Son yıllarda yapay zekanın giderek hayatımızın merkezinde yer alır hale gelmesi, akıllı olarak nitelendirdiğimiz cihazlara duyulan ilgi ve talebin artışı, çağımızın yeni problemi olan kişisel verilerin korunması konusunu gündeme getirmektedir. Dünyanın içerisinde bulunduğu pandeminin de etkisiyle birçok işlem internet ağı ve mobil uygulamalar vasıtasıyla gerçekleştirilmektedir. Bunlara örnek olarak bankacılık işlemleri, iş toplantıları, her türlü ödeme işlemleri, alış-veriş, eğitim faaliyetleri gösterilebilir. Bu kolaylıkların karşılığı olarak her birey, kişisel verilerin kullanılması, saklanması, işlenmesi durumuyla karşı karşıya kalmaktadır. Özellikle ücretsiz olarak hizmet veren ve işlemlerinizi gerçekleştirmenize olanak tanıyan platform ve uygulamaların, söz konusu kişilerin verilerini kullanarak gelir elde ettiği bilinen bir gerçektir. Facebook gibi büyük çaplı birçok uygulama yakın zamanda, kişisel verilerin hukuka aykırı olarak kullanılması/aktarılması sebebiyle yüklü miktarlarda para cezası ödemek durumunda kalmıştır.
Kişisel veri, kimliği belirli veya belirlenebilir olan, gerçek kişiye ait her türlü bilgidir. Sağlık verileri, kimlik bilgileri, telefon numarası, motorlu taşıt plakası, sosyal güvenlik ve pasaport numaraları, fotoğraf, özgeçmiş, gelir durumu bilgisi, harcama tercihleri, yatırımlar, medeni hal, çocuk sayısı, hobiler, etkileşimde bulunulan kişiler, gurup üyelikleri, e-mail adresleri, IP adresleri ve konum bilgileri kişisel veri kapsamındadır. Bu verilerin tamamının işlenmesi, saklanması, aktarılması, kullanılması Kişisel Verilerin Korunması Kanunu’nca düzenlenmiş kurallara ve izinlere tabidir. Aykırılık halinde ise ağır ceza ve yaptırımlar gündeme gelmektedir.
Kişisel verilerimizin işlenmesi, saklanması veya aktarılması durumu yalnızca internet ortamı ve akıllı cihazlarda yaptığımız işlemlerle sınırlı değildir. Günlük hayatta gerçekleştirdiğimiz birçok fiil esnasında bu durumla muhatap kalma olasılığımız oldukça yüksek... Örneğin eczaneden ilaç alan kişi, bir işyerinin çalışanları, mobese sistemi kurulu bir sokaktan geçen, spor salonuna giden veya sürücü kursuna kayıt olan, avukata danışan kişi açısından kişisel verilerinin elde edilmesi söz konusudur. Elbette ki, gerekli ölçüde bilgi paylaşımı yapılmaksızın bu gibi faaliyetlerin yürütülmesi mümkün olmayacaktır, ancak ölçünün ne olduğu ve söz konusu verilerin kullanım alanları, izin-onay prosedürüne uygunluğu, güvenliğinin sağlanması ciddi bir hukuki sorun olarak karşımıza çıkmaktadır. Unutulmamalıdır ki, Özel Hayatın Gizliliği ve Korunması Hakkı kişinin temel hak ve özgürlüklerinden biri olup Anayasal düzeyde tanınan ve korunan bir haktır.
Türkiye, taraf olduğu “Kişisel Verilerin Otomatik Olarak İşlenmesi Sırasında Gerçek Kişilerin Korunmasına İlişkin Sözleşme” nin iç hukukumuzdaki yansımasını 2016 yılında yasalaştırmıştır. Ancak söz konusu yasa 2018 yılında yürürlüğe girerek işlerlik kazanmıştır. Bu yasayla birlikte kişisel veri kapsamına giren her türlü bilgi ve verinin işlenmesi bazı şartlara bağlanmıştır. Yalnızca bu şartlardan birinin varlığı halinde, söz konusu çerçeve ile sınırlı kalmak kaydıyla kişisel verinin işlenmesi, kullanılması hukuka uygun olacaktır.
Özetle, iş ve uğraşları nedeniyle veya diğer sebeplerle kişisel veri elde eden herkesin Kişisel Verilerin Korunması Kanunu ile bağlı olduğu anlaşılmaktadır. Henüz çok yeni bir alan olması sebebiyle yerleşik uygulaması zaman alacak olan bu kanun, olası aykırılıklar halinde ağır para cezası ve yaptırımlar öngörmektedir.
Örneğin, bir doktor tarafından ilgili kişinin cep telefon numarasının herhangi bir veri işleme şartına dayanmaksızın, işlenmesi ve ilgili numaraya reklam/bilgilendirme içerikli mesaj gönderilmesi hakkında Kişisel Verileri Koruma Kurulu ihlal kararı vererek 50.000 TL idari para cezasına hükmetmiştir. Aynı şekilde kişisel verinin amacı dışında kullanılması sebebiyle şikayet edilen sigorta şirketine, Kişisel Verileri Koruma Kurulu’nca ihlal tespit edilerek 100.000 TL idari para cezası verilmiştir. Bir diğer kararında spor salonunun, üyelerinin giriş çıkışını parmak izi ile sağlamasını ölçüsüz şekilde kişisel veri kullanımı olarak gören kurul, söz konusu parmak izi cihazlarının kaldırılmasına ve idari para cezası yaptırımına karar vermiştir. İcra takibi başlatılan borçların ödenmesi yönünde ilgililere ve borçlu yakınlarına mesaj atıp, arama yapan avukat hakkında, müşterisinin satın aldığı basur ilacını kalfası ile gönderen eczacı hakkında aynı şekilde verilmiş idari para cezası kararları mevcuttur.
Bu alanda, şahsımın da danışmanlık hizmeti verdiği işyeri/firma gözlemlerinden yola çıkarak, Kişisel Verilerin Korunması Kanunu ile uyumlu hale gelme konusunun henüz tam anlamıyla kavranamamış olduğunu söylemek mümkündür. Olası ihlalleri engellemek adına bireyler bilinçli kullanıma yönelmeli, kişisel verilerinin hukuka uygun olarak elde edildiği ve işlendiği konusunda sorgulayıcı bir yaklaşım kazanmalıdır. Bunun yanı sıra kişisel verilerin siber saldırılara, çalınmalara karşı korunmasının da söz konusu verileri elde eden kişi/kurum sorumluluğunda olduğu unutulmamalıdır. Bu gibi durumlarda ilgili kişi ve kuruma müracaat ederek hukuka aykırılığın giderilmesi talep edilmeli, sonuç alınamaması halinde zaman kaybetmeden veri ihlal bildirimi gerçekleştirilmelidir. Henüz oldukça yeni ve belirsiz bir hukuki alan olması sebebiyle sürecin uzman bir avukat vasıtasıyla yürütülmesinin yararlı olacağı kanaatindeyiz.
Yeni yazılarda görüşmek üzere, güzel bir hafta geçirmeniz dileğiyle…
Av. Tuğba ÇIĞ
İletişim: av.tugbacig@gmail.com