Kişisel verilerin korunmasının amacı kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumaktır. Bu kapsamda kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esaslar söz konusudur.
Kişisel veriler, ancak ilgili Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir ve kişisel verilerin işlenmesinde uyulması gereken ilkeler vardır. Bunlardan bazıları hukuka ve dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel olma ve belirli, açık ve meşru amaçlar için işlenme ilkeleridir.
Kişisel verilerin işlenmesiyle ilgili en önemli husus, kanunda yazılı istisnalar dışında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenememesidir. Bir diğer husus ise özel nitelikli kişisel verilerdir. Kanunun 6. maddesi 1. fıkrası özel nitelikli kişisel verileri tanımlamıştır. Kanunda bunlar kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri olarak sayılmıştır. Yine özel nitelikli kişisel verilerin de, kanunda yazılı istisnalar dışında, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.
İlgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir. Kanunun 3. maddesi ı bendine göre veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder.
Kişisel Verilerin Korunması Kanunu madde 11’e göre kişilerin veri sorumlusuna başvurarak kişisel verileriyle ilgili talep etme hakkına sahip olduğu bilgiler söz konusudur. Bunlar kişisel verilerinin işlenip işlenmediğini öğrenme, buna ilişkin bilgi talep etme, kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme, kişisel verilerin silinmesini veya yok edilmesini isteme, kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme ve kanunda yazan diğer haklarını talep etme haklarıdır.
İlgili kişi, kanunun uygulanmasıyla ilgili taleplerini yazılı olarak veya Kurulun belirleyeceği diğer yöntemlerle veri sorumlusuna iletir. Kurul, Kişisel Verileri Koruma Kurulunu ifade eder. Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; ilgili kişi, veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve her hâlde başvuru tarihinden itibaren altmış gün içinde Kurula şikâyette bulunabilir. Kişilik hakları ihlal edilenlerin, genel hükümlere göre tazminat hakkı saklıdır.
Kişisel verilere ilişkin suçlar bakımından 5237 sayılı Türk Ceza Kanunu’nun 135 ila 140 ıncı madde hükümleri uygulanır. Kişisel verilerin Korunması Kanununun 7 nci maddesi hükmüne aykırı olarak; kişisel verileri silmeyen veya anonim hâle getirmeyenler 5237 sayılı Türk Ceza Kanunu’nun 138 inci maddesine göre bir yıldan iki yıla kadar hapis cezasına çarptırılır. Ayrıca ilgili kanuna göre idari para cezası da söz konusudur.
Kişisel Verileri Koruma Kanunu’nun 18. maddesi Kabahatler başlığı altında, Kurul tarafından verilecek idari para cezaları düzenlenmiştir. Bu maddeye göre verilen yükümlülükleri yerine getirmeyen gerçek kişi ile özel hukuk tüzel kişi veri sorumlularına miktarı kanunun ilgili maddesinde düzenlenmiş idari para cezaları Kurul tarafından verilecektir.
Aydınlatma yükümlülüğünü yerine getirmeyenlere, veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenlere, Kurul tarafından verilen kararları yerine getirmeyenlere ve Veri Sorumlular Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenlere bu maddede belirtilen tutarlarda idari para cezası verilecektir.
Eylemlerin kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları bünyesinde işlenmesi hâlinde ise, farklı hükümlerine göre işlem yapılacağı ve sonucun Kurul’a bildirileceği kanunda düzenlenmiştir.
Kanunla verilen görevleri yerine getirmek üzere, idari ve mali özerkliğe sahip ve kamu tüzel kişiliğini haiz Kişisel Verileri Koruma Kurumu kurulmuştur. Kurum, Kurul ve Başkanlıktan oluşur. Kurumun karar organı Kurul’dur.
Bu noktada kişisel verilerin korunması ile ilgili önemli bazı yönetmelik ve kurul kararlarına da geğinmek gerekir. 28.10.2017 Tarih 30224 Sayılı Resmî Gazete’de yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmeliğ’in amacı, tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin usul ve esasları belirlemektir.
Veri sorumluları tarafından kişilerin telefon numarası, e-posta adresi gibi iletişim kanallarına kanuna aykırı şekilde gönderilen üçüncü kişilere ait kişisel veriler hakkında Kişisel Verileri Koruma Kurulu’nun 22/12/2020 Tarihli Ve 2020/966 syılı İlke Kararı ve hukuka aykırı olarak elde edilen veriler üzerinden vatandaşların kimlik ve iletişim bilgileri gibi kişisel verilerinin sorgulanmasına imkân tanıyan yazılım/program/uygulamalara yönelik Kişisel Verileri Koruma Kurulu’nun 18/10/2019 tarihli ve 2019/308 sayılı İlke Kararı kişisel verilerin korunması anlamında önem arz eden kararlardır.
Kişisel verilerin korunması ile ilgili Yargıtay kararları da mevcuttur. Yargıtay 19. Ceza Dairesi 2019/31517 E., 2019/14002 K. sayılı kararında unutulma hakkına ve kişisel verilerin depolanması veya tutulması konularına değinmiştir. Yargıtay’a göre unutulma hakkının hakkın temelinde bireyin kişisel verileri üzerinde serbestçe tasarruf edebilmesi, geçmişin engeline takılmaksızın geleceğe yönelik plan yapabilmesi ve kişisel verilerin kişi aleyhine kullanılmasının engellenmesini sağlamak yatmaktadır.
Özetle kanun, kişisel verilerin korunmasıyla ilgili yasal çerçeveyi, sorumlulukları ve aynı zamanda yükümlülükleri de belirleyerek verilerin kim tarafından, hangi amaçlarla toplanacağını, nasıl kullanılacağını ve nasıl imha edileceğine ilişkin düzenlemeler getirmiş ve başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumayı amaçlamıştır