Kişisel verinin kişiyi belirli veya belirlenebilir kılması gerekmektedir. Yani kişisel verinin doğrudan kimlik bilgileri olması gerekmez, bu bilgilere ulaşılmasını sağlayacak tüm yan verileri kapsar. Kişisel veri bu kapsamdaki her türlü bilgiyi ifade eder. Son derece geniş bir çerçeve çizmektedir.
Dünya geliştikçe güvenliği sağlamanın biçimleri de değişiyor. Eskiden güvenlik denince aklımıza hırsızlık, dolandırıcılık veya gasp gibi suçlar gelirdi. Artık insanların en değerli varlıkları sadece sakladıkları paraları ve vücut güvenlikleri değil. Bir kimsenin kimlik numarası, kredi kart bilgileri, e-devlet şifresi gibi kişisel verileri, gelişen çağımızda güvenlik kavramının içinde. Zira, bir kişinin kimlik numarasından onun tüm akrabalık ilişkilerini öğrenmeniz mümkün. Veya ona ait ev, araba gibi mülklerini neler olduğunu öğrenebilirsiz. Hatta biraz daha ileri giderek, tüm bu verileri toplayarak o kişi hakkında bilgi edinmeniz mümkün olabileceği gibi, yaptığı bazı hataları tespit edip ona şantaj bile uygulanması mümkün olabilir. Örneğin, kişinin eşinden sakladığı bir banka borcu, bir kişisel veridir ve bu verinin bankadan sızması ve kötü niyetli kullanımının ortaya çıkaracağı zararları küçümsemek mümkün olmayacaktır.
Unutulma hakkı
Bu konuda dünya genelinde tedbirler alınıyor ve ülkeler bu tehlikeye karşı çeşitli kurumlar ve kurullar kurarak, bu tip kişisel verileri elinde tutan yerleri denetliyor, disiplin altına alıyor ki insanlar kendisini güvende hissedebilsin. Devlet başkanlarının dinlenmesi, gizli belgelerin yayınlanması, konuşma kayıtlarının paylaşılması meseleleri her ne kadar casusluk kapsamında ele alınsa da sıradan görünen küçücük verilerin istihbarat amaçlı kullanıldığı da bir gerçek. Güvelik konseptinin özelikle bilişim ve siber güvenliğin bu noktada dengesinin iyi oturtulması lazım. 2013 yılında gündem, Edward Snowden tarafından ortaya çıkarılan mahremiyet ihlalleri konusu ve başta Google, Facebook, Apple gibi sanal alemin devlerinin kullanıcıları olmak üzere milyonlarca kullanıcının erişim bilgileri de dâhil pek çok kişisel verisini ABD Ulusal Güvenlik Ajansı’nın (National Security Agency-NSA) ulaşabileceği bir formata getirmesi ile çalkalanmıştı. Birbiriyle alakasız görünen birçok verinin bir istihbarat birimine akması, meseleyi bu derinlikte ortaya çıkardı ve durumu bir iç güvenlik meselesinden, uluslararası güvenlik meselesine çevirdi. Akabinde Avrupa Birliği Adalet Divanı’nın gündemine taşınan ve karar bağlanan “Google-İspanya Davası”, “İrlanda Dijital Haklar Davası” ve nihayet “M.Schrems-Veri Koruma Komisyonu Kararı” çok önemlidir. Google-İspanya kararında; şimdilerde pek revaçta bir konu olan “unutulma hakkı” ele alınmıştır. Bu davada başvuran bir kişi Google’in kendisi hakkındaki bir haberin kısayolunun kaldırılmasını istemesinden doğmaktadır. Bu mesele şimdilerde çokça önümüze gelmektedir. Kişinin aleyhine olan haber beraat etmiş olsa bir arama motorlarında kalmaktadır. Bu da itibarı açısından can sıkıcıdır. Bir diğeri İrlanda Dijital Haklar Kararıdır. Burada İrlanda’daki bir direktifin mahiyeti tartışılmış ve sabit, mobil veya internet telefonu ile e-posta iletişimi verilerinin altı aydan iki yıla kadar saklanmasını düzenleyen bu direktif geçersiz ilan edilmiştir. Son olarak ise M.Schrems-Veri Koruma Komisyonu Kararına değinmek gerekir burada da Maximillian Scherms Avusturya vatandaşı olup söz konusu olayda İrlanda Veri Koruma Otoritesini dava etmiştir. Dava konusu uyuşmazlık Scherms’in daha önce, Facebook tarafından kişisel verilerinin ABD’de tutulmasının kendisi bakımından ihlale sebep olduğu gerekçesiyle yapmış olduğu başvurusunun İrlanda Veri Koruma Otoritesi tarafından reddedilmesi üzerine meydana gelmiştir. ABD hukuk kurullarının incelenmesi sonucunda AB vatandaşlarının başta kişisel verileri olmak üzere temel hakları bakımından tehlikeli sonuçların ortaya çıkabileceği değerlendirilerek karar verilmiştir.
Dijital ekonomi
Meselenin derli toplu olarak ele alınması Avrupa Birliği kısaltması GDPR olan General Data Protection Regulation yani Veri Güvenliği Tüzüğü ile başlamaktadır. Bu düzenleme, somut yaşanan bir takım olaylar nedeniyle ortaya çıkan siyasi ve hukuki sorunları aşmak amacındadır. Veri Koruma Tüzüğü’nün getirmiş olduğu yeni düzenlemeler sadece bireysel durumlar çerçevesinde değil, yeni dünya düzeninin ekonomi politikalarına etkisi bakış açısıyla ele alınmalıdır. Zira küresel sistem bazı bilgilerin yayılmasından hoşlanmamaktadır. Unutulması gereken hususların da hatırlatılması bazı zamanlar sistem için zararlı olabilmektedir. Bu yaklaşım dijital ekonomi üzerindeki etkileri bakımından önemli olduğu değerlendirilen ve GDPR’nin köklü yenilikler öngördüğü şu üç temel özelliğine odaklanmıştır:
1-Kişisel verilerin ve veri sahiplerinin daha etkin korunması,
2-Veri işleyenler ile veri kontrolörlerinin artırılmış sorumlulukları,
3-Uygulanma alanı bakımından daha güçlü düzenlemelere sahip olması.
Türkiye de bu gelişmeler hızla ayak uydurmuş ve bu konuda bir kanun ve ilgili mevzuatını ihdas etmiştir. Bu kapsamda, 6698 sayılı Kişisel Verilerin Korunması Kanunu 07.04.2016 tarihinde yürürlüğe girmiştir. Kanunla, kişisel verilerin işlenmesi disiplin altına alınarak sınırsız biçimde ve gelişigüzel toplanması, yetkisiz kişilerin erişimine açılması, ifşası veya amaç dışı ya da kötüye kullanımı sonucu kişilik haklarının ihlal edilmesinin önüne geçilmesi amaçlanmaktadır. Kişisel Verileri Koruma Kanunu, kişisel verileri alınan ve bir sisteme veya benzeri bir yere işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır.
Bu doğrultuda, özel sektörde faaliyet gösteren kuruluşlar ile kamu kurum ve kuruluşları bakımından bir ayrım yoktur. Her tüzel kişilik türü için caridir. Kanunda verisi işlenen gerçek kişilerden bahsedildiği için hak ehliyetine sahip yani doğum anından itibaren her insan, bu kanunun koruması kapsamındadır.
Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir. Kişisel veriden söz edebilmek için, verinin bir gerçek kişiye ilişkin olması ve bu kişinin de belirli ya da belirlenebilir nitelikte olması gerekmektedir.
Çerçevesi epey geniş
Bu anlattıklarımıza göre kişisel veri; gerçek kişiye ilişkin veriler koruma altındadır. Tüzel kişilerin verileri koruma dışındadır. Dolayısıyla, bir şirketin ticaret unvanı ya da adresi gibi tüzel kişiliğe ilişkin bilgiler (bir gerçek kişiyle ilişkilendirilebilecekleri durumlar haricinde) kişisel veri sayılmayacaktır. Kişiyi belirli veya belirlenebilir kılması gerekmektedir. Yani kişisel verinin doğrudan kimlik bilgileri olması gerekmez, bu bilgilere ulaşılmasını sağlayacak tüm yan verileri kapsar. Kişisel veri bu kapsamdaki her türlü bilgiyi ifade eder. Son derece geniş bir çerçeve çizmektedir. Buna göre bir gerçek kişinin; adı, soyadı, doğum tarihi ve doğum yeri, kimlik numarası, kimlik seri ve kart numarası, cep ve ev telefonu, motorlu taşıt plakası, vergi kimlik numarası, sosyal güvenlik numarası, pasaport numarası, özgeçmişi, resimleri, görüntü ve ses kayıtları, parmak izleri, e-posta adresi, hobiler, seçimleri, tercihler, etkileşimde bulunulan kişiler, grup üyelikleri, aile bilgileri, sağlık bilgileri vb bilgiler
Kişisel verilere ilişkin suçlar ve cezai yaptırımlar 5237 sayılı Türk Ceza Kanununun ilgili hükümlerine (md. 135-140) atıf yapılmak suretiyle düzenlenmiştir. Ayrıca, kişisel verileri yok etmeyenlerin ise Türk Ceza Kanununun 138. maddesine göre cezalandırılacağı hüküm altına alınmıştır. Kanunda öngörülen yükümlülüklere aykırı davranılması halinde uygulanacak idari yaptırımlar 18. maddede düzenlenmiştir.
Cezai yaptırımlar
Bu kapsamda; aydınlatma ve veri güvenliğini sağlama, Kurul kararlarını yerine getirme ile sicile kayıt ve bildirim yükümlülüklerine aykırı davranılması kabahat olarak öngörülerek idari para cezası yaptırımına bağlanmıştır. İdari yaptırımlara Kurul tarafından karar verilecek olup, verilen yaptırım kararlarına karşı yargı yolu açıktır. İdari para cezaları veri sorumlusu olan gerçek kişiler ile özel hukuk tüzel kişileri hakkında uygulanır. Kabahat kapsamında sayılan eylemlerin kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları bünyesinde işlenmesi halinde, Kurulun yapacağı bildirim üzerine, ilgili kamu kurum ve kuruluşunda görev yapan memurlar ve diğer kamu görevlileri ile kamu kurumu niteliğindeki meslek kuruluşlarında görev yapanlar hakkında disiplin hükümlerine göre işlem yapılır ve sonucu Kurula bildirilir.
Kişisel verileri koruyabilmek adına hukuki bir altyapının oluşturulması da zorunluluk haline gelmektedir. Ancak bunlardan daha önemlisi bu konuda farkındalık oluşturulmasıdır. Bu konuda barolara, sivil toplum örgütlerine önemli görevler düşmektedir. Kişisel veriler artık bir milli güvenlik sorunudur. Korunması gereken veriler ve veri güvenliği noktasında bilinçlendirici çalışmalar, bu konudaki gelişimi hızlandıracaktır.