Hukukçular KVKK hakkında bilinmesi gerekenleri anlattı: 'Kişisel veriler sohbet konusu değildir!'

Kişisel Verilerin Korunması Kanunu (KVKK) kişilerinin mahremiyetini korunması için 2010 yılında açıkça anayasal güvence altında ortaya konmuş bir düzenleme. Kanun, herhangi bir kişiye ait bir bilginin, verinin çeşitli yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi işleme faaliyeti olup, bu faaliyetleri bir sistem içinde yerine getiren her kurum, kuruluş ve işletmeyi tabi tutuyor.

Ancak Yurttaşların kişisel verilerin korunmasına ilişkin haklarının varlığına ilişkin bilinçlenme durumları henüz üst düzeyde olmadığı için Kanun kapsamında denetlemeleri gündemde yer almıyor.

KVKK hakkında uzman hukukçular, bilişim çağının gereği olarak bir kanunun düzenlendiğini söyleyerek, toplumların küresel bir yaşam içerisinde olduğunu ve kişilerin mahremiyetinin çok önemli bir husus olduğuna dikkat çekiyor.

Hukukçular, birçok kurum ve işletmenin veri ve özel nitelikli veri işlediğinin farkında olmadığını belirterek, KVKK’ya tabi olduklarından bile haberdar olmadıklarını söylüyor.

“İŞLETMELER İŞLEDİKLERİ TÜM VERİLERİ KORUMAKLA YÜKÜMLÜDÜR”

Kanun kapsamını belirleyen temel konunun kişisel verinin ne olduğu ve nasıl korunması gerektiği hususlarında toplandığını belirten Av. Elif Pak:

“Günümüzde işletmeler kişisel veri işlemediklerini düşünüyorlar ancak bir gerçek kişiye ait herhangi bir veriyi belirli bir kayıt altında tutan tüm işletmeler kişisel veri işliyor kabul edilmektedir. Veri işlemek; kaydetmek, saklamak, paylaşmak, kullanmak, imha etmek gibi farklı durumları da içerir.

İşletmeler işledikleri tüm verileri korumakla yükümlüdür. Kişisel verilerin korunması kanunu ile amaçlanan veri işlemenin kişinin bilgisi ve gerekli durumlarda onayı ile yapılması, kişinin verisinin ne şekilde saklanacağı, ne zaman silineceğini bilmesi ve en önemlisi bu verilerin sadece işleyen kişilerde kalmasının sağlanması yani verilerin gizliliğinin korunmasıdır.”

"İZNE GEREK OLMAMASI AYDINLATMA YÜKÜMLÜLÜĞÜNÜ ORTADAN KALDIRMIYOR"

İşletmelerin işçilerinin ya da çalıştıkları gerçek kişilerin verilerini kanunda sayılan istisnalarla açıkça rıza almadan işleyebileceklerini anlatan Av. Mehtap Güler:

“Burada dikkat edilmesi gereken çok önemli bir nokta var; herhangi bir kişisel verinin kanun gereği işlenmesinde izne gerek olmaması o veriyi işlemek için aydınlatma yükümlülüğünü ortadan kaldırmıyor. Yani kanunun izin verdiği veriyi işleyebiliriz. Ama yine de veri sahibi örneğin işçiye, ‘Kanun bana bu veriyi işlemek için yetki verdi ve ben bu yetkiyle bu veriyi sadece bu iş ile sınırlı olmak üzere işliyorum’ şeklinde bilgilendirmelidir.

Örnek olarak işyerinde çalışan işçileri ele alalım. Bir işveren kanun gereği işçinin TC kimlik numarasını, banka bilgilerini, SGK rapor bilgilerini saklamak durumunda. Bu durumda yine işçiyi hangi bilgiyi, hangi amaçla ve ne kadar süre saklayacağı konusunda aydınlatmakla yükümlüdür. Ayrıca kanun gereği tutulması gerekli olmayan verileri ise ancak açık rıza ile kayıt altına alınıp, saklanabilir ve verilen açık rıza her zaman geri de alınabilir.

İşletmeler veri işleyen çalışanlarına özel nitelikli olmayan kişisel verilerin ve özel nitelikli kişisel verilerin ne olduğu, önemi ve gizliliğin önemi konusunda eğitimler vermelidir.

İşveren tarafından verilen yetkinin çalışanlar tarafından kötüye kullanılması durumunda da işletmenin sorumlu olduğu Kurul tarafından kabul edildi. Bu noktada verilen eğitimler ve sözleşme hükümleri taraflar için koruyucu olacaktır. Çünkü imzalanacak sözleşmeler sadece çalışanı değil, kurumu da korumayı amaçlar.”

"AÇIK BİR YURTTAŞ HALİNE GELMEMEMİZ GEREKİYOR"

Kişisel verilerin korunmasının temel hak ve hürriyetlerden olan özel hayatın gizliliği kapsamında değerlendirilmesi gerektiğini belirten Av. Hanife Betül Çakır Ayan:

“Banko, gişe, masa gibi birden fazla kişinin yakın temasla kişisel veri paylaştığı yerlerde işletmelerin özel olarak dikkat ve koruma yükümlülüğü de vardır. Mesela bir siteye girdiğinizde sizden alınan kimlik bilgisi sizin kişisel verinizdir ve bu veriyi işleyen site yönetimi burada verilerinizi korumakla yükümlüdür. Kısaca, devlet nezdinde açık bir yurttaş haline gelmememiz gerekiyor. Şunu da unutmamak gerek ki; kişisel veriler bir sohbet konusu değildir.

ÖZEL NİTELİKLİ VERİLER

Veriler ‘özel nitelikli kişisel veri’ ve özel nitelikli olmayan kişisel veri olarak ayırabiliriz. Kanunun tanımı şu şekildedir:

‘Kanunda özel nitelikli kişisel veriler, tek tek sayılarak sınırlı şekilde belirlenmiştir. Bunlar; Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerdir. Özel nitelikli kişisel veriler sayılanlarla sınırlı olup, genişletilmesi mümkün değildir.’

Bu kapsamda bakıldığında özellikle doktorlar, psikiyatristler, diş hekimleri, tıp merkezleri, hastaneler, tüp bebek merkezleri, aile sağlığı merkezleri, eczaneler, radyolojik görüntüleme merkezleri, sağlık verisi işleyen psikologlar, diyetisyenler, fizyoterapistler, güzellik estetik merkezleri saç ekim, burun, dudak, optikler, spor merkezleri stüdyoları, alerji bilgisi işleyen kreş, anaokulu, okullar, kanun kapsamında özel nitelikli veri işlemektedirler.

İşlenen tüm veriler işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ve bu kapsamda kullanılması gerekir. Kurul tarafından verilen bir kararda spor salonuna yalnızca parmak izi okutularak girilebilmesi ölçülü bulunmamıştır. Parmak izi biyometrik veridir, yani özel nitelikli kişisel veridir. Spor salonuna girmek için bu verinin alınmasından başka seçenek sunulmaması amaçla uygun bulunmamıştır”

Kanun ve kurul kararları gereği işletmeler ve kurumlar tarafından alınması gerekli idari ve teknik tedbirler olduğunun altınız çizen, Av. Fatma Yağmur Şeker Öneş:

“Alınması gerekli tedbirler işletmelerin yapılarına ve ihtiyaçlarına göre uzman hukuk ekibimiz tarafından belirlenerek öncelikle idari tedbirler oluşturulmaktadır. Daha sonra özel olarak belirlenen teknik tedbirlerin uygulanması için yönlendirmeler yapılmakta ve işletmelerin tüm tedbirleri alması sağlanmaktadır.

İdari ve teknik tedbirlerin İşletmelerin uyum süreci sonrasındaki yol haritalarını belirler. Tedbirlerin hukuka uygun olabilmesi için Kişisel Verileri Koruma Kurulu kararlarının ve mevzuatın güncelliğine uygun olması ve gerekli teknik donanıma sahip olunması gerekir.

Kişisel Verilerin Korunması Kurulu 2018 yılında verdiği bir kararda, reklam ve promosyon içerikli mesaj ve elektronik posta gönderilmesinde kişilerden açık rıza alınması gerektiğini aksi taktirde bütün mesaj ve elektronik postaların durdurulması gerektiğini karar bağlamıştır. Yine Kurul resen inceleme ile başlattığı denetim sonucunda geçtiğimiz Temmuz ayında aydınlatma yükümlülüğü ve açık rıza beyanları işlemlerinin ayrı ayrı yapılması gerektiğini vurgulamış, gerekli şartlar sağlanmadan yurtdışına veri aktarılması suretiyle hukuka aykırı bir kişisel veri işleme faaliyeti gerekçesiyle otomotiv şirketine 900 bin TL idari para cezasına hükmetmiştir.

Kişisel verilerin korunması dışında yargı kararlarında da yer alan unutulma hakkı ile ilgili de Kurulun çok yakın tarihli bir kararı var: Kişiler ad ve soyadının yazılmasıyla arama motorlarında çıkan sonuçların değerlendirilerek indeksten kaldırılması için başvuruda bulunabileceği de belirtilmiştir.”

VERBİS NEDİR? KİMLER KAYIT OLMALI?

Kişisel veri işleyen gerçek ve tüzel kişilerin Veri Sorumluları Siciline (VERBİS) kayıt olma zorunluluğu olduğundan bahseden Av. Şule Nur Erşen: 

“Çalışan sayısı 50’den fazla olan veya yıllık bilançosu 25 milyondan fazla olan veya ana faaliyet konusu özel nitelikli kişisel veriler olan tüm ilgililerin veri sorumluları siciline kayıt yükümlülüğü vardır. İlgili süreler kapsamında sicile kayıt ve bildirim yükümlülüklerine aykırı hareket edenler hakkında kurul tarafından 36 bin 52 TL ile 1 milyon 802 bin 640 TL arasında idari para cezası uygulanır. Ancak unutulmamalıdır ki; VERBİS’e kayıt yaptırılması ya da kayıt yükümlülüğünden istisna olunması kanunda yer alan diğer yükümlülüklerin yerine getirilmeyeceği anlamına gelmemektedir.

Yapılan düzenlemelerde Veri Sorumluları Sicili’ne kayıtla yükümlü olanlar açıkça belirtilmiştir. Ancak örneğin biz avukatlar VERBİS’e kayıttan istisna tutulmuş olmamıza rağmen kanunda belirtilen tüm yükümlülüklerden sorumluyuz. Aynı şekilde işçileri olan işveren ya da gerçek kişilerin kayıtlarını tutan herhangi bir işletme de kanun gereği sorumludur ve kaydettiği tüm verileri güvenle saklamakla yükümlüdür.

Pandemi sebebiyle ilgili Kurul tarafından uzatılan süreler Verbis’e kayıt için belirlenen sürelerdir. Kanuna uyum ve kişisel verileri koruma yükümlülüklerimiz hepimiz adına başlamıştır ve devam etmektedir. Bu süreç verilerin silinmesi imha edilmesi sürecine kadar devam etmektedir.”

KİŞİSEL VERİLERİN İHLALİ DURUMUNDA NE YAPILMALI?

Son olarak hukukçular, veri ihlaline ilişkin yapılması gerekenleri şu şekilde anlattı:

“Şikayet bildirimleri kurula yapılabilir. Ancak yapılan şikayet neticesinde kurul yalnızca ihlale sebebiyet şirket ya da gerçek kişiye idari yaptırım kararı verebilir, başvuruyu yapan ilgili kişiye uğranılan zarar sebebiyle bir tazminat ödenmesi hususunda karar vermemektedir. Söz konusu zarara ilişkin olarak talep edilecek tazminatlar istekleri genel mahkemeler nezdinde değerlendirilebilir.

Kişisel verilerin işlemesi kapsamında kişilik haklarının ihlal edildiğini düşünen ilgili kimse tarafından öncelikle bu ihlale sebebiyet veren şirket ya gerçek kişiye yazılı olarak başvurulması ve bu ihlalin ortadan kaldırılması, ihlal neticesinde uğranılan zararın giderilmesi gibi talepleri mutlaka bildirilmesi gerekmektedir. Yapılan bu başvuruya yetersiz cevap verilmesi, taleplerin reddedilmesi veya 30 gün içerisinde hiç cevap verilmemesi halinde ancak kurula şikayete gidilebilir. Dolayısıyla, ilgili başvuru yapılmadan doğrudan kurula şikayet yoluna gidilmesi mümkün değildir. Kurula yapılacak olan şikayet süresi ise yapılan başvuru neticesinde verilen cevabın öğrenildiği tarihten itibaren 30 gün ve her hâlükârda başvuru tarihinden itibaren 60 gün olarak belirlenmiştir.

Burada önemle belirtmek gerekir ise bu sürelerin kaçırılması yapılan hak ihlaline ilişkin başkaca bir yol izlenemeyeceği anlamına gelmemektedir. Keza kurula başvuru yapılmaksızın genel hükümler çerçevesinde mahkemeler nezdinde tazminat ve cezaya ilişkin taleplerin ileri sürülmesi mümkündür.

6698 sayılı kanun kapsamında getirilen yükümlülere aykırı hareket edilmesi neticesinde kurul tarafından oldukça yüksek para cezaları ile karşı karşıya kalınabilir. Bu nedenle firmanızı, ofisinizi, doktor isek muayenehanenizi kanuna uyumla hale getirilmesi adına kvk konusunda uzman ve ihtisas sahibi hukukçular ile birlikte teknik bir ekipten bir fiil destek alınması oldukça önemlidir. Nitekim söz konusu para cezaları oldukça yüksek olduğu gibi yapılacak herhangi bir ihlal aynı zaman türk ceza kanunu kapsamında da bir takım yaptırımlar ile karşı karşıya kalınması kaçınılmaz olacaktır.”