Kişisel Verilerin Korunması Kanununun amacı, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir.
1. KİŞİSEL VERİ NEDİR?
Kişisel veri kavramı, 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında düzenlenmiştir. Kişisel veri 6698 sayılı Kişisel Verilerin Korunması Kanununa göre; ”Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” olarak tanımlanmaktadır.
Anayasa Mahkemesinin 25/12/2014 tarihli 2014/74 Esas ve 2014/201 Karar numaralı kararında ise; ”Kişisel veri kavramı, belirli veya kimliği belirlenebilir olmak şartıyla, bir kişiye ilişkin bütün bilgileri ifade etmektedir. Bu bağlamda adı, soyadı, doğum tarihi ve doğum yeri gibi bireyin sadece kimliğini ortaya koyan bilgiler değil; telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, IP adresi, e-posta adresi, hobiler, tercihler, etkileşimde bulunulan kişiler, grup üyelikleri, aile bilgileri, sağlık bilgileri gibi kişiyi doğrudan veya dolaylı olarak belirlenebilir kılan tüm veriler kişisel veri kapsamındadır. Kişinin bedensel ya da zihinsel sağlığına ilişkin kayıt edilmiş bilgilerinin tamamından oluşan sağlık bilgileri, aralarında bireyin ırk, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançları, dernek, vakıf ve sendika üyeliği, özel yaşamları ve her türlü mahkumiyetleri ile ilgili verilerin de bulunduğu “hassas” veya “özel niteliği olan” kişisel veriler kategorisinde yer almakta olup, bu yönüyle özel bir öneme sahiptir.” şeklinde ifade edilmektedir.
Kişisel veri, uluslararası belgelerde de bizim kanunumuzdaki tanımına benzer şekilde tanımlanmaktadır.
Veri kelimesi tek başına kısaca ”bilgi, data” anlamını taşımaktadır. Yukarıda bahsettiğimiz Kişisel Verilerin Korunması Kanunundaki tanıma göre; kişisel veri kavramı için, gerçek kişiye ait olma koşulu aranmaktadır. Buradan yola çıkarak tüzel kişilere ait bilgilerin Kişisel Verilerin Korunması Kanunu kapsamında olmadığını, yalnızca ‘gerçek kişilere’ ait bilgilerin bu kanun kapsamında korunduğunu söyleyebiliriz.
2- KİŞİSEL VERİLERİN KORUNMASI KANUNUNUN KAPSAMI VE İSTİSNALARI
Kanunun genel olarak kapsamını düşündüğümüzde, kişisel verileri işlenen gerçek kişiler ile birlikte, bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında da uygulanacaktır. Tüzel kişiler her ne kadar veri sahibi olamasalar da veri işleyen/veri sorumlusu olarak bu kanun kapsamındadır. Burada dikkat edilmesi gereken konulardan biri de kişisel verilerin işleniş biçimiyle ilgili herhangi bir sınırlandırma yapılmamış olmasıdır. Yani kanun kapsamında değerlendirilebilmesi için kişisel verilerin illaki elektronik ortamda işlenmesi gerekmez. Herhangi bir veri kayıt sisteminin parçası olması kaydıyla, verilerin kaydedildiği/işlendiği her sistem bu kanun kapsamı içinde değerlendirilmelidir.
Kişisel Verilerin Korunması Kanununun uygulanmayacağı bazı haller vardır. Bu haller kanunun ‘İstisnalar’ başlıklı 28. Maddesinde belirtilmiştir. İlgili maddeye göre;
”(1) Bu Kanun hükümleri aşağıdaki hâllerde uygulanmaz:
a) Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi.
b) Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.
c) Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.
ç) Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi.
d) Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.
(2) Bu Kanunun amacına ve temel ilkelerine uygun ve orantılı olmak kaydıyla veri sorumlusunun aydınlatma yükümlülüğünü düzenleyen 10 uncu, zararın giderilmesini talep etme hakkı hariç, ilgili kişinin haklarını düzenleyen 11 inci ve Veri Sorumluları Siciline kayıt yükümlülüğünü düzenleyen 16ncı maddeleri aşağıdaki hâllerde uygulanmaz:
a) Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.
b) İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.
c) Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.
ç) Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.” şeklinde açıklanmıştır.