Nereden çıktı bu kişisel veriler?

Hemen hemen her gün birçoğumuz sosyal medyada; fotoğraf, video ya da gittiğimiz veya gideceğimiz yerlerin bilgisini paylaşıyoruz. Bankalarda hesap açıyoruz, hesabımızdan para çekiyoruz. Bir sağlık sorunumuz olduğunda muayene olmak için hastaneye gidiyoruz. Psikiyatriste gidiyoruz, bütün hayatımızı anlatıyoruz ve bazen ses kaydımız alınıyor. Plastik cerraha gidiyoruz, burnumuzu ya da göğsümüzü yaptırıyoruz ve tüm bunların fotoğrafları çekiliyor. Bu ve benzeri sayısız kişisel verilerimizi hemen her gün birileriyle ya da dijital sosyal medyada paylaşıyoruz. Bütün bunlar bize ait kişisel veriler ve bunları umursamaz bir şekilde başkalarıyla paylaşıyoruz; oysa bu veriler bize ilişkin, bizi belirleyebilecek ve bizi diğer bireylerden ayıracak veriler yani bilgiler. Öyleyse bu veriler son derece önemli ve üçüncü kişilerin haksız kullanımlarına ve müdahalelerine karşı korunmalı!

Bireylerin, diğer bireylerin bilgilere ilişkin merakı tarih boyunca var olan olgu. Bu bilgiler kimi zaman bir aşığın sevgilisini elde etmesi için, bazen Romalı bir generalin savaşı kazanması için, bazen de soğuk savaşta olduğu gibi nükleer sırların ele geçirilmesi için kullanılmış. Zira bireye ait kişisel verilerin, özellikle hassas verilerin, elde edilmesi o kişiye karşı şantaj yapmanın ve istenilenin elde edilmesinin en kolay yollarından biri. Francis Bacon 1620’de yayımlanan New Instrument of Science (Bilimin Yeni Aracı) adlı bilimsel manifestosunda bu durumu açıklamıştı: Bilgi güçtür!

Kişisel verilerin korunmasına ilişkin çalışmalar 1960’lı yılların ortalarında bilgisayarların güçlenmesi, belleklerinin yani bilgi /veri depolama kapasitelerinin artması, boyutlarının küçülmesi ve fiyatlarının düşerek çok sayıda kişinin bunlara sahip olma şansını yakalamasıyla artıyor. Çünkü bu aygıtlar sayesinde, eskiden kartotekstlerle çok uzun zaman, emek ve maliyetle yapılan kişisel verileri kaydetme ve işleme faaliyetleri çok kısa zamanda, çok az uğraşla (genellikle birkaç tuşa basmak suretiyle) ve çok ucuza yapılabilir hale geliyor.

Bu çalışmaların somut çıktısı Avrupa Konseyi’nin 1981 tarihli Kişisel Verilerin Korunmasına İlişkin Sözleşme, Türkiye bu sözleşmeyi ilk imzalayan ülkelerden biri ancak onay kanununun çıkarılması ve ülkemiz açısından bağlayıcı olması Mart 2016’da gerçekleşiyor. Bunun yanı sıra Avrupa Birliği köklerinin dayandığı liberal ve bireyci kültür nedeniyle bu konuya hemen gereken ilgiyi gösterip Avrupa Birliği üyesi ülkelerin uyması için 95/46/EC sayılı Direktifi 1995 tarihinde yayınlıyor; yani AB ülkeleri 1997’den beri bu direktife uyumlu bir halde yaşıyorlar (üye ülkeler direktife uyum için iki yıl süre veriliyor).

Ülkemizde ise durum daha farklı ve yavaş işliyor. Öncelikle kişisel verilerin korunmasına ilişkin bir yasanın demokratik bir ilerleme olduğunu kabul etmeliyiz. Peki bu ilerleme nasıl oldu? Diğer demokratik açıdan gelişmiş Batılı ülkelerde olduğu gibi ülkemizde de demokratik normlar ya halkın ya dış güçlerin diretmesi veya dayatmasıyla getiriliyor, bu durum demokratik düzenlemelerden nasibini almış tüm ülkeler açısında geçerli (sanırım bunun tek istisnası Kurtuluş Savaşı sonrası yaşanan kuruluş aşamasında Atatürk’ün bu konuda kuvvetli bir talep olmasa hatta karşı çıkanlar olsa da Türkiye halkına o şartlar açısından ve eskisiyle karşılaştırılamayacak biçimde demokratik bir düzen getirmesi). Örneğin ülkemizde 1990’lı yıllarda ceza muhakemesi hukuku alanında yapılan demokratik ve görece ilerici düzenlemeler özellikle bu alanda çalışan hukukçuların, insan hakları savunucularının ve avukat meslektaşlarımızın mücadeleleri ve diretmeleriyle gerçekleşti. Kişisel verilerin korunmasına ilişkin düzenlemeler ise farklı bir şekilde Avrupa Birliği’nin diretmesiyle getirildi. Zira 2016 yılı başında AB ile üyelik sürecinde müzakerelere yeniden başlandığında Türkiye’nin önüne konulan ilk konulardan birisi AB ile uyumlu bir kişisel verileri koruma mevzuatı ve politikasının oluşturulmasıydı. Sonuçta biz hala AB’ye giremesek ya da girmesek de bu düzenleme bir kazanım olarak yasalaştı. Sürecin nasıl olduğu sonuçta bu yasanın halkımız açısından demokratik ve ilerici bir düzenleme olduğu gerçeğini değiştirmiyor.

Ülkemizde bu alana ilişkin temel kod, 7 Nisan 2016’da Resmi Gazetede yayınlanarak yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK). Bu alana ilişkin ikincil düzenlemeler ise yolda. KVKK’yı bazı açılardan eleştirmek mümkünse de, bir sıfırdan büyüktür, bu yasanın hiç olmadığı döneme göre, şu an yürürlükte ve uygulanıyor olması bile bana göre olumlu bir gelişme.

Avrupa Birliği ülkeleri başta olmak üzere pek çok yabancı ülkenin hukuk sisteminde uzun süredir benimsemiş olan kişisel verilerin korunması ilkelerinin, Türk hukukunda da yer almaması önemli bir eksiklikti. Bu yüzden büyük bir adım atıldığını söylemek mümkün. Kişisel verilerin korunmasına yönelik kapsamlı ve yeterli bir hukuki alt yapı olmaması, hem verileri işlenen kişiler bakımından ciddi bir güvenlik riski oluşturuyordu, hem faaliyetlerinin gereği olarak kişisel veri işleyen şirketlerin itibar ve güvenilirliklerini zedeliyordu, hem de uluslararası alanda Türkiye ve Türk firmaları açısından önemli bir sorun teşkil etmekteydi. Somut örnek vermek gerekirse, pek çok suç soruşturmasında, yabancı ülkelerin adli makamlarından soruşturma kapsamında bazı bilgiler ülkemiz adli makamları tarafından istenildiğinde “o ülkelerin kendi kişisel verileri koruma mevzuatları gereğince, kişisel veri koruma mevzuatı ve politikası olmayan bir ülkenin adli makamları ile kişisel veri niteliğinde bilgi paylaşımının yasak olduğu” belirtilerek bilgi paylaşılmıyor ve bunun sonucunda çok basit suçların bile failleri tespit edilemiyordu. Benzer durum yabancı ortaklı ya da yabancı yatırımcıların doğrudan yer aldığı şirketlerin yurt dışındaki ortağı ya da yatırımcısı ile bilgi paylaşması konusunda da yaşanıyordu. Bu mevzuatın hayata geçmesiyle artık bu tür sorunların ortadan kalkacağını umuyorum.

Kişisel Verilerin Korunması Kanunu, Türk kişisel veri koruma hukukunun temel çerçevesini oluşturdu. Böylelikle ticari ve sosyal hayatın vazgeçilmez bir parçası olan kişisel veri işleme faaliyetleri bakımından yeni bir dönem başladı. Kişisel verilerin korunması alanında uluslararası kabul görmüş ilkeleri benimseyen Kanun, verilerin hukuka uygun ve güvenli bir şekilde tutulmasını, işlenmesini, aktarılmasını ve yok edilmesini veya anonimleştirilmesini garanti altına alarak bireyler bakımından bir güvenlik zemini oluştururken, kişisel veri işleyen kamu ve özel sektör aktörleri için de önemli yükümlülük ve sorumluluklar getirdi. Yazının devamında bunların neler olduğuna kısa bir göz atacağız.

Kişisel veri, özel nitelikli (hassas) veri ve kişisel verilerin işlenmesi ne anlama gelmekte?

Kişisel verilerin, önemli bir konu olduğunu sonunda anladık ama nedir bu kişisel veri? Hayatımıza böylesine hızlı bir şekilde girdi ama ne anlama gelmekte? Hangi bilgiler kişisel veridir? Kişisel verilerin en kısa, ulusal ve uluslararası alanda genel kabul görmüş tanımı şöyle: Gerçek bir kişiyi belirlenebilir kılan ya da belirlenebilir gerçek kişilere ilişkin her türlü bilgi, kişisel veridir. Daha açık bir anlatımla bir kişiye ait ayırt edici özellikteki tüm bilgiler kişisel veridir. Yani siz herhangi bir veriyi, herhangi bir şekilde kullanarak, herhangi bir bireyle özdeşleştirebiliyor, onu diğerlerinden ayırt edebiliyor iseniz, işte o bilgi kişisel veridir. Örneğin; isim, soy isim, adres, telefon, e-mail vb. iletişim bilgileri, kimlik numarası, vergi numarası, aile bilgileri, eğitim bilgileri, hesap veya harcama bilgileri, sağlık durumu, cinsel tercihleri vb. Bunu sınırlamak mümkün değildir. Çünkü kişisel veriler genel kapsamı itibariyle belli olsa da, bu verilerin kişiden kişiye göre değişmesi de mümkündür. Zira bu veriler kişinin kendisiyle ilgili olduğundan öznellik göstermesi doğaldır. Bunun çok geniş ve ucu bucağı olmayan bir tanım olduğunu düşünmekte haklısınız, ancak tanım tamamen gerçek durumu tanımlıyor. Dolayısıyla bir an düşündüğünüzde günlük yaşamınızda kullandığınız bilgilerin çoğunu bu tanıma uyan kişisel veriler oluşturuyor. Bu da konunun ne kadar önemli ortaya koyuyor.

Kişisel verilerin tek başına var olması ya da bunların kaydedilmesi tek başına bir anlam ifade etmiyor. Bunu önemi kılan ve hukuksal düzenlemelerin konusu haline getiren esas husus, kişisel verilerin işlenmesi. Böylelikle bunlardan anlamlı sonuçlar çıkarılması, bunlar üzerinden para kazanılması ya da istihbari bilgiler elde edilmesi mümkün oluyor. Kişisel verilerin; elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem kişisel verilerin işlenmesi anlamına gelmekte. Kısaca söz konusu kişisel veri üzerinde gerçekleştirilen her türlü faaliyet bu kapsamda. Buna göre, faaliyetinin bir parçası ya da gereği olarak müşterilerine, çalışanlarına, tedarikçilerine veya başkaca üçüncü kişilere ait verilerin kaydını tutan özel ve kamu sektörü aktörleri kişisel veri işlemekte ve dolayısıyla Kişisel Verilerin Korunması Kanunu’yla getirilen yükümlülüklerin muhatabı olmaktalar.

Kişisel verinin ne anlama geldiğini, neyi ifade ettiğini açıkladım. Peki bütün kişisel veriler aynı nitelikte midir, birinin diğerinden daha önemli ya da hassas nitelikte olması söz konusu mudur, bunu açıklamak gerekir. Elbette ki birtakım verileri önemsiz kılmak doğru olmayacaktır, fakat bazı veriler vardır ki daha özel nitelikte olmaları nedeniyle hassas ya da Kanun’un ifadesiyle özel nitelikli veridir. Kanun tarafından özel nitelikli veri kabul edilen veri türleri şunlardır: “Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri, biyometrik ve genetik verileri”. Dikkat edilirse bu veriler farklı da olsa ortak bir yönlerinden bahsetmek mümkündür. Şöyle ki, bu hassas veriler sahipleri hakkında ayrımcılık yapılmasına veya mağduriyete neden olma riski taşıyan verilerdir. Örneğin, A kişisi, bir veriyi kullanarak onu B kişisiyle özdeşleştiriyor ve bu veri nedeniyle ayrımcılık yapma, B kişisini mağdur etme ihtimali doğuyor ise o veri özel nitelikli veridir. Hassas veriler bu önemleri itibariyle, işlenmesi, daha ayrıntılı esaslara tabi tutulmuş olup, bu verilerin korunmasına ilişkin ihlaller için haklı olarak daha ağır sorumluluk öngörülmüştür. Bu nedenle Kişisel Verilerin Korunması Kanunu’yla getirilen sorumlulukların en önemli muhatabı başta sağlık, finans ve bilişim kuruluşları olmak üzere hassas veri işleyen kişi ve kurumlardır.

Kişisel verilerin işlenme koşulları nelerdir?

Kişisel verilerin ne kadar önemli olduğunu açıkladıktan ve hassas verilerin daha sıkı korunması gereken bir alan olduğunu anlattıktan sonra, sıra bu verilerin kimler tarafından ve hangi şartlarda işleyebileceğine geldi. Öncelikle kişisel verilerin işlenmesi için ana koşulun, verilerinin işlenmesi konusunda ilgili kişinin açık rızasının alınması olduğunu belirtmeliyim. Ancak bazı istisnai durumlarda veriler, genel ilkelere uygun olmak koşuluyla, açık rıza olmaksızın da işlenebilir.

Açık rıza aranmayan haller şu şekilde sıralanabilir: Kanunlarda açıkça öngörülmesi; fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması; bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması; veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması; ilgili kişinin kendisi tarafından alenileştirilmiş olması; bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması. Dikkat edilmelidir ki, açık rızanın aranmadığı haller istisnai niteliktedir ve Kanun’da sınırlı olarak sayılmıştır. Ancak açık rızanın her zaman bir kayda tabi tutulmaksızın geri alınabileceği düşünüldüğünde, kişisel verileri koruma kanuna uyum sürecinde bu istisnalardan faydalanılarak kişisel verilerin tutulması ve işlenmesi çok daha akla yatkındır. Bunun yapılabilmesi için ise hangi verinin kim tarafından, neden, nerede, nasıl, ne kadar zaman tutulacağı ve işleneceğinin, kim tarafından ve ne zaman yok edileceğinin, üçüncü kişilere aktarılıp aktarılmayacağının vb. gibi bilgilere sahip olunması gerekir. Yani kişisel veri envanterinin çıkarılması gerekir. Bu envanter olmaksızın yapılacak tüm çalışmalar yarım ve havada kalacaktır. Dolayısıyla bu envanter olmaksızın kişisel verilerin tutulması ve işlenmesi genellikle yasaya uyumsuzluğun söz konusu olmasına neden olacaktır.

Hassas veriler bakımından da ana koşul ilgilinin açık rızasının alınmış olmasıdır. Bu veriler bakımından ilgilinin rızası olmaksızın veri işlemenin mümkün olduğu haller ise doğal olarak çok daha kısıtlıdır. Sağlık ve cinsel hayata ilişkin olanlar hariç, hassas veriler kanunda açıkça öngörülmedikçe açık rıza olmaksızın işlenemez. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak; kamu sağlığının korunması; koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi; sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla ve sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir. Görüldüğü gibi kişisel verilerin işlenmesi oldukça sıkı şartlara bağlanmış; hassas verilerin işlenmesi ise bir derece daha zorlaştırılmıştır. Bu durum kişisel verilerin önemi itibariyle yerindedir.

Kişisel verilerin transfer (aktarım) koşulları nelerdir?

Kişisel verilerin transferi bakımından da ana koşul ilgili kişinin yani verinin sahibinin açık rızasının bulunmasıdır. Aksi halde veriler üçüncü kişilere transfer edilemez. Ancak verilerin işlenmesi bakımından istisna bulunan hallerde, verilerin transferi bakımından da istisna olduğunu görürüz. Bu hallerde açık rıza olmaksızın da veriler genel ilkelere uygun olmak koşuluyla üçüncü kişilere transfer edilebilir. Kişisel verilerin yurt dışına transferi ise çok daha sıkı koşullara bağlanmıştır. Buna göre verilerin transferine ilişkin istisna hallerinden birinin bulunmasına ilaveten verilerin transfer edileceği ülkenin kişisel veriler konusunda yeterli korumaya sahip olması gerekir. Verilerin transfer edileceği ülke veri koruma konusunda yeterli korumaya sahip değilse; Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kişisel Verileri Koruma Kurulundan izin almaları gerekir.

Veri sahiplerinin hakları nelerdir?

Kişisel verileri koruma hukukunun ve Kanun’un getirdiği en önemli yenilik, bu konudaki paradigma değişimidir. Bu değişim anlaşılmadan ve özümsenmeden bu Kanun’a uyum sağlanması ve yaptırımlardan kaçınılması mümkün değildir. Bu Kanun öncesinde (ve pek çok kurumda ve şirkette halen) herhangi bir kişiye ait bir veri kurumun ya da şirketin veri bankasına girdiğinde o veri artık kurumun ya da şirketin verisi olarak görülüyordu. Örneğin ben bir hastaneye gidip muayene olduğumda ya da bir uçak bileti alıp yolculuk yaptığımda bu hizmetleri aldığım kurum ya da şirketlere verdiğim bana ait bilgiler, bu kurum ya da şirketler tarafından kendi malları olarak görülüyordu. Bunun sonucunda da bana ait bu bilgi yani kişisel veriler sonsuza kadar bunların veri bankalarında tutuluyor, üçüncü kişilere transfer ediliyor, bunlar kullanılarak bana sorulmadan bireysel reklam yapılıyor ve siz kendinize ait verileriniz akıbetinde bunlara hiçbir soru soramıyor, bu işlemleri engelleyemiyordunuz. Zira bir kere o verileri vermekle, artık kişisel verilerinizi bu kurum ya da şirketlerin malı haline getiriyordunuz.

Bu durum eskiden de böyle değildi. Yalnızca işlerine geldiği içim kamu ve özel sektör kuruluşları bunu böyle varsayıyor ve böyle bir algı yaratıyorlardı. İşte bu Kanun’un değiştirdiği paradigma budur. Gerçek kişi her ne şartta olursa olsun kendi kişisel verisinin sahibidir, bu veriler hakkında hesap sorabilir ve kendi kişisel verilerinin akıbetini tayin etme hakkında sahiptir! Kurum ve kuruluşlar da bu sorulara yanıt vermek ve taleplere uygun davranmak zorundadır. Çünkü onlar verinin sahibi değil yalnızca emanetçisidirler. Tabii istisna hükümleri bu geniş yetkileri kısıtlamaktadır. Ancak bunun için de iyi niyetli işlem yapma ve haklı gerekçenin olması gerekir.

Veri sahiplerinin, yani kişisel verileri işlenen kişilerin, veri işleyen kişi ve kurumlara başvurarak talepte bulunabileceği başlıca konular şu şekildedir: Kişisel verilerinin işlenip işlenmediğini öğrenme; kişisel verileri işlenmişse buna ilişkin bilgi talep etme; kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme; yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme ve kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme. Böylelikle kişisel verimiz işleniyor mu, işlendi mi, bizim öngördüğümüz amaca uygun kullanıldı mı, kimlere aktarıldı, ne şekilde, nasıl kullanıldı; hepsini öğrenebiliriz ve her adım hakkında bilgi talep edebiliriz. Bu da oldukça önemli bir koruma alanı oluşturur ve kendi verilerimiz üzerindeki hakimiyet alanımızı artırır. Ayrıca bu da verileri tutan ve işleyen kurum ve şirketler üzerinde bireysel bir denetim mekanizması oluşturur ki bu da bu konuda çıkarılan mevzuata uyumlu davranma konusunda önemli bir araçtır.

Kişisel Verileri Korunması Kanunu ve sair mevzuatla getirilmiş diğer yükümlülükler nelerdir?

Buraya kadar kişisel veriler çok önemli olduğunu, özel nitelikli veriler daha da önemli anladık. Bu verileri işlemenin, aktarmanın koşulları olduğunu; hatta bu verilerimize ilişkin birtakım haklara da sahip olduğumuzu idrak ettik. Öyleyse bu verileri işleyen kişi ve kurumların da bazı sorumlulukları olmalı. Bu sorumluluklar nedir ve nerede düzenlenmiştir?

Veri işleyen kişi ve kurumlar, aydınlatma yükümlülüğü, Kişisel Verilerin Korunması Kurulu tarafından istenilen bilgi ve belgeleri sunma gibi Kişisel Verilerin Korunması Kanunu tarafından getirilen yükümlülükler başta olmak üzere pek çok ilave yükümlülük altındadır. İlgili uluslararası sözleşmeler ve özel kanunlar verilerin korunması konusunda yükümlülükler getirmektedir. Ayrıca Kişisel Verilerin Korunması Kurulu tarafından alınacak kararlar ve çıkarılacak tebliğler de veri işleyen kişi ve kurumlar için bağlayıcı niteliktedir.

Ancak en önemli yükümlülük kişisel verilerin tutulması ve işlenmesi için veri sahibinden açık rıza alınmasıdır. Açık rıza alınmasını gerektirmeyen istisna halleri söz konusu ise bunun ispatlanabilmesidir. Kişisel verilerin gerekli olduğu ölçüde ve zamanda tutulması, işlenmesi ve haklı / makul neden kalmadığında bunların yok edilmesi veya anonimleştirilmesidir. Ayrıca kişisel verilerin tutulduğu ve/veya işlendiği dönemde bunların güvenliği için her türlü idari ve teknik tedbirin alınması bir diğer önemli yükümlülüktür.

Yükümlülüklerin denetimi nasıl yapılacaktır?

Yükümlülük söz konusu ise buna bağlı olarak denetimin de var olması gerekir. Kişisel Verilerin Korunması Kanunu ve beraberinde getirdiği kişisel veri koruma rejimi, veri sahipleri bakımından getirilen güvenceler ve veri işleyen kişi ve kurumlara getirilen yükümlülüklerin yerine getirilmesi için üçlü bir denetim mekanizması öngörmüştür. Veri işleyen kişi ve kurumların yükümlülüklerine riayet edip etmedikleri kural olarak bir yandan veri sahipleri, bir yandan da Kişisel Verilerin Korunması Kurulu aracılığıyla denetlenecektir. Arıca Kanuna aykırılık bir yandan da TCK’nın 135, 136 veya 138. maddelerinin de ihlalini oluşturuyorsa, bireylerin ya da Kişisel Verileri Koruma Kurulu’nun suç duyuruları ya da Cumhuriyet Savcılıklarının resen soruşturmaya başlamaları nedeniyle, Cumhuriyet Savcılıkları ve davalara bakmakla görevli ve yetkili Asliye Ceza Mahkemeleri tarafından da denetlenecektir.

Kişisel Verilerin Korunması Kanunu’na uyumlu hale gelinmemesi halinde karşılaşılabilecek riskler nelerdir?

Aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar, verileri hukuka uygun şekilde işlemeyen veya korumayanlar hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar, Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar ve veri sorumluları siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar, her ihlal için ayrı ayrı olmak üzere idari para cezaları öngörülmüştür. Görüldüğü gibi ciddi yaptırımlar düzenlenmiştir ve bu yaptırımların caydırıcı olması istenmiştir.

Bununla birlikte, kişisel verinin işlenmesi ancak açık rıza alınmaması; hukuka uygun olarak elde edilen verinin süresi geçmesine rağmen silinmemesi, yok edilmemesi veya anonimleştirilmemesi; örneğin bir sağlık sektörü çalışanının hasta verilerini üçüncü kişilerle paylaşması halinde karşımıza TCK’nın düzenlemeleri ve hürriyeti bağlayıcı cezalar çıkıyor.

Verileri hukuka aykırı olarak işlenen veya paylaşılan kişiler, Kişisel Verilerin Korunması Kurulu ve savcılık nezdinde yapacakları şikâyetlere ek olarak, maddi ve manevi tazminat istemiyle hukuk mahkemelerinde veri işleyen kişi ve kurumlar aleyhine dava açma hakkına da sahipler, böylelikle zararın büyüklüğüne bağlı olarak maddi ve manevi tazminat talepleri de söz konusu olacak.

Kişisel verilerin korunması ilkelerine ve veri güvenliğine ilişkin ihlaller ve bu ihlalleri gerçekleştiren kişi veya kurumlar, kurul tarafından kendi internet sitesinde veya uygun göreceği başka yöntemlerle ilan edilebilecek; ki bu bana göre en büyük yaptırım. Zira bir şirketin itibarı en önemli sermayelerinden biri duruma göre birincisi. Dolayısıyla uzun bir zamanda bin bir güçlükle elde edilen ticari itibarın bir anda yerle bir olması söz konusu. Bu özellikle sağlık, finans ve e-ticaret gibi güvenin son derece önemli olduğu sektörler bakımından hayat öneme sahip.

Kanuna uyum nasıl sağlanabilir?

Bu noktada Kanun’un zaman bakımında uygulamasının nasıl olduğuna değinmek gerekir. Kanun yayım tarihinde yürürlüğe girmiş olmakla birlikte verilerin transferine, aydınlatma yükümlülüğüne ve veri sahibinin haklarına ilişkin hükümler Kanun’un yayım tarihinden altı ay sonra; yani 7 Ekim 2016 tarihinde yürürlüğe girmiş bulunmakta. Kişisel verilerin korunmasına ilişkin getirilen yükümlülük ve sorumluluklar yalnızca Kanun’un yürürlük tarihinden sonra işlenecek veriler bakımından değil, önceki veriler bakımından da söz konusu. Buna göre Kanun’un yayım tarihinden itibaren iki yıl içinde yani en geç 7 Nisan 2018 itibariyle kişisel veri işleyen kişi veya kurumların geçmiş tarihli olanlar dahil tüm verilerini kişisel verilerin korunması mevzuatıyla uyumlu hale getirmeleri, uyumlu olmayan verileri yine mevzuat çerçevesinde yok etmeleri, silmeleri ya da anonim hale getirmeleri gerekmektedir. En sık sorulan sorulara yanıt olması açısından şunu da eklemeliyim: Bunun bir istisnası yok; bildiğim kadarıyla Kurulun gündeminde de böyle bir istisna getirmek yok. AB üyesi ülkeler yirmi yıldır nasıl uyguluyorsa biz de öyle uygulayacağız.

Bir banka, hastane veya bilişim şirketi bu kanuna uyumlu hale gelmek zorunda mı?

Elbette ki zorunda. Herhangi bir hastane, banka, okul, avukat ya da mali müşavir “ben bu kanunu beğenmedim, kişi geldi hastanemde muayene oldu ve verileri artık benim bilgisayarımda, ben bunları istediğime veririm, istediğim şekilde kullanırım.” diyemez.

Tüm kişisel veri işleyen kişi ve kurumlar, özellikle de ticari şirketler, hem öngörülen ağır yaptırımlara muhatap olmamak, hem faaliyetlerini uluslararası standartlara uygun sürdürmek hem de kurumsal itibarlarını korumak için kişisel veri koruma uyumluluklarını sağlamak mecburiyetindeler. Uyum süreci, kişisel veri koruma mevzuatı ve standartları konusunda ayrıntılı hukuki ve teknik bilgi, uzmanlık ve hassas bir çalışma gerektirmekte. Özellikle çok sayıda veri işleyen kişi ve kurumların uyum süreci uzun ve yoğun bir geçiş süreci gerektirir. Kişisel veri koruma mevzuatına uyumluluğu sağlamak isteyen kişi ve kurumlar, mevcut kişisel veri işleme sistemlerinin mevzuatla uyumluluğunu tespit ettirmek, mutlaka kişisel veri envanteri çıkartmak, uygun bir kişisel veri koruma politikası ve sistemi oluşturmak ve mevcut verileri mevzuata uygun hale getirmek için hukuki ve teknik yeterliliğe sahip kişilerden profesyonel denetim ve danışmanlık hizmeti almalıdırlar.

 
(Bu köşe yazısı, sayın Doç. Dr. Murat Volkan DÜLGER tarafından www.hukukihaber.net sitesinde yayınlanması için kaleme alınmıştır. Kaynak gösterilse dahi köşe yazısının tamamı özel izin alınmadan kullanılamaz. Ancak alıntılanan köşe yazısının bir bölümü, aktif link verilerek kullanılabilir. Yazarı ve kaynağı gösterilmeden kısmen ya da tamamen yayınlanması şahsi haklara ve fikri haklara aykırılık teşkil eder.)