KİŞİSEL VERİLERİN KORUNMASI HAKKINDA 

Kişisel veri; kimliği belirli veya belirlenebilir olan gerçek kişiye ait tüm bilgileri ifade etmektedir. Bu anlamda kişinin, kimlik, iletişim, sağlık ve mali bilgileri ile özel hayatına ilişkin tüm bilgileri kişisel veri kapsamında değerlendirilmektedir. Bir kişinin belirli veya belirlenebilir olması, “mevcut verilerin herhangi bir şekilde gerçek kişiyle ilişkilendirilmesi suretiyle, o kişinin tanımlanabilir hale gelmesi” anlamına gelmektedir. Kişinin, fiziksel, ekonomik, kültürel, sosyal veya psikolojik kimliğini ifade eden somut bir içerik taşıması veya kimlik, vergi, sigorta numarası gibi herhangi bir kayıtla ilişkilendirilmesi sonucunda kişinin belirlenmesini sağlayan tüm halleri kapsar. İsim, telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, IP adresi, pasaport numarası, özgeçmiş, görüntü ve ses kayıtları, parmak izleri ve genetik bilgiler kişiyi belirlenebilir kılma özellikleri sayesinde kişisel veri olarak değerlendirilirler. 

İlgili kişi, kişisel verisi işlenen gerçek kişidir. Daha net bir ifade ile korunması gereken kişisel veri sahibi kişidir. İlgili kişinin kişisel verileri ile alakalı veri sorumlusuna başvurabileceği haller kanunda sayılmıştır. Bunlar; 

• Kişisel verilerin işlenip işlenmediğini öğrenme,
• Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
• Kişisel verilerinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
• Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
• Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
• Kişisel verilerin silinmesini veya yok edilmesini isteme,
• Kişisel verilerin düzeltilmesi, silinmesi veya yok edilmesine ilişkin işlemlerin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
• İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
• Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme hakkına sahiptir. .

Veri sorumlusu; kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. Tüzel kişiler, kişisel verileri işleme konusunda gerçekleştirmiş olduğu faaliyetler kapsamında bizzat kendileri “veri sorumlusu” olup, ilgili düzenlemelerde belirtilen hukuki sorumluluk tüzel kişinin şahsında doğacaktır. Bu konuda kamu hukuku tüzel kişileri bakımından bir farklılık gözetilmemektedir.

Kişisel verilerin işlenmesi; verilerin ilk elde edildiği andan itibaren üzerinde gerçekleştirilen tüm işlemleri ifade etmektedir. Kişisel verilerin işlenmesinde sayılan bazı temel ilkeler bulunmaktadır; 

• Hukuka ve dürüstlük kurallarına uygun olma,
• Doğru ve gerektiğinde güncel olma,
• Belirli, açık ve meşru amaçlar için işlenme, 
• İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
• İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme,

Kişisel veri işlemeleri bu ilkelere uygun gerçekleştirilmelidir.

Kişisel verilerin korunması kapsamında, kişisel veriler işlenirken ilgili kişinin açık rızası alınmış olmalıdır. Açık rıza, verilerin kanunda belirtilen ilkelere uygun şekilde işlenmesine meşruluk katar. Açık rıza, ilgili kişinin kendisiyle ilgili veri işlenmesine, özgürce, konuyla ilgili yeterli bilgi sahibi olarak, tereddüde yer bırakmayacak açıklıkta ve sadece o işlemle sınırlı olarak verdiği onay beyanı şeklinde anlaşılabilir.

İlgili kişiler, kendileriyle ilgili kişisel verilerin işlenip işlenmediğini öğrenme, eğer işlenmiş ise bunları talep etme, verinin içeriğine dair bir yanlışlık olması halinde düzeltilmesini isteme, hukuka aykırı olması halinde silinmesini isteme hakları vardır. Yanlış ya da eksik haliyle verilerin üçüncü kişilere aktarılmış olması durumunda bunun düzeltilmesini, kanuna aykırı şekilde verilerin işlenmiş olmasından kaynaklanacak zararların giderilmesini veri sorumlusuna başvurarak talep edebilir. 

Kişisel verilerin korunması kapsamında ilgili kişi talebini öncelikle veri sorumlusuna iletmelidir. Yani kademeli bir başvurudan söz etmek gerekirse, ilgili kişilerin sahip oldukları hakları kullanabilmeleri için öncelikle veri sorumlusuna başvurmaları gerekmektedir. Başvuru yolu tüketilmeden Kurula şikâyet yoluna gidilmesi mümkün değildir. Veri sorumlusuna yapılacak olan başvurunun şekil şartları kanunda yer almaktadır. Yapılacak başvurunun yazılı olması gerekmektedir. Ancak kişisel veri ihlaline uğrayan ilgili kişinin, veri sorumlusuna yapmış olduğu başvuru reddedildiği takdirde kurula şikâyet yoluna gidebileceği gibi doğrudan adli veya idari yargı yoluna gitme imkânı da bulunmaktadır. Başvuru yoluna gitme zorunlu, şikâyet yoluna gitme ihtiyaridir. 

İlgili kişinin şikâyet hakkına başvurabilmesi için öncelikle veri sorumlusuna yapılmış olan başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya 30 gün içinde başvuruya cevap verilmemiş olması gerekmektedir. Kurulun inceleme yapabilmesi için mutlaka ilgili kişinin şikâyette bulunmasına gerek yoktur. Kurul herhangi bir şekilde ihlalin gerçekleştiğini öğrendiğinde incelemeye başlayacaktır. İlgili kişinin kişisel verisinin ihlalinden kaynaklanan tazminat hakkı saklıdır. İlgili kişi, kurul tarafından şikâyet tarihinden itibaren 60 gün içinde herhangi bir cevap alamaz ise idari yargıda dava açabilecektir. 

Kişisel Verilerin Korunması Kanunu’nda beşinci bölümde suçlar ve kabahatler işlenmiştir. Bu bölümde KVKK 17. Maddede kişisel verilere ilişkin suçlar bakımından Türk Ceza Kanunu’nun 135 ila 140. Madde hükümlerinin uygulanacağını öngörmüştür. Türk Ceza Kanunu’nun kişisel verilerin korunmasını ilgilendiren hükümleri, kanunun 135-140. Maddeleri arasında yer almaktadır. 135. Maddede kişisel verilerin hukuka aykırı yolla kaydedilmesi halinde düzenleyen kişiye, bir yıldan üç yıla kadar hapis cezası verileceği düzenlenmiştir. Söz konusu maddenin ikinci fıkrasında kişisel verinin, kişilerin siyasi, felsefi veya dini görüşlerine, ırki kökenlerine; hukuka aykırı olarak ahlaki eğilimlerine, cinsel yaşamlarına sağlık durumlarına veya sendikal bağlantılarına ilişkin olması durumunda verilecek ceza yarı oranında arttırılacağını öngörmektedir. Devamında 136. Maddede kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, iki yıldan dört yıla kadar hapis cezası ile cezalandırılacağını ve devamında suçun nitelikli halini sağlayacak durumları sıralamıştır. Devamında 138.maddede kanunların belirlediği sürelerin geçmiş olmasına karşın verilerin sistem içerisinde yok edilmesi gerektiği halde bu vazifeyi görmekle yükümlü kişilerin görevini yerine getirmedikleri takdirde bir yıldan iki yıla kadar hapis cezası ile cezalandırılacağı hükme bağlanmıştır.  

Kişisel Verilerin Korunması Kanunu’nun 18. Maddesinde kişisel veriler hakkında oluşması muhtemel kabahatler düzenlenmiş ve kişisel veriler üzerinde aydınlatma yükümlülüğü veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler, Kurul tarafından verilen kararları yerine getirmeyenler ve Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında verilecek idari para cezaları öngörülmüştür. Bu anlamda söz konusu kabahatler Türk Ceza Kanunu kapsamında değerlendirilmeyecektir. Kabahatler Kanunu madde 15/3 gereğince bir fiil hem kabahat hem de suç olarak tanımlanmış ise, sadece suçtan dolayı yaptırım uygulanabilir. Ancak suçtan dolayı yaptırım uygulanamayan hallerde kabahat dolayısıyla yaptırım uygulanır.  Kişisel verilerin hukuka aykırı olarak işlendiği ve Türk Ceza Kanunu’nun uygulanmadığı bir halde, söz konusu fiil kabahat olarak değerlendirilerek bir yaptırıma tabi tutulabilecektir.

Bahçeşehir Avukatlık Büromuzda hizmet vermekteyiz. Detaylı bilgi almak için iletişim kısmından ulaşım sağlayabilirsiniz.

Yazar: Avukat Begüm Gülberk VAROL