21. yüzyılın “Bilgi Çağı” olmasıyla ve teknolojik gelişmelerin de hızla artmasıyla birlikte her türlü bilginin globalleştiği bir dönemde yaşıyoruz. Bilginin bu denli hızlı yayılması ise kişisel bilgilerimizin yani kişisel verilerimizin de tehlikede olduğunu gösteriyor.
Kişisel veri kanunda “Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” olarak tanımlanmaktadır. Yani bir bilginin kişinin kimliğini doğrudan göstermese de belirlenmesini sağlaması onun kişisel veri sayılması için yeterlidir. Bu bağlamda kişinin telefon numarası, sağlık bilgileri, özgeçmişi, ses ve görüntü kayıtları hatta hobileri, tercihleri, dini inancı, siyasi görüşleri yani ayırt edici olan her türlü özelliği bu tanıma dahildir. Ve dijitalleşen çağın bir gereği olarak her birimiz sosyal medya, mobil bankacılık vb. birçok alanda bazen zorunda kalarak bazen de umarsızca bu kişisel verilerimizi paylaşıyoruz. Bu verilerin de bizden başka herkesin kötü ve haksız kullanımına karşı korumamız son derece önemli.
Aslında kişisel verilerin korunması ülkemiz için yeni bir kavram değil. Türkiye 28 Ocak 1981’de Avrupa Konseyi tarafından “Kişisel verilerin otomatik işleme tabi tutulması karşısında bireylerin korunması” sözleşmesini ilk imzalayan ülkeler arasında yer aldı. Ancak onaylanması 17 Mart 2016’da gerçekleştiği için o zamandan bu zamana bağlayıcı olamadı. Sözleşmenin kabul edilmesinden sonra 7 Nisan 2016’da 6698 sayılı Kişisel Verilerin Korunması Kanunu yürürlüğe girdi.
Kanun koyucu kişisel verileri; kişisel veri ve özel nitelikli kişisel veri olmak üzere iki kategoriye ayırmıştır. Başkalarının öğrenmesi takdirinde ilgili kişinin mağdur olabileceği, ayrımcılığa maruz kalabileceği nitelikteki veriler özel nitelikli kişisel veri kapsamına girmektedir. Bunlar kanunda sınırlı sayı ilkesi kapsamında: ırk ve etkin köken; siyasi düşünce ve felsefi inanç; din, mezhep ve diğer inançlar; kılık ve kıyafet; dernek, vakıf, sendika üyeliği; sağlık ve cinsel hayat; ceza mahkumiyeti ve güvenlik tedbirleri; biyometrik ve genetik veriler olarak sayılmıştır. Böylece bu veriler daha farklı kanuni düzenlemeye tabi tutulmuş ve daha ağır sorumluluk yüklenmiştir.
Bir kişisel verinin kanun kapsamında sayılabilmesi için ne gerekir? diye sorduğumuzda ise işlenen kişisel verilerin bir web kayıt sisteminin parçası olması gerektiği sonucuna ulaşıyoruz. Verilerin kaydedilmesi, depolanması, düzenlenmesi, sınıflandırılması, paylaşılması vb. veri üstünde her türlü işlem bu kapsamına girmektedir. Kişisel veriler işlenirken de kvkk6698/5’te sayılan kişisel veriler ilgili kişinin açık rızası olmaksızın işlenememesi gibi bazı temel ilkelere dikkat edilmesi gerekiyor.
Kanunun getirdiği en büyük yenilik ise kişiye verisiyle ilgili hesap sorma yetkisi vermesi . Veri sahibi kurumlara getirilen sorumlulukların yanında bir de denetim mekanizması öngörülmüş ve bu bağlamda Kişisel Verileri Koruma Kurulu faaliyet göstermektedir. Kişisel verileri hukuka aykırı olarak işlenen gerçek kişi veri sahipleri, ilgili veri sorumlularını bu kuruma şikayet edebilirler ve sonucunda veri sorumluları 5000-1.000.000 tl arasında idari para cezası yaptırımına muhatap kalabilirler. Veri sahipleri TCK 135 ve devam maddeleri uyarınca savcılıklara şikayette bulunabilirler, hukuk mahkemelerinde maddi ve manevi tazminat isteminde bulunabilirler. Veri sorumluları bu yaptırımlara maruz kalmamak hem de kurumsal itibarlarını korumak adına kanuna uyumluluklarını tamamlamak mecburiyetindeler. Uyum sürecinde de mevcut hukuk ve teknik sistemlerini kanuna uygun hale getirmek ve gereken analizleri yaptırmak, mevcut verileri kanuna uygun haline getirmek gibi konularda mutlaka uzmanlardan danışmanlık hizmeti almalıdırlar.
Özetle; çalışanlarının, müşterilerinin ve iş ilişkisi içinde oldukları 3. kişilerin verilerini işleyen özel ve kamu kurum ve kuruluşlarının hepsi bu kanunun muhatabı ve veri sorumlularıdır. Veri sorumlularının kanuna göre dikkat edeceği hususlar: veri sahibinden kanunda sayılan hallere uygun olarak rıza veya açık rıza alınmış olması; aydınlatma yükümlülüğüne uyulmuş olması; hangi verinin kim tarafından, neden alınacağı nasıl ve ne kadar tutulacağının, 3.kişilere transfer edilip edilmeyeceğinin belirlenmesi ve verilerin tutulduğu süre boyunca her türlü idari ve hukuki tedbirin alınmış olması.
Son olarak Kişisel Verileri Koruma Kurulu’nun 2023 yılında verdiği kararlara örnek verecek olursak: 11/04/2023 tarihli kararda kurul, aydınlatılmış onam olmaksızın e-ticaret sitesinden alışveriş yapılabilmesi için kredi/banka kartı bilgilerinin kaydedilmesinin zorunlu tutulmasını Kanun’a aykırı bulmuştur. Yine 24/08/2023 tarihli bir başka kararda kurul, veri sorumlusuna ait internet sitesinde yapılan kullanıcı girişinde üçüncü kişiye ait kişisel verilerin görüntülenebilmesini Kanun’a aykırı bulmuştur. Yargıtay’ın da kişisel verileri koruma kanunu kapsamında benzer içtihatları mevcuttur. Biz veri sahiplerine düşen gerek kanun taraması yaparak gerek bu kararları takip ederek bu alanda bilgilenmek ve haklarımızı gözetmek. Günümüzde çoğu tüketici/veri sahibi alışverişte, sosyal medyada ya da herhangi bir alanda kişisel verilerinin haksız yere paylaşılmasına bilinçsizce izin veriyor. Bu görev yalnızca hukukçuların değil her veri sahibinindir. Her birimiz kendi haklarımızın adalet bekçileri olmalıyız.
Rumeysa DEDEMLİ