6698 sayılı Kişisel Verilerin Korunması Kanununun 7 Nisan 2016 tarihinde yürürlüğe girmesiyle birlikte birçok firmadan birbirine benzer içerikte sms ve e-postalar aldık. Zira bu kanunla birlikte, bize ait kişisel verilerin iznimiz olmaksızın toplanması ve kullanılması açıkça yasaklandı ve bu yasağı ihlal eden teşebbüsler bakımından hapis ve idari para cezası dahil olmak üzere son derece ağır yaptırımlar getirildi.
Kanundaki kurallar kanunun yürürlük tarihinden önce kişisel verilerimizi toplamış bulunan teşebbüslere de uygulanacağından, bu teşebbüslere kanuna uyum sağlamaları ve kanun hükümlerine aykırı olduğu tespit edilen kişisel verileri silmeleri, yok etmeleri veya anonim hale getirmeleri için iki yıllık süre verildi. Bu nedenle, özellikle 2018 yılının Nisan ayında kanunun belirlediği sürenin dolmasına az bir zaman kala, kişisel verilerimizi ellerinde bulunduran teşebbüsler bu verileri muhafaza etmeye ve kullanmaya devam edebilmek için biz veri sahiplerini sms ve e-posta yağmuruna tutarak onayımızı istediler.
Peki kişisel veri nedir ve bunların işlenmesi için neden onayımız gerekir?
Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder. Bu bilgiler, belli bir kimsenin kimliğine, etnik kökenine, fiziksel özelliklerine veya sağlık, öğrenim ve istihdam durumuna ilişkin olabileceği gibi, bir kişinin bireysel ve aile içi yaşantısına ilişkin bilgiler ve başkaları ile gerçekleştirdiği haberleşmeler olabilir.
Kişisel veri olarak nitelendirilecek bilginin, kişinin kredi kartı şifresi veya cinsel tercihi gibi gizli olması gerekmez. Örneğin, bir kişinin fiziksel özellikleri, arabasının markası veya kamuya açık bir toplantıda giymiş olduğu kıyafetin rengi gibi herkesçe rahatlıkla ulaşılabilecek aleni bilgiler de kişisel veri kapsamına girer. Önemli olan bu bilginin kime ait olduğunun belli olması veya herhangi bir şekilde veri sahibi ile ilişkilendirilerek veri sahibinin kim olduğunun belirlenebilir olmasıdır.
Kişisel verilerin elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi her türlü işlem kanunda belirtilen istisnai haller dışında veri sahibinin açık rızası ile yapılabilir. Bu ise rızamızı almadan önce bu verilerin ne amaçla kullanılacağı konusunda bilgilendirilmemizi ve rızamızı özgür irademizle vermemizi gerektirir. Şüphesiz verilerimiz ancak izin verdiğimiz amaçlarla kullanılabilir. Bununla birlikte, verilerimizin işlenmesine onay vermiş olsak dahi, bu verilerin silinmesini isteme hakkımız daima mevcuttur.
Modern toplum yaşamında, hepimiz kişisel verilerimizi birçok kişi ve kurumla paylaşıyoruz. Örneğin, internet üzerinden alışveriş yapmak, bir e-posta adresi almak veya elektronik bankacılık hizmetlerinden faydalanmak istediğimizde, bizden çeşitli bilgiler talep ediliyor ve biz kimi gizli kimi aleni birçok kişisel verimizin işlenmesine rıza gösteriyoruz. Ayrıca, çağdaş iletişim ve bilgisayar teknolojileri, biz farkında olmaksızın dahi hakkımızda çeşitli bilgiler topluyor.
Günümüzde bilgi, güç ile eş değer tutulduğundan, kişisel verilerimiz hem kamu kurum ve kuruluşları hem de özel sektör bakımından büyük değer taşıyor. Öte yandan, teknolojik gelişmeler, bir yandan kişisel verilerin toplanmasını ve paylaşılmasını kolaylaştırırken, diğer yandan da veri sahiplerinin mahremiyetlerinin hukuka aykırı şekilde ihlâl edilmesine artan şekilde imkân veriyor. İşte, kişisel verilerin korunması kanunu, veri sahipleri ile bu verileri işleyenler arasındaki menfaat çatışmasını dengelemeyi amaçlıyor.
Hüseyin Can Aksoy
Bilkent Üniversitesi Hukuk Fakültesi öğretim üyesi
