Kişisel Verilerin İşlenip İşlenmediğini Öğrenme Hakkı
Günlük yaşantımızda kişisel verilerimiz internet ve sosyal medya platformları, gerçek kişiler ya da bankalar, hastaneler gibi şirket ve kurumlar tarafından durmaksızın işleniyor. Bunlar hakkında bazen bilgi sahibi olsak da bazen hiç fikrimiz olmadan bazen de uzun ve karmaşık sözleşmeler arasına saklanan metinler nedeniyle bu hizmetler karşılığında hangi kişisel verilerimizin işlenip işlenmediğini ya da verilerimizin kimlerle ve ne sebeple paylaşıldığını bilmiyoruz. Kişisel verilerimizi işlediğini düşündüğümüz her veri sorumlusuna dilediğimiz zaman verilerimizin işlenip işlenmediğini sorabiliriz. Unutmayın en geç 30 gün içinde bize cevap vermek zorundalar.
SAHİP OLDUĞUNUZ DİĞER HAKLAR
Kişisel verilerimiz bizimle ilgili, bizleri tanımlayan ve bize ait izler bırakan bilgiler. Bireyler olarak bizlere ait bilgileri denetleyebilmek, bu bilgilerin geleceğine özgürce karar verebilmek ve kimlerin bizler hakkında hangi bilgilere sahip olduğunu bilmek en doğal haklarımızdan. Kişisel Verilerin Korunması Hakkı olarak vücut bulan bu hak, düşünce ve ifade özgürlüğü gibi temel hak ve özgürlüklerimizden biri olup Anayasamız ile de güvence altında. Anayasanın 20. maddesine göre herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahip. Bu hak aynı zamanda bu verilerle ilgili bilgilendirilme, bu verilere erişme, bunların düzeltilmesini ya da silinmesini istemeyi de kapsıyor.
İşte kaynağını Anayasadan alan bu hak, Kişisel Verilerin Korunması Kanunu ile daha kapsamlı bir şekilde karşımıza çıkıyor ve kişisel verilerimizin işlenişi üzerinde denetim ve gözlem yapabilmemizi güvence altına alıyor.
Kişisel verilerimizin henüz elde edilmesi yani toplanması aşamasında; hangi sebeplerle, ne şekilde toplandığı, hangi amaçlarla kullanıldığı, ne kadar süreyle saklandığı ve kimlerle paylaşıldığı gibi temel konular hakkında bilgi sahibi olmamız gerekiyor. Bunları bilmemiz gerekiyor, çünkü bilmezsek paylaşmak için de karar veremeyiz değil mi? Bu hak aynı zamanda kişisel verilerimizi işleyen; örneğin ürün aldığımız e-ticaret sitesi işleticisi, iş başvuru yaptığımız veya birlikte çalıştığımız işveren, muayene veya tedavi olduğumuz sağlık kurumu, bilet aldığımız havayolu firması, üye olduğumuz internet sitesi veya uygulama işleticisi gibi bizden veri toplayan bütün gerçek ve tüzel kişi veri sorumlularının bizleri aydınlatma yükümlülüğünü de oluşturuyor.
Aydınlatma yani bilgilendirme yükümlülüğü; verilerimizi elinde tutan kişi ve kurumların gelişigüzel bizlere bilgi vermesi şeklinde değil, Kişisel Verilerin Korunması Kanununda belirtilen asgari şekil şartlarına uygun olarak biz talep etmeden yerine getirilmesi gerekiyor. Eğer kişisel veriniz toplanıyor ve bu esnada verilerinizin işlenmesi hakkında size açık bir şekilde bilgilendirme yapılmıyorsa hukuka aykırı olarak kişisel veriniz toplanıyor demektir ve unutayın bunu yapanları ağır yaptırımlar bekliyor. Ayrıca bu bilgilendirme içeriğinde haklarımıza ilişkin talepleri iletmek için uygun iletişim kanallarının da mutlaka belirtilmesi gerekiyor.
VeriniKoru Ekibi olarak kişisel verileriniz toplanırken aydınlatma yükümlülüğünü yerine getirmeyen, sizlere veri işleme faaliyetleriyle ilgili şeffaf bir şekilde bilgi vermeyen veri sorumlularına kişisel verilerinizi vermemenizi öneriyoruz.
Eğer kişisel verilerimiz bir veri sorumlusu tarafından kullanılıyor ve işleniyorsa, kişisel verilerimizin işlenme süreçlerine ilişkin veri sorumlusundan her türlü bilgiyi talep edebiliriz. Örneğin, alışveriş yapmak için üye olduğumuz bir e-ticaret sitesine kredi kartı bilgilerimizin hangi yöntemle, ne kadar süre saklandığı, yurtiçinde ve yurtdışında hangi 3. kişilerle paylaşıldığı, bu işlemlerin hangi amaçlarla yapıldığı gibi tüm soruları sorabiliriz. Bize 30 gün içinde cevap verilip, soru işaretlerimiz giderilmek zorunda.
Zira hangi verilerimizin kimlerin ellerinde tutulduğunu ve ne gibi amaçlarla kullanıldığını biliyor olmamız gerekiyor ki verilerimizin geleceğini belirleyebilelim.
Veri sorumlusu tarafından kişisel verilerimiz eksik ya da yanlış şekilde tutuluyor ya da eskiden doğru olsa bile artık güncelliğini korumuyorsa, veri sorumlusuna başvurarak bu eksiklik ya da yanlışlığın düzeltilmesini isteyebiliriz. Bireylerin kişisel verilerini doğru ve güncel tutmak aynı zamanda veri sorumlusunun her zaman uygun hareket etmesi gereken temel kurallardan biri.
Örneğin müşterisi olduğunuz bankadan son dönemlerde hesap ekstresi alamıyor ve iletişim bilgilerinizin eksik veya yanlış tutulduğunu düşünüyor olabilirsiniz. Bu durumda bankaya başvurarak kişisel verilerinizin düzeltilmesini talep edebilirsiniz. Bankanın bu talebe üzerine 30 gün içinde düzeltme işlemini yapması gerekiyor. Ya da mezunu olduğunuz üniversite bilgi sisteminde size ait kayıtların doğru şekilde tutulduğundan emin değilseniz aynı şekilde bu hakkınızı kullanabilirsiniz.
Unutmayın kişisel verilerimizi bir takım kişi veya kurumlarla paylaştığımızda bu onlara verilerimizi sonsuza kadar ellerinde bulundurma hakkı vermiyor. Bizler verilerimizi sadece emanet ediyoruz. Emanet süresi boyunca verilerimiz güvenle saklanmalı ve paylaşma amacımız dışında başka bir amaçla da asla kullanılmamalı. Verilerimizle işleri bittiğinde ise kendiliğinden bu verileri imha etmeleri gerekiyor. Dolayısıyla imha talep etme hakkımız aynı zamanda veri sorumlularına bu işlemi herhangi bir talebe gerek duymadan kendiliğinden yapmaları gereken bir yükümlülük. Aksi halde hem yüksek idari para cezası hem de hapis cezası sonuçları var. İşte bu sebeple kişisel verilerimizin elde edilmesi ve kullanılmasını gerektiren amaçların ortadan kalktığını ya da veri sorumlusunun verilerimizi saklaması gereken sürenin sona erdiğini düşünüyorsak onlara başvurarak kişisel verilerimizin silme, yok etme ya da anonimleştirme gibi yöntemlerle imha edilmesini isteyebiliriz.
Örneğin iş başvurusu amacıyla CV gönderdik ancak işe alımımız gerçekleşmedi, bu noktada işveren CV’mizi uzun süre elinde tutmamalı ve bizden bir talep beklemeden imha etmelidir. Aynı şekilde ilgi alanımıza giren bir e-bültene abonelik sırasında verdiğimiz onayı geri çektiğimizde de veriler kendiliğinden imha edilmelidir. Ya da bu hakkımızı kullanarak 30 gün içinde imha edilmesini sağlayabiliriz.
Veri sorumlusu tarafından işlenen kişisel verilerimizde bir hata ya da eksiklik olduğunu ya da verilerimizin güncelliğini yitirdiğini düşünüyorsak veri sorumlusuna başvurarak işlenen kişisel verilerimizde düzeltme yapma hakkımızı iki üst başlıkta anlatmıştık. Eğer bu kişisel verilerimiz veri sorumlusu tarafından üçüncü bir kişiye aktarılmışsa, işte bu üçüncü kişiye de kişisel verilerimizin düzeltilmesine ilişkin talebimizin gönderilmesini sağlayabiliriz. Bunun için veri sorumlusuna bu yönde bir başvuru yapmamız yeterli. Aynı şekilde eğer kişisel verilerimizin işlenmesini gerektiren sebepler ortadan kalkmışsa ve verilerimizin imha edilmesini veri sorumlusundan talep etmişsek, verilerimizin aktarıldığı üçüncü kişilere de kişisel verilerimizin imhasına ilişkin talebin gönderilmesini ve kişisel verilerimizin imha edilmesini talep edebiliriz.
Eğer kişisel verilerimiz hiçbir insan müdahalesi olmadan, tamamen algoritmalar yani bilgisayar programları vasıtasıyla analiz edilip hakkımızda programlar aracılığıyla otomatik olarak bir karara varılıyorsa, bu karar aleyhimize sonuçlar ortaya çıkabilir. İşte bu noktada aleyhimize çıkan bu sonuçlara karşı itiraz etmemiz mümkün.
Örneğin, çalıştığınız işyerinde performansınız özel bir program aracılığıyla analiz ediliyor yani ölçülüyor diyelim, bu programın performansınızı değerlendirmesi sonucunda işyerinde bir yaptırıma uğruyor ya da beklediğiniz terfiyi alamıyorsanız buna itiraz edebilirsiniz. Ya da finansal işlemleriniz otomatik yöntemlerle analiz edilip size özel oluşturulan kredi notunun düşük olması sebebiyle ihtiyaç duyduğunuz banka kredisini alamıyorsanız da itiraz hakkınız bu kapsamda.
Kişisel verilerimiz hukuka aykırı şekilde ele geçirilmiş, kullanılmış ya da başkalarına gönderilmiş olabilir ve biz bundan dolayı maddi ya da manevi bir zarara uğramış olabiliriz. Kişilik haklarımızın bu şekilde ihlal edilmesi halinde uğradığımız zararların karşılanması için buna sebep olan veri sorumlusuna başvurmamız mümkün.
Örneğin; internet bankacılığına giriş için kullandığınız hesap ve parola bilgilerinin bankanın ihmali sonucu 3.kişilerce kötüye kullanılması durumunda uğrayacağınız maddi zararı veri sorumlusu bankadan talep edebilirsiniz. Ya da herhangi bir amaçla tedavi olduğunuz sağlık kurumunun sizin fotoğrafınızı rızanız dışında sosyal medya hesaplarında paylaşması durumunda bundan uğrayacağınız manevi zararı da sağlık kurumuna başvurarak talep edebilirsiniz.
Ayrıca maddi ya da manevi zarara uğradığınızı düşünüyorsanız doğrudan yargı organları aracılığıyla da haklarınızı arayabilirsiniz. Veri sorumlusuna başvurmak veya Kişisel Verileri Koruma Kurulu’na şikayet etmek, yargı organlarına başvurma hakkınızı ortadan kaldırmıyor. İkisini de birlikte kullanabilirsiniz.
Kişisel Verileri Koruma Kurulu’na şikayet hakkınızı kullanabilmek için daha önce mutlaka veri sorumlusuna yukarıdaki haklarınızla ilgili geçerli bir başvuru yapmış olmanız gerekiyor. Haklarınızın doğru şekilde kullanımı ile ilgili olarak Sitemizin ”Bize Sorun” sayfasında hazırladığımız içerikleri mutlaka incelemenizi istiyoruz.
Veri sorumlusuna başvurunuz üzerine size 30 gün içinde bir cevap verilmez, başvurunuz reddedilir ya da verilen cevabı beğenmezseniz; 30 gün içinde Kişisel Verileri Koruma Kurulu’na şikayet hakkınızı kulanabilirsiz. Kurul şikayet üzerine kişisel verilerin korunması hakkının ihlal edilip edilmediği noktasında yapacağı inceleme sonucunda bir karar verecektir. Şikayetlerinizi sikayet.kvkk.gov.tr bağlantısı üzerinden online yapabilir, örnek olaylar üzerine Kurul’un verdiği karar özetlerini de bu bağlantıya tıklayarak resmi web sitesinden inceleyebilirsiniz.
Şikayet hakkının kullanılabilmesi için öncelikle veri sorumlusuna yapılmış bir başvuru şartı aranıyor ancak ihbar için herhangi bir ön başvuru şartı bulunmuyor. Çevrenizde Kişisel Verilerin Korunması Kanununa aykırı bir uygulama gördüğünüz her yerde Kurul’a ihbarda bulunabilirsiniz.
Kişisel Verileri Koruma Kurumu bünyesinde hizmet veren 198 nolu hattan Alo Veri Koruma Hattı‘nı ücretsiz olarak arayıp bilgi almanız da mümkün. Kurul’un çalışmalara başladığı günden Ekim 2021’e kadar; 10.715 şikayet, ihbar ve başvuru arasından 8.767 tanesi sonuçlandırılıp, yapılan incelemeler sonucunda 57 milyon 408 bin TL idari yaptırım uygulandı.
Kişisel verilerimiz kişilik haklarımız üzerinde bir değer oluştuyor. Dolayısıyla kişisel verilerimizin gizlilik ve güvenliliğinin ihlali, kişilik hakkının ihlali sonucunu ortaya çıkarıyor. İşte bu noktada Türk Medeni Kanunu ve Türk Borçlar Kanunu bize doğrudan dava imkanı da sağlıyor. Kişilik hakkına yönelen saldırının durdurulması, önlenmesi, tespiti ve uğradığınız maddi veya manevi zararların tazmini için doğrudan hukuk mahkemeleri aracılığıyla da haklarınızı arayabilirsiniz.
Örneğin rızanız dışında, mail kutunuza gelen e-postanın başkaları tarafından açılması, sesinizin kaydedilmesi, sosyal medyada paylaştığınız fotoğrafların kullanılması veya adınıza sahte hesap açılması gibi durumları bu kapsamda düşünebiliriz.
İnternet ortamında kişisel verilerinizin gizliliği ihlal ediliyorsa, bu içeriklerle hızlıca mücadele imkanına sahipsiz. İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanuna göre; içerik sağlayıcısına, buna ulaşamaması hâlinde yer sağlayıcısına başvurarak uyarı yöntemi ile içeriğin yayından çıkarılmasını isteyebileceğiniz gibi doğrudan sulh ceza hâkimine başvurarak içeriğe erişimin engellenmesini de talep edebilirsiniz.
Örneğin basında veya sosyal medya platformlarında hakkınızda yanlış bilgiler paylaşılıyorsa, dilerseniz bunları paylaşan kişilere, bunlara ulaşmıyorsanız bu yazı vb. içeriğin yayınlandığı platform sahibine içeriklerin kaldırılması için başvurabilir ya da dilerseniz hiç bu başvurularla uğraşmadan doğrudan sulh ceza hâkimine vereceğiniz dilekçe ile söz konusu içeriğe erişimin engellenmesini de isteyebilirsiniz.
Bilgi Teknolojileri ve İletişim Kurumu’nun web sitesinde yayınlanan bu bağlantıda işlemlerin ne şekilde yapılacağı detaylı bir şekilde açıklanıyor.
Kişisel verilerimizin hukuka aykırı olarak işlenmesi Kişisel Verilerin Korunması Kanunu’nda yasaklanıyor ancak bazı hukuka aykırı veri işleme eylemleri de Türk Ceza Kanununa göre suç oluşturuyor.
Kişisel verilerimiz hukuka aykırı olarak kaydedilir, ele geçirilir, bir başkasına verilir, yayılır ya da gerekli sürelerin geçmiş olmasına rağmen silmekle yükümlü olan kişiler tarafından silinmezse, sorumlular hapis cezasıyla cezalandırılabilir. Bu suçlardan birinin mağduru olduğunuzu düşündüğünüzde size en yakın Cumhuriyet Başsavcılığı’na giderek şikayette bulunabilirsiniz.
Örneğin hukuka aykırı bir veri işleme faaliyeti; hem Kişsel Verileri Koruma Kurulu tarafından uygulanan idari para cezasına, hem ceza mahkemeleri tarafından verilen hapis cezasına, hem de zarar oluşması halinde hukuk mahkemeleri tarafından tazminata hükmedilmesine yol açabilir.
Bu konuda 2 şikayet hakkına sahipsiniz. Birincisi; şirketler reklam amaçlı e-posta ve SMS gönderimi ve arama yaparken sizin ad soyad, telefon numarası ve e-posta adresi gibi kişisel verilerinizi işliyor. Sizinle reklam ve pazarlama amacıyla hukuka uygun şekilde iletişime geçebilmeleri için kişisel verilerinizin işlenmesi noktasında sizi bilgilendirmiş ve onayınızı yani açık rızanızı almış olmaları gerekiyor. Bu onayı daha önce alışveriş yaparken, bir sözleşme imzalarken ya da internet sitesinde gezinirken vermiş olabileceğiniz gibi onayınız dışında da rahatsız ediliyor olabilirsiniz. Bu gibi durumlarda veri sorumlusu işletmelere başvurarak kişisel verilerinizin işlenip işlenmediği, hangi amaçlarda kullanıldığını ya da silinmesini talep edebilirsiniz. Bu başvuruyu yaptıktan sonra da Kişisel Verileri Koruma Kurulu’na sikayet.kvkk.gov.tr adresinden şikayette bulunabilirsiniz. Kurul ayrıca bu konuda çok önemli bir ilke kararı alıp, onaysız gönderim yapan herkesin derhal bu uygulamaya son vermesi gerektiğine karar vermişti. Kurul’un bu konuda uyguladığı sayısız yaptırım bulunuyor ve son derece ciddi idari para cezaları gündeme gelebiliyor.
İkinci olarak, izinsiz ticari elektronik ileti gönderimi Elektronik Ticaretin Düzenlenmesi Hakkında Kanunla da yasaklanıyor. Ticaret Bakanlığının Ticari Elektronik İleti Şikayet Sistemi’ne tiss.gtb.gov.tr adresinden giriş yapıp, onayınızı almadan size gönderim yapan şirketlere karşı sahip olduğunuz şikayet hakkını kullanabilirsiniz. Bu şikayet üzerine Ticaret Bakanlığına bağlı İl Ticaret Müdürlükleri idari para cezası uygulama yetkisine sahip.
Ayrıca artık ticari elektronik ileti gönderen gerçek ve tüzel kişiler, İleti Yönetim Sistemi kapsamında, sizden aldıkları izinleri bu sisteme yüklemek zorunda. Sisteme www.iys.org.tr üzerinden giriş yaptığınız takdirde izinlerinizi yönetebilir, izin verebilir veya vermiş olduğunuz izinleri geri alabilirsiniz.
Tüm bu kurallara rağmen onayınız olmadan hala sizi rahatsız etmeye devam eden, keyfi hareket eden gerçek ve tüzel kişilere karşı şikayet haklarınızı sonuna kadar kullanabilirsiniz.
Geçmişte yaşadığımız, başımıza gelen bir olay ya da bizimle ilgili herhangi başka bir içerik neredeyse artık her şeyi sorduğumuz arama motorlarında ve diğer dijital ortamlarda hala yayınlanıyor olabilir. Hukuka uygun ve doğru olarak yayılan bu bilgilerin aradan uzun zaman geçmiş olması ve güncelliğini yitirmiş olması halinde artık görülmelerini istemiyor olabiliriz. Geçmişimize ilişkin, üzerinden zaman geçmiş ve güncelliğini yitirmiş olan içeriklerin internet ortamından kaldırılmasını unutulma hakkı doğrultusunda talep etmemiz mümkün.
Konu hakkında Kişisel Verileri Koruma Kurulu’nun aldığıdı bu bağlantıdan ulaşabileceğiniz karara göre siz de şartları sağlıyorsanız bu haktan yararlanabilirsiniz.