Kişisel verilerin geçmişten bugüne kayda alındığı, yetkililerce dönemin koşullarına göre mümkün olduğunca işlendiği ortada olan bir gerçektir. Aksi halde sürdürülebilirliğin sağlanması pek mümkün gözükmemektedir. Ancak gelişen teknoloji ile kişisel verilen herhangi bir sınırlama ya da denetime tabii olması birey ve toplum için tehlike arz etmeye başlamıştır. Tehlikelerin ve ihlallerin önüne geçilmesi amaçlanarak kişisel veriler ve verilerin korunmasına ilişkin çalışmalara başlanmıştır. Ülkemizde de bu doğrultuda 6698 Sayılı Kişisel Verilerin Korunması Kanunu 24 Mart 2016 Tarihinde TBMM tarafından kabul edilmiş; 7 Nisan 2016 tarihinde yürürlüğe girmiştir. Bu yazımızda da kişisel verilerin korunması kapsamında ilgili kişinin haklarını ele alacağız.

Kişisel Veri ve İlgili Kişi Kavramları Birbirinden Ayrılabilir mi?

Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir. Kişisel veriden söz edebilmek için, bilginin belirli bir niteliğe sahip ve aynı zamanda gerçek bir kişiye ilişkilendiriliyor olması gerekir.

İlgili kişi de kişisel verisi işlenen gerçek kişi olarak tanımlanmıştır. Kanunda sadece gerçek kişilere ait bilgiler kişisel veri kabul edilmiş ve koruma altına alınmıştır. Tüzel kişiler kanun kapsamı dışında tutulmuştur. Sonuç olarak kişisel veri ve ilgili kişi kavramları birbirinden ayrılamayacak bir bütünü oluşturmaktadır. Kanunda kişisel verinin tanımı yapılırken herhangi bir kısıtlama getirilmemiş ve böylece ilgili kişinin maruz kalabileceği hak ihlallerinin önüne geçilmiştir.

İlgili Kişinin Hakları Nelerdir?

İlgili kişinin hakları kanunun 11. Maddesinde düzenlenmiş. İlgili kişi:

Kişisel verilerinin işlenip işlenmediğini öğrenme ve işlenmişse buna ilişkin bilgi talep etme,

Verilerin işlenme amacını ve işlemenin amaca uygun gerçekleşip gerçekleşmediğini öğrenme,

Verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme ya da işleme amacının ortadan kalkması halinde verilerin silinmesini isteme,

Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, verilerin düzeltilmesi ya da silinmesi halinde bu hususların üçüncü kişilere bildirilmesini talep etme,

Verilerin işlenmesi sebebiyle kendi aleyhine bir sonucun ortaya çıkması halinde itiraz etme ve zarara uğramış ise zararın giderilmesini talep etme,

Haklarına sahiptir.

Önemle belirtmek gerekir ki ilgili kişinin haklarının, veri sorumlusunun aydınlatma ve veri güvenliğine ilişkin yükümlülükleri ile doğrudan ilişkisi vardır. Veri sorumlusu ilgili kişiyi; işlenecek kişisel veri hakkında, ne amaçla işleneceği, kimlere aktarılacağını şeffaf bir şekilde aydınlatmalıdır. Aynı zamanda işlenecek verinin hukuka aykırı bir şekilde işlenmesini önlemek, muhafaza altına almak ve üçüncü bir kişi tarafından ele geçirilmesini önlemekle yükümlüdür. Veri sorumlusunun bu yükümlülüklere aykırı hareket etmesi halinde de ilgili kişinin haklarının ihlale uğraması kaçınılmaz olacaktır. Bu hususlar kanun kapsamında düzenlenmiş olup; kanunun tek amacının da kişisel veriyi ve ilgili kişiyi korumak olduğunu açık bir şekilde ortaya koymaktadır.

İlgili kişi haklarını koruma altına almak ya da ihlalin yaşanması halinde nasıl bir yol izlemelidir?

6698 Sayılı Kişisel Verilerin Korunması Kanunu m.13-15’te ilgili kişinin başvuru ve şikâyet hakkı düzenlenmiştir.

İlgili Kişinin Veri Sorumlusuna Başvurusu

İlgili kişilerin, veri sorumlusuna başvurarak; kendileriyle ilgili kişisel verilerin işlenip işlenmediğini öğrenmek, işlenmişse bunları talep etmek, işlenen verinin eksik veya yanlış olması halinde bunların düzeltilmesini, hukuka aykırı olması halinde ise silinmesini, yok edilmesini ve bu doğrultuda yapılacak değişikliklerin verilerin açıklandığı üçüncü kişilere bildirilmesini ve verilerin kanuna aykırı olarak işlenmesi sebebiyle zararlarının giderilmesini talep etme hakları bulunmaktadır.

Kanunun 14. Maddesi uyarınca ilgili kişi taleplerini öncelikli olarak veri sorumlusuna iletmek zorundadır. Başvurusun reddedilmesi, başvuruya süresi içinde cevap verilmemesi ya da cevabın yetersiz olması halinde ilgili kişi Kurula şikâyet yoluyla başvurabilir.

İlgili kişi, taleplerini yazılı olarak veri sorumlusuna iletmesi halinde; veri sorumlusu en kısa sürede ve en geç otuz gün içinde sonuçlandırmak, sonucu ilgili kişiye bildirmekle yükümlüdür. Veri sorumlusu ilgili kişinin talebini kabul ederse en kısa sürede talep doğrultusunda işlem yapmalıdır. Ancak veri sorumlusu başvuruyu reddetmesi ya da süresi içinde cevap vermemesi veya ilgili kişi tarafından cevabın yetersiz bulunması hallerinde ilgili kişinin kurula şikâyet hakkı doğmaktadır.

Kurula Şikâyet

İlgili kişi, veri sorumlusunun cevabını öğrendiği tarihten itibaren 30 ve her halde başvuru tarihinden itibaren 60 gün içinde Kurula şikâyette bulunabilir.

İlgili kişinin kanunda belirtilen sürelerde kurula şikâyet hakkı bulunmaktadır. Kanunda yer alan sürelerin zaman içinde farklı yorumlandığı ve hak kayıplarına sebep olduğu için 24.01.2019 tarih ve 2019/9 sayılı Kurul Kararı ile konuya açıklık getirilmiştir. Şöyle ki:

İlgili kişi tarafından yapılan başvuruya veri sorumlusunca 30 gün içinde bir cevap verilmesi halinde, ilgili kişinin kurula şikâyet hakkı süresi cevabın verildiği ertesi gün başlar. Örnek vermek gerekirse başvuruya 10. Günde cevap verilmesi halinde ilgili kişinin kurula başvuru süresi 50 gündür.

İlgili kişi tarafından yapılan başvuruya veri sorumlusunca bir cevap verilmediği durumda ise ilgili kişinin veri sorumlusuna başvurduğu tarihten itibaren 60 gün içinde Kurula şikâyette bulunabilir.

İlgili kişi tarafından yapılan başvuruya veri sorumlusunca Kanunda tanınan 30 günlük süre sonrasında bir cevap verilmesi halinde ise ilgili kişinin, verilen cevap ve cevabın doğurduğu şikâyet süresiyle bir bağlılığı bulunmamaktadır İlgili kişinin veri sorumlusunun kendisine cevap verdiği tarihten itibaren 30 gün değil, veri sorumlusuna başvurduğu tarihten itibaren 60 gün içinde Kurula şikâyette bulunabilir.

Kurulun, şikâyet üzerine yapacağı inceleme ile ilgili olarak 60 günlük süre içerisinde bir cevap vermesi öngörülmüştür. Kurulun yapacağı inceleme sonucunda ihlal tespit edilirse, tespit ettiği ihlallerin veri sorumlusu tarafından giderilmesine karar verir ve kararı ilgililere tebliğ eder. Bu karar, tebliğden itibaren gecikmeksizin ve en geç otuz gün içinde veri sorumlusunca yerine getirilmelidir. Kurul, ilgili kişinin şikâyet talebine 60 gün içinde cevap vermezse, kanun hükmü uyarınca talep reddedilmiş sayılacaktır. Verilen Kurul kararlarına karşı ilgili kişinin idare mahkemelerinde dava açma hakkı bulunmaktadır.

KVKK VE GDPR ARASINDAKİ TEMEL FARKLAR

Avrupa Birliği tarafından kişisel verilerin korunması, saklanması ve ihlallerinin ağır yaptırımlarla sonuçlanması amacıyla daha sıkı ve kapsamlı bir şekilde düzenlenen 25 Mayıs 2018 tarihinde Genel Veri Koruma Yönetmeliği (GDPR) yürürlüğe girmiştir. Bu düzenleme Avrupa Birliği sınırları içerisinde gerçekleşen her türlü kişisel veriye ilişkin eylemler ve kişilerin hakları GDPR ile koruma altına almaktadır. Ülkemizde yürürlükte olan 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nun ulusal nitelikte olması bile GDPR’ın daha geniş kapsamlı olduğunu açık bir şekilde ortaya koymaktadır.

GDPR ile KVKK arasındaki en temel farklardan birisi ise idari para cezalarında gündeme gelmektedir. GDPR’da idari para cezaları üst sınır 20.000.0000 Euro veya bir önceki mali yılın yıllık dünya çapındaki cirosunun %4’üne kadar belirlenebileceği; KVKK’da ise üst sınırı 1.000.000 TL olarak düzenlenmiştir. Yaptırımlar ne kadar caydırıcı bir şekilde düzenlenirse verilerin işlenmesi, şifrelenmesi, verilere ilişkin alınan güvenlik önlemlerine uyulması kaçınılmaz olacaktır. GDPR’da bu doğrultuda veri sorumlusunu ve veri işleyeni ağır yaptırımlara tabii tutmuştur. Mevzuatımızda ise sadece veri sorumlusu idari cezalarda sorumlu tutulmuştur.