Makale
Kişisel verilerin korunması hukukunda denetim mekanizmaları ve ilgili kişi hakları, veri mahremiyetinin temel taşlarıdır. Bu makale, idari ve yargısal denetim yolları ile veri sorumlusuna başvuru ve Kurula şikayet süreçlerini hukuki bir perspektifle, uygulamadaki yansımaları bağlamında detaylıca analiz etmektedir.
KVKK Kapsamında Denetim Sistemi ve İlgili Kişi Hakları
Günümüz teknoloji çağında kişisel verilerin korunması hakkı, bireylerin en temel anayasal güvencelerinden biri haline gelmiştir. Türk veri koruma hukukunda bu anayasal güvencenin pratik hayatta karşılık bulması, ancak etkin bir denetim mekanizması ve ilgili kişi haklarının proaktif kullanımı ile mümkündür. 6698 sayılı Kişisel Verilerin Korunması Kanunu, bireyler ile veri sorumluları arasındaki güç dengesizliğini gidermek amacıyla idari ve yargısal koruma yolları öngörmüştür. Kişisel verilerin idari yoldan korunması bağlamında Kişisel Verileri Koruma Kurumu, bağımsız bir denetim otoritesi olarak öne çıkmaktadır. Kurum, Kişisel Verileri Koruma Kurulu aracılığıyla veri ihlallerine müdahale ederek idari yaptırımlar uygulama yetkisini haizdir. Diğer yandan, veri üzerinde doğrudan hak sahibi olan ilgili kişi, verilerinin akıbetini tayin edebilmesi için Kanun'un ilgili maddesi ile donatılmıştır. Bu makalede, KVKK ekosisteminde yer alan idari ve yargısal denetim usulleri ile ilgili kişinin verileri üzerindeki hakimiyetini sağlayan hak arama yolları ve başvuru prosedürleri hukuki bir yaklaşımla incelenecektir.
KVKK Kapsamında Denetim Mekanizmaları
Kişisel verilerin korunması sisteminde, kuralların kâğıt üzerinde kalmaması için çok yönlü bir denetim rejimi öngörülmüştür. Türk hukukunda kişisel verilerin denetim sistemi, temelde idari denetim ve yargısal denetim olmak üzere iki ana sacayağına dayanır. İdari denetimin merkezinde, tam bağımsız bir otorite olarak yapılandırılan Kişisel Verileri Koruma Kurumu yer almaktadır. Kurumun karar organı olan Kişisel Verileri Koruma Kurulu, şikâyet üzerine veya resen harekete geçerek veri işleme süreçlerini inceleme ve gerektiğinde veri işlemenin durdurulması gibi geçici önlemler alma yetkisine sahiptir. Yargısal denetim ise, ihlalin boyutuna ve failin niteliğine göre farklı mahkemelerin görev alanına girmektedir. Veri sorumlusunun bir kamu kurumu olması durumunda idare mahkemelerinde tam yargı veya iptal davası açılabilirken, özel hukuk kişilerine karşı Türk Medeni Kanunu ve Türk Borçlar Kanunu çerçevesinde tazminat davaları ikame edilmektedir. Ayrıca fiilin suç teşkil etmesi durumunda Türk Ceza Kanunu kapsamında ceza mahkemelerinin devreye girmesiyle denetim mekanizması tamamlanmaktadır.
Kişisel Verileri Koruma Kurulunun Yaptırım Yetkisi
Kişisel Verileri Koruma Kurulu, tespit ettiği veri güvenliği ihlalleri karşısında caydırıcılığı sağlamak amacıyla çeşitli idari yaptırımlara hükmetmektedir. Kanunda belirtilen kabahatler kapsamında; aydınlatma yükümlülüğünün ihlali, veri güvenliği tedbirlerinin alınmaması, Kurul kararlarına muhalefet ve Veri Sorumluları Siciline kayıt yükümlülüğüne aykırılık durumlarında veri sorumluları hakkında yüksek tutarlarda idari para cezaları tesis edilmektedir. Kanun koyucu, bağımsız idari otoritelerin klasik yapısına paralel olarak Kurula uyuşmazlık çözme yetkisi ve idari denetim yapma hakkı da tanımıştır. Özellikle idari para cezalarının uygulanması aşamasında, yakın zamanda yapılan yasal düzenlemelerle birlikte, Kurul kararlarına karşı artık sulh ceza hakimlikleri yerine idare mahkemelerinde dava açılması yolu benimsenmiştir. Bu yapısal değişiklik, kişisel veri hukukunun doğası gereği barındırdığı idari uzmanlık gereksinimine daha uygun bir yargısal denetim imkânı sunarak hukuk güvenliğini tahkim etmiştir.
İlgili Kişinin Hakları ve Başvuru Usulleri
Veri işleme süreçlerinde dijital ekonominin aktörleri olan veri sorumluları ile bireyler arasında büyük bir güç dengesizliği mevcuttur. Bu dengesizliği asgari düzeye indirmek için mevzuatımız, ilgili kişiye geniş kapsamlı haklar tanımıştır. Bu haklar, bireylerin kendi verilerinin geleceğini bizzat tayin edebilmesini sağlayan bir hesap verebilirlik mekanizması işlevi görür. İlgili kişi, her zaman veri sorumlusuna başvurarak kişisel verilerinin akıbeti hakkında bilgi sorabilir. Kanunda öngörülen hukuki süreç, kademeli bir başvuru rejimine dayanmaktadır. Hak ihlaline uğradığını düşünen ilgili kişi, ilk aşamada bizzat veri sorumlusuna başvuru yapmak zorundadır. Veri sorumlusu bu talebi kabul edip gereğini yapabileceği gibi, gerekçesini açıklayarak otuz gün içinde yazılı veya elektronik ortamda reddedebilir. Talebin reddedilmesi, eksik cevaplanması veya süresi içinde hiç cevap verilmemesi durumunda ilgili kişinin Kurula şikâyet hakkı doğar. Bu ihtiyari şikayet yolunun yanı sıra, genel hükümler çerçevesinde doğrudan yargı yollarına başvurulmasına engel bir durum da bulunmamaktadır.
İlgili Kişinin Kullanabileceği Temel Haklar
Veri sorumlusuna yöneltilen talepler, ilgili kişinin veri üzerindeki hakimiyetini sağlayan en temel hukuki araçlardır. Kişinin şeffaflık beklentisi, bilgilendirilme ve erişim hakkı ile karşılık bulurken, verilerin hatalı veya güncel olmaması ihtimaline karşı düzeltme hakkı devreye girmektedir. Avrupa hukukunda AYM Perspektifiyle)">AYM Perspektifiyle)">unutulma hakkı olarak da yankı bulan, verilerin tamamen ortadan kaldırılmasını içeren haklar ve diğer temel yetkiler şu şekilde özetlenebilir:
- Kişisel verilerin işlenip işlenmediğini, işlenme amacını ve aktarıldığı üçüncü kişileri öğrenme hakkı.
- Eksik veya yanlış işlenen verilerin düzeltilmesini talep etme hakkı.
- İşleme şartlarının ortadan kalkması durumunda verilerin silinmesini veya yok edilmesini isteme hakkı.
- Kişisel verilerin yalnızca otomatik sistemler aracılığıyla analiz edilmesiyle ortaya çıkan aleyhe sonuçlara itiraz hakkı.
- Kanuna aykırı işleme faaliyeti nedeniyle doğan zararın giderilmesini talep hakkı.