7 Nisan’ın Önemi

Av. Hasan Selçuk Turan

7 Nisan yaklaştıkça bir çok şirket "açık rızanızı verin yoksa haklarınız yanacak" şeklinde e-postalar, SMSler göndermektedir. Bazı kişiler de Kurum'un bu tarihten sonra ceza yazmaya başlayacağını iddia ediyor.

Gerçekten 7 Nisan bir milat mıdır? Milat ise neyin miladıdır?

Kanun'da 7 Nisan 2016 tarihinde yürürlüğe girdiğinde tüm maddeleri ile yürürlüğe girmedi. İlgili kişilerin haklarını kullanabilme imkanı 6 ay sonrasına bırakılmıştır. Bir de geçici madde vardı. Kanun yürürlüğe girmeden önce yani 7 Nisan 2016'dan önce toplanmış olan kişisel verilerle ilgili ne yapılacağını gösteren bir madde.

GEÇİCİ MADDE 1
(3) Bu Kanunun yayımı tarihinden önce işlenmiş olan kişisel veriler, yayımı tarihinden itibaren iki yıl içinde bu Kanun hükümlerine uygun hâle getirilir. Bu Kanun hükümlerine aykırı olduğu tespit edilen kişisel veriler derhâl silinir, yok edilir veya anonim hâle getirilir. Ancak bu Kanunun yayımı tarihinden önce hukuka uygun olarak alınmış rızalar, bir yıl içinde aksine bir irade beyanında bulunulmaması hâlinde, bu Kanuna uygun kabul edilir.

Öncelikle belirtmek gerekir ki bu geçiş süreci kapsamına giren kişisel verilerin açık rızayla işlenmesi gereken kişisel veriler olması gerekir. Diğer kanunlarda öngörülen kişisel verilerin işlenmesini düzenleyen mevzuata göre işlenen kişisel veriler bu düzenlemenin kapsamı dışındadır. Ayrıca bu Kanun'da izin verilen açık rıza olmadan da işlenebilen kişisel veriler de bu düzenlemeden etkilenmez.

Kanun'un bu geçiş düzenlemesi 7 Nisan 2016 öncesi işlenen kişisel verileri 2 gruba ayırıyor.

1. Alındığı anda hukuka uygun olarak alınmış rızaya istinaden işlenen kişisel veriler
"Bu Kanunun yayımı tarihinden önce hukuka uygun olarak alınmış rızalar, bir yıl içinde aksine bir irade beyanında bulunulmaması hâlinde, bu Kanuna uygun kabul edilir" ifadesi çok açık. 7 Nisan 2016 öncesi o anki mevzuata göre rızası bulunan kişisel veriler için süre 6 Nisan 2017 tarihinde sona erdi. Eğer ilgili kişi bildirimde bulunarak rızasını geri çekmemişse alınan rıza Kanun'a uygun açık rıza haline geldi.

Buna göre şu sıralarda özellikle sadakat kartlarla (loyalty card) ilgili "açık rızanızı verin" çağrılarının hukuki bir dayanağı yok. Şirket sadakat kartını talep üzerine vermişse ya da şirket gönderdikten sonra müşteri kullanarak sadakat kartı almayı kabul etmiş ve bilgilerini vermişse ortada açık rıza sorunu yoktur. Şirketlerin hukuka uygun bir rızası olanlar için tekrardan açık rıza almasında hukuken bir sakınca olmamakla birlikte gerek de yoktur. Sadece müşterilerin kafasını karıştırmaktan başka bir işe yaramaz.

Kişisel verilerin silinmesi de bir kişisel veri işlemidir. Kanunda kişisel verilerin ne zaman imha edileceği de bellidir. Kişisel veriler "işlenme şartları ortadan kalktıktan sonra" silinebilir. Bu durumda işlenme şartları ortadan kalkmayan kişisel veriler imha edilemez.

Kanun'un öngördüğü şekilde açık rızaya sahip hale gelmiş olan sadakat kartlar iptal edilemez ve varsa puanları da silinemez. Bunun yapılması durumunda şirketler ilgili kişilerin zararlarını tazmin etmek zorundadır.

Keza aynı şekilde ilgili kişilerin üyelikleri ya da benzer hukuki ilişkilerde de ilgili kişinin menfaati varsa ve veri sorumlusunun bu hukuki ilişkiyi bitirme hakkı yoksa veri sorumlusu açık rızanın olmadığını sanarak kişisel verileri imha etmesi hak ihlalidir.

2. Alındığı anda hukuka uygun rızası bulunmadan işlenen kişisel veriler

Hukuka uygun olarak elde edilmeyen kişisel veriler Türk Ceza Kanunu'nun 135 ve 138'nci maddelerine göre suçtur. Bu kişisel veriler için ilgili kişinin açık rızasının alınması suçu ortadan kaldırmaz. Çünkü TCK'nın 139'ncu maddesinde de özellikle bu suçların şikayete bağlı olmadığı yazmaktadır. Açık rızanın alınması ancak ilgili kişiye karşı hukuki sorumluluğu ortadan kaldırabilir ancak cezai sorumluluk devam eder.

7 Nisan 2016'dan Sonra Toplanan Kişisel Veriler

Kanun'un kişisel verilerin işlenmesini, açık rızayı ve aydınlatma yükümlülüğünü düzenleyen maddeleri 7 Nisan 2016 tarihinde yani Kanun yayınlandığı anda yürürlüğe girdi. Yani 7 Nisan 2016'dan sonra toplanan kişisel verilerin toplanması sırasında Kanun hükümlerine uygun olarak ilgili kişilerin aydınlatılması ve açık rızasının alınması gerekiyordu. Bu şartlar yerine getirilmeden toplanan kişisel veriler hukuka uygun olarak toplanmış sayılamazlar ve bu durumda da cezai sorumluluk ortaya çıkar. Üstelik bu kişisel veriler için de bir geçiş dönemi Kanun'da öngörülmemiştir.

Sonuç

Kanun'un geçici birinci maddesindeki toplanması sırasında hukuka uygun olan kişisel veriler için ilgili kişinin rızası olmadığını belirten bir bildirimi yoksa açık rızası vardır ve veri sorumlusunun bunu silmek için 7 Nisan 2018 tarihini ileri sürmesi mümkün değildir. Aksine bu kişisel verileri silmesi ilgili kişinin haklarının ihlal edilmesi anlamına gelir.

7 Nisan 2016 tarihinden önce ilgili kişinin hukuka uygun rızası olmayan kişisel veriler için açık rızanın alınması cezai sorumluluğu ortadan kaldırmaz.

Diğer Yazılar

Bir Kurul Kararı Daha

İlgili kişinin KEP adresine yaptığı başvurusuna zamanında cevap vermeyen veri sorumlusunun cevap vermesi ve vermemesi durumunda idari para cezası uygulanacağına ilişkin Kurul kararı

İstisnalar

Kurul’un Sicile kayıttan istisna tutulanları belirlediği kararının incelenmesi. Veri sorumlularının doğrudan belirlenmesi mevzuata aykırıdır.

KVKK – GDPR Karşılaştırması

23 mayısta İstanbul Barosu’ndaki etkinlikte yapılan KVKK-GDPR karşılaştırması sunumu. (Sürenin kısalığı sebebiyle en önemli maddelerin karşılaştırılması)

VERBİS’in Sorunları

Veri Sorumluları Sİcili VERBİS’in sunumda gösterilen halinde tespit edilen hukuksal, mantıksal ve teknik hatalar ve yorumlar

VERBİS Nasıl Çalışıyor?

Kişisel Verilerin Korunması Kanunu’nda öngörülen Veri Sorumluları Sicili VERBİS’in nasıl çalıştığına dair Kurumca yapılan sunumdaki bilgiler

Bildiğimiz Ders: Kişisel Verilerini Kullanarak Kişileri Yönetmek

Facebook kullanıcıları ile kişisel verilerin seçimlerde seçmenlerin kararını manipüle etmek amacıyla kullanılması ilgili bir yazı

İrtibat Kişisi Muamması

Veri Sorumluları Sicili Hakkındaki Yönetmelik’te yer alan İrtibat Kişisi konusundaki düzenlemelerdeki çelişkiler ve hatalar

Kişisel Verileri Koruma Görevlisi (KVKG)

Veri sorumlularında yapılması gereken ve sürdürülmesi gereken görevler için görevlendirilecek kişisel verileri koruma görevlisi

Kişisel Veri İşleme Envanteri

Veri sorumlularının aydınlatma yükümlülüğünün yerine getirilmesi, Veri Sorumluları Sicili’ne kayıt ve imha politikası için başvurulması gereken belge