Makale
Kişisel Verilerin Korunması Kanunu (KVKK) uyarınca, kişisel verilerin işlenmesi, veri sorumlularının aydınlatma ve veri güvenliği gibi temel yükümlülükleri ile kurallara uyulmaması halinde karşılaşılabilecek idari ve cezai yaptırımlar, hukuki uyumluluk sürecinin en önemli unsurlarını oluşturmaktadır.
KVKK Kapsamında Veri İşleme, Yükümlülükler ve Yaptırımlar
Hızla dijitalleşen dünyada, kişisel verilerin korunması hukuku, hem bireylerin mahremiyetini güvence altına almak hem de veri işleyen şirketler ile kamu kurumlarının sınırlarını belirlemek adına büyük bir önem taşımaktadır. Türk hukuk sisteminde bu alanı düzenleyen temel mevzuat olan 6698 sayılı Kişisel Verilerin Korunması Kanunu, kişisel verileri işlenen gerçek kişiler ile bu verileri otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanmaktadır. Kanunun temel amacı, verilerin işlenmesi süreçlerinde bireylerin başta özel hayatın gizliliği olmak üzere temel hak ve özgürlüklerini korumak ve veri işleyenlerin uyması gereken kuralları ve yükümlülükleri net bir şekilde belirlemektir. Bu bağlamda, kanuna uyum süreci sadece hukuki bir zorunluluk değil, aynı zamanda veri öznelerine karşı duyulan şeffaflık ve güvenin de bir gereğidir. Bu makalede, kanun kapsamında veri işleme şartları, veri sorumlusuna düşen hukuki yükümlülükler ve aykırılık halinde devreye giren denetim ve yaptırım mekanizmaları ele alınmaktadır.
Kişisel Verilerin İşlenmesi ve Temel İlkeler
KVKK kapsamında kişisel verilerin işlenmesi, verilerin ilk defa elde edilmesinden başlayarak bu veriler üzerinde gerçekleştirilen elde etme, kaydetme, depolama, muhafaza etme, değiştirme, yeniden düzenleme, aktarma veya sınıflandırma gibi her türlü işlemi ifade etmektedir. Kanun, işlem faaliyetlerinin teknolojik gelişmelere ayak uydurabilmesi adına eylem türlerini oldukça geniş tutmuştur. Veri işleme faaliyetinin hukuka uygun sayılabilmesi için öncelikle kanunda sayılan temel ilkelere uyulması şarttır. Bu ilkeler; verilerin hukuka ve dürüstlük kurallarına uygun işlenmesi, doğru ve gerektiğinde güncel tutulması, belirli, açık ve meşru amaçlar için toplanması, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ve ancak gerekli olan süre kadar muhafaza edilmesidir. Bu ilkelere aykırı şekilde gerçekleştirilen veri işleme süreçleri hukuka uygun kabul edilmez ve idari yaptırımlara zemin hazırlar.
Açık Rıza ve İşlenme Şartlarındaki İstisnalar
Kişisel verilerin işlenmesinde ana kural, verisi işlenen ilgili kişinin açık rızasının alınması durumudur. Kanuna göre açık rıza; belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve kişinin özgür iradesiyle tereddüde yer bırakmayacak açıklıkta verdiği onayı ifade eder. Ancak kanun, günlük hayatın ve ticari işleyişin durmaması adına açık rıza aranmaksızın veri işlenebilecek istisnai hukuka uygunluk sebepleri de öngörmüştür. Kanunlarda açıkça öngörülmesi, fiili imkânsızlık hali, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi, verinin bizzat ilgili kişi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için zorunlu olması ve ilgili kişinin temel haklarına zarar vermemek kaydıyla veri sorumlusunun meşru menfaati için veri işlemenin zorunlu olması hallerinde açık rıza aranmaz.
Veri Sorumlusunun Yükümlülükleri ve Veri Güvenliği
Kişisel verilerin işlenmesi süreçlerinde en ağır hukuki yük, veri sorumlusu sıfatını taşıyan gerçek veya tüzel kişilere düşmektedir. Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan taraftır. Kanun kapsamındaki en temel yükümlülüklerden biri aydınlatma yükümlülüğü kuralıdır. Veri sorumlusu veya yetkilendirdiği kişi, verilerin toplanması aşamasında ilgili kişilere; kendi kimliği, verilerin hangi amaçla işleneceği, kimlere ve hangi amaçla aktarılabileceği, toplama yöntemi, hukuki sebebi ve ilgili kişinin kanuni hakları konusunda mutlaka şeffaf bir bilgilendirme yapmalıdır. Bu yükümlülüğün ihlali, veri işleme faaliyetinin hukuka aykırı hale gelmesine ve para cezası gibi yaptırımlara neden olmaktadır. Dürüstlük kuralının da bir gereği olan bu işlem, kişinin kendi verisi üzerindeki denetim hakkını kullanabilmesinin ön koşuludur.
Veri sorumlusunun bir diğer kritik ödevi ise veri güvenliğine ilişkin yükümlülükler boyutudur. Kanun uyarınca veri sorumlusu, kişisel verilerin hukuka aykırı olarak işlenmesini ve verilere yetkisiz erişilmesini önlemek, ayrıca verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri almak zorundadır. Bu durum doğrudan bir netice sorumluluğundan ziyade hukuki bir özen sorumluluğu niteliğindedir. Veri sorumlusu, işletmesinde kanun hükümlerinin uygulanmasını sağlamak için düzenli olarak denetimler yapmak veya yaptırmakla da mükelleftir. Eğer kişisel veriler kanuni olmayan yollarla üçüncü kişilerin eline geçerse, veri sorumlusu bu yetkisiz erişimi ve ihlali en kısa sürede Kişisel Verileri Koruma Kurulu makamına bildirmek zorundadır. Aksi takdirde denetim süreçleri idari para cezaları ile sonuçlanabilmektedir.
İlgili Kişinin Hakları ve Yaptırım Sistemi
KVKK uyarınca, kişisel verisi işlenen bireyler veri sorumlusuna başvurarak kendileriyle ilgili önemli denetim mekanizmalarını bizzat işletebilirler. İlgili kişinin verileri üzerinde sahip olduğu bilgi edinme, düzeltme veya silme hakları, anayasal bir temel hak niteliğindedir ve bu husus kanun metninde detaylıca düzenlenmiştir. Bireyler, kişisel verilerinin işlenip işlenmediğini öğrenme, işlenme amacına uygun kullanılıp kullanılmadığını bizzat sorgulama ve yurt içinde veya yurt dışında verilerin aktarıldığı üçüncü kişileri bilme hakkına sahiptir. Aşağıda ilgili kişiye tanınan diğer önemli yasal haklar sıralanmaktadır:
- Eksik veya yanlış işlenen verilerin düzeltilmesini isteme.
- Gerekliliklerin tamamen ortadan kalkması halinde verilerin silinmesini, yok edilmesini veya anonim hale getirilmesini talep etme.
- İşlemlerin, verilerin aktarıldığı üçüncü kişilere de resmi olarak bildirilmesini isteme.
- Otomatik sistemler üzerinden yapılan analizlerle aleyhe çıkan sonuçlara doğrudan itiraz etme.
- Kanuna aykırı işleme eylemleri nedeniyle uğranan haksız zararın yasal yollarla giderilmesini talep etme.
Bu hakların etkin bir şekilde kullanılması, veri işleme süreçlerinde hem şeffaflığı hem de hukuka uygunluğu tesis eden en temel adımlardandır.
Denetim Mekanizması ve Kanuni Yaptırımlar
KVKK kapsamındaki temel ilkelerin uygulanması, veri ihlallerinin denetlenmesi ve ilgili şikâyetlerin karara bağlanması yetkisi Kişisel Verileri Koruma Kurulu bünyesine verilmiştir. İlgili kişi, hak ihlali iddiasıyla öncelikle veri sorumlusuna başvurmalı, tatmin edici bir yanıt alamaması veya süresi içinde cevap verilmemesi halinde ise derhal Kurul'a şikâyet yoluna gitmelidir. Kanunda öngörülen yaptırım sistemi, ihlalin niteliği ve boyutuna göre tazminat hukuku, idari yaptırımlar ve cezai yaptırımlar olmak üzere üç farklı eksende şekillenmiştir. Aydınlatma veya veri güvenliği yükümlülüklerine tam olarak uyulmaması, Kurul kararlarının yerine getirilmemesi ya da Veri Sorumluları Siciline zamanında kayıt olunmaması hallerinde yüklü idari para cezaları devreye girmektedir. Daha ağır ihlaller olan kişisel verilerin hukuka aykırı şekilde kaydedilmesi, yetkisiz olarak üçüncü kişilere verilmesi, hukuka aykırı şekilde yayılması veya kanuni süreler geçmesine rağmen sistemlerden yok edilmemesi gibi durumlarda ise Türk Ceza Kanunu içerisinde yer alan ilgili hükümler uyarınca hapis cezası gibi ciddi cezai yaptırımlar doğrudan uygulanmaktadır.