Günümüzde bilgi, oldukça önemli bir değer haline gelmiştir. Resmi ve özel kuruluşlar tarafından bireyler hakkında pek çok bilgi toplanmakta, saklanmakta, işlenmekte ve kullanılmaktadır. Teknolojik alanda yaşanan gelişmelerle birlikte bireylerin bilgi paylaşımları da tehlikelere yol açabilecek hale gelmiştir. Bu noktada, “Kişisel Verilerin Korunması” adı verilen kavram ortaya çıkmaktadır. 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (KVKK) kabul edilmesi ile birlikte Türkiye’de de yeni bir dönem başlamıştır.
Anayasa’nın 20.maddesinin 3. Fıkrası “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.” hükmünü içermektedir. Bu maddeden de anlaşılabileceği üzere kişisel verilerin işlenmesi, kural olarak yasaktır. Ancak kanunda öngörülen hallerde ve kişinin rızasının olması halinde kişisel verilerin işlenmesi mümkün olmaktadır.
1.Kişisel Verilerin İşlenmesinde Uyulması Gereken İlkeler
Kişisel veriler ancak Kişisel Verilerin Korunması Kanunu’ndaki usul ve esaslar çerçevesinde işlenebilir. Kanunun 4.maddesine bakıldığında, kişisel verilerin işlenmesinde uyulması zorunlu olan ilkeler görülmektedir. Söz konusu ilkeler;
“- Hukuka ve dürüstlük kurallarına uygun olma”
“- Doğru ve gerektiğinde güncel olma”
“- Belirli, açık ve meşru amaçlar için işlenme”
“- İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma-
“- İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme”
2.Açık Rıza ve Açık Rızanın Aranmadığı Haller
Kişisel verinin işlenebilmesi için verinin ait olduğu kişinin açık rızasının bulunması gerekmektedir. Fakat kanun incelendiğinde kişinin açık rızasının aranmadığı çeşitli hallerin de bulunduğu görülmektedir. Bu haller KVKK m. 5’te; “ Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür:
a) Kanunlarda açıkça öngörülmesi.
b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.
e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.” şeklinde düzenlenmiştir.
3. Özel Nitelikli Kişisel Veri
Kişisel veriler oldukça geniş bir kapsama sahiptir. Ancak kanun koyucu bazı verileri özel nitelikli veriler olarak kabul etmiştir. KVKK m. 6’da; “Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir” denilerek özel nitelikli kişisel veriler sıralanmıştır. Bu verilerin de kişinin açık rızası olmaksızın işlenebilmesi mümkün değildir. KVKK m.6/3’e göre; “sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.”
4.VERBİS’e Kayıt
6698 sayılı Kişisel Verilerin Korunması Kanununun 16’ncı maddesine göre kişisel veri işleyen gerçek ve tüzel kişi veri sorumlularının kişisel veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolması gerekmektedir. VERBİS; kişisel verileri işleyen gerçek ve tüzel kişilerin, kişisel veri işlemeye başlamadan önce kaydolmaları gereken ve işlemekte oldukları kişisel verilerle ilgili kategorik bazda bilgi girişi yapacakları bir kayıt sistemidir.
Türkiye’de yerleşik gerçek ve tüzel kişi veri sorumluları, yurtdışında yerleşik gerçek ve tüzel kişi veri sorumluları ile kamu kurum ve kuruluşu veri sorumlularının Türkiye’de kişisel veri işlemeleri halinde VERBİS’e kayıt olmaları kanuni bir zorunluluktur. Bununla birlikte Kanunun 16’ncı maddesine göre Kurulca istisna getirilmiş olan veri sorumluları için VERBİS’e kayıt yükümlülüğü bulunmamaktadır. Verbis kaydının yapılmaması ilgili kanunun 18. maddesini ihlal niteliğinde olduğundan yazımızın beşinci maddesinde yer alan cezai yaptırımlar kapsamında değerlendirilmesi gerekir.
Bu noktada 6698 Sayılı Kişisel Verilerin Korunması Kanunu’na ulaşmak için bakınız.
5.Veri Sahibi İlgili Kişinin Sahip Olduğu Haklar
Kişisel verilerin korunması kapsamında veri sahibi ilgili kişilere çeşitli haklar tanınmıştır. KVKK m.11’e göre; “(1) Herkes, veri sorumlusuna başvurarak kendisiyle ilgili;
a) Kişisel veri işlenip işlenmediğini öğrenme,
b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
e) 7’nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme, haklarına sahiptir”
Kişisel Verilerin Korunması Kanunu kapsamında talepte bulunmak isteyen kişi bu taleplerini yazılı olarak veya kurul tarafından belirlenen bir başka yöntem ile veri sorumlusuna iletebilir. Burada kademeli bir başvuru sistemi öngörülmüş olup Kurul’a şikâyette bulunulabilmesi için öncelikle veri sorumlusuna başvurulması zorunlu kılınmıştır.
Veri sorumlusu, kendisine ulaşan başvuruyu en kısa sürede sonuçlandırmakla yükümlüdür. Kanun koyucu tarafından burada 30 günlük azami bir süreye de yer verilmiştir. Veri sorumlusu, başvuru üzerine verdiği kabul veya ret şeklindeki kararı yazılı olarak veya elektronik ortam aracılığıyla başvuru sahibine bildirmekle yükümlüdür.
Başvuru yolunun tüketilmesi, veri sorumlusu tarafından başvurudaki talebin reddedilmesi, verilen yanıtın yetersiz olması ve süresi içerisinde başvuruya cevap verilmemesi gibi hallerde şikâyet yoluna başvurulabilmesi mümkün olmaktadır. Başvuru sahibi, başvurusunun reddedildiğini öğrendiği günden itibaren 30 gün içerisinde ve her halde başvurudan itibaren 60 gün içerisinde Kişisel Verilerin Korunması Kurulu’na şikâyette bulunabilir.
Şikâyet üzerine Kurul, talebi inceleyerek ilgililere bir cevap verir. Fakat şikâyette bulunulan tarihten itibaren 60 gün içerisinde cevap verilmemesi halinde talep reddedilmiş sayılacaktır. Bu 60 günlük sürenin sonunda idari yargıda dava açma süresi başlamış olmaktadır.
Şikâyet üzerine veya kurul tarafından resen yapılan inceleme neticesinde ihlalin varlığının tespit edilmesi halinde Kurul, veri sorumlusundan hukuka aykırılıkların giderilmesini isteyecektir. Kurulun bu talebi en geç otuz gün içerisinde yerine getirilmelidir.
Kurul, telafisi güç veya imkânsız zararların doğması ve açıkça hukuka aykırılık olması durumunda, veri işlenmesinin veya verinin yurt dışına aktarılmasının durdurulması yönünde karar alabilir. Fakat ilgililerin Kurul işlemlerine karşı her zaman idari yargı yoluna başvurabilecekleri söylenebilir.
5. Veri Sorumlusunun Kişisel Verilerin Korunması Kanunu’nda Yer Alan Yükümlülükleri İhlal Etmesi Durumu
Kişisel Verilerin Korunması Kanunu’nda yer alan yükümlülüklerin ihlali halinde çeşitli suç ve kabahatler gündeme gelmektedir. Kişisel Verilerin Korunması Kapsamında kabahatler, Kanunun 18. Maddesinde yer almaktadır. Buna göre “veri sorumlusunun aydınlatma yükümlülüğünü yerine getirmemesi, veri güvenliğinin sağlanmasına ilişkin önlemleri almakla yükümlü kişilerin bu yükümlülüğü yerine getirmemesi, ilgilinin şikâyet yoluna başvurması sunucu Kurul tarafından verilen kararın gereğinin yerine getirilmemesi, veri sorumlularının Veri Sorumluları Siciline kayıt ve bildirimde bulunmaması” kanun kapsamında yer alan kabahatlerdir. Bu kabahatleri işleyen kişiler için kanunda çeşitli tutarlarda idari para cezaları öngörülmüş vaziyettedir.
Kişisel Verilerin Korunması Kanunu kapsamında ayrıca çeşitli suçlar düzenlenmemiş olup 17.maddede “(1) Kişisel verilere ilişkin suçlar bakımından 26/9/2004 tarihli ve 5237 sayılı Türk Ceza Kanunu’nun 135 ila 140’ıncı madde hükümleri uygulanır.” hükmüne yer verilmiştir. TCK. m. 135 uyarınca hukuka aykırı olarak kişisel verileri kaydeden kişi hakkında 1 yıldan 3 yıla kadar hapis cezası öngörülmüştür. TCK’nın 136.maddesinde ise kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişinin iki yıldan dört yıla kadar hapis cezası ile cezalandırılacağı düzenlenmiştir. TCK’nın m.138’e göre de kanunlara belirlenen sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanların görevlerini yerine getirmemeleri halinde bu kişilere bir yıldan iki yıla kadar hapis cezası verilir. TCK’nın 139.maddesinde “Kişisel verilerin kaydedilmesi, verileri hukuka aykırı olarak verme veya ele geçirme ve verileri yok etmeme hariç, bu bölümde yer alan suçların soruşturulması ve kovuşturulması şikâyete bağlıdır.” Hükmü yer almaktadır. Buna göre kişisel verilerin kaydedilmesi, verileri hukuka aykırı olarak verme veya ele geçirme ve verileri yok etmeme suçları şikâyete bağlı olmayıp soruşturma ve kovuşturma resen gerçekleştirilebilecektir.
***
SC Legal Hukuk Bürosu olarak, Kişisel Verilerin Korunması Hukuku ile ilgili müvekkillerimizi mevzuat ve uygulama ile ilgili olarak detaylı bir biçimde bilgilendirmekteyiz. Ayrıca yine tarafımızca işletmelerin yürüttükleri veri işleme faaliyetleri tespit edilerek boşluk analizi gerçekleştirilmekte, kişisel veri işleme envanteri, veri saklama ve imha politikası gibi hukuki belgeler hazırlanmakta, Veri Sorumluları Sicil Bilgi Sistemi üzerinden kayıt işlemi gerçekleştirilmekte, aydınlatma yükümlülüğünün mevzuata uygun hale getirilmesi sağlanmakta, açık rıza metinleri hazırlanmakta, veri güvenliği konusunda alınması gereken teknik ve idari tedbirler tespit edilmekte ve işletme için kontrol ve denetim süreçleri yürütülmektedir. KVKK’ya tam uyumun sağlanabilmesi için, alanında uzman ekibimiz ve çözüm ortaklarımız ile birlikte sürecin bütün aşamalarında müvekkillerimize hukuki destek sunulmakta, veri sorumlularının kurul nezdinde temsili ve hakların korunması bakımından adli ve idari yargı yollarına başvurulması gibi konularda da müvekkillerimize gerekli hizmeti sunmaktayız.