7 Soruda kişisel verilerin korunması hukuku!
Spor salonuna kaydolmak için iletişim bilgilerinizin yer aldığı bir form dolduruyorsunuz ve telefonuz hiç bilmediğiniz yerlerden mesaj ve aramalar ile dolmaya başlıyor ya da iş başvurusu, bir etkinliğe kayıt, bir iş hanına girmek, bankada hesap açtırmak vb. için size ilişkin bilgilerin yer aldığı daha nice formları dolduruyorsunuz ve başlıyor sonu gelmek bilmeyen, istenmeyen mesaj ve aramalar… Bu süreç tanıdık geldi değil mi?
Son dönemde herkesin ağzına pelesenk olmuş ancak bir türlü efektif uygulaması yapılamayan bir hukuk dalı olan kişisel verilerin korunması hukuku, 2016 yılında AB uyum süreci kapsamında mevzuatımıza girmişse de kafalarda çok büyük soru işaretleri ve mevzuata uyumlu hale gelmek için sıkıştıran bir tarih ile şirketler baş başa kaldı. Ve ne yazık ki şu anda tam anlamıyla elverişli ve sürekli bir uygunluk söz konusu değil. Peki nedir bu kişisel veriler? Bu mevzuata nasıl uyumlu hale gelebiliriz? Şirket iç ve dış yapılanmasını ne kadar etkiliyor bu mevzuat?
- “Kişisel veri” nedir?
X salonunda sarı tişörtünüzle oturuyorsunuz. Ve oradaki sarı tişörtlü tek kişi sizsiniz… Yani “X salonundaki sarı tişörtlü kişi” denilince akla bir tek siz geliyorsunuz. Tebrikler, bu bilgi artık kişisel veriniz! Gördüğünüz üzere gerçek kişiye ait olan ve o kişiyi belirlenebilir kılan her türlü bilgi, o kişinin kişisel verisi halini alıyor. Kısaca bir bilginin somut olayda “kişiyi tanımlayabilme” kabiliyetine sahip olup olmadığına göre kişisel veri olup olmadığına karar veriyoruz. Ve dikkat! Yalnızca gerçek kişilerin verilerinden bahsediyoruz. Bu kapsamda tüzel kişiye ait bir bilginin izinsiz yayılması bu hukuka aykırılık oluşturmuyor. Ancak söz konusu bilginin herhangi bir gerçek kişiyi belirlenebilir kılması halinde bu veriler kanun kapsamında koruma altına alınıyor.
- Tüzel kişilerin kişisel verileri olabilir mi?
Mevzuat incelendiğinde görüleceği üzere kişisel veri kavramı sadece gerçek kişi verileri için geçerlidir. Ancak tüzel kişiye ait bir verinin herhangi bir gerçek kişiyi belirlenebilir kılması durumunda bahsi geçen kişi belirlenebilir olacağından bu veriler de koruma altına alınacaktır.
- Kimler veri işleyebilir? Veri sorumlusu ve veri işleyen arasındaki fark nedir?
Gerçek ya da tüzel kişi fark etmeksizin herkes veri işleyebilir. Ancak bu noktada ikili bir ayrıma gitmekte fayda var. “Veri sorumlusu”, gerçek kişilerin kişisel verilerini belirli kriterlere göre yapılandırarak işlediği bir veri kayıt sistemi kurulmasından ve yönetiminden sorumlu, yani veri işleme faaliyetini gerçekleştiren gerçek ya da tüzel kişilerdir. “Veri işleyen” ise veri sorumlusu adına kişisel verileri kendisine verilen talimatlar çerçevesinde işleyen gerçek ya da tüzel kişilerdir. Örneğin, bir şirket veri sorumlusu iken şirketin biriminde yahut dışarıdan çalıştığı çağrı merkezleri veri işleyen durumundadır.
- Bir kişi hem veri sorumlusu olup hem de veri işleyen olabilir mi?
Evet. Yukarıda da bahsettiğimiz üzere kişisel verilerin korunması hukukunu somut olay bazlı kurgular isek bir kişinin hem veri sorumlusu hem de veri işleyen olabileceğini çok rahat kavrayabiliriz. Örneğin Z çağrı merkezi müşteri verileri yönünden veri işleyen konumunda iken işçileri yönünden veri sorumlusu konumundadır.
- Veri işleme faaliyeti nedir? Her türlü bilgi kaydında bu mevzuattan sorumlu muyuz?
Mevzuat kapsamında veri işleme faaliyeti; gerçek kişinin verilerini bu veri kayıt sisteminin bir parçası olarak elde etmeden başlayarak kaydetme, depolama, sınıflandırma vb. gibi veriler üzerinde gerçekleştirdiği tüm işlem türlerini kapsamaktadır. Bu bakımdan bir kişinin adres bilgisinin bir hard diske kaydedilmesi yahut bir sunucuda depolanması ancak başka hiçbir işlem yapılmaması da bir veri işleme faaliyetidir. Örneğin, çalışanlarınızın, müşterilerinizin, çalışan adaylarınızın bilgilerinin yer aldığı her türlü bulut sistemi, hard disk, CD yahut bir sunucuda depolanması, veri işleme faaliyetidir. Bu faaliyet otomatik yahut otomatik olmayan bir şekilde gerçekleştirilebilir. Belirtmek gerekir ki, algoritmalar kapsamında insan müdahalesi olmadan kendiliğinden gerçekleşen otomatik yollarla veri işlenebilirken otomatik olmayan yollarla da bu faaliyet gerçekleştirilebilir. Lakin bu yolun veri kayıt sistemine bağlı olarak yapılması gerekmektedir. Örneğin, çalışanlarınızın kimlik numaralarını tuttuğunuz bir dosya aslında sunucunuzda bulunan kayıt sisteminize ilişkin bir aşama ise bu bir veri işleme faaliyetidir.
Kısaca, hiçbir kritere bağlı olmayan, tabiri caizse gelişi güzel bir şekilde kişilerin ad, soyad ve iletişim bilgilerinin yazıldığı bir kâğıt bu mevzuat kapsamında değerlendirilmemekte iken, bu kâğıtta yazan isimlerin belirli bir kriter ile sistematik bir şekilde bir kâğıda kaydedilmesi veri işleme faaliyetidir.
- Veri işleme faaliyeti nasıl yapılmalıdır?
Mevzuat kapsamında veri işlenmesinde temel alınması gereken birtakım ilkeler belirtilmiştir. Bu ilkeler genel olarak şunlardır:
- Hukuka ve dürüstlük kurallarına uygunluk,
- Doğru ve güncel olma,
- Belirli, açık ve meşru amaçlar için veri işleme,
- Verilerin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması,
- Verilerin ilgili mevzuatta öngörülen veya işlendikleri amaç kapsamında gerekli görülen süre kadar muhafaza etme.
Yukarıda da görüleceği üzere veri işleyen bir kişi, işlediği veriyi neden işlediğine hukuki bir dayanak bulmak ve işleyiş şeklini hukuka uygun şekilde gerçekleştirmek durumundadır. Bunu yaparken ayrıca verisini işlediği kişinin çıkarlarını göz önünde bulundurması gerekmektedir. Ayrıca hukuka uygun bir şekilde bu eylemi gerçekleştirse dahi dayanılan hukuk kuralının amacına göre işlenebilecek en az miktarda veri işlemesi ve veri sahibinin öngöremeyeceği şekilde hareket etmemesi gerekmektedir. Bunların yanında işlediği verilerin doğru ve güncel olması ve özellikle açık rıza ve aydınlatma metinlerinin oluşturulması aşamasında; kişinin anlayabileceği ve net bir şekilde kendisine işlenecek verilerle ilgili bilgi vermesi esastır.
- Mevzuata aykırı bir şekilde veri işlenmesi halinde ne olur?
Kişisel verilere ilişkin suçlar ve cezai yaptırımlar 5237 sayılı Türk Ceza Kanunu’nun ilgili hükümlerine atıf yapılmak suretiyle düzenlenmiştir. Ayrıca, kişisel verileri yok etmeyenlerin ise Türk Ceza Kanunu’nun 138. maddesine uyarınca cezalandırılacağı hüküm altına alınmıştır. Bunun yanında Kişisel Verilerin Korunması Kanunu’na aykırı davranılması halinde uygulanacak idari yaptırımlar ilgili kanunun 18. Maddesinde düzenlenmiştir. Örneğin, aydınlatma ve veri güvenliğini sağlama, Kurul kararlarını yerine getirme ile Sicile kayıt ve bildirim yükümlülüklerine aykırı davranılması kabahat olarak öngörülerek idari para cezası yaptırımına bağlanmıştır. İdari yaptırımlar, Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından karar verilecek olup, verilen yaptırım kararlarına karşı yargı yolu açıktır.
Kanun’un 18. maddesi “Kabahatler” başlığı altında düzenlenmiş olup, mevzuat kapsamında yükümlülüklerini yerine getirmeyen veri sorumlusu gerçek ve tüzel kişilere Kurul tarafından aşağıda belirtilen miktarlar aralığında idari para cezaları verilebileceği belirtilmiştir:
- aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar,
- veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar,
- Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar,
- Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar para cezası verilebilecektir.
Sonuç olarak gerek mevzuat gerekse de Kurul kararları düşünüldüğünde; veri işleme faaliyeti yapanların süreklilik arz eden ve elverişli bir kişisel verileri koruma politikası geliştirmesi ve bu süreçte mutlaka hukuki danışmanlık alması gerekmektedir. Aksi takdirde maruz kalacakları ceza ve idari yaptırımlar çok ağır olacaktır.