Kişisel Verilerin Korunması

Kişisel Verilerin Korunması Hukuku

Giriş

Teknolojinin hızlı bir şekilde gelişmesi, ilerlemesi hayatın her alanında sürmektedir. Son yüzyıllarda ortaya çıkan yeni buluşlar, keşifler, teknolojik ve toplumsal gelişmeler bireyleri ve toplumu her alanda etkilemeye başlamış ve tüm toplumu elektronik ortamların kıskacı altına almıştır. Artık günümüzde hemen hemen herkes sosyal medyaları aktif bir şekilde kullanmakta, bu platformlarda fotoğraf, video, konum gibi kişisel verilerini paylaşmaktadır. Telefonlara yahut bilgisayarlara çeşitli uygulamalar yükleyerek ve bu uygulamalarda çeşitli bilgileri paylaşarak aslında insanlar kendilerinden bir iz bırakmaktadır. Bu bilgileri kimi zaman kendi isteğimizle paylaşsak da bazı durumlarda da insanlar buna mecbur bırakılmaktadır.  Bu durum ticaretten sağlığa, eğitimden haberleşmeye kadar hemen hemen her alanda hissedilmektedir. Teknolojinin nimetlerinden fazlaca faydalansak da kişisel verilerin yayılması konusu oldukça tedirgin edici bir durumu ortaya çıkarmaktadır. Kişisel veriler kötü niyetli kişiler tarafından istismar edilebileceği için bu verilerin korunması gerekmektedir. Devlet de bu korumayı yerine getirmekle mükellef olduğu için 6698 sayılı Kişisel Verilerin Korunması Kanunu 2016 yılında kabul edilmektedir. Bu çalışmada Kişisel Verilerin Korunması Kanunu’nun kapsamı, amacı, genel ilkelerinden ve KVKK kapsamında hukuki sorumluluktan bahsedilmektedir.

Kişisel Veri Kavramı ve Kişisel Verilerin Korunması

Kişisel veri kavramı KVKK m. 3’e göre kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiye verilen addır. (KVKK 2016). Aynı zamanda “kişisel veri kavramı isimden, tercihlere, duygu ve düşüncelere kadar çok geniş yelpazede ele alınan ve bene ait bir kavram” şeklinde de tanımlanmaktadır. (İzgi, 2014; 29). Bu tanımlardan hareketle kişisel veri kapsamına kişinin adı, soyadı, doğum tarihi, doğum yeri, telefon numarası, araç plakası, fotoğraf, video, ses kaydı gibi ve buna benzer bilgileri girmektedir.

Son yüzyılda bilişim teknolojileri oldukça ilerlemekte, herkesin erişimine açık hale gelmektedir. Böyle durumlarda yani toplumun kendini yenilemesi, değiştirmesi, zihniyet yapısının çeşitli kültürel sosyal değişikliklere uğradığında hukuk sistemleri kendini nasıl güncelliyorsa teknolojik değişim, ilerlemede de hukuk sistemlerinin bu yeniliklere, değişimlere açık olması gerekmektedir. Günümüzde yaşam neredeyse internet üzerinden devam etmekte ve teknolojik ortamların da verilerin kaydedilmesi için gereken ortamı daha da kolaylaştırdığı gözlemlenmektedir.  Elektronik ortamlar, banka işlemleri ve sosyal medya kullanımı başta konum olmak üzere çeşitli veriler içermekte ve bu verileri sonradan kullanmak üzere kaydetmektedir. (Hoşnut, 2019; 33). Bu kaydedilen veriler istihbarat kurumunun elde etmek istediği verilerin ötesinde kalmaktadır. Bu durum da bireylerin haklarını zaman zaman ihlal etme fırsatını insanlara vermektedir. Bu duruma ilişkin ilk çalışmalar teknolojinin ilk canlandığı yıllar olan 1970’lerde Batı Avrupa ülkelerinde başlamıştır. Uluslararası anlamda yapılan ilk çalışma ise OECD tarafından 1980 yılında yapılmış ve ardından 1981 yılında “Kişisel Verilerin Otomatik İşleme Tâbi Tutulma Sürecinde Şahısların Korunması Sözleşmesi” kabul edilerek Avrupa’da uluslararası ilk hukuki metin olmuştur. Bu ilk hukuki metin ise kişisel verilerin korunması kapsamında dönüm noktası olmuştur. Ülkemizde ise 1982 tarihli Anayasamızın “Özel Hayatın Gizliliği” başlıklı 20. maddesinde 7 Mayıs 2010 tarihinde değişiklik yapılmış ve bu değişikliğin gereği olarak da 7 Nisan 2016 tarihinde 6698 sayılı Kişisel Verilerin Koruması Kanunu (KVKK) yürürlüğe girmiştir. (Kuntoğlu, 2021; 179-183).

Kişisel Verilerin Korunma Kanunu’nun Amacı ve Kapsamı

Kişisel verilerin korunması Anayasa ile teminat altına alınmış temel hak ve özgürlükler kapsamına girmektedir. Anayasamızın “Özel Hayatın Gizliliği ve Korunması” başlıklı 20. Madde ek fıkrasında “Herkes, kendisiyle ilgili verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini ve silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir .” şeklinde kişisel verilerin korunmasından bahsedilmektedir. (KVKK 2016). Dolayısıyla KVKK’nın öncelikli amacı Anayasamızda bahsedilen temek hak ve özgürlüklerden özel hayatın gizliliğini koruma altına almak olmaktadır. Yine 6698 sayılı KVKK m. 1’de bahsedilen diğer amacı ise kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir. Bu konu KVKK’da ayrıntılı olarak düzenlenmektedir. Örnek olarak veri güvenliğine ilişkin yükümlülükleri şu şekilde sayabiliriz:

  • Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek (m.12/1-a)
  • Kişisel verilere hukuka aykırı olarak erişilmesini önlemek (m.12/1-b)
  • Kişisel verilerin muhafazasını sağlamak. (m.12/1-c)

Kişisel verilerin korunmasında tüzel kişiler KVKK kapsamına girmemektedir ancak bu kanun hükümleri bu verileri tamamen veya kısmen herhangi bir veri kaydı sisteminin bir parçası olmak şartıyla otomatik olmayan yollarla işleyen tüzel kişiler hakkında da uygulanmaktadır. (KVKK 2016). Çünkü tüzel kişilerin kişisel verileri olmadığı için yalnızca gerçek kişiler KVKK kapsamına girmektedir.

Kişisel Verilerin Korunması Kanunu’nda Genel İlkeler

Kişisel verilerin korunmasında genel ilkeler, sert, somut kurallar koymamakla birlikte verileri koruma düzenlemelerinin genel hatlarını belirlemektedir. Veri sorumlularının bu genel ilkelere uygun şekilde verileri işleme işleminde bulunulması verilerin işlenmesinin hukuka uygun veya hukuka aykırı şekilde yapıldığını tespit etmek için önem taşımaktadır. Dolayısıyla bu genel ilkelerin göz ardı edilmesi durumunda işlemin hukuka aykırı olduğunu söyleyebiliriz. Genel ilkeler KVKK m. 4’de sayılmış ve hepsi birbiri ile ilişkili olduğundan ayırt edilmesi oldukça güçtür. (Yücedağ, 2019; 48). Bu ilkeleri şu şekilde sıralayabiliriz:

  • Hukuka ve dürüstlük kuralına uygun olma
  • Doğru ve gerektiğinde güncel olma
  • Belirli ve açık amaçlar için işlenme
  • Meşru amaçlar için işlenme
  • İşlendikleri amaçla bağlantılı sınırlı ve ölçülü olma
  • İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme

Kişisel Verilerin Korunmasına İlişkin Hukuki Sorumluluk

Bireylerin verileri üzerinde kontrolü kaybetmeleri durumunda ve bu durumdan dolayı zarar görmelerine fırsat verecekleri davranışlar; 6698 sayılı KVKK kapsamında idari, cezai ve hukuki sorumluluk doğurur. KVKK m. 11/1-ğ gereğince herkes, veri sorumlusuna başvurarak kendisiyle ilgili; kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme, hakkına sahiptir. KVKK m.14/3’e göre de kişilik hakları ihlal edilenlerin, genel hükümlere göre tazminat hakkı saklıdır. Bahsedilen genel hükümler, 4721 sayılı TMK’nın 24. ve 25. maddeleri ve 6098 sayılı TBK’nın 53, 54, 56 ve 58. maddeleridir. (Gürpınar, 2017; 689). Bu maddeleri kısaca şu şekilde sıralayabiliriz:

  • Hukuka aykırı olarak kişilik hakkına saldırılan kimse, hakimden, saldırıda bulunanlara karşı korunmasını isteyebilir. (TMK m. 24/1)
  • Kişilik hakkına saldırılan kimse maddi ve manevi tazminat davası açabilir. (TMK m. 25)
  • Ölüm halinde cenaze giderleri, ölüm hemen gerçekleşmemişse tedavi giderleri ile çalışma gücünün azalmasından ya da yitirilmesinden doğan kayıplar ve ölenin desteğinden yoksun kalan kişilerin bu sebeple uğradıkları kayıplar maddi zarar kalemleridir. (TBK m. 53)
  • Bedensel zarar durumunda ise tedavi giderleri, kazanç kaybı, çalışma gücünün azalmasından ya da yitirilmesinden doğan kayıplar ve ekonomik geleceğin sarsılmasından doğan kayıplar maddi zarar kalemleridir. (TBK m. 54)
  • Bir kimsenin bedensel bütünlüğünün zedelenmesi durumunda olayın koşullarına göre hakim manevi tazminat belirleyebilir. (TBK m. 56)
  • Kişilik hakkının zedelenmesi durumunda da zarar gören kimse manevi tazminat altında bir miktar para ödenmesini talep edebilir. (TBK m. 58)

Kişisel verilerin işlenmesi sırasında hukuka aykırı bir durumun oluşması maddi yahut manevi zararlara yol açabilir. Böylesi bir durumda yukarıda sayılan genel hükümler kapsamında hukuka aykırı durumu meydana getiren kimse, sorumlu olur.

Sonuç

Bilişim teknolojileri, sağlık, eğitim, ulaşım, ticaret ve özellikle sosyal medya olmak üzere neredeyse tüm alanlarda hayatımızın merkezinde yer almaktadır. Bu durum hayatımızı her ne kadar kolaylaştırsa da benliğimizle ilgili bilgilerin kaydedilmesini de o kadar kolaylaştırmaktadır. Kaydedilen kişisel verilerin daha sonra hukuka aykırı olarak  kullanılması da asıl sorunun kendisidir. Bunu önüne geçmek için tüm dünyada çeşitli düzenlemeler, hukuki metinler yayınlamış, Türkiye’de ise kanun koyucu 7 Nisan 2016 yılında KVKK’yı yürürlüğe koymuştur. Dolayısıyla hukuka aykırı olarak kişisel verileri işleyen kimseler KVKK ve onun atıf yaptığı genel hükümler kapsamında sorumlu olacaktır. Kısaca teknolojiden faydalanalım derken daha büyük sorunlara yol açılmaması için karşımıza çıkan onaylama metinlerini okuyarak kişisel verilerimizin korunduğundan emin olmamız gerekmektedir. 

KAYNAKÇA

 

Yazar: Sümeyye Betül USTA

YBÜ Hür Fikirler Topluluğu Üyesi / Ankara YBÜ Hukuk Fak. 4. Sınıf Öğrencisi