HUKUKİ MAKALELER
 Türkiye Barolar Birliği
 Yargıtay
 Danıştay
 Sayıştay
 İstanbul Barosu
 Adli Sicil ve İstatistik Genel Müdürlüğü

KİŞİSEL VERİLERİN KORUNMASI

           Özet:

6698 sayılı yasa, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek üzere kabul edilerek yürürlüğe konulmuştur. Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder.

 

1-Yasal düzenleme:

         Kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları 6698 sayılı yasa ile hukuk yaşamımıza girmiştir. Yasa, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişileri kapsar. 

         Gerçek kişi, belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradesiyle açıkladığı kişisel verilerinin kayıt altına alınmasına açıkça rıza gösterir ki bunu yasa açık rıza olarak tanımlamıştır. Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi içerir. Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem kişinin

rızası yoksa yasaya göre suçtur.  İnsanların isim, resim veya görüntü gibi vücut bütünlüklerine dair kişisel verilerinin, internet ortamında rızası olmaksızın paylaşılması, hukuka aykırılık, hatta bazı durumlarda suç da oluşturabilmektedir.

            Medeni yasanın kişiliğin korunmasını düzenleyen Md.24 şöyledir: “Hukuka aykırı olarak kişilik hakkına saldırılan kimse, hâkimden, saldırıda bulunanlara karşı korunmasını isteyebilir. Kişilik hakkı zedelenen kimsenin rızası, daha üstün nitelikte özel veya kamusal yarar ya da kanunun verdiği yetkinin kullanılması sebeplerinden biriyle haklı kılınmadıkça, kişilik haklarına yapılan her saldırı hukuka aykırıdır.” Yasaya göre herhangi bir hukuka uygunluk sebebi olmaksızın kişilik hakkına karşı yapılan her saldırının hukuka aykırı olduğunu ve bu saldırıya uğrayan kimsenin hâkimden bu özel kanun maddesi ile korunma isteyebilecektir. 

 

2-Kişisel verilerin işlenmesi:

         Kişisel veriler, ancak 6698 sayılı yasada ve diğer yasalarda öngörülen usul ve esaslara

 uygun olarak işlenebilir.

Kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması zorunludur:

* Hukuka ve dürüstlük kurallarına uygun olmalıdır.

* Doğru ve gerektiğinde güncel olması gerekir.

* Belirli, açık ve yasal amaçlar için işlenmelidir.

* İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olmalıdır.

* İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar

muhafaza edilmelidir.

Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez. Ancak bazı şartların gerçekleşmesi halinde kişinin rızası aranmaz. Bu şartları şöyle sıralayabiliriz.

*Yasalarda kişisel verilerin işlenmesi açıkça öngörülmekte ise,

* Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.

* Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması halinde,

* Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.

* İlgili kişinin kendisi tarafından alenileştirilmiş olması.

*Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.

* İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri

 sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması halinde kişinin

 rızası aranmaz.

 

3-Özel nitelikli kişisel verilerin işlenmesi:

Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir. Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır. Kişilerin sağlık ve cinsel hayat dışında kalan kişisel veriler, yasalarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbı teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.

 

4-Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesi:

            6698 sayılı yasa ve ilgili diğer yasa hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir. Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin diğer yasalarda yer alan hükümler saklıdır. Kişisel verilerin silinmesine, yok edilmesine veya anonim hâle getirilmesine ilişkin usul ve esaslar yönetmelikle düzenlenir.

 

5-Kişisel verilerin aktarılması:

            Kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz. Yasalarda kişisel verilerin aktarılması açıkça öngörülmüşse kişisel veriler aktarılabilir. Ayrıca fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması halinde de kişisel veriler aktarılabilir. Sözleşme yapılması veya sözleşme şartlarının ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesi gerekli olması halinde kişisel veriler aktarılabilir. Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması ve ilgili kişinin kendisi tarafından alenileştirilmiş olması halinde,  bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması halinde de ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun yasal menfaatleri için veri işlenmesinin zorunlu olması halinde kişisel veriler aktarılabilir. Ayrıca sağlık ve cinsel hayat dışındaki kişisel veriler, yasalarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Yine sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbı teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.

 

 6-Kişisel verilerin yurt dışına aktarılması:

            Kişisel veriler, ilgili kişinin açık rızası olmadan yurt dışına aktarılamaz. Ancak kişisel verilerin aktarılacağı ülkede yeterli koruma önlemleri varsa yukarıda açıkladığımız kişisel veriler yurt dışına da aktarılabilir. Yeterli korumanın bulunmaması durumunda Türkiye'deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir. Yeterli korumanın bulunmaması halinde Türkiye'deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve kurulun izninin bulunması kaydıyla ilgili kişinin kişisel verileri açık rızası aranmaksızın yurt dışına aktarılabilir.

            Kişisel verileri koruma kurulu, yabancı ülkede yeterli koruma bulunup bulunmadığına kişisel verilerin aktarılıp aktarılmayacağını Türkiye'nin taraf olduğu uluslararası sözleşmeleri,

Kişisel veri talep eden ülke ile Türkiye arasında veri aktarımına ilişkin karşılıklılık durumunu,

Her somut kişisel veri aktarımına ilişkin olarak, kişisel verinin niteliği ile işlenme amaç ve süresini, kişisel verinin aktarılacağı ülkenin konuyla ilgili mevzuatı ve uygulamasını, kişisel verinin aktarılacağı ülkede bulunan veri sorumlusu tarafından taahhüt edilen önlemleri,

Değerlendirmek ve ihtiyaç duyması hâlinde, ilgili kurum ve kuruluşların görüşünü de almak suretiyle karar verir. Kişisel veriler, uluslararası sözleşme hükümleri saklı kalmak üzere, Türkiye'nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, ancak ilgili kamu kurum veya kuruluşunun görüşü alınarak Kurulun izniyle yurt dışına aktarılabilir.

 

7-Haklar ve yükümlülükler:

            Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere;

* Veri sorumlusunun ve varsa temsilcisinin kimliği ile ilgili bilgileri,

* Kişisel verilerin hangi amaçla işleneceği konusunda bilgi vermek,

* İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceğini açıklayacak,

* Kişisel veri toplamanın yöntemi ve hukuki sebebi hakkında bilgi vermekle

yükümlüdür.

 

8- İlgili kişinin hakları:

Herkes, veri sorumlusuna başvurarak kendisiyle ilgili;

* Kişisel veri işlenip işlenmediğini öğrenme,

* Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,

* Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp

 kullanılmadığını öğrenme,

* Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,

* Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini

 isteme,

* Kişisel verilerin silinmesini veya yok edilmesini isteme ve yapılan işlemlerin, kişisel

 verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,

* İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle

 kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,

* Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde

zararın giderilmesini talep etme, haklarına sahiptir.

 

9- Veri güvenliğine ilişkin yükümlülükler:

            Veri sorumlusu;

* Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,

* Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,

* Kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır,

* Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek için tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur.

* Veri sorumlusu, kendi kurum veya kuruluşunda, bu yasa hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır.

* Veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri 6698 sayılı yasa hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder.

* İşlenen kişisel verilerin yasal olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve kişisel verileri işleme kuruluna bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.

10-Başvuru, şikâyet ve veri sorumluları sicili:

a-Veri sorumlusuna başvuru:

İlgili kişi, bu6698 sayılı yasanın uygulanmasıyla ilgili taleplerini yazılı olarak veya Kurulun belirleyeceği diğer yöntemlerle veri sorumlusuna iletir. Veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde, kurulca belirlenen tarifedeki ücret alınabilir. Veri sorumlusu talebi kabul eder veya gerekçesini açıklayarak reddeder ve cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir. Başvuruda yer alan talep kabul edilirse veri sorumlusunca gereği yerine getirilir.

b-Kurula şikâyet:

Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; ilgili kişi, veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve her hâlde başvuru tarihinden itibaren altmış gün içinde Kurula şikâyette bulunabilir. Başvuru yolu tüketilmeden şikâyet yoluna başvurulamaz. Kişilik hakları ihlal edilenler, genel hükümlere göre tazminat davası açabilir.

 

11-İncelemenin usul ve esasları:

            Kurul, şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen, görev alanına giren konularda gerekli incelemeyi yapar. 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair yasaya göre: (Md.6 ) belirtilen şartları taşımayan ihbar veya şikâyetler incelemeye alınmaz.

Devlet sırrı niteliğindeki bilgi ve belgeler hariç; veri sorumlusu, Kurulun, inceleme konusuyla ilgili istemiş olduğu bilgi ve belgeleri on beş gün içinde göndermek ve gerektiğinde yerinde inceleme yapılmasına imkân sağlamak zorundadır. Şikâyet üzerine Kurul, talebi inceleyerek ilgililere bir cevap verir. Şikâyet tarihinden itibaren altmış gün içinde cevap verilmezse talep reddedilmiş sayılır.

Şikâyet üzerine veya resen yapılan inceleme sonucunda, ihlalin varlığının anlaşılması hâlinde Kurul, tespit ettiği hukuka aykırılıkların veri sorumlusu tarafından giderilmesine karar vererek ilgililere tebliğ eder. Bu karar, tebliğden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirilir. Şikâyet üzerine veya resen yapılan inceleme sonucunda, ihlalin yaygın olduğunun tespit edilmesi hâlinde Kurul, bu konuda ilke kararı alır ve bu kararı yayımlar. Kurul, ilke kararı almadan önce ihtiyaç duyması hâlinde, ilgili kurum ve kuruluşların görüşlerini de alabilir. Kurul, telafisi güç veya imkânsız zararların doğması ve açıkça hukuka aykırılık olması hâlinde, veri işlenmesinin veya verinin yurt dışına aktarılmasının durdurulmasına karar verebilir.

 

12-Sonuç:

            Kişisel verilerin işlenmesine ilişkin genel ilkeler 6698 sayılı kişisel verilerin korunması yasası Md. 4 te düzenlenmiştir. Yasanın bu maddesi uyarınca kişisel verilerin işlenmesinin hukuka ve dürüstlük kuralına uygun olması, doğru ve güncel olması,  belirli, açık ve yasal amaçlar için işlenmeli, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olmalı, İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar saklanmalıdır.

İdari dava daireleri genel kurulu 14.09.2020 tarihli kararında: (2020/403 E.)

 Hükümlü ve tutuklular tarafından herhangi bir sakınca içermeyen, tamamen özel nitelikte olan veya önleyici, koruyucu önlemler açısından herhangi bir değer taşımayan, kişisel mahremiyet kapsamında bulunan mektup ve belgelerin süresiz şekilde elektronik ortama kaydedilmesini hukuka aykırı bularak idari işlemin iptaline karar vermiştir.

Kaynakça:

6698 sayılı yasa.

YAKLAŞIM DERGİSİ 2022 ARALIK SAYISI

 

Avukat Erol Türk

[email protected]
3E HUKUK BÜROSU © 2013
Tasarım&Programlama .arenaWeb		 Anasayfa Hakkımızda Avukatlar Faaliyet Alanlarımız İletişim