Kişisel Verilerin Korunması ve İşlenmesi
KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ
A. GENEL OLARAK
Doktrindeki yaygın görüşe göre kişisel veri; “Belirli veya kimliği belirlenebilir bir kişiye ilişkin bütün bilgilerdir’’. Bu tanıma göre mevcut veriler, her hangi bir şekilde bir gerçek kişi ile ilişkilendirildiği takdirde kişisel veri olarak nitelendirilecektir.
Kişisel verilerin elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem, kişisel verilerin işlenmesi olarak kabul edilmektedir.
Kişisel verilerin korunması ise, kişisel verilerin işlenmesinin disiplin altına alınması ile temel hak ve özgürlüklerin korunmasıdır. Kişisel verilerin korunması, esasen bu verilerle ilişkili kişilerin korunmasını amaçlamaktadır.
Kişisel verilerin korunması özel hayatın gizliliği ve korunmasıyla doğrudan ilgilidir. Geçmişten günümüze düzenlenmiş olan tüm insan hakları düzenlemeleri kişisel verilerin korunması bakımından da önem arz etmektedir. Zira özel hayatın gizliliği birinci kuşak haklardan olup tarihteki ilk insan hakları belgelerine konu olmuştur.
B. KİŞİSEL VERİLERİN KORUNMASINA YÖNELİK DÜZENLEMELER
Ülkemizde kişisel verilerin korunmasıyla ilgili özel bir kanun hazırlamak üzere ilk komisyon 1989 yılında kurulmuş ancak bu komisyon çalışmalarını tamamlayamamıştır. Daha sonra yapılan çalışmalar tamamlansa da hazırlanan kanun tasarıları çeşitli nedenlere kanunlaşamamıştır. Nihayetinde 18.01.2016 tarihinde meclise sunulan kanun tasarısı 24.03.2016 tarihinde kanunlaşmış ve 6698 sayılı Kişisel Verilerin Korunması Kanunu 7 Nisan 2016 tarihinde Resmi Gazete’de yayınlanarak yürürlüğe girmiştir.
Kanunun birinci maddesine göre bu kanunun amacı; ‘’kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir.’’
6698 sayılı kanunda kişisel verilerin işlenme amacını ve yöntemini belirleyen gerçek veya tüzel kişi veri sorumlusu, kişisel verisi işlenen gerçek kişi ise ilgili kişi olarak adlandırılmıştır. Başta özel hayatın gizliliği olmak üzere temel hak ve özgürlüklerin korunması amacıyla, ilgili kişiye ait kişisel verilerin veri sorumlusu tarafından işlenebilmesi bu kanunla sınırlandırılmıştır.
C. KİŞİSEL VERİLERİN İŞLENMESİ
Kişisel verilerin işlenmesi, kişisel verilerin tamamen veya kısmen otomatik olan ya da olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemdir.
Kişisel verilerin veri sorumlusu tarafından işlenebilmesinin ilk koşulu, ilgili kişinin açık rızasıdır. Açık rıza, belli bir konuya ilişkin bilgilendirmeye dayalı ve özgür iradeyle açıklanmış olmalıdır.
Açık rızanın olmadığı hallerde kişisel verilerin veri sorumlusu tarafından hangi koşullarda işlenebileceği düzenlenmiştir. Bu doğrultuda kanunun 5. Maddesinde hukuka uygunluk halleri sayılmıştır. Veri sorumlusu bu hallerden en az birinin varlığı halinde kişisel verileriişleyebilecektir. Bu haller;
- Kanunlarda açıkça öngörülmesi,
- Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
- Bir sözleşmenin kurulması veya ifasıyla doğudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
- Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
- İlgili kişinin kendisi tarafından alenileştirilmiş olması,
- Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
- İlgili kişinin temek hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması halleridir.
Öte yandan kanun, ilgili kişinin mağduriyetine veya ayrımcılığa uğramasına sebebiyet verebilecek nitelikteki verileri, özel nitelikli kişisel veriler olarak nitelendirmiştir. Bunlar; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileridir.
Özel nitelikli kişisel verilerin işlenmesi ancak ilgili kişinin açık rızası veya kanunda sayılan hallerde mümkündür. İlgili kişinin açık rızası bulunmadığı takdirde;
-Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, ancak kanunlarda öngörülen hallerde,
– Sağlık ve cinsel hayata ilişkin kişisel veriler, ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenebilir.
Kişisel verilerin işlenmesi kanunda genel hatlarıyla bu şekilde düzenlenmiştir. Ancak 6698 sayılı kanunun 28. Maddesinde kişisel verilerin işlenmesinin istisnai halleri düzenlenmiştir. Bu haller;
- Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi
- Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi
- Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi
- Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi
- Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi
Veri sorumlusunun hukuka uygun olarak veri işleyebilmesi yukarıda açıklanan düzenlemelerle sınırlandırılmıştır. Bu sınırların dışına çıkan işlemler hukuka aykırı olup hak ihlali teşkil edecektir.
D. HAK İHLALİNE UĞRAYAN İLGİLİ KİŞİNİN ZARARINI GİDEREBİLMESİ İÇİN BAŞVURABİLECEĞİ HUKUKİ YOLLAR
Veri sorumlusunun aydınlatma yükümlülüğünün gereği olarak kişisel verilerin hangi amaçla işleneceği, kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ilgili kişiye bildirilmelidir.
Veri sorumlusu, kişisel veriyi hukuka uygun yöntemlerle işlemekle birlikte hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamakla yükümlüdür. Veri sorumlusunun bu yükümlülüklerine aykırı davranışı hak ihlallerine sebebiyet vermektedir. Kanunda ilgili kişinin bu hak ihlallerine karşılık başvurabileceği hak arama yolları düzenlenmiştir.
A-BAŞVURU YOLU
İlgili kişilerin, veri sorumlusuna başvurarak; kendileriyle ilgili kişisel verilerin işlenip işlenmediğini öğrenmek, işlenmişse bunları talep etmek, verinin muhtevasının eksik veya yanlış olması halinde bunların düzeltilmesini, hukuka aykırı olması halinde ise silinmesini, yok edilmesini ve buna göre yapılacak işlemlerin verilerin açıklandığı üçüncü kişilere bildirilmesini ve verilerin kanuna aykırı olarak işlenmesi sebebiyle zararlarının giderilmesini talep etme hakları bulunmaktadır.
İlgili kişinin kanundan doğan bu haklarını kullanabilmesi için öncelikle veri sorumlusuna müracaat etmesi gerekir. Bu yol tüketilmeden diğer bir yöntem olan kurula şikayet hakkı kullanılamaz.
Veri sorumlusuna yapılacak başvuru yazılı olarak veya kayıtlı elektronik posta(KEP) adresi, güvenli elektronik imza, mobil imza ya da ilgili kişi tarafından veri sorumlusuna daha önce bildirilen ve veri sorumlusunun sisteminde kayıtlı bulunan elektronik posta adresini kullanmak suretiyle veya başvurma amacına yönelik geliştirilmiş bir yazılım ya da uygulama vasıtasıyla veri sorumlusuna iletir.
B- ŞİKÂYET YOLU
İlgili kişinin şikâyet yoluna başvurabilmesi için ilk olarak veri sorumlusuna Kanunun 13. maddesi uyarınca yapmış olduğu başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya 30 gün içinde başvuruya cevap verilmemiş olması gereklidir. İlgili kişilerin veri sorumlusuna başvurmadan doğrudan kurula şikâyet yoluna gitmesi mümkün değildir.
Şikâyet başvurusu kural olarak yazılı olmakla birlikte Kurul’un belirleyebileceği (elektronik başvuru gibi) diğer yöntemlerle de yapılabilir. Kurul’a yapılacak şikâyetler ve ihbarlar için sunulacak dilekçelerde, dilekçe sahibinin adı soyadı, imzası ve iş veya ikametgâh adresinin bulunması gerekir. Aksi takdirde dilekçe ile sunulan ihbar ve şikâyet incelemeye alınmaz.
İlgili kişinin Kurula şikâyette bulunmasında öngörülen süre, veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve her hâlde başvuru tarihinden itibaren altmış gündür. Ayrıca kurul hak ihlali iddiasını herhangi bir şekilde öğrenmesi halinde resen gerekli incelemeyi yapma yetkisine sahiptir.
Kanunda şikayet tarihinden itibaren altmış gün içinde herhangi bir cevap verilmezse talebin reddedilmiş sayılacağı hükme bağlanmıştır. Kişisel Verilerin Korunması Kurulu kanun hükümlerinin ihlal edildiği kanaatine varırsa, tespit ettiği hukuka aykırılıkların ilgili veri sorumlusu tarafından giderilmesine karar verir ve kararı ilgililere tebliğ eder. Bu karar, tebliğden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirilecektir. İlgililerin Kurul tarafından verilen kararlara karşı idari yargı mercilerinde dava açma hakkı saklıdır
Kişilik hakları ihlal edilen ilgili kişilerin genel hükümlere göre başvuru hakları saklı tutulduğundan doğrudan yargı yoluna gidebilmesi de mümkündür.
E.SONUÇ
Kişisel verilerin korunmasına ilişkin ilk yasal düzenlemeler Kıta Avrupa’sı Hukuku’nda görülmüştür. Ülkemizde ise Avrupa Birliği Uyum Paketleri ile gündeme gelen bu konu, geç de olsa 2016 yılında kanuni düzenleme altına alınmıştır. 6698 sayılı Kişisel Verilerin Korunması Kanun’u genel hatlarıyla veri sorumlusunun yükümlülüklerini ve ilgili kişinin bunlarla bağlantılı haklarını düzenlemiştir. Bu kapsamda Kişisel Verilerin Korunması Kurulu bir denetim mekanizması olarak gösterilmişse de Kurul’un aktif denetim yaptığı aşama hak ihlali iddiasından sonraki aşamadır. Kişisel verilerin korunması bakımından hak ihlalinin önlenmesi, hak ihlalinden doğan zararın giderilmesinden daha elzemdir. Dolayısıyla Kişisel Verilerin Korunması Kurulu hak ihlali iddiasından sonra değil bu iddia ortaya atılmadan, henüz veri işleme aşamasında iken, etkili bir denetim yapmalıdır. Böyle bir denetim, kişisel verilerin korunması bakımından daha etkili bir çözüm yolu olacaktır.
KAKICI & ŞİMŞEK HUKUK BÜROSU