Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilginin KVKK’ya göre kişisel veri olduğunu biliyoruz. Hepimizin kişisel bazı verileri, hiç haberimiz olmadan bazı şirketlerce kullanılabiliyor. Peki, kişisel veri ihlali durumunda ne yapmak gerekiyor?
Günlük hayatta buna sıklıkla şahit olabiliriz. Örneğin telefonumuza hiç alakasız firmalardan SMS gelebiliyor.
İçerik sağlayıcı internette ne paylaştığına dikkat etmeli!
İnternette yaptığı paylaşımlarından ötürü içerik sağlayıcı kişilerin hukuki ve cezai olarak ne kadar sorumludur ve paylaşımlarda nelere dikkat etmelidir?Peki kişisel verilerin piyasada bu şekilde dolaşması yasal mı? Kişisel veri ihlali yapanlara karşı ne yapabiliriz? Tüm bunları 6698 sayılı Kişisel Verilerin Korunması Kanununa göre cevaplandıracağız.
İnsanları belirgin kılan kişisel veri; şirketlerce, gerçek kişilerce veya diğer bazı tüzel kişilerce kaydedilir. Buna kişisel veri işleme faaliyeti diyoruz ve Nisan 2016 yılı itibariyle bu faaliyetler kanun denetimine bağlandı. Kişisel veri işleyen kişilere (veri sorumlularına) ciddi hak ve yükümlülükler getirildi ve verilerin sahiplerine (veri ilgililerine) bazı haklar getiriliyor.
Kişisel veri sahibinin hakları
Kişisel veri ihlali yaptığını düşündüğünüz bir firmaya karşı belirli hukuki imkanlarınız vardır. Öncelikle veri sorumlusuna yani verilerinizi kaydetmiş olan kişiye başvurarak bazı sorular sorma, bazı taleplerde bulunma hakkına sahipsiniz.
Bu başvuru hiç cevaplandırılmaz, süresinde cevaplandırılmaz veya verilen cevap yetersiz olur yahut talep reddedilir ise bu sefer Kişisel Verileri Koruma Kuruluna şikayet hakkınız doğar. Kurulun vereceği karar, hem veri sorumlusu hem de verinin ilgilisi bakımından bağlayıcıdır ve çok ciddi tazminat ve idari para cezası hükmü doğabilir.
Anlaşılacağı üzere Kişisel Verileri Koruma Kuruluna başvurabilmenin ön şartı önce veri sorumlusuna başvurmaktır. Peki veri sorumlusuna nasıl ulaşılır? Veri sorumluları KVKK gereği genellikle internet sitelerinde kendilerine ulaşılacak bilgileri barındırır. Eğer burada buna ilişkin bir veri bulunmazsa VERBİS yani Veri Sorumluları Sicil Bilgi Sistemine bakılabilir. Bu sisteme tüm veri işleyenler kaydolmak zorundadır ve herkesin erişimine açık bir sicildir.
Son olarak genel mahkemelerde Türk Borçlar Kanunu hükümlerine göre manevi tazminat davası açma hakkına sahipsiniz. Bu dava yukarıda bahsettiğimiz süreçten ayrı olarak takip edilebilir. Yani her iki hukuki süreç aynı anda ama ayrı ayrı işletilebiliyor.
Veri sorumlusuna başvuru süreci
Herkes veri sorumlusuna başvurarak şu soruları veya talepleri yöneltebilir:
- Kişisel verilerin işlenip işlenmediğini, hangi verilerin, ne şekilde, ne amaçla işlendiğini, kişisel verilerin amaca uygun kullanılıp kullanılmadığını sorma
- Kişisel verilerin kimlere aktarıldığını, bu veriler üzerinde değişiklik yapılması ve aktarılan kişilere değişikliğin bildirilmesi
- Kişisel verilerin silinmesi, yok edilmesi, bu durumun verilerin aktarıldığı kişilere bildirilmesi
- Veri işlemenin kişi için olumsuz bir sonuç doğurduğu durumlara itiraz etme
- Kişisel verilerin hukuka aykırı olarak işlenmesi – tasarrufta bulunulması halinde zararın giderilmesi
Bu soru veya taleplerle veri sorumlusuna ücretsiz olarak başvurulur. Veri sorumlusunun kendisine gelen başvuruyu derhal cevaplandırması gerekiyor ancak her halükarda bu cevaplandırma için 30 günlük süresi vardır.
Veri sorumlusu cevaplandırmadan ücret alamaz. Ama olağandışı masraf gerektirecek durumlarda Kurulun belirlediği şekilde ücretlendirme yapılabilir. Sürecin sonunda başvurucunun haklı çıkması halinde yaptığı masraflar iade ediliyor.
En geç 30 günün sonunda veri sorumlusu başvuruyu yanıtlandırır veya yanıtsız bırakır. Eğer yanıtsız bırakırsa bu sefer Kişisel Verilerin Korunması Kuruluna şikayet hakkı doğar. Veri sorumlusunun verdiği yanıt bir şekilde başvurucuyu tatmin etmezse gene Kurula başvuru hakkı vardır. Yani her durumda Kurula KVKK şikayeti yapılabilir.
Erişimin engellenmesi kararı ile ilgili tüm detaylar
Erişimin engellenmesi kararı nedir? Hukuki boyutunu ve hangi hallerde web sitelerine erişim engelleme yapılabileceği konusunu detaylıca inceliyoruz...Kişisel verilerin korunması kuruluna başvuru süreci
Veri sorumlusuna başvuru ve cevaplandırma sürecinden sonra 30 gün içerisinde Kurula şikayet gerçekleştirilir. Esasen bu şikayetin haricinde Kurul kendisi de şikayet olmaksızın re’sen inceleme başlatabiliyor.
Başvuru sonrasında Kurul bir inceleme yapar. Araştırmalarını yaparken taraflardan bilgi ve belge talep edebilir. Kurulun 60 günlük bir inceleme süresi vardır. Eğer 60 gün içerisinde başvuruyu sonuçlandırmaz ise şikayeti reddetmiş sayılır.
Eğer bir hukuka aykırılık olduğuna kanaat getirirse bunun giderilmesi kararı verir. Zarar olması halinde zararın tazmin edilmesine karar verir. Hatta bazı hallerde veri işleme ve aktarma faaliyetlerinin durdurulmasına bile karar verebiliyor.
Kişisel veri ihlali durumunda manevi tazminat davası
Yukarıda bahsettiğimiz süreçler işlerken bir yandan genel hükümlere göre manevi tazminat davası açmak mümkün. Hiç yukarıdaki süreci işletmeden direkt manevi tazminat davası açmak da mümkün.
Burada Türk Borçlar Kanunu madde 58 hükmüne göre kişilik hakkının zedelendiğinden bahisle manevi tazminat talep edilir. Bu tazminatın miktarı somut olayın özelliklerine göre mahkemece belirleniyor ve çok ciddi miktarlara ulaştığı görülebiliyor.
Sonuç
Yukarıda KVKK kapsamında kişilerin verilerini koruma ve haklarını savunma imkanından bahsettik. 2016 yılında yürürlüğe giren ve 2018 yılında uyum süreci sonlanan Kişisel Verilerin Korunması Kanunu, artık çokça adını duyacağımız bir kanun. Bu nedenle KVKK farkındalığı hem şirketler hem de kişiler tarafından sağlanmalıdır.
KVKK hakkında bilgi sahibi olmak önemlidir. Ancak kişisel veriler ile ilgili ortaya çıkan uyuşmazlıklarda hukuki yardım almak da önemli bir konudur. Hele ki KVKK’nın öngördüğü cezai yaptırımların dudak uçuklatan miktarlarda olması, tecrübeli bir avukat desteğini ihtiyaç haline getiriyor.
Kasko firması tarafından, internette herkese açık olarak tüm bilgilerim paylaşıldı. Paylaşılanlar arasında; TCK no, Ehliyetim, Kimliğim, Araç ruhsatım, Adresim, telefonum vb tüm bilgilerim mevcuttu.
Konuyu savcılığa taşıdım ve kamu davası açıldı. Firmadaki herkes birbirini suçladı mahkeme 3-4 celse sürdü. Sonrasında paylaşımın “kasıtlı olarak yapılmadığı” gerekçesiyle dava düştü. Kimse ceza almadı.
Yani boşuna uğraşmayın derim.
Kişisel verilerin paylaşılması ile ilgili onay vermişmiydiniz tam olarak ne karar çıktı