Günümüzde kişisel verilerin korunması, bireylerin mahremiyetinin yanı sıra kurum ve işletmeler için de büyük önem taşımaktadır. Sosyal medya platformlarından bankacılık işlemlerine, e-ticaret sitelerinden iş yerlerine kadar pek çok alanda kişisel veriler işlenmekte ve saklanmaktadır. Bu süreçte hem bireyler hem de veri sorumluları hak ve yükümlülüklere sahiptir. Veri sorumluları; hizmet kalitesini artırmak ve yasal zorunlulukları yerine getirmek amacıyla kişisel verileri işlerken, bu bilgilerin korunmasını sağlamakla yükümlüdür. Öte yandan; verileri işlenen ilgili kişiler de kendi verilerinin nasıl işlendiğini bilme, gerektiğinde düzeltilmesini veya silinmesini talep etme hakkına sahiptir.

Batı'da uzun yıllardır tartışılan kişisel verilerin korunması meselesi, ülkemizde de giderek önem kazanmaktadır. Bu alandaki ilk hukuki adımlar Anayasa'nın 20. maddesinde yapılan değişiklikler ve Türk Ceza Kanunu'ndaki düzenlemelerle atıldı. Anayasa'nın "Özel Hayatın Gizliliği" başlıklı 20. maddesi, herkesin kişisel verilerinin korunmasını isteme hakkına sahip olduğunu açıkça ortaya koyuyor. Bu hak, kişisel verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve verilerin amacı dışında kullanılıp kullanılmadığını öğrenme gibi yetkileri de kapsıyor. Ancak bu veriler, yalnızca kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Bununla beraber TCK m. 135-140 ile kişisel verilerin korunmasına aykırı fiiller için cezai yaptırımlar öngörülmüştür.

Bu noktada 6698 sayılı Kişisel Verilerin Korunması Kanunu devreye giriyor. Kanunun 4. maddesi, kişisel verilerin işlenmesine ilişkin temel ilkeleri belirlemiştir:

• Hukuka ve dürüstlük kurallarına uygun olmalı
• Doğru ve gerektiğinde güncel olmalı • Belirli, açık ve meşru amaçlar için işlenmeli
• İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olmalı
• Yalnızca ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmelidir

Veri Sorumlusu Kimdir? Hak ve Yükümlülükleri Nelerdir?

Kişisel verilerin korunması sürecinde en temel aktörlerden biri veri sorumlusudur. Peki, veri sorumlusu kimdir ve hangi sorumlulukları taşır?

6698 sayılı Kişisel Verilerin Korunması Kanunu'na göre veri sorumlusu; kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. Yani bir gerçek veya tüzel kişinin, verileri işleyip işleyemeyeceğini belirleyen, bu verileri hangi amaçlarla işleyeceğine karar veren kişi veya kurum veri sorumlusu olarak kabul edilir.

Veri sorumlusunun, KVKK kapsamında uyması gereken yükümlülükleri bulunmaktadır. Bu yükümlülükler şunlardır:

• Aydınlatma Yükümlülüğü: Veri sorumlusu, kişisel verileri işlerken ilgili kişiyi verilerin hangi amaçla işlendiği, kimlere aktarılabileceği, hangi yöntemlerle toplandığı ve haklarının neler olduğu konusunda bilgilendirmek zorundadır.
• Veri Güvenliğini Sağlama Yükümlülüğü: Kişisel verilerin hukuka aykırı şekilde işlenmesini, erişilmesini ve kaybolmasını önlemek için gerekli teknik ve idari tedbirleri almak zorundadır.

KVKK kapsamında veri sorumlularının, Veri Sorumluları Sicili'ne (VERBİS) kayıt yaptırma zorunluluğu bulunmaktadır. Bu kayıt, kişisel veri işleyen kişi ve kurumların faaliyetlerini şeffaflaştırmak amacıyla düzenlenmiştir. Yukarıdaki yükümlülüklerin yerine getirilmemesi durumunda, KVKK uyarınca veri sorumlularına ciddi para cezaları uygulanabilir.

Açık Rıza Kavramı Nedir? Açık Rıza Aranmayan Haller Nelerdir? Açık rıza, veri sahibinin kendi kişisel verilerinin işlenmesine özgür iradesiyle, bilgilendirilmiş şekilde ve tereddüde yer bırakmayacak biçimde verdiği onay olarak tanımlanır. KVKK'ya göre, kişisel veriler kural olarak ancak veri sahibinin açık rızasıyla işlenebilir.

Ancak kanun, bazı istisnai durumlarda açık rıza aranmaksızın kişisel verilerin işlenmesine izin vermektedir. KVKK'nın 5. maddesinde açık rıza olmaksızın veri işlenebilecek durumlar şu şekilde sıralanmıştır:

1. Kanunlarda açıkça öngörülmesi,

2. Fiili imkânsızlık nedeniyle rıza veremeyecek durumda olan bir kişinin hayatının veya beden bütünlüğünün korunması için zorunlu olması,

3. Bir sözleşmenin kurulması veya ifasıyla doğrudan ilgili olması,

4. Veri sorumlusunun hukuki yükümlülüğünü yerine getirmesi için zorunlu olması,

5. Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,

6. İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için zorunlu olması

Bu istisnai hallerde, açık rıza alınmaksızın kişisel verilerin işlenmesi mümkündür. Bu istisnai hallerin nasıl uygulanacağı tartışmalı olup avukatınızdan destek almanız tavsiye edilir.

Açık Rızanın İspatı Nasıl Yapılır?

KVKK, açık rızanın hangi yöntemle alınacağı konusunda bir şekil şartı getirmemiştir. Bu nedenle açık rıza, sözlü, yazılı veya elektronik ortamda alınabilir. Ancak, açık rızanın sonradan ispatlanabilir olması gerekir. Özellikle Genel Veri Koruma Yönetmeliği (GDPR) ve KVKK kapsamında, veri sorumlusunun ilgili kişinin açık rıza verdiğini ispatlaması gerektiği açıkça belirtilmiştir. Açık rıza alınırken; anlaşılır ve sade bir dil kullanılmalı, ilgili kişinin rızasını özgürce verip vermediği değerlendirilmeli ve rıza herhangi bir baskı altında alınmamalıdır.

İşyerlerinde, açık rızanın yazılı olarak alınması ispat kolaylığı açısından tavsiye edilirken, dijital dönüşüm sürecini tamamlayan şirketlerin elektronik onay sistemleri gibi daha modern yöntemler kullanması mümkündür.

Aydınlatma Yükümlülüğü Nedir?

KVKK m.10 ile veri sorumlularına aydınlatma yükümlülüğü getirmiştir. Buna göre, veri sorumlusu, kişisel verisini işlediği bireylere belirli konularda bilgi vermek zorundadır. Aydınlatma yükümlülüğü kapsamında şu hususlarda bilgi verilmelidir:

1. Veri sorumlusunun ve varsa temsilcisinin kimliği,

2. Kişisel verilerin hangi amaçlarla işleneceği,

3. Kişisel verilerin kimlere ve hangi amaçlarla aktarılabileceği,

4. Kişisel veri toplamanın yöntemi ve hukuki sebebi,

5. KVKK'nın 11. maddesi uyarınca ilgili kişinin sahip olduğu haklar.

Aydınlatma yükümlülüğü, kişisel verilerin ilk defa elde edildiği zaman yerine getirilmelidir. Yani, bir banka, mağaza, internet sitesi veya işveren kişisel veri toplamaya başladığında, ilgili kişiyi bilgilendirmek zorundadır.

Aydınlatma yükümlülüğüne uyulmaması halinde, KVKK'nın 18. maddesi uyarınca veri sorumlularına idari para cezaları uygulanabilir. Ayrıca, bu yükümlülüğün yerine getirildiğini ispat yükü veri sorumlusuna aittir.

Sonuç olarak; kişisel verilerin korunmasına ilişkin yasalar, veri işleme süreçlerini belirli kurallar çerçevesinde düzenlemiştir. Özellikle 6698 sayılı Kişisel Verilerin Korunması Kanunu, veri sorumlularına çeşitli yükümlülükler getirirken, bireylere de kendi verileri üzerinde belirli haklar tanımaktadır. Bu konuda hem veri sorumluları hem de verisi işlenen kişilerin dikkatli olması gerekmektedir.