Kişisel veri kavramı hayatımıza nasıl girdi?
Gelişen teknoloji ile beraber, günümüzde veri ağı son derece gelişmiş ve yaygınlaşmıştır. Özellikle, her türlü işlem ve bildirimin internet üzerinden yapılması nedeniyle, işlem güvenliğinin sağlanması gereği doğmakta; buna bağlı olarak kendilerine ait veriler kişilerden istenerek gerekli hallerde çeşitli mercilerle paylaşılmaktadır. Ancak kişisel verilerin elde edilmesi, saklanması ya da paylaşılması her zaman kanuni şartlara uygun yapılmamaktadır. Elde edilen bilgilerle, insanların kişilik profillerinin çıkarılması ve bu profillerin kayıt altında tutularak veri sahibi kişilerin lehine yahut aleyhine kullanılması, hem uluslararası mevzuatta hem de ulusal mevzuatımızda temel hak ve özgürlüklerin açık ihlalini oluşturan bir haldir. Zira kişilerin yaptıkları seçimlerden, hastalık durumlarına, DNA örneklerinden, kişisel düşüncelerine kadar her bilgi onu tanımlamak için kullanılarak kişilerin hareket alanı daraltılmış ve karar mekanizması baskılanmış olacaktır.
Kişisel veri kavramı, Türkiye’de 2016 tarihinde yürürlüğe giren Kişisel Verilerin Korunması Kanunu (KVKK) ile beraber gündeme gelmiştir. Bu kanun ile beraber, kişisel verilerin elde edilmesi aşamasında çeşitli ön koşullar yürürlüğe girdiği gibi, saklanması veya paylaşılması hususlarında da çeşitli koşullar ve yaptırımlar öngörülmüştür. Kişisel veriler, çoğu zaman veri sahibi tarafından rızasıyla paylaşılmaktadır. Ancak bunun sebebi; veri sahibinin bu bilgileri paylaşmaktan imtina etmesi halinde istediği sözleşmeyi akdedemeyecek oluşudur. Kişisel verilerini paylaşmadan akdedemeyeceği sözleşmeler, mal alım/satım sözleşmesi olabileceği gibi işe giriş sözleşmesi gibi gündelik hayatta önem arz eden sözleşmeler de olabileceğinden kişiler şahsi bilgilerini paylaşmaya mecbur kalmaktadırlar. Bu nedenle, kanunlar ve tarafı olduğumuz uluslararası sözleşmeler ile çoğu ülkede olduğu gibi ülkemizde de kişisel veriler koruma altına alınmış; ihlali halinde idari ve cezai yaptırımlar öngörülmüştür.
Açık rıza kavramının önemi nedir?
Yürürlüğe giren KVKK ile kişisel verilerin elde edilmesi, saklanması ve paylaşılması sırasında hak ihlali gerçekleştiğinde yaptırımlar öngörüldüğü gibi, kişinin bu verileri paylaşmasından önceki süreçte de çeşitli şartlar öngörülmüştür. Yazımızda kişisel verilerin kullanımı ve paylaşımı için gereken “açık rıza” kavramının ne anlam ifade ettiğini ve herhangi bir yaptırımla karşılaşılmaması için nasıl alınması gerektiğini; diğer taraftan da veri sahibi kişinin kişisel verilerini ne şartlar altında paylaşması gerektiğini ele alacağız. Açık rıza kavramı; yukarıda bahsettiğimiz yaptırımların cezalandırıcı etkisinin aksine, hak ihlali gerçekleşmeden önce önleyici nitelikte bir kavram olarak karşımıza çıkmaktadır.
Kişisel Verilerin Korunması Kanunu’nun tanımlar başlıklı 3. maddesinde “Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı ifade eder.” şeklinde bir açık rıza tanımı yapılmıştır. Kanunun tanımındaki unsurları tek tek incelersek; açık rızanın belirli bir konuya ilişkin olmasından kast edilen, kişinin paylaştığı kişisel verinin hangi konuyla alakalı olarak kullanılacağını spesifik olarak bilmesidir. Bu duruma; bir şahsın işe girerken işveren tarafından istenilen bilgilerinin özlük dosyasına eklenmek amaçlı istenildiğinin kendisine bildirilmesi örnek verilebilir. Bir diğer unsur, açık rızanın bilgilendirmeye dayanmasıdır. Burada bilgilendirme yükümlülüğü (aydınlatma yükümlülüğü) kişisel veriyi elde etmek, paylaşmak vb. şekilde kullanmak isteyen taraf üzerindedir. Yükümlü taraf, aydınlatmayı yazılı veya sözlü olarak gerçekleştirebilir ancak yazılı yapılması ispat açısından kolaylık sağlayacak, aydınlatma yükümlülüğünün ihlal edilmesi nedeniyle karşılaşılacak yaptırımları aza indirgeyecektir. Aydınlatma yükümlülüğü; veri sorumlusunun ya da temsilcisinin kimliği, kişisel verilerin işlenme amacı, kişisel verilerin kimlere ve hangi amaçla aktarılabileceği gibi her türlü bilgiyi içerecek şekilde, olabildiğince kapsamlı olarak yerine getirilmelidir. Aksi halde, aydınlatma yükümlülüğünün ihlal edildiği iddia edilecek olup, yükümlülüğü yerine getirdiğinin ispatı, kişisel veriyi talep eden kişi üzerinde olacaktır. Kanundaki tanımda belirtilen son unsur ise, rızanın özgür iradeyle açıklanması olup bu unsur kanunumuzun sistematiğinde her türlü beyan için genel-geçer bir kural olarak varlık göstermektedir. Özgür iradeyle açıklanmasından kastedilen, kanunda belirtilen irade sakatlığı hallerinden birinin söz konusu olmaması, kişinin herhangi bir baskıdan uzak olarak kişisel verilerini paylaşmasıdır.
Açık rıza hususunda önemli noktalardan biri de şudur: Açık rıza kişisel bilgilerin yalnızca elde edilmesi için gerekli olan bir şart olmayıp, kişisel verinin kaydedilmesi ya da başka bir yere aktarılması için de gerekmektedir. Açık rıza, her işleme ya da aktarım için münferiden yani ayrı ayrı alınmalı ve yapılacak işlemle ilgili bilgilendirme olabildiğince açık yapılmalıdır. Aydınlatma yükümlülüğü ne kadar açık yapılırsa alınan rıza o derece geçerli olacaktır. Bu noktada, muğlak ifadelerden kaçınılmalı, ağdalı bir dil yerine sade ve anlaşılır ifadeler kullanılmalıdır. Açık rıza alındıktan sonra, açık rıza alınan konunun nedeni değişirse, değişen husus için ayrıca rıza alınmalıdır. Örneğin; işçinin kişisel bilgileri sigorta yapılması için SGK’ya aktarılacaksa ve bunun için onay alındıysa, işçinin kimlik bilgilerinin alt işverene aktarılması için ayrı bir onay gerekmektedir.
Kişisel verilere ilişkin para ve hapis cezaları ne kadar?
Kişisel Verileri Koruma Kurumu’nun uygulayacağı idari para cezaları: aydınlatma yükümlülüğünün ihlal edilmesi halinde 5.000-100.000 TL arası; kişisel verilerin güvenliği yükümlülüğünün sağlanmaması halinde 15.000-100.000 TL arası; veri sorumluları siciline kayıt ve bildirim yükümlülüğü ihlal edilirse 20.000-1.000.000 TL arası; Kişisel Verileri Koruma Kurumu’nun kararları yerine getirilmezse 25.000-1.000.000 TL arasında değişmektedir. Kanunun ihlalinden kaynaklanan yaptırımlar yalnızca para cezaları olmayıp, kimi zaman ihlali gerçekleştiren gerçek kişi ise ihlali gerçekleştiren kişi üzerinde hapis cezası doğabilmektedir.
Türk Ceza Kanunu’nda kişisel verilere ilişkin suçlar 135.-140. maddeler arasında, sistematik olarak özel hayatın gizliliğini ihlal suçunun altında düzenlenmiştir. İlgili maddelere bakıldığında, kişisel verileri hukuka aykırı olarak kaydetme suçu için 1-3 yıl arasında hapis ceza öngörülmüş; kaydedilen verilerin kişilerin siyasi, felsefi veya dini görüşlerine, ırki kökenlerine; hukuka aykırı olarak ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin olması durumunda ise cezanın yarı oranında arttırılacağı hükme bağlanmıştır. Verileri hukuka aykırı olarak verme veya ele geçirme suçu ayrı bir madde olarak düzenlenmiş, bu suçun yaptırımı 2-4 yıl arası hapis cezası olarak belirlenmiş; kamu görevlisi tarafından ve görevinin verdiği yetki kötüye kullanılmak suretiyle yahut belli bir meslek ve sanatın sağladığı kolaylıktan yararlanmak suretiyle yapılması halinde cezanın yarı oranında arttırılacağı hükme bağlanmıştır. Son olarak verileri yok etmeme suçunun cezası ise 1 yıldan 2 yıla kadar hapis cezası olarak belirlenmiş, yok edilmeyen verinin Ceza Muhakemesi Kanunu hükümlerine göre ortadan kaldırılması gereken bir veri olduğu halde yok edilmemesi durumunda cezanın bir kat arttırılacağı hükme bağlanmıştır. Tüzel kişilerin hapis cezası ile cezalandırılmayacağı hasebiyle, kanunda bu suçları tüzel kişinin işlemesi durumunda tüzel kişilere özgü güvenlik tedbirlerinin uygulanacağı belirtilmiştir.
Açıkladığımız üzere; kişisel verilerin korunmasına ilişkin kavramlar ülkemizde 2016 tarihli KVKK ile yeni yeni gündeme geldiğinden herkes tarafından net olarak bilinmemekte ancak hâkim olunması gereken bir alan niteliğini taşımaktadır. Zira şirket yöneticileri ve diğer veri sorumluları için çalıştırdıkları personellerinin veya müşterilerinin kişisel bilgileri bakımından sorumluluk söz konusu olabilecek iken; şahıslar bakımından ise kendilerine ilişkin bilgilerin yasa dışı olarak elde edilmesi, kullanımı ya da paylaşımına ilişkin haklar etkin olarak kullanılabilecektir.
Av. Nilüfer Özmen
