A. Giriş
Kişisel verilerin korunması hukuku, Türk mevzuatında henüz yeni sayılmasına karşın devlet idarelerince son yıllarda etkin olarak uygulanmaktadır. Bu husus kapsamında Türkiye’de 1995 yılında yürürlüğe giren Kişisel Verilerin Korunması Yönergesi ile birlikte AB’nin ardından ülkemizde de kişisel verilerin korunması önem kazanmıştır. Daha kapsamlı bir düzenleme ve Avrupa Birliği’ne giriş için uyum kapsamında ise 2016 yılında Kişisel Verileri Koruma Kanunu (“Kanun”) yürürlüğe girmiştir.[1] Akabinde 30 Ocak 2017 tarihinde ise Kişisel Verileri Koruma Kurumu resmen kurulmuştur.
Türkiye, Kişisel Verilerin Korunması Hukuku’nu tabiri caizse ithal olarak Avrupa’dan almıştır. Bu husus kapsamında 28 Ocak 1981 tarihinde “108 Sayılı Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi” [2]KVKH bağlamında bağlayıcılığı bulunan ilk sözleşmedir. İşbu sözleşmenin amacı kişisel verilerin korunması hakkını özel hayatın gizliliğinden ayrı bir hak olarak değerlendirmek ve ülkelere konu ile ilgili düzenleme yapma yükümlülüğü getirmektir. İşbu bilgi bültenimizde ilgili Kanun uyarınca ilgili kişi başvurusu ve şikayet usullerine değinilecektir.
B. Kişisel Veri Tanımı
6698 sayılı Kişisel Verileri Koruma Kanunu uyarınca kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak tanımlanmıştır. İlgili Kanunda ise kişisel veriler özel nitelikli ve genel nitelikli kişisel veriler olmak üzere ikiye ayrılmıştır;
- Özel Nitelikli Kişisel Veriler: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.
İşbu özel nitelikli veriler ilgili Kanunda tahdidi sayılmış olup bunun dışında özel nitelikli veri belirlenemez.
- Genel Nitelikli Kişisel Veriler: Gerçek kişiye ait özel nitelikli verilerin haricindeki verilerdir.
B.1 Kişisel Verilerin Korunması Hukuku’nun Aktörleri
Kişisel verilerin korunması hukukunun aktörleri ilgili kişi, veri sorumlusu ve veri işleyendir. Genellikle uygulamada veri sorumlusu ve veri işleyen aynı kişilerdir. Kısaca aktörleri tanımlayacak olursak ilgili kişi, kişisel verileri işlenen gerçek kişidir. Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder. Veri işleyen ise, veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen, veri sorumlusunun organizasyonu dışındaki gerçek veya tüzel kişiler olarak tanımlanmaktadır.
C. İlgili Kişinin Başvuru Hakkı
İlgili kişinin veri sorumlusuna karşı Kanundan doğan birtakım hakları mevcuttur. İlgili kişi, ileri sürebileceği talepleri Kanunun 13. maddesi uyarınca yazılı veya kurulun belirleyeceği diğer yöntemlerle iletebilir. Aşağıda belirtilecek talep konularına cevap, veri sorumlusu tarafından en kısa sürede ve en geç 30 gün içinde sonuçlandırması gerekir. İşlemin bir maliyeti olması halinde kurulca belirlenen ücret tarifesi esas alınmaktadır. Veri sorumlusu talebi kabul ederse veya gerekçesini açıklayarak reddederse, cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirmekle yükümlüdür. Başvuruda yer alan talebin kabul edilmesi hâlinde veri sorumlusunca gereği yerine getirilir. Başvurunun veri sorumlusunun hatasından kaynaklanması hâlinde alınan ücret ilgiliye iade edilir.
Kanun, kişisel verilerin korunması kapsamındaki başvurular için kademeli bir başvuru usulü öngörmüştür. İlgili kişilerin, sahip oldukları hakları kullanabilmeleri için öncelikle veri sorumlusuna başvurmaları zorunludur. Bu yol tüketilmeden Kurula şikâyet yoluna gidilememektedir.
C.1. Başvuruda Bulunması Gereken Zorunlu Unsurlar
Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliği’nde[3] ilgili kişinin yukarıda izah edilen başvuru hakkını kullanırken belirli unsurların olması zorunlu koşulmuştur.
Başvuruda bulunması gereken zorunlu unsurlar;
o Başvurucunun ad-soyadı ve başvuru yazılı ise imza,
o T.C. vatandaşı için T.C. kimlik numarası, yabancı ise pasaport numarası,
o Tebligata esas yerleşim yeri veya iş yeri adresi,
o Varsa bildirime esas elektronik posta adresi, telefon ve faks numarası,
o Talep konusudur.
C.2. Başvuruda Talep Konusu Edilebilecek Hususlar
İlgili kişinin başvurusunda talep konusu edilebilecek hususlar ilgili kişinin hakları olarak Kanunun 11. maddesinde tahdidi olarak sayılmıştır;
o Kendileriyle ilgili kişisel verilerin işlenip işlenmediğini öğrenmek,
o İşlenmişse bunları talep etmek,
o Verinin muhtevasının eksik veya yanlış olması halinde bunların düzeltilmesini,
o Hukuka aykırı olması halinde ise silinmesini,
o Yok edilmesini ve buna göre yapılacak işlemlerin verilerin açıklandığı üçüncü kişilere bildirilmesini,
o Verilerin kanuna aykırı olarak işlenmesi sebebiyle zararlarının giderilmesini talep edebilir.
D. İlgili Kişinin Şikayet Hakkı
Kurul, şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen, görev alanına giren konularda gerekli incelemeyi yapar. Yukarıda izah edilen üzere ilgili kişi veri sorumlusuna karşı başvuru hakkını kullandıktan sonra veri sorumlusu tarafından 30 gün içinde cevap verilmez, verilen cevap yetersiz bulunur veya talep reddedilirse ilgili kişinin Kurula şikayet hakkı doğar. Kişilik haklarına karşı ihlal varsa tazminat hakkı saklı tutulmuştur. Devlet sırrı niteliğindeki belgeler hariç veri sorumlusu kurulun istediği belgeleri 15 gün içinde göndermek zorundadır.
Kurul hukuka aykırılık tespit ederse veri sorumlusundan bunun giderilmesine karar vererek ilgililere tebliğ eder bu karar tebliğden itibaren gecikmeksizin 30 gün içinde yerine getirilir. Şikayet tarihinden itibaren 60 gün içinde Kurum tarafından ilgilere herhangi bir cevap verilmezse talebin reddedilmiş sayılacağı hükme bağlanmıştır. Buna göre şikayet tarihinden itibaren 60 günlük sürenin geçmesiyle kurul kararlarına karşı idari yargıda iptal davası açılabilir. Kurul, telafisi güç veya imkânsız zararların doğması ve açıkça hukuka aykırılık olması hâlinde, veri işlenmesinin veya verinin yurt dışına aktarılmasının durdurulmasına karar verebilir. Bu husus idare tarafından bir çeşit ihtiyati tedbir kararı uygulanmasına benzetilebilir.
E. Sonuç
Kişisel Verilerin Korunması hukuku, Türk Hukuku’na yeni adapte olmuş henüz bakir bir alan olmasına rağmen son yıllardaki gelişmeler sevindiricidir. Özellikle büyük sermaye şirketlerinin umarsızca verileri alıp işlemesi, grup şirketleri içinde dolaşıma sokması, yurt dışına çıkarması vb. faaliyetleri özelinde ilgili Kanun kapsamında bir koruma sağlanmıştır. Uygulanan idari para cezaları ve gerçek kişilerin Türk Ceza Kanunun’da kişisel verilere ilişkin hükümler kapsamında karşı karşıya olduğu hapis cezaları bakımından cezalar yeterli seviye de olmasa da bu konuda da yıllar içerisinde gelişim sağlanacağını umuyoruz.
Kişisel verilerin hukuki niteliği, kişisel verilerin hukuki niteliğinin tespit edilmesi, verilerin korunmasına ilişkin rejimin belirlenmesi açısından önemlidir. Kişisel verilerin hukuki niteliği konusunda üç ana görüş başlıca şunlardır; mülkiyet hakkı görüşü, fikri mülkiyet hakkı görüşü, insan hakkı görüşüdür. Bu üç husus da AİHS kapsamında korunan haklar olup mutlak haklardandır. Dolayısıyla bu vazgeçilmez, mutlak hakların korunması bakımından Kişisel Verilerin Korunması Kanunu kapsamında daha geniş ve kazuistik düzenlemeler gerektiği açıktır.
Saygılarımızla,
Özhelvacı & Partners.
Komentáre