Bayrak Hukuk
Online Ödeme
Bayrak Hukuk
Bayrak Hukuk
Online Ödeme

Kişisel Veri Nedir ?

Genel Kişisel Veri Nedir ?

Senaryosunu Andrew Niccol’un yazdığı, Peter Weir’ın yönettiği, başrolde olağanüstü yetenek Jim Carrey’nin olduğu 1998 yapımı “THE TRUMAN SHOW” filmini izlemiş miydiniz? 

Görselin kaynağı: https://is2-ssl.mzstatic.com/image/thumb/Video114/v4/44/df/34/44df3414-40d0-065a-c554-739e92c11859/PAR_THE_TRUMAN_SHOW_CA_ARTWORK_FR-CA_3840x2160_1ML0O2000000FX.lsr/1200×675.webp

Filmin ana karakteri Truman, bir televizyon şirketi tarafından o zamana kadar görülmemiş bir programda kullanılmak üzere evlat edinilir. Şirket, “Seaheaven” adında dışardan bakıldığında bir kasaba gibi görünse de aslında her tarafı kameralarla dolu kocaman bir stüdyo inşa eder ve Truman, doğar doğmaz bu stüdyonun içine yerleştirilir. O andan itibaren Truman’ın hayatı 24 saat boyunca kesintisiz olarak tüm dünyada “The Truman Show” adlı bir programla canlı yayınlanır.

Görselin kaynağı: https://cdn.colombia.com/sdi/2020/07/01/sindrome-truman-pelicula-the-truman-show-enfermedad-mental-841693.jpg

Programda Truman dışında her şey sahtedir. Annesi, babası, eşi, en yakın arkadaşı da dahil olmak üzere Truman’ın etrafındaki herkes; aslında yapım şirketi tarafından özel olarak seçilmiş ve programın yönetmeni tarafından bir senaryo dahilinde yönlendirilen birer oyuncudur.

İşin en dramatik tarafıysa programda herhangi bir sınırın olmamasıdır. Zira, yapım şirketinin bütün amacı; her ne şartta olursa olsun programı devam ettirmektir. Truman’ın bu uğurda kimi zaman adeta bir denek faresi gibi acımasızca kullanılır. Öyle ki Truman henüz çocukken içinde yaşadığı stüdyodan herhangi bir şekilde kaçmaya çalışmaması için babası sanki deniz kazasında ölmüş gibi düzmece bir atmosfer yaratılarak denizden korkması bile sağlanır.

Truman, 30 yaşına geldiğindeyse beklenmedik bir olayla karşılaşır. İçinde yaşadığı dev stüdyonun parçası olan bir spot ışığı, yolda yürüdüğü sırada Truman’ın önüne, düşer. Truman, önceleri buna pek anlam veremez. Ancak, aynı gün içinde etrafındaki figüran oyuncular arasında yıllar önce deniz kazasında öldüğünü sandığı babasını da görünce, bir şeylerin ters gittiğini anlar. Truman için o andan itibaren her şey şüpheli hale gelir ve artık hiçbir şey eskisi gibi olmaz.

Görselin kaynağı: https://d13ezvd6yrslxm.cloudfront.net/wp/wp-content/images/The-Truman-Show-3×7-700×300.jpg

Doğum anından başlayarak hayatı 24 saat boyunca kesintisiz olarak canlı yayınlanan, ona ait ne varsa; adı, yaşı, annesi, babası, eşi, arkadaşları, doğduğu yer, gittiği okullar, çalıştığı şirket, evi, hobileri, fobileri, sevdiği yemekler ve hatta hiç kimseye söylemediği hayalleri bile programı izleyen milyonlarca seyirci tarafından ezbere bilinen Truman’ın yaşadıklarını konu alan bu film, “Mahremiyet” kavramının aslında ne kadar önemli olduğunu çarpıcı bir şekilde ortaya koyuyor. Filmi izleyen hemen herkesin aklındaki şu soruysa hala tam olarak cevaplanabilmiş değil: Ya hepimiz birer Truman’sak?

Görselin kaynağı: https://miro.medium.com/max/2560/1*crESuzl958ohOhT3pI6ieg.jpeg

Günümüzde, bilim ve teknoloji baş döndürücü bir hızla ilerliyor. Öyle ki “The Truman Show” filminin vizyona girdiği 1998 yılında hayal bile edilemeyen birçok ürün ve hizmet, bugün “Tek tıkla” ellerimizin altında. İnternet bankacılığından sanal marketlere, fatura ödemelerinden tatil rezervasyonlarına varıncaya kadar neredeyse tüm işlerimizi web ortamında hızlı ve pratik olarak gerçekleştirebiliyoruz.

Yıllarca bilim kurgu filmlerinde hayranlıkla izlediğimiz insansız arabalar, yapay zekalı robotlar da artık hayal değil. Hatta bilim dünyası bugünlerde önümüzdeki 20 yıl içinde insan zihninin bulut ortamına aktarılabileceğini dahi konuşuyor. Carnegie Mellon Üniversitesi’nde çalışmalarını sürdüren bir grup bilim insanı, 10 yıl süren bir çalışma sonunda MRI makinesi yardımıyla insan zihninin okunabileceğini keşfetti. Nörobilim uzmanı Marcel Just’ın aktardığına göre: bu teknoloji sayesinde insanların neler düşündüklerini, en mahrem sırlarına varıncaya dek görmek mümkün. (https://www.cbsnews.com/news/functional-magnetic-resonance-imaging-computer-analysis-read-thoughts-60-minutes-2020-09-06/)

Görselin kaynağı: https://media.giphy.com/media/YxGH20CjY7LnS4m5s3/giphy.gif

Yine aynı yöntemle, yakın zamana kadar tanı konması zor olan bazı beyin hastalıklarını tespit etmek, konuşma zorluğu çeken hastaların düşüncelerini kolaylıkla yakınlarına iletebilmelerini sağlamak da mümkün.

Kısacası, teknolojideki her yeni gelişme birçok riski de beraberinde getiriyor. Teknolojiyi bir bıçak gibi düşünebiliriz; ekmek kesmek için de kullanılabilir, birini yaralamak için de.

Görselin kaynağı: https://media3.giphy.com/media/LZ3kIiJvT4xCyfh21X/giphy_s.gif

Günümüzde sektörlerin giderek dijitalleşmesi, yoğun bir rekabeti de beraberinde getiriyor. İşletmeler, yeni ürünlerini ve hizmetlerini müşterilerine en hızlı şekilde ulaştırabilmek için kıyasıya yarış halindeler. Yarışın sonunda ise hedef kitlesindeki müşterilere en hızlı ulaşan işletme ipi göğüslüyor.

Bu yarışta adeta doping etkisi yaratan en önemli etmense müşterileri iyi tanımak. Müşterilerin yaşları, cinsiyetleri, meslekleri, ilgi alanları, telefon numaraları, ikamet adresleri, iş veya elektronik posta adresleri gibi birçok bilgi; müşterileri tanıma konusunda işletmeler için hayati öneme sahip. Bunun için de sürekli bir bilgi akışına ihtiyaç duyuluyor.

Kullanılan bu bilgilerin işletmelerin satış, tanıtım ve pazarlama faaliyetlerine katkı sağladığına kuşku yok. Bu, bıçağın ekmek kesen yönü. Peki, bu bilgiler kullanılırken ne kadar güvendeyiz? Aynı teknoloji kullanılarak bu bilgilerin iyi niyetli olmayan kişilerin ele geçmesi, başta kimlik hırsızlığı olmak üzere birçok suça konu edilmesi de gayet mümkün. Bu da bıçağın yaralayıcı yönü.

İşte bu tehlikelerin önüne geçmek amacıyla 7 Nisan 2016 tarihinde 6698 Sayılı Kişisel Verilerin Korunması Kanunu (Bundan böyle kısaca “Kanun” şeklinde ifade edeceğiz.) yürürlüğe girdi. Kanun; kişisel veri nedir, nasıl toplanmalıdır, bu verilerin işlenme şartları nelerdir, gibi birçok hususu düzenleyerek hem ilgili kişileri hem de veri sorumlularını bekleyen olası tehlikelere karşı uyarıyor. Gelin, Kanunun neler getirdiğine kısaca göz atalım.

Görselin kaynağı: https://media.giphy.com/media/U8UuFWwbqwgPC/giphy.gif

Kişisel Veri Nedir?

İşe tanımlarla başlayalım. “Kişisel veri” kavramı, Kanunun 3.maddesinde; Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” olarak tanımlanıyor.

Bu tanıma göre; kişinin adı, soyadı, nüfus bilgileri, adresi, telefon ve IP numaraları, fiziksel özellikleri, biyometrik verileri, eğitim öğrenim bilgileri, medeni hali, etnik kökeni, iş yaşamına ait bilgileri, ailesine ait bilgileri, sosyal medya iletişim bilgileri, siyasi parti ya da dernek üyelikleri, adli sicil bilgileri, sağlık bilgileri, kredi kartları gibi bir kişiye özgü tüm veriler, o kişinin kişisel verileridir.

Ayrıca, cep telefonu veya araba modeli gibi bilgiler de belirli bir kişiyi işaret ediyor ya da başka bilgilerle birleştiğinde bir kişiye ait olduğu ortaya konulabiliyorsa; bunlar da kişisel veri olarak kabul ediliyor. Burada kilit nokta, verinin belirli bir kişiyle ilişkilendirilebiliyor olması. Verinin ilişkilendirildiği kişiye de “İlgili kişi” diyoruz.

Görselin kaynağı: https://www.nist.gov/sites/default/files/images/2020/05/29/shutterstock_520084003.jpg

Kişisel Verilerin İşlenmesi

“Kişisel verilerin işlenmesi” kavramı da Kanunun 3.maddesinde, “Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem” şeklinde tanımlanıyor.

Kanun kapsamında yapılacak tüm işlemleri bu kategoriye almak mümkün. Kişisel verilerin Kanunda düzenlenen şekilde toplandıktan sonra silme, yok etme ya da anonim hale getirme işlemlerine kadar olan süreçte gerçekleştirilen her türlü faaliyet, kişisel verilerin işlenmesi olarak nitelendiriliyor. Peki, bu faaliyetlerden kim sorumlu?

Görselin kaynağı: https://cdn.pixabay.com/photo/2017/09/10/18/25/question-2736480_1280.jpg

Veri Sorumlusu

Kanun, kişisel verilerin işlenmesi sürecinden “Veri sorumlusu” olarak nitelendirdiği gerçek veya tüzel kişileri sorumlu tutuyor. Bu kişilerin kim olduğu Kanunun 3.maddesinde;”Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi” şeklinde ifade ediliyor.

Burada çok önemli bir husus var. Kişisel verileri işlemek üzere gerçekleştirdiği faaliyetler kapsamında tüzel kişilerin bizzat kendileri “Veri sorumlusu” haline geliyor ve Kanun kapsamında belirtilen hukuki sorumluluk da doğrudan o tüzel kişinin üzerinde doğuyor. Bu konuda kamu hukuku tüzel kişileri ve özel hukuk tüzel kişileri bakımından da bir farklılık gözetilmiyor.

Sırada, Kanunun çok önem verdiği bir konu var: “Açık rıza”

Görselin kaynağı: https://cdn.pixabay.com/photo/2018/09/22/10/27/check-3694935_1280.jpg

Açık Rıza

Kanun, kişisel verilerin belli koşullar haricinde ancak ilgilinin açık rızasıyla işlenebileceğini emrediyor. Açık rızanın ne olduğuysa Kanunun 3.maddesinde “Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” şeklinde tanımlanıyor.

Açık rıza, kişinin sahip olduğu verinin işlenmesine kendi isteğiyle ya da karşı taraftan gelen istek üzerine onay vermesi anlamı taşıyor. Ama bu noktada inisiyatifin tamamen ilgili kişide olduğunu da hemen ekleyelim. İlgili kişi açık rızasıyla; hangi verilerinin işlenebileceğini, bu işlemenin nasıl ve ne kadar süreyle yapılabileceğini bizzat belirleyebiliyor.

Açık rıza tanımında önem arz eden 3 unsur var. Buna göre açık rızanın:

  • Belirli bir konuya ilişkin olması,
  • Bilgilendirmeye dayanması,
  • Özgür iradeyle açıklanması,

gerekiyor. Belirli bir konu ile sınırlandırılmayan ve ilgili işlemle sınırlı olmayan genel nitelikteki açık rızalar “Battaniye rızalar” olarak kabul ediliyor ve hukuken geçersiz sayılıyor. Örneğin; “Her türlü ticari işlemde kullanılabilir”, “Her türlü bankacılık işlemi ve her türlü veri işleme faaliyetine esas olabilir” gibi belirli bir konu ve faaliyeti işaret etmeyen, her yöne çekilebilecek rıza beyanları Kanun kapsamında açık rıza olarak kabul edilmiyor.

Görselin kaynağı: https://media.giphy.com/media/23BST5FQOc8k8/giphy.gif

Peki, her durumda kişinin açık rızasının alınması zorunlu mu? Kanunun 8. maddesine göre şu durumların söz konusu olması halinde, ilgili kişinin açık rızası aranmaksızın kişisel verileri işlenebiliyor:

  • Kanunlarda açıkça öngörülmesi,
  • Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
  • Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
  • Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
  • İlgili kişinin kendisi tarafından alenileştirilmiş olması,
  • Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
  • İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

Sırada bir başka önemli kavram var: “Özel nitelikli kişisel veri”.

Görselin kaynağı: https://cdn.pixabay.com/photo/2017/12/24/21/08/secret-3037639_1280.jpg

Özel Nitelikli Kişisel Veri

Kanunun 6. Maddesine göre, kişilerin; ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileriyle biyometrik ve genetik verileri, “Özel nitelikli kişisel veri” olarak ifade ediliyor.

Kural bu olmakla birlikte; sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler bakımından kanunlarda açıkça öngörülmüş olması halinde, bu verilerin kişinin açık rızası aranmaksızın işlenmesi mümkün.  

Sağlık ve cinsel hayata ilişkin kişisel verilerse ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından alınabiliyor ve işlenebiliyor.

Görselin kaynağı: https://www.personneltoday.com/wp-content/uploads/sites/8/2018/05/special-data-categories.jpg

Kişisel Verilerin Silinmesi

Peki, toplanan kişisel veriler nasıl silinmeli? Kişisel verilerin ne şekilde silineceği, yok edileceği veya anonim hale getirileceği; Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik kapsamında düzenleniyor. Yönetmeliğin 11. maddesine göre, kişisel veri saklama ve imha politikası hazırlamış olan veri sorumluları; kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde bu kişisel verileri silmek, yok etmek veya anonim hale getirmek zorundalar.

Görselin kaynağı: https://media.giphy.com/media/5xaOcLwEvFOizxHVyVy/giphy.gif

Bu işlemleri kısaca ifade edecek olursak:

  • Kişisel verilerin silinmesi: Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.
  • Kişisel verilerin yok edilmesi: Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.
  • Kişisel verilerin anonim hale getirilmesi: Kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi işlemidir. Kişisel verilerin anonim hale getirilmiş olması için kişisel verilerin; veri sorumlusu, alıcı veya alıcı grupları tarafından geri döndürme ve verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmiş olması gerekiyor.

Peki, Kanunun getirdiği bu kurallara uyulmazsa ne olur? Hukuk sistemimiz bu noktada “Suçlar” ve “Kabahatler” olmak üzere ikili bir ayrıma gidiyor.

Kişisel Verilerle İlgili Suçlar

Kişisel verilerle ilgili 5237 sayılı Türk Ceza Kanunu (Bundan sonra kısaca “TCK” olarak ifade edeceğiz.) kapsamında düzenlenen suçlar ve cezaları şöyle:

  • Kişisel verileri hukuka aykırı olarak kaydetmek: TCK md. 135 uyarınca; hukuka aykırı olarak kişisel verileri kaydeden kimseye 1 yıldan 3 yıla kadar hapis cezası verilir. Kişisel verinin, kişilerin siyasi, felsefi veya dini görüşlerine, ırki kökenlerine; hukuka aykırı olarak ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin olması durumunda birinci fıkra uyarınca verilecek ceza yarı oranında artırılır.
  • Kişisel verileri hukuka aykırı olarak vermek ya da ele geçirmek: TCK md. 136’a göre; Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, 2 yıldan 4 yıla kadar hapis cezası ile cezalandırılır.
  • Kişisel verileri yok etmemek: TCK md. 138’e göre, kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlara görevlerini yerine getirmediklerinde 1 yıldan 2 yıla kadar hapis cezası verilir.
Görselin kaynağı: https://www.wusf.org/wp-content/uploads/2020/07/jailcell3_iStock_032320-1.jpg

İdari Yaptırımlar

Gelelim, Kişisel Verilerin Korunması Kanunu’nda sayılan ve “Kabahat” olarak nitelendirilen diğer eylemlere ve yaptırımlarına. Kanunda yer alan kurallara uyulup uyulmadığının denetimi Kişisel Verileri Koruma Kurulu tarafından yapılıyor. Kurul, kişisel verileri kanuna aykırı olarak işlenen ilgili kişinin şikayeti üzerine harekete geçebileceği gibi, herhangi bir şikayet olmaksızın kendiliğinden yapacağı bir incelemeyle de bu kurallara aykırı hareket edenleri tespit edebiliyor ve bu tespitin ardından:

  • Kanunun 10.maddesinde öngörülen aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 TÜRK LİRASINDAN 100.000 TÜRK LİRASINA KADAR,
  • Kanunun 12. maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 TÜRK LİRASINDAN 1.000.000 TÜRK LİRASINA KADAR,
  • Kanunun 15. maddesi uyarınca Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 TÜRK LİRASINDAN 1.000.000 TÜRK LİRASINA KADAR,
  • Kanunun 16. maddesinde öngörülen veri sorumluları siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 TÜRK LİRASINDAN 1.000.000 TÜRK LİRASINA KADAR,

idari para cezalarına hükmedilebiliyor. Peki, böyle bir idari para cezasıyla karşı karşıya kalanlar hangi sürede, nereye başvurabilir?

Kurul tarafından hükmolunan idari para cezalarına karşı 5326 Sayılı Kabahatler Kanununun 27.maddesinde yer alan kurallara göre itiraz hakkı bulunuyor. Bu itirazın, kararın tebliği veya tefhimi tarihinden itibaren en geç 15 gün içinde yetkili sulh ceza hakimliğine sunulması gerekiyor. Bu süre içinde itiraz edilmezse, kurulun verdiği ceza kesinleşiyor. Sakın bu süreyi kaçırmayın!

İtirazın ardından sulh ceza hakimliği tarafından itirazın kabulüne veya reddine karar verilebileceği gibi Kurul tarafından verilen para cezasının miktarının azaltılmasına da karar verilebiliyor. Hakim tarafından verilen bu kararın da kesin olmadığını söylemekte yarar var. Bu karara karşı son bir itiraz hakkı daha bulunuyor. 5271 Sayılı Ceza Muhakemesi Kanunu uyarınca, Sulh Ceza Hakimi tarafından verilen kararlara, kararın tebliğinden itibaren 7 gün içinde itiraz edilebiliyor.

Görüldüğü gibi Kanunun yürürlüğe girmesiyle birlikte; her aşaması dikkatle takip edilmesi gereken ve tedbirli olunmazsa ciddi yaptırımların öngörüldüğü birçok yükümlülük getirilmiş durumda. Bu yaptırımlarla karşı karşıya kalmak için ihmalkar davranmamak gerekiyor. Zira, bu yükümlülüklere uymayan işletmeler; söz konusu cezaların yanı sıra müşterileri nezdinde yıllar içinde oluşturdukları itibarlarını kaybetme tehlikesiyle de karşı karşıya kalabilirler. Kaybeden tarafta olmamak için işin baştan sıkı tutulması ve bir hukuk profesyoneliyle birlikte çalışılması hayati derecede önemli.

Böylece yazımızın sonuna geldik. Konuyla ilgili merak ettiğiniz diğer hususları web sitemizin iletişim bölümünden bizlere ulaştırabilirsiniz. 

 

 

FacebookTwitterPinterestLinkedinWhatsappEmail

Bunlar da ilginizi çekebilir

Copy Protected by Chetan's WP-Copyprotect.
Bayrak Hukuk
Powered by  GDPR çerez uyumluluğu
Gizliliğe genel bakış

Bu web sitesi, size mümkün olan en iyi kullanıcı deneyimini sunabilmek için çerezleri kullanır. Çerez bilgileri tarayıcınızda saklanır ve web sitemize döndüğünüzde sizi tanımak ve ekibimizin web sitesinin hangi bölümlerini en ilginç ve yararlı bulduğunuzu anlamasına yardımcı olmak gibi işlevleri yerine getirir.