KİŞİSEL VERİLERİN KORUNMASI
Dijitalleşme ile kişisel veri, mahremiyet ve kişisel verilerin korunması kavramlarının çağımızın en önemli kavramları haline geldiğini görmekteyiz. Bireylere ilişkin her türlü bilgi; kişi ve kurumlarca saklanmakta, işlenmekte ve aktarılmaktadır. Bu durum kişisel verilerin korunması gerekliliğini daha doğru ifade ile bu verilerin ilişkili olduğu kişileri koruma gerekliliğini doğurmuştur. 2010 yılında Anayasamızda yapılan değişiklikle kişisel verilerin korunması hakkı Anayasamızın 20.maddesinde özel hayatın gizliliği hakkından da ayrılmış, bir temel hak olarak belirtilmiştir. 7 Nisan 2016 Tarihinde ise 6098 sayılı Kişisel Verilerin Korunması Kanunu’nun (KVKK) yürürlüğe girmesi ile birlikte kişisel verilen korunmasına ilişkin denetleme mekanizmaları ve yükümlülükler getirilmiştir. Bu yazımızda KVKK çerçevesinde kişisel veri kavramını, korunmasını ve veri sorumlusuna bu çerçevede getirilen yükümlülükleri açıklayacağız.
KİŞİSEL VERİ NEDİR?
Kişisel veri; kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir. Bu tanımdan hareketle kişinin; isim, adres bilgileri, telefon numarası, sosyal güvenlik numarası, kimlik numarası, pasaport numarası, motorlu taşıt plakası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, genetik bilgileri ve benzeri kişiyi belirlenebilir kılan veriler kişisel verilere örnek verilebilir. Yine tüzel kişilere ilişkin veriler kişisel verinin tanımının dışındadır.
ÖZEL NİTELİKLİ (HASSAS) KİŞİSEL VERİ NEDİR?
Özel nitelikli kişisel veriler; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları; kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği; sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileridir. Bu veriler öğrenildiği takdirde kişinin ayrımcılığa maruz kalmasına ve mağdur olmasına sebebiyet verebilir. Bu sebeple kanunda, özel nitelikli kişisel verilere ilişkin daha sıkı korumalar ve özel esaslar getirilmiştir.
KİŞİSEL VERİLERİN İŞLENMESİ NE ANLAMA GELİR?
Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade eder. Kişisel verilerin; diskte, CD’de veya bir sunucuda depolanması kişisel verilerin işlenmesine örnek verilebilir.
Kişisel veriler aşağıda sayacağımız haller dışında kişinin açık rızası olmaksızın işlenemez ve yurtdışına aktarılamaz.
- AÇIK RIZA ALINIRKEN HANGİ HUSUSLARA DİKKAT EDİLMELİDİR?
Kanun çerçevesinde açık rıza; kişinin, verilerinin işlenmesini, kendi isteğiyle veya karşı taraftın isteği üzerine, onaylaması anlamına gelmektedir. Ancak buna ek olarak Kişisel Verileri Koruma Kurumu tarafından çıkarılan bilgilendirmeler neticesinde açık rızanın;
- Belirli bir konuya ilişkin ve o konu ile sınırlı olması,
- İlgili kişinin, rıza verilen konu ve rızanın sonuçları üzerinde tam olarak bilgilendirilmesi sonucu alınması,
- Özgür iradeyle açıklanması, gerektiği belirtilmiştir.
Açık rızanın elektronik ortam ve çağrı merkezi vb. yollarla sözlü olarak alınması mümkündür. Ancak açık rızanın alındığına ilişkin ispat yükümlülüğü veri sorumlusuna aittir ve bu sebeple yazılı olarak alınmasında fayda vardır. İlgili kişiden alınacak rızanın KVKK kapsamındaki ve Kurum nezdindeki şartları taşıması önem arz etmektedir, bu hususta hukuki danışmanlık ve destek alınmalıdır.
- KİŞİSEL VERİLERİN İŞLENMESİNDE HANGİ HUSUSLARA DİKKAT EDİLMELİDİR?
Kişisel verilerin işlenmesinde açık rızanın öneminden bahsettik. Ancak bazı hallerde ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür:
- Kanunlarda açıkça öngörülmesi,
- Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
- Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
- İlgili kişinin kendisi tarafından alenileştirilmiş olması,
- Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
- İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması, hallerinde ilgilinin açık rızası aranmaksızın kişisel veri işlenebilir.
Özel nitelikli kişisel verilerin işlenmesinde sağlık ve cinsel hayata ilişkin kişisel veriler özellik arz etmektedir. Bu tür kişisel veriler, ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla ilgilinin açık rızası olmaksızın işlenebilir. Yine bu durumda da sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenebilecekleri özel olarak düzenlenmiştir.
- KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VE ANONİM HALE GETİRİLMESİ MÜMKÜN MÜDÜR?
Kişisel veriler, yukarıda belirtmiş olduğumuz esaslara uygun olarak işlenmesine rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle (anonim hâle) getirilir. KVKK’nın 7.maddesi gereğince veri sorumlularına yüklenmiş bir yükümlülük söz konusudur. Buna ilişkin usul ve esaslar 28.10.2017 tarihli Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmelikte düzenlenmiştir. Yükümlülüğün yerine getirilmemesi halinde ise KVKK’nın 17.maddesi hükmü atfı ile TCK 138 uyarınca veri sorumlusunun cezai sorumluluğu doğmaktadır.
VERİ SORUMLUSU KİMDİR?
Veri sorumlusu; kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi, ifade etmektedir.
- VERİ SORUMLUSUNUN GÖREVLERİ NELERDİR?
Veri sorumlusu;
- Kişisel verilerin hukuka aykırı olarak işlenmesini önlemekle,
- Kişisel verilere hukuka aykırı olarak erişilmesini önlemekle,
- Kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almakla,
- İlgili kişileri, işlenen verilerin hangi amaçla, kim tarafından, hangi yöntemle işleneceği, hukuka aykırı işlenmesi halinde hangi KVKK kapsamında kullanabileceği haklar hakkında aydınlatmakla, yükümlüdür. Aydınlatma yükümlülüğünü yerine getirmeyen veri sorumlusu hakkında KVKK’nun 18.maddesi gereğince 5.000 Türk lirasından 100.000 Türk lirasına kadar, idari para cezasına hükmedilir.
Veri sorumlusu ve veri sorumlusu adına verileri işleyen kişiler, işledikleri verileri KVKK hükümlerine yani yukarıda açıklamış olduğumuz esaslara aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Aksine kullanmaları halinde veri işleyen ve veri sorumlusu birlikte (müştereken) sorumludur, görevden ayrılmaları halinde dahi sorumlulukları devam eder.
KİŞİSEL VERİLERİMİ NASIL KORUYABİLİRİM?
Kişisel verisi işlenen gerçek kişi, veri sorumlusuna başvurarak kendisiyle ilgili;
- Kişisel veri işlenip işlenmediğini öğrenme,
- Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
- Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
- Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
- Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
- Kanunda ve yönetmelikte belirtilen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
- Eksik veya yanlış işlenmiş kişisel verilerin aktarıldığı üçüncü kişilere durumun bildirilmesini isteme,
- İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
- Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme, haklarına sahiptir.
- BAŞVURMA HAKKI
İlgili kişiler yukarıda belirtmiş olduğumuz haklarını kullanmak için taleplerini veri sorumlusuna başvurarak iletebilirler. Başvurularına 30 gün içinde cevap verilmemesi veya başvurularının reddedilmesi/cevabın yetersiz olması halinde Kişisel Verileri Koruma Kurulu’na şikâyette bulunabilirler. Bu halde aynı zamanda kişilik hakları ihlal edilen ilgili kişinin tazminat hakkı saklıdır. Başvuru zorunluluğu, yargı yoluna gidilmesi için bir ön şart değildir.
- ŞİKÂYET HAKKI
İlgili kişinin veri sorumlusuna yapmış olduğu başvurunun reddedilmesi/cevabın yetersiz bulunması veya 30 gün içinde başvuruya cevap verilmemesi halinde Kurul’a şikâyet yoluna gidebilir. Kurul’un 60 gün içinde herhangi bir cevap vermemesi halinde başvurunun reddedilmiş olması hükme bağlanmıştır. Bu halde şikâyet tarihinden itibaren 60 günlük sürenin geçmesiyle idari yargıda dava açma süresi başlayacaktır.
Şikâyet üzerine veya resen yapılan inceleme sonucunda, ihlalin varlığının anlaşılması hâlinde Kurul, tespit ettiği hukuka aykırılıkların veri sorumlusu tarafından giderilmesine karar vererek ilgililere tebliğ eder. Bu karar, tebliğden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirilir. Söz konusu tebliğin gerekliliklerinin bu sürede yerine getirilmemesi halinde 25.000 Türk lirasından 1.000.000 Türk lirasına kadar, idari para cezasına hükmedilir.
Av.Ayşe Rona BAYZAN
KAYNAKÇA
https://www.mevzuat.gov.tr/MevzuatMetin/1.5.6698.pdf
Faruk BİLİR , (2021), TRT Akademi, Cilt 6, Sayı 11, 2021, 172 – 181
Murat Volkan DÜLGER , (2019), Yaşar Hukuk Dergisi, Cilt 1, Sayı 2, 2019, 71 – 174