Kişisel Verilerin Korunması

Dilek Ekin

Teknolojinin her geçen gün büyük bir hızla geliştiği günümüzde her türlü veri rahatlıkla toplanmakta ve çoğu zaman kişilerin bilgisi dışında saklanmakta, kullanılmakta ve hatta el değiştirmektedir. Oysa ki çağdaş toplumlarda kişilik haklarının korunması oldukça büyük bir önem taşır. Hal böyleyken kişilere ait verilerin serbestçe ortalıkta dolaşmasının sınırlandırılması ve kaidenin kişisel verilerin korunması olması zarureti doğmuştur. Böylece, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), 7 Nisan 2016 tarihinde Resmi Gazete’de yayımlanarak yürürlüğe girmiştir.

Türkiye’de kişisel veriler KVKK’ndan önce de korunmaktaydı. Anayasanın m.20 hükmüne 2010 yılında “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.” fıkrası eklenmiştir. Böylece kişisel veriler anayasal koruma altına alınmıştır ve Anayasa, kişisel verilerin korunmasına ilişkin detaylı düzenlemelerin kanunlarla düzenlenmesini öngörmüştür. Kişisel veriler, Anayasa dışında özellikle Türk Ceza Kanunu başta olmak üzere çeşitli kanunlar ve Türkiye’nin de taraf olduğu çeşitli uluslararası sözleşmeler ile de korunmaktadır.

Kişisel Veri, Kişisel Verileri Koruma Kurumu ve Kişisel Verileri Koruma Kurulu

Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir. Kişisel veri, gerçek kişinin sadece adı-soyadı, doğum tarihi değil aynı zamanda akli, psikolojik, fiziki, kültürel, ekonomik, sosyal ve sair özelliklerini de ifade eder. Örneğin, kişinin arabasının plakası, T.C. kimlik numarası, pasaport numarası, görüntü ve ses kayıtları, parmak izleri, genetik bilgileri de bu kapsama girer. Kişisel veriyi en basit şekilde şöyle tanımlayabiliriz: Bir veri kişiyi belirlenir kılıyorsa, o veri kişisel veridir. Kişilerin dini, mezhebi, ırkı, etnik kökeni, siyasi düşüncesi, felsefi düşüncesi, kılık kıyafeti, dernek-vakıf-sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti, güvenlik tedbirleriyle ilgili verileri, biyometrik ve genetik verileri ise hassas kişisel verilerdir.

KVKK ile verilen görevleri yerine getirmek; esas itibariyle uygulamaları ve mevzuattaki gelişmeleri takip etmek, değerlendirmek, araştırma ve inceleme yapmak üzere Kişisel Verileri Koruma Kurumu (Kurum) kurulmuştur. Kurum kamu tüzel kişiliğini haiz olup idari ve mali özerkliği bulunmaktadır. Kurumun karar organı ise Kişisel Verileri Koruma Kuruludur (Kurul). Kurul, KVKK ile ve ilgili mevzuatla verilen görev veyetkilerini bağımsız olarak yerine getirir.

Kişisel Verilerin İşlenmesi ve Kişisel Verilerin Korunması Kanununun Getirdikleri

Kişisel verilerin kısmen veya tamamen otomatik yollardan elde edilmesi veya herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollardan elde edilmesi / kaydedilmesi / depolanması / muhafaza edilmesi / değiştirilmesi / yeniden düzenlenmesi / açıklanması / aktarılması / devralınması / elde edilebilir hale getirilmesi / sınıflandırılması / kullanılmasının engellenmesi vs. her türlü işlem kişisel verilerin işlenmesidir.

Bilgilerin manuel olarak dosyada tutulması ile dijital olarak sunucuda tutulması arasında bir fark bulunmamaktadır.

Kural olarak, kişisel veriler kişinin açık rızası ile işlenebilir. Ancak KVKK bu kuralın istisnalarını da düzenlemiştir. Buna göre;

Kanunlarda (Ceza Muhakemeleri Kanunu, Bankalar Kanunu vs.) açıkça öngörülmesi,
Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan (örneğin bilinci kapalı) kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
Sözleşmenin kurulması veya ifası ile doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
İlgili kişinin kendisi tarafından alenileştirilmiş olması,
Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
İlgilinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması hallerinde kişinin açık rızası aranmadan da kişisel veriler işlenebilecektir.

Kişisel veriler, kişinin açık rızası olması halinde de kanunun öngördüğü istisnai hallerde de ancak KVKK’nda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir. Bu kapsamda;

Kişisel verilerin işlenmesi hukuka ve dürüstlük kurallarına uygun olmalıdır,
Kişisel veriler doğru ve gerektiğinde güncel olmalıdır,
Kişisel veriler belirli, açık ve meşru amaçlar için işlenmelidir,
Kişisel verilerin işlenmesi, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olmalıdır,
Kişisel veriler mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmeli, bu süreden sonra yok edilmelidir.

Hassas kişisel veriler (özel nitelikli kişisel veriler) ise ilgilinin açık rızası olmaksızın işlenmesi yasaktır, her ne kadar kanunların öngördüğü hallerde kişilerin açık rızası aranmıyor olsa da bu halde dahi hassas veriler işlenirken Kurulca belirlenen önlemlerin alınması şarttır.

Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonim Hale Getirilmesi

Kişisel veriler, hukuka uygun olarak işlenmiş olsa dahi işlenmesini gerektiren sebeplerin ortadan kalkmasıyla veri sorumlusu tarafından ilgili kişinin bu yönde bir talebi olmasa bile kendiliğinden silinecek, yok edilecek veya anonim hale getirilecektir. Kişisel verilerin işlenmesi gereğinin sona ermesiyle birlikte veri sorumlusu tarafından resen silinmesi esastır. Aksi durum Türk Ceza Kanunu açısından suç teşkil etmekte olup idari para cezası müeyyidesi de bulunmaktadır. Elbette, kişisel veriler ilgili kişinin bu yöndeki talebi üzerine de silinecek, yok edilecek veya anonim hale getirilecektir.

Kişisel Verilerin Yurt Dışına Aktarılması

Kişisel verilerin yurt dışında tutulabilmesi için ilgili kişinin açık rızası aranmaktadır. Kişisel verinin yurt içinde toplanarak yurt dışındaki bir sunucuda saklanması verinin yurt dışına aktarılmasıdır.

Kanunun açık rıza aranmadan kişisel verilerin işlenebileceğini düzenlediği hallerde kişisel verilerin ilgilisinin açık rızası alınmadan yurt dışına aktarılması da mümkündür. Ancak bu halde Kanun açıkça kişisel verinin aktarılacağı yabancı ülkede yeterli korumanın bulunmasını ve yeterli koruma bulunmaması halinde Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli korumayı yazılı olarak taahhüt etmelerini ve Kurulun izninin bulunmasını aramaktadır. Yeterli korumanın bulunduğu ülkeler Kurul tarafından belirlenecek ve ilan edilecektir.

Günümüzde sıklıkla rastladığımız bir uygulama verilerin bulutta saklanmasıdır. Bu halde “bulut”un fiziksel olarak nerede tutulduğu önem kazanmaktadır. Bulut sunucusunun yurt dışında olması da verilerin yurt dışına aktarımıdır ve yukarıdaki kurallara tabidir.

Veri Sorumlusu

Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek ve tüzel kişiler veri sorumlusudur. Bir başka deyişle, veriyi tutan kişi veya kişiler veri sorumlusudur.

Veri sorumlulularının kanunla belirlenmiş görevleri mevcuttur. Veri sorumlusu, ilgili kişileri aydınlatma yükümlülüğü altındadır. Bu kapsamda ilgili kişilere veri sorumlusunun (varsa temsilcisinin) kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ve ilgili kişilerin sahip olduğu haklar konusunda bilgi vermekle yükümlüdür. Veri sorumlusu ayrıca kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak için gerekli her türlü teknik ve idari tedbirleri almak ve güvenliği sağlamakla yükümlüdür. Usulüne uygun olarak işlenmiş kişisel verilerin kanuni olmayan yollarla üçüncü kişilerin eline geçmesi halinde, veri sorumlusu bu durumu derhal kişisel verisi ele geçirilmiş olan kişiye ve Kurula bildirecektir.

Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan evvel Veri Sorumluları Siciline kaydolmak zorundadır. Kurulun gözetiminde kamuya açık olarak Veri Sorumluları Sicili tutulacaktır. Veri Sorumluları Siciline ilişkin bir takım usul ve esaslar KVKK ile düzenlenmiş olsa da diğer usul ve esaslar yönetmelikle düzenlenecektir.

Suçlar (Hapis Cezası) ve Kabahatler (İdari Para Cezası)

Suçlar (Hapis Cezası)

Kişisel verilere ilişkin suçlar bakımından Türk Ceza Kanunu hükümleri uygulanır. Buna göre;

Kişisel verilerin hukuka aykırı kaydedilmesi suç teşkil etmekte olup, bu fiil bir yıldan üç yıla kadar hapis cezası ile cezalandırılır. Hukuka aykırı olarak kaydedilen kişisel veri hassas veri ise hapis cezası bir buçuk yıldan dört buçuk yıla kadar belirlenir.

Kişisel verileri hukuka aykırı olarak bir başkasına verme, yayma veya ele geçirme suç teşkil etmekte olup, iki yıldan dört yıla kadar hapis cezası ile cezalandırılır.

Verileri sistem içinde yok etmekle yükümlü kişilerin bu görevlerini yerine getirmemesi suç teşkil etmekte olup, bu fiil bir yıldan iki yıla kadar hapis cezası ile cezalandırılır.

Kabahatler (İdari Para Cezası)

Aydınlatma yükümlülüğünü yerine getirmeyen veri sorumlusu hakkında 5.000 TL’den 100.000 TL’ye kadar idari para cezasına hükmolunur.
Veri güvenliğini sağlamak üzere gerekli tedbirleri almayan veri sorumlusu hakkında 15.000 TL’den 1.000.000 TL’ye kadar idari para cezasına hükmolunur.
Veri sorumluları siciline kayıt yükümlülüğüne aykırı hareket eden veri sorumlusu hakkında 20.000 TL’den 1.000.000 TL’ye kadar idari para cezasına hükmolunur.
İlgili kişinin Kurula yapacağı şikayet üzerine Kurulun verdiği kararları yerine getirmeyen veri sorumlusu hakkında 25.000 TL’den 1.000.000 TL’ye kadar idari para cezasına hükmolunur.

« Yayınlar

« Sirküler
« Yazılar