Kişisel Verilerin Korunması

Av. Tuğba YAYLAMIŞ

TY Hukuk & Danışmanlık

BMDD-CENG Bilişim Hukuku Komisyonu Başkanı

İstanbul Aydın Üniversitesi Hukuk Fakültesi mezunu'14

Öncelikle bilgi ve tecrübelerimi paylaşma imkanı verdikleri için mezunları arasında olmaktan onur duyduğum Üniversitemizin Hukuk Kulübüne, üyelerinden CEREN ÖZCAN’a, Hiza dergisine, Kurucu mütevelli heyeti başkanı sayın Doç. Dr. Mustafa AYDIN’a, öğrencilik yıllarımda Hukuk Fakültesi dekanlığını ve halen üniversitemizin rektörlüğünü yürüten Prof. Dr. Yadigar İZMİRLİ hocama çok teşekkür ediyorum.

2014 yılında İstanbul Aydın Üniversitesi Hukuk Fakültesinden mezun oldum. Halen İzmir Barosu’na kayıtlı olarak TY HUKUK & DANIŞMANLIK bürosunda Serbest Avukatlık mesleğinde 6.yılımı doldurmak üzereyim.

2018 yılından bu yana uzmanlık alanı olarak belirlediğim Kişisel Verilerin Korunması Hukuku alanında çalışmaktayım. Aynı zamanda kişilerin ve şirketlerin kişisel verilerine ilişkin uyumluluk projelerini geliştirmekte ve bu yasal düzenlemeler hakkında eğitim ve danışmanlık hizmeti vermekteyim.

Kişisel Verilerin Korunması alanında hazırlamış olduğum aşağıdaki bilgilendirme özetini siz değerli okuyucuların bilgisine sunuyorum.

1) Kişisel verilerin Korunması Kanunu'nun Amacı

Son zamanlarda Dünya’da ve Türkiye’de en çok konuşulan konulardan biri de Kişisel Verilerin Korunması ve Veri Güvenliği olmuştur.

Kişisel Verilerin Korunması Kurumu’nun ortaklaşa düzenlemiş olduğu KVKK seminerde kişisel verilerin ÇAĞIMIZIN PETROLÜ olarak tanımlanmıştır. Dolayısıyla bu dönemde kişisel veri artık ülkemizin MİLLİ SERVETİ konumuna gelmiş, bunun korunması gerek kişisel gerek kurumsal gerekse de milli güvenlik düzeyinde hiç olmadığı kadar büyük bir önem kazanmıştır.

Hatta en son düzenlenen ve dünyanın geleceğinin şekillendirildiği Davos Zirvesinde konuşulan 5 konudan birisi VERİ GÜVENLİĞİ olmuştur.

Bakıldığında KVKK, birçok farklı konuyu ve mesleği bünyesinde barındırmasıyla ve birçok konuyla iç içe geçmesi nedeniyle MULTİDİSİPLİNER bir hukuk dalı olarak tanımlanmaktadır.

Günümüzde gelişen teknolojinin de etkisiyle bize ait verilerimiz her gün farklı platformlarda kolaylıkla işlenebilmekte ve aktarılabilmektedir. Gelişen teknoloji bizlere kolaylıklar ve avantajlar sağlasa da bu durum verilerimizin istismar edilme riskini de beraberinde getirmektedir.

Zira, ister kamu sektöründe çalışalım isterse özel sektörde olalım hepimiz birer veri ilgilisiyiz. Örneğin Alışveriş yapıyoruz verilerimizi paylaşıyoruz. Bir sağlık kuruluşuna gidiyoruz, muayene oluyoruz, tahliller yaptırıp, sağlık verilerimizi paylaşıyoruz. bankaya gidiyoruz, hesap açtırıyoruz, bankacılık işlemleri yaptırıp mali bilgilerimizi paylaşıyoruz.

Aslında her paylaşımımızla birlikte bize ait bir “İZ” bırakıyoruz. Oysa bu “İZ” bizi biz yapan ve bizi diğer herkesten ayıran kişisel verilerimizdir. Bazen mecburen bazen de umarsızca paylaştığımız bu verileri 3.kişilerin KÖTÜ VE HAKSIZ KULLANIMINA karşı korumamız da son derece önemlidir.

İşte tam da bu noktada 6698 sayılı Kişisel Verilerin Korunması Kanunu bizleri koruyan bir kanun olarak karşımıza çıkıyor. Bu kanunun temel amacı: Gerçek kişinin MAHREMİYETİNİ koruyor ve kişinin verilerinin GÜVENLİNİ sağlıyor.

2) KVKK Tarihçesi

Kısaca KVKK’nın tarihçesine bakacak olursak, kanunun Anayasal temeli, 2010 yılında Anayasanın 20. Maddesine “Özel Hayatın Gizliliğine” ilişkin maddeye bir 3. Fıkranın eklenmesiyle atılmıştır.

Bu fıkrayla belirtildiği üzere “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir.” denilerek kişisel verilerin korunması, Anayasal bir hak olarak güvence altına alınmıştır.

Bunun sonrasında 7 Nisan 2016 tarihinde 6698 sayılı Kişisel Verilerin Korunması Kanunu, Resmi gazetede yayımlanarak yürürlüğe girdi.

Nitekim, 6698 sayılı KVKK, bizlerin temel hak ve özgürlüklerinden biri olan ÖZEL YAŞAM HAKKIMIZI koruyan bir kanun olarak karşımıza çıkıyor.

Bunu Kişisel Verilerin Korunması Kurumunun internet sitesinde yayımlamış olduğu kararla somutlaştıracak olursak;

Bir Gazetenin köşe yazısında, “babasının kanser tedavisi görmesi nedeniyle bir süre önce görevine ara verdiğine” ilişkin bir habere yer verildiği; bu sebeple ilgili kişinin özel nitelikli kişisel verisi olan sağlık verilerinin rızası dışında işlendiği ve üçüncü kişilerle paylaşıldığı belirtilmiştir.

İlgili kişinin, bu anlamda kanser tedavisi gördüğünü bilmediği, rahatsızlığından ötürü psikolojisinin ve moralinin bozulması istenmediğinden bu bilginin ailesi tarafından kendisinden saklandığı, ancak haber tarihinden sonra ilgili kişinin geçmiş olsun dilekleri ile arandığı, hastalığını öğrenerek ölüm korkusu yaşadığı, ilgili kişinin kanser olduğunu Gazeteden ve üçüncü kişilerden öğrenmesinden dolayı içine kapandığı ve ailesiyle iletişimini kestiği, özel nitelikli kişisel veri niteliğindeki sağlık verisinin söz konusu köşe yazısına konu edilerek yayımlanmasında halihazırda KAMU YARARI BULUNMADIĞI ilgili kişinin açık rızası aranmaksızın özel nitelikli kişisel verilerinin, köşe yazısında paylaşılmasından ötürü Kurum, Gazete hakkında 125.000 TL idari para cezası uyguladı.

ÇATIŞAN HAKLAR bakımından kişilik hakları üstün tutulmuştur. Kurum tarafından doğru bir yorumla kişilik haklarının ifade özgürlüğüne üstün geldiği kanaatine varıldığından gazeteye idari para cezası Anayasal haklar bakımından Kurumun aldığı bu karar çok yerindedir.

Dolayısıyla 6698 sayılı kanun BİZLER İÇİN BİR DÖNÜM VE DÖNÜŞÜM NOKTASI olmuştur.

3) Kişisel Verilerin Korunması Kurumu

6698 sayılı Kanunun 2016 yılında yürürlüğe girmesiyle birlikte 2017 yılında bir denetim mekanizması olan Kişisel Verilerin Korunması Kurumu Ankara’da kuruldu.

Kurum, Kurul ve Başkanlıktan oluşur. Kurumun karar organı Kuruldur.

Kurul, dokuz üyeden oluşur. Kurulun 5 üyesi TBMM, 4 üyesi Cumhurbaşkanı tarafından seçilmektedir.

Kişisel Verilerin Korunması kanunuyla belki çok geç tanıştık, geç bulduğumuz ancak çok hızlı mesafe alan, bu kadar kısa süre içinde hem alt düzenlemeler bakımından hem de uygulama bakımından ama daha da önemlisi kavramı içselleştirerek toplumsal bir zemine yaymaya özen göstermesi bakımından bu anlamda Kişisel Verileri Koruma Kurumunu takdir ettiğimi ayrıca ifade etmek istiyorum.

Kurum, 5 yıl gibi çok kısa zaman sürecinde hem idari yaptırım yolu ile hem de kamuya yapmış olduğu bilgilendirme çalışmaları ile veri güvenliği ile ilgili olarak önemli bir farkındalık oluşturmuştur.

Konuyla ilgili daha ayrıntılı bilgiyi kurumun internet sitesi olan kvkk.gov.tr.’den ulaşabilirsiniz. Ayrıca, kurumun veri koruma hattı olan ALO 198'den bilgi alınması mümkündür.

4) Kanunda Yer Alan Üç Aktörümüz

Kanunda yer alan 3 aktörümüz mevcuttur. Bunlar da İlgili kişi,(Kişisel Veri Sahibi), Veri Sorumlusu, Veri İşleyendir.

5) Kişisel Veri Nedir?

Kanunda yer alan genel kabul görmüş tanımıyla; Kimliği belirli veya belirlenebilir kılan gerçek kişiye ait her türlü bilgi demektir.

Bizi biz yapan, bizi tanımlanabilir kılan her türlü bilgi, kişisel verimizdir. Yani KİŞİYE AİT AYIRT EDİCİ ÖZELLİKLER, bilgiler kişisel veridir. Örneğin isim, soy isim, e-mail, adres, telefon numarası, sağlık bilgileri, dini inanç, fotoğrafımız, kredi kartı bilgilerimiz, araç plakamız yani kısaca BİZİ TANIMLAYAN her türlü bilgidir.

Kanunun koruduğu kişi tanımlaması gerçek kişidir. Zira, tüzel kişilere ait veriler kişisel veri olarak kabul edilmemektedir. Örneğin, şirketin markası, şirketin vergi kimlik numarası bunlar kanun kapsamında kişisel veri olarak değerlendirilmemektedir.

Peki bu durumda aklımıza doğal olarak şu soru gelebilir: Ölmüş kişilerin verileri kişisel veri kategorisinde kabul ediliyor mu?

Bu soru bizim uygulamada çok sıkça karşılaştığımız bir sorudur. Kanunumuzun tanımlarından çıkardığımız sonuç, ölmüş kişilerin verileri kişisel veri kategorisinde yer almıyor. Çünkü, Gerçek kişi tanımı TÜRK MEDENİ KANUNU’NDA gerçek kişi tanımı tam doğumla başlayıp ölümle sonuçlanmaktadır.Bu nedenle ölmüş kişilerin kişisel verileri kanunun kapsamında yer almamaktadır.

6) Özel Nitelikli Veriler Nelerdir?

Diğer adıyla uygulamada HASSAS VERİLER olarak da nitelendirilmektedir. Kanunumuzda kişi hakkında ayrımcılık yapılması ve mağduriyet yaratılmasına mahal verecek veriler, özel nitelikli veriler olarak yani hassas veriler olarak ayrılmıştır.

Özel nitelikli kişisel verileri kanun koyucu TAHDİDİ yani sınırlı olarak saymıştır. Kanunda 11 madde olarak kategorize edilmiştir. Genişletilmesi mümkün değildir.

Bir makalede okumuştum. Kanun yürürlüğe girmeden önce bir anket çalışması yapılmış. İlgili kişilere sorulmuş Sizce özel nitelikli veriler neler olabilir? Sorusunun cevabı aranmıştır. Araştırma sonucu alınan cevap olarak en fazla ‘Malvarlığı verileri üzerine ‘olmuştur. Yani FİNANSAL VERİLER. Fakat bu veri kanunda tanımlanan özel nitelikli kişisel verilerin arasında sayılmamıştır.

Aslında bakıldığında Kişisel verilerin korunmasının özünde KİŞİNİN KORUNMASI İLKESİ yatmaktadır. Yani burada verinin korunması değil, bireyin korunması ilkesi önem kazanmaktadır.

Özel nitelikli veriler, temel hak ve özgürlükler ile daha yakın ilişkide olması nedeniyle, kötüye kullanıldığı taktirde kişinin daha büyük zararına ve mağduriyetine neden olabilecek veriler olduğundan DAHA ETKİN BİR KORUMA ALTINA ALINMIŞTIR. Bu sebeple aktörlere daha ağır sorumluluklar ve daha ağır yaptırımlar öngörülmüştür.

Nitekim, 5237 sayılı TCK.’nın 135.maddesinin 1.fıkrasında kişisel verilerin hukuka aykırı olarak işlenmesi halinde kişiye 1 ila 3 yıl arasında hapis cezası verilmesi gerektiği belirtilmiştir.

Yine aynı maddenin 2.fıkrasında özel nitelikli veriler hukuka aykırı işlenirse bu ceza yarı oranında arttırılır denilerek bir kez daha önemini vurgulamaktadır.

Konuyu kurumun sitesinde yayımlamış olduğu kararlardan biriyle somutlaştırmak gerekirse:

Türkiye’de birçok şubeleri bulunan ünlü spor salonlarından birinde Spor salonuna giriş çıkışlarda el avuç okuma sistemiyle giriş yapılmaktadır. Tabi bu yöntemle kişinin adı, soyadı ve fotoğrafı ekrana yansıtılmaktadır.

Uygulamada ve kanunda el ve parmak izi tanıma, avuç içi tarama, yüz tanıma, DNA tanıma gibi yöntemler biyometrik veri olarak kabul edilmektedir. Yani Özel nitelikli veri olmaktadır. Üyelerden biri ihlal sebebiyle bu durumu Kuruma şikayet etmiş gelişen hukuki süreç sonunda Kurum aşağıdaki gibi karar vermiştir.

Şikayet edilen Kurumun spor salonuna giriş için uygulamış olduğu “el ve parmak izi taraması” sisteminin, hizmetten faydalanmak için ZORUNLU VE TEK YOL OLARAK üyelere sunulmasının, kişisel verilerin işlenmesinde hukuka aykırı olduğunu, Spor salonunun vermiş olduğu hizmetle almış olduğu veri arasında bir ORANTISIZLIK söz konusu olduğunu, Genel ilkelerden olan ÖLÇÜLÜLÜK İLKESİ IŞIĞINDA İLGİLİ KİŞİLERDEN veri sorumlusu olarak vatandaşların verilerini MİNİMUM DÜZEYDE veri talep edilmesi gerektiğini, gerekli olmayan kişisel verilerin toplanmaması; verileri en MİNİMİZE ederek alınmasını bunun dışındaki amaç için gerekli olmayan veri işlemeden kaçınması gerektiğini, ayrıca spor salonuna Giriş-çıkış kontrollerinin alternatif yollar sağlanması gerektiğine dair açıklamada bulunmuştur. Böyle bir uygulama yerine; bir kontrol listesi ya da biyometrik verilerin işlenmesini gerektirmeyen bir manyetik bantlı kart gibi farklı önlemler kullanılarak da aynı ihtiyaçların karşılanabileceğini, her ne kadar kişi kendi rızasıyla yani açık rızası ile rıza göstermiş olsa bile AŞIRI MİKTARDA VERİ TOPLANMASININ BU DURUMU MEŞRULAŞTIRMAYACAĞINI belirtmiştir.

Kişisel Verilerin Korunması Kurumu, bu durumu Hukuka aykırı bir işlem olarak değerlendirmiş olup, şikayet edilen kuruma 225.000-TL idari para cezası uygulamıştır.

Ayrıca kurumun internet sitesi olan kvkk.gov.tr’den bu karara ve kurumun yayımladığı diğer kararlara da ulaşabilirsiniz.

7) Kişisel Veriler Hukuka Uygun Nasıl İşlenmelidir?

Bir verinin hukuka uygun olarak işlenmesi için olmazsa olmaz 3 şart bulunmaktadır. Bu şartların tamamının birlikte gerçekleşmesi yasal zorunluluktur.

8) Veri Sorumlularının Yükümlülükleri Nelerdir?

Kanunun tanımladığı veri sorumlusunun kanundan kaynaklanan ve yerine getirilmediği taktirde veri sorumlusunun hem idari hem de cezai sorumlulukları bulunmaktadır. Veri sorumlusunun yükümlülükleri 6 madde olarak kanunda sayılmıştır.

9) VERBİS (Veri Sorumluları Sicil Bilgi Sistemi) Nedir?

Kurum tarafından ifade edildiği şekliyle VERBİS, kişisel verileri işleyenlerin, kişisel veri işlemeye başlamadan önce kaydolmaları gereken ve işlemekte oldukları kişisel verilerle ilgili kategorik bazda bilgi girişi yapacakları bir kayıt sistemidir.

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 16.Maddesine göre VERBİS’e kayıt zorunludur. Kanun, Kişisel Verilerin Koruma Kurumu Başkanlığı tarafından tutulan VERBİS sistemine gerçek ve tüzel kişilerin veri işleme faaliyetine başlamadan önce kayıt zorunluluğu getirmiştir. Bu zorunlulukların neler olduğu ayrıca KVKK’da ve Veri Sorumluları Hakkında Yönetmelik’te tanımlanmış istisnalar dışında gerçek ve tüzel kişilerin usule uygun biçimde eksiksiz olarak sisteme kayıtlarını yapmaları zorunludur. Hatta VERBİS’e kayıt süresi 31.12.2021 tarihinde sona ermektedir. Aksi taktirde çok ciddi miktarda idari para cezası yaptırımı uygulanacaktır.

10) KVKK Hukuka Aykırılığın İdari Yaptırımları

Verilerin hukuka aykırı olarak işlenmesinden dolayı yüksek miktarda idari para cezaları uygulanmaktadır. KVKK 18.Maddesinde “Kabahatler” başlığı altında uygulanacak idari para cezaları belirtilmiştir. İdari para cezaları her yıl güncellenmektedir. Bu konuya ilişkin güncel veriler tabloda belirtilmiştir.

10) KVKK Hukuka Aykırılığın Cezai Yaptırımları

Ayrıca verilerin hukuka aykırı olarak işlenmesinden dolayı veri sorumluları cezai yaptırımlarla da karşılaşabileceklerdir. Bu cezai yaptırımlar tabloda belirtilmiştir.

11) Kişisel Verileri Hukuka Aykırı Şekilde İşlenen İlgili Kişinin Başvuru ve Şikayet Yolu

Peki kişisel verilerimizin hukuka aykırı olarak işlenmesi sebebiyle başvurabileceğimiz hukuki yollar, başvuru süreleri, başvuru mercileri ve başvuru şekilleri nelerdir? Bu sorunun cevabı tabloda ayrıntılı olarak belirtilmiştir.

12) İlgili Kişinin Hakları Nelerdir?

Verisi işlenen İlgili kişi olarak kanun kapsamındaki haklarımız nelerdir?

Son olarak önemle belirtmek isterim ki, ‘KİŞİSEL VERİLERİMİN HUKUKA AYKIRI OLARAK İŞLENMESİ BENİM BAŞIMA GELİR Mİ? değil, NE ZAMAN GELECEK?’ düşüncesiyle hareket ederek gereken tedbirlerimizi almalıyız ve kendimize bir güvenlik duvarı oluşturmalıyız.

Kişisel verilerin korunmasına ilişkin FARKINDALIK DÜZEYİNİN ARTMASINI ve TOPLUMSAL DÜZEYDE BU YÖNDE BİR KÜLTÜRÜN OLUŞMASINI temenni ediyorum.

Çalışmamın siz değerli okuyuculara faydalı olmasını ve kişisel verilerin korunması alanına katkı sağlamasını dilerim.