1970’li yıllardan beri ulusal ve uluslararası düzenlemelerde yer bulan ‘kişisel verilerin korunması’ alanı, Avrupa Birliği’ne uyum süreci kapsamında Türk Hukukuna 2000’li yıllarla beraber girmiştir. Bu kavram 2010 yılından önce, muhtelif kanunlarda yer bulmuş, anayasal düzeyde güvence altına alınması ise 2010 yılında yapılan Anayasa değişikliği ile gerçekleşmiştir. Anayasanın ‘özel hayatın gizliliği’ başlıklı 20. Maddesinde eklenen yeni bir fıkra ile şu hükümler düzenlenmiştir: “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.” Anayasada ifade edilen kanuni düzenleme 24 Mart 2016 tarihinde kabul edilen ve 7 Nisan 2016 tarih ve 29677 sayılı Resmî Gazetede yayımlanarak yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu olmuştur. Mezkûr Kanun ile Türk Hukukunda kişisel verilerin korunması alanı düzenleme altına alınmaktadır.

Peki bu alan neden önemlidir?

Bu soruya cevap verirken öncelikle veri temelli ekonominin yakın geçmişte kaydettiği yola dikkat çekmek istiyorum. ABD’de George Mason Üniversitesi öğretim üyelerinden ünlü astrofizikçi ve veri analizcisi Prof. Kirk Borne yaptığı araştırmalar sonucu insanlık tarihinin başından 2003 yılına kadar kayıt altına alınmış toplam verinin 5 milyar gigabayt boyutunda olduğunu tahmin etmektedir. Borne, 2011 yılında bu miktarın her iki gün içinde, 2013 yılında ise her on dakikada üretilmiş olduğunu açıklamaktadır. 2020 yılı itibariyle bu rakamın ne kadar arttığını şöyle tahmin edebiliriz. 2019 yılı sonunda Çin’de ortaya çıkan ve kısa sürede küresel salgın halini alan Kovid-19 yeni tip korona virüs sonrası süreçte e-ticaret şirketleri başta olmak üzere veri işlenen tüm sektörler faaliyetlerini katbekat arttırdı. Bu artış karşısında özel hayatın gizliliği başta olmak üzere kişilerin temel haklarını korumak ve güvence altına almak devletlerin en temel vazifelerinden biridir. Türkiye Cumhuriyeti Devleti de kişilere ait, kişiyi belirli kılan her türlü bilgi anlamına gelen kişisel verilerin kamu gücü ile korunması ve bu alanın düzenleme altına alınması amacıyla gerekli yasal düzenlemeleri yapmış; merkezi Ankara’da olan Kişisel Verileri Koruma Kurumu kurularak faaliyetlerine başlamıştır.

Kurumun karar ve yönetim organı olarak Kişisel Verileri Koruma Kurulu’nun 19.07.2018 tarihli 2018/87 Sayılı kararı uyarınca yıllık çalışan sayısı 50’den fazla olan veya yıllık mali bilanço toplamı 25 Milyon TL’den fazla olan her şirketin Veri Sorumluları Sicil Bilgi Sistemi’ne (VERBİS) kayıt yükümlülüğü bulunmaktadır. Ayrıca ana faaliyet konusu gereği özel nitelikli kişisel veri işleyen (sağlık verisi, cinsel veriler) veri sorumlularının sayılan işçi ve bilanço şartlarını taşımasa dahi VERBİS’e kayıt yükümlülüğü bulunmaktadır.

Yukarıda sayılan şartları taşımayan veri sorumlularının 6698 sayılı Kanunda sayılan diğer yükümlülüklerini yerine getirmesi zorunludur. Aksi halde yasal sorumlulukları gündeme gelecektir.

Bu sorumluluk kapsamında Kanun’un öngördüğü yükümlülüklere aykırı davranan gerçek ve tüzel kişi veri sorumluları hakkında 5.000,00 TL ila 1.000.000,00 TL aralığında idari para cezaları uygulanacaktır. Belirtilen miktarlar her yıl yeniden değerleme oranında artırılmakta olup Kurum’un kesebileceği idari para cezasının alt ve üst sınırları 2020 yılı itibariyle 9.012,00 TL ve 1.802,640 TL’dir.

Eylemin niteliğine göre suç oluşturma ihtimali de mevcuttur. Bu durumda ise Türk Ceza Kanunu’nun 135 ila 140. Maddelerinde düzenlenen cezai müeyyideler uygulanmaktadır. TCK kapsamında hukuka aykırı olarak veri işleyen veri sorumlularına 1.5 ila 4.5 yıl hapis cezası verileceği öngörülmektedir.

Yukarıda sayılan cezai ve idari yaptırımlar dışında hukuki yaptırımlar da öngörülmüştür. Buna göre verisi işlenen ilgili kişilerin, hukuka aykırı kişisel veri işleyen veri sorumlularından maddi ve manevi tazminat talep etme hakları doğmaktadır.

Kanuni yükümlülükleri yerine getirerek KVKK uyum sürecinin veri sorumlusu gerçek kişiler ile başta şirketler olmak üzere özel hukuk tüzel kişileri tarafından ivedilikle tamamlanması gerekmektedir.

Unutulmamalıdır ki, KVKK uyum süreci kişi hakları karşısında ekonominin önemli parçalarından olan şirketlerin zarara uğratılmasını amaçlamaz. Kişisel Verileri Koruma Kurumu, internet sitesinde de mevcut olan yayınladığı rehberde şu açıklamalara yer vermektedir: “Kanun kişisel verilerin işlenmesini sınırlamamakta, tam tersine veri temelli ekonomide daha rekabetçi bir noktada olabilmek adına kişisel verilerin işlenmesine ilişkin usul ve esasları düzenlemektedir. Diğer bir ifadeyle, Kanunda kişisel verilerin korunması hakkı ile veri temelli ekonomi arasında bir denge tesis edilmesi gözetilmektedir.”

Gerçekten de 6698 sayılı Kanun hükümlerinin katı bir şekilde uygulanması halinde bireylere üstün koruma sağlanırken, ekonominin zarar görmesine ve toplumsal faydanın ıskalanmasına sebep olunabilir. Ekonomi içerisinde kendine oldukça geniş bir yer edinen ‘veri temelli sektör’ ile kişilerin özel hayatın gizliliğinin korunması arasında makul bir denge kurulmalıdır. Yani kişisel veriler işlenerek yaratılan ekonomi, teknoloji ve piyasa ile bu işin hammaddesini oluşturan insanlar arasındaki dengenin gözetilmesi amaçlanmaktadır.

Dr. Yasin AYDOĞDU
aydogdu@kku.edu.tr