Kişisel verilerin korunması, kişisel verilerin işlenmesinin disiplin altına alınması ile temel hak ve özgürlüklerin korunmasıdır. Kişisel verilerin korunması, temelde verilerin değil, bu kişisel verilerin ilişkili olduğu kişilerin korunmasını amaçlamaktadır. Başka bir ifade ile verilerin korunması; kişileri, onlar hakkındaki verilerin tamamen veya kısmen otomatik olan ya da otomatik olmayan yollarla işlenmesinden doğacak zararlardan koruma amacına yönelmiş ve kişisel verilerin korunmasına ilişkin ilkelerde somutlaşmış idari, teknik ve hukuki önlemleri ifade eder. Bu anlamda kişisel verilerin korunmasının, kişilere ilişkin verilerin toplanması, saklanması, kullanılması ve aktarılması gibi veri işleme süreçlerinin bütün aşamalarını kapsar şekilde bireylere kontrol hakkını yeniden kazandırmayı amaçladığı söylenebilir. Bu amaç kapsamında kişisel verilerin korunması, kişinin verilerinin geleceğini bizzat kendisinin belirleme hakkını ifade eder. Aynı zamanda bu koruma insan onurunun ve kişilik hakkının da bir gereğidir.

Kişisel verilerin korunması hakkı ülkemizde 2010 yılında anayasal teminata bağlanmıştır. Bu tarihe kadarki dönemde ise kişisel veriler daha çok genel hukuki düzenlemelerde yer alan hükümler ile korunmaktaydı. Türk Medeni Kanunu ve Türk Ceza Kanununda kişilik hakkı ile kişisel verilerin korunmasına yönelik hükümler ve yaptırımlar bu düzenlemelere örnek gösterilebilir. 2010 yılında ise, Anayasanın 20. maddesine eklenen “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir…” hükmü ile kişisel verilerin korunması ilk kez anayasal bir hak statüsüne kavuşmuştur. Aynı zamanda Anayasanın 20. maddesinin 3. fıkrasında bu hakkın korunmasına ilişkin usul ve esasların belirlenmesi çıkarılacak bir kanuna bırakılmıştır. Bu kapsamda 24 Mart 2016 tarihinde kabul edilen 6698 sayılı Kişisel Verilerin Korunması Kanunu, 7 Nisan 2016 tarihli ve 29677 sayılı Resmi Gazetede yayımlanarak yürürlüğe girmiştir.

Uluslararası belgeler, mukayeseli hukuk uygulamaları ve ülkemiz ihtiyaçları göz önüne alınmak suretiyle hazırlanan Kanun ile kişisel verilerin çağdaş standartlarda işlenmesi ve koruma altına alınması amaçlanmaktadır. Bu kapsamda Kanunun amacı, kişisel verilerin işlenme şartlarını, kişisel verilerin işlenmesinde kişilerin temel hak ve özgürlüklerinin korunmasını ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir. Kanunun gerekçesinde, kişinin mahremiyet hakkının korunması ile veri güvenliğinin sağlanması da bu kapsamda değerlendirilmektedir. Ayrıca, kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasların da düzenlenmesi Kanunun amaçları arasında yer almaktadır.

Kanun, herhangi bir veri kayıt sisteminin parçası olmaksızın veri işleyenler hakkında uygulanmamaktadır. • Kanunda “kişisel verileri işlenen gerçek kişiler” ifadesi kullanıldığından, kişisel verileri işlenen tüzel kişiler de bu Kanunun kapsamı dışında tutulmuştur. • Kanunun 28. maddesinde tamamen veya kısmen kapsam dışı olan haller hükme bağlanmıştır. Bu maddenin 1. fıkrasında tam istisnalar, 2. fıkrasında ise kısmi istisnalar düzenlenmiştir. Tam istisna hallerinde Kanun hiçbir şekilde uygulanamayacak, kısmi istisna hallerinde ise, Kanunun sadece bazı maddeleri uygulanamayacaktır.

Kanunun 5. maddesi uyarınca açık rıza, Kanundaki kişisel veri işleme şartlarından biri olmakla birlikte veri işleme faaliyetine hukukilik kazandıran tek unsur değildir. Kanunda veri işleme faaliyeti için açık rıza dışında da şartlar öngörülmüştür. Buna göre, aşağıdaki şartlardan birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür:

a) Kanunlarda açıkça öngörülmesi,

b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,

c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,

ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,

d) İlgili kişinin kendisi tarafından alenileştirilmiş olması,

e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,

f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

Kişisel verilerin işlenmesinde her zaman Kanunda ortaya konulan genel ilkelere uygun davranılmalıdır. Kişisel verilerin işlenmesinde genel ilkeler şunlardır:

1) Hukuka ve dürüstlük kurallarına uygun olma

2) Doğru ve gerektiğinde güncel olma

3) Belirli, açık ve meşru amaçlar için işlenme

4) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,

5) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.

Kişisel verilerin işlenmesine ilişkin ilkeler, tüm kişisel veri işleme faaliyetlerinin özünde bulunmalı ve tüm kişisel veri işleme faaliyetleri bu ilkelere uygun olarak gerçekleştirilmelidir.

6698 sayılı Kişisel Verileri Koruma Kanunu Madde 8 (Kişisel verilerin aktarılması) ikinici fıkrasında aşağıdaki ifadeyi kullanmaktadır:

Kişisel veriler;

• 5 inci maddenin ikinci fıkrasında,
• Yeterli önlemler alınmak kaydıyla, 6 ncı maddenin üçüncü fıkrasında,

belirtilen şartlardan birinin bulunması hâlinde, ilgili kişinin açık rızası aranmaksızın aktarılabilir.

Çevrimiçi sınav ortamında işlenen kişisel veriler aşağıda sıralanmıştır.

• Görüntü
• Ses
• Kullanıcı Kodu
• Erişim sağlanılan cihaz ile ilgili bilgiler (IP, tarayıcı, işletim sistemi, vb)

YÖK tarafından yayınlanan “KÜRESEL SALGINDA YENİ NORMALLEŞME SÜRECİ” rehberinin "III. Ölçme ve Değerlendirme Uygulamaları" bölümünde 7. ve 12. maddelerinde sınav güvenliği ile ilgili maddeler bulunmaktadır. Bu belge referans alınarak Kayseri Üniversitesinde yapılan sınavlarda öğrencilerden kameralarını açması istenebilir.

Sağlık Raporları özlük bilgisi olarak kabul edilmektedir. 657 sayılı Devlet Memurları Kanunu ve 2 Seri No'lu Personel Genel Tebliği gereğince sağlık raporları Personel Özlük Dosyasında muhafaza edilir. Devlet Arşiv Hizmetleri Hakkında Yönetmeliğin Tarifler Kısmının b bendinde Memuriyet sicil dosyalarının 101 yıl saklanması gerektiği belirtilmiştir. Bu nedenle sağlık raporları PDB (Personel Daire Başkanlığı) tarafından 101 sene saklanmalıdır.

PDB Özlük (Akademik-İdari) birimleri tarafından sağlık raporlarının hangi tarih aralığını kapsadığına ilişkin bilgi elektronik ortamda tutulmakta olup, teşhise ilişkin bilgi elektronik ortamda tutulmamaktadır. Teşhis ancak uzun süreli rapor gerektiren kanser vb. hastalıklarda önem arz etmektedir.

Kişiye ait özlük verileri KVKK kapsamına girmektedir. Bu nedenle 6698 Sayılı Kişisel Verileri Koruma Kanununun 12. Maddesi 1. fıkrasında yer alan (Veri güvenliğine ilişkin yükümlülükler) ilgili veriler için de geçerlidir:

Veri sorumlusu;

• Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
• Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
• Kişisel verilerin muhafazasını sağlamak,

amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.