Genel Bilgilendirme
Teknolojik gelişmelerin artmasıyla, sosyal medya kullanımının yaygınlaşması, cep telefonu ve bilgisayar kullanımının her geçen gün artması kişisel verilerimizi her gün daha da fazla yere ulaştırıyoruz. Bu durum da kişisel verilerimizin erişimini ve olası yasal olmayan yollarla kullanılmasını kolaylaştırmaktadır.
İnternet üzerinde bulunan ve işlem yapan tüm şirketlerin, kurumların veri güvenliği de kişisel verilerimiz gibi önem taşıyan diğer husustur. Kişisel Verilerin Korunması kavramı ilk kez 2010 yılındaki referandum ile Türkiye Cumhuriyeti Anayasası’na girerek Türk Hukukunda yer almıştır. Anayasa’nın Özel Hayatın Gizliliği başlıklı 20. maddesinin 3. fıkrasında Kişisel Verilerin Korunması kavramı;
“Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.”, şeklinde açıklanarak Anayasa ile Kişisel Verilerin Korunmasına ilişkin esas ve usullerin kanunla düzenlenebileceği söylenerek Kanun’a temel oluşturulmuştur.
Akabinde TBMM tarafından hazırlanan ve oy birliği ile yasalaşan Kişisel Verileri Korunması Kanunu kişisel verileri güvende tutmak adına birden fazla ve önemli düzenlemeler getirmiştir. Bu kanun, 7 Nisan 2016’da Resmî Gazete ’de yayınlanarak yürürlüğe girmiştir.
Kanun düzenlemeleri ile kişilerin veya kurumların yükümlülükleri ve sorumlulukları da açık bir şekilde belirlenmiştir. Kanun, verileri kimin topladığını, kimin verileri işlendiğini, verilerin nerede, ne şekilde veya hangi amaçla kullanılabileceğini açıkça belirtmiştir. Mevcut verilerin ne gibi durumlardan ötürü imha edilmesi ve hızlı bir şekilde yayından kaldırılması ile ilgili sorunlar da bu yasada açıkça belirtilmiş ve kanun üzerinden belirtilmiştir.
Kanunun amacı, kişisel verilerin işlenmesinin belirli kurallara bağlanmasıdır, böylece anayasada öngörülen özel hayatın gizliliğine ilişkin temel hak ve özgürlüklerin korunmasıdır.
Kanun kapsamında Kişisel Verileri Koruma Kurulu oluşturularak çalışmalarına başlamıştır.
Temel Kavramlar
Kimliği belirli ya da belirlenebilir kılan her türlü bilgiye kişisel veri denir. Ad soyad, adres, kimlik bilgileri ilk akla gelen kişisel veriler olsa da bunların yanında e-posta adreslerimiz, telefon numaramız, takma adlar, IP adresleri, banka bilgilerimiz, kredi kartı bilgilerimiz, sosyal medya hesaplarımız, fotoğraflarımız gibi, bizim kim olduğumuza ulaştıran her türlü bilgi kişisel veridir. Örneğin, bir kişinin araç plaka numarası da kişisel bir veridir. Bu plakayı sisteme girdiğimizde kişinin ad soyad bilgisine erişiriz.
Kişinin kimliğinin belirli hale gelmesinin ilk akla gelen şekli ad ve soyadının tespit edilmesi olsa da bir kişinin kimliğinin belirli olması için ad ve soyad bilgisi her zaman gerekmeyebilir.
Örneğin internet ortamında, belirli cihazların davranışları ve dolayısıyla bu cihazları kullanan kişilerin davranışları tespit edilebilmektedir. Böylece ad, soyad veya adres gibi bilgilere ihtiyaç duyulmaksızın, kişinin sosyoekonomik, psikolojik, felsefi veya diğer bağlamlarda kategorize edilmesi ve internete bağlandığı cihaz aracılığıyla gerçekleştirdiği davranışların ona ait olduğunu teyit etmek mümkündür. Özetle, bir kişinin kimliğinin belirli hale gelme ihtimali, artık yalnızca onun ad ve soyadının tespit edilmesi anlamına gelmemektedir.
Özel nitelikli verilerle kişisel veriler arasında fark vardır. Özel nitelikli kişisel veriler kişisel verilerden farklı olarak işlenmesi halinde kişinin hayatında dışlanmaya, hakarete uğramasına, alaya alınmasına neden olabilecek durumlara yol açılabilir. Bu yüzden kanun kapsamında da daha hassas davranılmış ve kanun kapsamı buna göre belirlenmiştir.
Diğer bir deyişle, özel nitelikli veriler kanunun özel önem atfettiği ve korunması, özel nitelikli olmayan verilere göre daha sıkı koşullara bağlanmış olan verilerdir. Kurul, değerlendirmelerdeki kıstası, ilgili kişilerin ayrımcılık veya mağduriyete uğramasına neden olma riski taşımaları olarak açıklamaktadır. Örneğin, GDPR’dan da farklı olarak, kılık kıyafet verisi. Kılık kıyafet verisi baret ya da başörtüsü gibi kişinin dış görünüşüyle alakalı özel nitelikli kişisel veriye örnektir. Bunun dışında ırk, etnik köken, siyasi düşünce, dini, inancı mezhebi, kılık kıyafeti, dernek vakıf üyeliği, cinsel hayatı, ceza mahkumiyeti veriler özel nitelikli verilere örnektir.
Özel nitelikli kişisel verilerin işleme şartları ise;
Sağlık ve cinsel hayat verileri sır saklama yükümlülüğü bulunan kişilerce aşağıdaki şartlarla işlenebilir;
Diğer verilerse kanunlarda öngörülmesi halinde işlenebilir. Aksi halde mutlaka açık rıza alınmalıdır.
Bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olan veya olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işleme ise kişisel verilerin işlenmesi denir.
Kişisel verisi işlenen, kişisel verinin sahibi olan gerçek kişiler ise İlgili Kişi olarak tanımlanmıştır.
Şirketlerdeki ilgili kişilerden bazıları;
şeklinde örneklerle listeyi artırmak mümkündür.
Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi olarak tanımlanmıştır. Veri kayıt sistemi, kurumsal bir şirkette elektronik ortamda tutulan sistematik kayıtlar olabileceği gibi, sık sık verilen örnek olarak bir bakkalın veresiye defteri de olabilir.
Herhangi bir kayıt sisteminin parçası olmak kaydıyla kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan her gerçek veya tüzel kişi veri sorumlusudur. Çalışanlarından bağımsız olarak “veri sorumlusu” sıfatını doğrudan şirket tüzel kişiliği haizdir.
Veri sorumlusunun kurul ile iletişim amacıyla atadığı gerçek kişi yetkilisidir. Uygulamada veri sorumlusu ile irtibat kişisi kavramları birbiriyle karıştırılmaktadır.
Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi ifade eder. Örneğin, şirketin dışarıdan destek aldığı mali müşavir, o tüzel kişiliğin verileri bakımından veri işleyendir.
Kişisel Verilerin Korunması Kanunu kapsamında veri sorumlusunun veri sahibi ilgili kişilere, kişisel verilerinin işlenme amaçlarına ilişkin detaylı olarak bilgilendirme yapması, kanundaki adıyla aydınlatma yapması gerekmektedir. Bu aydınlatmanın asgari olarak aşağıdaki bilgileri içermesi de zorunludur:
Aydınlatma yükümlülüğünün yerine getirilmesinde uyulacak usul ve esaslar hakkında tebliğ üzerine aydınlatma yükümlülüğü ile ilgili detaylı yazıya bakabilirsiniz.
Kişisel Verileri Koruma Kurumu’nun bu hususta en ilgi çekici kararı usule uygun olmayan şekilde veri aktarımı hakkındadır. Şirket’e verilen para cezasının büyük bir bölümü de bu ihlalden kaynaklanmaktadır. KVKK’ya göre şirket, yut dışı veri aktarımı yapabilmek için kullanıcıların açık rızasını almak zorunda. Hukuka uygun olarak açık rıza alınmadığı için şirketin, kanunun veri güvenliğini kapsayan 12. maddesine uymadığı tespit edilmiştir.
Açık rıza, belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızadır. Kanun kişisel verilerin işlenmesini kural olarak kişilerin açık rızası olmasına bağlamıştır, ancak kanunda belirtilen hallerde kişilerin açık rızası olmaksızın verileri işlenebilir.
Biyometrik veri, ceza mahkumiyeti verisi, dernek ve vakıf üyeliği gibi kişiyi ayrımcılığa maruz bırakabilecek veriler ise özel nitelikli veriler olarak tanımlanmıştır ve özel nitelikli veriler, ancak kanunlarda öngörüldüyse açık rıza olmaksızın işlenebilir.
Sağlık verisi ve cinsel hayata ilişkin özel nitelikli veriler ise yalnızca kamu sağlığının korunması, tıbbi teşhis, tedavi amaçlarıyla sır saklama yükümlülüğü altında bulunan kişiler tarafından işlenebilir. Bu nedenle bu verilerin işlenmesi zorunlu ise öncelikle sır saklama yükümlülüğü bulunan iş yeri hekimi ve benzeri kimse tarafından işlenmesi, mümkün değil ise açık rıza alınması gerekmektedir.
Açık rıza alınırken dikkat edilmesi gereken konu açık rızanın;
gerektiğidir.
Özgür irade, kişinin bu açık rızayı her zaman geri çekebilmesi anlamına gelmektedir ki bu da kişisel verilerin işlenmesi için başka bir şart bulunmaması halinde imha edilmesi gerektiği anlamına gelecektir. Bu koşullar olmaksızın alınan açık rızalar battaniye açık rızalar olarak ifade edilmekte ve hukuki geçerliliğini kaybetmektedir.
Av. Gökçenur Bilgin, MBA