6698 Sayılı Kişisel Verilerin Korunması Kanunu (KVKK) 7.4.2016 tarihli 29677 sayılı Resmî Gazete’de yayınlanarak, bir kısmı yayın tarihinde, bir kısmı ise 7 Ekim 2016’da yürürlüğe girmiştir. Kanun Gereği, Kişisel Verileri Koruma Kurulu oluşturulmuş ve Kurul üyeleri henüz geçen ay yemin ederek göreve başlamışlardır. Şimdilerde Kurul’dan kanunun nasıl uygulanacağına ilişkin yönetmelikler hazırlanması beklenmektedir.

Kişisel verilerin kanunla korunmuş ve düzenlenmiş olması oldukça önemli. 2005 yılında kişisel verilerin korunmasına ilişkin cezai hükümler ile 2010 yılında değiştirilen Anayasa koruması sağlanmış olmasına rağmen, düzenlemeler yetersiz kalıyordu. Bundan böyle, kişisel veriler belirli ve öngörülebilir amaçlarla işlenecek, süresi geçtiğinde yok edilebilecek, hatta bireyler hukuka aykırı kaydedilmiş kişisel verilerinin düzeltilmesini veya silinmesini talep edebilecek. Veriler, rıza olmadan başka kişi ve kurumlara satılamayacak veya devredilemeyecek.

Kişisel verilerin işlenmesinde istisnalar

Kural olarak kişisel verilerin işlenmesi için ilgili kişinin açık rızası gerekir. Ama bazı koşullarda kişisel veri sahibinin rızasının alınmasına gerek yok. Mesela, polis rıza almaya gerek almaksızın parmak izi alıp işleyebilir, Adli Sicil veya Nüfus Müdürlüğü gibi kurumlar kişiyle ilgili bilgileri işleyebilir. Zira bu yetki bu kurumlara kanun ile verilmiştir.

Diğer bir istisna ise rızanın açıklanamadığı durumlarda kişilerin hayat veya beden bütünlüğünün korunması için kişisel verilerin işlenmesidir. Acil bir tıbbi vaka nedeniyle hastaneye kaldırılan bilinci açık olmayan insanların sağlık durumları ve geçmişi rıza alınmaksızın işlenebilecektir. İnsan kaçırma, kayıp kişi, suçlu takibi konularında da yer tespiti ve delil elde edilmesi için rıza alınmadan veri işlenebilecektir.

Kanunda sayılan diğer bir istisna, bir sözleşmenin kurulması veya ifasıyla ilgili olarak kişisel veri işlenebilmesidir. Örneğin, e-ticaret sitesinden yapılan bir alışverişte ürünün/ hizmetin sunulabilmesi için kişinin bilgileri ile adresinin işlenmesi zorunludur ve bu tür kişisel veriler için açık rıza alınmasına gerek bulunmamaktadır. Ancak alışverişle ilgili olmayan bir kişisel veri için tabi ki rıza alınmaya devam edilecektir.

Başka bir istisna ise Veri Sorumlusu’nun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olan verileri rıza sormaksızın işleyebilmesi. Bir şirketin çalışanına maaş ödeyebilmesi için, banka hesap numarasını veya bakmakla yükümlü olduğu kişileri işlemesi rıza almanın istisnalarına örnek olabilir.

Eğer veri sahibi, kendisiyle ilgili verileri kendisi alenileştirmişse yani kamuoyuna açıklamış ise bu kişisel veriler rıza olmaksızın işlenebilecektir.

Son istisna ise, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması hali. Bu istisnai durum çok şekilde örneklenebilir. Örneğin, bir spor kulübü, sporcularının temel hak ve özgürlüklerine zarar vermemek kaydıyla, sporcuların sağlık durumu, fiziksel özellikleri, antreman durumları, spor geçmişini, transfer ücretlerini vs. işleyebilir. Zira, bu veriler spor kulübünün meşru menfaatleri için gereklidir ve zorunludur. Artık bu tür durumlar için sporcuların rızası alınmayacaktır.

Veri sorumlusu ve veri işleyen kimdir?

Veri İşleyen ve Veri Sorumlusu kavramları çokça karıştırılıyor. Veri sorumlusu, her hangi bir temsilci, sorumlu kişi anlamında değil, doğrudan ilgili gerçek kişi veya tüzel kişi olarak tanımlanmış durumda. Örneğin, bir Anonim Şirket veya Limited Şirketin kendisi bu kanun anlamında tüzel kişi olarak Veri Sorumlusu’dur.

Kanuna göre Veri işleyen ise, Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişidir.