Makale
Kişisel Verilerin Korunması Kanunu'nun temel amacı, kapsamı ve veri işlemede uyulması gereken genel ilkeler, bireylerin temel hak ve özgürlüklerini güvence altına almayı hedefler. Bu makalede, veri sorumlularının yasal yükümlülükleri ve hukuka uygunluk prensipleri uzman bir bilişim hukuku perspektifiyle derinlemesine incelenmektedir.
KVKK: Mevzuat Kapsamı ve Genel İlkeler
Bilişim çağında teknolojinin hızla gelişmesi ve verinin sınırları aşan dolaşımı, bireylerin en temel haklarından biri olan mahremiyetin korunmasını katı bir hukuki zorunluluk haline getirmiştir. Ülkemizde yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu, tam da bu yapısal ihtiyaca yanıt vererek kişisel verilerin korunmasını yasal bir güvenceye kavuşturmuştur. Kanunun temel hukuki amacı, dijitalleşen ve veriye dayalı ekonominin büyüdüğü dünyada bireylerin temel hak ve özgürlüklerini korumak, veri işleyen gerçek ile tüzel kişilerin uyması gereken şeffaf sınırları çizmektir. Avrupa Birliği veri koruma standartları ışığında hazırlanan bu mevzuat, hukuki ihtilaflarda özel kanun statüsüyle öncelikli olarak uygulanır. Bir veri sorumlusu açısından kanunun kapsamını ve genel ilkelerini doğru bir metodolojiyle yorumlamak, kurumsal uyum süreçlerinin ve yasal sorumlulukların temelini oluşturur. Aksi takdirde tüm veri işleme mekanizmaları yasal dayanaktan yoksun kalır.
Mevzuatın Kapsamı ve Hukuki Muhataplar
Mevzuatın bağlayıcı kapsamı incelendiğinde, hukuki muhatapların veri işleme faaliyetinde bulunan gerçek ve tüzel kişiler olduğu açıkça görülmektedir. Burada hukuken korunması hedeflenen taraf ise bizzat ilgili kişi yani insan unsurudur. Mevzuat, vatandaşlık bağına bakılmaksızın tüm veri sahiplerini evrensel hukuki değerlerle koruma altına alır. İnternet altyapıları ve küresel şirketler coğrafi sınırları kolayca aşarken, yasa koyucu hukuki korumanın alanını geniş tutarak uluslararası bir yaklaşım benimsemiştir. Hukuki varlığı sona ermekte olan ve tasfiye sürecine giren şirketler dahi, ticari faaliyetleri süresince elde ettikleri ve ellerinde tuttukları veriler bağlamında bu kanunun koruma şemsiyesi altındadır. Bununla birlikte, kanun kapsamında kendi hukuki kararlarını tek başına veremeyecek durumda olan küçükler, ileri yaştaki bireyler veya ağır hastaların kişisel verilerinin işlenmesinde de yasal temsilciler aracılığıyla hak arama hürriyeti yasal güvence altına alınarak kapsam genişletilmiştir.
Kişisel Verilerin İşlenmesinde Temel İlkeler
Veri işleme faaliyetlerinin hukuka uygun ve meşru bir zemine oturması için, mevzuatta açıkça sayılan ve hiçbir istisnası bulunmayan genel ilkelere mutlak surette uyulması gerekmektedir. Bu evrensel nitelikteki ilkeler, veri sahibinin açık rızası bulunsa dahi veri sorumlularının her türlü eylemini kısıtlayarak yasal uyumun ana çatısını oluşturur. Kurumların, hukuki süreçlerini tasarlarken bu prensipleri kurumsal yönetişimin ayrılmaz bir parçası olarak benimsemeleri hukuki bir şarttır. Veri güvenliğinin salt bir bilişim teknolojileri faaliyeti olmaktan çıkıp hukuki bir statüye dönüşmesi, işletmelerin bu kuralları operasyonlarına entegre etmesine bağlıdır. İşletmelerin bu temel kuralları dar yorumlayarak veya göz ardı ederek işlem yapması, eylemlerinde doğrudan hukuka aykırılık karinesi doğurur. Aşağıdaki maddeler, veri işlemede uyulması mecburi olan evrensel standartlardır:
- Hukuka ve dürüstlük kurallarına uygun olma: Veri sahibinin makul beklentilerini zedelemeyecek, şeffaf ve hukuki meşruiyete dayanan kurallar bütününe uyulmasıdır.
- Doğru ve gerektiğinde güncel olma: Veri odaklı hatalı veya eksik kararların önüne geçmek adına kurumsal veri setlerinin güncel tutulmasıdır.
- Belirli, açık ve meşru amaçlar için işlenme: Kurumların veriyi temin etmeden önce hukuki hedeflerini şeffaf bir şekilde tayin etmesidir.
- İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma: Sunulan ticari veya idari hizmetin doğası gereği ihtiyaç duyulan asgari verinin işlenmesidir.
- Gerekli olan süre kadar muhafaza edilme: Yasal saklama gereksinimleri sona eren verilerin, arşiv kayıtları dahi dahil olmak üzere güvenle yok edilmesidir.
Normlar Hiyerarşisinde KVKK'nın Yeri
Türk hukuk sistemindeki evrensel uyuşmazlık çözüm kurallarına göre, özel kanun genel kanunu ilga eder ve sonradan yürürlüğe giren kanun önceki kanunlara daima üstünlük sağlar. Mevcut 6698 sayılı yasa öncesinde, çeşitli sektörel mevzuatlarda yer alan veri koruma hükümleri dağınık, yoruma açık ve bilgi çağı ihtiyaçlarını karşılamaktan son derece uzaktı. KVKK'nın yürürlüğe girmesiyle birlikte, kişisel veriler bağlamında müstakil, çerçevesi net ve özel bir hukuk alanı yaratılmış oldu. Kurumların herhangi bir veri işleme faaliyetinde, önceki tarihli genel yasalar ile KVKK arasında bir hukuki çelişki doğması halinde, bu özel çatı kanun öncelikli olarak uygulanmak zorundadır. Dolayısıyla ticari işletmeler, yalnızca eski alışkanlıklarına veya yetersiz sektörel mevzuatlarına güvenerek veri işleme sınırlarını kendi lehlerine genişletemezler. Mevcut ihtilaflarda temel yasal dayanak, daima veri sahibinin temel haklarını savunan bu kanun çerçevesinde şekillendirilmelidir.