde de belirtildiği üzere, kanunda öngörülen aydınlatma, veri güvenliğini sağlama, Kişisel Verilerin Korunması Kurul kararlarını yerine getirme, Veri Sorumluluları Sicili’ne kayıt ve bildirim yükümlülüklerine aykırı davranılmasının kabahat olarak görüldüğü ve Kurul tarafından belirlenecek idari para cezası yaptırımına bağlandığı belirtilmiştir. İlgili madde hükmünde yer alan idari para cezası miktar aralığı oldukça geniştir. Bu belirleme yapılırken kabahati işleyenin ekonomik durumu, kabahatin haksızlık içeriği ve failin kusur derecesi dikkate alınır.