6698 Sayılı Kişisel Verilerin Korunması Kanunun Amaç ve Kapsamı Nedir?

Kişisel verilerin korunması, temel bir insan hakkı olan özel hayatın gizliliği ile doğrudan bağlantılıdır. Bu nedenle kişilerin, özel hayatının gizliliğini sağlayabilmek amacıyla üçüncü kişilerin eline geçmesinde sakınca bulunan verilerinin hukuken korunması gereklidir. Bu anlamda Türk Hukukunda hem Anayasada hem de 6698 sayılı kanunda düzenlemeler yapılmıştır.

Anayasamızın 20. Maddesinin 3.fıkrasına göre ‘’ Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.’’ Bu anlamda, kişisel verilerin korunması hem anayasal koruma bulmuştur hem de diğer esas ve usullerin kanunla düzenleneceği belirtilerek 6698 sayılı kanuna işaret edilmiştir.

07/04/2016 tarihinde Resmi Gazetede yayımlanan ve yürürlüğe giren 6698 sayılı Kişisel Verileri Koruma Kanunu, kişisel verilerin işlenmesi sürecinde kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülüklerini belirlemek, başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak, kişisel verileri işlenen ilgili kişilerin haklarını düzenlemek ve kişisel veri güvenliğini sağlamak amacıyla kabul edilmiştir.

Ayrıca 6698 sayılı kanunla kişisel verilerin sınırsız biçimde ve gelişigüzel toplanmasının, yetkisiz kişilerin erişimine açılmasının, ifşası veya amaç dışı ya da kötüye kullanımı sonucu kişilik haklarının ihlal edilmesinin önüne geçmek amaçlanmaktadır.

6698 sayılı kanuna göre kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir. Örneğin bir kişinin adı, soyadı, T.C. kimlik numarası, telefon numarası, motorlu taşıt plakası,  ses ve görüntü kayıtları, konum bilgisi, adli sicil kaydı, kredi kartı ekstreleri, sosyal medya beğenileri, parmak izleri, göz rengi, saç rengi vb. bilgiler kişisel veri olarak tanımlanmaktadır. Kişisel verilerin işlenmesi ise bu verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade etmektedir. Bu tanıma göre kişisel verilerin sadece elde edilmesi (örneğin çalışan adayının iş başvurusunun alınması, çalışanın özlük dosyası bilgi ve belgelerinin toplanması gibi) dahi veri işleme faaliyeti olup bu verilerin bir başka gerçek veya tüzel kişiye aktarılması gerekmemektedir. Yukarıda yer verilen tanımda yer alan faalieylerden her birisi kendi başına veri işleme faaliyetini oluşturmaktadır.

6698 sayılı kanuna göre kişisel veri gerçek kişiye ait olan veridir. Bu sebeple hiçbir gerçek kişi ile bağlantısı olmayan sadece bir tüzel kişiye ait olan veriler 6698 sayılı kanun kapsamında kişisel veri olarak kabul edilmemektedir. 

Kanuna göre asıl olan kişisel verilerin işlenmemesidir. Başka bir ifadeyle kişisel verilerin mümkün olduğunca az işlenmesi, kişisel verilerin işleme faaliyetlerinin de 6698 sayılı Kişisel Verilerin Korunması Kanununa uygun olması gerekmektedir. 

6698 sayılı Kişisel Verilerin Korunması Kanunu'na göre kişisel verilerin işlenmesi sırasında uyulması gereken bazı ilkeler bulunmaktadır. Buna göre kişisel verilerin işlenmesi hukuka ve dürüstlük kuralına uygun olmalı, kişisel veriler doğru ve gerektiğinde güncel olmalı, veri işleme faaliyeti belirli, açık ve meşru amaçlar için yapılmalı, veriler işlendikleri amaçla bağlantılı, ölçülü ve sınırlı olmalı, ilgili mevzuatta öngörülen veya işleme amacı için gerekli olan süre kadar muhafaza edilmelidir. Sayılan bu hususlar kişisel verilerin işlenmesinde uyulması gereken temel ilkeler olup kişisel verilerin işlenmesinde uyulması gereken yükümlülükler bunlarla sınırlı değildir. Kişisel verilerin işlenmesi sırasında gerek 6698 sayılı kanunda gerekse yönetmelik ve Kişisel Verileri Koruma Kurumu düzenlemelerinde öngörülen yükümlülülüklere uyulması zorunludur. Aksi durumda yapılan veri işleme faaliyeti hukuka aykırı hale gelebileceği gibi mevzuatta öngörülen yüksek miktarlı idari para cezaları ile de muhatap olunabilecektir.