12.03.2024 tarihli ve 32487 sayılı Resmî Gazete'de yayımlanan 7499 sayılı Ceza Muhakemesi Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun'un 34'üncü maddesi ile 6698 sayılı Kişisel Verilerin Korunması Kanunu'nda ("KVKK") kişisel verilerin yurt dışına aktarılmasına ilişkin birtakım değişiklikler yapılmış ve 10.07.2024 tarih ve 32598 sayılı Resmî Gazete'de Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik ("Yönetmelik") yayımlanarak yürürlüğe girmişti.

I- Giriş

Bilindiği üzere 02.03.2024 tarihinde TBMM'de kabul edilen 8. Yargı Paketi ile 12.03.2024 tarihli 32487 sayılı Resmî Gazete'de yayımlanan 7499 sayılı Ceza Muhakemesi Kanunu ile Bazı Kanunlarda Değişiklik Yapılması Hakkında Kanun kapsamında 6698 sayılı Kişisel Verilerin Korunması Kanunu'nda birtakım değişiklikler yapılmıştır.

1. Giriş

Kişisel verilerin korunması hukukunun birçok hukuk dalının kesişim noktası olduğu aşikârdır. Kişisel verilere yönelik her türlü müdahale, kural olarak hukuka aykırılık teşkil eder. Anayasamız gereğince kişisel verilerin işlenebilmesindeki istisnaların başında kişinin açık rızası gelmektedir. 6698 sayılı Kişisel Verilerin Korunması Kanunu'nda, ilgili kişinin şahsi özellikleri dikkate alınmaksızın, açık rızaya ilişkin olarak çerçeve hüküm getirilmiştir. İlgili kişinin tüketici olması durumunda, tüketici hukukuna ilişkin genel prensipler ve yasalarla getirilen koruyucu hükümler doğrudan uygulanacaktır. Tüketicinin kişisel verisinin işlendiği durumlarda, veri sorumlusu ile tüketici arasındaki "güç dengesizliği" dikkate alınmalı ve buna göre bir yaklaşım benimsenmelidir. Bu makalemizde veri sorumlularınca tüketicilerden alınan açık rızalara ve açık rızanın geçerlilik şartlarına değineceğiz.

I. Kişisel Verileri Koruma Yükümlülüğü

Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiye verilen isimdir. Bu bilgiler; kişinin kişisel değerleri, malvarlıksal değerleri ya da içinde bulunduğu fiziksel ve sosyal çevre ile ilgili olabilir. Kişisel veriler, çoğu zaman sır niteliği taşımamakla birlikte gerçek kişiler, sosyal birer varlık oldukları için ilişki hâlinde bulundukları diğer gerçek ve hatta tüzel kişilere pek çok verilerini bizzat açıklamaktadırlar.

6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”), “Amaç” başlıklı 1. maddesinde amacını “Bu Kanunun amacı, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir.” ifadesiyle hüküm altına almıştır. Bu hüküm doğrultusunda kişisel verilerin nasıl işleneceği düzenlenmektedir. Kişisel veriler ise Kanun’un 3. maddesinin d bendinde “Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” olarak tanımlanmıştır. Kişisel veriler özel ve genel nitelikli olarak ayrılmaktadır. Kanun’un “Özel nitelikli kişisel verilerin işlenme şartları” başlıklı 6. maddesinde özel nitelikli kişisel veriler “Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.” ifadeleri ile tanımlanmaktadır.

Seçimler, siyasal hakların kullanılması, vatandaşların yönetime doğrudan ve/veya dolaylı olarak katılımı açısından sağlıklı ve iyi işleyen demokrasilerin önemli unsurlarından birisidir.

Günümüzde, demokratik süreçlerin sağlıklı işlemesi ve halkın katılımı için seçimler büyük önem taşımaktadır. Bununla beraber faaliyetler süresince kişisel verilerin korunması konusunda dikkatli olmak ve gerekli önlemleri almak büyük oranda önem arz etmektedir. Kişisel verilerin korunması, demokratik süreçlerin temel bir unsuru olarak değerlendirilmelidir.

Günden güne gelişen teknoloji insanların günlük yaşamını farklı bir boyuta taşımıştır. Daha önce var olmayan kolaylıklar ortaya çıkmıştır. İnsanlar pek çok işlerini çevrim içi yollarla yürütmeye başlamıştır. Özel sektör ve hatta kamu kurumları pek çok işlemi bu şekilde yürütmektedir. Bu sebeple hemen hemen herkesin birden çok internet sitesinde, veri tabanlarında kayıtlı bilgileri bulunmaktadır. T.C. kimlik numaraları, ev adresleri, kişinin boyu gibi pek çok bilgi sistemlerde yer almakta ve saklanmaktadır. Yani veriler elde edilmekte, saklanmakta, daha doğru bir ifade ile işlenmektedir. Birçok işini internet aracılığıyla devam ettiren insanoğlu bu kolaylık karşısında elbette daha önce karşı karşıya olmadığı bazı tehlikelerle de tanışmıştır. Bunlardan biri kişisel veri ihlalleridir.

Kişisel Veri, kimliği belirli ya da belirlenebilir gerçek kişiye ilişkin her türlü bilgidir. Kişisel Verilerin Korunması Kanunu (KVKK) kişisel veriyi bu şekilde tanımlamıştır. 2016 yılında yürürlüğe girmiş ve genç olduğu söylenebilecek bir kanun olan KVKK, bu hususta pek çok düzenleme yapmaktadır. Kişisel veriler, kişisel verilerin işlenmesi gibi konular bu kanunda hüküm altına alınmaktadır. KVKK'nın amacı ise "kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir." olarak birinci maddesinde belirtilmiştir. Bu amaç doğrultusunda yapılan düzenlemelerle KVKK kişisel verilerin işlenmesini de gruplandırarak incelemiştir. Kişisel verilerin işlenme şartları 5. Maddesinde incelenirken "özel nitelikli kişisel verilerin işlenme şartları" ise 6. Maddede yer almıştır. Bu maddede biyometrik veriler de anılmaktadır. Bu sebeple biyometrik verilerin özel nitelikli kişisel veriler olduğu söylenmelidir.

Kişisel Verilerin Korunması Kanunu ("KVKK"), 2016'da kabul edilmiş ve Resmî Gazete'de yayımlanmış genç olduğu söylenebilecek bir kanundur. Kişisel veri kavramı Kanun'da "Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi" şeklinde açıkça tanımlanmıştır. Teknolojinin her gün geliştiği günümüz dünyasında kişisel veriler ve kişisel verilerin korunması gün geçtikçe daha çok önem kazanmaktadır. Sosyal medya platformları, kurumsal hayatta kullanılan sistemler ve dijital iletişim geliştikçe kişiler kişisel verileri açısından korunması zor bir konuma yerleşmektedir. Kişisel Verilerin Korunması Kanunu bu noktada esas amacını ortaya koymaktadır.