Kişisel Veri Hukukunda İlgili Kişi Kimdir?

Her ne kadar Kıta Avrupası ülkelerinde daha eski bir geçmişe sahip olsa da, kişisel verilerin korunması konusu ülkemizde daha yeni yeni kendisine mevzuat kapsamında yer edinebilmektedir. 24.03.2020 tarihinde Resmi Gazete’de yayımlanarak yürürlüğe giren 6698 s. Kişisel Verilerin Korunması Kanunu (“Kanun”), kabul tarihine kadar süre gelen toplumda yer etmiş veri ihlali odaklı alışkanlıkları tümden değiştirmeyi ve Anayasa ile korunan “Özel Hayatın Gizliliği” ilkesi ile herkesin kişiliğine ait verilerin yasal düzlemde korunması hedeflenmektedir.

28.12.2020 - 10:29 Yayınlanma

13.04.2024 - 13:35 Güncelleme

Kişisel Veri Hukukunda İlgili Kişi Kimdir?

Zira, kişisel verinin yasal tanımında olduğu gibi ancak gerçek kişilere ait veriler kişisel veri niteliğine sahip olabilir. Bu sebeple, kişisel verinin tamamıyla gerçek kişinin, benliğine bağlı bir tanım olduğu, gerçek kişi olmadığında ise kişisel veriden söz edilemeyeceği sonucuna ulaşabiliriz.

1- İlgili Kişi Kimdir ?

Yasal düzenlemelerin odağındaki kişisel veri sahibi gerçek kişiyi ise dolayısıyla, ilgili kişi olarak tanımlamak mümkündür. Bu çerçevede ise, yasal düzenlemelerin bir diğer odak noktası olan “kişisel veri”ye değinmek gerekir. Kişisel veri, yukarıda değinildiği üzere gerçek kişiye ait her türlü veri olarak tanımlanabilirken sadece tek bir kıstasın bulunduğu, onun da kişisel veri sahibi ilgili kişinin kimliğinin belirli ya da belirlenebilir olması olduğunu görebiliyoruz. Bu noktada, mevcut bir verinin, başka verilerle birleştirilse veya ilişkilendirilse bile kimliği belirlenebilir bir gerçek kişiye ait olduğunu saptayamıyorsak söz konusu veriyi kişisel veri olarak tanımlamamız mümkün olmayacaktır.

Netice itibariyle günümüzde, niteliğine göre herhangi bir veri ayrımı yapılmaksızın hepimiz veri işleme faaliyetlerini yürüten ver sorumluları karşısında kişisel veri sahibi ilgili kişi olarak taraf teşkilini sağlıyoruz. Bu duruma karşılık olarak da kişisel verileri işleyen veri sorumluları, yasal mevzuat ile birlikte bir takım yükümlülükler ile veri işleme faaliyetlerini yürütmekle sorumludur. Bu yükümlülükler ise, veri sorumlusunun Kişisel Verilerin Korunması Mevzuatına uyum sağlama yükümlülüğünün bir yansıma niteliğindedir. Veri sorumlularının başlıca yükümlülüklerini ise şu şekilde sıralamak mümkündür:

Aydınlatma yükümlülüğü,

Veri güvenliğini temin etme yükümlülüğü,

VERBİS’e kayıt yükümlülüğü,

Veri sahibi ilgili kişi tarafından yapılan başvuruları cevaplandırma yükümlülüğü,

Kişisel Verileri Koruma Kurulu tarafından verilen kararları yerine getirme yükümlülüğü,

İşlenen kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğü.

2- Veri Sorumlusunun Aydınlatma Yükümlülüğü Nedir ?

Bu yazımızla birlikte, Kanun ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ (“Tebliğ”) kapsamında veri sorumlusunun aydınlatma yükümlülüğü ile birlikte ilgili kişilerin kişisel verileri koruma süreçlerine ilişkin gerekli bilince yönelik değerlendirmelerde bulunacağız.

Öncelikle belirtmek gerekir ki, veri işleme faaliyetlerini yürüten yani kişisel verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen veri sorumluları, Kanun’un 11. Maddesi kapsamında veri işleme faaliyetlerine ilişkin kişisel veri sahibi ilgili kişileri “aydınlatmak”la yükümlüdür. Veri sorumlularının bu aydınlatma yükümlülüğüne ilişkin yasal şartlar her ne kadar Kanun’un 10. Maddesi ile belirlenen çerçeve dahilinde belirtilmişse de, Kişisel Verileri Koruma Kurumu tarafından yayımlanan tebliğ ile de söz konusu şartlar detaylı şekilde izah edilmeye çalışılmıştır.

Veri sorumlularının aydınlatma yükümlülüğü, veri işleme faaliyetlerinin hukuka uyarlı şekilde yürütülmesine ilişkin olmazsa olmaz şartlardan bir tanesidir. Veri sorumluları tarafından veri işleme faaliyetlerine ilişkin gerekli ve yeterli bilgilendirmenin yapılmadığı durumlarda, veri sorumlularının işledikleri, sakladıkları ya da aktardıkları tüm kişisel veriler bakımından kişisel veri işleme faaliyetleri tamamıyla hukuka aykırı hale gelmektedir. Dolayısıyla bu durumun engellemek ve aydınlatma yükümlülüğünün yasal mevzuata uygun şekilde yerine getirilmesi gerekmektedir. Bu kapsamda veri işleme faaliyetini gerçekleştiren veri sorumlusu veya bu konuda yetkilendirdiği bir kişi,

Veri işleme faaliyetini yürüten, ilgili kişilere ait kişisel verileri edinen, kaydeden, saklayan ya da aktaran veri sorumlularının veya veri sorumlusu temsilcilerinin açık kimliği,

Veri sorumluları tarafından edinilen kişisel verilerin hangi amaçla işleneceği,

İşlenen kişisel verilerin veri sorumluları tarafından kimlere hangi amaçlarla aktarılacağı,

Veri sorumlularının kişisel verileri edinmekte/toplamakta hukuki sebepler ile bu verileri edinme/toplamada kullandıkları yöntemi,

Kişisel veri sahibi ilgili kişilerin Kanun’un 11. Maddesi kapsamında belirlenen hakları üzerine bilgilendirmekle yükümlüdür.

Belirtmek gerekir ki, hem Tebliğ ile hem de Kanun ile veri sorumlusu üzerine yükümlenen aydınlatma yükümlülüğünün de odağında “veri sorumlusunun kişisel veri işleme faaliyeti sırasında dayandığı amaç” bulunmaktadır. Bu kapsamda, örneğin veri sorumlusunun çalışanlarının özlük bilgilerini işlerken belirlediği amaç ile pazarlama faaliyetlerini yürütürken belirlediği amaç farklı olacağından, bu iki farklı ilgili kişiye yönelik yürüttüğü veri işleme faaliyet sırasında aydınlatma yükümlülüğünün de iki farklı yansıması olacak ve iki farklı aydınlatma metninin hazırlanması söz konusu olabilecektir.

Aynı durum, veri sorumlusu tarafından yürütülen veri işleme faaliyetinin amacının değişmesi durumunda da söz konusu olacaktır. Bu durumda da mevcut aydınlatma metninin belirlenen yeni amaca göre yeniden ele alınması gerekmektedir. Nitekim, veri sorumlusu tarafından aydınlatma yükümlülüğünün yerine getirilmesi sırasında mevcut/güncel veri işleme faaliyetine ilişkin bilgilendirme yapılmalı ve söz konusu faaliyetin herhangi bir basamağında değişiklik söz konusu olduğu durumda bu değişikliğin de aydınlatma metnine yansıtılması ve böylece kişisel veri sahibi ilgili kişilerin en güncel ve doğru şekilde bilgilendirilmesi sağlanmalıdır.

Eklemek gerekir ki, veri sorumlusu tarafından aydınlatma yükümlülüğünün yerine getirilmesi sırasında kullanılan ifadeler, herhangi biri farklı bir anlama sebep olmayacak şekilde, açık, sade ve anlaşılabilir olmalı ve uzun, muğlak ifadelerden kaçınılmalıdır. Dolayısıyla, aydınlatma yükümlülüğü yerine getirilirken hazırlanan aydınlatma metni kapsamında, “gibi, ve benzeri, ve saire” türünden ifadelerin kullanılması, anlamı ucu açık şekilde bırakacağından uygun değildir.

Veri sorumlusunun aydınlatma yükümlülüğünün, gelişen ve değişen teknolojiler ile çeşitli varyasyonlar ile yerine getirildiğini gözlemlemekteyiz. Örneğin, çağrı merkezi ile iletişim kurduğunuzda sesli olarak hazırlanan metnin dinletilmesi, fiziki olarak hazırlanan aydınlatma metinlerinin kişisel veri sahiplerine posta veya e-posta yoluyla iletilmesi gibi. Zira, Tebliğ ile kişisel veri sahibi ilgili kişiye karşı aydınlatma yükümlülüğünü yerine getirdiğinin ispatı veri sorumlusu üzerine bırakılmıştır.

Bu noktada, veri sorumluları fiziken sunulan aydınlatma metinlerinin “anlaşıldığına” ilişkin yazılı onay isteyebilmekteyken, elektronik ortamda ise, kutucuk doldurma yöntemiyle bu ispat yükünü yerine getirmeyi hedeflemektedir. Ancak şu noktada önemle durmak gerekir ki, aydınlatma yükümlülüğü hiçbir ilgili kişinin onayına tabii değildir. Veri sorumlusunun veri işleme faaliyetine ilişkin gerçekleştirdiği bilgilendirme faaliyetinden ibarettir.

Uygulamada çok sık aydınlatma metinlerinin açık rıza beyanları ile birlikte onaylatılmaya çalışıldığına şahit olunmaktadır. Ancak, ilgili kişi tarafından hazırlanan iki metne de verilecek onay farklı türde ve farklı sonuçları olduğundan, ayrı ayrı onaya sunulması gerekmektedir. Ancak günümüzde halen internet sitelerine üye olurken veya internet üzerinden sipariş verirken aydınlatma metinleri ile açık rıza beyanlarının aynı sekme üzerinden onaya sunulduğuna ve hatta onay verilmediği takdirde arzu edilen işlemin tamamlanmadığına şahit olmaktayız.

Kişisel Verileri Koruma Kurulu’nun da 26/07/2018 tarihli ve 2018/90 sayılı Kararı ile bu durum,

“Ayrıca, veri sorumlusu tarafından aydınlatma yükümlülüğünün yerine getirilmesi herhangi bir onaya bağlı değildir. Aydınlatma yükümlülüğünün yerine getirilmesindeki amaç kişisel verilerin işlenmesi noktasında ilgili kişinin bilgi sahibi olmasının temin edilmesidir. Açık rıza alınmasında amaç ise, veri sorumlusu tarafından kişisel verilerinin işlenmesinin hukuki bir gerekçeye dayandırılmasıdır. Bu sebeple, ilgili kişi aydınlatma metni sayesinde kişisel veri işleme faaliyeti ile ilgili olarak bilgi edinmiş olmakla birlikte, söz konusu metinde yazılanlara açık rıza vermek zorunda değildir.

Tüm bu hususlar bir arada değerlendirildiğinde; söz konusu uygulamanın 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) amacına ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğin 5 inci maddesinin (1) numaralı fıkrasının (f) bendinde yer alan hükme uygun olmadığı, bu itibarla aydınlatma metninin okunduğuna ilişkin geri bildirim alınması ile ilgili kişilerin kişisel verilerinin işlenmesi hususunda gerekli seçimlik haklarının da tanındığı açık rıza metninin onaylandığının ispatını sağlayacak mekanizmaların ayrıştırılması hususunda veri sorumlusunun talimatlandırılmasına” denilerek açıklığa kavuşturulmuştur.

Av. Murat Yalçın