Kişisel Veri Nedir?
Artık günümüzde neredeyse hepimiz sosyal medyada fotoğraf, video,ses kaydı, konum gibi özel bilgilerimizi paylaşıyoruz. Bir sağlık kuruluşuna gidiyoruz muayene oluyoruz, tahliller yaptırıyoruz, geçirdiğimiz sağlık problemlerini paylaşıyoruz, bankaya gidiyoruz hesap açtırıyoruz bankacılık işlemleri yaptırıyoruz, mali bilgilerimiz paylaşıyoruz. Aslında her paylaşımımız ile birlikte bize ait bir iz bırakıyoruz oysa bu izler bizi biz yapan ve diğer herkesten ayıran kişisel verilerimiz. Bazen mecburen bazende umarsızca paylaştığımız bu verileri bizden başka herkesin kötü bir amaçla kullanmaları son derece mümkün.
Kişisel veri, kanunda da yer alan genel kabul görmüş en yalın haliyle: Gerçek kişiyi belli ve belirlenebilir kılan, gerçek kişiye ait her türlü bilgi demektir. Yani kişisel ait ayırt edici özellikteki bilgiler kişisel veridir. Örneğin; isim, soyisim, kimlik numarası, vergi numarası, mali bilgiler, sağlık bilgileri, dini inanç, mezhep bilgileri, cinsel tercihleri, soy bilgileri, telefon, üyelik bilgileri, siyasi görüşü kişisel verilerdir.
Gördüğünüz gibi günlük hayatımızda ve iş hayatımızda kullandığımız bilgilerin çoğu kişisel bilgilerdir.
Özel Nitelikte Kişisel Veri Nedir?
Kanunumuzda kişi hakkında ayrımcılık yapılmasına ve mağduriyet yaratılmasına mahal verilecek bilgiler özel nitelikte veri yani hassas ver sayılmış daha farklı kanuni düzenlemelere tabi tutulmuş ve daha ağır sorumluluk ön görülmüştür. Örneğin kişilerin ırkı, etnik kökeni, dini, mezhebi, cinsel hayatı gibi veriler özel nitelikte kişisel verilerdir.
Kişisel Verilerin Korunması Kanunu nasıl ortaya çıktı?
Avrupa Konseyince 28 ocak 1981 de Strazburg’da imzalanan kişisel verilerin otomatik işleme tabi tutulması karşısında bireylerin korunması sözleşmelerine ilk imzacı ülkelerden biri Türkiye’dir. Sözleşmenin onaylanması ve iç hukuka dahil edilmesinin ardında 7 Nisan 2016 da 6698 sayılı kişisel verilerin korunması kanunu resmi gazetede yayınlanarak yürürlüğe girmiştir.
Kişisel verileri hukukun süjesi haline getiren nedir?
Bu kapsamda data mining (veri işleme) yani kişisel verilerin işlenmesinden bahsedecek olursak kişiler, veri işleme; işletmeler, kurumlar tarafından verilerin elde edilmesi kaydedilmesi depolanması değiştirilmesi düzenlenmesi 3. kişilere açıklanması veya aktarılması sınıflandırılması erişime açık tutulması vs. gibi veri üzerindeki her türlü işlemi ifade eder.
Veri sorumluluğu nedir? Kimler veri sorumlusudur?
Görüldüğü üzere verilerini paylaşan gerçek kişiler kadar işlerinin gereği olarak çalışanlarının müşterilerinin ve iş ilişkisi içerisinde olduğu 3. kişilerin verilerini işleyen özel ve kamu kurum ve kuruluşları bu kanuna muhataptır yani veri sorumlularıdır. Veri sorumlularının kanun uyarınca dikkat edeceği hususlar öncelikle veri sahibinden kanunda sayılan haller dahilinde ve usulünce rıza ve açık rızalarının alınmış olması ve aydınlatma yükümlüğünün verilmiş olmasıdır. Sonra hangi verinin ne şekilde alındığı kim tarafından neden nerede nasıl ve ne kadar duracağı ne kadar işleneceği 3. kişilere transfer edilip edilmeyeceği ne zaman ve nasıl yok edilecek belirlenmeli. Veri envanterleri çıkarılmalıdır. Yine kişisel verilerin muhafaza edildiği ve ya işlendiği dönemde veri sorumluların her türlü idari hukuki tedbirleri almış olmaları gerekmektedir. Kanunun getirdiği en büyük yeniliklerden biri bu kanundan sonra gerçek kişi veri sahibi ne şekilde olursa olsun kendi verisinin sahibidir. Verilerinin akıbetini tayin etmek hakkına ve tasarruf yetkisine sahiptir. Kişiye verisi ile ilgili hesap sorma yetkisi tanınmıştır. Dolayısıyla veri sorumlusu kurum ve kuruluşlarda gerçek kişi veri sahiplerinin sorularına cevap vermek ve onların isteklerine göre davranmak mecburiyetindedir.
Kanunen verileri işleyen veri sorumlusu kurum ve kuruluşlara getirilen bu yükümlülükleriyle birlikte bir denetim mekanizması ön görülmüş olup buna ilişkin kişisel verileri koruma kurulu faaliyet göstermekte. Kişisel verileri hukuka aykırı olarak işlenen gerçek kişi veri sahipleri ilgili veri sorumluların kişisel verilerin korunması kuruluna şikayet edebilirler ve bunu da veri sorumluları farklı şartlarda 5.000,00 TL ile 1.000.000,00 TL arasında değişen idari para cezalarına muhatap kalabilecektir.
Veri sahipleri savcılıklarına TCK 135 ve davamı maddeleri gereğince şikayette bulunabilirler, maddi ve manevi tazminat istemiyle hukuk mahkemelerinde hukuka aykırı veri işleyenlerin sorumluları aleyhine dava açabilirler. Kanun koyucu bu denli ağır sorumluluk ve yükümlülükleri olan bu kanunu 2 yıllık bir ön süreci öngörmüştür yani en geç 7 nisan 2018 tarihi itibariyle kişisel veri işleyen kurum ve kuruluşların geçmiş tarihli verilerde dahil olmak üzere tüm kişisel verileri kişisel verileri koruma kanunu ile uyumlu hale getirmeleri gerekmektedir.
Dolayısıyla kişisel veri işleyen veri sorumluları hem kanunda sayılan yaptırımlara muhatap kalmamak hemde ticari veya kurumsal itibarlarını korumak adına kanuna uyumluluklarını tamamlamak mecburiyetindeler. Uyum süreci hukuki ve teknik bilgi uzmanlık gerektiren titiz ve yoğun bir geçiş sürecidir. Bu minvalde kanuna uyumlu hale gelmek isteyen kurum ve kuruluşlar mevcut hukuk ve teknik sistemlerinin mevzuata uyumu için gereken analizlerini yaptırmak mevcut verileri kanuna uygun hale getirmek veri işleme için altyapıyı kurmak veri envanterlerini hazırlamak veri imha politikalarını oluşturmak için mutlaka hukuki ve teknik uzmanlığa sahip profesyonellerden danışmanlık hizmeti almalıdırlar.