Kişisel Verilerimiz Koruma Altında mı?

Kişisel Verilerimiz Koruma Altında mı?

Günlük hayattaki birçok dijital işlemde kimlik bilgileri, kredi kartı numaraları veya adres bilgileri gibi kişisel verilerimizi kullanabiliyoruz. Ancak kayıt altına alınan ve depolanan bu bilgiler kimi zaman olumsuz sonuçlar doğurabiliyor.

Bu durumu önlemek amacıyla yürürlüğe konulan Kişisel Verileri Koruma Kanunu bu alandaki güvenlik açıklarını önemli ölçüde kapatırken; çoğu sektörde ciddi bir hazırlıksız yakalanma hali de oluşmuş durumda. Birçok şirket hala düzenlemeye uygun biçimde hareket edemiyor veya bu durumu göz ardı edebiliyor.

Bu konu hakkında araştırmalarda bulunan hukukçu Baran Usanmaz; her türlü şirketin ya da işyerinin, günlük hayatta elde ettiği ve dijital olarak sakladığı tüm kişisel bilgilerin uygun şekilde korunmasının zorunluluk olduğuna dikkat çekiyor.

VERİLERİN KÖTÜYE KULLANIMI ENGELLENMELİ

İşletmelerin; çalışanların kayıtları, müşteri kimlik detayları, sadakat planları, müşterilerce tesis edilen işlemlerin dökümlerini depoladığını belirten Usanmaz, şöyle devam ediyor: “Bu konudaki önem, hukuka aykırı bir şekilde kimlik avı dolandırıcılığı, kimlik hırsızlığı, kimlik bilgilerinin kopyalanarak resmi kurumlarda aleyhte kullanılması ve hatta işlenmiş bir suçun arkasında başkasına ait kimlik bilgilerinin bırakılması nedenleriyle üçüncü kişilerce verilerin kötüye kullanılmasını durdurmak olarak ortaya çıkmaktadır. Daha detaylı olarak depolanan yaygın veriler; kişilere ait isimler, adresler, e-postalar, telefon numaraları, banka ve kredi kartı bilgileri ile sağlık bilgilerinden oluşmaktadır ve bu veriler kişilerle ilgili olabilecek hassas durumları içerdiğinden, tüm bu bilgilerin 6698 sayılı Kişisel Verilerin Korunması Kanunu uyarınca korunması ve işletmelerin belirli ilkelere uyması esastır.”

SOSYAL MEDYA ŞİRKETLERİ İÇİN OLMAZSA OLMAZ

Bir bütün olarak kişisel verilerin niteliğinin, öneminin ve korunmasının zaruretinin Nisan 2016’da Avrupa Birliği’nde  (AB) kabul edildiğini ve 25 Mayıs 2018’de yürürlüğe giren Genel Veri Koruma Yönetmeliği (GDPR) ile oluştuğunu anımsatan Usanmaz, “Söz konusu yönetmelik, Avrupa Birliği içindeki bireylerin kişisel bilgilerinin toplanması ve işlenmesi için kurallar belirleyen yasal bir çerçevedir. GDPR veri yönetimi ve bireyin haklarına ilişkin prensipleri belirlerken, aynı zamanda da bir cezai yaptırım halinde, ihlale meydan veren şirketin veya işletmenin yıllık geliri üzerinden belirlenecek para cezaları da getirmektedir. Genel Veri Koruma Yönetmeliği, AB vatandaşlarının verileriyle ilgilenen tüm AB içi veya dışında faaliyet gösteren işletmeleri de kapsadığından, kritik bir düzenlemedir. AB ile uyum yasalarımız çerçevesinde ve GDPR ile bağlantılı olarak 6698 sayılı Kişisel Verilerin Korunması Kanunu da bu nedenlerle hızlıca ülkemizde yürürlük kazandı. Dolayısıyla söz konusu düzenlemeler bir nevi AB dışındaki ülkelere de genişletilmiş olduğundan, sosyal medya şirketlerinin bu hükümlere uyması ayrı bir önem kazandı.” şeklinde konuşuyor.

ÜLKEMİZDEKİ KULLANICILAR DİKKATLİ OLMALI

Usanmaz, 2018 yılında dünyanın en büyük sosyal paylaşım sitesi Facebook’un kurucusu ve CEO’su Mark Zuckerberg’in önemli problemler yaşadığına işaret ederek, “Zuckerberg; Amerika Birleşik Devletleri (ABD) senatosu önünde, Facebook tarafından yapıldığı iddia edilen hukuka aykırı kişisel veri toplanması, depolanması, işlenmesi ve hatta üçüncü kişi şirketlere bu verilerin kullanıcılardan habersiz satılması konularında ifade verdi. Burada çelişkili cevaplar vererek, bazı noktaları saklaması sosyal medya hesaplarındaki verilerin korunmasındaki nitelikler hakkında önemli sayıda soru işareti oluşturdu.” değerlendirmesinde bulunuyor.  

Türkiye’deki sosyal medya kullanıcılarını da uyaran Usanmaz, “Henüz resmi olarak Facebook, Instagram, Twitter gibi büyük sosyal mecraların ülkemizde ofisi bulunmadığından, 6698 sayılı Kişisel Verilerin Korunması Kanunu hükümlerinin tam olarak ya da gereği gibi sosyal medya alanında uygulanabilmesi maalesef olanaklı görünmüyor. Kullanıcıların her daim sosyal medya üzerinden ifade ettikleri yazı, paylaşım, bilgi ya da anlık durum bildirilerinde dikkatli olmaları gerekiyor.” ifadelerini kullanıyor.

KİŞİSEL VERİLER HANGİ KOŞULLARDA PAYLAŞILABİLİR?

Usanmaz, genel kural olarak kişisel verilerin, verinin ait olduğu kişinin açık rızası olmadan paylaşılamadığının altını çizerek; işletmelerin bu yönde bir amaçları olması hal inde, işlem yapacakları kişiye durumu önceden anlatması ve açık rızasını elde etmesi gerektiğini anlatıyor.

Kanunun tesis ettiği bazı istisna hallerde verinin yurtiçinde paylaşılması için açık rıza aranmayabileceğini belirten Usanmaz, o halleri şöyle sıralıyor: Başka kanunlarda açıkça paylaşımın yapılabileceğinin öngörülmesi; fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, söz konusu paylaşımın kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması; bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla; sözleşmenin taraflarına ait kişisel verilerin islenmesinin gerekli olması; veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması; ilgili kişinin kendisi tarafından verinin önceden halka açıklanmış olması ve bir hakkın tesisi kullanılması veya korunması için veri islemenin zorunlu olması halleridir. Yurtdışı paylaşımlar için de kişinin açık rızasının alınması zorunlu olmakla beraber, yukarıdaki istisna halleri de geçerlidir.”

Usanmaz, bu noktada önemli bir ayrıntıya daha dikkat çekerek, “Bu istisna hallerine dayanılarak yurtdışına paylaşımın yapılabilmesi için kişisel verinin aktarılacağı yabancı ülkede; yeterli korumanın bulunması, yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kişisel Verileri Koruma Kurulun izninin bulunması zorunludur.” diyor.

KANUNDAN ÖNCE TOPLANAN KİŞİSEL VERİLER NE OLACAK?

Baran Usanmaz; Kişisel Verilerin Korunması Kanunu’ndan önce toplanan, depolanan ve islenen kişisel verilerin, kanun yayımı tarihinden itibaren iki yıl içinde kanun hükümlerine uygun hale getirilmesi gerektiğini kaydediyor.

Kanun hükümlerine aykırı olduğu tespit edilen kişisel verilerin derhal silinip yok edileceği veya anonim hale getirileceğini anlatan Usanmaz, “Ancak kanunun yayımı tarihinden önce hukuka uygun olarak alınmış̧ rızalar, bir yıl içinde aksine bir irade beyanında bulunulmaması halinde, kanuna uygun kabul edilecektir. Şirketler açısından bir diğer nokta ise Kanunun yayımı tarihinden itibaren bir yıl içinde, kamu kurum ve kuruluşlarında Kanunun uygulanmasıyla ilgili koordinasyonu sağlamak üzere ilgili şirket bünyesinden üst düzey bir yönetici belirlenerek Kuruma bildirilmelidir.” uyarısında bulunuyor.  

ŞİRKETLERİN YÜKÜMLÜLÜKLERİ NEDİR?

Kanuna ilişkin şirketlerin uyması gereken yükümlülükler hakkında da bilgi veren Usanmaz, şöyle devam ediyor: “6698 sayılı Kişisel Verilerin Korunması Kanunu ile şirketlerin dikkat etmesi gereken hususlar; kişisel bilgilerinden herhangi birini işlemeden önce müşterilerden açık onay alınmalı, müşteri tarafından paylaşılan verilerin anonim olarak şirket kayıtlarında tutularak müşteri gizliliği korunmalı, veri sızıntısı veya güvenlik ihlali durumunda derhal müşterilere bildirim gönderilmeli. Talep üzerine belirli bir müşteriden toplanan tüm kişisel verilerin ücretsiz bir elektronik kopyasının ilgili müşteriye sağlanması ve söz konusu verilerin ilk etapta neden toplanmadığı ve amacının açıklanması talep üzerine belirli bir müşterinin verilerini derhal silinmesi ve işletme ya da şirket bünyesinde tam zamanlı olarak görev yapacak Veri Koruma Görevlisi atanması şeklinde özetlenebilir.”