Günümüzde alışveriş yaparken, sağlık hizmeti alırken ya da daha farklı durumlarda kişisel verilerimizi paylaştığımız birçok an yaşıyoruz. Bazen verilen formları okuyor bazen de çağrı merkezinden gelen aramalarda sordukları açık rıza onay sorusuna hızlıca sözlü cevap veriyoruz. Paylaştığımız bu verilerle neler oluyor ve bu veriler nasıl korunuyor gelin birlikte bakalım.
Gerçek kişiye ait olan ve kişiyi doğrudan ya da dolaylı olarak tanımlayabilen; isim, soyisim, doğum yeri ve tarihi, sosyal güvenlik numarası, telefon numarası, motorlu taşıt plakası, pasaport numarası, özgeçmiş, görüntü ve ses kayıtları, adres ve e-posta bilgileri, parmak izi gibi bilgiler kişisel veri olarak kabul edilir. Kişisel veriden söz edebilmek için verilerin kişiyi tanımlayan ya da ilişkilendiren gerçek kişiye ait bilgi olması gerekir. Bu bilgilerle ilişkili olarak 6698 sayılı Kişisel Verilerin Korunması Kanunu 07.04.2016 tarihinde yürürlüğe girmiştir.
Kişiliğin korunması kişisel verilerin korunması esasını doğurur. Kısacası, özel hayatın gizliliği hakkı, kişinin kişisel verilerinin korunmasını içinde barındırır. Aslında korunan veriden öte, ilgili gerçek kişidir. Gerçek kişinin fiziki, ekonomik, sosyal ve ailevi özelliklerine ilişkin veriler yanlış kişilerin eline geçtiğinde kişilere zarar verebilecek kimlik hırsızlığı, sağlık bilgilerini kötüye kullanma, kişiye ait verilerle borçlandırma gibi sorunları doğurduğundan kişisel verileri korumak kaçınılmazdır.
Kanun ile kişisel verilerin çağdaş standartlarda işlenmesi ve koruma altına alınması amaçlanmaktadır. Bu kapsamda, Kanunun amacı, kişisel verilerin işlenme şartlarını, kişisel verilerin işlenmesinde kişilerin temel hak ve özgürlüklerinin korunmasını ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir. Kişinin mahremiyetinin korunması ile veri güvenliğinin sağlanması da bu kapsamda değerlendirilmektedir. Kanunla, kişisel verilerin sınırsız biçimde ve gelişigüzel toplanması, yetkisiz kişilerin erişimine açılması, ifşası veya amaç dışı ya da kötüye kullanımı sonucu kişilik haklarının ihlal edilmesinin önüne geçilmesi amaçlanmaktadır (https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/7d5b0a2f-e0ea-41e0-bf0b-bc9e43dfb57a.pdf). Bu sebeple oluşturulan denetim mekanizmaları, hukuki ve cezai sorumlulukların belirlenmesini ve kişisel verilerin korunmasını hedeflemiştir.
Kişisel veriler, VERBİS sisteminde kategorilendirme ile başlar. Kişisel Verileri Koruma Kanunu (KVKK) tarafından çıkarılan VERBİS’e veri girişlerinin yapılması veri sorumlularının görevidir. Veri sorumluları öncelikle kendileri VERBİS’e kayıt olurlar. Kendi kayıtlarını gerçekleştirdikten sonra topladıkları kişisel veri girişlerini yaparlar. Veri kategorilerine göre VERBİS’e yapılan bu girişler yaklaşık 26 başlık altında toplanmıştır. Bu başlıklar;
Kişisel verilerimizi birçok şirket ile paylaşmamız kaçınılmazdır. İşe başvuru için verilen özgeçmişler, e-ticaret sitesinden yapılacak alışverişler için girilen isim-soyisim ve diğer bilgiler hepsi günlük hayatta paylaşılan bilgiler arasında yer alır. Dolayısıyla hem personelden hem de müşterilerden alınan veriler sebebiyle öncelikle şirkette çalışan kişiler, kişisel veriler ile ilgili bilgilendirilmelidir.
Kişisel verilerin paylaşılıyor olması özel hayatın gizli kalması ile ilgili soruları akla getirir. Bu kapsamda, özel hayatın gizliliğine karşı yapılan suçlar için kanuni düzenlemeler yapılmıştır. Öncelikle şirket, kişiden açık rıza metni ile onay ve aydınlatma metni ile de kişisel verileri almakla yükümlüdür. Şirket, bu verileri ilgili kişinin onayı olmadan paylaşamaz ya da paylaşılmasından sorumlu olamaz. Bu sebeple, verilerin şirketten birinin eline geçmesi veya paylaşılması durumunda oluşacak mağduriyet için düzenlenen ve hapis cezalarını kapsayan kanunlar vardır. Bütün bu bilgiler kapsamında şirketin ilgili kişiden açık rıza onayı alırken belirlenen amacın dışında verilerin kullanılması söz konusu değildir. Şirketlerin görevi, şirket içinde kimin, hangi verileri işlediği, sakladığı ve üçüncü kişilere aktarıp aktarmadığı konularında haberdar olmaktır. Çünkü KVKK, kişisel verileri işleyen şirketleri “uygun güvenlik şartlarını sağlamada ve bu konuda her türlü teknik ve idari tedbiri almada” zorunlu tutar. Şirketler bu sorumlulukla, ilgili kişilerden kişisel verilerinin işlenmesinde alınacak açık rızanın amacının belirlenmesi ve bilgilendirme metninin açıklanması, personele konuyla ilgili eğitimin verilmesi ve gerekli sözleşmelerin ilgili paydaşlarla yapılması için sistemlerin kurulması ve yönetilmesi süreçlerini yerine getirmelidirler.
Açık rıza onayıyla herkes bir şirketin kişisel veri kaydına girer. Şirketler ise bu alınan açık rıza ile kişisel verilerin kişiden alınmasını, başka kişilere verilmemesini sağlamakla yükümlüdürler. Dijital dünyada yaşanılan siber güvenlik ihlalleri ile beraber kişisel verilerin çalınması ise ilgili kişiler için endişe kaynağıdır. Bu noktada ilgili kişilerden kişisel veri alan, depolayan ya da işleyen kişilere/şirketlere düşen sadece kendi itibarları ve maddi kaygıları için değil; işledikleri veri sahiplerine ve hukuka olan sorumlulukları sebebiyle de siber güvenliği önemsemeleridir. Siber güvenlik için yaptıkları çalışmalar ile kişiler/şirketler verilerin 3. şahısların eline geçmesini engellemiş olacak, bunu önemsemeyen şirketler ise saldırıya uğrayacakları güvenlik açıklarına sebep olacaklardır. Siber saldırıya uğrayan ve hacklenen şirketler pandemiyle gelen yeni dünya düzeninde günden güne artmaktadır. Şirket siber saldırıya uğramış ya da elindeki verilerin hukuk kuralları dışında başka kişilere geçtiğini öğrenmişse bu durumu hızla KVKK’ya bildirmekle yükümlüdür. Ayrıca, kişisel verileri 3. şahısların eline geçen müşterilerini de bilgilendirmesi kurumsal itibarları açısından olumlu katkı sağlar. Örneğin, yakın geçmişte Türkiye’de hizmet veren bir e-ticaret şirketi siber saldırıya uğradıktan kısa bir süre sonra müşterilerine attığı mail, sosyal medya hesaplarından yayınladığı içerikle ilgili kişilerin hangi verilerinin çalındığını açıkladı. Saldırıda ilgili kişilerin, isim-soyisimleri, doğum tarihleri gibi verilerinin çalındığı ancak herkesin endişeyle sorduğu kredi kartı bilgilerinin çalınmadığını bildirdi. Kredi kartları bilgilerini farklı bir altyapı ile korumalı bir veri tabanında sakladıklarını bildiren e-ticaret şirketi, kredi kartının çalınmış olmasıyla ilgili endişe yaşayan müşterilerine bilgi vererek olası krizlerin önüne geçmiş oldu.
Şirketlerin verileri korumak için en önemli görevlerinden biri ağ güvenliğinin sağlanmasıdır. Kullandıkları uygulamaların güvenliği şirketlerin sorumluluğundadır. Siber güvenlik ihlalleri için erişim logları, ağ güvenliği, uygulama güvenliği, kullanıcı hesap yönetimi, veri kaybının önüne geçen yazılımların kullanılması, güvenlik duvarlarının oluşturulması, sızma ve saldırı tespitlerinin düzenli yapılması, güvenlik açıkları için çalışma yapılması ve güncel anti-virüs programlarının/sistemlerinin kullanılması şirketlerin sorumluluğu altındadır. Berqnet, işletme ölçeğine ve siber güvenlik ihtiyacına göre yasalara uygun olarak geliştirdiği Berqnet Firewall cihazları yardımıyla işletmelerin bu sorumluluklarını yerine getirmesine destek olur. Öncelikle siber saldırıları önlemekle yükümlü şirketler, kişisel verilerin nerede olduğunu bilmelidirler. Şirketin bu verileri nerede ve nasıl gizlediği, gizlemek için kullandığı algoritmalar ya da şifrelemeler önem arz eder. Bu algoritmalar veya şifrelemeler şirkette verilerin işlenmiş ve kolayca anlaşılır halde olmadan saklanmasını sağlar. Bu süreçle şirket, siber saldırılara karşı nasıl güvenlik önlemleri alacağını daha doğru belirlemiş olur. Ayrıca siber saldırıya uğramış ve verileri hacklenmiş şirket teknik olarak incelemesini, alanında uzman teknik ekiplerle yapmalıdır. Böylece durumun ne olduğu ve nasıl yol alınacağı daha doğru belirlenir.
Kişisel Verilerin Korunması Kanunu (KVKK), kişisel verileri başkası tarafından öğrenildiğinde zorluk yaşayacak kişilerin haklarını korumak için özel bir çalışma yapmıştır. Özel nitelikli kişisel verilerin daha sıkı şekilde korunması hedeflenir. Kanunla belirlenen ve tanımlanan özel nitelikli kişisel veriler, başkası tarafından öğrenildiği zaman ilgili kişiyi mağdur eden ya da ayrımcılık yaşamasına sebep olan nitelikteki veriler olarak tanımlanır. Kanunda sınırlı haller olarak tanımlanan sağlık ve cinsel hayatı kapsayan özel nitelikli kişisel veriler, sadece sır saklama yükümlülüğü olan yetkili kurum ve kuruluşlar aracılığıyla işlenebilir. Çünkü bu kapsamdaki veriler, kamu sağlığını ilgilendiren, finansmanın planlanması ve bunun gibi sağlık hizmetlerinin yönetimi için gerekli görülür. Bunun dışındakiler ilgili kişinin açık rızası ile işlenebilir. Bu süreçte de Kurulun yeterli önlem alması esastır. Kanunla belirlenen özel nitelikli kişisel veriler şu şekildedir;
İlgili kişiden alınan açık rıza ise “belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza” olarak tanımlanır.
Kişisel sağlık verileri Kanun’da yer alan özel nitelikli kişisel veriler kapsamındadır. Fiziksel ve ruhsal olarak her türlü sağlığı ilgilendiren ve ilgili kişiye sunulan sağlık hizmetlerine ait kişisel verilerdir. Örnek olarak, kişiye yapılan tahliller, aşılar, kişinin geçirdiği hastalıklar verilebilir.
Kişisel verilerin işlenmesi, verinin ilgili kişiden alınmasından başlayarak veriler üzerinde yapılan tüm işlemleri kapsar. Sadece ilgili kişiden veri alınması, sistemli ve düzenli bir şekilde sınıflandırılarak depolanması da kişisel veri işlenmesi işi olarak görülür.
Kişisel verilerin işlenmesi, kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade eder
Kişisel veriler otomatik ya da otomatik olmayan yollarla işlenebilir. İşlemci sahibi cihazlar aracılığıyla yazılım ve donanım kullanılarak hazırlanan veriler otomatik yollarla işlenen kişisel verilerdir. Manuel olarak, düzenli ve belirli bir sınıflandırmayla işlenen veriler de otomatik olmayan yollarla işlenen veriler olarak görülür.
Elektronik veya fiziki ortamda bir dosyalama sistemi olarak düşünülen veri kayıt sistemi, kişisel verilerin düzenli olarak işlenmesidir. Burada verileri sisteme işleyen kişi, ihtiyaçlarına göre ad-soyad bilgisine göre sınıflandırma yapabileceği gibi e-posta adreslerine ya da doğum tarihlerine göre de sınıflandırma yapabilir. Gelişi güzel bir not kâğıdına alınan ve bir sınıflandırmaya bağlı olmayan kişisel verilerin, Kanun kapsamına girmediği görülmektedir.
Kanun çerçevesinde açık rıza, kişinin sahip olduğu verinin işlenmesine, kendi isteği ile ya da karşı taraftan gelen istek üzerine, onay vermesi anlamını taşımaktadır. Açık rızanın bir diğer önemi de veri işleyene gerçekleştireceği fiil konusunda yol göstermesidir. Kişi açık rıza açıklaması ile aslında veri sorumlusuna kendi hukuksal değerine ilişkin verdiği kararı bildirmiş olmaktadır. Açık rıza, ilgili kişinin, işlenmesine izin verdiği verinin sınırlarını, kapsamını, gerçekleştirilme biçimini ve süresini de belirlemesini sağlayacaktır (https://www.kvkk.gov.tr/Icerik/2037/Acik-Riza-Alirken-Dikkat-Edilecek-Hususlar).
Açık rıza alınırken herhangi bir belirlenen şekle, forma vs. ihtiyaç yoktur. Bu onayın alınması için içerik bakımından ilgili kişiye sunulması gerekenler vardır. Açık rıza onay beyan formuyla da alınabilen rıza için öncelikle ilgili kişinin bilgilendirilmesi esastır. Belirli bir konuya ilişkin olması öncelikli olan açık rızanın alınmasında ilgili kişinin özgür iradesiyle bu onayı vermesi de olmazsa olmazlardandır. Günümüz dinamikleri ele alındığında kişisel verilerin işlenmesi için alınan açık rızalar, çağrı merkezleri aracılığıyla, dijital dünyada tıklanılan kutucuklarla da yani kısaca sözlü, elektronik ortamda ya da yazılı olarak verilebilir. Bu noktada veri sorumlusu ilgili kişiden bu rızayı alırken konuyu belirleyerek, kişiyi bilgilendirerek ve özgür iradeye saygılı olarak görevini yerine getirir. Veri sorumlusu, aynı zamanda onayın alınmasının ispat edilmesinde de sorumlu kişi olarak görülür. Açık rıza onayı veren kişi, bu kararından vazgeçme hakkına da sahiptir. Kişinin açık rızasını geri almak istediği andan itibaren ileriye dönük olarak işlem yapılabilmektedir.
Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olanlardır. Bu kişiler, gerçek kişiler olabileceği gibi, kamu kurumları, şirketler, dernekler veya vakıflar gibi tüzel kişiler de olabilecektir.
Veri sorumlusu, işlenen kişisel verilerin hukuka ve ilgili Kanun’a uygun olmasından, hukuka aykırı olarak bu verilere erişiminin engellenmesinden ve uygun muhafaza edilmesinden sorumludur. Bu sorumluluk, veri sorumlusuna süreçle ilgili her türlü denetim hakkını doğurur. Açık rızanın alınması, aydınlatma metni gibi süreçler veri sorumlusunun görevlerindendir.
Veri sorumlusu isterse verilerin işlenmesi için bir kurum/şirketle ya da belirlediği bir kişiye talimat vererek verilerin işlenmesini sağlayan veri işleyenlerle çalışabilir. Ancak bu durumda da verilerden, veri sorumlusu sorumludur. Veri sorumlusu aynı zamanda veri işleyen de olabilir. Örneğin, kendi şirketinde personel verilerini tutan kişi aynı zamanda müşterisi olan şirketler için de verileri işleyebilir.
Kişisel verilerin kanuni olmayan yollarla başka kişilerin eline geçmesi durumunda veri sorumlusu bunu Kurula bildirmekle yükümlüdür. Kurul ise uygun gördüğü şekilde kendi internet sitesinde ya da başka yollarla ilan eder. Ayrıca, Kurul bir ihlal tespit ederse bu konuyla ilgili sorunların giderilmesinde de veri sorumlusu görevlidir.
Kanun’un 11. maddesi çerçevesinde herkes, veri sorumlusuna başvurarak kendisiyle ilgili;
Kişilik hakkı ihlal edilen ilgili kişi, tazminat davası açma hakkına sahip olup bu kapsamda yargıya başvurabilir.
Kişisel Verilerin Korunması Kanunu, kişisel verilere ilişkin suçlar ve cezai yaptırımlar konusunda nasıl bir düzenleme yapmıştır?
Kişisel verilere ilişkin suçlar ve cezai yaptırımlar 5237 sayılı Türk Ceza Kanunu’nun ilgili hükümlerine (md. 135-140) atıf yapılmak suretiyle düzenlenmiştir. Ayrıca, kişisel verileri yok etmeyenlerin ise Türk Ceza Kanunu’nun 138. maddesine göre cezalandırılacağı hüküm altına alınmıştır (https://www.tbmm.gov.tr/sirasayi/donem26/yil01/ss117.pdf).