Tüm dünyada, özellikle Avrupa’da uzun yıllardır devletlerin ve vatandaşların aşina olduğu bir kavram olan kişisel veriler, Türkiye’de Kanun’un -bazı maddeleri dışında- yürürlüğe girdiği tarih olan 2016 itibariyle dahi büyük şirketler veya kimi kamu kurumları hariç olmak üzere beklenen sesi getiremedi. 6698 sayılı yasa ve getirdiği sorumluluklar, ancak veri koruma otoritesinin yüklü miktardaki idari para cezaları veya talimat içeren kararları neticesinde kabul görmeye ve daha çok önemsenmeye başladı. Artık Kişisel Verilerin Korunması Hukuku, hukuk fakültesi öğrencilerine ders olarak anlatılan, hakkında akademik çalışmalar yapılan, eğitimler verilen bir alan. Bununla birlikte; gerek veri sahibi kişiler haklarının neler olduğu; gerekse veri sorumluları sorumluluklarını yerine getirmedikleri takdirde karşılaşacakları yaptırımların neler olduğu noktasında halen yeterli bilinç düzeyine erişmiş değiller. Bu nedenle 2021 yılı sona ererken halen Kişisel Verilerin Korunması Kanunu’na uyum projelerinin; teknik anlamda güvenliği sağlamaksızın yalnızca NDA (gizlilik) sözleşmeleri, aydınlatma ve açık rıza metinleri hazırlanarak yapıldığını görmekte veya uyum sürecinin VERBİS kaydından ibaret olduğunu düşünen veri sorumlularıyla karşılaşmaktayız. Benzer şekilde; hukuka uygunluk sebeplerinin varlığı halinde kişisel verilerin işlenmesinin suç veya kabahat olmadığını bilmeyen veri sahibi ilgili kişiler de söz konusu.

Çalışmamızda; kişisel verilerin korunmasına ilişkin uygulamada karşılaşılan sorunlar; uyum projelerinde gözlemlediğimiz olaylar ve yasal düzenlemeler çerçevesinde ele alınacaktır.

1. 6698 SAYILI KİŞİSEL VERİLERİN KORUNMASI KANUNU’NUN UYUMLU HALE GETİRİLMESİ GEREKEN MEVZUAT DÜZENLEMELERİ

Avrupa Konseyi bünyesinde hazırlanmış olan 108 no.lu “Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi”, 28.01.1981 tarihinde imzaya açılmış, Türkiye Cumhuriyeti Devleti aynı tarihte sözleşmeyi imzalamıştır. 6669 sayılı uygun bulma kanunu ise, 17.02.2016 tarihli ve 29628 sayılı Resmi Gazete’de yayımlanmıştır. Bu gelişmeler sonrasında 6698 sayılı Kişisel Verilerin Korunması Kanunu; bazı hükümler hariç olmak üzere 07.04.2016 tarihinde Resmi Gazete’de yayımlanarak yürürlüğe girmiştir. 8, 9, 11, 13, 14, 15, 16, 17 ve 18 inci maddeler ise yayım tarihinden altı ay sonra yürürlüğe girmiştir.

Hukukumuza 2016 yılında giren bir yasanın; kendisinden önce yürürlüğe girmiş ve uygulaması oturmuş yasalarla ahenk içinde olmadığı durumların olması ve hatta yer yer çelişmesi olağandır. Teknolojinin bu kadar ilerlediği, herkesin cebinde akıllı telefonların olduğu, sosyal medyanın hayatımızda bu kadar yer ettiği ve olayların çok hızlı şekilde herkes tarafından öğrenilebildiği bir çağda; kişisel verileri yasal düzenlemelerle korumak hiç şüphesiz tek başına yetersiz kalacaktır. Bu nedenle Kişisel Verilerin Korunması Kanunu’nun uygulanması noktasında yalnızca kendisinden önceki yasalarla değil, hayatın olağan ve hızlı akışıyla da uyum sağlamada zorluklar yaşanabilmektedir.

a. Anayasa: Anayasamızın “Temel Hak ve Ödevler” başlıklı ikinci kısmının “Kişinin Hakları ve Ödevleri” başlıklı ikinci bölümünde, “IV. Özel hayatın gizliliği ve korunması”/A. Özel hayatın gizliliği” başlığı altında özel hayatın gizliliği korunmuş (m. 20/1), arama ve el koyma kararı hakkında genel çerçeve çizilmiştir (m. 20/2).

2010 yılında referandumla yapılan değişiklik sonucunda Anayasamızın 20 nci maddesine; “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.” fıkrası eklenmiştir (m. 20/3).

Kişisel verilerin korunması ve bununla bağlantılı hakların Anayasal teminat altına alınması, kişi hak ve özgürlükleri bakımından önemli bir gelişme olmuş, ayrıca bu düzenlemeyle kişisel veriler mevzuatının yasal altyapısı hazırlanmıştır.

Anayasamızın 20/3 maddesinde kişisel verilere ilişkin düzenleme “Özel hayatın gizliliği” altında bulunmakta olup, kişisel verilere ilişkin hakların özel hayatın mahremiyeti kapsamında olduğu yönünde Kişisel Verilerin mahiyetini daraltan bir mentalite söz konusudur. Kişisel verilerin şekli olarak özel hayattan ayrı bir başlık altında düzenlenmesi gerektiği kanaatindeyiz. İkisinin farklı kavramlar olmasının ötesinde, içerik olarak da kişisel veriler, özel hayat kavramının alt kümesi olarak değerlendirilemez; zira kanaatimizce tam tersi bir durum söz konusudur, özel hayat kişisel verilerin alt kümesidir. Özel hayata ilişkin veriler kişisel veridir, ancak her kişisel veri özel hayat verisi olarak değerlendirilemez. 6698 sayılı Kişisel Verilerin Korunması Kanunu’na göre kişisel veri; “Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir.” Tanımdan da anlaşılacağı üzere bir gerçek kişinin adı, soyadı, doğum tarihi ve doğum yeri gibi bireyin sadece kimliğini ortaya koyan bilgiler değil; telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, e-posta adresi, hobiler, tercihler, etkileşimde bulunulan kişiler, grup üyelikleri, aile bilgileri, sağlık bilgileri gibi kişiyi doğrudan veya dolaylı olarak belirlenebilir kılan tüm veriler kişisel veri olarak kabul edilmektedir. Özel hayat ise mahremiyet içeren bir kavramdır. Kişinin özel alanını ilgilendirir. Takdir edileceği üzere; kişinin kimlik bilgileri, telefon numarası gibi bilgileri özel hayat kapsamında değerlendirilemez. Anayasamızda kişisel verilerin korunmasına ilişkin hakkın, özel hayatın gizliliği kapsamında değil, ayrı bir başlık altında; münferit bir hak olarak düzenlenmesi gerektiği kanaatindeyiz.

b. 5237 sayılı Türk Ceza Kanunu: 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun “Suçlar ve Kabahatler” başlıklı beşinci bölümü altında yer alan “Suçlar” başlıklı 17 nci maddesi, iki fıkradan oluşmaktadır. Birinci fıkra; kişisel verilere ilişkin suçlar bakımından 5237 sayılı Türk Ceza Kanunu’nun 135-140 ıncı maddelerine atıfta bulunurken, ikinci fıkra kişisel verileri silmeyen veya anonim hale getirmeyenler hakkında yine Türk Ceza Kanunu’nun 138 inci maddesine mükerrer şekilde ve özel olarak atıf yapmıştır.

Türk Ceza Kanunu’nun dokuzuncu bölümünün başlığı (m. 132-m.140); “Özel Hayata ve Hayatın Gizli Alanına İlişkin Suçlar”dır. Dokuzuncu bölümde yer alan 132 nci madde “Haberleşmenin gizliliğini ihlal”, 133 üncü madde “Kişiler arasındaki konuşmaların dinlenmesi ve kayda alınması”, 134 üncü madde ise “Özel hayatın gizliliğini ihlal” suçunu düzenlemektedir. 135 inci maddeden itibaren veriler ve kişisel verilerle ilgili suçlar düzenlenmiştir. Tüm bu suçların özel hayata ilişkin suçlar başlığı altında toplanmış olması, Anayasa’dakine benzer bir durum oluşturmaktadır. Ceza Kanunu’ndaki hükümlerin yürürlüğe girdiği dönemde Türkiye’de kişisel verilere ilişkin bir farkındalığın ve temel bir yasal düzenlemenin olmamasının da, bu durumda etkili olduğu kanaatindeyiz.

- M. 135-Kişisel verilerin kaydedilmesi suçu: Söz konusu suçun oluşması noktasında kişisel verilerin kaydedildiği ortamın otomatik olmasının veya olmamasının bir önemi bulunmamaktadır. Eski usul bir telefon rehberine kaydedilen veri de, bilgisayarda saklanan veri de suçun konusu olabilir. Hükmün 2 nci fıkrasında ise, kaydedilmesi ağırlaştırıcı sebep oluşturan veri tiplerinin Kişisel Verilerin Korunması Kanunu kapsamında “özel nitelikli kişisel veriler” olduğunu görmekteyiz.

- M. 136-Verileri hukuka aykırı olarak verme veya ele geçirme suçu: Kanun metninden de anlaşılacağı üzere; suça ilişkin üç hareket söz konusudur; vermek, yaymak ve ele geçirmek. Yaymak ve ele geçirmek daha net fiiller ise de, verileri hukuka aykırı olarak vermenin kapsamı çok geniştir. Hangi vermek eyleminin suç kapsamına alınacağı belirli değildir. Yazılı olarak vermeyle birlikte sözlü olarak vermeyi de suç kapsamında düşündüğümüzde; olağan hayatın akışı içerisinde bu suçun çok defa vuku bulması olasıdır.

- M.138-Verileri yok etmeme suçu: Verilerin ne kadar süre yok edilmezse suç oluşacağı noktasında “kanunların belirlediği süreler” kriter olarak alınmıştır. Şayet bir veri kategorisine ilişkin yasal düzenlemeyle öngörülmüş bir saklama süresi varsa ve bu sürenin sonunda veriler yok edilmiyorsa suç meydana gelecektir.

c. 4721 sayılı Türk Medeni Kanunu: Türk Medeni Kanunu’nun Kişiler Hukuku kitabının Kişilik bölümünde yer alan 23, 24 ve 25 inci maddeleri, kişiliğin korunmasına ilişkin hükümlerdir. 23 üncü maddede kişi, kendi rızasıyla kendisine yönelen saldırılara karşı korunurken; 24 üncü maddede ise rızası dışındaki saldırılara karşı korunmaktadır. 25 inci madde bu saldırılar ve kişiliğin ihlali halinde başvurulabilecek koruma yollarını düzenlemektedir. Kişisel veriler, özel bir korumaya tabi olmayıp bu koruma kapsamındadır. Kişisel Verilerin Korunması Kanunu’ndaki özel hükümler, Türk Medeni Kanunu’ndaki genel koruma hükümlerinin tamamlayıcısı konumundadır. Belirtmek gerekir ki Medeni Kanun’da yer alan hükümler genel olmakla birlikte saldırı gerçekleştikten sonra veya saldırı tehlikesinin bulunması halinde söz konusu olmaktadır. Buna mukabil Kişisel Verilerin Korunması Kanunu ve ikincil mevzuat, genel olarak kişisel verilerin korunarak saldırıya uğramaması için gerekli önleyici ilkeleri tanzim etmektedir.

d. 4857 sayılı İş Kanunu: İş Kanunu’nun “İşçi Özlük Dosyası” başlıklı 75 inci maddesi gereği, işveren her bir işçi hakkında tuttuğu özlük dosyasında, kanunlar uyarınca düzenlemek zorunda olduğu her türlü belge ve kayıtları saklamak ve gerektiğinde yetkili memur ve mercilere ibraz etmek zorundadır. İşveren, işçi özlük dosyasını sosyal güvenlik mevzuatı gereğince 10 yıl, sağlık dosyasını ise iş sağlığı ve güvenliği mevzuatı gereği 15 yıl boyunca saklamak zorundadır. Hükmün ikinci fıkrasında ise; işverene işçi hakkında edindiği bilgileri dürüstlük kuralları ve hukuka uygunluk çerçevesinde kullanma ve gizli kalmasında işçinin haklı çıkarı bulunan bilgileri açıklamama yükümlülüğü getirilmiştir.

İş hukukundan kaynaklanan uyuşmazlıklar; işçinin kişisel verileri üzerinden yürümektedir. Arabuluculuk ve dava dosyaları kapsamında işçinin kimlik bilgileri, kıdemi, maaş bilgileri, işe giriş-çıkış saatleri, hatta yakınlarının kimlik bilgileri gibi pek çok kişisel veri işlenmektedir. Herhangi bir dava veya hukuki uyuşmazlık olmasa dahi işçi-işveren ilişkisinin gereği olarak da pek çok kişisel verinin işlenmesi gerekmektedir. Bu bağlamda İş Kanunu M. 75 hem işverenin yasalar gereği saklamak zorunda olduğu bilgileri saklama yükümlülüğünü, hem de bu yükümlülüğü yerine getirirken tabi olduğu sınırları hüküm altına almaktadır. İş Kanunu’na göre daha genel bir kanun olan Türk Borçlar Kanunu’nun hizmet sözleşmesine ilişkin 419 uncu maddesi de benzer bir düzenleme getirmiştir: “İşveren, işçiye ait kişisel verileri, ancak işçinin işe yatkınlığıyla ilgili veya hizmet sözleşmesinin ifası için zorunlu olduğu ölçüde kullanabilir”.

İş Kanunu iş sözleşmesi, Türk Borçlar Kanunu ise hizmet sözleşmesi kapsamında işçinin kişisel verileri için benzer ancak genel düzenlemeler yapmışlardır. İşçinin kişisel verilerine ilişkin bu hükümlerin genel ilkeyi belirleyen hükümler olduğu, işverenin işçinin kişisel verilerine ilişkin yükümlülükleri noktasında 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun esas alınması gerektiği kanaatindeyiz.

- İşçi yakınlarının kişisel verileri konusu: İşçinin kişisel verilerine ilişkin uygulamada karşılaşılan en büyük problemlerden biri; işçinin yakınlarına ait kişisel verilerdir. Çalışan yakınlarının kimlik, iletişim, sağlık, eğitim vs. bilgileri; özel sigorta, AGİ yardımı gibi imkânlardan faydalanabilmeleri adına işlenmektedir. Bu kişilerin verileri için kimi işyerlerinde çalışanın kendisinden açık rıza alınmakta veya çalışanın kendisine aydınlatma metni imzalatılmaktadır. Kimi işyerleri ise bizzat çalışan yakınlarından açık rıza almakta veya bu kişileri aydınlatma yükümlülüklerini yerine getirmektedirler. İkinci yöntemin doğru olduğu kanaatinde isek de, burada karşımıza, çalışanın yetişkin olmayan çocuklarının bilgileri için nasıl bir yöntem izlenmesi gerektiği hususu gündeme gelmektedir. Kurul’un 11/08/2020 tarihli ve 2020/622 sayılı kararı; 18 yaşını doldurmamış bir kişinin kişisel verilerinin korunmasına ilişkindir. Kararın konusunu oluşturan olayda; 18 yaşını doldurmamış çocuğun sağlık raporunun imha edilmesi için babası veri sorumlusuna başvurmuş, cevap alınamaması üzerine çocuğun kendisi Kişisel Verileri Koruma Kurumu’na şikayette bulunmuştur. Kurul kararında; kişisel verilerin korunmasının nispi kişiye sıkı sıkıya bağlı haklardan olduğu ve E-nabız verilerine küçük tarafından aksi öngörülmedikçe hem kendisinin hem velisinin erişiminin olanaklı olduğu; her iki durumda da ayırt etme gücüne sahip küçüğün söz konusu hakkı bizzat kullanabileceği gibi velisinin de onun adına ve hesabına kullanımına olanak tanındığı tespitleri yapılmıştır. Bunun sonucunda da “…küçüğün ayırt etme gücüne sahip olması koşuluyla, ilgili kişi küçük ve velisinin başvuru konusundaki iradelerinin örtüştüğü de dikkate alındığında, gerek veri sorumlusuna yapılan başvuru gerek Kurula intikal eden şikayet bakımından her iki tarafın da hakkı kullanmada yetkili kabul edilebileceği” değerlendirilmiştir. Bu karar doğrultusunda aydınlatma ve açık rıza yükümlülüklerinin çocuğa veya velisine yapılması mümkün kılınmıştır. Ancak hangi çocukların ayırt etme gücüne sahip sayılacağı ve veliyle çocuğun iradesinin örtüşmemesi halinde ne olacağı hususu halen net değildir.

- Memur sicil dosyalarının 101 yıl saklanması konusu: Özel sektörde çalışan kişilerin özlük dosyası sosyal güvenlik mevzuatı gereği 10 yıl saklanırken; Arşiv Hizmetleri Hakkında Yönetmelik’in 4/c maddesi; “son işlem tarihi üzerinden yüzbir yıl geçmemiş memuriyet sicil dosyaları”nı, “arşivlik malzeme” olarak öngörmüştür. İlgili hüküm gereği memur sicil dosyaları son işlem tarihinden itibaren 101 yıl muhafaza edilecektir. Anayasal teminat altına alınmış bir insan hakkı olan kişisel verilerin 101 yıl boyunca saklanmasının, bu hakkın korunmasına ilişkin bir sınırlama olduğu ve bu sınırlamanın yönetmelikte yer almasının, Anayasa’nın temel hak ve özgürlüklerin ancak kanunla sınırlanabileceğine ilişkin 13 üncü maddesine aykırı olduğu kanaatindeyiz.

2. KİŞİSEL VERİLERİN KORUNMASI NOKTASINDA CAYDIRICILIĞIN YETERSİZ KALMASI

Kişisel verilerin korunmasına ilişkin kabahatler ile bunların yaptırımları, Kanun’un 17 inci maddesinde düzenlenmiştir. Buna göre; aydınlatma yükümlülüğüne aykırı davranmak (m. 18/a), veri güvenliği yükümlülüğüne aykırı davranmak (m. 18/b), VERBİS’e kayıt ve bildirim yükümlülüğüne aykırı davranmak (m. 18/ç) ve Kişisel Verileri Koruma Kurulu kararlarını yerine getirmemek (m. 18/c) kabahat olarak düzenlenmiş olup, çeşitli düzeylerde idari para cezası yaptırımları mevcuttur. İdari para cezaları; veri sorumlusu olan gerçek kişi ve özel hukuk tüzel kişilerine uygulanacaktır (m. 18/2). Kanun veri işleyenleri de aydınlatma yükümlülüğü (m. 10) ve veri güvenliğini sağlamak (m. 12/1) konularında yükümlü kılmasına karşın, idari para cezalarını yalnızca “…veri sorumlusu olan gerçek kişiler ile özel hukuk tüzel kişileri” hakkında öngörmüştür.

İdari para cezası gerektiren eylemlerin kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları bünyesinde işlenmesi halinde ise yaptırım açısından idari para cezasından farklı bir prosedür öngörülmüştür. Buna göre; Kişisel Verileri Koruma Kurulu’nun yapacağı bildirim üzerine ilgili kamu kurum ve kuruluşunda görev yapan memurlar ve diğer kamu görevlileri ile kamu kurumu niteliğindeki meslek kuruluşlarında görev yapanlar hakkında disiplin hükümlerine göre işlem yapılacak ve sonuç Kurul’a bildirilecektir (m. 18/3). İdari para cezası gerektiren eylemlere ilişkin M. 18/3’te belirlenen prosedürün ilgili kurum veya kuruluşun veri sorumlusu olması halinde mi işletileceği, yoksa hem veri sorumlusu hem de veri işleyenler hakkında mı işletileceği açıkça belirtilmemiştir. Yaptırımın gerçek kişiler ve özel hukuk tüzel kişilerine uygulanana nazaran daha az olması nedeniyle; ilgili prosedürün hem veri sorumlusu hem de veri işleyen kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarına uygulanmasının yerinde olacağı kanaatindeyiz.

3. KAVRAMSAL SIKINTILAR

- Veri Sorumlusu-Veri İşleyen Tanımları: 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun “Tanımlar” başlıklı 3 üncü maddesinde; “Kişisel verilerin işlenmesi” (m. 3/1-e) ve “Veri işleyen” (m. 3/1-ğ) tanımları yapılmıştır. Yasadaki tanıma göre kişisel verilerin işlenmesi; “Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem”dir. Veri işleyen ise; “Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi” olarak tanımlanmıştır. Esasen veri işleyen de, veri sorumlusu da veri işlemektedir. Bunu tek yapan yapan “Veri işleyen” değildir. “Veri işleyen” tanımının “Veri sorumlusu adına veri işleyen” olarak değiştirilmesinin, kavramsal karışıklıkları engelleyeceği kanaatindeyiz.

- Veri Sorumlusu Kavramı: Kanun’un 3/1-ı maddesinde veri sorumlusu; “Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi” olarak tanımlanmıştır. Veri sorumlusu olmanın tüm özelliklerini haiz olmasına karşın tüzel kişiliği bulunmayan müesseselerin ne olacağı hususu halen boşluktadır. Örnek vermek gerekirse, bakanlıklar veya bakanlıklara bağlı müdürlüklerin tüzel kişilikleri bulunmamasına karşın kişisel veri işlemenin amaç ve vasıtalarını belirlemekte, veri kayıt sistemini kendileri kurmaktadırlar. VERBİS’te tüzel kişiliği bulunmayan işbu müesseselerin veri sorumlusu olarak kaydının yapılmasının önünde bir engel bulunmayıp teknik olarak mümkünse de, hukuken veri sorumlusu tanımının değiştirilmesi gerektiği kanaatindeyiz.

4. KİŞİSEL VERİLERİN ANAYASAL BİR HAK OLDUĞUNA İLİŞKİN BİLİNCİN YETERSİZ OLUŞU

Kişisel veriler; kimimizin online alışveriş yaptığı web sitelerinden aşina olduğu bir kavram,  kimimiz için özel hayat verilerimiz, kimimiz içinse çerçevesi net olarak bilinmeyen yeni bir kavram. Her ne olursa olsun gerçek şu ki; kişisel verilerimiz birileri için çok değerli. Bilhassa bir araya geldiğinde toplumun alışveriş, harcama, kullanım vs. eğilimlerini açığa çıkarmak gibi fonksiyonları pek çok büyük şirkete ciddi ekonomik çıkarlar sağlamakta. Onlar kendi çıkarlarını elde ederken ne yazık ki göz ardı edilen husus, kişisel verilerimizin güvenliği olmaktadır.

Kişisel verilerin korunması ilkesinin; izinsiz görüntü kullanımı, konuşmaların ekran görüntüsü alınarak başka kişilerle paylaşılması, kimlik bilgilerinin kurumların internet sitelerinde yayınlanması gibi belirgin şekilde ihlal edilmesi halinde ne yapılması gerektiği konusunda toplumda belirli bir bilinç düzeyine ulaşıldığı kanaatindeyiz. Kişisel Verileri Koruma Kurumu tarafından hazırlanarak televizyon kanalları ve dijital mecralarda yayınlanan kamu spotlarının, Kişisel Verileri Koruma Kurulu üyeleri ve alanında uzman kişilerle yapılan röportaj ve söyleşilerin bu bilincin oluşmasında etkili olduğu bir gerçektir. Buna karşılık hukuka uygun bir veri işleme gibi görünerek yapılan veri ihlalleri veya bu veri ihlalleri yapılmadan önce alınacak önlemler noktasında kat edilecek yol çok fazladır. Herkesin ziyaret ettiği alışveriş merkezlerinde, üyeliğinin veya kaydının bulunduğu kurum ve kuruluşlarda, alışveriş yaptığı e-ticaret sitelerinde, üye olduğu sosyal medya hesaplarında verileri işlenmeden önce bu verilerin hangi amaçlarla işlendiğini, hangi kişi ve kurumlarla paylaşıldığını, ne kadar süre saklanacağını vs. konuları araştırması gerekir. Bilinmelidir ki, sayfalarca süren ve ilgili kişinin okumasının mümkün olmadığı bir aydınlatma metninin hukuka uygun olmama ihtimali yüksektir. Aynı şekilde içerisinde hukuki ifadelerin yer aldığı ve “göze hukuki görünen” bir açık rıza metninin de, incelendiğinde hukuka uygun olmadığı ortaya çıkabilir. Şayet verilerin hukuka uygun şekilde işlenmeme durumu söz konusu ise gerekli mercilere başvuru yollarının ilgili kişi tarafından kolay bir şekilde işletilebilmesi gerekir. 

Veriler işlenmeden önce de sonra da; her iki durumda da kişisel verilerin korunması konusunda yalnızca bilgi işlem uzmanları ve hukukçuların değil; herkesin, özellikle de kişisel verileri söz konusu olan vatandaşların yeterli farkındalık düzeyinde olması gerekir. Kişisel verilerin korunması hususu, yalnızca bir hukuk dalı değil; herkesin kendi haklarını bilmesi gereken bir konudur, zira bilişim çağında hepimizin verileri bir şekilde işlenmektedir. Bunun için Kişisel Verileri Koruma Kurumu’nun yayınladığı kamu spotlarının, –her ne kadar faydalı ise de- “Parolanızı kimse ile paylaşmayın”, “Kişisel verilerinizi paylaşmayın” gibi sloganlar üzerine kurulu olmak yerine, daha tartışmalı konularda ve daha detaylı şekilde işlenmesi gerekir. Kişisel veri kavramının ne kadar geniş ve bu verilerin ne kadar önemli olduğu, iznimiz ve bilgimiz dışında toplanması, kullanılması ve benzeri durumlarda ne gibi ciddi sorunlarla karşılaşılacağı konusunda kişiler bilinçlendirilmelidir. Konu hakkında televizyon kanalları ve dijital mecralarda mütalaa veren kişilerin de herkesin anlayabileceği şekilde ancak biraz daha teknik detaylar hakkında da bilgi vermesi gerekir.

Av. Gizem TURGUT
Av. Melike EMİRMAHMUTOĞLU

KAYNAKÇA

“100 Soruda Kişisel Verilerin Korunması Kanunu” https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/7d5b0a2f-e0ea-41e0-bf0b-bc9e43dfb57a.pdf-Erişim tarihi: 27.03.2021

“Kişisel Verileri Koruma Kurulu’nun 11/08/2020 tarihli ve 2020/622 sayılı kararı”

https://www.kvkk.gov.tr/Icerik/6816/2020-622 -Erişim tarihi: 26.08.2021