Sosyal Medya ve Kişisel Verilerin Korunması

Paylaş
Okuma Süresi: 3 Dakika

Bize sunduğu hayatımızı kolaylaştıran birçok imkanıyla artık hayatımızın vazgeçilmez bir parçası haline gelen sosyal medya, gündelik hayat içinde zamanımızın önemli bir kısmını kapsar hale geldi. Artık insanlarla sosyal medya uygulamalarından iletişime geçiyor, üzüntülerimizi, sevinçlerimizi, yaşamımızın her anını burada paylaşıyoruz. Hatta sosyal medyadan para kazanıyoruz.

Sosyal medyanın bu kadar önemli bir alan haline gelmesi beraberinde birtakım sorunları beraberinde getirmiştir. Bu sorunlardan en önemlilerden biri de fotoğraf, ses ve görüntünün paylaşıldığı bu ortamda mahremiyet ve kişisel verilerin gizliliği sorunudur. Özellikle milyonlarca kullanıcısı olan bazı uygulamaların kullanıcıların verilerini üçüncü kişilerle paylaştığını itiraf etmesi bu konudaki endişelerin haklılığını ortaya koymuştur. Bu konudaki endişeleri gidermek ve kanundaki belirtilen amacıyla; MADDE 1- (1) Bu Kanunun amacı, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir. Yazımızın konusu olan bu kanun 24 Mayıs 2016 tarihinde mecliste kabul edilmiş ve 7 nisanda Resmî gazetede yayımlanarak yürürlüğe girmiştir.

Kanun 7 bölümden oluşmaktadır. İlk bölümde kanunun amacı ve kapsamı belirtilmiş hemen ardından kanun metninde kullanılan bazı terimler açıklanmıştır ikinci bölümünde ise kişisel verilerin bu kanunla belirtilen esaslara uygun olarak işlenebileceği belirtilmiş ve 5 adet temel ilkeden söz edilmiştir. Kişisel verileri meşru amaçlar için işleme, hukuka ve dürüstlüğe uygun olma, mevduatta belirtilen süre boyunca muhafaza etme bu ilkelerden bazılarıdır. Ardından gelen maddede kişisel verilerin açık rıza olmadan işlenemeyeceği kesin bir dille belirtilmiş ancak istisna olan haller de gösterilmiştir. Altıncı maddede özel nitelikli kişisel veriler ortaya konmuş ve bunların açık rıza var olmadan işlenmesi yasaklanmıştır. Kişilerin ırkı, dini, mezhebi, cinsel hayatı, sağlığı vakıf ve sendika üyeliği bunlardandır. Daha önceki maddelerde olduğu gibi bu maddeden sonra da bu hallerle ilgili açıklamalar yapılmıştır. Kişinin sağlığı ve cinsel hayatı gibi durumlar dışındaki verilerin kanunlarda belirtilen hallerde açık rıza olmadan
da işlenebileceği ancak sağlığı ve cinsel hayatının kamu sağlığının korunması, tıbbi teşhis ve tedavi vb. hallerde açık rıza olmadan işlenebileceği söylenmiştir. Yine bu hallerde kurul tarafından belirlenen önlemlerin alınması şart tutulmuştur. Bu bizce kurumun ve kanunun güvenilirliğini arttırmaktadır. 7. Maddede ise kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması halinde, kanuna uygun olarak işlenmiş olsa bile re’sen veya veri sahibinin isteği üzerine silinmesi, yok edilmesi veya anonim hale getirilmesi gerektiği söylenmiştir. Yine bunun yönetmelikte düzenlenecek usul ve esaslara göre düzenleneceği ve diğer kanun hükümlerinin saklı olduğu söz edilmiştir. Sonraki maddede kişisel verilerin yine açık rıza olmadan aktarılamayacağı, eğer daha önceki maddelerde belirtilen şartlar gerçekleşirse açık rıza aranmayacağı, yine bu konudaki diğer kanun hükümlerinin saklı olduğu ifade edilmiştir. 9. Maddede ise kişisel verilerin yurt dışına aktarılması için açık rıza aranmış eğer daha önceki maddelerdeki şartlar oluşursa ve aktarılacak ülkede yeterli koruma varsa açık rıza şartı terkedilmiş, yeterli koruma yoksa veri sorumlusu tarafından yeterli korumanın taahhüt edilmesi aranmış, yine yeterli korumanın bulunduğu ülkelerin kurul tarafından ilan edileceği belirtilmiştir. Bu ilan için gereken şartlar belirtilmiş, ardından diğer kanunlarda yer alan konuyla ilgili hükümlerin mahfuz olduğu belirtilmiştir. Üçüncü bölümde haklar ve yükümlülükler bahsine girilmiştir. Bu konuyla ilgili olarak veri sorumlusunun ilgili kişiyeverinin hangi amaçla işlendiği, veri sorumlusunun veya temsilcisinin kimliği, veri toplamanın yöntemi ve hukuki sebebi gibi bilgileri vermek zorunda olduğu ifade edilmiştir. Ardından gelen maddede ilgili kişinin hakları belirtilmiştir. Herkesin kişisel veri işlenip işlenmediğini öğrenme, işlendiyse bununla ilgili bilgi talep etme bu haklardandır. Bunların ardından veri güvenliğine ilişkin yükümlülükler sıralanmıştır. Örneğin; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini engellemek ve verilerin muhafazasını sağlamak bunlardandır. Yine veri sorumlusunun sorumlulukları, hangi hallerde kurulla iletişime geçeceği 4 madde halinde burada belirtilmiştir. 4. Bölüm başvuru, şikâyet ve veri sorumlusu sicili konularını kapsamaktadır. Başvuru kısmında ilgili kişinin kanunun uygulanmasıyla ilgili taleplerini yazılı veya kurulun belirteceği diğer şekillerde veri sorumlusuna bildireceği öngörülmüştür. Veri sorumlusunun talebe en geç 30 gün içinde ve ücretsiz olarak sonuçlandıracağı ifade edilmiştir.

İşlemin bir ücret gerektirmesi halinde kurul tarafından belirlenen tarifeye göre ücret alınabilir. Bundan sonraki maddelerde şikâyet ve veri sorumlusunun sicilinden bahsedilmiştir, ancak bunlar yazımızın mahiyetine girmediğinden bahsetmeye lüzum görmüyoruz. 5. Bölümde suçlar ve kabahatler bahsi yer almış, 6. Bölümde kurumun teşkilatından ve kadrosundan söz edilmiş, 7. Bölümde ise bazı genel hükümler yer almıştır. Bu kanun kişisel verilerin bazı sosyal medya uygulamaları tarafından haksız yere depolanmasını, üçüncü kişilerle paylaşılmasını, ehemmiyetle özel veri niteliğindeki bilgileri bu amaçlar için kullanmasının önüne geçmiştir düşüncesindeyiz. Bu kanunun hackerlar tarafından dikkate alınmayacağını söylemek abesle iştigal olur. Çünkü zaten bu vasfa sahip kişiler veri sahibinin iznini aramamaktadır, adeta siber bir hırsızdırlar. Bunlarla güvenlik güçlerinin ilgili birimleri ilgilenir. Son tahlilde bu kanunu dikkate alacak kişiler en azından kâğıt üzerinde de olsa kanunlara riayet edecek olacak olan sosyal medya uygulamalarıdır. Bu uygulamaların faaliyet gösterdikleri ülkede temsilci bulundurmaları gerekmektedir.

Olası bir hak ihlali karşısında yasal muhatap bulunması açısından bu uygulamaların faaliyet gösterdikleri ülkede meşruiyetlerini de arttıracaktır. Bu kapsamda Türkiye’de temsilci bulundurmayan uygulamalara idari para cezası uygulanmaya başlanmış, bu ceza uygulandıktan sonra da hala yasal temsilci yoksa erişimi engelleme ve faaliyetlerini durdurma cezaları uygulanacaktır.

Bizce de bu adımlar oldukça yerinde atılmış adımlardır. Birçok Avrupa ülkesinde temsilcisi bulunan bu uygulamaların ülkemizde temsilci bulundurmaması kabul edilmez. Ayrıca kişisel verilerin korunumu açısından bu uygulamaların temsilci bulundurması yazımızın konusu olan kanuna da işlevlik kazandıracaktır.

Yazar: Beytullah AVLAMAZ
İstanbul Ticaret Üniversitesi Hukuk Fakültesi Hukuki Düşünce Topluluğu

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir