Ülkemizde kişisel verilerin korunması ile ilgili en önemli kanun, Avrupa Birliği’ne uyum kapsamında hazırlanmış olan, 6698 Sayılı Kişisel Verilerin Korunması Kanunu’dur. Kanun 24 Mart 2016 tarihinde TBMM Genel Kurulu tarafından kabul edilerek kanunlaşmış ve 7 Nisan 2016 tarih ve 29677 sayılı Resmî Gazetede yayımlanarak yürürlüğe girmiştir.
KVKK Amacı Nedir?
Kanunun amacı;
- Kişisel verilerin işlenmesinde özel hayatın gizliliğini ve kişinin mahremiyetini korumak,
- Veri güvenliğini sağlamak,
- Kişisel verilerin işlenmesini disiplin altına almak,
- Veri sorumlusu ve veri işleyen durumundaki gerçek ve tüzel kişilerin yükümlülüklerini ile uyacakları usul ve esasları belirlemektir.
Kanun ile kişisel verilerin işlenmesi faaliyetlerine denetim mekanizmaları öngörülmüştür. Amaç kişisel verilerin işlenmesini kısıtlamak/sınırlandırmak değil, sadece belli standartlar belirleyerek hem veri sorumlusunu hem de verisi işlenen ilgili kişileri korumaktır.
KVKK Kapsamı Nedir?
Kanunun kapsamına; kişisel verileri işlenen gerçek kişiler ve söz konusu kişisel verileri işleyen gerçek ve tüzel kişiler girmektedir.
Burada kapsama giren işleme şekli tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olarak otomatik olmayan fiziksel – manuel yollarla yapılan işlemelerdir.
Örneğin, herhangi bir kritere bağlı olmaksızın kişilerin ad ve soyadlarının rastgele bir şekilde kâğıtta yer alması hali Kanun kapsamına girmemekle birlikte, söz konusu isimlerin belirli bir sistematiğe göre ve belli kriterler çerçevesinde kâğıda kaydedilmesi, Kanun kapsamında değerlendirilecektir. Belli kriterlere göre kaydedilme, aslında bir veri kayıt sisteminin parçası olmaya işaret etmektedir.
Öncelikle, tüzel kişiliklerle ilgili tutulan bilgiler kanun kapsamında değildir. Örneğin bir şirketin, iş yaptığı ticari firmalara ilişkin tuttuğu kayıtlar; şirketin vergi kimlik numarası, mersis adresi, kurumsal e-posta adresleri, adresi, banka hesap numaraları gibi bilgiler kapsam içerisinde değildir.
Kural olarak, Kanunda kamu ya da özel kuruluşlar açısından bir ayrıma gidilmemiştir. Yani tüm organizasyonlar Kanuna uygun tedbirleri almak zorundadır. Fakat sonradan kurum tarafından alınan kararlar ile kapsam dışına alınan haller vardır.
Tamamen Kanun Kapsamı Dışında Tutulan Haller
Tamamen Kanun kapsamı dışında tutulan hallerde Kanun hükümleri hiçbir şekilde uygulanmamaktadır. Bu haller;
Araştırma, Planlama ve İstatistik: Kişisel verilerin, resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi durumudur. Örneğin, bir kamuoyu araştırma kuruluşu tarafından yapılan ankette yer alan kişisel verilerin sonradan anonim hale getirilerek kullanılması durumu.
Sanat, Tarih ve Bilim: Millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi durumu.
Milli Savunma ve Kamu Güvenliği: Millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak görevli kurumlarca yürütülen faaliyetler
Adli İşlemler: Soruşturma, kovuşturma, yargılama, infaz işlemlerinde ilgili kurumlarca işlenmesi
Aile Fertleri: Kişisel verilerin, gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi durumudur. Burada kapsam dışında kalması için bu verilerin üçüncü kişilere aktarılmamış olması ve veri güvenliğine ilişkin yükümlülüklere uyulması gerekmektedir. Bu duruma bir örnek olarak, doğum gününde çekilen fotoğraflar verilebilir. Fakat bu fotoğraflar 3.kişilerle veya sosyal medyadan paylaşılırsa istisnadan söz edilemez.
Kısmen Kanun Kapsamı Dışında Tutulan Haller
Tamamen Kanun kapsamı dışında tutulan hallerin aksine, kısmi olarak Kanun dışında tutulan hallerde; aydınlatma yükümlülüğü, ilgili kişinin hakları ve veri sorumluları siciline kayıt yükümlülüklerinden muaf olunmaktadır. Tamamen Kanun dışında bir çerçeve çizilmemektedir. Bu haller;
- Suç soruşturmaları ve suçun önlenmesi için kişisel veri işlemenin gerekli olması, (Örneğin, bir suçla ilgili olarak polisin, şüpheliye ait kişisel verileri işlemesi),
- Kişinin kendisi tarafından alenileştirilmesi veya sosyal medyada paylaşması,
- Kişisel veri işlemenin Kamu kurum kuruluşları tarafından kanunun verdiği yetkiye dayanarak denetleme, düzenleme, disiplin soruşturma/kovuşturmaları için gerekli olması,
- Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması,