Kişisel veri, belirli veya kimliği belirlenebilir olma koşuluyla bir kişiye ait tüm bilgilere karşılık gelir.[1] Özel yaşam ve kişilik hakları ile doğrudan ilintili olan kişisel veri kavramı adına çeşitli düzenlemeler yapma gereksinimi, gelişen uygulayımbilim olanakları doğrultusunda yetkelerce zorunlu görülmüştür.
Avrupa Birliği’nin hazırlamış olduğu GDPR tüzüğü doğrultusunda hazırlanan 6698 Sayılı Kişisel Verilerin Korunması Kanunu otuz üç maddeden oluşmaktadır.
Kanunda, veri sorumluları için ilgili kişilerin açık rızasının alınması, veri siciline kayıt yükümlülüğü, Kişisel Verileri Koruma Kurulunca verilen kararları yerine getirme yükümlülüğü gibi yükümlülükler öngörülmüştür.
Açık rızanın alınması, belli koşullarda zorunlu iken belli koşullarda gerekmemektedir. Bazı durumlarda ise alınan açık rıza, geçerli bir açık rıza niteliği taşımamaktadır.
Tüm veri sorumluları, kişisel verileri koruma ve uygun ölçüde saklama yükümlülüğü altındadır. Bir başka deyişle tüm veri sorumluları kanun kapsamındadır. Ancak veri sorumlularının VERBİS’e kayıt yükümlülüğü adına kanun koyucu birtakım istisnalar öngörmüştür. İstisnalar dışında kalan veri sorumlusu ortaklıkların ya da gerçek kişilerin VERBİS adlı veri siciline kaydı zorunludur.
Veri sorumlularının, VERBİS’e kayıtlı olsun ya da olmasın aydınlatma yükümlülüğü bulunmaktadır. Aydınlatma yükümlülüğün yerine getirilmesi eyleminde ispat yükü, veri sorumlusundadır.
6698 sayılı kanun kapsamında veri sorumluları, ilgili kişilere karşı olan yükümlülüklerini yerine getirmez ise yine ilgili kanun kapsamında Kişisel Verileri Koruma Kurulunca kararlaştırılacak olan yüksek idari para cezalarını ödeyebilmektedir. Bu ve anlatılan diğer nedenlerden ötürü konunun uzmanı bir avukattan süreç içerisinde yardım almak neredeyse bir zorunluluktur.
[1] ÖZTÜRK Bahri, ÇALIŞKAN ALTINOK Elif, SEYHAN Serkan, Kişisel Verilerin Korunması Hukuku, Seçkin Yayınları, Ankara, 2021 s. 15