Perakendede kişisel verilerin korunması

Türkiye’de kişisel verilerin korunmasını sağlayacak olan fakat 2008 yılından bu yana yasalaşmayı bekleyen “Kişisel Verilerin Korunması Kanun Tasarısı”nın (KKVK) tüketici bilgilerinin amaç dışında kullanılmasını engelliyor. Perakende sektöründe uzman olan Avukat Nakşiye Aksoy, yeni tasarının eksik ve muğlak yanlarının giderildikten sonra yasalaşmasının daha doğru olacağını belirtti. Aksoy yeni KVKK’yı Perakende.org için yorumladı

Eklenme Tarihi : 22 Ağustos 2014 Cuma
perakendede-kisisel-verilerin-korunmasi

Avukat Nakşiye Aksoy’un yeni Kişisel Verilerin Korunması Kanun Tasarısı hakkındaki görüşleri şöyle:

Türkiye'de kişisel verilerin korunması

Uluslararası hukukta temelde bir insan hakkı olarak nitelendirilen, bireylerin kişisel verilerinin akıbetini belirleme ve korunmasını talep etme hakkı sadece bağımsız olarak bireyleri değil, ticaret hayatında bireylere ait kişisel verileri işleyen birçok şirketi de etkileyebilecek bir haktır. Nitekim günümüzde perakende sektöründeki şirketler de dahil olmak üzere birçok şirket kişisel veri barındıran müşteri verilerini pazarlama amaçları ile işleyebilmekte, çoğaltmakta ve üçüncü kişiler ile paylaşabilmektedir. Bu hususun da ötesinde, sınırların ortadan kalktığı günümüzde artık kişisel verilerin korunmasını bir hak olarak kabul eden ve yasal çerçevede koruma altına alan ülkelerdeki firmalar ile ticaret yapan birçok Türk şirketinin karşısına kişisel verilerin korunması hakkının Türkiye’de ne kadar korunduğu ile ilgili sorunlar ortaya çıkabilmektedir.

Kişisel verileri işlerken dikkat edilmesi gerekli hususları belirlemeden önce, elbette ki kişisel veri tanımının ne olduğunu irdelemek doğru olacaktır. Bu konudaki uluslararası ilk düzenleme niteliğinde olan 23 Eylül 1980 tarihli OECD Konsey Önerisi ve sonrasında Avrupa Konseyi 108 Sayılı Sözleşme’de kişisel veri  “kimliği belirli veya belirlenebilir bir kişiye ilişkin tüm bilgiler” olarak tanımlanmıştır. Devamla Avrupa Birliği’nde de çok önemli bir kavram olarak karşımıza çıkan kişisel veriler “Kimlik numarasına göre ya da psikolojik, fiziksel, ekonomik,  kültürel veya sosyal benliğine atıf ile doğrudan veya dolaylı olarak teşhis edilebilen belirli veya belirlenebilir bir kişiye ilişkin tüm bilgiler” olarak tanımlanmıştır. Tanımlara bakıldığında işlenen bilginin, o kişiyi diğer kişilerden ayırt etmeye yaraması ve kişiyi belirlemeye araç olması temel noktadır.

Uluslararası mecrada son derece hassasiyet gösterilen kişisel verilerin korunması kavramının ülkemizdeki yansımalarına bakıldığında, 12 Eylül 2010 tarihli referandum ile kişisel verilerin korunması hakkının “Özel hayatın gizliliği” başlıklı Anayasa’nın 20. maddesine eklendiği görülmektedir. Anılan maddede “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar.” hükmü yer almaktadır. Anayasa dışında da; Türk Ceza Kanunu, Bilgi Edinme Kanunu, Türk Medeni Kanunu, Borçlar Kanunu, İş Kanunu ve yine normlar hiyerarşisine aykırı olarak 06.02.2004 tarihinde Resmi Gazete’de yayınlanarak yürürlüğe giren Telekomünikasyon Sektöründe Kişisel Bilgilerin İşlenmesi ve Gizliliğinin Korunması Hakkında Yönetmelik gibi farklı yasal düzenlemelerde kişisel verileri işleyen kişi ve şirketlere yönelik kurallar getirilmektedir.

Peki bu konuda 2008 yılından bu yana yasalaşmayı bekleyen Kişisel Verilerin Korunması Kanun Tasarısı  (“KVKKT”) hangi düzenlemeleri içermektedir? Tasarı ihtiyaçları ne kadar karşılamaktadır?

İnsan hakları kavramı ve korunması bilincinin gittikçe gelişmesine paralel olarak kişisel verilerin korunmasının da öneminin arttığı, bir ülkede farklı mevzuatlardaki düzenlemelerin konuya ilişkin felsefeyi yansıtmaması halinde kişisel verilerin korunması alanında artan ihtiyaca cevap verilemeyeceği, zira farklı mevzuatlardaki düzenlemelerin yetersiz olduğundan bahisle ve AB mevzuatı ile uyum sağlama gerekçesi ile düzenlendiği belirtilen KVKKT’na bakıldığında kişisel veri sahibinin tanımının kapsamına gerçek kişiler dışında tüzelkişilerin de eklendiği görülmektedir. Diğer deyişle tasarının kabul edilmesi halinde sadece gerçek kişiler değil tüzelkişiler de verilerinin korunmasını talep edebilecektir.
KVKKT’nın 5.maddesinde, uluslararası düzenlemelerde öngörüldüğü gibi, kişisel verilerin hukuka ve dürüstlük kurallarına uygun olarak işlenmesi, belirli amaçlar için toplanması ve bu amaçlara aykırı olarak yeniden işlenmemesi, toplandıkları amaçla bağlantılı, yeterli ve orantılı olması, doğru, tam ve güncel olması ve bilimsel ve istatistiki amaçlar hariç  amacına uygun süre ile muhafaza edilebilmesi kabul edilmiştir.
Kişilerin kendi bilgilerinin geleceğini belirleme hakkının doğal sonucu olarak, 6.maddede kişisel verilerin kişisel veri sahibinin rızası dışında işlenemeyeceği belirtilmiştir.

Özel niteliği olan (hassas) kişisel verilerin işlenmesi de KVKKT içinde ayrı olarak düzenlenmiştir.  Düzenlemeye göre, kişilerin ırk, siyasî düşünce, felsefî inanç, din, mezhep veya diğer inançları, dernek, vakıf ve sendika üyeliği, sağlık ve özel yaşamları ve her türlü mahkûmiyetleri ile ilgili kişisel verilerin işlenemeyeceği belirtildikten sonra bu kuralın istisnaları düzenlenmiştir.

Kanaatimce kişisel verilere ilişkin ayırımlar yapılması doğru olmadığından; KVKKT içinde bu yönde düzenlemeler yapılarak ayrı kurallar ve istisnalar getirilmesi isabetli olmamıştır. Daha da ötesinde, korunmaya çalışılan hassas verilerin işlenmesi hususunda getirilen istisnaların genişliği ve tespiti yapılamayan resmi kurum ve mercilerin kontrollerinde işlenebileceğinin belirtilmesi de maddeden beklenen amacı karşılayacak nitelikte değildir. Bunun yerine KVKKT içinde hassas veriler ile ilgili bir ayrıma gitmeksizin tüm kişisel verilere ilişkin temel kuralların ve zorunlu istisnalarının belirlenmesinin ve bu istisnalar kapsamında verilerin işlenmesinin kontrolünü kamu kurum ve kuruluşları olarak mütalaa edilebilecek resmi mercilere değil bağımsız bir kurula bırakılması kanaatimce daha isabetli olacaktır.

Kişisel Veri Sahibinin Hakları Nelerdir?

• Kendisi ile ilgili verilere erişim,
• Verilerin muhtevasına ilişkin bilgi edinme,
• Bu veriler güncel, doğru ve tam değilse düzeltilmesini isteme,
• Hukuka aykırı olması halinde silinmesi, yok edilmesi ve aktarımının engellenmesi ve
• Yapılan bu işlemlerin verilerin açıklandığı üçüncü kişilere bildirilmesi şeklinde düzenlenmiştir.

Aynı maddenin devamında, bu talepler karşısında veri kütüğü sahibinin yükümlülükleri belirtilmişse de burada dikkat çekici husus, kişisel veri sahibinin bu haklarını kullanması sonucu yapılan işlemlerin verilerin açıklandığı üçüncü kişilere ancak uygulanması imkansız olmamak veya büyük güçlükler yaratmamak kaydına bağlı olarak bildirilebileceğinin belirtilmesidir.

Tasarıda bu şekilde sübjektif ve ihtiyari düzenlemelere yer verilmesi isabetli olmadığı gibi bazı soruları da beraberinde getirmektedir. Büyük güçlük ile kastedilen nedir? Bu bildirimlerin yapılması sırasında büyük güçlük ile karşı karşıya kalındığının tespit ve takdirini kim yapacaktır?  Veri kütüğü sahibinin bu tespiti tek başına yapma yetkisi var mıdır?
Veri kütüğü sahibinin yapılan işlemleri bildirim yükümlülüğü kapsamında, madde düzenlemesinde dikkat çeken bir diğer husus ise, ilgili kişinin talebi üzerine veri kütüğü sahibinin silme, yok etme, engelleme gibi işlemleri verilerin aktarıldığı diğer üçüncü kişilere bildirme yükümlülüğünün olmamasıdır. Nitekim Tasarı’nın 12/2-e)  maddesine bakıldığında, sadece (a) ve (b) bentlerinde düzenlenen kişisel veri sahibine ait bilgilerin bildirildiği ve amaçlarının açıklandığı yönünde bir bildirim yapılacağı belirtilmiştir. Bu durumda, kişisel veri sahibinin talebi üzerine veri kütüğü sahibi verileri silerken, yok ederken ve aktarımını engellerken bir diğer üçüncü kişi bu hukuka aykırı verileri muhafaza etmeye devam mı edecektir? Bu durumda bu üçüncü kişiler kendilerine bildirim yapılmadığı gerekçesi ile iyi niyet iddiasında bulunabilecekler midir?

Konuya ilişkin eleştiriye açık bir diğer husus ise, 13.maddede hüküm altına alınan kişisel veri sahibinin haklarını kullanmak üzere yapacağı başvurunun usulüdür. Madde metninde, başvurunun kişisel veri sahibi tarafından yazılı olarak yapılması gerektiği belirtilmesine karşın veri kütüğü sahibi tarafından 15 gün içinde verilecek cevabın yazılı olması ile ilgili bir zorunluluk maddede düzenlenmemiştir. Bu durumda veri kütüğü sahibi kişisel veri sahibine sözlü olarak cevap verdiğini iddia ederek bu yükümlülüğünden kurtulabilecek midir? Görülebileceği gibi bu madde düzenlemesi de suiistimale çok açıktır.

Tasarı ile ilgili en son olarak, kişisel verilerin korunması hakkında getirilen ilke ve ilkelerin denetimi ve bu denetimler için teşekkülü öngörülen Kişisel Verileri Koruma Kurulu’ndan bahsetmekte yarar bulunmaktadır.
KVKKT 16.maddesinde, Kişisel Verileri Koruma Kurulu tarafından Veri Kütüğü Sicili’nin tutulacağı ve kişisel verileri işleyen gerçek ve tüzel kişilerin, veri kütüğü kurmadan önce sicile kaydolmak zorunda oldukları ve sicilin kamuya açık olacağı belirtilmiştir. Bununla birlikte, 16.madde zikredilen “veri kütüğü kurmadan önce” sicile kayıt olunması zorunluluğu, soru işaretlerini de beraberinde getirmektedir.  KVKKT’nın lafzına sadık kalındığında, kanunun yürürlüğe girmesinden önce halihazırda veri kütüğü kurmuş olan gerçek ve tüzelkişiler kayıt zorunluluğunun dışında mı tutulacaklardır? Eğer öyle ise bir kısım veriler için koruma ve denetim getirilirken, bir kısım veriler için denetim sağlanmayacak mıdır?
Yukarıdaki maddenin, soru işaretlerini giderecek ve tüm veri kütüğü sahiplerini içerecek şekilde, belirtilen ifadenin çıkarılması sureti ile kaleme alınmasının daha doğru olduğu kanaatindeyim.
Veri kütüğü sahiplerinin bildirimleri akabinde, Kurul tarafından kişisel veri sahiplerinin kişilikleri ve temel hak ve özgürlüklerine yönelik riskleri de dikkate almak sureti ile bir ön inceleme yapılacağı ve 1 ay içinde sonlandırılacağı düzenlenmiştir.

KVKKT’nın 26. maddesinde bu kanun ile verilen görevleri ifa etmek üzere Kişisel Verileri Koruma Kurulu’nun oluşturulacağı belirtilmiştir. Her ne kadar 26.maddede kurulun yetkilerini bağımsız olarak kullanacağı belirtilmişse de 27/1 maddesine göre, Bakanlar Kurulu’nun seçtiği yedi kişiden oluşması kurulun bağımsızlık imajına gölge düşürecek niteliktedir. KVKKT,  şikâyet ile kurula başvuru imkanı sağlamış ve Kurulun verdiği kararlara tebliğinden itibaren 60 gün içinde idare mahkemelerinde dava açma yolunu da açık bırakmıştır. Bu husus dışında, 34. maddede cezai yaptırımlar kapsamında ise Türk Ceza Kanunu’nun 135.ve devamı maddelerine atıf yapılmıştır.

Yukarıda da ayrıntıları ile yer verdiğimiz üzere KVKKT düzenlemelerinde, temel ilkelere ilişkin geniş istisnaların tanındığı, kişisel veri sahibinin hakları da dahil çoğu maddede uygulamada boşluklar ve suiistimaller yaratacak hükümlerin getirildiği görülmektedir. Eleştirilen yönleri ile KVKKT’nın kişisel veriler hakkında tam bir koruma sağlayacağının kabulü güçleşmektedir. Bu kapsamda kişisel verilerin korunması alanında hem kişisel veri sahibini tam anlamı ile korumak hem de kişisel verileri işleyen gerçek ve tüzelkişi uygulayıcılara ilişkin kuralları net olarak belirlemek için tasarı içindeki çelişkili ve muğlak ifadelerin giderilmesi sonrasında tasarının kabul edilmesi daha doğru olacaktır.

Av. Nakşiye Aksoy
AKSOY AYDIN HUKUK BÜROSU

naksiye.aksoy@aksoy-aydin.com
 

E-BÜLTENİMİZE KAYIT OLUN
Copyright © 2005-2015 PEBEV Perakende Bilgi Evi
designed by nette interactive