Anasayfa / Blog
6698 Sayılı Kişisel Verilerin Korunması Kanunu’na göre kişisel verileri işlemek için bazı şartların oluşması gerekmektedir. Kişisel veriler işlenirken kanunlarla ve diğer hukuki düzenlemelerle getirilen ilkelere uygun hareket etmeli, ayrıca veriler işlenirken ilgili kişilerin çıkarlar da dikkate alınmalıdır.
Hukuka uygunluk, veri işlemenin KVKK’ ya ve diğer kanunlara aykırı olmamasıdır. Kişisel veriler toplanırken ve işlenirken uyulması gereken kurallar:
-Hukuka ve dürüstlük kurallarına uygun olma,
-Doğru ve gerektiğinde güncel olma,
-Belirli açık ve meşru amaçlar için işlenme,
-İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
-İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar muhafaza edilme.
KVKK md.5’e göre bazı haller dışında ‘‘Kişisel veriler ilgili kişinin açık rızası olmadan işlenemez…’’; KVKK md.6 ‘‘Özel nitelikli kişisel verilerin, ilgili kişinin açık rızası olmaksızın işlenmesi yasaktır…’’ hükmü bulunmaktadır.
Yirminci yüzyılın son çeyreğinde teknolojideki gelişmeler kamu ve özel sektörün yaptığı faaliyetlerle ilgili olarak kişilere ait bilgilerin toplanmasını kolaylaştırdığı gibi; toplanan bu bilgilerin hukuka aykırı amaçlar için kullanılmasına da zemin oluşturmuş, kişilerin özel hayat alanına müdahaleyi daha kolay hale getirmiştir. İnternetin keşfi ve sosyal medya araçlarının yaygınlaşmasıyla birlikte kişisel bilgileri sınırsız bir şekilde toplanan, kullanılan ve devredilen bireyin korunması bir zorunluluk olarak ortaya çıkmıştır. Bu durum devletleri özel hayatın bir parçasını oluşturan kişisel verilerin daha etkin şekilde korunmasına yönelik düzenlemeler yapmaya sevk etmiştir.
Türkiye, hem konuya ilişkin uluslararası sözleşmelere taraf olarak, hem de iç hukukunda yaptığı düzenlemelerle kişisel verilerin hukuka aykırı amaçlarla kullanılmasına karşı hukuki koruma mekanizmasını oluşturmuştur. Bu çerçevede kişisel verilerin korunması hakkı anayasal bir hak olarak kabul edilmiş ve özel bir kanun çıkartılarak kişisel verilerin işlenmesi süreci için bütüncül bir koruma sağlanması amaçlanmıştır. Kişisel verilerin korunmasının en etkin yollarından birisi de bu hakkın ihlaline yönelik fiilleri suç haline getirmektir. Nitekim TCK’ da kişisel verilerin hukuka aykırı olarak ele geçirilmesi, kaydedilmesi, başkalarına verilmesi ve yayılması ile hukuka uygun olarak kaydedilen verilerin kanunda belirlenen süre geçmesine rağmen sistemden silinmemesi fiilleri suç olarak tanımlanmıştır.
Kanunun getirdiği bu kurallara uymadan kişisel verileri işlemenin bazı yaptırımları bulunmaktadır. Bu yaptırımlarla ilgili KVKK resmî sitesinde bulunan bazı KVKK Kurul kararları mevcuttur.
“İlgili kişinin oturmakta olduğu binaya, komşusu tarafından kamera yerleştirilerek kayıt ve izleme gerçekleştirilmesi hakkında” Kişisel Verileri Koruma Kurulunun 27/02/2020 tarihli ve 2020/187 sayılı Karar Özeti
‘‘..Kuruma intikal eden şikâyet dilekçesinde özetle; ilgili kişinin oturmakta olduğu bina içerisine komşusu tarafından 2 tanesi dışarıyı, 1 tanesi apartman girişini, 1 tanesi kat arasını gösterecek şekilde 4 tane kamera yerleştirildiği, bu kameralarla kayıt ve izleme gerçekleştirildiği, kişilerin huzur ve sükûnunu bozma, hukuka aykırı olarak kişisel verileri kaydetme, özel hayatın gizliliğini ihlal etme suçlarının işlendiği, kameraları yerleştiren komşu hakkında savcılığa da şikâyette bulunulduğu ifade edilerek gereğinin yapılması, şahsın cezalandırılması ve kamera görüntülerinin tarafına iadesi talep edilmektedir.’’
‘‘Konuya ilişkin yapılan değerlendirme neticesinde, Kişisel Verileri Koruma Kurulunun 27/02/2020 tarihli ve 2020/187 sayılı kararı ile;
Hukuka aykırı veri işleme faaliyetleri bazı konularda TCK’nın faaliyet alanına girmektedir.
İlgili KVKK Kurul Kararına buradan ulaşabilirsiniz.
“İlgili kişinin ortağı olduğu şirkette kullandığı e-posta adresine izinsiz ve hukuka aykırı olarak erişildiği iddiası” hakkında Kişisel Verileri Koruma Kurulunun 27/01/2020 tarihli ve 2020/59 sayılı Karar Özeti
‘‘…Kuruma intikal eden bir şikâyette, ilgili kişinin ortağı bulunduğu …….Ltd. Şti bünyesinde kullanmakta olduğu (isminin baş harfi ve soyadı)@şirketadı.com.tr şeklindeki ve kişisel verilerinin de bulunduğu kişisel e-posta hesabına izinsiz ve hukuka aykırı olarak erişildiği, erişim ayarlarının değiştirildiği, söz konusu e-posta hesabına ait tüm verilerin silinmesi ve kaldırılması konusunda bu e-posta hesabının bulunduğu IP adreslerinin sahibi veri sorumlusu … Menkul Kıymetler A.Ş.’ den noter kanalıyla talepte bulunulduğu; ancak, talebin reddedildiği belirtilerek, söz konusu hususlara ilişkin 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir.’’
‘‘…ilgili kişinin şikâyeti, veri sorumlusunun savunması neticesinde ve ilgili mevzuat hükümlerinin birlikte incelenmesi neticesinde Kişisel Verileri Koruma Kurulunun 27/01/2020 tarih ve 2020/59 sayılı Kararı…’’
‘‘…kişinin ortağı olduğu şirkete ilişkin hakların korunması amacıyla söz konusu e-posta adresine ilişkin sunucu yedek kayıtlarından elde edilen kişisel verilerin Kanunun 5 inci maddesinin (2) numaralı fıkrasının (e) bendinde yer alan “….bir hakkın tesisi, kullanılması ve korunması kapsamında veri işlemenin zorunlu olması” kapsamında işlendiği ve kişisel veriler kullanılarak Asliye Ticaret Mahkemesi nezdinde açılan dava nedeniyle gerçekleştirilen kişisel veri işleme faaliyetinin ise Kanunun 28 inci maddesinin 1 numaralı fıkrasının (d) bendi hükmü kapsamında olduğu değerlendirildiğinden söz konusu şikayet ile ilgili Kanun kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir.’’
İlgili KVKK Kurul Kararına buradan ulaşabilirsiniz.
“Bir Sigorta Acentesinin müşterilerine ait kişisel verileri herkese açık sosyal medya platformlarında müşterilerinden habersiz olarak ve reklam amacıyla paylaşması hakkında” Kişisel Verileri Koruma Kurulunun 27/01/2020 Tarihli ve 2020/58 Sayılı Karar Özeti
‘‘…kurumumuza intikal eden bir ihbarda, bir Sigorta Acentesinin müşterilerine ait kişisel verileri herkese açık sosyal medya platformlarında müşterilerinden habersiz olarak reklam amacıyla paylaştığı, bu hususta poliçe sahiplerinin izninin olmadığı belirtilerek gerekli yasal işlemin yapılması talep edilmiş, ihbarı destekler nitelikte olan, ilgili sosyal medya paylaşımlarına ayrıca dilekçe ekinde yer verilmiştir.’’
‘‘…veri sorumlusu sigorta acentesinden alınan savunma dikkate alınarak;
-Müşterilere ait kişisel verilerin herkese açık sosyal medya hesapları üzerinden paylaşıldığı ancak bu paylaşımlar yapılırken program özelliği ya da kâğıt gibi vasıtalarla kişisel verilerin gizlenmeye çalışıldığı ancak kimi paylaşımlarda bu hususun dikkatsizlik ve acelecilik gibi nedenlerle gözden kaçırıldığı,
-Kurumumuzca yazısı alındıktan sonra gözden kaçan ilgili paylaşımların silindiği,
-Ayrıca poliçe kayıtlarının tutulduğu sistemde, kullanılan sistemin özelliği gereği, kimlik numaraları kapatıldığı için hiçbir zaman kimlik numaralarını içeren paylaşım yapılmadığı,
Konuya ilişkin eksikliğin bilgisizlikten kaynaklandığı ve belirtilmesi halinde gerekli düzeltmeleri yapabilecekleri…’’
‘‘…hususlarından hareketle müşterilerine ait kişisel verileri herkese açık sosyal medya platformlarında müşterilerinden habersiz olarak ve reklam amacıyla paylaşan veri sorumlusu hakkında Kanunun 18 inci maddesinin birinci fıkrasının (b) bendinde kapsamında 22.500 TL idari para cezasının uygulanmasına…’’
Veri sorumluları kişisel verileri hukuka uygun olarak işlemek zorundadır. İlgili KVKK Kurul Kararına buradan ulaşabilirsiniz.