Günümüzde teknolojideki hızlı gelişmeler sonucunda veri, çağın yeni değeri haline gelmiş ve gerek büyük ölçekte ülkelerin gerekse de iş hayatındaki pek çok kurumun yıllardır süregelen politikalarında birtakım değişikliklere gitmelerini zorunlu hale getirmiştir.

Kolaylaşan veri akışı ile beraber gittikçe ticarileşen internet ise veri koruma hususunda ulusal ve uluslararası düzenlemeler yapılmasını mecburi kılmıştır. Bu bağlamda 7 Nisan 2016’da ülkemizde 6698 Sayılı Kişisel Verilerin Korunması Kanunu ve 25 Mayıs 2018’de de Avrupa Veri Koruma Tüzüğü (General Data Protection Regulation) yürürlüğe girmiştir. Söz konusu Tüzük ve Kanunun temelleri yıllar öncesine dayanmasına karşın yaptırım gücü olan düzenlemelere dönüşmeleri ancak son 2 yıl içerisinde mümkün olmuştur. Bu durumun temel nedeni, başlangıçta da açıklanmış olduğu üzere gerek internet gerekse gelişmeye hızla devam eden akıllı nesneler vasıtasıyla verilerin son yıllarda artan kullanımı sonucunda kişilerin mahremiyetinin korunması ihtiyacıdır.

Kişisel veri kavramı, hayatın çok içinde ve herkesin temas halinde olduğu bir konu olmakla birlikte özellikle işleri gereği kişisel verilere sürekli erişim sağlayan şirketler açısından önemli bir sorumluluk getirmiştir. Kanunun öngördüğü yükümlülüklerden birkaçını; veri envanterinin oluşturulması, veri güvenliğinin sağlanması için teknik ve idari tedbirlerin alınması ve veri kayıt sistemine (VERBİS) doğru ve güncel bilgiler ile kayıt olunması oluşturmaktadır.

Kişisel Verilerin Korunması mevzuatımız, AB sınırları içerisinde 1998 yılından bu yana yürürlükte bulunan 95/46/AT sayılı “Kişisel Verilerin İşlenmesi ve Serbest Dolaşımı Bakımından Bireylerin Korunmasına İlişkin Direktif ”den esinlenilerek hazırlanmış olsa da 2018’de yürürlüğe giren GDPR bu iki düzenlemeden de ayrışan birtakım hususlar barındırmaktadır. Bunlardan ilki ve belki de en önemlisi veri ihlalleri karşısında öngörülen müeyyide miktarlarının büyüklüğüdür. KVKK ’ya aykırılık halinde idari yaptırımın üst sınırı 1 Milyon TL ve cezai yaptırım ise 1-4 yıl arasında öngörülmekte iken GDPR’da üst sınır 20 Milyon Euro veya bir önceki mali yıl küresel cirosunun %4’ü olabilmektedir. Bununla beraber GDPR, KVKK ’da yer verilmeyen Veri Koruma Görevlisi (Data Protection Officer) ve Veri Koruma Etki Değerlendirmesi (Data Protection Impact Assessment) kavramlarına da yer vererek sistematik olarak büyük ölçekli veri işlemekte olan tüzel kişilerin bu hususları da uygulamalarına almalarını öngörmüştür.

Kişisel Verilerin Korunması Hukuku bağlamında son yıllarda oluşan bu hassasiyet neticesinde gerek dünyada gerekse de Türkiye’de pek çok yaptırıma şahitlik edilmektedir. Hızla sayıları artmakta olan idari para cezalarının miktarları ihlalin etkilediği kişi sayısı ve ihlal şekline göre değişiklik gösterebilmektedir. İngiltere Veri Koruma Komisyonu (ICO) tarafından hukuka aykırı veri işleme ve gerekli idari ve teknik tedbirlerin alınmamış olması nedeniyle Facebook’a verilen 500.000 Sterlin değerindeki ceza ile başlayan yaptırım süreci yakın tarihte Google’a verilen 50 Milyon Euro değerindeki ceza ile sürmektedir. Söz konusu yaptırım, ilgili kişilere şeffaf ve yeterli bir aydınlatma yapılmadığı gerekçesiyle Fransız Veri Koruma Otoritesi (CNIL) tarafından verilmiştir. Ülkemizde de KVK Kurumunun özellikle 6698 Sayılı Kanun ile GDPR uygulamasının birbirine yaklaşabilmesi açısından veri işlemede takip edilecek genel ilkeler konusu kapsamında ciddi bir hassasiyet gösterdiği ve bu pek çok cezayı bu ilkeler bağlamında verdiği görülmektedir. Buna ilaveten kurumun şimdiye kadar uygulamış olduğu yaptırımlardan bir diğeri ve şirketler için belki de bir maddi yaptırımdan çok daha etkili olacak uygulaması ise kurumun resmî web sitesinde kamuya yönelik veri ihlali bildiriminin yapılmasıdır. Buradan hareketle, kişisel verilerin korunmasının hem veri işleyen gerçek kişiler hem de kamu/özel tüzel kişilikleri için ivedilikle aksiyon alınması gereken bir konu haline geldiği aşikardır.

Tüm dünyada ortaklaşa kabul edilen, Veri Koruma Günü ise 28 Ocak 1981’de kişisel verilerin korunmasını öngören 108. Konvansiyonun Avrupa Konseyi üyesi 46 ülke tarafından imzalanmasıyla ilan edilmiştir. Türkiye’nin de 28 Ocak 1981’de Strazburg’da imzaladığı bu sözleşme ancak üzerinden 35 yıl geçmesi ile bir Kanun kapsamında düzenlenerek mevzuatımızda yerini alabilmiştir. Uzun yıllar önce imzalanmış bir uluslararası sözleşmenin Türk Hukukuna dâhil olabilmesi için bu denli fazla zamanın geçirilmiş olması, veri koruma hususunun bir Kanun ya da Tüzükten ibaret olmayıp Türk Kültürü içine yerleştirilmesi gereken bir olgu olduğunu ve bu farkındalığın yerleşmesinin biraz zaman alacağını göstermektedir.

Yazı: Fırat Barış Kavlak, Kavlak Avukatlık Bürosu Ortak Avukatı

Makalelerdeki görüş ve yorumlar yazar veya yazarlara ait olup , Etik ve İtibar Derneği’nin konu ile ilgili düşüncelerini yansıtmamaktadır.