Metal Dünyası

Gelişen teknoloji ile beraber, günümüzde veri ağı son derece gelişmiş ve yaygınlaşmıştır. Özellikle, her türlü işlem ve bildirimin internet üzerinden yapılması nedeniyle, işlem güvenliğinin sağlanması gereği doğmakta; buna bağlı olarak kendilerine ait veriler kişilerden istenerek gerekli hallerde çeşitli mercilerle paylaşılmaktadır. Ancak kişisel verilerin elde edilmesi, saklanması ya da paylaşılması her zaman gerekli hallerde yapılmayıp, maksatlı olarak da yapılabilmekte, bu durum da kanunlara aykırılık teşkil etmektedir. Örneğin; günümüzde elde edilen bilgilerle, insanların kişilik profillerinin çıkarılması ve bu profillerin kayıt altında tutularak veri sahibi kişilerin lehine yahut aleyhine kullanılması, hem uluslararası mevzuatta hem de ulusal mevzuatımızda temel hak ve özgürlüklerin açık ihlalini oluşturan bir haldir. Zira kişilerin yaptıkları seçimlerden, hastalık durumlarına, DNA örneklerinden, kişisel düşüncelerine kadar her bilgi onu tanımlamak için kullanılarak kişilerin hareket alanı daraltılmış ve karar mekanizması baskılanmış olacaktır.

Kişisel veriler, çoğu zaman veri sahibi tarafından rızasıyla paylaşılmaktadır. Ancak bunun sebebi; veri sahibinin bu bilgileri paylaşmaktan imtina etmesi halinde istediği sözleşmeyi akdedemeyecek oluşudur. Kişisel verilerini paylaşmadan akdedemeyeceği sözleşmeler, mal alım/satım sözleşmesi olabileceği gibi işe giriş sözleşmesi gibi gündelik hayatta önem arz eden sözleşmeler de olabileceğinden, kişiler şahsi bilgilerini paylaşmaya bir noktada mecbur kalmaktadırlar. Bu nedenle, kanunlar ve tarafı olduğumuz uluslararası sözleşmeler ile çoğu ülkede olduğu gibi ülkemizde de kişisel veriler koruma altına alınmış; ihlal halinde idari ve cezai yaptırımlar öngörülmüştür.

Kişisel veri nedir?
Kişisel veri kavramı, Türkiye’de 2016 tarihinde yürürlüğe giren Kişisel Verilerin Korunması Kanunu (KVKK) ile beraber gündeme gelmiştir. Bu kanun ile beraber, kişisel verilerin elde edilmesi aşamasında çeşitli ön koşullar yürürlüğe girdiği gibi, saklanması veya paylaşılması hususlarında da çeşitli koşullar ve yaptırımlar öngörülmüştür. Kanun koyucu, kişisel veriyi “kimliği belirli veya belirlenebilir gerçek kişiye ait her türlü bilgi” şeklinde tanımlayarak, bir şahsa ait olan neredeyse tüm bilgileri kişisel veri olarak saymıştır. Bu tanımdan anlaşılacak bir diğer husus ise; tüzel kişiliklerin yani şirketlerin ve kurumların bilgilerinin kişisel veri olarak bu kanun kapsamında değerlendirilemeyeceğidir.

Şirketlerin kişisel verisi olabilir mi?
Şirket ve kurumların KVKK kapsamında, kendilerine ait kişisel verileri bulunmamaktadır ancak şirketler, çalıştıkları müşteri çevrelerinin yahut çalıştırdıkları personellerin kişisel bilgilerini elde etmektedirler. Bu kapsamda kanun, şirketlere “veri sorumlusu” sıfatını atfederek çeşitli sorumluluklar yüklemiştir. Veri sorumlusu kavramı kanunda “Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder.”  Şeklinde tanımlanmıştır. Bu sıfattan kaynaklı olarak yüklenen sorumlulukların en başında müşterilerine ya da personellerine ait bilgileri veri sorumlusu kişinin açık rızası ile elde etmek yer almaktadır. Burada, açık rıza kavramının üzerinde durmakta fayda görmekteyiz. Şöyle ki; KVKK kapsamında açık rıza, yalnızca kişinin kendine ait bilgileri vermesi şeklinde oluşmamaktadır. 

Açık rıza kavramı
Açık rızanın varlığından söz edebilmek için veri sahibinin; paylaştığı verisinin ne amaçla istendiği, şayet işlenecekse hangi amaçla işleneceği, kimlere ve hangi amaçla aktarılabileceği konularında aydınlatılması gerekmektedir.  Aydınlatma yükümlülüğü herhangi bir amacın değişmesi durumunda ayrıca tekrar yapılmalıdır. Kişisel verilerin işlenme amacının meşru, belirli ve açık olması gerekmekte; gündeme gelmesi muhtemel başka amaçlar için işlenebileceği kanısı uyandıran ifadelerden kaçınılmalıdır. Veri sorumlusu şirket ya da kurumlar tarafından belirtilen hususlar dikkate alınarak hazırlanacak bir aydınlatma metni ve metne aykırı olmayacak şekilde verilerin kullanılması durumunda KVKK ya da ceza kanunlarımız nezdinde herhangi bir sorumluluk doğmayacaktır.

Şirketlerin sorumluluğu
Veri sorumlusu şirketlerin sorumluluğu, yalnızca kendileriyle sınırlı olarak kalmamakta; çalıştırdıkları personellerin davranışlarından dolayı da sorumlulukları doğmaktadır. Şöyle ki, veri sorumlusu şirketlerin çalışanları da kanundaki ayrıma göre, veri sorumlusu yahut veri işleyen sıfatlarını haiz olabilmektedir. Veri sorumlusu kavramını yazımızın başında tanımlamıştık; veri işleyen ise kanunda “Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi ifade eder.” şeklinde tanımlanmıştır. Buradaki ayrım şu şekilde yapılmaktadır: veri sorumlusu şirket edindiği bilgileri personeli ile paylaştığında, personel bu bilgilerin işlenme amacını değiştirebiliyor ise, diğer bir deyişle daha kapsamlı bir yetkiye sahipse veri sorumlusu sıfatına; ancak personel edindiği bilgiyi yalnızca işliyor ve üzerinde değişiklik yapamıyorsa yani dar bir yetkiye sahipse veri işleyen sıfatına sahip olacaktır. Bu sıfatlara sahip olmanın sonucu olarak personel üzerinde doğan sorumluluk değişmektedir. Veri işleyen personelin KVKK’ya aykırı davranması halinde, personeli çalıştıran veri sorumlusu şirket de sorumlu olacaktır.

İdari ve cezai şikâyet prosedürü
Kişisel veri sahibinin sahip olduğu hakları nedeniyle şikâyet kurumu gündeme gelebilmektedir. Söz konusu şikâyet prosedürü iki koldan ilerlemektedir. Kişinin ihlal edildiğini düşündüğü hakları konusunda adli yargı yoluna ilişkin hakları saklı iken; aynı zamanda Kişisel Verileri Koruma Kurumu’na başvurması da mümkündür. Kurum’a başvuru için kişisel veri sahibi öncelikle veri sorumlusu şirket ya da kuruma başvurarak ihlalin ortadan kaldırılmasını istemeli; veri sorumlusu şirket ya da kurum yasal süre içerisinde veri sahibi kişiye cevap vermelidir. Şayet veri sorumlusu cevap vermez, verdiği cevap tatmin edici olmaz ya da talebi reddederse veri sahibi kişi şirketi ya da kurumu Kişisel Verileri Koruma Kurumu’na şikâyet edebilmektedir. Kişisel Verileri Koruma Kurumu bir ihlal olduğuna kanaat getirirse ihlale ilişkin olarak idari para cezası uygulama yetkisine sahiptir.

Kvkk’ya muhalefette para cezaları ne kadar?
Kişisel Verileri Koruma Kurumu’nun uygulayacağı idari para cezaları: aydınlatma yükümlülüğünün ihlal edilmesi halinde 5.000-100.000 TL arası; kişisel verilerin güvenliği yükümlülüğünün sağlanmaması halinde 15.000-100.000 TL arası; veri sorumluları siciline kayıt ve bildirim yükümlülüğü ihlal edilirse 20.000-1.000.000 TL arası; Kişisel Verileri Koruma Kurumu’nun kararları yerine getirilmezse 25.000-1.000.000 TL arasında değişmektedir. Kanunun ihlalinden kaynaklanan yaptırımlar yalnızca para cezaları olmayıp, kimi zaman ihlali gerçekleştiren gerçek kişi ise ihlali gerçekleştiren kişi üzerinde hapis cezası doğabilmektedir. Türk Ceza Kanunu’nda kişisel verileri hukuka aykırı kaydetmek, veriyi üçüncü bir kişiye aktarmak, kanundaki süresi geçmesine rağmen kişisel verileri yok etmemek suçları 135.-140. maddeler arasında düzenlenmiştir. İşlenen suçun niteliğine göre ceza miktarı ise 1 yıldan başlayıp 4,5 yıla kadar çıkabilmektedir.

Görüleceği üzere KVKK’ ya aykırı eylemlerin cezası oldukça yüksek olarak belirlenmiştir. Bu nedenle veri işleyen ve sorulu olan kişilerin Kişisel Verilerin Korunması Kanunu (KVKK)’ nda düzenlenen prosedürleri bilmesi ve uygulanması için gerekli eğitimleri alması gerekmektedir. Erdemir & Özmen Hukuk Bürosu olarak Şirketlerin bu alanda farkındalığının arttırılmasına yönelik olarak düzenlediğimiz eğitimler bulunmakta olup, katılım konusunda aşağıdaki iletişim bilgilerimizden yararlanabilirsiniz. Saygılarımızla..

Erdemir & Özmen Hukuk 
Bürosu-26.03.2019
Adres: Konaklar Mah. Beyaz 
Karanfil Sk. No:9 Levent / Beşiktaş / İstanbul
E-Posta: info@erdemirozmen.com
Telefon: 0212 324 09 30 
Faks: 0212 324 09 80