KİŞİSEL VERİLERİN KORUNMASI KANUNU (6698 SK) KAPSAMINDA VERİ SAHİBİNİN HAKLARI
1. Giriş
Kişisel verilerin korunması temel insan hak ve özgürlüklerinden birisidir. Bu temel hak aynı zamanda özel hayatın gizliliği, mülkiyet hakkı gibi başka temel hak ve özgürlükler ile de yakın ilişki içerisindedir. 6698 sayılı kanun kapsamında da bu temel hak ve özgürlüğün korunması adına veri sahibi olan kişilere bir takım haklar tanınmıştır.
2. Kişisel Veri Sahibi Kimdir?
Kişisel veri sahibi kavramı, 6698 sayılı kanun, ilgili mevzuat ve kurum tarafından yayınlanan dokümanlarda “ilgili kişi” olarak ifade edilmektedir. Kanunun 3. Maddesinin 1. Fıkrasının (ç) bendinde ilgili kişi, “kişisel verisi işlenen gerçek kişi” olarak tanımlanmaktadır.
GDPR, kişisel verisi işlenen kişiyi “data subject” kavramıyla nitelendirilmiştir. Bu kavramın farklı kaynaklarda “veri öznesi”, “veri sahibi”, “ilgili kişi” gibi şekillerde tercüme edildiğine rastalanmaktadır. Çalışmamızda, verinin gerçek sahibinin kişinin kendisi olduğunun altını çizmek, veri sorumlusunun sadece işlediği veriyi hukuka uygun olarak korumak ve kollamak durumunda olan biri olduğunun altını çizmek için “veri sahibi” kavramı kullanılmıştır. “Veri ilgilisi”, “İlgili kişi” gibi kavramların ise netlikten uzak olması nedeniyle kullanılması tercih edilmemiştir.
3. Kanun Kapsamında Veri Sahibinin Hakları Nelerdir?
6698 sayılı KVKK madde 11’de “ilgili kişinin hakları” başlığı altında veri sahibinin hakları düzenlenmiştir. 11. Madde uyarınca; herkes, veri sorumlusuna başvurarak kendisiyle ilgili;
a) Kişisel veri işlenip işlenmediğini öğrenme,
b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
d) Kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme,
e) Şartları varsa (7nci maddede öngörülen şartlar) kişisel verilerin silinmesini veya yok edilmesini isteme,
f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
g) İşlenen veriler münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme haklarına sahiptir.
4. Veri Sorumlusuna Başvuru Süreci
6698 sayılı kanunun 13. Maddesinde “veri sorumlusuna başvuru” süreci ile ilgili düzenleme mevcuttur. Ayrıca veri sorumlusuna başvuru usul ve esasları hakkında 10 Mart 2018 tarihli 30356 sayılı Resmî Gazete’de yayınlanan bir tebliğ mevcuttur. Tebliğin 4. Maddesi başvuru hakkını düzenlerken, maddenin 2. Fıkrasında bu haktan yararlanmak için başvurunun Türkçe yapılması şartı konulmuştur.
Başvuru usulü olarak tebliğde üç farklı yoldan bahsedilmektedir. Bunlardan ilki yazılı dilekçe ile başvuru yapmaktır. İkincisi veri sorumlusunun KEP adresi kullanılarak başvuru yapılmasıdır. Üçüncüsü ise başvuru amacına yönelik geliştirilmiş bir yazılım ya da uygulama varsa bunlar aracılığıyla başvuru yapılabilir. Başvurunun veri sorumlusuna ulaştığı tarih başvuru tarihidir.
Veri sorumlusu, veri sahibi tarafından yapılacak başvuruda yer alan talepleri en kısa sürede ve en geç 30 gün içerisinde sonuçlandırmalıdır. Taleplerin yerine getirilmesi işlemini de kural olarak ücretsiz olarak yerine getirmelidir. Ancak yapılan işlem ayrıca bir maliyeti gerektirirse Kurul tarafından belirlenen tarifedeki ücret alınabilir. Bu ücret ile ilgili olarak da anılan tebliğin 7. Maddesinde düzenleme bulunmaktadır. Anılan hükme göre verilecek cevapta 10 sayfaya kadar ücret alınmaz. On sayfanın üzerindeki her sayfa için 1 TL işlem ücreti alınabilir. Başvuruya cevabın CD, Flash Bellek gibi bir kayıt ortamında verilmesi halinde kayıt ortamının maliyetini geçmemek şartıyla ücret talep edilebilir.
Veri sorumlusu, veri sahibinin başvurusunu iki şekilde yanıtlayabilir. Birincisi talebi kabul edebilir. İkincisi, gerekçesini açıklayarak talebi reddedebilir. Talebi kabul ettiğinde gerekli işlem yerine getirilir. Ortada veri sorumlusundan kaynaklı bir hata söz konusu ise eğer ücret alınmışsa bu ücret iade edilir.
Veri sahibinin başvurusu kurul tarafından reddedilirse ya da veri sahibi taleplerinin yeterli şekilde yerine getirilmediğini düşünürse cevabın kendisine iletilmesinden sonra 30 gün ve her halde başvuru tarihinden itibaren 60 gün içinde Kurul’a şikâyet hakkına sahiptir.
5. Kurula Şikâyet Süreci
6698 sayılı kanunun 14. Maddesinde “kurula şikâyet” ile ilgili düzenleme mevcuttur. Kurula şikâyet için ön şart kanunun 13. Maddesi uyarınca veri sorumlusuna başvuru yapılmış olmasıdır. Veri sorumlusuna başvuru yapılmadan kurula doğrudan şikâyette bulunulması kanunda belirtilen usule aykırıdır.
Şikâyette bulunmak için; i. Veri sahibinin yapmış olduğu başvurunun reddedilmesi, ii. Veri sahibine verilen cevabın yetersiz olması, iii. 30 gün içinde başvuruya cevap verilmemiş olması gerekmektedir.
Kurula şikâyet zorunlu bir yol değildir. Zorunlu olan veri sorumlusuna yapılacak olan başvurudur. Buradan şu sonuç çıkmaktadır. Kişi, kurula şikâyet sürecini başlatmadan veri sorumlusuna yapacağı başvurunun ardından ya da başlattığı şikâyet sürecinin sonucunu beklemeden tazminat hakkı ile ilgili olarak adli ya da idari yargı yoluna başvurabilecektir. Veri sahibinin tazminat hakkının saklı olduğuna dair hüküm 6698 sayılı Kanun’un 18. Maddesinde düzenlenmiştir.
Kurula şikayet, veri sorumlusunun cevabı öğrenildikten sonra 30 gün ve her halde başvuru tarihinden itibaren 60 gündür. Başvuru tarihinin, başvurunun veri sorumlusuna ulaştığı tarih olduğunu yukarıda belirtmiştik. Ancak 60 günlük sınırlama içerisinde, veri sorumlusunun cevabının başvuru sahibine ulaşma süresinin dikkate alınmadığı görülmektedir. Dolayısıyla 60 günlük sınır yerine cevabın öğrenilmesinin ardından 30 günlük süreyi hesaplamanın yeterli olacağı kanaatindeyim.
6. Kurul’un Şikâyeti Değerlendirme Süreci
Kurul, ihlal değerlendirmelerinde şikâyet ile bağlı değildir. Veri ihlalini, şikâyet olmaksızın öğrenmesi halinde resen de harekete geçebilir. Kurul, şikâyeti değerlendirirken veri sorumlusundan devlet sırrı niteliğindeki bilgi ve belgeler hariç tüm bilgi ve belgeleri talep edebilir. Veri sorumlusu kurula 15 gün içerisinde talep edilen bilgi ve belgeleri iletmekle mükelleftir. Kurul, ayrıca yerinde inceleme yapma yetkisine de sahiptir.
Kurul, 60 gün içerisinde şikâyet başvurusuna cevap vermemiş ise talep reddedilmiş sayılacaktır. Yani zımni ret söz konusu olacaktır. Kurulun, veri sorumlularına yönelik 6698 sayılı kanunun 18. Maddesi uyarınca uygulayacağı kabahat hükmündeki yaptırımlara karşı vereceği kararlara karşı Sulh Ceza Hakimliklerine itiraz yolu açıktır. Ancak şikâyet başvurusunun reddi konusunda idari yargı yoluna gitmek gerekmektedir.
60 günlük süre, kurulun şikâyet başvurusuna vereceği cevap ile ilgilidir. Yani 60 günlük süre içerisinde şikâyet başvurusuna cevap verilmesi bir gereklilik ise de yapılacak inceleme 60 günlük süre ile sınırlı olmayabilir. Kurul, başvuruyu kabul eder ve hukuka aykırılıklar tespit ederse, veri sorumlusuna tarafından hukuka aykırılıkların giderilmesine karar verir. Veri sorumlusu, en geç 30 gün içerisinde bahse konu hukuka aykırılıkları gidermekle mükelleftir.
Kurula, şikayetlerin değerlendirilmesi süreci ile ilgili yürütmeyi durdurma benzeri bir yetki de tanınmıştır. Kurul, telafisi güç veya imkânsız zararların doğması ihtimalinde, nihai karardan önce veri işlenmesinin veya verinin yurtdışına aktarılmasının durdurulmasına karar verebilir. Kabahat yaptırımı dışındaki tüm kurul kararlarına karşı idari yargı yolu açıktır. Şikâyet konusu eylemin yaygın bir veri ihlali örneği oluşturması durumunda ise kurul ilke kararı alabilir.
7. Değerlendirme ve Sonuç
KVKK kapsamında veri sahibinin haklarının düzenlenmiş oluşu şeffaflık ve hukuk devleti olma ilkelerinin gereğini yerine getirmek bakımından önemlidir. Alanın ülkemiz hukuk uygulaması açısından yeni olması nedeniyle henüz bir içtihattan bahsedilmesinin güç olduğu aşikardır. Ancak beklenenden çok hızlı gelişmeler yaşanmakta ve veri sahiplerinin bu konudaki farkındalık düzeyi hızla artmaktadır.
Kişisel verisinin hukuka aykırı olarak işlendiğini düşünen insanların veri sorumlularına yapacakları başvurular, kurula iletecekleri şikayetler, adli ve idari yargı süreçleri ve bu konudaki tazminat davaları ile kısa süre içerisinde bu alanda bir içtihat oluşması da kaçınılmaz olacaktır.