KİŞİSEL VERİLERİ KORUMA KANUNU KAPSAMINDA HAKLARIMIZ

Kişisel veri; kişinin kendisine ait her türlü bilgiyi ifade etmektedir. Bu bilgilerin ne kadar değerli olduğunu çoğu zaman kendimiz dahi fark edememiş olabiliriz. Örneğin cep telefonu numaranızın öğrenilmesi dolandırıcılar ile, kan grubunun veya gen haritanızın öğrenilmesi organ mafyası ile, sendikanızın öğrenilmesi ayrımcılık ile, gizlediğiniz bir hastalığınızın öğrenilmesi sizi ailesel bir çatışma ile karşı karşıya bırakabil-mektedir. Kişinin verisi, kendisine ait bilgisi değerlidir. Bu değerin korunması için Kişisel Verilerin Korunması Kanunu yürürlüğe girmiştir. Bilgilerimizi ele geçiren kişilere karşı Kişisel Verileri Koruma Kuruluna başvurmamız halinde, ihlal edenlere karşı ciddi parasal cezalar verilmekle birlikte, Türk Ceza Kanunu kapsamında suç teşkil etmesi durumunda cezalandırılması sağlanmaktadır

Aşağıda başlıklarla Kişisel Verileri Koruma Kanunu, içerisinde bulunan tanımlar ve haklarınızı arama yönetimi ayrıntılı olarak anlatılmıştır.

KORUMANIN ANAYASAL TARİHÇESİ

2010 yılı Anayasa değişikliği ile Anayasanın 20. maddesine “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel verileri hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak Kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir” şeklinde bir fıkra eklenerek, kişisel verilerin korunması açıkça anayasal güvence altına alınmıştır.

KİŞİSEL VERİLERİN KORUNMASI KANUNUNUN AMACI NEDİR?

  • Kişisel verilerin sınırsız biçimde ve gelişigüzel toplanmasının önlenmesi,
  • Yetkisiz kişilerin erişimine açılmasının önlenmesi,
  • İfşası veya amaç dışı ya da kötüye kullanımı sonucu kişilik haklarının ihlal edilmesinin önüne geçilmesi,
  • Kişinin mahremiyetinin korunması ile veri güvenliğinin sağlanması

KİŞİSEL VERİLERİN KORUNMASI KANUNU KİMLERİ KAPSAMAKTADIR?

  • Kişisel verileri işlenen gerçek kişiler,
  • Bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin (kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi) parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek kişiler,
  • Bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin (kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi) parçası olmak kaydıyla otomatik olmayan yollarla işleyen tüzel kişiler,

Hakkında uygulanır. Kişisel verileri işlenen tüzel kişiler bu kanun kapsamında değildir.

KANUNUN UYGULANMAYACAĞI VERİ İŞLEME FAALİYETLERİ

Kanunun 28. maddesinde, bazı hallerde Kanun hükümlerinin uygulanmayacağı belirtilmektedir. Bu çerçevede, Kanun kapsamına girmeyen haller, 28. maddede tamamen veya kısmen kapsam dışı olan haller olmak üzere ikili bir ayrıma tabi tutulmuştur.

1. Tam İstisna Halleri

Kişisel verilerin;

  • Üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi,
  • Resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi,
  • Millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi,
  • Kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi,
  • Yargı makamları veya infaz mercileri tarafından işlenmesi.

2. Kısmi İstisna Halleri (10.,11. ve 16. maddelerde belirtilen)

  • Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması,
  • İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi,
  • Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması,
  • Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.

KİŞİSEL VERİ

  1. Gerçek kişiye ait olması
  2. Kişiyi belirli veya belirlenebilir kılması
  3. Her türlü bilgi (telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, e-posta adresi, hobiler, tercihler, etkileşimde bulunulan kişiler, grup üyelikleri, aile bilgileri, sağlık bilgileri)

Yargıtay’a göre;

Yaşam şekline ilişkin kişisel veriler: Kişilerin üçüncü kişiler tarafından ayırımcılığa uğramaması ve haysiyetinin korunmasıyla ilişkili olarak dini inançları, cinsel tercihleri, etnik kökeni, suç geçmişi, politik eğilimleri ve kişisel özel aktivitelere ilişkin bilgiler.

Ekonomik ve finansal kişisel veriler: Suçlular tarafından suistimale ve kimlik hırsızlığına hedef olmamak için kişinin mali varlığı, sahip olduğu hisse ve hesaplar, borçları, yaptığı alışverişler, kredi kartlarına ilişkin veriler. Ayrıca sayılan bu bilgiler ile kişinin nerede ve kimlerle bulunduğuna, sağlık bilgilerine ilişkin bilgiler de ortaya çıkarabileceğinden ve varlık bilgisinin toplumsal açıdan da özel sayılmasından dolayı önemi artmaktadır.

Bilişim alanına ilişkin kişisel veriler: e-postaların bizzat adresleri veya şifreleri, internet ortamında paylaşılan kişisel veriler mahrem olarak değerlendirilebilir. Bunun önemi şu bakımdan artmaktadır, internette gezinti yapan kişi birçok kişisel bilgileri paylaşmakta, bu bilgiler kayıt altına alınmakta, yine internet erişimine ilişkin iz kayıtlarının hizmet sağlayıcı ve sunucu sahipleri tarafından tutulabiliyor olması nedenleriyle artmaktadır.

Sağlıkla ilgili kişisel veriler: Sağlık verileri kişilerin iş güvenliğini, toplum içindeki statüsünü ve sigorta kapsamını etkileyen hassas bilgilerdir. Ayrıca sağlık verileri kişilerin sosyal yaşantısı ve psikolojik durumları hakkında bilgi edinilmesine neden olabilir. Biyometrik veriler de (kişinin kendine özgü fiziksel veya biyolojik niteliklerine dayalı olarak insanların kimliğini tespit için dijital teknolojiden faydalanma bilimi) kişisel veriler arasındadır.

Politik kişisel veriler: Toplum içinde yaşayan kişilerin siyasi tercihleri toplum katmanları arasında bilinme halinde ayırımcılığa maruz kalma ihtimali bulunduğundan bu bilgilerde kişisel veridir…


Şekil 1 İstihbarat servisleri açısından liderlerin dışkı ve idrarları gibi kişisel verileri ayrı bir önem taşımaktadır. Beşar Esad’ın babası Hafız Esad ABD ziyaretinde iken CİA tarafından dışkısı incelenmiş ve kanser olduğu açıklanmıştır. Türkiye’yi ziyaret eden Obama’nın tuvalete girdikten sonra dışkısını da götürmesi gündem olmuştu.

ÖZEL NİTELİKLİ KİŞİŞSEL VERİ

  • Özel nitelikli kişisel veriler; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da SENDİKA ÜYELİĞİ, SAĞLIĞI, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerdir.
  • Buna göre, hassas veriler kişisel verilerin daha fazla koruma uygulanan küçük bir grubu olarak değerlendirilebilir.
  • Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.
  • Sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir.
  • Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.

KİŞİSEL VERİLERİN İŞLENMESİ

Kişisel verilerin işlenmesi, kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade eder.

Örneğin, kişisel verilerin sadece bir hard diskte, CD’de, sunucuda depolanması, anılan verilerle başkaca hiçbir işlem yapılmasa da bir veri işleme faaliyetidir.

KAYIT SİSTEMİ

Veri kayıt sistemi, kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini ifade etmektedir. Bir dosyalama sistemi olarak nitelenebilecek veri kayıt sistemi elektronik ya da fiziki ortamda oluşturulabilir. Buna göre, veri kayıt sisteminde kişisel veriler, ad, soyad veya kimlik numarası üzerinden sınıflandırılabileceği gibi, örneğin kredi borcunu ödemeyenlere ilişkin oluşturulacak bir sınıflandırma da bu kapsamda değerlendirilmektedir.


Şekil 2 Damardan ve avuç içinden kimlik tespiti bir çok ülkede kullanılmaya başlanan bir yol. Almanya’nın Leipzig şehrinde geçtiğimiz günlerde gerçekleştirilen etkinlikte kişilerin fotoğraflarını kullanarak parmak izini hacklemeyi başardılar.

VERİ SORUMLUSU

  • Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder.
  • Bu kişiler, gerçek kişiler olabileceği gibi, kamu kurumları, şirketler, dernekler veya vakıflar gibi tüzel kişiler de olabilecektir. Hukuki sorumluluk veri sorumlusundadır.
  • Eğer veri işleme faaliyeti bir tüzel kişilik tarafından gerçekleştiriliyorsa, burada veri sorumlusu tüzel kişinin kendisidir.
  • Tüzel kişiliğin içerisinde veri işleme faaliyetlerinden sorumlu olan gerçek kişiler Kanunun uygulanması bakımından veri sorumlusu sayılmazlar.

VERİ SORUMLUSUNUN GÖREVLERİ

6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 12 nci maddesinin (1) numaralı fıkrasında veri sorumlusunun görevleri;

  • Sicile kayıt
  • Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
  • Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
  • Kişisel verilerin muhafazasını sağlamak
  • İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusunun bu durumu en kısa sürede ilgilisine ve Kişisel Verileri Koruma Kuruluna (Kurul) bildireceği (EN KISA ZAMAN 72 SAAT)

Şekil 3- hsturan.com sitesinden alınmıştır.

VERİ İŞLEYEN

  • Veri işleyen, veri sorumlusu adına kişisel verileri kendisine verilen talimatlar çerçevesinde işleyen gerçek veya tüzel kişilerdir.
  • Örneğin, veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına faaliyet gösteren, dışarıdan hizmet alınması suretiyle çağrı merkezi hizmeti veren bir şirket bu faaliyet kapsamında veri işleyen olarak kabul edilecektir.

KİŞİSEL VERİLERİN İŞLENMESİNDE GENEL (TEMEL) İLKELER

  • Hukuka ve dürüstlük kurallarına uygun olma,
  • Doğru ve gerektiğinde güncel olma,
  • Belirli, açık ve meşru amaçlar için işlenme,
  • İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
  • İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.

KİŞİSEL VERİLERİN İŞLENME ŞARTLARI

  • Rıza
  • Kanunilik
  • Zorunluluk (Rızası alınamayanlar için)
  • Sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması
  • Veri sorumlusunun hukuki yükümlülüğü olması
  • İlgili kişinin kendisi tarafından alenileştirilmiş olması
  • Bir hakkın tesisi, kullanılması veya korunması
  • Meşru menfaatleri için veri işlenmesinin zorunlu olması

AÇIK RIZA

Açık rıza, belirli bir konuya ilişkin, bilgilendirilmeye dayanan özgür irade açıklamasıdır. Açık rızanın üç unsuru bulunmaktadır:

  1. Belirli bir konuya ilişkin olması
  2. Rızanın bilgilendirmeye dayanması
  3. Özgür iradeyle açıklanması

Not: Açık rızanın alındığı konusundaki ispat yükü ise veri sorumlusuna aittir. Açık rıza geri alınabilir.

RIZA ARANMAYAN HALLER

  • Kanunlarda açıkça öngörülmesi.
  • Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
  • Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
  • Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
  • İlgili kişinin kendisi tarafından alenileştirilmiş olması.
  • Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
  • İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

KİŞİSEL VERİLERİN ANONİM HALE GETİRİLMESİ

Anonim hale getirme kişisel verilerin başka verilerle eşleştirilse dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.

KİŞİSEL VERİLER HANGİ ŞARTLARDA SİLİNMELİ, YOK EDİLMELİ VEYA ANONİM HALE GETİRİLMELİDİR?

Kanunda yer alan kişisel verilerin işlenmesine ilişkin şartların tamamının ortadan kalkması durumunda kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hale getirilir.

KİŞİSEL VERİLERİN YURTİÇİNDE AKTARILMASI

Kanunda, kişisel verilerin ilgilinin açık rızası olmak şartıyla üçüncü kişilere aktarılabileceği öngörülmektedir.

Rıza Aranmayan Haller;

  1. Kişisel veriler açısından Kanunun 5. maddesinin 2. fıkrasında sayılan işleme şartlarından en az birinin bulunması,
  2. Özel nitelikli kişisel veriler açısından ise yeterli önlemler alınmak kaydıyla Kanunun 6. maddesinin 3. fıkrasında belirtilen şartlardan birinin bulunması

KİŞİSEL VERİLERİN YURT DIŞINA AKTARILMASI

  • İlgili kişinin açık rızasının bulunması
  • Kanunun 5. maddesinin 2. fıkrasında ve Kanunun 6. maddesinin 3. fıkrasında belirtilen şartlardan birinin bulunması ve verinin aktarılacağı ülkede;

a) Yeterli korumanın bulunması,

b) Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması

kaydıyla kişisel verilerin yurt dışına aktarılması mümkündür.

VERİ SORUMLUSUNUN AYDINLATMA YÜKÜMLÜLÜĞÜ

  • Talep aranmaksızın zorunludur.
  • İspat külfeti veri sorumlusundadır.
  • Veri sorumlusunun ve varsa temsilcisinin kimliği,
  • Kişisel verilerin hangi amaçla işleneceği,
  • Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
  • Kişisel veri toplamanın yöntemi ve hukuki sebebi,
  • Kullanım amacında değişiklik olursa yeniden rıza tekrar istenmelidir.
  • İlgili kişinin Kanunun 11 inci maddesinde sayılan diğer hakları.

İLGİLİ KİŞİNİN HAK ARAMASI

İLGİLİ KİŞİNİN HAKLARI NELERDİR?

  • Kişisel verilerin işlenip işlenmediği,
  • İşlenmişse buna ilişkin bilgi talebi ve işlenme amacını,
  • Amacına uygun kullanılıp kullanılmadığı,
  • Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri
  • Eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
  • Kişisel verilerin silinmesini veya yok edilmesini isteme ve yapılan işlemlerin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  • Münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
  • Zarara uğraması hâlinde zararın giderilmesini talep etme

VERİ SORUMLUSUNA BAŞVURU USULÜ

  • İlgili kişi yazılı olarak veya diğer elektronik yollarla (e posta, elektronik imza, KEP) başvuru yapabilir.
  • Ad, Soyad, İmza, TC, Adres, E-posta adresi, Talep konusu, gerekli belgeler bulunmak zorunda.
  • Veri Sorumlusuna tebliğ edildiğinde süre başlar.
  • Veri sorumlusu yapılan talebi EN KISA SÜREDE VE EN GEÇ 30 (OTUZ) GÜN İÇİNDE olarak sonuçlandırır.

VERİ SORUMLUSUNA BAŞVURU ÜCRETİ

  • Başvuru kural olarak ÜCRETSİZDİR.
  • İlgili kişinin başvurusuna yazılı olarak cevap verilecekse, ON SAYFAYA KADAR ücret alınmaz. On sayfanın üzerindeki her sayfa için 1 TÜRK LİRASI işlem ücreti alabilir.
  • Size kayıtları flash bellek halinde gönderirlerse sadece bellek ücreti.

VERİ SORUMLUSU İLGİLİ KİŞİNİN TALEBİ ÜZERİNE NELER YAPABİLİR?

  • Veri sorumlusu talebi kabul veya reddeder.
  • Kabul ederse gerekli işlemleri yapıp bilgilendirir.
  • İlgili kişi, veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve her halde veri sorumlusuna başvuru tarihinden itibaren altmış gün içinde Kurula şikâyette bulunabilir.

KİŞİSEL VERİLERİ KORUMA KURULU VE BAŞVURU USULÜ

  • Öncelikle ilgili kişilerin Kanunun uygulanması ile ilgili taleplerini öncelikle veri sorunlusuna iletmeleri zorunludur. Kurul ikinci kademedeki yoldur.
  • Kurulun resen karar verme yetkisi de bulunmaktadır.
  • Cevabı öğrendiği tarihten itibaren otuz ve her halde veri sorumlusuna başvuru tarihinden itibaren altmış gün içinde başvuru yapmalıdır.

NOT:

İlgili kişi tarafından yapılan başvuruya veri sorumlusunca 30 gün içinde bir cevap verilmesi halinde ilgili kişinin veri sorumlusunun cevabını müteakip 30 gün içerisinde şikâyette bulunabileceği, bu itibarla söz konusu hallerde ilgili kişinin veri sorumlusuna başvurduğu tarihten itibaren 60 günlük süresinin bulunmadığı,

İlgili kişi tarafından yapılan başvuruya veri sorumlusunca bir cevap verilmediği durumda ise ilgili kişinin veri sorumlusuna başvurduğu tarihten itibaren 60 gün içinde Kurula şikâyette bulunabileceği,

İlgili kişi tarafından yapılan başvuruya veri sorumlusunca Kanunda tanınan 30 günlük süre sonrasında bir cevap verilmesi halinde ilgili kişinin, Kanunda veri sorumlusuna tanınan 30 günlük süre sonrasında verilecek cevabı beklemekle yükümlü olmadığı ve veri sorumlusuna tanınan sürenin dolması ile birlikte Kurula şikâyette bulunabileceği göz önüne alınarak, ilgili kişinin veri sorumlusunun kendisine cevap verdiği tarihten itibaren 30 gün değil, veri sorumlusuna başvurduğu tarihten itibaren 60 gün içinde Kurula şikâyette bulunabileceği

KİŞİSEL VERİLERİ KORUMA KURULUN İŞLEMLERİ

  • Veri sorumlusu, on beş gün içinde Kurulun istediği belge ve bilgileri göndermek zorundadır.
  • Şikâyet üzerine Kurul, şikâyet tarihinden itibaren altmış gün içinde cevap vermezse talep reddedilmiş sayılır.
  • İhlalin varlığının anlaşılması hâlinde Kurul, tespit ettiği hukuka aykırılıkların veri sorumlusu tarafından giderilmesine karar vererek ilgililere tebliğ eder. Bu karar, tebliğden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirilir.

ACİLİYET GEREKTİREN KONULAR

  • Kurul, telafisi güç veya imkânsız zararların doğması ve açıkça hukuka aykırılık olması hâlinde, veri işlenmesinin veya verinin yurt dışına aktarılmasının durdurulmasına karar verebilir.

KİŞİSEL VERİLERE İLİŞKİN SUÇLAR VE CEZAİ YAPTIRIMLAR KONUSUNDA KİŞİSEL VERİLERİN KORUNMASI KANUNUNDAKİ DÜZENLEMELER

Kişisel verilere ilişkin suçlar ve cezai yaptırımlar 5237 sayılı Türk Ceza Kanunu’nun ilgili hükümlerine (Md. 134-140) atıf yapılmak suretiyle düzenlenmiştir.

  • Özel hayatın gizliliğini ihlal (134. Madde)
  • Kişisel verilerin kaydedilmesi (135. Madde)
  • Verileri hukuka aykırı olarak verme veya ele geçirme (136. Madde)
  • Ayrıca, kişisel verileri yok etmeyenlerin ise Türk Ceza Kanunu’nun 138. maddesine göre (verileri yok etmeme suçu) cezalandırılacağı hüküm altına alınmıştır.

İhlale uğrayan kişiler Kişisel Verilerin Korunması Kuruluna başvuru ile ihlal edeni para cezası ile karşı karşıya bırakacağı gibi, bulunduğu ildeki Cumhuriyet Başsavcılılarına suç duyurusunda bulunarak yukarıda bahsedilen suçlardan yargılanmalarını da sağlayabilmektedir.

KİŞİSEL VERİLERİN KORUMASI KANUNUNDA HANGİ KONULARA İLİŞKİN İDARİ YAPTIRIMLAR

  • Aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar
  • Veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar
  • Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar
  • Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar

Şekil 4 Google, Fransa’da GDPR – Kişisel Verilerin Gizliliği Kanun’unun ihlal ettiği gerekçesiyle 50 Milyon Avro para cezasına çarptırıldı .

KİŞİSEL VERİLERİ KORUMA KURULUN VERDİĞİ BAZI KARARLAR

İlgili kişilerin e-posta adreslerine veya SMS ya da çağrı ile cep telefonlarına reklam bildirimleri/aramaları yönlendirilmesi

  • Telefon numaralarına SMS göndermek, arama yapmak veya e-posta adreslerine posta göndermek suretiyle reklam içerikli ileti yönlendiren veri sorumluları ile veri sorumluları adına reklam içerikli mesaj/e-posta göndermek veya arama yapmak amacıyla ilgili kişilerin açık rızaları bulunmaksızın bu verileri kullanan veri işleyenlerin söz konusu veri işleme faaliyetlerine karşı durdurma kararı, idari para cezası kararı ve suç duyurusunda bulunmuştur. (16/10/2018 tarih 2018/119 sayılı karar)

Veri sorumlusu nezdindeki kişisel verilere erişim yetkisi bulunan personelin yetkisi ve amacı dışında söz konusu verileri işlemesi hususunun değerlendirilmesi

  • Bir veri sorumlusu nezdinde bulundukları pozisyon veya görev itibariyle kişisel verilere erişme yetkisi olanlar tarafından, yetkileri aşmak ve/veya yetkilerini kötüye kullanmak suretiyle, kişisel amaçlara veya nedenlere bağlı olarak işleme amacı dışında söz konusu kişisel verilerin işlenmesi ve/veya bu verilerin üçüncü kişilerle paylaşılması 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 12 nci maddesinin (1) numaralı fıkrasına aykırılık teşkil edeceğinden, bu kapsamdaki eylemlerin önlenmesi amacıyla veri sorumlularınca uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirin alınması gerektiği hususunda veri sorumlularının bilgilendirilmesine, (31/05/2018 tarih 2018/63 sayılı karar)

Banko, Gişe, Masa gibi Hizmet Alanlarında Kişisel Verilerin Korunması

  • Bankacılık ve sağlık sektörleri başta olmak üzere birden fazla çalışan ile birlikte bitişik düzende hizmet veren posta ve kargo hizmetleri, turizm acenteleri, zincir mağazaların müşteri hizmetleri bölümleri, çeşitli abonelik işlemlerinin yapıldığı kuruluşlar ile belediye, vergi ve nüfus ile ilgili işlemler gibi hizmetlerin verildiği kamu ve özel sektör kurum ve kuruluşlarının, 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 12 nci maddesi uyarınca kişisel verilerin korunması ile ilgili olarak; banko/gişe/masa gibi bölümlerde yetkisi olmayan kişilerin yer almasını önleyecek ve aynı anda birbirlerine yakın konumda hizmet alanların birbirlerine ait kişisel verileri duymasını, görmesini, öğrenmesini veya ele geçirmesini engelleyecek nitelikte gerekli teknik ve idari tedbirleri almasına, (21/12/2017 tarih 2017/62 sayılı karar)

Bankanın talep olmamasına rağmen görülmekte olan mahkemeye kişinin 6 aylık ekstresini göndermesi

  • Çocuklarının avuç izlerinin bir fitness centerda ebeveynin rızası olmadan alınması ve üyeliğin sona erdirilmesi ile ilgili tüketici mahkemesinde görülen davada mahkeme ücret iadesi ile ilgili bankadan bilgi istemiş. Bankanın ilgili şubesi mahkemenin talebinde “bilgi” dışında herhangi bir talep olmamasına rağmen ilgili kişinin altı aylık tüm kredi kartı harcamalarını gösteren ekstreleri herhangi bir kısmını gizlemeden mahkemeye göndermiş. İlgili kişi konumundaki fitness center da dava dosyasına giren belgelere erişebildiği düşünüldüğünde, davalık olduğunuz birilerinin sizin özel hayatınıza ilişkin bilgilere ulaşmasının kabul edilemez olduğunu ifade etti. (23.02.2018 tarihli 1271 sayılı karar)

MAHKEME KARARLARI

Mesai takibi için Parmak İzi Tarama Sistemi Uygulanamaz [Danıştay 5. Daire 2013/5342 E. 2013/9525 K. ]

  • Personelden Kişisel Veri alınması kapsamında olan “parmak izi tarama sistemi” ile mesai takibi uygulamasının, kamusal alanda da olsa “özel hayatın gizliliği” ilkesi kapsamında bulunduğunun anlaşılması karşısında; uygulamanın sınırlarını, usul ve esaslarını gösteren bir yasal dayanağının bulunmaması, toplanan verilerin ileride başka bir şekilde kullanılamayacağına dair bir güvencenin mevcut olmaması göz önüne alındığında, Anayasa’da ve uluslararası sözleşmelerde belirtilen temel hak ve ilkelerle bağdaşmayan dava konusu işlemde hukuka uyarlık bulunmadığı hakkında.

Fotoğrafın izinsiz kullanılması kişisel verileri hukuka aykırı olarak yayma suçunu oluşturur. [Yargıtay Ceza Genel Kurul Kararı Esas No: 2012/12-1510 Karar No: 2014/331 Karar Tarihi.17.06.2014]

  • “…Köşe yazarı olarak çalışan katılanın, sanığın genel yayın yönetmenliğini yaptığı gazetede yazdığı köşesinde kullanılan fotoğrafının, katılanın rızası olmadan arkadaşlık sitesine konulması eyleminin, TCK’nın 136. maddesinde düzenlenen, kişisel verileri hukuka aykırı olarak yayma suçunu oluşturacağı, hukuki durumunun buna göre tayin ve takdiri gerektiği gözetilmeden, suç vasfında yanılgıya düşülerek, yazılı şekilde karar verilmesi” isabetsizliğinden oyçokluğuyla bozulmasına karar verilmiş,

Kişinin rızası dışında telefon numarasını arkadaş arama sitelerine ekleme, verileri hukuka aykırı olarak yayma suçudur [T.C. Yargıtay Ceza Genel Kurulu Esas No:2017/829 Karar No:2017/363K. Tarihi:4.7.20179]

  • Sanığın adına ve Antalya’da bulunan adresine kayıtlı ADSL hattı üzerinden 12.04.2007 tarihinde “” IP numarası ile “www.va.com” isimli arkadaşlık sitesine “” rumuzu kullanılarak oluşturulan profilde, katılanın rızası dışında telefon numarası ile gezip eğlenmeyi seven erkeklerle tanışmak istediği bilgisine yer verildiği, siteye giren kişilerce katılanın telefonuna çeşitli mesajlar gönderildiği olayda;
  • Katılanın, suçun Antalya ilinde işlenmesinden bir gün sonra Beykoz Cumhuriyet Başsavcılığına bizzat şikâyette bulunarak sanığın kızı ile aralarında bulunan husumetten dolayı eylemi sanığın gerçekleştirdiğine dair beyanı; katılana ait telefon numarasının verildiği arkadaşlık sitesindeki üyelik işleminin, sanığın adına kayıtlı ADSL hattını kullanan bilgisayar üzerinden gerçekleştirildiğine ilişkin bilirkişi raporu ile Yeni Medya Elektronik Yayıncılık ve Türk Telekomünikasyon Anonim Şirketi yazıları karşısında; sanığın, eylemin evlerine gelen katılan tarafından gerçekleştirildiği ve kendisine komplo kurulduğuna dair savunmalarının suçtan kurtulmaya yönelik olduğunun kabulü ile itibar edilemeyeceği cihetle, üzerine atılı verileri hukuka aykırı yayma suçunu işlediği kabul edilmelidir.

AV. OSMAN YILDIZ – ANKARA BAROSU