Search
  • kasikaralar

KİŞİSEL VERİLERİN KORUNMASI

Updated: Nov 30, 2020

ÖZET:

Kişisel veri; kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder. Öğrenilmesi halinde ilgili kişi hakkında ayrımcılık yapılmasına veya mağduriyete neden olabilecek nitelikteki verilere özel nitelikteki kişisel veri denir. Kişisel verilerin işlenmesi, kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade eder. Bu yazıda kişisel veri kavramı; tanımı, işlenmesi ve kişisel verilere ilişkin mevzuat ve kişisel verilerin hukuka aykırı kullanılması konu başlıkları üzerinde durulmuştur.

GİRİŞ

Kamu veya özel nitelikteki hizmet sunulan yerlerin çoğunda görevin ifası veya hizmet sunulmasıyla ilgili mecburi veya ihtiyari olarak kişisel veriler işlenip kaydedilmektedir. Bu bağlamda veri işleme sürecinde temel hak ve hürriyetlerinin korunması önemli bir konudur. ‘Ayrıca, sosyal ve ekonomik hayatın düzen içinde sürdürülmesi, kamu hizmetlerinin etkin biçimde sunumu, mal ve hizmetlerin ekonominin gereklerine uygun biçimde geliştirilmesi, dağıtımı ve pazarlanması için kişisel verilerin toplanması kaçınılmaz olmakla birlikte, kişisel verilerin sınırsız ve gelişigüzel toplanmasının, yetkisiz kişilerin erişimine açılmasının, ifşası, amaç dışı ya da kötüye kullanımı sonucu kişisel hakların ihlal edilmesinin önüne geçilmesi gereklidir.’[1] Bu nedenle kişisel verilerin korunmasına ilişkin ayrı bir hukuk dalının gerekliliği söz konusu olmuştur.

KİŞİSEL VERİ KAVRAMI

1. KİŞİSEL VERİ NEDİR?

6698 sayılı kanunun tanımlar başlıklı 3. Maddesine göre kişisel veri: ‘Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder.’[2] Öncelikle kişisel bir veriden bahsedilebilmesi için elimizde bir veri bulunması gerekir. Veri ise çözüme ulaşmak için işlenebilir duruma getirilmiş bilgi anlamına gelmektedir.[3]

Daha sonra kanunun lafzından da anlaşılacağı üzere; bu veri bir kişiye ilişkin olmalıdır. Kişi ile olan bağlantısı onu kişisel veri olarak nitelendirmenin en önemli şartlarındandır.

Kanuna göre bir diğer önemli unsur ise; gerçek kişinin kimliğinin belirli veya belirlenebilir olmasıdır. Kişisel veri kapsamına; ad, soyad, doğum tarihi, doğum yeri, taşıt plakası, IP adresi, resim, e-mail adresi, tercihler, ses ve fotoğraf kayıtları, pasaport numarası, SGK numarası, parmak izleri, genetik bilgiler, grup üyelikleri, özgeçmiş girmektedir. Bu örnekler tahdidi olarak sayılmamış olup, tanıma uygun şekilde çoğaltılabilir. Şöyle de bir yadsınamaz gerçek vardır ki; bu örneklendirmelerin kapsamı teknoloji ve başkaca unsurların gelişimine ve değişimine paralel olarak gün geçtikçe değişebilmektedir. Örneğin günümüz teknolojisi ile kişilerin DNA’sından, parmak izinden, ses renginden veya diğer biyometrik verilerinden kim olduğunu belirleyebilmemiz mümkün olabilmektedir. Dolayısıyla bundan belli bir süre öncesine kadar kişisel veri olarak ya da veri olarak sahip olmadığımız bu bilgiler günümüzde kişisel veri kabul edilmekte ve korunmaya çalışılmaktadır.[4]

KİŞİSEL VERİLER İLE İLGİLİ İŞLEMLER

1. KİŞİSEL VERİLERİN İŞLENMESİ

‘Kişisel verilerin işlenmesi; kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade eder.’[5]

Kişisel verilerin işlenmesine ilişkin bazı temel ilkeler bulunmaktadır. Bu ilkeler 6698 sayılı kanunun 4. maddesinde düzenlenmiştir. Yine bu maddeye göre; kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilecektir.

Kişisel verilerin işlenmesinde kanundaki ilkelere uyulması zorunludur.

Bu ilkeler şunlardır:

a) Hukuka ve dürüstlük kurallarına uygun olması.

b) Doğru ve gerektiğinde güncel olma.

c) Belirli, açık ve meşru amaçlar için işlenme.

d) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.

e) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.[6]

Kişisel verilerin işlenmesinin ilk şartı ilgili kişinin açık rızası olmasıdır. Ancak bununla birlikte kanunda bu durumun istisnaları da mevcuttur. KVKK’nın 5. Maddesinin 2. Fıkrasındaki şartlardan birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesi mümkün olacaktır. Buna göre; kişisel verilerin işlenmesi için gerekli olan “ilgilinin açık rızası”nın aranmayacağı durumlar şunlardır:

Kanunlarda açıkça öngörülmesi.Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.İlgili kişinin kendisi tarafından alenileştirilmiş olması.Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

İşte bu durumlarda her zaman ilgili kişinin açık rızası aranmayacaktır.

A. Veri Sorumlusu ve Veri İşleyen Kimlerdir?

Kanunda veri sorumlusu ve veri işleyen olarak birbirinden ayrı kavramlara yer verilmiştir. Veri sorumlusu; kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurum ya da temsilci bünyesinde kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi olarak tanımlanırken, veri işleyen; veri sorumlusundan aldığı yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi olarak tanımlanmıştır. Veri işleyenin faaliyetleri veri işlemenin daha çok teknik kısımları ile sınırlıdır. Kişisel verilerin işlenmesine ilişkin kararların alınması yetkisi ise; veri sorumlusuna aittir.

2. KİŞİSEL VERİLERİN AKTARILMASI

KVKK’nın ‘Tanımlar’ başlıklı üçüncü maddesinin gerekçesine göre; ‘kişisel verilerin işlenmesi kavramı geniş bir alanı kapsamaktadır. Buna göre; kişisel verilerin işlenmesi, verilerin ilk defa elde edilmesinden başlayarak veriler üzerinde gerçekleştirilen tüm işlem türlerini ifade etmektedir.’ Bu kapsama kişisel verilerin aktarılması hususu da dahil edilir.

Kişisel verilerin işlenmesinden ve şartlarından bahsetmiştik. Kanun’un 5. maddesi ilgili kişinin açık rızası olmaksızın kişisel verinin işlenemeyeceğini, 8. maddesi ise ilgili kişinin açık rızası olmaksızın kişisel verinin aktarılamayacağını düzenlemektedir. Kişisel verilerin işlenmesi ve aktarılması hususları Kanun’da ayrı maddelerde düzenleme altına alınmıştır. Aslında her ne kadar kişisel verilerin işlenmesi ve aktarılması şartlarında bazı farklılıklar bulunsa da, her iki işlem için de ortak olan nokta, veri sahibinin açık rızasının alınmasıdır. Bununla birlikte rızanın bulunmasının istisnası kişisel verilerin aktarılması hususunda da mevcuttur.

Kanunun 8. maddesinin ikinci fıkrasına göre kişisel verilerin; 5 inci maddenin ikinci fıkrasında, yeterli önlemler alınmak kaydıyla 6’ncı maddenin üçüncü fıkrasında belirtilen şartlardan birinin bulunması hâlinde, ilgili kişinin açık rızası aranmaksızın aktarılabileceği düzenlenmiştir.

Bununla birlikte kişisel verilerin aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır. 

3. KİŞİSEL VERİLERİ SİLME/YOK ETME/ANONİMLEŞTİRME

Veri sorumlusunun, kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması halinde resen ya da ilgili kişinin talebi üzerine silmesi, yok etmesi veya anonimleştirmesi zorunlu tutulmuştur.

KVKK’nın ‘Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesi’ kenar başlıklı 7. maddesine göre; hukuka uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir. Aynı maddenin gerekçesinde; kişisel verilerin silinmesiyle, bu verilerin tekrar hiçbir şekilde kullanılamayacak ve geri getirilemeyecek şekilde imhası amaçlandığı söylenmiştir.[7]

Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin diğer kanunlarda yer alan hükümler saklıdır. Kişisel verilerin silinmesine, yok edilmesine veya anonim hâle getirilmesine ilişkin usul ve esaslar yönetmelikle düzenlenir.

KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN MEVZUAT

1. KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN ULUSLARARASI DÜZENLEMELER

Kişisel verilerin korunmasına ilişkin uluslararası ilk hareketler 1980’de ortaya çıkmıştır. Ekonomik İşbirliği ve Kalkınma Teşkilatı (OECD) 1980 yılında Mahremiyetin Korunması ve Kişisel Verilerin Sınır Ötesi Akışına İlişkin Rehber İlkeler kabul etmiştir. Bu belgeyle temel ilkeler belirlenmiştir. Fakat bu ilkeler bağlayıcı olmayıp uygulamada devletlere geniş bir takdir yetkisi vermektedir.[8] Bu temel ilkeler şunlardır:

1) Veri toplanmasının sınırlı olması ilkesi,

2) Veri kalitesi ilkesi,

3) Amacın belirli olması ilkesi,

4) Kullanmanın sınırlı olması ilkesi,

5) Veri güvenliği ilkesi,

6) Açıklık ilkesi,

7) Bireyin katılımı ilkesi,

8) Hesap verilebilirlik ilkesi.

Sonrasında Birleşmiş Milletler, 1990 yılında kişisel verilerin korunması konusunda Bilgisayarla İşlenen Kişisel Veri Dosyaları Hakkında Yönlendirici İlkeler adında bir belge kabul etmiştir. Yine bu belgede de kişisel verilerin korunmasına ilişkin ilkeler detaylı bir şekilde açıklanmıştır.

Avrupa İnsan Hakları Sözleşmesi m. 8 özel hayatın ve aile hayatının korunması hakkını düzenlemiştir. Kişisel verilerin korunması da bu madde kapsamında değerlendirilmeye alınmıştır. AİHS’nin koruma altına aldığı temel hak ve özgürlüklerin ihlali nedeniyle Avrupa İnsan Hakları Mahkemesi’ne bireysel başvuru yolu tanınmıştır. Kişisel verilerin korunmasına ilişkin de 8. madde kapsamında verilmiş çok önemli kararları bulunmaktadır.[9]

Ancak AİHM kişisel verilerin tamamının ‘madde 8- özel yaşamın gizliliği’ kapsamında korunamayacağını söylemiştir. Bu sebeple koruma dışında kalan kısımlar için özel korumalar getirilmesi gereği hasıl olmuştur. Bu bakımdan bazı özel konulu sözleşmeler imzalanmıştır. Örneğin; 108 Sayılı Kişisel Verilerin Otomatik İşleme Tabi Tutulması Sırasında/Karşısında Gerçek Kişilerin Korunmasına İlişkin Sözleşme gibi…

2. ANAYASA KAPSAMINDA KİŞİSEL VERİLERİN KORUNMASI

Anayasamızda kişisel verilerin korunmasına ilişkin “Özel Hayatın Gizliliği” başlıklı 20. Maddede bir düzenleme bulunmaktadır. Buna göre;

“Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.”[10]

‘Özel hayatın gizliliği, bütün modern demokratik hukuk devletlerinde benimsenmiş bir anayasa hukuku ilkesidir.’[11]Anayasamız da kişilere maddi ve manevi varlıklarını geliştirme hakkı tanımıştır. Bu gelişimin özgürce yaşanabilmesi amacıyla da mahremiyet ve özel hayatın gizliliği ilkelerini kabul etmiştir.

Anayasanın ilgili maddesinde kişisel verilerin, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebileceği düzenlenmiştir. Bu da kişisel verilerin korunması bakımından özel-kamu hukuku ayrımı yapılmaksızın korunacağı anlamına gelmektedir. Bu bağlamda kişisel verilerin korunmasının hem özel hem kamu hukuku boyutları bulunmaktadır.

3. TÜRK MEDENİ KANUNU KAPSAMINDA KİŞİSEL VERİLERİN KORUNMASI

Yukarıda da belirtiğimiz üzere; kişisel verilerin korunmasının hem özel hem kamu hukuku boyutları bulunmaktadır. Özel hukuk bakımından Türk Medeni Kanunu’nda kişiliğin korunmasına ilişkin hükümler madde 23 vd. düzenlenmiştir.Kişisel verilerinin hukuka aykırı bir şekilde kullanıldığını düşünen kimse, hâkimden, saldırıda bulunanlara karşı korunmasını isteyebilir. Bu bağlamda davacı, hâkimden saldırı tehlikesinin önlenmesini, sürmekte olan saldırıya son verilmesini, sona ermiş olsa bile etkileri devam eden saldırının hukuka aykırılığının tespitini isteyebilir. Bu Anayasada güvence altına alınmış özel hayatın gizliliği ilkesinin bir uzantısıdır.

4. TÜRK CEZA HUKUKU KAPSAMINDA KİŞİSEL VERİLERİN KORUNMASI

Türk Ceza Kanunu dokuzuncu bölümünde madde 132 vd. özel hayata ve hayatın gizli alanına karsı suçlar başlığı altında kişisel verilerin hukuka aykırı olarak işlenmesine ilişkin suç tipleri incelemiştir. Kişisel verilere ilişkin suç tipleri bilişim alanındaki suçlar altında değil, benzer hukuksal değerin korunduğu özel hayat ve özel hayatın gizliliğine karşı suçlar bölümünde düzenlenmiştir. Söz konusu suç tanımında kişisel verilerin bilgisayarda yahut kağıt üzerinde kayda alınması arasında bir ayırım gözetilmemiştir.

Ceza hukuku kapsamında değerlendirdiğimizde ceza muhakemesi hukuku bağlamında da kişisel verilerin korunmasına ilişkin düzenlemeler olduğunu görmekteyiz. Ceza muhakemesinin amacı, maddi gerçeğin ortaya çıkarılmasıdır. Maddi gerçeğin ortaya çıkarılabilmesi için delil serbestisi tanınmıştır. Bununla birlikte maddi gerçek ancak hukuka uygun elde edilmiş delillerle ortaya çıkarılabilir.[12] Ceza muhakemesindeki hukuka uygun/aykırı delil ayrımının da kişisel verilerin korunmasına ilişkin düzenlemeler içinde yer aldığını söylemek yanlış olmayacaktır.

5. 6698 SAYILI KİŞİSEL VERİLERİN KORUNMASI KANUNU

Mevzuatımızda kişisel verilerin korunmasına ilişkin dağınık hükümler bulunmaktaydı ancak temel ilkelerin belirlendiği, bütünleyici, özel bir kanun bulunmuyordu. Bu durum ise; önemli bir eksiklik olarak karşımıza çıkmaktaydı. Kişisel verilerin korunmasıyla ilgili temel bir kanun ihtiyacı gelişmekte ve değişmekte olan şartlar karşında günden güne artıyordu. Bu ihtiyaca binaen ‘6698 sayılı Kişisel Verilerin Korunması Kanunu 24 Mart 2016 tarihinde nihayet TBMM’nde kabul edilerek kanunlaşmıştır.’[13] Kanunun kapsam ve amacı ‘Amaç’ başlıklı 1. Maddede ve ‘Kapsam’ başlıklı 2. Maddede düzenlenmiştir. Buna göre:

MADDE 1- Amaç (1) Bu Kanunun amacı, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir.

MADDE 2- Kapsam (1) Bu Kanun hükümleri, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır.[14]

KİŞİSEL VERİLERİN HUKUKA AYKIRI KULLANILMASI ve SUÇ TEŞKİL ETMESİ

Kişisel verilerin işlenmesi hususunda ilgilinin rızasının veya kanunda yazılı şartların mevcut olması aranır. Rıza veya kanunda öngörülen şartların mevcut olmadığı hallerde hukuka aykırı kişisel veriden söz edilir.

KVKK’nın 13. maddesinde, ilgili kişinin Kanunun uygulanması ile ilgili taleplerine ilişkin veri sorumlusuna başvuru yolu düzenlenmiştir. Maddenin gerekçesi şu şekildedir:

‘Maddeyle, veri sorumlusuna başvuru yolu düzenlenmektedir. Buna göre, ilgili kişilerin, Kanunun uygulanmasıyla ilgili taleplerini, öncelikle veri sorumlusuna iletmeleri zorunludur. İlgili kişilerin, taleplerini veri sorumlusuna yazılı olarak ya da uygulamada oluşacak ihtiyaca göre Kurulun belirleyeceği diğer yöntemlerle iletebilmelerine imkân sağlanmaktadır. Bu talebi alan veri sorumlusunun, ücretsiz olarak veya işlemin ayrıca bir maliyeti gerektirmesi halinde, Kurul tarafından belirlenen tarifeye göre alacağı ücret mukabilinde en kısa sürede ve en geç otuz gün içinde talebi incelemesi; kabul veya gerekçesini açıklayarak reddetmesi, ayrıca cevabını ilgili kişiye bildirmesi öngörülmektedir.’

14. maddede ise şikâyet yolu düzenlenmektedir. Buna göre, 13’üncü madde uyarınca yapmış olduğu başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hallerinde; ilgili kişi, veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve her halde başvuru tarihinden itibaren altmış gün içinde Kurula şikâyette bulunabilir.

Madde 15’te şikâyet üzerine veya resen incelemenin usul ve esasları düzenlenmiştir.

(1) Kurul, şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen, görev alanına giren konularda gerekli incelemeyi yapar.

(2) 1/11/1984 tarihli ve 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanunun 6’ncı maddesinde belirtilen şartları taşımayan ihbar veya şikâyetler incelemeye alınmaz.

(3) Devlet sırrı niteliğindeki bilgi ve belgeler hariç; veri sorumlusu, Kurulun, inceleme konusuyla ilgili istemiş olduğu bilgi ve belgeleri on beş gün içinde göndermek ve gerektiğinde yerinde inceleme yapılmasına imkân sağlamak zorundadır.

(4) Şikâyet üzerine Kurul, talebi inceleyerek ilgililere bir cevap verir. Şikâyet tarihinden itibaren altmış gün içinde cevap verilmezse talep reddedilmiş sayılır.

(5) Şikâyet üzerine veya resen yapılan inceleme sonucunda, ihlalin varlığının anlaşılması hâlinde Kurul, tespit ettiği hukuka aykırılıkların veri sorumlusu tarafından giderilmesine karar vererek ilgililere tebliğ eder. Bu karar, tebliğden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirilir.

(6) Şikâyet üzerine veya resen yapılan inceleme sonucunda, ihlalin yaygın olduğunun tespit edilmesi hâlinde Kurul, bu konuda ilke kararı alır ve bu kararı yayımlar. Kurul, ilke kararı almadan önce ihtiyaç duyması hâlinde, ilgili kurum ve kuruluşların görüşlerini de alabilir.

(7) Kurul, telafisi güç veya imkânsız zararların doğması ve açıkça hukuka aykırılık olması hâlinde, veri işlenmesinin veya verinin yurt dışına aktarılmasının durdurulmasına karar verebilir.

1. SUÇLAR VE KABAHATLER

Kanunun beşinci bölümünde ‘Suçlar ve Kabahatler’ başlığı altında kişisel verilere ilişkin suçlar ve kabahatler düzenlenmiştir.

A. Suçlar

MADDE 17- Suçlar

(1) Kişisel verilere ilişkin suçlar bakımından 26/9/2004 tarihli ve 5237 sayılı Türk Ceza Kanunu’nun 135 ila 140 ıncı MADDE hükümleri uygulanır.

(2) Bu Kanunun 7 nci maddesi hükmüne aykırı olarak; kişisel verileri silmeyen veya anonim hâle getirmeyenler 5237 sayılı Kanunun 138 inci maddesine göre cezalandırılır.

B. Kabahatler

MADDE 18- Kabahatler

(1) Bu Kanunun;

a) 10 uncu maddesinde öngörülen aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar,

b) 12 nci maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar,

c) 15 inci maddesi uyarınca Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar,

ç) 16 ncı maddesinde öngörülen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar, idari para cezası verilir.

(2) Bu maddede öngörülen idari para cezaları veri sorumlusu olan gerçek kişiler ile özel hukuk tüzel kişileri hakkında uygulanır.

(3) Birinci fıkrada sayılan eylemlerin kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları bünyesinde işlenmesi hâlinde, Kurulun yapacağı bildirim üzerine, ilgili kamu kurum ve kuruluşunda görev yapan memurlar ve diğer kamu görevlileri ile kamu kurumu niteliğindeki meslek kuruluşlarında görev yapanlar hakkında disiplin hükümlerine göre işlem yapılır ve sonucu Kurula bildirilir.

KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN EMSAL KARARLAR

“SOSYAL MEDYA SİTESİNDE MAĞDURLARIN RIZALARINA AYKIRI ŞEKİLDE FOTOĞRAF PAYLAŞILMASININ VERİLERİ HUKUKA AYKIRI OLARAK VERME VEYA ELE GEÇİRME SUÇU OLUŞTURACAĞINA İLİŞKİN YARGITAY KARARI”

Yargıtay 12. Ceza Dairesi’nin 2015/13582 Esas, 2017/3109 Karar sayılı ve 12.04.2017 Tarihli ilamı;

“(…) Sanık H.’ın, öz kızı olan mağdur E. ile diğer mağdur C. evlendikten sonra, her iki mağdurla aralarında başlayan husumetten dolayı mağdurlara tepki olarak, Facebook adlı sosyal paylaşım sitesinde kendi ismini kullanarak açtığı hesap üzerinden, mağdur E.’nin bekarken çektirdiği ve diğer mağdur C.’ın temin ettiği resimlerini, onların uyarılarını dikkate almaksızın, rızalarına aykırı şekilde paylaştığı iddiasına konu olayda, Mağdurların günlük kıyafetleriyle poz vermiş şekilde çektirdikleri resimleri, mağdurların başkaları tarafından görülmesini ve bilinmesini istemeyecekleri özel yaşam alanlarına ilişkin görüntüler olarak kabul edilemeyeceğinden, mağdurların kişisel veri niteliğindeki resimlerini, hukuka uygunluk nedenlerinin bulunmaması nedeniyle hukuka aykırı olduğunda tereddüt bulunmayan bir yöntemle facebook hesabı üzerinden yayımlayan sanığın eylemlerinin, verileri hukuka aykırı olarak verme veya ele geçirme suçunu oluşturacağı gözetilmeden, eylemler salt özel hayatın gizliliğini ihlal suçu kapsamında değerlendirilip, yasal ve yeterli olmayan yazılı gerekçelerle sanık hakkında beraat hükümleri kurulması, kanuna aykırıdır. (…)[15]” şeklindedir.

“WHATSAPP KONUŞMALARININ GİZLİLİK İÇEREN KİŞİSEL VERİ NİTELİĞİNDE OLDUĞUNA İLİŞKİN YARGITAY KARARI”

Yargıtay 9. Hukuk Dairesi’nin 2018/10718 Esas, 2019/559 Karar sayılı ve 10.01.2019 Tarihli ilamı;

“Whatsapp sistemi, telefon ve internet ortamında internet vasıtası ile iletişimi gerçekleştiren bir sistemdir. Burada kişi, kişiler ile iletişime geçtiği gibi gruplar kurarak grup içiresinde iletişim gerçekleştirilmektedir. Ancak bu sistem kendi içinde korunan ve 3. kişilere kapalı bir konumdadır. Dolayısı ile işçilerin iş akışını bozmadığı ve çalışmaların etkilemediği sürece bir grup kurmaları ve burada iletişim içinde olmaları yasak değildir. İşçilerin bu kapsamda burada iletişimlerinin kişisel veri olarak da korunması esastır. Somut uyuşmazlıkta, WhatsApp konuşmaları gizlilik içeren kişisel veri niteliğinde olduğundan, salt nasıl temin edildiği anlaşılamayan bu yazışmalara dayanılarak iş akdinin feshi haksız olup, kıdem tazminatı ve ihbar tazminatı taleplerinin kabulü gerekmektedir.” şeklindedir.

“İLGİLİ KİŞİYE AİT TELEFON NUMARASINA KENDİSİNE AİT OLMAYAN İÇERİĞİN GÖNDERİLMESİ İLE İLGİLİ KİŞİSEL VERİLERİ KORUMA KURULU KARAR ÖZETİ”

Karar Tarihi: 31/05/2019 Karar No: 2019/166

Konu Özeti: İlgili kişiye ait telefon numarasına kendisine ait olmayan içeriğin gönderilmesi ile ilgili Kurul kararı

“İlgili kişinin, şahsına ait telefon numaralarına gönderilen ve kendisine ait olmayan içerik barındıran kısa mesaj (SMS) nedeniyle veri sorumlusuna başvurduğu; veri sorumlusu tarafından verilen cevapta, bu gönderimin personel hatasından kaynaklandığı ve başka bir aboneye ait giriş yapılırken 1 rakam hatası sonucunda ilgili kişiye SMS gönderildiği tespit edilerek yanlışlığın derhal düzeltildiğinin belirtildiği; ancak, kendisine gönderilen SMS’te kişisel verileri yer alan kişinin yeğeni olduğunu ve yeğeninin telefon numarası ile kendisine ait telefon numarasının 1 rakam değişikliği/yanlışlığı ile karıştırılmasının mümkün olmadığını belirterek veri sorumlusu hakkında gereğinin yapılmasını talep ettiği başvurusunun incelenmesi neticesinde,

Gerek bir şirketler grubuna borçlu olduğu belirtilen ve şikayetçinin yeğeni olduğu anlaşılan şahsa ait ad, soyad ve hizmet numarasının şikayetçiye ait hatta gönderilmesi, gerekse şikayetçiye ait telefon numarasının, Kanunda düzenlenen işleme şartlarından herhangi birine dayanmadan işlenmesi şeklindeki tek bir harekete bağlı iki farklı veri işleme faaliyeti sonucunda Kanunun 12’nci maddesinin birinci fıkrasının (a) bendinde öngörülen “Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek” yükümlülüğünü yerine getirmediği anlaşılan veri sorumlusu avukat hakkında, Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında 50.000 TL idari para cezası uygulanmasına karar verilmiştir.[16]” şeklindedir.

SONUÇ

Kişisel verilerin korunması; verilerin toplanması, değiştirilmesi ve benzer şekilde işlemesi süreci öncesinde veri öznesinin bu işlemlere rıza gösterip göstermeme iradesine sahip olmasını, işleme sırasında temel veri koruma ilkelerine uygun işlemenin gerçekleştirilmesinin sağlanmasını ve neticede bu veri koruma tedbirlerine riayet edilmeksizin hukuka aykırı verilerin işlenmesi karşısında hukuki yollara başvurulabilme güvencesini sağlayan temel bir kişilik hakkıdır.

Toplumsal bir ortamda yaşayan bireyler, özellikle modern teknoloji karşısında, mahremiyet ve özel yaşam alanına dahil olan verilerini tek başına korumakta oldukça zorlanmaktadır. Bu durum devlete, vatandaşların özel yaşamının, aile yaşamının ve kişisel verilerinin korunmasına ilişkin bazı yükümlülükler yüklemektedir.

Kişisel verilerin korunması, öncelikli olarak kişilerin verilerin ne şekilde hukuka uygun, ne şekilde hukuka aykırı olarak işlenmiş olacağı bilincine sahip olmasına bağlıdır. Bu bilincin oluşmasında mahkemelerimizin vermiş olduğu doğru ve yol gösterici kararların da önemli etkisinin olacağı şüphesizdir. Ülkemizde, Kişisel Verileri Koruma Kurumu da bu istikamette oldukça titiz çalışmalar yapmakta ve ülkemizde kişisel verilerin korunması alanında bir kültürün oluşmasına hizmet etmektedir.

Av. Begüm GÜREL (LL.M)

KAYNAKÇA

AYÖZGER, AYŞE ÇİĞDEM (2016) ‘ELEKTRONİK HABERLEŞME SEKTÖRÜNDE KİŞİSEL VERİLERİN KORUNMASI’ (DOKTORA TEZİ), İSTANBUL ÜNİVERSİTESİ, SOSYAL BİLİMLER ENSTİTÜSÜ

DAĞ, GÜRAY (2011) ‘KİŞİSEL VERİLERİN CEZA MUHAKEMESİ HUKUKUNDA DELİL OLARAK KULLANILMASI’ (DOKTORA TEZİ), MARMARA ÜNİVERSİTESİ, SOSYAL BİLİMLER ENSTİTÜSÜ

DİNÇ, MUTLU (2019) ‘KİŞİSEL VERİLERİN KAYDEDİLMESİ SUÇU’ TERAZİ HUKUK DERGİSİ, S. 588-609

DOĞAN, BARAN < https://barandogan.av.tr/blog/ceza-hukuku/kisisel-verilerin-kaydedilmesi-sucu-cezasi.html> S.E.T. 22.08.2019

İLÇİM, TUNCAY < http://tuncayilcim.av.tr/v5/ozel-hayatin-gizliligini-ihlal-sucu-kisisel-verileri-hukuka-aykiri-sekilde-kullanmak-sucu-kisisel-verinin-tanimi-basin-yoluyla-hakaret/> S.E.T 22.08.2019

KAYA, MEHMET BEDİ & TAŞTAN, FURKAN GÜVEN (2018) KİŞİSEL VERİ KORUMA HUKUKU MEVZUAT& İÇTİHAT <https://www.mbkaya.com/hukuk/veri-koruma-hukuku.pdf> s.e.t. 12.07.2019

KILINÇ, DOĞAN (2012) ‘ANAYASAL BİR HAK OLARAK KİŞİSEL VERİLERİN KORUNMASI’, AÜHFD, <http://dergiler.ankara.edu.tr/dergiler/38/1690/18020.pdf> S.E.T. 13.07.2019

KORKMAZ, İBRAHİM (2016) ‘KİŞİSEL VERİLERİN KORUNMASI KANUNU HAKKINDA BİR DEĞERLENDİRME’, TBB DERGİSİ, <http://tbbdergisi.barobirlik.org.tr/m2016-124-1571> S.E.T. 13.07.2019

SARIUSTA, KADER (2018) ‘KİŞİSEL VERİLERİN CEZA HUKUKU YOLUYLA KORUNMASI’ (YÜKSEK LİSANS TEZİ), GAZİANTEP ÜNİVERSİTESİ, SOSYAL BİLİMLER ENSTİTÜSÜ

KİŞİSEL VERİLERİN KORUNMASI KURUMU (2018) 100 SORUDA KİŞİSEL VERİLERİN KORUNMASI KANUNU <https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/7d5b0a2f-e0ea-41e0-bf0b-bc9e43dfb57a.pdf> S.E.T. 13.07.2019

[1] Kişisel Verilerin Korunması Kurumu (2018) 100 Soruda Kişisel Verilerin Korunması Kanunu <https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/7d5b0a2f-e0ea-41e0-bf0b-bc9e43dfb57a.pdf>s.e.t. 13.07.2019

[2] Mehmet Bedi Kaya, & Furkan Güven Taştan, (2018) Kişisel Veri Koruma Hukuku Mevzuat & İçtihat <https://www.mbkaya.com/hukuk/veri-koruma-hukuku.pdf> s.e.t. 13.07.2019

[3] <http://tdk.gov.tr/> S.E.T. 11.07.2019

[4] Kader Sarıusta, (2018) ‘Kişisel Verilerin Ceza Hukuku Yoluyla Korunması’ (Yüksek Lisans Tezi), Gaziantep Üniversitesi, Sosyal Bilimler Enstitüsü, S.6-7

[5] Kişisel Verilerin Korunması Kurumu (2018) 100 Soruda Kişisel Verilerin Korunması Kanunu <https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/7d5b0a2f-e0ea-41e0-bf0b-bc9e43dfb57a.pdf> s.e.t. 13.07.2019

[6] Mehmet Bedi Kaya & Furkan Güven Taştan, (2018) Kişisel Veri Koruma Hukuku Mevzuat& İçtihat <https://www.mbkaya.com/hukuk/veri-koruma-hukuku.pdf> s.e.t. 13.07.2019

[7] Mehmet Bedi Kaya & Furkan Güven Taştan, (2018) Kişisel Veri Koruma Hukuku Mevzuat& İçtihat <https://www.mbkaya.com/hukuk/veri-koruma-hukuku.pdf> s.e.t. 12.07.2019

[8] Ayşe Çiğdem Ayözger, (2016) ‘Elektronik Haberleşme Sektöründe Kişisel Verilerin Korunması’ (Doktora Tezi), İstanbul Üniversitesi, Sosyal Bilimler Enstitüsü, S.68

[9]Kader Sarıusta, (2018) ‘Kişisel Verilerin Ceza Hukuku Yoluyla Korunması’ (Yüksek Lisans Tezi), Gaziantep Üniversitesi, Sosyal Bilimler Enstitüsü, S.60

[10] 1982 Anayasası Madde 20

[11]Doğan Kılınç, (2012) ‘Anayasal Bir Hak Olarak Kişisel Verilerin Korunması’, AÜHFD, <http://dergiler.ankara.edu.tr/dergiler/38/1690/18020.pdf> s.e.t. 13.07.2019

[12]Güray Dağ, (2011) ‘Kişisel Verilerin Ceza Muhakemesi Hukukunda Delil Olarak Kullanılması’ (Doktora Tezi), Marmara Üniversitesi, Sosyal Bilimler Enstitüsü, S.2

[13]İbrahim Korkmaz, (2016) ‘Kişisel Verilerin Korunması Kanunu Hakkında Bir Değerlendirme’, TBB Dergisi, <http://tbbdergisi.barobirlik.org.tr/m2016-124-1571> S.E.T. 13.07.2019

[14]Mehmet Bedi Kaya & Furkan Güven Taştan, (2018) Kişisel Veri Koruma Hukuku Mevzuat& İçtihat <https://www.mbkaya.com/hukuk/veri-koruma-hukuku.pdf> s.e.t. 12.07.2019

[15]Mehmet Bedi Kaya & Furkan Güven Taştan (2018) Kişisel Veri Koruma Hukuku Mevzuat& İçtihat <https://www.mbkaya.com/hukuk/veri-koruma-hukuku.pdf> s.e.t. 12.07.2019

[16]< https://www.kvkk.gov.tr/Icerik/5497/2019-166 >

9 views0 comments

Online Payment

+90 (538) 882 23 96

Bursa - İstanbul / Türkiye

©2020 by Atty. Berke Kaşıkaralar.