GİRİŞ
21. yüzyılda gelişen teknoloji ile beraber internet üzerinde birçok veriye ulaşma imkanını elde ettik. Bununla beraber kendi verilerimizin de işlendiği, kimi platformlarda paylaşıldığı yahut kredi kartı, T.C kimlik numaralı birçok internet hesabımızın ortalıkta dolaştığına şahit olduk. İnternet üzerinde ziyaret ettiğimiz her sayfanın, parmak izi okuyuculu girişlerde alınan her parmak izimizin kaydedildiğine şahit olduk. Kimi zaman arkadaş çevremizle sohbet ederken değindiğimiz konuların sosyal medya hesaplarında veya başka yerlerde karşımıza çıktığını, acaba sesimiz mi kaydediliyor korkusunu yaşadık. Bu denli veri akışı temel hak ve özgülüklerimizi ve özel hayatımızın gizliliğini ihlal mahiyetine ulaştı.
Teknolojiye ayak uydurabilmek ve bireylerin hak mahrumiyeti yaşamaması adına devletimiz 28 Ocak 1981 tarihinde “Kişisel verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi” imzaladı. Bununla beraber 2010 yılında Özel Hayatın Gizliliği ve Korunması başlıklı 20. Maddenin 3. Fıkrasına kişisel veri kavramı ve korunması yönünde madde eklendi. Sonuç olarak kişisel verilerin korunması anayasal olarak temel hak ve özgürlüklerin arasına dahil edildi.
Dolayısıyla teknolojinin iyi yönlerinden çok kötü yönlerinin baskınlığı, özel hayatımıza duyduğumuz saygı ve kişisel mahremiyetimiz, insan olarak sahip olduğumuz korumacı tavrımız sonucu 6698 sayılı Kişisel Verileri Koruma Kanununu mevzuatımıza dahil etmiş olduk. 7 Nisan 2016 yılında resmi gazete ile yürürlüğe giren kanun sonucu 30 Ocak 2017 tarihinde Adalet Bakanlığına bağlı olarak Kişisel Verileri Koruma Kurumu kuruldu. Bu yazımızda 6698 sayılı kanun çerçevesinde genel olarak kişisel verilerin ne olduğu, ihlal durumunda usul bakımından ilerleyecek sürecin ne olduğu incelenecektir. Verilerin işlenme şartları, Kurumun yapısı ve esasları, Veri kayıt sistemi ve sicile dair konulara daha sonraki yazılarda değinilecektir.
TABİİ OLUNAN MEVZUAT VE YÖNETMELİKLER NELERDİR ?
Kişisel verilerin işlenmesi ve korunması yönünde normlar hiyerarşisi yönünden ;
T.C. Anayasası
108 Nolu 1981 yılında imzalanan sözleşme
6698 Sayılı Kişisel Verileri Koruma Kanunu
Veri Sorumluları Sicili Hakkında Yönetmelik
Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonim Hale Getirilmesi Hakkında Yönetmelik
Kişisel Verileri Koruma Kurulu Çalışma Usul ve Esaslarına Dair Yönetmelik
Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ
Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ
İlke Kararları
KİŞİSEL VERİLER NELERDİR ?
1-Genel Nitelikli Kişisel Veri
6698 sayılın kanunun 3. Maddesinin d bendi uyarınca kişisel veri “Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi” kapsamaktadır. İlgili madde uyarınca yasa koyucu kişisel veriyi çok geniş yorumlamış olmakla beraber örnek vermek gerekirse telefon numarası, parmak izi, ses kaydı, göz retinası bilgileri, ad soyad, kimlik numarası, doğum tarihi, sgk numarası, genetik bilgiler, görüntü ve ses kayıtları, e-posta adresi kişisel verilerdendir. Dikkat edilecek husus kimliğinizi belirleyici her veri kişisel veridir.
Kanun kapsamında değerlendirilecek olursa veri gerçek kişiyle alakalı olmalıdır. Gerçek kişiden kastımız 4721 sayılı Türk Medeni Kanunun 28.maddesi uyarınca tam ve sağ doğum ile başlayıp ölüm ile son bulmaktadır. KVKK 3.maddesi uyarınca gerçek kişi kavramının üstüne basa basa vurgulandığı dikkate alındığında ölüm ile kişiliğin son bulmasından dolayı ölü kişinin verileri kişisel veri sayılmamaktadır. Bu yönde Kişisel Verileri Koruma Kurulunun kararı da mevcuttur.(18/09/2019 Tarihli ve 2019/173 Sayılı Karar Özeti)
Veri sonucunda kişinin kimliği belirli yahut belirlenebilir olmalıdır. Her türlü bilgi yani resim, fotoğraf, veya flash bellek bilgi olarak ele alınabilir. Özetle illaki dijital platformda tutulan veya elde edilen bilgi olması şart değildir. Bununla beraber en önemli dikkat edilecek husus eğer elde edilen veri gerçek kişiyle bağdaşmıyorsa veya gerçek kişi olduğu bilinse dahi kimliğini belirtmiyor yahut belirtilebilir hale getirmiyorsa kişisel veri değildir.
2-Özel Nitelikli Kişisel Veri
Ne yazık ki 2021 yılında olmamıza rağmen, siyasi etnik veya dini yönden kimi zaman da kılık kıyafetten dolayı birbirimizi dışlamaya devam ediyoruz. Bu sebeple aşağıda değineceğimiz verilerin öğrenmesi sebebiyle kişinin mağdur olmasına veya ayrımcılığa uğramasına engel olmak amacıyla bazı kişisel veriler hassas veriler olarak sayılmış ve özel olarak düzenlenmiştir.
6698 Sayılı kanunun 6. Maddesi uyarınca “Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve özel güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.”. Kanunun açık lafzı uyarınca 6. Madde kapsamı dışında olan veriler genel nitelikli kişisel veri kapsamına dahildir. Söz konusu madde uyarınca özel nitelikli kişisel veriler sınırlı sayıdadır ve kesinlikle genişletilemez.
KİŞİSEL VERİLERİN İŞLENME ŞARTLARI NELERDİR ?
Kişisel verisi işlenen kişiye internet ortamında birçok yanlış adlandırmalar yapılmaktadır. Kişisel Verileri Koruma Kanunun birçok yerinde bahsettiği üzere verisi işlenen kişiye “ilgili kişi” denmektedir.
1-Genel Nitelikli Kişisel Verilerin İşlenme Şartları
6698 Sayılı kanunun 5.maddesinin 1. Fıkrası “kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez” demektedir. Açık rıza kavramı ise KVKK 3. Maddesinin 1.fıkrasının a bendi uyarınca “belirli konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı” ifade etmektedir. Bununla beraber 5.maddenin 2.Fıkrasında aşağıda yer vereceğimiz sebeplerin varlığı halinde açık rıza aranmayacağı ifade edilmiştir.
a) Kanunlarda açıkça öngörülmesi.
b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.
e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
2-Özel Nitelikli Kişisel Verilerin İşlenme Şartları
Özel Nitelikli verilerin işlenme şartları 5.maddeden farklı olarak 6.maddede değinilmiş ve açık rıza aranmayan şartların varlığı daha da sınırlandırılmıştır. 6698 sayılı kanunun 6.maddesinin 2. Fıkrası uyarınca açık rıza aranmaktadır. Aynı maddenin 3.fıkrası uyarınca açık rıza aranmayan haller ve sağlık ile cinsel hayata dair işlenen kişisel verilerin işlenmesinde açık rıza aranmayan haller tahdidi olarak sayılmıştır.
“Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.”
Buna ek olarak kanun koyucu özel nitelikli kişisel verilerin işlenmesinde hassas davranarak bu hususa 4. Fıkrada yer vermiş, Kurul tarafından gerektiğinde yeterli önlemlerin alınacağını da belirtmiştir.
KİŞİSEL VERİ İHLALİNDE YÜRÜTÜLECEK SÜREÇ NEDİR ?
Yazımızın uzamaması ve sıkmaması adına veri işleme şartlarına, veri sorumlusunun sahip olduğu yükümlülüklere ve veri kayıt sistemine daha sonra değineceğiz. Dolayısıyla son olarak işlenen kişisel verinizin ihlali veya kanunen belirli olan işleme şartlarına aykırılık durumunda uyulacak usuli esaslara değinip yazımızı noktalayacağız.
1-Veri Sorumlusuna Başvuru
6698 sayılı kanunun 11. Maddesi uyarınca ilgili kişi ( verisi işlenen kişi ) belli başlı haklara sahiptir. Madde uyarınca ilgili kişi veri sorumlusuna başvurarak
a) Kişisel veri işlenip işlenmediğini öğrenme,
b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
e) 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme,
haklarına sahiptir. Şayet veri sorumlusu ilgili kişinin bu taleplerine cevap vermez ise Kurula başvuru hakkı saklıdır. Buna ek olarak 12.maddede veri sorumlusunun sahip olduğu yükümlülükler sayılmış, şayet bu yükümlülüklere aykırılık da mevcut ise veri sorumlusuna başvurularak ihlalin düzeltilmesi talep edilmelidir.
13.madde uyarınca ilgili kişi yazılı olarak veya kurulun belirleyeceği diğer yöntemlerle veri sorumlusuna talepte bulunur. Veri sorumlusu kendisine gelen talebin niteliğine uygun düşecek sürede ve en fazla 30 gün içinde kural olarak ücretsiz cevap vermek ve sorunu çözüme kavuşturmak zorundadır. Bazı şartlarda maliyet gerektirecek taleplerde kurulun belirlediği tarifedeki ücretler alınabilir. Başvuru sonucunda veri sorumlusu ;
1. Talebi kabul eder yahut
2. Gerekçesini açıklayarak reddeder.
İlgili talebin sonucu yazılı veya elektronik ortamdan ilgili kişiye bildirilmek zorundadır.
2-Kurula Şikayet
6100 sayılı Hukuk Muhakemeleri Kanunun 114. Maddesinde sayılan dava şartları gibi aslında veri sorumlusuna başvuru da kurula şikayet yolunda bir usuli şarttır. Çünkü 6698 sayılı kanunun 14. Maddesinin 2. Fıkrası gereği “ …başvuru yolu tüketilmeden şikayet yoluna başvurulamaz. “ denilerek emredici hüküm konulmuştur. Veri sorumlusuna başvurduk fakat ;
1. Başvurumuz reddedildiyse,
2. Veri sorumlusu tarafından verilen cevap yetersiz ise,
3. Süresinde (en geç 30 gün) cevap verilmediyse,
İlgili kişi veri sorumlusunun cevabını öğrendiği tarihten itibaren 30 gün ve her halde başvuru tarihinden itibaren 60 gün içinde kurula şikayette bulunabilir.
3-Şikayeti İnceleme Yönünden Usul ve Esaslar
6698 sayılı kanunun 15. Maddesinde açık ve özet olarak değinilmiştir.
Şikâyet üzerine veya resen incelemenin usul ve esasları
MADDE 15- (1) Kurul, şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen, görev alanına giren konularda gerekli incelemeyi yapar.
(2) 1/11/1984 tarihli ve 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanunun 6 ncı maddesinde belirtilen şartları taşımayan ihbar veya şikâyetler incelemeye alınmaz.
(3) Devlet sırrı niteliğindeki bilgi ve belgeler hariç; veri sorumlusu, Kurulun, inceleme konusuyla ilgili istemiş olduğu bilgi ve belgeleri on beş gün içinde göndermek ve gerektiğinde yerinde inceleme yapılmasına imkân sağlamak zorundadır.
(4) Şikâyet üzerine Kurul, talebi inceleyerek ilgililere bir cevap verir. Şikâyet tarihinden itibaren altmış gün içinde cevap verilmezse talep reddedilmiş sayılır.
(5) Şikâyet üzerine veya resen yapılan inceleme sonucunda, ihlalin varlığının anlaşılması hâlinde Kurul, tespit ettiği hukuka aykırılıkların veri sorumlusu tarafından giderilmesine karar vererek ilgililere tebliğ eder. Bu karar, tebliğden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirilir.
(6) Şikâyet üzerine veya resen yapılan inceleme sonucunda, ihlalin yaygın olduğunun tespit edilmesi hâlinde Kurul, bu konuda ilke kararı alır ve bu kararı yayımlar. Kurul, ilke kararı almadan önce ihtiyaç duyması hâlinde, ilgili kurum ve kuruluşların görüşlerini de alabilir.
(7) Kurul, telafisi güç veya imkânsız zararların doğması ve açıkça hukuka aykırılık olması hâlinde, veri işlenmesinin veya verinin yurt dışına aktarılmasının durdurulmasına karar verebilir.
4-Kurulun Yaptırımları Nelerdir ?
Kişisel Verileri Koruma Kanununun Suçlar ve Kabahatler başlıklı 17. Ve 18. Maddesi uyarınca veri sorumlusu tarafından ihlal edilen hak sonucu bir suç var ise 5237 sayılı Türk Ceza Kanunun 135 ila 140. Maddeleri tatbik edilecek fakat kabahat mevcut ise kurul tarafından 18. Madde uyarınca idari para cezası verilecektir.
SONUÇ
İllaki hepimiz kişisel verilerimiz yönünden hak mahrumiyetleri yaşamışızdır. Tarafımıza gönderilen reklam smsleri, bizim özelimiz olan şeylerin herkesin gözü önüne serilmesi ve bitmeyecek örnekler… Fakat son zamanlarda güzel kararlarla damga vuran kurul, başta şahsım olmak üzere tahminimce büyük çoğunluğun adalete olan inancını tekrar yeşertmiştir. Umarım ülkemiz hak ettiği hukuki yapıya kavuşacak, toplumun adalete olan inancını tekrar tesis edecektir.
Son olarak, daha taze ve güzel bir alan olduğundan dolayı yazımda eksik bulduğunuz hususları belirtirseniz memnun kalırım. Sizi sıkmamak adına minimum düzeyde yazmaya gayret gösterdim. Yazımı buraya kadar okuyup, emeğime saygı duyan herkese teşekkür ederim.
Stj. Av. Musa Tayfun BAŞYİĞİT
KAYNAKÇA
6698 Sayılı Kişisel Verilerin Korunması Kanunu
4721 Sayılı Türk Medeni Kanunu
https://kvkk.gov.tr/
https://kvkk.gov.tr/Icerik/6710/2019-273
https://insanhaklarimerkezi.bilgi.edu.tr/media/uploads/2016/03/29/KisiselVerilerinOtomatikIslemeTabiTutulmasiKarsisindaBireylerinKorunmasiSozlesmesi.pdf
https://kisiselveri.com/50-soruda-kisisel-verilerin-korunmasi
https://kvkk.gov.tr/yayinlar/ANAYASAL%20B%C4%B0R%20HAK%20OLARAK%20K%C4%B0%C5%9E%C4%B0SEL%20VER%C4%B0LER%C4%B0N%20KORUNMASINI%20%C4%B0STEME%20HAKKI.pdf
https://www.tolgaymingan.av.tr/kisisel-veri-ihlali-halinde-cezalar-kvkk-cezalar/#:~:text=T%C3%BCrk%20Ceza%20Kanunu'nun%20136.%20maddesi%20uyar%C4%B1nca%2C%20kanunlar%C4%B1n%20belirledi%C4%9Fi,y%C4%B1la%20kadar%20hapis%20cezas%C4%B1%20verilir.
