50 Soruda Kişisel Verilerin Korunması

Türkiye’de hayatımızı etkileyecek yeni bir dönem başladı. Kişisel Verilerin Korunması kanunu yasalaşarak 7 Nisan 2016 tarihinde Resmi Gazete’de yayınlanarak yürürlüğe girdi. Bu yasa hayatımızda birçok şeyi değiştirecek. Yeni kanunun getireceklerinden faydalanabilmek için öncelikle ne getirdiğini bilmemiz gerekir.

Bu kitapçık bir vatandaş olarak doğrudan sizin kişisel verilerinizle ilgili haklarınızı anlatmaktadır. Kanunların sıkıcı anlatış şeklinden ziyade aklınıza gelebilecek soruların cevaplarının verilmesi tercih edilmiştir.

1. Veri nedir?

Veri bilgidir. Her veri bilgidir ama her bilgi veri değildir.

Bir şey hakkında ya da biri ile ilgili bilinen her şey veridir. Yani bir bilginin veri olabilmesi için somut bir gerçekliğe dayanması gerekir. Örneğin “Su 100 derecede kaynar” bir bilgidir ancak veri değildir. “Ölçtüm çaydanlıktaki su 100 derecede kaynadı” cümlesinden elde edilen bilgi ise veridir. Bu ve benzeri ölçümlerden elde edilen veriler sonucunda varılan “Su 100 derecede kaynar” bilgisi çıkış noktası veri de olsa çıkarımla elde edilen bir yargıdır.

2. Bilgisayardaki veri ile aynı mıdır?

Bilgisayardaki veri kavramı ile kişisel veriler tanımındaki veri bambaşka kavramlardır.
Bilgisayardaki her şeye veri denir. Bilgisayardaki yazılıma, işletim sistemine ya da somut gerçeklere dayanan ya da dayanmayan her türlü bilgiye de veri denir. Bilgisayardaki verinin bilgi olması da gerekmez. Hiçbir anlam ifade etmeyen sayılar da olabilir. Konumuz olan veri ise somut bir gerçekliğe dayanan bilgidir.

3. Kişisel veri nedir?

Sizle ilgili her bilgi kişisel veridir. Adınız, soyadınız, doğum tarihiniz, fotoğraflarınız, tuttuğunuz takım, inancınız, ırkınız gibi sizinle ilgili bilgiler kişisel veridir.

Bir bilginin sizin kişisel veriniz kabul edilebilmesi için o bilginin sizinle bağının kurulabilmesi, yani sizle ilgili olduğunun tespit edilebiliyor olması gerekir. Örneğin “Galatasaray takımını tutan milyonlarca futbol taraftarı var” bilgisi kişisel veri değildir. Siz Galatasaray taraftarı iseniz, sizin Galatasaray taraftarı olduğunuz bilgisi kişisel verinizdir.

Benzer şekilde adınız soyadınız sizin kişisel verinizdir. Ancak tek başına adınız soyadınız kişisel veriniz değildir. Örneğin adınız soyadınız Mehmet Yılmaz ise binlerce Mehmet Yılmaz olabileceği için tek başına Mehmet Yılmaz kişisel veri değildir. Ne zaman ki TC kimlik numaranızla, telefon numaranızla ya da fotoğrafınızla isminiz arasında bağ kurulabilir o zaman adınız soyadınız kişisel veri olarak kabul edilebilir.

Ancak adınız soyadınız dünyada sadece sizde varsa veya bu isimle sadece siz biliniyorsanız bu durumda da adınız soyadınız TC kimlik numaranız bilinmeden de kişisel veri kabul edilir. Bir verinin kişisel olup olmadığının tespitinin teorik olarak değil pratik olarak yapılması gerekir. Örneğin teorik olarak DNA bilgisi kişisel veridir. Tek yumurta ikizlerinde ise her iki kişinin DNA yapısı da aynıdır. Bu durumda birden fazla kişiye ait olan bir verinin kişisel veri kabul edilmemesi düşünülebilir mi? Bu durumda pratikte bu verinin saklanması ve kullanılması durumunun incelenmesi gerekir.

4. Arkadaşımla birlikte fotoğraf çektirdim. Fotoğraf kimin kişisel verisi olur?

Her ikinizin de olur. Kişisel veriyi kişiye ait olarak tanımlamak mümkündür. Bazı durumlarda ise kişisel veri birden fazla kişiye ait olabilir. Kanun ait olma tanımından ziyade ilgili terimini kullanmayı bilinçli olarak tercih etmiştir. Çünkü ilgili daha geniş bir alanı içermektedir. Ancak ait olma daha kolay anlaşılır olduğundan eksikleri olsa da ait olma da ilgili anlamında kullanılabilir.

Birden fazla kişiye ait kişisel veride hakkaniyet ölçüsü dikkate alınmalıdır. Kişisel verinin kullanımı ilgili kişilerden sadece birinin izniyle yapılacaksa diğer kişi ya da kişilerin hakları da gözetilmelidir. Her duruma göre farklı uygulamalar olabileceği unutulmamalıdır. Bazı durumlarda bir kişinin izni yeterli olabilecekken bazı durumlarda kişisel verinin ilgili olduğu herkesin onayı gerekebilir.

5. Kişisel veri sadece bilgisayarda mı olur?

Hayır. Kişisel veri tutulabilen her ortamda kişisel veri olarak kabul edilir. Kâğıt üzerindeki bilgileriniz de, duvara yazdığınız sevgilinizin adı da, parmak iziniz de, DNA bilgisi elde etmek için kullanılabilen kan örneğiniz de kişisel veridir. Kişisel verinizin nasıl saklandığının bir önemi yoktur. Size ait olması ve size ait olduğunun belirlenebilir olması yeterlidir.

Ancak kişisel veriniz saklandığı ortam değil içerdiği bilgidir. Kan örneğiniz size aittir ve DNA bilgisinin cihazlar kullanılarak elde edilmesi gerekir. DNA bilgisi elde edildikten sonra kişisel veri söz konusu olabilir.

6. Kişisel verilerin korunması ne demektir?

Sizle ilgili verilerin sadece sizin izin verdiğiniz kişi, kurum ya da kuruluşlar tarafından bilinmesi ve kullanılması diğerleri tarafından bilinmemesidir. Ancak her durumda izniniz gerekmez.

Kanunun izin verdiği bazı durumlarda da sizin izniniz veya bilginiz olmadan da sizle ilgili olan kişisel veriler saklanabilir ve kullanılabilir.

7. Kişisel veri neden korunmalı?

Kişisel verileriniz sizle ilgilidir ve size aittir. Nasıl eviniz, arabanız size aitse kişisel verileriniz de öyledir. Kişisel veriler ister bilgisayarda olsun isterse duvar üzerinde olsun size aittir.

Kişisel verilerin korunması ile kişilik haklarının korunması amaçlanır. Özel hayatınızın gizliliği gibi temel hak ve özgürlüklerinizin korunmasında da yardımcı olur.

8. Kişisel verilerimin başkaları tarafından bilinmesinin sakıncaları nedir?

Günümüzdeki teknolojik gelişmeler kişisel verileri ticari olarak çok değerli hale getirmiştir. Birçok ürünün pazarlaması bu bilgiler kullanılarak yapılmaktadır. Ayrıca sizlerin davranış ya da kullanım alışkanlıklarınız belirlenerek size özel ya da uygun hizmet ya da ürün pazarlaması yapılmaktadır. İyi niyetle bakıldığında faydalı olabilecek bu durum, kötü niyetli kişiler tarafından kişileri aldatmada, kişiye karşı ya da başkalarına karşı suç işlemede, kişileri rahatsız etmede veya farklı amaçlarla kullanılabilmektedir.

Sağlığınızla ya da finans durumunuzla ile ilgili bilgilerin başkaları tarafından bilinmesi güvenliğiniz için de tehdit oluşturabilir.

Bunların hiç birisi olmasa bile sadece sizin kişisel verinizi paylaşmak istememeniz ve karşı tarafın buna riayet etmemesi başlı başına bir ihlaldir.

9. Kişisel verilerim hukuken nasıl korunuyor?

Kişisel verileriniz öncelikle anayasanın teminatı altındadır.

Türk Ceza Kanunu’ndaki 135, 136, 137 ve 138’nci maddeler kişisel verilerinizin korunmasını amaçlamaktadır. Suçun türüne göre bir yıldan altı yıla kadar hapis cezası verilebilmektedir.

Türkiye’nin henüz yürürlüğe koymadığı ama imzaladığı uluslararası antlaşma da kişisel veri korumasını amaçlamaktadır.

Anayasa’da kişisel verilerle ilgili yapılan düzenlemenin gereği olarak Kişisel Verileri Koruma Kanunu da yasalaşma sürecindedir. Bu kanun da kişisel verilerin daha etkin bir şekilde korunmasını amaçlamaktadır.

10. Bilmediğim bir yerden adıma sürekli mesaj geliyor ya da ismen beni arıyorlar rahatsız ediyorlar. Kişisel verilerim nasıl korunuyor?

Sizi arayan ya da mesaj atanın davranışının kanunlara aykırılığını tespit edebilecek ilk kişi sizsiniz. Aldığınız mesajın hukuka aykırı olup olmadığı ise ancak araştırma ile ortaya çıkabilecek bir durumdur. Çünkü bazen bir alış veriş sırasında ya da internette bir yere üye olurken doldurulan bir formda verilerinizin paylaşımları ile ilgili ifadeler yer almaktadır. Siz de bunu imzaladığınızda bu şartları kabul ederek, başka kişilerin sizi aramalarına ya da mesaj göndermelerine izin vermiş olabilirsiniz.

Bu durum yok ise sizin kişisel verilerinizi kullanarak size ulaşmaya çalışmak kanuna aykırıdır.

Maalesef ki kanun çıkarmak sorunun çözümü konusunda her zaman yardımcı olamamaktadır. Kişisel verileri öncelikle koruması gereken kişiler verilerin sahipleridir. Kişisel verilerle ilgili suçlar şikâyet üzerine soruşturulur. Savcılığa şikâyet etmediğinizde sizi rahatsız etmemeleri hakkınızı da kullanmamış olursunuz.

Kişisel Verileri Koruma Kanunu şirketlerin sakladıkları ve kullandıkları kişisel verilerin kayıt altına alınmasını ve şirketlerin denetlenmesini amaçlamaktadır.

11. Kişisel Verileri Koruma Kanunu olmadan kişisel verilerim koruma altında değil miydi?

Kişisel Verileri Koruma Kanunu olmasa da kişisel verileriniz koruma altındaydı. Ancak kanunla kişisel verilerin özel bir tanımı yapılmadığı, özellikleri düzenlenmediği için uygulamada sorunlara yol açmaktaydı. Türk Ceza Kanunu’nda yer alan cezai yaptırımların doğru uygulanabilmesi için kişisel verilerin tanımının yapılması gerekiyordu. Ayrıca kişisel verilerin hangi durumda işlenebileceği ya da işlenemeyeceği belirsizdi. Bazı kanunlarda kişisel veri kavramı geçse de özellikle yargılama sırasındaki belirsizlik hem taraflar, hem sanıklar hem de mağdurlar için haksızlığa sebep olabiliyordu. Yeni kanunla belirsizlikler ortadan kalkacak ve hem veri sahibinin hem de veri işleyenin hakları korunacaktır.

12. Kişisel Verilerin Korunması Kanunu ne işe yarayacak?

Kanun Avrupa Birliği’nde ve diğer birçok ülkede olan kişisel verilerin nasıl korunacağını düzenleyen hukuki düzenlemelere eş bir düzenlemedir.

Kişisel Verileri Koruma Kurumu kurularak kişisel verilerin işlenmesi ve korunmasını düzenleyecek prensiplerin konulması amaçlanmaktadır.
Kanun sadece bilgisayar ortamında tutulan her türlü kişisel veriyle ve elle tutulan veri kayıt sistemindeki kişisel verilerle ilgili düzenleme getirmektedir. Yani bir arşivleme ya da sınıflandırma amacıyla tutulmayan kâğıtlardaki kişisel veriler bu kanun kapsamında değildir.

Bununla beraber Türk Ceza Kanunu’ndaki hükümler her ortamda saklanabilen ve kullanılabilen kişisel veriler için geçerlidir.

13. Bilgisayar ortamından kasıt sadece bilgisayarlar mı? Cep telefonları ya da benzeri cihazlar hariç mi?

Bilgisayar ortamından kasıt sadece dizüstü, masaüstü bilgisayarlar değildir. İçinde bilgi saklanabilen ve kullanılabilen her türlü elektronik araç da bilgisayar sayılır. Örneğin cep telefonları, dijital fotoğraf makinaları ve diğerleri.

Kısaca çerçevesini çizmek gerekirse içinde bilgi saklanabilen her türlü cihaz dâhildir. Hiçbir bilgisayara bağlı olmayan USB bellekler de bu kanun kapsamındadır.

14. Kanun ne zaman yürürlüğe girecek?

Kanun 7 Nisan 2016 tarihinde Resmi Gazete’de yayımlanarak yürürlüğe girdi. Kanun 7 Nisan 2016’dan önce kişilerin rızaları alınarak toplanan kişisel veriler için iki yıllık bir geçiş sürecini öngörmektedir. Kanun kişinin rızası alınmadan toplanan kişisel veriler için hiçbir geçiş süreci öngörmemektedir. Bu verilerin saklanması ve işlenmesi suçtur.

6 Ekim 2016 tarihine kadar kişilerin rızası alınarak toplanacak kişisel veriler ile ilgili cezai yaptırımlar uygulanmayacak. Ayrıca düzenlenecek olan yönetmelikler için de bir yıllık süre öngörülmüştür. Kanunun tam uygulanabilir hale gelmesi için en az bir yıllık süre vardır.

15. Geçiş sürecinde kişisel veriler korunmayacak mı?

Kanunun yürürlüğe girmesinden önce toplanan kişisel veriler için zaten Türk Ceza Kanunu yürürlükte. Benzer şekilde yönetmelikler ne zaman uygulamaya geçerse geçsin Türk Ceza Kanunu tüm veriler için uygulanmaya devam edecek. Suçlar için herhangi bir kesinti yok.

Kanundan önce kişinin rızası alınarak toplanan kişisel verilerin yeterli bilgilendirme olmaması ya da işlenmesinde hukuka aykırı bazı işlemler için ceza verilemeyecek.

16. Internette alışveriş yaparken ya da üye olurken bir sürü bilgi isteniyor. Ne yapmalıyım?

Daha önce ne yapıyorsanız aynısına devam edebilirsiniz. Kanun size herhangi bir yükümlülük getirmekten ziyade kişisel verilerinizi işleyenler için yükümlülükler getirmekte sizlerin haklarınızı ve haklarınızı nasıl kullanacağınızı düzenlemektedir.

İstenen bilgilerin amacınızla örtüşüp örtüşmediğini denetlemenizde fayda var. Eğer istenen veriler o siteye ilişkin yapacaklarınızla örtüşmüyorsa bilgilerinizi vermeyiniz ve site yöneticilerine yeni kanunu hatırlatınız.

17. Kişisel verinin işlenmesi ne demektir?

Kanun kişisel verilerin işlenmesi terimini kullanmaktadır. Kanuna göre işlemek, kişisel verilerin toplanması, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanımının engellenmesi gibi her türlü işlemdir. Kanundaki uzun açıklamayı özetlemek gerekirse kaydetmek ve kullanmak diyebiliriz. Çünkü bir işlem yapmak için öncelikle kaydedilmesi ve sonrasındaki işlem ne olursa olsun onu kullanmak gerekir.

Genel anlamda kişisel verilerinizin kaydedilmesi işlenmesinin ilk aşamasıdır. Sadece kaydedilmesi bile başka hiçbir işlem olmasa dahi kişisel verilerinizin işlendiği anlamına gelir. Kaydetme sonrasında yapılan saklamak, raporlamak, sonuçlara varmak, başka bir yere ya da kişiye göndermek kişisel verilerinizle yapılan ikinci aşama işlemlerdir. Bu işlemlerin tamamı da kişisel verilerin işlenmesidir.

18. Hangi durumlarda kişisel verilerim işlenebilir?

Kişisel verileriniz temel olarak ancak sizin açık rızanızla işlenebilir. Ancak Kişisel Verileri Koruma Kanunu’nda açık rıza olmadan kişisel verilerin işlenebileceği istisnalar bulunmaktadır. Bu istisnaların dar anlamları ile yorumlanması gerekir. İstisnaların geniş anlamı ile yorumlanması durumunda kişisel verilerinizin istisnai olarak açık rızanızla işlenebileceği bir durum ortaya çıkar.

19. Açık rıza nedir?

Kişisel verilerinizi toplamak isteyenle aranızda bir tür sözleşme yapılmaktadır. Bu sözleşmenin tarafları siz ve kişisel verilerinizi toplayandır. Sözleşmeler ancak iki tarafın da şartlarda anlaşması ile yapılabilir. Kanun kişisel verilerin toplanması sırasında yapılacak sözleşmelerde kişinin açık rızasının bulunmasını şart koşmaktadır.

Kanun açık rızanın şartlarını da belirlemiştir. Buna göre açık rıza belirli bir konuda, yeteri kadar bilgilendirme sonucunda ve baskı altında olmadan verilen rızadır.
Buna göre kişilerin rızalarının kapsamı dar yorumlanmalıdır. “Kişisel verilerimin işlenmesine onay veriyorum” türü bir kutucuk ile alınan rıza geçersizdir. Çünkü belirli bir konu olması gerekir.

Belirli konu da ancak sınırları kesin olan konulardır.

Bir diğer şart yeteri kadar bilgilendirmedir. Kanun bu şarta aydınlatma yükümlülüğü demektedir. Verilen rızanın konusunun belli olması için kişinin yapılacak işlemler konusunda yeterli seviyede bilgilendirilmesi, kişisel verileri üzerindeki haklarının hatırlatılması gerekir.

Eksik bilginizden kaynaklanan ya da yanlış yönlendirme ile bir kabulünüz iradenizin yanıltılması olacağından açık rızanızın varlığından söz edilemez.

Bir diğer şart da kararınızı özgür iradenizle alarak rıza göstermenizdir. Ticaret hayatında elbette avantajlar sağlayarak bazı karar almalar yönlendirilebilir. Ancak kişinin bulunduğu durumdan daha kötüye götürecek şartların ileri sürülmesi kişinin özgürce karar almasını engelleyecektir. Karşılıklı menfaatin geçerli olduğu ticaret hayatında şirketlerin kişileri kişisel verilerinin işlenmesine izin vermeleri için yapabileceklerinin de bir sınırı vardır. Bu sınır kişinin durumuna ve olaya göre çizilebileceğinden baskının olup olmadığı, kişinin özgür iradesi ile karar verip vermediği olay bazında değerlendirilebilir. Sizin bilmeniz gereken kural, kişisel verilerinizi işlemek için izin vermeye zorlanıyorsanız şüpheli bir durum vardır.

Açık rıza, bir şeyi kabul ettiğinizi şüphe götürmeyecek şekilde açıklamanızdır. Siz bir şeyi kabul etmiş olabilirsiniz ama kabul ettiğiniz şeyin anladığınız şey ile aynı olması durumunda ancak açık rıza gerçekleşebilir.

Çıkarımla elde edilebilecek durumlarda açık rızanızın olduğunun kabul edilebilmesi ancak sizin kabul ederken sonuçlarını da bilmeniz ile mümkündür.

Örneğin bir siteye üye olmak istediğinizde sizin kişisel verilerinizin işleneceğinin size anlatılması ve sizin de bunu bilerek onaylamanız gerekir. İşin doğası gereği olan ancak sizin yeterli bilgiye sahip olmadan kişisel verilerinizin işleneceğini biliyor olmanız sizden beklenemez.

Burada size düşen görevler de var. Bir siteye üye olurken sizden girmeniz istenen kişisel verilerinizin o siteye üye olmakla ne kadar bağlantılı olduğunu sorgulamanız gerekir. Örneğin birçok site satış işlemi olmadan dahi sizin TC Kimlik numaranızı istemektedir. Ya da bir sağlık kuruluşuna gittiğinizde sizden kimlik belgesini istemekte ve fotokopisini almaktadırlar. Bu bilgilerin gerçekte gerekip gerekmediğini araştırmanız gerekir.

Bazı durumlarda ise kişisel verilerinizin işlenmesi için onayınıza veya bilgilendirilmenize gerek yoktur.

20. Hangi durumlarda açık rızam olmadan kişisel verilerim işlenebilir?

Kanunların kişisel verilerinizin işlenebileceğini işaret ettiği durumlarda açık rızanız aranmaz.

Sizin ya da bir başkasının hayatı ya da beden sağlığı tehlikede ise ve siz açık rızanızı bildiremeyecek durumda iseniz ya da açık rızanız güvenilir kabul edilmiyorsa kişisel verileriniz işlenebilir. Örneğin bir gezi sırasında dağda kayboldunuz ve cep telefonunuz da çekmiyor. Bu durumda cep telefonunuzun son sinyal bilgileri kullanılarak yeriniz tespit edilmeye çalışılabilir. Eğer cep telefonunun çektiği bir alanda dağda kaybolmuşsanız ama bir sebeple söyledikleriniz bilinçli değilse ve yerinizi bildiremiyorsanız ya da bildirmekten kaçınıyorsanız bu durumda da sizin açık rızanız olmadan cep telefonunuzun sinyal bilgileri incelenebilir.

Kişisel verilerin aleni olması durumunda da işlenmesinde açık rıza aranmaz. Örneğin sosyal mecrada herkese açık şekilde paylaştığınız bilgileriniz işlenebilir.
Ayrıca yapmış olduğunuz bir sözleşme sebebiyle karşı tarafın kişisel verilerinizi işlemesinin zorunlu olması durumunda, kişisel verilerinizi saklayan kişiye hukuken getirilmiş yükümlülüklerde de rızanız aranmaz.

Ve ayrıca sizin temel hak ve özgürlüklerinize zarar vermeden verilerinizi saklayanın meşru menfaatleri için verilerinizin işlenmesi zorunlu ise açık rızanız aranmaz.

21. Kişisel verilerin aleni olması ne demektir?

Herkesin bildiği ya da öğrenebileceği kişisel veriler alenidir. Kişisel verinin aleni kabul edilebilmesi için ait olduğu kişinin aleni olmasını istemesi gerekir. Yoksa bir kişinin kişisel verisinin herkesin görebileceği bir yerde olması aleni olmasını sağlamaz. Örneğin sizin telefon numaranızı Facebook’ta paylaşılması telefon numaranızı aleni yapmaz. Paylaştığınız bilgiyi Facebook’taki güvenlik ayarlarını kullanarak herkes görebilir diye işaretlemiş iseniz telefon numaranız artık alenidir.

Eğer telefon numaranızı size ait bir web sitesinde ziyaret edenlerin öğrenmesi amacı ile paylaşmışsanız numaranız aleni olmuştur.

Kişisel verileriniz sizin onayınız olmadan internette yayınlanmış ise sadece aleni olmamakla kalmaz ayrıca bunu yapan kişi de suç işlemiş olur.

22. Kişisel verilerimin hepsi aynı statüde mi?

Hayır. Kişisel verilerinizden bazıları özel nitelikli kişisel veri olarak kabul edilmektedir. Irkınız, etnik kökeniniz, siyasal düşünceleriniz, felsefi inancınız, dininiz, mezhebiniz, varsa farklı inançlarınız, giyiminiz kuşamınız; dernek, vakıf ve sendikalara üyelikleriniz; sağlığınızla ilgili verileriniz, cinsel hayatınız; varsa aldığınız cezalar (hapis cezaları, para cezaları vb.) ve güvenlik tedbirleri (uzaklaştırma, denetimli serbestlik vb.) ve biyometrik ve genetik verileriniz özel niteliktedir. İşlenmeleri ayrı düzenlemeye tabidir.

23. Özel nitelikli kişisel verilerim hangi durumlarda işlenebilir?

Özel nitelikli kişisel verileriniz diğer kişisel verilerinizden farklı olarak sadece açık irade beyanınızla, kanunda öngörülen durumlarda ve kamu sağlığı hizmetlerinin sağlanması amacıyla işlenebilir. Veriyi işleyecek olanların yeterli önlemleri alması da gerekir.

24. Kanun beni kimlere karşı koruyor?

Kanun gerçek ya da tüzel kişilere karşı sizi koruyor. Gerçek kişi insanlardır. İnsan olmayan ancak resmi olarak hak ve sorumlulukları olan firma, dernek, vakıf ve kurumlara tüzel kişi denir.

Bazı durumlar ise bu kanun kapsamına girmediğinden kanun bir koruma sağlamamaktadır.

Kanun kapsamına milli savunma, milli güvenlik, kamu güvenliği, kamu düzeni ve ekonomik güvenlik konularında önleyici, koruyucu ve istihbari amaçlarla kişisel verilerin işlenmesi girmediğinden bu kanundaki haklarınızı kullanamazsınız. Ayrıca bazı prensiplere uyulmak kaydıyla sanat, tarih, edebiyat veya bilimsel amaçlar ya da ifade özgürlüğü kapsamında kişisel verilerinizin kullanılması da kanunun koruması altında değildir.

Ayrıca aile içinde kişisel verilerin işlenmesi de bu kanunun uygulama alanına dâhil değildir.

Kişisel verilerin resmi istatistiklerde kullanılması ile anonim hale getirilerek araştırma, planlama ve istatistik amaçlarla kullanılması da serbesttir.

25. Kanun beni nasıl koruyor?

Kanun kişisel verilerin tanımını, hangi durumlarda ve nasıl toplanabileceğini ve kullanılabileceğini düzenliyor.

Ayrıca Kişisel Verileri Koruma Kurulu ve Kurumu vasıtasıyla dinamik bir yapıda güncel ihtiyaçlara cevap bulunmasını amaçlıyor.

Kişisel verilerinizle ilgili şikâyetlerinizin çözümlenmesi için bir usul düzenliyor.

26. Kişisel verilerim nasıl toplanabilir?

Kurumlar ya da kişiler sizden kişisel verinizi isterken yapılacak işlemler hakkında ve sizin haklarınız konusunda sizi aydınlatmakla yükümlüdürler. Bu bilgilendirme en az sizin neye izin verdiğinizi bilmenize yetecek kadar olmalıdır.

Niçin topladıklarını, ne kadar süre ile saklayacakları ve kullanacaklarını, nasıl işlemler uygulayacakları, başka kişilere ya da yurt dışına aktarım yapıp yapmayacakları konularında sizi bilgilendirmeliler.

Ayrıca kişisel verilerinizle ilgili sahip olduğunuz haklarınız konusunda bilgilendirmeleri gerekir.

27. Kişisel verilerimi vermeden önce nelere dikkat etmeliyim?

Öncelikle kişisel verilerinizi kime verdiğiniz ve varsa temsilcisinin kimliğinin açıklanmış olması gerekir.

Yukarıda belirtilen konularda açıklama olup olmadığını inceleyiniz. Kişi ya da kurumun faaliyet alanı ve sizin onlarla ilginizin toplanan kişisel verilerinizle olan ilişkisini sorgulayınız. Unutmayın ki firmanın yapacağı işlemlerle alakalı olmasa bile kendi isteğinizle verdiğini kişisel verileriniz kurum tarafından saklanabilir ve kullanılabilir.

28. Şirketlere verdiğim kişisel verilerimle ilgili haklarım nedir?

Kişisel veriler kolayca aktarılabilen bilgiler olduğundan sizin hiç işiniz olmayan tüzel kişilerde de kişisel verileriniz bulunuyor olabilir. Sizinle ilgili kişisel verileri saklayıp saklamadıklarını sorabilirsiniz. Firmalar bu sorunuzu cevaplamakla yükümlüdür.

Eğer saklıyorlarsa, kişisel verilerinizi hangi amaçlarla ve ne şekilde kullandıklarını öğrenebilir, kullanmalarına karşı değilseniz kişisel verilerinizde olan eksiklik ve yanlışlıkları düzelttirebilirsiniz.

Saklamalarını ya da kullanmalarını istemiyorsanız silinmesini isteyebilirsiniz.

Eğer kişisel verilerinizi başkalarına da verilmişse düzeltme veya silme taleplerinizi kişisel verilerinizi verdikleri kişilere de iletmelerini isteyebilirsiniz.

Kişisel verilerinizin bilgisayarlarca işlenmesi sonucu aleyhinize sonuç doğurmasına da itiraz edebilirsiniz. Örneğin çalıştığınız işyerinde yaptığınız işlerin bilgileri bilgisayarca toplanıyor ve analiz edilerek performansınız tespit ediliyorsa itiraz edebilirsiniz. Avrupa’daki benzer uygulamalarda kararın sadece toplanan veriler üzerine alınması uygun görülmemiş mutlaka gerçek bir kişinin bu yargıya varması istenmiştir.

Kişisel verilerinizin kullanılması sonucunda bir zarara uğrar iseniz bu zararınızın tazminini de talep edebilirsiniz.

29. Şirketlerin kişisel verilerimi sakladıklarından dolayı bana karşı yükümlülükleri var mı?

Kişisel verilerinizi toplayan kişilerin ya da kurumların kişisel verilerinizin muhafazasını ve güvenliğini sağlama yükümlülüğü vardır. Başkalarının eline geçmesini önlemek için gerekli olan yeterli teknik ve idari tedbirleri almakla yükümlüdür.

Kurumlar, kişisel verilerinizi paylaştıkları diğerlerinin de aynı düzeyde özeni göstermeleri konusunda eşit seviyede sorumludurlar.

Ayrıca kanunun gerektirdiği tedbirlerin uygulanıp uygulanmadığını da denetlemek veya denetletmek zorundadırlar.

Kişisel verilerin kanuna aykırı olarak başkalarının eline geçmesi durumunda size ve Kişisel Verileri Koruma Kurumu’na bildirmeleri gerekir.

30. Bir şirkete verdiğim kişisel verilerimi ne zaman silmesi gerekir?

Saklanmasını gerektiren sebep kalmadığında silinmesi gerekir. Mesela artık ilişkiniz kalmamışsa veya üye iseniz üyelikten ayrılmışsanız.

Şirketler bazen siz isteseniz dahi kişisel verilerinizi silemezler. Örneğin fatura bilgilerinin saklanması gereken bir süre vardır. Şirketlere saklama yükümlülüğün tabi oldukları kanunda belirtilmiş olması gerekir.

Örneğin cep telefonunuzla yaptığınız telefon görüşmeleri ya da attığınız mesajlar sizin kişisel verinizdir. Ancak Elektronik Haberleşme Kanunu hizmet aldığınız şirkete görüşme bilgilerinizi saklama görevi vermektedir. İki yıl süre ile bu bilgileri saklamak zorundadırlar. Bu durumda siz abonelikten ayrılsanız bile bu bilgilerin silinmesini talep edemezsiniz.

31. Silinmesi için benim başvurmam gerekir mi?

Hayır, sizin başvurmanıza gerek kalmadan kişisel verilerinizi saklayan kişi ya da kurumların kendiliğinden silmesi gerekir. Ancak siz de artık sebep kalmadığını düşünüyorsanız başvurarak silinmesini sağlayabilirsiniz.

Elbette kişisel verilerinizin nerelerde saklandığını bilmiyorsanız ve onlar da silmiyorlarsa sizin başvurmanız da beklenemez. Bu durumda kişisel verilerinizi elinde bulunduran bu konuda sizin rızanızı almamışsa suç işlemektedir.

Yalnız şirket isterse kişisel verilerinizi anonim hale getirerek saklamaya ve işlemeye devam edebilir.

32. Kişisel verinin anonim hale getirilmesi ne demektir?

Günlük hayatta kullandığımız “biri” gibidir. Kim olduğunu bilmediğimiz kişilerden bahsederken “biri” deriz. “Genç biri geldi”, “biri şöyle dedi”, “biri çok beğendi” gibi. Ancak biz “biri” derken o kişinin kim olduğunu biliyorsak o bilgi bizden duyan için anonim olsa da bizim için anonim değildir. İnsan için gerçekten kim olduğunu unutmak mümkün olmasa da bilgisayarlar için bu mümkündür. Anonim hale getirmek bilgiyi ilk söyleyenin de kimin bilgisi olduğunu bilmemesidir.

Kimle ilgili olduğu bilinen verinin anonimleştirme sonucunda kimle ilgili olduğunun tespit edilememesi gerekir. Anonimleştirilmiş bilginin verildiği kişinin kime ait olduğunu bilmiyor olması yeterli değildir. Bilgi ile ilgilisi arasındaki bağın hiç kimse tarafından ve anonim hale getirme işlemini yapan tarafından da tespit edilemiyor olması gerekir.

33. Her kişisel veri anonim hale getirilebilir mi?

Hayır. Kişiyi doğrudan işaret eden veriler anonim hale getirilemezler. Örneğin kişinin TC kimlik numarası, fotoğrafı, parmak izi, DNA gibi doğrudan kişiyi işaret eden veriler olduğu gibi anonim hale getirilemez. Bu veriler ancak bozularak anonim hale getirilebilir. Örneğin TC kimlik numarasının yeteri kadar hanesinin gizlenmesi, fotoğrafta yüzün silinmesi gibi.

34. Kişisel verilerimi saklayanlara taleplerimi nasıl iletmem gerekir? Belirli bir yöntemi var mı?

Taleplerinizi yazılı olarak ya da Kişisel Verileri Koruma Kurulu tarafından belirlenecek diğer yöntemlerle (muhtemelen web sitesinde bir form kullanarak) iletebilirsiniz.

Kanun kişisel verilerinizle ilgili hak arama hakkınızı kanunun yayımı tarihinden altı ay sonra yürürlüğe girmesini öngörmektedir. Buna göre bu taleplerinizi ancak 7 Ekim 2016 tarihinden sonra kullanabilirsiniz. Bu süre içerisinde talebinizi iletmenizi engelleyen bir kanun hükmü yok. Ancak size verilecek ret cevabı ya da cevap verilmemesi durumunda ilgili şirkete ceza verilmesi mümkün değil.

35. Cevap vermek zorunda mı? Ne kadar sürede cevap vermesi gerekir?

7 Ekim 2016 tarihinden sonra ileteceğiniz talebinizi kabul edebilir ya da gerekçesini açıklayarak reddeder. En fazla 30 gün olmak üzere en kısa sürede cevap vermek zorundadır. Asıl olan en kısa sürede cevap vermesidir.

Cevabı talebinizin kabul edildiği ya da gerekçesini de belirterek reddedildiği olabilir. Cevabını yazılı olarak ya da elektronik ortamda (örneğin e-mail) yapabilir.

Cevap için herhangi bir ücret talep edilemez. Ancak talebin gerektirdiği işlemler için Kurumca belirlenecek tarife üzerinden ücret talep edilebilir.

36. Neden ücretli olsun?

Kişisel verilerle ilgili işlemlerin tamamında kişiler sadece müşteri değildir. Ücret ödenerek alınan mal ya da hizmet alımlarında müşterinin bilgilerinin saklanması ya da işlenmesi için de bir emek harcanıyor olabilir. Nasıl ki kişisel verileri kaydetmek ve işlemek için kaynak harcanıyorsa benzer şekilde silinmesi için de kaynağa ihtiyaç vardır. Yani harcama yapılması gerekebilir. Bu durumlarda daha önceden ücretsiz olması kararlaştırılmamışsa verileri saklayan ücret talebinde bulunulabilir.

Ancak kişisel verisi saklanan ya da işlenen kişinin izni ile yapılan pazarlama veya benzeri faaliyetlerde kişisel verilerin silinmesi için ücret talep edilemez.
Talep verileri saklayanın hatasından kaynaklanıyorsa ücret talep edilemez. Örneğin sizin onayınız gereken bir durumda onayınız olmadan kişisel verilerinizi elde eden bir firma yüzlerce farklı firmaya dağıtmış olsun. Sizin kişisel verilerin silinmesi hakkını kullanmanız durumunda muhatabınız olan ilk kurumun silme işlemi için oldukça maliyetli bir işe girmesi gerekecektir. Ancak hata kendisinden kaynaklandığından sizden ücret talep edemeyecektir.

37. Cevap vermezlerse ya da talebimi kabul etmezlerse veya verdikleri cevap beni tatmin etmezse nereye başvurabilirim?

Bu durumlarda Kişisel Verileri Koruma Kurulu’na başvurabilirsiniz. Talep tarihinizden itibaren 30 gün içinde cevap verilmemişse süre bitiminden itibaren ya da size cevap verilmişse cevabın size ulaştığı gün itibaren 30 gün içinde Kuruma başvurarak şikâyetinizi iletebilirsiniz.

38. Doğrudan Kişisel Verileri Koruma Kurulu’na başvuramaz mıyım?

Hayır. Şahsınızla alakalı şikâyetlerinizi öncelikle muhatabına yaptıktan sonra sizi tatmin eden yeterli çözüme ulaşılamadığında Kurul’a başvurabilirsiniz. Ancak bu sadece şahsınızla ilgili olmayan genel bir durum ise Kurul’a şikâyetin de mümkün olması gerekir. Kurul herhangi bir şikâyet olmadan da resen harekete geçebilecektir.

39. Kurula nasıl başvurabilirim?

Kurul’a şikâyetinizin dilekçe şartlarını taşıması gerekir. Dilekçenizde adınız, soyadınız, ev veya işyeri adresiniz ve imzanız bulunmalıdır. Dilekçe içeriği kişisel verilerle ilgili olmalıdır.

40. Kurul başvurumla ilgili ne yapıyor?

Kurul başvuru üzerine gerekli incelemeyi yapar. Devlet sırrı niteliğinde olmayan bilgi ve belgeleri şikâyete konu olanlardan isteyebilir ya da yerinde inceleme yapabilir.

Kurul bir ihlalin varlığını tespit ederse ilgilisinden ihlalin sona erdirilmesini ister. İlgilisi Kurul’un isteğini gecikmeksizin ve en geç de 30 gün içinde yerine getirir.

Başvurunuza kurul 60 gün içinde cevap vermezse talebiniz reddedilmiş sayılır. Kurul bir ihlalin var olduğu kanaatine varışa ilgili kurumdan ihlale son vermesini isteyebilir ve gerekli görürse idari para cezası verebilir.

41. Kurulun verdiği cezalar caydırıcı mı?

Kurul sadece para cezası verebilir. Kurul kanunu ihlalin türüne ve büyüklüğüne göre 5.000 TL ile 1.000.000 TL arasında değişen tutarlarda ceza verebilir. Elbette ceza verirken cezayı ödeyecek olanın ekonomik durumu da göz önüne alınacaktır.

42. Kurulun verdiği cevap ya da sunduğu çözümden memnun kalmazsam ne yapabilirim?

Kurul’un verdiği kararlar yargı denetimine açıktır. Bu durumda süresi içerisinde dava açabilirsiniz. Ayrıca bir zarar uğramış iseniz bunun tazmini için de dava açabilirsiniz. Kişisel verilerinizle ilgili bir suçun işlendiğini düşünüyorsanız doğrudan savcılığa suç duyurusunda da bulunabilirsiniz.

43. Kanunun fişleme kanunu olduğu söylentileri var?

Kanun hükümleri çoğunlukla uygulayana göre farklı sonuçlar doğurmaktadır. Kanunun kapsamına almadığı konularda fişleme yapılması mümkündür. Ancak her devlette, bu isterse en demokratik Avrupa ülkesi olsun, kanundaki tanımına uygun olmakla birlikte yorum farkıyla kanunun aslında öngörmediği işler yapılabilir.

Milli güvenlik kavramı kullanılarak tüm kişisel veriler toplanabilir ve işlenebilir. Böyle bir durumun önüne ancak toplumsal bir farkındalık ile geçilebilir. Toplumun büyük bir kesiminin umursamaması hangi kanun getirilirse getirilsin fayda sağlamayacaktır.

44. Kanun kişisel verilerimizin kullanımı ile ilgili sorunlarımız bitecek mi?

Hayır bitmeyecek. Tüm sorunlar çözülemeyeceği için de kanunda para cezaları düzenlenmiş. Unutmamak gerekir ki kanunun etkili olması bizlerin çabasına bağlıdır. Kendi hakkını korumayanın hakkını hiçbir kanun koruyamaz. Özellikle kişisel verilerle ilgili suçların soruşturulmasının şikâyete bağlı olduğunu düşünürsek, ancak biz sorunlarımızı çözmek istersek çözülür. Kanunlar ve kurumlar sadece bize yardımcı olacaktır.

45. Ben de cep telefonumda arkadaşlarımın bilgilerini tutuyorum. Ben de kanun kapsamında mıyım?

Evet. Kanun kişisel verileri işleyen gerçek kişilerin de kanun kapsamında olduğunu söylüyor. Bu durumda hepimiz de kişisel verilerin işlenmesi konusunda kanuna tabiyiz.

Kişiler arasındaki ilişkiler karşılıklı anlaşmaya bağlıdır. Bir arkadaşınız size telefon numarasını verirken ya da Facebook’ta doğum tarihini paylaşırken açık rızasını göstermektedir.

Size telefon numarasını vermek istemeyen birinin telefon numarasını arkadaşınızdan almanız durumunda bir sorun ortaya çıkacaktır ki aslında bu sorun size telefon numarasını veren arkadaşınızın sorunudur.

46. Bir arkadaşım başka bir arkadaşımın telefon numarasını istedi. Verirsem sorun olur mu?

Eğer arkadaşınızın onayı olmadan telefon numarasını bir başkasına verirseniz sorun olacaktır. Ancak arkadaşınız onay vermeyeceğini düşünmüyorsanız vermenizde sakınca yoktur. Çünkü Türk Ceza Kanunu’ndaki suç tanımının olması için sizin bu kasten yapmanız bir başka deyişle inadına yapmanız gerekir.

47. Facebook’ta tüm paylaşımlarımı herkes diye yapıyorum. Oradaki kişisel verilerim aleni kabul edilir mi?

Evet. Facebook size paylaşımlarınızı kimlerin görebileceğini seçme imkânı vermektedir. Güvenlik ayarlarından da birçok şeyi değiştirebiliyorsunuz. Bu durumda paylaştığınız kişisel verilerinizin herkes tarafından görülmesinde bir sakınca görmediğinizi de kabul etmiş olursunuz.

48. Arkadaşlarımla birlikte çektirdiğim fotoğraflarımı sosyal medyada paylaşıyorum. Sorun olur mu?

Sadece sizin olmadığınız başkalarının da olduğu fotoğraflar o kişiler açısından da kişisel veridir. Bu durumda sosyal medyadaki paylaşımlarınızda dikkatli olmanız gerekir. Şüphesiz siz bu paylaşımı yaparken arkadaşlarınızın onayı olduğunu düşünerek yapıyorsunuz. Arkadaşlarınızdan bu paylaşımı kaldırmanızı isterlerse paylaşımı kaldırınız ya da istemeyen arkadaşınızın yüzünü siliniz.

49. Arkadaşlarımla çektirdiğim fotoğrafı sosyal medyada paylaşmıştım. Sonra arkadaşlarımdan bir tanesi ile bozuştuk. Fotoğrafı kaldırmalı mıyım?

Arkadaşınızın fotoğrafın paylaşılmasına ses çıkarmaması ömür boyu ses çıkarmayacağı anlamına gelmez. İlk baştaki kabulünden sonrasında vazgeçebilir. Kaldırılmasını istediyse fotoğrafı paylaşımdan kaldırınız ya da yüzünü siliniz.

50. Artık her paylaşım için arkadaşlarımıza soracak mıyız?

Hayır. Birbirlerinin haklarına saygılı toplumlarda kanuna gerek yoktur. Ancak başkasının hakkına saygı göstermeyenler için kanuna ihtiyaç duyulur. Bu kanun arkadaşlık ilişkilerine etki etmeyecektir. Ama kişisel verilerin korunmasının önemi konusunda bir farkındalığı sağlayacaktır.

Diğer Yazılar

Güvenlik

KVKK Yeterli Güvenlik Tedbirlerinde Sınır

Kanuna göre veri sorumlusu kişisel verilerin güvenliği için yeterli güvenlik tedbirlerini almakla yükümlüdür. Yeterli olmasında sınır nedir?

Bir Kurul Kararı Daha

İlgili kişinin KEP adresine yaptığı başvurusuna zamanında cevap vermeyen veri sorumlusunun cevap vermesi ve vermemesi durumunda idari para cezası uygulanacağına ilişkin Kurul kararı

İstisnalar

Kurul’un Sicile kayıttan istisna tutulanları belirlediği kararının incelenmesi. Veri sorumlularının doğrudan belirlenmesi mevzuata aykırıdır.

KVKK – GDPR Karşılaştırması

23 mayısta İstanbul Barosu’ndaki etkinlikte yapılan KVKK-GDPR karşılaştırması sunumu. (Sürenin kısalığı sebebiyle en önemli maddelerin karşılaştırılması)

VERBİS’in Sorunları

Veri Sorumluları Sİcili VERBİS’in sunumda gösterilen halinde tespit edilen hukuksal, mantıksal ve teknik hatalar ve yorumlar

VERBİS Nasıl Çalışıyor?

Kişisel Verilerin Korunması Kanunu’nda öngörülen Veri Sorumluları Sicili VERBİS’in nasıl çalıştığına dair Kurumca yapılan sunumdaki bilgiler

7 Nisan’ın Önemi

7 Nisan 2016 öncesinde işlenen kişisel verilerin Kanun’a uygun hale getirilmesini düzenleyen Kanun’un geçici birinci maddesi ile ilgili açıklamalar

Bildiğimiz Ders: Kişisel Verilerini Kullanarak Kişileri Yönetmek

Facebook kullanıcıları ile kişisel verilerin seçimlerde seçmenlerin kararını manipüle etmek amacıyla kullanılması ilgili bir yazı

İrtibat Kişisi Muamması

Veri Sorumluları Sicili Hakkındaki Yönetmelik’te yer alan İrtibat Kişisi konusundaki düzenlemelerdeki çelişkiler ve hatalar

Kişisel Verileri Koruma Görevlisi (KVKG)

Veri sorumlularında yapılması gereken ve sürdürülmesi gereken görevler için görevlendirilecek kişisel verileri koruma görevlisi