Kişisel Veri Kavramı ve İlgilinin Hakları

Giriş

Kişisel Verilerin Korunması Kanunu’nun amacı; kişisel verilerin işlenmesinin disiplin altına alınması, temel hak ve özgürlüklerin korunması, kişinin mahremiyet hakkı ile bilgi güvenliği hakkının korunması kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasların düzenlenmesidir. Günümüzde söz konusu Kanunun uygulanmasından pek çok uyuşmazlık meydana gelmekte, çoğu zaman kişilerin kişisel verileri hukuka aykırı şekilde işlenmekte ancak kişiler bu durumlarda hangi hukuki yollara başvurmaları gerektiğini bilmemektedir. İşbu yazımızda kişisel verilerin hangi hususları kapsadığı ve bu bağlamda bir ihlal gerçekleşmesi halinde başvurulabilecek hukuki yolların nelerden ibaret olduğu detaylı şekilde açıklanmıştır.

Kişisel Veri Kavramı

6698 sayılı Kişisel Verilerin Korunması Kanunu’nda kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak tanımlanmaktadır. Her türlü bilgi deyimi ile aslında sadece bireyin kesin teşhisini sağlayan ad, soyad, doğum tarihi, doğum yeri gibi bilgiler değil; aynı zamanda bireyin belirlenebilir kılınmasını sağlayan fiziki, ailevi, ekonomik, sosyal ve buna benzer özelliklere ilişkin bilgiler de kastedilmektedir. Kanunda, kişisel veriler sınırlı sayma yoluyla belirlenmediğinden, her somut olayın özelliğine göre kişisel verinin kapsamının genişletilmesi de mümkündür.

Bu kapsamda, gerçek bir kişinin motorlu taşıt plakası, mülakat sonuçları, kullandığı elektronik cihazların IP adresleri, ses ve görüntü kayıtları, konum bilgisi, adli sicil kaydı, kredi kartı ekstreleri, sosyal medya beğenileri, parmak izleri vb. bilgiler de kişisel veri olarak tanımlanabilmektedir.

Bu doğrultuda açıktır ki bir bilgi, ait olduğu kişiye ulaşma imkanı sağlıyorsa bu bilgi kişisel veri niteliğindedir.  Kişisel veri olabilmesi için bilginin, kimliği belirli ya da belirlenebilir gerçek bir kişiye ilişkin olması gerekmektedir. Belirli olma ifadesi, verinin bir gerçek kişinin doğrudan kimliğini gösterebileceği durumlar; belirlenebilir olma ifadesi ise herhangi bir kayıtla ilişkilendirilmesi sonucunda kişinin belirlenmesini sağlıyor olması anlamına gelmektedir.

Benzer şekilde, bazı durumlarda ise ad ve soyadı belirtilmeden dahi bir kişinin belirlenmesi mümkün olabilmektedir. Ancak, yine de bilginin ait olduğu gerçek kişinin belirlenebilirliğinin tespitinde, her somut olay özelinde, verinin kişiyi tanımlayabilme kabiliyeti dikkate alınarak değerlendirme yapılmalıdır.

Buna ek olarak özel nitelikli hassas kişisel veriler bulunmaktadır. Bu veriler; kişisel verilerin daha sıkı tedbirlerle korunmasını gerektiren, başkaları tarafından öğrenildiği takdirde ilgili kişinin mağdur olmasına, ayrımcılığa maruz kalmasına ya da şeref ve onurunun zedelenmesine neden olabilecek nitelikteki verilerdir. Bu nedenle, hangi kişisel verilerin özel nitelikli veriler olduğu ve özel nitelikli kişisel verilerin işlenme şartları Kanunda ayrıca düzenlemiştir. Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veriler olarak sayılmıştır.

Görüldüğü üzere kişisel veri kavramının mahiyeti oldukça geniş olup, her olay özelinde kavramın sınırlarının tekrar belirlenmesi gereklidir.

Veri Sorumlusunun Yükümlülükleri

Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade etmektedir. Veri sorumlusunun birtakım yükümlülükleri bulunmakta olup, bunlar aşağıda sıralanmıştır.

  • Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi

Kanunun 7. maddesine göre kişisel veriler hukuka uygun şekilde işlenmiş olsalar dahi, işlenmeyi gerektiren sebepler ortadan kalktığında veri sorumlusu tarafından resen veya ilgili kişinin talebi üzerine silinmeli, yok edilmeli veya anonim hale getirilmelidir.

Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar (veri sorumlusu veya veri işleyen nezdinde verileri teknik olarak depolama, koruma ve yedeklemeden sorumlu olanlar hariç herkes) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.

Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.

Kişisel verilerin anonim hale getirilmesi, bu verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirlenebilir bir gerçek kişiyle ilişkilendirilememesini ifade etmektedir.

Bu kapsamda ayrıca herkesin veri sorumlusuna başvurarak kendisiyle ilgili kişisel verilerin Kanunun 7. maddesinde öngörülen şartlar çerçevesinde silinmesini veya yok edilmesini isteme hakkı bulunmaktadır.

  • Aydınlatma Yükümlülüğü

Veri sorumlusu veya yetkilendirdiği kişi, kişisel verilerin elde edilmesi sırasında ilgili kişileri Kanunun 10. maddesine göre aşağıdaki konularda bilgilendirmekle yükümlüdür:

  1. Veri sorumlusunun ve varsa temsilcisinin kimliği,
  2. Kişisel verilerin hangi amaçla işleneceği,
  3. İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
  4. Kişisel veri toplamanın yöntemi ve hukuki sebebi,
  5. İlgili kişinin Kanunun 11. maddesinde sayılan diğer hakları.

Aydınlatma yapılırken; kişisel veri işleme amacı belirli, açık ve meşru olmalı, ilgili kişiye yapılacak bildirim anlaşılır ve sade olmalı, kullanılan dil, bilginin hitap ettiği ilgili kişi kategorisi göz önüne alınarak belirlenmeli, metinlerde muğlak ifadelerden ve teknik terimlerden kaçınılmalı, metinlerde eksik, yanıltıcı veya yanlış bilgilere yer verilmemelidir. Aydınlatma yükümlüğü kapsamında ilgili kişilerin yazılı veya sözlü şekilde bilgilendirilmeleri mümkün olabileceği gibi elektronik ortamda gönderilecek bir e-posta, ses kaydı veya çağrı merkezi aracılığıyla da bilgilendirilmeleri mümkündür.

Kişisel verilerin, ilgili kişinin açık rızası ile ya da Kanundaki diğer veri işleme şartlarına dayalı olarak işlenmesi hallerinde aydınlatma yükümlülüğünün yerine getirilmesi zorunludur. Veri sorumlusu, ilgili kişinin talebini beklemeksizin aydınlatma yükümlülüğünü yerine getirmelidir. Veri sorumlusu, aydınlatma yükümlülüğünü yerine getirdiğini ispat etmekle yükümlüdür.

İlgili Kişinin Hakları

Kanunun 11. maddesine göre ilgili kişiler, her zaman veri sorumlusuna başvurarak kendisi ile ilgili;

  1. Kişisel verilerinin işlenip işlenmediğini öğrenme,
  2. Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
  3. Kişisel verilerinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
  4. Yurt içinde veya yurt dışında kişisel verilerinin aktarıldığı üçüncü kişileri bilme,
  5. Kişisel verilerinin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
  6. Kanunun 7. maddesinde öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
  7. Düzeltilme, silinme veya yok edilme işlemlerinin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  8. İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
  9. Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme haklarına sahiptir.

Veri sorumlusunca talebe en kısa sürede ve en geç 30 gün içinde cevap verilmesi gerekmektedir. Ancak başvurunun reddedilmesi veya verilen cevabın yetersiz olması hallerinde 30 gün içinde, başvuruya süresinde cevap verilmemesi hallerinde ise başvuru tarihinden itibaren 60 gün içinde ilgili kişiler Kurula şikâyet yoluna gidebilir. İlgili kişiler, Kanunun 11. maddesindeki taleplerine ilişkin olarak öncelikle veri sorumlularına başvurmalıdır. Bu yol tüketilmeden Kişisel Verileri Koruma Kuruluna şikâyet yoluna gidilmemelidir.

  • Veri Sorumlusuna Başvuru

Kanunun 13. maddesinde, ilgili kişinin veri sorumlusuna başvurusuna ilişkin hususlar düzenlenmektedir. Maddenin 1. fıkrasına göre, ilgili kişilerin Kanunun uygulanmasıyla ilgili taleplerini, öncelikle veri sorumlusuna iletmeleri zorunludur. İlgili kişilerin, taleplerini veri sorumlusuna yazılı olarak ya da Kurulun belirleyeceği diğer yöntemlerle iletebilmelerine imkân sağlanmaktadır. İlgili kişilerce veri sorumlusuna yapılacak başvuru yazılı olarak ya da Kurulun belirleyeceği diğer yöntemlerle iletilebilmektedir.

Bu kapsamda Kurul tarafından belirlenen diğer yöntemler, 10.03.2018 tarihli Resmi Gazete’de yayımlanan “Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ”de düzenlenmektedir. Tebliğin 5. maddesine göre ilgili kişi, Kanunun 11. maddesinde belirtilen hakları kapsamındaki taleplerini, yazılı olarak veya kayıtlı elektronik posta (KEP) adresi, güvenli elektronik imza, mobil imza ya da ilgili kişi tarafından veri sorumlusuna daha önce bildirilen ve veri sorumlusunun sisteminde kayıtlı bulunan elektronik posta adresini kullanmak suretiyle veya başvuru amacına yönelik geliştirilmiş bir yazılım ya da uygulama vasıtasıyla veri sorumlusuna iletir.

Aynı maddenin 2. fıkrasında, talebi alan veri sorumlusunun; ücretsiz olarak veya işlemin ayrıca bir maliyeti gerektirmesi halinde, Kurul tarafından belirlenen tarifeye göre, alacağı ücret mukabilinde en kısa sürede ve en geç 30 gün içinde talebi incelemesi, kabul veya gerekçesini açıklayarak reddetmesi, ayrıca cevabı ilgili kişiye bildirmesi öngörülmektedir.

Veri sorumlusunun gerçek kişi veya özel şirket olabileceği ve bunların 7201 sayılı Tebligat Kanunu’na tabi olmamaları dikkate alınmış ve veri sorumlusunun cevabını ilgili kişiye “bildirmesi” gerektiği burada hükme bağlanmıştır. Bu bildirim, bir ispat sorunu olup gerektiğinde yargı mercilerince ele alınacaktır. 7201 sayılı Kanuna tabi kurum ve kuruluşların bu bildirimleri anılan Kanun hükümleri uyarınca resmi tebligat yoluyla yapacakları ise açıktır. Maddenin 3. fıkrası gereğince, veri sorumlusu talebi kabul eder veya gerekçesini açıklayarak reddeder. Veri sorumlusu cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir. Başvuruda yer alan talebin kabul edilmesi hâlinde veri sorumlusunca gereği yerine getirilir. Başvurunun veri sorumlusunun hatasından kaynaklanması hâlinde alınan ücret ilgiliye iade edilir.

Son olarak Başvurusunun reddedilmesi veya verilen cevabın ilgili kişi nezdinde yetersiz kalması durumunda ilgili kişi cevabı aldığı tarihten itibaren 30 gün içerisinde Kurula şikâyet yoluna gidebilir. Veri sorumlusu tarafından başvuruya cevap verilmemesi durumunda ise; başvuru tarihinden itibaren 60 gün içinde Kurula şikâyette bulunabilir.

  • Kurula Şikayet

Kişisel verisi işlenen ilgili kişilerin, Kanunun 11. maddesi ile öngörülen haklarını kullanırken önce veri sorumlusuna başvurması, cevabın niteliğine göre ise Kurula şikâyet yoluna gitmesi mümkündür. Kanunun 14. maddesi ile Kurula şikâyet konusu düzenlenmektedir. Buna göre; Kanunun 13. maddesi kapsamında yapmış olduğu başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hallerinde ilgili kişi, veri sorumlusunun cevabını öğrendiği tarihten itibaren 30 ve her halde başvuru tarihinden itibaren 60 gün içinde Kurula şikâyette bulunabilir. Maddenin 2. fıkrasında, Kanunun 13. maddesinde düzenlenen başvuru aşamasının zorunlu bir başvuru yolu olduğu ve bu yol tüketilmeden şikâyet yoluna gidilemeyeceği hükme bağlanmaktadır. Böylece uyuşmazlıkların belirli bir kısmının veri sorumluları tarafından giderilmesi ve bu suretle Kurulun yoğun bir iş yüküyle karşı karşıya kalmasının önlenmesi amaçlanmaktadır. Başvuru yoluna gitmenin zorunlu, şikâyet yoluna gitmenin ise ihtiyari olması sebebiyle, başvurusu zımnen veya açıkça reddedilen ilgili kişinin bir yandan Kurula şikâyette bulunabilmesi, diğer yandan ise adli veya idari yargı yoluna gidebilmesi mümkün olacaktır. Maddenin 3. fıkrası ile kişilik hakları ihlal edilenlerin, genel hükümlere göre tazminat hakkının saklı tutulduğu düzenlenmektedir. Bu kapsamda, veri sorumlusunun hukuki statüsüne göre ilgililer adli ya da idari yargıda dava açabileceklerdir.

Veri sorumlusuna hiçbir şekilde ulaşılamadığı, veri sorumlusunun tespitinin sağlanamadığı durumlarda ilgili kişi elinde kanıtlanabilir nitelikte belge olmak kaydıyla, doğrudan Kurula şikâyet yoluna gidebilir.

Sonuç

Netice itibariyle günümüzde kimi veri sorumluları Kişisel Verilerin Korunması Hakkında Kanun’dan doğan yükümlülüklere ve sınırlamalara uygun davranmamaktadır. Bu yüzden pek çok kişiye ait kişisel veriler hukuka aykırı şekilde işlenmekte, birtakım mağduriyetler oluşmaktadır. Bu kapsamda ilgililer tarafından kişisel veri kavramının hangi bilgileri kapsadığı ve ihlal durumunda hangi hukuki yollara başvurulması gerektiğinin bilinmesi büyük önem arz etmektedir. Bu vesileyle kişisel verilerin korunması alanında gerek veri işleyen gerek verileri işlenen tarafların olası hak kayıpları ve hukuka aykırı uygulamaların önüne geçebilmek maksadıyla alanında uzman hukukçulardan danışmanlık hizmeti alması yerinde olacaktır

en_USEnglish