KONUNUN TAKDİMİ VE ÖNEMİ
Teknolojinin kontrolsüz bir şekilde ilerlemesi ve sosyal medyanın hayatımızın her alanında yer edinmesi, mevcut Dünya düzeninde birtakım temel kaidelerin değişmesine de sebebiyet verdi. Asırlardır insanoğlu için değer izafe eden kıymetlerin yerini fikirler ve kişilere ait bilgiler aldı. Öyle ki Dünyada 3 milyar 480 milyon kişi aktif olarak sosyal medyayı, 4 milyar 380 milyon kişi de interneti kullanıyor. Türkiye'de ise 52 milyon aktif sosyal medya, 59 milyon 300 bin de internet kullanıcısı bulunuyor. Halihazırda sosyal medya uygulamaları, kullanıcılarının paylaşımları ve doğal olarak kişisel verileri üzerinden varlığını sürdürebiliyor. Pek tabi bu durumun sonucu olarak artık literatürde data is the new oil söylemi yer alıyor.
Bütün bunların neticesinde özel hayatımızın gizliliği ve kişisel verilerimizin erişilebilirliğine ilişkin kaygılarımız arttı. Gerekli tedbirleri almak amacıyla hukuk düzenimizi revize etme zorunluluğu ortaya çıktı. İlk olarak 2010 yılında Anayasa değişikliği ile 20.maddeye ilaveten : ''Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.''[1] hükmü getirildi. Düzenlemeyle birlikte kişisel verilerin korunması, kişisel haklar başlığı altında Anayasal güvence ile teminat altına alındı.
Daha sonra ilgili maddede işaret edildiği gibi kişisel verilerin korunması amacıyla 6698 sayılı Kişisel Verilerin Korunması Kanunu Nisan 2016'da yürürlüğe girdi. Bu yazımızda sizlere kanunun getirmiş olduğu düzenlemeler ışığında genel hatlarıyla kişisel verileri korunması kapsamından ve kişisel verilerin korunmasında ilgililerin sorumluluklarından bahsedeceğiz.
Kanunun Kapsamı ve İlgililer
Kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere; kişilerin temel hak ve özgürlüklerini korumak, kişisel verilerin erişilebilirliğini sınırlandırmak gibi mahremiyete ilişkin temel gereklilikleri temin etmek maksadıyla 6698 sayılı Kişisel Verilerin Korunması Kanunu düzenlendi. Kişisel Verilerin Korunması Kanunu, veri işleyen gerçek ve tüzel kişilere birtakım yükümlülükler getirdi. Kanunun 2. maddesinde hükmolunan:''(1) Bu Kanun hükümleri, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır.''[2] ibaresiyle, kişisel verilerin işlenmesinde sorumluluk sahibi olanların genel yanılgının aksine yalnızca VERBİS'e kayıt yükümlülüğü olanlar değil veri işleme işini sürdüren tüm gerçek ve tüzel kişiler olduğunu görmekteyiz.
Uygulamada yoğunlukla karıştırıldığı için önemle belirtmekte fayda var kişisel verileri elinde bulunduran ve işleyen tüm gerçek veya tüzel kişilerin söz konusu verilerin korunması ve erişiminde sınırların belirlenmesine ilişkin yükümlülükleri bulunuyor. Ayrıca ihlal durumunda gerekli tedbirlerin alınması ve mutlak surette kanunun lafzına göre ''en kısa'' zamanda -Kişisel Verileri Koruma Kurulunca en kısa zaman ibaresi veri sorumlusunca ihlalin öğrenilmesi anından itibaren 72 saat olarak yorumlanmıştır.-[3] Kişisel Verileri Koruma Kurumu'na bildirilmesi gerekiyor.
Yeterli şartları taşıması halinde veri sorumluları için bir başka yükümlülük de VERBİS'e kayıt yükümlülüğüdür. Kanunun 16. maddesinin 2. fıkrasında: ''Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır.'' hükmü ve geçici 1.maddeye göre: ''Veri sorumluları, Kurul tarafından belirlenen ve ilan edilen süre içinde Veri Sorumluları Siciline kayıt yaptırmak zorundadır.'' şeklinde yükümlülükler getirilmiştir. Yine yeri gelmişken ifade edelim, ilgili veri sorumluları için VERBİS'e kayıt son tarihleri güncel haliyle şu şekildedir:
TABLO:
|
İLGİLİ VERİ SORUMLULARI |
KAYIT İÇİN SON TARİH |
|
Yıllık çalışan sayısı 50'den çok veya yıllık mali bilanço toplamı 25 milyon TL'den çok olan gerçek ve tüzel kişi veri sorumluları |
30.06.2020 |
|
Yıllık çalışan sayısı 50'den az ve yıllık mali bilanço toplamı 25 milyon TL'den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumluları |
30.09.2020 |
|
Yurtdışında yerleşik gerçek ve tüzel kişi veri sorumluları |
30.06.2020 |
|
Kamu kurum ve kuruluşu veri sorumluları |
31.12.2020 |
Ezcümle kişisel verilerin işlenmesinde sorumluluk taşımak için yalnızca VERBİS'e kayıt zorunluluğu getiren ''Yıllık çalışan sayısı 50'den çok veya yıllık mali bilanço toplamı 25 milyon TL'den çok olma'' koşuluna tabii olmak gerekmemektedir. Bahse konu ayrım yalnızca VERBİS'e kayıt yükümlülüğüne ilişkindir. VERBİS'e kayıt yükümlülüğü bulunmayan veri sorumluları da Kişisel Verilerin Korunması Kanunu ve ilgili mevzuat dahilinde tıpkı VERBİS sorumluları gibi teknik ve idari tedbirleri almalı, kurumun denetimine ve cezai sorumluluklara tabii oldukları unutulmamalıdır.
Av. İbrahim Çağdan ÜNLÜ
Stj. Av. Alperen DURAN
Kaynakça
1.Anadolu Üniversitesi (AÜ) Sosyal Medya ve Dijital Güvenlik Eğitim, Uygulama ve Araştırma Merkezi (SODİGEM) Bilim Kurulunca, teknoloji kullanımına ilişkin verilerden oluşan "2019'u Bitirirken Sosyolojik Açıdan İnternet ve Sosyal Medya İstatistikleri Raporu”
2.Oğuz Şimşek, Anayasa Hukukunda Kişisel Verilerin Korunması, İstanbul 2008
3.Kişisel veri ihlali bildirim usul ve esaslarına ilişkin Kişisel Verileri Koruma Kurulu'nun 24.01.2019 tarih ve 2019/10 sayılı kararına ilişkin duyuru
4.6698 sayılı Kişisel Verilerin Korunması Kanunu
------------------------------------
[1] İlgili Anayasa maddesi için bkz. www.mevzuat.gov.tr (Erişim Tarihi ve Saati: 29.03.2020- 18.46)
[2] 6698 sayılı kanun için bkz. www.mevzuat.gov.tr (Erişim Tarihi ve Saati: 29.03.2020- 19.26)
