Av.Çağla Yavuz Uzun

Av.Çağla Yavuz Uzun

KİŞİSEL VERİLERİN KORUNMASI KAPSAMINDA HAKLAR VE YÜKÜMLÜLÜKLER

Günümüzde sıkça duyduğumuz kişisel verilerin korunması, açık rıza gibi söylemler yeni olsa da esasında eski zamanlardan beri özellikle kamu tarafından etkin hizmet yürütebilmek amacıyla kişisel veriler toplanmakta ve işlenmektedir. Aynı şekilde şirketler de kişisel verileri işlemekte, bu bilgileri paylaşmakta ve en önemlisi bu bilgileri analiz ederek önemli ölçüde gelir elde etmektedir.Kişisel verilerin işlenmesi pek çok açıdan fayda sağlasa da işleme faaliyeti sonuncunda kişinin temel hak ve özgürlükleri ihlal edilebilmektedir.

Kişisel verilerin işlenmesi faaliyeti önceye dayanmasına rağmen, bireylere kişisel verilerin korunması hakkının tanınması ve yasa koyucular tarafından kabul görmesi ise daha yeni bir tarihe denk gelmektedir. 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) 7 Nisan 2016’da Resmi Gazete’de yayınlanarak yürürlüğe girmiştir. KVKK, kişisel verilerin işlenmesine ve bu verilerin güvenliğinin sağlanmasına dair temel düzenlemeleri içermektedir.

Peki bahsettiğimiz kişisel veri söyleminden anlamamız gereken nedir? KVKK’ nın 3. maddesinde, “Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi” ifade ettiği belirtilmektedir. Bu bilgiler; kişinin adı soyadı, doğum tarihi, doğum yeri, adresi, kimlik numarası, pasaport numarası, motorlu taşıt plakası, özgeçmişi, dernek ve vakıf üyeliği, medeni hal, parmak izi, kan grubu, genetik bilgiler, tahlil sonuçları, röntgen görüntüsü, meslek, fotoğraf, görüntü ve ses kayıtları gibi bizi ifade eden, kimliğimizin parçası olan bilgilerdir.

***

Kanun bazı kişisel verileri özel nitelikli olarak tanımlamış ve KVKK’ nın 6. maddesinde, “Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.” şeklinde düzenlenmiştir. Zira bu kişisel veriler, başkaları tarafından öğrenilmesi halinde ilgili kişinin mağdur olmasına veya ayrımcılığa maruz kalmasına neden olabileceğinden Yasa koyucu tarafından özel olarak korunmak istenmiştir.

Kişiler, bilim ve teknolojinin gelişmesi ile gerek iş gerekse sosyal hayatta iş ve işlemleri sürdürebilmek için birçok hastane, okul, mağaza, banka, sigorta şirketi, otel, gsm operatörü, abonelik hizmeti sunan firma, sosyal medya hesabı, kamu kurum ve kuruluşları, internet ve mobil uygulamalar ile kişisel verilerini paylaşmaktadır. Kişisel verilerin paylaşılmasının temelinde daha iyi bir hizmet almak, güvenliğin sağlanması, hukuki yükümlülüklerin yerine getirilmesi gibi amaçlar bulunmaktadır. Ancak, kişisel verilerimizin korunmasını isteme hakkımızın her zaman bulunduğu unutulmamalıdır. Bu hak, Anayasa’nın 20. maddesinde belirtilen, “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir” ifadesiyle güvence altına alınmıştır.

***

Kanun’un 5. ve 6. maddesinde, kişisel verilerin işlenmesinin belirli şartlar altında ve aydınlatma yükümlülüğünün yerine getirilmesi ile mümkün olacağı belirtilmiştir. Gerçek ve tüzel kişiler tarafından, Kanundaki işleme şartlarına ve genel ilkelere aykırı olan kişisel veriler işlenmemelidir. Ayrıca ileride ihtiyaç duyulabilecek kişisel veriler için önceden değil, zamanında ve gerekmesi durumunda açık rıza alınmalıdır. Açık rıza, belirli bir konuya ilişkin, bilgilendirmeye dayalı ve özgür irade ile açıklanan rıza anlamına gelmektedir. Esas kural kişisel verilerin işlenmesinin yasak oluşudur. Kişisel verilerin işlenmesinin istisnası ise kişinin açık rızası ve Kanun’da sayılan diğer hallerdir.

Kanun bu bakımdan veri sorumlusuna yükümlülükler yüklemiştir. Kişisel veri işleniyorsa işleme faaliyetinin mutlaka bir dayanağı olmalıdır. Eğer işleme şartları bulunmuyorsa veri işlenmemelidir. Veri işleme faaliyetinin Kanunda belirtilen, hukuka ve dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme şeklinde ilkelere göre yapılması gerekir. Bu ilkeler çerçevesinde veri sorumlusu sadece gerekli olan verileri işlemeli, kişinin zararına olacak şekilde veri işlememeli, verileri kötüye kullanmamalıdır. Örneğin, bir aksesuar mağazasında alışveriş yapan kişiden kan grubu bilgisi istenmesi dürüstlük kuralına, ölçülülük ve sınırlılık ilkelerine uygun değildir. Bir diğer husus da aydınlatma yükümlülüğünün yerine getirilmesidir. Kişisel verisi işlenen kişi önceden bilgilendirilmeli, verinin hangi sebeple talep edildiği, hangi sürede saklanacağı, yurt içi veya yurt dışına aktarılıp aktarılmayacağı gibi konularda ilgili kişilere bilgilendirme yapılmalıdır.

***

Kişisel verisi işlenen kişilerin veri sorumlusuna karşı ileri sürebileceği hakları Kanunda düzenlenmiştir. Bu bakımdan kişilerin, kişisel verilerinin işlenip işlenmediğini öğrenme, verisi işlenmişse buna ilişkin bilgi talep etme, işleme amacını, amaca uygun kullanılıp kullanılmadığını öğrenme; yurt içinde ve yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme haklarına sahiptir. Yine, kişisel verilerin eksik veya yanlış işlenmesi halinde bunların düzeltilmesini, verinin işlenmesini gerektiren sebepler ortadan kalkmışsa silinmesini veya yok edilmesini isteme haklarına sahiptir. Kişilerin, işlenen verilerin analiz edilmek sureti ile kişinin kendisi aleyhine bir sonuç ortaya çıkmasına itiraz etme hakkı bulunmaktadır. Kişisel verilerin Kanuna aykırı olarak işlenmesi sebebiyle verisi işlenen kişinin zarara uğraması halinde zararın giderilmesini talep etme hakkı bulunmaktadır.

***

Kişisel verisi işlenenler, hak ihlaline uğradığını düşünüyorsa Kanun’un 11. maddesinde yer alan hakları kapsamında, kişisel verisini işlemekte olan veri sorumlusuna Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğe göre (yazılı, mobil imza gibi yollarla)başvurabilir. İlgili kişi tarafından, veri sorumlusuna yapılan başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hallerinde, ilgili kişi veri sorumlusu tarafından verilen cevabı öğrendiği tarihten itibaren 30 gün içinde Kişisel Verileri Koruma Kurulu’na şikâyette bulunulabilecektir.  Veri sorumlusunca bir cevap verilmediği durumda ise, ilgili kişi veri sorumlusuna başvurduğu tarihten itibaren 60 gün içinde Kurul’a şikâyette bulunabilecektir. Veri sorumlusuna başvuru yolu tüketilmeden Kurul’a şikayet yoluna gidilemez. Ancak, doğrudan yargı yoluna gidecek bir kişinin veri sorumlusuna başvuru zorunluluğu yoktur. İlgili kişi veri sorumlusuna ya da Kurul’a herhangi bir talepte bulunmadan direk olarak yargı yoluna gidebilecektir. Kişisel verilerin hukuka aykırı olarak işlenmesi halinde koruyucu davalar olan, saldırı tehlikesinin önlenmesi davası, saldırıya son verilmesi davası, saldırının hukuka aykırılığının tespiti davası açılabilmektedir. Ayrıca verileri hukuka aykırı olarak işlenen kişiler maddi ve manevi tazminat davası açma haklarına da sahiptir.

***

KAYNAKLAR

Kişisel Verilerin Korunması Kanunu ve Getirdikleri, Kişisel Verileri Korumu Kurumu, KVKK Yayınları, No:26.

Oğulcan ÖZKAN, Kişisel Verilerin Korunması, Yetkin, Ankara, 2020.

avcaglayavuz@gmail.com

 

Önceki ve Sonraki Yazılar

YAZIYA YORUM KAT

UYARI: Küfür, hakaret, rencide edici cümleler veya imalar, inançlara saldırı içeren, imla kuralları ile yazılmamış,
Türkçe karakter kullanılmayan ve büyük harflerle yazılmış yorumlar onaylanmamaktadır.