Sevgili okuyucular,

Bu hafta sizlerle Dünya Hukuk Mevzuatı’nda 1953 yılından bugüne kendine yer bulmayı başarmış bir konu olan kişisel verilerden bahsedeceğim.

Kişisel verilere ilişkin ilk ulusal düzenleme Türk Ceza Kanunu’nda 2004 tarihinde yapılmıştır. 2010 yılında kişisel verilerin korunması ile ilgili hüküm Anayasamıza dahil edilmiş; 108 nolu ‘Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi’nin Türk mevzuatına dahil edilmesi ile 07.04.2016 tarihli 6698 sayılı Kişisel Verilerin Korunması kanununun yürürlüğe girmesine uygun ortam oluşmuştur.

Kişisel verileri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak ifade etmek mümkündür. Yani kişilerin adı, soyadı, doğum tarihi ve doğum yeri, kişinin fiziki, ailevi, ekonomik ve sair özelliklerine ilişkin bilgiler, isim, telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası gibi verileri kişisel veri olarak saymak ve örnekleri çoğaltmak mümkündür.  Özel nitelikli kişisel veriler ise kanunda sınırlı sayıda sayılmıştır. Özel nitelikli kişisel veriler öğrenilmesi halinde ilgili kişi hakkında ayrımcılık yapılmasına veya mağduriyete neden olabilecek nitelikteki verilerdir. Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleri ile ilgili verileri ile biyometrik ve genetik verileridir.

Kişisel verilerin işleme amaçlarını ve yöntemlerini belirleyen veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan veri sorumluları, kişisel verileri işlerken, hukukun temel ilkelerine uygun davranmak zorundadır. Hukuka ve dürüstlük kurallarına uygun olmayan, doğru ve gerektiğinde güncel olmayan, belirli, açık ve meşru amaçlar için işlenmeyen ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmeyen verilerin hukukun temel ilkelerine aykırı tutulduğunu söylemek mümkündür.

Bir kişisel verinin işlenebilmesi için, ilgilinin açık rızası şarttır. Bu rıza belli bir konuya ilişkin olmalı, bilgilendirmeye dayanmalı ve ilgilisinin özgür iradesi ile açıklanmalıdır. İşlenecek kişisel veri kanunlarda açıkça öngörülmeli, fiili imkansız halinin bulunması, sözleşmenin kurulması ve ifası için gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, kişisel verinin ilgilisi tarafından alenileştirilmiş olması, kişisel verinin işlenmesi bir hakkın tesisi, kullanılması veya korunması için zorunlu olmalıdır. Veri işlemenin ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaatleri için zorunlu olması şarttır.

Veri sorumluların kişisel verileri süresiz saklaması mümkün değildir. Veriler, işleme amacına uygun bir süre tutulduktan sonra imha edilmelidir. İlgili kanun düzenlemelerine göre birkaç örnek vermek gerekirse;

* Çağrı merkezi ses kayıtları 3 yıl

* Üyelik ve rezervasyona ilişkin kayıtlar 10 yıl

* Çerezler ve Log kayıtları 6 ay, en fazla 2 yıl

* Kamera kayıtları 2 yıl (Sektörel teamül gereği CCTV kameraları uyarınca güvenlik amaçlı işlenenler 90 gün)

* Vergisel kayıtlara ilişkin kişisel veriler 5yıl

* Çalışan memnuniyet anketlerine ilişkin veriler 1 yıl

* Ölmüş bir kişinin kişisel verilerin az 20 yıl saklanmalıdır.

* Kişisel veriler hukuka uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde bu veriler, re’sen veya ilgili kişinin talebi üzerine silinir.

Kişisel veriler ile ilgili otomatik kayıtların yapılması (dijital ortam kayıtları),verilerin yurtdışına aktarılması sırasında yaşananlar, kişisel verilerin hukuka uygun koşullarda işlenmemesi ya da hukuka uygun işlenmesine rağmen gerekli koşullarda silinmemesi, imha edilmemesi ya da anonim hale getirilmemesinden kaynaklı tazminat hakları ve ceza-i müeyyidelerin yüksek meblağlar içermesi nedeni ile  ( Örneğin; aydınlatma yükümlülüğünü yerine getirmeyenler 5.000 TL’den 100.000 TL’ye; veri güvenliğini yerine getirmeyenler hakkında 15.000 TL’den 1.000.000 TL’ye; kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 TL’den 1.000.000 TL’ ye para cezası verilmektedir.) ilgililerin Kişisel Veri Uzmanlık ve/veya Danışmanlık hizmeti veren avukatlardan hukuki destek almalarını tavsiye ederim.