Bilindiği üzere, “kişisel veri” kavramı, ülkemize henüz yeni gelmiş olmakla birlikte, “kişisel verilerin korunması”na ilişkin yasal düzenlemeler de son birkaç yıldır uygulanmaktadır. Kişisel verilerin korunmasından bahsedebilmek için öncelikle kişisel verinin tanımından ve türlerinden bahsetmek gerekir.
Kişisel veri, bir kişiyi belirli veya belirlenebilir kılan her türlü bilgidir. İsim, soy isim gibi kimlik bilgileri, ikametgah adresi gibi iletişim bilgileri, sendika üyelikleri gibi kişinin sosyal yaşamına ait bilgiler, sağlık bilgileri gibi birçok bilgi, kişisel veri olarak kabul edilmektedir. Yani bir bilgi ile tek başına veya birkaç bilgi ile bir araya geldiğinde bir kişinin kimliğine ulaşılabiliyorsa kişisel veriden söz edilebilmektedir.
Bir verinin kişisel veri olarak kabul edilebilmesi için “gerçek kişi”lere ait verilerden bahsetmek gerekmektedir. Şirketler, ortaklıklar gibi tüzel kişilere ait veriler kişisel veri olarak nitelendirilmemektedir. Bu sebeple, bir şirkete ait vergi kimlik numarası, şirket adresi, vs. gibi bilgiler kişisel veri olarak kabul edilmemektedir.
Öte yandan, kişisel verilerin bazıları “özel nitelikli kişisel veri” olarak isimlendirilmektedir. Özel nitelikli kişisel veriler, öğrenilmesi halinde ilgili kişi hakkında ayrımcılık yapılmasına veya mağduriyete neden olabilecek nitelikteki verilerdir. Özel nitelikli kişisel veri, aşağıda detaylı bir şekilde açıklanacak olan Kişisel Verilerin Korunması Kanunu’nda şu şekilde tahdidi olarak sayılmaktadır: “Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler…”
Özel nitelikli kişisel verileri, kişisel verilerden ayıran en önemli husus, bu verilerin işlenmesi ve korunması konusunda daha sıkı önlemlere ihtiyaç duyulmasıdır. Bu nedenle, diğer kişisel verilere göre çok daha sıkı kurallara bağlı olarak işlenmeleri ve korunmaları gerekmektedir.
Yeri gelmişken, kişisel verilerin işlenmesi kavramından da kısaca bahsetmek gerekir. Kişisel verilerin işlenmesi, kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla, otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi… gibi veriler üzerinde gerçekleştirilen her türlü işlem, olarak kabul edilmektedir.
Özel nitelikli kişisel verilerin işlenmesi için ilgilinin, kişisel verileri işlenen kimselerin, açık rızalarının olması gerekmektedir. Ancak Kanun’a göre bazı hallerde açık rıza aranmamaktadır. Görüleceği üzere, özel nitelikli kişisel veriler, kişisel verilere nazaran hukuk düzenimizce daha çok korunmaktadır.
Kişisel veriler, kişisel verilerin işlenmesi ve ilgili tüm hususlar, 07.04.2016 tarih ve 29667 sayılı Resmi Gazete’de yayımlanarak yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda düzenlenmiştir. Kanun’un 17. Maddesinde kişisel verilere ilişkin suçlar bakımından Türk Ceza Kanunu’muzun 135 ila 140. Madde hükümlerinin uygulanacağı hükme bağlanmıştır. Kanun’un 18. Maddesi de, kabahatleri ve para cezalarını düzenlemiştir.
Türk Ceza Kanunumuzun ilgili maddelerini incelediğimizde;
- Maddenin 1. fıkrasında; “Hukuka aykırı olarak kişisel verileri kaydeden kişilere bir yıldan üç yıla kadar hapis cezası verileceği”, aynı maddenin 2.fıkrasında ise; “Özel nitelikli kişisel verilerin hukuka aykırı olarak kaydedilmesi halinde cezanın yarı oranında artırılarak bir buçuk yıldan dört buçuk yıla hapis cezası verileceği” hüküm altına alınmıştır.
- Maddesinde; “Verileri hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişinin iki yıldan dört yıla kadar hapis cezası ile cezalandırılacağı, bu verilerin kayıt altına alınan beyan veya görüntüler ile yukarıda belirtilen fillerle gerçekleştirilmesi halinde dört yıldan sekiz yıla kadar hapis cezası ile cezalandırılacağı” şeklinde düzenlenmiştir.
- Madde ise; kişisel verilerin hukuka aykırı olarak kaydedilmesi ve hukuka aykırı olarak verme, yayma veya ele geçirme fiillerinin, kamu görevlisi tarafından ve görevinin verdiği yetki kötüye kullanılmak suretiyle veya belli bir meslek ve sanatın sağladığı kolaylıktan yararlanmak suretiyle, işlenmesi halinde, verilecek cezanın yarı oranında artırılacağı şeklindedir.
Kişisel Verilerin Korunması Kanunu, işlenen kişisel verilerin bir süre sonra silinme, yok etme veya anonim hale getirme işlemlerini gerçekleştirmek suretiyle verilerin kişisel veri olma özelliğini ortadan kaldırmaları gerektiği şeklinde düzenlemelere yer vermiştir. Türk Ceza Kanunumuzun 138. Maddesi de, süresi geçmesine rağmen kişisel verileri yok etmeyen kişiler hakkında hapis cezasına hükmedileceğini düzenlemiştir.
- Madde de, 135 ve 136. Maddede düzenlenen suçlar haricindeki suçların soruşturma ve kovuşturmasının yapılmasının şikayete bağlı olduğunu ifade etmektedir.
- Maddeye göre de, tüzel kişilerin bu suçları işlemesi halinde, tüzel kişiler hakkında güvenlik tedbirlerine hükmolunacağını düzenlemiştir.
Tüm bunlarla birlikte, kişisel verilere ilişkin daha birçok yasal düzenleme mevcut olup, detaylı bilgilere Kişisel Verileri Koruma Kurumu’nun internet sitesinden ulaşabilirsiniz.
Siz değerli okuyucularımızın bu konuda da dikkatli davranacağına ve hassasiyet göstereceğine inanıyorum.