Kişisel verileri koruma kanunları, bireylerin verilerinin izinsiz kullanılmasını ve bu verilerin korunmasını amaçlayan düzenlemelerdir. Türkiye’de bu kanun 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) olarak bilinir.
KVKK’ya uygun şekilde, hukuki güvenliğiniz şu yollarla sağlanmaktadır:
1. Veri Toplama ve İşleme, Kişisel veriler sadece belirli, açık ve meşru amaçlar doğrultusunda toplanır ve işlenir. Gereksiz veri işlenmez ve toplanan veriler yalnızca gerekli süre boyunca saklanır.
2. Açık Rıza ve Bilgilendirme, Verileriniz işlenmeden önce, verilerin hangi amaçla toplandığı, nasıl kullanılacağı ve saklanacağı konusunda açık bilgilendirme yapılır ve bu işlem için sizin rızanız alınır.
3. Veri Güvenliği Tedbirleri, Verilerin korunması için teknik ve idari tedbirler alınır. Bu, veri ihlalleri ve yetkisiz erişimlere karşı güvenlik duvarları, şifreleme ve izleme sistemlerinin kullanılması anlamına gelir.
4. Verilerin Üçüncü Kişilere Aktarılması, Kişisel verileriniz, sadece açık rızanızla veya kanunda belirtilen durumlarda üçüncü şahıslara aktarılır. Bu aktarım sırasında da güvenlik önlemleri uygulanır.
5. Haklarınızı Kullandırma, KVKK kapsamında, veri sahibi olarak verilerinizin işlenip işlenmediğini öğrenme, eksik ya da yanlış işlenmiş verilerin düzeltilmesini talep etme, verilerin silinmesini isteme gibi haklarınız vardır. Bu haklarınızı talep etmeniz durumunda yasal çerçevede gerekli işlemler yapılır.
Kişisel Verilerin Korunması Kanunu’na uygun hareket ederek hukuki güvenliğin nasıl sağlandığını örneklerle açıklayalım
1. Veri Toplama ve İşleme İlkesi Örneği, Bir bankaya kredi başvurusu yaptığınızda, banka sizden kimlik, gelir durumu ve iletişim bilgileri gibi kişisel veriler ister. Banka, sadece kredi başvurusu değerlendirme amacıyla gerekli olan bilgileri toplar. Örneğin, hobi veya din gibi krediyle ilgisi olmayan bilgileri istemez. Ayrıca, bu verileri yalnızca yasal sürecin tamamlanması için gerekli olan süre boyunca saklar.
2. Açık Rıza ve Bilgilendirme Örneği, Bir e-ticaret sitesine üye olduğunuzda sizden ad, soyad, adres ve telefon numarası gibi kişisel veriler talep edilir. E-ticaret sitesi size, bu bilgilerin hangi amaçlarla kullanılacağını (örneğin kargo işlemleri, müşteri desteği) açıkça bildirir. Ayrıca, bu bilgilerin işlenmesine onay vermeniz için sizden açık rıza ister. Bu bilgilendirme ve rıza olmadan verilerinizi kullanamaz.
3. Veri Güvenliği Tedbirleri Örneği, Bir sağlık kuruluşu, hastaların tıbbi kayıtlarını dijital ortamda saklamaktadır. Sağlık kuruluşu, bu verilerin güvenliği için şifreleme teknolojileri, güvenlik duvarları ve veri yedekleme sistemleri gibi teknik önlemler alır. Ayrıca, bu verilere sadece yetkili sağlık personelinin erişebilmesi için kullanıcı yetkilendirme sistemi uygular. Hastanın verilerine dışarıdan izinsiz erişim engellenir.
4. Verilerin Üçüncü Kişilere Aktarılması, Bir sigorta şirketi, müşterisinin kişisel verilerini sağlık kuruluşlarıyla paylaşmak istemektedir. Sigorta şirketi, müşterisine bu paylaşımın neden gerekli olduğunu açıklayarak açık rızasını alır. Müşteri bu duruma onay vermezse, verileri sağlık kuruluşuyla paylaşılmaz. Ancak sigorta işlemleri için yasal bir gereklilik söz konusuysa, kanunun izin verdiği ölçüde veri aktarımı yapılabilir.
5. Haklarınızı Kullandırma Örneği, Bir internet hizmet sağlayıcısı, müşterilerinin kişisel verilerini işlemektedir. Bir müşteri, sağlayıcıya başvurarak hangi verilerinin işlendiğini öğrenmek isteyebilir. Ayrıca, eğer bilgilerde yanlışlık veya eksiklik varsa düzeltilmesini talep etme hakkına sahiptir. Sağlayıcı, müşterinin talebi doğrultusunda verilerini düzeltir ya da talep edilirse tamamen siler.
Bu örneklerle, Kişisel Verilerin Korunması Kanunu'na uygun hareket edilerek bireylerin hukuki güvenliği nasıl sağlandığını daha somut hale getirmiş olduk.
Kişisel Verileriniz İhlal Edildiyse Ne Yapabilirsiniz?
Kişisel Verileri Koruma Kurulu’na (KVK) Şikayet Veri sorumlusunun yanıtı yetersizse veya yanıt vermediyse, Kişisel Verileri Koruma Kurulu’na şikayette bulunabilirsiniz. Şikayet hakkınız veri sorumlusundan cevap aldığınız tarihten itibaren 30 gün içinde, eğer cevap alamadıysanız 60 gün içinde kullanılmalıdır.
Şikayet dilekçenizi Kişisel Verileri Koruma Kurumu’na yazılı olarak veya e-Devlet üzerinden online olarak iletebilirsiniz. Şikayette, veri ihlaliyle ilgili ayrıntılar (tarih, ihlalin niteliği, hangi hakların ihlal edildiği vb.) belirtilmelidir. Şikayetin İncelenmesi Kurul, şikayetle ilgili incelemeyi yapar ve veri sorumlusuna cezai yaptırımlar uygulayabilir. Kurul, incelemenin sonucunu size bildirir.
Kişisel veri ihlali nedeniyle maddi veya manevi zarar gördüyseniz, genel hükümlere göre tazminat davası açabilirsiniz. Bunun için asliye hukuk mahkemelerine başvurabilirsiniz. Tazminat Davası Eğer saldırı nedeniyle mali bir kayba uğradıysanız ya da manevi zarar yaşadıysanız, veri sorumlusuna karşı dava açarak tazminat talep edebilirsiniz.
Kişisel verilerin hukuka aykırı olarak ele geçirilmesi veya kullanılması, Türk Ceza Kanunu’nun 136. maddesi uyarınca suç teşkil eder. Bu durumda savcılığa suç duyurusunda bulunabilirsiniz. Savcılık bu durumu cezai açıdan inceleyerek, suçun boyutuna göre hapis veya para cezası gibi yaptırımlar uygulayabilir.
Av. Tuğba ÇAĞLAR