Kişisel Verilerin Korunması ve Dikkat Edilmesi Gerekenler

tarihinde gönderilmiş tarafından

Kişisel Verilerin Korunması Kanunu (KVKK) işletmelerin gerçekleştirdiği veri saklama süreçlerinde önemli ölçüde etkili öyle ki kurallara uygun veri işlenmemesi cezai yaptırımlara sebep olabiliyor.

Hüseyin Yazar

Peki Kişisel Verilerin Korunması Kanunu neleri kapsıyor. Kurumlar bu anlamda hangi çalışmaları gerçekleştirmeli BTS & Partners avukatlarından Hüseyin Yazar ile gerçekleştirdiğimiz röportajımızda cevaplıyoruz.

Bize biraz kendinizden bahsedebilir misiniz?

Son 15 yıldır Türkiye’nin önde gelen kurum ve firmalarına çok kapsamlı hizmetler veren ve dijital dönüşümle birlikte sektörlerin gelişen taleplerini en iyi şekilde karşılamayı görev edinmiş BTS&Partners’da hizmet veren avukatlardan biriyim.

Kişisel Verilerin Korunması Kanun’u nedir? Ne zaman yürürlüğe girmiştir?

6698 Sayılı Kişisel Verilerin Korunması Kanunu (kısaca “6698 sayılı Kanun” olarak anılacaktır) veri sahipleri hakkında toplanan ve işlenen kişisel verilerin toplanma ve işlenme şartlarını belirleyen; bu çerçevede veri sahiplerinin kanuni hakları ile bu verileri işleyenlerin uyması gereken hukuki yükümlülükleri ortaya koyan bir yasadır.

Yasalaşma sürecinde ilk tasarı metni 2007 yılında Avrupa Birliği ile uyum sürecinde hazırlanmışsa da 6698 sayılı Kanun, 7 Nisan 2016 tarih ve 29677 sayılı Resmi Gazete’de yayımlanarak yürürlüğe girmiştir.

Kişisel veri kavramı nedir? Kişisel verilerin korunmasına neden ihtiyaç duyulmuştur?

Kişisel veri, kimliği belirli veya belirlenebilir yaşayan bir gerçek kişiye ait her türlü bilgidir. Örneğin ad, soyad ve T.C. kimlik numarası gibi bilgiler ile bu bilgilerle ilişkili olarak üretilen ve veri sahipleri tarafından açıklanan her türlü bilgi kişisel veri sayılmaktadır.

Kamu alanında ve özel sektörde mal ve hizmetlerin etkin biçimde bireylere sunulması; bu mal ve hizmetlerin bireylerin talepleri ile ekonominin gereklerine uygun biçimde geliştirilmesi, dağıtılması ve takip edilmesi için kişisel verilerin toplanması kaçınılmazdır. Zira, konu hakkında günümüzdeki farkındalık oluşmadan önce de bu verilerin ciddi ölçüde işlendiği izahtan varestedir. Bu bağlamda ortaya çıkan yanlış uygulamalar, kişisel verilerin sadece ilgili ve yetkili kişi veya kuruluşlarca muhafazası ve amaca uygun kullanımı ihtiyacını doğurmuştur. Ayrıca belirtmek gerekir ki, kişisel verilerin korunması Anayasal haklardandır. Dolayısıyla kişisel verilerin korunmasına amaç dışı kullanımlar, yetki dışı erişimler gibi hukuka aykırı davranışlar sebebiyle bireylerin temel hak ve özgürlüklerine zarar verilmesini önlemek için ihtiyaç duyulmuştur.

Bireyleri konu hakkında bilgilendirmek açısından kişisel verilerin işlenmesi ve açık rıza kavramını tanımlayabilir misiniz?

Kişisel verilerin tamamen veya kısmen otomatik olarak ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem, kişisel veri işlenmesi kavramı altında düzenlenmektedir.

Kişisel verileri işleyen kişilerden bir kısmına ise verilerin güvenliğinin sağlanması, veri sahiplerinin aydınlatılması, veri sahiplerinin açık rızalarının temin edilmesi gibi yükümlülükler getirilmektedir. Açık rıza veri sahiplerinin kendisiyle ilgili verilerin işlenmesine, özgürce, konuyla ilgili yeterli bilgi sahibi olarak, tereddüde yer bırakmayacak açıklıkta ve sadece o işlemle sınırlı olarak verdiği onay beyanı olup belirli şartlar altında bu beyan alınmadan verilerin işlenmesi hukuka aykırılığa sebep olmaktadır.

Hangi tür bilgiler özel nitelikli kişisel veri olarak değerlendirilebilir?

6698 sayılı Kanun ile bir takım kişisel verilere, hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine veya ayrımcılığa sebep olma riski nedeniyle, özel önem atfedilmiştir. Bu bağlamda, özel nitelikli kişisel verilerin daha sıkı bir koruma rejimi altına alındığı söylenebilecektir.

Bu veriler; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir. Bu veriler 6698 sayılı Kanun kapsamında sınırlı şekilde sayılmıştır.

Bu veriler amaca uygun olmak kaydıyla; veri sahiplerinin açık rızaları temin edilmek suretiyle ve sağlık ile cinsel hayata ilişkin olanlar hariç, kanunlarda öngörülmesi şartıyla işlenebilmektedir. Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler ise kamu sağlığının korunması, koruyucu hekimlik, tıbbı teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından veri sahiplerinin açık rızası aranmaksızın işlenebilmektedir. Bahsi geçen bu esaslara ek olarak, özel nitelikli kişisel verilerin işlenmesi halinde ek güvenlik tedbirlerinin alınması gerekmekte olup bu bağlamda Kişisel Verileri Koruma Kurulu tarafından belirlenen tedbirler alınmalı, konuya gerekli özen ile hassasiyet gösterilmeli ve ilgili verilere ancak kısıtlı sayıda kişinin erişimi olmalıdır.

Kişisel verilerin işlenmesinde temel ilkeler nelerdir? Açıklayabilir misiniz?

Kişisel verilerin işlenmesine ilişkin temel ilkeler 6698 sayılı Kanun’un 4’üncü maddesi kapsamında düzenleme altına alınmış olup aşağıda sayıldığı şekildedir. Tüm kişisel veri işleme faaliyetlerinin bu temel ilkelere uygun şekilde gerçekleştirilmesi gerekmektedir.

  1. Hukuka ve dürüstlük kurallarına uygunluk,
  2. Doğruluk ve güncellik,
  3. Belirli, açık ve meşru amaçlar için işlenmek,
  4. İşlendikleri amaçla bağlantılık, sınırlılık ve ölçülülük,
  5. İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.

Kişisel verilerin korunması kapsamında başvurular nereye yapılabilir?

Bu soruya ilişkin olarak birbiriyle karıştırılabilecek “başvuru” ve “şikayet” kavramlarından ayrı ayrı söz etmek gerekmektedir.

Anayasa’yla uyumlu olarak 6698 sayılı Kanun’un 11’inci maddesinde veri sahiplerinin haklarının neler olduğu düzenlenmektedir. Buna göre, veri sahipleri veri sorumlusuna başvurarak aşağıda yer alan hakları talep etme yetkisine sahiptir:

  1. Kişisel veri işlenip işlenmediğini öğrenme,
  2. Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
  3. Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
  4. Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
  5. Kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemlerin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  6. Kişisel Verilerin Korunması Kanunu ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesi veya yok edilmesini isteme ve bu kapsamda yapılan işlemlerin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  7. İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
  8. Kişisel verilerin 6698 sayılı Kanun’a aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.

Veri sahipleri, 6698 sayılı Kanun’un 14’üncü maddesi gereğince haklarına ilişkin başvurusunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; veri sorumlusu tarafından verilen cevabı öğrendiği tarihten itibaren otuz ve herhâlde başvuru tarihinden itibaren altmış gün içinde Kişisel Verileri Koruma Kurulu’na şikayette bulunabilmektedir.