Yazı: Berk İybar
Kişisel Verilerin Korunması Kanunu olarak hayatımıza giren KVKK, dijital çağda çok büyük önem taşıyor. 7 Nisan 2016 tarihinde 6698 sayılı kanun Resmi Gazete’de yayımlanarak yürürlüğe girdi. Özellikle son dönemde artarak gerçekleşen siber saldırılar, ne yazık ki veri ihlallerinin doğmasına neden oluyor. Böyle bir tabloda her kullanıcının KVKK’yı biraz daha bilerek hareket etmesi gerekiyor.
1. En temel hak
KVKK gizliliğin en temel insani hak olduğu ilkesinin altını çiziyor. Yasa yapıcılar teknolojinin insan haklarına müdahaleyi kolay hale getirmesi nedeniyle KVKK gibi koruyucu bir önlem almayı gerekli görüyor. Hatta yasanın 20. maddesinde “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak, kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.” hükmüne yer verir. Özetle, verilerin gizliliği, din ve vicdan, basın ve seyahat gibi yine anayasa tarafından güvence altına alınan özgürlüklerin yanına eklenmiştir.
2. Kökleri 1950’lere dayanıyor
Her ne kadar görece yeni bir yasa sayılsa da aslında KVKK’nın temelleri 3 Eylül 1953 yılında İnsan Hakları ve Özgürlüklerinin Korunmasına İlişkin Avrupa Sözleşmesi ile atıldı. Ardından bu sözleşmenin kapsamı OECD’nin Özel Yaşamın Korunması ve Kişisel Verilerin Sınırötesi Akışına İlişkin Rehber İlkeleri’nin 1980 tarihinde yayımlanmasıyla genişletildi.
3. Kanun özel ve kamu kurum ve kuruluşlarını kapsıyor
KVKK, kişisel verilerin veri kayıt sistemiyle rıza olmadan otomatik olarak alınmasının önüne geçiyor. Ancak sanıldığının aksine sadece özel kurum ve kuruluşlar değil, kamu kurumları da bu kanuna tabi tutuluyor.
4. İzinsiz kayda hapis cezası
Kişisel verilerin kaydı elbette dijital çağdan önce de vardı. Bu nedenle Türk Ceza Kanunu (TCK) 135. Madde ile bu sorunun üzerine gider. 135. maddeye göre hukuka aykırı olarak kişisel verileri kaydeden kimseye bir yıldan üç yıla kadar hapis cezası verilir. Dahası kaydın cinsiyet, inanç ya da benzeri bir kasıt ve ayırma nedeniyle yapıldığı tespit edilirse ceza yarı oranında artırılır. KVKK, aynı şekilde izinsiz veri konusunda TCK’da 135. maddeyi esas alır.
5. Aydınlatma zorunluluğu
Artık en basit telefon aramamızda bile ilk işlem, bize kişisel verilerin kayıt altına alındığına ya da alınmadığına dair bir aydınlatmanın okunması oluyor. Çoğu zaman kayıt altına alınan verinin ne amaçla alındığı ve ne için kullanılacağı detaylı metinde yer alıyor. Bu durum aslında KVKK’nın 10. maddesiyle zorunluluk haline getiriliyor. Hatta 11. madde, direkt olarak bu maddeyi tamamlıyor ve kişiye istediği takdirde verisi ile ne yapıldığına dair bilgilendirme yapılmasını kuruma zorunlu hale getiriyor. Banka, sağlık ve iletişim sektörlerinde bu uygulamaya sıklıkla rastlıyoruz. Böyle bir eylemin cezası ise 5.000 TL – 100.000 TL olarak belirlenmiştir.
6. Verilerin “yayılması”
Başlık kibar olsun diye veri yaymak olarak seçildi. Ancak aslında kayıt altına alınan verilerin başka kurumlara verilmesi veya satılmasından bahsediyoruz. Bu durumun ortaya çıkması durumunda TCK’nın 136. Maddesiyle güvence altına alınmıştır. Bu madde belirli veya belirlenebilir bir kişiye ait her türlü bilginin, başkasına verilmesi, yayılması ya da ele geçirilmesi “Verileri hukuka aykırı olarak verme veya ele geçirme” başlığı altında suç olarak tanımlanmıştır. Maddeye göre 2 ile 4 yıl arası hapis istemi gerçekleşebilir.
7. Verilerin sildirilme hakkı
Yine birçok kullanıcının bilmediği daha doğrusu kurumların net ifade etmediği bir alana geliyoruz. Bazı durumların ortaya çıkması halinde isteyen herkes verisini sildirebilir. Örneğin verilerinin başka bir kurumla paylaşıldığı ya da elde edilen verinin anonim olma özelliğinin yitmesi sonucu kişiye olumsuz bir sonuç doğması gibi durumlarda yasa, veri silme hakkı tanıyor. Örneğin ticaretle uğraşıyorsunuz toplanan veri nedeniyle kurumunuzun rekabet etme gücünü belirleyen kritik bilgileri nedeniyle zarar ediyorsunuz. Bu tarz durumlarda yasal süreci doğru kullanıp verileri ilgili tüm veritabanlarından sildirebilirsiniz. Yine de bu maddenin ileride kullanıcıyı koruyan daha net bir şekle bürünmesini diliyoruz. Verilerin silinmemesi durumunda kişiler 1 ile 2 yıl hapis cezası istemiyle yargılanabilir.
8. Verinin anonim olması
KVKK toplanan verilerin anonim olmasını ya da verinin anonimleştirilmesinin altını başta 10. madde olmak üzere çeşitli yerlerde çiziyor. Buna göre bir veri, analiz edildiğinde hangi bireye ait olduğu anlaşılmamalıdır. Elbette toplanan verinin anonimleştirilmesi teknik bir konudur. Ancak yasa, bu teknik yükümlülüğü veriyi toplayan kuruma dayatmıştır.
9. Verilerin alenileştirilmesi
Kişiler herkesin ulaşabileceği ortamlarda kişisel bilgilerini paylaşıyorsa, bu durumda veriler alenileştirilmiş kabul edilir. Örneğin siz kurumsa internet sitenizde cep telefonunuzu belirtiyorsanız bu veri, az önceki anonim olma zorunluğu dışında tutulur. Bu durum aslında hukuki bazı çıkmazları da doğurur. Bazen kişilerin farkında olmadan ya da unutmuş oldukları eylemler daha sonra aleyhte kullanılabilir. Örneğin bir gazetede verilen açık adres bu duruma örnek gösterilebilir.
10. Kişisel verilerin İşlenmesi için onay gerekmeyen durumlar
Bazı hukuki süreçlerde özellikle bir yasal hakkın korunması ya da kullanılması gibi durumlarda verilerin kullanılması için rıza ya da onay aranmıyor. Örneğin yolsuzluk ve rüşvet gibi iddialarda, iddianın ispati için mali kayıtlara erişim sağlanabilir. Tabii ki detayları bulunan bu durum için yargı süresi davaya göre tespit edilir. Sürenin aşılmasından sonra veriler tekrar anonim hale getirilmek zorundadır. KVKK’nın 5. maddesi başkalarının yasal haklarına zarar vermeden kişisel koruma yani nefsi müdafaa için verinin işlenmesini mümkün kılar.
Elbette bu maddeler genel çerçeveyi çok başarılı olarak çizse de hukukun üstünlüğü kavramı bazen de durumun ya da davanın bu çerçeveye nasıl oturtulduğuyla ilintilidir. Kaldı ki TCK’nın da bazı durumlarda devreye girmesiyle konu elbette hukuk alanında uzman kişilere bırakılmalıdır. Yine de maddelere aşina olmak olası bir veri ihlalinde yaşanabilecekler konusunda kullanıcıları daha gerçekçi sonuçlara hazırlayacaktır.