Son birkaç yıl içinde sıklıkla gündemde olan ve hem veri işleyen veri sorumluları için önemli yükümlülükler getirip hem de verisi işlenen ilgili kişilere kullanabileceği bir takım haklar sunan Kişisel Verilerin Korunması Kanunu(ve hukuku) hepimizin malumu. Konuyla ilgili herkesin kolaylıkla anlayabileceği nitelikte bir yazı dizisi hazırlama kararı aldık. Yaşadığımız somut olayları ve güncel kararları da yeri geldiğinde paylaşarak kişisel veri hukukuna ilgisi olan herkese faydalı olmayı amaçladığımız bu yazı dizisi ile genel anlamı ile konuya dair fikir vermeyi hedefledik. Hazırlanan bu yazı dizisinin amacı Kişisel Verilerin Korunması Hukukunun ilgililerine genel hatlarıyla anlatılıp bilinçlendirilmesi olup hukuki tavsiye niteliği taşımaz, ihtiyaç duyulduğunda lütfen bir profesyonelden yardım talep ediniz.

Kişisel verilerin korunması fikri ne zaman ortaya çıkmıştır ve bu yöndeki uygulamalar nelerdir?
Günümüzde gelişen teknolojiyle birlikte bilişim teknolojilerinin çağ atlamış olması gözle görünüyor olmasa da hayatımızın her anına tesir ediyor. Telefon rehberimizi, fotoğraf galerimizi, yüzümüzü, sesimizi, akıllı saatimizdeki SpO2(kan oksijen doygunluğu) verimizi ve farkında olmadığımız daha birçok bilgimizi birisi veya birileriyle paylaşıyor, devasa bir veri akış ağının içindeki özneler haline geliyoruz..
Seksenli yılların başlarından itibaren çeşitli uluslararası örgütler söz konusu veri akışının büyüklüğünü ve bunun kontrol edilmezse insan hakları için ne büyük riskler taşıdığının farkına varıp belli düzenlemeleri yapmaya başladılar. Söz konusu düzenlemelerden en önemlilerinden birisi ‘’Avrupa Konseyi ve Avrupa Parlamentosu Kişisel Verilerin İşlenmesi ve Serbest Dolaşımı Bakımından Bireylerin Korunması Direktifi’’ idi keza birçok Avrupa ülkesi ve Türkiye kişisel verilerin korunmasına ilişkin düzenlemelerini bu direktifleri esas alarak oluşturmuştur. Söz konusu direktiflerden sonra 2016 yılında ‘’Avrupa Birliği Genel Veri Koruma Tüzüğü’’ ya da kısaca GDPR kabul edilmiş ve bu tüzükle direktifler ilga edilmiştir. Söz konusu tüzük AB üyesi ülkelerde kişisel verilerin muhafazası konusunda asgari koruma standardını belirlemekte ve AB üyeleri arasında düzenlemeleri yeknesaklaştırmaktadır. Türkiye’nin yapmış olduğu düzenlemeler genel itibariyle AB tüzüğüne paralel bir yapıda olsa da henüz tam olarak uyumlulaştırılmış değildir.
Bu noktada Avrupa düzenlemelerinden ayrılıp ulusal hukukta getirilen güvencelere bakacak olursak kişisel verilerin korunmasına dair düzenlemelerin ilk olarak 5237 S. Türk Ceza Kanununda yer aldığını akabinde 2010 yılında Anayasada yapılan değişiklikle Özel Hayatın Gizliliğini düzenleyen 20. Maddeye eklenen ifadelerle kişilere, kişisel verilerinin kullanımıyla ilgili bir takım haklar tanınmış yine aynı maddede kişisel verilerin ancak kanunda öngörülen hallerde veya ilgilisinin açık rızasının bulunması halinde işlenebileceğini, kişisel verilerin korunmasına ilişkin esas ve usullerin kanunla düzenleneceğini hükmetmiştir. Anayasanın emredici hükmünden sonra yasa yapma çalışmaları hız kazanmış 26 Aralık 2014’te Kişisel Verilerin Korunmasına İlişkin Kanun Tasarısı Meclise sunulmuştur. Tasarının yasalaşması 24 Mart 2016’yı bulmuş,6698 s. Kişisel Verilerin Korunması Kanunu 7 Nisan 2016’da 29677 s. Resmi Gazetede yayımlanarak yürürlüğe girmiştir.
Başka kanunlarda da[1] yer yer kişisel verilerin korunmasına yönelik düzenlemeler olsa da en kapsamlı düzenleme Kişisel Verilerin Korunması Kanunudur.
Kişisel veri nedir?
İlk olarak bunun cevabını vermek gerekir, kanundaki tanımıyla kişisel veri: Kimliği bilinen veya bilinebilir bir gerçek kişiye ait her türlü bilgiyi ifade eder, bilinen kişiye ait olan veya başkaca verilerle eşleştirildiğinde kişiyi bilinebilen kılan tüm bilgiler kişisel veridir. Bunlar arasına kişinin maddi dünyasına dair bilgiler girdiği gibi manevi dünyasına ilişkin bilgiler de girer yani sağlık durumunuz sizin maddi varlığınızın bir parçası olarak koruma altındayken dini inançlarınız siyasi görüşünüz de manevi varlığınızın bir parçası olarak kişisel veri niteliği taşır ve koruma altındadır.
Kişisel verinin işlenmesi ne demektir?
Kişisel verinin işlenmesi, kişisel verilerin kısmen veya tamamen otomatik yollarla veya bir veri kayıt sisteminin parçası olarak otomatik olmayan yollarla elde edilmesi, depolanması, kullanılması, saklanması, aktarılması, değiştirilmesi, bilinebilir hale getirilmesi, sınıflandırılması veya kullanılmasının engellenmesi gibi kişisel veriler üzerinde gerçekleştirilen her türlü eylemdir.
İlgili kişi kimdir?
Kişisel verisi işlenen gerçek kişi ilgili kişi olarak adlandırılmaktadır, ilgili kişi veri işleme faaliyetinin süjesidir. Kurallara uyulmazsa hakkının zarar görmesi ihtimali olan kişidir.
Veri sorumlusu kimdir?
Veri sorumlusu, kişisel verilerin işlenme amaç ve yöntemlerini belirleyip bu verilerin işlenmesi dolayısıyla gerekli tedbirleri alan veya aldıran, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu gerçek veya tüzel kişidir. Veri sorumlusunun veri işleme faaliyetini bir başkasına yaptırması onu sorumluluktan kurtarmaz bilakis veri sorumlusu verdiği yetkiyle veri işleyenle birlikte müteselsilen sorumlu olur.
K.V.K.K. amacı nedir?
Kanunun amacı kişisel verilerin gelişigüzel ve hiçbir sınırlamaya tabi tutulmaksızın işlenmesine, amacı dışında veya kötüye kullanılmasına, ifşasına, yetkisiz kişilerin eline geçmesine engel olunarak kişi hakkı ihlallerinin önüne geçmektir.
Kişisel veriler belirli bir sınıflandırmaya tabi tutulmuş mudur?
Kanunda kişisel verinin ne olduğu tanımlanırken herhangi bir sınıflandırmaya gidilmemiştir fakat kanunun 5. Maddesinde Kişisel Veri İşleme Şartları’nın ne olduğu ifade edildikten sonra devam eden 6. Maddede Özel Nitelikli Verilerin İşlenme Şartları düzenlenip madde metninde belirtilen türden verilerin özel nitelikli veriler olduğu hükme bağlanmıştır.
Kişisel verilerin işlenmesi için öngörülmüş genel ilkeler söz konusudur. İşlenen kişisel veri özel nitelikli olsun veya olmasın bu genel ilkelere uyulması gerekmektedir.
Genel nitelikli kişisel veriler nelerdir? Hangi koşullarda işlenebilir?
Genel nitelikli kişisel veriler kanun(lar)da özel nitelikli sayılmamış olan tüm verilerdir, bu tür verilerin işlenmesinde kural ilgilinin açık rızasının bulunmasıdır. Kişisel veriler ancak istisnai olarak belli koşulların varlığı halinde ilgilisinin rızası olmaksızın işlenebilir. Açık rıza kavramı önemlidir zira rızanın hür iradeyle verilmiş olması, kişinin rıza verdiği konu hakkında açıkça bilgilendirilmiş olması ve konunun sınırlandırılmış olması gerekir bu noktada belirtmek gerekir ki bir hizmetin alınması ya da kişinin bundan yararlanmasının ön şartı olarak öne sürülen ve hizmetin verilmesiyle ilişkisi olmayan kişisel verilerin de işlenmesine rıza gösterilmesi talep edilemez bu şekilde verilecek rıza kişinin özgür iradesinin tezahürü sayılamayacağı için bu şekilde alınan rızalar sakattır ve hukuka aykırıdır dolayısıyla idari yaptırım gerektirir.
Özel nitelikli kişisel veriler nelerdir? İşlenme koşulları nelerdir?
Özel nitelikli kişisel veriler kanunda sınırlı sayıda sayılmıştır.(numerus clausus) Genel nitelikli kişisel veriler gibi özel nitelikli kişisel veriler de ancak ilgilisinin açık rıza vermesi halinde işlenebilmektedir fakat önemli bir ayrım noktası olarak ö.n.k.v sağlık ve cinsel hayata dair veriler dışında ancak kanunda öngörülmüşse ilgilisinin rızası olmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin veriler ise ilgilisinin rızası olmaksızın ancak kamu sağlığının korunması, teşhis, tedavi, sağlık hizmetlerinin yürütülmesi amaçlarıyla ve yine ancak sır saklama yükümlülüğü altında bulunan kişi veya yetkili kurumlarca işlenebilirler. Sır saklama yükümlülüğü altında bulunan kişi veya yetkili kurumların kimler olduğu kanunda açıkça belirtilmediğinden kimlerin bu yükümlülük altında olduğu ilgili mevzuata bakılarak çözüme ulaştırılacaktır.
Parmak izi, retina ve yüz okuma sistemlerinin kullanılmasının hukukiliğine dair,
Üzerinde durulması gereken bir özel nitelikli veri olarak ‘Biyometrik veriler’ KVKK’da ayrıca tanımlanmış olmamakla birlikte GDPR’de ‘’bir gerçek kişinin fiziksel, psikolojik ya da davranışsal özelliklerinden olan ve yüz görüntüsü veya daktiloskobik gibi bu kişinin benzersiz şekilde kimlik tespitini veya bu kimlik tespitinin doğrulanmasını sağlayabilen ve belirli teknik işlemlerle elde edilen kişisel veri’’ şeklinde tanımlanmıştır.
Biyometrik verilerin işlenmesi konusunda günümüzde karşılaşılan ihlallerin bir çoğunun sebebi işverenlerin işçileri denetim ve gözetim altında tutma çabasının sonucu olarak işçilerin işe giriş ve çıkışlarında parmak izi,retina veya yüz geometrisi gibi biyometrik verilerinin kullanılmasıdır. KVKK’da özel nitelikli verilerin kanunun 5. Maddesindeki genel nitelikli kişisel verilerin işlenmesi şartlarından ayrı olarak yalnızca ilgilisinin açık rızası veya kanunun izin verdiği hallerde işlenebileceği göz önüne alındığında veri sorumlusu iş verenin işçiden aldığı rızanın önemi artmaktadır.
Peki işe girilmesi sırasında veya çalışırken imzalanmak üzere işçinin yahut işçi adayının imzalaması için önüne getirilen rıza metni hukuken geçerli olacak mıdır? KVK Kurumu’nun Açık Rıza Rehberinde ‘’Tarafların eşit konumda olmadığı veya taraflardan birinin diğeri üzerinde etkili olduğu durumlarda rızanın özgür iradeyle verilip verilmediği dikkatle değerlendirilmelidir, özellikle işçi işveren ilişkisinde işçiye rıza göstermeme imkanı etkin biçimde sunulmadığı veya rıza göstermemenin işçi açısından olumsuzluk doğuracağı durumlarda rızanın özgür iradeye dayandığı söylenemez.’’ denilmektedir.
Özel nitelikli bir veri olarak ‘’Biyometrik Veri’’nin işlenmesi için şu şartların bulunması gerekli ve yeterlidir;
1. Biyometrik veri işlemenin,işletmenin büyüklüğü veya yürüttüğü faaliyetin hassaslığı dolayısıyla gerekli olmasıdır.
2. Yine bir diğer şart ve olmazsa olmazı ilgilisinin açık rızasının bulunmasıdır. Belirtmek gerekir ki açık rızaya dair açıklamalar ve veri işlemenin genel ilkeleri de yine mutlaka mevcut olmalıdır.

Kişisel verisi işlenenin(ilgili kişi) hakları nelerdir?
Kişisel verisi işlenen gerçek kişi tüm veri işleme faaliyetinin süjesi konumundadır öyle ki 6698 s. KVKK ilgili kişi merkezli oluşturulmuş, hakları ihlal edilmeye daha müsait konumdaki gerçek kişiye veri sorumlusuna karşı ileri sürebileceği birçok hak tanınmıştır. Söz konusu haklar Kanunun 11. Maddesinde;
- Kendisiyle ilgili kişisel veri işlenip işlenmediğini öğrenme,
- Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
- Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
- Yurtiçinde veya yurtdışında verilerin aktarıldığı üçüncü kişileri öğrenme,
- Kişisel verilerin eksik veya yanlış olması halinde bu durumun düzeltilmesini talep etme,
- 7. Maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesi veya yok edilmesini isteme,
- İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun çıkmasına itiraz etme,
- Kişisel verilerin kanuna aykırı işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme,
Şeklinde belirtilmiştir.
Kişisel verisi işlenen(ilgili kişi) haklarını ne şekilde kullanabilir?
Kanunun ilgili kişilere sağlamış olduğu hakların kullanılmasında dikkat edilmesi gereken ilk şey başvurunun öncelikle veri sorumlusuna yapılması gerektiğidir. Veri sorumlusuna başvuru yapılmaksızın Kuruma şikayette bulunulması halinde başvuru yollarının tüketilmemiş olması sebebiyle şikayet değerlendirilmemektedir.
İlgili kişiler KVKK m.11’de belirtilen haklarını kullanmak için 13. Madde uyarınca ilgili veri sorumlusuna yazılı olarak veya Kurulun belirleyeceği diğer yöntemlerle başvurmalıdır. Başvuruların geçerli sayılması için bir takım şartları taşıması gerekir.
Veri sorumlusu yapılan başvurudaki talepleri, taleplerin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır. Ancak işlemin ayrıca bir maliyeti bulunması durumunda Kurulun belirlediği tarifedeki ücret alınır.
Yapılan başvurunun kabul edilmesi halinde gereği veri sorumlusunca derhal yerine getirilir ve eğer başvuru veri sorumlusunun hatasından kaynaklanmışsa alınan ücret iade edilir.
Başvurunun reddedilmesi, cevapsız bırakılması, cevabın yetersiz olması halinde ne yapılır?
Bu durumda Kuruma şikayet yolu izlenir fakat başvurunun reddedilmesi veya verilen cevabın yetersiz olması halinde izlenecek yol ile başvurunun cevapsız bırakılması halinde izlenecek yol farklıdır. Önemli bir kavram olması dolayısıyla başvuru tarihinin ne olduğunun tespiti önemlidir, yazılı başvurularda başvuru tarihi evrakın veri sorumlusuna veya temsilcisine tebliğ edildiği, diğer yöntemlerle yapılan başvurularda, başvurunun veri sorumlusuna ulaştığı tarih başvuru tarihidir.
Başvurunun reddedilmesi veya yetersiz cevap verilmiş olması halinde Kuruma şikayet hakkı veri sorumlusunun verdiği cevabın öğrenildiği tarih üzerinden otuz gün ve her halde başvuru tarihi üzerinden altmış gün geçmesiyle düşer.
Başvurunun cevapsız bırakılması halinde (zımnen red) ise otuz günlük başvuruya cevap süresinin geçmesiyle birlikte kuruma şikayet hakkı doğar ancak yine başvuru tarihinin üzerinden altmış günün geçmesiyle bu şikayet hakkı da sona erer.
Av. Mine Begüm Doygun - Stj. Av. Yakup Sağır
[1] 5809 s. Elektronik Haberleşme Kanunu ve 6563 s. Elektronik Ticaretin Düzenlenmesi Hakkında Kanun
Bu sitedeki bilgiler kesinlikle hukuki tavsiye niteliğinde olmayıp bu bilgiler hiçbir şekilde site ziyaretçileri ile Dora Hukuk ve Danışmanlık Bürosu arasında vekil-müvekkil ilişkisi kurulmasına matuf biçimde yorumlanamaz yahut kullanılamaz. Site içeriğinde yer alan bilgilere istinaden profesyonel hukuki yardım almadan hareket edilmesi durumunda oluşabilecek herhangi bir zarardan büromuz sorumlu değildir.1136 sayılı Avukatlık Yasası yahut Türkiye Barolar Birliği Meslek kuralları uyarınca site içeriği hiçbir şekilde reklam amaçlı yahut ticari amaçlı kullanılamaz. Site içeriğinde yer alan bilgi ve görsellerin (kaynak gösterilenler yahut jenerik olanlar dışında) telif hakkı Dora Hukuk Bürosuna aittir. İzin alınmaksızın ve Kaynak Göstermeksizin Alıntı yapılamaz, kopyalanamaz. Web sitemizdeki tüm makale ve içeriklerin telif hakkı Av. Mine Begüm Doygun’a aittir. Tüm makaleler hak sahipliğinin tescili amacıyla elektronik imzalı zaman damgalıdır. Sitemizdeki makalelerin kopyalanarak veya özetlenerek izinsiz bir şekilde başka web sitelerinde yayınlanması halinde hukuki ve cezai işlem yapılacaktır. Avukat meslektaşların makale içeriklerini dava dilekçelerinde kullanması serbesttir.
Comments