Anasayfa / Blog
Kişisel verilerin korunması günümüzde önemli bir konu haline gelmiştir. Özellikle teknolojinin hızla ilerlemesi ile birlikte, kişisel verilerin korunması konusu daha da önem kazanmıştır. Bu nedenle, 6698 Sayılı Kişisel Verilerin Korunması Kanunu, Türkiye'de bu alanda öne çıkan bir yasa haline gelmiştir.
6698 Sayılı Kişisel Verilerin Korunması Kanunu, kişisel verilerin işlenmesi ve korunması ile ilgili birçok hüküm içermektedir. Bu kanunun önemli bir hükmü de açık rıza alınması gerektiği durumlardır. Açık rıza alınmadan kişisel verilerin işlenmesi durumunda yasal yaptırımlar da mevcuttur.
Öncelikle, açık rıza nedir ve ne zaman gereklidir? Açık rıza, kişisel verilerin belirli bir amaç için işlenmesine izin vermek amacıyla bireyin açıkça ve bilinçli olarak verdiği izindir. Kişisel verilerin işlenmesi için açık rızanın alınması, kanunun birçok maddesinde belirtilmiştir. Örneğin, hassas kişisel verilerin işlenmesi için mutlaka açık rıza alınması gerekmektedir.
Ancak, açık rıza alınmadan kişisel verilerin işlenmesi durumunda ne olur? Bu durumda, Kişisel Verileri Koruma Kurumu şikâyet üzerine veya re'sen tespit edilmesi durumunda, Veri güvenliğine ilişkin yükümlülükler başlıklı 12. maddesinin ilk fıkrasının a bendi uyarınca kişisel verilerin hukuka aykırı olarak işlenmesini önlemek hükmüne aykırılıktan dolayı aynı kanunun 18. maddesinin birinci fıkrasının b bendi gereğince idari para cezası verilebilir.
Bu cezalar 2023 yılı itibari ile 89.579,96 Türk lirasından başlayarak 5.972.040,56 Türk lirasına kadar çıkabilir. Bu cezaların caydırıcılığı yüksektir ve kişisel verilerin korunmasına yönelik bir farkındalık oluşturur. Bu nedenle, kişisel verilerin korunması konusunda şirketlerin ve kurumların yasal yükümlülüklerini yerine getirmeleri ve açık rızanın alınması konusunda hassasiyet göstermeleri önemlidir.
Ayrıca, Kişisel Verilerin Korunması Kanunu'nun veri güvenliği ile ilgili yükümlülüklerin yerine getirilmemesi durumunda da benzer bir idari para cezası uygulanabilir. Bu yükümlülükler arasında, veri güvenliğini sağlamak için alınması gereken teknik ve idari önlemlerin belirlenmesi, kişisel verilerin işlenmesinde gizliliğin korunması ve veri güvenliğinin sağlanması yer alır.
Kişisel Verileri Koruma Kurumu’nun yayımladığı kurul kararları ışığında açık rıza yükümlülüğü ihlallerine örnekler;
Reklamcılık amaçlı SMS gönderimi: Bir şirket, müşterilerine reklamcılık amaçlı SMS göndermek istediğinde, bu işlem için müşterilerin açık rızasını almak zorundadır. Eğer şirket, açık rıza almadan SMS gönderimi gerçekleştirirse, bu Kişisel Verilerin Korunması Kanunu'na aykırı bir davranış olarak kabul edilebilir.
Kişisel verilerin üçüncü şahıslarla paylaşımı: Bir şirket, müşterilerinin kişisel verilerini üçüncü şahıslarla paylaşmak istediğinde, bunun için müşterilerin açık rızasını almak zorundadır. Örneğin, bir müşterinin adını, adresini ve telefon numarasını bir pazarlama şirketiyle paylaşmak için açık rıza alınması gerekir. Aksi takdirde, bu işlem Kişisel Verilerin Korunması Kanunu'na aykırıdır.
Kamuoyu araştırmaları: Bir araştırma şirketi, kamuoyu araştırmaları için müşterilerin kişisel verilerini kullanmak istediğinde, açık rızalarını almak zorundadır. Bu tür araştırmalar için müşterilerin isimleri, yaşları ve diğer kişisel bilgileri kullanılabilir. Ancak, müşterilerin açık rızası alınmadan yapılan bu tür araştırmalar Kişisel Verilerin Korunması Kanunu'na aykırıdır.
E-posta pazarlaması: Bir şirket, müşterilerine e-posta pazarlaması yapmak istediğinde, müşterilerin açık rızasını almak zorundadır. Şirket, müşterilerin e-posta adreslerini kullanarak pazarlama mesajları gönderemez. Eğer şirket açık rıza almadan bu tür pazarlama faaliyetlerinde bulunursa, bu Kişisel Verilerin Korunması Kanunu'na aykırıdır.
Bunlara ek olarak bir alışveriş sitesinin müşteri bilgilerini, müşterilerin açık rızalarını almadan reklam amaçlı olarak üçüncü şirketlerle paylaşması bir açık rıza ihlali olarak değerlendirilebilir.
Benzer şekilde, bir işverenin çalışanların sağlık bilgilerini işleme koyması ve bunları işyeri sigortası gibi amaçlarla kullanması için açık rızalarını almamış olması da bir açık rıza ihlali olarak kabul edilebilir.
Bir diğer örnek ise bir mobil uygulamanın, kullanıcıların konum bilgilerini, bildirimleri özelleştirmek ve reklam amaçlı olarak kullanmak üzere toplaması ve bu bilgileri kullanıcıların açık rızalarını almadan üçüncü şirketlerle paylaşmasıdır.
Bu örneklerin hepsi, Kişisel Verilerin Korunması Kanunu'na göre açık rıza alınması gerektiği halde açık rıza alınmadan gerçekleştirilen veri işleme faaliyetlerinin açık rıza ihlali olarak kabul edilebileceğini göstermektedir. Bu ihlallerin tespiti halinde, işletmelere yüksek miktarda idari para cezası verilebilir ve işletmeler itibar kaybı yaşayabilir.
İşletmelerin açık rızanın önemini ve gerekliliğini anlaması, açık rızanın nasıl alınacağına ve hangi durumlarda alınması gerektiğine dair uygun prosedürleri belirlemesi ve uygulaması, veri güvenliğine önem vermesi ve veri işleme faaliyetlerinin yasalara uygunluğunu sıkı bir şekilde denetlemesi gerekmektedir.
Öte yandan Kişisel Verileri Koruma Kurul’unun idari yaptırımlarının yanı sıra Türk Ceza Kanunu’nun 135 ila 140. Maddeleri arasında kişisel verilerin korunması konusunda suç teşkil eden haller de düzenlenmiştir.
Türk Ceza Kanunu'nun ilgili maddeleri uyarınca, kişisel verilerin rıza olmadan kaydedilmesi suç teşkil etmektedir. Bu suçun örnekleri arasında, gizli dinleme, kayıt veya takip cihazları kullanarak başka insanların özel hayatlarına müdahale etmek yer almaktadır.
Örneğin, bir şirket çalışanının özel telefon görüşmelerini izinsiz bir şekilde kaydetmesi veya bir kişinin evinin yakınına takip cihazı yerleştirilmesi, kişisel verilerin hukuka aykırı bir şekilde kaydedilmesi olarak değerlendirilmektedir. Ayrıca, bir işverenin çalışanların sağlık verilerini veya sendikal bağlantılarını kaydetmesi de suç teşkil etmektedir.
Bu tür suçların cezaları, kişisel verilerin kaydedilmesi suçunda bir yıldan üç yıla kadar hapis cezası öngörülmektedir. Verileri hukuka aykırı olarak verme veya ele geçirme suçunda ise iki yıldan dört yıla kadar hapis cezası öngörülmektedir. Ayrıca, nitelikli hallerde verilecek cezalar yarı oranında arttırılabilmektedir.
Sonuç olarak, Türk Ceza Kanunu kişisel verilerin korunması konusunda da oldukça sert cezalar öngörmektedir. Bu nedenle, açık rıza alınması gerektiği durumlarda alınmayan rızalar sonrasında gerçekleştirilen veri işleme faaliyetleri ciddi yasal sonuçlar doğurabilir. Kurumlar ve bireyler, Kişisel Verilerin Korunması Kanunu ve Türk Ceza Kanunu hükümlerine uygun şekilde hareket etmelidirler.