Yayınlarımız

Image

KİŞİSEL VERİLERİN KORUNMASINDA AÇIK RIZA VE AYDINLATMA YÜKÜMLÜLÜĞÜ

İletişim çağı olan günümüzde, teknolojik aletleri, akıllı telefonları, bilgisayarları ve uygulamaları hayatımızın her alanında kullanabilmek ve bu araçların sağladığı kolaylıklardan faydalanabilmek için kişisel verilerimizi paylaşmak zorunda kalıyoruz. Bu verilerin paylaşımı ve işlenmesi, her ne kadar birçok avantaj sağlasa da bu verilerin kolayca kötü amaçla kullanılabilir olması, kişisel verilerin paylaşımına ilişkin olarak hukuki düzenlemeler yapılmasını gerektirmiştir.
2010 Yılında yapılan değişiklik ile Anayasa’nın Özel Hayatın Gizliliği başlıklı 20. maddesi kapsamında kişiye kişisel verilerinin korunmasını isteme, bu hususta bilgilendirilme, silinmesini talep etme ve verilen amaçları doğrultusunda kullanılıp kullanılmadığını öğrenme hakları tanınmıştır. Aynı zamanda kişisel verilerin yalnızca kanunda öngörülen hallerde veya kişinin açık rızası ile işlenebileceği belirtilmiştir.
07.04.2016 Tarihinde yürürlüğe giren 6698 sayılı Kişisel Verilen Korunması Kanunu ile de kişisel verilerin korunmasına ilişkin usul ve esaslar düzenlenmiştir. Kanunun 5. Maddesinde kişisel verilerin işlenme şartlarına yer verilmiş olup kişisel verilerin işlenebilmesi için öncelikle ilgili kişinin rızası öngörülmüştür. Ancak 2. Fıkrada bulunan şartlardan birinin gerçekleşmesi halinde ilgili kişinin rızası olmadan kişisel veriler işlenebilecektir:
  1. Kanunlarda açıkça öngörülmesi
  2. Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması
  3. Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması
  4. Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması
  5. İlgili kişinin kendisi tarafından alenileştirilmiş olması
  6. Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması
  7. İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması
 
İlgili Kişinin Açık Rızası Nedir?
 
Açık rıza, kanunda düzenlendiği şekliyle, belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza anlamına gelmektedir. İlgili kişinin, kişisel verilerinin işlenmesine yönelik açık rızasının geçerli olabilmesi için:
-belirsiz olmaması,
-ilgilinin kişinin bilgilendirilmiş olması,
-cebir, hile ve tehdit hallerinin söz konusu olmaması gerekmektedir. Bu hususta   esas sorumluluk kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan veri sorumlusuna aittir.
Veri Sorumlusunun Aydınlatma Yükümlülüğü
Aydınlatma yükümlülüğü 6698 sayılı KVKK’nun 10. Maddesinde düzenlenmiştir. Maddeye göre:
Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere;
a) Veri sorumlusunun ve varsa temsilcisinin kimliği,
b) Kişisel verilerin hangi amaçla işleneceği,
c) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
ç) Kişisel veri toplamanın yöntemi ve hukuki sebebi,
d) 11 inci maddede sayılan diğer hakları, konusunda bilgi vermekle yükümlüdür.
Ayrıca aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 TL’den 100.000 TL’ye kadar idari para cezası uygulanacağı da kanunun 18. Maddesinde belirtilmiştir.
Nitekim Kişisel Verileri Koruma Kurulu’nun 27/01/2020 tarihli ve 2020/65 sayılı kararında, ulaşım hizmetleri sunan bir platformu kullanan ilgili kişi, yaptığı yolculuklarda şoförler tarafından puanlandığını öğrenmesi üzerine platformdan bilgilendirme talep etmiş, bu talebin cevapsız kalması sonucunda husus Kişisel Verileri Koruma Kurumu’na intikal etmiştir. Kurulca verilen kararda, müşterilerin/yolcuların yaptığı seyahatlerin şoförler tarafından puanlanmasına ve bu puanların ortalamasının alınmasına dayanan veri işleme faaliyetinin, veri işleme şartlarını taşımadığı ve veri sorumlusunun gerekli güvenlik tedbirlerini almadığı gerekçeleriyle 100.000 TL’lik idari para cezasına karar verilmiştir.
Kurulun 08/07/2019 tarih ve 2019/206 sayılı kararında da kişisel verilerin işlenmesini hizmet şartı olarak öne süren internet sitesinin, kullanıcılara ait kişisel verilerin mevzuattan kaynaklanan yasal yükümlülük çerçevesinde mi yoksa kullanıcıların açık rızalarına istinaden mi işlendiği açıkça belirtilmediğinden aydınlatma yükümlülüğünün yerine getirilmediğine hükmetmiştir.