Bilindiği üzere; 6698 Sayılı Kişisel Verilerin Korunması Kanunu, kişisel verilerin işlenmesinde kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek amacıyla yürürlüğe girmiştir.
KVKK kişisel veri kavramını gerçek kişilere atfetmiş olup, “kimliği belirli ya da belirlenebilir gerçek kişiye ilişkin her türlü bilgi” kişisel veri olarak tanımlanmıştır. Bu kanuni tanımdan hareketle kişisel veri, belirli veya belirlenebilir olmak kaydıyla bir gerçek kişiye ait bütün bilgiler olarak tanımlanabilir. Benzer şekilde, GDPRmd. 4/1’de kişisel verinin tanımı “kimliği tespit edilmiş (identified) ya da teşhis edilebilir (identifiable) bir gerçek kişiye ilişkin her türlü bilgi” olarak belirlenmiştir.Bu noktada belirtmek gerekir ki; GDPR kişisel verileri işlenen gerçek kişiden “veri öznesi” olarak söz etmekte iken Türk yasa koyucusuKVKK’da “ilgili kişi” ibaresini tercih etmiştir.
Buna göre, tüzel kişilere ait veriler Kanun kapsamı dışında olup, ancak tüzel kişiye ait verilerden gerçek kişinin belirlenmesinin mümkün olması durumlarında bu veriler de Kanun kapsamında sayılacaktır.Tüzel kişilerin kişisel verilerin korunması düzenlemelerinin öznesi olmaması Anayasa Mahkemesi’nin bir kararında da değerlendirme konusu yapılmıştır. Belirtilen kararda Mahkeme, Anayasa m. 20/3’de yer alan “herkes” ifadesinin tüzel kişileri de kapsadığına ve bu noktadan hareketle tüzel kişilerin de koruma kapsamında olacağına ilişkin hüküm kurmuştur.
Kanun ve uluslararası düzenlemeler çerçevesinde bakıldığında kişisel veri hususundaki genel yaklaşımın bir gerçek kişiyi belirlenebilir kılan her türlü bilgi olarak ifade edilme eğilimi olduğu söylenebilir. Tüzel kişilere ilişkin veriler içerisinde, bir gerçek kişiyi belirlenebilir kılan herhangi bir bilgi yer alıyorsa elbette kişisel verilerin korunması kapsamında değerlendirilecektir.Ancak burada korunan menfaat tüzel kişiye değil, düzenlemenin temellendirdiği öncelik gereği belirlenen ya da belirlenebilecek gerçek kişiye ait olacaktır. Oysa bir gerçek kişiyle ilişki kurulmaksızın yalnızca tüzel kişilikle ilgili bir bilgi söz konusu ise artık kişisel verilerin korunması kapsamında değerlendirme yapılmamalıdır. Tüzel kişilerin verileri, kişisel verilerin korunması hukuku kapsamında korunmasa da, somut olayda şartları mevcutsa, genel hükümler kapsamında kişiliğin korunmasına ilişkin imkanlara başvurulabilir. Diğer bir ihtimal olarak, tüzel kişilerin verilerine ilişkin koruma, somut olayın şartları sağlanıyorsa, TBK ve TTK’nın haksız rekabete ilişkin hükümleri kapsamında da sağlanabilir.
Bu noktada belirtmek gerekir ki; tüzel kişiliğe ilişkin olarak ticari sırların, işletmeyle ilgili olup da başkalarınca bilinmeyen her türlü bilgiyi kapsayan geniş kapsamı nedeniyle, tüm ticari sır bilgilerinin bir şahsiyet hakkı olduğu ve ticari sırlara yapılacak tüm saldırıların da kişilik haklarına yapılmış bir saldırı anlamı taşıdığı ileri sürülemez. Bununla birlikte, ticari sırlar arasında kişinin iktisadi yaşamına ve özgürlüğüne müdahale anlamına gelecek sırlarının ihlali, kişilik haklarının da ihlali olacaktır. Dolayısıyla bazı durumlarda ticari sırların açıklanması kişilik haklarının da ihlali anlamına gelebilir. Böyle bir durumun varlığı halinde kişisel verileri ihlal edilen gerçek kişiler elbette koruma kapsamında olacaktır.
II. İLGİLİ KİŞİNİN HAKLARI
Kişisel verilerin korunması, özel hayatın gizliliği ve korunmasıyla doğrudan ilgilidir. Özel hayatın gizliliği, insan haklarının en önemlilerinden birisi olup, pek çok uluslararası düzenlemeye konu olmuştur.
1948 tarihli İnsan Hakları Evrensel Bildirgesi’nin 12.maddesi uyarınca; “Hiç kimsenin özel yaşamına, ailesine konut dokunulmazlığına ya da yazışma özgürlüğüne keyfi olarak karışılamaz; kimsenin onur ve ününe karşı kötü davranışlarda bulunulamaz. Herkesin bu karışma ve kötü davranışlara karşı yasalarla korunma hakkı vardır.”
Özel hayatın gizliliği hususunda en eski düzenlemelerden birisi, 1950 tarihli AİHS’in “Özel Hayatın ve Aile Yaşamının Korunması” başlıklı 8. maddesinde kişisel veriler, özel hayatın gizliliği ilkesine dayanarak korunmuştur. Söz konusu madde uyarınca; “Herkes özel ve aile hayatına, konutuna ve haberleşmesine saygı gösterilmesi hakkına sahiptir. Bu hakkın kullanılmasına bir kamu otoritesinin müdahalesi, ancak milli güvenlik, kamu emniyeti, ülkenin ekonomik refahı, dirlik ve düzenin korunması, suç işlenmesinin önlenmesi, sağlığın veya ahlakın veya başkalarının hak ve özgürlüklerinin korunması için, demokratik bir toplumda, zorunlu olan ölçüde ve yasayla öngörülmüş olmak koşuluyla söz konusu olabilir” Sözleşmeyle, belirli sınırlamalar dışında özel hayat koruma altına alınmıştır.
Keza Anayasa’nın 20.maddesi de özel hayatın gizliliği kavramını düzenlemekte olup, temel olarak kişisel verileri işlenen ilgili kişilerin de haklarının temelini oluşturmaktadır.
Kişilik hakkının bir türü olarak kabul edilen kişisel verilerin korunmasını isteme hakkı, bireyin modern hayatta verilerin işlenmesinden doğan tehlikelere karşı korunmasını amaçlamaktadır.
Bu sebeple kişisel verilerin korunması hukuku kapsamında da, ilgili kişiye, sürece çeşitli aşamalarda müdahale etme olanağı taşıyan bazı haklar verilmiştir.
KVKK, kişisel verilerin korunmasına ilişkin esas ve usulleri bu kapsamda düzenlemiş olup, ilgili kişilerin haklarını düzenleyen 11.maddesi uyarınca; ilgili kişi her zaman veri sorumlusuna başvurarak kendisi ile ilgili; kişisel verilerinin işlenip işlenmediğini öğrenme, kişisel verileri işlenmişse buna ilişkin bilgi talep etme, kişisel verilerinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme, kişisel verilerin silinmesini veya yok edilmesini isteme, kişisel verilerin düzeltilmesi, silinmesi veya yok edilmesine ilişkin işlemlerin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, işlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme, kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme haklarına sahiptir.
A. Kişisel Verilerin İşlenip İşlenmediğini Öğrenme, İşlenmişse Buna İlişkin Bilgi Talep Etme Hakkı
İlgili kişinin, veri sorumlusuna başvurarak kendisine ait kişisel verilerin işlenip işlenmediğini öğrenme hakkı KVKK’da açıkça düzenlenmiştir.
Bilindiği üzere; KVKK’da kural olarak kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği düzenleme altına alınmıştır. Somut düzenlemeler çerçevesinde asıl olanın kişisel verilerin işlenmemesi olduğunu ve bu kapsamda gerçek kişilere ilişkin kişisel verilerin ancak ilgili kişinin açık rızası alınmak koşuluyla veya diğer hukuka uygunluk sebepleriyle sağlanabileceğini ifade etmek gerekmektedir.
Açık rıza, belirli bir konuya ilişkin bilgilendirilmeye dayanan ve özgür irade ile açıklanan rızadır. Başka bir ifade ile ilgili kişinin verilerinin işlenmesine özgürce, konu hakkında yeterli bilgi sahibi olarak ve sadece o işlemle sınırlı kalmak kaydıyla verdiği onay beyanıdır. Bu kapsamda ilgili kişilerden tüm kişisel verilerinin işlenmesine dair alınan açık rızanın Kanun hükümlerine uygun bir biçimde alınan bir rıza olduğundan söz edilemez. Zira ilgili kişinin vereceği rızanın genel bir rıza değil, spesifik konulara ilişkin olarak irade beyanında bulunması gerekmektedir.
Hal böyle olmakla beraber, kişisel verilerin açık rıza aranmadan işlenebilmesi de belli koşullarda mümkündür. Açık rızanın aranmadığı haller KVKK’da düzenlenmiştir.
Söz konusu Kanun’un m.5/2’ye göre;
a) Kanunlarda açıkça öngörülmesi
b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.
e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması gibi hallerin birinin varlığı durumunda ilgili kişinin rızası olmaksızın kişisel verileri işlenebilecektir.
Bu haller dışındaki durumlarda kişisel veriler ancak ilgili kişinin açık rızasıyla işlenebilecektir.
Bu kapsamda ilgili kişinin veri sorumlusuna başvurarak kişisel verilerinin işlenip işlenmediğini öğrenebilme hakkı aslında en temel haklarından biridir. Kişinin haklarını gerçek anlamda kullanabilmesi için kişisel verilerinin işlenip işlenmediği hakkında bilgi sahibi olması gerekmektedir. Ayrıca özellikle kamusal organların ellerinde tuttukları kişisel veriler düşünüldüğünde, ilgilinin bu konuda bilgilendirilmesi, idarenin şeffaflığının da gereğidir.
İlgilinin kişisel verilerine erişim hakkı, onların doğruluğunu denetleme, onları düzeltme, sildirme ve engelleme hakkının da bir gerekliliğidir. Ancak erişim hakkını yalnızca bu amaç ile ilişkili olarak düşünmemek gerekir. Nitekim birey ancak hangi verilerinin, kimlerin elinde, ne gibi amaçlarla tutulduğunu ve kullanıldığını bilerek bilgilerinin geleceğini belirleme hakkından yararlanabilir.
Ayrıca bu noktada veri sorumlusunun, ilgili kişinin bu talebini yerine getirebilmesi için, ilgili kişiye ait işlediği tüm verileri veri kayıt sisteminden bulabilecek ve ilgili kişiye somut bilgiler verebilecek donanıma sahip olması gerektiğini de belirtmemiz gerekir.
B. Kişisel Verilerin İşlenme Amacını ve Bunların Amacına Uygun Kullanılıp Kullanılmadığını Öğrenme Hakkı
İlgili kişi, kişisel verilerinin işlenme amacını ve bunların amacına uygun olarak kullanılıp kullanılmadığını öğrenme hakkına da sahiptir.
Kişisel verilerin amaca bağlı olarak işlenmesi gerekliliği KVKK’da açıkça belirtilmiştir. KVKK’nın 4’üncü maddesi uyarınca; kişisel verilerin “belirli, açık ve meşru amaçlar için işlenmesi” gerektiği açıkça belirtilmiştir.
Keza veri sorumlusu da aydınlatma yükümlülüğü kapsamında kişisel veri işleme amacını ilgili kişiye açıkça belirtmeli, söz konusu amaç meşru olmalı ve veri sorumlusu söz konusu kişisel veriyi amacına uygun olarak kullanmak durumundadır. Bir başka deyişle, amacın gerçekleşmesine hizmet etmeyen hiçbir verinin işlenmemesi gerekmektedir.
Örneğin; bir kargo firmasının müşterisine ait adres bilgilerini işlemesi meşru bir amaç kapsamına girmekte iken, müşterilerin kan gruplarını işlemesi meşru amaç kapsamında değerlendirilemeyecektir.
C. Yurt İçinde veya Yurt Dışında Kişisel Verilerin Aktarıldığı Üçüncü Kişileri Bilme Hakkı
Kişisel verilerin aktarılması hususu yine KVKK’da açıkça düzenlenmiştir. KVKK’nın 8’inci maddesi kişisel verilerin yurt içinde başka kişi ve/veya kurumlara aktarılmasını, 9’uncu maddesi ise yurtdışına aktarılması hususunu düzenlemektedir. KVKK’nın 8’inci ve 9’uncu maddeleri uyarınca kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz. Kişisel veriler, kişisel verilerin ve özel nitelikli kişisel verilerin açık rıza aranmaksızın işlenmesine izin veren hukuka uygunluk hallerinden birinin varlığında ilgili kişinin açık rızası aranmaksızın Türkiye içerisinde aktarılabilir.
Kişisel verilerin yurtdışına aktarılması hususunda ise;yine kişisel verilerin ve özel nitelikli kişisel verilerin açık rıza aranmaksızın işlenmesine izin veren hukuka uygunluk hallerinden birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkede; yeterli korumanın bulunması, yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması hallerinde ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir.
KVKK’nın 9’uncu maddesinin 2 numaralı fıkrasının b bendi kapsamında yurtdışına veri aktarımında veri sorumlularınca hazırlanacak taahhütnamede yer alacak asgari unsurlar; Kurum’un resmi sitesinde “Veri sorumlusundan veri sorumlusuna aktarım” ve “Veri sorumlusundan veri işleyene aktarım” şeklinde iki ayrı şekilde düzenlenmiştir.
Özetle; ilgili kişi kişisel verilerin işlenip işlenmediğini öğrenme hakkına sahip olduğu gibi, kişisel verilerinin yurtiçinde veya yurtdışında aktarıldığı üçüncü kişileri de bilme hakkına sahiptir. Keza yine veri sorumlusu da aydınlatma yükümlülüğü kapsamında işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği hususunda ilgili kişiyi bilgilendirmek zorundadır.
D. Kişisel Verilerin Eksik veya Yanlış İşlenmiş Olması Halinde Bunların Düzeltilmesini İsteme Hakkı
Bilindiği üzere kişisel veriler gerçeğe uygun şekilde işlenmelidir. Söz konusu husus doğru ve gerektiğinde güncel olma ilkesiyle ortaya konulmuştur. KVKK’nın 4’üncü maddesi uyarınca kişisel veriler doğru ve gerektiğinde güncel olarak işlenmelidir. Bu ilkeye göre; ilgili kişiler, işlenen verilerinin doğru ve güncel şekilde işlenmesini talep edebileceği gibi işlenen verilerinin doğruluklarını da periyodik olarak kontrol edebilirler. Nitekim kanun koyucu bu hakkın varlığını “…kişisel verilerin yanlış veya eksik işlenmiş olması halinde bunların düzeltilmesini isteyebilir.” şeklindeki hüküm ile ortaya koymuştur.
İlgili kişinin kişisel verilerinin yanlış ve eksik işlenmiş olması halinde bunların düzeltilmesini isteme hakkı olduğu gibi, esasen veri sorumlusunun da ilgili kişisel veriyi doğru ve güncel bir şekilde işleme zorunluluğu bulunmaktadır. Bu kapsamda veri sorumlusunun, verilerin, doğru, hatasız ve güncel tutulması hususunda kendisinden beklenen özeni (reasonablecare) göstermesi gerekir. Bu itibarla veri sorumlusunun, ilgili kişilerin verilerinin güncellenmesi için bir sistem kurması ve gerektiğinde güncelleme imkanının sunulması gerekir.
E. Kişisel Verilerin Silinmesini veya Yok Edilmesini İsteme Hakkı
Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi gerek KVKK kapsamında gerekse de Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik kapsamında düzenlenmiştir.
İlgili kişinin, kişisel verilerin silinmesini, yok edilmesini isteme hakkından bahsetmeden önce silme, yok etme ve anonim hale getirme kavramlarının tanımlanması faydalı olacaktır.
Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Kişisel verilerin anonim hale getirilmesi ise, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.
KVKK 7’nci maddesi uyarınca; “Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir.”
İşlenmesinde yasal ya da meşru bir amacın bulunmadığı kişisel verilerin, ilgili kişilerin talebi halinde ilgili mecralardan silinmesini düzenleyen silme hakkı veya unutulma hakkı GDPR’ın17. maddesinde düzenlenmektedir. Unutulma hakkı bilişim kuşağının tartışmaya açtığı “yeni” haklar arasında en çok üzerinde durulan haklardan birisidir. İlgili kişinin unutulma hakkı Avrupa Birliği Adalet Divanı’nın 13.05.2014 tarihli Google kararı ile gündeme gelmiştir. Karar, İspanyol vatandaşı Mario Costeja Gonzales’in 2010 yılında İspanyol Veri Koruma Otoritesi ile birlikte bir İspanyol gazete, Google İspanya ve Google Inc.’e karşı yaptığı başvuru üzerine verilmiştir. Gonzalez, yıllar önce sosyal güvenlik borçlarının karşılığı olarak açık arttırmaya çıkarılan eviyle ilgili ilanın Google arama sonuçlarında yer almasının, özel yaşamın gizliliği hakkını ihlal ettiğini, evinin açık arttırmaya çıkarılmasıyla ilgili gerekçelerin yıllar önce son bulduğunu, kaldı ki evi geri aldığını ve bu bilgilerin artık gereksiz olduğunu öne sürmüştür. Gazetenin ilgili sayfalarının kaldırılmasını ya da değiştirilmesini ve Google İspanya ya da Google Inc.’nin kendisiyle ilgili kişisel verileri arama sonuçlarından çıkarmasını istemiştir. Avrupa Birliği Adalet Divanı’na yapılan başvuru sonucunda, arama motorlarının etkinliklerinin veri işleme olduğuna, bu şirketlerin de veri sorumlusu tanımına uyduğuna ve bu bağlamda AB hukukunun öngördüğü sorumluluktan imtina edemeyeceklerine karar vermiştir. Google’ın kamunun bilgi edinme hakkı üzerinden yaptığı savunma, kişinin özel hayatının gizliliği hakkı üstün görülerek Avrupa Birliği Adalet Divanı tarafından uygun bulunmamıştır. 16 yıl önceki haberlerin artık “geçersiz, eksik, tamamen ilgisiz veya sonradan ilgisiz hale gelmiş” olduğu kabul edilerek, kamunun bilgi edinme hakkının ortadan kalktığı ve kişinin bu linklerin kaldırılmasını talep etme hakkının doğduğu kabul edilmiştir. Ancak öte yandan unutulma hakkının mutlak bir hak olmadığına da işaret etmiş ve düşünceyi açıklama özgürlüğü, basın özgürlüğü gibi diğer bazı temel haklarla denge kurulması gerektiğini saptamıştır.
Unutulma hakkı adı altında KVKK’da detaylı bir düzenleme bulunmasa da bu yönde Yargıtay ve Anayasa Mahkemesi kararları mevcuttur.
Yargıtay Hukuk Genel Kurulu bu konuya ilişkin vermiş olduğu bir kararında dört yıl önce gerçekleşen bir olayın mağduru olan kişinin adının açık bir şekilde yazılarak bir kitapta rumuzlanmadan yer alması halinde unutulma hakkının bunun sonucunda da kişinin özel hayatının gizliliği hakkının ihlal edildiğine yönelik olarak hüküm kurulmuştur. Dava, kişilik hakkına saldırı nedenine dayalı tazminat istemine ilişkindir. Davacı, kamu görevinin veya hizmet ilişkisinin sağladığı nüfuzu kötüye kullanarak, müteselsilen cinsel saldırı suçunun mağdurudur. Yapılan yargılama sonunda kamu görevlisi olan sanık ceza almıştır. Temyiz istemi üzerine yapılan inceleme sonunda ise hüküm 2009 yılında onanmıştır. Mağdur davacı yargılama sırasında cinsel saldırının nasıl gerçekleştiğini açık bir şekilde anlatmış, bu anlatımlar doğal olarak karar metnine geçirilmiştir. Karar mağdur ve sanığın ismi rumuzlanmadan 2010 yılı nisan ayında yayınlanan kitapta yer almıştır.
Yargıtay Hukuk Genel Kurulu’nun önüne gelen bu dosya üzerinde yapmış olduğu değerlendirmede; unutulma hakkının; üstün bir kamu yararı olmadığı sürece, dijital hafızada yer alan geçmişte yaşanılan olumsuz olayların bir süre sonra unutulmasını, başkalarının bilmesini istemediği kişisel verilerin silinmesini ve yayılmasının önlemesini isteme hakkı olarak ifade edilebileceğini bu kapsamda davacının rızası dışında bir kitapta geçen isminin kişisel veri niteliğinde olduğunu kabul etmiştir.
Bu bağlamda değerlendirildiğinde; 4 yıl önce gerçekleşen bir olayın mağduru olan kişinin adının açık bir şekilde yazılarak kitapta yer alması halinde unutulma hakkının bunun sonucunda da davacının özel hayatının gizliliğinin ihlal edildiği kabul edilmiştir.
Bu noktada Kişisel Verileri Koruma Kurulunun ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkesi gereğince kişisel verilerin silinmemesi hakkında vermiş olduğu05/12/2018 tarihli ve 2018/142 sayılı kararına da değinmek gerekmektedir.
Veri sorumlusu bir Bankaya ait veri kayıt sisteminde yer alan kişisel verilerin silinmesi yönündeki ilgili kişi talebinin veri sorumlusu tarafından yerine getirilmemesi sebebiyle Kuruma yapılan söz konusu başvuru hakkında, KurulKVKK ile 5411 sayılı Bankacılık Kanunu’nun 42.maddesi ve Bankaların Muhasebe Uygulamalarına ve Belgelerin Saklanmasına İlişkin Usul ve Esaslar Hakkında Yönetmeliğin 17. maddesini göz önünde bulundurarak; ilgili kişinin bankalar nezdindeki son işlemi üzerinden 10 yıllık saklama süresi geçmediği için, ilgilinin talebine yönelik Kurum’un yapılacak bir işlemi bulunmadığına karar vermiştir.
F. Kişisel Verilerin Düzeltilmesi, Silinmesi veya Yok Edilmesine İlişkin İşlemlerin Kişisel Verilerin Aktarıldığı Üçüncü Kişilere Bildirilmesini İsteme Hakkı
İlgili kişinin kişisel verilerinin düzeltilmesi taleplerinin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesi, söz konusu kişisel verilerin aktarılan üçüncü kişiler tarafından da doğru ve güncel olma ilkesine uygun şekilde işlenmesi için önem arz etmektedir.
Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’in 12’nci maddesinin b bendi uyarınca; “İlgili kişi, veri sorumlusuna başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiğinde;Kişisel verileri işleme şartlarının tamamı ortadan kalkmış ve talebe konu olan kişisel veriler üçüncü kişilere aktarılmışsa veri sorumlusu bu durumu üçüncü kişiye bildirir; üçüncü kişi nezdinde bu Yönetmelik kapsamında gerekli işlemlerin yapılmasını temin eder.”şeklinde düzenlenmiştir.
G. İşlenen Verilerin Münhasıran Otomatik Sistemler Vasıtasıyla Analiz Edilmesi Suretiyle Kişinin Kendisi Aleyhine Bir Sonucun Ortaya Çıkmasına İtiraz Etme Hakkı
KVKK’nın 11’inci maddesi uyarınca; ilgili kişiye sağlanan bir diğer hak işlenen kişisel verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme hakkıdır.
Söz konusu hak “ilgilinin otomatik kararların konusu olmama hakkı” olarak da ifade edilmektedir. İlgilinin otomatik kararların konusu olmama hakkı bireysel özerklik ile yakından ilişkilidir. Bu çerçevede; her bireye, kendisine yönelik hukuksal sonuçlar yaratan, kendisini önemli ölçüde etkileyen ve işindeki performansı, kredi itibarı, güvenilirliği, davranışları gibi kişisel durumlarının değerlendirilmesi amacıyla yalnızca otomatikleştirilmiş veri işlenmesine dayanan bir karara tabi olmama hakkı tanınmıştır. Bu hususa ilişkin tipik örnek; kişilerin kredi istemlerinin değerlendirilmesi konusunda verilebilir. Yalnızca rakamsal bazı bilgiler neticesinde bir bilgisayar sistemince, herhangi bir insanın müdahalesi olmaksızın tamamen münhasıran otomatik sistemler vasıtasıyla kişi kredi derecelendirilmesine tabi tutulmamalıdır. Sonuç olarak ilgili kişinin bu hakkı kullanabilmesi için iki şartın sağlanması gerektiğini, bunlardan birinin kişisel verilerin sadece otomatik sistemler vasıtasıyla analiz edilmiş olması diğerinin de bu analizin ilgili kişi aleyhine sonuç doğurması olduğunu ifade etmek gerekir.
H. Kişisel Verilerin Kanuna Aykırı Olarak İşlenmesi Sebebiyle Zarara Uğraması Halinde Zararın Giderilmesini Talep Etme Hakkı
Kişisel Verilerin Korunması Kanunu kapsamında ilgili kişilere tanınan bir diğer hakda kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğramaları durumunda söz konusu zararın giderilmesini talep etme hakkıdır. Bu bağlamda kişisel verisi işlenen ilgili kişiler kişisel verilerinin ihlal edilmesi sebebiyle eğer bir zarara uğrarlarsa, bu zararın giderilmesini talep etme hakkına sahip olacaklardır.
GDPR’da birden fazla veri sorumlusu veya veri işleyenin zarardan sorumlu olması halinde müteselsil sorumluluk ilişkisinin doğacağı açıkça ifade edilmiş ancak KVKK’da bu şekilde bir sorumluluk müessesesi düzenlenmemiştir. Söz konusu durumda TBK genel hükümler çerçevesinde teselsül ilişkisi doğabilecektir. Ayrıca kişisel verilerin yetkisiz makamlarca işlenmesi durumunda da Türk Medeni Kanunu’nun 24’üncü ve 25’inci maddeleri uygulama alanı bulacaktır.
KAYNAKÇA
I.Basılı Eserler
Akgül, Aydın, Kişisel Verilerin Korunmasında Yeni Bir Hak: “Unutulma Hakkı” ve AB Adalet Divanı’nın “Google Kararı”, Türkiye Barolar Birliği Dergisi, S. 116, 2015.
Ayözger Öngün, A. Çiğdem, Kişisel Verilerin Korunması Hukuku, Elektronik Haberleşme Sektörüne İlişkin Özel Düzenlemeler Dahil, Genişletilmiş 2. Baskı, İstanbul 2019.
Bilge, Mehmet Emin, Ticari Sırların Korunması, 2. Baskı, Ankara 2005.
Çekin, Mesut Serdar, 6698 Sayılı Kişisel Verilerin Korunması Hakkında Kanun’un Big Data (Büyük Veri) ve İrade Serbestisi Açısından Değerlendirilmesi, İÜHFM, C.LXXIV, S.2, 2016.
Küzeci, Elif, Kişisel Verilerin Korunması, Yenilenmiş ve Gözden Geçirilmiş 2. Baskı, Şubat 2018.
Serozan, Rona, Medeni Hukuk Genel Bölüm-Kişiler Hukuku, 8. Bası, İstanbul 2017
Taştan, Furkan Güven, Türk Sözleşme Hukukunda Kişisel Verilerin Korunması, İstanbul 2017.
II. Elektronik Kaynaklar
Kişisel Verilerin Korunması Kanunu ve Uygulaması, KVKK Rehberi, https://www.kvkk.gov.tr/yayinlar/K%C4%B0%C5%9E%C4%B0SEL%20VER%C4%B0LER%C4%B0N%20KORUNMASI%20KANUNU%20VE%20UYGULAMASI.pdf, (Erişim Tarihi: 30.10.2019)
TBMM 26. Yasama Dönemi, 1.Yasama Yılı, 117 Sıra Sayılı, Kişisel Verilerin Korunması Kanunu Tasarısı (1/541) ve Adalet Komisyonu Raporu. (https://www.tbmm.gov.tr/sirasayi/donem26/yil01/ss117.pdf) Erişim Tarihi: 06.11.2019
Kişisel Verilerin Korunması Kanunu Hakkında Sıkça Sorulan Sorular, KVKK Rehberi, https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/334ee925-1a83-453d-9b58-9b4ffab4b30e.pdf, s.23 (Erişim Tarihi: 30.10.2019)
30356 Sayılı Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ, T. 10.03.2018 https://www.resmigazete.gov.tr/eskiler/2018/03/20180310-6.htm (E.T. 29.11.2019)