KVKK ALANINDA FAALİYETLERİMİZ NELER?
7 Nisan 2016 tarihinde yayımlanarak yürürlüğe giren ‘6698 sayılı Kişisel Verilerin Korunması Kanunu’; kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ve uyacakları kuralları düzenleme amacını taşımaktadır. Anayasal hak olan kişisel verilerin korunması hem yasa olarak hem de TCK kapsamında hukuk sistemimize girmiştir. Kanuna uyum sürecinin doğru ve etkin bir şekilde yürütülmesi gerekmektedir. Aksi takdirde veri sorumluları aleyhine ağır idari para cezaları yaptırımları uygulanmaktadır.
Uyum sürecinde uygulayacağımız çalışma programı danışmanlık hizmeti kapsamında;
Ve ilgili bütün faaliyetler yer almaktadır.
Günümüzde özellikle internetin ve sosyal medyanın hızla gelişerek hayatımızın her alanında yer alması sonucu kişisel verilerin güvenliği ve korunması son yılların en önemli konularından biri haline gelmiştir. Bu halin sonucu olarak da ülkemizde 2016 yılında kabul edilen Kişisel Verilerin Korunması Kanunu başta bankacılık olmaz üzere birçok sektörde yeni düzenlemelerin yapılmasına sebep olmuştur. Peki son dönemde gerek gündemde gerek hukukta kendine bu kadar kapsamlı yer bulan kişisel veri nedir ve kişisel verilerin korunması nasıl sağlanmaktadır?
Kişisel veri kimliği belirli veya belirlenebilir gerçek kişiye ait her türlü veridir. Kişinin adı, soyadı, doğum tarihi ve yeri gibi bilgilerinin yanında bir kişiyle ilişkilendirilebilen ve onun belirlenebilir olmasını sağlayan her türlü veri de kişisel veri olacaktır. Kişinin aracının plakası, sosyal güvenlik numarası gibi bilgilerin yanında kişinin sosyal, kültürel, ekonomik ve hatta ailevi her türlü bilgi de kişisel veri kapsamında olup bu kapsam oldukça geniştir.
Son yıllarda yukarıda da değindiğimiz gibi sosyal medyanın hayatımızda kapladığı büyük alan sebebiyle artık sadece kişinin kendi sunduğu veriler yolu ile değil değişik bir çok kaynaktan alınan verinin otomatik birleştirilmesi ve incelenmesi sonucu kişiye ait sağlık durumundan politik görüşüne kadar birçok alanda analiz yapmak mümkün olmuştur. Bu sebeple kişisel veriler özellikle ticari kuruluşlar tarafından sık kullanılan bir alan haline gelmiştir. Ticari kuruluşlar ve işletmeler tüketici kitlelerinin özellikle internet üzerindeki hareketlerini ve ilgi alanlarını inceleyerek kişiye özel reklam sunma uygulamaları yolu ile her tüketiciye bireysel olarak ilgisini çekebilecek ürünlerin reklamlarını sunmaya başlamıştır. Bu durum da yepyeni iş modellerine kapı açmıştır. Şöyle ki; birtakım ara kuruluşlar kişilere sundukları hizmetler karşılığında para değil kişisel verilerini almakta, sonrasında aldıkları verileri anlamlı verilere dönüştürerek ticari kuruluşlara satmakta ve ticari kuruluş da bu veriye göre kişiye reklam sunmaktadır. Bu durumu somut bir örnekle anlatacak olursak;
Kişi telefonuna ücretsiz bir uygulama olan “X” uygulamasını indirmek ister, bu indirme sırada uygulama kişinin bazı verilerine, diyelim ki konum bilgisine ulaşabileceğine ilişkin izin ister ve kişi bu durumu önemsemeden izni veriri ve “X” uygulamasını zevkle kullanmaya başlar. Ancak uygulama kişinin konum bilgisini toplamaktadır. Kişinin konumu her zaman sabit olup sabahları işe gitmekte, akşamları eve dönmekte, bazen de her zaman gittiği başka yerlere gitmektedir. Sonra kişi birden beklenmedik şekilde eczaneye gitmeye, bir kadın doğum uzmanının kliniğine gitmeye başlar. “X” uygulaması bu verileri toplayarak “Y” ticari kuruluşuna sunar ve kuruluş “X” uygulamasının şirketi gibi olan diğer ara şirketlerden de aldığı verileri birleştirerek o kişinin çocuk beklediğini düşünerek ona artık bebek malzemeleri reklamları sunmaya başlamıştır.
Anlaşılacağı üzere kişisel verilerin işlenmesi yolu ile kişiye dair en mahrem bilgiye bile ulaşmak mümkün olup bu durum sadece ticari kuruluşlar tarafından reklam amacıyla kullanılmamakta, çeşitli başka kuruluşlarla tarafından da verilerin işlenmesi mümkün olabilmektedir.
Hal böyle olunca artık kişisel verilerin güçlü bir şekilde korunması ve etkili bir düzenleme yapılması zaruri bir hale gelmiş ve sonuç olarak dünyanın her yerinde bu konuya ilişkin çeşitli yeni ve etkili düzenlemeler yapılmış, ülkemizde 2016 yılında Kişisel Verilerin Korunması Kanunu yürürlüğe girmiş olup ilk maddede kanunun amacı düzenlenmiştir.
Buna göre Kişisel Verilerin Korunması Kanunu’nun Amacı, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir.
Kanun kişisel verileri işlenen gerçek kişiler ile bu kişisel verilerin bütününü veya bir kısmını otomatik olan veya olmayan yöntemlerle işleyen gerçek veya tüzel kişileri kapsamaktadır.
Kişisel verilerin işlenmesi; verilerin tamamının veya bir kısmının otomatik olan veya olmayan yöntemlerle elde edilmesi, kaydedilmesi, depolanması, değiştirilmesi, aktarılması, devralınması, sınıflandırılması veya kullanılmasının genel adıdır.
Anayasa’nın 20.maddesinin 3. Fıkrası “ Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir .” Şeklindedir. Anayasa’dan da açıkça anlaşılacağı üzere kural olarak kişisel verilerin işlenmesi yasak olsa da kanunda öngörülen hallerde ve kişinin rızasının olduğu durumlarda kişisel verileri işlemek mümkün olacaktır.
Kişisel veriler ancak Kişisel Verilerin Korunması Kanunu’nda öngörülen usul ve esaslara göre işlenebilir. Kanunun 4.maddesinde sayılan ilkelere uyulması zorunlu olup bu ilkeler kişisel verilerin kullanılmasında hukuka uygunluğun temelini oluşturmaktadır. Buna göre kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması zorunludur:
ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.
edilme.
Bunların yanında yukarıda da değindiğimiz gibi kişisel verinin ne olduğunun kapsamı oldukça geniş olmakla birlikte Kişisel Verilerin Korunması Kanunu’nda bazı veriler özel nitelikli veriler olarak sayılmıştır. Bunlar; Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileridir.
Kanuna göre bu verilerin kişinin açık rızası olmadan işlenmesi yasak olup sağlık ve cinsel hayata ilişkin veriler hariç diğer verilerin kanunda öngörülen hallerde açık rıza olmaksızın işlenmesinin yine mümkün olduğu ancak sağlık ve cinsel hayata ilişkin verilerin ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebileceği belirtilmiştir.
KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ, ANONİM HALE GETİRİLMESİ, AKTARILMASI
Kanuna ve hukuka uygun olarak işlenmiş verilerin işlenme amaçlarının ortadan kalkması durumunda ilgili veriler veri sorumlusu tarafından resen veya veri sahibi kişi tarafından silinir, yok edilir veya anonim hale getirilir.
Kişisel veriler kural olarak veri sahibi ilgili kişinin açık rızası olmaksızın aktarılamaz ancak yukarıda saydığımı kişisel verilerin işlenmesine ilişkin şartların olması durumunda yeterli önlemlerin alınması kaydı ile aktarılması söz konusu olabilir. Kişisel verilerin yurt dışına aktarılması söz konusu olacak ise de aktarılacak ülkede yeterli koruma olması, ülkedeki ve yurt dışındaki veri sorumlusu kişilerin yeterli koruma olduğunu yazılı olarak taahhüt etmesi, Kişisel Verileri Koruma Kurulu’nun izninin bulunması gerekmektedir.
Kişisel verilerin işlenmesi gerek şahıslar gerek kurum ve kuruluşlar gerekse de devlet açısından önemli ve hayati bir alan olup bu alanın etkili bir kanun çerçevesinde düzenlenmesi gerekmiş, bunun üzerine 2016 yılında yürürlüğe giren Kişisel Verilerin Korunması Kanunu ile gerekli düzenleme ve yasal güvenlik oluşturulmuştur.
Kişisel verilerin işlenmesi bu kanun ile sıkı şartlara ve hukuka uygunluk sebeplerine bağlanmış olup bunlardan birinin olmaması durumunda kişinin de açık rızasının olmadığı noktada işlenmesi hukuka aykırı olacak, bunun da bir takım yasal sonuçları doğacaktır.
Kişisel verilerin elde edilmesi sırasında Kişisel Verilerin Korunması Kanunu kapsamında verilerden sorumlu olacak kişiler ve veri sahipleri için bir takım hak ve yükümlülükler düzenlenmiştir.
Bu düzenlemeler arasında en önemli noktalardan biri veri sorumlusu olan kişiye yüklenmiş olan aydınlatma yükümlülüğüdür. Şöyle ki;
Bu kapsamda kanun tarafından veri sorumlusu kişilere verilerin işlenmesi sürecinde alınması gereken tedbir ve önlemler konusunda bir açıklık sağlanmış olmakla birlikte Kişisel Verilerin Korunması Kurulu tarafından iyi örneklerin oluşması amacıyla Kişisel Veri Güvenliği Rehberi hazırlanmıştır.
Kanun veri sahibi olan ilgili kişilere ayrıca bir kısım haklar tanımış ve bu hakları 11.maddede düzenleme altına almıştır. Şöyle ki kanuna göre,
Herkes veri sorumlusuna başvurarak kendi ile ilgili kişisel verinin işlenip işlenmediğini, işlenmişse buna ilişkin bilgi alma, verinin işleniş amacını ve amacına uygun olarak işlenip işlenmediğini öğrenme, eğer veri üçüncü bir kişiye aktarılmış ise yurt içinde veya yurt dışında olması fark etmeksizin bu üçüncü kişileri öğrenme, eksik veya yanlış işlenmiş verilerin düzeltilmesini, tamamlanmasını isteme hakkına sahiptir.
Bunlara ek olarak kişisel verilerin ilgili kişinin de izniyle Kanuna uygun olarak işlenmesi sonrasında işlenme amacının ortadan kalkması durumunda ilgili kişi veri sorumlusuna başvuruda bulunarak kişisel verinin silinmesini veya yok edilmesini talep etme hakkına da sahiptir. Nitekim kişisel verilerin işlenmesi bazı istisnalar hariç ilgili kişinin iznine tabi olduğundan verinin işlenmesi amacının ortadan kalkması durumunda ilgilinin verinin silinmesini istemesi işbu kanunun varoluş amacı göz önüne alındığında en tabi istek olacaktır.
Ayrıca ilgili kişi kişisel verilerinin yanlış işenmesi durumunda veya verinin işlenme amacının ortadan kalkması akabinde verilerin silinmesi veya yok edilmesini istemesi durumunda bu durumun varsa kişisel verilerin aktarıldığı üçüncü kişilere de bildirilmesi isteme hakkına sahiptir.
İlgili kişinin kişisel verilerinin özel olarak otomatik sistemlerce analiz edilmesi halinde ortaya çıkabilen olumsuz, kişinin aleyhine sonuçlara itiraz etme hakkı da bulunmaktadır.
Bunların yanında kişisel verilerinin kanuna aykırı olarak işlenmesinden zarar gören kişinin bu zararının giderilmesini talep etme hakkı da vardır. Öyle ki kişisel verilerin kanuna aykırı işlenmesi durumunda ilgilinin kişilik hakları ihlal edilmiş olacağından kişilik hakları ihlal edilmiş olan kişinin genel hükümlere göre tazminat hakları söz konusu olabilecek, bu kapsamda, ilgili kişiler yargı yoluna gidebileceklerdir.
Başvuru:
İlgili kişi Kişisel Verilerin Korunması Kanunu kapsamında kanunun uygulanması ile alakalı taleplerini yazılı olarak veya Kişisel Verilerin Korunması Kurulu tarafından belirlenen başka bir yöntem ile veri sorumlusuna başvurarak bildirebilir. Bu noktada kanun kademeli başvuru sistemin benimsediği için öncelikli olarak veri sorumlusuna başvuru yapılması zorunlu olup bu yol tüketilmeden Kurul’a şikayet yoluna gidilmesi mümkün olmayacaktır.
Kanuna göre veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içerisinde ücretsiz olarak sonuçlandırmalıdır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde, Kurulca belirlenen tarifedeki ücretin alınması söz konusu olabilir.
İlgili kişinin başvuru yapması durumunda veri sorumlusu tarafından ya talep kabul edilir ya da gerekçesi açıklanarak reddedilir ve veri sorumlusu cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir. Ayrıca başvuruda yer alan talebin kabul edilmesi hâlinde veri sorumlusunca talebin gereği yerine getirilmelidir.
Kanuna göre başvurunun veri sorumlusunun hatasından kaynaklanması hâlinde alınan ücret ilgiliye iade edilir.
Şikayet:
Başvuru yolunun tüketilmesi, veri sorumlusu tarafından ilgili kişinin talebini reddedilmesi, verilen cevabın yetersiz bulunması veya başvuruya süresinde cevap verilmemesi halinde ilgili kişiye şikayet yoluna başvurma hakkı verilmiştir.
Şöyle ki; ilgili kişi veri sorumlusu tarafından başvurusunun reddedildiğini öğrendiği günden itibaren otuz gün içerisinde ve her halde başvurudan itibaren altmış gün içerisinde Kişisel Verilerin Korunması Kurulu’na şikayette bulunabilir.
Kurul, şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen, görev alanına giren konularda gerekli incelemeyi yapar. Burada kurula resen de inceleme yapma hakkı tanınmıştır. Ancak kurulun şikayet üzerine inceleme yapması için söz konusu ihbar ve şikayetin Dilekçe Hakkının Kullanılmasına Dair Kanunun 6 ncı maddesinde belirtilen şartları taşıması gerekmektedir. Bu şartlar da şöyledir;
Ayrıca belirtmek gerekir ki veri sorumlusu şikayet durumunda, Kurulun, inceleme konusuyla ilgili istemiş olduğu bilgi ve belgeleri Devlet sırrı niteliğindeki bilgi ve belgeler hariç olmak üzere; on beş gün içinde göndermek ve gerektiğinde yerinde inceleme yapılmasına imkân sağlamak zorundadır.
Şikâyet üzerine Kurul, talebi inceleyerek ilgililere bir cevap verir. Ancak Şikâyet tarihinden itibaren altmış gün içinde cevap verilmezse talep reddedilmiş sayılır. Yani bu altmış günlük sürenin sonunda idari yargıda dava açma süresi başlayacaktır.
Şikâyet üzerine veya resen yapılan inceleme sonucunda, ihlalin varlığının anlaşılması hâlinde Kurul, tespit ettiği hukuka aykırılıkların veri sorumlusu tarafından giderilmesine karar vererek ilgililere tebliğ eder. Bu karar, tebliğden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirilir.
Şikâyet üzerine veya resen yapılan inceleme sonucunda, ihlalin yaygın olduğunun tespit edilmesi hâlinde Kurul, bu konuda ilke kararı alır ve bu kararı yayımlar. Kurul, ilke kararı almadan önce ihtiyaç duyması hâlinde, ilgili kurum ve kuruluşların görüşlerini de alabilir.
Kurul, telafisi güç veya imkânsız zararların doğması ve açıkça hukuka aykırılık olması hâlinde, veri işlenmesinin veya verinin yurt dışına aktarılmasının durdurulmasına karar verebilir. Ancak belirtmekte fayda vardır ki ilgililerin her zaman Kurul’un işlemlerine karşı idari yargı yoluna başvurma hakkı vardır.
Suçlar:
Kişisel Verilerin Korunması Kanunu kapsamında ayrıca çeşitli suçlar düzenlenmemiş olup 17.maddede kişisel verilere ilişkin 5237 sayılı Türk Ceza Kanununun 135 ila 140’ıncı madde hükümlerinin uygulanacağı belirlenmiştir. Nitekim Ceza Kanunu’nun ilgili hükümleri;
TCK’nın 135.maddesi “Kişisel Verilerin Kaydedilmesi” başlıklı olup birinci fıkrada hukuka aykırı olarak kişisel verileri kaydeden kişilere 1 yıldan 3 yıla kadar hapis cezası verileceği düzenleme altına alınmıştır. Ancak kişisel verinin, kişilerin siyasi, felsefi veya dini görüşlerine, ırki kökenlerine; hukuka aykırı olarak ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin olması durumu ağırlaştırıcı hal olarak belirlenmiş ve bu durumunda birinci fıkra uyarınca verilecek cezanın yarı oranında artırılacağı hüküm altına alınmıştır.
TCK’nın 136.maddesinde ise kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişinin iki yıldan dört yıla kadar hapis cezası ile cezalandırılacağı düzenlenmiştir.
Bu iki suçun kamu görevlisi tarafından ve görevinin verdiği yetki kötüye kullanılmak suretiyle veya belli bir meslek ve sanatın sağladığı kolaylıktan yararlanmak suretiyle işlenmesi durumu ise TCK’nın 137.maddesinde nitelikli hal olarak düzenlenmiş olup verilecek cezanın yarı oranda arttırılması hüküm altına alınmıştır.
TCK’nın 138.maddesinde ise verilerin yok edilmemesi suçu düzenlenmiştir. Buna göre kanunlara belirlenen sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanların görevlerini yerine getirmemeleri halinde bu kişilere bir yıldan iki yıla kadar hapis cezası verilir. Suçun konusu Ceza Muhakemesi Kanunu hükümlerine göre ortadan kaldırılması veya yok edilmesi gereken verilerden ise verilecek ceza bir kat artırılır.
TCK’nın 139.maddesinde “ Kişisel verilerin kaydedilmesi, verileri hukuka aykırı olarak verme veya ele geçirme ve verileri yok etmeme hariç, bu bölümde yer alan suçların soruşturulması ve kovuşturulması şikayete bağlıdır .” Denildiğinden kişisel verilerin kaydedilmesi verileri hukuka aykırı olarak verme veya ele geçirme ve verileri yok etmeme suçlarında kovuşturma ve soruşturmanın şikayete bağlı olmadığı anlaşılacaktır.
140.madde ise bu suçların tüzel kişiler tarafından işlenmesi durumunda tüzel kişiler hakkında güvenlik tedbirleri uygulanacağını düzenlemiştir.
Kişisel Verilerin Korunması Kapsamında kabahatler kanunun 18. Maddesinde sıralanmıştır. Buna göre veri sorumlusunun aydınlatma yükümlülüğünü yerine getirmemesi, veri güvenliğinin sağlanmasına ilişkin önlemleri almakla yükümlü kişilerin bu yükümlülüğü yerine getirmemesi, ilgilinin şikayet yoluna başvurması sunucu Kurul tarafından verilen kararın gereğinin yerine getirilmemesi, veri sorumlularının Veri Sorumluları Siciline kayıt ve bildirimde bulunmaması kanun kapsamında sayılan kabahatler olup bu kabahatleri işleyen kişilere kanunda belirlenmiş çeşitli miktarlarda idari para cezası verilmektedir.
Bu kabahatlerin kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları bünyesinde işlenmesi hâlinde, Kurulun yapacağı bildirim üzerine, ilgili kamu kurum ve kuruluşunda görev yapan memurlar ve kamu görevlileri ile kamu kurumu niteliğindeki meslek kuruluşlarında görev yapanlar hakkında disiplin hükümlerine göre işlem yapılacağı ve sonucun da kurula bildirileceği de yine kanun kapsamında yapılan düzenlemelerdendir.
Kanunun genel hatlarından da anlaşılacağı üzere düzenlemeler tamamen ilgili kişilerin kişisel haklarını korumaya yönelik olup bu hakların ihlal edilmesi veya kanuna aykırı bir biçimde verilerin işlenmesi durumunda bundan sorumlu kişilerin hakkaniyetli bir şekilde cezalandırılmasını öngörmektedir.
Ayrıca kanuna aykırı hareket edilmesinin önüne geçilmesi için veri sorumlularına bir çok sorumluluk yüklenmiş, kendilerini denetlemeleri bile onların sorumluluğuna bırakılmıştır. Bunun yanında ilgili kişilere sağlanan haklarla veri sorumlularının işlemlerinin Kurul tarafından da bir nevi denetlenmesine olanak sağlayarak kişilerin hak kaybı yaşamasının önüne geçilmiştir. Nihayetinde bu kanun kapsamında yapılabilecek tüm işlemler idari yargı yolu ile denetime açıktır. Böylesine hassas bir konuda kanuna aykırı davranılması sonucu kişilerin zararlarını giderme haklarının da saklı tutulması hukuk düzenimizde kişisel verilere verilen değerin bir göstergesidir.