Kişisel Verilerin Korunması Kanunu'na Genel Bakış ve Bu Kanun Çerçevesinde Kişisel Veri ve İşlenmesinin Tanımı

Kişisel Verilerin Korunması Kanunu'na Genel Bakış ve Bu Kanun Çerçevesinde Kişisel Veri ve İşlenmesinin Tanımı

Günümüz teknolojisinin başta ticaret ve iletişim olmak üzere hayatımızın her alanını dijital platformlara kaydırması, bu platformlardan yararlanabilmek için hakkımızdaki birçok bilgi ve verinin değişik mercii ve mecralarla paylaşılması gereğini doğurmuştur. Yıllar içinde yaşanan bu değişim kişilerin özel hayatlarının dijital alanda da korunması gereğini ortaya çıkarmasının yanı sıra artık kişiler hakkındaki herhangi bir bilgiye ulaşmak çok daha kolay hale gelmiş; dolayısıyla bunların korunması gereği ortaya çıkmıştır. Bu gereklilik, Kişisel Verilerin Korunması Kanunu'na kadar uzanan yeni bir hukuk dalı ortaya çıkarmıştır. Çalışmamız kişisel verilerin korunması ve işlenmesi hususlarının Türk hukukundaki düzenlemeleri ve uygulaması ile ilgili olacaktır.

Yazımızın başında veri kavramının tanımlanması gerekmektedir. 6698 sayılı Kanun anlamında veri, kimliği belirli ya da belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir. Dolayısıyla bu kanun açısından bir değerlendirme yapacağımız zaman akla sadece kişilerin dijital ortamlara ilişkin bilgileri gelmemelidir. Örnek vermek gerekirse bir hastanede hastalara ilişkin tutulan kayıtlar, işverenin işçilerine ilişkin tuttuğu kayıtlar da bu kanun kapsamında veri olarak değerlendirilmelidir. Yani sistematik şekilde kaydı tutulan ad soyad bilgilerinden genetik kodlara, adres bilgisinden telefon numarasına kadar her türlü bilgi, 6698 sayılı Kanun kapsamında veri olarak değerlendirilir.

Bu verilerin bir şekilde kaydedilmesi, aktarılması, kullanılması, sınıflandırılması, düzenlenmesi, değiştirilmesi gibi işlemlere tâbi tutulması ise işleme olarak adlandırılır. Bu çalışmamızda da bu hususları ele alacağız.

Yukarıda bahsettiğimiz gelişmelerin yarattığı hukuk dalı öncelikle Avrupa Birliği nezdinde birtakım sonuçlar doğurdu. Bu düzenlemeleri burada sadece isimleri ile anacağız; çalışmamızın sonunda ise kişisel verilerin korunması dalının uluslararası mecradaki gelişimini ayrıca değerlendireceğiz.

Bunları ayrı ayrı ele alacak olursak Avrupa Konseyi düzenlemeleri;

  • 108 No'lu Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi,
  • 181 No'lu Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi'ne Ek Denetleyici Makamlar ve Sınıraşan Veri Akışına İlişkin Protokol,
  • Avrupa İnsan Hakları Sözleşmesinin İlgili Hükümleri,
     

Bu alandaki Avrupa Birliği düzenlemeleri ise şu şekildedir;

  • 95/46/EC Sayılı Kişisel Verilerin İşlenmesi ve Serbest Dolaşımı Bakımından Bireylerin Korunmasına İlişkin Avrupa Parlamentosu ve Avrupa Konseyi Direktifi
  • 2016/679 Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR)
  • Diğer Düzenlemeler

Kişisel verilerin korunması ve bunlara karşı işlenecek suçlar, ilk defa 5237 sayılı Türk Ceza Kanunu ile hayatımıza girmiş olsa da Kişisel Verilerin Korunması Kanunu bağlamındaki kişisel veri anlayışının 2010 yılında yapılan Anayasa değişikliği ile hukuk hayatımıza girdiği söylenebilir. Bu değişiklikte Anayasa'nın 20. maddesine şu fıkra ilave edilmiştir;

"Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir."
 

Görüldüğü üzere hukuk sistemimizin en üst normu olarak kabul edilen Anayasa, kişisel verileri koruma altına almış; bunların korunmasını, gizli tutulmasını esas almıştır. Kişisel verilerin işlenmesi hâlinin ise ilgili veri sahibinin yazılı iznine tâbi olduğu madde metninde yer almıştır. Buradan kişisel verilerin korunması ve gizliliğinin esas olduğu, ancak rıza hâlinde bunların kullanılabilmesinin mümkün olduğu yani bu durumun istisna teşkil ettiği sonucuna varılabilir. Ayrıca yine bu madde ile kişilere kendileri hakkında verilere geniş bir erişim ve denetleme yetkisi verilmesi öngörülmüştür.

Değişiklik teklifinin bu maddeye ilişkin gerekçesinde; "Anayasada kişisel verilerin korunmasına yönelik dolaylı hükümler bulunmakla birlikte yeterli değildir. Mukayeseli hukukta ve tarafı olduğumuz uluslararası belgelerde de kişisel verilerin korunması önemle vurgulanmaktadır. Maddeyle, herkesin, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkı, anayasal bir hak olarak teminat altına alınmaktadır. Bu bağlamda, bireylerin kendilerini ilgilendiren kişisel veriler üzerinde hangi hak ve yetkilere sahip olduğu ve kişisel verilerin hangi hallerde işlenebileceği hükme bağlanırken, kişisel verilerin korunmasına ilişkin esas ve usullerin kanunla düzenleneceği öngörülmektedir." ifadesine yer verilmiştir.

Bu hüküm ile kişisel verilerin korunmasını istemek bir anayasal hak olarak düzenlenmiştir. Bu hüküm ile Türk hukukunda kişisel veriler meselesine genel bir çerçeve çizilmiş; daha detaylı düzenlemelerin kanunla hayata geçirileceği ifade edilmiştir. Bu doğrultuda 26 Aralık 2014 tarihinde "Kişisel Verilerin Korunması Kanunu Tasarısı" TBMM Başkanlığına sunulmuştur. Tasarı, 24 Mart 2016 tarihinde kanunlaşmış ve 6698 sayılı Kişisel Verilerin Korunması Kanunu, 7 Nisan 2016 tarih ve 29677 sayılı Resmi Gazete'de yayımlanarak yürürlüğe girmiş; böylece kişisel verilerin korunması için gerekli hukuksal altyapı tamamlanmıştır.

Tarihlere dikkat edilirse Kişisel Verilerin Korunması Kanunu'nun yasalaşması sürecinin Anayasa değişikliğinden itibaren ciddi uzun bir zamana yayıldığı görülmektedir. Bu durum eleştiriye açık olmakla beraber ortaya çıkan kanun metninin detaylı ve doyurucu bir çalışma olduğu söylenebilir. Aşağıda genel hatlarıyla bu kanun metni incelenecektir.

1. Genel olarak

Yukarıda değişen dünyanın ve teknolojik gelişmelerin nasıl kişisel verileri dijital platformlara çektiğinden bahsettik. Hem kamu hem de özel sektör kurum ve kuruluşlarının bu bilgiler olmaksızın işleyebilmesi belki de mümkün olmadığından elbette bu verilere erişime ihtiyaç duyulmaktadır. Bununla birlikte bu bilgilerin güvenliklerinin sağlanmadığı takdirde istenmeyen sonuçların doğabileceği de bir gerçektir. Dolayısıyla kişisel verilerden istifade edilmesi ile bunların korunmasının sağlıklı bir dengeye oturtulması çok önemlidir.

6698 sayılı kanun, kişisel verilerin korunması, veri sahiplerinin bu veriler üzerindeki hak ve yetkileri ile bu verilerin işlenebilmesi hususlarını detaylı şekilde düzenlemektedir. Kanunun amaç hükmünden de anlaşılacağı üzere daha çok kişisel verilerin ve bu bağlamda özel hayatın gizliliğinin korunması açısından düzenlemeler getirilmiştir. Ancak şu hususa dikkat edilmelidir ki içeriğinden gerçek kişilerin bilgileri açığa çıkmadığı müddetçe tüzel kişilere ait veriler kanunun koruması kapsamında değildir. Yine kanun, koruma altına alınan kişisel verilerin ne suretle işlendiği hususunda bir ayrıma gitmemiştir. Buradaki kıstas belirli bir verinin bir sistematik içerisinde kayda alınıp alınmadığı; bir kayıt sistemine sokulup sokulmadığıdır. Bununla birlikte Kişisel Verileri Koruma Kurulu'nun 02.04.2018 tarih 2018/32 sayılı kararı ile aşağıda incelenecek olmakla birlikte salt otomatik olmayan yollarla veri kaydedenler, noterler, avukatlar, bağışçıları ve ilgilileri ile sınırlı olmak kaydıyla dernek ve vakıflar, siyasi partiler, sendikalar ve SMMM'ler veri sorumlusu siciline kayıt yükümlülüğünün istisnalarındandır.

Kanunun 28. maddesi bu kanun kapsamında kalmayan verileri sıralamış; bunları tam yahut kısmi olarak kapsam dışı bırakmıştır. Adından da anlaşılacağı üzere tam kapsam dışı olan veriler bu kanun hükümleri ile koruma altında değil iken; kısmi olarak kapsam dışı olan hükümler için sadece belli yükümlülükler doğmamaktadır. Bu kanun maddesine göre;
 

  • Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi,
  • Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi,
  • Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi,
  • Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi,
  • Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi,
  • Kanun kapsamında istisna olarak değerlendirilmiş; yukarıda sayılanların 6698 sayılı kanun kapsamında korunmayacağı ifade edilmiştir.

Aynı maddenin ikinci fıkrası ise yukarıda kısmi istisnalar olarak tanımladığımız veri türlerini açıklamıştır. Bunlara kısmi istisna olarak değerlendirmemizin nedeni bu hükümde ifade edilen işleme faaliyetlerine ilişkin olarak Kanunun aydınlatma yükümlülüğüne ilişkin 10.; zararın giderilmesi hariç ilgili kişinin haklarını düzenleyen 11. ve veri sorumluları siciline kayıt yükümlülüğünü düzenleyen 16. maddesi uygulanmamaktadır. Bunlar;

Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.

İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.

Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.

Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.

Yukarıda ifade ettiğimiz istisnai durumlar hariç her tür kişisel verinin işlenmesi 6698 sayılı Kanun hükümlerine tâbidir. Aşağıda kişisel verilerin işlenmesi ve Kanunda bu hususta öngörülen usul ve esasları inceleyeceğiz.

2. Kişisel verilerin işlenmesi

6698 sayılı kanundaki tanımı ile kişisel verilerin işlenmesi;

"Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,"

Burada kişisel verilerin tâbi tutulacağı işlemlerin örnek kabilinden sayıldığı, numerus clausus bir tanımlamanın mevcut olmadığı görülmektedir. Bir kişisel veri üzerinden gerçekleştirilen her tür işlem kişisel verilerin işlenmesi olarak kabul edilir. Bu işlemler için kanunun öngördüğü usul ve esaslara uymak zorunluluğu bulunmakta olup Kanun, aynı zamanda bu işlemlerin gerçekleştirilmesinde temel bir çerçeve belirlemiştir. Bunlar kişisel verilerin işlenmesinin;

  • Hukuka ve dürüstlük kurallarına uygun olması,
  • Doğru ve gerektiğinde güncel olması,
  • Belirli, açık ve meşru amaçlar için işlenmesi,
  • İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması,
  • İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi,

Şeklinde sayılmıştır. Görüldüğü üzere burada da Kanun, kişisel verilerin kullanılması ile kişinin özel hayatının gizliliğinin korunması arasında kurduğu dengede özel hayatın gizliliğini daha ön plana çıkarmaktadır. Nitekim Kişisel Verileri Koruma Kurulu önceki tarihli bir kararında mahkemenin talep ettiğinden daha fazla bilginin mahkemeye gönderilmesini işleme ve aktarımın sınırlı ve ölçülü olması ilkesine aykırı bularak idari para cezası yaptırımı uygulamıştır. Yine bir başka kararında Kurul, ilgili kişiden kişisel veri işlenme amacıyla bağdaşmayan bir bilgi istenmesini amaçla bağlılık ilkesine aykırı bulmuştur.

Ancak bunlardan da önemlisi şudur ki, 6698 sayılı Kanun'un 5. maddesinin 2. fıkrasında tahdidi suretle sayılan hâller hariç olmak üzere verilerin işlenmesi ilgili kişinin açık rızasına dayanacaktır. Bu haller şu şekilde sayılmıştır;

  • Kanunlarda açıkça öngörülmesi,
  • Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,

Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, 

  • Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
  • İlgili kişinin kendisi tarafından alenileştirilmiş olması,
  • Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
  • İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması,

Yukarıda sayılan hâllerden herhangi birinin gerçekleşmesi durumunda kişinin açık rızası aranmayacaktır. Ancak hemen bu noktada açık rıza ile ilgili olarak belirtmek gerekir ki, söz konusu açık rızanın genel, ucu açık veya belirsiz olarak nitelendirilebilecek şekilde alınmaması gerekir. Bir başka deyişle genel geçer sözlerle alınacak açık rıza yok sayılacaktır. Aynı şekilde yapılacak bir işin yahut verilecek hizmetin açık rıza şartına dayandırılması açık rızayı sakatlayan bir hâl teşkil etmektedir. Kişisel Verilerin Korunması Kurulu'nun güncel kararları da istikrarlı olarak bu yöndedir.

Burada bir başka önemli husus da Kişisel Verileri Koruma Kanunu'nun veri sorumluları hakkında özel kanun bulunması hâlinde daha genel nitelikte kaldığı ve özel mevzuatın uygulanması gerektiğidir.

Kanunun devamında bazı kişisel verilerin daha geniş bir koruma altına alındığı görülmektedir. Kanunda bunlar özel nitelikli kişisel veri olarak tabir edilmektedir. Bunlar 6698 sayılı kanunun 6. maddesinde şu şekilde sayılmıştır;

"Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir."

Gerçekten de burada sınırlı şekilde sayılan veriler, kişilerin özel hayatının merkezinde yer alan verilerdir. Kanaatimizce kanunda bunların özel olarak sayılması ve bunlara has ek koruma getirilmesi isabetli bir tavırdır. Bunlar, ortaya çıkması hâlinde kişiler arasında ayrımcılığın yahut fişleme olarak tabir edilen olgunun ortaya çıkmasına, kişilerin özel hayatlarını huzurlu şekilde sürdüremeyeceği bilgiler içermektedir. Genel kuralda olduğu gibi bu verilerin işlenmesi için de temel şart ilgili kişinin açık rızasının varlığıdır. Bununla birlikte özel nitelikli kişisel verilere ilişkin olarak açık rıza unsurunun tek istisnası bu verilerin işleneceğinin kanunla öngörülmüş olmasıdır. Bunun haricinde özel nitelikli verilerin işlenmesinde kişinin açık rızasının bulunması zorunludur. Yeri gelmişken belirtmek gerekir ki, veri sahibi her daim rızasını geri almakta özgürdür.

Bu özel nitelikli veriler içerisinde sayılan sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.

3. Kişisel verilerin silinmesi veya imha edilmesi

Kişisel veriler, 6698 sayılı kanunun 7. maddesi hukuka uygun şekilde işlenmiş ancak daha sonra işlenmesine dair gerekçe ortadan kalkmış, bu işlemin hukuka uygun olmadığı ortaya çıkmış, verilerin saklanmasına dayanak olan işlemin hukuka aykırı olduğu anlaşılmış, verilerin saklanabileceği azami süre dolmuş yahut veri sahibi rızasını geri almış ise kişisel verilerin derhal silinmesini, yok edilmesini veya anonim hâle getirilmesini öngörmüştür. Aynı zamanda şayet bu veriler başka birtakım dijital ortamlara (CD, USB veya değişik sunucular gibi) aktarılmış ise burada da veri sorumlusunun aynı şekilde işlem tesis etmesi gerekecektir.

Bu verilerin ilgili veri sorumlusu tarafından re'sen imhası yahut anonimleştirilmesi gerekse de veri sahibi de bu hususta talepte bulunma hakkına sahiptir. Talep hâlinde veri sorumlusunun 30 gün içerisinde bu talebe ilişkin karar vererek gerekli işlemi ifa etmesi gerekir. Kişisel verinin artık 6698 sayılı kanun kapsamında işlenmesi hukuka aykırı hâle gelmiş olması durumunda re'sen imha işlemi uygulanır. Bu şekilde hukuka uygunluğunu kaybetmiş verilerin imhası ya da anonimleştirilmesinin aşağıda açıkladığımız politikada belirlenecek rutin periyotlar hâlinde yapılması gerekir. Bu periyodik işlemlerin arasında 6 aydan fazla olamaz.

Buradaki önemli hususlardan birisi şudur ki, şayet özel kanunlarda bir kişisel verinin silinmesine ilişkin olarak başkaca bir usul eve esas öngörülmüş ise özel nitelikli kanunun uygulanması gerekecektir. Nitekim Kişisel Verileri Koruma Kurulu bir kararında aktif olmayan müşterinin bir firmadan verilerinin silinmesi talebinin reddine ilişkin itirazı ilgili veri sorumlusu açısından özel mevzuatta bilgilerin 10 yıl saklanması zorunluluğu bulunduğundan reddetmiştir.

Bu konuya ilişkin olarak 28.11.2017 tarihli Resmi Gazete'de yayınlanarak yürürlüğe giren Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hâle Getirilmesi Hakkında Yönetmelik'te detaylı düzenlemeler bulunmaktadır. Buna göre; veri sorumlusu siciline kayıt zorunluluğu bulunan her veri sorumlusu kişisel verilerin saklanması ve imha edilmesi hususunda bir politika belirlemek zorundadır. Ancak bu politika 6698 sayılı kanun ve ilgili mevzuata aykırı olamaz ve bu mevzuatın politika ile çelişmesi hâlinde mevzuat hükümleri nazara alınmalıdır. Bu politika, kanun ve ilgili mevzuata uygun şekilde hazırlanır ve kişisel verilerin tam bir güvenlik içerisinde hukuka uygun biçimde muhafaza ve imhasına ilişkin usulü tesis eder.

Bu politika ve mevzuata yapılacak imha işlemi neticesinde kişisel verilerin hiç kimse tarafından erişilemez, bulunamaz ve geri getirilemez hâle getirilmesi gerekmektedir. Anonimleştirme ise kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.

4. Kişisel Verilerin Yurtiçi ve Yurtdışında Aktarılması

6698 sayılı kanunun 8 ve 9 numaralı maddeleri özel nitelikli kişisel veriler de dahil olmak üzere kişisel verilerin yurtiçi ve yurtdışına aktarılmasına ilişkindir. Yapılacak aktarım işleminin kanunda öngörülen şart ve usullere uygun olması gerekmektedir.

Diğer kanunlarda yer alan hükümler saklı kalmak kaydıyla kişisel verilerin yurtiçi veya yurtdışına aktarılmasında kişinin açık rızası aranmaktadır. Bununla birlikte kanunun 8. maddesinde öngörülen istisna uyarınca şayet yukarıda kişisel ve özel nitelikli kişisel verilerin (sağlık ve cinsel hayata ilişkin verilerin) işlenmesinde ilgilinin açık rızasının aranmadığı hâllerin varlığı durumunda verilerin aktarımı için ilgili kişinin açık rızası aranmayacaktır. Şayet kişisel veri yurt dışına aktarılacak ise bu başlık altında aktardığımız tüm koşul ve istisnalar geçerli olmakla birlikte yurt dışında yeterli veri korumasının sağlanması ve yurtdışındaki veri sorumlusunun bu hususta yazılı taahhüt vermesi gerekmektedir. Ek olarak yurtdışına veri aktarımı Kişisel Verileri Koruma Kurulu'nun iznine tâbidir. Kanun burada isabetli bir hareket ile yeterli koruma kıstasını sübjektif değerlendirmeye açık bırakmamış ve bu nitelikteki ülkelerin Kişisel Verileri Koruma Kurulu'nca ilan edileceğini ifade etmiş ve Kurul'un yeterli koruma bulunup bulunmadığına ilişkin yapacağı değerlendirmenin ölçütlerini de saymıştır.

Yukarıda 6698 sayılı Kanunun kapsamına sadece gerçek kişilere ait verilerin girdiğini belirtmiştik. Veri aktarımı ise hem gerçek hem de tüzel kişiye yapılabilmektedir. Verilerin yeni alıcısı da veri sorumlusu olur ve aynı şekilde 6698 sayılı Kanunun veri sorumlusu için öngördüğü yükümlülüklerin gereğini yerine getirmek zorunda olacaktır.

5. Kanunun veri sorumlularına getirdiği yükümlülükler;

Bu aşamada öncelikle veri sorumlusunun yükümlülüklerine değineceğiz. Veri sorumlusu, kanundaki tanımı ile kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. Bir başka deyişle kanun kapsamında koruma altına alınan veriyi kaydeden ve nasıl işleneceğini tespit eden ve güvenliğinden sorumlu olan taraf veri sorumlusu olarak adlandırılmaktadır.

Veri sorumlusu, verileri kendisi işleyebileceği gibi; bunu 3. kişiler eliyle de yapabilir. Şayet verilerin işlenilmesi işi veri sorumlusu tarafından başkasına yaptırılırsa bu kişi kanunda veri işleyen olarak adlandırılır.

Veri sorumlusunun yükümlülüklerini sıralamak gerekirse;

  • Aydınlatma yükümlülüğü,
  • Veri güvenliğine ilişkin yükümlülükler,
  • İlgili kişilerce yapılan başvuruların cevaplanması,
  • Kurul kararlarına uyulması,
  • Veri sorumluları siciline kaydolma yükümlülüğü, (istisnaları için bkz. 6698 sayılı Kanun m.28)

Bu yükümlülüklerden en çok üzerinde durulması gerekenler veri güvenliğine ilişkin olanlardır. Bu nedenle bunları ayrı bir başlık altında inceleyeceğiz;

5.1- Veri sorumlusunun yükümlülüklerinden veri güvenliğini sağlama yükümlülüğü

Kanunun amaçladığı şekilde kişisel verilerin güvenliğini korumak için en önemli görev pratikte veri sorumlusuna düşmektedir. Kanun da pratikteki yapıya uyarak bu görevi veri sorumlusuna yüklemiştir.

Veri sorumlusunun, veri güvenliğinin sağlanmasına ilişkin yükümlülükleri 12. maddede düzenlenmektedir. Veri güvenliğine ilişkin yükümlülüklerin yerine getirilmemesi halinde, Kanun 15.000 Türk Lirasından 1.000.000 Türk Lirasına kadar idari para cezası öngörmektedir. Bu cezanın alt ve üst hadler içindeki miktarı, veri sorumlusunun kişiliğine, yükümlülüklerine ve ortaya çıkan zarara göre belirlenecektir.

Veri sorumlusu temelde kayıt altında bulundurduğu her türlü veriyi hukuka uygun biçimde korumak ve bunlara dışarıdan gelecek her türlü hukuksuz müdahaleyi önlemekle yükümlüdür. Bunun yanı sıra veri sorumlusu, kişisel verilerin işlenmesi hususunda bir üçüncü kişi ile çalışıyorsa bu kişinin de ilgili verilerin güvenliğini sağlamasından veri sahiplerine karşı müştereken sorumludur. Veri işleyen de aynı şekilde bu konuda meydana gelecek bir ihlalden sorumlu olacaktır. Bu sorumluluk ilgili bilgilerin erişimden korunmasının yanı sıra açıklanması yahut ifşasını da kapsamaktadır. Aynı şekilde veri sorumlusu, Kişisel Verileri Koruma Kurulu'na karşı da sorumlu olacaktır ve yaşanan ihlalleri derhal kurula bildirmekle yükümlüdür. Ek olarak veri sorumluları bu güvenliği sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak ile yükümlüdür.  

Bu sorumluluk kapsamında işverenler, çalışanlarına ait iletişim veya adresten bilgilerinden sosyal güvenlik bilgilerine kadar her türlü verinin korunmasından sorumlu olacaktır. Bu verilere dışarıdan erişilmesi yahut bunların haksız şekilde ifşa edilmesi durumunda işveren fiilin türüne göre idari ve cezai yaptırımlarla karşılaşabilir.

Bununla beraber işverenler, İş Kanunu'nun 75. maddesi gereğince işçileri ile ilgili özlük dosyası oluşturmak zorundadır. Bu yönden birtakım bilgilerin alınması İş Sözleşmesi'nin doğası kapsamında olacağı için işçinin açık rızası aranamayabilecektir. Ancak bunun her tür veri için olduğu elbette söylenemez. İşte KVKK, bu alınan verilerin korunması ve herhangi bir işleme tâbi tutulması hususunda düzenlemeler yapmaktadır. Ancak hemen belirtmek gerekir ki, iş hukuku veya iş güvenliği mevzuatı yahut sosyal güvenlik mevzuatından doğan yükümlülükler 6698 sayılı Kanuna aykırılık olarak değerlendirilemez.   

Bu konudaki örnek kararlardan bahsedecek olursak Kişisel Verileri Koruma Kurulu bir veri sorumlusunun isim benzerliği nedeniyle yanlış ilgili kişi bilgisi paylaşılması durumunu ya da veri sorumlusu çalışanının yetkisi olmaksızın birtakım kişisel verilere erişmesini idari yaptırım nedeni saymıştır.

5.2- Veri sorumluları siciline kayıt

Kanunda Kişisel Verileri Koruma Kurulu'na tanınan yetki çerçevesinde belirlenen istisnalar hariç olmak üzere tüm veri sorumlularının bu sicile kayıt olmak için başvurması zorunludur. Bu başvuru yapılırken veri sorumlusu ve varsa temsilcisi açık kimliklerini bildirir. Verilerin ne amaçla kaydedileceği, işleneceği aktarılacaksa nereye aktarılacağı ve işleme süresi gibi hususlar kurula bildirilmek zorunluluğu bulunmaktadır.

Bu husustaki detaylı bilgi 30.12.2017 tarih ve 30286 sayılı Resmi Gazete'de yayınlanan Veri Sorumluları Sicili hakkındaki yönetmelikte yer almıştır.

Veri sorumlusu, kural olarak kişisel veri işlemeye başlamadan önce sicile kaydolmak zorundadır. Ancak sonradan veri sorumlusu siciline kayıt zorunluluğunun doğması hâlinde 30 gün içerisinde başvuruda bulunulması gerekir.

6. Kanunun ilgili kişilere tanıdığı haklar

Dikkat edilirse kanun veri sorumluluklarının yükümlülüklerinden bahsederken ilgili kişilerin haklarından bahsetmiştir. Bu durum dahi yukarıda bahsettiğimiz denge düzleminde kanunun kişisel veriler ve özel hayatın gizliliğinin korunmasına verdiği ağırlığı göstermektedir.

Burada 6698 sayılı Kanun m.11 ile bu kişilere tanınan hakları tek tek sıralama gereğini görmemekteyiz. Bununla birlikte şu söylenebilir ki, ilgili kişilere kişisel verileri ile ilgili olarak ciddi bir denetim ve bilgi alma yetkisi verilmiştir. Kanun, yukarıda bahsettiğimiz şekilde açık rızasını geri alma hakkının yanı sıra bu yetkileri de tanıyarak kanunda öngörülen istisnalar harici veri sahibini büyük ölçüde ilgili veri hakkında birincil söz sahibi yapmakta ve denetim yetkisi tanımaktadır. Kanun, burada önemli ölçüde bir şeffaflığı getirmiştir.

6698 sayılı Kanunun ihlali durumunda ilgili kişi, veri sorumlusuna ve Kurula başvurma hakkına sahiptir. Başvurucu, bu başvurusunda hangi verilerinin saklandığını, bunların işlenip işlenmediğini yahut diğer açılardan akıbetlerini öğrenebilir; mevcut hukuka aykırılıkların giderilerek bunun bildirilmesini yazılı şekilde talep edebilir. Veri sorumlusu bu başvuruya 30 gün içerisinde yazılı şekilde cevap vermelidir. Başvurucunun talebinin reddedilmesi hâlinde bunun gerekçeli olması gerekir.

Başvurucu, cevap alamaz veya aldığı cevabın hukuka aykırı olduğu yahut gereğinin yerine getirilmediği kanaatinde ise Kurul'a başvurabilir. Bu yöntemde öncelikle veri sorumlusuna başvuru zorunludur. Bununla birlikte kişilerin adli ve idari yargı mercilerine başvurma hakkı her aşamada mahfuzdur. Bu mercilere başvuru için şikayet prosedürünün izlenmesi şartı aranmaz.

Veri sorumlusuna yapılacak başvurularda Kurul tarafından belirlenecek tarife üzerinden başvurucudan ücret alınır ancak başvurucunun haklı bulunması hâlinde söz konusu ücret kendisine iade edilir.

Yukarıda ifade ettiğimiz üzere ilgili veri sorumlusuna başvurusunun ardından Kişisel Verilerin Korunması Kurulu'na başvurabilir ancak şu husus önemlidir ki, başvurunun konusu salt ceza hukukuna ilişkin olamaz. Yani mahkemelerin yargı yetkisine giren bir konuda Kurulun inceleme yapma yahut karar verme yetkisi bulunmamaktadır. Aksinin kabulü Kurul'u bir yargı mercii gibi değerlendirmek olacaktır ki, bu durum Anayasa'ya aykırılık teşkil eder.

Kurula başvuracak ilgili kişi, başvurusunu veri sorumlusunun itiraza konu kararını öğrendiği tarihten itibaren 30 gün içerisinde yapmalıdır. Şayet veri sorumlusunca 30 günlük sürede herhangi bir karar verilmez başvurunun reddedildiği kabul edilerek 30. günün sonundan itibaren 30 gün içerisinde başvuru yapılmalıdır. Bu süreler hak düşürücü niteliktedir. 

Kurul, inceleme yaparken devlet sırrı niteliğinde olanlar hariç her türlü bilgi ve belgeyi talep edebilir, yerinde incelemelerde bulunabilir. Ayrıca Kurul, doğması muhtemel bir zararı tespit etmesi hâlinde tıpkı adli ve idari mahkemeler gibi bir tedbir kararı verebilir; şikâyete konu işleme, aktarma yahut diğer işlemlerin karara dek durdurulmasını emredebilir. Kurul re'sen de inceleme başlatma yetkisine sahip olup talep üzerine başlatılmış incelemeleri 60 gün içerisinde sonuçlandırmak zorunda iken re'sen başlatılan incelemeler için böyle bir sınır yoktur. Bu süre içerisinde incelemenin sonuçlandırılmaması hâlinde başvurunun reddedildiği kabul edilecektir. Kurulun başvuruyu kabul etmesi hâlinde karar, ilgililere tebliğ edilir ve 30 gün içerisinde gereğinin ifası yapılmalıdır.

7. 6698 sayılı Kanunda öngörülen yükümlülüklere aykırılık hâlinde müeyyideler

Kanunun 17. maddesi konusu suç teşkil eden fiillere ilişkin olarak 5237 sayılı TCK'nın 135-140. maddelerine atıf yapmaktadır. Aşağıda konusu suç teşkil eden fiillere ilişkin olarak bu madde metnini alıntılamakla yetinecek ve daha çok idari yaptırımların üzerinde duracağız.

Suçlar

MADDE 17- 

(1) Kişisel verilere ilişkin suçlar bakımından 26/9/2004 tarihli ve 5237 sayılı Türk Ceza Kanununun 135 ila 140 ıncı madde hükümleri uygulanır.

(2) Bu Kanunun 7 nci maddesi hükmüne aykırı olarak; kişisel verileri silmeyen veya anonim hâle getirmeyenler 5237 sayılı Kanunun 138 inci maddesine göre cezalandırılır.  

Bu hükümlerde konusu suç teşkil eden fiiller için TCK'ya atıf yapmakla yetinilmiştir. Ancak kanunda konusu suç teşkil etmeyip Kişisel Verilerin Korunması mevzuatı kapsamında hukuka aykırılık teşkil eden birtakım fiil ya da ihmaller kabahat olarak nitelendirilmiş ve idari para cezası yaptırımına bağlanmıştır. Bunlar;

  • Aydınlatma yükümlülüğünün yerine getirilmemesi,
  • Veri güvenliğine ilişkin yükümlülüklerin ihmali,
  • Kişisel Verilerin Korunması Kurulu kararlarının gereğinin yerine getirilmemesi,
  • Veri Sorumlusu Siciline kayıt ve bildirim yükümlülüklerinin ihmal edilmesi,

Şeklinde sıralanabilir. Bu para cezalarını uygulama yetkisi münhasıran Kişisel Verileri Koruma
Kurulu'na ait olup ilgili Kurumun kararların karşı idare mahkemesine gidilebilecektir.

KVKK m.18'de sayılan bu yaptırımlar aynı maddenin takip eden fıkrası gereğince veri sorumluları hakkında tesis edilecektir. Ancak veri sorumlusunun kamu kurum ve kuruluşu olması hâlinde bir yaptırım tesis edilmeksizin durum ilgili makama bildirilir ve yaptırım konusu işlemi tesis eden personel hakkında disiplin soruşturması açılarak sonucu Kurul'a bildirilir.

8. Uluslararası alanda kişisel verilerin korunması hususunun gelişimi         

Çalışmamızın son bölümünde yabancı ülkeler ve uluslararası alanda kişisel verilerin korunması ile ilgili düzenlemelere yer vereceğiz. Bilgisayarların dünyada kullanımının yaygınlaşması ve bilginin değerinin çok daha arttığı ikinci dünya savaşı sonrası dönemde verilerin korunması hususu tartışılmıştır. Günümüzde Avrupa Birliği'nin selefi olarak kabul edebileceğimiz İktisadi İşbirliği ve Kalkınma Teşkilatı üyeleri, 1980 yılında "Gizliliğin ve Sınır Aşan Kişisel Veri Trafiğinin Korunmasına Dair Kurallar" olarak adlandırılan bir dizi prensibi kabul etmişlerdir. Bir yıl sonra Avrupa Konseyi ülkeleri, "Kişisel Verilerin Otomatik İşleme Tâbi Tutulma Sürecinde Şahısların Korunması" hakkında 108 sayılı sözleşmeyi imzalamışlar; sözleşme 1985 yılında yürürlüğe girmiştir. Ülkemiz de bu sözleşmeyi imzalamış ancak uluslararası sözleşmelerin hukukumuzun bir parçası olması için Anayasa'da öngörülen süreci işletmek suretiyle gerekli kanunu ancak 30.01.2016 tarihinde çıkartmıştır.

Bu şekilde Avrupa hukukunda verilerin korunmasına yönelik uluslararası mevzuatın 1980'li yıllardan itibaren oluşturulduğunu görmekteyiz. Belki yukarıda bahse konu kanun o dönem çıkarılsa idi ülkemizde de dünya ile eş zamanlı şekilde bu adımların atıldığını görmek mümkün olacaktı. Ancak maalesef ülkemizin bu konuda geç kaldığını söyleyebiliriz. En basit bir düşünce ile 6698 sayılı Kanun'un çıktığı tarihte on milyonlarca insan GSM operatörlerinden, sosyal medya sayfalarına kadar hakkındaki birçok veriyi yıllar önce paylaşmış vaziyette idi.

Ülkemiz açısından yapılan özeleştirinin akabinde kaldığımız yerden devam edecek olursak 1995 yılında Avrupa Birliği ülkelerinin 95/46/EC sayılı Kişisel Verilerin İşlenmesinde Gerçek Kişilerin Korunması Yönergesi'ni kabul ettiklerini görürüz. Bu noktada üye devletlerin mevzuatları arasında bir uyum ve standart sağlanmaya çalışıldığı görülür. Bu yönergenin ardından AB'nin 1997 ve 2002 senelerinde telekomünikasyon yoluyla yapılan iletişim ve elektronik ortamda yapılan iletişimde kişisel verilerin korunmasına ilişkin ilk yönergenin tamamlayıcısı nitelikte iki yönergeyi daha yürürlüğe koyduğu görülür. Bu açıdan bakıldığında AB ülkeleri yeni milenyum ile birlikte kişisel verilerin korunması hususunun çerçevesini çizmişlerdir.

Almanya, dünyada ilk veri koruma kanununu yapan ülke olarak bu işin öncüsü durumdadır. 1970 yılında Hesse eyalaetinde yapılan yasayı, 1977 yılında federal düzeyde bir yasa takip etmiş; 2009 yılında bu kanunda son değişiklikler yapılmıştır. Fransa'da 2004-801 sayılı Kanun ile kişsel verilerin korunması konusunda düzenlemeler yapılmıştır. Bunun yanı sıra Fransız Ceza Kanunu, Fransız İş Kanunu ve Fransız Medeni Kanunu da kişisel verilerin korunmasına ilişkin çeşitli düzenlemeler içermektedir. İngiltere ise bu konuda 1984 yılında ilk düzenlemeleri yapmış; 1998 yılında ise İngiliz mevzuatı bugünkü şeklini almıştır.

 

SONUÇ

Avrupa hukuk sistemine göre ülkemize 30 yıl gecikme ile giren kişisel verilerin korunması hukuku tüm vatandaşlarımız için bir Anayasal haktır. Günümüz teknolojisinin ulaştığı nokta ve kişisel verilerimizi sadece günlük hayatımızı dahi sürdürmek için ne denli sıklık ve yoğunluk ile paylaşmakta olduğumuz düşünüldüğünde bu hukuk dalı gelecek yıllarda en az şu an olduğu kadar hayati bir önem arz edecektir.

İşte bu nedenle geç de olsa ülkemizde de bu alanda gerekli düzenlemelerin yapılmasını son derece önemli buluyoruz. İlerleyen yıllarda daha da iyi anlaşılacaktır ki, bu alandaki düzenlemelere riayet edilmesi, Kişisel Verileri Koruma Kurulu'nun kanunda belirtildiği şekilde bağımsız çalışması tüm vatandaşlarımızın veri güvenliğinin; bu bağlamda özel hayatlarının gizliliğinin korunması açısından çok önemlidir. Bu kapsamda başta Kurul olmak üzere, tüm veri sorumluları ve ilgili kişilere önemli görevler düşmekte; herkesin bu alanda bilinçli bir şekilde kişisel verilerin güvenliği ilkesine sahip çıkması gerekmektedir.  

Av. Oğuz MESCİOĞLU

 

KAYNAKÇA

  • Kişisel Verilerin Korunması Kanunu ve Uygulaması, Kişisel Verileri Koruma Kurulu
  • Kişisel Verilerin Korunması Kanunu Hakkında Bir Değerlendirme, İbrahim Korkmaz, TBB Dergisi,
  • Elektronik Ortamda Kişisel Verilerin Korunması, Bazı Ülke Uygulamalar ve Ülkemizdeki Durum, Habip Oğuz