Kişisel Verilerin Korunması Kanunu (KVKK)
Kişisel Verilerin Korunması Kanunu (KVKK), bireylerin mahremiyetinin korunması adına 2010 yılında açık bir anayasal güvence olarak yürürlüğe girmiştir. Bu kanun, herhangi bir bireye ait bilgilerin, verilerin çeşitli yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması ve erişilebilir hâle getirilmesi gibi işlem faaliyetlerini kapsamaktadır. Bu durum, bu faaliyetleri gerçekleştiren her kurum, kuruluş ve işletmeyi KVKK’ya tabi kılmaktadır. Ancak, vatandaşların kişisel verilerin korunması konusundaki bilinç düzeyi henüz yeterli seviyede olmadığı için, kanun kapsamındaki denetimlerin gündeme gelmesi pek sık yaşanmamaktadır.
KVKK hakkında uzman hukukçular, bilişim çağının gereksinimlerine uygun olarak bir düzenleme yapıldığını vurgulayarak, toplumların küresel bir yaşam içerisinde olduğunu ve bireylerin mahremiyetinin son derece önemli bir konu olduğunu belirtmektedirler. Hukukçular, birçok kurum ve işletmenin veri ve özel nitelikli veri işlediğinin farkında olmadığını, bu nedenle KVKK’ya tabi olduklarından bile haberdar olmadıklarını ifade etmektedir.
İşletmelerin Sorumlulukları
Kanunun kapsamını belirleyen temel konulardan biri, kişisel verinin ne olduğu ve nasıl korunması gerektiği üzerinedir. Av. Elif Pak bu konuda: “Günümüzde işletmeler, kişisel veri işlemediklerini düşünseler de, bir gerçek kişiye ait herhangi bir veriyi belirli bir kayıt altında tutan tüm işletmeler kişisel veri işliyor kabul edilmektedir. Veri işlemek; kaydetmek, saklamak, paylaşmak, kullanmak ve imha etmek gibi birçok durumu içermektedir. İşletmeler, işledikleri tüm verileri korumakla yükümlüdür. Kişisel Verilerin Korunması Kanunu ile amaçlanan, veri işlemenin kişinin bilgisi ve gerekli durumlarda onayı ile yapılması, kişinin verisinin ne şekilde saklanacağı, ne zaman silineceği ve en önemlisi bu verilerin yalnızca işleyen kişilerde kalmasının sağlanmasıdır; yani verilerin gizliliğinin korunmasıdır.”
Aydınlatma Yükümlülüğü
İşletmelerin çalışanları veya çalıştıkları gerçek kişilerin verilerini, kanunda sayılan istisnalarla açıkça rıza almadan işleyebileceğini belirten Av. Mehtap Güler: “Burada dikkat edilmesi gereken çok önemli bir nokta var; herhangi bir kişisel verinin kanun gereği işlenmesinde izne gerek olmaması, o veriyi işlemek için aydınlatma yükümlülüğünü ortadan kaldırmıyor. Yani, kanunun izin verdiği veriyi işleyebiliriz. Ancak yine de veri sahibi örneğin işçiye, ‘Kanun bana bu veriyi işlemek için yetki verdi ve ben bu yetkiyle bu veriyi yalnızca bu iş için işliyorum’ şeklinde bilgilendirmelidir. Örnek olarak, bir işveren kanun gereği işçinin TC kimlik numarasını, banka bilgilerini ve SGK rapor bilgilerini saklamak zorundadır. Bu durumda işçiyi, hangi bilgiyi, hangi amaçla ve ne kadar süre saklayacağı konusunda aydınlatmakla yükümlüdür. Ayrıca, kanun gereği tutulması zorunlu olmayan veriler ise yalnızca açık rıza ile kayıt altına alınıp saklanabilir ve verilen açık rıza her zaman geri alınabilir.
İşletmelerin veri işleyen çalışanlarına, özel nitelikli olmayan kişisel verilerin ve özel nitelikli kişisel verilerin ne olduğu, önemi ve gizliliğin önemi konusunda eğitimler vermesi gerekmektedir. İşveren tarafından verilen yetkinin çalışanlar tarafından kötüye kullanılması durumunda da işletmenin sorumlu olduğu Kurul tarafından kabul edilmiştir. Bu noktada verilen eğitimler ve sözleşme hükümleri taraflar için koruyucu olacaktır. Çünkü imzalanacak sözleşmeler, yalnızca çalışanı değil, kurumu da korumayı amaçlar.”
Önemli Noktalar
Kişisel verilerin korunmasının, temel hak ve hürriyetlerden biri olan özel hayatın gizliliği kapsamında değerlendirilmesi gerektiğini belirten Av. Hanife Betül Çakır Ayan:
“Banko, gişe, masa gibi birden fazla kişinin yakın temasla kişisel veri paylaştığı yerlerde işletmelerin özel olarak dikkat ve koruma yükümlülüğü vardır. Örneğin, bir siteye girdiğinizde sizden alınan kimlik bilgisi, sizin kişisel verinizdir ve bu veriyi işleyen site yönetimi burada verilerinizi korumakla yükümlüdür. Kısacası, devlet nezdinde açık bir yurttaş haline gelmememiz gerekmektedir. Ayrıca, kişisel veriler bir sohbet konusu değildir.
Özel Nitelikli Veriler
Veriler, ‘özel nitelikli kişisel veri’ ve özel nitelikli olmayan kişisel veri olarak ikiye ayrılabilir. Kanunun tanımına göre: ‘Kanunda özel nitelikli kişisel veriler, tek tek sayılarak sınırlı şekilde belirlenmiştir. Bunlar; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir. Özel nitelikli kişisel veriler sayılanlarla sınırlı olup, genişletilmesi mümkün değildir.’
Bu kapsamda, özellikle doktorlar, psikiyatristler, diş hekimleri, tıp merkezleri, hastaneler, tüp bebek merkezleri, aile sağlığı merkezleri, eczaneler, radyolojik görüntüleme merkezleri, sağlık verisi işleyen psikologlar, diyetisyenler ve spor merkezleri, kanun kapsamında özel nitelikli veri işlemektedirler. İşlenen tüm verilerin, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması gerekmektedir. Kurul tarafından verilen bir kararda, spor salonuna yalnızca parmak izi okutularak girilebilmesi ölçülü bulunmamıştır. Çünkü parmak izi, biyometrik bir veridir ve özel nitelikli kişisel veridir. Spor salonuna girmek için bu verinin alınmasından başka seçenek sunulmaması uygun bulunmamıştır.
İdari ve Teknik Tedbirler
Kanun ve kurul kararları gereği, işletmeler ve kurumlar tarafından alınması gereken idari ve teknik tedbirler olduğunun altını çizen Av. Fatma Yağmur Şeker Öneş: “Alınması gerekli tedbirler, işletmelerin yapılarına ve ihtiyaçlarına göre uzman hukuk ekibimiz tarafından belirlenerek, öncelikle idari tedbirler oluşturulmaktadır. Daha sonra özel olarak belirlenen teknik tedbirlerin uygulanması için yönlendirmeler yapılmakta ve işletmelerin tüm tedbirleri alması sağlanmaktadır. İdari ve teknik tedbirler, işletmelerin uyum süreci sonrasındaki yol haritalarını belirler. Tedbirlerin hukuka uygun olabilmesi için Kişisel Verileri Koruma Kurulu kararlarının ve mevzuatın güncelliğine uygun olması ve gerekli teknik donanıma sahip olunması gerekmektedir.”
Kişisel Verilerin Korunması Kurulu, 2018 yılında verdiği bir kararda, reklam ve promosyon içerikli mesaj ve elektronik posta gönderilmesinde kişilerden açık rıza alınması gerektiğini, aksi takdirde tüm mesaj ve elektronik postaların durdurulması gerektiğini karar bağlamıştır. Ayrıca, Kurul resen başlattığı denetim sonucunda, aydınlatma yükümlülüğü ve açık rıza beyanlarının ayrı ayrı yapılması gerektiğini vurgulamış; gerekli şartlar sağlanmadan yurtdışına veri aktarılması suretiyle hukuka aykırı bir kişisel veri işleme faaliyeti gerekçesiyle otomotiv şirketine 900 bin TL idari para cezası vermiştir.
Kişisel verilerin korunması dışında, yargı kararlarında da yer alan unutulma hakkı ile ilgili de Kurulun yakın tarihli bir kararı bulunmaktadır: Kişiler, ad ve soyadının yazılmasıyla arama motorlarında çıkan sonuçların değerlendirilerek indeksten kaldırılması için başvuruda bulunabileceği belirtilmiştir.
VERBİS Nedir? Kimler Kayıt Olmalı?
Kişisel veri işleyen gerçek ve tüzel kişilerin Veri Sorumluları Siciline (VERBİS) kayıt olma zorunluluğu olduğuna dikkat çeken Av. Şule Nur Erşen: “Çalışan sayısı 50’den fazla olan veya yıllık bilançosu 25 milyondan fazla olan veya ana faaliyet konusu özel nitelikli kişisel veriler olan tüm ilgililerin veri sorumluları siciline kayıt yükümlülüğü vardır. İlgili süreler kapsamında sicile kayıt ve bildirim yükümlülüklerine aykırı hareket edenler hakkında kurul tarafından 36 bin 52 TL ile 1 milyon 802 bin 640 TL arasında idari para cezası uygulanır. Ancak unutulmamalıdır ki; VERBİS’e kayıt yaptırılması ya da kayıt yükümlülüğünden istisna olunması, kanunda yer alan diğer yükümlülüklerin yerine getirilmeyeceği anlamına gelmemektedir. Yapılan düzenlemelerde Veri Sorumluları Sicili’ne kayıtla yükümlü olanlar açıkça belirtilmiştir. Örneğin, biz avukatlar VERBİS’e kayıttan istisna tutulmuş olmamıza rağmen, kanunda belirtilen tüm yükümlülüklerden sorumlu olduğumuzu unutmamalıyız. Aynı şekilde, işçileri olan işverenlerin ya da gerçek kişilerin kayıtlarını tutan herhangi bir işletme de kanun gereği sorumludur ve kaydettiği tüm verileri güvenle saklamakla yükümlüdür. Pandemi sebebiyle ilgili Kurul tarafından uzatılan süreler, VERBİS’e kayıt için belirlenen sürelerdir. Kanuna uyum ve kişisel verileri koruma yükümlülüklerimiz hepimiz adına başlamış ve devam etmektedir. Bu süreç, verilerin silinmesi ve imha edilmesi sürecine kadar devam etmektedir.”
Kişisel Verilerin İhlali Durumunda Ne Yapılmalı?
Son olarak hukukçular, veri ihlaline ilişkin yapılması gerekenleri şu şekilde açıklamaktadır: “Şikayet bildirimleri Kurul’a yapılabilir. Ancak yapılan şikayet neticesinde Kurul, yalnızca ihlale sebebiyet veren şirket ya da gerçek kişiye idari yaptırım kararı verebilir; başvuruyu yapan ilgili kişiye uğranılan zarar sebebiyle tazminat ödenmesi hususunda karar vermemektedir. Söz konusu zarara ilişkin talep edilecek tazminatlar, genel mahkemeler nezdinde değerlendirilebilir. Kişisel verilerin işlenmesi kapsamında kişilik haklarının ihlal edildiğini düşünen birey, öncelikle bu ihlale sebebiyet veren şirket ya da gerçek kişiye yazılı olarak başvurmalı; bu ihlalin ortadan kaldırılması ve ihlal neticesinde uğranılan zararın giderilmesi gibi taleplerini mutlaka bildirmelidir. Yapılan bu başvuruya yetersiz cevap verilmesi, taleplerin reddedilmesi veya 30 gün içerisinde hiç cevap verilmemesi halinde, ancak o zaman Kurul’a şikayete gidilebilir. Dolayısıyla, ilgili başvuru yapılmadan doğrudan Kurul’a şikayet yoluna gidilmesi mümkün değildir. Kurul’a yapılacak olan şikayet süresi ise, yapılan başvuru neticesinde verilen cevabın öğrenildiği tarihten itibaren 30 gün ve her hâlükârda başvuru tarihinden itibaren 60 gün olarak belirlenmiştir.
Burada önemle belirtmek gerekir ki, bu sürelerin kaçırılması, yapılan hak ihlaline ilişkin başka bir yol izlenemeyeceği anlamına gelmemektedir. Ayrıca, Kurul’a başvuru yapılmaksızın genel hükümler çerçevesinde mahkemeler nezdinde tazminat ve cezaya ilişkin taleplerin ileri sürülmesi mümkündür. 6698 sayılı kanun kapsamındaki yükümlülüklere aykırı hareket edilmesi durumunda Kurul tarafından oldukça yüksek para cezaları ile karşı karşıya kalınabilir. Bu nedenle, işletmenizin, ofisinizin veya muayenehanenizin kanuna uyumlu hale getirilmesi adına, KVKK konusunda uzman ve ihtisas sahibi hukukçular ile birlikte teknik bir ekipten destek almanız oldukça önemlidir. Zira söz konusu para cezaları oldukça yüksek olup, yapılacak herhangi bir ihlal, Türk Ceza Kanunu kapsamında da çeşitli yaptırımlarla karşı karşıya kalınmasına yol açabilir.
