Kişisel Verilerin Korunması Kanunu
12 Eylül 2010 tarihinde gerçekleşen referandumda, 50 milyonluk bir seçmen, 26 maddeyi içeren bir anayasa paketi oyladı.
Sonuç, anayasa paketi yüzde 57 oranında "Evet" oyu ile kabul edildi.
Bu maddelerden biri var ki bugünkü yazımızın esas konusunu teşkil ediyor. Anayasanın 20. maddesinde, yani özel hayatın gizliliğini düzenleyen maddede yapılan değişiklik ve bu madde hakkında hazırlanan çerçeve kanun.
2010 referandumu ile birlikte anayasanın 20. maddesi "Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel verileri hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak Kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir" fıkrası eklenerek güncellendi.
Evetti ama yetmezdi.
Nitekim bu maddeyi düzenleyecek çerçeve kanun 6 yıl sonra 6698 yasa numarası ile 7 Nisan 2016'da Resmi Gazete'de yayınlandı.
Yasa kişisel veriyi, veriyi işleyecek şartları, sorumluluları, işleyicileri ve veri koruma kurumu gibi yasaya hayat verecek tüm unsurları tanımlayan bir içeriğe sahip.
Kanun esas olarak şahsa ait verinin gelişi güzel toplanıp, kullanılmasını engelleyecek süreci düzenliyor; bireyin kişilik hakları ve onurunun veri kaynaklı ihlallerle zedelenmemesine dair önleyici bir mekanizma öneriyor.
Peki ama kişisel veri nedir?
Bir kişiyi toplum içerisinde diğerlerinden ayırt etmeye yarayacak veri seti kişisel veri olarak tanımlanıyor.
Bu kapsama giren veriler adınız, soyadınız, yaşınız, doğum yeriniz gibi kimliğinizi ortaya koyacak veriler olduğu gibi telefon numaranız, grup üyelikleriniz, parmak iziniz, görüntüleriniz gibi dolaylı ya da doğrudan size ulaşılmasını sağlayacak veriler de olabilir.
Kişisel veri kendi içerisinde de önem sırasına göre derecelere ayrılmış durumda.
Örneğin şahsi veri olduğu halde özel nitelikli veriler statüsüne giren veriler de var. Yani başkaları tarafından öğrenildiği takdirde ayrımcılık ve fişleme gibi amaçlarla kullanılması muhtemel olan veriler bu kategoride: dini ve felsefefi görüşünüz, cinsel tercihiniz, ceza ve mahkumiyet bilgileriniz.
Elbette ki bir yasadan söz ediyoruz, bir terimler sözlüğünden değil. Dolayısıyla tanımlarla birlikte şartlar ve uyulmaması durumunda öngördüğü müeyyideler yani yaptırımlar var.
Örneğin kişisel verilerin saklanması için kurumların veri sahibini açık ve net biçimde bilgilendirmesi, hangi amaçlarla ve ne kadar süre ile veriyi saklayacağını belirtmesi gerekiyor.
Eskiden olduğu gibi kabul etmiyorsanız bu mesajı "hayır" yazarak cevaplayın şeklinde zımmen onay alınması yerine, yasa, verilerin saklanması ve işlenmesi için veri sahibinin açık rızasının gerekli olduğunu belirtiyor.
Daha da iyisi bugün açık rıza verdiğiniz verileriniz için yarın rızanızı geri çekip, ileriki dönemler için verilerinizin işlenme hakkını geri alabilirsiniz.
Peki artık işlenmeyen veriler ne oluyor?
Kırpıp kırpıp yıldız yapıyorlar.
Tabii ki değil. Vatandaş verilerine dair rızasını çektiğinde yahut veri işlenmesi için belirtilen süre dolduğunda veriler silinmek ya da anonimleştirilmek zorunda.
Anonimleştirmek mi?
Evet, yani verinin artık bu veriden hareketle spesifik bir kişiye ulaşılmasını engelleyecek derecede kişiyle olan bağının koparılması işlemine verilen ad.
Yasa sayesinde verinize talip olan kurumlar makul bir sebep ve veri talep etmek zorunda.
Yasa bunu veri saklama ve işleme için yeter şartlar arasında amacın meşru olması olarak tanımlıyor.
"Örneğin, bir hazır giyim mağazasının, müşterilerinin kimlik ve iletişim bilgilerini işlemesi meşru amaç kapsamındayken, anne kızlık soyadını işlemesi meşru amaç kapsamında değerlendirilemeyecektir."
Kurumlarda veri işleme süreçlerinden sorumlu kişiler veri sorumlusu olarak adlandırılıyor.
Bu sorumlular Kişisel Verileri Korunma Kurumu (KVKK) sicil veritabanına kayıt olmak zorunda.
Kişiler kurumlara doğrudan ulaşarak kendileri hakkında hangi verilerin tutulduğu bilgisini sorabilir, bu verilerin silinmesini talep edebilirler.
Veri sorumlularının vazifesi de 30 gün içerisinde bu talepleri olumlu ya da olumsuz olarak cevaplandırmak.
Anlaşmazlık durumunda KVKK'ya başvurmak mümkün. Kurum ise azami 60 günlük bir sürede talepleri cevaplamak zorunda. Herhalde yasanın en ilginç tarafı bir yanıt alamadığınız takdirde bunu "red"de yormanız gerektiği.
Susuyorsam asaletimdendir, diyor yani KVKK.
Yasa veriden hareketle şahsı korumaya çalışıyor, bu bakımdan yasanın konusu gerçek şahıslar. Fakat veriyi işleyen yani yasanın çizdiği sınırlar dairesinde hareket etmek zorunda olan ve yaptırımların muhatabı gerçek kişiler de olabilir, kurumlar da.
Yasanın en önemli taraflarından biri de "alenileştirme"
Bu kadar kapsamlı ve sizi veri istismalarından korumaya ahdetmiş bir yasanın yumuşak karnı, bugünkü alışkanlıklarımız.
Çünkü kişisel rızanızla alenileştirdiğiniz veriler yasanın koruyucu şemsiyesinin altına giremiyor.
Yani herkese açık sosyal ağ profilinizde adınız, soyadınız, şehriniz, yaşınız, doğum yeriniz vesair bilgilerinizi aleni bir şekilde paylaştığınızda, yasanın üzerinizdeki koruması kalkmış oluyor.
Öyle ise bugünden itibaren biraz daha dikkat lütfen!
İstisnalar yok mu? Evet var.
Bir ilan sitesine ilan verdiğinizde, zaruri olarak paylaştığınız telefon numarasını elin adamı alıp reklam amaçlı kullanamaz örneğin. Bu da alenileşmenin makul sınırlarını belirleyen ve yasada unutulmamış bir ayrıntı.
Resmi Gazete'de yayınlanan yasa, kişi ve kurumların kendilerini hazırlaması için 2 yıllık bir süre tanıyordu. Yani yasanın Resmi Gazete'de yayınladığı 7 Nisan 2016'den itibaren hesap edersek, geçtiğimiz Nisan ayında saatler çoktan gongasını vurmuş.
Peki kurumlar ne derece hazır? Peki ya biz?
Hangi verilerimizin saklandığı, hangi amaçlarla işlendiğine dair bilgi taleplerimizi kurumların veri sorumlularına derhal sorabiliriz.
Silinmelerini, değiştirilmelerini, güncellemelerini talep edebiliriz.
Bu muazzam yasayı işler kılacak olan biz vatandaşların haklarımızı bilmekten başlayarak, muhatap olduğumuz kişi ve kurumların bu çizgide işlem yapıp yapmadıklarını kontrol etmek. KVKK da tüzel kişilik formu ile aynı görevi ifa edecek.
2016 yılında yaşanan onca krize rağmen bu kanunun yasalaşması, üstüne üstlük onca debdebeye rağmen kurumun kurulması ve işlerlik kazanması hakikaten takdire şayan!
Kişisel Verileri Koruma Kurumu, yasa ve kişisel veriler ile ilgili merak ettiğiniz tüm soruları sorabileceğiniz bir çağrı hattına sahip: ALO 198 Veri Koruma Hattı
KVKK, 100 Soruda Kişisel Verilerin Korunması Kanunu gibi faydalı kaynaklar dahil işin teknik vb. boyutlarını ele alan pek çok yayına sahip. Tüm bu kaynaklara kurumun web sitesi https://www.kvkk.gov.tr/ adresinden erişebilirsiniz.
Veri deyip geçmeyin! Hepimiz Google'ın paltosundan çıktık...
Hamiş: KVKK konusundaki sorularımı sabırla cevaplayan Cihat Seçgin Beyefendi'ye sonsuz teşekkürlerimi sunarım. Doğru aktarabildiklerimde Seçgin'in sabrının ve paylaştığı bilgilerin büyük payı; yanlış yahut eksik aktardıklarımda da bendenizin meselenin künhüne dair ıskaladıklarımın etkisi vardır.