7 Nisan 2016’da yürürlüğe giren Kişisel Verilerin Korunması Kanunu (KVKK) ile ülkemizde kişisel bilgilerin korunması alanında reform niteliğinde bir düzenleme yapılmıştır. Bu konu; birçok köşe yazısı, makale ve konferansta ele alınmış olsa da toplumun geneli tarafından (hatta bu düzenlemenin muhatabı olması nedeniyle adli, idari para cezalarına maruz kalabilecek kişiler tarafından dahi) anlaşılamamıştır. Bu durumun temelinde iki sebep yatmaktadır:
- Birincisi toplum genelinde kişisel bilgilerini koruma yönünde bir bilinç ve talep yoktur. (Bu düzenleme gelişmiş ülkelerin bilhassa AB ülkelerinin mevzuatına uyum sağlamak amacıyla getirilen bir düzenlemedir.)
- İkinci sebep KVK hakkında yapılan bilgilendirme çalışmalarının tamamında hukuki ve teknik terimler kullanılmasıdır.
Bu sebeplerle bu yazıda KVK hakkında genel okuyucuyu bilgilendirmek amaçlanmıştır.
Birçok özel kurum ve kuruluş, kişilerin bilgilerini kayıt altında tutup çeşitli amaçlarla saklamaktadır. Örneğin bir sanayi kuruluşu çalışanlarının, müşterilerinin ve tedarikçilerinin bilgilerini, bir okul öğrencilerinin, bir hastane hastalarının, bir e-ticaret sitesi ziyaretçilerinin bilgilerini kayıt altına almaktadır.
Bu bilgiler KVKK’da “kişisel veri” (personel data) olarak adlandırılmıştır. Kişisel veri; ad soyad, kimlik numarası, adres ve iletişim bilgisi, fotoğraf, performans kaydı ve benzeri her türlü bilgi olabilir. Bir bilginin kişisel veri olarak kabul edilebilmesi için tek kriter kimliği belirli yahut belirlenebilir bir “insana” ilişkin olması olup bilginin türü önem taşımaz. Bilgi, anonim olarak tutuluyorsa yani kime ait olduğu tamamen belirsiz ise kişisel veri olarak kabul edilmez ve KVKK kapsamına girmez.
Bu bilgileri kayıt altına alan gerçek ve tüzel kişiler KVKK’da “veri sorumlusu” (data controller) olarak adlandırılmış ve bu kişilere birçok kanuni sorumluluk yüklenmiştir.
Öncelikle her tür veri kayıt altına alınamaz. Kişisel veriler ancak hukuka ve dürüstlük kurallarına uygun olarak, doğru ve güncel olacak şekilde, belirli açık meşru amaçlar için bu amaçlarla sınırlı ve ölçülü şekilde kayıt altına alınıp işlenebilir.
Kişisel verilerin kayıt altına alınabilmesi için (istisnalar hariç) ilgili kişinin açık rızası gerekmektedir. Ayrıca ilgili kişi, talebi halinde hangi bilgilerin tutulduğunu, bunların ne amaçla saklandığını öğrenebilmeli, yine ilgili kişi talep ederse tutulan verileri silinmelidir.
Veri sorumlusu tarafından kanunun gereklerini yerine getirebilmek amacıyla verilerin organize şekilde, belirli kriterlere göre sınıflandırılarak tutulması için veri kayıt sistemi kurulmalıdır.
Kişisel veriler gerek fiziki ortamda gerek dijital ortamda tutulsun bu veriler uygun yöntemlerle korunmalıdır. Fiziki ortamda tutulan veriler herkesin erişemeyeceği şekilde kilit altında tutulmalı, dijital ortamda tutulan veriler ise belirli standartlarda güvenlik önlemleri ile korunmalı, verilere kimin eriştiğini gösterecek log kayıtlarının tutulması gibi teknik ve idari tedbirler alınmalıdır. Çalışanlar KVKK konusunda eğitilmeli, çalışanların kişisel verilere izinsiz erişiminin önüne geçilmelidir.
Ayrıca veri sorumlusunun, veri envanteri çıkarmak, veri sorumluları siciline kaydolmak, verilerin saklanma amacının ortadan kalkması halinde verileri silmek yahut anonim hale getirmek, ilgili kişileri rızasını almadan önce verilerin işlenmesi hususunda aydınlatılmak gibi sorumlulukları vardır.
Kişisel veriler iş ortakları gibi üçüncü kişilerle paylaşılıyorsa taraflar arasındaki sözleşmeler KVKK ile uygun hale getirilmelidir.
Bu sorumluluklarını yerine getirmeyen gerçek ve tüzel kişiler için 1.000.000 TL’yi bulan para cezaları öngörülmüş olup bunun dışında veri sorumlusunun yükümlülüklerini ihmal etmesinin cezai ve hukuki yaptırımlara yol açması da muhtemeldir.
