Kişisel verilerin koruma kurumu ve kurul kanununda düzenleme kanunda Kurumun Cumhurbaşkanının görevlendireceği bakan ile ilişkili olduğu ve merkezinin Türkiye’nin başkenti olan Ankara’da olduğu hüküm altına almıştır. Bu kapsamda kurul, Adalet Bakanlığı ile ilişkilendirilmiştir. Türkiye, bu konuda adım atarak Kişisel Verilerin Korunması Kanunu’nu hayata geçirmiş ve bu alanda düzenlemeleri yürüten bir kurum olan Kişisel Verileri Koruma Kurumu’nu kurmuştur. Bu makalede, Türkiye’de kişisel veri güvenliği ve koruma ile ilgili düzenlemeleri inceleyeceğiz.
I. Kişisel Verilerin Korunması Kanunu:
Türkiye’de kişisel verilerin korunmasıyla ilgili temel düzenlemeler, 2016 yılında yürürlüğe giren Kişisel Verilerin Korunması Kanunu (KVKK) tarafından yapılmıştır. Bu kanun, bireylerin kişisel verilerinin işlenmesi, saklanması ve kullanılmasıyla ilgili genel prensipleri belirlemektedir. KVKK, kişisel verilerin hukuka uygun bir şekilde işlenmesini ve bu verilere ilişkin hakların korunmasını amaçlamaktadır.
A. Temel İlkeler:
Genellikle belirli bir konu veya alanda rehberlik eden, doğru bir temel oluşturan temel prensiplerdir. Bu ilkeler genellikle geniş bir uygulama yelpazesine sahip olabilir. İş, etik, eğitim ve yönetim gibi çeşitli alanlarda temel ilkeler bulunabilir. Bu ilkeler, genellikle bir organizasyonun veya bireyin başarılı olmasını sağlayan temel değerleri ve yönergeleri yansıtır. Temel İlkeler, karar verme süreçlerinden, etik davranışa kadar geniş bir yelpazede uygulanabilir ve genellikle uzun vadeli başarıyı destekler. KVKK, kişisel verilerin işlenmesinde şu temel ilkeleri belirlemiştir:
- Hukuka Uygunluk: Kişisel veriler, hukuka uygun bir şekilde işlenmelidir. Hukuka uygunluk konusunda genel bir bilgilendirme yapmak önemlidir. Ancak, bu bilgiler genel nitelikte olacak ve hukuki bir danışmanlık yerine geçmeyecektir. Hukuki konularda kesin bilgi ve yardım almak için bir avukatla iletişim kurmanız gerekmektedir. Hukuka uygunluk, bir eylemin veya durumun mevcut yasal düzenlemelere uygun olup olmadığını değerlendirmeyi içerir. Hukuka uygun olmak, bireylerin ve kuruluşların yasalara saygı göstermeleri ve yasal sorumluluklarını yerine getirmeleri anlamına gelir.
- Adil İşleme: Kişisel veriler, adil ve dürüst bir şekilde işlenmelidir. Karar alma ve davranışlarda tarafsızlık, eşitlik ve hakkaniyet prensiplerine uygunluğu ifade eder. Herkesin eşit haklara sahip olduğu, ayrımcılık yapılmayan, yasalara saygılı, şeffaf ve insan haklarına saygılı bir ortamın sağlanması olarak özetlenebilir. Bu prensipler, hukuk, etik ve insan hakları bağlamında önem taşır ve adil bir toplumsal düzenin temelini oluşturur.
- Açık Rıza: Veri sahiplerinden açık rıza alınarak kişisel veriler işlenebilir. Bir bireyin veya tarafın, belirli bir eylemi veya işlemi gerçekleştirmek için bilinçli, özgür iradesiyle ve açık bir şekilde onay vermesini ifade eder. Kişi, neye razı olduğunu tam olarak anlamalı ve bu rızayı serbestçe vermeli, baskı altında olmamalıdır. Açık rıza genellikle gizlilik politikaları, veri kullanımı veya tıbbi müdahaleler gibi çeşitli alanlarda önem taşır ve yasal bir gerekliliktir.
- Amaçla Sınırlama: Kişisel veriler belirli, açık ve meşru amaçlar için işlenmelidir. Kişisel verilerin toplandığı ve işlendiği süreçte, belirli ve meşru bir amaçla sınırlı olma prensibini ifade eder. Bu ilke, kişisel verilerin sadece belirli bir amacın gerçekleştirilmesi için gerekli olduğu durumlarda toplanmasını ve işlenmesini öngörür. İlgili kişilerden alınan açık rıza veya yasal bir zorunluluk gibi nedenlerle sınırlanan veriler, belirlenen amaç dışında kullanılamaz. Bu prensip, veri koruma ve gizlilik ilkeleri çerçevesinde bireylerin haklarını koruma amacını taşır.
- Veri Güvenliği: Kişisel veriler, muhafaza edildikleri yerde güvenli bir şekilde saklanmalıdır. Bilgilerin yetkisiz erişim, değişiklik veya sızıntılara karşı korunması anlamına gelir. Bu kapsamda, bireylerin veya organizasyonların, bilgileri gizli tutmak, bütünlüğünü sağlamak ve kullanılabilirliğini sürdürmek amacıyla çeşitli teknolojik ve organizasyonel önlemleri uygulamasını içerir. Veri güvenliği, siber saldırılara, veri kaybına ve diğer tehditlere karşı koruma sağlayarak bilgi varlıklarını güvende tutma hedefini taşır.
B. Veri Sorumluları ve Veri İlgilileri:
KVKK, kişisel verilerin işlenmesinden sorumlu olan “veri sorumluları” ile kişisel verileri temsil eden “veri ilgilileri” arasındaki ilişkiyi düzenler. Veri sorumluları, kişisel verileri belirli amaçlar doğrultusunda işleyen gerçek veya tüzel kişilerdir.
Veri Sorumluları: Bu, kişisel verilerin nasıl ve hangi amaçla işleneceğini belirleyen, bu süreci yöneten ve sorumluluğu üstlenen kişiler veya kuruluşlardır. Veri sorumluları, genellikle işletmeler, kurumlar veya hükümet birimleri olabilir. Yasal çerçeve içinde, kişisel verilere uygun şekilde davranmak ve korumakla yükümlüdürler. Veri sorumluları, bireylerin kişisel verilerinin işlenmesinden sorumlu olan kişi veya kuruluşlardır. Bu sorumlular, genellikle işletmeler, kamu kurumları veya diğer örgütler olabilir. Kişisel verilerin gizliliğini koruma ve yasal düzenlemelere uyum sağlama gibi önemli sorumlulukları vardır.
Veri İlgilileri: Bu ise kişisel verileriyle ilgili olan bireyleri ifade eder. Örneğin, müşteriler, çalışanlar veya bir kuruluşun hizmetlerinden etkilenen herhangi bir kişi veri ilgilisidir. Veri ilgilileri, kişisel verileri nasıl kullanacakları ve koruyacakları konusunda bilgilendirilmeye ve haklarına saygı gösterilmeye hak sahibidirler. Veri ilgilileri, kişisel verileriyle doğrudan veya dolaylı olarak ilişkilendirilen bireylerdir. Bu kişiler, genellikle müşteriler, çalışanlar, tedarikçiler veya bir kuruluşun ürün ve hizmetlerinden etkilenen herhangi bir bireyi içerir. Veri ilgilileri, kişisel verilerin nasıl işlendiği, depolandığı ve kullanıldığı konusunda hak sahibi olan ve bu haklarını koruma hakkına sahip olan bireylerdir.
II. Kişisel Verileri Koruma Kurumu:
KVKK, Türkiye’de kişisel verilerin korunmasıyla ilgili denetim ve düzenleme görevini üstlenmiş bir kurumdur. Bu kurum, KVKK’nın etkin bir şekilde uygulanmasını sağlamak, veri sorumlularını denetlemek ve kişisel veri ihlalleriyle ilgili müdahalede bulunmakla görevlidir. Türkiye’de kişisel verilerin korunması ve işlenmesi konularında denetleme, düzenleme ve koruma görevi üstlenen bir kamu kurumudur. 7 Nisan 2016 tarihinde kurulan KVKK, Türkiye Cumhuriyeti Anayasası ve ilgili yasal düzenlemelere uygun olarak faaliyet gösterir.
KVKK’nın temel amaçları şunlardır:
A. Görevleri:
- Kişisel Verilerin Korunması: Bireylerin kişisel verilerini korumak ve bu verilerin hukuka aykırı şekilde işlenmesini önlemek. Bireylerin özel yaşamlarına ait bilgilerin güvenliği ve gizliliği açısından önemli bir ilkedir. Bu kavram, kişisel verilerin toplanması, işlenmesi, saklanması ve paylaşılması süreçlerinde bireylerin haklarını ve gizliliklerini korumayı amaçlar.
- Bilinçlendirme ve Eğitim: Kamuoyunu, işletmeleri ve diğer paydaşları kişisel veri güvenliği konusunda bilinçlendirmek ve eğitmek. İlinçlendirme ve eğitim, bireyleri veya toplulukları belirli bir konuda bilgilendirmek ve bilinçlendirmek amacıyla yapılan süreçleri ifade eder. Bu kavram, genellikle bilgi, farkındalık ve yetkinlik düzeyini artırmayı hedefler.
- Denetleme ve İnceleme: Kurum, kişisel verilerin işlenmesini denetler, ihlalleri inceleyerek gerekli cezai işlemleri uygular. Denetleme ve inceleme, bir sürecin veya kurumun etkinliğini, uygunluğunu ve doğruluğunu değerlendirmek amacıyla yapılan sistematik bir gözden geçirme sürecini ifade eder. Bu süreç, genellikle belirli standartlara veya yasal düzenlemelere uyumu değerlendirmeyi içerir ve kurumların politika ve prosedürlerine uyup uymadığını kontrol eder.
- Politika ve Düzenlemeler: Türkiye’deki kişisel veri işleme süreçlerini düzenlemek ve politika oluşturmak. Politika ve düzenlemeler, bir kurumun veya toplumun belirli bir konuda benimsediği stratejik yaklaşımları ve bu konudaki resmi kuralları ifade eder. Bu çerçeve, belirli bir amacın veya hedefin elde edilmesine yönelik yolları belirler ve bu yolların uygulanmasını düzenler.
- Denetim ve İnceleme: KVKK, veri sorumlularını düzenli olarak denetler ve gerektiğinde incelemeler yapar. Denetim ve inceleme, bir kuruluşun veya sürecin etkinliğini, uygunluğunu ve doğruluğunu değerlendirmek amacıyla yapılan düzenli ve sistematik bir gözden geçirme sürecini ifade eder. Bu süreç, belirli standartlara, yasal düzenlemelere veya kurumsal politikalara uyumu değerlendirir ve potansiyel iyileştirmeleri belirlemeye odaklanır.
- Rehberlik ve Danışmanlık: Kurum, vatandaşlara ve işletmelere KVKK ile ilgili rehberlik ve danışmanlık sağlar. Rehberlik ve danışmanlık, bireylerin veya grupların kişisel, sosyal, akademik veya kariyer gelişimini desteklemek amacıyla sağlanan profesyonel bir hizmettir. Bu süreç, bireylerin hedeflerine ulaşmalarına yardımcı olmak, sorunları çözmek, kararlar almalarına rehberlik etmek ve genel yaşam kalitelerini artırmak için kullanılır.
- Şikayet İşleme: KVKK, vatandaşların ve işletmelerin şikayetlerini değerlendirir ve gerektiğinde müdahalede bulunur. Şikayet işleme, bir kuruluşun müşteri şikayetlerini toplama, değerlendirme, çözme ve geri bildirimde bulunma sürecidir. Bu süreç, müşteri memnuniyetini artırmak, hizmet kalitesini geliştirmek ve kurumun itibarını korumak için önemlidir.
- Eğitim Faaliyetleri: Kişisel veri koruma konusunda farkındalığı artırmak için eğitim programları düzenler. Bireylere belirli bir konuda bilgi ve beceri kazandırmayı amaçlayan öğretim süreçleridir. Bu faaliyetler genellikle planlı ve yapılandırılmış bir şekilde gerçekleştirilir, öğrencilerin öğrenme hedeflerine ulaşmalarını destekler. Eğitim faaliyetleri, sınıf içi dersler, seminerler, atölye çalışmaları, çevrimiçi kurslar, eğitim materyalleri kullanımı ve pratiğe dayalı uygulamalar gibi çeşitli yöntemleri içerebilir. Bu faaliyetler, öğrencilerin bilgiyi anlamalarını, becerilerini geliştirmelerini ve genel olarak kişisel veya mesleki gelişimlerine katkıda bulunmalarını hedefler.