Kişisel Verilerin Korunması Hakkında Genel İlkeler
Kişisel verilerin işlenmesi; verilerin tamamının veya bir kısmının otomatik olan veya olmayan yöntemlerle elde edilmesi, kaydedilmesi, depolanması, değiştirilmesi, aktarılması, devralınması, sınıflandırılması veya kullanılmasının genel adıdır.
Anayasa’nın 20.maddesinin 3. Fıkrası “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.” şeklindedir.
Kişisel veriler ancak Kişisel Verilerin Korunması Kanunu’nda öngörülen usul ve esaslara göre işlenebilir. Kanunun 4.maddesinde sayılan ilkelere uyulması zorunlu olup bu ilkeler kişisel verilerin kullanılmasında hukuka uygunluğun temelini oluşturmaktadır. Buna göre kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması zorunludur:
1-Hukuka ve dürüstlük kurallarına uygun olma,
2-Doğru ve gerektiğinde güncel olma,
3-Belirli, açık ve meşru amaçlar için işlenme,
4-İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.
5-İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.
Kişisel Verilerin Korunması Kanunu’nda bazı veriler ise özel nitelikli veriler olarak sayılmıştır. Bunlar; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileridir.
Kanuna göre bu verilerin kişinin açık rızası olmadan işlenmesi yasak olup, sağlık ve cinsel hayata ilişkin veriler hariç diğer verilerin kanunda öngörülen hallerde açık rıza olmaksızın işlenmesinin yine mümkün olduğu ancak sağlık ve cinsel hayata ilişkin verilerin ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebileceği belirtilmiştir.
Kişisel verilerin silinmesi, yok edilmesi, anonim hale getirilmesi, aktarılması:
Kanuna ve hukuka uygun olarak işlenmiş verilerin işlenme amaçlarının ortadan kalkması durumunda ilgili veriler veri sorumlusu tarafından resen veya veri sahibi kişi tarafından silinir, yok edilir veya anonim hale getirilir.
Kişisel veriler kural olarak veri sahibi ilgili kişinin açık rızası olmaksızın aktarılamaz; ancak yukarıda saydığımı kişisel verilerin işlenmesine ilişkin şartların olması durumunda yeterli önlemlerin alınması kaydı ile aktarılması söz konusu olabilir. Kişisel verilerin yurt dışına aktarılması söz konusu olacak ise de aktarılacak ülkede yeterli koruma olması, ülkedeki ve yurt dışındaki veri sorumlusu kişilerin yeterli koruma olduğunu yazılı olarak taahhüt etmesi, Kişisel Verileri Koruma Kurulu’nun izninin bulunması gerekmektedir.
Kişisel verilerin işlenmesi gerek şahıslar gerek kurum ve kuruluşlar gerekse de devlet açısından önemli ve hayati bir alan olup bu alanın etkili bir kanun çerçevesinde düzenlenmesi gerekmiş, bunun üzerine 2016 yılında yürürlüğe giren Kişisel Verilerin Korunması Kanunu ile gerekli düzenleme ve yasal güvenlik oluşturulmuştur.
Kişisel verilerin işlenmesi bu kanun ile sıkı şartlara ve hukuka uygunluk sebeplerine bağlanmış olup bunlardan birinin olmaması durumunda kişinin de açık rızasının olmadığı noktada işlenmesi hukuka aykırı olacak, bunun da bir takım yasal sonuçları doğacaktır.
Veri Sorumlusunun Yükümlülükleri:
Kişisel verilerin elde edilmesi sırasında Kişisel Verilerin Korunması Kanunu kapsamında verilerden sorumlu olacak kişiler ve veri sahipleri için bir takım hak ve yükümlülükler düzenlenmiştir.
Bu düzenlemeler arasında en önemli noktalardan biri veri sorumlusu olan kişiye yüklenmiş olan aydınlatma yükümlülüğüdür. Şöyle ki;
Bu kapsamda kanun tarafından veri sorumlusu kişilere verilerin işlenmesi sürecinde alınması gereken tedbir ve önlemler konusunda bir açıklık sağlanmış olmakla birlikte Kişisel Verilerin Korunması Kurulu tarafından iyi örneklerin oluşması amacıyla Kişisel Veri Güvenliği Rehberi hazırlanmıştır.
İlgili Kişinin Hakları:
Kanun veri sahibi olan ilgili kişilere ayrıca bir kısım haklar tanımış ve bu hakları 11.maddede düzenleme altına almıştır. Şöyle ki kanuna göre,
Herkes veri sorumlusuna başvurarak kendi ile ilgili kişisel verinin işlenip işlenmediğini, işlenmişse buna ilişkin bilgi alma, verinin işleniş amacını ve amacına uygun olarak işlenip işlenmediğini öğrenme, eğer veri üçüncü bir kişiye aktarılmış ise yurt içinde veya yurt dışında olması fark etmeksizin bu üçüncü kişileri öğrenme, eksik veya yanlış işlenmiş verilerin düzeltilmesini, tamamlanmasını isteme hakkına sahiptir.
Bunlara ek olarak kişisel verilerin ilgili kişinin de izniyle Kanuna uygun olarak işlenmesi sonrasında işlenme amacının ortadan kalkması durumunda ilgili kişi veri sorumlusuna başvuruda bulunarak kişisel verinin silinmesini veya yok edilmesini talep etme hakkına da sahiptir. Nitekim kişisel verilerin işlenmesi bazı istisnalar hariç ilgili kişinin iznine tabi olduğundan verinin işlenmesi amacının ortadan kalkması durumunda ilgilinin verinin silinmesini istemesi işbu kanunun varoluş amacı göz önüne alındığında en tabi istek olacaktır.
Ayrıca ilgili kişi kişisel verilerinin yanlış işenmesi durumunda veya verinin işlenme amacının ortadan kalkması akabinde verilerin silinmesi veya yok edilmesini istemesi durumunda bu durumun varsa kişisel verilerin aktarıldığı üçüncü kişilere de bildirilmesi isteme hakkına sahiptir.
İlgili kişinin kişisel verilerinin özel olarak otomatik sistemlerce analiz edilmesi halinde ortaya çıkabilen olumsuz, kişinin aleyhine sonuçlara itiraz etme hakkı da bulunmaktadır.
Bunların yanında kişisel verilerinin kanuna aykırı olarak işlenmesinden zarar gören kişinin bu zararının giderilmesini talep etme hakkı da vardır. Öyle ki kişisel verilerin kanuna aykırı işlenmesi durumunda ilgilinin kişilik hakları ihlal edilmiş olacağından kişilik hakları ihlal edilmiş olan kişi yargı yoluna gidebilecektir.
Başvuru:
İlgili kişi Kişisel Verilerin Korunması Kanunu kapsamında kanunun uygulanması ile alakalı taleplerini yazılı olarak veya Kişisel Verilerin Korunması Kurulu tarafından belirlenen başka bir yöntem ile veri sorumlusuna başvurarak bildirebilir. Bu noktada kanun kademeli başvuru sistemin benimsediği için öncelikli olarak veri sorumlusuna başvuru yapılması zorunlu olup bu yol tüketilmeden Kurul’a şikâyet yoluna gidilmesi mümkün olmayacaktır.
Kanuna göre veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içerisinde ücretsiz olarak sonuçlandırmalıdır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde, Kurulca belirlenen tarifedeki ücretin alınması söz konusu olabilir.
İlgili kişinin başvuru yapması durumunda veri sorumlusu tarafından ya talep kabul edilir ya da gerekçesi açıklanarak reddedilir ve veri sorumlusu cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir. Ayrıca başvuruda yer alan talebin kabul edilmesi hâlinde veri sorumlusunca talebin gereği yerine getirilmelidir.
Kanuna göre başvurunun veri sorumlusunun hatasından kaynaklanması hâlinde alınan ücret ilgiliye iade edilir.
Şikâyet:
Başvuru yolunun tüketilmesi, veri sorumlusu tarafından ilgili kişinin talebinin reddedilmesi, verilen cevabın yetersiz bulunması veya başvuruya süresinde cevap verilmemesi halinde ilgili kişiye şikâyet yoluna başvurma hakkı verilmiştir.
Şöyle ki; ilgili kişi veri sorumlusu tarafından başvurusunun reddedildiğini öğrendiği günden itibaren otuz gün içerisinde ve her halde başvurudan itibaren altmış gün içerisinde Kişisel Verilerin Korunması Kurulu’na şikâyette bulunabilir.
Kurul, şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen, görev alanına giren konularda gerekli incelemeyi yapar. Burada kurula resen de inceleme yapma hakkı tanınmıştır. Ancak kurulun şikâyet üzerine inceleme yapması için söz konusu ihbar ve şikayetin Dilekçe Hakkının Kullanılmasına Dair Kanunun 6ncı maddesinde belirtilen şartları taşıması gerekmektedir. Bu şartlar da şöyledir:
1-Belli bir konuyu ihtiva etmesi
2-Yargı mercilerinin görevine giren konularla ilgili olmaması
3-Dilekçe sahibinin adı soyadı ve imzası ile iş veya ikametgâh adresinin dilekçede bulunması gerekmektedir.
Ayrıca belirtmek gerekir ki veri sorumlusu şikâyet durumunda, Kurulun; inceleme konusuyla ilgili istemiş olduğu bilgi ve belgeleri Devlet sırrı niteliğindeki bilgi ve belgeler hariç olmak üzere; on beş gün içinde göndermek ve gerektiğinde yerinde inceleme yapılmasına imkân sağlamak zorundadır.
Şikâyet üzerine Kurul, talebi inceleyerek ilgililere bir cevap verir. Ancak Şikâyet tarihinden itibaren altmış gün içinde cevap verilmezse talep reddedilmiş sayılır. Yani bu altmış günlük sürenin sonunda idari yargıda dava açma süresi başlayacaktır.
Şikâyet üzerine veya resen yapılan inceleme sonucunda, ihlalin varlığının anlaşılması hâlinde Kurul, tespit ettiği hukuka aykırılıkların veri sorumlusu tarafından giderilmesine karar vererek ilgililere tebliğ eder. Bu karar, tebliğden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirilir.
Şikâyet üzerine veya resen yapılan inceleme sonucunda, ihlalin yaygın olduğunun tespit edilmesi hâlinde Kurul, bu konuda ilke kararı alır ve bu kararı yayımlar. Kurul, ilke kararı almadan önce ihtiyaç duyması hâlinde, ilgili kurum ve kuruluşların görüşlerini de alabilir.
Kurul, telafisi güç veya imkânsız zararların doğması ve açıkça hukuka aykırılık olması hâlinde, veri işlenmesinin veya verinin yurt dışına aktarılmasının durdurulmasına karar verebilir. Ancak belirtmekte fayda vardır ki ilgililerin her zaman Kurul’un işlemlerine karşı idari yargı yoluna başvurma hakkı vardır.
Suçlar:
Kişisel Verilerin Korunması Kanunu kapsamında ayrıca çeşitli suçlar düzenlenmemiş olup, 17.maddede kişisel verilere ilişkin 5237 sayılı Türk Ceza Kanunu’nun 135 ila 140’ıncı madde hükümlerinin uygulanacağı belirlenmiştir.
TCK’nın 135.maddesi “Kişisel Verilerin Kaydedilmesi” başlıklı olup birinci fıkrada hukuka aykırı olarak kişisel verileri kaydeden kişilere 1 yıldan 3 yıla kadar hapis cezası verileceği düzenleme altına alınmıştır. Ancak kişisel verinin, kişilerin siyasi, felsefi veya dini görüşlerine, ırki kökenlerine; hukuka aykırı olarak ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin olması durumu ağırlaştırıcı hal olarak belirlenmiş ve bu durumunda birinci fıkra uyarınca verilecek cezanın yarı oranında artırılacağı hüküm altına alınmıştır.
TCK’nın 136.maddesinde ise kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişinin iki yıldan dört yıla kadar hapis cezası ile cezalandırılacağı düzenlenmiştir.
Bu iki suçun kamu görevlisi tarafından ve görevinin verdiği yetki kötüye kullanılmak suretiyle veya belli bir meslek ve sanatın sağladığı kolaylıktan yararlanmak suretiyle işlenmesi durumu ise TCK’nın 137.maddesinde nitelikli hal olarak düzenlenmiş olup, verilecek cezanın yarı oranda arttırılması hüküm altına alınmıştır.
TCK’nın 138.maddesinde ise verilerin yok edilmemesi suçu düzenlenmiştir. Buna göre kanunlara belirlenen sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanların görevlerini yerine getirmemeleri halinde bu kişilere bir yıldan iki yıla kadar hapis cezası verilir. Suçun konusu Ceza Muhakemesi Kanunu hükümlerine göre ortadan kaldırılması veya yok edilmesi gereken verilerden ise verilecek ceza bir kat artırılır.
TCK’nın 139.maddesinde “Kişisel verilerin kaydedilmesi, verileri hukuka aykırı olarak verme veya ele geçirme ve verileri yok etmeme hariç, bu bölümde yer alan suçların soruşturulması ve kovuşturulması şikâyete bağlıdır.” Denildiğinden kişisel verilerin kaydedilmesi verileri hukuka aykırı olarak verme veya ele geçirme ve verileri yok etmeme suçlarında kovuşturma ve soruşturmanın şikâyete bağlı olmadığı anlaşılacaktır.
140.madde ise bu suçların tüzel kişiler tarafından işlenmesi durumunda tüzel kişiler hakkında güvenlik tedbirleri uygulanacağını düzenlemiştir.
Kabahatler:
Kişisel Verilerin Korunması Kapsamında kabahatler 18. Maddede sıralanmıştır. Buna göre veri sorumlusunun aydınlatma yükümlülüğünü yerine getirmemesi, veri güvenliğinin sağlanmasına ilişkin önlemleri almakla yükümlü kişilerin bu yükümlülüğü yerine getirmemesi, ilgilinin şikayet yoluna başvurması sunucu Kurul tarafından verilen kararın gereğinin yerine getirilmemesi, veri sorumlularının Veri Sorumluları Siciline kayıt ve bildirimde bulunmaması kanun kapsamında sayılan kabahatler olup bu kabahatleri işleyen kişilere kanunda belirlenmiş çeşitli miktarlarda idari para cezası verilmektedir.
Bu kabahatlerin kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları bünyesinde işlenmesi hâlinde, Kurulun yapacağı bildirim üzerine, ilgili kamu kurum ve kuruluşunda görev yapan memurlar ve kamu görevlileri ile kamu kurumu niteliğindeki meslek kuruluşlarında görev yapanlar hakkında disiplin hükümlerine göre işlem yapılacağı ve sonucun da kurula bildirileceği de yine kanun kapsamında yapılan düzenlemelerdendir.
Kanunun genel hatlarından da anlaşılacağı üzere düzenlemeler tamamen ilgili kişilerin kişisel haklarını korumaya yönelik olup bu hakların ihlal edilmesi veya kanuna aykırı bir biçimde verilerin işlenmesi durumunda bundan sorumlu kişilerin hakkaniyetli bir şekilde cezalandırılmasını öngörmektedir.
KULLANIM ŞARTLARI VE SORUMSUZLUK KAYDI
Bu web sitesinde yer alan bilgiler, konuyla ilgili olarak yalnızca genel bilgi ve görüş içermekte olup, hukuki tavsiye veya profesyonel hukuk hizmeti yerine geçmez ve bu amaçla kullanılamaz. Her bir olayın vakıalarına ve kendine özgü şartlarına göre profesyonel hukuki tavsiye ve görüş almanız önemle ve şiddetle önerilir.
Gulis Hukuk ve Danışmanlık Bürosu avukatları ve bu bilgilerin hak sahipleri burada yer alan bilgilerin doğruluğundan ve tamlığından kesinlikle sorumlu değildir. Bilginin, mevzuatın ve içtihatların hızla değişebilmesi nedeniyle bu bilgilerin güncelliğine ilişkin herhangi bir taahhüt veya garanti verilemez. Bu bilgiler içerisinde yer alanlara dayalı olarak ticari bir karar vermemenizi, somut olayınızın özelliklerine göre hukuki danışmanlık hizmeti almanızı önemle tavsiye ederiz.
Gulis Hukuk & Danışmanlık Bürosu