Kişisel veri; kimliği belirli veya belirlenebilir olan gerçek kişiye ait tüm bilgileri ifade etmektedir. Kişisel verilerin korunması hakkında Bu anlamda kişinin, kimlik, iletişim, sağlık ve mali bilgileri ile özel hayatına ilişkin tüm bilgileri kişisel veri kapsamında değerlendirilmektedir. Bir kişinin belirli veya belirlenebilir olması, “mevcut verilerin herhangi bir şekilde gerçek kişiyle ilişkilendirilmesi suretiyle, o kişinin tanımlanabilir hale gelmesi” anlamına gelmektedir. Kişinin, fiziksel, ekonomik, kültürel, sosyal veya psikolojik kimliğini ifade eden somut bir içerik taşıması veya kimlik, vergi, sigorta numarası gibi herhangi bir kayıtla ilişkilendirilmesi sonucunda kişinin belirlenmesini sağlayan tüm halleri kapsar. İsim, telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, IP adresi, pasaport numarası, özgeçmişi, görüntü ve ses kayıtları, parmak izleri ve genetik bilgileri kişiyi belirlenebilir kılma özellikleri sayesinde kişisel veri olarak değerlendirilirler.
İlgili kişi, kişisel verisi işlenen gerçek kişidir. Daha net bir ifade ile korunması gereken kişisel veri sahibi kişidir. İlgili kişinin kişisel verileri ile alakalı veri sorumlusuna başvurabileceği haller 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nda sayılmıştır. Buna göre ilgili kişi;
- Kişisel verilerin işlenip işlenmediğini öğrenme,
- Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
- Kişisel verilerinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
- Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
- Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
- Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde, kişisel verilerin silinmesini veya yok edilmesini isteme,
- Kişisel verilerin düzeltilmesi, silinmesi veya yok edilmesine ilişkin işlemlerin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
- Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme hakkına sahiptir.
Veri sorumlusu; kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. Tüzel kişiler, kişisel verileri işleme konusunda gerçekleştirmiş olduğu faaliyetler kapsamında bizzat kendileri “veri sorumlusu” olup, ilgili düzenlemelerde belirtilen hukuki sorumluluk tüzel kişinin şahsında doğacaktır. Bu konuda kamu hukuku tüzel kişileri bakımından bir farklılık gözetilmemektedir.
Kişisel verilerin işlenmesi; verilerin ilk elde edildiği andan itibaren üzerinde gerçekleştirilen tüm işlemleri ifade etmektedir. Kişisel verilerin işlenmesinde sayılan bazı temel ilkeler bulunmaktadır;
- Hukuka ve dürüstlük kurallarına uygun olma,
- Doğru ve gerektiğinde güncel olma,
- Belirli, açık ve meşru amaçlar için işlenme,
- İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
- İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme
Kişisel veri işlemeleri, sayılan bu ilkelere uygun gerçekleştirilmelidir.
Kişisel verilerin korunması kapsamında, kişisel veriler işlenirken ilgili kişinin açık rızası alınmış olmalıdır. Açık rıza, verilerin kanunda belirtilen ilkelere uygun şekilde işlenmesine meşruluk katar. Açık rıza, ilgili kişinin kendisiyle ilgili veri işlenmesine, özgürce, konuyla ilgili yeterli bilgi sahibi olarak, tereddüde yer bırakmayacak açıklıkta ve sadece o işlemle sınırlı olarak verdiği onay beyanı şeklinde anlaşılabilir.
İlgili kişiler, kendileriyle ilgili kişisel verilerin işlenip işlenmediğini öğrenme, eğer işlenmiş ise bunları talep etme, verinin içeriğine dair bir yanlışlık olması halinde düzeltilmesini isteme, hukuka aykırı olması halinde silinmesini isteme hakları vardır. İlgili kişi, yanlış ya da eksik haliyle verilerin üçüncü kişilere aktarılmış olması durumunda bunun düzeltilmesini, kanuna aykırı şekilde verilerin işlenmiş olmasından kaynaklanacak zararların giderilmesini veri sorumlusuna başvurarak talep edebilir.
Kişisel verilerin korunması kapsamında ilgili kişi talebini öncelikle veri sorumlusuna iletmelidir. Yani kademeli bir başvuru sürecinde, ilgili kişilerin sahip oldukları hakları kullanabilmeleri için öncelikle veri sorumlusuna başvurmaları gerekmektedir. Başvuru yolu tüketilmeden Kişisel Verileri Koruma Kurulu’na şikayet yoluna gidilmesi mümkün değildir. Veri sorumlusuna karşı yapılacak başvurunun yazılı olması gerekmektedir. Veri sorumlusuna doğrudan başvurma zorunluluğu konunun Kurul’a iletilmesinden önce yerine getirilmesi gereken aşamadır. Veri sorumlusuna yapılacak olan başvurunun şekil şartları kanunda yer almaktadır.
İlgili kişinin şikayet hakkına başvurabilmesi için öncelikle veri sorumlusuna yapılmış olan başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya 30 gün içinde başvuruya cevap verilmemiş olması koşulları gerçekleşmelidir. Bu durumda şikayetin, cevabın öğrenildiği tarihten itibaren 30 gün ve her halde başvuru tarihinden itibaren 60 gün içinde yapılması gerekmektedir. Kişilik haklarının ihlalinden kaynaklanan tazminat hakkı saklıdır.
Kişisel Verilerin Korunması Kanunu’nun beşinci bölümünde suçlar ve kabahatler işlenmiştir. 17. maddede kişisel verilere ilişkin suçlar bakımından Türk Ceza Kanunu’nun 135 ila 140. Madde hükümlerinin uygulanacağı düzenlenmiş olup kişisel verilerin hukuka aykırı olarak kaydedilmesi, başkasına verilmesi, ele geçirilmesi ve yok edilmemesi ceza hukuku açısından da suç olarak nitelendirilmiştir.
Kişisel Verilerin Korunması Kanunu’nun 18. Maddesinde kişisel veriler hakkında oluşması muhtemel kabahatler düzenlenmiştir. İlgili maddeye göre aydınlatma yükümlülüğünün ihlali, veri güvenliğine ilişkin yükümlülüklerin ihlali, Kurul tarafından verilen kararları yerine getirmeme, Veri Sorumluları Sicili’ne kayıt ve bildirim yükümlülüğüne aykırı hareket etme eylemleri kabahat olarak tanımlanmıştır. Bu eylemler nedeniyle veri sorumlusu gerçek kişiler ile özel hukuk tüzel kişileri hakkında idari para cezası uygulanır.