Kişisel verinin sadece bireyin adı-soyadı gibi kesin teşhis sağlayan bilgiler değil, aynı zamanda kişinin akli, psikolojik, ekonomik vs özelliklerine ilişkin veriler olduğunu ifade eden Daphne Hukuk ve Danışmanlık Avukatlarından Av. Melis Baygör Yeral ve Av. Zübeyde Coşkun, kişisel verilerin aykırı işlenmesi halinde kanunda çok ağır cezaların olduğunu dile getirdiler.
Haber-Gizem Konucu
Daphne Hukuk ve Danışmanlık Avukatlarından Av. Melis Baygör Yeral ve Av. Zübeyde Coşkun kişisel verileri koruma konusunda gazetecilere bilgi verdi. Kişisel verinin yalnızca bireyin adı, soyadı, doğum tarihi gibi kesin teşhis bilgilerini değil aynı zamanda bireyin akli, psikolojik, fiziki, kültürel, ekonomik, sosyal vs. özelliklerine ilişkin veriler olduğunu dile getiren Av. Melis Baygör Yeral, “Kanundaki tanımıyla; kimliği belirli ya da belirlenebilir nitelikteki gerçek bir kişiye ilişkin her türlü bilgidir. Kişisel veriden söz edebilmek için, verinin bir gerçek kişiye ilişkin olması ve bu kişinin de belirli ya da belirlenebilir nitelikte olması gerekmektedir. Bunu zihninizde somutlaştırmak için kanunun gerekçesine bakmak yeterli olacaktır. Gerekçeye göre kişisel veri “Sadece bireyin adı-soyadı, doğum tarihi ve doğum yeri gibi onun kesin teşhisini sağlayan bilgiler değil aynı zamanda kişinin akli, psikolojik, fiziki, kültürel, ekonomik, sosyal vs. özelliklerine ilişkin veriler olduğu ifade edilmiştir. İsim, telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, genetik bilgiler gibi veriler dolaylı da olsa kişiyi belirlenebilir kılma özellikleri nedeniyle kişisel verilerdir” açıklamalarında bulundu.
“TÜRKİYE SÖZLEŞMEYİ 1981 YILINDA İMZALAMIŞTIR”
Kişisel verilerin korunması ile ilgili kanun tasarısının Türkiye’de ilk defa 2007 yılında Avrupa Birliği ile uyum kapsamında hazırlandığını söyleyen Av. Yeral, “6698 sayılı Kişisel Verilerin Korunması Kanunu, önceki metinler üzerinde yapılan çeşitli değişikliklerle 18 Ocak 2016 tarihinde TBMM Başkanlığı’na sevk edilmiştir ve 24 Mart 2016 tarihinde TBMM Genel Kurulu tarafından kabul edilerek kanunlaşmış, 7 Nisan 2016 tarih ve 29677 sayılı Resmi Gazete’de yayımlanarak yürürlüğe girmiştir. Halbuki, Avrupa Konseyi’nin 108 Sayılı Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi 28 Ocak 1981 tarihinde kabul edilmiş, 1985 yılında yürürlüğe girmiştir. Türkiye, sözleşmeyi 1981 yılında imzalamasına rağmen iç hukukta yürürlüğe girmesi 2016 yılında gerçekleşmiştir” dedi.
“BAZI GEÇİŞ HÜKÜMLERİ DÜZENLENDİ”
Kişisel Verilerin Korunması Kanununun 07 Nisan 2016 tarihli Resmi Gazete’de yayımlanarak yürürlüğe girdiğini belirten Av. Yeral, “Kanuna tabi olacakların uyum sağlayabilmesi açısından bazı geçiş hükümleri düzenlendi. Veri Sorumlularının, kanunun yayımı tarihinden önce işledikleri Kişisel Verileri, yayımı tarihinden itibaren 2 yıl içinde Kanun hükümlerine uygun hale getirmekle yükümlü olduklarına ilişkin bir düzenlemeye yer verildi. Veri Sorumluları, Kurul tarafından belirlenen ve ilan edilen süre içinde Veri Sorumluları Siciline kayıt yaptırmak zorundadır” şeklinde konuştu.
KİMLER KAYIT YAPMAK ZORUNDA
Veri Sorumluları Siciline kimlerin kayıt yaptırmak zorunda olduğu hakkında bilgi veren Av. Yeral, “Yıllık çalışan sayısı 50'den çok veya yıllık mali bilanço toplamı 25 milyon TL'den çok olan gerçek ve tüzel kişi veri sorumluları içinyıllık çalışan sayısı 50'den az ve yıllık mali bilanço toplamı 25 milyon TL'den az olmakla birlikte ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumluları için, kamu kurum ve kuruluşlarındaki veri sorumluları için sicile kayıt yükümlülüğü getirilmiştir ve Kişisel Verilerin Korunması Kanunu’na tam uyumlu hale gelmeleri gerekmektedir” dedi. Yıllık çalışan sayısı 50'den az ve yıllık mali bilanço toplamı 25 milyon TL'den az olmakla birlikte ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişiler hakkında örnek veren Yeral, bu kapsamda eczacılar, diş hekimleri, diyetisyenler, doktorlar Veri Sorumluları Siciline kayıt yaptırmak zorunda olduğunu belirtti. Yeral, “Kişisel Veri Envanteri hazırlama, sözleşmelerin kanuna uyumlu hale getirilmesi, kişisel veri işleme, depolama, saklama ve imha politikalarının hazırlanması, gizlilik politikasının hazırlanması, aydınlatma yükümlülüğünün yerine getirilmesi, gerekli hallerde açık rıza alınması, veri güvenliğinin sağlanması için gerekli tedbirlerin alınması, başvuru, şikayet, itiraz süreçlerinin oluşturulması, kişisel verilerin korunmasına ilişkin farkındalık eğitimlerinin verilmesi gibi daha birçok yükümlülüğü bu kapsamda sıralayabiliriz. Bu sayılan yükümlülükler yukarıda kriterlerini saydığımız veri sorumlularının yanı sıra kişisel veri işleyen tüm veri sorumluları için geçerlidir. Örneklemek gerekirse çalışan sayısına ve yıllık mali bilanço toplamına bakılmaksızın kişisel veri işleyen, depolayan tüm işletmeler veya gerçek kişiler bahsi geçen kanunun getirdiği yükümlülükleri yerine getirmek zorundadır” şeklinde konuştu.
“BİYOMETRİK VERİ İŞLENEREK YAPILMASI UYGUN DEĞİLDİR”
Kişi hakkında ayrımcılık yapılmasına veya mağduriyete neden olabilecek nitelikteki verilerin, diğer kişisel verilere göre daha sıkı şekilde korunması gerektiğine değinen Av. Zübeyde Coşkun ise, “Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileridir. Genelde iş yerlerinde çalışanların giriş-çıkış saatlerinin belirlenmesi için parmak izi gibi uygulamalar kullanılmaktadır. Bunun başkaca yöntemler ile yapılması mümkünken biyometrik veri işlenerek yapılması uygun değildir. Örnek vermek gerekirse 300 çalışanı olan bir iş yerinde biyometrik veri ile denetim sağlanması yerine, bu giriş çıkış kaydından sorumlu olacak bir görevli çalıştırılması ve kayıtları bu kişinin tutmasını iş yerlerine öneriyoruz. Açık rıza ile çalışanı aydınlatıp bu konuda onay almaktan çok daha ölçülü bir yol olduğu kanısındayız” diye belirtti.
“AÇIK RIZA TORBA RIZA HALİNDE ALINMAMALIDIR”
Açık rıza ile ilgili konuşan Av. Coşkun, “Kişisel Verilerin Korunması Kanunu’nun 3. Maddesinde ‘Belirli bir konuya ilişkin bilgilendirilmeye dayanan ve özgür irade ile açıklanan rızadır’ diyerek, bu tanımın açık rıza ile ilgili üç unsuru barındırdığına dikkat çekti. Coşkun, “Belirli bir konuya ilişkin olması, rızanın bilgilendirmeye dayanması ve özgür irade ile açıklanmış olması gerekmektedir. Açıklamak gerekirse, Açık rıza torba rıza halinde alınmamalıdır. Uygulamada karşımıza kişisel verilerimin işlenmesini kabul ediyorum şeklinde onay mesajı geliyor. Bu tarz bir onay kesinlikle yasaya aykırıdır. Aynı zamanda açık rızası alınacak olan kişinin özgür irade ile hareket edebilmesi için mutlaka rıza formunda kendisine alternatif sunulması gerektiğini öneriyoruz” açıklamalarında bulundu.
“İLGİLİ KİŞİ İLGİLİ TALEPLERİNİ VERİ SORUMLUSUNA İLETİR”
Kişinin veri sorumlusundan (kişisel verisini işleyenden) talep edebilecekleri hakkında konuşan Av. Coşkun, “Herkes, veri sorumlusuna başvurarak kendisiyle ilgili; Kişisel veri işlenip işlenmediğini öğrenme, kişisel verileri işlenmişse buna ilişkin bilgi talep etme, kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, kanunda belirtilen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme, kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme haklarına sahiptir. İlgili kişi ilgili taleplerini veri sorumlusuna iletir” diyerek veri sorumlusu başvuruda yer alan taleplerini, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlanacağını belirtti.
“ÖNCELİKLE BAŞVURU YOLUNUN TÜKETİLMESİ GEREKİR”
Veri Sorumlusuna başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; ilgili kişi (kişisel verisi işlenen kişi), veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve herhâlde başvuru tarihinden itibaren altmış gün içinde Kurula şikâyette bulunabileceğini belirten Av. Coşkun, öncelikle başvuru yolunun tüketilmesi gerektiğini söyledi. Kişisel Verilerin Hukuka aykırı işlenmesi, devri halinde yaptırımları hakkında bilgi veren Coşkun, “Bu konuda kanunda çok ağır para cezaları düzenlenmiştir. Aydınlatma yükümlülüğünün ihlali için 5 bin-100 bin TL para cezası öngörülen Kanun’da, veri güvenliği yükümlülüğünün ihlali için 15 bin-1 milyon TL para cezası verilebileceği hükmü yer alıyor. Kişisel Verileri Koruma Kurulu kararlarına muhalefet durumunda 25 bin-1 milyon TL, Veri sorumluları siciline kayıt ve bildirim yükümlülüğüne aykırılık durumunda ise 20 bin-1 milyon TL arasında idari para cezası ödeme durumunda kalınacak. Ve yine Türk Ceza Kanunu’nun 135-140. Maddeleri arasında bunlara ilişkin hapis cezaları düzenlenmiştir” açıklamalarında bulundu.
|
Yorumlar (0)
