80’lerden itibaren Avrupa’da yasal düzenlemelerin yapılmaya başlandığı “kişisel veri” konusu, ülkemiz gündemine 2010 yılında yapılan referandum sonrasında alınmış olup, 5982 sayılı Kanun ile Anayasa’nın özel hayatın gizliliğini düzenleyen 20. maddesine “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.” fıkrası eklenerek anayasal güvence altına alınmıştır.

Bahsedilen düzenlemenin yapılmasında AB’ye uyum yasaları oldukça etkili olmuştur. Türkiye Cumhuriyeti Devleti Birleşmiş Milletler, Avrupa Konseyi, OECD gibi örgütlerin üyesi olmasına karşın, kişisel verileri koruyan yerel bir mevzuatının bulunmaması nedeniyle eleştirilmiştir. Bununla birlikte 95/46 EC sayılı Avrupa Yönergesi’nin 25 ve 26. maddelerinin “yeterli koruma sağlamayan ülkelere” kişisel veri transferini yasaklamasından dolayı, Avrupa ülkeleri ile etkin bir ticaretin yapılabilmesi ve belirtilen hükümler dolayısıyla çeşitli sorunların önlenmesi için ülkemizde bu yönde bir düzenlemenin yapılması zorunluluğu hasıl olmuş ve nihayet Avrupa Konseyi tarafından hazırlanarak 1 Ekim 1985 tarihinde yürürlüğe giren 108 sayılı Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi, 6669 sayılı Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesinin Onaylanmasının Uygun Bulunduğuna Dair Kanun ile onaylanarak 18 Şubat 2016 tarihli ve 29628 Sayılı Resmî Gazete’de yayımlanmış ve aynı tarihte yürürlüğe girmiştir.

İlgili sözleşmeyi müteakiben kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini koruma ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenleme amacı taşıyan 6698 sayılı “Kişisel Verilerin Korunması Kanunu”nun tüm maddelerinin 07.10.2016 tarihinde yürürlüğe girmesiyle ülkemiz, kişisel verilerin korunmasına ilişkin çerçeve kanuna kavuşmuş ve kişisel verilerin ancak bu Kanun’da ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebileceği hüküm altına alınmıştır. Bu hükmün kişisel verileri işlenenler için bir hak oluştururken, kişisel verileri işleyenler için ise bir yükümlülük getirmekte olduğu izahtan varestedir.

“Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” tanımından da anlaşılacağı üzere kişisel verilerin korunması hakkının, öncelikle gerçek kişiler için söz konusu olduğu söylenebilmektedir. AB düzenlemelerine paralel olarak Kişisel Verilerin Korunması Kanunu’nun 2. ve 3. maddeleri incelendiğinde koruma altına alınan kişisel verilerin sadece gerçek kişiler ile ilişkili veriler olduğu görülmektedir. Bununla birlikte tüzel kişilere ait veriler gerçek kişilerin verilerini de içeriyor ve aynı zamanda gerçek kişi tüzel kişinin verisi sayesinde belirlenebiliyorsa, şüphesiz tüzel kişilere ait bu veriler de kişisel verilerin korunması hakkının kapsamı içinde olacaktır.

Kanun’da kişisel verilerin ilgilinin rızası aranmaksızın işlenebileceği istisnai haller, Avrupa Birliği mevzuatına kıyasla çok daha kapsamlı tutulmuş olsa da Anayasa’nın 20. maddesi ve ilgili mevzuat hükmü gereğince kural olarak kişisel veriler, ilgili kişinin açık rızası olmaksızın işlenemez. Bununla birlikte Kanun’un 5. maddesinin 2. fıkrasında belirtilen istisnai durumlarda kişinin rızası olmaksızın veri işleme mümkün kılınmış olsa dahi kanun koyucu AB mevzuatına paralel olarak, kişisel veriler içerisinde bazı hususların “özel nitelikli” olduğunu öngörmüş ve kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veri olarak tanımlamış olup, bu hususların ilgilinin açık rızası olmadan hiçbir şart dahilinde işlenemeyeceğini öngörmüştür.

Bu noktada açık rıza, 95/46 EC sayılı Direktif dikkate alınarak tanımlanmaktadır. Buna göre açık rıza, “ilgili kişinin kendisiyle ilgili veri işlenmesine özgürce, konuyla ilgili yeterli bilgi sahibi olarak, tereddüde yer bırakmayacak açıklıkta ve sadece o işlemle sınırlı olarak verdiği onay beyanı” şeklinde anlaşılmalıdır. İncelenen Kanun içeriğinde ise açık rıza; “Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” şeklinde tanımlanmıştır. Sözlü, yazılı veya internet ortamında beyan edilmesi mümkün olan açık rızanın, belirli bir konuya ilişkin olarak verilmiş, anlaşılabilir, erişilebilir, özgür iradeyle açıklanmış olması ve aynı zamanda kapsamlı bir bilgilendirmeye dayanılarak yapılmış olması gerekmektedir.

Kanun’un 9. maddesinde belirtildiği üzere kişiler, kişisel verilerine ilişkin olarak veri sorumlusuna başvurarak;

  1. Kişisel veri işlenip işlenmediğini öğrenme,
  2. Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
  3. Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
  4. Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
  5. Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
  6. Kanun’un 7. maddesinde öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
  7. Yukarıda yer alan 5 ve 6 numaralı talepler uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  8. İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
  9. Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme

haklarına sahiptir.

Kişisel verileri işleyen gerçek ve tüzel kişiler ise, veri işlemeye başlamadan önce Veri Sorumluları Sicili’ne kaydolmak, kendisine veri sahibinden gelen başvuruları 30 gün içerisinde sonuçlandırmak ve veri güvenliğini sağlamakla mükelleftir. Kişisel verilere ilişkin suçlar bakımından Türk Ceza Kanunu’nun 135,138 ve 140. maddeleri uygulanmakla birlikte, ilgili mevzuat hükümlerine aykırılık halinde 1.000.000 Türk Lirası tutarına kadar da idari para cezasıyla karşılaşılması söz konusu olabilecektir.

Yukarıda belirtilen bilgiler kapsamında Türkiye’de mukim tüzel kişilerin müşterileri ve çalışanlarından 6698 sayılı Kişisel Verilerin Korunması Kanunu’na uygun olarak kişisel ve/veya özel nitelikli kişisel verilerin; tamamen veya kısmen elde edilmesi, kaydedilmesi, depolanması, değiştirilmesi, güncellenmesi, periyodik olarak kontrol edilmesi, yeniden düzenlenmesi, sınıflandırılması, muhafaza edilmesi, 3. kişi gerçek/tüzel kişiler ile paylaşılması, yurtdışına aktarılması ya da kullanılmasının engellenmesi de dahil olmak üzere işlenmesine ve paylaşılmasına ilişkin onay almaları gerekmektedir.