“Kişisel verilerin toplanması kaçınılmaz olmakla birlikte, sınırsız ve gelişi güzel toplanmasının, yetkisiz kişilerin erişimine açılmasının, ifşası, amaç dışı ya da kötüye kullanımı sonucu kişisel hakların ihlal edilmesinin önüne geçilmesi gereklidir.”
Kişisel veri deyince kısaca ve yaygın olan tarifi şöyledir. Belirli veya belirlenebilir nitelikteki bir kişiye ait her türlü bilgi demektir. Bireyin şahsi bilgileri, mesleki ve ailevi özelliklerine ilişkin bilgileri, diğer bireylerden ayırmaya ve niteliklerini ortaya koymaya elverişli olan bilgileri, kişisel veri sayılır Günümüzde bireylere ilişkin çeşitli veriler gelişen teknolojinin de etkisiyle sık sık farklı platformlarda kolaylıkla işlenebilmekte ve aktarılabilmektedir. Bu verilerin işlenmesi kişiler ile mal ve hizmet sunanlar bakımından bazı kolaylıklar ve avantajlar sağlasa da verilerin istismar edilme riskini de beraberinde getirmektedir.
Gerek kamu, gerekse özel kurum ve kuruluşlar, bir görevin yerine getirilmesi veya bir hizmetin sunumuyla bağlantılı olarak, kişisel veri niteliğindeki bilgileri, uzun süredir toplamaktadırlar. Bu durum, bazen kanunlardan kaynaklanmakta bazen kişilerin rızasına veya bir sözleşmeye dayanmakta bazen de yapılan işlemin niteliğine bağlı olarak ortaya çıkmaktadır. Diğer bir hususta, anlam ve içerik bakımından oldukça zengin bir kavram olan İnsan Hakları kavramı, insanın yalnızca insan olması nedeniyle sahip olduğu hakları ifade eder. Bu haklar, insanın değerini ve onurunu tüm yönleriyle (fiziksel, biyolojik, kişisel, kültürel vb.) korumayı amaçlayan evrensel ilke ve kurallardır. Belirtmek gerekir ki, kişilerin temel hak ve hürriyetlerinin veri işleme sürecinde de korunması öncelikli konulardan biridir. Nitekim bu konu hakkında yapılan röportajlar ve anketler göstermiş ki vatandaş kişisel bilgilerini isteyen iş yerlerine bu bilgilerini vermek istememekte, işinin görülmesi açısından da mecbur kaldığını söylemektedirler.
Ayrıca, sosyal ve ekonomik hayatın düzen içinde sürdürülmesi, kamu hizmetlerinin etkin biçimde sunumu, mal ve hizmetlerin ekonominin gereklerine uygun biçimde geliştirilmesi, dağıtımı ve pazarlanması için kişisel verilerin toplanması kaçınılmaz olmakla birlikte, kişisel verilerin sınırsız ve gelişi güzel toplanmasının, yetkisiz kişilerin erişimine açılmasının, ifşası, amaç dışı ya da kötüye kullanımı sonucu kişisel hakların ihlal edilmesinin önüne geçilmesi gereklidir.
Bu nedenle, kişisel verileri koruyabilmek adına 2016 yılından itibaren Kişisel Verileri Koruma Kanunu ve buna paralel yönetmelikler çıkmış ve uygulanmaya başlamıştır. Bu kanunun amacı (KVKK) , kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir. Veri güvenliğini sağlamayı amaç edinen Kişisel Verileri Koruma Kanunu (KVKK) aynı zamanda yasal düzenleme işlevini de yapar. Hukuk kurallarını kabul etmeli ve hukuka uygun hareketler yapılmalıdır. En önemlisi de daima güncel ve doğru olmalıdır. Mesela Hepimize günde onlarca spam mail veya sms mesajı gelmektedir. Kişisel verilerimiz adeta bir mal/hizmet gibi şirketler arasında satılmakta veya aktarılmaktadır. Bizler şahsen yapabileceğimiz bir şey olmadığı için kişisel verilerin korunmasıyla ilgili hukuki düzenleme yapılması zorunlu hale gelmiştir. Kişisel veri barındıran, işleyen, depolayan, her şirket Kişisel Verileri Koruma Kanunu’na uygun şekilde faaliyet göstermelidir. Kanun incelendiğine Kişisel verilerin korunması için önlem almayan ve kişinin rızası olmadan verilerin bir üçüncü şahsa aktarılırsa oldukça etkili idari cezalar (Para veya hapis) getirmiştir. Her türlü işletmede müşterileri ve çalışanlarının bilgilerini koruma hassasiyetini üst seviyeye taşıdı. Böylelikle verilerin kötü maksatlı kişilerin eline geçmesi ve rıza dışı kullanımların önüne kanun ile geçilmiş oldu. Bu bir çığır sayılmalıdır. Ancak çoğu vatandaşımız, hatta çalışanlarımız bu konuyu bilmemektedir. Bu günlerde bazı medyada haber olarak yapılmakta ve insanlar bilgilendirilmektedir. Ama yeterli değil, geniş platformlarda ve yerine oturuncaya kadar çok sıklıkla aydınlatılmalıdır. Anayasal suç olmasına rağmen hala bazı iş yerleri müşterilerin gereksiz bilgilerini istemektedir. Bu hususta ilgili kişilerin KVK kurumuna (İnternet sitesine girerek) doğrudan şikâyet etme hakkı vardır. O iş yerlerine yaptırımlar yapıldığında giderek bu konular düzene girer. Kanunun uygulanmasında hepimizden beklenen kişisel verinin önemi hakkında farkındalığını en üst düzeye ulaştırmaktır. Veri işleyen kurumların çalışanları da bu konuda titiz, özenli ve kurum süreçlerine uygun hareket etmesi gerekmektedir. Kişisel verisi işlenen kişilerin ise bu çerçevede verdikleri verilerin içeriklerine ve imzaladıkları izinlere dikkat etmeleri gerekmektedir. Şirketler ne kadar gelişmiş bir alt yapıya sahip olursa olsun, en zayıf halka hep insan olmuştur. Şirketlerde başta IT, İnsan Kaynakları departmanları bu uyumluluk süreçlerini üstlenseler de büyük sorumluluk şirketteki verinin asıl sahibi personele düşüyor. Özellikle paylaşılacak verilerin açık rıza ile ve nedenleri kendilerini bilgilendirilerek (Aydınlatılarak) alındığı belirtilmelidir. Aynı zamanda bu bilgilendirme, verilerin kimlerle paylaşılacağı ve ne zamana kadar saklanacağı konularını da kapsamalıdır. Belli aralıklarla da tüm şirkete ilgili bilinçlendirme duyuruları veya eğitimleri yapılmalıdır. Ayrıca 6698 sayılı bu kanunumuzun ilham kaynağı EU GDPR (Avrupa Genel Veri Koruma Yönergesi) dir. KVKK, Avrupa'daki muadili GDPR ile birlikte veri sorumlusu olarak adlandırılan kurumları epeyce etkileyecek ve iş yapma pratiklerini epey dönüşüme uğratacak bir öneme sahiptir.
İlhan TANRIYAR / Proje ve Yönetim Danışmanı
www.ilhantanriyar.com