Teknolojik gelişmelerle beraber ülkemizde ve dünyada bilgisayar, internet ve cep telefonları gibi çeşitli iletişim araçlarının ve uygulamaların yardımıyla bireylere ait kişisel verilere kolayca ulaşılabilmekte ve bu veriler kişiler, şirketler hatta ülkeler arasında çok hızlı şekilde maddi kazanımlar amacıyla paylaşılabilmektedir.
Bu durum, birçok kişiyi rahatsız etmekle beraber bireylerin özel yaşamlarının gizliliğini bozabilecek bir boyuta gelmiştir. Hal böyle olunca kişisel verilerin korunması hakkında düzenlemeler yapılması gerekmiştir.
KİŞİSEL VERİ NEDİR?
Kanunda kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak tanımlanmıştır. Bu bağlamda kişilerin kesin olarak belirlenmesini sağlayan adı, soyadı, doğum tarihi ve doğum yeri gibi bilgiler yanında, telefon numarası, IP adresi, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, genetik bilgiler gibi verilerin kişileri belirli veya belirlenebilir kılma özelliklerinin bulunması nedeniyle kişisel veri olarak kabul edilmektedirler.
Örnek vermek gerekirse;
TELEFON BANKACILIĞI
Müşterinin bankayı telefon ile arayarak sesli talimat vermesi ve bunların kaydedilmesi halinde, ilgili ses kayıtları kişisel veri olarak değerlendirilebilir.
GÜVENLİK KAMERALARI
Güvenlik kameralarının kaydettiği görüntülerde kişilerin belirlenebilir olması halinde, video kayıtları kişisel veri niteliğinde olacaktır.
Telefonunuza gelen reklam içerikli SMS’ler, mailinize gelen istenmeyen (spam) mesajlar aslında sizin kişisel verilerinizin korunmamasının sonucudur.
KİŞİSEL VERİLERİN İŞLENMESİ NEDİR?
Kişisel verilerin işlenmesi, kişisel verilerin tamamen veya kısmen otomatik olan ya da olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemdir.
KİŞİSEL VERİLERİN İŞLENME ŞARTLARI NELERDİR?
Kişisel verilerin işlenmesinde kanunun öngördüğü ilkeler; hukuka ve dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla sınırlı olma ve işlendikleri amaç için gerekli olan süreyle sınırlı olarak muhafaza edilme şeklinde gösterilmiştir.
Kanuna göre, yukarıda sayılan ilkelere uygun olma koşuluyla kişisel veriler ancak ilgili kişinin açık rızası olması koşuluyla işlenebilecektir. Ancak aşağıda sayılan hallerde ilgilinin açık rıza olmaksızın kişisel verilerin işlenmesi mümkün olabilecektir:
- Kanunlarda açıkça öngörülmesi,
- Rızasını açıklayamayacak durumda bulunan veya rızası hukuken geçersiz olan kişinin ya da bir başkasının hayatı ya da beden bütünlüğünün korunması için zorunluluk olması,
- Sözleşmenin kurulması veya ifasıyla ilgili olmak kaydıyla, taraflara ait kişisel verilerin işlenmesinin gerekli olması,
- Veri sorumlusunun hukuki yükümlülüğünün yerine getirebilmesi için zorunlu olması,
- İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması,
- İlgili kişinin kendisi tarafından alenileştirilmiş olması,
- Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
İşlenmesini gerektiren sebeplerin ortadan kalkması halinde, kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi gerekmektedir.
VERİ SORUMLUSU VE VERİ İŞLEYEN KİMLERDİR?
Kanunda Veri Sorumlusu ve Veri İşleyen olarak birbirinden ayrı kavramlara yer verilmiştir. Veri Sorumlusu veri kayıt sisteminin bir birim, kurum ya da temsilci bünyesinde kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi olarak tanımlanırken Veri İşleyen, Veri Sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi olarak tanımlanmıştır.
KİŞİSEL VERİLERLE İLGİLİ BİLGİLENDİRME YÜKÜMLÜLÜKLERİ NELERDİR?
Kanunda Veri Sorumlusu ya da yetkilendirdiği kişi için, kişisel verilerin işlenmesi sırasında aşağıdaki hususlar hakkında ilgili kişilere bilgilendirme yapma yükümlülüğü getirilmiştir:
- Veri sorumlusunun ve varsa temsilcisinin kimliği
- Kişisel verilerin hangi amaçla işleneceği
- İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği
- Kişisel veri toplamanın yöntemi ve hukuki sebebi
- Kanunda sayılan ilgili kişinin hakları
KİŞİSEL VERİLERİ PAYLAŞANLARA KARŞI İZLENECEK HUKUKSAL YOL
KVK’nın 13. maddesi uyarınca kişisel verileri işlenen ilgili kişi Kanun’un uygulanması ile ilgili taleplerini veri sorumlusuna iletebilecektir. Veri sorumlusu 30 gün içerisinde yapacağı incelemenin ardından talebi kabul veya gerekçesini açıklayarak reddetmek zorundadır. Ayrıca cevabını ilgili kişiye bildirmekle de yükümlüdür.
Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilememesi halinde ilgili kişi Kurula şikâyette bulunabilir. Veri sorumlusunun cevabını öğrendiği tarihten itibaren 30 ve her halde 60 gün içerisinde Kurul’a şikâyette bulunma hakkı tanınmıştır. Ancak söz konusu şikâyet yoluna ancak veri sorumlusuna başvuru yolunun tüketilmesinin ardından başvurulması mümkün olacaktır. İlgilinin kişilik haklarının ihlal edilmesi halinde genel hükümlere göre tazminat talep edebilme hakkı KVK 14. uyarınca saklı tutulmuştur. İlgililer veya veri sorumluları Kurul kararlarına karşı idare mahkemelerinde dava açabileceklerdir.
KİŞİSEL VERİLERİ PAYLAŞANLARA UYGULANACAK HUKUKİ YAPTIRIMLAR
KVK’nın ‘’Suçlar’’ başlıklı 17. maddesi uyarınca TCK’nın 135 ila 140. maddelerinde ceza miktarları belirlenmiştir. Bu maddelere göre kişisel verilerin kaydedilmesi, özel nitelikli verilerin kaydedilmesi, verileri hukuka aykırı verme veya ele geçirme, verileri yok etmeme suçlarına suçun niteliğine göre 1 ila 6 yıl arasında değişen hapis cezaları belirlenmiştir.
KVK’nın ‘’Kabahatler’’ başlıklı 18. maddesi uyarınca da aydınlatma yükümlülüğüne aykırılık, veri güvenliğine ilişkin yükümlülüklere aykırılık, Kişisel Verilerin Korunması Kurulu’nun kararlarına uymama, sicile kayıt ve bildirim yükümlülüğüne uymama hükümlere aykırı hareket edenler hakkında ise 5.000 TL’den 1.000.000 TL’ye kadar idari para cezası uygulanması gibi idari yaptırımlar öngörülmüştür.
Avukat Başar GÜNDÜZ