Gelişen teknoloji, farklı pazarlama modelleri, müşterilerin beklenti ve taleplerinin tespit etme arzusu veya güvenlik ihtiyaçları sebepleriyle insanların birçok verisi elektronik veya elektronik olmayan yöntemlerle kayıt altına alınır hale gelmiştir. Aslında bu yaklaşım bazı hallerde bizlerin temel haklarının ihlalini oluşturmakla beraber kişisel verilerin istenmeyen kişiler tarafından ele geçirilmesi halinde kamuyu ve tüm bireyleri ilgilendirir şekilde hak ihlalleri söz konusu olabilmektedir. Bu yüzden kişisel verilerin korunabilmesi ve suça konu edilmemesi amacıyla hukuki alt yapının oluşturulması amacıyla 6698 sayılı Kişisel Verilerin Korunması Hakkında Kanun 07/04/2016 tarihinde yürürlüğe girmiştir. 6698 Sayılı Kanun ve beraberinde getirdiği düzenlemeler ile ortaya çıkan kurumlar, bir takım haklar ve yükümlülükleri düzenlemiştir. İdari ve cezai anlamda yaptırımlara maruz kalmamak adına işverenlerin bazı noktalara dikkat etmesi gerektiği şüphesiz olduğundan işbu makalede Kişisel Verilerin Korunması Kanunu kapsamında dikkat edilmesi gereken hususlar üzerinde durulmuştur.
Bu Kanun uyarınca kişisel veri; gerçek kişiye ilişkin her türlü bilgiyi kapsamaktadır. Yani kanunda çok geniş bir tanım yapılmıştır. Kişisel verilerin işlenmesi ise; verinin elde edilmesi, kaydedilmesi, depolanması, sınıflandırılması, muhafaza edilmesi, değiştirilmesi, düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi gibi her türlü işlem olarak yine geniş şekilde tanımlanmıştır.
Örneğin iş başvurusu sırasında kişilerin CV’lerinin alınması, işe alımlarda başvuran kişilerin bilgilerinin insan kaynakları veya işverenlerce alınması ya da müşterilerin iş ilişkisinden kaynaklı olarak verdikleri bilgilerin işlenmesi hususlarında bazı noktalara dikkat edilmesi gerekmektedir.
Bahse konu kanun uyarınca, bir kişinin iş tanımı, iş sözleşmesi ve kanundan kaynaklı olarak alınması gerekmeyen kişisel verisinin talep dahi edilemeyeceğini düzenlenmektedir. Örneğin yapacağı iş ile ilgisi bulunmamasına rağmen toplanan bilgiler, CV veya işe başvuru formlarında sigara içip-içmediğinin dahi sorulması, kanuna aykırılık teşkil edebilecektir. Kişiden talep edilen bilgiler, arada kurulacak sözleşme için gerekli bir bilgi olmalı veya kanundan kaynaklı olarak istemek zorunluluğunda olunmalıdır.
Bu bilgilerin talep edilirken ne amaçla talep edildiği ne şekilde ve nerede kullanılacağı, hangi hukuki sebepten kaynaklı olarak talep edildiği, hangi amaçla hangi yolla aktarılabileceği yönünde kişinin bilgilendirilmesi gerekmektedir. Bu bilgilendirmeye ilişkin yazılı bir metin verilmesi, verilen metnin bir nüshasının ise imzalatılarak saklanmasında fayda vardır. Bilgilendirme metni yanında ayrıca kişinin rızası da alınmalıdır. İleride uyuşmazlık çıkması ihtimaline binaen rızayı yazılı olarak almakta fayda vardır. Rıza ve bilgilendirmeye ilişkin metinlerin ayrı olarak düzenlenmesi önem taşımaktadır. İki metin ve gereklilik, birbirinden ayrı sebeplerden kaynaklanmaktadır. “her türlü işleme rızam vardır, her türlü verimin işlenmesi konusunda bilgilendirildim ve onayım vardır” şeklinde genel kabul cümlelerinin, uyuşmazlık çıkması halinde geçerli sayılmama ihtimalinin yüksek olduğu dikkatten kaçmamalıdır. Somut olarak hangi bilgi ne sebeple isteniyor, nerede kullanılacak, başka kişilere bu bilgi aktarılacaksa hangi yöntemde ve ne sebeple aktarılacak şeklinde detaylı bir bilgilendirme yapılmalıdır.
Kişisel verilerin ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi gerekmektedir. Bu hususa aşağıda tekrar değineceğiz.
6698 sayılı kanuna göre aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür:
- a) Kanunlarda açıkça öngörülmesi.
- b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
- c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
- d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.
- e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
- f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
Kanunda kişisel veri haricinde bir de özel nitelikte kişisel veriden söz edilmektedir. “Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir” özel nitelikteki kişisel verilerin işlenmesi de yasaktır.
Yani işe giriş yerlerinde kartların, parmak okuyucuların, göz retina okuyucuların kullanılması halinde bu hüküm ihlal edilmesi gündeme gelebilecektir. Bu sebeple kişi bilgilendirilmeli ve rızası alınmalıdır. Diğer kanunlarda veya bir iş tanımıyla beraber kayıt altına alınması istenen kişisel veriler varsa, burada belirtilenler hakkında rıza alınmasına gerek kalmaz. Bu durum, sağlık veya bankacılık veya özel güvenlik hizmetleri gibi işletme faaliyetleri için düşünülebilir.
Kişisel verilerin başka bir kişi ya da kuruma aktarılmaması gerekmektedir. Aktarma sadece kanundan kaynaklı sebeplerle yapılabilir. Örneğin mahkeme ya da savcılığın ya da avukatların bir bilgiyi talep etmesi ya da SGK’ya yapılan bildirimlerle alakalı olarak aktarma yapılabilir. Bunun haricindeki durumlarda, verilerin başka bir kişiye aktarılması için yine kişinin bilgilendirilmesi ve rızasının alınması gerekmektedir.
Dikkat çekmek isteriz ki; kişisel veriler, şahsın rızası alınarak 3.kişi konumundakilere hukuka uygun olarak aktarılmış olmasına rağmen 3.kişi tarafından kişisel veriler hukuka aykırı olarak bir başkasına aktarılır ya da mevzuata aykırı başka bir işlem yapılırsa oluşacak zarardan müştereken sorumluluk söz konusu olabilecektir.
Kişisel verisi toplanan kişilerin veri işleyene başvurarak bu verilerle ilgili tasarruf hakkı vardır:
“Herkes, veri sorumlusuna başvurarak kendisiyle ilgili; “a) Kişisel veri işlenip işlenmediğini öğrenme, b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme, c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme, e) 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme, f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme, ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme, haklarına sahiptir.” Burada dikkat edilmesi gereken husus, başvuran kişi ile alakalı verilere ilişkin işlem yapılması gerekmektedir. Örneğin A kişisi kendisiyle ilgili belge talep etmesi üzerine o konuya ilişkin diğer kişileri de kapsayarak liste şeklinde bilgilendirme yapılırsa bu defa diğer kişilerin verilerinin hukuka aykırı olarak 3.kişiye verilmesi sebebiyle hukuka aykırılık gündeme gelebilecektir.
Kişisel verileri hakkında bilgi edinmek isteyen kişinin, bu başvurusunu; yazılı olarak veya Kurul’un sonradan belirleyeceği diğer yöntemlerle iletmesi gerekmektedir. Başvuru üzerine 30 gün içerisinde ücretsiz olarak başvuru doğrultusunda işlem yapılması veya gerekçesiyle beraber talebin reddedildiğinin bildirilmesi gerekmektedir. Bu işlemlerin yapılmaması veya menfi yönde işlem yapılması halinde kişi, Kurul’a şikayet yoluna gidebilir. Kurul tarafından şikayet üzerine işlem yapılabileceği gibi resen de ihlale ilişkin işlemler ve araştırma yapılabilir.
Daha önce işlenmiş olan kişisel veriler, Kanun hükümlerine uygun hâle getirilmelidir. Buna göre, Kanununa aykırı olarak veya işlenme şartları olmaksızın işlenmiş kişisel veriler, bu ilke ve şartlara uygun hale getirilmeli yani bilgilendirme rıza unsurlarındaki eksiklikler giderilmelidir.
Kişisel verilerin hukuka aykırı olarak işlenmesini ve erişilmesini önlemek ve muhafazasını sağlamak gerekmektedir. Buna ilişkin her türlü eğitim ve denetim işlemi yapılması gerekmektedir. Aksi halde 15.000 TL – 1.000.000 TL arasında para cezasına muhatap kalınması söz konusu olabilir.
Kanunla beraber getirilen bir diğer önemli yenilik ise veri sorumluları siciline kayıt zorunluluğudur. Veri işleyen herkes, Veri Sorumluları Sicili’ne kayıt olmak zorundadır. Kurul tarafından istisnai haller düzenlenme imkanı bulunmaktadır. Bu yetkiye binaen de Kurul tarafından bazı istisna halleri belirlenerek, veri işleyen kişilerin veri sorumluları siciline kayıt zorunluluğuna ilişkin istisnalar duyurulmaktadır. Kayıt zorunluluğu bulunan veri sorumluları sicili ile alakalı olarak internet üzerinden ulaşılabilen “VERBİS” adlı uygulama kullanılacaktır.
Veri Sorumluları Sicili, veri sorumlularının işledikleri verileri tamamen içerir şekilde veri barındırmayacaktır. VERBİS sistemine, ilgili kişilerin kişisel verileri değil, başlıklar halinde kategorik bazda bilgiler girilecektir. Bu nedenle, VERBİS kesinlikle kişisel veri içermeyecek ve dolayısıyla da kişisel verilerin kamuya ifşa edilmesi gibi bir durum da söz konusu olmayacaktır.
Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğü kapsamında olmasına rağmen bu yükümlülüğünü yerine getirmeyen veri sorumluları hakkında Kişisel Verileri Koruma Kurulunca 20.000 TL ila 1.000.000 TL arasında idari para cezası uygulanacağı hükmü düzenlenmiştir
Veri Sorumluları Siciline kayıt yükümlülüğü bulunan veri sorumlularının “kişisel veri işleme envanteri” ve “kişisel veri saklama ve imha politikası” hazırlaması gerekmektedir.
Kişisel Veri İşleme Envanteri Yönetmeliğin 4 üncü maddesinde tanımlanmış olup envanterde;
- Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini;
- kişisel veri işleme amaçları,
- veri kategorisi,
- aktarılan alıcı grubu ve
- veri konusu kişi grubuyla ilişkilendirerek oluşturdukları,
- kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi,
- yabancı ülkelere aktarımı öngörülen kişisel verileri ve
- veri güvenliğine ilişkin alınan tedbirler,
yer almalıdır.
Kanun ve Yönetmelikte söz konusu envanter için herhangi bir şekil şartı belirlenmemiştir. Kişisel Veri İşleme Envanteri, kolayca erişilebilir, veri sorumlusunca arzu edilen metin veya liste gibi bir formatta, veri sorumlusu ve yaptığı kişisel veri işleme faaliyetlerine ilişkin doğru bilgi sahibi olunabilecek düzeyde olmalıdır.
Bir diğer dikkat edilmesi gereken ise kişisel veriler ne zamana kadar saklanmalı, kişinin talebi üzerine doğrudan işlenen veriler silinmeli mi sorusudur.
İşveren ve işçi arasındaki ilişkiler ve büyük şirketlerde kişisel verilerin daha çok bu noktada işlenmesi hususuna binaen, İşçi alacakları gibi İş Kanunu’ndan kaynaklı doğabilecek hukuki ihtilafları veya şirketin faaliyetlerine göre değerlendirme yaparak ileri uyuşmazlık çıkma ihtimali bulunan durumları öngörerek hareket etmek gerektiği kanaatindeyiz. İşlenen bilginin ileride bir uyuşmazlık olduğunda yargı mercileri huzurunda kullanılması gerekeceği hususu gözetilerek, o konuyla alakalı mevzuatta zamanaşımı süresi varsa bu süre dikkate alınarak verilerin muhafaza edilmesi ve silinmesi işlemi düzenlenmelidir.
Son olarak; Türk Ceza Kanunu’nda “Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, iki yıldan dört yıla kadar hapis cezası ile cezalandırılır” düzenlemesi ve “Kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlara görevlerini yerine getirmediklerinde bir yıldan iki yıla kadar hapis cezası verilir.” Düzenlemesi uyarınca, hukuki yoldan talep edilmeyen bir kişisel verinin başkasına verilmemesi gerektiği hususunun önemi ile verilerin muhafaza edilmesinde izlenecek yol ile yasal dayanakların önemini vurgulamak isteriz.
Sonuç olarak 6698 Sayılı Kanun’un yürürlüğe girmesiyle kişisel verilerin güvenliği ile ilgili olarak birçok hak ve yükümlülük getirilmiştir. Bu yükümlülüklerin yerine getirilmemesi halinde TCK düzenlemesine binaen ceza yargılamasına muhatap kalınabileceği gibi idari para cezası yaptırımlarına da maruz kalınma ihtimalleri bulunmaktadır. Yapılan iş ve işlemlerin, mevzuattaki değişiklikler dikkate alınarak güncellenmesi gerekebileceği hususu dikkatlerden kaçmamalıdır. Konuya ilişkin özet nitelikte bazı hususlara değinerek konunun önemi vurgulanmaya çalışılmış olup, hak kayıpları yaşanmaması veya yaptırımlara muhatap kalınmaması için şirket içinde gerekli bilgilendirmeler yapılması ve aksiyon alınarak, konunun uzmanı hukukçulardan destek alınarak, şirket iç işleyişi 6698 sayılı Kişisel Verilerin Korunması Kanunu’na uygun hale getirilmelidir. 24.12.2018
ATLI HUKUK
Av. Kerem ATLI