Kişisel Verilerin Korunmasına ilişkin 6698 Sayılı Kanun hakkında genel bilgilerimize devam ediyoruz.
Kişisel veri gerçek kişinin diğer kişilerden ayırt edilmesine, bilinmesine, tanınmasına yol açan-açabilen her türlü veridir. Bu verilerin kişinin kendisi dışında kaydedilmesi veya kullanılması ise kişisel verilerin işlenmesidir.
Kişisel verilerimizin işlenme amacını belirleyen, bu sistemi kuran ve sistemde karar verme yetkisi bulunan gerçek veya tüzel kişi veri sorumlusudur. Sistem içinde kişisel verileri işleyen uygulayıcı ise veri işleyen olarak adlandırılır.
Kişisel verilerimizin işleme amacı dışında kullanılması nedeni ile oluşan suçlardan sorumluluk veri sorumlusuna aittir.
Kişisel Verilerin Korunmasına ilişkin 6698 Sayılı Kanunda, kişisel verilerin işlenme ilkeleri belirlemiş, işlenme şartlara bağlanmış, aydınlatma zorunluluğu getirilmiş, veri sorumlularının sicile kayıt olması kurala bağlanmış, kanun kapsamındaki kişi hakları sayılmış, teknik ve idari tedbirler alınması düzenlenmiş, kullanılma süresi dolan kişisel verilerin imhası kurallara bağlanmış, tüm bunların denetlenmesi yöntemi belirlenmiştir.
Kişisel verilerimizi, bunların işlenmesi ve ilkelerini önceki yazılarımızda inceledik.
Şimdi kişisel verilerimizi paylaşım kararımızı vermemize yol açan aydınlatmaya bir göz atalım.
Aydınlatma bilgi verme anlamındadır. Ancak buradaki bilgi verme biraz ayrıntılıdır. Kişisel verilerimizin ne için alındığını, nerede, ne kadar süre ile kullanılacağını, kullanımın hukuk içinde kalacağı güvencesini, hukuk dışı işleme halinde kiminle ve nasıl muhatap olacağımızı açıklanması aydınlatmadır.
Aydınlatma açık, anlaşılır, basit ve sade olmalıdır. Bir şeye izin vermek için neye izin verildiği bilinmelidir. Eğer izin verilen şey yeterince anlaşılmamışsa taraflar arasında hukuki ilişki kurulamaz. Basit bir örnekle ayakkabıcıdan satın alınan ürünün fiyatı kasada ürün niteliğine göre belirlenir. Ürünü görmeden bir çift diyerek ödeme yapamazsınız. Hadi bir akılda kalıcı örnek daha… Kız istemeye gidilince dünürler evin hangi kızını istediklerini açıkça söylerler. Böylece niyet konusunda kız ailesi aydınlatılmış olur. Yanlış kızı sözlemezler.
Aydınlatmanın kurallara uygun olarak yapılmış olması halinde kişisel verisini paylaşan, artık veri sorumlusuna emanet ettiği bilgilerinin akıbetinin ne olabileceğini bilebilecek durumdadır Bu durumda verilerini paylaşıp paylaşmayacağı kendi özgür iradesine bağlıdır.
Özgür irade… Nedir özgür irade… Gerçekten özgür müdür? İş başvurusunda bulunan “benim kişisel verilerimi nasıl ve ne kadar süre ile işleyeceksiniz” diye sorabilir mi gerçekten? Ya da uçak bileti alırken adres, telefon vb. iletişim bilgilerimizi paylaşmazsak işlem yapabiliyor muyuz? Elbette burada özgür irade veri isteme amacı doğrultusunda biraz daha az özgürdür. Öyleyse özgürlüğün işlemin amacı doğrultusunda optimal sınırlar içinde olması yeterlidir diyebiliriz. Eğer amaç konusunda yeterli aydınlatma yapılmış, yasal uyarılar anlaşılır bir şekilde iletilmişse artık kişinin verilerini bu amaca uygun olarak paylaşması özgür iradesine dayalıdır.
Peki kimdir bu kişisel verilerimizi işleyenler ve işlenmesinden sorumlu olanlar. Kabul edemeyeceğimiz işlemelerde kimi muhatap alacağız. Kim koruyor/korumuyor kişisel haklarımızı… Kim özel hayatımıza müdahale edilmesinin yolunu açıyor.
Bu soruları cevaplayalım şimdi de:
Kişisel verilerimizin işlenme amacını belirleyen, bu sistemi kuran ve sistemde karar verme yetkisi bulunan gerçek veya tüzel kişi veri sorumlusudur. Sistem içinde kişisel verileri işleyen uygulayıcı ise veri işleyen olarak adlandırılır.
Kişisel verilerimizin işleme amacı dışında kullanılması nedeni ile oluşan suçlardan sorumluluk veri sorumlusuna aittir.
Kişisel verilerin işlenmesi, hukuka ve dürüstlük kurallarına uygun, hak kötüye kullanılmadan, şeffaf, güncel ve doğru, hukuka uygun bir amaçla, amaç ile ölçülü ve amaç ile uyumlu süre için olmalıdır.
Hukuka uygunluk incelediğimiz kanuna uygunluk olduğu kadar tüm genel hukuk ilkelerine uygunluk anlamındadır.
Bu kapsamda kişisel verinin işlenmesi sürecinde hakkın kötüye kullanılmamasına özen gösterilmelidir. Bir hakkın varlığı kötüye kullanıma izin vermeyecektir. Kişisel verilerinin işlenmesine izin veren ilgili kişinin izninin amacına ve bilgilendirme sınırlarına özen göstererek kullanımı esastır. Dürüstçe bilgilendirmek, bilgilendirme kapsamında alınan onaya dayalı olarak ve kişisel verinin elde edilme amacına uygun kullanım, hakkın kötüye kullanılması sınırlarını belirleyecektir.
Kişinin, kişisel verilerinin kullanılmasına izin verirken öngöremeyeceği bir durumda kullanılması hakkın kötüye kullanılmasıdır. Dürüstçe değildir. Şeffaf değildir.
Örneğin her türlü fotoğraflarımızı paylaştığımız Facebook sitesindeki fotoğrafların hangisinin kimler tarafından görülebileceğini belirleyebilmekteyiz. Bu rızamızın kapsamıdır. Ancak bu fotoğraflara erişebilen kişilerin iznimiz dışında kullanımını sağlayan, ya da izin dışında kullanımını engelleyecek tedbirleri almayan site Kurul tarafından ceza kararına konu olmuştur.
Ayrıca kişisel bilgilerimizi fotoğraflarımızı sayfamızda görerek indirip izinsiz kullanan kişiler açısından da ayrı bir suç oluştuğunu belirtmekte yarar bulunmaktadır.
Kişisel verilerin işlenmesi bir süreçtir. Anlık doğrular her zaman değişebilir. Örneğin kişisel veri olan medeni durum, boşanma kararı ile değişebilir. Kişi yeniden evlenebilir. Bu durumda güncel olmayan eski eşle ilgili bilgi, artık kullanılamaz. Kimse birisinin eski eşi olarak bilinmek istemez.
Kişinin her yaşta başka eğitimler alarak kendisini geliştirmesi de mümkündür. Her üniversite mezunu bir tarihte lise mezunudur. Liseden mezun olunan tarih için doğru olan bu veri, üniversite mezunu olduktan sonra artık güncel değildir. Doğru olması yetmemektedir. Bu nedenle kişisel veriler güncellenmeli ve güncel hali işlenmelidir.
Bu noktada kişinin kişisel verilerinin güncellenmesini isteme hakkı bulunduğunu belirtmeliyiz.
Kişisel veriler elde edildikleri ve kullanılacağının açıklandığı amaç dışında kullanılamazlar. Amaç meşru bir amaç olmalıdır. Sübjektif amaçlardan bahsedilemez. Kişisel verilerin işlenmesine yönelik amacın, basit, sade, anlaşılabilir, net olarak açıklanması gereklidir. Karmakarışık, uzun ve teknik ifadeler içeren amaç dürüstlük kuralına uygun değildir. Amaç onay alınan konu ile ilgili olmalıdır.
Bir market zincirinin sadakat programı kartını alarak sözleşmeyi onaylayan tüketicinin, aldığı kart kendisine bir takım indirim ve avantajlar sağlamaktadır. Bu kartı almayan kişi indirimlerden faydalanamayacaktır. Bu indirimlerden yararlanmak için bilgilerini paylaşması dürüstlük kuralına uygundur. Ancak sözleşmelerde özel nitelikli bilgilerin istenmesi genel anlamda dürüstlük kuralına, özel anlamda amaca aykırıdır.
Açıklanan meşru amacın dürüstlük kuralına uygun süre içinde kullanılması asıldır. Amaç nedir? İşe alınmadır. Amaç nedir? Bankadan kredi kartı alınmasıdır. Amaç nedir? Taraflar arasında bir sözleşme kurulmasıdır. Gibi gibi… Bu amaçlara bağlı başkaca konular gündeme geldiğinde asıl amaç kapsamı dışında işlemeye devam edilemez. Amaç her değiştiğinde ya da genişlediğinde, belki de yön değiştirdiğinde yeniden onay alınması gerekmektedir.
Basit bir örnekle açıklayalım. AVM’de şahsen bir dükkan kiralayalım. Kira sözleşmesini AVM’yi yöneten firma ile yaptığımızda her türlü bilgiyi istemekteler. Kaldı ki ciromuzu da öğrenip kirayı ona göre almaktadır. Kira sözleşmesi sona erdikten sonra, artık amaç gerçekleşip bitmiş, sözleşme sona ermiş, kişisel verilerimizin işlenme olasılığı kalmamıştır. Başka yerde dükkan işletmeye başlayınca eski ciromuz ve kişisel verilerimiz kullanılamaz. Bu durum amacın gerekleri nedeni ile süre sınırlandırmasıdır.
Öğrenciliğinde garsonluk yapan kişinin, okuyup tıp profesörü olduğunu düşünelim. Garsonluk yaptığı işyerinin kişisel verilerini saklaması ya da kullanması mümkün değildir. İş ilişkisi bitmiş, amaç gerçekleşmiştir. Artık kişisel veriler saklanamaz.
Eğer veri sorumlusu kanundan kaynaklanan sebeple işleme yapıyorsa, kanunla belirlenen süre dolduğunda veya amaç gerçekleştiğinde artık veri işleme yapılamayacaktır.
Bu durumlarda kişisel veriler silinecek, imha edilecek ya da anonim hale getirilecektir. Kişinin bunları isteme hakkı vardır. Aksi durum Ceza Kanunundaki verileri yok etmeme suçunu oluşturacaktır.
Bize ayrılan yer yine doldu.. Konuya yeni yılda devam edeceğiz…
Av. M. Tülin Kavasoğlu