Ülkemizde Kişisel verilerin korunması dair kanun 2016 yılında kabul edilmiş olsa da, kişisel verilerin korunması fikri M.Ö. 5 yüzyılda ortaya çıkan ve bugün hala geçerliliğini koruyan hekimin sır saklama yükümlülüğüne ilişkin Hipokrat yemininde karşımıza çıkmaktadır. Hipokrat yemininde ‘’Gerek sanatımın icrası sırasında, gerek sanatımın dışında insanlarla münasebette iken etrafımda olup bitenleri, görüp işittiklerimi bir sır olarak saklayacağım ve kimseye açmayacağım’’ ifadesi şu ana kadar rastladığımız en eski sır saklama yemini. Günümüzden 2500 yıl önce ortaya çıkan bu ifadelerin modern anlamdaki gelişmesi kredi verilebilirlik değerlendirmelerinin doğru yapılabilmesi için Yale Üniversitesinden R. Ruggels başkanlığında bir komitenin kurulmasının önerilmesi ile başlamıştır. Ardından ABD ordusunun, politik şüpheliler hakkında kişisel veriler topladığına dair çıkan gazete haberlerinin ardından telefon dinlemeleri ve kameralar ile kişisel yaşam alanlarına müdahale edilebileceğine yönelik bir endişe ortaya çıktı. Verilerin korunmasının yasal düzenlemelerde garanti edilmesine ilişkin gelişmede ilk aşama ABD de çıkan ‘’Dürüst Kredi Raporlama Kanunu’’dur. Genel anlamda verilerin korunmasına dair kanun ise ilk defa Almanya da daha sonrasında ise İsveç’te devamında ise ABD’de ‘’Privacy Act’’ adıyla düzenlenmiştir. Bu kanunları 1977 tarihli Kanada İnsan Hakları kanunu, 1978 tarihli Elektronik veri işlemesi kanunu ve Özgürlük Haklarına ilişkin Fransız Kanunu izlemiştir. 1981 yılında ise, Avrupa Konseyi Verilerin Korunması Sözleşmesi (108 No’lu Sözleşme) kabul edilmiştir.
Kişisel Verilerin Uluslararası Alanda Korunması
Kişisel verilerin uluslararası alanda korunmasına ilişkin olarak; OECD, Birleşmiş Milletler, Avrupa Konseyi ve Avrupa Birliği bünyesindeki düzenlemeler yer almaktadır. OECD’nin (Ekonomik İşbirliği ve Kalkınma Teşkilatı) verilerin korunmasına ilişkin ilkeleri hukuksal açıdan üye devletler için bile bağlayıcı olmamakla birlikte verilerin toplanmasına ve işlenmesine yönelik önemli etkileri olmuştur. OECD, üye devletlerin iç hukukunda uygulanmak üzere şu ilkeler oluşturmuştur.
Uluslararası alanda ve Anayasal düzeyde verilerin korunması, ‘’Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’’, ‘’Kişisel Verileri Koruma Kurumu Teşkilat Yönetmeliği’’, ‘’Veri Sorumluları Sicili Hakkında Yönetmelik’’ ve ‘’Kişisel Verileri Koruma Kurulu Çalışma Usul ve Esaslarına Dair Yönetmeliklerinden’’ konusuna başka bir yazıda devam edeceğiz ama onun öncesinde 6698 Sayılı Kişisel Verilen Korunması Kanununda nelerin düzenlendiğine göz atalım.
6698 Sayılı Kişisel Verilerin Korunması Kanunu
Bu kanunun amacı, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir. Medeni Hukukta kişi, haklara ve borçlara sahip olabilen, haklardan yararlanabilen varlığı ifade etmektedir. Kişi kavramı özü itibarıyla hukukî bir kavramdır. Çünkü hangi varlıkların haklara ve borçlara sahip olabileceği hukuk düzeni tarafından belirlenmektedir. Diğer bir ifade ile bir varlığın kişi olarak kabul edilmesi ancak o hukuk düzeninin söz konusu varlığı bu şekilde kabul etmesine bağlıdır. Bu sebeple, insanların yanında, hukuk düzeni tarafından öngörülen koşulları yerine getiren insan toplulukları ve mal toplulukları da kişi olarak kabul edilmektedir. Yani kişi kavramı içine hem gerçek kişiler (insanlar) hem de tüzel kişiler girmektedir. Yani kanun sadece gerçek kişilerin verilerini korumakta değil tüzel kişileri de korumaktadır anlamı çıkartabiliriz ama kanunun ‘’kapsam’’ başlığı altındaki 2. Maddesinde; Bu Kanun hükümleri, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır’’demektedir. Kanun verileri işlenen kişi olarak sadece gerçek kişileri almıştır, Tüzel kişilerin verilerinin korunmasından bahsetmemiştir. Kanunun 3. Maddesinin ‘’ç’’ bendinde ise ilgili kişi olarak sadece ‘’kişisel verisi işlenen gerçek kişiyi’’ kastettiğini açıklamıştır. Yine kanunun 3.Maddesinin ‘’d’’ bendinde ‘’Kişisel verinin’’ tanımını yaparken; ‘’Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi’’ olarak tarif etmiş tüzel kişilerin bilgisinden bahsetmemiştir. 6698 Sayılı Kanunda kişisel verilerin korunması, Gerçek Kişi verilerinin korunması ile sınırlıdır. Bu yüzden önünüze gelen konunun 6698 sayılı kanuna mı yoksa 6769 Sayılı Sinai Mülkiyet Kanunu kapsamında mı olduğunu karıştırılmamalıdır.
Örnek olarak facebook davası aklınıza gelebilir. Veri ihlali iddiaları sonrası tarihinin en zor günlerini geçiren Sosyal medya devi Facebook, kullanıcıları ve yatırımcıları tarafından mahkemede açılan davalarla mücadele ediyor.
Şirketlerin bünyelerinde ki müşteri bilgilerinin tutulmasına ve işlenmesine bu kanunla birlikte sınırlamalar geldi. Şirketler Kişisel verileri işlenme şartları kanunda sınırlı halde belirtilmiş durumda bunlar;
(1) Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez.
(2) Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür:
a) Kanunlarda açıkça öngörülmesi.
b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması. c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.
e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması. f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
Kanun tanımlar kısmında açıklamamış olsada 6. Maddesinde ‘’özel nitelikli verilerden’’ bahsetmiş ve bu verilerin işlenmesi için ayrıca şartlar koymuştur.
Özel nitelikli kişisel verilerin işlenme şartları;
(1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.
(2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.
(3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.
(4) Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.
Peki Kanunun İlgili kişi olarak bahsettiği kişisel verisi işlenen kişilerin hakları nelerdir.
Herkes, veri sorumlusuna başvurarak kendisiyle ilgili; Kişisel veri işlenip işlenmediğini öğrenme, Kişisel verileri işlenmişse buna ilişkin bilgi talep etme, Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme, 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme, (f), (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme, Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme, haklarına sahiptir.
Kişisel Verisi işlenen kişinin hakları
Kanunun 13. maddesi uyarınca kişisel verileri işlenen ilgili kişi Kanun’un uygulanması ile ilgili taleplerini veri sorumlusuna iletebilecektir. Talebi alan veri sorumlusu ise talepleri en geç 30 gün içinde ücretsiz olarak sonuçlandırmakla yükümlü kılınmıştır. Söz konusu işlem ayrıca bir maliyet gerektiriyorsa Kurul’un belirlemiş olduğu tarife ücreti alınabilecektir. Veri sorumlusu 30 gün içerisinde yapacağı incelemenin ardından talebi kabul veya gerekçesini açıklayarak reddetmek zorundadır. Ayrıca cevabını ilgili kişiye bildirme yükümlülüğü getirilmiştir. Veri sorumlusunun talebi kabul etmesi halinde gereğini yerine getirmesi, hatalı ise alınan ücreti ilgiliye iade etmesi hükme bağlanmıştır. Bu durumda ilgili kişinin etmiş olduğu talebe konu hususta veri sorumlusunun hatalı olması düzenlenmiştir. İlgili kişinin yukarıda açıklanmış olan 13. madde uyarınca yapmış olduğu başvurusunun reddedilmesi, verilen cevabın
yetersiz bulunması veya başvuruya süresinde cevap verilmemesi halinde ilgili kişiye, veri sorumlusunun cevabını öğrendiği tarihten itibaren 30 ve her halde 60 gün içerisinde Kurul’a şikâyette bulunma hakkı tanınmıştır. Ancak söz konusu şikâyet yoluna ancak veri sorumlusuna başvuru yolunun tüketilmesinin ardından başvurulması mümkün olacaktır. İlgilinin kişilik haklarının ihlal edilmesi halinde genel hükümlere göre tazminat talep edebilme hakkı KVK 14. uyarınca saklı tutulmuştur. Kurul, ilgili kişinin yapacağı şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda kendiliğinden, görev alanına giren konularda gerekli incelemeyi yapacaktır. Dolayısıyla ilgili kişinin şikâyeti üzerine Kurul’un yalnızca ilgili şikâyet konusuna ilişkin inceleme yapma hakkına sahip olduğu hükme bağlanmıştır.
Veri sorumluları, devlet sırrı niteliğindeki bilgi ve belgeler hariç, talep edilen bilgi ve belgeleri Kurul’a 15 gün içinde göndermek veya gerektiğinde yerinde inceleme yapılmasına imkân sağlamak zorundadırlar. Kurul, talep üzerine şikâyeti inceleyerek ilgililere cevap verecektir, eğer şikâyet tarihinden itibaren 60 gün içerisinde cevap verilmez ise talep reddedilmiş sayılacaktır. Kurul’un vermiş olduğu cevabın şikâyeti kabul veya ret anlamı taşıyacak açıklıkta olmaması halinde, Kurul’un kararına karşı dava açılması mümkündür. Yahut Kurul’un işlemini tamamlaması için KVK’da bu hususta bir hüküm bulunmadığı için, İdari Yargılama Usulü Kanunu (İYUK) uyarınca 6 ay beklenmesi mümkün olacaktır.
6 aylık bekleme süresi sona erdikten sonra Kurul aleyhine 60 gün içerisinde dava açılabilecektir. Kurul, ihlalin varlığına karar vermesi halinde, tespit edilen hukuka aykırılıkların veri sorumluları tarafından giderilmesine karar vererek durumu ilgililere tebliğ edecektir. Kanuna aykırı bir uygulamanın varlığının tespiti halinde veri sorumlusuna hukuka aykırılığın düzeltilmesi için 30 gün süre verilecektir. Söz konusu süre kararın ilgililere tebliğinden itibaren başlayacak olup, hukuka aykırılığın giderilmemesi halinde KVK’nın aşağıda açıklanacak olan 18. maddesi uyarınca 25.000 ila 1.000.000 TL değerinde idari para cezası yaptırımı uygulanacaktır. Kurul’a ayrıca telafisi güç veya imkânsız zararların doğması ve açıkça hukuka aykırılık olması halinde, veri işlenmesinin veya verinin yurt dışına aktarılmasının durdurulmasına karar verme yetkisi tanınmıştır.
ŞİRKET ÇALIŞANLARININ KİŞİSEL VERİLERİ
Konunun farklı bir yüzü ise şirket çalışanlarının bilgilerinin tutulması kanunun hangi hükmü ile dayanak altına alındığı sorusudur. Bu soruya cevap kanunun 5. Maddesinde cevap bulmaktayız. Kanunlarda açıkça öngörülmesi, Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması gibi bütün bu düzenlemeler kanunda açıkça yazmaktadır. Çalışan bilgilerinin tutulması bu maddeler sayesinde mümkündür. Çalışan işten ayrıldıktan sonra verilerinin paylaşılmamasını isteyebilse de, silinmesini alacakları için dava açma hakkı süresi geçmeden kuşkusuz ki isteyemeyecektir.
