6698 sayılı Kişisel Verilerin Korunması Kanunu yürürlüğe girmesinden bu yana 20 ay geçmişken kanun düzenlemesinin tam olarak ne ifade ettiği ve kanunda düzenlenen yükümlülükleri yerine getirmeyenler hakkında uygulanacak yaptırımların ne olduğunu Tıp Alanında Kişisel Verilerin Açıklanması Suçu kitabının yazarı, Hukukçu / Arabulucu  Sabire Sanem Yılmaz ile konuştuk.

Kişisel Verilerin Korunması Kanunu tam olarak ne düzenliyor?

Kanun, 33 yıl sonra TBMM’den geçen bir kanun. Aslında Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi ile yakın tarihlerde imzadan çıkması ülkemizin bu konuda geç kaldığını bir kere daha göstermiş oldu. Kanun, kişisel verinin ne olduğu ve verinin elde edilmesinden, işlenmesine ve anonim hale getirilmesi aşamasına kadar her durumu düzenlediği gibi, çok da ağır yaptırımlar getirmektedir.

Kanun’un 1. Maddesi “Amaç” başlığı altında, kanunun “Kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlediğini” ifade etmektedir.

KİŞİSEL VERİ NEDİR? TAM OLARAK KAPSAMI NEDİR?

Kişisel veri Kanun’un 3. maddesinde şu şekilde tanımlanmıştır: “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her tür bilgi.” Tanım çok açık gibi görünse de kapsamı belirlerken çok hassas hareket etmek gerekmektedir. Bir gerçek kişiye ilişkin isim, nüfus bilgileri, sosyo-ekonomik durumuna ilişkin tüm veriler, sağlık bilgileri, cinsel yaşamına dair bilgiler, portföyü, banka kayıtları, yüzü, fiziksel özellikleri gibi her tür veri kişisel veri kapsamına girmektedir.

KANUN KİŞİSEL VERİLERİN HANGİ HALLERDE İŞLENECEĞİNİ SÖYLÜYOR?

Bu konu oldukça geniş bir perspektifte değerlendirilebilecek bir konu. Öncelikle Kişisel veriler kişinin açık rızası olmaksızın işlenemez. Kanun bunu net olarak düzenlemiş. Kanun 5. madde de hangi hallerde kişinin açık rızasının aramaksızın kişisel verilerinin işlenebileceği düzenlenmiştir. İlgili kanununda açıkça öngörülmesi, bir başkasının beden bütünlüğünün korunmasının gerekli olduğu durumlarda kişinin gerçek iradesini açıklayamayacağı durumlarda, sözleşme ilişkilerinde taraflara ilişkin verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki sorumluluğunu yerine getirmesi için zorunlu olması, ilgili kişinin kendi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için gerekli olması, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydı ile gibi nedenler kanunda sayılan sınırlı sayıda nedenlerdir.Açık rızaya gerek duyulmadan işlenen veriler hemen hemen her durumu kapsar nitelikte düzenlenmiştir. Burada açık tehlike kişinin açık rızasına gerek duyulmaksızın bu nedenlerden birine girebilecek şekilde kişisel verisinin işlenmesi ya da sistemlerden bu verilerin ele geçirilmesi tehlikesidir.

Kanunun kişisel verilerde bir alt başlık açtığı, özel nitelikli hassas kişisel verileri düzenlediği, özel nitelikli hassas verilerin neler olduğunu tanımladığını görmekteyiz. Özel nitelikli hassas veri diğer kişisel verilere nazaran daha katı koruma alanı içerisine alınmıştır. Örneğin, etnik köken, siyasi düşünce, kılık kıyafet, cinsel hayat, sağlık gibi birtakım alanlar özel nitelikli kişisel veridir. Bu verilerin korunmasında kanunkoyucu hassas davranmıştır. Açık rıza olmaksızın işlenemeyeceği düzenlenen özel nitelikli kişisel veriler, hiç mi işlenemeyecektir. Tam olarak işlenemez diyemiyoruz ancak genel anlamda açık rızaya tabidir. Sağlık ve cinsel hayata dair veriler ise daha katı koruma altına alınmış ve bu veriler sadece sır saklama yükümlülüğü altında bulunan kişiler tarafından işlenebilir düzenlemesi getirilmiştir. Örneğin avukatlar, hekimler, noterler, bankacılar mesleği gereği sır saklamakla yükümlü kişilerdir.

PEKİ KANUN ÇIKMADAN ÖNCE NASILDI? VERİLERİMİZ KİME EMANETTİ?

Kanun çıkmadan önce verilerimiz koruma kapsamında değildi anlamına gelmiyor. Anayasal bir hak olan Kişisel Verilerin Korunması Hakkı Anayasa’nın 20. Maddesinde düzenlenmişti. Türk Ceza Kanunu’nda da Özel Hayat Alanının korunması başlığı altında yüksek düzeyde korunması gereken haklar arasında yerini aldı. Sadece Kanunun özel olarak düzenlenmesi, toplumsal farkındalık oluşmasını sağladı, gerçek kişilere, özel hukuk tüzel kişilerine ve şirketlere keskin bir çerçeve getirdi. Suçlar ve Kabahatler başlığı altında verilerin işlenmesinde, anonimleştirmede hukuka aykırı yaklaşımlara müthiş yaptırımlar getirdi. Gayet başarılı bir kanun ancak uygulama ve pratik önemli.

TOPLUM YETERİNCE FARKINDA MI?

Bence henüz hazır değil. Bugünlerde siber saldırılarda gündeme geliyor. Genellikle cep telefonumuza indirdiğimiz birtakım uygulamalarla verilerimizin çalınması, banka hesaplarımızın boşaltılması, kimlik bilgilerimizin ele geçirilmesi gibi durumlarla karşılaştığımızda tarafımıza ait kişisel verilerin ne me nem önemli bir şey olduğunu fark ettik. Quantum bilgisayarlar ve cep telefonları çıktığında daha çok farkında olacağız bize ait olan kişisel verilerin kötüye kullanıldığında toplum sağlığının bozulmasına varacak seviyede önemli olduğunun.

YAPTIRIMLAR NELER VE NASIL ÖNLEMLER ALINMALI?

Bu konu da oldukça ayrıntılı bir konu. Örneğin veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15000 TL’den 1000000TL’ye kadar idari para cezası öngörülüyor. Gerçek kişilere kişisel verilerinin hangi amaçla işlendiğine dair aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5000 TL’den 100000 TL’ye kadar idari para cezası öngörülüyor.Kişisel Verilerin Korunması Kurulu tarafından gerçek kişilerin şikayetleri incelenip ihlal bulunduğu takdirde uyarıları yerine getirmeyen gerçek kişiler ile özel hukuk tüzel kişileri hakkında 25.000 TL’den 1000000 TL’na kadar idari para cezası verilecek. Öncelikli yapılması gereken en önemli husus gerçek kişi ve özel hukuk tüzel kişilerinin kanunu iyi okuması ve bu konuda yeterli eğitimleri tamamlaması. Ciddi cezalarla karşı karşıya kalma olasılığı oldukça yüksek. Bu konuda yeterli kamu spotları oluşturulmalı ve toplumsal farkındalık yaratılmalı.

Teşekkürler. Meslek hayatınızda başarılar.

Avatar
Adınız
Yorum Gönder
Kalan Karakter:
Yorumunuz onaylanmak üzere yöneticiye iletilmiştir.×
Dikkat! Suç teşkil edecek, yasadışı, tehditkar, rahatsız edici, hakaret ve küfür içeren, aşağılayıcı, küçük düşürücü, kaba, müstehcen, ahlaka aykırı, kişilik haklarına zarar verici ya da benzeri niteliklerde içeriklerden doğan her türlü mali, hukuki, cezai, idari sorumluluk içeriği gönderen Üye/Üyeler’e aittir.
Avatar
Meslektaşınız 4 ay önce

Sayın Yılmaz,
Bu yazı için teşekkür ederiz. Ancak meslektaşınız olarak bir öneride bulunmak istiyorum. KVKK ile sadece anonimleştirme değil, silme ve yok etme de sayılmıştır. Kısaca, kişisel veriler, işleme amacı sona erdikten sonra 3 şekilde "imha" edilebilir. Birincisi silme, ikincisi yok etme, üçüncüsü de anonim hale getirme. Bu üçü için de kullanılan bir tabir arıyorsanız ona da biz "imha" diyoruz. Bu sebeple yazınızda kullandığınız "anonimleştirme" kelimeleri yerine " imha edilmesi" demenizde yarar görüyorum.