GİRİŞ
Son yıllarda teknoloji kullanımının artmasıyla bağlantılı olarak; kişisel verilerin paylaşımı, yayılması ve kullanılmasının önemi de artmış; bu kapsamda kişisel veriyi korumaya yönelik daha önceden yapılan düzenlemeler geliştirilerek daha caydırıcı bir koruma mekanizmasına sahip olunması amaçlanmıştır.
İlk düzenlemelerine ABD ve Avrupa’da, kanunlaşmasına ise Alman Federal Cumhuriyetinde rastladığımız kişisel veri güvenliği sektörünün Türkiye’deki ilk adımları Avrupa Birliği’ne uyum süreciyle başlamış, 2010 yılında T.C. Anayasası ile devam edilmiş[1] ve en son 6698 sayılı Kişisel Verilerin Korunması Kanunu[2] (‘’KVKK’’) ile kanunlaşma aşamasına gelinmiştir.
Bu süreçte bir de KVKK hükümlerinin doğru ve etkili uygulanabilmesi için Kişisel Verileri Koruma Kurumu (‘’Kurum’’) ve bu Kurum’un karar organı olarak çalışan Kişisel Verileri Koruma Kurulu (‘’Kurul’’) oluşturulmuştur. Henüz Türkiye’de yeni uygulama imkanı bulabilen bu alanda, Kurul kararlarına ihtiyaç duyulmaktadır. Kurul’un, karar verirken hangi hususlara önem vereceği, somut olaylar açısından ihlal değerlendirmesini neye göre yapacağı KVKK’nın sekteye uğramadan uygulanması açısından önemlidir.
Bu makalede önce, Kurul’un vermiş olduğu 31.05.2018 tarih ve 2018/63 sayılı son ilke kararı paylaşılacak, sonrasında ise sözü edilen kararın 6698 sayılı KVKK ve Kurul’un diğer kararları nezdinde değerlendirilmesi yapılacak, bu karar kapsamında karşılaşılma ihtimali bulunan idari ve cezai yaptırımlar ele alınacak, karar konusu ihlalin özünü oluşturan idari ve teknik tedbirlerin neler olduğu hususunda bilgilendirme yapılacak ve karşılaştırmalı hukukta bu düzenlemenin örnekleri incelenecektir.
- KİŞİSEL VERİLERİ KORUMA KURULU’NUN 31.05.2018 TARİH VE 2018/63 SAYILI İLKE KARARI
Veri sorumlusu nezdindeki kişisel verilere erişim yetkisi bulunan personelin yetkisi ve amacı dışında söz konusu verileri işlemesi konusunun değerlendirilmesine ilişkin 31.05.2018 tarih ve 2018/63 sayılı ilke kararı (‘’karar’’), 04.07.2018 tarihinde Kişisel Verileri Koruma Kurumu’nun (‘’Kurum’’) internet sitesinde yayımlanmıştır.
Buna göre; veri sorumlusu nezdinde bulundukları pozisyon veya görev itibariyle kişisel verilere erişime yetkisi olanlar tarafından, yetkileri aşarak ve işleme amacı dışında söz konusu verilerin işlendiği hususunda Kurum’a ulaşan ihbar ve şikâyetlere ilişkin yapılan değerlendirmeler sonucunda, uygulamada yaşanan problemlerin önüne geçilebilmesi amacıyla; ‘’bir veri sorumlusu nezdinde bulundukları pozisyon veya görev itibariyle kişisel verilere erişime yetkisi olanlar tarafından, yetkileri aşmak ve/veya yetkilerini kötüye kullanmak suretiyle, kişisel amaçlara veya nedenlere bağlı olarak işleme amacı dışında söz konusu kişisel verilerin işlenmesi ve/veya bu verilerin üçüncü kişilerle paylaşılması 6698 sayılı KVKK’nın 12. Maddesinin 1. Fıkrasına aykırılık teşkil edeceğinden, bu kapsamdaki eylemlerin önlenmesi amacıyla veri sorumlularınca uygun güvenlik düzeyini sağlamaya yönelik gerekli her türlü teknik ve idari tedbirin alınması gerektiği hususunda veri sorumlularının bilgilendirilmesine’’ karar verilmiştir[3].
Kurul, bu kararı 04.07.2018 tarihli ve 30468 sayılı Resmi Gazete’de yayımlanmıştır.
- 2018/63 SAYILI KARARIN 6698 SAYILI KANUN VE KURULUN DİĞER KARARLARI KAPSAMINDA DEĞERLENDİRİLMESİ
Anılan kararda KVKK’nın 12. maddesinin 1. fıkrası uyarınca veri sorumluları; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik her türlü teknik ve idari tedbirleri almakla yükümlü tutulmaktadır.
Maddenin devamında ise bir veri işleyenin bulunması durumunda, ilgili tedbirlerin alınmasından veri sorumlusu ve veri işleyenin müştereken sorumlu olacağı[4], veri sorumlusunun Kanun’un uygulanmasını sağlamak üzere gerekli denetimleri yapmak ve yaptırmak zorunda olduğu, veri sorumlusu ve veri işleyenin öğrendikleri kişisel verileri Kanun’a aykırı olarak başkasına açıklayamayacağı ve işleme amacı dışında kullanamayacağı ve son olarak işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, veri sorumlusunun bu durumu en kısa sürede[5] ilgilisine ve Kurum’a bildirmesi gerektiği düzenlenmiştir.
Kurul, vermiş olduğu kararda her ne kadar sadece 12. maddenin 1. fıkrasına atıfta bulunarak veri sorumlusunun bu yönde gerekli her türlü teknik ve idari tedbiri alması gerektiğini belirtse de, maddenin 4. Fıkrası açısından öğrenilen kişisel verilerin hukuka aykırı olarak başkasına açıklanması ve işleme amacı dışında[6] kullanılması yönüyle de bir ihlal söz konusu olmaktadır.
Yine, Kurul’un daha önceden verdiği kararlara[7] bakıldığında; ‘’veri sorumlusunun bir çalışanının, talebi olmamasına rağmen müşterisinin (ilgili kişi) kişisel verilerini, kendisine ait yetki tanımlaması yapılan sistemler aracılığıyla kişisel amaçları için sorgulaması’’ ve ‘’veri sorumlusu tarafından müşterisinin kişisel verilerinin yer aldığı bir belgenin, aynı isme sahip başka bir kişiye göndermesi’’ olaylarında veri sorumlusunun Kanun’un 12. Maddesinin 1. Fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbiri almadığının belirtildiğini görmekteyiz.
III. 2018/63 SAYILI KARAR KAPSAMINDA KARŞILAŞILABİLECEK YAPTIRIMLAR
KVKK’da ve 5237 sayılı Türk Ceza Kanunu’nda (‘’TCK’’), kişisel verilerin belirlenen ilkelere uygun bir şekilde işlenip işlenmediğini izlemek, denetlemek ve hukuka aykırı uygulamaları yaptırıma bağlamak için çeşitli hükümler yer almaktadır[8]. Bu sayede, söz konusu kişisel veriler üzerinde hukuka uygun olmayan tasarruflar yapılmasını önlemek ve caydırıcı bir yaptırım mekanizması oluşturmak mümkün olmaktadır[9].
KVKK’nın 18. Maddesinde, kişisel verileri korumaya yönelik faaliyetlerin ihlaline bir takım idari para cezaları öngörülmüştür. Buna göre; aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk Lirasından 100.000 Türk Lirasına kadar, Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk Lirasından 1.000.000 Türk Lirasına kadar, Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğünü yerine getirmeyenler hakkında 20.000 Türk Lirasından 1.000.000 Türk Lirasına kadar, 12. Maddede öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında ise 15.000 Türk Lirası’ndan 1.000.000 Türk Lirası’na kadar idari para cezası verilmektedir.
TCK’da ise işin ceza hukuku boyutu ele alınmış olup, 135. madde ve devamında kişisel verilerin korunmaması ve hukuka aykırı işlemlere konu olması yaptırıma bağlanmıştır. Buna göre; kişisel verilerin hukuka aykırı kaydedilmesi (m. 135), hukuka aykırı olarak verilmesi veya ele geçirilmesi (m. 136) ve yok edilmesi gerektiği halde yok edilmemesi (m. 138) bir yıl ile altı yıl arasında değişen hapis cezası yaptırımına bağlanmıştır[10].
Ele alınan makalenin konusunu oluştun kurul kararında, veri güvenliğine ilişkin her türlü teknik veya idari tedbirin yerine getirilmesi hususunda bir ihlal söz konusu olduğundan; 15.000 Türk Lirası ile 1.000.000 Türk Lirası arasında bir idari para cezasına hükmolunmuştur. Ceza hukuku açısından bakıldığında ise TCK m. 136’da tanımlanan ‘’verileri hukuka aykırı olarak verme veya ele geçirme’’ suçu gündeme gelmektedir. Bu suça ilişkin kanunda görülen hapis cezası iki yıl ile dört yıl arasında değişirken, kamu görevlisi tarafından ve görevin verdiği yetki kötüye kullanılarak veya belli bir meslek ve sanatın sağladığı kolaylıktan yararlanılarak işlenmesi halinde verilecek ceza yarı oranında artırılmaktadır.
- VERİ GÜVENLİĞİNE İLİŞKİN ALINMASI GEREKEN TEKNİK VE İDARİ TEDBİRLER HAKKINDA DEĞERLENDİRME
Yukarıda belirtildiği üzere veri sorumlusu ve veri işleyen, kişisel verileri korumaya yönelik her türlü teknik ve idari tedbiri almakla yükümlü kılınarak oldukça geniş bir sorumluluğa sahip olmaktadır ve yükümlülüğün ihlali halinde ciddi derecede idari ve cezai yaptırımlarla karşılaşabilmektedir. Veri kayıt sistemlerinde kişisel verinin güvenliğine ilişkin meydana gelen çeşitli riskleri önleyebilmek için alınması gereken önlemler kimi zaman yüksek, kimi zamansa düşük maliyetli olabilmektedir. Bu maliyet, veri sorumlusunun işlediği verilerin çeşitliliğine, önemine, sayısına ve ihlali halinde ortaya çıkabilecek mağduriyetin boyutuna göre değişebilmektedir.
Bu başlık altında, kişisel verilerin hukuka aykırı olarak işlenmesini ve erişilmesini önlemek ve muhafazasını sağlamak amacıyla alınması gereken teknik ve idari tedbirlerin neler olabileceği hususuna değinilecektir.
- İDARİ TEDBİRLER
- Risk ve Tehditlerin Saptanması
Öncelikle veri sorumlusu tarafından, işlenen verilerin neler olduğunun ve bu verilerin korunmasına ilişkin hangi risklerle ne sıklıkla karşılaşılabileceğinin çalışılması ve bir risk analizinin çıkartılması gerekmektedir. Risk analizi belirlenirken kişisel verinin özel nitelikte olup olmadığı[11], hangi derecede gizli olduğu, güvenlik ihlali neticesinde ilgili kişi bakımından oluşacak zararın niteliği dikkate alınmalıdır. Risk analizi çıkartıldıktan sonra ise söz konusu risklerin ortadan kaldırılması, azaltılması ve önlenmesine[12] yönelik kontrol mekanizmaları ve çözüm yolları belirlenmeli ve planlar uygulamaya konulmalıdır.
- Personelin Eğitilmesi ve Farkındalık Eğitimi
Bir diğer idari tedbir; çalışanların eğitilmesi ve bir farkındalık oluşturulmasıdır. Gerçekten, veri sorumlusu nezdinde bulunan ve kişisel verilere erişime yetkisi olanlar (hatta erişim yetkisi olmayanlar da) kişisel veri güvenliği hususunda bir eğitimden geçmeli, güvenliğin ihlali halinde veri sahibinin ortaya çıkabilecek mağduriyeti hakkında bilgilendirilmedir. Yine; dikkatsizlik, tecrübesizlik veya dalgınlık sebebiyle oluşabilecek veri güvenliği ihlalleri konusunda farkındalık oluşturulmalıdır. Çalışanların görev tanımlarının yapılması, kimin hangi bilgiye ne sebeple erişebileceğinin belirtilmesi gerekmektedir. Bu şekilde oluşturulabilecek bir farkındalık ile ‘’Yasaklanmadıkça Her Şey Serbesttir’’ ilkesi yerine ‘’İzin Verilmedikçe Her Şey Yasaktır’’ ilkesi benimsenmelidir[13].
- Veri İşleyenin Denetlenmesi
Veri sorumlusu, kişisel veri güvenliğinin sağlanması hususunda veri işleyen ile müştereken sorumlu olacağından[14], veri sorumlusu tarafından veri işleyenin hangi verileri ne sebeple işleyeceği ve güvenliğin sağlanmasına ilişkin hususlar sözleşme altına alınmalıdır. Bu doğrultuda veri sorumlusu, kişisel verileri içeren veya kişisel verilerin işlendiği sistem üzerinde gerekli denetimi yapmalı veya yaptırmalıdır.
- Veri Güvenliğinin Çeşitli Politikalar İle Korunması
Kişisel veri güvenliğine ilişkin çeşitli politikalar hazırlanmalı ve bunların uygulanması için gerekli altyapı sağlanmalıdır. Örneğin; bir kişisel veri işleme envanteri oluşturularak şirket içerisinde hangi birimin hangi bilgiye erişime yetkisi olacağı belirlenmelidir. Ayrıca veri saklama ve imha politikası düzenlenerek hangi verinin ne kadar süre ile saklanacağı belirtilmeli ve buna ilişkin bir yönetim sistemi hayata geçirilip sürdürülmelidir[15].
- Kişisel Verilerin Azaltılması
Kişisel verilerin mümkün olduğunca azaltılması da bir idari tedbir olarak karşımıza çıkmaktadır. Şöyle ki; kişisel verileri işlenmesinin genel ilkeleri arasında, kişisel verinin ‘’doğru ve gerektiğinde güncel olma’’ ilkesi yer almaktadır[16]. Fazla sayıda veriyi bünyesinde barındıran veri sorumlusu veya veri işleyenin, barındırdığı bu verilerin doğru ve gerektiğinde güncel olmasını sağlaması gerçekten kendisi için hem risklidir, hem de iş yüküdür. Bu nedenle mümkün olduğunca az kişisel veri bulundurmak bir idari tedbir çeşidi olarak karşımıza çıkmaktadır.
- TEKNİK TEDBİRLER
- Siber Güvenlik Tedbirleri
Kişisel veri güvenliğinin sağlanmasına yönelik en temel teknik tedbir, siber güvenliğinin sağlanmasıdır. Siber güvenliğin sağlanması; güncel virüs tarayıcısı programlarının kullanılması, güvenlik duvarının oluşturulması, sahte yazılım ve ürün kullanımından kaçınarak lisanslı yazılım ve ürün kullanılması yöntemleriyle olabilmektedir. Yine, kişisel verilerin bulunduğu sisteme erişimin de sınırlandırılması gerekmektedir. Bu sınırlandırma her kullanıcıya ait ayrı bir parola belirlenerek kullanıcı hesap yönetimi sisteminin kullanılması veya bazı alanlara girişin ayrı bir kart veya şifre ile yapılması yöntemiyle yapılabilir.
Kişisel verileri barındıran sistemlere sızma testlerinin yapılması ve eksik yanların tespit edilerek iyileştirilmesi de bir diğer siber güvenlik olarak karşımıza çıkmaktadır.
- Log Kayıtlarının Tutulması
Kişisel veri güvenliğinin sağlanmasında etkili teknik tedbirlerden bir diğeri, log kayıtlarının tutulması yoluyla bir takip mekanizmasının oluşturulmasıdır. Bu sayede, hangi verinin kim tarafından hangi zamanda işlendiği belirlenebilir ve bu durum kötü niyetli ve ilgili kişiyi zarara uğratabilecek faaliyetlerin yapılmaması için bir caydırıcılık oluşturabilir.
- Ortam Güvenliğinin Sağlanması
Kişisel verilerin saklandığı ortamların iç ve dış etkenlere karşı korunması da etkili bir teknik tedbirdir. Örneğin; fiziksel veya dijital ortamında bulunan kişisel verilerin herkesin erişemeyeceği kilitli veya şifreli bir dolapta saklanması, flaş bellek, dizüstü bilgisayar, cep telefonu, diskler vasıtasıyla saklanan verilerin ise yine şifreleme yöntemiyle zarar görmeyecek bir yerde (örneğin direkt olarak güneş ışınlarına maruz kalmayan bir yerde) saklanması gerekmektedir[17]. Yine, belirli sürenin ardından işlem yapılmayan bilgisayar sistemlerinin otomatik kilitlenmesi, veri sorumlusunun uhdesinde kullanılan bilgisayarlarda yalnızca belirli cihazların sağlanması, veri kopyalamanın özel bir izne bağlı olması bu hususta alınacak teknik tedbirlerden bazılarıdır.
- Bulutta Depolamak
Kişisel verilerin bulutta depolanması, fiziki ortamda yer kaplamadığı için sıkça tercih edilen bir yöntemdir. Ancak bu yöntem, kişisel verilerin bulut depolama hizmetini sağlayanlar tarafından işlenmesine neden olduğundan, veri sorumluları açısından risk teşkil etmektedir. Bu kapsamda bulutta veri güvenliğinin sağlanması için geleneksel olarak güvenlikli ağ merkezlerinin oluşturulması ve veri tabanlarının denetlenmesi söz konusu olmaktadır[18]. Yine kişisel verilerin kriptografik şifreleme yöntemleriyle şifrelenerek bulut sistemine atılması, her bir kişisel veri için ayrı şifre oluşturulması bu kapsamda alınabilecek tedbirlerdendir.
Burada belirtmek gerekir ki; hizmet sağlayıcısının yükümlülüğü, KVKK’nın dışında 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun’a[19] da dayanmaktadır[20]. Anılan kanunun kişisel verilerin korunması başlıklı 10. Maddesine göre; ‘’Hizmet sağlayıcı ve aracı hizmet sağlayıcı, bu kanun çerçevesinde yapmış olduğu işlemler nedeniyle elde ettiği kişisel verilerin saklanmasından ve güvenliğinden sorumludur. Kişisel verileri ilgili kişinin onayı olmaksızın üçüncü kişilere iletemez ve başka amaçlarla kullanamaz’’.
- KARŞILAŞTIRMALI HUKUKTA İNCELENMESİ
- Alman Federal Veri Koruma Kanunu
Kişisel verilerin korunması hususunda ilk kanunlaşma hareketi, Almanya Federal Cumhuriyeti öncülüğünde 1970’li yıllara dayanmaktadır[21]. Ardından ilk federal kanun taslağı 1971 yılında hazırlanmış ve 1977 yılında yayımlanarak (Bundesdatenschutzgesetz) 1979 yılında tüm kanun maddeleri Federal Veri Koruma Kanunu (‘’FVKK’’) ismiyle yürürlüğe girmiştir[22]. Bu bağlamda FVKK’da yer alan kişisel verilerin korunması ilkelerinin genel ilke olarak kabul edildiğini ve çeşitli değişikliklerle 2018 yılında da uygulandığını söylemek mümkündür.
FVKK’da da, tıpkı KVKK’da olduğu gibi kişisel veri güvenliğine ilişkin teknik ve kurumsal tedbirlerin alınması gerektiği belirtilmiş ve 9. Maddenin eki olarak korunacak kişisel verilerin ya da veri kategorilerinin türüne göre uygun olan özel tedbirlerin alınması gerektiği düzenlenmiştir. Buna göre; kişisel verilerin işlendiği ya da kullanıldığı veri işleme sistemlerine yetkisiz girişi ve kullanımı engellemek, kişisel verilerin elektronik aktarımında ya da gönderilmesi ya da veri taşıyıcıları üzerinde depolanmaları esnasında yetkisiz okunmadığını, kopyalanamadığını ve değiştirilemediğini garanti etmek, kişisel verilerin tesadüfen tahrip edilmesi ya da kayba uğramasına karşı korunduğunu garanti etmek gibi erişim, çıkış, depolama, kullanım, aktarım, giriş, nakil kontrolleri yapılması gibi tedbirler veri sorumlusu tarafından alınmalıdır[23].
- Avrupa Birliği Genel Veri Koruma Tüzüğü
25.05.2018 tarihinde yürürlüğe giren Avrupa Birliği Genel Veri Koruma Tüzüğü’nde (‘’GDPR’’) ise, KVKK’da yer alan ‘’veri korumasına ilişkin her türlü teknik ve idari tedbir alınması’’ düzenlemesine paralel olarak bir hüküm; ‘’Veri sorumlusu; işleme faaliyetinin mahiyeti, kapsamı, bağlamı ve amaçlarının yanı sıra gerçek kişilerin hakları ve özgürlükleri açısından çeşitli olasılıklar ve ciddiyetlere sahip riskleri dikkate alarak, işleme faaliyetinin GDPR uyarınca gerçekleştirilmesini sağlamak ve bu şekilde gerçekleştirildiğini gösterebilmek için uygun teknik ve düzenlemeye ilişkin tedbirler uygular, bu tedbirleri gözden geçirir ve gerektiğinde günceller’’ şeklinde 25. maddede[24] düzenlemiştir[25].
Söz konusu tedbirlerin yerine getirilmemesi ise yine KVKK’da olduğu gibi idari para cezası ile sonuçlandırılmaktadır[26]. Bu kapsamda GDPR m. 83/4-a uyarınca 10.000.000 Euro’ya kadar veya bir teşebbüs olması halinde, bir önceki mali yılın yıllık dünya çapındaki cirosunun 2%’sine kadar idari para cezasına hükmolunur (hangisi daha yüksek meblağdaysa o uygulanır). Ayrıca belirtmek gerekir ki; 95/46/EC sayılı Direktif’te veri güvenliğinin ihlaline karşı idari para cezası öngörülmemekteydi.
Bu kapsamda Türk hukuku ile GDPR kapsamında uygulanacak idari para cezalarının miktarı arasında ciddi anlamda farklılık söz konusu olduğunu görebilmekteyiz.
SONUÇ
Henüz yürürlüğe girmiş olan GDPR ile Türk hukukunda iki yıldır uygulanan KVKK kapsamında kişisel verinin korunmasına yönelik farkındalık oluşturulmasında, Kişisel Verileri Koruma Kurulu’na büyük bir görev düşmektedir. Bu kapsamda aynı konuya yönelik gelen şikayet taleplerinin incelenerek ilke kararı çıkartılması, kişisel verinin korunması anlamında yeknesaklaşma ve akıllarda soru işareti bırakmadan sistematik bir şekilde kanunun uygulanması açısından da önemli bir adımdır.
Bu yönde Kurul, 31.05.2018 tarihinde 2018/63 sayılı kararını vermiş ve 04.07.2018 tarihinde Resmi Gazete’de ve kendi internet sitesinde yayımlamıştır. Ancak karar her ne kadar uygulamaya yönelik bir ışık tutsa da; veri sorumlusu/veri işleyenin hangi sektörde çalıştığı bilgisinin kamuoyuna açıklanmaması, veri güvenliğine ilişkin mevcut bir altyapının bulunup bulunmadığının bildirilmemesi, ne kadar miktarda idari para cezası kesilmesi gerektiğinin paylaşılmaması ve ceza hukuku kapsamında bir yaptırım uygulanıp uygulanmayacağının belirtilmemesi birer eksiklik oluşturmaktadır. Çünkü aynı nitelikte bir kişisel verinin korunması ihlalinin sebep olduğu mağduriyet, sektörden sektöre değişmekte ve bu ihlale uygulanan idari para cezasının miktarı da veri sorumlusunun aldığı tedbirler ile ters orantılı olabilmektedir. Örneğin Kurul’un 08.02.2018 tarihli ve 2018/13 sayılı kararına konu olayda; Türkiye’nin en büyük bankalarından birine, mahkemece istenmemesine rağmen davalının 6 aylık kredi kartı ekstresinin gönderilmesi sonucu 30.000 TL idari para cezası kesilmiş[27], bankanın kanuna uyum süreci çerçevesinde bilgi sistemlerinde gerekli altyapı ve yazılım çalışmalarının sürdürmesi de verilen cezanın alt sınıra yakın bir miktarda olmasına sebep olmuştur.
Sonuç olarak bu makalede ele aldığımız 31.05.2018 tarihli ve 2018/63 sayılı kararın; veri sorumlusunun ve nezdinde çalışan personelin, kişisel verileri elinde bulundururken ve işlerken hukuka aykırı bir faaliyette bulunmamak için her türlü tedbiri alması yönünde bir yeknesaklaşma sağladığını; ancak diğer veri sorumluları ve veri işleyenler yönünden karşılaştırılıp somut bir sonuca ulaşılması açısından sönük kalması yönüyle yetersiz kaldığını söylemek mümkündür. Bu anlamda Kurul’un, kamuoyuyla paylaştığı kararlarında en azından sektörel bazda birtakım bilgiler vermesi beklenmektedir.
Ele alınan bu makalede, KVKK m. 12 kapsamında alınacak tedbirlere ilişkin yöntemleri belirlenmiş, GDPR’da ve kişisel veri korumasına yönelik kanunlaşma hareketinin ilk ortaya çıktığı Alman Hukuku’nda mevcut olan düzenlemeler belirtilmiş ve naçizane çözüm önerileri sunulmuştur.
KAYNAKÇA
www.resmigazete.gov.tr Resmi Gazete Resmi İnternet Adresi
www.kvkk.gov.tr Kişisel Verileri Koruma Kurumu Resmi İnternet Adresi
https://edps.europa.eu Avrupa Veri Koruma Otoritesi Resmi İnternet Adresi
www.kisiselveri.com Kişisel Verilerin Korunması Konusunda Oluşturulan ve Gönüllülük Esasına Dayanan Sivil Bir Hareket
https://www.enisa.europa.eu ENISA (European Union Agency for Network and Information Security) Resmi İnternet Adresi
Armağan Ebru BOZKURT YÜKSEL, Bulut Bilişimde Kişisel Verilerin Korunması (Personal Data Protection in Cloud Computing), Yetkin Yayınları, Ankara 2016.
Ayşe Nur AKINCI, Avrupa Birliği Genel Veri Koruma Tüzüğü’nün Getirdiği Yenilikler ve Türk Hukuku Bakımından Değerlendirilmesi, T.C. Kalkınma Bakanlığı, Çalışma Raporu – 6
Elif KÜZECİ, Kişisel Verilerin Korunması, Yenilenmiş ve Gözden Geçirilmiş 2. Baskı, Ankara 2018.
Furkan Güven TAŞTAN, Türk Sözleşme Hukukunda Kişisel Verilerin Korunması, On İki Levha Yayıncılık, İstanbul 2017.
Habip OĞUZ, Elektronik Ortamda Kişisel Verilerin Korunması, Bazı Ülke Uygulamaları ve Ülkemizde Durum (Bu makale, 25.04.2014 tarihinde Çağ Üniversitesi’nde düzenlenen ‘’Elektronik Ticaret Hukuku Sempozyumu’nda yapılan sunumun genişletilip makaleye çevrilmiş halidir.).
İbrahim KORKMAZ, Kişisel Verilerin Ceza Hukuku Kapsamında Korunması, Seçkin Yayıncılık, Ankara 2017.
Mesut Serdar ÇEKİN, Avrupa Birliği Hukukuyla Mukayeseli Olarak 6698 Sayılı Kişisel Verilerin Korunması Kanunu, On İki Levha Yayıncılık, 1. Baskı, İstanbul 2018.
Metin TURAN, Karşılaştırmalı Hukukta Kişisel Verilerin Korunması, Adalet Yayınevi, Ankara 2017.
[1] T.C. Anayasası’nın 20. Maddesinin 2010 tarihinde şu şekilde 3. Fıkra eklenmiştir: ‘’Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir‘’.
[2] 07.04.2016 tarihli ve 29677 sayılı Resmi Gazete’de yayımlanmıştır.
[3] Karara erişim için bkz: https://kvkk.gov.tr/Icerik/5248/2018-63, Erişim Tarihi: 10.07.2018.
[4] Burada önemle belirtmek gerekir ki; 95/46 sayılı Direktif’te kişisel verinin işlenmesine ilişkin kurallara uymakla yükümlü olan ve hukuka aykırı olarak yapılan iş ve işlemlerden sorumlu olan tek kişi kontrolördü (data-controller). Bu kapsamda veri işleyenin de sorumluluğuna gidilmesi aslen GDPR ile gelen bir yeniliktir. Daha ayrıntılı bilgi için bkz: Ayşe Nur AKINCI, Avrupa Birliği Genel Veri Koruma Tüzüğü’nün Getirdiği Yenilikler ve Türk Hukuku Bakımından Değerlendirilmesi, T.C. Kalkınma Bakanlığı, Çalışma Raporu – 6, Haziran 2017, s. 14.
[5] En kısa süre deyimi ile belirli bir süre zarfı belirtilmediğinden, bu deyimden ne kadar süre anlaşılması gerektiği hususu tartışmaya açıktır. Dolayısıyla her somut ihlalde ayrıca değerlendirilmelidir. Konuyla ilgili Kurul, yayınladığı bir kararında ele aldığı bir olayda, ihlalin ilgili kişilere 17 ay, Kurul’a ise 10 ayda bildirilmesini en kısa süreyi aşan nitelikte olduğunu belirtmiştir. Karara erişim için bkz: https://www.kvkk.gov.tr/Icerik/4214/Kurul-Kararlari, Erişim Tarihi: 10.07.2018.
[6] Burada belirtmek gerekir ki, ‘’işleme amacı dışında’’ ibaresi; kanun tasarısında ‘’kendi şahsi çıkarları için’’ olarak teklif edilmiş olup; ancak özellikle özel sektörde faaliyet gösteren veri sorumlusu gerçek kişinin kendi faaliyetleri ile ilgili olarak işlemeleri gereken verileri işlemelerine engel olacağı ve faaliyetlerinin ifa edilemez hale geleceği düşüncesiyle ‘’işleme amacı dışında’’ şeklinde değiştirilmiştir.
[7] Söz konusu kararların özetleri 20.04.2018 tarihinde Kurum’un resmi internet sitesinde yayımlanmıştır. Erişim adresi için bkz: https://www.kvkk.gov.tr/Icerik/4214/Kurul-Kararlari, Erişim Tarihi: 10.07.2018.
[8] Elif KÜZECİ, Kişisel Verilerin Korunması, Yenilenmiş ve Gözden Geçirilmiş 2. Baskı, Ankara 2018, s. 182.
[9] Metin TURAN, Karşılaştırmalı Hukukta Kişisel Verilerin Korunması, Adalet Yayınevi, s. 32.
[10] İbrahim KORKMAZ, Kişisel Verilerin Ceza Hukuku Kapsamında Korunması, Seçkin Yayıncılık, Ankara 2017, s. 283 ve 284.
[11] Özel nitelikli veriler sınırlı sayıda olup, kanunda şu şekilde belirtilmiştir: KVKK m. 6/1: ‘’Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.’’
[12] Avrupa Birliği kapsamında kabul gören bir risk analiz yöntemi için bkz: ENISA (European Union Agency for Network and Information Security) Resmi Web Sitesi: https://www.enisa.europa.eu/topics/threat-risk-management/threats-and-trends/, Erişim Tarihi: 19.07.2018.
[13] Kişisel Verileri Koruma Kurumu, Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler), s. 9.
[14] Habip OĞUZ, Elektronik Ortamda Kişisel Verilerin Korunması, Bazı Ülke Uygulamaları ve Ülkemizde Durum, s. 30.
[15] Mesut Serdar ÇEKİN, Avrupa Birliği Hukukuyla Mukayeseli Olarak 6698 Sayılı Kişisel Verilerin Korunması Kanunu, On İki Levha Yayıncılık, 1. Baskı, İstanbul 2018, s. 106.
[16] Veri Güvenliği Rehberi, s. 12.
[17] Furkan Güven TAŞTAN, Türk Sözleşme Hukukunda Kişisel Verilerin Korunması, On İki Levha Yayıncılık, İstanbul 2017, s. 74.
[18] Armağan Ebru BOZKURT YÜKSEL, Bulut Bilişimde Kişisel Verilerin Korunması (Personal Data Protection in Cloud Computing), Yetkin Yayınları, Ankara 2016, s. 182.
[19] 05.11.2014 tarihli ve 29166 sayılı Resmi Gazete’de yayımlanmıştır.
[20] BOZKURT YÜKSEL, s. 187.
[21] Burada belirtmek gerekir ki; kişisel verilerin korunmasına yönelik 1970 öncesinde de faaliyetler yapılmış; ancak kanunlaşma gerçekleşmemiştir. Örneğin Amerika Birleşik Devletleri’nde ve Avrupa ülkelerinde 1960’lı yıllarda kişisel verilerin güvenliğine ilişkin düzenlemeler bulunmaktadır.
[22] TURAN, s. 55 ve 56.
[23] TURAN, s. 192 ve 193.
[24] GDPR m. 25’e erişim için bkz: https://gdpr-info.eu/art-25-gdpr/, Erişim Tarihi 11.07.2018.
[25] AKINCI, s. 18.
[26] TAŞTAN, s. 23.
[27] Daha ayrıntılı bilgi için bkz: https://kisiselveri.com/wp-content/uploads/KurulKarariKarali-kucuk.jpg, Erişim Tarihi 13.07.2018.
Bir cevap yazın