Kişisel Verilerin Korunması Hukuku Avukatı

  • Ev
  • Kişisel Verilerin Korunması Hukuku Avukatı

Kişisel veriler ve bu verilerin korunması, günümüz dünyasında her zamankinden daha önemli hale gelmiştir. Bilgilerin çeşitli platform ve kurumlarca işlenmesi, saklı tutulması ve paylaşılması, kişisel verilerin korunması usul ve esaslarının doğuşunu ve önemini ortaya koymuştur. Bu yazıda, kişisel verilerin korunması hukuku avukatlarının rolü ve sağladıkları hizmetler hakkında detaylı bilgiler mevcuttur.

Özellikle internetin ve sosyal medyanın hızla gelişerek hayatımızın her alanında yer alması sonucu kişisel verilerin güvenliği ve korunması son yılların en önemli konularından biri haline gelmiştir. Bu halin sonucu olarak da ülkemizde 2016 yılında kabul edilen Kişisel Verilerin Korunması Kanunu başta bankacılık olmaz üzere birçok sektörde yeni düzenlemelerin yapılmasına sebep olmuştur. Peki, son dönemde gerek gündemde gerek hukukta kendine bu kadar kapsamlı yer bulan kişisel veri nedir ve kişisel verilerin korunması nasıl sağlanmaktadır?

Kişisel veri kimliği belirli veya belirlenebilir gerçek kişiye ait her türlü veridir. Kişinin adı, soyadı, doğum tarihi ve yeri gibi bilgilerinin yanında bir kişiyle ilişkilendirilebilen ve onun belirlenebilir olmasını sağlayan her türlü veri de kişisel veri olacaktır. Kişinin aracının plakası, sosyal güvenlik numarası gibi bilgilerin yanında kişinin sosyal, kültürel, ekonomik ve hatta ailevi her türlü bilgi de kişisel veri kapsamında olup bu kapsam oldukça geniştir.

Son yıllarda yukarıda da değindiğimiz gibi sosyal medyanın hayatımızda kapladığı büyük alan sebebiyle artık sadece kişinin kendi sunduğu veriler yolu ile değil değişik birçok kaynaktan alınan verinin otomatik birleştirilmesi ve incelenmesi sonucu kişiye ait sağlık durumundan politik görüşüne kadar birçok alanda analiz yapmak mümkün olmuştur. Bu sebeple kişisel veriler özellikle ticari kuruluşlar tarafından sık kullanılan bir alan haline gelmiştir. Ticari kuruluşlar ve işletmeler tüketici kitlelerinin özellikle internet üzerindeki hareketlerini ve ilgi alanlarını inceleyerek kişiye özel reklam sunma uygulamaları yolu ile her tüketiciye bireysel olarak ilgisini çekebilecek ürünlerin reklamlarını sunmaya başlamıştır. Bu durum da yepyeni iş modellerine kapı açmıştır. Şöyle ki; birtakım ara kuruluşlar, kişilere sundukları hizmetler karşılığında para değil kişisel verilerini almakta, sonrasında aldıkları verileri anlamlı verilere dönüştürerek ticari kuruluşlara satmakta ve ticari kuruluş da bu veriye göre kişiye reklam sunmaktadır. Bu durumu somut bir örnekle anlatacak olursak;

Kişi telefonuna ücretsiz bir uygulama olan “X” uygulamasını indirmek ister, bu indirme sırasında uygulama kişinin bazı verilerine, diyelim ki konum bilgisine ulaşabileceğine ilişkin izin ister ve kişi bu durumu önemsemeden izni verir ve “X” uygulamasını kullanmaya başlar. Ancak uygulama kişinin konum bilgisini toplamaktadır. Kişinin konumu her zaman sabit olup sabahları işe gitmekte, akşamları eve dönmekte, bazen de her zaman gittiği başka yerlere gitmektedir. Sonra kişi birden beklenmedik şekilde eczaneye gitmeye, bir kadın doğum uzmanının kliniğine gitmeye başlar. “X” uygulaması bu verileri toplayarak “Y” ticari kuruluşuna sunar ve kuruluş “X” uygulamasının şirketi gibi olan diğer ara şirketlerden de aldığı verileri birleştirerek o kişinin çocuk beklediğini düşünerek ona artık bebek malzemeleri reklamları sunmaya başlamıştır.

Anlaşılacağı üzere kişisel verilerin işlenmesi yolu ile kişiye  dair en mahrem bilgiye bile ulaşmak mümkün olup bu durum sadece ticari kuruluşlar tarafından reklam amacıyla kullanılmamakta, çeşitli başka kuruluşlarla tarafından da verilerin işlenmesi mümkün olabilmektedir.

Hal böyle olunca artık kişisel verilerin güçlü bir şekilde korunması ve etkili bir düzenleme yapılması zaruri bir hale gelmiş ve sonuç olarak dünyanın her yerinde bu konuya ilişkin çeşitli yeni ve etkili düzenlemeler yapılmış, ülkemizde 2016 yılında Kişisel Verilerin Korunması Kanunu yürürlüğe girmiş olup ilk maddede kanunun amacı düzenlenmiştir.

Buna göre Kişisel Verilerin Korunması Kanunu’nun Amacı, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir.

Kanun kişisel verileri işlenen gerçek kişiler ile bu kişisel verilerin bütününü veya bir kısmını otomatik olan veya olmayan yöntemlerle işleyen gerçek veya tüzel kişileri kapsamaktadır.

KİŞİSEL VERİ NEDİR?

Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ait her türlü bilgiyi ifade eder. Bu bilgiler, isim, soyisim, doğum yılı ve tarihi, Türkiye Cumhuriyeti kimlik numarası gibi kimliği belirleyen veriler olabileceği gibi, IP adresi ve E-posta adresi gibi dolaylı olarak kimliği belirleyen veriler de olabilir.

Kişisel verilerin işlenmesi; verilerin tamamının veya bir kısmının otomatik olan veya olmayan yöntemlerle elde edilmesi, kaydedilmesi, depolanması, değiştirilmesi, aktarılması, devralınması, sınıflandırılması veya kullanılmasının genel adıdır.

Kişisel Verilerin Korunması (KVKK) Hukuku Nedir?

  • Kişisel verilerin korunması ve bu koruma neticesinde oluşan hukuk dalı, kişilerin hususi verilerinin işlenmesi ve muhafaza edilmesi süreçlerini düzenler. Türkiye’de bu alan Kişisel Verilerin Korunması Kanunu (KVKK) ile düzenlenir. Bu kanun gereğince kişisel verilerin işlenmesi ve korunmasına ilişkin temel prensipler belirlenir ve ihlallere karşı yaptırımlar öngörülür.

Kişisel Verilerin Korunması Hukuku Neden Önemlidir?

  • Kişisel verilerin korunması, bireylerin mahremiyetinin korunması açısından büyük öneme sahiptir. Teknolojik gelişmeler ve dijitalleşme çağı ile birlikte kişisel veriler daha kolay erişilebilir hale gelmiştir. Bu husus nedeniyle, veri ihlalleri ve kötüye kullanımların önüne geçmek için sıkı yasal düzenlemeler yapılmalı ve bu düzenlemelerin sıkı bir şekilde uygulanması gerekmektedir.

Kişisel Verilerin Korunması Kanununun Amacı Nedir?

  • Kişisel Verilerin Korunması Kanunu (KVKK), kişisel verilerin işlenmesi ve kişilerin temel hak ve özgürlüklerinin korunmasını hedef alır. Ayrıca, kişisel verilerin kullanılması sırasında uyulması gereken usul ve esasların belirlenmesi ve bu alanda denetim mekanizmaları oluşturulması da yine KVKK ve bu çerçevedeki düzenlemelerin amacı içerisindedir.

Anayasa’nın 20.maddesinin 3. Fıkrası “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.” Şeklindedir. Anayasa’dan da açıkça anlaşılacağı üzere kural olarak kişisel verilerin işlenmesi yasak olsa da kanunda öngörülen hallerde ve kişinin rızasının olduğu durumlarda kişisel verileri işlemek mümkün olacaktır.

Kişisel veriler ancak Kişisel Verilerin Korunması Kanunu’nda öngörülen usul ve esaslara göre işlenebilir. Kanunun 4.maddesinde sayılan ilkelere uyulması zorunlu olup bu ilkeler kişisel verilerin kullanılmasında hukuka uygunluğun temelini oluşturmaktadır. Buna göre kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması zorunludur:

  1. a) Hukuka ve dürüstlük kurallarına uygun olma.
  2. b) Doğru ve gerektiğinde güncel olma.
  3. c) Belirli, açık ve meşru amaçlar için işlenme.

ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.

  1. d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza

edilme.

Bu ilkeleri ek tek değerlendirecek olursak:

  • Hukuka ve dürüstlük kurallarına uygun olma: Bu ilke en genel ilke olup hukuk düzeninde bir işlemin hukuka uygun olmasının ilk şartı dürüstlük kurallarına uygun olmasıdır. Dürüstlük kurulu Türk Medeni Kanunu’nun 2.maddesinde düzenlenmiş olup herkesin haklarını kullanırken ve borçlarını yerine getirirken dürüstlük kurallarına uyması zorunludur. Kimse kendisine verilmiş bir hakkı kötüye kullanamaz. Bu sebeple kişisel veriler işlenirken de bunun kötüye kullanılması durumunda herhangi bir hukuka uygunluk söz konusu olmayacaktır.
  • Doğru ve gerektiğinde güncel olma: Kişisel veriler kişinin sosyal imajını etkileyebilecek, bir başka kişinin o kişi hakkında yanlış bir izlenime kapılmasına sebep olabilecek güce sahip olduğundan doğru ve güncel olması oldukça önem taşıyan bir konudur. Kişisel verilerin yanlış olması kişinin temel ha ve özgürlüklerini ve menfaatlerini ve manevi bütünlüğünü olumsuz yönde etkileyebileceğinden böyle bir durumun varlığı yine verinin işlenmesinin hukuka uygun olmasını engelleyecektir.
  • Belirli, açık ve meşru amaçlar için işlenme: Kişisel veri işlenirken işlenme amacının baştan belirlenmiş olması, bu amacın meşru olması kişinin hak ve özgürlüklerini ihlal etmeyecek olması, açık olması, verinin işlenmesinin sebebinin verisi işlenen ve veriyi işleyecek olan iki tarafça da açıkça biliniyor ve anlaşılmış olması gerekmektedir. Bu ilke ile yine verinin işlenmesinde hukuka uygunluk aranmaktadır.
  • İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma: Ölçülülük hukuk düzenimizin temel ilkelerinden biri olmakla birlikte kişisel verilerin işlenmesi kapsamında da önemli bir yere sahiptir. Nitekim yukarıda belirttiğimiz gibi kişisel bir verinin işlenmesi belirli ve meşru bir amaç için işlenmelidir. Bu işlem sırasında amacın aşılmaması, işlemenin yalnızca o amaç çerçevesinde yapılması gerekmektedir.
  • İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme: İşleme, işleme amacının gerçekleşmemiş olması durumunda, verinin işleme amacıyla ilgisini kaybetmediği veya işleme amacının hala mevcut olduğu süre içerisinde devam edebilir. Bunun yanında verilerin işlenmesine devam etme süresi özel olarak mevzuatta da düzenlenmiş olabilir. Bu durumda bu sürelerin aşılması işlemenin hukuka aykırı hale gelmesine sebep olacaktır.

Bunun yanında kişisel bir verinin işlenebilmesi için verinin ait olduğu kişinin açık rızasının bulunması şarttır. Ancak kanunda kişinin açık rızasının aranmayacağı haller de düzenlenmiştir. Buna göre aşağıdaki hallerde bir kişinin açık rızası olmasa dahi kişisel verilerinin işlenebilmesi mümkündür;

  1. a) Kanunlarda açıkça öngörülmesi.
  2. b) Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına

hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.

  1. c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla,

sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.

ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.

  1. d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.
  2. e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
  3. f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun

meşru menfaatleri için veri işlenmesinin zorunlu olması

Bu şartları tek tek değerlendirecek olursak;

  • Kanunda Açık Hüküm Bulunması: Verilerin işlenebilmesi, kişisinin rızası olsun veya olmasın kanunda açıkça hüküm bulunması durumunda gerçekleştirilebilmektedir. Buna örnek vermek gerekirse suç işleyen kişinin parmak izinin alınması kanunda açıkça hüküm bulunmasından dolayı kişinin verisinin alınmadır.
  • Fiili İmkansızlık: Kişinin fiili bir imkansızlık olması sebebiyle rızasının alınamayacak durumda olması veya o kişinin rızasına hukuk düzenince sonuç bağlanmasının mümkün olmadığı durumlarda rıza aranmaksızın kişinin verilerinin işlenmesi söz konusu olabilecektir. Ancak kanuna göre bunun mümkün olması için ilgili kişinin veya üçüncü bir kişinin hayatının veya beden bütünlüğünün korunması için o verilerin işlenmesinin şart olması gerekmektedir. Örneğin bir trafik kazası sonucu bilinci kapalı olan hastanın sağlık bilgisine ulaşılması bu kapsamdadır.
  • Sözleşmenin Kurulması veya İfası İçin Gerekli Olması: Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması durumunda veriler yalnızca bu amaca yönelik olarak işlenebilir. Örneğin bir banka ile kredi sözleşmesi yapılması durumunda bankanın o kişiye yönelik mal varlığını ortaya koyacak bir takım verilere ulaşması bu kapsamdadır.
  • Veri Sorumlusunun Hukuki Yükümlülüğünü Yerine Getirmesi İçin Zorunlu Olması: veriden sorumlu olan kişinin hukuki bir yükümlülüğü yerine getirmek için veriyi işlemesi bu kapsamdadır. Örnek olarak şirket sahibi kişilerin mali denetim sırasında çalışanlarına ödeme yaptığına ilişkin denetimde çalışanlarının hesap bilgilerini denetim yapan kişilerle paylaşması verilebilir.
  • Veri Sahibi Tarafından Alenileştirme: Veri sahibi kişinin kendisi tarafından alenileştirilen, insanlara açılan verilerinin işlenmesi rıza olmaksızın söz konusu olacaktır. Ancak burada önemli bir nokta vardır ki veri sahibi bu verinin aleni olmasını özellikle istiyor olmalıdır. Örnekle açıklanacak olursa; arabasını satmak isteyen kişinin ilan vermesi ve ilana telefon numarasını eklemesi durumunda bu veri, veri sahibi kişi tarafından alenileştirilmiş olacaktır. Ancak kişinin herhangi bir sosyal medya hesabına yüklediği fotoğrafın başka bir yerde kullanılması bu kapsama girmeyecektir. Zira bir verinin herkes tarafından ulaşılabilecek bir yerde olması onun veri sahibi tarafından alenileştirildiği anlamına gelmediği gibi alenileştirilmiş verinin dahi amacı dışında kullanılması mümkün değildir.
  • Hakkın Tesisi veya Kullanılması için Zorunlu Olma: Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması halinde ilgili kişinin kişisel verilerinin işlenmesi mümkündür. Örneğin işverenin çalışanın açtığı bir davada kendi haklılığını ispatlamak için çalışana ilişkin maaş bordrosunu, izin çizelgelerini sunması bu kapsamda yer almaktadır.
  • İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması: bu şarta dayanarak veri işlenebilmesi için veriden sorumlu olan kişinin meşru bir menfaatinin olması, sorumlunun yalnızca bu menfaat çerçevesinde veri işlemesi ve bunu yaparken veri sahibinin herhangi bir temel hak veya özgürlüğüne zarar vermemesi esastır.

Bunların yanında yukarıda da değindiğimiz gibi kişisel verinin ne olduğunun kapsamı oldukça geniş olmakla birlikte Kişisel Verilerin Korunması Kanunu’nda bazı veriler özel nitelikli veriler olarak sayılmıştır. Bunlar; Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileridir.

Kanuna göre bu verilerin kişinin açık rızası olmadan işlenmesi yasak olup sağlık ve cinsel hayata ilişkin veriler hariç diğer verilerin kanunda öngörülen hallerde açık rıza olmaksızın işlenmesinin yine mümkün olduğu ancak sağlık ve cinsel hayata ilişkin verilerin ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü  altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebileceği belirtilmiştir.

KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ, ANONİM HALE GETİRİLMESİ, AKTARILMASI

 Kanuna ve hukuka uygun olarak işlenmiş verilerin işlenme amaçlarının ortadan kalkması durumunda ilgili veriler veri sorumlusu tarafından resen veya veri sahibi kişi tarafından silinir, yok edilir veya anonim hale getirilir.

Kişisel veriler kural olarak veri sahibi ilgili kişinin açık rızası olmaksızın aktarılamaz ancak yukarıda saydığımı kişisel verilerin işlenmesine ilişkin şartların olması durumunda yeterli önlemlerin alınması kaydı ile aktarılması söz konusu olabilir. Kişisel verilerin yurt dışına aktarılması söz konusu olacak ise de aktarılacak ülkede yeterli koruma olması, ülkedeki ve yurt dışındaki veri sorumlusu kişilerin yeterli koruma olduğunu yazılı olarak taahhüt etmesi, Kişisel Verileri Koruma Kurulu’nun izninin bulunması gerekmektedir.

SONUÇ:

Kişisel verilerin işlenmesi gerek şahıslar gerek kurum ve kuruluşlar gerekse de devlet açısından önemli ve hayati bir alan olup bu alanın etkili bir kanun çerçevesinde düzenlenmesi gerekmiş, bunun üzerine 2016 yılında yürürlüğe giren Kişisel Verilerin Korunması Kanunu ile gerekli düzenleme ve yasal güvenlik oluşturulmuştur.

Kişisel verilerin işlenmesi bu kanun ile sıkı şartlara ve hukuka uygunluk sebeplerine bağlanmış olup bunlardan birinin olmaması durumunda kişinin de açık rızasının olmadığı noktada işlenmesi hukuka aykırı olacak, bunun da bir takım yasal sonuçları doğacaktır.

BÖLÜM II: HAKLAR, YÜKÜMLÜLÜKLER VE İHLALİ DURUMUNDA YAPILABİLECEKLER

Veri Sorumlusunun Yükümlülükleri

Kişisel verilerin elde edilmesi sırasında Kişisel Verilerin Korunması Kanunu kapsamında verilerden sorumlu olacak kişiler ve veri sahipleri için bir takım hak ve yükümlülükler düzenlenmiştir.

Bu düzenlemeler arasında en önemli noktalardan biri veri sorumlusu olan kişiye yüklenmiş olan aydınlatma yükümlülüğüdür. Şöyle ki;

Veri sorumlusu olan kişiye kendisi veya yetkilendirdiği ilgili kişi yoluyla kişisel veri elde edilirken ilgili kişiyi bilgilendirme/aydınlatma yükümlülüğü yüklenmiştir. Bu kişi ilgili kişinin  verilerini elde ederken kendisinin veya temsilcisinin kimliği, kişisel verinin hangi amaçla işlenildiği, işlenen verinin kimlere hangi amaçla aktarılabileceği, kişisel verinin toplanma yöntemi ve hukuki sebepleri ile birazdan açıklayacağımız kişisel veri sahibi olan ilgili kişiye kanun tarafından tanınan hakları konularında o kişileri aydınlatma yükümlülüğü altındadır.

Veri sorumlusunun yükümlülükleri bununla sınırlı kalmamış, Kanun’un 12.maddesinde diğer yükümlülükleri sayılmıştır. Bunları sıralayacak olursak;

  • Veri Sorumlusu kişisel verilerin hukuka aykırı işlenmesini önlemek, verilere hukuka aykırı olarak ulaşılmasını önlemek, verilerin muhafazasını sağlamak amacıyla alınması gereken bütün teknik ve idari güvenlik önlemlerini almakla sorumludur. Veri sorumlusunun bu sorumluluğu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde bu kişilerle birlikte müştereken devam eder.
  • Kanun veri sorumlusuna ayrıca denetim yükümlülüğü yüklemiştir. Öyle ki veri sorumlusu kendi kurum veya kuruluşunda Kişisel Verilerin Korunması Kanunu’na uyulup uyulmadığını denetlemek veya denetlettirmek yükümlülüğü altındadır. Yani veri sorumlusu olan kişi bu denetlemeyi, kendisi yapabileceği gibi üçüncü bir kişi tarafından yapılmasını da sağlayabilir.
  • Veri sorumluları ve verileri işleyen kişiler öğrendikleri bilgili öğrenme amaçlarına aykırı olarak işleyemez, Kanuna aykırı olarak başkasına açıklayamaz. Öyle ki bu yükümlülük kişinin işten ayrılması halinde dahi devam eder.
  • İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kişisel Verileri Koruma Kurulu’na bildirmek zorundadır.

Bu kapsamda kanun tarafından veri sorumlusu kişilere verilerin işlenmesi sürecinde alınması gereken tedbir ve önlemler konusunda bir açıklık sağlanmış olmakla birlikte Kişisel Verilerin Korunması Kurulu tarafından iyi örneklerin oluşması amacıyla  Kişisel Veri Güvenliği Rehberi hazırlanmıştır.

İlgili Kişinin Hakları

Kanun veri sahibi olan ilgili kişilere ayrıca bir kısım haklar tanımış ve bu hakları 11.maddede düzenleme altına almıştır. Şöyle ki kanuna göre,

Herkes veri sorumlusuna başvurarak kendi ile ilgili kişisel verinin işlenip işlenmediğini, işlenmişse buna ilişkin bilgi alma, verinin işleniş amacını ve amacına uygun olarak işlenip işlenmediğini öğrenme, eğer veri üçüncü bir kişiye aktarılmış ise yurt içinde veya yurt dışında olması fark etmeksizin bu üçüncü kişileri öğrenme, eksik veya yanlış işlenmiş verilerin düzeltilmesini, tamamlanmasını isteme hakkına sahiptir.

Bunlara ek olarak kişisel verilerin ilgili kişinin de izniyle Kanuna uygun olarak işlenmesi sonrasında işlenme amacının ortadan kalkması durumunda ilgili kişi veri sorumlusuna başvuruda bulunarak kişisel verinin silinmesini veya yok edilmesini talep etme hakkına da sahiptir. Nitekim kişisel verilerin işlenmesi bazı istisnalar hariç ilgili kişinin iznine tabi olduğundan verinin işlenmesi amacının ortadan kalkması durumunda ilgilinin verinin silinmesini istemesi işbu kanunun varoluş amacı göz önüne alındığında en tabi istek olacaktır.

Ayrıca ilgili kişi kişisel verilerinin yanlış işenmesi durumunda veya verinin işlenme amacının ortadan kalkması akabinde verilerin silinmesi veya yok edilmesini istemesi durumunda bu durumun varsa kişisel verilerin aktarıldığı üçüncü kişilere de bildirilmesi isteme hakkına sahiptir.

İlgili kişinin kişisel verilerinin özel olarak otomatik sistemlerce analiz edilmesi halinde ortaya çıkabilen olumsuz, kişinin aleyhine sonuçlara itiraz etme hakkı da bulunmaktadır.

Bunların yanında kişisel verilerinin kanuna aykırı olarak işlenmesinden zarar gören kişinin bu zararının giderilmesini talep etme hakkı da vardır. Öyle ki kişisel verilerin kanuna aykırı işlenmesi durumunda ilgilinin kişilik hakları ihlal edilmiş olacağından kişilik hakları ihlal edilmiş olan kişinin genel hükümlere göre tazminat hakları söz konusu olabilecek, bu kapsamda, ilgili kişiler yargı yoluna gidebileceklerdir.

Başvuru:

İlgili kişi Kişisel Verilerin Korunması Kanunu kapsamında kanunun uygulanması ile alakalı taleplerini yazılı olarak veya Kişisel Verilerin Korunması Kurulu tarafından belirlenen başka bir yöntem ile veri sorumlusuna başvurarak bildirebilir. Bu noktada kanun kademeli başvuru sistemin benimsediği için öncelikli olarak veri sorumlusuna başvuru yapılması zorunlu olup bu yol tüketilmeden Kurul’a şikayet yoluna gidilmesi mümkün olmayacaktır.

Kanuna göre veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içerisinde ücretsiz olarak sonuçlandırmalıdır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde, Kurulca belirlenen tarifedeki ücretin alınması söz konusu olabilir.

İlgili kişinin başvuru yapması durumunda veri sorumlusu tarafından ya talep kabul edilir ya da gerekçesi açıklanarak reddedilir ve veri sorumlusu cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir. Ayrıca başvuruda yer alan talebin kabul edilmesi hâlinde veri sorumlusunca talebin gereği yerine getirilmelidir.

Kanuna göre başvurunun veri sorumlusunun hatasından kaynaklanması hâlinde alınan ücret ilgiliye iade edilir.

Şikayet:

Başvuru yolunun tüketilmesi, veri sorumlusu tarafından ilgili kişinin talebini reddedilmesi, verilen cevabın yetersiz bulunması veya başvuruya süresinde cevap verilmemesi halinde ilgili kişiye şikayet yoluna başvurma hakkı verilmiştir.

Şöyle ki; ilgili kişi veri sorumlusu tarafından başvurusunun reddedildiğini öğrendiği günden itibaren otuz gün içerisinde ve her halde başvurudan itibaren altmış gün içerisinde Kişisel Verilerin Korunması Kurulu’na şikayette bulunabilir.

Kurul, şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen, görev alanına giren konularda gerekli incelemeyi yapar. Burada kurula resen de inceleme yapma hakkı tanınmıştır. Ancak kurulun şikayet üzerine inceleme yapması için söz konusu ihbar ve şikayetin Dilekçe Hakkının Kullanılmasına Dair Kanunun 6 ncı maddesinde belirtilen şartları taşıması gerekmektedir. Bu şartlar da şöyledir;

  1. Dilekçenin Belli bir konuyu ihtiva etmesi
  2. Yargı mercilerinin görevine giren konularla ilgili olmaması
  3. Dilekçe sahibinin adı soyadı ve imzası ile iş veya ikametgâh adresinin dilekçede bulunması gerekmektedir.

Ayrıca belirtmek gerekir ki veri sorumlusu şikayet durumunda, Kurulun, inceleme konusuyla ilgili istemiş olduğu bilgi ve belgeleri Devlet sırrı niteliğindeki bilgi ve belgeler hariç olmak üzere; on beş gün içinde göndermek ve gerektiğinde yerinde inceleme yapılmasına imkân sağlamak zorundadır.

Şikâyet üzerine Kurul, talebi inceleyerek ilgililere bir cevap verir. Ancak Şikâyet tarihinden itibaren altmış gün içinde cevap verilmezse talep reddedilmiş sayılır. Yani bu altmış günlük sürenin sonunda idari yargıda dava açma süresi başlayacaktır.

Şikâyet üzerine veya resen yapılan inceleme sonucunda, ihlalin varlığının anlaşılması hâlinde Kurul, tespit ettiği hukuka aykırılıkların veri sorumlusu tarafından giderilmesine karar vererek ilgililere tebliğ eder. Bu karar, tebliğden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirilir.

Şikâyet üzerine veya resen yapılan inceleme sonucunda, ihlalin yaygın olduğunun tespit edilmesi hâlinde Kurul, bu konuda ilke kararı alır ve bu kararı yayımlar. Kurul, ilke kararı almadan önce ihtiyaç duyması hâlinde, ilgili kurum ve kuruluşların görüşlerini de alabilir.

Kurul, telafisi güç veya imkânsız zararların doğması ve açıkça hukuka aykırılık olması hâlinde, veri işlenmesinin veya verinin yurt dışına aktarılmasının durdurulmasına karar verebilir. Ancak belirtmekte fayda vardır ki ilgililerin her zaman Kurul’un işlemlerine karşı idari yargı yoluna başvurma hakkı vardır.

KİŞİSEL VERİLERİN KORUNMASI KANUNU KAPSAMINDA SUÇ VE KABAHATLER

Suçlar

Kişisel Verilerin Korunması Kanunu kapsamında ayrıca çeşitli suçlar düzenlenmemiş olup 17.maddede kişisel verilere ilişkin 5237 sayılı Türk Ceza Kanununun 135 ila 140’ıncı madde hükümlerinin uygulanacağı belirlenmiştir. Nitekim Ceza Kanunu’nun ilgili hükümleri;

TCK’nın 135.maddesi  “Kişisel Verilerin Kaydedilmesi” başlıklı olup birinci fıkrada hukuka aykırı olarak kişisel verileri kaydeden kişilere 1 yıldan 3 yıla kadar hapis cezası verileceği düzenleme altına alınmıştır. Ancak kişisel verinin, kişilerin siyasi, felsefi veya dini görüşlerine, ırki kökenlerine; hukuka aykırı olarak ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin olması durumu ağırlaştırıcı hal olarak belirlenmiş ve bu durumunda birinci fıkra uyarınca verilecek cezanın yarı oranında artırılacağı hüküm altına alınmıştır.

TCK’nın 136.maddesinde ise kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişinin iki yıldan dört yıla kadar hapis cezası ile cezalandırılacağı düzenlenmiştir.

Bu iki suçun kamu görevlisi tarafından ve görevinin verdiği yetki kötüye kullanılmak suretiyle veya belli bir meslek ve sanatın sağladığı kolaylıktan yararlanmak suretiyle işlenmesi durumu ise TCK’nın 137.maddesinde nitelikli hal olarak düzenlenmiş olup verilecek cezanın yarı oranda arttırılması hüküm altına alınmıştır.

TCK’nın 138.maddesinde ise verilerin yok edilmemesi suçu düzenlenmiştir. Buna göre kanunlara belirlenen sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanların görevlerini yerine getirmemeleri halinde bu kişilere bir yıldan iki yıla kadar hapis cezası verilir.  Suçun konusu Ceza Muhakemesi Kanunu hükümlerine göre ortadan kaldırılması veya yok edilmesi gereken verilerden ise verilecek ceza bir kat artırılır.

TCK’nın 139.maddesinde “Kişisel verilerin kaydedilmesi, verileri hukuka aykırı olarak verme veya ele geçirme ve verileri yok etmeme hariç, bu bölümde yer alan suçların soruşturulması ve kovuşturulması şikayete bağlıdır.” Denildiğinden kişisel verilerin kaydedilmesi verileri hukuka aykırı olarak verme veya ele geçirme ve verileri yok etmeme suçlarında kovuşturma ve soruşturmanın şikayete bağlı olmadığı anlaşılacaktır.

140.madde ise bu suçların tüzel kişiler tarafından işlenmesi durumunda tüzel kişiler hakkında güvenlik tedbirleri uygulanacağını düzenlemiştir.

Kabahatler

Kişisel Verilerin Korunması Kapsamında kabahatler kanunun 18. Maddesinde sıralanmıştır. Buna göre veri sorumlusunun aydınlatma yükümlülüğünü yerine getirmemesi, veri güvenliğinin sağlanmasına ilişkin önlemleri almakla yükümlü kişilerin bu yükümlülüğü yerine getirmemesi, ilgilinin şikayet yoluna başvurması sunucu Kurul tarafından verilen kararın gereğinin yerine getirilmemesi, veri sorumlularının Veri Sorumluları Siciline kayıt ve bildirimde bulunmaması kanun kapsamında sayılan kabahatler olup bu kabahatleri işleyen kişilere kanunda belirlenmiş çeşitli miktarlarda idari para cezası verilmektedir.

Bu kabahatlerin kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları bünyesinde işlenmesi hâlinde, Kurulun yapacağı bildirim üzerine, ilgili kamu kurum ve kuruluşunda görev yapan memurlar ve  kamu görevlileri ile kamu kurumu niteliğindeki meslek kuruluşlarında görev yapanlar hakkında disiplin hükümlerine göre işlem yapılacağı ve sonucun da kurula bildirileceği de yine kanun kapsamında yapılan düzenlemelerdendir.

KİŞİSEL VERİLERİN KORUNMASI AVUKATI SEÇERKEN DİKKAT EDİLMESİ GEREKENLER

Kişisel verilerinin işlenmesi ve bu kişisel verilerinin kanuna aykırı olarak kullanılması sonucunda mağdur olan kişiler bu durumda kişisel verilerinin korunması için alınacak tedbirler bakımından avukata başvururken, başvurdukları avukatın bu alan üzerindeki tecrübesine, uzmanlık saydığı alanlara referans gösterimlerine dikkat etmelidir. Ayrıca, başvurulacak avukatın Kişisel Verilerin Korunması Kanunu çevresinde gelişen hukukun güncel ve her geçen gün genişlemesi nedeniyle yasal düzenlemeleri ve uygulamaları sıkı ve yakından takip etmesine de dikkat etmelidir. Bu husus büyük önem arz eder.

KVKK AVUKATI İLE ÇALIŞMANIN ÖNEMİ

KVKK ve bu kanun etrafında şekillenen kişisel verilen korunması hukuku ile ilgilenen bir avukat ile çalışmak, kişisel verilerin korunması hususunda profesyonel ve güncel aynı zamanda da hukuka uygun bir destek almanızı sağlar. Avukatlar, hem bireylerin kişisel haklarının korunması hem de kurumsal düzeyde KVKK’ya uyum süreçlerini yönetir ve olası hak ihlalleri karşısında etkin çözümler sunar

SONUÇ:

Kanunun genel hatlarından da anlaşılacağı üzere düzenlemeler tamamen ilgili kişilerin kişisel haklarını korumaya yönelik olup bu hakların ihlal edilmesi veya kanuna aykırı bir biçimde verilerin işlenmesi durumunda bundan sorumlu kişilerin hakkaniyetli bir şekilde cezalandırılmasını öngörmektedir.

Ayrıca kanuna aykırı hareket edilmesinin önüne geçilmesi için veri sorumlularına bir çok sorumluluk yüklenmiş, kendilerini denetlemeleri bile onların sorumluluğuna bırakılmıştır. Bunun yanında ilgili kişilere sağlanan haklarla veri sorumlularının işlemlerinin Kurul tarafından da bir nevi denetlenmesine olanak sağlayarak kişilerin hak kaybı yaşamasının önüne geçilmiştir. Nihayetinde bu kanun kapsamında yapılabilecek tüm işlemler idari yargı yolu ile denetime açıktır. Böylesine hassas bir konuda kanuna aykırı davranılması sonucu kişilerin zararlarını giderme haklarının da saklı tutulması hukuk düzenimizde kişisel verilere verilen değerin bir göstergesidir.

ŞİRKETLER VE KURUMLAR AÇISINDAN KİŞİSEL VERİLER

Şirketler ve kurumlar yönünden kişisel verilerin korunması, müşterilerin bu şirketlere ve kurumlara güvenini arttırır. İşbu durum, yasal sorumluluk ve yükümlülükler açısında son derece kritiktir. KVKK’ya ve bu kanun çevresindeki düzenlemelere uyum sağlamak, şirketlerin güvenilirliğini, itibarını korur aynı zamanda ilgili şirketin veya kurumun itibarını da arttırır. Olası yaptırımlar ve cezalar nedeniyle şirketlerin ceza ve başkaca yaptırımlara maruz kalmalarını da engeller.

AÇIK RIZA NEDİR?

Açık rıza, kişisel verilerin belirli bir amaç doğrultusunda işlenmesine ilişkin olarak, veri sahibinin bilgilendirilmiş ve özgür iradesiyle verdiği onayı ifade eder. Açık rıza, KVKK kapsamında kişisel verilerin işlenmesi için temel şartlardan biridir. Açık rızanın unsurları; İradenin özgür olması, belirli bir konuya ilişkin olması ve belirlenebilir nitelikten uzak olmaması, açık ve net bilgilendirmenin söz konusu olmasıdır.

Kişisel Verilerin Korunması Kanunu (KVKK) ve Genel Veri Koruma Yönetmeliği (GDPR) Gibi Yasal Düzenlemelere Uyum Sağlamada Nasıl Destek Sağlıyorsunuz?

KVKK ve GDPR gibi yasal düzenlemelere uyum sağlamak, kapsamlı bir yaklaşım özverili bir araştırma ile işbu hususların insan hayatına etkilerinin mühimliğini doğru kavramayı gerektirir. Avukatlar, veri işleme süreçlerinin gözden geçirilmesi, gerekli teknik, hukuki, psikolojik ve idari tedbirlerin alınması aynı zamanda da uyum süreçlerinin kayıt altına alınması gibi konularda destek sağlar.

Veri İhlali Durumunda Yapılması Gereken Adımlar Nelerdir?

Veri ihlali söz konusu ise kişi veya ilgili kurum, öncelikle ihlalin başlangıcı, boyutu, ihlal edilen unsurun niteliği ve kişiye etkileri değerlendirmelidir. İhlalden etkilenen tarafından bildirimde bulunulmalı ve ihlalin neden olan hususlar tespit edilmelidir. Tekrarının önlenmesi için gerekli tedbirler alınmalıdır.

Hizmet Ücretleriniz Nasıl Belirleniyor?

Avukatlık danışma ve hizmet ücretleri, avukatlarımız tarafından sunulacak hizmetin boyutu, kapsamı, zorluk derecesi, süresi, mahkeme ve başkaca kurumlara başvuru sürecine göre belirlenir. Avukatlarımız yazılı ve sözlü danışmanlık halinde genellikle saat hesabı ücret ile hizmet vermekte iken, açılan veya açılması istenen davalar, yapılması istenen başvurular ve işlere göre de yapılacak işin niteliğine göre ücretlendirme yaparlar.

KVKK Davaları Hangi Mahkemede Görülür?

KVKK ve bu kanun kapsamında yapılan düzenlemelere ilişkin olarak açılan davalar ile yapılan başvurular, davanın ve başvurunun türüne bağlı olarak farklı mahkemelerde görülebilir. Kişisel Verileri Koruma Kurumu tarafından verilen idari para cezası ve idari kararlarlar ile alakalı davalar idare mahkemelerinde görülür. Fakat bunun aksine kişisel veri ihlalleri nedeniyle tazminat davaları Asliye Hukuk Mahkemelerinde açılır. Bu nedenle, KVKK davalarında yetkili mahkeme, dava konusuna göre değişiklik gösterebilir.

Bu gönderiyi paylaş

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir