Kişisel Verilerin Korunması Hukuku

BÖLÜM I: KİŞİSEL VERİLERİN İŞLENMESİ VE GENEL İLKELER

GİRİŞ:

Günümüzde özellikle internetin ve sosyal medyanın hızla gelişerek hayatımızın her alanında yer alması sonucu kişisel verilerin güvenliği ve korunması son yılların en önemli konularından biri haline gelmiştir. Bu halin sonucu olarak da ülkemizde 2016 yılında kabul edilen Kişisel Verilerin Korunması Kanunu başta bankacılık olmaz üzere birçok sektörde yeni düzenlemelerin yapılmasına sebep olmuştur. Peki son dönemde gerek gündemde gerek hukukta kendine bu kadar kapsamlı yer bulan kişisel veri nedir ve kişisel verilerin korunması nasıl sağlanmaktadır?

Kişisel veri kimliği belirli veya belirlenebilir gerçek kişiye ait her türlü veridir. Kişinin adı, soyadı, doğum tarihi ve yeri gibi bilgilerinin yanında bir kişiyle ilişkilendirilebilen ve onun belirlenebilir olmasını sağlayan her türlü veri de kişisel veri olacaktır. Kişinin aracının plakası, sosyal güvenlik numarası gibi bilgilerin yanında kişinin sosyal, kültürel, ekonomik ve hatta ailevi her türlü bilgi de kişisel veri kapsamında olup bu kapsam oldukça geniştir.

Son yıllarda yukarıda da değindiğimiz gibi sosyal medyanın hayatımızda kapladığı büyük alan sebebiyle artık sadece kişinin kendi sunduğu veriler yolu ile değil değişik bir çok kaynaktan alınan verinin otomatik birleştirilmesi ve incelenmesi sonucu kişiye ait sağlık durumundan politik görüşüne kadar birçok alanda analiz yapmak mümkün olmuştur. Bu sebeple kişisel veriler özellikle ticari kuruluşlar tarafından sık kullanılan bir alan haline gelmiştir. Ticari kuruluşlar ve işletmeler tüketici kitlelerinin özellikle internet üzerindeki hareketlerini ve ilgi alanlarını inceleyerek kişiye özel reklam sunma uygulamaları yolu ile her tüketiciye bireysel olarak ilgisini çekebilecek ürünlerin reklamlarını sunmaya başlamıştır. Bu durum da yepyeni iş modellerine kapı açmıştır. Şöyle ki; birtakım ara kuruluşlar kişilere sundukları hizmetler karşılığında para değil kişisel verilerini almakta, sonrasında aldıkları verileri anlamlı verilere dönüştürerek ticari kuruluşlara satmakta ve ticari kuruluş da bu veriye göre kişiye reklam sunmaktadır. Bu durumu somut bir örnekle anlatacak olursak;

Kişi telefonuna ücretsiz bir uygulama olan “X” uygulamasını indirmek ister, bu indirme sırada uygulama kişinin bazı verilerine, diyelim ki konum bilgisine ulaşabileceğine ilişkin izin ister ve kişi bu durumu önemsemeden izni veriri ve “X” uygulamasını zevkle kullanmaya başlar. Ancak uygulama kişinin konum bilgisini toplamaktadır. Kişinin konumu her zaman sabit olup sabahları işe gitmekte, akşamları eve dönmekte, bazen de her zaman gittiği başka yerlere gitmektedir. Sonra kişi birden beklenmedik şekilde eczaneye gitmeye, bir kadın doğum uzmanının kliniğine gitmeye başlar. “X” uygulaması bu verileri toplayarak “Y” ticari kuruluşuna sunar ve kuruluş “X” uygulamasının şirketi gibi olan diğer ara şirketlerden de aldığı verileri birleştirerek o kişinin çocuk beklediğini düşünerek ona artık bebek malzemeleri reklamları sunmaya başlamıştır.

Anlaşılacağı üzere kişisel verilerin işlenmesi yolu ile kişiye  dair en mahrem bilgiye bile ulaşmak mümkün olup bu durum sadece ticari kuruluşlar tarafından reklam amacıyla kullanılmamakta, çeşitli başka kuruluşlarla tarafından da verilerin işlenmesi mümkün olabilmektedir.

Hal böyle olunca artık kişisel verilerin güçlü bir şekilde korunması ve etkili bir düzenleme yapılması zaruri bir hale gelmiş ve sonuç olarak dünyanın her yerinde bu konuya ilişkin çeşitli yeni ve etkili düzenlemeler yapılmış, ülkemizde 2016 yılında Kişisel Verilerin Korunması Kanunu yürürlüğe girmiş olup ilk maddede kanunun amacı düzenlenmiştir.

Buna göre Kişisel Verilerin Korunması Kanunu’nun Amacı, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir.

Kanun kişisel verileri işlenen gerçek kişiler ile bu kişisel verilerin bütününü veya bir kısmını otomatik olan veya olmayan yöntemlerle işleyen gerçek veya tüzel kişileri kapsamaktadır.

KİŞİSEL VERİLERİN İŞLENMESİ VE GENEL İLKELER

Kişisel verilerin işlenmesi; verilerin tamamının veya bir kısmının otomatik olan veya olmayan yöntemlerle elde edilmesi, kaydedilmesi, depolanması, değiştirilmesi, aktarılması, devralınması, sınıflandırılması veya kullanılmasının genel adıdır.

Anayasa’nın 20.maddesinin 3. Fıkrası “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.” Şeklindedir. Anayasa’dan da açıkça anlaşılacağı üzere kural olarak kişisel verilerin işlenmesi yasak olsa da kanunda öngörülen hallerde ve kişinin rızasının olduğu durumlarda kişisel verileri işlemek mümkün olacaktır.

Kişisel veriler ancak Kişisel Verilerin Korunması Kanunu’nda öngörülen usul ve esaslara göre işlenebilir. Kanunun 4.maddesinde sayılan ilkelere uyulması zorunlu olup bu ilkeler kişisel verilerin kullanılmasında hukuka uygunluğun temelini oluşturmaktadır. Buna göre kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması zorunludur:

  1. a) Hukuka ve dürüstlük kurallarına uygun olma.
  2. b) Doğru ve gerektiğinde güncel olma.
  3. c) Belirli, açık ve meşru amaçlar için işlenme.

ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.

  1. d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza

edilme.

Bu ilkeleri ek tek değerlendirecek olursak:

  • Hukuka ve dürüstlük kurallarına uygun olma: Bu ilke en genel ilke olup hukuk düzeninde bir işlemin hukuka uygun olmasının ilk şartı dürüstlük kurallarına uygun olmasıdır. Dürüstlük kurulu Türk Medeni Kanunu’nun 2.maddesinde düzenlenmiş olup herkesin haklarını kullanırken ve borçlarını yerine getirirken dürüstlük kurallarına uyması zorunludur. Kimse kendisine verilmiş bir hakkı kötüye kullanamaz. Bu sebeple kişisel veriler işlenirken de bunun kötüye kullanılması durumunda herhangi bir hukuka uygunluk söz konusu olmayacaktır.
  • Doğru ve gerektiğinde güncel olma: Kişisel veriler kişinin sosyal imajını etkileyebilecek, bir başka kişinin o kişi hakkında yanlış bir izlenime kapılmasına sebep olabilecek güce sahip olduğundan doğru ve güncel olması oldukça önem taşıyan bir konudur. Kişisel verilerin yanlış olması kişinin temel ha ve özgürlüklerini ve menfaatlerini ve manevi bütünlüğünü olumsuz yönde etkileyebileceğinden böyle bir durumun varlığı yine verinin işlenmesinin hukuka uygun olmasını engelleyecektir.
  • Belirli, açık ve meşru amaçlar için işlenme: Kişisel veri işlenirken işlenme amacının baştan belirlenmiş olması, bu amacın meşru olması kişinin hak ve özgürlüklerini ihlal etmeyecek olması, açık olması, verinin işlenmesinin sebebinin verisi işlenen ve veriyi işleyecek olan iki tarafça da açıkça biliniyor ve anlaşılmış olması gerekmektedir. Bu ilke ile yine verinin işlenmesinde hukuka uygunluk aranmaktadır.
  • İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma: Ölçülülük hukuk düzenimizin temel ilkelerinden biri olmakla birlikte kişisel verilerin işlenmesi kapsamında da önemli bir yere sahiptir. Nitekim yukarıda belirttiğimiz gibi kişisel bir verinin işlenmesi belirli ve meşru bir amaç için işlenmelidir. Bu işlem sırasında amacın aşılmaması, işlemenin yalnızca o amaç çerçevesinde yapılması gerekmektedir.
  • İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme: İşleme, işleme amacının gerçekleşmemiş olması durumunda, verinin işleme amacıyla ilgisini kaybetmediği veya işleme amacının hala mevcut olduğu süre içerisinde devam edebilir. Bunun yanında verilerin işlenmesine devam etme süresi özel olarak mevzuatta da düzenlenmiş olabilir. Bu durumda bu sürelerin aşılması işlemenin hukuka aykırı hale gelmesine sebep olacaktır.

Bunun yanında kişisel bir verinin işlenebilmesi için verinin ait olduğu kişinin açık rızasının bulunması şarttır. Ancak kanunda kişinin açık rızasının aranmayacağı haller de düzenlenmiştir. Buna göre aşağıdaki hallerde bir kişinin açık rızası olmasa dahi kişisel verilerinin işlenebilmesi mümkündür;

  1. a) Kanunlarda açıkça öngörülmesi.
  2. b) Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına

hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.

  1. c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla,

sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.

ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.

  1. d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.
  2. e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
  3. f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun

meşru menfaatleri için veri işlenmesinin zorunlu olması

Bu şartları tek tek değerlendirecek olursak;

  • Kanunda Açık Hüküm Bulunması: Verilerin işlenebilmesi, kişisinin rızası olsun veya olmasın kanunda açıkça hüküm bulunması durumunda gerçekleştirilebilmektedir. Buna örnek vermek gerekirse suç işleyen kişinin parmak izinin alınması kanunda açıkça hüküm bulunmasından dolayı kişinin verisinin alınmadır.
  • Fiili İmkansızlık: Kişinin fiili bir imkansızlık olması sebebiyle rızasının alınamayacak durumda olması veya o kişinin rızasına hukuk düzenince sonuç bağlanmasının mümkün olmadığı durumlarda rıza aranmaksızın kişinin verilerinin işlenmesi söz konusu olabilecektir. Ancak kanuna göre bunun mümkün olması için ilgili kişinin veya üçüncü bir kişinin hayatının veya beden bütünlüğünün korunması için o verilerin işlenmesinin şart olması gerekmektedir. Örneğin bir trafik kazası sonucu bilinci kapalı olan hastanın sağlık bilgisine ulaşılması bu kapsamdadır.
  • Sözleşmenin Kurulması veya İfası İçin Gerekli Olması: Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması durumunda veriler yalnızca bu amaca yönelik olarak işlenebilir. Örneğin bir banka ile kredi sözleşmesi yapılması durumunda bankanın o kişiye yönelik mal varlığını ortaya koyacak bir takım verilere ulaşması bu kapsamdadır.
  • Veri Sorumlusunun Hukuki Yükümlülüğünü Yerine Getirmesi İçin Zorunlu Olması: veriden sorumlu olan kişinin hukuki bir yükümlülüğü yerine getirmek için veriyi işlemesi bu kapsamdadır. Örnek olarak şirket sahibi kişilerin mali denetim sırasında çalışanlarına ödeme yaptığına ilişkin denetimde çalışanlarının hesap bilgilerini denetim yapan kişilerle paylaşması verilebilir.
  • Veri Sahibi Tarafından Alenileştirme: Veri sahibi kişinin kendisi tarafından alenileştirilen, insanlara açılan verilerinin işlenmesi rıza olmaksızın söz konusu olacaktır. Ancak burada önemli bir nokta vardır ki veri sahibi bu verinin aleni olmasını özellikle istiyor olmalıdır. Örnekle açıklanacak olursa; arabasını satmak isteyen kişinin ilan vermesi ve ilana telefon numarasını eklemesi durumunda bu veri, veri sahibi kişi tarafından alenileştirilmiş olacaktır. Ancak kişinin herhangi bir sosyal medya hesabına yüklediği fotoğrafın başka bir yerde kullanılması bu kapsama girmeyecektir. Zira bir verinin herkes tarafından ulaşılabilecek bir yerde olması onun veri sahibi tarafından alenileştirildiği anlamına gelmediği gibi alenileştirilmiş verinin dahi amacı dışında kullanılması mümkün değildir.
  • Hakkın Tesisi veya Kullanılması için Zorunlu Olma: Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması halinde ilgili kişinin kişisel verilerinin işlenmesi mümkündür. Örneğin işverenin çalışanın açtığı bir davada kendi haklılığını ispatlamak için çalışana ilişkin maaş bordrosunu, izin çizelgelerini sunması bu kapsamda yer almaktadır.
  • İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması: bu şarta dayanarak veri işlenebilmesi için veriden sorumlu olan kişinin meşru bir menfaatinin olması, sorumlunun yalnızca bu menfaat çerçevesinde veri işlemesi ve bunu yaparken veri sahibinin herhangi bir temel hak veya özgürlüğüne zarar vermemesi esastır.

 

Bunların yanında yukarıda da değindiğimiz gibi kişisel verinin ne olduğunun kapsamı oldukça geniş olmakla birlikte Kişisel Verilerin Korunması Kanunu’nda bazı veriler özel nitelikli veriler olarak sayılmıştır. Bunlar; Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileridir.

Kanuna göre bu verilerin kişinin açık rızası olmadan işlenmesi yasak olup sağlık ve cinsel hayata ilişkin veriler hariç diğer verilerin kanunda öngörülen hallerde açık rıza olmaksızın işlenmesinin yine mümkün olduğu ancak sağlık ve cinsel hayata ilişkin verilerin ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü  altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebileceği belirtilmiştir.

KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ, ANONİM HALE GETİRİLMESİ, AKTARILMASI

 Kanuna ve hukuka uygun olarak işlenmiş verilerin işlenme amaçlarının ortadan kalkması durumunda ilgili veriler veri sorumlusu tarafından resen veya veri sahibi kişi tarafından silinir, yok edilir veya anonim hale getirilir.

 

Kişisel veriler kural olarak veri sahibi ilgili kişinin açık rızası olmaksızın aktarılamaz ancak yukarıda saydığımı kişisel verilerin işlenmesine ilişkin şartların olması durumunda yeterli önlemlerin alınması kaydı ile aktarılması söz konusu olabilir. Kişisel verilerin yurt dışına aktarılması söz konusu olacak ise de aktarılacak ülkede yeterli koruma olması, ülkedeki ve yurt dışındaki veri sorumlusu kişilerin yeterli koruma olduğunu yazılı olarak taahhüt etmesi, Kişisel Verileri Koruma Kurulu’nun izninin bulunması gerekmektedir.

SONUÇ:

 

Kişisel verilerin işlenmesi gerek şahıslar gerek kurum ve kuruluşlar gerekse de devlet açısından önemli ve hayati bir alan olup bu alanın etkili bir kanun çerçevesinde düzenlenmesi gerekmiş, bunun üzerine 2016 yılında yürürlüğe giren Kişisel Verilerin Korunması Kanunu ile gerekli düzenleme ve yasal güvenlik oluşturulmuştur.

Kişisel verilerin işlenmesi bu kanun ile sıkı şartlara ve hukuka uygunluk sebeplerine bağlanmış olup bunlardan birinin olmaması durumunda kişinin de açık rızasının olmadığı noktada işlenmesi hukuka aykırı olacak, bunun da bir takım yasal sonuçları doğacaktır.

BÖLÜM II: HAKLAR, YÜKÜMLÜLÜKLER VE İHLALİ DURUMUNDA YAPILABİLECEKLER

Veri Sorumlusunun Yükümlülükleri

Kişisel verilerin elde edilmesi sırasında Kişisel Verilerin Korunması Kanunu kapsamında verilerden sorumlu olacak kişiler ve veri sahipleri için bir takım hak ve yükümlülükler düzenlenmiştir.

Bu düzenlemeler arasında en önemli noktalardan biri veri sorumlusu olan kişiye yüklenmiş olan aydınlatma yükümlülüğüdür. Şöyle ki;

Veri sorumlusu olan kişiye kendisi veya yetkilendirdiği ilgili kişi yoluyla kişisel veri elde edilirken ilgili kişiyi bilgilendirme/aydınlatma yükümlülüğü yüklenmiştir. Bu kişi ilgili kişinin  verilerini elde ederken kendisinin veya temsilcisinin kimliği, kişisel verinin hangi amaçla işlenildiği, işlenen verinin kimlere hangi amaçla aktarılabileceği, kişisel verinin toplanma yöntemi ve hukuki sebepleri ile birazdan açıklayacağımız kişisel veri sahibi olan ilgili kişiye kanun tarafından tanınan hakları konularında o kişileri aydınlatma yükümlülüğü altındadır.

Veri sorumlusunun yükümlülükleri bununla sınırlı kalmamış, Kanun’un 12.maddesinde diğer yükümlülükleri sayılmıştır. Bunları sıralayacak olursak;

  • Veri Sorumlusu kişisel verilerin hukuka aykırı işlenmesini önlemek, verilere hukuka aykırı olarak ulaşılmasını önlemek, verilerin muhafazasını sağlamak amacıyla alınması gereken bütün teknik ve idari güvenlik önlemlerini almakla sorumludur. Veri sorumlusunun bu sorumluluğu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde bu kişilerle birlikte müştereken devam eder.
  • Kanun veri sorumlusuna ayrıca denetim yükümlülüğü yüklemiştir. Öyle ki veri sorumlusu kendi kurum veya kuruluşunda Kişisel Verilerin Korunması Kanunu’na uyulup uyulmadığını denetlemek veya denetlettirmek yükümlülüğü altındadır. Yani veri sorumlusu olan kişi bu denetlemeyi, kendisi yapabileceği gibi üçüncü bir kişi tarafından yapılmasını da sağlayabilir.
  • Veri sorumluları ve verileri işleyen kişiler öğrendikleri bilgili öğrenme amaçlarına aykırı olarak işleyemez, Kanuna aykırı olarak başkasına açıklayamaz. Öyle ki bu yükümlülük kişinin işten ayrılması halinde dahi devam eder.
  • İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kişisel Verileri Koruma Kurulu’na bildirmek zorundadır.

Bu kapsamda kanun tarafından veri sorumlusu kişilere verilerin işlenmesi sürecinde alınması gereken tedbir ve önlemler konusunda bir açıklık sağlanmış olmakla birlikte Kişisel Verilerin Korunması Kurulu tarafından iyi örneklerin oluşması amacıyla  Kişisel Veri Güvenliği Rehberi hazırlanmıştır.

İlgili Kişinin Hakları

Kanun veri sahibi olan ilgili kişilere ayrıca bir kısım haklar tanımış ve bu hakları 11.maddede düzenleme altına almıştır. Şöyle ki kanuna göre,

Herkes veri sorumlusuna başvurarak kendi ile ilgili kişisel verinin işlenip işlenmediğini, işlenmişse buna ilişkin bilgi alma, verinin işleniş amacını ve amacına uygun olarak işlenip işlenmediğini öğrenme, eğer veri üçüncü bir kişiye aktarılmış ise yurt içinde veya yurt dışında olması fark etmeksizin bu üçüncü kişileri öğrenme, eksik veya yanlış işlenmiş verilerin düzeltilmesini, tamamlanmasını isteme hakkına sahiptir.

Bunlara ek olarak kişisel verilerin ilgili kişinin de izniyle Kanuna uygun olarak işlenmesi sonrasında işlenme amacının ortadan kalkması durumunda ilgili kişi veri sorumlusuna başvuruda bulunarak kişisel verinin silinmesini veya yok edilmesini talep etme hakkına da sahiptir. Nitekim kişisel verilerin işlenmesi bazı istisnalar hariç ilgili kişinin iznine tabi olduğundan verinin işlenmesi amacının ortadan kalkması durumunda ilgilinin verinin silinmesini istemesi işbu kanunun varoluş amacı göz önüne alındığında en tabi istek olacaktır.

Ayrıca ilgili kişi kişisel verilerinin yanlış işenmesi durumunda veya verinin işlenme amacının ortadan kalkması akabinde verilerin silinmesi veya yok edilmesini istemesi durumunda bu durumun varsa kişisel verilerin aktarıldığı üçüncü kişilere de bildirilmesi isteme hakkına sahiptir.

İlgili kişinin kişisel verilerinin özel olarak otomatik sistemlerce analiz edilmesi halinde ortaya çıkabilen olumsuz, kişinin aleyhine sonuçlara itiraz etme hakkı da bulunmaktadır.

Bunların yanında kişisel verilerinin kanuna aykırı olarak işlenmesinden zarar gören kişinin bu zararının giderilmesini talep etme hakkı da vardır. Öyle ki kişisel verilerin kanuna aykırı işlenmesi durumunda ilgilinin kişilik hakları ihlal edilmiş olacağından kişilik hakları ihlal edilmiş olan kişinin genel hükümlere göre tazminat hakları söz konusu olabilecek, bu kapsamda, ilgili kişiler yargı yoluna gidebileceklerdir.

Başvuru ve Şikayet

Başvuru:

İlgili kişi Kişisel Verilerin Korunması Kanunu kapsamında kanunun uygulanması ile alakalı taleplerini yazılı olarak veya Kişisel Verilerin Korunması Kurulu tarafından belirlenen başka bir yöntem ile veri sorumlusuna başvurarak bildirebilir. Bu noktada kanun kademeli başvuru sistemin benimsediği için öncelikli olarak veri sorumlusuna başvuru yapılması zorunlu olup bu yol tüketilmeden Kurul’a şikayet yoluna gidilmesi mümkün olmayacaktır.

Kanuna göre veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içerisinde ücretsiz olarak sonuçlandırmalıdır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde, Kurulca belirlenen tarifedeki ücretin alınması söz konusu olabilir.

İlgili kişinin başvuru yapması durumunda veri sorumlusu tarafından ya talep kabul edilir ya da gerekçesi açıklanarak reddedilir ve veri sorumlusu cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir. Ayrıca başvuruda yer alan talebin kabul edilmesi hâlinde veri sorumlusunca talebin gereği yerine getirilmelidir.

Kanuna göre başvurunun veri sorumlusunun hatasından kaynaklanması hâlinde alınan ücret ilgiliye iade edilir.

Şikayet:

Başvuru yolunun tüketilmesi, veri sorumlusu tarafından ilgili kişinin talebini reddedilmesi, verilen cevabın yetersiz bulunması veya başvuruya süresinde cevap verilmemesi halinde ilgili kişiye şikayet yoluna başvurma hakkı verilmiştir.

Şöyle ki; ilgili kişi veri sorumlusu tarafından başvurusunun reddedildiğini öğrendiği günden itibaren otuz gün içerisinde ve her halde başvurudan itibaren altmış gün içerisinde Kişisel Verilerin Korunması Kurulu’na şikayette bulunabilir.

Kurul, şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen, görev alanına giren konularda gerekli incelemeyi yapar. Burada kurula resen de inceleme yapma hakkı tanınmıştır. Ancak kurulun şikayet üzerine inceleme yapması için söz konusu ihbar ve şikayetin Dilekçe Hakkının Kullanılmasına Dair Kanunun 6 ncı maddesinde belirtilen şartları taşıması gerekmektedir. Bu şartlar da şöyledir;

  1. Dilekçenin Belli bir konuyu ihtiva etmesi
  2. Yargı mercilerinin görevine giren konularla ilgili olmaması
  3. Dilekçe sahibinin adı soyadı ve imzası ile iş veya ikametgâh adresinin dilekçede bulunması gerekmektedir.

Ayrıca belirtmek gerekir ki veri sorumlusu şikayet durumunda, Kurulun, inceleme konusuyla ilgili istemiş olduğu bilgi ve belgeleri Devlet sırrı niteliğindeki bilgi ve belgeler hariç olmak üzere; on beş gün içinde göndermek ve gerektiğinde yerinde inceleme yapılmasına imkân sağlamak zorundadır.

Şikâyet üzerine Kurul, talebi inceleyerek ilgililere bir cevap verir. Ancak Şikâyet tarihinden itibaren altmış gün içinde cevap verilmezse talep reddedilmiş sayılır. Yani bu altmış günlük sürenin sonunda idari yargıda dava açma süresi başlayacaktır.

Şikâyet üzerine veya resen yapılan inceleme sonucunda, ihlalin varlığının anlaşılması hâlinde Kurul, tespit ettiği hukuka aykırılıkların veri sorumlusu tarafından giderilmesine karar vererek ilgililere tebliğ eder. Bu karar, tebliğden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirilir.

Şikâyet üzerine veya resen yapılan inceleme sonucunda, ihlalin yaygın olduğunun tespit edilmesi hâlinde Kurul, bu konuda ilke kararı alır ve bu kararı yayımlar. Kurul, ilke kararı almadan önce ihtiyaç duyması hâlinde, ilgili kurum ve kuruluşların görüşlerini de alabilir.

Kurul, telafisi güç veya imkânsız zararların doğması ve açıkça hukuka aykırılık olması hâlinde, veri işlenmesinin veya verinin yurt dışına aktarılmasının durdurulmasına karar verebilir. Ancak belirtmekte fayda vardır ki ilgililerin her zaman Kurul’un işlemlerine karşı idari yargı yoluna başvurma hakkı vardır.

KİŞİSEL VERİLERİN KORUNMASI KANUNU KAPSAMINDA SUÇ VE KABAHATLER

Suçlar:

Kişisel Verilerin Korunması Kanunu kapsamında ayrıca çeşitli suçlar düzenlenmemiş olup 17.maddede kişisel verilere ilişkin 5237 sayılı Türk Ceza Kanununun 135 ila 140’ıncı madde hükümlerinin uygulanacağı belirlenmiştir. Nitekim Ceza Kanunu’nun ilgili hükümleri;

TCK’nın 135.maddesi  “Kişisel Verilerin Kaydedilmesi” başlıklı olup birinci fıkrada hukuka aykırı olarak kişisel verileri kaydeden kişilere 1 yıldan 3 yıla kadar hapis cezası verileceği düzenleme altına alınmıştır. Ancak kişisel verinin, kişilerin siyasi, felsefi veya dini görüşlerine, ırki kökenlerine; hukuka aykırı olarak ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin olması durumu ağırlaştırıcı hal olarak belirlenmiş ve bu durumunda birinci fıkra uyarınca verilecek cezanın yarı oranında artırılacağı hüküm altına alınmıştır.

TCK’nın 136.maddesinde ise kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişinin iki yıldan dört yıla kadar hapis cezası ile cezalandırılacağı düzenlenmiştir.

Bu iki suçun kamu görevlisi tarafından ve görevinin verdiği yetki kötüye kullanılmak suretiyle veya belli bir meslek ve sanatın sağladığı kolaylıktan yararlanmak suretiyle işlenmesi durumu ise TCK’nın 137.maddesinde nitelikli hal olarak düzenlenmiş olup verilecek cezanın yarı oranda arttırılması hüküm altına alınmıştır.

TCK’nın 138.maddesinde ise verilerin yok edilmemesi suçu düzenlenmiştir. Buna göre kanunlara belirlenen sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanların görevlerini yerine getirmemeleri halinde bu kişilere bir yıldan iki yıla kadar hapis cezası verilir.  Suçun konusu Ceza Muhakemesi Kanunu hükümlerine göre ortadan kaldırılması veya yok edilmesi gereken verilerden ise verilecek ceza bir kat artırılır.

TCK’nın 139.maddesinde “Kişisel verilerin kaydedilmesi, verileri hukuka aykırı olarak verme veya ele geçirme ve verileri yok etmeme hariç, bu bölümde yer alan suçların soruşturulması ve kovuşturulması şikayete bağlıdır.” Denildiğinden kişisel verilerin kaydedilmesi verileri hukuka aykırı olarak verme veya ele geçirme ve verileri yok etmeme suçlarında kovuşturma ve soruşturmanın şikayete bağlı olmadığı anlaşılacaktır.

140.madde ise bu suçların tüzel kişiler tarafından işlenmesi durumunda tüzel kişiler hakkında güvenlik tedbirleri uygulanacağını düzenlemiştir.

Kabahatler:

Kişisel Verilerin Korunması Kapsamında kabahatler kanunun 18. Maddesinde sıralanmıştır. Buna göre veri sorumlusunun aydınlatma yükümlülüğünü yerine getirmemesi, veri güvenliğinin sağlanmasına ilişkin önlemleri almakla yükümlü kişilerin bu yükümlülüğü yerine getirmemesi, ilgilinin şikayet yoluna başvurması sunucu Kurul tarafından verilen kararın gereğinin yerine getirilmemesi, veri sorumlularının Veri Sorumluları Siciline kayıt ve bildirimde bulunmaması kanun kapsamında sayılan kabahatler olup bu kabahatleri işleyen kişilere kanunda belirlenmiş çeşitli miktarlarda idari para cezası verilmektedir.

Bu kabahatlerin kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları bünyesinde işlenmesi hâlinde, Kurulun yapacağı bildirim üzerine, ilgili kamu kurum ve kuruluşunda görev yapan memurlar ve  kamu görevlileri ile kamu kurumu niteliğindeki meslek kuruluşlarında görev yapanlar hakkında disiplin hükümlerine göre işlem yapılacağı ve sonucun da kurula bildirileceği de yine kanun kapsamında yapılan düzenlemelerdendir.

SONUÇ:

Kanunun genel hatlarından da anlaşılacağı üzere düzenlemeler tamamen ilgili kişilerin kişisel haklarını korumaya yönelik olup bu hakların ihlal edilmesi veya kanuna aykırı bir biçimde verilerin işlenmesi durumunda bundan sorumlu kişilerin hakkaniyetli bir şekilde cezalandırılmasını öngörmektedir.

Ayrıca kanuna aykırı hareket edilmesinin önüne geçilmesi için veri sorumlularına bir çok sorumluluk yüklenmiş, kendilerini denetlemeleri bile onların sorumluluğuna bırakılmıştır. Bunun yanında ilgili kişilere sağlanan haklarla veri sorumlularının işlemlerinin Kurul tarafından da bir nevi denetlenmesine olanak sağlayarak kişilerin hak kaybı yaşamasının önüne geçilmiştir. Nihayetinde bu kanun kapsamında yapılabilecek tüm işlemler idari yargı yolu ile denetime açıktır. Böylesine hassas bir konuda kanuna aykırı davranılması sonucu kişilerin zararlarını giderme haklarının da saklı tutulması hukuk düzenimizde kişisel verilere verilen değerin bir göstergesidir.