Av. Muhittin Ertuğrul ERTÜRK yazdı…
6698 sayılı Kişisel Verilerin Korunması hakkında kanunun 2016 yılında yayımlanmasını müteakip 2017 yılında Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmelik yayımlanmış, akabinde ise Kişisel Veriler Koruma Kurulu Ankara merkezli olarak faaliyete geçmiştir. 2018 yılında ise ikincil mevzuatın oluşturulması çalışmalarını hız verilmiştir. Bu mevzuat oluşturulması sürecinde aşağıdaki iki yeni ikincil mevzuat yürürlüğe girmiştir.
10.03.2018 tarihli Resmi Gazete “Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ” yayınlanmıştır. Kurul, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) 13. maddesi ve 22. maddesinin birinci fıkrası kapsamında; veri sorumlusuna başvuru ve sair konularda kendi görev ve yetkileri dâhilinde bulunan usul ve esasları belirlemek üzere, Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’i hazırlamıştır.
Kanun’un 13. maddesinde kişisel verisi işlenen kişinin, Kanunun uygulanmasına dair taleplerini, veri sorumlusuna iletebileceği ve söz konusu başvuru ile bu başvurunun cevaplanmasına ilişkin esasların Kurul tarafından belirleneceği belirtilmiştir. Maddenin ikinci fıkrasında, ilgili kişinin yapacağı başvurunun, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırılması gerektiği düzenlenirken; talep konusu işlemin ek bir maliyet gerektirdiği durumlarda yansıtılacak ücrete ilişkin tarifenin, Kurul tarafından belirleneceği öngörülmüştür.
Tebliğ’de verisi işlenen gerçek kişilerin, yazılı olmak ve Türkçe yapılmak şartıyla, veri sorumlusuna başvuru hakkı bulunduğu düzenlenerek, işbu başvuruda bulunması gereken unsurlar sayılmıştır.
Veri sorumlusu, Tebliğ doğrultusunda; ilgili kişi tarafından yapılacak başvuruları hukuka ve dürüstlük kuralına uygun olarak sonuçlandırmak üzere gerekli her türlü idari ve teknik tedbirleri almakla yükümlüdür.
Bu kapsamda veri sorumlusu; başvuruyu kabul veya gerekçesini açıklayarak reddeder ve de cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir.
İlgili kişi, Kanunun 11 inci maddesinde belirtilen hakları kapsamında taleplerini, yazılı olarak veya kayıtlı elektronik posta (KEP) adresi, güvenli elektronik imza, mobil imza ya da ilgili kişi tarafından veri sorumlusuna daha önce bildirilen ve veri sorumlusunun sisteminde kayıtlı bulunan elektronik posta adresini kullanmak suretiyle veya başvuru amacına yönelik geliştirilmiş bir yazılım ya da uygulama vasıtasıyla veri sorumlusuna iletir. Başvuruda; a) Ad, soyad ve başvuru yazılı ise imza, b) Türkiye Cumhuriyeti vatandaşları için T.C. kimlik numarası, yabancılar için uyruğu, pasaport numarası veya varsa kimlik numarası, c) Tebligata esas yerleşim yeri veya iş yeri adresi, ç) Varsa bildirime esas elektronik posta adresi, telefon ve faks numarası, d) Talep konusu, bulunması zorunludur, (3) Konuya ilişkin bilgi ve belgeler başvuruya eklenir, (4) Yazılı başvurularda, veri sorumlusuna veya temsilcisine evrakın tebliğ edildiği tarih, başvuru tarihidir, (5) Diğer yöntemlerle yapılan başvurularda; başvurunun veri sorumlusuna ulaştığı tarih, başvuru tarihidir.
Veri sorumlusu tarafından ilgiliye verilecek cevap yazısının; veri sorumlusu veya temsilcisine ait bilgileri, başvuru sahibinin adı ve soyadını, Türkiye Cumhuriyeti vatandaşları için T.C. kimlik numarasını, yabancılar için uyruğunu, pasaport numarasını veya varsa kimlik numarasını, tebligata esas yerleşim yeri veya iş yeri adresini, varsa bildirime esas elektronik posta adresini, telefon ve faks numarasını, talep konusunu ve veri sorumlusunun başvuruya ilişkin açıklamalarını içermesi zorunludur.
Veri sorumlusu başvuruyu Kanun’da da düzenlediği üzere, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır.
Tebliğ’de işlemin ayrıca bir maliyet gerektirmesi durumlarında alınacak ücretin esasları 7. maddede belirlenmiş ve başvurunun, veri sorumlusunun hatasından kaynaklandığı hallerde alınan ücretin ilgiliye iade edilmesi gerektiğine hükmedilmiştir. İlgili maddeye göre, başvuruya yazılı olarak cevap verilen hallerde, 10 sayfaya kadar ücret alınmayacak ve bu sınırı aşan cevap yazılarında, her bir sayfa başına 1 Türk Lirası alınabilecektir.
10 Mart 2018 tarihli, 30356 Sayılı Resmi Gazete’de yayımlanan Kişisel Verileri Koruma Kanunu (Kanun) uyarınca, veri sorumluları veya veri sorumlularının yetkilendirdikleri kişilerce yerine getirilmesi gereken aydınlatma yükümlülüğü kapsamında uyulması öngörülen usul ve esasların belirlendiği bir “Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul Ve Esaslar Hakkında Tebliğ” yürürlüğe girmiştir. Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’de, aydınlatma yükümlülüğünün kapsamı belirlenerek; işbu yükümlülük neticesinde izlenecek usul ve esaslar, kişisel verilerin ilgili kişiden elde edilmesi ve ilgili kişiden elde edilmemesi şeklinde ikili bir ayrım yapılmak suretiyle tespit edilmiştir.
Kanun’un 10. maddesinde öngörülen aydınlatma yükümlülüğü yerine getirilirken veri sorumluları tarafından yapılacak olan bilgilendirmenin asgari olarak; veri sorumlusunun ve var ise temsilcisinin kimlik bilgilerini, kişisel verilerin hangi amaçla işleneceğini, kimlere hangi amaçla aktarılabileceğini, kişisel verilerin toplanması kapsamında benimsenen yöntemi, hukuki sebebi ve kişisel verileri işlenen gerçek kişinin Kanun’un 11. maddesinde sayılan haklarını içermesi gerekmektedir.
Kişisel Verilerin İlgili Kişiden Elde Edilmesi Halinde Öngörülen Usul ve Esaslar;
Kişisel verinin işlendiği her durumda aydınlatma yükümlülüğü yerine getirilmelidir.
Kişisel verinin işleme amacı değiştiğinde, henüz veri işlenmeden yeni amaç için aydınlatma yükümlülüğü ayrıca yerine getirilmelidir.
Veri sorumlusunun farklı birimlerinde kişisel verilerin farklı amaçlarla işlenmesi halinde; aydınlatma yükümlülüğü her birim nezdinde müstakilen yerine getirilmelidir.
Sicile kayıt yükümlülüğünün söz konusu olduğu hallerde, ilgili kişiye tesisi gereken bilgiler, Sicile açıklanan bilgilerle paralel olmalıdır.
Aydınlatma yükümlülüğünün yerine getirilmesi, ilgili kişinin talebine bağlı olmadığı gibi; aydınlatma yükümlülüğünün yerine getirildiğinin ispatı veri sorumlusuna ait olacaktır.
İşleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi halinde, aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerekmektedir.
Kişisel veri işleme amacının belirli, açık ve meşru olması gerektiği gibi, kişisel verileri işlenen gerçek kişiye yapılacak bildirimin de anlaşılır ve açık olması gerekmektedir.
Aydınlatma yükümlülüğü yerine getirilirken, kişisel verilerin hangi işleme şartına dayanılarak işlendiğini gösteren hukuki sebep açıkça belirtilmelidir.
Kişisel verilerin aktarılma amacı ve aktarılacak alıcı grupları ile verilerin hangi yöntem veya yöntemlerle elde edildiği açık bir şekilde belirtilmelidir.
Yükümlülük yerine getirilirken eksik, yanıltıcı ve yanlış bilgilere yer verilmemelidir.
Kişisel Verilerin İlgili Kişiden Elde Edilmemesi Halinde Aydınlatma Yükümlülüğü;
Kişisel verilerin ilgili kişiden elde edilmemesi halinde, aydınlatma yükümlülüğünün, kişisel verilerin, ilgili kişi (kişisel verileri işlenen gerçek kişi) ile iletişim kurulması amacıyla kullanılacak olması halinde, ilgili kişi ile ilk iletişimin kurulduğu esnada; kişisel verilerin aktarılacak olması halinde ise, kişisel verilerin ilk transferinin yapılacağı esnada veya daha öncesinde yerine getirilmesi gerekmektedir.
Çalışmalarına başlayan kurul ilk ihlal kararlarını da vermeye başlamıştır. Kişisel Verileri Koruma Kurumu’na yapılan başvuru üzerine Kurulca hükmedilen 08.02.2018 tarih ve 2018/13 sayılı kararında, kurul aşağıdaki özet kararı vermiştir;
Başvuruya konu olay, bir kişinin üyeliğini sona erdirdiği spor salonuna karşı, üyelik ücretinin iadesi talebiyle tüketici mahkemesi nezdinde açmış olduğu davada; mahkemenin söz konusu üyelik ücretinin iade edilip edilmediğinin tespiti amacıyla davalının hesabının bulunduğu Bankaya yazı yazarak bilgi talep etmesi ve işbu talep üzerine, Bankanın, davalı tarafın banka hesabından söz konusu iade işleminin yapılıp yapılmadığı bilgisinin yanı sıra, mahkemece özellikle talep edilmemiş olmasına rağmen, davalının Kasım 2016 – Nisan 2017 dönemine ait 6 aylık hesap ekstresini mahkemeye göndermesi şeklinde gerçekleşmiştir. Davalı taraf bu olay sonrasında, kişisel verilerinin kanuni bir yükümlülük veya yetkili kamu kurumu tarafından talep olmadan paylaşıldığı ve söz konusu kişisel verilerin gerek davacı tarafın gerekse dosyaya bakan tüm avukat ve stajyer avukatların görebilecek olmasının kabul edilemez olduğu gerekçeleriyle Kurum’a durumu iletmiştir. Kuruma gelen başvuru Kişisel Verileri Koruma Kurulu (Kurul) tarafından incelenmiş ve yapılan değerlendirmeler sonucunda; mahkeme tarafından istenmeyen belgelerin dosyaya sunulması sonucu KVKK’nın 12. maddesinin 1. fıkrasının (c) bendinde öngörülen veri güvenliğinin sağlanamadığına ve bu nedenle KVKK’nın 18. maddesinin 1. fıkrasının (b) bendi gereğince, Banka hakkında 30.000 TL idari para cezası uygulanmasına karar verilmiştir. Başvurucu tarafından, Bankanın, kendi kuruluşunda Kanunun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapma yükümlülüklerine aykırı davrandığı iddiası hakkında ise; Banka tarafından Kanuna uyum süreci çalışmalarına ve bilgi işletim sistemlerinde gerekli altyapının kurulması çalışmalarına devam edildiği, personel eğitim çalışmalarının yapıldığı, söz konusu uyum süreci çalışmalarının banka içerisinde oluşturulan Denetim Komitesince denetlendiği hususları dikkate alınarak Kurulca herhangi bir işlem yapılmasına gerek olmadığı sonucuna varılmıştır.