Anayasanın 20. maddesinde düzenlenen “Özel Hayatın Gizliliği” başlığı altında kişisel verilerin korunması hususu anayasal düzeyde korunmaktadır.
Madde hükmünde “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.” ifadeleri yer almaktadır.
Bu temel esaslar doğrultusunda 24.03.2016 tarihinde 6698 sayılı Kişisel Verilerin Korunması Kanunu yürürlüğe girmiştir. Kanun içeriğinde özellikle açık rıza, anonim hâle, kişisel veri, kişisel verilerin işlenmesi, veri kayıt sistemi, veri sorumlusu gibi ibarelerin neler olduğu açık olarak belirtilmiştir.
Kanun içeriğinde kişisel verilerin korunması hususunda temel ilkeler şu şekilde belirlenmiştir:
Hukuka ve dürüstlük kurallarına uygun olma.
Doğru ve gerektiğinde güncel olma.
Belirli, açık ve meşru amaçlar için işlenme.
İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.
İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.
Yukarıda ifade edilen tüm maddelerin ayrı ayrı önemli olduğu açık olmakla beraber özellikle ölçülü ve sınırlı olması hususu anayasal ilke olan ölçülülük ilkesi ile doğrudan ilinti olan ve çoğu zaman en çok hak ihlaline sebep olan madde olarak göze çarpmaktadır.
Yine Kanun içeriğinde kişisel verilerin işlenme şartları ise şu şekilde düzenlenmiştir:
Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez.
Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür:
Kanunlarda açıkça öngörülmesi.
Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması. İlgili kişinin kendisi tarafından alenileştirilmiş olması
Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
2. Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hâle Getirilmesi
Kişisel verilerin resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silineceği, yok edileceği veya anonim hâle getirileceği düzenlenmiştir.
Ayrıca kişisel verilerin silinmesine, yok edilmesine veya anonim hâle getirilmesine ilişkin usul ve esaslar yönetmelikle düzenleneceği ifade edilmiştir.
3. Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik
KVKK’da belirtilen yönetmelik, 28 Ekim 2017 tarihinde resmi gazetede yayımlanarak yürürlüğe girmiştir. Yönetmelik içeriğinde özellikle 5. maddede “kişisel veri saklama ve imha politikası”nın belirlenmesi gerektiği düzenlenmiştir. Veri Sorumluları Siciline kayıt olmakla yükümlü olan veri sorumlularının, kişisel veri işleme envanterine uygun olarak kişisel veri saklama ve imha politikası hazırlamakla yükümlü olduğu ifade edilmiştir.
4. Kişisel Veri Saklama ve İmha Politikasının Kapsamı
Kişisel veri saklama ve imha politikası asgari olarak;
Kişisel veri saklama ve imha politikasının hazırlanma amacına,
Kişisel veri saklama ve imha politikası ile düzenlenen kayıt ortamlarına,
Kişisel veri saklama ve imha politikasında yer verilen hukuki ve teknik terimlerin tanımlarına,
Kişisel verilerin saklanmasını ve imhasını gerektiren hukuki, teknik ya da diğer sebeplere ilişkin açıklamaya,
Kişisel verilerin güvenli bir şekilde saklanması ile hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi için alınmış teknik ve idari tedbirlere,
Kişisel verilerin hukuka uygun olarak imha edilmesi için alınmış teknik ve idari tedbirlere,
Kişisel verileri saklama ve imha süreçlerinde yer alanların unvanlarına, birimlerine ve görev tanımlarına,
Saklama ve imha sürelerini gösteren tabloya,
Periyodik imha sürelerine,
Mevcut kişisel veri saklama ve imha politikasında güncelleme yapılmış ise söz konusu değişikliğe ilişkin bilgileri kapsaması gerektiği ifade edilmiştir.
5. Kişisel Verilerin İlgili Kişinin Talep Etmesi Durumunda Silinmesi ve Yok Edilmesi Süreleri
İlgili kişi, veri sorumlusuna başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiğinde;
Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; veri sorumlusu talebe konu kişisel verileri siler, yok eder veya anonim hale getirir.
Veri sorumlusu, ilgili kişinin talebini en geç otuz gün içinde sonuçlandırır ve ilgili kişiye bilgi verir.
Kişisel verileri işleme şartlarının tamamı ortadan kalkmış ve talebe konu olan kişisel veriler üçüncü kişilere aktarılmışsa veri sorumlusu bu durumu üçüncü kişiye bildirir; üçüncü kişi nezdinde gerekli işlemlerin yapılmasını temin eder.
Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, bu talep veri sorumlusunca reddedilebilir ve ret cevabı ilgili kişiye en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirilir.
6. Suçlar
Kişisel verilere ilişkin suçlar Türk Ceza Kanununun 135 ila 140 ıncı madde hükümlerinde düzenlenmiştir.
Kişisel verilerin kaydedilmesi (Md 135)
(1) Hukuka aykırı olarak kişisel verileri kaydeden kimseye bir yıldan üç yıla kadar hapis cezası verilir. (2) Kişisel verinin, kişilerin siyasi, felsefi veya dini görüşlerine, ırki kökenlerine; hukuka aykırı olarak ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin olması durumunda birinci fıkra uyarınca verilecek ceza yarı oranında artırılır.
Verileri hukuka aykırı olarak verme veya ele geçirme (Md 136)
(1) Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, iki yıldan dört yıla kadar hapis cezası ile cezalandırılır. (2) Suçun konusunun, Ceza Muhakemesi Kanununun 236 ncı maddesinin beşinci ve altıncı fıkraları uyarınca kayda alınan beyan ve görüntüler olması durumunda verilecek ceza bir kat artırılır.
Nitelikli haller (Md 137)
(1) Yukarıdaki maddelerde tanımlanan suçların; a) Kamu görevlisi tarafından ve görevinin verdiği yetki kötüye kullanılmak suretiyle, b) Belli bir meslek ve sanatın sağladığı kolaylıktan yararlanmak suretiyle, İşlenmesi halinde, verilecek ceza yarı oranında artırılır.
Verileri yok etmeme (Md 138)
(1) Kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlara görevlerini yerine getirmediklerinde bir yıldan iki yıla kadar hapis cezası verilir. (2) Suçun konusunun Ceza Muhakemesi Kanunu hükümlerine göre ortadan kaldırılması veya yok edilmesi gereken veri olması hâlinde verilecek ceza bir kat artırılır.
Şikayet (Md 139)
(1) Kişisel verilerin kaydedilmesi, verileri hukuka aykırı olarak verme veya ele geçirme ve verileri yok etmeme hariç, bu bölümde yer alan suçların soruşturulması ve kovuşturulması şikayete bağlıdır.
Tüzel kişiler hakkında güvenlik tedbiri uygulanması (Md 140)
(1) Yukarıdaki maddelerde tanımlanan suçların işlenmesi dolayısıyla tüzel kişiler hakkında bunlara özgü güvenlik tedbirlerine hükmolunur.
