KİŞİSEL VERİ NEDİR?

KVK Kanunu’nun gerekçesine göre; Kişisel veri, bireylerin kimliklerini belirli hale getirmeye elverişli her türlü bilgi olarak tanımlanabilir. Bu bağlamda kişinin kimlik, iletişim, sağlık ve mali bilgileri ile özel hayatına, dini inancına ve siyasi görüşüne ilişkin bilgiler, kişisel veri olarak nitelendirilmektedir.1

KİŞİSEL VERİNİN KORUNMASINA DUYULAN İHTİYAÇ

Bilişim teknolojisinin gelişmesi beraberinde bir takım sorunlar getirmiştir. Amerika ve Avrupa ülkeleri başta olmak üzere kişisel veri, tüm dünya ülkelerinde korunması ve gözetilmesi gereken bir alan olarak görülmeye başlanmıştır. Kişisel verilerin korunması ihtiyacı ile birlikte bu verilerin korunması hakkı doğmuştur. Konunun önemi kişisel verilen korunması hukukunun doğmasını sağlamıştır.

ULUSAL DÜZENLEMELERDE KİŞİSEL VERİLEN KORUNMASI

1982 Anayasasının Özel Hayatın Gizliliği başlıklı 20. Maddesine 7 Mayıs 2010 tarihli 5982 sayılı Kanun’un 2. Maddesiyle eklenen fıkraya göre:

‘’Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.’’

Kişisel Verilerin Korunması Hakkı bu maddeye eklenen bir hüküm olsa da anayasal güvence altına alınmıştır.

Ülkemizde kişisel verilerin korunması hukukunun oluşması sürecindeki esaslı ilk adım 26 Aralık 2014 tarihinde “Kişisel Verilerin Korunması Kanunu Tasarısı” TBMM Başkanlığına sunulması ve Tasarının 24 Mart 2016 tarihinde kanunlaşmasıdır. 6698 sayılı Kişisel Verilerin Korunması Kanunu 7 Nisan 2016 tarih ve 29677 sayılı Resmi Gazete’de yayımlanarak yürürlüğe girmiştir.

5237 sayılı Türk Ceza Kanununun 135. maddesinde kişisel verilerin kaydedilmesi, 136. Maddesinde verileri hukuka aykırı olarak verme veya ele geçirme, 138. Maddesinde verileri yok etmeme fiilleri suç olarak düzenlenmiştir. Ayrıca Kanunun 140. maddesinde bu suçlarla ilgili olarak tüzel kişiler hakkında güvenlik tedbiri uygulanacağı hüküm altına alınmıştır.

KVKK’DA ÖNGÖRÜLEN DENETİM MEKANİZMASI

Kişisel verilerin korunmasını düzenleyen neredeyse bütün ulusal kanunlar tarafından bu kanunların gereklerinin yerine getirilip getirilmediğini denetlemek üzere veri koruma otoriteleri öngörülmüş ve hatta kimi zaman bu otoriteler hangi veriler konusunda denetleme yapıp yapmayacaklarına göre de ayrılmıştır. KVKK’da da paralel bir düzenlemeyle Kanun ile verilen görevleri yerine getirmek üzere bağımsız bir organ öngörülmesi amaçlanmıştır.2

KVKK’da denetim mekanizması esas olarak iki yoldan işler. İlki, ilgili kişinin kişisel verileri üzerindeki hakları; ikincisi ise Kurulun denetleyici görevidir. İlk yolun denetim sürecini başlatan ilgili kişidir. Talep edilen hususları veri sorumlusuna bildirir. Başvuru sonucunun olumsuz olması, yeterli ve zamanında cevap verilmemesi durumunda ilgili kişi altmış gün içinde Kurula şikayette bulunabilir. Şikayet üzerine Kurul gerekli incelemeleri yapar ve bir karar verir. İlgili kişinin başvurusu ve süreler hususuna ilişkin olarak Kurulun ilgili kararı şu şekildedir:

‘’ İlgili kişi tarafından yapılan başvuruya veri sorumlusunca 30 gün içinde bir cevap verilmesi halinde ilgili kişinin veri sorumlusunun cevabını müteakip 30 gün içerisinde şikâyette bulunabileceği, bu itibarla söz konusu hallerde ilgili kişinin veri sorumlusuna başvurduğu tarihten itibaren 60 günlük süresinin bulunmadığı,

İlgili kişi tarafından yapılan başvuruya veri sorumlusunca bir cevap verilmediği durumda ise ilgili kişinin veri sorumlusuna başvurduğu tarihten itibaren 60 gün içinde Kurula şikâyette bulunabileceği,

İlgili kişi tarafından yapılan başvuruya veri sorumlusunca Kanunda tanınan 30 günlük süre sonrasında bir cevap verilmesi halinde ilgili kişinin, Kanunda veri sorumlusuna tanınan 30 günlük süre sonrasında verilecek cevabı beklemekle yükümlü olmadığı ve veri sorumlusuna tanınan sürenin dolması ile birlikte Kurula şikâyette bulunabileceği göz önüne alınarak, ilgili kişinin veri sorumlusunun kendisine cevap verdiği tarihten itibaren 30 gün değil, veri sorumlusuna başvurduğu tarihten itibaren 60 gün içinde Kurula şikâyette bulunabileceği’’ Kişisel Verileri Koruma Kurulunun 24.01.2019 tarih ve 2019/9 sayılı kararı 3

İkinci yolda süreç, Kurulun inisiyatifi ile başlar. Bir şekilde hukuka aykırı veri işlendiğini öğrenen ya da veri sorumlusunu denetleme gereği gören Kurul, resen veri sorumlusunu denetleyebilir.4 Kurulun bir ihlalden haberdar olmasını sağlayan başlıca etmenleri, veri sorumlularının sicile kaydolma zorunluluğu, bu bağlamda kişisel veri envanterlerini VERBİS sistemine kaydetmeleri şeklinde sayabiliriz. Kurulun ne şekilde inceleme yapacağı KVKK 15. Maddesinde düzenlenmiştir. Maddeye göre:

(1) Kurul, şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen, görev alanına giren konularda gerekli incelemeyi yapar.

(2) 1/11/1984 tarihli ve 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanunun 6 ncı maddesinde belirtilen şartları taşımayan ihbar veya şikâyetler incelemeye alınmaz.

(3) Devlet sırrı niteliğindeki bilgi ve belgeler hariç; veri sorumlusu, Kurulun, inceleme konusuyla ilgili istemiş olduğu bilgi ve belgeleri on beş gün içinde göndermek ve gerektiğinde yerinde inceleme yapılmasına imkân sağlamak zorundadır.

(4) Şikâyet üzerine Kurul, talebi inceleyerek ilgililere bir cevap verir. Şikâyet tarihinden itibaren altmış gün içinde cevap verilmezse talep reddedilmiş sayılır.

(5) Şikâyet üzerine veya resen yapılan inceleme sonucunda, ihlalin varlığının anlaşılması hâlinde Kurul, tespit ettiği hukuka aykırılıkların veri sorumlusu tarafından giderilmesine karar vererek ilgililere tebliğ eder. Bu karar, tebliğden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirilir.

(6) Şikâyet üzerine veya resen yapılan inceleme sonucunda, ihlalin yaygın olduğunun tespit edilmesi hâlinde Kurul, bu konuda ilke kararı alır ve bu kararı yayımlar. Kurul, ilke kararı almadan önce ihtiyaç duyması hâlinde, ilgili kurum ve kuruluşların görüşlerini de alabilir.

(7) Kurul, telafisi güç veya imkânsız zararların doğması ve açıkça hukuka aykırılık olması hâlinde, veri işlenmesinin veya verinin yurt dışına aktarılmasının durdurulmasına karar verebilir.

KİŞİSEL VERİLERİ KORUMA KURULU VE GÖREVLERİ

Kişisel Verileri Koruma Kurulu esasen karar organıdır. KVKK madde 21’de Kurulun yapısı açıklanmış, 22’de görevleri sayılmıştır. Kurulun 22. Maddede sayılan görevleri şu şekildedir:

a) Kişisel verilerin, temel hak ve özgürlüklere uygun şekilde işlenmesini sağlamak.

b) Kişisel verilerle ilgili haklarının ihlal edildiğini ileri sürenlerin şikâyetlerini karara bağlamak.

c) Şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen görev alanına giren konularda kişisel verilerin kanunlara uygun olarak işlenip işlenmediğini incelemek ve gerektiğinde bu konuda geçici önlemler almak.

ç) Özel nitelikli kişisel verilerin işlenmesi için aranan yeterli önlemleri belirlemek.

d) Veri Sorumluları Sicilinin tutulmasını sağlamak.

e) Kurulun görev alanı ile Kurumun işleyişine ilişkin konularda gerekli düzenleyici işlemleri yapmak.

f) Veri güvenliğine ilişkin yükümlülükleri belirlemek amacıyla düzenleyici işlem yapmak.

g) Veri sorumlusunun ve temsilcisinin görev, yetki ve sorumluluklarına ilişkin düzenleyici işlem yapmak.

ğ) Bu Kanunda öngörülen idari yaptırımlara karar vermek.

h) Diğer kurum ve kuruluşlarca hazırlanan ve kişisel verilere ilişkin hüküm içeren mevzuat taslakları hakkında görüş bildirmek.

ı) Kurumun; stratejik planını karara bağlamak, amaç ve hedeflerini, hizmet kalite standartlarını ve performans kriterlerini belirlemek.

i) Kurumun stratejik planı ile amaç ve hedeflerine uygun olarak hazırlanan bütçe teklifini görüşmek ve karara bağlamak.

j) Kurumun performansı, mali durumu, yıllık faaliyetleri ve ihtiyaç duyulan konular hakkında hazırlanan rapor taslaklarını onaylamak ve yayımlamak.

k) Taşınmaz alımı, satımı ve kiralanması konularındaki önerileri görüşüp karara bağlamak.

l) Kanunlarla verilen diğer görevleri yerine getirmek.

KVKK’DA DÜZENLENEN KİŞİSEL VERİLERİ KORUMAYA YÖNELİK İDARİ YAPTIRIMLAR

Kişisel Verilerin korunmasına yönelik suç ve kabahatler ayrı yasalarla düzenlenmiştir. Suçların TCK ile düzenlendiği ve KVKK’da yalnızca TCK hükümlerine atıf yapmakla yetinildiği görülmektedir.5 Kabahatler ve idari yaptırımları ise doğrudan KVKK ile düzenlenmiştir. Kanun’un 18. Maddesi şu şekildedir:

a) 10 uncu maddesinde öngörülen aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar,

b) 12 nci maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar,

c) 15 inci maddesi uyarınca Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar,

ç) 16 ncı maddesinde öngörülen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar, idari para cezası verilir.

(2) Bu maddede öngörülen idari para cezaları veri sorumlusu olan gerçek kişiler ile özel hukuk tüzel kişileri hakkında uygulanır.

(3) Birinci fıkrada sayılan eylemlerin kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları bünyesinde işlenmesi hâlinde, Kurulun yapacağı bildirim üzerine, ilgili kamu kurum ve kuruluşunda görev yapan memurlar ve diğer kamu görevlileri ile kamu kurumu niteliğindeki meslek kuruluşlarında görev yapanlar hakkında disiplin hükümlerine göre işlem yapılır ve sonucu Kurula bildirilir.

Stj. Av. Aslı TURHAN

KAYNAKÇA

1https://www.kvkk.gov.tr/yayinlar/K%C4%B0%C5%9E%C4%B0SEL%20VER%C4%B0LER%C4%B0N%20KORUNMASI%20KANUNU%20VE%20UYGULAMASI.pdf

2Kişisel Verilerin Korunması Hukuku/ Murat Volkan Dülger sayfa: 364

3 https://www.kvkk.gov.tr/Icerik/5358/Kamuoyu-Duyurusu

4 Kişisel Verilerin Korunması Hukuku/ Murat Volkan Dülger sayfa:366

5 Kişisel Verilerin Korunması Hukuku/ Murat Volkan Dülger sayfa: 378