Kategoriler
Uncategorized

YANLIŞ ANLAŞILMA OLMASIN, SADECE VERBİS KAYIT SÜRESİ UZATILDI!

Kişisel Verileri Koruma Kurulu 11 Mart’ta VERBİS’e kayıt sürelerinin 31 Aralık 2021 tarihine kadar uzatıldığını duyurdu. Bu uzatma kararından sonra birçok veri sorumlusu Kanun’a uyum sürecini durdurdu veya erteleme kararı verdi. Peki bu karar veri sorumlularını nasıl etkileyecek?

Kişisel Verilerin Korunması Kanunu’nun getirdiği yükümlülükler ve yaptırımlarına şöyle bir göz atalım.

YükümlülükYükümlülüğe Uymamanın Yaptırımı
Aydınlatma Yükümlülüğü9.834-196.686 TL
Veri Güvenliğine İlişkin Yükümlülükler29.503-1.966.862 TL
İlgili Kişiler Tarafından Yapılan Başvuruların Cevaplanması ve Kişisel Verileri Koruma Kurulu Kararlarının Yerine Getirilmesi Yükümlülüğü49.172-1.966.862 TL
Veri Sorumluları Sicili’ne (VERBİS) Kayıt Yükümlülüğü39.337-1.966.862 TL (31.12.2021 itibariyle uygulanacak)

Tabloda da görüldüğü gibi veri sorumlularının bu Kanun’dan kaynaklanan birden çok yükümlülüğü vardır. Her bir yükümlülük için ayrı ayrı idari para cezaları öngörülmüştür.

VERBİS’e kayıt, Kanun’dan yükümlülüklerden sadece birisidir. Kurul’un yayınladığı erteleme kararı sadece VERBİS bakımından geçerlidir, kalan tüm yükümlülüklerin yerine getirilmesi gerekmektedir. Hali hazırda aydınlatma yükümlülüğünü, veri güvenliğini sağlamaya yönelik yükümlülüğünü, ilgili kişi başvurularını cevaplandırma ve Kurul kararlarını yerine getirme yükümlülüğünü yerine getirmeyen veri sorumluları her an ceza alma riskiyle karşı karşıyadır. Kanun’a uyumlu hale gelmek için geç kalmayın, cezalara maruz kalmayın!

Kategoriler
Uncategorized

Veri Sorumluları Sicili “Verbis”Veri Sorumluları Sicili Nedir?

Veri Sorumluları Sicili yani VERBİS (Veri Sorumluları Sicil Bilgi Sistemi) kişisel veri işleyen gerçek ve tüzel kişilerin veri işleme faaliyetine başlamadan önce kaydolmak zorunda oldukları, Kişisel Verilerin Korunması Kurumu’nun gözetiminde Başkanlık tarafından kamuya açık tutulan sicildir. Kamuya açık bu sicil, AB veri koruma mevzuatındaki şeffaflık ve hesap verilebilirlik ilkelerinin hukukumuza yansıması niteliğinde denebilir.

VERBİS Kaydının İstisnaları
KVKK’nın 16. maddesinde “Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır. Ancak, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebilir” hükmü yer almaktadır.
Şuan için herhangi bir veri kayıt sisteminin parçası olmak kaydıyla yalnızca otomatik olmayan yollarla kişisel veri işleyenler, noterler, dernek/vakıf/sendikalardan yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı ve sadece kendi çalışanlarına, üyelerine, mensuplarına ve bağışçılarına yönelik kişisel veri işleyenler, siyasi partiler, avukatlar, gümrük müşavirleri, arabulucular, serbest muhasebeci mali müşavirler ve yeminli mali müşavirler, yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olan gerçek veya tüzel kişi veri sorumlularından ana faaliyet konusu özel nitelikli kişisel veri işleme olmayanlar, VERBİS’e kayıt yükümlülüğünden istisna tutulmuştur. Bu kapsamdaki veri sorumluları kayıt yükümlüsü olmamakla birlikte VERBİS’e kayıt yaptırmaları mümkündür.
Yıllık çalışan sayısı 50’den fazla olan veya yıllık mali bilanço toplamı 25 milyon TL’den fazla olanlar ile ana faaliyet konusu özel nitelikli kişisel veri işleme olanlar VERBİS’e kayıt olmak zorundadır.

VERBİS kaydı neleri içerir?
KVKK’nın 16. maddesine göre VERBİS’e yapılan bildirim şunları içerir:
Veri sorumlusu ve varsa temsilcisinin kimlik ve adres bilgileri.
Kişisel verilerin hangi amaçla işleneceği.
Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar.
Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları.
Yabancı ülkelere aktarımı öngörülen kişisel veriler.
Kişisel veri güvenliğine ilişkin alınan tedbirler.
Kişisel verilerin işlendikleri amaç için gerekli olan azami süre.

Kategoriler
Uncategorized

Kişisel Verilerin Korunması Kanunu Terminolojisine Genel Bir Bakış

Kişisel Verilerin Korunması Kanunu Terminolojisine Genel Bir Bakış

Kişisel verilerin korunması Türk hukuku mevzuatında en güncel düzenlemelerden biridir. İlgili 6698 s. Kişisel Verilerin Korunması Kanunu ve ikincil düzenlemeleri haliyle birçok yeni terimi beraberinde getirmiştir. Bu yazımızda Kanun’da yer alan terimleri inceliyor olacağız.
Daha önceki yazılarımızda değindiğimiz gibi kişisel veri, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” olarak tanımlanmıştır. Kişisel veri değerini gerçek bir kişiye ilişkin olmasında bulur. Bu sebeple korunan her türlü bilgi, belirli veya belirlenebilir bir gerçek kişi ile ilişkilendirildiği takdirde bu Kanun kapsamında korunmaktadır.
İlgili kişi, “kişisel verisi işlenen gerçek kişiyi” ifade etmektedir. Kanun’un amacı gerçek kişilerin, kişisel verilerin işlenmesinin kaçınılmaz olduğu günümüzde, işlenen verileri üzerinde hakimiyet sahibi olmasıdır. Bu kanun ile korunan kişi ilgili kişi olarak tanımlanmış ve mutlaka gerçek kişi olması şartı aranmıştır.
Kişisel verilerin işlenmesi, “kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi” ifade etmektedir. Kişisel verinin üzerinde gerçekleştirilen her türlü işlem, işleme faaliyetidir.
Veri sorumlusu, “kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi” ifade etmektedir. Kısaca kişisel verilerin neden ve nasıl işlendiğini belirleyen kişi, veri sorumlusudur. Veri sorumlusu gerçek kişi olabileceği gibi tüzel kişi de olabilir.
Veri işleyen, “veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi” ifade etmektedir. Veri işleyen kişinin belirlenmesinde dikkat edilmesi gereken husus, bu kişinin veri sorumlusunun organizasyonu içerisinde mi dışarısında mı olduğudur. Eğer ki bu kişi, gerçek veya tüzel kişi olabilir, veri sorumlusunun organizasyonu dışındaysa veri işleyen sıfatını haiz demektir.
Veri kayıt sistemi, “kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini” ifade etmektedir. Veri kayıt sistemi elektronik bir ortam olabileceği gibi fiziksel ortamda da olabilir. Önemli olan kişisel verilerin belirli bir sistematiğe tabi tutularak işlenmesidir.
Açık rıza, “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı” ifade etmektedir. Açık rızanın varlığından söz edilebilmesi için bu üç hususun mutlaka bir arada bulunması gerekmektedir. Bu şartlardan birinde eksiklik varsa açık rızadan söz edilemeyecektir.
Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler ilgili kullanıcı olarak tanımlanmıştır.
Kanun’da veri imha yöntemleri olarak silme, yok etme ve anonim hale getirme işlemleri karşımıza çıkmaktadır.
İlgili kullanıcı tarafından kişisel verinin hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi verinin silinmesi işlemidir. Silme işlemi arşivlemeden farklı olarak verinin olağan tüm kullanım ve erişim alanlarından çıkarılmasıdır.
Yok etme, silme işleminden farklı olarak, kişisel verilerin hiç kimse tarafından hiçbirşekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesidir.
Anonim hâle getirme, “Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini” ifade etmektedir. Kişisel veri anonim hale getirildiğinde artık ortada gerçek bir kişiyle ilişkilendirilebilecek bir bilgi kalmadığından kişisel veri imha edilmiş olur.

Kategoriler
Uncategorized

VERİ SORUMLUSU KİMDİR VE YÜKÜMLÜLÜKLERİ NELERDİR

VERİ SORUMLUSU KİMDİR VE YÜKÜMLÜLÜKLERİ NELERDİR?

Veri sorumlusu, “kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi” olarak tanımlanmıştır. Kısaca kişisel verilerin neden ve nasıl işlendiğini belirleyen kişi, veri sorumlusudur. Veri sorumlusu gerçek kişi olabileceği gibi tüzel kişi de olabilir. Kişisel Verilerin Korunması Kanunu (KVKK) ile getirilen yükümlülüklerin veri sorumlusunun şahsında doğduğu görülmektedir. Bu yükümlülükler şöyle sınıflandırılabilir:
⦁ Aydınlatma Yükümlülüğü
⦁ Veri Güvenliğine İlişkin Yükümlülükler
⦁ Veri Sorumluları Siciline (VERBİS) Kayıt Yükümlülüğü
⦁ İlgili Kişiler Tarafından Yapılan Başvuruların Cevaplanması Yükümlülüğü
⦁ Kurul Kararlarının Yerine Getirilmesi Yükümlülüğü
Aydınlatma Yükümlülüğü
KVKK’nın amacı kişisel verisi işlenen gerçek kişilerin (KVKK’daki tanımına göre ilgili kişilerin) kişisel verileri üzerinde hakimiyet sahibi olmasıdır. Kişilerin bu hakimiyetini sağlayabilmek için de hangi kişisel verilerinin neden işlendiği, kimlere aktarıldığı, nerede ne süre saklandığı gibi bilgilere sahip olması gerekmektedir. İşte bu noktada veri sorumlularının aydınlatma yükümlülüğü karşımıza çıkmaktadır. KVKK’nın 10. maddesinde düzenlenen aydınlatma yükümlülüğü kapsamında veri sorumlusu ilgili kişileri şu konularda aydınlatmalıdır:
⦁ Veri sorumlusunun ve varsa temsilcisinin kimliği,
⦁ Kişisel verilerin hangi amaçla işleneceği,
⦁ Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
⦁ Kişisel veri toplamanın yöntemi ve hukuki sebebi,
⦁ 11. maddede sayılan diğer hakları.
Aydınlatma yükümlülüğü ilgili kişinin talebine bağlı değildir, ilgili kişinin kişisel verileri açık rızasına veya KVKK’da yer alan diğer veri işleme şartlarından birine dayalı olarak da işlenmiş olsa veri sorumlusu aydınlatma yükümlülüğünü yerine getirmelidir.
Veri Güvenliğine İlişkin Yükümlülükler
KVKK’nın veri güvenliğine ilişkin 12. maddesine göre veri sorumluları kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak ile yükümlüdür. Veri sorumluları bu yükümlülüğü yerine getirebilmek için uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri almaktadır. Burada veri sorumlusu hem hukuk hem bilişim alanında bir uyum süreci geçirmeli, risk ve tehditler belirlenerek KVKK’ya uyum sağlamalıdır.
Veri Sorumluları Sicili’ne Kayıt Yükümlülüğü
Veri Sorumluları Sicili (VERBİS), Kişisel Verileri Koruma Kurumu’nun gözetiminde tutulan kamuya açık bir sicildir. Veri sorumluları, veri işleme faaliyetine başlamadan evvel VERBİS’e kayıt olmakla yükümlüdür. VERBİS’e ilişkin detaylı açıklamamızı bir sonraki yazımızda bulabilirsiniz.
İlgili Kişiler Tarafından Yapılan Başvuruların Cevaplanması Yükümlülüğü
Veri sorumluları, ilgili kişilerin 11. maddede sayılan haklarını kullanmak üzere kendilerine yaptıkları başvuruları en kısa sürede ve en geç 30 gün içinde cevaplandırmakla yükümlüdür.
Kurul Kararlarının Yerine Getirilmesi Yükümlülüğü
Kişisel Verilerin Korunması Kurulu kendiliğinden (re’sen) veya şikayet üzerine yaptığı incelemede bir ihlal tespit ederse bu ihlalin giderilmesi için yapılması gerekenleri içeren kararını veri sorumlusuna tebliğ eder. Veri sorumlusu bu kararın kendisine tebliğinden itibaren gecikmeksizin ve en geç 30 gün içinde kararın gereğini yerine getirmekle yükümlüdür.

Yükümlülüklere Uyulmaması Halinde Ne Olur?
Peki veri sorumlusu KVKK ile getirilen bu yükümlülüklerini yerine getirmemesi halinde hangi durumlarla karşı karşıya kalır? Öncelikle dünyanın dinamiğinin kişisel veriye bağlı olduğu günümüzde yükümlülüklerini yerine getirmeyen veri sorumluları ciddi bir repütasyon (ün) problemi yaşarlar. Bilişim çağında veri güvenliğini sağlamaya yönelik aksiyonları almayan veri sorumlularının marka değerleri azalır, ticari itibarları zedelenir. Ancak veri sorumlularının karşılaştığı tek sonuç bu değildir. Türk Ceza Kanunu’ndan kaynaklanan gerçek kişiler için hapis, tüzel kişiler için güvenlik tedbirleri uygulanırken; KVKK, yükümlülüklere uymamanın yaptırımı olarak idari para cezaları öngörmüştür:

Kategoriler
Uncategorized

KVKK Hukukunda Uluslararası ve Ulusal Düzenlemeler

KİŞİSEL VERİLERİN KORUNMASI HUKUKUNDA ULUSLARARASI VE ULUSAL DÜZENLEMELER

ULUSLARARASI DÜZENLEMELER

(ZAMAN ÇİZELGESİ ŞEKLİNDE EKLENEBİLİR BURASI)

            3 Eylül 1953 İnsan Hakları ve Özgürlüklerinin Korunmasına İlişkin Avrupa Sözleşmesi

            23 Eylül 1980 OECD’nin Özel Yaşamın Korunması ve Kişisel Verilerin Sınır Ötesi Akışına İlişkin Rehber İlkeleri

            28 Ocak 1981 108 No’lu Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi

            14 Aralık 1990 BM’nin Bilgisayarla İşlenen Kişisel Veri Dosyalarına İlişkin Rehber İlkeleri

            25 Ekim 1998 95/46 Sayılı Kişisel Verilerin İşlenmesi ve Serbest Dolaşımı Bakımından Bireylerin Korunmasına İlişkin Avrupa Parlamentosu ve Avrupa Konseyi Direktifi

            8 Kasım 2001 181 No’lu Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesine Ek Denetleyici Makamlar ve Sınır Aşan Veri Akışına İlişkin Protokoş

            25 Mayıs 2018 2016/679 Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR)

 

ULUSAL DÜZENLEMELER

(ZAMAN ÇİZELGESİ ŞEKLİNDE EKLENEBİLİR BURASI DA)

12 Ekim 2004 5237 sayılı Türk Ceza Kanunu

12 Eylül 2010 Kişisel verilerin korunması ile ilgili hükmün Anayasaya dahil edilmesi

17 Mart 2016 108 No’lu Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesinin Türk hukukuna dahil edilmesi

7 Nisan 2016 6698 sayılı Kişisel Verilerin Korunması Kanununun Resmi Gazetede yayımlanarak yürürlüğe girmesi

5 Mayıs 2016 181 No’lu Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesine Ek Denetleyici Makamlar ve Sınır Aşan Veri Akışına İlişkin Protokolün Türk hukukuna dahil edilmesi

 

Anayasa, TCK, 6698 s Kanun yan yana olsun, üstüne gelince metinler büyüsün, 6698 sayılı kanun için direkt köprü verelim mevzuat.gov.tr’ye https://www.mevzuat.gov.tr/mevzuat?MevzuatNo=6698&MevzuatTur=1&MevzuatTertip=5)

  • Anayasa hükmü
  1. Özel hayatın gizliliği

MADDE 20- Herkes, özel hayatına ve aile hayatına saygı gösterilmesini isteme hakkına sahiptir. Özel hayatın ve aile hayatının gizliliğine dokunulamaz. (Mülga cümle: 3/10/2001-4709/5 md.)

(Değişik: 3/10/2001-4709/5 md.) Millî güvenlik, kamu düzeni, suç işlenmesinin önlenmesi, genel sağlık ve genel ahlâkın korunması veya başkalarının hak ve özgürlüklerinin korunması sebeplerinden biri veya birkaçına bağlı olarak, usulüne göre verilmiş hâkim kararı olmadıkça; yine bu sebeplere bağlı olarak gecikmesinde sakınca bulunan hallerde de kanunla yetkili kılınmış merciin yazılı emri bulunmadıkça; kimsenin üstü, özel kâğıtları ve eşyası aranamaz ve bunlara el konulamaz. Yetkili merciin kararı yirmidört saat içinde görevli hâkimin onayına sunulur. Hâkim, kararını el koymadan itibaren kırksekiz saat içinde açıklar; aksi halde, el koyma kendiliğinden kalkar.

(Ek fıkra: 12/9/2010-5982/2 md.) Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.

  • Türk Ceza Kanunu hükümleri

Kişisel verilerin kaydedilmesi

Madde 135- (1) Hukuka aykırı olarak kişisel verileri kaydeden kimseye bir yıldan üç yıla kadar hapis cezası verilir.

(2) Kişisel verinin, kişilerin siyasi, felsefi veya dini görüşlerine, ırki kökenlerine; hukuka aykırı olarak ahlaki

eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin olması durumunda birinci fıkra uyarınca verilecek ceza yarı oranında artırılır.

Verileri hukuka aykırı olarak verme veya ele geçirme

Madde 136- (1) Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, iki yıldan dört yıla kadar hapis cezası ile cezalandırılır.(4)

(2) (Ek:17/10/2019-7188/17 md.) Suçun konusunun, Ceza Muhakemesi Kanununun 236 ncı maddesinin beşinci ve altıncı fıkraları uyarınca kayda alınan beyan ve görüntüler olması durumunda verilecek ceza bir kat artırılır.

Nitelikli haller

Madde 137- (1) Yukarıdaki maddelerde tanımlanan suçların;

  1. a) Kamu görevlisi tarafından ve görevinin verdiği yetki kötüye kullanılmak suretiyle,
  2. b) Belli bir meslek ve sanatın sağladığı kolaylıktan yararlanmak suretiyle,

İşlenmesi halinde, verilecek ceza yarı oranında artırılır.

Verileri yok etmeme

 Madde 138- (1) Kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlara görevlerini yerine getirmediklerinde bir yıldan iki yıla kadar hapis cezası verilir.(5)

(2) (Ek: 21/2/2014-6526/5 md.) Suçun konusunun Ceza Muhakemesi Kanunu hükümlerine göre ortadan kaldırılması veya yok edilmesi gereken veri olması hâlinde verilecek ceza bir kat artırılır.

Şikayet

Madde 139- (1) Kişisel verilerin kaydedilmesi, verileri hukuka aykırı olarak verme veya ele geçirme ve verileri yok etmeme hariç, bu bölümde yer alan suçların soruşturulması ve kovuşturulması şikayete bağlıdır.

Tüzel kişiler hakkında güvenlik tedbiri uygulanması

 Madde 140- (1) Yukarıdaki maddelerde tanımlanan suçların işlenmesi dolayısıyla tüzel kişiler hakkında bunlara özgü güvenlik tedbirlerine hükmolunur.

  • 6698 sayılı Kanun
Kategoriler
Uncategorized

Veri: Yeni Çağın Petrolü

VERİ: YENİ ÇAĞIN PETROLÜ

1990 yılından bu yana bilişim ve internet teknolojilerindeki gelişim insanlık tarihinde toplumsal, kültürel ve ekonomik alanlarda büyük bir değişim yaratmıştır. Bir ağ toplumunun ortaya çıktığı bu döneme “bilişim çağı” adı verilmiştir. Bu yeni çağda bilginin, toplumları ekonomik ve sosyal anlamda yönlendirme ve yönetmede en önemli parametre olduğu ortaya çıkmıştır. Bilgiyi bu kadar değerli kılan da kişilere ilişkin olmasıdır. Bugün sermayesi kişisel veri olanların gücü yadsınamaz noktaya gelmiştir.

KİŞİSEL VERİ KAVRAMI

Ulusalüstü, uluslararası ve ulusal yasal düzenlemelerde kişisel veri kavramının tanımı konusunda ortak bir kanıya varılmıştır. Buna göre, belirli veya belirlenebilir nitelikteki bir gerçek kişiye ilişkin her türlü bilgi kişisel veri kabul edilmiştir. Kişisel veri tanımlanırken sınırlayıcı bir tanım yapmaktan kaçınılmıştır, çünkü kişilere ilişkin bilgiler gelişen teknoloji ile birlikte her geçen gün çeşitlilik kazanmaktadır. Zira insanların varoluşları sebebiyle kişiliklerine ilişkin bilgileri olduğu gibi modern bilişim toplumunda yer almaları sebebiyle de kazandıkları bilgileri olmaktadır. Örneğin isim, cinsiyet, kan grubu, ırk bilgileri insanların varoluşundan kaynaklanan bilgilerken telefon numarası, motorlu taşıt plakası, SGK numarası, e- posta adresleri gibi veriler bilişim toplumunun parçası olmaktan kaynaklanan bilgilerdir. İşte modern bilişim toplumunun neler getireceği öngörülemediğinden kişisel veriler için kesin bir sınırlama yapılmamış, gerçek bir kişiyi belirli veya belirlenebilir kılan her türlü bilgi kişisel veri olarak tanımlanmıştır.

NEDEN KİŞİSEL VERİLERİN KORUNMASINA İHTİYAÇ VARDIR?

Günümüzde en olağan işlerde dahi kişisel veri işleme (elde etme, saklama, aktarma gibi veri üzerinde gerçekleştirilen her türlü işlem) zaruri bir durum olarak karşımıza çıkmaktadır. Bir iş yerinde çalışmak için başvuru yaptığınızda kimlik bilgileri, iletişim bilgileri, eğitim bilgileri, mesleki deneyim bilgileri sizden talep edilmekte ve zaten sizler de bunu işe kabul için kendi isteğinizle iş verenlerle paylaşmaktasınız. Hastaneye gidip tedavi olmak istediğinizde kaydınızın oluşturulması için yine kimlik bilgilerinizi, iletişim bilgilerinizi, sağlık bilgilerinizi herhangi bir zorlama olmadan tedavi olmayı istemeniz sebebiyle vermektesiniz. İnternet üzerinden alışveriş yaptığınız takdirde siparişinizin size ulaşması için kimlik, iletişim, adres bilgilerinizi; eğer kampanyalardan da haberdar olmak istiyorsanız yine gerekli bilgileri paylaşmaktasınız. Siz bilgilerinizi alışveriş yaptığınız firmaya vermişken firma bu siparişin size ulaşması için bilgilerinizi kargo firmalarıyla paylaşmaktadır.

İşte geldiğimiz noktada kişisel veriler çok kolay bir şekilde elde edilmekte, üçüncü kişilere aktarılmaktadır. Bu kadar yoğun trafiğin olduğu bu alan elbette ki kazalara gebedir. Yeterli koruma sağlanmadığı takdirde verileriniz suiistimallerle, yetkisiz erişimlerle, amaç dışı ya da kötüye kullanımlarla karşı karşıya kalır. Ekonomik ve sosyal hayatın devamı için kişisel veri işlemek kaçınılmazdır. Ancak kişisel verilerin hukuki niteliğinin -Avrupa Birliği’nde kabul edildiği ve bizim de takip ettiğimiz gibi- insan hakkı olduğu unutulmamalıdır. Kişisel veriyi korumakla kişilik hakları, kişinin onur ve şahsiyetinin korunması, kişinin kişiliğinin serbestçe geliştirebilmesi böylece temel hak ve özgürlüklerinin korunması amaçlanmaktadır. İşte bu sebeple ulusal ve uluslararası düzeyde yapılan kişisel verilerin korunması hakkındaki yasal düzenlemeler kişisel verilerinin işlenmesini engellemeyi değil, bu verilerinin gelişigüzel işlenmesini engellemeyi ve gerekli korumayı sağlamayı, veri işlemenin usul ve esaslarını düzenlemeyi amaçlamaktadır.