Avrupa’da 18. ve 19. yüzyıllarda yaşanan makineleşme ve sanayinin güçlenmesi, iş gücünün ve makinelerin önemini arttırırken bilgisayar çağının hayatımıza girmesi ile bu güç yerini, veri ve teknolojinin gücüne bıraktı.

Özel sermaye şirketleri tarafından son çeyrek yüzyılda ciddi anlamda değer kazanan, verinin işlenmesi ve verinin pazarlama amacıyla kullanması, artık her türlü verinin sermaye ve güç anlamına gelmesine sebep oldu.

Bu dönemde konu hakkında hiçbir regülasyonun olmaması sebebiyle, kişisel tüm bilgiler, tercihler, ihtiyaçlar, ilgi duyulan konular başta pazarlama argümanı olmak üzere farklı amaçlarla işlenmeye, toplanmaya ve paylaşılmayı devam edildi.

Hepimizin hayatına etkisi olan bu süreç, en bariz şekilde şu örneklerle karşımıza çıkmaya başladı:

• Hiçbir zaman gitmediğiniz ama görmek istediğiniz bir şehirle ilgili Google’da araştırma yaptıktan sonra, tur şirketlerinden reklam, e-Posta ve SMS yoluyla bilgilendirmeler almaya başlamanız,
   
• Daha önce misafir olduğunuz bir otelin anlaşmalı olarak çalıştığı ama sizin hiçbir zaman hizmet almadığınız turizm acentesinden konaklamanızdan bir yıl sonra ansızın bir pazarlama maili aldığınızda,
   
• Daha önce hiçbir şekilde iletişime geçmediğiniz ve bilgilerinizi paylaşmadığınız bir kurumdan ürün ya da hizmet satışı için arandığınızda kişisel verilerinizin sizden habersiz ve onaysız şekilde işlendiğine ve paylaşıldığına şahit olduk.
   

Ülkemizde, kişisel verileri içeren data paketlerinin belli bir tutar karşılığında kurumlar arasında ticarete açılması, belli bazı iş merkezlerine girdiğinizde cd içerisinde size 500 kişilik data satabileceğini söyleyen kişilerle karşılaşmanız durumun vahametini anlamak için önemli örnekler oldu.

Sayılarını arttırabileceğimiz tüm bu olumsuz örnekler sebebiyle, bu alanda bir mevzuata ve önleyici birtakım kurallara olan ihtiyacı ortaya çıkarmıştır.

Türkiye’de 6 Nisan 2016 tarihinde Resmî Gazete’ de yayımlanarak yürürlüğe giren “6698 Sayılı Kişisel Verilerin Korunması Kanunu” ile, kişilerin özel hayatları ve her türlü verilerini güvence altına almak için farklı önlemler uygulanmaya başlamıştır. Bu kanun, yıllardır veri toplama ve paylaşım konusunda hiçbir engel olmaması sebebiyle iş yapış şekillerini veri toplama, kaydetme ve paylaşma odaklı olarak belirleyen şirketlerin baştan sona değişikliğe gitmesine sebep olmuştur.

Kanun içeriği itibariyle, Kişisel Veri’ nin tanımından kapsamına, korunması ile ilgili kurallardan korunamadığı takdirde uygulanacak yaptırımlara kadar geniş bir çerçevede sürecin genel hatlarını belirlemektedir.

Kanunun gelişimi açısından kısa bir tarihçeye bakmak gerekirse; 1970’li yıllardan itibaren, Almanya (Hessen Eyaletinde oluşturulan “Veri Koruma Kanunu”) başta olmak üzere Avrupa’nın farklı bölgelerinde verinin güvenliği ile ilgili konular konuşulmaktaydı. Bu alanda temel olarak alınabilecek kaynaklardan en önemli ikisi aşağıdaki şekildedir:

1. Avrupa Konseyi bünyesinde kabul edilen 1981 tarih ve 108 sayılı “Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Şahısların Korunmasına Dair Sözleşme”. Ayrıca Avrupa Konseyi Bakanlar Komitesi 108 sayılı Sözleşmenin uygulanmasına yönelik usul ve esasları belirleyen toplam 13 tavsiye kararı çıkarmıştır.
    
2. Avrupa Birliği’nin 24 Ekim 1995 yılında yayımladığı 95/46/EC Direktifi.
    

6698 sayılı KVKK’ nın bu metinlere uygun şekilde hazırlandığını ve Avrupa Birliği müzakere süreçlerinde ve yayımlanan kalkınma planları içerisinde önümüzdeki yıllarda (muhtemelen 2023-2025 arasında) Avrupa Birliği tarafından uygulanmakta olan “General Data Protection Regulation (GDPR) – (Genel Veri Koruma Regülasyonu)” na geçişimizin beklendiğini belirtmemiz gerekir.

KVKK Kanunu

6698 sayılı KİŞİSEL VERİLERİN KORUNMASI KANUNU, 24 Mart 2016’da TBMM’de kabul edilen ve 7 Nisan 2016 yılında Resmi Gazete yayımlanarak yürürlüğe giren 33 asıl ve 2 geçici maddeden oluşan bir kanundur.

Kanundaki ifadesiyle oluşturulma amacı; kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir.

Kanunun geliştirilmesini ve uygulamasını takip etmek üzere Cumhurbaşkanlığına (Daha sonra cumhurbaşkanının atayacağı bir kurum olarak değiştirilebilir) bağlı şekilde “Kişisel Verileri Koruma Kurumu” oluşturulmuştur. Kurumun karar mekanizması “Kişisel Verileri Koruma Kurulu” dur. Atama ve görevlendirme usulü ile çalışan kurumun yayım tarihinde belirlenen kadro listesinde 195 personeli bulunmaktadır.

Kanunu doğru şekilde anlamak ve yorumlamak için öncelikle bazı temel tanımları bilmemiz gerekiyor, bunlardan bazılarını aşağıda görebilirsiniz:

İlgili kişi: Kişisel verisi işlenen gerçek kişi (Örnek: Bu metni okumanız ya da size ulaştırmamız için verilerinizi işledikse ya da işliyorsak, yazıyı okuyan kişi olarak sizleri ifade ediyor),

Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi (Sadece kişinin TCKN’ si değil, sizi o kişiye götürecek her türlü veriyi ifade etmektedir. Örneğin, IP adresiniz),

Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi (Örneğin; ürün ve hizmet satmak, iş başvurusunda CV’ nizi değerlendirmek ya da anket yaparken sizi sisteme kaydetmek için TCKN bilgisini sisteme kaydeden bir kurumların her biri veriyi işlemektedir),

Kurul: Kişisel Verileri Koruma Kurulu,

Kurum: Kişisel Verileri Koruma Kurumu,

Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi (Örneğin; bireysel olarak mal ve/veya hizmet aldığınız her kurum),

Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi (En bilindik örneğini, kargo firması olarak verebiliriz. Ürünü aldığınız firma sizin verilerinizi işlediği için “Veri Sorumlusu” dur, ürünü size ulaştırmak için hizmet aldığı kargo firmasına sizin iletişim bilgilerinizi iletir. Bu açıdan o kargo firması “Veri İşleyen” dir. ),

Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi (Örneğin; Herhangi bir CRM uygulaması, müşteri ya da ziyaretçi kayıtlarının tutulduğu bir excel dosyası, veresiye defteri), 

Özel Nitelikli Kişisel Veri: ) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.

Kişisel Verileri Koruma Mevzuatının Uygulanması

Yazının devamını kaynağından okumak için tıklayınız.