Ana sayfa - Son Sayı - KVKK Tüketiciler İçin Ne Anlama Geliyor? / Avukat. Nesibe Önder

KVKK Tüketiciler İçin Ne Anlama Geliyor? / Avukat. Nesibe Önder

Kişisel bilgi nedir, neleri kapsamaktadır? Mahrem diyebileceğimiz bilgiler bu kapsama girmekte midir?
Kişisel veri kavramının ne olduğunu ve nelerin kişisel veri olarak kabul edileceğini, 7 Nisan 2016 tarihinde yürürlüğe giren ve Türk Hukuku için oldukça önemli bir yasal düzenleme olan 6698 Sayılı Kişisel Verilerin Korunması Kanunu’ndaki tanımdan anlamaktayız. Buna göre kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir. Yani bizlere ait ad, soyad, telefon numarası, e-posta adresi, IBAN numarası gibi bilgiler kişisel veri kabul edilmektedir. Bir bilginin kişisel veri olup olmadığının tespitini de yine kanunda yer almakta olan tanımdan yapabilmekteyiz. Bu kapsamda öncelikle bir bilgi belirli bir gerçek kişiye aitse veya bir bilgi gerçek kişiyi belirlenebilir kılıyorsa kişisel veri olarak kabul edilecektir.
Mahrem bilgiler olarak kabul edeceğimiz, bizler için daha özel olan bilgiler ise, 6698 Sayılı Kanun’da “Özel Nitelikli Kişisel Veriler” başlığı altında düzenlenmiş olup sınırlı sayıda sayılmaktadır. Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veriler olarak kabul edilmekte. Özel nitelikli kişisel veri olarak kabul edilen bilgilere baktığımızda, öğrenilmesi halinde ilgili kişilerin mağduriyetine sebep olabilecek veya sosyal ve kültürel duruma göre ayrımcılığa maruz bırakabilecek nitelikteki bilgilerdir. Dolayısıyla hem sıradan olarak gördüğümüz hem de mahrem olarak idrak ettiğimiz, bizlere dair bilgiler, kişisel veri olarak kabul edilmektedir.
Kişisel verilerin korunması niçin önemli, korunmama durumlarının son kullanıcılara ne gibi yansımaları olabilir?
Kişisel Verilerin Korunması Kanunu’nun esas amacının, kişisel verilerin işlenme süreçlerini belirli bir disiplin altına alarak başta özel hayatın gizliliği olmak üzere temel hak ve özgürlüklerin korunma altına alınmasını sağlamak olduğunu görmekteyiz. Keza baktığımızda kişisel veriler, bizlere ilişkin, bizi biz yapan bilgilerdir. Kişisel verilerin korunması kültürünün oluşması, bu bilgilerin hukuka uygun şekilde işlenmesi ve korunması, insana değer veren hukuk düzeninin bir ürünüdür. Dolayısıyla kişisel verilerin korunması kültürü de insan hayatına, seçimlerine, kişiliğine önem veren bakışla oluşacak ve zamanla benimsenecektir.
Kişisel verilerimizin yeterince korunmaması, bizlere ait bilgilerin kontrolsüz bir şekilde yayılması anlamına gelmektedir ve kötü niyetli kişilerin bunları kullanması muhtemeldir. Son dönemde basında hayli yer tutan, insanlarla telefon yoluyla iletişime geçerek kendisini polis, hâkim, savcı gibi tanıtmak ve aradığı kişi hakkında edindiği bilgileri ikna aracı olarak kullanmak suretiyle işlenen dolandırıcılık suçları dahi, kişisel verilerimizin güvenliğinin sağlanmasının ne denli önemli olduğunu ortaya koymaktadır.
Kişisel veriler kime karşı korunuyor?
Kişisel Verilerin Korunması Kanunu aslında kişisel verilerin işlenmesini belirli bir prensibe bağlayarak, süreci disipline etmeyi amaçlamakta. Kanun kişisel verilerin işlenme şartlarını, uyulması gereken usulleri ve uyulmaması halinde yaptırımları düzenlemiş. Bu açıdan baktığımızda, kişisel verilerin, kişisel verileri hukuka uygun şekilde işlemeyen, korumayan, yükümlülük ve sorumluluklarını yerine getirmeyen veri sorumlusu gerçek ve tüzel kişilere karşı korunduğunu söyleyebiliriz.
Kanun son kullanıcılara hangi hakları getiriyor?
Haklardan bahsetmeden önce ilgili kişi kavramına değinmek faydalı olacaktır. Çünkü Kişisel Verilerin Korunması Kanunu ile tesis edilen haklar, ilgili kişilerin haklarıdır. Kanunda ilgili kişi, kişisel verisi işlenen gerçek kişi olarak tanımlanmaktadır ve Kanun bu kişilere birtakım haklar sağlamakta olup 11. maddesinde bu haklar tek tek sayılmaktadır. Bu madde uyarınca ilgili kişiler, kişisel veri işlenip işlenmediğini öğrenme, kişisel verileri işlenmişse buna ilişkin bilgi talep etme, kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme, kişisel verilerin silinmesini veya yok edilmesini isteme, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, işlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme, kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme haklarına sahipler.
Hukuka aykırı bir veri işleniyorsa ne yapabiliriz, kanunun ne gibi yaptırımları var? Şirketlerin bu kanuna yeteri kadar uyduğunu düşünüyor musunuz?
Öncelikle buradaki hukuki sürecin doğru yürütülmesi çok önemli. Kişisel verilerinin ihlal edildiğini düşünen ilgili kişiler, öncelikle kişisel verilerini ihlal ettiğini düşündüğü veri sorumlusu gerçek veya tüzel kişiye başvuruda bulunmalıdır. Yapılan başvurunun eksiksiz ve hukuka uygun olması, usule ilişkin zaman kaybı veya herhangi bir hak kaybının yaşanmaması adına önemli olduğundan, bu aşamanın konuya hâkim bir hukukçunun kontrolünde ilerlemesini önemli buluyorum. Başvurudan itibaren 30 günlük bir idari süre başlamaktadır. 30 günlük süre içinde başvuruda bulunulan gerçek veya tüzel kişinin ilgili kişinin başvurusunu yanıtlaması gerekmektedir. Bu süre için cevap alınamaması veya alınan cevabın gerçek durumu yansıtmadığının düşünülmesi halinde ise Kişisel Verileri Korunma Kurumu’na başvuruda bulunulması gerekmektedir.
Kişisel veri işlemekte olan veri sorumlusu kurum ve kuruluşların bu kanuna uyumlu olması günümüz itibariyle artık zorunludur ve bu konuda farkındalığın oturması önemlidir. Burada özellikle yöneticilerin ve şirketlerin KVKK danışmanlığı aldığı firmaların aktif bir rol oynaması gerekmekte. Çünkü yönetimin hassas olduğu şirketlerin KVKK uyum sürecini çok disiplinli ilerlettiğini görmekteyiz. Yönetimin hassasiyetinin çalışanlara da sirayet ettiğine ve aynı dikkatin gösterildiğine şahit olmaktayız. Bu hassasiyete ilaveten çalışılan danışman firmaların veya avukatların da aktif rol oynadığı uyumluluk süreçleri başarılı sonuçlar vermekte. Ancak maalesef hassasiyet göstermeyen, bu konuyu ikinci planda gören şirketler de mevcut.
Tek bir imza ile pek çok bilginin aynı anda rızasının alınması kanuna uygun bir durum mu? Bu durumla karşılaştığımızda ne yapabiliriz?
Bu duruma doktrinde “Battaniye Rıza” denmektedir. Öncelikle şunu söyleyebiliriz ki, tek bir imza ile birden fazla kişisel verinin pek çok amaçla kullanımına yönelik rıza alınması, hukuka uygun bir yöntem değildir. Zira açık rıza kavramının temel unsurlarının neler olduğunun ve dolayısıyla alınan rızanın hukuka uygun olma şartlarının neler olduğu kanunla belirlenmiştir. Açık rıza mutlaka bilgilendirmeye dayalı, belirli bir amaca yönelik olmalı ve ilgili kişilerin özgür iradeleri sakatlanmadan alınmış olmalıdır. Dolayısıyla hizmet şartına bağlanarak alınan veya tek bir imzayla birden fazla kişisel verilerin pek çok amaçla kullanımına dair alınan rızalar, söz konusu unsurları karşılamamaktadır. Bu şekilde alınan rızalar sebebiyle veri sorumlusu olarak kabul edilen gerçek ve tüzel kişilerin ilerleyen dönemde yaptırımlar ile karşı karşıya kalması muhtemeldir. Bu sebeple kullanılacak açık rıza metinlerinin, aydınlatma metinlerinin ve KVKK sürecine özgü diğer dokümanların, bu konuyu bilen bir hukukçu nazarından geçmesi, ileride herhangi bir sorun yaşamamak adına önemlidir.
Bireylerin kartvizitleri indekslemesi, kişilerin bilgilerini belli bir düzende saklaması gibi şeyler kanunun kapsamı içerisinde mi?
Bu durumda da kişisel veri işleme söz konusu olduğundan kanun kapsamına girmektedir. Çünkü kişisel veri işleme dediğimiz kavram, kişisel verilerin elde edilmesi, değiştirilmesi, silinmesi, yok edilmesi gibi kişisel veri üzerinde yapılacak her türlü işlemdir. Dolayısıyla kartvizitlerin indekslenmesi de bir kişisel veri elde etme yöntemi olduğundan kanun kapsamındadır.
İzinsiz SMS, telefonlar için neler yapılabilir? Halen izinsiz SMS ve telefonlar devam etmekte, yaptırımlar bu durumun önüne kesmede yeterli olmuyor mu?
Kişilere ürün ve hizmetleri pazarlamak adına sms, e-posta gönderimi için mutlaka ilgili kişilerden onay alınması gerekmektedir. Kişisel Verilerin Korunması Kanunu’ndan da önce yürürlükte olan E-Ticaret Kanunu gereği, bu tarz iletiler için mutlaka onay alınması şarttır. Bu konuya önem vermediği, yasal düzenlemeleri yeterince takip etmediği için müşteri datasını kullanamaz halde olan veya kullandığında hukuka aykırı davranmış olacak pek çok şirket var. Aslında bu yasal düzenlemeler titizlikle takip edildiğinde, işleyişlerde gerekli aksiyonlar alındığında reklam ve pazarlama yapılabilecek çok ciddi bir müşteri portföyü sağlanmış olur ki bu da şirketler için oldukça önemlidir. Bu şekilde aslında hem kişiler istemediği SMS, e-postalardan kurtarılmış hem de şirketler hukuki düzenlemelere uygun veriler elde etmiş olur. Burada yine, bu şirketleri yönlendiren ve yeni düzenlemeler hakkında bilgilendiren hukukçulara büyük rol düşmekte. Özellikle Kişisel Verileri Koruma Kurulu kararlarına baktığımızda da bu durumun son derece ciddiye alındığını ve uymayan veri sorumlularının, yani bahsettiğiniz şirketlerin yaptırımlarla karşı karşıya kaldığını görüyoruz. Cezaların azami haddinin de yüksek olduğu düşünüldüğünde bu kanunla birlikte caydırıcılık seviyesinin zamanla artacağını söyleyebiliriz.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak.