2010 yılında Anayasa m.20’ye 5982 sayılı Kanunla eklenen fıkrayla, herkesin kendisiyle ilgili kişisel verilerinin korunmasını talep etme hakkı teminat altına alınmıştır. Bireylerin kişisel verileri hakkında hangi hak ve yetkilere sahip oldukları, hangi durumlarda kişisel verilerinin işlenebileceğine hükmedilirken, kişisel verilerin korunmasının usul ve esaslarının kanun ile düzenleneceği öngörülmektedir.
6698
sayılı Kişisel Verilerin Korunması Kanunu, kişisel veri kavramını, kişisel
verilerin nasıl kayıt altına alınacağını ve korunacağını belirlemektedir. Kanuna
göre, kimliği belirli ya da belirlenebilecek olan gerçek kişiyle alakalı her
türden bilgi kişisel veri olarak kabul edilmektedir. Kanunun ilk maddesinde
“amaç”; kişisel verilerin işlenmesinde, başta özel hayatın gizliliği olmak
üzere, bireylerin temel hak ve hürriyetlerini korumak ve bu verileri işleyen
gerçek ve tüzel kişilerin sorumluluk kapsamlarını, uymaları gereken usul ve
esasları düzenlemek olarak ifade edilmektedir.
Öte
yandan kişisel veriler 5237 sayılı TCK m.136 kapsamında da “Verileri Hukuka
Aykırı Olarak Verme veya Ele Geçirme” başlığı altında “Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya
ele geçiren kişi, iki yıldan dört yıla kadar hapis cezası ile cezalandırılır.”
şeklinde koruma altına alınmakta, verilerin korunması hakkının ihlal edilmesi
suç kapsamında sayılmaktadır.
Kişisel
verileri hukuka aykırı biçimde paylaşma veya ele geçirme; “kişisel verilerin
ele geçirilmesi”, “kişisel verilerin başkası ile paylaşılması”, “kişisel
verilerin yayılması” şeklindeki seçimlik eylemlerden oluşan seçimlik hareketli
bir suç olup bu eylemlerden herhangi birinin hukuka aykırı olarak
gerçekleştirilmesi halinde failin cezalandırılması gerekmektedir. Bu suç;
bireyin gizli olarak kalması gereken veya herkesçe bilinmeyen kişisel
verilerinin haricinde, başkalarınca bilinmesi mümkün olan bireyin kimliğini
belirleyen veya belirlenebilir hale getiren bilgilerinin hukuka aykırı biçimde
elde edilmesi, başkası ile paylaşılması ya da yayılması suretiyle meydana
gelmektedir.
Kişisel
verilerin paylaşılması eyleminden kasıt, fikir veya bilgi içeren şeylerin
başkasına iletilmesi ya da bildirilmesidir. Bu seçimlik harekette verilerin
hukuka uygun veya aykırı yöntemlerle ele geçirilmiş olmasının bir önemi
bulunmamakla, mühim olan paylaşma eyleminin hukuka aykırılığıdır.
Söz
konusu suç, şikâyete tabi değildir. Bu sebeple, suçun soruşturulması için şikâyet
şartı aranmaz. Herhangi bir biçimde suçun işlenildiğinin öğrenilmesi halinde,
savcılık kendiliğinden soruşturma başlatmaktadır.
Kanun’un
8. maddesinde ise “Kişisel Verilerin Aktarılması” başlığıyla kişisel verilerin
ilgili kişinin açık rızası olmaksızın aktarılamayacağı ancak m.5/2 uyarınca yeterli
önlemler alınmak suretiyle, m.6/3 uyarınca belirtilen şartlardan herhangi
birinin bulunması halinde, kişinin açık rızası aranmadan, kişisel verilerin
aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklı kalarak
aktarılabileceği hükmü yer almaktadır. Ancak maddenin sınırları ve yeterli
önlemlerin alınması hususunda dikkatli olunması gerekmektedir.
Bu
hususta emsal olarak bir kargo şirketi çalışanının kargo teslimi sonrasında
ilgili kargoyu teslim alan kişinin telefonuna mesaj göndermek suretiyle kişisel
verilerin hukuka aykırı işlenmesi hakkında Kişisel Verileri Koruma Kurulu’ nun
2023/845 sayılı, 18.05.2023 tarihli kararı gösterilebilir. Şöyle ki;
Kişi
çevrim içi bir alışveriş sitesi üzerinden alışveriş yapmış, sipariş tarihinden
bir gün sonra satın aldığı ürünün veri sorumlusu bünyesinde çalışan kurye
tarafından ürün kişiye teslim edilmiş, sonrasında kurye alışveriş yapan kişinin
cep telefonu numarasına taciz içerikli mesaj göndermiş ve mesajın kurye
tarafından gönderildiği kargo şirketi (veri sorumlusu) tarafından teyit
edilmiş; akabinde kişi, veri sorumlusunun kendisinin kişisel veri güvenliğini
sağlayamadığını, çalışanının kendisini rahatsız ettiğini belirtmiş ve gereğinin
yapılmasını talep etmiştir. Alışveriş yapan kişi tarafından kuruma
gönderilen belgelerden, söz konusu fiili gerçekleştiren kurye hakkında 5237
sayılı TCK hükümleri uyarınca şikâyette bulunulduğu ve ceza yargılaması
neticesinde kuryenin cezalandırıldığı tespit edilmiştir.
Kişisel
verilerin hukuka aykırı olarak işlendiği iddiası yönünden yapılan incelemede, “6098
sayılı TBK m.66 “Adam çalıştıran, çalışanın, kendisine verilen işin yapılması
sırasında başkalarına verdiği zararı gidermekle yükümlüdür. Adam çalıştıran,
çalışanını seçerken, işiyle ilgili talimat verirken, gözetim ve denetimde
bulunurken, zararın doğmasını engellemek için gerekli özeni gösterdiğini ispat
ederse, sorumlu olmaz. Bir işletmede adam çalıştıran, işletmenin çalışma
düzeninin zararın doğmasını önlemeye elverişli olduğunu ispat etmedikçe, o
işletmenin faaliyetleri dolayısıyla sebep olunan zararı gidermekle yükümlüdür.”
ve 4857 sayılı İK m.2/6-7 “Bir işverenden, işyerinde yürüttüğü mal veya hizmet
üretimine ilişkin yardımcı işlerinde veya asıl işin bir bölümünde işletmenin ve
işin gereği ile teknolojik nedenlerle uzmanlık gerektiren işlerde iş alan ve bu
iş için görevlendirdiği işçilerini sadece bu işyerinde aldığı işte çalıştıran
diğer işveren ile iş aldığı işveren arasında kurulan ilişkiye asıl işveren-alt işveren
ilişkisi denir. Bu ilişkide asıl işveren, alt işverenin işçilerine karşı o
işyeri ile ilgili olarak bu Kanundan, iş sözleşmesinden veya alt işverenin
taraf olduğu toplu iş sözleşmesinden doğan yükümlülüklerinden alt işveren ile
birlikte sorumludur. Asıl işverenin işçilerinin alt işveren tarafından işe
alınarak çalıştırılmaya devam ettirilmesi suretiyle hakları kısıtlanamaz veya
daha önce o işyerinde çalıştırılan kimse ile alt işveren ilişkisi kurulamaz.
Aksi halde ve genel olarak asıl işveren alt işveren ilişkisinin muvazaalı
işleme dayandığı kabul edilerek alt işverenin işçileri başlangıçtan itibaren
asıl işverenin işçisi sayılarak işlem görürler. İşletmenin ve işin gereği ile
teknolojik nedenlerle uzmanlık gerektiren işler dışında asıl iş bölünerek alt
işverenlere verilemez.” uyarınca veri sorumlusunun söz konusu hukuka aykırı
veri işlenmesinde sorumluluk sahibi olduğu değerlendirilmiş, buna rağmen veri
sorumlusu vekili tarafından Kuruma iletilen cevap yazısında, söz konusu olayı
gerçekleştiren çalışana, kişisel verilerin korunması ve veri güvenliği
konusunda eğitim verilmediği ve gerekli bilgilendirmenin yapılmadığı anlaşılmış, haksız
eylemi gerçekleştiren şahsın ceza yargılaması esnasındaki ifadeleri incelendiğinde
veri sorumlusu bünyesinde geçici olarak çalıştığı beyanının bulunduğu tespit
edilmiş, buna rağmen veri sorumlusunun kurye ile aralarında herhangi bir hukuki
ilişkinin bulunmadığı beyanının gerçeği yansıtmadığı ve veri sorumlusu
tarafından kuryeye gerekli eğitimlerin verilmediği ve kişisel verilerin
korunması ile ilgili herhangi bir bilgilendirmenin de yapılmadığı kanaatine
varılmıştır. Kişinin kişisel verilerinin silinmesi, yok edilmesi veya anonim
hale getirilmesi bakımından yapılan incelemede, KVKK m.7, Kişisel Verilerin
Silinmesi, Yok Edilmesi veya Anonim Hâle Getirilmesi Hakkında Yönetmelik m.7 ve
veri sorumlusunun tabii olduğu ilgili mevzuat hükümleri uyarınca ilgili kişiye
ait kişisel verilerin veri sorumlusu kayıtlarına işlenmesinin sebebinin taşıma
hizmeti olduğu, hizmetin verilebilmesi ve gönderilerin alıcılara teslim
edilebilmesi için kargo alıcılarının ad, soyadı, adres ve iletişim bilgilerinin
veri sorumlusu kayıtlarına işlenmesinin gerektiği ve 6102 sayılı TTK gereği
fatura ve irsaliyelerin 10 yıl boyunca saklanmasının zorunlu olduğu değerlendirmelerinden
hareketle; veri sorumlusunun ilgili kişinin kişisel verisi niteliğinde olan cep
telefonu numarasının, KVKK m.5’te öngörülen kişisel veri işleme şartlarına
dayanılmaksızın hukuka aykırı olarak paylaştığı, bu kapsamda m.12/1-a
kapsamında kişisel verilerin hukuka aykırı işlenmesini önlemek amacıyla uygun
güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri
almadığı kanaatine varılması sebebiyle m.18/1-b kapsamında veri sorumlusu
hakkında 250.000 TL idari para cezası uygulanması” şeklinde karara varılmıştır.
Verilen karardan da görüleceği üzere, kişisel verilerin aktarımında gerekli
önlemlerin alınmaması halinde yalnızca suçu işleyen değil, aynı zamanda önlem alınmasında
ve gereken eğitimin verilmesinde gereğini yapmayan veri sorumlusu da sorumlu tutulmuştur.
İşbu karar kişisel verilerin korunmasında alınması gereken önlemlerin ne denli
önemli olduğunu, bu önlemleri almakla yükümlü kişi ve kişilerin
sorumluluklarının ve önlemlerin alınmaması halinde uygulanan cezaların
büyüklüğünü de ortaya koymaktadır.
Av. Pınar KUTLU
Hiç yorum yok:
Yorum Gönder
Not: Yalnızca bu blogun üyesi yorum gönderebilir.