2010 yılında Anayasa'nın 20. maddesine eklenen fıkra ile herkesin kendisiyle ilgili kişisel verilerin korunmasını isteme hakkı anayasal bir hak olarak teminat altına alınmıştır.
Anayasa'ya eklenen bu fıkra ile bireylerin kişisel verileri üzerinde hangi hak ve yetkilere sahip olduğu hükme bağlanmış, 2016 yılında ise kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenleyen 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) yayımlanmıştır. Kanun'da ilgili kişi “Kişisel verisi işlenen gerçek kişi” olarak tanımlanmış böylece tüzel kişiler kapsam dışında bırakılmıştır.
Kanun'un “İlgili Kişinin Hakları” başlıklı 11 inci maddesinde ise ilgili kişilerin veri sorumlusuna başvurarak kullanabileceği haklar sayılmıştır. Buna göre;
“1. Herkes, veri sorumlusuna başvurarak kendisiyle ilgili;
- Kişisel veri işlenip işlenmediğini öğrenme,
- Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
- Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanıp kullanılmadığını öğrenme,
- Yurt içinde ve yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
- Kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme,
- maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
- (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
- Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararların giderilmesini talep etme,
haklarına sahiptir.”
Kanun'un 13. ve 14. maddeleri ise ilgili kişilerin 11. maddede sayılan haklarını kullanabileceği usulleri açıklamıştır.
Veri Sorumlusuna Başvuru başlıklı 13. madde, ilgili kişinin Kanun'un uygulanması ile ilgili taleplerini yazılı olarak ve Kurul'un belirleyeceği diğer yöntemlerle veri sorumlusuna iletebileceğini hükme bağlamıştır. Kurul ise 10 Mart 2018 tarihli Resmi Gazete'de yayınlanan Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğin 11. maddesinde yazılı şekil dışındaki başvuru usullerini belirlemiştir. Bu maddeye göre ilgili kişilerin, veri sorumlularına KEP adresi, güvenli elektronik imza, mobil imza ya da veri sorumlusunun sisteminde kayıtlı bulunan elektronik posta adresini kullanarak veya bu amaca uygun geliştirilmiş olan yazılım veya uygulama vasıtası ile başvurabileceği hükme bağlanmıştır.
Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ, ilgili kişinin başvurusunda yer alması gereken asgari unsurları da belirlemiştir. Bunlar: ilgili kişinin adı, soyadı, Türkiye Cumhuriyeti vatandaşları için kimlik numarası, yabancılar için pasaport numarası ve uyruk, güncel adres, varsa e-tebligat adresi, telefon numarası ve talebin konusu olarak belirlenmiştir. Uygulamada, veri sorumlularının bazılarının Kanun'a uyum süreçlerinde ilgili kişilerin taleplerinin daha kolay iletilebilmesi için bu asgari unsurları kapsayan ilgili kişi başvuru formları oluşturdukları görülmektedir.
Bununla beraber veri sorumluları tarafından hazırlanan ilgili kişi başvuru formları zorunlu tutularak, ilgili kişilerin bu formu kullanmaksızın kendilerinin hazırlamış olduğu dilekçe ve Kanun'un uygun gördüğü diğer şekillerde veri sorumlularına iletilmiş olan başvurular göz ardı edilmemelidir. Zira ilgili kişi başvuru formu bir şekil şartı değil, iyi uygulama örneğidir.
İlgili kişi başvurularında yer alan talepler, veri sorumluları tarafından niteliklerine göre en geç 30 gün içerisinde ücretsiz olarak sonuçlandırılmalıdır. Ancak işlemin ayrıca bir maliyet gerektirmesi halinde, veri sorumluları, Kurul tarafından belirlenen tarifedeki ücreti ilgili kişiden talep edebilir.
İlgili kişi, başvurusunun reddedilmesi, cevabı yetersiz bulması veya başvurusuna süresi içerisinde cevap verilmemesi hallerinde, cevabı öğrenmesinden itibaren 30, her halükârda 60 gün içerisinde Kurul'a şikâyette bulunabilir. (Yani ilgili kişi 13. maddede bulunan başvuru yollarını tüketmeden 14. maddede hükme bağlanmış Kurul'a şikâyet hakkını kural olarak kullanamayacaktır.)
İlgili kişi başvurularına süresinde cevap verilmemesi durumlarında veri sorumlularına çeşitli yaptırımların uygulandığı kararlar, Kurum'un internet sitesinde yayınlanmıştır. Örneğin, Kurul'un 28/05/2020 tarihinde vermiş olduğu 2020/435 sayılı kararda ilgili kişi, Kanun'un 11. maddesi kapsamında haklarını kullanarak, iş sözleşmesini fesheden veri sorumlusundan özlük dosyasının bir örneğini talep etmiştir. Veri sorumlusu tarafından ilgili kişinin talebine yönelik 30 gün içerisinde herhangi cevap verilmemiş olması sebebiyle ilgili kişi, veri sorumlusu hakkında Kurum'a şikâyette bulunmuştur. Kurum ise yaptığı incelemeler sonrası veri sorumlusunu, ilgili kişinin talep etmiş olduğu belgeleri vermesi ve bundan sonra ilgili kişiler tarafından yapılan başvurulara süresi içerisinde cevap vermesi için talimatlandırmıştır.
Kurul, şikâyete bağlı veya re'sen yapacağı incelemelerde, tespit ettiği hukuka aykırılıkların veri sorumlusu tarafından giderilmesine karar verebilir. Kurul'un verdiği kararların veri sorumlusu tarafından yerine getirilmediği durumlarda, idari para cezasına hükmedilebilir. İdari para ceza sınırları ise 2024 yılı itibariyle 47.303 Türk lirası ile 9.465.213 Türk lirası arasında değişmektedir.
İlgili kişilerin Kurum'a intikal etmiş başvuru ve şikayetlerinin ve bunların sonuçlarının hepsinin derlendiği bir içtihat mekanizması henüz gelişmemiştir. Son yasa değişikliğinden önce ilgili kişilerin Kurum'a intikal etmiş şikayetlerine verilen kararlara karşı itirazların sulh ceza hakimlikleri tarafından incelenmesi de bu içtihat ve emsal karar eksikliğinin bir nedenidir. Ancak gerçekleştirilen son değişikliklerle Kurum'un vermiş olduğu idari para cezalarına karşı olarak itiraz yolu idari yargı olarak belirlenmiştir. Söz konusu değişiklikle birlikte incelenebilecek olan idari yargı kararlarının ilgili kişi başvurularında ve veri sorumlularının genel olarak Kanun'a uyum prosedürlerinde değişimlere yol açabileceği öngörülmektedir.
Öte yandan, Kurul tarafından uygulanabilecek yukarıda yer verdiğimiz yaptırımlara ilave olarak, kişisel verilerinin hukuka aykırı olarak işlendiğini ve kişilik haklarına yönelik bir saldırı olduğunu düşünen ilgili kişi, veri sorumlusuna karşı tazminat talebinde de bulunabilir. Kanun'un 14. maddesi 3. fıkrası, ilgili kişilerin bu hakkını saklı tutmuştur. Açılacak olan tazminat davası, veri sorumlusunun hukuki statüsüne göre idari veya adli yargı mercilerinde açılabilir. Türk Ceza Kanunu (TCK) kapsamında da kişisel verilerin korunmasına ilişkin düzenlemeler bulunmaktadır. TCK'nın 135 ila 140. maddeleri kişisel verilerin izinsiz kaydedilmesi, verileri hukuka aykırı olarak verme veya ele geçirme, verileri yok etmeme suçlarını kapsamaktadır.
Kişisel verilerin izinsiz kaydedilmesi, verileri hukuka aykırı olarak verme veya ele geçirme, verileri yok etmeme suçları şikâyete bağlı suçlar değildir, bu sebeple soruşturma ve kovuşturmaları ilgili makamlar tarafından öğrenildiği andan itibaren re'sen gerçekleşir.
Sonuç
Türkiye Cumhuriyeti Anayasa'sının 20. maddesine 2010 yılında eklenmiş olan “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.” hükmü ile kişisel verilerin korunması adına ilk adım atılmış, daha sonra yürürlüğe girmiş olan Kişisel Verilerin Korunması Kanunu ile de ilgili kişilerin, işlenen kişisel verileri üzerinde haklara sahip olması sağlanmıştır.
İlgili kişilerin haklarına ilişkin farkındalık seviyesi gittikçe yükselmektedir. Farkındalık seviyesi yükseldikçe Kurum'a yöneltilen şikayetlerin ve veri sorumlularına yöneltilen soru ve taleplerin oranının yükseldiği gözlemlenmektedir. Veri sorumlularının bu farkındalık seviyesi ile kendilerine yöneltilen ve sayıları giderek çoğalan talep ve şikayetleri Kanun ve ilgili mevzuat kapsamında belirtilen sürede ve makul cevaplarla karşılama (reddedecek ise gerekçesini bildirme) yükümlülüğü bulunmaktadır. Bu itibarla veri sorumlularının, Kanun'dan kaynaklanan yükümlülüklerini eksiksiz yerine getirmek, müşteri memnuniyeti ve güvenini tesis etmek ve korumak, kamuoyu karşısında itibarlarını kaybetmemek amacıyla Kanun'a uygun şekilde faaliyetlerini yürütmeleri, ilgili kişi taleplerinin süresinde, doğru ve eksiksiz cevaplanması için kurum içi mekanizmaları kurmaları ve faaliyetlerinin periyodik olarak Kanun ve ilgili mevzuata uyumunu, Kanun'a ve uygulamaya hakim hukukçular vasıtası ile kontrol etmeleri son derece önemlidir.
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.