Kişisel Verilerin Korunması, kişilerle ilgili bilgilerin kullanılmasının kişilerin inisiyatifinde olduğu prensibine dayanır. Buna göre kişi kendisiyle ilgili bilgilerin nasıl ve ne amaçla kullanılacağına ya da kullanılamayacağına karar verir, kendisiyle ilgili bilgilerin kullanılmasına izin vermesi durumunda bu kullanımın izin verdiği sınırlar içerisinde olup olmadığını denetleyebilir. Kendisiyle ilgili bilgilerle zararına bir işlem yapılıyorsa ve zarar görüyorsa hem bu işlemin durdurulmasını isteyebilir hem de doğan zararlardan dolayı maddi ve manevi tazminat alabilir. İzni dışında bilgilerini kullananlar da cezalandırılır.
Tanımlar
Kişisel Verileri Koruma Kanunu'nda yer alan kavramların tanımları. Kişisel veri, ilgili kişi, veri sorumlusu, veri sorumluları sicili gibi.
Bazı durumlarda ise kişi kendisiyle ilgili bilgilerin kullanılması konusunda kanundan kaynaklanan kısıtlamalar sebebiyle karar verici durumunda olamayabilir. Ancak bu durumlar çok sınırlıdır ve kanunlarla özel olarak düzenlenmektedir. Kişilerin izni dışında kişisel bilgilerinin kullanılması ancak kanunla düzenlenebileceğinden kanunla düzenlenmeyen durumlarda kişilerin rızası şarttır.
Kişisel verilerin korunmasının çerçevesinin anlaşılması için bazı kavramların bilinmesi gerekir.
Kişisel Veri
Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi kişisel veridir. Kurum ya da kuruluşlara ait veriler kanun kapsamında korunan verilerden değildir.
Bilgi ile veri arasındaki fark çok incedir. Her veri bilgidir ama her bilgi veri değildir. Bir şey hakkında ya da biri ile ilgili bilinen her şey veridir. Yani bir bilginin veri olabilmesi için somut bir gerçekliğe dayanması gerekir. Örneğin “Su 100 derecede kaynar” bir bilgidir ancak veri değildir. “Ölçtüm çaydanlıktaki su 100 derecede kaynadı” cümlesinden elde edilen bilgi ise veridir. Bu ve benzeri ölçümlerden elde edilen veriler sonucunda varılan “Su 100 derecede kaynar” bilgisi çıkış noktası veri de olsa çıkarımla elde edilen bir yargıdır.
Ad soyad, doğum tarihi, sağlık bilgileri, eğitim bilgileri gibi bir kişiyle ilgili her türlü bilgi kişisel veridir. Bir bilginin kişisel veri olabilmesi için ilgili olduğu kişinin tespit edilebiliyor olması gerekir. Bilgiye sahip olanın bilginin ilgili olduğu kişiyi tespit edebilmesine gerek yoktur. Bilgi ancak hiç kimse tarafından gerçek bir kişi ile ilişkilendirilemiyorsa kişisel veri değildir.
Kişisel Verilerin İşlenmesi
Kişisel verilerin toplanmasından silinmesi ve yok edilmesi aşamasına kadar geçen süreçte yapılan tüm işlemler kişisel verilerin işlenmesidir.
Kanunun Kapsamı
Kişisel Verilerin Korunması her ne kadar kanunla düzenlenmiş de olsa korumanın nasıl sağlandığı doğrudan kanundan anlaşılamaz. Örneğin kanunda geçen "meşru menfaatlerin bulunması durumunda rızanın aranmaması" durumunda kastedilen meşru menfaatler diğer kanunlarda düzenlenmiş ya da hukukun temel prensiplerinden kaynaklanmış olabilir.
Kişisel Verilerin Korunması
Kişisel verilerin doğrudan kişilerin özel hayatı ve güvenliği ile ilgili olması sebebiyle modern dünyada farklı bir hukuki korumaya sahiptir. Ülkemiz de daha önce imzalamış olduğu uluslararası antlaşmaya ve AB normlarına uygun olarak Kişisel Verilerin Korunması Kanunu'nu yürürlüğe koyarak bir eksikliği tamamlamıştır. Kişisel Verilerin Korunması Kanunu ile kişilik hakları ve özel hayatın gizliliğinin korunması amaçlanmıştır.
Kişisel Verilerin İşlenmesi Şartları
Kişisel verilerin işlenmesi için açık rızanın bulunması şarttır. Açık rıza, kişinin kişisel verilerinin işlenmesine belirli bir konuda, yeterli bilgilendirme sonucu kendi rızası ile onay vermesidir.
Belirli bir konu olması: Kişinin rıza gösterdiği konunun sınırlarının belirli olması gerekir. Sınırlarını çizilmeden geniş anlamda yorumlanabilecek şekilde "kişisel verilerimin işlenmesine onay veriyorum" bir rıza beyanı geçersizdir. Çünkü kişiden alınan rızanın sınırlarını belirli olması gerekir. Kişinin sınırları tahmin edebilmesi mümkün değildir. Kişilerin kurum ya da kuruluşların kullanma amaç ve yöntemlerini bilebilmeleri beklenemez. Rıza istenen konunun çok dar şekilde tanımlanması bu sefer de kişisel verileri işleyenler için sorun olabilecektir. Örneğin "A firmasıyla analiz yapılacaktır" şeklinde alınan bir rıza kurumu A firmasıyla çalışma zorunluluğuna iteceğinden işlenme amacının belirtilerek rızanın alınması daha uygun olacaktır. Örneğin "sizlere kullandığınız ürünlerle ilgili yardımcı ürünleri sunabilmek amacıyla aldığınız ürünle ilişkili firmalarla paylaşılması" gibi bir ibare daha uygun olacaktır.
Kişilerle ilgili verilerin sadece izin verdiğini kişi, kurum ya da kuruluşlar tarafından bilinmesi ve kullanılması diğerleri tarafından işlenmemesidir.
Kanunun Uygulanmadığı Durumlar
Kanunda Kişisel Verilerin Korunması Kanunu'nun uygulanmayacağı durumlar
Kişisel verilerin işlenmesi ne demektir?
Kişisel verilerle yapılan her türlü işlem kişisel verilerin işlenmesi demektir. Kişisel verilerin toplanması, saklanması, silinmesi, değiştirilmesi, analiz edilmesi, sonuçlar üretilmesi, başkaları ile paylaşılması kişisel verilerin işlenmesi anlamına gelen bir kaç örnektir.
Kişisel veriler ilgili kişinin izni olmadan da işlenebilir mi?
Kişisel verilerin işlenmesinde ilgili kişinin rızasının alınması esastır. Ancak Kişisel Verileri Koruma Kanunu kişisel verilerin işlenmesi için ilgili kişinin rızasının gerekmediği durumları da düzenlemektedir.