{{ $item.name }}

Kişisel Verilerin Korunması

Özet

6698 sayılı Kişisel Verilerin Korunması Kanunu, 7 Nisan 2016 tarihli Resmi Gazetede yayımlanarak yürürlüğe girmiştir. Anılan yasa bir bütün olarak, kişisel verileri, bunların işlenmesini ve korunmasını tanımlayan, özellikle kişisel verilerin işlenmesinin ve korunmasının nasıl olacağının genel hatlarıyla çerçevesini belirleyen, bunun yanı sıra işleme ve koruma kurallarına uyulmaması halinde bunun yaptırımının ne olacağını tespit eden, bu alandaki temel düzenleyici yasadır. Kanun metninde, tüm maddelerinin yürürlüğe gireceği 7 Nisan 2018 tarihine kadar uygulanmasına ilişkin bir geçiş sürecini açıklayan hükümler bulunmaktadır. Bu yazıda; vatandaşın hayatına önemli etkileri olacak söz konusu yasanın uygulanmasında kritik bir rol oynayacak yargının kurucu unsurlarından bağımsız olarak savunmayı temsil eden meslektaşlarımıza uygulanma süreci hakkında bilgi vermek amaçlanmıştır.

Giriş

6698 sayılı Kişisel Verilerin Korunması Kanunu, 24 Mart 2016 tarihinde TBMM Genel Kurulunda kabul edilmiş ve 7 Nisan 2016 tarih ve 29677 sayılı Resmi Gazetede yayımlanarak yürürlüğe girmiştir. Günümüzde bilgisayar, internet ve cep telefonları gibi modern iletişim araçlarının yardımıyla bireylere ait kişisel verilere kolayca ulaşılabilmekte ve bu veriler kişiler, şirketler ve ülkeler arasında çok hızlı şekilde paylaşılabilmektedir. Bu durum, kişisel verilerin sahibi olan bireylerin hukuki güvenliğini tehdit edecek ve özel yaşamlarının gizliliğini bozabilecek bir seviyeye gelmiştir.

Yaşamlarının birçok alanında devlet ile etkileşim içerisinde olan bireylerin, kamu idareleri tarafından kişisel verileri teknolojik gelişmelerinde yardımıyla daha kolay elde edilmekte, işlenmekte ve kullanılmaktadır. Teknolojik gelişmelerin bireyler üzerindeki başlıca etkilerinden birisi, sürekli gözetim altında olunduğuna yönelik endişelerdir.

Kanunun gerekçesinde belirtildiği gibi, ülkemizde kişisel verilerin işlenmesi sürecini kontrol edecek ve denetleyecek bir kurumun bulunması önemlidir. Aksi takdirde, kişisel veriler yeterli düzenleme ve denetime tabi olmaksızın, birçok kişi veya kurum tarafından kullanılabilmekte ve bu durum bazı hak ihlallerinin yaşanmasına sebep olabilmektedir.

Kişisel Verileri Koruma Kanunu (KVKK)

Bu kanun, Avrupa Konseyi’nin 28 Ocak 1981 tarihli 108 sayılı “Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi”, 2001 tarihli “Kişisel Verilerin Korunmasına İlişkin Ek Protokol” ve 95/46/EC sayılı “Kişisel Verilerin Korunması Direktifi” esas alınarak hazırlanmıştır.

Kişisel verilerin korunması, 12 Eylül 2010 tarihli ve 5982 sayılı T.C. Anayasasının Bazı Maddelerinde Değişiklik Yapılması Hakkında Kanunun 2. maddesi ile Anayasa’nın 20. maddesine eklenen son fıkra kapsamında anayasal zeminde bir hak olarak tanınmıştır.

KVKK’nın 3/d maddesinde; “kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder” şeklinde tanımlanmıştır. Bu tanım çerçevesinde örneğin kişinin adı, adresi, doğum tarihi, medeni hali, tabiiyeti, mesleği, görüntüsü, kanaatleri, fotoğrafı, elektronik posta adresi, banka bilgileri, bilgisayarının IP adresi, kimlik, emeklilik, kurum sicili ve vergi numarası, parmak izi, eğitim bilgileri, sağlık verileri, telefon mesajları, telefon rehberi, mail, facebook, tweeter gibi sosyal paylaşım sitelerinde yazdığı veya paylaştığı yazı, fotoğraf, ses ve görüntü kayıtları “kişisel verisi” olarak belirtilebilir.

Kanunun, 6/2 maddesinde “ilgilinin açık rızası olmaksızın işlenmesi yasak olan” özel nitelikli kişisel verileri de kapsamına almıştır. Özel nitelikli kişisel veri, kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileridir.

Özel nitelikli kişisel verilerden, sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hallerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise kanunda öngörülen amaçlar doğrultusunda sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.

Görüldüğü üzere, kişinin farklı yerlerdeki kişisel verilerinin bir araya getirilmesi, temel hak ve özgürlükleri açısından tehlikeye yol açabilecek kişilik profilinin oluşturulmasına neden olabilmektedir. Zira, kişinin sahip olduğu insan onuru ve kişilik hakkı, bireyin kişisel verilerinin korunmasını gerektirmektedir.

Günümüz teknolojisinde ve özellikle iletişim teknolojilerinde meydana gelen gelişmeler, sürekli genişleyen haberleşme ağları, bir yandan bilgi alışverişi ve bilgilerin toplanması olanaklarını oldukça artırırken, diğer yandan da kişilerin hukuki güvenliği açısından bazı tehditlerin çıkmasına yol açmaktadır. Günlük yaşamın farklı alanlarında gerçek ve tüzel kişilerle ilişkiye giren bireyin kişisel verileri, veri sorumlusu dahi olmayan sujeler tarafından kayıt altına alınmakta, işlenmekte ve kullanılmaktadır. Örneğin, internet üzerinden alışverişlerde, elektronik posta adresi almada, elektronik bankacılık hizmetlerinden faydalanmak isteyen kişiden çeşitli kişisel veriler istenilmekte ve istenilen bilgileri kişi kendi rızasıyla vermektedir. Birey yediği yemeğin ücretini kredi kartıyla ödemesi durumunda satın alma alışkanlıklarının kontrolü dışında kayıt altına alındığını kabul etmektedir. İnternet şirketleri, bir yandan kişilerin internet aracılığıyla yaptıkları alışveriş nedeniyle, diğer yandan internette yaptıkları sörfler sonucu, ilgi alanları, mağazalar ve ürünler gibi konular hakkında tüm kullanıcılara ait bilgileri elinde bulundurmaktadır.

Mesleğimizden örnek vermek gerekirse, avukatlardan gözaltı muayene raporu istenmesi, isim değiştirme davaları, sosyal medya paylaşımları, SGK’ya adli raporların gönderilmesi, otel resepsiyonunda istenilen kimlik bilgileri, hastane ve cezaevi girişlerinde parmak izi ve retina kontrolü, uçak bileti alımlarında kendi rızamızla kişisel verilerimizi talep edene vermekteyiz.

Kişisel verilerin korunması hakkını özümseyen birey, yukarıda verilen örnek durumlarla karşılaştığında sahip olduğu kişilik hakkı ve insan onuru nedeniyle kişisel verilerinin gizli kalmasını, kayıt altına alınmamasını ve işlenmemesini istemektedir.

 

Kanununun Amacı ve Kapsamı

Kanunun amaç başlıklı 1. maddesinde; “Bu kanunun amacı, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir” şeklinde ifade edilmektedir. Kanunun kapsam başlıklı 2. maddesinde ise “Bu kanun hükümleri kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır” ifadesiyle kapsamına aldığı hukuki sujeleri açıklamaktadır.

 

Kişisel Verilerin İşlenmesinde Akış Sırası

Verilerin işlenmesi, başlangıcından silinmesine kadar kanunda öngörülen aşağıdaki akış sürecini izlemek durumundadır.

  1. Veri sorumluları siciline kayıt: Kişisel verileri işleyecek kişi, kurum ya da kuruluşun kişisel verileri toplamadan ve işlemeden önce belirledikleri veri sorumlusu ve varsa temsilcisi “Veri Sorumluları Sicili”ne kaydolmak zorundadır. Veri sorumluları siciline ilişkin usul ve esaslar, yönetmelikle düzenlenir.
  2. Kişisel verileri toplamaya hazırlık: Ancak veri sorumluları siciline kayıt yapıldıktan sonra kişisel verilerin toplanacağı ortam kişilerin erişimine açılır. Kullanılacak yapı, kişilerin açık iradesini kayıt altına almalıdır.
  3. Kişilerin aydınlatılması: Kişisel verileri toplanacak kişilere, veri sorumlusunun kimliği, verilerin kullanım amaçları, paylaşım olup olmayacağı bilgileri verilir ve onayı talep edilir. Kişi, veri toplayan ve verileri üzerindeki hakları konusunda bilgilendirilmelidir.

ç. Açık rıza: Yeterli bilgilendirmeye sahip kişinin onay verdiği kuşkuya yer bırakmayacak şekilde alınmalı ve ispat için kaydı yapılmalıdır. Açık rıza; belirli bir konuya ilişkin olmalı, yeterli düzeyde bilgilendirmeyle gerçekleşmeli, kişi kararını baskı olmadan serbestçe verebilmelidir. Özel nitelikli kişisel veri, ancak ilgili kişinin açık rızası ile işlenebilir. Verileri veren kişi değil, verileri toplayan ispatlamak zorundadır.

  1. Kişisel verilerin işlenmesi: Veri işleme, bilgisayar gibi bilgi teknolojisi kullanan cihazların yanı sıra iş başvuru formu gibi kağıt ortamında bir amaç için kişilere ait bilgilerin saklanmasıdır. Bazı durumlarda verilerin işlenmesi için ilgili kişiyi aydınlatma yükümlülüğü ve açık rızanın alınması şartı yoktur. Kanunun m.5/2 bendinde bu şartlar açıklanmaktadır.
  2. Değişiklik olursa: Sicile kayıttan sonra verilerde, amaçlarda ya da paylaşılan kişilerde değişiklik olursa sicilde değişiklik için başvurulması gerekir. Rızanın alındığı zamana göre değişiklik varsa ilgili kişiden alınan açık rızanın mevcut duruma göre yenilenmesi gerekir.
  3. Verilerin yok edilmesi veya anonimleştirme: Toplanan kişisel verilerle ilgili işlemler bittiğinde veya kişiden alınan onayın şartları ortadan kalktığında ya da kişinin verilerinin işlenmesini durdurma hakkı olduğunda ve bu kullanıldığında verilerin silinmesi gerekir. Silinmesi istenmeyen veriler anonim hale getirilir. Kişisel verilerin silinmesine, yok edilmesine veya anonim hale getirilmesine ilişkin usul ve esaslar yönetmelikle düzenlenir.

 

İlgili Kişinin Hakları

Kişisel verileri işlenen kişi, bilgi edinmek ya da kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesi için talep etme hakkına sahiptir. Bunun için tüketilmesi gereken başvuru yolu aşağıdaki şekilde gerçekleşecektir.

  1. Veri sorumlusuna başvuru: İlgili kişi, bilgi edinmek ya da hak ihlalinin düzeltilmesi için veri sorumlusuna başvurur.
  2. Veri sorumlusunun cevabı: Talebi en kısa sürede ve en geç 30 gün içinde ücretsiz olarak sonuçlandırır. Talebi kabul eder ve düzeltir ya da gerekçesini belirterek reddeder. Cevap, ilgili kişiye yazılı olarak veya elektronik ortamda bildirilir.
  3. Kişisel Verileri Koruma Kuruluna şikayet: Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya veri sorumlusunun süresinde cevap vermemesi hallerinde ilgili kişi, cevabı öğrendiği tarihten itibaren 30 ve her halde başvuru tarihinden itibaren 60 gün içinde Kurula şikayette bulunabilir. Kişilik hakları ihlal edilenlerin genel hükümlere göre tazminat hakları saklıdır.

ç. Kişisel Verileri Koruma Kurulunun incelemesi: Kurul, şikayet üzerine veya ihlal iddiasını öğrenmesi durumunda resen, görev alanına giren konularda inceleme yapar. Şikâyet tarihinden itibaren 60 gün içinde cevap verilir, cevap verilmezse reddedilmiş sayılır. Veri sorumlusu, devlet sırrı niteliğindeki bilgi ve belgeler hariç istenilen belgeleri 15 gün içinde göndermek ve gerektiğinde yerinde inceleme yapılmasına imkân sağlamak zorundadır.

  1. Veri sorumlusuna tebliğ: İhlal var ise Kurul ihlalin ortadan kaldırılmasını ister. Veri sorumlusu, gecikmeksizin ve en geç 30 gün içinde yerine getirir. Kurul, telafisi güç veya imkânsız zararların doğması ve açıkça hukuka aykırılık olması halinde veri işlenmesinin veya verinin yurt dışına aktarılmasının durdurulmasına karar verebilir.