Kişisel verilerin korunması

Serbest Kürsü
Serbest Kürsü

AV. DR. UMUT KOLCUOĞLU

Geçtiğimiz yıl nisan ayında yayımlanan Kişisel Verilerin Korunması Kanunu’nun tüm hükümleri, ekim ayı itibariyle yürürlüğe girdi. Uzun süredir gündemde olan kanun, kişisel verileri işleyenlerin yükümlülüklerini düzenleyerek, verilerin işlenmesi sürecinde temel hak ve özgürlükler ile özel hayatın gizliliğini korumayı amaçlıyor. Peki kişisel veri kapsamına neler giriyor? Bir kişinin kimlik bilgileri, banka hesap bilgileri, e-posta adresi, IP adresi, telefon numarası, resim, video ve ses kayıtları, parmak izi, özgeçmişi ve hatta hobileri ve beğenileri ile fiziksel özellikleri gibi verilerin tamamı kişisel veri olarak kabul ediliyor.

Kişisel verilerin işlenmesi ise verilerin elde edilmesi, kaydedilmesi, muhafaza edilmesi, değiştirilmesi, aktarılması, sınıfl andırılması gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade ediyor. Bu kapsamda işverenlerin, işçiye ait kimlik bilgilerini veya banka hesap bilgilerini alması veya bunları bordrolama şirketine aktarması dahi bir veri işleme eylemi olarak kabul ediliyor. Kişisel verilerin işlenebilmesi için temel kural veri sahibinin açık rızasının alınması olmakla birlikte, Kanun bu kurala istisnalar da getiriyor. Örneğin, veri sorumlusunun veri işleme konusunda yasal yükümlülüğü bulunması; veri işlemenin, rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması gibi durumlarda veri sahibinin açık rızası aranmıyor.

Özel nitelikli kişisel verilerin nasıl işleneceği konusu ise Kanunda ayrıca düzenleniyor. Buna göre, kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri, özel nitelikli kişisel veri sayılıyor. Bunlardan sağlık ve cinsel hayatla ilgili olanlar dışındaki veriler, kanunlarda öngörülen hallerde sahibinin açık rızası aranmaksızın işlenebiliyor.

Sağlık ve cinsel hayata ilişkin veriler ise ancak “kamu sağlığının korunması” gibi esaslı bir amaçla ve “sır saklama yükümlülüğü bulunan bir yetkili kurum” tarafından veri sahibinin açık rızası olmaksızın işlenebiliyor.

Kanunda kişisel verilerin işlenme amaç ve araçlarını belirleyen, veri kayıt sisteminin kurulup yönetilmesinden sorumlu gerçek veya tüzel kişiler (örneğin kişisel veri toplayan bir anonim şirket) veri sorumlusu olarak tanımlanıyor ve bunların “veri sorumluları” siciline kaydedilmeleri gerekiyor.

Veri sorumlusu, onun adına kişisel verileri işlemesi için başka bir gerçek veya tüzel kişiye de yetki verebiliyor ki bu kişi veri işleyen olarak adlandırılıyor. Veri işleyen, veri sorumlusunun bordrosunda çalışan bir kişi olabileceği gibi bu konuda hizmet veren bir gerçek veya tüzel kişi de olabiliyor. Bu durumda veri sorumlusu ile veri işleyenin müşterek sorumluluğu söz konusu oluyor.

Veri sorumlusu veya veri işleyen, kişisel verileri elde ederken veri sahiplerine, kendi kimliği ve veri sahibinin hakları gibi temel bilgileri vermek zorunda. Veri sahibi ise işlenen eksik/yanlış verilerin düzeltilmesini ve verilerinin silinmesini her zaman talep edebiliyor. Yine işçi işveren örneğinden gidecek olursak, bir çalışma ilişkisi sona erdiğinde, işverenin işçinin kişisel verilerini anonim hale getirme veya yok etme yükümlülüğü doğuyor.

Türk Ceza Kanunu’ndaki hapis cezasının yanında, kanundaki düzenlemelere aykırılık halinde 1 milyon Türk Lirası’na kadar idari para cezası öngörülüyor. Anayasa ve Türk Ceza Kanunu’nda kişisel verilerin korunmasına ilişkin mevcut düzenlemeler ışığında oluşmuş mahkeme içtihatlarının yeni dönemde de uygulama açısından yol gösterici olacağını söylemek mümkün. Örneğin Kanundaki belli sınırlamalara rağmen, Yargıtay son zamanlardaki kararlarında çalışanlara sadece iş ilişkisi amacıyla verilen bilgisayardaki veriler ile e-posta hesabındaki yazışmalar üzerinde işverenlere oldukça kapsamlı bir inceleme ve denetim yetkisi tanıyor. Pek tabii Kanunun mevcut yargı içtihatları üzerindeki etkisini ilerleyen zamanlarda göreceğiz.

Her ne kadar Kanun, kişisel verilerin işlenmesi bakımından kamu kurumları lehine geniş istisnalar getirmesi ve bireylerin kamu kuruluşlarından ziyade özel kuruluşlara karşı korunmasını esas alıyor olması bakımından eleştirilse de Kanun ile mevzuatımızdaki büyük bir eksikliğin giderildiği bir gerçek. Pek tabii, mevzuattaki açıklar uygulama ilerledikçe netleşecek. Bu süreçte kişilerin veri güvenliğinin Kanunun öngördüğü şekilde sağlanabilmesi için özellikle şirketlerin eğitim ve iç denetim süreçlerini titizlikle yönetmesi önem taşıyor.

Yazara Ait Diğer Yazılar Tüm Yazılar