Kişisel Verilerin Korunması Kanunu KVKK

Kişisel Verilerin Korunması Kanunu KVKK, anayasamıza 2010 değişikliği ile girmiş olan Özel Hayatın Gizliliği başlıklı kişisel veri kavramı, son yıllarda özellikle sosyal medya kullanımının yaygınlaşması ile birlikte güncelliği git gide artan bir olgudur.

Bu hususta kişisel veri kavramına ait Anayasamızın 20. Maddesindeki düzenlemeye göre “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler ancak kanunda öngörülen hallerde veya kişinin açık rızası ile işlenebilir. Kişisel verilerin korunmasına ilişkin usul ve esaslar kanunla düzenlenir.”

Bu düzenleme uyarınca öngörülen 6698 sayılı Kişisel Verilerin Korunması Kanunu 7 Nisan 2016 tarihinde yürürlüğe girmiştir.

Bu kanunla öngörülen amaç, Anayasanın 20. Maddesinde vurgulanan özel hayatın gizliliğine, temel hakların ve özgürlüklerin korunmasına azami özen gösterilerek 21. Yüzyılın en büyük bilgi havuzunu oluşturan kişisel verilerin işlenmesine ilişkin usul ve esasları düzenlemektir.

Ek olarak, bu kanunda tanımı yapılan kişisel veriler ve bu verilerin korunmasına yönelik talep hakları, 5237 sayılı TCK’nın ilgili maddelerinde bu verilere karşı işlenen fiiller suç kapsamında sayılarak korunmakta ve  kişisel verilerin korunması kanununda öngörülen hakların ihlalini engellemeye yönelik yaptırımlar barındırmaktadır.

KİŞİSEL VERİ KAVRAMI

6698 sayılı kanunda tanımlandığı üzere kişisel veri; kimliği belirli veya belirlenebilir, gerçek kişiye ait he türlü bilgidir. Bu tanımdan da açıkça anlaşılacağı üzere bu kanun yalnız gerçek kişileri kapsamına almaktadır. Öte yandan, söz konusu veriler bir gerçek kişiye ait olmakla beraber, kanunun kısmen veya tamamen uygulama alanı dışında bıraktığı veriler de mevcuttur.

Kişisel verileri koruma kanunu ile getirilen verileri işlemeye ilişkin sınırlamalar ve korumalar mutlak olmayıp, bu hususta kanunun aradığı bazı kriterler vardır. Bunlar kanunun 4. Maddesinde de bentler halinde sıralanmıştır.

• Hukuka ve dürüstlük kurallarına uygun olma.
• Doğru ve güncel olma.
• Belirli,açık ve meşru amaçlar için işlenme.
• İşlendikleri amaçla bağlantılı,sınırlı ve ölçülü olma.
• Mevzuaata öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.

Yukarıda sayılan kriterlere uygun olarak işlenen kişisel veriler, 6698 sayılı kanun uyarınca hukuka aykırılık oluşturmayacaktır.

KİŞİSEL VERİLERİN İŞLENME ŞARTLARI

Kanun her ne kadar 5. Madenin 1. Fıkrasında kişisel verilerin ilgilinin açık rızası olmadan (açık ve aydınlatılmış rıza kast edilmektedir) işlenemeyeceğini öngörmüş ise de hemen akabinde 2. Fıkrada bu kuralın istisnalarını saymıştır. Buna göre;

• Kanunda açıkça öngörülmüşse,
• Fiili imkansızlık sebebiyle rızasını açıklayamayacak olan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
• Bir sözleşmenin kurulması veya ifasıyla ilgili olması kaydıyla (Kanun burada suistimallerin önüne geçmek amacıyla doğrudan ilgili olmasını aramıştır.) sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
• Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
• İşlenecek verinin, ilgili kimsenin bizzat kendisi tarafından alenileştirilmiş olması,
• Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
• İlgili kimsenin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için verinin işlenmesinin zorunlu olması.

Yukarıdaki bentlerde sayılan hallerde, kişisel verileri işlemek için ilgili kimsenin rızasına ihtiyaç olmayıp bu haller genel itibariyle daha üstün bir yarar veya başka bir kimsenin menfaatinin söz konusu olduğu hallerdir.

KİŞİSEL VERİ TÜRLERİ – ÖZEL NİTELİKLİ KİŞİSEL VERİLER

Kanun, kişisel verilerin bazılarının diğerlerine nazaran daha özel ve hassas nitelikli bilgiler taşımasından hareketle bunlara yönelik daha kuvvetli bir koruma öngörmüştür. Bu bağlamda kanun bu kategorideki bilgileri “Özel Nitelikli Kişisel Veriler” olarak düzenlemektedir.

Kanunun 6. Maddesine göre; “Kişilerin ırkı,etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık kıyafeti, dernek, vakıf veya sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerinin özel nitelikli kişisel veri” olduğunu belirtmiştir. İlgili maddenin özel nitelikli veriler kapsamına aldığı bilgilere genel itibariyle bakılacak olursa, bu bilgilerin kişinin özel hayatı, tercihleri ve eğilimleri dolayısıyla bu kategoriye alındığı görülmektedir. Zira bunlar bir kimsenin, en kolay ayrımcılığa ve dolayısıyla mağduriyete uğrayabileceği nitelikte hassas verilerdir. Kişisel verilerin korunması kanununun yapılmasındaki en temel amacın kişilerin hak ve özgürlüklerini korumak olduğu düşünüldüğünde yapılan bu kategorik ayrım son derece yerindedir.

Maddenin devamında bu kategorideki verilerin ilgilinin açık rızası olmadıkça işlenemeyeceği vurgulanmaktadır. Yani bu veriler, yukarıda bahsettiğim verileri işlemek için kanunun öngördüğü kriterler mevcut olmuş olsa dahi ilgilinin açık rızası dışında işlenemeyecektir.

Bununla beraber aynı maddenin 3. Fıkrasında ifade edildiği üzere sağlık ve cinsel hayat dışındaki kişisel veriler, kanunun öngördüğü hallerde ilgilinin açık rızasına gerek olmaksızın işlenebilecektir. Sağlık ve cinsel hayat ile ilgili veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanın planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.  Görüldüğü üzere, kanun yalnızca özel nitelikli kişisel veriler şeklinde bir ayrıma gitmemiş bu başlık altında saydığı verileri de kendi aralarında bir ayrıma tabi tutmuştur. Bu bağlamda sağlık ve cinsel hayat ile ilgili verilerin, daha fazla korunmaya değer bilgiler olarak değerlendirildiği dikkat çekmektedir.

KİŞİSEL VERİLERİ KORUMA KURULU (KVKK)

Kişisel verileri koruma kurulu, kişilerin verilerini korumak, yasaya aykırı şekilde işlenmesini ve 3. Kişilerle paylaşılmasını engelleyerek kanunda öngörülen amaçların gerçekleşmesini sağlamak üzere, kişisel verilerin korunması kanunu ile kurulmuştur.

Kurulun yetkileri kısaca; kişisel verilerin temel hak ve özgürlüklere aykırı düşmeyecek şekilde, kanunda öngörülen düzenlemelere uygun olarak işlenmesini sağlamak, kişisel verilerinin hukuka aykırı işlendiğini iddia eden gerçek kişilerin şikayetlerini karara bağlamak, şikayet üzerine veya görev alanına giren bir husus söz konusuysa re’sen kişisel verilerin kanunlara uygun olarak işlenip işlenmediğini denetlemek ve aykırılık halinde bu hususta gerekli önlemleri almak şeklinde özetlenebilir.

6698 sayılı kanunun 18.maddesi uyarınca  KVKK kişisel verileri koruma yükümlülüklerini ihlal eden kişi ve kurumlara idari para cezası vermeye başlamıştır. Kurulun, veri sorumlularına / veri işleyenlere idari para cezası verirken, ihlal ettikleri hükmün niteliğini, ihlaldeki kusurlarını ve ekonomik durumlarını gözetmesi gerekmektedir. Fakat ilgili maddede verilebilecek cezaların alt ve üst sınırları arasındaki aralığın çok geniş tutulması uygulamada keyfi cezalandırmalara, bununla beraber fahiş cezalara da sebebiyet verebilmektedir. Zira ilgili maddede;

Bu Kanunun;

1. a) 10 uncu maddesinde öngörülen aydınlatma yükümlülüğünü yerine getirmeyenler

hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar,

1. b) 12 nci maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine

getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar,

1. c) 15 inci maddesi uyarınca Kurul tarafından verilen kararları yerine getirmeyenler

hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar,

ç) 16 ncı maddesinde öngörülen Veri Sorumluları Siciline kayıt ve bildirim

yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar, idari para cezası verilir.

düzenlemelerine yer verilmektedir.

KVKK TARAFINDAN VERİLEN İDARİ PARA CEZALARINA İTİRAZ YOLU

Kvkk kapsamında verilen idari para cezaları; kanunun gerekçesinde de belirtildiği üzere kabahat olarak nitelendirilmekte olup kurulun idari para cezası yaptırımları 5326 sayılı Kabahatler Kanununa tabidir.

Bu bağlamda Kabahatler Kanunun 27.maddesi uyarınca idari para cezalarına ilişkin kararlara karşı kararın tefhim veya tebliğinden itibaren 15 gün içerisinde sulh ceza hakimliğine itiraz edebilecektir.