• EN

Kişisel verilerin korunması, hızla globalleşmeye devam eden ülkemizde ve dünyada giderek daha çok önem arz eder hale gelmekte; bu durum, yerel, uluslararası ve ulusüstü birçok düzenlemeyi beraberinde getirmektedir. Türkiye’de uzun bir kanunlaşma süreci ardından 7 Nisan 2016 tarihinde yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu (‘KVKK’), ülkemizde yıllardır var olan bir ihtiyaca cevap niteliğindedir.

Uluslararası arenada ise, AB Parlamentosu’nun 14 Nisan 2016 tarihinde onayladığı ve harmonizasyon süreci 25 Mayıs 2018 tarihinde sona eren Avrupa Birliği Genel Veri Koruma Tüzüğü (General Data Protection Regulation) (‘GDPR’), kişisel verilerin korunmasını gündeme taşıyan, veri sorumluları ile veri işleyenlerine ciddi sorumluluklar yükleyen, bu sorumlulukları ihlal edenleri ciddi cezalara tabi tutan bir pozitif hukuk belgesi/veri güvenliği standardı olarak dikkat çekmektedir. GDPR’dan önce, Avrupa Birliği’nin 95/46 sayılı direktifi, veri korunmasını düzenlemekteydi. Ancak 95/46 ile GDPR arasında uygulama alanı ve içeriği açısından ilgili direktiften çok daha kapsamlı bir koruma alanı sunmaktadır.

GDPR, internetin dünyaya hükmettiği bir çağda, zaruri hâle gelmiştir. Şöyle ki; internetin dünyanın yeni iletişim standardına dönüşmesi, şirketler için çeşitli fırsatlar doğurmuştur. İnternet ve internet yayıncılığı sayesinde şirketler dünyanın her yerinden onlarla iş yapan milyonlarca insandan milyarlarca veri toplamış ve bu verileri çeşitli süreçlerden geçirerek Big Data oluşturmuşlardır. Şirketler, bazen ortada hiçbir geçerli neden yokken bile kullanıcıların kişisel verilerini toplamış; dahası bu şirketlere bir saldırı gerçekleşmesi durumunda bu önemli veriler 3. kişilerin eline geçmiştir ve hâlâ geçebilmektedir. Şirketlerin interneti bu kadar etkin kullanmasının bir sonucu olarak, Yahoo’nun hacklenmesi ile ciddi sayıda insanın kişisel verilerin halka açık hâle gelmesi ve Cambridge Analytica skandalı gibi büyük veri skandalları gittikçe daha da sıklaşmaya başladığından ve bilinenlerin yanında bilinmeyen küçük şirketler de aynı skandallara konu olduğundan; Avrupa Birliği sonunda bu duruma müdahale etme kararı almış, kullanıcının veri güvenliğini sağlamayı hedefleyen bir hukuki belge geliştirme sürecine girmiştir.

GDPR’ın amacı, en genel ifadeyle, kişisel verilerin korunmasıdır. Kişisel veri, GDPR’da, “tanımlanmış veya tanımlanabilir doğal kişiyle alakalı tüm veriler” olarak tanımlanmıştır. Bu tanımdan yola çıkarak, neyin kişisel veri sayıldığına dair birkaç basit örnek vermek gerekirse: İsim, adres, telefon numarası, TC kimlik numarası, sosyal güvenlik numarası gibi biyografik bilgiler; saç, göz, ten rengi ve vücut ölçüleri ve benzeri fiziksel görünüşe dair veriler; eğitim hayatı ve çalışma geçmişi hakkındaki bilgiler; okunan okullar, maaş, eğitim durumu, vergi bilgileri ve kimlik bilgileri; tıbbi veya genetik veriler; arama geçmişi, özel mesajlar veya konum bilgileri gibi hassas verileriniz ve burada sayılmayan birçok bilgi kişisel veri kapsamına dahil edilmiştir.

GDPR, verinin toplanması, paylaşılması ve kullanılması da dahil olmak üzere, kişisel verilerin her türlü kullanımını düzenlemektedir. Bir şirketin Avrupa Birliği’nde yaşayan birisinin kişisel verisini işlemesi durumunda, (kişinin AB vatandaşı olması gerekmez), GDPR, işletmenin nerede kurulu dikkate alınmaksızın uygulama alanı bulacaktır. Bu da, dijital reklamcılıkla ilgili tüm şirketlerin (reklam verenler, ajanslar, reklam networkleri, veri/teknoloji şirketleri veya yayıncılar) GDPR kapsamına girdiği anlamına gelmektedir.

GDPR, çocukların kişisel verileri açısından da özel bir koruma sağlamaktadır. 16 yaşından küçük bir çocuğun bilgilerinin bir şirket tarafından toplanıp işlenmek istenirse; GDPR uyarınca, çocuğun velisinin veya ailesinin açık rızası aranmaktadır.

GDPR, yukarıda sayılan bu kişisel verileri yasal koruma altına almıştır ve kişisel veri sahiplerine birçok hak sunmaktadır:

Veri sahibi, kişisel verileri toplayan bir şirket tarafından, hangi verilerin toplandığı, bu verilerin hangi amaçla kullanılacağı, ne süre ve hangi koşullarda saklanacağı, paylaşılacaksa hangi üçüncü taraflarla paylaşılacağı hususlarında net bir şekilde bilgilendirilme hakkına sahiptir. Ayrıca, veriler hangi amaçla kullanılıyor olursa olsun, verilerin ne amaçla (objektif gerekçeler) kullanıldığı bildirilmelidir. Eğer yasal nedenler veya toplumun faydası için toplanıyorsa bu durumda yasal nedeler belirtilmelidir.

Kişiler bir şirket veya organizasyonun topladığı kişisel verilerin neler olduğunu görmek istedikleri takdirde, bu veriler kendisine bir ay içinde sunulmasını düzenleyen erişim hakkı da GDPR kapsamındadır.

Bir şirketin elindeki verilerin geçersiz olduğunu beyan eden bir kişinin, bu verilerin şirket tarafından bir ay içerisinde düzeltilmesini talep etme hakkı (düzeltme hakkı) mevcuttur. Buna ek olarak, kişiler, şirketin elinde tuttuğu verilerin bazı şartlar altında (örneğin verilerin artık kullanılmaması isteniyorsa veya ihtiyaç duyulmadığı düşünülüyorsa) silinmesini talep edebilir (silinme hakkı). Eğer organizasyon ilgili kişiye ait verileri silemiyorsa (mesela verilerin yasal süreçlerde kullanılması gerekiyorsa), işlem sınırlama hakkı uyarınca, kişi verilerinin kullanım hakkını sınırlayabilmelidir. Ayrıca, kullanıcılar, kişisel verilerini bir servisten başka bir serviste kullanmak için alabilmelidir (veri taşınabilirliği hakkı).

GDPR kapsamında, bireyler, otomatikleştirilmiş karar vermeye özne olmama hakkını haizdir; yani, kendilerini ve verilerini etkileyecek otomatik kararlar hususunda bir itirazda bulunabilmeleri veya açıklama yapabilmeleri için gerekli önlemlerinin alınması gerekmektedir.

Yukarıdaki açıklamalardan da anlaşıldığı üzere, GDPR, AB sakinlerinin kişisel verilerini koruma altına almış; onlara kişisel verilerinin neden ve hangi amaçla toplandığı konusunda bilgilendirilme hakkını tahsis etmiştir. Gerçekte, tüketici bakış açısıyla bakıldığında, GDPR’ın amacı, kişilerin kendi kişisel bilgileri üzerinde daha fazla kontrol sahibi olabilmeleridir. Şirketlerin, kullanıcılara haber vermeden onların verilerini topladığı ve kullandığı süreçler GDPR ile sona ermiştir. Artık şirketlerin kişisel verileri işleyebilmesi için yasal bir dayanak gereklidir.

GDPR’a uyum sağlamayan kuruluşlar, ciddi yasal yaptırımlarla cezalandırılacaktır. Bir şirket GDPR’ı ihlal ettiği takdirde, 20 milyon Euro veya yıllık gelirlerinin yüzde 4’ü hesaplanır ve hangisi daha yüksekse şirket o meblağı para cezası olarak ödemekle cezalandırılır.

Av. Dr. Mert VAN - Stj. Av. Dilhan ÇAKIL