95/46 sayılı Kişisel Verilerin İşlenmesi ve Serbest Dolaşımına İlişkin Bireylerin Korunması Hakkında AB Direktifi kaynak alınarak hazırlanan 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”), 24 Mart 2016 tarihinde TBMM Genel Kurulu’nda kabul edildi ve 7 Nisan 2016 tarihinde Resmi Gazete’de yayınlanarak yürürlüğe girdi. 10 yılı aşkın süre tasarı olarak tartışıldıktan sonra yasalaşan ve hem gerçek hem de tüzel kişilere ilişkin yükümlülükler ve yaptırımlar içeren KVKK kapsamında kişisel verilerin tanımını yapılarak kişisel verilerin işlenmesine ilişkin koşullar belirlenmiştir. KVKK ile günlük hayatımızda gerçek veya tüzel kişilerle paylaştığımız binlerce verinin kullanımı belli kurallara bağlanmaktadır.
Kanun’da “kişisel veri”, kimliği belirli veya belirlenebilir gerçek kişilere ilişkin her türlü bilgi olarak tanımlanmaktadır. Bu kapsamda bir kişinin; adı, soyadı; taşıt plakası; kimlik, SGK veya pasaport numarası, özgeçmişi, fotoğrafı, adresi, e-posta adresi, telefon numarası, telefon kayıtları, kapalı devre kamera görüntüleri, ses kayıtları, parmak izleri veya genetik bilgileri kişisel veridir. “Kişisel verilerin işlenmesi” ise, kişisel verilerin; elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması veya kullanılmasının engellenmesi gibi kişisel veriler üzerinde gerçekleştirilen her türlü işlemdir. Kural olarak kişisel verilerin işlenmesi, belirli istisnalar dışında ancak ilgili kişinin açık rızasıyla mümkündür.
Kanun kapsamında veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi olarak tanımlanmıştır. Bu kapsamda, kişisel verilerin hangi amaçla ve ne şekilde işleneceğini belirleyen ve de ilgili kuruluş nezdinde sorumlu olan kişi, veri sorumlusudur. Veri sorumlusu, mevzuat uyarınca gerçek veya tüzel kişi olabilir. Bu kapsamda, örneğin bir şirketin (tüzel kişinin) ayrı bir tüzel kişiliği haiz olmayan herhangi bir departmanının veri sorumlusu olma ihtimali yoktur. Dolayısıyla tüzel kişiler bakımından, kurum içinde bir veri sorumlusunun belirlenmesi gerekmektedir. Bu noktada, özellikle birçok tüzel kişilikten oluşan holdingler bakımından bağımsız tüzel kişiliklerden her biri için ayrı veri sorumlusu tanımlanması gerekecek ve bu halde, tüzel kişiler arasında veri paylaşılması halinde, her bir paylaşım veri aktarımı olarak değerlendirilecektir.
Kişisel veriler, ancak KVKK’da ve diğer mevzuatta belirlenen esaslara uygun olarak ve ilgili kişinin açık rızası ile işlenebilir. Açık rıza, ‘belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza’ olarak tanımlanmaktadır. Bu kapsamda, sadece ilgili işlemle sınırlandırılmaksızın, genel olarak alınan; ilgili kişi bilgilendirilmeksizin alınan, önceden doldurulmuş veya tik atılmış şekilde alınan rıza, KVKK anlamında açık rıza olarak değerlendirilmemektedir. Ancak Kanun, açık rızanın alınmasını koşula bağlamamış ve herhangi bir şekil şartı öngörmemiştir. Bu noktada, ilgili kişinin açık rızasının kayıt altına alınması, ispat bakımından elzemdir.
Belirli koşulların oluşması halinde, ilgili kişinin açık rızası bulunmaksızın da kişisel verilerin işlenmesi mümkündür. Kanun’da sayılan koşullar kapsamında, örneğin işçi bilgilerinin işveren tarafından kayıt altına alınması; bilinci kapalı veya acil müdahale gerektiren bir durumda ilgili kişiye ait kişisel verilerin elde edilmesi; elektronik ticaret sitelerinin alıcı sıfatıyla kullanıcı olan ilgili kişilerin adres bilgilerini kayıt altına alması; işletmelerin müşterilerine ait satın alma bilgilerini kamu denetçilerinin incelemelerine sunması; ilgili kişinin kendisine ait bilgileri kamuya açık şekilde paylaşmış olması; sözleşme ilişkisi sona erdikten sonra zamanaşımı süresinin sonuna kadar belli bilgilerin saklanması gibi durumlarda açık rıza aranmayacaktır.
Kanun kapsamında, kişisel verilerin sahibi olan kişinin veri sorumlusuna başvurarak elde edeceği haklar sayılmıştır. Bu kapsamda veri sorumlusu, ilgili kişinin taleplerine cevap vermekle yükümlüdür. Bu hüküm, verinin gerçek sahibi olan ilgili kişi bakımından önemli bir kazanımdır.
KVKK kapsamında veri sorumlusu olan gerçek ve tüzel kişiler tarafından öncelikle Kanun’a uygunluk çalışması yapılması gerekmektedir. Yapılacak uygunluk çalışması ile hali hazırda kullanılan veri işleme süreçleriyle elde edilen veriler incelenmeli ve değerlendirilmeli ve de yapılacak değerlendirme kapsamında organizasyonel, yapısal ve teknik süreçler planlanarak sürdürülebilir ve devamlı bir uygunluk yapısı oluşturulmalıdır. Bu kapsamda; hukuki ve teknik risk analizleri yapılmalı ve altyapılar oluşturulmalı, mevzuat kapsamında öngörülen şekilde prosedürler oluşturulmalı, mevzuatta belirtilen şikayet mekanizmaları kurulmalı, kurum içi veri sorumluları belirlenmeli ve mevzuata uygunluğun devamlılığını sağlayacak kurum içi denetim mekanizmaları kurulmalı ve işletilmelidir.
Belirtmek gerekir ki, 1995 tarihli bir AB Direktifi’nden hareketle oluşturulan Kanun, ne yazık ki oldukça eksik olmasının yanında, ayrıntılı düzenlemeler içermekten de uzaktır. Bunun yanında, Kanun’a yönelik en önemli eleştiri, Kanun uyarınca kurulması öngörülen Kişisel Verilerin Korunması Kurulu’nun, üyelerinin seçilme esası sebebiyle bağımsız bir kurum niteliğini haiz olmamasıdır. Bu kapsamda, gerek şikayet üzerine ve gerekse resen veri sorumlularını denetleyecek ve Kanun’da sayılan yaptırımları uygulayacak olan bir kurumun bağımsız olması esastır. Bununla birlikte Kanun, Kurul’un dokuz üyesinden beşinin TBMM tarafından, ikisinin Cumhurbaşkanı ve ikisinin ise Bakanlar Kurulu tarafından seçilmesini öngörmektedir. Hal böyle iken, siyasi irade tarafından atanan üyelerin bağımsızlığının tartışmalı olacağı açıktır. Öte yandan, Kanun kapsamında unutulma hakkına hiç yer verilmemiş olması, kişiselleştirilmiş reklamlar ve internet verilerinin kullanımı konularının değerlendirilmeye alınmayışı da, Kanun’un esasında güncel soru ve sorunlara çözüm olmayacağının bir göstergesidir. Zira, yalnızca Kanun’a temel alınan Direktif’in yayınlandığı 1995 senesinde gerek internet hizmetlerinin ve gerekse teknolojik cihazların gelişmemiş olması değerlendirildiğinde, mevzuatın günümüz ihtiyaçlarını karşılayacak şekilde düzenlemeleri içermediği açıktır. Bu sebeple, her ne kadar belirli ihtiyaçları karşılayacak geç kalmış bir mevzuat olsa da, Kanun güncel sorunların çözümü noktasında eksiktir.