Kişisel Verilerin İhlali Durumunda Başvuru Yolları ve Yaptırımlar
Kişisel Veri ve Tanımı
Kişisel veri tanımı, 6698 Sayılı Kişisel Verilerin Korunması Kanunu kapsamında “Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” şeklinde geniş bir anlatımla tanımlanmıştır. (kişisel verilerin ihlali)
Bu tanım kapsamında sadece bireyin adı, soyadı, doğum tarihi ve doğum yeri gibi onun kesin teşhisini sağlayan bilgiler değil, aynı zamanda özel nitelikli kişisel veri olarak tanımlanan kişinin fiziki, ailevi, ekonomik, sosyal ve sair özelliklerine ilişkin bilgiler de kişisel veridir. Kanunun gerekçesinde de görüleceği üzere, kişisel veri kavramının geniş anlamda tutulmasının sebebi ise bir kişinin kimliğinin belirlenebilmesi için kullanılan her türlü veriyi kanun kapsamına alabilmek ve kişinin Anayasa’dan kaynaklanan temel hak ve özgürlüklerini koruyabilmektir.
Bir kişinin belirli veya belirlenebilir olması, mevcut verilerin herhangi bir şekilde gerçek kişiyle ilişkilendirilmesi suretiyle, o kişinin tanımlanabilir hale getirilmesini ifade eder. Yani verilerin; kişinin fiziksel, ekonomik, kültürel, sosyal veya psikolojik kimliğini ifade eden somut bir içerik taşıması veya kimlik, vergi, sigorta numarası gibi herhangi bir kayıtla ilişkilendirilmesi sonucunda kişinin belirlenmesini sağlayan tüm halleri kapsar.
İsim, telefon numarası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, görüntü ve ses kayıtları, parmak izleri, genetik bilgiler gibi veriler dolaylı da olsa kişiyi belirlenebilir kılabilme özellikleri nedeniyle kişisel verilerdir.
Belirtmek gerekir ki her ne kadar bir kişinin kimliğinin belirli hale gelmesinin en yaygın şekli ad ve soyadının tespit edilmesi olsa da, bir kişinin kimliğinin belirli olması için ad ve soyad bilgisi her zaman gerekmeyebilir. Örneğin internet ortamında, belirli cihazların davranışları ve dolayısıyla bu cihazları kullanan kişilerin davranışları tespit edilebilmektedir. Böylece ad, soyad veya adres gibi bilgilere ihtiyaç duyulmaksızın, kişinin sosyo-ekonomik, psikolojik, felsefi veya diğer bağlamlarda kategorize edilmesi ve internete bağlandığı cihaz aracılığıyla gerçekleştirdiği davranışların ona atfedilmesi mümkündür. Bir kişinin kimliğinin belirli hale gelme ihtimali, artık yalnızca onun ad ve soyadının tespit edilmesi anlamına gelmemektedir. Bununla ilgili aşağıdaki örnekler verilebilir;
• Zamanında kamunun dikkatini çekmiş bir dava ile ilgili tarafların isim, adres ve kimlik numaraları dahi gizlenerek, basında yer alan dağınık bilgiler kişisel veri kabul edilmiştir.
Zira, bu davanın taraflarının kimlikleri belirlenebilir niteliktedir. İlgili zaman aralığındakigazetelerde yer alan haberler incelendiğinde, bu kişilerin adlarına doğrudan ulaşılabileceğigibi, aynı yöntemle elde edilecek başka bilgiler sayesinde dolaylı olarak da kişilerin kimliğibelirli hale gelebilir.• Güvenlik kameraları aracılığı ile elde edilen veriler kişisel veri kabul edilmelidir. Güvenlikkameraları kurulurken veri sorumlusunun amacı, gerektiği durumda kayıt altına alınanherkesin kimliğinin belirlenebilmesidir. Bu bağlamda, kişilerin video kayıtlarında yeralması ancak pratikte kimliğinin belirlenebilir hale getirilememesi ise, söz konusu verilerinkişisel veri olduğu gerçeğini değiştirmeyecektir.
• Bir evin satış değeri, bir nesne hakkında bilgidir. Belirli bir bölgedeki ev fiyatlarını göstermek için kullanıldığında bu veri, Kanunun koruma alanı dışında kalacaktır. Ancak belirli şartlar altında aynı verinin kişisel veri kabul edilmesi de mümkündür. Gerçekten de ev, sahibinin bir malvarlığıdır ve belirli bir kişiye ait evin bedelinin belirtilmesi örneğin bu kişinin vergi yükümlülüklerinin sınırının ortaya çıkarılmasında kullanılabilir. Bu bağlamda evin satış değeri bilgisinin kişisel veri olduğu kabul edilecektir.
• Bir taksi şirketi, araçlarının konumunun gerçek zamanlı olarak belirlenmesine imkan sağlayan bir sistem kurar. Veri işlemenin amacı, taksi çağıran kişiye, ona en yakın araç yönlendirilerek müşterilere daha iyi hizmet sunmak ve yakıt tasarrufu yapmaktır. Amaçlar içerisinde taksi sürücülerinin performanslarının ölçülmesi yer almamaktadır. Her ne kadar buradaki verilerin taksi sürücülerine değil, taksi araçlarına ilişkin olduğu savunulabilecek olsa da sistem, sürücülerin performanslarının ölçülmesine ve hız limitlerine uyup uymadıklarının belirlenmesi gibi onun üzerinde önemli etkiler doğurabilecek bilgilere erişilmesine imkan sağlamaktadır. Bu nedenle yukarıda bahsedilen sonuç unsurunun varlığı kabul edilmeli ve elde edilen veriler kişisel veri olarak değerlendirilmelidir. Bununla birlikte, kişisel verileri bir veri kayıt sisteminin parçası olmaksızın, otomatik olmayan yollarla işleyenler, bu kanunun kapsamı dışında bırakılmıştır. Söz konusu otomatik olmayan yollarla işlenen kişisel verilerin koruması ise kanun kapsamında olmasa da hukuk sistemimiz içerisinde farklı kanunlarla korunmaya alınmıştır. Öncelikle şunu belirtmek gerekir ki, kapsam dışında bırakılanların işlediği veriler, esasen ilgili kişinin rızasına dayalı olarak işlenmektedir. Böyle bir rıza olmaksızın veya ilgilinin rızasına muhalif olarak işlenen veriler bakımından, öncelikle Türk Ceza Kanununun 135 ila 140’ıncı maddeleri işletilebilir. Bunun yanında bu şekilde işlenen veriler bakımından herhangi bir zarar doğması durumunda bu zararın tazmini yoluna gidilmesi de mümkündür.
Son olarak, KVKK kapsamında sadece kişisel verileri işlenen gerçek kişiler koruma altına alınmıştır. Oysa, kanunun çıkış tarihinden iki sene önceki tarihli Anayasa Mahkemesinin
04.12.2014 tarihli 2013/84 Esas ve 2014/183 Karar sayılı kararı ile tüzel kişilerin de kişisel verilerinin korunması hakkına sahip olduğuna karar verilmiştir. Buna rağmen, halihazırdaki KVKK kapsamı sadece gerçek kişilerin kişisel verilerini koruma altına almaktadır.
Kişisel Verilerin İşlenmesi
Kişisel veriler ve özel nitelikli kişisel verilerin işlenebilmesi için gerekli şartlar, kanunda tahdidi olarak sayılmıştır. Bu ilkeler; hukuka ve dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmektir. Yine kişisel veriler, kanunda sayılan istisnai haller dışında, ilgili kişinin açık rızası olmaksızın işlenememektedir. Bunlara örnek vermek gerekirse; kişinin şuurunun yerinde olmadığı veya akıl hastası olması sebebiyle rızasının geçerli olmadığı bir durumda, hayat veya beden bütünlüğünün korunması amacıyla tıbbi müdahale yapılması ve bu tıbbi müdahale sırasında, kişisel verilerinin işlenebilmesi için ilgili kişinin rızası aranmamaktadır. Yine, yapılan bir sözleşme gereği, paranın ödenmesi için alacaklı tarafın hesap numarasının alınabilmesi halleri sayılabilmektedir. Son olarak, ilgili kişi tarafından alenileştirilen ve böylelikle herkes tarafından bilinebilecek hale gelen verilerin işlenmesinde, korunması gereken hukuki yararın ortadan kalktığı kabul edileceğinden, bu tür veriler de kişisel verilerin gizliliğini ihlal kapsamında değerlendirilmeyecek ve işlenebilmesi için ilgili kişinin rızası aranmayacaktır.
Veri sorumluları, elde etmiş oldukları kişisel verilerin mahiyeti, kullanım amacı, toplanmasındaki hukuki yarar gibi hususlarda ilgili kişiyi bilgilendirmek zorundadır. Bu kapsamda ilgili kişi, kendisiyle ilgili kişisel veri işlenip işlenmediğini öğrenme, işlenmişse buna ilişkin bilgileri talep etme, verilerin işlenme amacı ile bunların amacına uygun kullanılıp kullanılmadığını öğrenme, yurtiçinde veya yurtdışında verilerin aktarıldığı üçüncü kişileri bilme, kişisel verilerin silinmesini, yok edilmesini, anonim hale getirilmesini veya verinin muhtevasının eksik ya da gerçeğe aykırı olması hallerinde bunların düzeltilmesini isteme hakkına sahiptir.
Kişisel Verilerin Gizliliğinin İhlal Edilmesi ve TCK Kapsamında Yaptırımlar
Türk Ceza Kanunu’na göre, hukuka aykırı olarak kişisel verileri kaydeden kişilere bir yıldan üç yıla kadar hapis cezası verilir. Söz konusu kişisel veriler, özel nitelikli kişisel veri ise bu ceza yarı oranında arttırılır. Kanun, aynı zamanda kişisel veriyi hukuka aykırı olarak yayan ve işlenmesini gerektiren sebep ortadan kalktığı halde kişisel verileri yok etmeyenler için de ağır yaptırımlar belirlemiştir. Burada önemli olan husus ise, kişisel verilerin korunması ile ilgili suçların şikayete bağlı olmasıdır.
KVKK ise, aydınlatma yükümlülüğünü yerine getirmeyen, veri güvenliğine ilişkin yükümlülükleri yerine getirmeyen, Kişisel Verileri Koruma Kurulu tarafından verilen kararları yerine getirmeyen ve Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket eden veri sorumluları hakkında idari para cezaları belirlemiştir.
Veri Sorumlusuna Başvuru ve Şikayet Yolu
Kişisel verileri kanuna aykırı şekilde işlenen kişiler, öncelikle taleplerini yazılı olarak veri sorumlusuna iletir. Talebi alan veri sorumlusunun, en kısa sürede ve en geç otuz gün içinde talebi incelemesi; kabul veya gerekçesini açıklayarak reddetmesi, ayrıca cevabını ilgili kişiye bildirmesi gerekmektedir.
Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hallerinde; ilgili kişi, veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve her halde başvuru tarihinden itibaren altmış gün içinde Kurula şikayette bulunabilir.
Kişisel Verilerin Korunması Kurul’una şikayet yoluna gidilebilmesi için öncelikle veri sorumlusuna başvuru yolunun tüketilmiş olması gerekmektedir. Başvuru yoluna gitmenin zorunlu, şikayet yoluna gitmenin ise ihtiyari olması sebebiyle, başvurusu zımnen veya açıkça reddedilen ilgili kişinin bir yandan Kurula şikayette bulunabilmesi, diğer yandan doğrudan adli veya idari yargı yoluna da gidebilmesi mümkün olacaktır.
KVKK alanındaki blog tüm yazılarımızı okumak için bağlantıya tıklayınız.
Hukuk ve Bilişim Dergisi’nin Yeni Sayı’ını bağlantıdan okuyabilirsiniz.
Yazar: Av. Lidya ÖZTÜRK
Kaynaklar:
1- www.kisiselverilerinkorunmasi.org
2- 6698 Sayılı Kişisel Verilerin Korunması Kanunu
3- Adalet Komisyonu Raporları