KİŞİSEL VERİLERİN GÜVENLİĞİ

            Yaşanan teknolojik gelişmeler neticesinde gündelik hayatta yapılan hemen her işlemin online yolla yapılması söz konusu olmuştur. En basit işlemlerin dahi internet üzerinden gerçekleştirilmesinin önünün açılması, insanları kolaylığa sürüklemiştir. Söz konusu kolaylığın yanı sıra bu işlemin güvenilirliğine dair soru işaretlerinin mevcudiyetine rağmen adem oğlu kendisini yormayan işi tercih etmeyi sürdürmeyi yeğlemiştir. Peki yalnızca bir işlemin kolaylık sağlaması, işbu işlemin tercihi açısından yeterli kabul edilmeli midir? Söz konusu işlemin arka planında gerçekleşen verilerin paylaşılması hususunda, yeterli bilgi düzeyi insanımızda mevcut mudur? İşte bu paradoks içerisinde kişisel verilerin güvenilirliğinin sağlanması hususu bu yazıda inceleme konusu yapılacaktır.

            24/03/2016 tarihinde yürürlüğe giren ve kişisel verilerin korunması amacı güden 6698 sayılı kanun, kişisel verilerin işlenmesinde özel hayatın gizliliği başta olmak üzere; kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektedir. Söz konusu kanunun incelemesi hususuna geçilmezden evvel, kişisel veriler kavramından ne anlamak gerektiği hususunun açıklanması şarttır. Hangi türden verilerin kişisel veriler anlamında değerlendirme konusu yapılması gerekliliği hususu, burada önem arz etmektedir.

            Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir. Bir kişinin belirli veya belirlenebilir olması, mevcut verilerin herhangi bir şekilde bir gerçek kişiyle ilişkilendirilmesi suretiyle, o kişinin tanımlanabilir hale getirilmesini ifade etmektedir. Yine kanunda yer alan tanımın da bu minvalde olduğu net bir biçimde görülmektedir. Bunun yanında kişisel verilerin işlenmesi hususunun da incelenmesi gerekmekle; kanunda yer alan tanıma göre, kişisel verilerin işlenmesi, kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi içermektedir.

            Burada önem arz ettiği düşünülmekle, kişisel verilerin işlenmesi hususunun birden fazla eylem yolu ile gerçekleştirilebildiği görülmektedir. Kayıt sisteminin parçası olmaksızın bilgiyi işlemenin yanı sıra yine bu bilginin kayıt edilmesi hususu da verinin işlenmesi olarak seçimlik hareketlerden sayılmıştır. Yine kanunda seçimlik hareketleri sayma yoluna gidilmiş ve bilginin depolanması, muhafazası, değişikliğe uğraması, aktarılması, sınıflandırılması gibi işlemlerden bahsedilmiştir. Yine bilginin devralınması ve kullanımının engellenmesi de burada seçimlik hareketler olarak sayılmıştır.

            Bir kimsenin beğendiği bir elbiseyi alması, bir yerden yemek siparişi vermesi, kredi kartı borcu ödemesi gibi gündelik işlemlerini yaptığı esnada hangi bilgilerin erişimine izin verdiği hususunda bilgilendirilmesi önem arz etmektedir. Toplumumuzdaki hemen her bireyde yer alan dış mihraklarca izlenme, takip edilme paranoyalarının yanında her türlü bilginin erişimine  izin verilmesi ve bu konuda yeterli bilgi düzeyine erişimin sağlanmaması hususu da çelişik durum yaratmaktadır. Bu nedenle de kişisel veriler ve bu konuda güvenilirlik hususu ehemmiyet taşımaktadır.

             Kişisel verilerin korunmasına dair yol haritası olma niteliği taşıyan ve yazımızda ağırlıkla üzerinde durulan 6698 sayılı kanuna göre, kişisel verilerin işlenmesinde belli başlı ilkelere uyulması zorunluluğu söz konusudur. Buna göre her şeyden önce bu verilerin işlenmesinin hukuka ve dürüstlük kurallarına uygun olması şarttır. Bunun yanında işlemenin doğru ve gerektiğinde güncel olması gerekmekte ayrıca belirli, açık ve meşru amaçlar için işlenme elzemdir. İşleme hususunun işlemedeki amaçla bağlantılı, sınırlı ve ölçülü olması zorunluluğu vardır. Ve en nihayetinde ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi şarttır.

            Görüldüğü üzere kanun koyucu kişisel verilerin işlenmesi hususunda net sınırlar ortaya koymuş ve işleme hususuna dair ayrıntılı bir düzenlemeye yer verilmiştir. Kanun koyucu kişisel verilerin işlenmesi hususundaki ilkelerde, sınırsız bir veri işleme hususunun önüne geçmeye çalışmış, bunun yanında söz konusu işlem haricindeki toplanan verilerin illegal olması hususunu da belirtmiştir.

            Kanun koyucunun özellikle üzerinde durduğu ve önem arz eden bir diğer husus, kişisel verilerin işlenmesi hususunda kişinin rızasının aranması hususudur. Ve bu konuda açık rıza aranması hususu da özellikle belirtmiştir. Açık rıza konusunda kısaca bilgi vermek elzem görülmekle; açık rıza, belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı ifade etmektedir. Kişinin bu verilerin işlenmesi hususunu açıkça ifade etmesi ve rızasının olduğunu beyan etmesi gerekliliği burada aranmaktadır. Zımnen, örtülü bir biçimde kişisel verilerin kaydına izin verilmesi gibi bir durum söz konusu olamaz. Bireyin bu verilerin işlenmesi hususunu açık, net ve kesin sınırlarla ifadesi zaruridir.

            Tüm bu açıklamalar haricinde, kanunda da ifade edilen rızaya ihtiyaç duyulmayan bazı hallerin mevcudiyeti de söz konusudur. Burada kanun koyucu bunları sayma yoluna gitmiştir. Bunun nedeni ise, bu haller haricinde hukuka uygunluğun gerçekleşmemesi konusudur. Yani kıyas yolunun burada kapatıldığı söylenebilir. Kanun koyucunun keyfiliğin önüne geçme amaç ve gayesi taşıdığı burada görülmektedir.

            Kanun koyucunun açık rızaya şart koşmadığı hallerin başında, kanuni zorunluluk gelmektedir. Öyle ki, kanunlarda açıkça öngörülmesi halinde açık rızaya gerek olmaksızın kişisel verilerin işlenmesi hukuka uygun sayılmıştır. Bunun dışında, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması halinde de açık rıza şartı aranmamaktadır. Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması durumu, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması hali, İlgili kişinin kendisi tarafından bilginin alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması hallerinde de açık rıza aranmaksızın kişisel verilerin işlenmesi söz konusu olmaktadır.

            Ülkemizde sık sık ortaya çıkan ve kanayan bir yara olarak göze çarpan kişilerin fişlenmesi hususuna dair de kanunda düzenlemenin mevcudiyeti görülmektedir. Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerinin özel nitelikli kişisel veriler olduğu ve  bu özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesinin yasak olması hususu düzenlemede yer almıştır.

            Bireylerin kişisel verilerinin işlenmesi konusunda, kişisel veri işlenip işlenmediğini öğrenme, kişisel verileri işlenmişse buna ilişkin bilgi talep etme, kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme, kişisel verilerin silinmesini veya yok edilmesini isteme, işlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme, kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme gibi hakları olduğunu ifade etmek gerekir.

            İşbu düzenlemenin mevcudiyeti karşısında pratikte halen bu konuda ihlallerin olduğu ve insanların bilgilerinin hukuk ve yasaya aykırı şekilde elde edilmek suretiyle alçakça şantajlara maruz kalındığı görülmektedir. İşbu nedenle de yasal düzenlemenin yanında kişilerin güvenilirliğinin sağlanması için pratikte faydanın sağlanması hususu da önem arz etmektedir. Buna dair kişinin yaptığı söz konusu davranışın ahlaki olmadığı ve etik değerleri taşımadığı hususunda küçük yaşta bilgilendirilmesi ve eğitilmesinin elzem olduğu kanaati tarafımızca hasıl olmuştur.

            Ülkemizde bir konuda kanun ya da düzenleme yapılması hususu, ilgili konuda çözüm bulunduğu anlamı maalesef taşımamaktadır. Kadına karşı şiddet hususunda yapılan onlarca düzenleme karşısında halen bu konunun toplumun kanayan yarası olarak yer aldığı hususunun ifadesi lüzumludur. Kişisel verilerin toplanması hususunda da yasal düzenleme yapılması ve bu düzenleme kapsamında hizmet sağlayıcıların son dönemde kişisel verilerin kullanılmasına dair izin istemesi hususu, bu konuda her türlü alt yapı ve tekniğin sağlanması karşısında bireylerin bu konulara dair iyi eğitilmeleri ve özel hayata saygı hususunda gerekli bilgilendirmeleri almış olmaları mühimdir. Bu konuda yeterlilik sağlanamadığı müddetçe yukarıda sıralanan kanun maddelerinin hiçe sayılacağı unutulmamalıdır. Toplumumuzda vurulması muhtemel bir aşı konusunda dahi çip takılma, takip edilme yönünde haklı sayılabilecek paranoyaların temelinde, bu konuya dair yaşanan skandallar yatmaktadır. Bilgilerin ele geçirilmesi ve pazarlanması, bu yolla da kişilerin mağdur edilmesinin önüne, ancak ve ancak özel hayata saygının bireylere doğru anlatımının mümkünlüğü ile sağlanabileceğini düşünmekteyiz. Bu nedenle de bir kez daha ifade edilmelidir ki, kanuni düzenlemenin yeterliliği hususu yanılgıdan ibarettir.

KİŞİSEL VERİLERİN GÜVENLİĞİ

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön