KİŞİSEL VERİLERİN KORUNMASI KANUNU UYGULAMASI *

                 Çağımızda, modern ve teknolojik iletişim araçları sayesinde kişisel bilgilerin toplanması, işlenmesi ve saklanması kişi-kurum ve ülkeler bazında kolaylaştığı gibi bu kolaylık kişisel veri sahipleri ile verileri elinde bulunduranlar arasındaki menfaat dengesini kişisel veri sahipleri aleyhine bozmaktadır. Bu menfaat dengesizliğini ortadan kaldırmak, kişisel veri sahibi ile verileri elinde bulunduran kişiler arasındaki güç dengesinin korunması amacıyla 108 sayılı Avrupa Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi ve 95/46/EC sayılı Avrupa Birliği Veri Koruma Direktifi bulunmaktadır.

                     Kişisel verilerin işlenmesi, gizliliğinin korunması özellikle elektronik haberleşme sektöründe kişilik hakları bakımından önem arz ettiğinden 6698 sayılı Kişisel Verilerin Korunması Kanunundan önce uygulamadaki gereksinim nedeniyle 24.07.2012 tarihli ve 28363 sayılı Resmi Gazetede yayımlanan Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğinin Korunması Hakkında Yönetmelik ile bir kısım düzenlemeler yapılmıştır.  Bu yönetmelik ile elektronik haberleşme sektöründe kişisel verilerin işlenmesi, saklanması ve gizliliğinin korunması için elektronik haberleşme sektöründe faaliyet gösteren işletmecilerin uyacakları usul ve esasları düzenlenmiştir.

                        Kişisel verilerin teknolojik gelişmelere bağlı olarak korunmasının diğer sektörler için de elzem olması üzerine de; ülkemizde yukarıda anılan uluslararası sözleşme ve direktif esas alınarak 24.03.2016 tarihli 6698 sayılı Kişisel Verilerin Korunması Kanunu yapılmış ve ayrıca ilgili birçok yönetmelikler, tebliğler çıkarıldığı gibi Kişisel Verileri Koruma Kurulunun da emsal teşkil edici ve veri sorumluların uyması gereken kurul kararları bulunmaktadır. Mevzuat çok geniş kapsamlı olup veri sorumlularının da hak kaybına uğramaması ve idari yaptırımlar ile karşı karşıya kalmaması için mevzuatın ayrıntılı olarak da değerlendirilmesi ve gerekli önlemlerin alınması gerekmektedir.

                     6698 sayılı Kanunun ile kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlenmiştir. Anılan kanun ile ayrıca idari ve mali özerkliğe sahip ve kamu tüzel kişiliğini haiz Kişisel Verileri Koruma Kurumu kurulmuştur. Bu kurumun amacı,  temel hak ve özgürlüklerden biri olan özel hayatın gizliliği içerisinde yer alan kişisel verilerin korunmasını sağlayarak farkındalık oluşturmak ve veri temelli ekonomide özel sektör, kamu kurum ve kuruluşları, sivil toplum kuruluşları, meslek örgütleri ve üniversitelerle işbirliği yaparak uygulamaları ve mevzuattaki gelişmeleri takip etmek, değerlendirme ve önerilerde bulunmak, araştırma ve incelemeler yapmak veya yaptırmaktır.

                     Kişisel Verilerin Korunması Kanunu ile “İlgili Kişi”, “Veri Sorumlusu”, “Veri İşleyen” gibi bir çok kavram da toplumsal hayatımıza girmiştir. Kanunun maddesindeki tanıma göre; kişisel verisi işlenen gerçek kişi ilgili kişi, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi veri sorumlusu ve veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiye de veri işleyen denilmektedir.

                        6698 sayılı Kişisel Verilerin Korunması Kanununa göre; veri sorumlularının “Veri Sorumluları Sicili(VERBİS)”‘ne kayıt zorunlulukları bulunmaktadır. Sicile ilişkin ayrıntılar ise 30.12.2017 tarihli ve 30286 sayılı Resmi Gazetede Yayımlanan ve 01.01.2018 tarihinde yürürlüğe giren Veri Sorumluları Sicili Hakkında Yönetmelik ile belirlenmiştir. Anılan yönetmelik ile Kurulun gözetiminde, Başkanlık tarafından kamuya açık olarak tutulacak olan Veri Sorumluları Sicilinin nasıl oluşturulacağı, idaresi ile Veri Sorumluları Siciline yapılması öngörülen kayıtlara ilişkin usul ve esaslar düzenlenmektedir.

Veri Sorumlusu

            Kişisel Verilerin Korunması Kanunun Uygulanma alanı olarak özel sektörü en çok ilgilendiren kısım veri sorumluları kısmı olup veri sorumluların kanun kapsamında sorumlulukları ve yükümlülükleri bulunmaktadır. Anılan yükümlülüklere aykırılık halinde idari yaptırımlar da aynı kanun kapsamında öngörülmektedir.

Bu yükümlülükler;

Aydınlatma Yükümlülüğü: Veri sorumlusu, kişisel verilerin elde edilmesi sırasında bizzat veya yetkilendirdiği kişi aracılığıyla aşağıdaki bilgileri ilgili kişiye sağlamakla yükümlüdür:

  1. a) Veri sorumlusunun ve varsa temsilcisinin kimliği,
  2. b) Kişisel verilerin hangi amaçla işleneceği,
  3. c) Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
  4. d) Kişisel veri toplamanın yöntemi ve hukuki sebebi,
  5. e) 11. maddede sayılan diğer hakları. (Kişisel Verilerin işlenip işlenmediğini öğrenme, işlenmişse bilgi talep etme, işlenme amacını ve amaca uygun kullanılıp kullanılmadığını öğrenme, yurtiçi ve/veya yurtdışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, kişisel verilerin eksik/yanlış işlenmesi halinde düzeltilmesini talep etme, 7. Madde çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme, kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme, Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme)

– Kişisel Verilerin Hukuka Aykırı İşlenmesini Önlemek

– Kişisel Verilerin Hukuka Aykırı Erişilmesini Önlemek

– Kişisel Verilerin Korunmasını Sağlamak

– “Veri Sorumluları Sicili(VERBİS)”‘ne kayıt zorunluluğu (Aksi halde kanun gereği idari para cezası yaptırımı öngörülmektedir.)

– İlgili Kişiler tarafından yapılan başvuruların yasal süresi içerisinde cevaplanması

– Kurul(Kişisel Verileri Koruma Kurulu) Kararlarının Yerine Getirilmesi

               Veri sorumlusu bu yükümlülüklerini yerine getirmek için gerekli tüm güvenlik önlemlerini almak, altyapıyı hazırlamak ve her türlü teknik ve idari tedbirleri almak zorundadır. Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, gerekli tedbirlerin alınmasında bu kişilerle birlikte müştereken sorumludur. Dolayısıyla veri işleyenler de veri güvenliğinin sağlanması için tedbir alma yükümlülüğü altındadır.

            Veri güvenliğine ilişkin alınacak önlemler, her bir veri sorumlusunun yapısına, faaliyetlerine ve yer aldığı sektörel risklere uygun olmalıdır. Uygun önlemlerin belirlenmesinde şirketin bulunduğu sektör, şirketin büyüklüğü/cirosunun yanı sıra veri sorumlusunun yaptığı işin ve korunan kişisel verinin niteliği de önemlidir.

Kişisel Veri 

            Kişisel Veri, kimliği belirli ya da belirlenebilir gerçek kişiye ilişkin her türlü bilgidir.

Kişisel veriler ancak;

– İlgili kişinin açık rızasının varlığı,

– Kanunlarda açıkça öngörülmesi,

– Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,

– Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,

– İlgili kişinin kendisi tarafından alenileştirilmiş olması,

– Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,

– İlgili kişinin temek hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması hallerinden en az birinin bulunması durumunda işlenebilir.  Bu şartlar dışında başkaca bir şart taraflar arasında kararlaştırılamaz.

                      Kişisel Veriler, hukuka ve dürüstlük kurallarına uygun, doğru ve güncel olmalı, belirli, açık ve meşru bir amaç için işlenmeli, işlendikleri amaçla sınırlı olmalıdır. Ayrıca kişisel veriler, kanunlarda öngörülen veya işlenme amacı için gerekli olan süre boyunca saklanmalıdır.

                    İşlenmesini gerektiren sebeplerin ortadan kalktığı hallerde kişisel verileri  Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonim Hale Getirilmesi Hakkında Yönetmelik çerçevesinde silmek, yok etmek veya anonim hale getirmek veri sorumlusunun yükümlülüklerinden olup ilgili kişinin bu hususta bir başvuru yapması gerekmemektedir.

                   Özel nitelikli kişisel veriler ise, öğrenilmesi halinde ilgili kişi hakkında ayrımcılık yapılmasına veya mağduriyete neden olabilecek nitelikteki verilerdir. Bu nedenle, diğer kişisel verilere göre çok daha sıkı şekilde korunmaları gerekmektedir. Kanuna göre, özel nitelikli kişisel verilerin işlenmesi, ilgili kişinin açık rızası dışında aşağıdaki hallerde mümkündür:

-Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, ancak kanunlarda öngörülen hallerde,

-Sağlık ve cinsel hayata ilişkin kişisel veriler, ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenebilir.

            Yukarıda da ayrıntılı olarak belirtildiği üzere; kişisel veriler öncelikle “ilgili kişinin açık rızası” ile işlenebilir. Açık rıza, kişinin sahip olduğu verinin işlenmesine, kendi isteği ya da karşı taraftan gelen istek üzerine, onay vermesi olup  yazılı şekilde alınabileceği gibi elektronik ortam ve çağrı merkezi vb. yollarla da alınabilir. İlgili kişinin açık rızasının olduğunu veri sorumlusu ispat etmek zorundadır.

            Belirli bir konu ile ve/veya ilgili işlemle sınırlı olmayan(Örn: her türlü ticari işlem, her türlü bankacılık işlemi ve her türlü veri işleme faaliyeti” gibi) genel nitelikteki açık rızalar  hukuken geçersiz sayılmaktadır.

            İlgili kişinin gerek veri sorumlusuna başvuru gerekse Kuruma şikayet hakkı bulunmaktadır. Ancak Kuruma şikayet hakkının kullanılabilmesi için ilk önce veri sorumlusuna başvurunun yapılmış olması gerekmektedir. Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi halinde; ilgili kişi, veri sorumlusunun cevabını öğrendiği tarihten itibaren 30 ve her hâlde başvuru tarihinden itibaren 60 içinde Kurula şikayette bulunabilir. Kurulun, telafisi güç veya imkânsız zararların doğması ve açıkça hukuka aykırılık şartlarının birlikte gerçekleşmesi halinde, nihai karardan önce veri işlenmesinin veya verinin yurtdışına aktarılmasının durdurulmasına karar verme yetkisi bulunmaktadır. İlgililerin, Kurul kararlarına karşı diğer idari işlemlerde olduğu gibi idari dava açma hakları bulunmaktadır.

            Son olarak, Kanunun emredici düzenlemesine aykırı hareket eden veri sorumluları, ilgili kişinin (Kişisel verisi işlenen gerçek kişi) başvuru ve/veya şikayeti üzerine cezalandırılabilecektir. Veri sorumlusunun bu sorumluluktan kurtulabilmesi ve cezai yaptırımlarla karşı karşıya kalmaması için başta kanun olmak üzere ilgili tüm mevzuatta belirtilen önlemleri alması ve bu önlemleri aldığını ispatlaması gerekmektedir.

Av. Şebnem Tuğçe ATASOY 

 *IT Network Bilgi Teknolojileri Dergisi Mayıs 2018 özel sayısında yayımlanmıştır.