Yazan: Av. Faruk Çayır, Ankara Barosu ve Alternatif Bilişim Derneği
Kişisel verilerin korunması ile ilgili olarak ülkemizde ve tüm dünyada uzun yıllardan beri çalışmalar ve düzenlemeler yapılmakla birlikte, kişisel verilerin korunması hususu teknolojinin gelişimi karşısında hızla boyut değiştirmektedir. Küresel anlamda bilgi işlem hizmetlerinin yaygınlaşması ve ülkeler arasında artan veri trafiği nedeniyle sosyal ve ekonomik açıdan uluslararası öneme sahip hale gelmiştir. Sosyal ağlar, bulut bilişim, büyük veri analizi, lokasyon bazlı hizmetler ve akıllı kart gibi teknolojik gelişmeler ve küreselleşmenin getirdiği zorunluluklar başta olmak üzere pek çok etken kişisel verilere erişim, verilerin toplanması ve kullanımı yöntemlerini derinden etkilemekte ve değiştirmektedir. Bu nedenle, küresel anlamda ülkelerin veri koruma hukuki altyapılarını güncel teknolojik gelişmelerle uyumlaştırma yönünde adımlar atılmaya başlamıştır.
Kişisel verilerin korunması konusunda AB’de 1995 yılında yürürlüğe giren 95/46/AT sayılı AB Veri Koruma Yönergesi kişisel verilerin korunması alanında tüm dünyada kabul gören bir çerçeve sunmaktadır. Ancak bahsetmiş olduğumuz teknolojik gelişmeler sonucunda, Avrupa Komisyonu tarafından üye ülkelerde uygulanmakta olan AB veri koruma kurallarında, Veri Koruma Yönerge’sinde benimsenen ilkelerin modernize edilmesi ve gelecekte vatandaşların mahremiyet hakkının garanti altına alınması amacıyla, kapsamlı bir reforma gidilmesi ihtiyacı ortaya çıkmıştır.
1995 yılından itibaren AB üyesi ülkeler açısından uygulamada meydana gelen farklılıklar ve dijital dünyayla daha uyumlu hale getirilmesi ihtiyacı, ortaya çıkan somut uyuşmazlıklar ve bu değişimi kaçınılmaz kılan siyasi açmazlar sebebiyle giderek zorunlu bir hal almıştır. Bu olayların başında, konuyla doğrudan olmasa da etkisi bakımından büyük ilgisi olan, 2013 yılında Edward Snowden tarafından ortaya çıkarılan mahremiyet ihlalleri gelmektedir. Bunun dışında geçtiğimiz yıl ABD de yapılan seçimlere ilişkin Facebook’ un kişilere ait verileri satması ve bu verilerin seçimlerde yönlendirme ve manipülasyona yönelik olarak kullanılması ile ilgili skandal kişisel verilerinin korunmasının önemini bir kez daha ortaya koymuştur.
Snowden’ın açıklamaları Avrupa Birliği Adalet Divanı’nın (ATAD) mevcut hukuki uygulamalarında önemli bir değişim yaklaşımı benimsenmesine sebep olmasının yanında Avrupa’da bireyin internetteki haklarının korunması konusundaki genel anlayışını da oldukça katılaştırmasına neden olmuştur. Mahkemenin bu çerçevede almış olduğu;
– unutulma hakkı konusundaki Google-İspanya kararı,
-mobil veya internet telefonu ile e-posta iletişimi verilerinin saklanması hususunda muhtemel bir soruşturma, araştırma ve suçun kovuşturulması amacıyla makul suç şüphesi bulunması gerektiğine ilişkin, 2006/24/EC sayılı Veri Saklama Direktifi’ ni geçersiz kıldığı İrlanda Dijital Haklar kararı,
– Facebook tarafından kişisel verilerinin ABD’de tutulmasına ilişkin eşdeğer bir koruma seviyesinin bulunmaması nedeniyle Güvenli Liman Anlaşmasını geçersiz kıldığı M.Schrems-Veri Koruma Komisyonu Kararı
kişisel verilerin korunması konusunda yeni ve kapsamlı bir reformu zorunlu kılmıştır.
Bu kapsamda, AB veri koruma kurallarında köklü bir reformu ihtiva eden “Genel Veri Koruma Tüzüğü (General Data Protection Regulation–GDPR)” Avrupa Parlamentosu tarafından 14 Nisan 2016 tarihinde onaylanmıştır. AB Genel Veri Koruma Tüzüğü (General Data Protection Regulation–GDPR) 25 Mayıs 2018 tarihinde yürürlüğe girmiştir.
Avrupa Birliği’ nin söz konusu düzenlemeyi Regulasyon yani tüzük ( Türkçe’ ye çevirisi bakımından anlaşılır olması açısından) olarak düzenlemesi bağlayıcılığı açısından da önem kazanmaktadır. Regülasyonlar genel olarak yürürlüğe girmekle birlikte tüm üye ülkelerde yürürlük gücüne sahip olurlar. Ayrıca iç hukuka aktarılmak üzere bir onay kanununa ya da iç hukukta aynı düzenlemeleri konu alan yeni bir kanuna ihtiyaç göstermezler. Oysa yönergeler için durum farklıdır. Yönergeler üye devletleri hedef alır ve onlara belirli bir süre içinde yönergede belirtilen hususlarda ve o çerçevede iç hukukta düzenleme yapma ödevini yüklerler. İç hukukta yapılacak düzenlemenin yöntemi ise üye devletin takdirine bağlıdır. Bu açıdan AB Genel Veri Koruma Tüzüğü üye ülkelerin düzenlemeleri ve onaylarına ihtiyaç kalmaksızın uymakla zorunlu oldukları bir düzenlemedir.
AB Genel Veri Koruma Tüzüğü (General Data Protection Regulation) (bundan sonra GDPR olarak anılacaktır.)’ nün kişisel verilerin korunmasına ilişkin getirdiği yeni tanımlar, yaklaşımlar ve zorunluluklar açısından Tüzüğün 3. Maddesine göre
“2. Bu Tüzük, işleme faaliyetlerinin aşağıdaki hususlarla alakalı olması durumunda, Birlik içerisinde bulunan veri sahiplerinin kişisel verilerinin Birlik içerisinde kurulu olmayan bir kontrolör veya işleyici tarafından işlenmesine uygulanır:
- Veri sahibine bir ödeme yapılmasına gerek olup olmadığına bakılmaksızın, Birlik içerisindeki söz konusu veri sahiplerine mal ya da hizmetlerin sunulması veya
- Davranışları birlik içerisinde gerçekleştiği ölçüde, davranışlarının izlenmesi.
- Bu Tüzük, Birlik içerisinde değil, ancak bir üye devletin hukukunun uluslararası kamu hukuku vasıtasıyla uygulandığı bir yerde kurulu bulunan bir kontrolör tarafından kişisel verilerin işlenmesine uygulanır.”
düzenlemesi gereğince GDPR hükümlerinin, sunucuları AB dışında yerleşik bulunan ve işleme faaliyetlerini Birlik ülkeleri dışından sürdüren bulut hizmet sağlayıcıları bakımından ve AB ülkelerindeki kişilere yönelik mal ve hizmet sağlayanlar bakımından da bağlayıcı olduğu görülmektedir. Bu açıdan Türkiye’ nin Kişisel Verilerin Korunması’ na yönelik yasal düzenlemelerini GDPR’ ye uygun hale getirmesi gerekmektedir.
Türkiye’de ise kişisel verilerin korunmasına ilişkin 7 Nisan 2016 tarihli ve 29677 sayılı Resmî Gazete’de yayımlanan 6698 sayılı “Kişisel Verilerin Korunması Kanunu” ile yasal düzenleme yürürlüğe girmiştir. kanunun tasarı aşamasında iken istisnalar ve Kişisel Verilerin Korunması Kurumunun yapısı hakkındaki eleştirilerin yanında Genel Veri Koruma Tüzüğünde yer alan ve düzenlemesi elzem olan konular hakkındaki eleştiriler de göz ardı edilmiştir. 6698 sayılı Kanun, AB Veri Koruma Reformu kapsamında hazırlanan GDPR metninin Avrupa Parlamentosu’nda kabulünden 7 gün gibi çok kısa bir süre önce onaylanmış ve 25 Mayıs 2018 tarihinde yürürlüğe girmiştir. 6698 sayılı Kanun’un, güncel AB düzenlemesi olan GDPR daki düzenlemeleri değil, 95/46/AT sayılı Veri Koruma Direktifi’ni referans alması hatta Veri Koruma Direktifi’ nin çevirisi diyebileceğimiz durumda olması sebebiyle GDPR de yer alan bir çok konuda eksik ve kadük kalmıştır.
AB GENEL VERİ KORUMA TÜZÜĞÜ-GDPR’NİN GETİRMİŞ OLDUĞU YENİLİKLER VE DÜZENLEMELER
AB Genel Veri Koruma Tüzüğü (General Data Protection Regulation–GDPR) Avrupa’ daki pek çok sivil toplum kuruluşunun yaratmış olduğu kamu oyu baskıları ile kişisel verilerin korunmasına ilişkin ve dijital hayata ilişkin pek çok yeni düzenlemeler içermektedir. Bunlar:
95/46 sayılı Direktif’teki kişisel veri tanımına göre, GDPR daha açıklayıcı ve kapsamlı bir tanım getirilmeye çalışılmıştır. GDPR da kişisel veri: “tanımlanmış bir gerçek kişi özellikle bir isim, kimlik numarası, konum verileri, çevrim içi tanımlayıcı ya da söz konusu gerçek kişinin fiziksel, fizyolojik, genetik, ruhsal, ekonomik, kültürel veya toplumsal kimliğine özgü bir ya da daha fazla sayıdaki” veri olarak kabul edilmiştir. Görüldüğü gibi konum verileri, çevirim içi tanımlayıcı gibi veri sahibinin ortaya çıkarılmasını sağlayacak her türlü veri kişisel veri olarak kabul edilmiştir.
GDPR da 95/46 sayılı Direktif’te bulunmayan yeni bir tanımlama olarak profil çıkarma dikkati çekmektedir.
GDPR’ da “profil çıkarma, bir gerçek kişinin işteki performansı, ekonomik durumu, sağlığı, kişisel tercihleri, ilgi alanları, güvenilirliği, davranışları, konumu veya hareketlerine ilişkin hususların analiz edilmesi veya tahmin edilmesi başta olmak üzere söz konusu gerçek kişiye ilişkin belirli kişisel özelliklerin değerlendirilmesi için kişisel verilerin kullanımını ihtiva eden her türlü otomatik kişisel veri işleme biçimi” olarak tanımlanmıştır. Veri sahiplerinin, kişisel verilerin otomatik karar verme mekanizmalarına bağlı olarak işlenmesi halinde, yürütülen mantığa ilişkin anlamlı bilgilerin yanı sıra söz konusu işleme faaliyetinin veri sahibi açısından önemi ve öngörülen sonuçlarına ilişkin bilgileri talep etme, kendisi ile ilgili hukuki sonuçlar doğuran veya benzer biçimde kendisini kayda değer şekilde etkileyen profil çıkarma da dahil olmak üzere yalnızca otomatik işleme faaliyetine dayalı bir karara tabi olmama, profil çıkarmaya ilişkin kişisel verilerin işlenmesine herhangi bir zamanda ve kendisi ile ilgili kişisel verilerin söz konusu doğrudan pazarlama amacı ile işlenmesine itiraz etme ve itirazının kabul edilmemesi halinde yetkili kurula (Kişisel Verilerin Korunması Kuruluna) şikayette bulunma hakkı bulunmaktadır.
GDPR da, 95/46 sayılı Direktif’te bulunmayan başka bir yeni tanımlama da takma adlı veridir. GDPR’ da takma ad kullanımı “ kişisel verilerin tanımlanmış veya tanımlanabilir bir gerçek kişiyle ilişkilendirilmemesinin sağlanması amacı ile ek bilgilerin ayrı tutulması ve teknik ve düzenlemeye ilişkin tedbirlere tabi tutulması koşuluyla, kişisel verilerin söz konusu ek bilgiler kullanılmaksızın spesifik bir veri sahibiyle artık ilişkilendirilemeyecek şekilde işlenmesi” olarak tanımlanmıştır. Veri kontrolörü hem işleme yönteminin belirlenmesi esnasında hem de işleme faaliyeti esnasında, verilerin en alt düzeye indirilmesi gibi veri koruma ilkelerinin etkili bir şekilde uygulanması ve bu Tüzük’ ün gerekliliklerinin yerine getirilmesine yönelik olarak gerekli güvencelerin entegre edilmesi amacı ile tasarlanan, takma ad kullanımı gibi uygun teknik ve düzenlemeye ilişkin tedbirler uygulamak ve veri sahiplerinin haklarını korumak zorundadır.
Kontrolör ve işleyicinin, gerçek kişilerin hakları ve özgürlükleri açısından çeşitli olasılıklar ve ciddiyetlere sahip riskleri dikkate alarak, risk açısından uygun bir güvenlik seviyesi sağlamak üzere, kişisel verilerde takma ad kullanımı ve şifreleme kullanımı da dahil olmak üzere uygun güvencelerin sağlaması gerekmektedir.
Takma adlı veri, kişisel veriyi anonim hale getirmeyip bir kimliksizleştirme yöntemidir. Eğer veri sorumlusu tarafından işlenen veri, sorumlunun bir kişiyi doğrudan belirlemesine izin vermiyorsa ya da takma adlı veri oluşturuyorsa, veri sorumlusu yalnızca bu tüzüğe uyumluluk sağlamak için ilgili kişiyi belirlemek amacıyla söz konusu ek bilgileri alamaz ya da işleyemez. Tek başına kullanıldığında ve herhangi bir ek bilgi olmadan, bir bireyi tanımlayamayan ancak en fazla bireyleri tanımlamadan birbirinden ayırabilen veriler gibi veri tipleri de koruma gerektirmektedir.
Takma adlı veri olarak adlandırılan bu tür kişisel veriler risk bazlı yaklaşım ve sorumluluk açısından verilerin korunmasına yönelik iyi bir örnektir. Çünkü veri kontrolörü ve veri işleyen verinin takma adlı veri olarak kalmasını sağlamak ve verilerin tamamen ilişkilendirilebilir hale gelmesini engellemek amacıyla gereken tüm makul önlemleri almak zorunda kalacaktır.
GDPR’nin 17. Maddesi kapsamında veri sahibinin kişisel verilerinin silinmesini isteme hakkı başlığı altında unutulma hakkı düzenlenmiştir. Bu madde 95/46 sayılı Direktif’in 12. maddesinin (b) bendinde veri sahibine tanınan kişisel verilerin silinmesi hakkının kapsamının genişletildiği görülmektedir. Bu maddeye göre,
“Veri sahibinin kendisi ile ilgili kişisel verilerin herhangi bir gecikmeye mahal verilmeksizin silinmesini kontrolörden talep etme hakkı bulunur ve, aşağıdaki hallerden birinin geçerli olması durumunda, kontrolörün kişisel verileri herhangi bir gecikmeye mahal vermeksizin silme yükümlülüğü bulunur:
- kişisel verilerin toplanma veya işlenme amaçlarıyla ilişkili olarak artık gerekli olmaması;
- veri sahibinin, veri işleme faaliyetinin dayandığı izni geri çekmesi ve işleme faaliyetiyle ilgili başka bir yasal gerekçe bulunmaması;
- veri sahibinin, veri işleme faaliyetine itirazda bulunması ve işleme faaliyetine yönelik ağır basan meşru bir gerekçe bulunmaması ya da veri sahibinin doğrudan pazarlama ile alakalı olduğu ölçüde profil çıkarma da dahil olmak üzere kendisi ile ilgili kişisel verilerin söz konusu doğrudan pazarlama amacı ile işlenmesine itirazda bulunması;
- kişisel verilerin yasa dışı biçimde işlenmiş olması;
- kişisel verilerin doğrudan bir çocuğa bilgi toplumu hizmetleri sağlanması ile ilgili olarak toplanmış olması.
Kontrolörün kişisel verileri kamuya açıklamış olduğu ve kişisel verileri silmek zorunda olduğu hallerde, kontrolör, mevcut teknoloji ve uygulama maliyetini göz önünde bulundurarak, veri sahibinin talep etmiş olduğu kişisel verileri işleyen kontrolörleri söz konusu kişisel verilere yönelik her türlü bağlantı veya bu verilerin her türlü nüshası ya da çoğaltmasının söz konusu kontrolörlerce silinmesi hususunda bilgilendirmek üzere teknik tedbirler de dahil olmak üzere makul adımları atmak zorundadır.”
Bu maddeden de anlaşılacağı üzere veri sahipleri, verilerinin artık toplanma amacı ile ilgili olarak tutulmasının gerekli olmadığı, veri sahibin rızasının bulunmadığı yahut veri sahibinin verisinin işlenmesini istemediği veya kişisel verinin GDPR’ye aykırı işlendiği durumlarda verilerinin silinmesini veya bundan sonra işlenmemesini talep edebilme hakkına sahiptir. Veri kontrolörünün, kişisel veriyi başka veri kontrolörleriyle paylaşmış veya kullanımlarına açmış olması durumunda, söz konusu verilere ilişkin kısayol, kopya veya çoğaltılmış versiyonları silmeleri bakımından da sorumlu olduğu görülmektedir.
Bu düzenleme ile fiili ve hukuki anlamda, özellikle algoritmalar ve diğer otomatik veri işleme yöntemleriyle, verileri üzerinde denetim ve kontrolünü yitiren veri sahiplerine önemli bir hak tanınmıştır.
GDPR kapsamında kabul edilen unutulma hakkı 6698 sayılı Kanunda yer almamaktadır. Bununla birlikte unutulma hakkına ilişkin olarak; “cinsel taciz mağdurunun isminin kodlanmaksızın bir kitapta yayımlanmasından dolayı kişilik haklarının ihlal edildiği ve bu sebeple tazminata hükmedilen” Yargıtay 4. Hukuk Dairesi’nin 03.07.2013 tarih ve 2013/6256 esaslı kararında ve hakkında yapılan haberlerin internet ortamından silinmesi amacıyla başvuran kişinin haklı bulunduğu AYM’nin 03/03/2016 tarih ve B.2013/5653 no’lu kararı ile Türkiye’ de yargı kararıyla uygulama alanı bulmuştur. Yargı kararıyla da kabul edilmiş bulunan unutulma hakkı konusunda hukuki düzenlemelerde yer almaması 6698 sayılı kanunun yapım sürecinde de eleştirilere sebep olmuş idi. Bu sebeple AB üyesi devletler açısından büyük önem verilen unutulma hakkı konusunda Türkiye’ nin de acil bir yasal dayanağının bulunması gerekmektedir.
- Veri Taşınabilirliği Hakkı
GDPR da, 95/46 sayılı Direktif’te bulunmayan başka bir yeni düzenleme de veri taşınabilirliğidir. GDPR 20. Maddesine göre, veri işleme faaliyetinin veri sahibinin usulüne uygun alınmış rızasına dayanması veyahut veri işlem faaliyetinin bir sözleşmeye dayanması, yada veri işlemenin otomatik yollarla gerçekleşmesi halinde; veri sahibinin kendisi ile ilgili olarak bir kontrolöre sağlamış olduğu kişisel verileri yapılandırılmış, yaygın olarak kullanılan ve makine tarafından okunabilecek bir formatta alma hakkı bulunur ve kişisel verilerin sağlandığı kontrolörün herhangi bir engellemesi olmaksızın bu verileri başka bir kontrolöre iletme hakkı bulunur”
Veri taşınabilirliği hakkı kullanırken, veri sahibinin, teknik açıdan uygulanabilir olması halinde, kişisel verilerin doğrudan bir kontrolörden diğerine ilettirme hakkı bulunur. Veri taşınabilirliği hakkın kullanımı, verilerin silinmesi talep etme (unutulma) hakkını ortadan kaldırmaz. Söz konusu hak kamu yararına gerçekleştirilen bir görevin yerine getirilmesi veya kontrolöre verilen resmi bir yetkinin uygulanması için gereken işleme faaliyetlerine uygulanmaz.
- Veri Kontrolörü Ve Veri İşleyicisi Ayırımı, Veri İşleyenlerin Tamamının Veri İşlemeden Sorumlu Olması
95/46 sayılı Direktif’te “kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkili her tür veri”nin işlenmesine ilişkin kurallara uymakla yükümlü olan ve hukuka aykırı olarak yapılan iş ve işlemlerden sorumlu olan tek kişi “veri kontrolörü” (veri sorumlusu), başka bir ifadeyle veri sahipliğini elinde bulunduran kişi, olarak düzenlenmekteydi. GDPR ile kontrolör, işleyici ve alıcı olarak üçlü bir veri sahipliği ve sorumluluğu düzenlemesi getirilmiştir.
Kontrolör, yalnız başına veya başkalarıyla birlikte kişisel verilerin işlenmesine ilişkin amaçlar ve yöntemleri belirleyen gerçek veya tüzel kişi, kamu kuruluşu, kurumu veya diğer herhangi bir organ
İşleyici, ise kontrolör adına kişisel verileri işleyen bir gerçek ya da tüzel kişi, kamu kuruluşu, kurumu veya diğer herhangi bir organ
Alıcı, üçüncü bir kişi olsun veya olmasın, kişisel verilerin açıklandığı bir gerçek ya da tüzel kişi, kamu kuruluşu, kurumu veya diğer herhangi bir organdır.
GDPR da getirilen düzenleme ile veri sahipliğine ilişkin veri kontrolörü olmamakla birlikte bu verileri işleyen herhangi bir şirket ya da birey de (bulut hizmet sağlayıcıları gibi alt hizmet sağlayan üçüncü taraflar da dâhil olmak üzere) verinin hukuka uygun işlenmesinden sorumlu tutulacaklardır. Bu hüküm otomatik yöntemlerle olsun veya olmasın, kişisel veri veya kişisel veri setleri üzerinde gerçekleştirilen toplama, kaydetme, düzenleme, yapılandırma, saklama, uyarlama veya değiştirme, elde etme, danışma, kullanma, iletim yoluyla açıklama, yayma veya kullanıma sunma, uyumlaştırma ya da birleştirme, kısıtlama, silme veya imha gibi herhangi bir işlem veya işlem dizisini uygulayanların, yani her türlü işleme faaliyetinin tüm faillerinin (kontrolör, işleyici, alıcı) söz konusu işlemeden kaynaklı her türlü veri ihlali ve hukuka aykırılıktan sorumlu olduğunu ortaya koymaktadır. Bu hükmün uygulanmasının yansımaları oldukça geniş olacaktır. Hem veri sorumluları hem de veri sorumlusunun talebiyle veriyi işleyen üçüncü kişiler bakımından hukuki sorumluluk ortaya çıkmaktadır. Bu kapsamda GDPR hükümlerinin, sunucuları AB dışında yerleşik bulunan ve işleme faaliyetlerini Birlik ülkeleri dışından sürdüren bulut hizmet sağlayıcıları bakımından ve AB üyesi ülkelere mal ve hizmet sağlayan kuruluşlar bakımından da bağlayıcı olacaktır. Bu durumda hatalı ve hukuka aykırı işleme faaliyeti yapan bu kuruluş veya kişiler açısından GDPR ile getirilen yüksek oranlı para cezaları bu işleyiciler için de bağlayıcıdır.
Veri işlemeyi hukuka uygun hale getiren veri sahibinin rızasına ilişkin 95/46 sayılı Direktif’te veri sahibinin açık rızasına vurgu yapılmaktaydı. GDPR de ise veri sahibinin lehine olacak biçimde güçlendirilmiş bir rıza kavramı dikkat çekmektedir. GDPR da tanımlar bölümünde veri sahibinin ‘rızası’ veri sahibinin bir beyan yoluyla ya da açık bir onay eylemiyle kendisine ait kişisel verilerin işlenmesine onay verdiğini gösteren özgür bir şekilde verilmiş spesifik, bilinçli ve açık gösterge olarak tanımlanmıştır.
Aynı zamanda tüzüğün 7. Maddesine göre veri sahibinin rızasının diğer hususlarla da ilgili olan yazılı bir beyan bağlamında verilmesi durumunda, rıza talebi diğer hususlardan açık bir şekilde ayırt edilebilecek bir şekilde, anlaşılır ve kolayca erişilebilir bir biçimde, açık ve sade bir dil kullanılarak sunulur. Söz konusu beyanın bu Tüzük açısından ihlal teşkil eden hiçbir kısmı bağlayıcı değildir. Rızanın özgür bir şekilde verilip verilmediği değerlendirilirken, her şeyden önce, bir hizmetin sağlanması da dahil olmak üzere bir sözleşmenin ifasının söz konusu sözleşmenin ifası için gerekmeyen kişisel verilerin işlenmesine yönelik bir rızaya bağlı olup olmadığına azami özen gösterilmesi gerekmektedir.
Görüldüğü üzere kişisel verilerin işlenmesine ilişkin rızanın özgürce, belirli, aydınlatılmış/bir amaca ilişkin, bilinçli ve açıkça verilmiş olması gerekmektedir. Söz konusu rızanın veri işleyenin aynı amaç veya amaçlar için yürütülen tüm işleme faaliyetleri bakımından alınması gerekmektedir. Aynı şekilde rızanın elektronik araçlarla istendiği durumlarda da bu istek, sade, açık ve uğruna kullanıldığı hizmetten yararlanmayı engellemeyen bir mahiyette olmalıdır.
Diğer yandan kullanıcıların çevrimiçi sosyal ağların veya web tarayıcılarının gizlilik ayarlarına ilişkin sessiz kalmaları yahut o zamana kadar herhangi bir itirazda bulunmamış olmaları durumunda varsayılan ayarlar geçerli bir rızanın alındığı anlamına gelmeyecektir.
Aynı şekilde GDPR ile birlikte yapılan yeni düzenlemeye göre veri sahibinin istediği zaman rızasını geri çekme hakkı vardır. Rızanın geri çekilmesi, geri çekim işleminden önce rızaya dayalı olarak yapılan işleme faaliyetinin hukuka uygunluğunu etkilemez. Veri sahibi, rıza vermeden önce, bu hususta bilgilendirilir. Rızanın geri çekilmesi rıza vermek kadar kolaydır. Tüzüğe göre veri sahibi özgürce vermiş olduğu rızasını her zaman geri alma hakkına sahiptir. GDPR ile getirilen bu geniş hak ve yetki veri sahiplerine verilerinin kaderini belirleyebilme konusunda oldukça geniş bir alan sağlarken, veri işleyenlere ise oldukça detaylı sorumluluklar yüklemektedir.
– Çocuğun bilgi toplumu hizmetlerine ilişkin rızası açısından geçerli koşullar
GDPR’ ın 8 maddesi ile yeni getirilen düzenlemeye göre veri sahibinin bir ya da daha fazla sayıda spesifik amaca yönelik olarak kişisel verilerinin işlenmesine onay vermesi durumunda, doğrudan bir çocuğa bilgi toplumu hizmetleri sağlanması ile ilgili olarak, çocuğun en az 16 yaşında olması halinde, ilgili çocuğun kişisel verilerin işlenmesi hukuka uygundur. Çocuğun 16 yaşından küçük olması halinde, söz konusu işleme faaliyeti, ancak rızanın çocuk üzerinde velayet hakkı bulunan kişi tarafından verilmesi veya onaylanması halinde ve verildiği veya onaylandığı ölçüde hukuka uygundur. Bu durumda veri kontrolörü mevcut teknolojiyi dikkate alarak rızanın çocuk üzerinde velayet hakkı bulunan kişi tarafından verildiğini veya onaylandığını doğrulamak adına makul çaba sarf etmek zorundadır.
Bu hükümden de anlaşılacağı üzere günümüz çocuklarının bilgi teknolojileri ve sosyal medya kullanımlarına yönelik ileride ortaya çıkması muhtemel bir ihlali gözetilmiştir. Çocukların kişisel verilerinin işlenmesinde 16 yaş sınırı gözetilmiş ve 16 yaşın altındaki çocuklar açısından velayet hakkı bulunan ebeveynden çocukların kişisel verilerinin işlenmesi açısından, ebeveynler ayrıca çocuklar için bir rıza zorunluluğu getirilmiştir.
GDPR 13. Maddesine göre “Bir veri sahibine ilişkin kişisel verilerin veri sahibinden toplanması durumunda, kontrolör kişisel verilerin elde edildiği anda aşağıdaki bilgilerin tamamını veri sahibine sağlar:
- kontrolörün ve, uygun olduğu hallerde, kontrolörün temsilcisinin kimlik ve irtibat bilgileri;
- uygun olduğu hallerde, veri koruma görevlisinin irtibat bilgileri;
- kişisel verilerin planlanan işlenme amaçlarının yanı sıra işleme faaliyetinin yasal dayanağı;
- işleme faaliyetinin, veri sahibinin çocuk olması durumunda , kontrolör veya üçüncü bir kişi tarafından gözetilen meşru menfaatler;
- varsa, kişisel verilerin alıcıları veya alıcı kategorileri;
- uygun olduğu hallerde, kontrolörün kişisel verileri üçüncü bir ülke veya uluslararası kuruluşa aktarmayı amaçladığı ve Komisyon tarafından bir yeterlilik kararı verilip verilmediği, uygun veya münasip güvencelere ilişkin atıf ve bunların bir nüshasının elde edilme yolları veya bunların nerede sağlandığı.
- paragrafta atıfta bulunulan bilgilere ek olarak, kontrolör kişisel verilerin elde edildiği anda adil ve şeffaf bir işleme sağlanması için gereken aşağıdaki ek bilgileri veri sahibine sağlar:
- kişisel verilerin saklanacağı süre veya, bunun mümkün olmaması halinde, bu sürenin belirlenmesi amacı ile kullanılan kriterler;
- kontrolörden kişisel verilere erişim ve kişisel verilerin düzeltilmesi ya da silinmesini veya veri sahibi ile ilgili işleme faaliyetinin kısıtlanmasını talep etme ya da işleme faaliyetine itiraz etme hakkının yanı sıra verilerin taşınabilirliği hakkının varlığı;
- işleme faaliyetinin 6(1) maddesinin (a) bendine veya 9(2) maddesinin (a) bendine dayandığı hallerde, rızanın geri çekilmesinden önce rızaya dayalı olarak gerçekleştirilen işleme faaliyetinin hukuka uygunluğu etkilenmeden, herhangi bir zamanda rızayı geri çekme hakkının varlığı;
- bir denetim makamına şikayette bulunma hakkı;
- kişisel verilerin sağlanmasının yasal ya da sözleşmeye bağlı bir gereklilik mi yoksa bir sözleşme yapılması için gereken bir gereklilik mi olduğu ve ayrıca, veri sahibinin kişisel verileri sağlamak zorunda olup olmadığı ve söz konusu verilerin sağlanmamasının muhtemel sonuçları;
- profil çıkarma da dahil olmak üzere, otomatik karar vermenin varlığı ve, en azından bu hallerde, yürütülen mantığa ilişkin anlamlı bilgilerin yanı sıra söz konusu işleme faaliyetinin veri sahibi açısından önemi ve öngörülen sonuçları.
- Kontrolörün kişisel verileri bu verilerin toplanma amacı dışında bir amaçla işleme faaliyetine niyet ettiği hallerde, kontrolör söz konusu işleme faaliyetinden önce diğer amaca ilişkin bilgileri ve 2. paragrafta atıfta bulunulan diğer ilgili bilgileri veri sahibine sağlar.
- Veri sahibinin halihazırda bu bilgilere sahip olduğu hallerde ve ölçüde, 1, 2 ve 3. paragraflar uygulanmaz.
- Veri Sahibinin Haklarının Kullanımına İlişkin Şeffaf Bilgilendirme Ve Bildirimde Bulunma Yükümlülüğünü Veri Kontrolörünün Yapma Zorunluluğu
GDPR’ ın 12. Maddesinde kullanıcı haklarına ilişkin bilgilendirme yükümlülüğü veri kontrolörünün üzerine bırakılmıştır. Buna göre “Kontrolör spesifik olarak bir çocuğa yönelik her türlü bilgi başta olmak üzere işleme faaliyeti ile alakalı olarak, veri sahibinden kişisel verilerin toplandığı hallerde ve veri sahibinden alınmadığı hallerde sağlanacak bilgiler atıfta bulunulan her türlü bilgi ile veri sahibinin verilerine erişim hakkı, düzeltme, kısıtlama ve silme hakkı, itiraz hakkı, profil çıkarma da dahil olmak üzere yalnızca otomatik işleme faaliyetine dayalı bir karara tabi olmama hakkı kapsamındaki her türlü bildirimi öz, şeffaf, anlaşılır ve kolayca erişilebilir bir biçimde, açık ve sade bir dil kullanarak veri sahibine sağlamak için gerekli tedbirleri alır. Bilgileri yazılı olarak veya, uygun olduğu hallerde, elektronik yollar da dahil olmak üzere diğer yollarla sağlar. Kontrolör veri sahibinin haklarının kullanılmasına kolaylık sağlar.”
Aynı şekilde GDPR 24. Maddesine göre “Kontrolör, işleme faaliyetinin mahiyeti, kapsamı, bağlamı ve amaçlarının yanı sıra gerçek kişilerin hakları ve özgürlükleri açısından çeşitli olasılıklar ve ciddiyetlere sahip riskleri dikkate alarak, işleme faaliyetinin bu Tüzük uyarınca gerçekleştirilmesini sağlamak ve bu şekilde gerçekleştirildiğini gösterebilmek için uygun teknik ve düzenlemeye ilişkin tedbirler uygular. Bu tedbirler gözden geçirilir ve, gerektiğinde, güncellenir.”
Bu hükümler birlikte değerlendirildiğinde GDPR kapsamında veri kontrolörleri, kullanıcılarını bilgilendirmek ve sahip oldukları yasal haklar konusunda gerekli hatırlatmaları yapmakla yükümlü olup, aynı zamanda söz konusu yükümlülüklerini gerçekleştirdiklerini belgelemekle de yükümlü tutulmaktadır.
Tüzüğün 25. maddesine göre “Kontrolör, son teknoloji, uygulama maliyeti ve işleme faaliyetinin mahiyeti, kapsamı, bağlamı ve amaçlarının yanı sıra işleme faaliyetinin gerçek kişilerin hakları ve özgürlükleri açısından teşkil ettiği çeşitli olasılıklar ve ciddiyetlere sahip riskleri dikkate alarak, hem işleme yönteminin belirlenmesi esnasında hem de işleme faaliyeti esnasında, verilerin en alt düzeye indirilmesi gibi veri koruma ilkelerinin etkili bir şekilde uygulanması ve bu Tüzük’ün gerekliliklerinin yerine getirilmesine yönelik olarak gerekli güvencelerin entegre edilmesi amacı ile tasarlanan takma ad kullanımı gibi uygun teknik ve düzenlemeye ilişkin tedbirler uygular ve veri sahiplerinin haklarını korur.”
Yine bu hükümler birlikte değerlendiğinde kullanıcılara ilişkin kişisel verilerin, kontrolörün sistemlerinde verisi saklanacak olan kişinin her ne şart altında olursa olsun mutlak suretle izninin alınmış olması gerekmektedir. Bu sistemde herkesin ücretsiz, kolay ve çabuk biçimde dilediği zaman sistemden ayrılma hakkı bulunmaktadır. Bu kuralın ihlal edilmesi durumunda veri kontrolörleri ağır tazminatlar ödemek zorunda kalacaklardır.
Aynı zamanda 25. Maddeye göre veri kontrolörü iç işleyişi ile alakalı politikalarını belirleyerek, veri işlemesine başlangıçtan itibaren veri koruması ve tasarımdan itibaren veri koruması ilkelerini karşılamaya yönelik gerekli tedbirleri almalıdır. Bu ilkeye göre veri kontrolörü, gerek veri işleme vasıtalarının ve yönteminin belirlenmesi sırasında, gerekse veri işleme anında öngörülen veri koruma kurallarının etkili bir biçimde uygulanması için gerekli araçları kullanarak, bulanıklaştırma, takma ad kullanımı, asgari veri işleme v.b. uygun teknik ve yapısal önlemleri almalıdır. Veri kontrolörü kişisel verilerinin veri sahibinin herhangi bir girişimi olmaksızın belirsiz sayıda kişinin erişimine açılmamasını sağlaması gerekmektedir. Kontrolörün bu yükümlülüğü verinin toplandığı süre ve işlenmesi sırasında, kişisel verinin saklandığı ve veriye erişilebildiği müddetçe geçerlidir.
- Zorunlu Veri Koruma Görevlisi
GDPR 37. Maddesine göre “ Kontrolör ve işleyici aşağıdaki durumlarda her halükarda bir veri koruma görevlisi belirler:
- işleme faaliyetinin kendi yargı yetkisi çerçevesinde hareket eden mahkemeler haricindeki bir kamu kuruluşu veya organı tarafından gerçekleştirilmesi;
- kontrolör veya işleyicinin temel faaliyetlerinin yapıları, kapsamları ve/veya amaçları gereği veri sahiplerinin düzenli ve sistematik bir şekilde büyük çaplı olarak izlenmesini gerektiren işleme faaliyetlerinden meydana gelmesi veya
- kontrolör veya işleyicinin temel faaliyetlerinin 9 maddesi uyarınca özel kategorilerdeki verilerin ve 10. maddede atıfta bulunulan mahkumiyet kararları ve ceza gerektiren suçlara ilişkin kişisel verilerin büyük çaplı olarak işlenmesinden meydana ”
Bu maddeden de anlaşılacağı üzere 9. Maddede sayılan “Irk veya etnik köken, siyasi görüşler, dini veya felsefi inançlar ya da sendika üyeliğinin ifşa edildiği kişisel verilerin işlenmesi ve bir gerçek kişinin kimlik teşhisinin yapılması amacıyla genetik veriler ile biyometrik verilerin, sağlık ile ilgili verilerin veya bir gerçek kişinin cinsel yaşamı veya cinsel eğilimine ilişkin verilerin işlenmesinin yasaktır. Ancak istisnalara binaen işlenmesi halinde her halükarda veri işleyenin alanın yeterli uzmanlık bilgisi olan bir veri koruma görevlisi bulundurması zorunludur ve işleme faaliyetinden bu veri koruma görevlisi sorumludur. GDPR hükmüne göre veri koruma görevlisinin iş akdiyle istihdam edilmesi de mümkün olduğu gibi veri koruma görevlisinin birden fazla şirket veya kamu kurumu adına çalışması mümkündür.
Riskli Veri İşleme Faaliyetleri Bakımından Zorunlu Veri Koruma Etki Değerlendirmesi
GDPR’nin 35. maddesiyle özellikle yeni teknolojiler kullanıldığında ve işleme faaliyetinin mahiyeti, kapsamı, bağlamı ve amaçları dikkate alındığında bir işleme türünün gerçek kişilerin hakları ve özgürlükleri açısından yüksek bir riske sebebiyet vermesinin muhtemel olduğu hallerde, kontrolör, işleme faaliyetinden önce, öngörülen işleme faaliyetlerinin kişisel verilerin korunmasına olan etkisine ilişkin bir değerlendirme yapma zorunluluğu getirilmiştir. Bu yeni düzenlemede, özellikle yeni teknolojik veri işleme metodlarının kullanıldığı veri işleme faaliyetlerinin gerçek kişilerin hak ve özgürlükleri bakımından yüksek bir risk içermesinin muhtemel olduğu durumlarda, söz konusu işlemenin kapsamı, niteliği, bağlam ve amacı da dikkate alınarak Tüzük hükümlerine uyumun arttırılması amacıyla veri kontrolörü, öncelikle bir veri koruma etki değerlendirmesi (VKED) yapılmasından sorumlu tutulmaktadır. Maddenin ikinci fıkrasında özellikle profil çıkarma dahil olmak üzere otomatik veri işleme sistemlerinin kullanılması, hassas verilerin işlenmesi veya ceza mahkûmiyeti ve suçlara ilişkin verilerin işlenmesi, kamunun erişebileceği bir alanın büyük çaplı olarak sistematik bir şekilde izlenmesi halinde VKED yapılması zorunludur.
Buradan da anlaşılacağı üzere kişisel veri işleme faaliyetlerinin GDPR hükümlerine uygun olarak gerçekleştirilmesine yönelik alınacak önlemlerin belirlenmesinde söz konusu VKED sonuçlarının dikkate alınacağı ifade edilmektedir. VKED’ nin özellikle büyük ölçekli işleme faaliyetlerinde gerekli olduğu vurgulanmaktadır.
Ayrıca bir VKED sonucunda, işleme faaliyetlerinin kontrolörün mevcut teknoloji ve uygulama maliyetleri açısından uygun tedbirlerle hafifletemeyeceği yüksek bir riski içerdiğinin ortaya çıkması durumunda, veri işleme faaliyetinden önce veri koruma otoritesine, Türkiye açısından denetim makamı olan Kişisel Verilerin Korunması Kurumuna danışılması gerekmektedir. Denetim makamı olan KVKK bir veri koruma etki değerlendirmesi gerekliliğine tabi olan veya olmayan işleme faaliyeti türlerine ilişkin bir liste oluşturur ve bu listeyi kamuya açıklayacaktır.
95/46 sayılı Direktif’te yer alan veri işleme faaliyetlerinin veri koruma otoritelerine bildirilmesine ilişkin genel hüküm, kişisel verilerin korunması konusunda köklü bir çözümü getirmediğinden yeni düzenleme ile ayrım gözetmeksizin tanımlanan bu genel bildirim yükümlülüğü yerine VKED’nin yapılmasının çok daha amaca uygun olacağı düşünülmektedir. VKED’de veri kontrolörü, yüksek risk olasılığını ve şiddetini değerlendirmeden önce işlemenin amaç ve kapsamıyla riskin kaynaklarını göz önünde bulundurabilecektir.