ANKARA – ALİ KEMAL AKAN
Kişisel Verilerin Korunması Kanunu‘nun uygulayıcısı olarak görev yapacak Kişisel Verileri Koruma Kurumu (KVKK), alışverişlerin kişiselleştiği, şirketler ve kurumların müşterilerinden daha fazla bilgi istediği bugünlerde gelişigüzel ve kanuna aykırı olarak veri işlenmesine ilişkin başvuruları değerlendirecek.
Bir kişiye ait her türlü veriyi kanuna aykırı olarak işleyen ve bu verileri korumayan şirketler ile online hizmet sağlayanlar, 1 milyon liraya kadar para cezasıyla karşı karşıya kalabilecek.
Türkiye’de giderek artan veri temelli ekonomi, kişisel verilerin farklı amaçlarla kullanılmasını yaygınlaştırdı. Şirketler ve şahısların talep ettiği verilerin güvenliği önemli bir sorun olarak ortaya çıktı.
2010’daki Anayasa değişikliğinde eklenen bir fıkra ile kişisel verilerin korunması hakkı ilk kez anayasal bağlamda düzenlenen temel bir hak statüsüne kavuştu. Kişisel verilerin korunmasına ilişkin esas ve usuller de 7 Nisan 2016’da Resmi Gazete’de yayımlanarak yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu ile düzenlendi.
Türkiye’de kişisel verilerin korunmasına ilişkin kanunun uygulanmasını sağlamak, bu kanun çerçevesinde düzenleyici işlem yapmak, Türkiye’deki veri işlemeyi disiplin altına almak ya da düzenlemek için 2016’da bağımsız, kamu tüzel kişiliğini haiz, idari ve mali özerkliğe sahip yeni bir kurum oluşturuldu.
Buna göre, Başbakanlıkla ilişkili KVKK, Türkiye’deki kişisel verilerin korunmasını sağlayacak.
“Kişisel verilerin güvenliğinin sağlanması gerekir”
KVKK Başkanı Faruk Bilir, AA muhabirinin sorularını yanıtladı ve kurumun faaliyetlerine ilişkin bilgiler verdi. Kişisel verinin depolanması, muhafaza edilmesi, aktarılması gibi veri işleme faaliyetlerinin Kanunun genel ilkelerine ve veri işleme şartlarına bağlı olarak yapılabileceğini belirten Bilir, kişisel verilerin işlenmesinin yanı sıra güvenliğinin de sağlanması gerektiğini ifade etti.
Bu kapsamda çıkarılan kanunun, temel hak ve hürriyetlerin korunmasını, Türkiye’de veri işlemenin düzenlenmesi ve Türkiye’de veri işleyen gerçek ve tüzel kişilerin uyacakları usul ve esasların belirlenmesini amaçladığını aktaran Bilir, Kişisel Verileri Koruma Kurulunun da genel olarak bu kanunun uygulanmasını sağlamak, kanun çerçevesinde düzenleyici işlem yapmak, veri işlenmesinin kanuna uygun gerçekleştirilmesini sağlamak için çalıştığını söyledi.
“Kişisel verilerin işlenmesinde ‘açık rıza’ önemli”
Kanunda belirtilen genel ilkelere ve kişisel veri işleme şartlarına uyularak kişisel verilerin işlenebileceğinin altını çizen Bilir, şöyle devam etti:
“Kanunda öngörülen genel ilkelerden birisi de amacın belirli ve ölçülü olmasıdır. Biz burada minimum veri toplama ilkesini benimsiyoruz. Gerekli olan veriler kanuna uygun olarak işlenebilir. Tabii bu verilerin güvenliğinin sağlanması da önemlidir. Kanun, veri güvenliği ihlali halinde bazı yaptırımlar öngörmüştür. Kurul olarak veri güvenliğinin nasıl sağlanacağına ilişkin ‘Kişisel Veri Güvenliği Rehberi’ yayımladık. Dolayısıyla ‘Kişisel Veri Güvenliği Rehberi’ sektöre yol gösterici niteliktedir.”
Hazırladıkları çeşitli rehberlerle yön gösterici olmaya çalıştıklarını dile getiren Bilir, kişisel verilerin işlenmesinde “açık rıza”nın önemi üstünde durduklarını söyledi.
“Açık rıza, bir hizmetten yararlanmanın ön şartı yapılamaz”
Bilir, bu şekildeki bir rızanın, “battaniye rıza” olarak kabul edilebileceğine ve kanundaki açık rızayı karşılamadığına dikkat çekti.
“Açık rızanın, bir hizmetten yararlanmanın ön şartı da yapılamayacağı” uyarısında bulunan Bilir, “Eğer bu konuda açık rızanızı vermezseniz bu hizmetten yararlanamazsınız” veya elektronik ortamdaki alışverişlerde, “Üye olmazsanız alışveriş yapamazsınız” şeklinde bir rıza alma yönteminin açık rıza kavramını karşılayamayacağını düşündüğünü aktardı.
Bilir, şunları söyledi:
“Örneğin, online alışveriş yapmak için bir siteye giriş yaptığınızda, alışverişe başlamadan önce tam olarak satın alma işlemi yapacağınız da kesin olmaksızın, sizden sitelerine üye olunması ve üye olunurken de satım sözleşmesi için gerekli olmayandan daha fazla bilgi istenmesi, aksi halde alışveriş yapamama durumunda kalınması halinde, açık rıza özgür irade ile verilmemiş olacaktır. Çünkü belirli bir hizmetten yararlanabilmeniz için gerekli olmayan kişisel verilerinizin verilmesi noktasında aslında bir nevi zorlanılmış oluyorsunuz.”
1 milyon liraya kadar para cezası
Bilir, “Başta özel hayatın gizliliği olmak üzere, kişisel verilerin korunması amacıyla faaliyetlerimize devam edeceğiz. Kişisel verisi işlenen kişilerin şikayet ve ihbar başvurularını değerlendireceğiz. Bu kapsamda kişisel verilerin korunmasıyla ilgili ilke kararları alabiliriz.” dedi.
Kişilerin temel hak ve özgürlüklerini korumak amacıyla faaliyetlerine devam edeceklerini dile getiren Bilir, kişisel verilerin korunmasını, Türkiye’de bir kültür olarak yerleştirmek gerektiğini savundu.
KVKK Başkanı Bilir, söz konusu çalışmalarında dünyadaki iyi uygulama örneklerinden de faydalandıklarını belirtti.
Bilir, verinin ekonomik katma değer olarak görüldüğü bu dönemde kişisel verilerin korunması hakkının ihlaline ilişkin verilmesi öngörülen 1 milyon liraya kadar para cezasının ne derecede etkili olacağına ilişkin ise şunları kaydetti:
“Bu, kanunda kabahat olarak düzenlenmiş. Asgari ve azami para cezası olarak belirli bir sınır aralığı belirtilmiş. 6698 sayılı Kanun’un 18. maddesinde idari para cezaları öngörülmüştür. Elbette bu cezalarda amaç caydırıcılıktır. Ben bu cezaların caydırıcı olacağını düşünüyorum. Aynı zamanda hukuka aykırı bir veri işleme, Türk Ceza Kanunu kapsamında suç olarak düzenlenmiştir. Buna mahkemelerimiz karar verecek. Bize başvuru yapılması, genel hükümler çerçevesinde mahkemelere gidilmesini önlemiyor. Ancak ortada suç varsa Türk Ceza Hukuku kapsamında süreç işleyecektir. Dolayısıyla biz de bir kurum olarak, bize intikal eden konularla ilgili eğer ortada bir suç şüphesinin varlığı söz konusu ise savcılığa ihbarda bulunabiliyoruz ya da ilgili kişileri savcılığa suç duyurusunda bulunabilecekleri yönünde yönlendiriyoruz.”
Kişisel verilerinin kanuna aykırı olarak işlendiğini düşünen vatandaşların öncelikle veri sorumlusuna müracaat edeceğini anlatan Bilir, veri sorumlusunun cevabını yeterli görmeyen, başvurusu reddedilen ya da başvurusuna süresinde cevap verilmezse KVKK’ya başvuruda bulunabileceğini ifade etti.