Türkiye Ve Avrupa’da Kişisel Verilerin Korunması – II

Giriş

6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK” veya “Kanun”) 07.04.2016 tarihli ve 29677 sayılı Resmi Gazete’de yayımlanmak suretiyle yürürlüğe girdi. KVKK’nın kabul edilmesiyle, Türkiye’de kişisel verilerin korunmasında Avrupa Birliği mevzuatıyla uyum kapsamında uzun süredir beklenen son adım atılmış oldu. Daha önce açıklandığı gibi, Kanun’un yürürlüğe girmesine dek, Türkiye’de kişisel verilerin korunmasının hukuki dayanakları temelde Anayasa md. 20 ve Türk Ceza Kanunu md. 135 idi. [1]

18.02.2016 ve 07.04.2016 tarihlerinde, Türkiye kişisel veri korumasının hukuki dayanaklarına, sırasıyla Avrupa Konseyi Kişisel Verilerin Otomatik İşleme Tabi Tutulma Sürecinde Bireylerin Korunmasına İlişkin Sözleşme’yi (“108 sayılı Sözleşme”) ve KVKK’yı eklemiştir. Bunlardan ilki, yani 108 sayılı Sözleşme Türkiye Cumhuriyeti tarafından 28.01.1981 tarihinde imzalanmasına rağmen, undan 35 yıl sonra, 6669 sayılı Kanun ile onaylanmıştır.

Bu makalede başta Kanun ile getirilen yenilikler incelenecek, gerekli görülen yerlerde 108 sayılı Sözleşme’nin ilgili hükümlerine atıf yapılacaktır.

Tanımlar

KVKK’nın yürürlüğe girmesiyle, Türk hukukunda ilk kez kişisel veriler “Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi (…)” şeklinde bir tanıma kavuşmuştur (md. 3/ç). Bunun yanı sıra, kişisel verilerin işlenmesi ise “Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem” şeklinde tanımlanır (md. 3/d).

Buna ek olarak, kişisel verilerin işlenmesinden esas olarak sorumlu olan kişi olan veri sorumlusu “Kişisel verileri işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi” olarak tanımlanır (md. 3/ı).

Uygulama Kapsamı

KVKK kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişilere uygulanır (md. 2, 108 sayılı Sözleşme md. 3)

Tanımlardan da anlaşıldığı üzere, ilgili kişi, bir başka deyişle kişisel verileri Kanun tarafından korunan kişi ancak bir gerçek kişi olabilir; öte yandan veri sorumlusu bir gerçek kişi veya tüzel kişi olabilir. Kişisel verilerin korunması özel yaşamın gizliliğinin korunmasıyla bağlantılı olduğundan, KVKK uygulama alanının dışında kalan istisnai halleri kategorik olarak; örneğin kişisel verileri Kanun hükmüne tabii olmaksızın işlenebilecek kişiler gibi, belirlenmemiştir. Bunun yerine, sayıları pek de az olmayan istisnalar, Kanun’da amaçlarına yönelik olarak sıralanmıştır. Söz konusu istisnalar aşağıdaki şekilde özetlenebilir:

  • “Gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenme,
  • Araştırma, planlama ve resmi istatistik ile anonim hale getirmek gibi amaçlar ile işlenme,
  • Millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenme,
  • Önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenme,
  • Soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin işlenme.” (md. 28).

Veri İşleme Koşulları

KVKK’nın getirdiği en önemli yenilik kişisel verilerin işlenmesine ilişkindir. Buna göre, belli bazı şartlar söz konusu değilse, kişisel veriler veri süjesinin açık rızası olmadan işlenemez (md. 5/1). KVKK bu kuralın istisnalarını da düzenlemektedir; ilgili istisnalar aşağıdaki gibi özetlenir:

  • “Kanunlarda açıkça öngörülmesi,
  • Rızasını açıklayamayacak durumda bulunan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
  • Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması,
  • Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
  • İlgili kişinin kendisi tarafından alenileştirilmiş olması,
  • Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
  • İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” (md. 5/2).

Ancak söz konusu kriterler ancak genel nitelikli kişisel verilere uygulanır; bunlara örnek olarak isim, soy isim, doğum yeri ve tarihi, fiziksel görünüm, sosyal güvenlik numarası, IP adresi, e-posta adresi, hobiler ve tercihler verilebilir. Kanun özel nitelikli kişisel veri adı verilen bir alt kategori öngörür. Özel nitelikli, kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerdir (md. 6/1, 108 sayılı Sözleşme md. 6). Bu tip veriler veri süjesinin açık rızası olmadan işlenmesi yasaktır (md. 6/2).

Ancak sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir (md. 6/3). Buna ek olarak KVKK, kişisel verilerin silinmesini, yok edilmesini, anonimleştirilmesini, açıklanmasını ve aktarılmasını da düzenler (md. 7-9).

Veri Sorumlusunun Yükümlülükleri ve Veri Süjesinin Hakları

KVKK veri sorumlusu veya yetkilendirdiği kişinin, ilgili kişilere; veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ve diğer haklarına dair aydınlatma yükümlülüğü bulunur (md. 10). Veri sorumlusunun Kanun’un uygulanması ve uygulamanın denetlenmesi bakımından da çeşitli yükümlülükleri vardır (md. 12).

Veri süjesinin hakları aşağıdaki şekilde özetlenebilir:

  • “Kişisel verilerinin işlenip işlenmediğini öğrenme,
  • Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
  • Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
  • Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
  • Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
  • Kişisel verilerin silinmesini veya yok edilmesini isteme,
  • Kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme
  • İtiraz etme,
  • Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.” (md. 11, 108 saylı Sözleşme md. 4 vd.)

Cezai ve İdari Sorumluluk

Kanun’a aykırılığın cezai sorumluluğu Türk Ceza Kanunu md. 135 vd. uyarınca belirlenir (md. 17). Ayrıca KVVK, veri sorumlusu gerçek ve tüzel kişilere Kanun’da sayılı çeşitli kabahatler için 5.000 – 1.000.000 TL arasında değişen idari para cezası verilmesini öngörür.

Çeşitli Hükümler

KVKK, bir Kişisel Verileri Koruma Kurumu ve bir de Kişisel Verileri Koruma Kurulu kurulmasını öngörür (md. 19 vd.). Kanun bunlara şikayet prosedürünü ve bunların görevleri ile çalışma prensiplerini de belirler. KVKK’nın 8, 9, 11, 13, 14, 15, 16, 17 ve 18’inci maddeleri yayımı tarihinden altı ay sonra, diğer maddeleri ise yayımı tarihinde yürürlüğe girer.

Sonuç

KVKK kişisel verilerin korunmasını düzenleyerek Türk hukukunda önemli bir boşluğu doldurur. Uygulamasına ilişkin detaylar zamanla görülecek ise de, söz konusu Kanun’un yürürlüğe konmasının sadece kişisel verilerin değil, kişi hak ve özgürlüklerinin korunması konusunda da olumlu bir gelişme olduğu söylenebilir.



[1] Lütfen bakınız: Aralık 2015’te yayımlanan “Türkiye ve Avrupa’da Kişisel Verilerin Korunması” adlı Hukuk Postası makalesi. Link: http://www.erdem-erdem.com/articles/turkiye-ve-avrupada-kisisel-verilerin-korunmasi/