Kişilere (bireylere) ilişkin çeşitli veriler gelişen teknolojinin de etkisiyle her gün farklı platformlarda kolaylıkla işlenebilmekte ve aktarılabilmektedir. Bu verilerin işlenmesi kişiler ile mal ve hizmet sunanlar bakımından bazı kolaylıklar ve avantajlar sağlasa da verilerin istismar edilme riskini de beraberinde getirmektedir. Kişisel verilerin günümüzde ticari işletmeler için kıymetli bir varlık niteliği kazanması, özel sektör unsurlarınca yaratılan risklerin önemli boyutlara ulaşması, terör ve suç örgütlerinin kişisel verileri ele geçirme faaliyetlerinin artması gibi etkenler nedeniyle kişisel veriler geçmişte olduğundan çok daha fazla korunmaya muhtaç hale gelmiştir.
2010 yılında yapılan Anayasa değişikliğinde kişisel verilerin korunması için de düzenleme yapılmıştır. Anayasanın özel hayatın gizliliğini düzenleyen 20. Maddesine eklenen fıkra ile “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel verileri hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak Kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir” şeklinde bir fıkra eklenerek, kişisel verilerin korunması açıkça anayasal güvence altına alınmıştır.
Bu kapsamda müstakil bir yasal düzenlemeye de gidilmiş, 6698 sayılı Kişisel Verilerin Korunması Kanunu 07.04.2016 tarihinde yürürlüğe girmiştir.
Kişisel verilerin korunmasının özünde kişiliğin korunması yer almaktadır. Bu açıdan bakıldığında, kişisel verilerin korunması hakkı, özel hayatın gizliliği hakkının özel bir biçimi olarak kişinin onur ve şahsiyetinin korunması ile kişiliğini serbestçe geliştirebilmesi için bireyin temel hak ve özgürlüklerini kişisel verilerin işlenmesi sırasında korumayı amaçlamaktadır.
Kanunla, kişisel verilerin işlenmesi disiplin altına alınarak sınırsız biçimde ve gelişigüzel toplanması, yetkisiz kişilerin erişimine açılması, ifşası veya amaç dışı ya da kötüye kullanımı sonucu kişilik haklarının ihlal edilmesinin önüne geçilmesi amaçlanmaktadır. Bu amaçla, kişisel verilerin işlenmesine ilişkin denetim mekanizmaları oluşturularak, bu verilerin hukuka aykırı olarak işlenmesinin engellenmesi hedeflenmiştir. .
Kanun, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanmaktadır.
KİŞİSEL VERİ KAVRAMI
Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir. Kişisel veriden söz edebilmek için, verinin bir gerçek kişiye ilişkin olması ve bu kişinin de belirli ya da belirlenebilir nitelikte olması gerekmektedir. Buna göre;
1. Gerçek kişiye ilişkin olma: Kişisel veri, gerçek kişiye ilişkin olup, tüzel kişilere ilişkin veriler kişisel verinin tanımının dışındadır. Dolayısıyla, bir şirketin ticaret unvanı ya da adresi gibi tüzel kişiliğe ilişkin bilgiler (bir gerçek kişiyle ilişkilendirilebilecekleri durumlar haricinde) kişisel veri sayılmayacaktır.
2. Kişiyi belirli veya belirlenebilir kılması: Kişisel veri, ilgili kişinin doğrudan kimliğini gösterebileceği gibi, o kişinin kimliğini doğrudan göstermemekle birlikte, herhangi bir kayıtla ilişkilendirilmesi sonucunda kişinin belirlenmesini sağlayan tüm bilgileri de kapsar.
3. Her türlü bilgi: Bu ifade son derece geniş olup, bir gerçek kişinin; adı, soyadı, doğum tarihi ve doğum yeri gibi bireyin sadece kimliğini ortaya koyan bilgiler değil; telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, e-posta adresi, hobiler, tercihler, etkileşimde bulunulan kişiler, grup üyelikleri, aile bilgileri, sağlık bilgileri gibi kişiyi doğrudan veya dolaylı olarak belirlenebilir kılan tüm veriler kişisel veri olarak kabul edilmektedir.
Kanunda hangi bilgilerin kişisel veri olarak kabul edileceğine ilişkin sınırlı sayım yoluna gidilmediğinden, kapsamının genişletilmesi mümkündür. Önemli olan verinin kişi ile ilişkilendiriliyor olması ya da onu tanımlayabilmesidir.
Örneğin, takma isimler tek başına veya başka kaynaklarla birleştirildiğinde kişiyi tanımlamayı sağlayabilecek nitelikte ise bu tarz veriler de kişisel veri olarak kabul edilir. Ayrıca, sıkça kullanılan kimliği belirli veya belirlenebilir gerçek kişiyle ilişkili müşteri şikayet raporları, çalışan performans değerlendirme raporları, mülakat değerlendirme raporları gibi raporlar, ses veya görüntü kayıtları, resimler, kullanıcı işlem kayıtları gibi kayıtlar, özgeçmiş, bordro, fatura, banka dekontları, kredi kartı ekstreleri, nüfus cüzdanı fotokopileri gibi belgeler ve mektup, davet yazıları gibi yazılar/kayıtlar içinde yer alan veriler de kişisel veri olarak addedilebilir.
Ancak yine de bunların kişisel veri olup olmadığı her somut olayın özelliğine göre “kişiyi tanımlayabilme” kabiliyeti dikkate alınarak değerlendirilmelidir.
Özel Nitelikli Kişisel Veriler
Özel nitelikli kişisel veriler, başkaları tarafından öğrenildiği takdirde ilgili kişinin mağdur olabilmesine veya ayrımcılığa maruz kalabilmesine neden olabilecek nitelikteki verilerdir. Kanunda, hangi kişisel verilerin özel nitelikli kişisel veri olduğu tek tek belirtilmiş olup, bu sayılanlar dışındakiler özel nitelikli kişisel veri olarak kabul edilemez.
Özel nitelikli kişisel veriler; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerdir. Buna göre, hassas veriler kişisel verilerin daha fazla koruma uygulanan küçük bir grubu olarak değerlendirilebilir.
KİŞİSEL VERİLERİN İŞLENMESİ
Kişisel verilerin işlenmesi, kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade eder.
Örneğin, kişisel verilerin sadece bir hard diskte, CD’de veya sunucuda depolanması, anılan verilerle başkaca hiçbir işlem yapılmasa da bir veri işleme faaliyetidir.
Dolayısıyla veri işleme kapsamına giren eylemler sınırlı sayıda olmayıp, kişisel verilerin ilk defa elde edilmesinden başlayarak veriler üzerinde gerçekleştirilen tüm işlem türlerini ifade etmektedir.
KİŞİSEL VERİLERİN KORUNMASI
Kişisel verilerin korunması, kişisel verilerin işlenmesinin disiplin altına alınması ile temel hak ve özgürlüklerin korunmasıdır.
Kişisel verilerin korunması, temelde verilerin değil, bu verilerin ilişkili olduğu kişilerin korunmasını amaçlamaktadır. Başka bir ifade ile verilerin korunması; kişileri, onlar hakkındaki verilerin tamamen veya kısmen otomatik olan ya da otomatik olmayan yollarla işlenmesinden doğacak zararlardan koruma amacına yönelmiş ve kişisel verilerin korunmasına ilişkin ilkelerde somutlaşmış idari, teknik ve hukuki önlemleri ifade eder. Bu anlamda kişisel verilerin korunmasının, kişilere ilişkin verilerin toplanması, saklanması, kullanılması ve aktarılması gibi veri işleme süreçlerinin bütün aşamalarını kapsar şekilde bireylere kontrol hakkını yeniden kazandırmayı amaçladığı söylenebilir. Bu amaç kapsamında kişisel verilerin korunması, kişinin verilerinin geleceğini bizzat kendisinin belirleme hakkını ifade eder. Aynı zamanda bu koruma insan onurunun ve kişilik hakkının da bir gereğidir.
Açık rıza
Açık rıza belirli bir konuya ilişkin, bilgilendirilmeye dayanan özgür irade açıklamasıdır. Açık rızanın üç unsuru bulunmaktadır:
1. Belirli bir konuya ilişkin olması: Veri işlemek üzere verilen rızanın geçerli olması için rızanın belirli bir konuya ilişkin ve o konu ile sınırlı olması gerekir. Buna göre genel bir irade açıklaması ile “kişisel verilerimin işlenmesini kabul ediyorum” şeklinde açık uçlu ve belirsiz bir rıza tek başına Kanun bağlamında açık rıza olarak kabul edilemez. Diğer bir ifade ile battaniye rızalar hukuken geçersizdir.
2. Rızanın bilgilendirmeye dayanması: Açık rıza bir irade beyanı olup, kişinin özgür bir şekilde rıza gösterebilmesi için neye rıza gösterdiğini bilmesi gerekir. Bu kapsamda, kişiye yapılacak bilgilendirme, mutlaka verinin işlenmesinden önce yapılmalı ve veri işleme ile ilgili bütün konularda açık ve anlaşılır bir biçimde gerçekleştirilmelidir.
Bilgilendirme yapılırken elde edilecek kişisel verilerin hangi amaçlarla kullanılacağı açıkça belirtilmeli, kişinin anlamayacağı terimler ya da yazılı bilgilendirme yapıldığında okumakta güçlük çekeceği oranda küçük puntolar kullanılmamalıdır.
3. Özgür iradeyle açıklanması: Kişinin irade beyanı olan rıza, kişinin yaptığı davranışın bilincinde ve kendi kararı olması halinde geçerlilik kazanacaktır. Cebir, tehdit, hata ve hile gibi iradeyi sakatlayan hallerde kişinin özgür biçimde karar vermesi mümkün değildir. Örneğin, işçiye rıza göstermeme imkânının etkin bir biçimde sunulmadığı veya rıza göstermemenin işçi açısından muhtemel bir olumsuzluk doğuracağı durumlarda, rızanın özgür iradeye dayandığı kabul edilemez.
Açık rızanın özgür irade ile açıklanması gerektiğinden, ilgili kişinin açık rızasının alınması, bir ürün veya hizmetin sunulmasının ya da ürün veya hizmetten yararlandırılmasının ön şartı olarak ileri sürülmemelidir.
Örneğin, bir hizmetten yararlanılmasının üyelik şartına bağlandığı yerlerde, üye olmak isteyen ilgili kişinin parmak izinin alınması ve işlenmesinin üyelik sözleşmesinin kurulması için zorunluluk olarak öngörülmesi hukuka aykırı olacaktır. Çünkü bu şekilde alınan açık rıza özgür irade ile açık rıza verilmesi ilkesine ve ölçülülük ilkesine aykırı olacaktır.
Açık Rıza Herhangi Bir Şekil Şartına Tabi Değildir
Açık rıza beyanı herhangi bir şekil şartına tabi değildir. Önemli olan açık rızanın Kanundaki unsurları taşıması ve ispatlanabilir olmasıdır. Dolayısı ile sözlü, yazılı, elektronik ortam vb. yöntemlerle açık rıza alınması mümkündür. Bununla birlikte, açık rızanın yazılı olduğu durumlarda, açık rıza metinleri açık, anlaşılır ve yalın bir şekilde kaleme alınmalıdır. Ayrıca, açık rızanın, olumlu bir irade beyanı içermesi gerekmektedir. Diğer bir ifade ile, açık rızanın şüpheye yer vermemesi gerekmekte, rızanın talep edilmesine ve alınmasına ilişkin işlemler, ilgili kişinin bu konudaki niyetini açık bir şekilde ortaya koyar nitelikte olmalıdır. Açık rızanın alındığı konusundaki ispat yükü ise veri sorumlusuna aittir.
Açık rıza her zaman geri alınabilir.
KİŞİSEL VERİLERİN İŞLENMESİNDE GENEL (TEMEL) İLKELER
Kişisel verilerin işlenmesinde her zaman Kanunda ortaya konulan genel ilkelere uygun davranılmalıdır. Kişisel verilerin işlenmesinde genel ilkeler şunlardır:
a. Hukuka ve dürüstlük kurallarına uygun olma,
b. Doğru ve gerektiğinde güncel olma,
c. Belirli, açık ve meşru amaçlar için işlenme,
ç. İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
d. İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.
Kişisel verilerin işlenmesine ilişkin ilkeler, tüm kişisel veri işleme faaliyetlerinin özünde bulunmalı ve tüm kişisel veri işleme faaliyetleri bu ilkelere uygun olarak gerçekleştirilmelidir.
Hukuka ve dürüstlük kuralına uygun olma ilkesi, diğer ilkeleri de kapsayıcı bir özelliğe sahiptir.
Hukuka uygun olma, kişisel verilerin işlenmesinde kanunlarla ve diğer hukuksal düzenlemelerle getirilen ilkelere uygun hareket edilmesi zorunluluğunu ifade etmektedir.
Dürüstlük ilkesi ise, ilgili kişi aydınlatılmadan hiçbir şekilde kişisel verisinin toplanmaması ve işlenmemesi, ilgili kişiye karşı haksızlığa yol açacak şekilde kullanılmaması, toplanma amacının aşılmamasını ifade eder. Veri işleme faaliyetinde bulunanların, ilgili kişilerin çıkarlarını ve makul beklentilerini göz önüne almaları dürüstlük kuralının gereğidir. Haklı bir gerekçe olmaksızın ilgili kişinin özel hayatının gizliliğini, otonomisini, onurunu ihlal edecek şekilde veri işlenmesi, şüphesiz bu ilkeye aykırılık teşkil edecektir. Bu kapsamda, dürüstlük ilkesi uyarınca, kişilerin kendilerine veri işleme konusunda izin ya da emir veren hukuk kurallarına dayanarak gerçekleştirdikleri fiillerde, bu hukuk kuralının amacına göre işlenebilecek en az miktarda veri işlemeleri, veri sahiplerinin öngöremeyeceği biçimde hareket etmemeleri, veri sahiplerinin çıkarlarını ve makul beklentilerini göz önüne almaları gibi davranışları gerektirir.
Bu ilkelere riayet edilmeksizin veri işlenmesi dürüstlük kuralına dolayısıyla hukuka uygun veri işlenmesine aykırı olacaktır.
Doğru ve Gerektiğinde Güncel Olma
Veri, hakkında bilgi vermesi gereken şeyi doğru şekilde anlatabilmelidir. Kişisel verilerin doğruluğunun ve güncelliğinin önemini vurgulayan bu ilke Kanunda öngörülen ilgili kişinin verilerin düzeltilmesini talep etme hakkı ile uyumludur. Kişisel verilerin doğru ve güncel bir şekilde tutulması, veri sorumlusunun çıkarına uygun olduğu gibi ilgili kişinin temel hak ve özgürlüklerinin korunması açısından da gereklidir.
Veri sorumlusu eğer kişisel verilere dayalı olarak ilgili kişiye dair bir sonuç yaratıyor ise kişisel verilerin doğru ve gerektiğinde güncel olmasının sağlanması noktasında veri sorumlusunun aktif özen yükümlülüğü bulunmaktadır. Bunun dışında veri sorumlusu her zaman ilgili kişinin bilgilerini doğru ve güncel olmasını temin edecek kanalları açık tutmalıdır. Aksi takdirde, kişilerin, güncel olmayan veya yanlış tutulan kişisel verileri nedeniyle maddi ve manevi zarar görmesi mümkündür. Örneğin bir kişinin veri sorumlusunun sisteminde kayıtlı telefon numarasının doğru olmaması ya da artık ilgili kişi tarafından kullanılmıyor oluşu, o kişiye ilişkin gerçek bir veriyi yansıtmadığından hatalı sonuçların ortaya çıkmasına neden olabilmektedir. Yine, adres bilgisi yanlış kaydedilen bir kişinin kendisine ait tebligatları zamanında alamaması veya söz konusu tebligatların yanlış bir kişiye tebliğ edilmesi durumunda ilgili kişi maddi ve manevi zarar görebilir. Kişisel verilerin doğru ve güncel tutulabilmesini teminen; kişisel verilerin elde edildiği kaynaklar belirli olmalı, kişisel verilerin toplandığı kaynağın doğruluğu test edilmeli, kişisel verilerin doğru olmamasından kaynaklı talepler göz önünde bulundurulmalı ve bu kapsamda makul önlemler alınmalıdır.
Belirli, Açık ve Meşru Amaçlar İçin İşlenme İlkesi
Kişisel verilerin işlenme amaçlarının belirli, meşru ve açık olması ilkesi;
• Kişisel veri işleme faaliyetlerinin ilgili kişi tarafından açık bir şekilde anlaşılabilir olmasını,
• Kişisel veri işleme faaliyetlerinin hangi hukuki işleme şartına dayalı olarak gerçekleştirildiğinin tespit edilmesini,
• Kişisel veri işleme faaliyetinin ve bu faaliyetin gerçekleştirilme amacının belirliliğini sağlayacak detayda ortaya konulmasını sağlamaktadır.
Kişisel veri işleme amaçlarının belirli, meşru ve açık olması ilkesi özellikle açık rıza ve aydınlatma metinlerinin kaleme alınması sırasında; kişisel veri işleme faaliyetlerinin hukuka uygun olarak gerçekleştirildiğinin tespitinin sağlanması noktasında önem taşır. Açıklandığı hukuki işlem ve metinlerde (açık rıza, aydınlatma, ilgili kişinin başvurularını cevaplama, veri sorumlusu siciline olan başvuru) belirlilik ve açıklık ilkesine uyumda hassasiyet gösterilmesi, anlaşılmayan terminoloji kullanımından kaçınılmasıdır. Bu esasa uygun davranma aynı zamanda dürüstlük ilkesine uyum bakımından da önemlidir.
Amacın Meşru Olması, veri sorumlusunun işlediği verilerin, yapmış olduğu iş veya sunmuş olduğu hizmetle bağlantılı ve bunlar için gerekli olması anlamına gelmektedir. Örneğin, bir hazır giyim mağazasının, müşterilerinin kimlik ve iletişim bilgilerini işlemesi meşru amaç kapsamındayken, anne kızlık soyadını işlemesi meşru amaç kapsamında değerlendirilemeyecektir.
Kişisel Verilerin, İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olması İlkesi
“Amaçla sınırlılık” kişisel verilerin korunmasında hâkim olan en önemli ilkelerden biridir. Kişisel veriler işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olmalıdır. Mevcutta olmayan ve sonradan gerçekleşmesi düşünülen amaçlarla kişisel veri toplanmamalıdır. Kişisel veri işleme faaliyetinin gerçekleşmesi için gerekli olmayan ölçüde kişisel veri toplanmamalı ve/ veya işlenmemelidir. Buna göre kişisel veriler yalnızca belirli amaçlar için ve gerektiği kadar toplanmalı, amacın gerektirdiği yerlerde kullanılmalıdır.
Bu bakımdan, kişisel veriler toplandıktan sonra, ileride ortaya çıkabilecek yeni işleme amaçları dâhilinde işleme yapılması için, verilerin ilk defa toplanması sırasında sağlanması gereken şartlar yeni amaçlar için de tekrar aranmalıdır. Örneğin, bir taşımacılık firması tarafından taşıma sözleşmesi kapsamında kaydedilen adres bilgileri, sonrasında pazarlama faaliyeti için de kullanılacaksa, bu amaçla kullanım yapılabilmesi için kişisel veri işleme şartlarının karşılanıp karşılanmadığının yeniden değerlendirilmesi gerekmektedir.
Bunun yanı sıra işlenen veri, sadece veri işleme amacının gerçekleştirilmesi için gerekli olanla sınırlı tutulmalıdır. Örneğin, bir tekstil firması tarafından müşterilere ilişkin kimlik ya da iletişim verilerinin tutulması satış işlemlerinin takibi vb. amaçlarla bağdaşırken, müşterilerin finansal geçmişine ilişkin verilerin toplanmasının amaçla bağlantılı ve ölçülü olduğu söylenemez.
Bunun yanında amaçla bağlantılı, sınırlı ve ölçülü olma şartının her ilgili kişi ve süreç için ayrı ayrı değerlendirilmesi gerekmektedir. Çünkü belirli bir kişi ve süreç için gerekli olan bilgi, bir diğer kişi için ölçüsüz olabilecektir. Bu hususa özellikle özel nitelikli kişisel veriler konusunda dikkat edilmesi gerekir. Bir iş yerinde insan kaynakları birimince çalışanların mali haklarının belirlenebilmesi için sendika üyeliği verisinin alınması ölçülü kabul edilecekken, aynı iş yerinin AR-GE birimince söz konusu verinin alınması ölçülü olarak kabul edilmeyecektir.
Kişisel Verilerin Ancak İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin
Gerekli Olan Süre Kadar Muhafaza Edilmesi
Kişisel verilerin, ancak ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi zorunludur. Buna göre, veri sorumluları, ilgili mevzuatta verilerin saklanması için öngörülen bir süre varsa bu süreye uyacak, kişisel verileri ancak işlendikleri amaç için gerekli olan süre kadar muhafaza edebilecektir. Bir verinin daha fazla saklanması için geçerli bir sebep bulunmaması halinde, o veri silinecek, yok edilecek ya da anonim hale getirilecektir. İleride tekrar kullanılabileceği düşünülerek ya da herhangi bir başka gerekçe ile kişisel verilerin muhafaza edilmesi yoluna gidilemeyecektir.
Ayrıca veri sorumlusu, Kanunun 16. maddesi uyarınca Veri Sorumluları Siciline kayıt için başvuru yaparken kişisel verilerin işlenme amacı için gerekli azami süreyi bildirmek zorundadır.
Veri sorumlusu tarafından Sicile bildirilen veri kategorilerinin işleme amaçları ve bu amaçlara dayalı olarak işlenmeleri için gerekli olan azami muhafaza edilme süreleri ile mevzuatta öngörülen süreler farklı olabilir. Bu durumda mevzuatta azami muhafaza edilme süresi öngörülmüşse öngörülen bu süre yoksa bunlardan en uzun süre esas alınarak bu veri kategorisi için Sicile bildirim yapılır.
Burada önemle belirtmek gerekir ki, mevzuat kapsamında öngörülen bu sürelere uyum için yapılan saklama faaliyetleri veri sorumlusu tarafından belirlenen saklama sürelerini aşıyorsa, bu faaliyetler yalnızca ilgili mevzuatta belirtilen yükümlülükleri yerine getirmekle sınırlı bir saklama ve işleme faaliyeti olarak yürütülmelidir. Hem veri sorumlusunun hukuki yükümlülükleri gereği tabi olduğu mevzuat kapsamında öngörülen sürelerin, hem de veri sorumlusunun belirlediği saklama sürelerinin aşılması durumunda, kişisel verilerin veri sorumlusu tarafından Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonim Hale Getirilmesi Hakkında Yönetmeliğe göre silinmesi, yok edilmesi veya anonim hale getirilmesinin temin edilmesi gerekir.
Veri Sorumlusunun Aydınlatma Yükümlülüğünün Kapsamı
Veri sorumlusu veya yetkilendirdiği kişi, aydınlatma yükümlülüğü kapsamında veri sorumlusunun ve varsa temsilcisinin kimliği, veri işleme amacı, işlenen verilerin kimlere ve hangi amaçla aktarılabileceği, veri toplamanın yöntemi ve hukuki sebebi ile Kanunun 11. maddesinde sayılan diğer hakları konusunda ilgili kişiyi bilgilendirmekle yükümlüdür. Aydınlatma yükümlülüğünün yerine getirilmesi ilgili kişinin onayına tabi değildir.
Kişisel veri işleme faaliyeti kapsamında kişisel verinin elde edilmesi sırasında veri sorumlusu tarafından ilgili kişilerin aydınlatılması gerekmektedir. Bununla birlikte aydınlatma yükümlülüğü yerine getirilirken ilgili kişiye verilecek bilgiler, eğer Veri Sorumluları Siciline kayıt yükümlülüğü varsa, Veri Sorumluları Siciline açıklanan bilgilerle uyumlu olmalıdır. Kayıt yükümlüğü yoksa Kanunun 10. ve 11. maddeleri kapsamında aydınlatma yükümlülüğü yerine getirilmelidir.
Veri işleme faaliyetinin ilgili kişinin açık rızasına bağlı olmadığı ve faaliyetin Kanundaki başka şartlar kapsamında yürütüldüğü durumlarda da veri sorumlusunun ve yetkilendirdiği kişinin ilgili kişiyi aydınlatma yükümlülüğü devam etmektedir.
Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Şekil Şartı Var mıdır?
Aydınlatma yükümlülüğünün yerine getirilmesi konusunda bir şekil şartı bulunmamaktadır. Tek taraflı bir beyanla aydınlatma yükümlülüğü yerine getirilebilir. Aydınlatma yükümlülüğünün yerine getirildiğinin ispatı ise veri sorumlusuna aittir.
İLGİLİ KİŞİNİN(VERİLERİ İŞLENEN GERÇEK KİŞİ) SAHİP OLDUĞU HAKLAR
Kanunun 11. maddesi çerçevesinde herkes, veri sorumlusuna başvurarak kendisiyle ilgili;
a. Kişisel verilerinin işlenip işlenmediğini öğrenme,
b. Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
c. Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
ç. Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
d. Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
e. Kanunun 7. maddesinde öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
f. Maddenin (d) ve (e) bentlerinde belirtilen düzeltme, silme ve yok etme talepleri doğrultusunda yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
g. İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
ğ. Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme haklarına sahiptir.
BAŞVURULAR (Talep, İtiraz, Şikâyet)
Kanunun 13. maddesinde, ilgili kişinin Kanunun uygulanması ile ilgili taleplerine ilişkin veri sorumlusuna başvuru yolu düzenlenmiştir. Buna göre, ilgili kişilerin Kanunun uygulanmasıyla ilgili taleplerini, öncelikle veri sorumlusuna iletmeleri zorunludur.
Kanunda ilgili kişilerin, taleplerini veri sorumlusuna yazılı olarak ya da uygulamada oluşacak ihtiyaca göre Kurulun belirlediği diğer yöntemlerle iletebilmelerine imkân sağlanmıştır.
Veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde, Kurulca belirlenen tarifedeki ücret alınabilir. Başvurunun veri sorumlusunun hatasından kaynaklanması hâlinde ise alınan ücret ilgiliye iade edilir.
Veri sorumlusunun ilgili kişinin talebini, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde kabul veya gerekçesini açıklayarak reddetmesi, ayrıca cevabı ilgili kişiye bildirmesi gerekmektedir. Veri sorumlusu talebi kabul eder veya gerekçesini açıklayarak reddeder. Başvuruda yer alan talebin kabul edilmesi hâlinde, veri sorumlusunca gereği yerine getirilir. Veri sorumlusu cevabını ilgili kişiye yazılı veya elektronik ortamda bildirir.
Kurula Şikâyet
İlgili kişi, veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve her halde veri sorumlusuna başvuru tarihinden itibaren altmış gün içinde Kurula şikâyette bulunabilir. Veri sorumlusuna yapılan başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hallerinde ilgili kişi, Kurula şikâyette bulunabilir.
Kanun, kişisel verilerin korunması kapsamındaki başvurular için kademeli bir başvuru usulü öngörmüştür. Bu kapsamda, ilgili kişilerin Kanunun uygulanması ile ilgili taleplerini öncelikle veri sorunlusuna iletmeleri zorunludur. Bu yol tüketilmeden Kurula şikâyet yoluna gidilemez.
İhbar ve şikayetlerin, işleme konulabilmesi için 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanunun 6. maddesinde belirtilen hükümlere uygun olarak Kuruma sunulması gerekmektedir. Bu şartları taşımayan ihbar ve şikâyetler incelemeye alınmazlar.
Veri sorumlusu kurulun talep ettiği bilgi ve belgeleri onbeş(15) gün içinde kurula göndermek zorundadır.
Kurul, altmış(60) günlük süre içinde ilgili kişiye cevap vermek zorundadır. Kanunda Kurulun, şikâyet üzerine yapacağı inceleme sonunda şikâyet tarihinden itibaren altmış gün içinde ilgiliye bir cevap verilmezse söz konusu talebin reddedilmiş sayılacağı hükme bağlanmıştır.
Şikâyet üzerine veya resen yapılan inceleme sonucunda, ihlalin varlığının anlaşılması hâlinde Kurul, tespit ettiği hukuka aykırılıkların veri sorumlusu tarafından giderilmesine karar vererek ilgililere tebliğ eder. Bu karar, tebliğden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirilir.
Yargı Yolu
Başvuru yoluna gitmenin zorunlu, şikâyet yoluna gitmenin ise ihtiyari olması sebebiyle, başvurusu zımnen veya açıkça reddedilen ilgili kişinin bir yandan Kurula şikâyette bulunabilmesi, aynı zamanda veri sorumlusuna karşı doğrudan yargı yoluna gidebilmesi mümkündür.
Tazminat Hakkı
Kişilik hakları ihlal edilenlerin, genel hükümlere göre tazminat isteme hakları vardır. Bu kapsamda, ilgili kişiler maddi- manevi zararlarının giderilmesi için yargı yoluna gidebilirler.
YÜKÜMLÜLÜKLERİN İHLALİNDE UYGULANACAK İDARİ PARA CEZALARI
6698 sayılı Kişisel Verilerin Koruma Kanununda idari para cezaları Kabahatler başlığı altında 18. maddede düzenlenmiştir. İdari para cezaları sadece gerçek kişiler ile özel hukuk tüzel kişileri hakkında öngörülmüş olup, kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek teşekküllerine ise ilgili memur için disiplin uygulaması öngörülmüştür.
KVKK’da idari para cezaları şu şekilde düzenlenmiştir;
Kabahatler
MADDE 18- (1) Bu Kanunun;
a) 10 uncu maddesinde öngörülen aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar,
b) 12 nci maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar,
c) 15 inci maddesi uyarınca Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar,
ç) 16 ncı maddesinde öngörülen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar,
idari para cezası verilir.
(2) Bu maddede öngörülen idari para cezaları veri sorumlusu olan gerçek kişiler ile özel hukuk tüzel kişileri hakkında uygulanır.
(3) Birinci fıkrada sayılan eylemlerin kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları bünyesinde işlenmesi hâlinde, Kurulun yapacağı bildirim üzerine, ilgili kamu kurum ve kuruluşunda görev yapan memurlar ve diğer kamu görevlileri ile kamu kurumu niteliğindeki meslek kuruluşlarında görev yapanlar hakkında disiplin hükümlerine göre işlem yapılır ve sonucu Kurula bildirilir.
Kanunda öngörülen para cezası miktarları her yıl yeniden değerleme oranlarına göre belirlenmektedir.
Kabahatler Kanunu’nun idari para cezalarını düzenleyen 17.maddesinin 7.fıkrası gereği, idari para cezaları her takvim yılı başından geçerli olmak üzere, o yıl için 04.01.1961 tarihli 213 Sayılı Vergi Usul Kanununun mükerrer 298 inci maddesi hükümlerine göre tespit ve ilan edilen yeniden değerleme oranında artırılarak uygulanır. Bu suretle idarî para cezasının hesabında bir Türk Lirasının küsuru dikkate alınmaz. Nispi nitelikteki idarî para cezaları açısından bu fıkra hükmü uygulanmaz.
Kabahatleri düzenleyen KVKK 18.maddesi gereği uygulanacak idari para cezası tutarlarına esas olan yeniden değerleme oranlarına göre, 2019 ve 2020 yılları için hesaplanan idari para cezası miktarları aşağıdaki gibidir;
- 10 uncu maddede öngörülen aydınlatma yükümlülüğünün ihlalinde;
2019 yılı : Alt Sınır: 7.352 – Üst Sınır: 147.058
2020 yılı : Alt Sınır: 9.012 – Üst Sınır: 180.263
- 12 nci maddede öngörülen veri güvenliğine ilişkin yükümlülüklerin ihlalinde;
2019 yılı : Alt Sınır: 22.052 – Üst Sınır: 1.470.583
2020 yılı : Alt Sınır: 27.037 – Üst Sınır: 1.802.640
- 15 inci maddede öngörülen Kurul tarafından verilen kararların ihlalinde;
2019 yılı : Alt Sınır: 36.762 – Üst Sınır: 1.470.583
2020 yılı : Alt Sınır: 45.062 – Üst Sınır: 1.802.640
ç) 16 ncı maddesinde öngörülen Veri Sorumluları Siciline kayıt ve bildirim (VERBİS) yükümlülüğünün İhlalinde;
2019 yılı : Alt Sınır: 29.410 – Üst Sınır: 1.470.583
2020 yılı : Alt Sınır: 36.050 – Üst Sınır: 1.802.640
5326 Sayılı Kabahatler Kanununun 5. maddesi uyarınca 5237 sayılı Türk Ceza Kanununun zaman bakımından uygulamaya ilişkin hükümleri kabahatler bakımından da uygulanacaktır. Kabahat, failin icraî veya ihmali davranışı gerçekleştirdiği zaman işlenmiş sayılır. Türk Ceza Kanunun 7. maddesinde düzenlenen zaman bakımından uygulama kuralları gereğince alt ve üst sınırlar kabahatlerin işlendiği zaman geçerli olan ceza tutarları dikkate alınmak suretiyle uygulanırlar.
Bu yazı, Kişisel Verileri Koruma Kurulu tarafından hazırlanan www.kvkk.gov.tr adresinde yer alan dökümanlar üzerinden hazırlanmıştır.