Kişisel Verilerin Korunması Kanunu'nun uygulayıcısı olarak görev yapacak Kişisel Verileri Koruma Kurumu (KVKK), alışverişlerin kişiselleştiği, şirketler ve kurumların müşterilerinden daha fazla bilgi istediği bugünlerde gelişigüzel ve kanuna aykırı olarak veri işlenmesine ilişkin başvuruları değerlendirecek.
AYKIRI DAVRANANA 1 MİLYON LİRA CEZA
Türkiye'de giderek artan veri temelli ekonomi, kişisel verilerin farklı amaçlarla kullanılmasını yaygınlaştırdı. Şirketler ve şahısların talep ettiği verilerin güvenliği önemli bir sorun olarak ortaya çıktı.
KANUN ÇIKARILDI
KURUM OLUŞTURULDU
"Kişisel verilerin güvenliğinin sağlanması gerekir"
KVKK Başkanı Faruk Bilir, Kişisel verinin depolanması, muhafaza edilmesi, aktarılması gibi veri işleme faaliyetlerinin Kanunun genel ilkelerine ve veri işleme şartlarına bağlı olarak yapılabileceğini belirten Bilir, kişisel verilerin işlenmesinin yanı sıra güvenliğinin de sağlanması gerektiğini ifade etti.
Bu kapsamda çıkarılan kanunun, temel hak ve hürriyetlerin korunmasını, Türkiye'de veri işlemenin düzenlenmesi ve Türkiye'de veri işleyen gerçek ve tüzel kişilerin uyacakları usul ve esasların belirlenmesini amaçladığını aktaran Bilir, Kişisel Verileri Koruma Kurulunun da genel olarak bu kanunun uygulanmasını sağlamak, kanun çerçevesinde düzenleyici işlem yapmak, veri işlenmesinin kanuna uygun gerçekleştirilmesini sağlamak için çalıştığını söyledi.
Kişisel verilerin, kanunda belirtilen şartlar çerçevesinde işlenebileceğini belirten Bilir, "Kişisel verilerin korunması hakkı Anayasamızda bir temel hak olarak kabul edilmiştir yani bu bir Anayasal haktır. Diğer temel haklar gibi bu hak da önemli bir haktır. Çünkü kişisel verilerin korunması hakkının temelinde insan onuru ve şahsiyeti, kişilik hakları yer alıyor. Burada korunan kişilerdir. Kişisel veriler kişiyi tanımlayan onu belirli veya belirlenebilir kılan verilerdir. Bu da kişinin korunması açısından önemlidir." diye konuştu.
"Kişisel verilerin işlenmesinde 'açık rıza' önemli"
"Kanunda öngörülen genel ilkelerden birisi de amacın belirli ve ölçülü olmasıdır. Biz burada minimum veri toplama ilkesini benimsiyoruz. Gerekli olan veriler kanuna uygun olarak işlenebilir. Tabii bu verilerin güvenliğinin sağlanması da önemlidir. Kanun, veri güvenliği ihlali halinde bazı yaptırımlar öngörmüştür. Kurul olarak veri güvenliğinin nasıl sağlanacağına ilişkin 'Kişisel Veri Güvenliği Rehberi' yayımladık. Dolayısıyla 'Kişisel Veri Güvenliği Rehberi' sektöre yol gösterici niteliktedir."
"Belirli bir konuya ilişkin, bilgilendirilmeye dayalı özgür iradenin açıklanmasını" açık rıza olarak tanımlayan Bilir, "Bütün verilerimin işlenmesine açık rıza veriyorum, onay veriyorum." şeklindeki bir beyanın, kanundaki açık rıza tanımına uymadığını ifade etti.
"Açık rıza, bir hizmetten yararlanmanın ön şartı yapılamaz"
Bilir, bu şekildeki bir rızanın, "battaniye rıza" olarak kabul edilebileceğine ve kanundaki açık rızayı karşılamadığına dikkat çekti.
"Açık rızanın, bir hizmetten yararlanmanın ön şartı da yapılamayacağı" uyarısında bulunan Bilir, "Eğer bu konuda açık rızanızı vermezseniz bu hizmetten yararlanamazsınız" veya elektronik ortamdaki alışverişlerde, "Üye olmazsanız alışveriş yapamazsınız" şeklinde bir rıza alma yönteminin açık rıza kavramını karşılayamayacağını düşündüğünü aktardı.
"Örneğin, online alışveriş yapmak için bir siteye giriş yaptığınızda, alışverişe başlamadan önce tam olarak satın alma işlemi yapacağınız da kesin olmaksızın, sizden sitelerine üye olunması ve üye olunurken de satım sözleşmesi için gerekli olmayandan daha fazla bilgi istenmesi, aksi halde alışveriş yapamama durumunda kalınması halinde, açık rıza özgür irade ile verilmemiş olacaktır. Çünkü belirli bir hizmetten yararlanabilmeniz için gerekli olmayan kişisel verilerinizin verilmesi noktasında aslında bir nevi zorlanılmış oluyorsunuz."
1 milyon liraya kadar para cezası
Bilir, "Başta özel hayatın gizliliği olmak üzere, kişisel verilerin korunması amacıyla faaliyetlerimize devam edeceğiz. Kişisel verisi işlenen kişilerin şikayet ve ihbar başvurularını değerlendireceğiz. Bu kapsamda kişisel verilerin korunmasıyla ilgili ilke kararları alabiliriz." dedi.
Kişilerin temel hak ve özgürlüklerini korumak amacıyla faaliyetlerine devam edeceklerini dile getiren Bilir, kişisel verilerin korunmasını, Türkiye'de bir kültür olarak yerleştirmek gerektiğini savundu.
Bilir, verinin ekonomik katma değer olarak görüldüğü bu dönemde kişisel verilerin korunması hakkının ihlaline ilişkin verilmesi öngörülen 1 milyon liraya kadar para cezasının ne derecede etkili olacağına ilişkin ise şunları kaydetti:
"Bu, kanunda kabahat olarak düzenlenmiş. Asgari ve azami para cezası olarak belirli bir sınır aralığı belirtilmiş. 6698 sayılı Kanun'un 18. maddesinde idari para cezaları öngörülmüştür. Elbette bu cezalarda amaç caydırıcılıktır. Ben bu cezaların caydırıcı olacağını düşünüyorum. Aynı zamanda hukuka aykırı bir veri işleme, Türk Ceza Kanunu kapsamında suç olarak düzenlenmiştir. Buna mahkemelerimiz karar verecek. Bize başvuru yapılması, genel hükümler çerçevesinde mahkemelere gidilmesini önlemiyor. Ancak ortada suç varsa Türk Ceza Hukuku kapsamında süreç işleyecektir. Dolayısıyla biz de bir kurum olarak, bize intikal eden konularla ilgili eğer ortada bir suç şüphesinin varlığı söz konusu ise savcılığa ihbarda bulunabiliyoruz ya da ilgili kişileri savcılığa suç duyurusunda bulunabilecekleri yönünde yönlendiriyoruz."
Kişisel verilerinin kanuna aykırı olarak işlendiğini düşünen vatandaşların öncelikle veri sorumlusuna müracaat edeceğini anlatan Bilir, veri sorumlusunun cevabını yeterli görmeyen, başvurusu reddedilen ya da başvurusuna süresinde cevap verilmezse KVKK'ya başvuruda bulunabileceğini ifade etti.