Kişisel verilerin izin alınmadan saklanması ve satılmasının cezaları
Kişisel veriler denildiğinde aklınıza ne gelir? Kimlik bilgileri, ses kayıtları, görüntü kayıtları, plakanız, üye olduğunuz internet siteleri yada gittiğiniz kulüpler, öz geçmiş yada cv’niz, aileniz, sağlık geçmişiniz yani hayata dair kişisel anlamda özel olan her şey aklınıza geliyordur. Herhangi kurum yada kuruluş sizin bu kişisel bilgileri sizin izniniz olmadan tutamaz ve 3. kişilerle de paylaşamaz. Yazımızda kişilik haklarımızı koruyan bu kanundan bahsedip, KVKK’na (6698 sayılı kişisel verilerin korunma kanunu) uymayanların cezalarından bahsedeceğiz.
Kişisel veri nedir? Kişisel verilerin korunması neden önemli?
6698 sayılı Kişisel Verilerin Korunması Kanununda kişisel veri için “Kimliği belirli ya da belirlenebilir nitelikteki gerçek bir kişiye ilişkin her türlü bilgidir. Kişisel veriden söz edebilmek için, verinin gerçek bir kişiye ilişkin olması ve bu kişinin de belirli ya da belirlenebilir nitelikte olması gerekmektedir.” denilmektedir.
Her türlü bilgi ifadesi son derece geniş olup, gerçek kişinin; adı, soyadı, doğum tarihi ve doğum yeri gibi bireyin sadece kimliğini ortaya koyan bilgiler değil; telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izi, e-posta adresi, hobileri, tercihleri, üyelikleri, aile bilgileri, sağlık bilgileri gibi kişiyi doğrudan veya dolaylı olarak belirlenebilir kılan tüm veriler kişisel veri olarak kabul edilmektedir.
Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin tekil olarak kaydedilen ve işlenebilen veriler (örneğin TCKN, IP adresi, adı soyadı vb.) olabileceği gibi kimliği belirli veya belirlenebilir gerçek kişiyle ilişkili raporlar (örneğin müşteri şikâyet raporları, çalışan performans değerlendirme raporları, mülakat değerlendirme raporları), kayıtlar (ses veya görüntü kayıtları, resimler, kullanıcı işlem kayıtları), belgeler (örneğin özgeçmişler, bordro, fatura, banka makbuzları, kredi kartı hesap özetleri, nüfus cüzdanı fotokopileri), yazılar (örneğin mektuplar, davet yazıları) da kişisel veri kapsamında değerlendirilmektedir.
Bilişim Teknolojilerinde yaşanan gelişmelere paralel olarak, kişisel bilgilerin saklanması adına kopyalanan yada kişisel verilerimiz kolaylıkla temin edilerek işlenebilmekte ve farklı platformlara aktarılarak değişik amaçlarla kullanılabilmektedir. Örnek olarak; reklam ve kampanyalar hakkında bilgi verilmek üzere tanımadığımız kişi veya kurumlarca aranabiliyoruz.
Kişisel bilgilerimiz bu kişilerin eline nasıl geçiyor?
Bilgilerimizin kişi ve/veya kuruluşların eline nasıl ve ne zaman geçtiğini bilmiyoruz. O kişi ve/veya kurumlarda, bize ait daha fazla veri olup olmadığını da bilmiyoruz. Bilemeyiz de!
Bu kişi ve/veya kurumlar tarafından bilgilerimizin başka kimlerle paylaşıldığını da bilmiyoruz. Bilgimiz ve iznimiz olmaksızın tanımadığımız kişi ve/veya kurumlar tarafından farklı amaçlarla kullanılmasından ister istemez rahatsızlık duyuyoruz.
Peki, kişisel verilerin korunması ne anlama gelmektedir?
Bu kanun ile kişisel verilerin sınırsız ve gelişigüzel toplanması, izinsiz işlenmesi, yetkisiz kişilerin erişimine açılması, ifşa edilmesi, toplanma amacı dışında kötüye kullanımının engellemesi, özel hayatın gizliliği, kişinin temel hak ve özgürlüklerinin korunması için uyulacak olan kuralları belirterek, kişisel verilerin kanun çerçevesinde güvence altına alınmasını sağlamaktadır.
2010 yılında 5982 sayılı Kanun’la yapılan Anayasa değişikliği ile Anayasa’nın 20. maddesine ilave bir fıkra eklenerek kişisel veriler, “özel hayatın gizliliği ve korunması hakkı” kapsamında Anayasal güvenceye kavuşmuştur. Bu fıkrada; “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir” denilmektedir.
Kişisel veriler işlenirken aşağıdaki ilkeler ışığında işlenmelidir. Buna göre.
- Hukuka ve dürüstlük kurallarına uygun olma.
- Doğru ve gerektiğinde güncel olma.
- Belirli, açık ve meşru amaçlar için işlenme.
- İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.
- İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.
“Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir” ne demek?
Kişinin kendisine ait verisinin açık ve net olarak rıza verdiği kişi ve/veya kurum tarafından sınırlarını, kapsamını, saklanma koşullarını, gerçekleştirilme biçimini ve süresini de belirleyerek, bu sınırlar içinde kendisine ait verilerin kullanılmasına rıza gösterdiğini belirtilmiş olmalıdır.
Açık rıza; yazılı ve ıslak imzalı olarak alınabileceği gibi elektronik ortam üzerinden kişilere sunulan bir sözleşme metini ile de alınması mümkündür.
Genel bir irade açıklaması ile “kişisel verilerimin işlenmesini kabul ediyorum” şeklinde geniş bir yelpazede ve ucu açık yapılan bildirimler “açık rıza” olarak kabul edilmemektedir.
Peki; verilmiş olan açık rıza geri alınabilir mi?Evet, geri alınabilir. Geri alma işlemi ileri yönlü etkilidir.
Yani; ilk verilen rızaya istinaden kullanılan veriler geriye dönük olarak silinemezler. Rızanın geri alındığı tarihten itibaren rızanın niteliğine göre durdurulur veya silinir.
Kişisel veriler yurtdışına çıkartılabilir mi?
Ya da şu şekilde soralım: Elimizdeki kişisel verilerin bulut (cloud) ortamına aktarılmasına kanun ne diyor?
Kanun’un 9. maddesine göre, yurt dışına veri aktarım için öncelikle ilgili kişinin açık rızasının alınması gerekli. Bir diğer
konu; verinin aktarılacağı ülkede aktarılan verilere yeterli güvenlik tedbirlerinin uygulanması şartı aranmaktadır.
KVK Kurulu tarafından güvenli kabul edilen ülkeler listesinde ise sorun bulunmamaktadır. Eğer; güvenli olarak kabul edilmeyen ülkeler listesinde ise yeterli korumanın yazılı olarak taahhüt edilmesi ve Kurul’un ayrıca izninin bulunması şartıyla işlemler gerçekleştirilebilir.
Kişisel verilerimizin rıza gösterdiğimiz çerçevede kullanılmadığını tespit etmemiz durumunda veya rıza vermemiş olmamıza rağmen verilerimizin birilerinin elinde olduğunu tespit etmemiz durumunda; verilerimizin düzeltilmesini, silinmesini ve/veya yok edilmesini ilgili kurumdan yazılı olarak talep edebiliriz.
Talebimize 30 gün içinde cevap verilmemesi veya talebimizin reddedilmesi durumunda KVKK Kuruluna şikayet etme hakkını elde ederiz. (https://kvkk.gov.tr/)
Direkt olarak ilgili kişi veya kuruma başvurmadan doğrudan Kurul’a şikâyet yoluna gidilmesi mümkün olmamaktadır.
KVK kurulu tarafından yapılan incelemelerde kişisel veri ihlalinin tespit edilmesi durumunda; kanunda belirtilen sürelerde hapis ve/veya para cezası öngörülmektedir.
Sadece ihlal eden değil, veriyi kanun dışı yollarla ele geçirmiş olan kişilere de hapis ve/veya para cezası uygulanmaktadır.
Bu kanunla birlikte kurumlar, KVKK’ya (6698 sayılı kişisel verilerin korunma kanunu) göre süreçlerini yeniden ele almalıdırlar.
İşin aslı; eğer kurumlar ISO 27001 Bilgi Güvenliği Standartlarını uyguluyor ise birkaç süreç dışında KVKK’ya (6698 sayılı kişisel verilerin korunma kanunu) uyumluluk büyük ölçüde sağlanmış olmaktadır.
Bilgi Teknolojileri Yönetimi, geleneksellikten çıkılarak uluslararası standartlara göre yapılmasının ne kadar önemli ve değerli olduğunu, mevcut verilerimizin aslında kurumumuzun ana sermayesi olduğu ve verilerin korunması için gerekli önlemlerin alınmasının önemini bir kez daha anlamaktayız.
Ayrıca Bakınız
Kaynaklar
- Kişisel Verileri Koruma Kanunu Web Sitesi : www.kvkk.gov.tr | 6698 sayılı kişisel verilerin korunma kanunu
- Anayasa Mahkemesi’nin vermiş olduğu 28.9.2017 tarihli, 2016/125 E., 2017/143 K. sayılı kararları:
- http://www.resmigazete.gov.tr/eskiler/2016/07/20160728-6.pdf
- http://www.resmigazete.gov.tr/eskiler/2018/01/20180123-15.pdf