Pırpır

Esasen kişisel veri konusundaki ilk mevzuat çalışmaları özel sektörün kişisel verileri
kullanmasını düzenlemek amacıyla değil, devlet elinde bulunan çok sayıda verinin “kimlik
numarası” benzeri bir sistemle kaydedilmesi ve entegre edilmesi sonucunda, etkin bir şekilde
veri işlemenin mümkün hale gelmesi ve bu kapsamda muhtemel riskler karşısında hukuken
korunmaya ihtiyaç bulunduğu düşüncesiyle hazırlanıyor.
Bu gelişmelerin üzerine Birleşmiş Milletler (BM), Avrupa Konseyi, İktisadi İşbirliği ve Kalkınma
Teşkilatı (OECD) ve Avrupa Birliği (AB) gibi uluslararası kuruluşlar ile Avrupa ülkeleri ve
Amerika Birleşik Devletleri’nde ulusal mevzuatlar oluşturuluyor. Şu an yerel mevzuatımız
haricinde en sık duyduğumuz veri koruma mevzuatı, Avrupa Birliği ülkelerinde çatı kanun
olarak geçerli olan General Data Protection Regulation – GDPR.
Ülkemizde ise insan haklarının etkin bir biçimde korunması, AB ile yürütülen üyelik
müzakereleri ve uluslararası iş birliği ve ticaretin artırılması amaçlarıyla kişisel verilerin
korunmasına yönelik kanuni bir düzenleme hazırlama ihtiyacı ortaya çıkıyor ve 7 Nisan 2016
tarihinde resmi olarak 6698 Sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ile tanışıyoruz.
Kişisel verilerin korunması meselesi temel hak ve özgürlüklerden “özel hayatın gizliliği” ile içe
içe geçmiş durumda olduğundan yerel ceza mevzuatımızda kişisel verilerin kaydedilmesi,
verileri hukuka aykırı olarak verme veya ele geçirme, verileri yok etme fiileri suç olarak
düzenleniyor.
Ek bir bilgi olarak, kanundaki “gerçek kişi” vurgusu nedeniyle mevzuat hükümlerinin tüzel
kişilerin bilgilerine ilişkin olarak uygulama alanı bulamayacağının altını çizmek gerekir.
Uygulamada verilerin işlenmesi bireyler ile mal ve hizmet sunanlar bakımından bazı kolaylık ve
avantajlar sağlasa da, bu durum verilerin istismar edilme riskini de beraberinde getiriyor. İşte
bu istismarı önlemek adına KVKK ile, veri işleyenlere belirli sorumluluklar yükleniyor.
Veri işlemenin ne olduğu konusuna gelirsek, kişisel verilerin tamamen veya kısmen otomatik
olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla
elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden
düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi,
sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her
türlü işleme veri işleme denir. Örneğin, kişisel verilerin sadece bir sabit diskte, CD’de,
sunucuda depolanması, anılan verilerle başkaca hiçbir işlem yapılmasa da bir veri işleme
faaliyeti olarak görülür. Dolayısıyla veri işleme kapsamına giren eylemlerin sınırlı sayıda
olmadığını, kişisel verilerin ilk defa elde edilmesinden başlayarak veriler üzerinde
gerçekleştirilen tüm işlem türlerini ifade etmekte olduğunu söylemek yanlış olmaz. En
nihayetinde kişisel verilerin işlenmesi kavramı zincirleme bir döngüyü ifade eder.
14