Kişisel Verilerim Hakkında Ne Yapabilirim ? –

Günümüz dünyasında, datanın öneminin fark edilmediği bir alan yoktur. Yapılan analizlerde kullanılan veriler, doğru sonuca ulaşmakta oldukça önemlidir. Diğer taraftan söz konusu verinin nasıl elde edildiği, verinin kime ait olduğu, nasıl saklandığı ve kimlere aktarıldığı konuları da bahsi geçen verinin ilgisi açısından önem arz etmektedir.

O halde, kişisel verinin ne olduğu, nasıl elde edilebileceği ve hangi şekilde saklanması gerektiği ve verilerin ilgisinin hakları, “kişisel veri” konusundaki temel konular olmalıdır. Bu yazıda, ilgili kişinin, verilerine ilişkin olarak “veri sorumlusu”na yapacağı başvuru süreci ele alınmıştır.


I. Hangi Veriler, Kişisel Veri Sayılır?

6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) kişisel verilerin işlenmesinde, temel hak ve özgürlükleri korumak amacıyla düzenlenmiştir. KVKK, kişisel verileri işlenen gerçek kişiler için ve ayrıca bu verileri herhangi bir veri kayıt sistemi ile işleyen gerçek ve tüzel kişiler için uygulanır.

Kanuna göre “ilgili kişi”, kişisel verisi işlenen gerçek kişilerdir. Başka bir ifade ile KVKK ile verileri korunan kişiler “gerçek kişiler”dir. Kanun, “kişisel veri”yi ise, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak tanımlamıştır.

Kişisel verileri işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi, KVKK’ya göre, “veri sorumlusu”dur. Kişisel veriler, veri sorumlusunun yetkilendirdiği kişi(ler) tarafından veya doğrudan veri sorumlusu tarafından işlenir. Peki “kişisel verilerin işlenmesi”nden ne anlamalıyız?

KVKK’nın 3’üncü maddesinde “kişisel verilerin işlenmesi”,

“kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem”

olarak tanımlanmıştır. O halde, kişisel veriler hangi durumlarda hukuka uygun olarak işlenebilir?


II. Kişisel Verilerin İşlenme Şartları Nelerdir?

Kişisel veriler, kanunlar ile öngörülen usullerde işlenebilecektir. Kişisel verilerin işlenmesi esnasında, ilkelere ve kanunlarda öngörülen düzenlemelere uyulmalıdır. Kişisel veriler aşağıdaki durumlarda, “ilgili kişi”nin rızası aranmaksızın işlenebilir:

-kanunlarda açıkça öngörülmesi,

-fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,

veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,

-ilgili kişinin kendisi tarafından alenileştirilmiş olması,

-bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,

-ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

Yukarıda sayılan durumlar dışında, kişisel verilerin işlenebilmesi için ilginin açık rızası gerekmektedir.

İlginin rızası aranmaksızın kişisel verilerin işlenebileceği durumların somut olaya göre yorumlanması gerektiği açıktır. Ancak bu konu, başka bir yazının konusu olmalıdır.

Diğer taraftan, kişisel verilerin hukuka uygun olarak işlenmesi, veri sorumlusunun yükümlülükleri için yeterli değerlidir. Ayrıca veriler, hukuka uygun olarak saklanmalı, aktarılmalı, korunmalı ve gerekiyorsa imha edilmelidir. Bu süreçlerin her biri KVKK’ya uygun olarak gerçekleştirilmelidir.

Bu durumda, bir ilgili kişi, kişisel verilerine ilişkin kime, hangi gerekçelerle ve nasıl başvurmalıdır?


III. İlgili Kişinin, Veri Sorumlusuna Başvuru Süreci

Bahsedildiği üzere kişisel verilerin işlenmesi-saklanması-aktarılması-imha edilmesi vs. ayrı süreçlerdir. Tüm bu işlemlerin farklı uygulamaları mevcuttur. Ancak bu esnada, ilgili kimse hangi verilerinin işlendiğinden dahi tam olarak bilgi sahibi olmayabilir. Bu durumda KVKK’nın 11’inci maddesine bakılması gerekmektedir.

Öncelikle, şunu belirtmek gerekir ki, KVKK ile veri sorumlusuna “aydınlatma yükümlülüğü” getirilmiştir. Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi,

-veri sorumlusunun ve varsa temsilcisinin kimliği,

-kişisel verilerin hangi amaçla işleneceği,

-işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,

-kişisel veri toplamanın yöntemi ve hukuki sebebi,

hakkında bilgi vermek zorundadır.

 Bu durumda, ilgili kişi, veri sorumlusunun verilerin işlemesi esnasında aktarmak zorunda olduğu bilgiler sayesinde, yukarıdaki bilgilere sahip olmalıdır. Ancak yine de ilgili kişi, hangi verilerinin işlendiğini, kimlere aktarıldığı, hangi gerekçe ile işlendiğini öğrenmek isteyebilir. Diğer taraftan, kişisel verilerinin işlenmesinin durdurulmasını da talep edebilir.

Bu talepler, kişisel verilerinin işlenmesinin durdurulması veya bahsedilen bilgi talepleri, ilgili kişi tarafından veri sorumlusuna iletilmelidir. KVKK’nın 11’nci maddesinde, herkesin veri sorumlusuna başvurabileceği düzenlenmiştir.

İlgili kişi, veri sorumlusuna yapacağı başvuruda,

-kişisel veri işlenip işlenmediğini öğrenme,

-kişisel verileri işlenmişse buna ilişkin bilgi talep etme,

-kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,

-yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,

-kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,

-KVKK’da öngörülen şartlar uyarınca kişisel verilerin silinmesini veya yok edilmesini isteme,

-işlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,

-kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme,

haklarına sahiptir.

Veri sorumlusuna yapılacak başvuru yazılı olmalıdır. Veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırmak zorundadır. Veri sorumlusu cevabını yazılı olarak veya elektronik ortamda iletir.

Veri sorumlusuna yapılacak başvuruya ilişkin olarak Kişisel Verileri Koruma Kurumu tarafından tebliğ düzenlenmiştir. Veri sorumlusuna yapılacak başvurularda anılan tebliğin 5’nci maddesi dikkate alınmalıdır.

Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ madde 5.

Son olarak belirtmek gerekir ki, ilgili kişi olarak KVKK’ya aykırı bir husus için Kişisel Verileri Koruma Kurumu’na başvurmadan önce yukarıda bahsi geçen başvuru süreci işletilmelidir. Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde Kurum’a başvurulabilir. Söz konusu başvuru, veri sorumlusunun cevabının öğrenildiği tarihten itibaren otuz ve herhâlde başvuru tarihinden itibaren altmış gün içinde yapılmalıdır.