Kişisel Verilerin Korunma Kanunu’na Göre Hayatımıza Neler Yansıyacak

11/04/2023 0 Yazar: Pınar Avcı

Kişisel Verilerin Korunma Kanunu’na Göre Hayatımıza Neler Yansıyacak

6698 sayılı Kişisel Verilerin Korunması Kanunu, 24 Mart 2016 tarihinde TBMM Genel Kurulunda kabul edildi ve 7 Nisan 2016 tarih ve 29677 sayılı Resmi Gazetede yayımlanarak yürürlüğe girdi.

Günümüz teknolojisinde ve özellikle iletişim teknolojilerinde meydana gelen gelişmeler (Bilgisayar, internet, cep telefonu vb. araçlar) büyüyen haberleşme ağları, bir yandan bilgi alışverişi ve bilgilerin toplanması olanaklarını oldukça artırırken, diğer yandan da kişilerin hukuki güvenlik açısından bazı tehditlerin çıkmasına yol açtı. Günlük yaşamımızın farklı alanlarında kullandığımız araçlar vasıtasıyla kişi veya tüzel kişilerle temasta bulunduğumuzda kişisel verilerimiz kayıt altına alınıp işlenerek kullanılıyor. Bu durum özel yaşamın gizliliğini bozacak duruma geldi ve hatta hukuki güvenliği tehdit edecek boyuta ulaştı.

Kişisel veri dediğimizde aklımıza sadece T.C kimlik numarası, isim, soy isim, adres, parmak izi gibi bilgiler gelmemelidir. Kişisel veri; ”kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder” şeklinde tanımlanmıştır. Yani bilgisayarın IP adresi, kurum sicili, vergi numarası, maili, Facebook, Twitter gibi sosyal paylaşım sitelerinde kişilerin paylaştığı yazı, fotoğraf, ses, görüntü gibi kişiyi belirgin kılan her türlü veri, kişisel veri olarak kabul edildiği belirtilmektedir.

Peki bu kapsamda neler geliyor;

  • Kişisel verileri işleyebilmek için kişilerden izin alınmalı ya da kanunlardaki istisnalardan yararlanılmalı
  • Kişisel veriler, yurt içine veya yurt dışına veri aktarılmak istenildiği durumlarda ilgili kişinin açık rızası alınmalı yada kanunlardaki istisnalardan yararlanılmalı
  • Veriler kanuna aykırı şekilde başkalarına aktarılamaz veya amacı dışında kullanılamazlar
  • Veri işlenmeden önce kişiye bilgilendirme uygun kanallardan yapılmalı (Kişilere bilgilendirme yapılırken verinin neden işlendiği, hangi verilerin işlendiğinin, verilerle neler yapıldığının, kimlerle paylaşılacağının, veriyi paylaşan kişilerin bilgileri verilmelidir.)
  • Veriler paylaşılırken gerekli olan minimum bilgi paylaşılmalıdır.
  • Kişilerin izinleri ile işlenen veriler daha sonra izinlerini geri alma durumuyla karşı karşıya kaldıkları durumlarda veriler silinmelidir. Kişiler veri hakkında detaylı bilgi istediği durumlarda da gerekli bilgiler verilmelidir. Yani özetle kişilerin bilgi isteme ve silme taleplerine dönüş yapılmalıdır.
  • İşlenen veriler mevzuatta ön görülen süre kadar ya da işlendikleri amaç için gerekli olan süre kadar muhafaza edilmelidir.
  • Kanunda belirtilen veri sorumlusu tanımına giren kişiler Kişisel Verilerin Korunması Kurulu tarafından oluşturulan sicile (VERBİS) kayıt olmaları gerekir.

Kanun hem bireyleri hem de veri işleyen kurumları düşünerek istisnalar düzenlemiştir. Her durumda kişinin onayı alınmalı gibi bir algı olmamalıdır. Örneğin; internet alışverişi yapıldıktan sonraki ürünün kargolanması süreci yukarıdaki bahsettiğim durumlara uyulduğu sürece ekstra herhangi bir onay gerekmez. Çünkü alışveriş yapılırken verinin işlenmesi durumunu onaylamış oluyoruz.

KVKK’ya Uyumsuzluk Cezaları

  • Aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar,
  • Güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar,
  • Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar,
  • Veri Sorumluları Siciline kayıt ve bildirim (VERBİS) yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar, idari para cezası uygulanabilecektir.

Kişisel Verilerin Korunma Kanun’unda belirtilen idari para cezalarının yanı sıra, kişisel veri ihlallerine bağlı olarak Türk Ceza Kanunu uyarınca 1-4 yıl arası hapis cezaları da ön görülmüştür.

Kişisel Verileri Koruma Kurumu Başkanı Prof. Dr. Faruk Bilir Kanun çıktığı günden bu yana veri ihlali nedeniyle toplam derdest dosya sayısının 850 civarında olduğunu ve kuruluşlara yaklaşık 5 milyon TL ceza kesildiğini açıklamıştır. Örneğin yakın zamanda Facebook’un fotoğraf API hatasından kaynaklanan Kişisel Verilerin Korunması Kanunu kapsamında veri ihlali gerekçesiyle toplam 1 milyon 650 bin liralık idari para cezasına çarptırılmıştır. İnceleme sonucunda Kurul, yaşanan veri ihlalinin oluşmaması için kanunda öngörülen gerekli idari ve teknik tedbirlerin alınmadığını belirlemiş, veri güvenliliğine ilişkin yükümlülüklerin yerine getirilmediği gerekçesiyle Facebook’a 1 milyon 100 bin lira idari para cezası verilmiş ayrıca veri ihlali nedeniyle de gerekli bildirimde bulunmadığı için 550 bin lira idari para cezası verilmesine karar kılınmıştır. Veri ihlalleri hakkında yakın zamandaki yapılan duyuru ve karar örnekleri ektedir.

https://www.kvkk.gov.tr/Icerik/5450/2019-104

https://www.kvkk.gov.tr/Icerik/5451/Kamuoyu-Duyurusu-Veri-Ihlali-Bildirimi-Microsoft-Corporation

Kişisel verilerin işlenmesi ve korunması konularında vatandaşlara, veri işleyen gerçek ve tüzel kişilere bilgi vermek amacıyla “Alo 198 Veri Koruma Hattı”’na ayda 8 bine yakın çağrı geldiği bildirilmiştir. Kişisel verilerin korunması müessesesi gün geçtikçe önem kazanmakta olup uyum sürecini tamamlamadığımız her günümüz aleyhimize işlemektedir.