7 Nisan 2016 tarihinde 29677 sayılı Resmi Gazete’de yayımlanmak suretiyle yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”), kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişilere uygulanmaktadır.

Kişisel verilerin korunmasındaki temel amaç, sosyal medya, internet bankacılığı, eticaret, global transferler ve akıllı telefonların dijitalleştirdiği bireylerin özel hayatının gizliliğinin korunması ve kendi verileri üzerindeki kontrollerinin arttırılmasıdır. Bu nedenle, kişisel veri kavramının neleri kapsadığının anlaşılması önem arz etmektedir.

Kanun uyarınca kişisel veriler, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak tanımlanmaktadır. Bu bağlamda, adı, soyadı, doğum tarihi, doğum yeri gibi bireyin kimliğini ortaya koyan bilgilerin yanı sıra, telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, IP adresi, e-posta adresi, hobiler, tercihler, etkileşimde bulunulan kişiler, grup üyelikleri, aile bilgileri, sağlık bilgileri gibi doğrudan veya dolaylı olarak bireyin kimliğini belirlenebilir kılan tüm veriler kişisel veri olarak kabul edilmektedir. Aynı şekilde kişinin fiziksel özellikleri, eğitim, istihdam durumu, başkası ile yaptığı haberleşmeler, kredi kartı, alışveriş alışkanlıkları gibi bir gerçek kişiyle ilişkilendirilebilecek tüm bilgiler de bu kapsama girmektedir.

Kanun’un 6. maddesinde kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri, özel nitelikli kişisel veriler olarak tanımlanmıştır. Bir verinin özel nitelikli kişisel veri olup olmadığının tespitinde, ilgili kişinin menfaati, kişisel verinin alıcıları ve işlenmesi durumunda ilgili kişi üzerinde doğuracağı sonuçlar nazara alınmalıdır.

Kanun’un 3. maddesinde kişisel verilerin işlenmesi, kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem şeklinde ifade edilmiştir. Kısacası, verilerin ilk defa elde edilmesinden başlayarak veriler üzerinde gerçekleştirilen her türlü kullanım, tasarruf ve tüm işlem türlerini içerir.

Buna ek olarak, kişisel verilerin işlenmesinden esas olarak sorumlu olan kişi olan veri sorumlusu, kişisel verileri işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi, veri işleyen ise veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi olarak belirtilmiştir. Veri işleyen, veri sorumlusunun bir çalışanı olmayıp veri sorumlusunun organizasyonu dışında yer alan bir gerçek ya da tüzel kişi olabilmektedir.

Kişisel veri işleme faaliyeti kapsamında sorumluluk bizzat veri sorumlusunda olacak ve veri sorumlusu bünyesindeki çalışanlar ya da diğer gerçek kişilerin Kanun uyarınca şahsi sorumluluğu söz konusu olmayacaktır. Nitekim Kişisel Verileri Koruma Kurumu’nun yayımladığı belgelerde veri sorumlusunun tüzel kişiliğin kendisi olduğu ve tüzel kişiliğin temsil ve ilzama yetkili olan organ veya kişileri görevlendirmesi halinde bu kişilerin şahsen veri sorumlusu olmayacağı belirtilmiştir. Bu sebeple sermaye şirketlerinde Türk Ticaret Kanunu’nun 367-371. maddeleri uyarınca bir iç yönerge çıkartarak kişisel verilerin korunması ile ilgili konularda veri işleyen olarak atanmak üzere yetki devri yapılması mümkün olmamaktadır. Öte yandan, bu kişinin hukuka ve dürüstlük kuralına aykırı kötü niyetli hareketleri halinde genel hükümler çerçevesinde şahsi sorumluluğuna her zaman gidilebilecektir.

Kanun doğrultusunda kişisel veriler ancak, (i) hukuka ve dürüstlük kurallarına uygun şekilde; (ii) belirli, açık ve meşru amaçlar kapsamında; (iii) doğru ve güncel olma şartıyla; (iv) işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ve (v) yasal olarak öngörülen veya bu amaç için gerekli olan süre kadar muhafaza edilme koşullarına bağlı olarak işlenebilecektir.

İşlenmeye ilişkin en önemli şart, ilgili kişinin açık rızasının olmasıdır. Kanun gerekçesinde de belirtildiği üzere, açık rıza, ilgili kişinin kendisiyle ilgili veri işlenmesine, özgürce, konuyla ilgili yeterli bilgi sahibi olarak, tereddüde yer bırakmayacak açıklıkta ve sadece o işlemle sınırlı olarak verdiği onay beyanı şeklinde anlaşılmalıdır. Açık rıza vermek, kişiye sıkı sıkıya bağlı bir hak olduğundan, verilen açık rıza geri alınabilir. Bu durumda açık rızaya dayalı olarak gerçekleştirilen tüm faaliyetler geri alma beyanının veri sorumlusuna ulaştığı andan itibaren veri sorumlusu tarafından durdurulmalıdır.

Kanun’un 5. maddesinde de ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenebileceği haller sıralanmıştır. Özel nitelikli kişisel veriler açısından da ilgili kişinin açık rızasının bulunmadığı hallerde kişisel verilerin işlenmesi yasaklanmıştır. Ancak sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, kanunlarda açıkça öngörülmüş olması şartına bağlı olarak işlenebilecekken sağlık ve cinsel hayata ilişkin kişisel veriler, ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından açık rıza olmaksızın işlenebilirler. Bunun yanı sıra özel nitelikli kişisel veriler ile ilgili olarak bu istisnalar söz konusu olsa dahi, Kişisel Verileri Koruma Kurulu’nun 31 Ocak 2018 tarih 2018/10 sayılı kararında belirtilen ve Resmi Gazete’de yayımlanan önlemlerin alınması şarttır.

Kişisel verilerin hukuka aykırı olarak kaydedilmesi halinde 1 yıldan 3 yıla kadar ve özel nitelikli kişisel verilerin hukuka aykırı olarak kaydedilmesi halinde 1,5 yıldan 4,5 yıla kadar hapis cezasına hükmedilebilir. Kanun’un 7. maddesi kişisel veriler işlenmiş olmasına rağmen, işlenmeyi gerektiren sebepler ortadan kalktığı takdirde kişisel verilerin silinmesini, yok edilmesini, anonimleştirilmesini düzenlemektedir. Bu hüküm “amaca bağlılık ilkesinin” yansımasıdır. Veri işlenmesini gerektiren sebepler ortadan kalktığı durumda, kişisel verileri silmek, yok etmek veya anonim hale getirmek veri sorumlusunun yükümlülüklerindendir. Bunun için ilgili kişinin başvurusu şart değildir. Hatta veri sorumlusunun ihmali durumunda ilgili kişinin kişisel verilerinin yok edilmesini, silinmesini veya anonim hale getirilmesini talep etme hakkı da bulunmaktadır. Bu yükümlülüğe aykırılık halinde 1 yıldan 2 yıla kadar hapis cezası öngörülebilir.

Kişisel verilerin yurt içinde ve yurt dışında aktarılmasında da temel ilke, açık rızanın olmasıdır. Ancak kişisel verilerin işlenme yasağında geçerli olan istisnalar burada da uygulanacak şekilde açık rıza olmaksızın kişisel verilerin aktarılması imkanı mevcuttur. Veri sorumlusu ve veri işleyen arasında gerçekleştirilecek her türlü veri aktarımı için dahi bu düzenlemelere uyulması gerekmektedir. Bununla birlikte Kanun’un 8. maddesinde yer alan bu aktarma işlemi, Türk Ceza Kanunu’nun 136. maddesinde düzenlenen verileri hukuka aykırı verme, yayma veya ele geçirme suçunu oluşturan verme ve yayma fiillerini de kapsamaktadır. Kişisel verileri hukuka aykırı olarak verme veya geçirme halinde 2 yıldan 4 yıla kadar hapis cezası verilebilmektedir.

Ayrıca kişisel verilerin yurt dışı aktarımlarında Kanun’un 9. maddesi, yukarıda sayılanlara ek olarak kişisel verinin aktarılacağı yabancı ülkede yeterli korumanın bulunması, yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kişisel Verileri Koruma Kurulu’nun izninin bulunması şartlarını da aramaktadır. Bu hüküm ile yurt dışı aktarımlarında çoğunlukla Kişisel Verileri Koruma Kurulu’na başvurulması gerekeceği sonucuna varılabilir. Veri sorumlusunun diğer yükümlülükleri ve ihlali halinde uygulanabilecek idari para cezaları ise aşağıda yer almaktadır. Söz konusu para cezaları, gerçek kişiler ile özel hukuk tüzel kişileri hakkında uygulanır.