Kişisel veri, kanunda yer alan tanımıyla gerçek kişiyi belirli ve belirlenebilir kılan, gerçek kişiye ait her türlü bilgi demektir. Kişilere ait ayırt edici özellikteki bilgilerin tümü kanun kapsamına girmektedir.
Avrupa Konseyince 28 Ocak 1981de Strazburg’da imzalanan kişisel verilerin otomatik işleme tabi tutulması karşısında bireylerin korunması sözleşmesine ilk imza atan ülkelerden biri Türkiye’dir.
Onaylanması 17 Mart 2016 da gerçekleştiği için bu tarihten beri bağlayıcıdır. Sözleşmenin iç hukuka dahil edilmesi ve 7 Nisan 2016’da 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun resmi gazetede yayınlanmasıyla yürürlüğe girmiştir.
Günlük yaşamda ve iş yaşamında kullandığımız bilgilerin çoğu özellikle gelişen teknoloji ile farklı platformlarda kolaylıkla erişilebilir durumdadır. Bu verilerin işlenmesi kişiler ile mal ve hizmet sunanlar bakımından bazı avantajlar sağlasa da verilerin istismar edilme riskini de beraberinde getirmektedir. Bu nedenle, kişisel verileri koruyabilmek adına hukuki bir altyapının oluşturulması da zorunluluktur.
Kişisel Veri İşleme
Her işletme, çalışanına, müşterilerine, tedarikçilerine, ziyaretçilerine, ortaklarına veya 3. kişilere ait kişisel veriler almakta, kaydetmekte, saklamakta, bunları aktarmaktadır. Bu işlemlerin tümüne “kişisel veri işleme” adı verilir
Veri Sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder.
Kanun, işletmelere bir takım sorumluluklar yüklemiştir. Veri sorumlusu adıyla işletmeler hem kanuna uymak hem Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) belirli tarihlere kadar kayıt yaptırmak zorundadır.
İşletmelerin KVKK Analizi
İşletmelerin tüm iş süreçleri hukuki analize tabi tutulur ve işlenen veriler ile ilgili olarak ne yapılması gerektiği hukuki analiz ile tanımlanır.
Bu çalışmalarla birlikte işletmeler uyum için temel şartlardan biri olan Veri İşleme Envanterini de hazırlamış olur. Veri işleme Envanteri’ne ek olarak, kişisel verilerin korunması ile ilgili saklama, silme vb. politikaların oluşturulması, hukuki anlaşmaların, formların vb. dokümantasyonun gözden geçirilerek KVKK ile uyumlu hale getirilmesi, açık rıza metinlerinin ve aydınlatma metinlerinin oluşturulması gibi süreçlerden sorumludurlar.
Hukuki Yaptırımlar
Kişisel verilere ilişkin suçlar bakımından 5237 sayılı Türk Ceza Kanununda bazı yaptırımlar öngörülmüştür.
Savcılıklarca resen soruşturma başlatılabilir.
Kanuna aykırı durumlarda idari para cezaları uygulanır.
Kanun’un 15. maddesinde Kurul’un şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda re’sen (kendiliğinden) inceleme yapacağı düzenlenmiştir. Veri sahibi kişilerin verilerine dair haklarına ve Kanun’a dair farkındalıkları arttıkça şikâyet ve ihbarların sayısının da artacağı göz önünde bulundurulmalıdır.
Sonuç olarak;
Gerçek bir kişiye ait her türlü bilgi kişisel veri kapsamındadır. Özellikle yaşanan dijital dönüşümün etkisiyle bu verilere erişim çok daha kolaydır. Kişisel verilerin işlenmesiyle birlikte konu hukuki bir boyut kazanmakta ve KVKK ile güvence altına alınmaktadır. Verilerin elde edilmesi, saklanması, değiştirilmesi, düzenlenmesi kısaca veri üzerindeki her türlü işlem verilerin işlenmesi ile ifade edilir. Çalışanların, müşterilerin ve iş ilişkisinde bulundukları herkesin verilerini işleyen kamu veya özel kurum ve kuruluşlar da bu sürece dahildir. KVKK ile mevzuata uyumlu hale gelmek isteyen bu kurum ve kuruluşlar mevcut hukuk sistemlerinde gereken analizlerini yapmalı, mevcut verilerini kanuna uygun hale getirmeli, veri işleme için altyapıyı kurmalı, veri envanterlerini hazırlamalı ve veri imha politikalarını oluşturmalıdır.
Pınar Ezgi Güngör