Kişisel Verilerin Korunması

Kişisel verilerin korunması, dijitalleşen dünyada bireyin temel hak ve özgürlüklerini, özellikle de özel hayatın gizliliğini korumayı amaçlayan hukuki ve teknik bir disiplindir. Veri, günümüz ekonomisinde “yeni petrol” olarak adlandırılsa da, bu verinin sahibi olan bireyin kontrolü dışında işlenmesi, büyük hak ihlallerine ve güvenlik açıklarına yol açabilir.

1. KVKK ve Temel İlkeler

Türkiye’de 2016 yılında yürürlüğe giren 6695 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), Avrupa Birliği’nin GDPR (General Data Protection Regulation) düzenlemesiyle uyumlu olarak hazırlanmıştır. Bu kanun, veriyi işleyen kurumların uyması gereken temel ilkeleri belirler:

• Hukuka ve Dürüstlük Kurallarına Uygunluk: Veriler gizli saklı değil, şeffaf bir şekilde toplanmalıdır.
• Amaçla Sınırlılık: Veri hangi amaçla toplandıysa (örneğin; kargo teslimatı) sadece o amaç için kullanılmalıdır.
• Veri Minimizasyonu: Bir işlem için gereğinden fazla veri talep edilmemelidir.
• Güncellik ve Doğruluk: Veriyi işleyen kişi, verilerin doğru tutulmasından sorumludur.
• Saklama Süresi: Amaç gerçekleştiğinde veya yasal süre dolduğunda veriler silinmeli, yok edilmeli veya anonim hale getirilmelidir.

2. İlgili Kişinin (Veri Sahibinin) Hakları

Kanun, verisi işlenen bireye (ilgili kişi) verileri üzerinde geniş bir denetim yetkisi tanır. Her birey, bir kuruma başvurarak şu soruları sorma hakkına sahiptir:

1. Benim verimi işliyor musunuz?
2. Hangi verilerimi, hangi amaçla işliyorsunuz?
3. Verilerimi yurt içine veya yurt dışına aktarıyor musunuz?
4. Eksik veya yanlış olan verilerimin düzeltilmesini istiyorum.
5. Verilerimin silinmesini veya yok edilmesini istiyorum (Unutulma Hakkı).
6. Verilerimin kanuna aykırı işlenmesi sebebiyle zarara uğradıysam, bu zararın giderilmesini talep ediyorum.

3. Veri Güvenliği: Teknik ve İdari Tedbirler

Kişisel verilerin korunması sadece hukuki bir metin imzalatmak değil, aynı zamanda o veriyi dijital saldırılardan korumaktır. Kurumlar şu tedbirleri almakla yükümlüdür:

• Siber Güvenlik (Teknik): Güvenlik duvarları (firewall), sızma testleri, verilerin şifrelenerek saklanması (encryption) ve erişim loglarının tutulması.
• Yetki Yönetimi (İdari): Bir şirkette her personelin her veriye ulaşamaması gerekir. Sadece işi gereği görmesi gereken kişiler veriye erişebilmelidir.
• Veri İhlali Bildirimi: Eğer bir veri sızıntısı olursa, kurum bunu 72 saat içinde hem Kişisel Verileri Koruma Kurumu’na hem de verisi sızan kişilere bildirmek zorundadır.