Tüm yönleriyle kişisel verilerin korunması ve ihlali
Bu yazımda öncelikle kanunlardan bahsedip konuyu hukuki olarak ele alacağım, bunun yanında, "kişisel verilerin ihlali durumunda ihlalin engellenmesi için ne yapılması gerekir?" sorusunun cevabını işleyeceğim.
KİŞİSEL VERİLERİN KORUNMASI ve İHLALİ
Gelişen teknolojinin de etkisiyle, günümüzde bireylere ilişkin çeşitli veriler farklı
platformlarda kolaylıkla işlenmektedir ve aktarılmaktadır. Bu verilerin işlenmesi ve
aktarılması bireylere çeşitli kolaylıklar sağlamaktadır, ancak bunun yanında
istismar edildiği de çokça görülmektedir, bu istismarın önüne geçilmesinin ve
kişisel verilerin korunmasının yasalar ile sağlanması, kaçınılmaz olmuştur.
(Avrupa Konseyi tarafından, tüm üye ülkelerde kişisel verilerin aynı standartlarda
korunması için hazırlanan 108 Sayılı Sözleşme 1981 yılında ülkemiz tarafından
da imzalanmıştır, bu konu ile ilgili kanunlar Amerika ve Avrupa'da on-on beş yıl
önce çıkarılmıştır, ülkemizde gecikmeli de olsa Kişisel Verilerin Korunmasına
ilişkin Kanun 2016 yılında çıkarılmıştır.)
Bu gereklilik üzerine önce Anayasa'da değişiklik yapılmış, sonra da Kişisel
Verilerin Korunması Kanunu yürürlüğe girmiştir.
ANAYASAL HAK OLARAK "KİŞİSEL VERİLERİN KORUNMASI"
Anayasa'nın "Özel Hayatın Gizliliği ve Korunması" başlıklı 20. maddesine 2010
yılında eklenen fıkrada "Herkes, kendisiyle ilgili kişisel verilerin korunmasını
isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında
bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep
etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar.
Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla
işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla
düzenlenir." hükmü eklenmiştir. Bu kapsamda Kişisel Verilerin Korunması
Kanunu 07.04.2016 tarihinde yürürlüğe girmiştir. Bu kanunla, kişisel verilerin
işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve
özgürlüklerini korumak ve kişisel verileri işleyen özel ve tüzel kişilerin
uyarılacakları usul ve esasların belirlenmesi amaçlanmıştır.
Temel bir hak olan kişisel verilerin korunmasını isteme hakkı, tüm hak ve
özgürlüklerde olduğu gibi, Anayasa'da çizilen sınırlar çerçevesinde diğer hak ve
özgürlükler lehine sınırlandırılabilir.
Öncelikle "Kişisel veri" nedir? "Kişisel veriler nasıl işlenir?" bunların tanımını
yapmak gerekir.
Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi,
Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan
ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan
yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi,
değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması,
elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının
engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem, demektir.
Kural olarak, KİŞİSEL VERİLER, İLGİLİ KİŞİNİN RIZASI OLMADAN
İŞLENEMEZ, AKTARILAMAZ. Bu kuralın istisnaları kanunda sayılmıştır.
Aşağıda sayılan şartlardan birinin varlığı halinde, kişinin rızası olmasa dahi,
kişisel verilerin işlenmesi mümkündür:
a) Kanunlarda açıkça öngörülmesi.
b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya
rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının
hayatı veya beden bütünlüğünün korunması için zorunlu olması.
c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması
kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu
olması.
d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.
e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu
olması.
f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri
sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
Kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması zorunludur:
a) Hukuka ve dürüstlük kurallarına uygun olma.
b) Doğru ve gerektiğinde güncel olma.
c) Belirli, açık ve meşru amaçlar için işlenme.
ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.
d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar
muhafaza edilme.
KİŞİSEL VERİLERİN KORUNMASI KANUNU'NUN UYGULANMASININ İSTİSNALARI:
Her türlü veri işleme faaliyeti için bu Kanun hükümleri uygulanmaz, Kanun
kapsamına girmeyen haller, kanunda sıralanmıştır; bu haller tamamen kapsam
dışı ve kısmen kapsam dışı haller olmak üzere ikili bir ayrıma tabi tutulmuştur.
Tam istisna halinde kanun hükümleri hiçbir şekilde uygulanmazken, kısmi istisna
hallerinde kanunun bazı hükümleri uygulanmamaktadır.
Kişisel Verilerin Korunması Kanunu hükümleri aşağıdaki hâllerde
uygulanmaz:
Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin
yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle
veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi.
b) Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma,
planlama ve istatistik gibi amaçlarla işlenmesi.
c) Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu
düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal
etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel
amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.
ç) Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu
düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve
yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu
ve istihbari faaliyetler kapsamında işlenmesi.
d) Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine
ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.
Kişisel Verilerin Korunması Kanunu hükümleri aşağıdaki hâllerde kısmen uygulanmaz:
a) Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için
gerekli olması.
b) İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.
c) Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili
kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca,
denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya
kovuşturması için gerekli olması.
ç) Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin
ekonomik ve mali çıkarlarının korunması için gerekli olması.
Kişisel Verilerin Korunması/Saklanması ile İlgili Talepte Bulunmak İçin Başvuru Usulü
Kişisel verileri ile ilgili talepte bulunmak isteyen kişi, Kanunun uygulanmasıyla
ilgili taleplerini yazılı olarak veya Kişisel Verileri Koruma Kurulu'nun belirleyeceği
diğer yöntemlerle veri sorumlusuna iletir. Veri sorumlusu başvuruda yer alan
talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz
olarak sonuçlandırır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde,
Kurulca belirlenen tarifedeki ücret alınabilir. Veri sorumlusu talebi kabul eder
veya gerekçesini açıklayarak reddeder ve cevabını ilgili kişiye yazılı olarak veya
elektronik ortamda bildirir. Başvuruda yer alan talebin kabul edilmesi hâlinde veri
sorumlusunca gereği yerine getirilir. Başvurunun veri sorumlusunun hatasından
kaynaklanması hâlinde alınan ücret ilgiliye iade edilir.
Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde
başvuruya cevap verilmemesi hâllerinde; ilgili kişi, veri sorumlusunun cevabını
öğrendiği tarihten itibaren otuz ve her hâlde başvuru tarihinden itibaren altmış
gün içinde Kişisel Verileri Koruma Kurulu'na şikâyette bulunabilir. Veri
sorumlusuna başvurulmadan, şikâyet yoluna başvurulamaz. Kişilik hakları ihlal
edilenlerin, genel hükümlere göre tazminat hakkı saklıdır.
Devlet sırrı niteliğindeki bilgi ve belgeler hariç; veri sorumlusu, Kişisel Verileri
Koruma Kurulu'nun, inceleme konusuyla ilgili istemiş olduğu bilgi ve belgeleri on
beş gün içinde göndermek ve gerektiğinde yerinde inceleme yapılmasına imkân
sağlamak zorundadır.
Şikâyet üzerine Kurul, talebi inceleyerek ilgililere bir cevap verir. Şikâyet
tarihinden itibaren altmış gün içinde cevap verilmezse talep reddedilmiş sayılır.
Şikâyet üzerine veya resen yapılan inceleme sonucunda, ihlalin varlığının
anlaşılması hâlinde Kurul, tespit ettiği hukuka aykırılıkların veri sorumlusu
tarafından giderilmesine karar vererek ilgililere tebliğ eder. Bu karar, tebliğden
itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirilir.
Şikâyet üzerine veya resen yapılan inceleme sonucunda, ihlalin yaygın
olduğunun tespit edilmesi hâlinde Kurul, bu konuda ilke kararı alır ve bu kararı
yayımlar. Kurul, ilke kararı almadan önce ihtiyaç duyması hâlinde, ilgili kurum ve
kuruluşların görüşlerini de alabilir.
Kurul, telafisi güç veya imkânsız zararların doğması ve açıkça hukuka aykırılık
olması hâlinde, veri işlenmesinin veya verinin yurt dışına aktarılmasının
durdurulmasına karar verebilir.
KİŞİSEL VERİLERE İLİŞKİN SUÇLAR VE KABAHATLER
Suçlar
Kişisel verilere ilişkin suçlar bakımından 26/9/2004 tarihli ve 5237 sayılı Türk
Ceza Kanunu'nun 135 ila 140 ıncı madde hükümleri uygulanır.
Kişisel verilerin kaydedilmesi
Madde 135- (1) Hukuka aykırı olarak kişisel verileri kaydeden kimseye bir yıldan üç yıla kadar
hapis cezası verilir. (2) Kişisel verinin, kişilerin siyasi, felsefi veya dini görüşlerine, ırki
kökenlerine; hukuka aykırı olarak ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya
sendikal bağlantılarına ilişkin olması durumunda birinci fıkra uyarınca verilecek ceza yarı
oranında artırılır.
Verileri hukuka aykırı olarak verme veya ele geçirme
Madde 136- (1) Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren
kişi, iki yıldan dört yıla kadar hapis cezası ile cezalandırılır.
Nitelikli haller
Madde 137- (1) Yukarıdaki maddelerde tanımlanan suçların; a) Kamu görevlisi tarafından ve
görevinin verdiği yetki kötüye kullanılmak suretiyle, b) Belli bir meslek ve sanatın sağladığı
kolaylıktan yararlanmak suretiyle, İşlenmesi halinde, verilecek ceza yarı oranında artırılır.
Verileri yok etmeme
Madde 138- (1) Kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok
etmekle yükümlü olanlara görevlerini yerine getirmediklerinde bir yıldan iki yıla kadar hapis cezası
verilir. Suçun konusunun Ceza Muhakemesi Kanunu hükümlerine göre ortadan kaldırılması veya
yok edilmesi gereken veri olması hâlinde verilecek ceza bir kat artırılır. .
Şikayet
Madde 139- (1) Kişisel verilerin kaydedilmesi, verileri hukuka aykırı olarak verme veya ele
geçirme ve verileri yok etmeme hariç, bu bölümde yer alan suçların soruşturulması ve
kovuşturulması şikayete bağlıdır.
Tüzel kişiler hakkında güvenlik tedbiri uygulanması
Madde 140- (1) Yukarıdaki maddelerde tanımlanan suçların işlenmesi dolayısıyla tüzel kişiler
hakkında bunlara özgü güvenlik tedbirlerine hükmolunur.
Bu Kanunun 7 nci maddesi hükmüne aykırı olarak; kişisel verileri silmeyen
veya anonim hâle getirmeyenler 5237 sayılı Kanunun 138 inci maddesine
göre cezalandırılır.
Kabahatler
Bu Kanunun;
a) 10 uncu maddesinde öngörülen aydınlatma yükümlülüğünü yerine
getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar,
b) 12 nci maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine
getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar,
c)
15 inci maddesi uyarınca Kurul tarafından verilen kararları yerine getirmeyenler
hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar,
ç) 16 ncı
maddesinde öngörülen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne
aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına
kadar, idari para cezası verilir.
Bu maddede öngörülen idari para cezaları veri sorumlusu olan gerçek kişiler ile
özel hukuk tüzel kişileri hakkında uygulanır.
Bu eylemlerin kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek
kuruluşları bünyesinde işlenmesi hâlinde, Kurulun yapacağı bildirim üzerine, ilgili
kamu kurum ve kuruluşunda görev yapan memurlar ve diğer kamu görevlileri ile
kamu kurumu niteliğindeki meslek kuruluşlarında görev yapanlar hakkında
disiplin hükümlerine göre işlem yapılır ve sonucu Kurula bildirilir.
Siz ne düşünüyorsunuz? Yorum yazın!