Kişisel Verilerimizin Korunmasına İlişkin Genel Bakış

Abone Ol

Bundan yaklaşık 10 yıl önce henüz hukuk fakültesi öğrencisi bile değilken bir seminerine katıldığım sırada internet sitelerinde yayımlanmak üzere seminer esnasında birçok kez bizden herhangi bir onay almadan fotoğraflarımız çekilmişti. Yani benim rızam olmadan görüntüm çekilmiş ve işlenmişti. Tabi bu durum beni o zaman da oldukça rahatsız etmişti. Belirttiğim üzere o zamanlar hukuki haklarım konusunda oldukça sınırlı bilgim olmasından mütevellit aslında bunun bir yaptırımı olduğu bilincinde de değildim. Özünde kötü niyet olmadığı bilinse dahi benim görüntümün rızam olmadan çekilmesi ve internete konulması ciddi bir sorundu. Günümüze gelecek olursak; hukuk camiasında da oldukça yeni kabul edilebilecek bir alan olan kişisel verilerin korunması hususu aslında bundan uzun zaman önce Anayasamızda yerini almıştı. 2010 yılında yapılan değişiklik sonucunda Anayasanın 20 nci maddesine eklenen fıkra ile kişisel verilerin korunması Anayasal güvence altına alınmış ayrıca bu verilerin korunması usul ve esaslarının kanunla düzenleneceği hükme bağlanmıştı. Bu bağlamda da 6698 sayılı Kişisel Verilerin Korunması Kanunu 07.04.2016 tarihinde yürürlüğe girmişti. Bu kanunun temel amacı adından da anlaşılacağı üzere kişisel verilerin sınırsız ve gelişigüzel toplanmasını engellemek, yetkisiz kişilerin erişimine açılmasının, amaç dışı ya da kötüye kullanılmasına ve nihayetinde de kişisel hakların ihlal edilmesinin önüne geçilmesi içindir. Ayrıca Avrupa Konseyi tarafından, “Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunmasına İlişkin 108 Sayılı Sözleşme’ ülkemiz tarafından imzalanmıştır. Bu sözleşme 17.03. 2016 tarih ve 29656 sayılı Resmî Gazetede yayımlanarak iç hukuka dâhil olmuştur. 108 sayılı Sözleşmenin ilgili maddesinde belirtildiği gibi iç hukukta kişisel verilerin korunmasına yönelik düzenleme yapılması da hâsıl olmuştur.

Anayasamızın özel hayatın gizliliğini düzenleyen 20. Maddesinde “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel verileri hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak Kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir” şeklinde bir fıkra eklenmiş ve kişisel verilerin korunması açıkça anayasal güvence altına alınmıştır. Peki korunmak istenen kişisel veri nedir, neleri kapsar diye sorduğumuzda; aslında genel olarak her türlü bilgi diyerek bu alanın oldukça geniş bir kısmı içerdiğini söyleyebiliriz. Örneğin; sadece kimlik bilgilerimiz değil; telefon numaramız,  özgeçmişimiz, resim, görüntü ve ses kayıtları, parmak izleri, e-posta adresi, hobiler, tercihler, grup üyelikleri, aile bilgileri, sağlık bilgileri gibi kişiyi doğrudan yahut DOLAYLI olarak BELİRLENEBİLİR HER TÜRLÜ veriler kişisel veri olarak kabul edilmektedir. Kanunda tahdidi olarak sayılmadığı için bu kapsamın genişlemesi kişinin belirlenmesini sağlayan tüm bilgileri saymamız mümkündür. Ancak bazı veriler vardır ki öğrenildiği zaman mağduriyet yaratacak ya da ayrımcılığa maruz bırakabilecek durumlara sebebiyet verecek verilerdir. İşte bunlar kanunda tahdidi olarak sayılmış ve genişletilemeyen ÖZEL NİTELİKLİ KİŞİSEL VERİLERDİR. Daha hassas olan bu veriler kanunun amacından mütevellit daha yoğun bir şekilde kanunda korunmaktadır.

Kişisel verilerimize ilişkin verdiğimiz bir rıza söz konusu ise bu rızaya rağmen herhangi bir ihlalin mevcut olup olmayacağı da akıllarda merak uyandıran sorulardan biridir. Buna genel bir cevap vermek elbette pek mümkün olmamakla beraber kanunda yer alan açık rıza tabirinin içinde barındırması gereken unsurlara değinmekte fayda vardır. Öncelikle irademizi sakatlayan herhangi bir durum olmaksızın yani özgür idareye dayalı olarak, ayrıca bu rızanın bilgilendirmeye dayalı olduğu ve en önemlisi belirli bir konuya ilişkin olmalıdır. Örneğin; ‘Anlatılacak her türlü konuda rızam mevcuttur.’ gibi bir irade beyanı oldukça genel nitelikte bir rızayı içerdiğinden mütevellit geçersiz kabul edilir. Bir diğer önemli unsur olan özgür iradeye ilişkin somut örneğimiz ise girişte parmak izi ya da avuç içi okutularak girilen spor salonlarına ilişkin kurul kararıdır.

Bu bilgi verilerek giriş yapılan bir nevi dayatılan zorunluluk spor hizmetinden yararlanmak üzere olduğundan ve sözleşmenin kurulmasının zorunlu bir unsuru yapılmasından dolayı pek de özgür idareyle alınmadığından hukuka uygun olmayacaktır. Aynı zamanda bu karar kişisel verilerin işlenmesiyle gerçekleştirilmesi istenen amaç arasındaki makul dengeyi de aştığı aşikâr olduğundan yerinde bir karar olduğunu belirtelim.

Açık rızanın kanunda belirtilen bir şekil şartı olmamakla beraber sözlü veya yazılı olabilir. Fakat açık rızanın alındığı konusundaki ispat yükü ise veri sorumlusuna ait olduğundan ve ispatlanamadığı takdirde ciddi bir yaptırımı olduğunu düşünürsek yazılı bir şekilde açık rıza alınmasında fayda bulunmaktadır.

Dijitalleşmenin bu kadar hızla ilerlediği günümüzde bir diğer sıklıkla gelen soru ise;  çoğumuzun sahip olduğu sosyal medya hesaplarına tarafımızca konmuş bir fotoğraf, kendi rızamızla konulduğu için bizden izinsiz herhangi bir yerde kullanılması durumunun bir yaptırıma tabi olup olmadığıdır. Bu sorunun cevabı için kişisel verilerin aleniliği konusuna değinmemiz gerekir. İlgili kişinin kendisi alenileştirilen kişisel verisini alenileştirme AMACINA UYGUN bir şekilde açık rıza aranmaksızın işlenebileceğini genel olarak belirtebiliriz. Çünkü burada korunması gereken mevcut hukuki yarar bulunmamaktadır. Kişi kendi rızasıyla bu bilgi paylaşımını yapmaktadır. Bununla birlikte bu alenileştirme ölçülü ve amacına uygun olarak kullanılmalıdır. Bunun en tipik örneği internet sitesine araç satışı için belirttiğiniz bir iletişim numarasının amacına aykırı şekilde işlenmesi ve size bu belirttiğiniz amaç dışında ulaşılabilmesidir. Bu amaç dışı kullanımlar söz konusu olduğunda ihmal olmadığından elbette ki bahsedilemeyecektir. Ayrıca işlenmiş kişisel verilerimizin de yok edilmesini, anonim haline getirilmesini isteme hakkımız mevcuttur.

Kişisel verilerimizi işleyen veri sorumlusunun aydınlatma yükümlülüğü, işlenecek olan verinin amacı, kimlere hangi amaçlarla aktarılabileceği, veri toplamanın hukuki sebebi ile ilgili kişiyi bilgilendirmekle yükümlüdür. Ve yine yükümlülüğün yerine getirildiğinin ispatı veri sorumlusuna ait olduğundan burada da ispat açısından yazılı olmasında fayda olacağı aşikârdır.

Kişisel verilerimizin korunması kapsamında ilk olarak veri sorumlusuna başvurmamız gerekir. Kural olarak Veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde sonuçlandırmalıdır. İlgili kişi, veri sorumlusunun cevabını yetersiz bulursa öğrendiği tarihten itibaren otuz ve her halde veri sorumlusuna başvuru tarihinden itibaren altmış gün içinde idari ve mali özerkliğe sahip, kamu tüzel kişiliğini haiz olan Kişisel Verileri Koruma Kurumuna şikâyette bulunabilir. Kurul da altmış günlük süre içinde ilgili kişiye bir cevap vermesi öngörülmüştür. Bu belirtilen sürede kuruldan herhangi bir cevap gelmemesi durumda söz konusu talebin reddedilmiş sayılacağı belirtilmiştir. Ayrıca kurulun resen hareket etme hakkı mevcut olduğundan ihlal iddiasını öğrendiğinde kendiliğinden harekete geçebilir. Tüm bunların dışında kişisel verileri usulüne uygun olarak silmeyen veya anonim hâle getirmeyenler konusundaki yaptırımlarda ilgili kanunun 17. Maddesinde ise Türk Ceza Kanununun 138. maddesine göre cezalandırılacağı hüküm altına alınmaktadır. Ayrıca 6698 sayılı kanunun 18. Maddesinde idari yaptırımlar da düzenlenmiştir.

Genel hatlarıyla ifade ettiğim bu alan oldukça yeni ve bir o kadar da dinamik bir alandır. Günümüzde teknolojinin geldiği noktaları göz önüne aldığımızda her gün farklı platformlarda kolaylıkla verilerimiz işlenmekte ve çoğu zaman bizden habersiz aktarılmaktadır. Bu verilerin işlenmesi internet ortamında bizlere hizmet sunanlar açısından birçok alanda kolaylıklar sağlasa da verilerin istismar edilmesi riskini taşımaktadır. Kişisel verilerin korumak bir nevi özel hayatın gizliliği hakkıyla bağlantılı olup temel hak ve özgürlüklerimizin de teminatı konumundadır. Bu önemli sebep ve amaçlar bu alandaki kuralları her geçen gün daha da önemli hale getirmektedir.