Kişisel veri

[bullvar_katip]

Kişisel veri, kimliği belirli ya da belirlenebilir bir kişiyle ilgili herhangi bir bilgidir. Türkiye'de Kişisel Verilerin Korunması Türkiye'de Kişisel Verilerin Korunmasının hukuki geçmişi 2010 Anayasa değişikliğine uzanmaktadır. Anayasa'nın 20.maddesine eklenen fıkra ile "Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir." düzenlemesi getirilmiştir. Ardından 2016 yılında 6698 sayılı Kişisel Verilerin Korunması Kanunu kabul edilmiş, aynı yıl Avrupa Konseyi tarafından hazırlanan ve Türkiye tarafından 1981 tarihinde imzalanan ancak yürürlüğe girmeyen Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi-108 sayılı Sözleşme, Sözleşmenin onaylanmasının uygun bulunduğuna dair Kanun'un 18 Şubat 2016 tarih ve 29628 sayılı Resmi Gazete’de, ilgili Bakanlar Kurulu Kararnamesinin ise 17 Mart 2016 tarih ve 29656 sayılı Resmi Gazete'de yayımlanmasıyla yürürlüğe girmiştir. Nisan 2021'de açıklanan Türkiye İnsan Hakları Eylem Planı'nda kişisel verilerin korunmasına ilişkin hedefler de yer almaktadır. Bu hedeflerden en önemlisi Kişisel Verilerin Korunması Kanunu, Avrupa Birliği standartları ile uyumlu hale getirilmesidir. 2016 yılında yürürlüğe giren 6698 sayılı KVKK şu an yürürlükten kalkmış olan AB 95/46/EC Direktifi'ni örnek almaktaydı. AB hukukunda Genel Veri Koruma Tüzüğü'nün (General Data Protection Regulation-GDPR) kabulü ile, bu Direktif yürürlükten kaldırılmış ve kişisel verilerin korunmasının kapsamı genişletilmiştir. KVKK'nın da bu değişikliklere uygun şekilde genişletilmesi amaçlanmaktadır. Yine İnsan Hakları Eylem Planında görülen bir diğer hedef, Kişisel Verileri Koruma Kurumu'nun etkinliğinin artırılmasıdır. Avrupa Birliği'nde Kişisel Verilerin Korunması Tarihçe Avrupa Birliği'nde kişisel verilerin korunması, AİHS'in özel hayatın gizliliğini düzenleyen 8. maddesi kapsamında ele alınsa da; alana ilişkin ilk açık düzenleme Avrupa Konseyi tarafından hazırlanarak 28 Ocak 1981 tarihinde imzaya açılan ve 1 Ekim 1985 tarihinde yürürlüğe giren, Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data 'dır (Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi, bilinen ismiyle "108 nolu Sözleşme") . Ardından 1995 tarihli 95/46/EC sayılı Direktif'in kabulü ile birlikte, konu artan bir ilgiyle ele alınmaya başlanmıştır. 2002 yılında kabul edilen ve elektronik iletişim sektöründe kişisel verilerin işlenmesi ve mahremiyetin korunması ile ilgili kurallar getiren 2002/58/EC sayılı Direktif de halen yürürlüktedir. 2012 yılında başlayan AB kişisel veri koruma alanında yaşanan reform, üç temel mevzuatla sonuçlanmıştır: - 2016 yılında AB Genel Veri Koruma Tüzüğü'nün (General Data Protection Regulation-GDPR) kabulü -2016 yılında 6 Mayıs 2018 tarihinden itibaren geçerli olacak şekilde, "polis ve adalet alanında veri korumasına ilişkin" özel bir Direktif'in (680/2016) kabulü -2018 yılında kişisel verilerin Birlik kurumları, organları, ofisleri ve ajansları tarafından işlenmesine ilişkin Tüzük'ün (2018/1725) kabulü. GDPR kabulüyle birlikte 95/467EC sayılı Direktif yürürlükten kaldırılmıştır. 108 sayılı Sözleşme ve Protokolleri (ör. 108+) ise geçerliliğini devam ettirmektedir. Yapay zekâ teknolojileri, kişisel verilerin korunmasına yeni bir aşama oluşturmaktadır. Yapay zekâ döneminde kişisel verilerin korunması temel sorunlardandır. Kişisel erinin yalnızca toplanma aşamasında düzenlemelere tabi tutulması yeterli değildir. Toplanan verilerden "türetilen çıkarımlar" da kişisel verilerin korunması kapsamında kabul edilir. Bununla birlikte, yapay zeka algoritmaların kara kutu ve şeffaflık sorunları, teknik açıdan önemli problemler arasındadır. İhlal eden failin belirlenmesi güçtür, ihlal delillerinin toparlanması teknik olarak zordur ve yüksek maliyetlidir. Kişisel Verilerin Tanımlanması ve Korunması Konuyla ilgili genel düzenleme olan AB Genel Veri Koruma Tüzüğü'nde (General Data Protection Regulation-GDPR) kişisel veri "kimliği belirli ya da belirlenebilir bir gerçek kişiyle ilgili herhangi bir bilgi" olarak tanımlanmaktadır. Bu tanım Tüzük öncesi yürürlükte bulunan 95/46/EC Direktifiyle paraleldir. Kişisel veriler AB mevzuatında "gerçek kişilere" özgü bir değer olarak değerlendirilmektedir. Tüzel kişilerin kişisel verilerinin olup olmadığı, var ise korumanın ne şekilde gerçekleştirileceği konusu ise tartışmalıdır. Anglo-Amerikan Hukukunda Kişisel Verilerin Korunması Amerikan sisteminde kişisel veriler, "personal data" şeklinde değil, "personal information" ya da "personally identifiable information-PII" olarak adlandırılmaktadır, yaygın kısaltma kullanımı ise PII'dır.. ABD hükûmeti, 2007 yılında bir memorandumda "kişisel olarak tanımlanabilir-PII" terimini kullanmıştır. Ardından ABD Special Publication 800-122 (Ulusal Standartlar ve Teknoloji Enstitüsü Özel Yayını 800-122), PII'yı "bir kurum tarafından tutulan bir kişiye ilişkin herhangi bir bilgi, (1) bir kişinin kimliğini ayırt etmek veya takip etmek için kullanılabilecek ad, sosyal güvenlik numarası, doğum tarihi ve yeri, annenin soyadı veya biyometrik kayıtları ve (2) tıbbi, eğitim, finans ve istihdam bilgileri gibi bir kişiye bağlı veya bağlantılı olan diğer bilgiler. " olarak tanımlamıştır. Kıta Avrupası - Common Law (Anglo-Amerikan) Sistemi Farklılıkları AB hukukunda kişisel verileri bir kişilik değeri olarak görülürken, common law sisteminde kişisel veri ekonomik değeri olan bir mülkiyet unsuru olarak değerlendirilmektedir. Kişisel verilerin mülkiyet unsuru olarak görülmesi, onların bir para birimi olarak kullanılabilmesine bile olanak sağlamaktadır. Kıta Avrupası ile Common Law arasındaki bu yaklaşım farklılığı tanımlardan başlayarak nitelik ve koruma alanı gibi birçok hukuki farklılığa neden olmaktadır. Örneğin, ABD National Institute of Standards and Technology Özel Yayını 800-122 'ya göre IP adresi kişisel veri olarak kabul edilmezken, Avrupa Birliği'nde, IP adresi kişisel veri olarak sınıflandırılabilmektedir. Kişisel güvenlik Bilgi teknolojisi ve İnternet, kişisel veri toplamayı kolaylaştırdı ve özellikle suçlular tarafından bir kişinin kimliğini çalmak veya suç eylemlerinin planlanmasına yardımcı olmak için de kişisel veriler kullanılır hale geldiler. Kişisel veriler, çevrimiçi kimliğin önemli bir bileşeni olarak istismara açık haldedir. İnternet ortamında, veriler değiştirilerek sahte belgeler oluşturulabilir, posta adresleri veya telefon numaraları ele geçirilerek taciz amaçlı kullanılabilir. Diğer bir önemli durum, genellikle banka hesabı ve kredi kartı bilgilerinin çalınmasını ve ardından kullanılmasını durumunu ifade eden Finansal Kimlik Hırsızlığıdır. Kişisel veriler, kimlik dolandırıcılığı olaran adlandırılan sahte hesap açma durumları için de kullanılmaktadır.. Tanık koruma programları, kadın sığınma evleri ve aile içi şiddet mağdurları ve diğer tehditler için de kimlik koruma endişeleri mevcuttur. Kişisel veri ticareti 20. yüzyılın ikinci yarısında, dijital devrim "gizlilik ekonomisini" veya kişisel verilerin ticaretini meydana getirdi. Verilerin değeri zaman içinde ve farklı bağlamlarda değişiiklik gösterebilmektedir. Verilerin ifşa edilmesi bilgi asimetrisini tersine çevirebilir, ancak bunu yapmanın maliyeti belirsiz olabilir. Şirketlerle ilgili olarak, tüketiciler genellikle "verilerinin ne zaman, hangi amaçlarla ve hangi bağlamda toplandığına ilişkin eksik bilgilere" sahiptir. Kaynakça Kategori:Veri güvenliği Kategori:Kişisel hayat Kategori:Mahremiyet Kategori:Kimlikler