Kişisel Verilerin Korunmasına Genel Bir Bakış

Kişisel Verilerin Korunmasına Genel Bir Bakış AliHaydar DoğuKaradeniz TeknikÜniversitesi AnahtarKelimeler Kişisel Verilerin Korunmasına Genel Bir Bakış 096CD3AD31A5C7D6966BA44D0F9F762C GROBID - A machine learning software for extracting information from scholarly documents

Bilgi ve iletişim teknolojilerindeki hızlı gelişim, veri toplama ve bunları otomatik işleme tabi tutma kapasitesini artırmıştır. Öte yandan ticari hayatta da kişisel veriler önemli bir konuma gelmiştir. Bu değişimler bireyin özel hayat mahremiyetini savunmasız hale getirmiş ve beraberinde kişisel verilerin korunmasını zorunlu kılmıştır. Kişisel verilere koruma sağlayan 5237 sayılı Türk Ceza Kanunu, 5651 sayılı İnternet Kanunu ve diğer kanunların yanı sıra Nisan 2016 tarihinde yasalaşan 6698 sayılı Kişisel Verilerin Korunması Kanunu da bu konudaki özel bir kanun olarak hukuk sistemimiz içerisinde yerini almıştır. Kanun uygulayıcılarının kişisel verilerin işlenmesi ile oluşan ve karar vericilerin karar verme anlarını olumlu yönde etkileyen bilginin değeri ile kişisel mahremiyet arasında bir denge kurmaları büyük önem arz edecektir. Bu çalışmada, kişisel verilerin korunması hem kendi Kanunu hem de Türk Ceza Kanunu açısından incelenmiş, bireysel ve kurumsal sorumluluklar ortaya konmuştur. Konu, özellikle internet ortamındaki uyuşmazlıklara emsal teşkil eden yargı kararları ile de desteklenmiştir.

KİŞİSEL VERİ KAVRAMI

Gerek ulusal gerekse uluslararası mevzuata baktığımızda kişisel verilerle ilgili birbirlerine benzeyen tanımlar ile karşılaşmaktayız. 6698 sayılı Kişisel Verileri Koruma Kanunu kişisel veriyi; "kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi" olarak tanımlamıştır. KVKK, özel nitelikli kişisel veri ayrımı da yaparak "kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri" özel nitelikli kişisel veri olarak saymıştır. Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır (KVKK m. 6).

TC numarası, en sevdiği yemeğin adı, kredi kartının asgari ödeme tutarı, transkript not ortalaması, ırkı, kullandığı ilacın adı, babasının geçirdiği ameliyat, elektrik faturasının miktarı, IP numarası, biyometrik özellikleri, kanındaki şeker miktarı, aldığı disiplin cezası, saçının rengi gibi kişiye ait her tür bilgi o kişinin kişisel verisidir. Kişi; adı ya da TC numarası ile doğrudan belirli olsa da bu bilgileri olmadan da diğer yardımcı araçlarla belirlenebiliyor ise o kişiye ait her tür bilgi kişisel verisidir. Örneğin bir işyerinde "sarışın ve Trabzonsporlu" ifadesi kullanıldığında kişinin kim olduğu belirlenebiliyor ise doğrudan isim belirtilmesine gerek yoktur. KVKK'nın kişisel veri tanımını üç unsur oluşturmaktadır. Bunlar; belli ya da birkaç yardımcı araç yardımcıyla kolayca belirlenebilen bir kişinin varlığı, bu kişiye ait bilginin belirtilmiş olması ve bu bilgilerin o kişiyle irtibatlı olmasıdır [2:28]. Örneğin kişiye ait e-posta adresi, onun kişisel verilerinden biridir ve haberleşme özgürlüğü kapsamında özel hayatının bir parçasıdır [3:24].

Verilerin, kişinin ekonomik, kültürel, sosyal veya psikolojik kimliğini ifade eden somut bir içerik taşıması veya kimlik, vergi, sigorta numarası gibi herhangi bir kayıtla ilişkilendirilmesi sonucunda kişinin belirlenmesini sağlayan tüm halleri kapsar. İsim, telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, genetik bilgiler, e-posta ve bilgisayarının IP adresi, facebook veya twitter ortamında yazdıkları gibi veriler dolaylı da olsa kişiyi belirlenebilir kılabilme özellikleri nedeniyle kişisel verilerdir [4:9].

KİŞİSEL VERİLERİN KORUNMASI KANUNU (KVKK)

Maddesinden sözü edilen kişisel verilerin, gerçek kişilere ait olan veriler olduğu anlaşılmaktadır. Bir başka deyişle Kanun ile sadece gerçek kişilerin verilerinin koruma altına alınacağı görülmektedir. Ancak TMK'nın, başlı başına bir varlığı olmak üzere örgütlenmiş kişi topluluğu olarak tanımladığı tüzel kişilere ait verilerde bir gerçek kişiyi ifade edebilir ve bu durumda KVKK kapsamında değerlendirilebilir [6:91]. Kişisel veriler sadece bireyin adı, soyadı, doğum tarihi ve doğum yeri gibi kişinin kesin teşhisini sağlayan bilgiler değil, aynı zamanda kişinin akli, psikolojik, fiziki, kültürel, ekonomik, sosyal ve sair özelliklerine ilişkin verilerdir. Kişinin belirli veya belirlenebilir olması, mevcut verilerin herhangi bir şekilde bir gerçek kişiyle ilişkilendirilmesi suretiyle, o kişinin tanımlanabilir hale getirilmesini ifade eder. Bir başka deyişle eldeki bilgi kişiyi belirlemede yeterli oluyor ise bu bilgiler kişisel veridir [7:1095]. Örneğin 5651 sayılı İnternet Kanunu'na göre yer sağlayıcı işletme, yer sağladığı hizmetlere ilişkin trafik bilgilerini bir yıldan az ve iki yıldan fazla olmamak üzere yönetmelikte belirlenecek süre kadar saklamakla ve bu bilgilerin doğruluğunu, bütünlüğünü ve gizliliğini sağlamakla yükümlüdür. O halde yer sağlayıcılık hizmeti veren bu işletmenin veri imha politikasında 5651 sayılı Kanun belirleyici olacaktır. Bilgi ve iletişim teknolojilerindeki hızlı gelişim, veri toplama ve bunları otomatik işleme tabi tutma kapasitesini artırmıştır. Öte yandan ticari hayatta da kişisel veriler önemli bir konuma gelmiştir. Bu değişimler bireyin özel hayat mahremiyetini savunmasız hale getirmiş ve beraberinde kişisel verilerin korunmasını zorunlu kılmıştır. 2010 yılındaki Anayasa değişikliği ile güvence altına alınan kişisel veriler için Nisan 2016 tarihinde yürürlüğe giren Kişisel Verilerin Korunması Kanunu (KVKK) kişisel veri tanımı yaparak bu konudaki belirsizliği ortadan kaldırmıştır. 6698 sayılı KVKK ile Türkiye, kişisel veri güvenliği ve bunun doğal bir sonucu olarak da özel hayatın gizliliğinin daha da güçlendiği güvenli bir ülke olma yolunda önemli bir adım atmıştır. KVKK ile yeni bir Kurum ve Kurul idari yapı içerisinde yerini alarak kamu, özel sektör ve gerçek kişilerin veri işlemelerinden doğacak sorumluluklarını ortaya koymuştur. KVKK'nın veri işleyen gerçek ve tüzel kişiler için öngördüğü sorumluluklara bakıldığında veri sorumlusu olarak adlandırılacak olan bu kişilerin hem hukuk hem de bilişim yönünden hazırlıklı olmalarının gerektiği ortaya çıkmaktadır. Veri sorumluları, tüm iş süreçlerini tanımlayacak ve gereken prosedürler hazırlanacaktır. Bu prosedürler içinde ne tür verilerin tutulduğu, kime ait verilerin tutulduğu, ne kadar süre ile tutulduğu, veri güvenliğinin nasıl sağlandığı ve verilerin kimlerle paylaşıldığının açıklanması gerekecektir. KVKK ile tanımlanan işlemlerin detayları ve sahada nasıl uygulama bulacağı; yine bu Kanuna dayanılarak çıkarılmış olan Kişisel Verileri Koruma Kurulu Çalışma Usul ve Esaslarına Dair Yönetmelik, Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik, Veri Sorumluları Sicili Hakkında Yönetmelik (Taslak) ile ifade edilmektedir. Gerek KVKK gerekse ikincil mevzuatın ortak amacı, kişilerin özel hayatlarını ve haklarını güvence altına almaktır. Böylece kişiler ayrımcılık tehlikesindenyapılmadan hafızada tutulması, başka bir üçüncü açısından bakıldığında fail hekim, hemşire, hasta özellikleri ve bu hakkın insan haklarıyla arasındakidışında kullanılmasından veya herhangi bir şekilde [14:135] yok edilir [4:228]. Kayıtların silinmemesi bitiminden itibaren yok edilmesini talep etme hakkıkişiye anlatılması bir kaydetme işlemi değildir bakacı, eczacı ve benzeri sağlık çalışanlarıdır [15:15]. ilişkisi dikkate alındığında; yalnızca dijital ortamdakiKanun ile sadece gerçek kişilerin verileri üçüncü şahısların eline geçerek hukuka aykırı olarak durumunda ise "verileri yok etmeme suçu" vardır [4:132]. İşinden ayrılarak yeni bir iş başvurusu[10:132]. Bu eylem TCK m.135 yerine özel hayatın Yukarıda yer alan suçların; bir kamu görevlisi kişisel veriler için değil, kamunun kolaycakorunmaktadır. Kanun, kişisel veriye temas eden, yararlanılmasından dolayı hakkında bilgi toplanan oluşacaktır [13:182]. yapan işçinin eski işyerinde tutulan kişisel verileri,gizliliğini ihlal suçu kapsamında değerlendirilecektir tarafından ve görevinin kendisine tanıdığı yetkiyi ulaşabileceği yerde tutulan kişisel verilere yönelikişleyen, depolayan özel ve tüzel kişilerin uyması kişiler büyük zararlara uğrayabilmektedirler. Bu işçinin rızası olmadan yani eski işyerini referans[11:136]. kötüye kullanarak işlenmesi, belli bir meslek ve olarak da kabul edilmesi gerektiği açıktır. Davacı,gereken kuralları, veri toplama ve işleme bakımdan, kişilerle ilgili bilgilerin hukuka aykırı Sosyal medya hesabından kişisel verilerini paylaşan olarak belirtmeden yeni başvurduğu işyeri ilesanatın sağladığı kolaylıktan yararlanarak işlenmesi geçmişte yaşadığı kötü bir olayın toplumsüreçlerinde yapmaları gerekenleri düzenlemektedir. olarak kayda alınması suç olarak tanımlanmıştır. kişi verisini artık aleni hale getirmiştir. Başkası paylaşılamaz [8:285].Kişisel verilerin kayıt edilmesi suçunun oluşması için halinde suç nitelikli hal kazanacağından dolayı hafızasından silinmesini istemektedir. UnutulmaKişisel verilerin korunmasının temel amacı, kişinin tarafından bu verinin kayıt edilmesine artık rızaherhangi bir süre söz konusu değildir. Verinin ne verilecek cezalar yarı oranında artırılır. Kişilerin hakkı ile geçmişindeki yaşanan talihsiz bir olayın6698 sayılı Kişisel Verilerin Korunması Kanunu, özel hayatının gizliliğini güvence almak suretiyle göstermiş sayılır. Böylece kişisel verilerin Eser niteliği olmasa bile mektup, hatıra ve günlükİç hukukumuzda yakın tarihe kadar kişisel verilerin korunması; mevcut Anayasamız, 4721 sayılı Türk Medeni Kanunu 5237 sayılı Türk Ceza Kanunu çerçevesinde yürütülmekte idi [8:277]. 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun (KVKK) 07.04.2016 tarihinde Resmi Gazete 'de yayımlanması ile bu konuda artık bir özel kanunumuz oldu. Kişisel verilerin korunmasına yönelik ayrıca, 4857 sayılı İş Kanunu, 5070 sayılı Elektronik İmza Kanunu, 1512 sayılı Noterlik Kanunu ile Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğin Korunması Hakkında Yönetmelik gibi özel düzenlemeler de mevzuatımız içerisinde yer almaktadır. 2010 yılında yapılan Anayasa değişikliği referandumu ile Anayasamızın 20. maddesinde yer alan "Özel Hayatın Gizliliği" başlığı altında kişisel verilerle ilgili fıkra eklenmiştir. Buna göre herkes; kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir" [5:86]. Bilgi ve iletişim teknolojilerindeki hızlı gelişim veri toplama ve bunları otomatik işleme tabi tutma kapasitesini olukça artırmış ve bunun sonucunda da bireylerin özel hayat mahremiyetleri savunmasız hale gelmiştir. Ticari hayatta da kişisel verilerin önemli bir konuma gelmesiyle kişisel verileri koruyabilme adına 6698 sayılı Kişisel Verileri Koruma Kanunu Nisan 2016 tarihinde yasalaşmıştır. Kişisel verilerin Korunması Kanunu'nun temel amacı kişinin hak ve özgürlerini korumaktır. Bu koruma, bireyin ayrımcılık tehlikesi ile karşı karşıya kalmaması içindir. anlatıldığı 2. 6698 sayılı Kişisel Verilerin Korunması Kanunu, bu gerçek ve tüzel kişilere verilerin korunmasına yönelik bazı sorumluluklar yüklemiştir. Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiler bu Kanun kapsamında "veri sorumlusu" olarak tanımlanmaktadır (KVKK m. 3). Herkes, veri sorumlusuna başvuru yaparak kendisi ile ilgili veri kaydı olup olmadığını var ise neler olduğunu ve ne amaçla kullanıldıklarını öğrenme hakkına sahiptir. Bir başka ifade ile gerçek ya da tüzel kişiler, ilgili kişileri aydınlatma yükümlülüğü altındadır. Veri sorumlusu ayrıca kendi sorumluluğu altındaki verilere hukuka aykırı olarak erişimi ve bu verilerin hukuka aykırı olarak işlenmesini önlemek zorundadır. Veri sorumlusu, kendi kurum ve kuruluşunda, KVKK hükümlerini sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır. Veri sorumluları, kişisel verilere yönelik gelen talepleri en geç otuz gün içerisinde yazılı ya da elektronik ortamda ilgili kişiye bildirir (KVKK m. 13). KVKK'ya uyum sürecinde ister kamu kurum ve kuruluşları olsun isterse özel sektör kuruluşları olsun kişisel verilerin korunması kapsamında ilk yapılması gereken tutulmakta olan kişisel verilere ait bir "veri envanteri" hazırlamak olmalıdır. Bu envanter içerisinde;  Kişisel verilerin işlenme amacı,  Verilerin kategorisi,  Verilerin aktarıldığı gerçek ya da tüzel kişi kategorisi,  Kişisel verinin an fazla ne kadar süre saklanacağı,  Hangi verilerin yurtdışına aktarıldığı,  Veri güvenliği için hangi yöntem ve tedbirlerin alındığı, açıklanmalıdır[18]. KVKK ile kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir. Kanunun kapsamının korumaya yönelik kişilere bazı başvuru yollarını açmıştır. Şöyle ki; herkes, veri sorumlusuna başvurarak kendisiyle ilgili;  Kişisel veri işlenip işlenmediğini öğrenme,  Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,  Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,  Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,  Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,  Kişisel verilerin silinmesini veya yok edilmesini isteme,  Kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,  İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,  Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme, haklarına sahiptir. 3. KİŞİSEL VERİLERİN TÜRK CEZA KANUNU (TCK) KAPSAMINDA KORUNMASI Çağımızda kişilerle ilgili kayıtların bilgisayar ortamlarına geçirilip muhafaza edilmesi uygulamasına bazı kurum ve kuruluşlar tarafından başvurulmaktadır; hastanelerde hastalara, sigorta şirketlerinde sigortalılara, bankaların ve kredili alış veriş yapılan mağazaların müşterilerine ilişkin kayıtlar, böylece tutulmaktadır. Bu bilgilerin amaçları kişiyi korumaktır [Yargıtay HGK, 16.06.2015, 2014/4-56 E., 2015/1679 K.579.]. 6698 sayılı KVKK'nın beşinci bölümünde "Suçlar ve Kabahatler" hükme bağlanarak Türk Ceza Kanunu'na gönderme yapılmıştır. Buna göre; Kişisel verilere ilişkin suçlar bakımından 5237 sayılı Türk Ceza Kanununun 135 ila 140. madde hükümleri uygulanacaktır. KVKK'nın 7. maddesi hükmüne aykırı olarak; kişisel verileri silmeyen veya anonim hâle getirmeyenler 5237 sayılı Kanunun 138. maddesinde yer alan "Verileri Yok Etmeme" suçu ile cezalandırılacaktır. KVKK'nın gönderme yaptığı TCK 'da bu konuda yer alan madde kapsamına (m. 135) göre; (1) Hukuka aykırı olarak kişisel verileri kaydeden kimseye bir yıldan üç yıla kadar hapis cezası verilir. (2) Kişisel verilerin, kişilerin siyasi, felsefi veya dini görüşlerine, ırki kökenlerine; hukuka aykırı olarak ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin olması durumunda birinci fıkra uyarınca verilecek ceza yarı oranında artırılır. Yukarıdaki madde kapsamından görüleceği gibi, "kişilerin siyasi, felsefi veya dini görüşlerine, ırki kökenlerine" ait bilgilerin kayıt altına alınması hukuka uygunluk sebeplerinden faydalanamamaktadır. Yani bu tür bilgilerin kaydı her durumda hukuka aykırı olacağı yorumu yapılabilir [8:288]. Öte yandan kişisel verilerin bilişim ortamlarına ya da kâğıt üzerine kayıt edilmeleri arasında fark bulunmamaktadır[8:289]. Kişisel verilerin kaydedilmesi suçunun işlenebilmesi için fail tarafından yapılan bir eylemin olması ve bu eylem sonucunda da bir kişisel verinin kaydı gerekir. Kayıt altına alınan verilerin sonradan hiç kullanılmadan yok edilmesi ya da işe yaramaz olarak nitelendirilmesi suçun işlenmiş olduğu gerçeğini ortadan kaldırmaz [9:96]. TCK m. 135'de bahsi geçen kişisel verinin kaydı, sabit disk, flash bellek ve benzeri donanımlar içerisine yapılabileceği gibi bir kağıt deftere de yapılabilir. Öte yandan kişisel verinin öğrenilmesi ancak kaydının kadar kayıt altında tutulacağı ya da kaydın devam edip etmeyeceği gibi süreler suçun oluşması için aranan bir unsur değildir. Öte yandan kayıt edilen veri nedeniyle mağdurun bir zarara uğrayıp uğramayacağı önemli değildir [10:133]. Kişiye ait verilerin, "ileride bir gün işimize yarar" mantığı ile kayıt altına alınması [8:198] ve arşivlenmesi o kişinin hem maddi hem de manevi bütünlüğünün ihlali anlamını taşır [4:132]. Bu ihlalin, KVKK m.7'ye göre çözüme kavuşabileceğini düşünmekteyiz. Şöyle ki; gerek KVKK gerekse diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinecek, yok edilecek veya anonim hâle getirilecektir. Öte yandan kişisel veri kayıtlarının bir amaç için yapılacağı tartışmasız olup bu amaca paralel olarak kaydın sınırlarının ne olacağı, herhangi bir ihlalin doğmaması için önemlidir. Örneğin, bir otobüs firmasına ait ofisin güvenliği için konulan güvenlik kameralarının ofis dışına taşarak karşı kaldırımdan da görüntü alması başlangıçta belirlenen amacın dışına çıkılması yani fazla veri kaydı yapması anlamındadır [4:133]. İstatistik amacı ile bir ürünün kaş kişi tarafından kullanıldığı konulu bir araştırmada ürünü kullananların kim olduğu ve hangi işlerle meşgul oldukları gibi verileri de toplamaya çalışmak veri toplama amacının dışına çıkılması anlamındadır [12:112]. Kişisel verinin kayıt altına alınmasının hukuka uygunluk sebeplerinden biri de bir başka kanun hükmünün yerine getiriliyor olmasıdır. Örneğin, CMK' ya göre hakim, mahkeme veya gecikmesinde sakınca bulunan hallerde Cumhuriyet savcısının kararı ile şüpheli ya da sanığa ait fotoğraf, parmak ve avuç içi izi, beden ölçüleri, sesi ve görüntüsü kayda alınarak soruşturma ve kovuşturmasına ait olan dosyasına konulabilir. Öte yandan sanık ya da şüpheli hakkında beraat ya da ceza verilmesine yer olduğumuz kayıtlar Cumhuriyet savcısının huzurunda faili herkes olabilir. Örneğin Tıp Ceza Hukuku verilerin, mevzuatın belirlediği zorunlu sürelerin kadar dijital veriler için düzenlenmiş ise de, bu hakkın kesinleşmesinin ardından yukarıda belirtmiş hukuki yarar özel hayat ve kişilik haklarıdır. Suçun hakkında çalıştığı süre zarfında tutulmuş olan "Unutulma hakkı tanımlarına bakıldığında her ne olmadığına dair kararlar verilmesi ve bu kararların kaydedilmesi suçu bir hukuka uygunluk sebebinden yararlanır ve suç oluşmaz [10:147]. Sosyal medya hesabında kendi grubu içerisinde kişisel verisini paylaşan kişinin bu eylemi karşısında verinin aleniyet özelliği kazanmadığı, belli bir kişi topluluğu ile paylaşıldığı düşüncesinde olan görüşlerde bulunmaktadır. Ancak biz bu görüşe katılmamaktayız. İnternet ortamı, 5651 sayılı Kanunda belirsiz sayıda kişinin yer aldığı bir ortam olarak tanımlandığı gibi emsal Yargıtay kararlarında da bu tanım desteklenmektedir. Emsal kararda Yargıtay; "Müştekilerin sanığın takipçisi olmadıkları halde sanık tarafından yazılan yazıları öğrenip şikayette bulunmalarını, twitter üzerinden yapılan yayınların aleni olmasından kaynaklandığına vurgu yaparak hüküm kurmuştur" [Yargıtay 8. CD, 12.10.2015 tarih, 2014/35434 E., 2015/22535 K.]. O halde Facebook ve Twitter gibi sosyal medya hesabından kişisel verisini paylaşan kişi bu verisini kamuoyuna açıklamıştır. Bu verinin mülkiyet hakları saklı kalmak kaydıyla işlenmesine rıza göstermiş sayılmalıdır. Özel hayatın gizliliği noktasında kamusal alan kavramı önemli bir yere sahiptir. Kamusal alanda bulunan bir kişi, bu alana gitmekle zaten etrafındakiler tarafından görülür olacağını önceden kabullenmiştir. Ancak bu kabullenme bir başka deyişle rıza, kendisinin bir kayıt aracı ile izlenmesi, görüntülerinin ya da sesinin kayıt altına alınarak her zaman için kullanılabilir konuma getirilmesine göstereceği bir rıza değildir. Kişi kamusal alanda sadece o anda orada bulunanlar tarafından görülebilecekken yapılan bu kayıt ile olayın boyutları genişleyecektir. O halde kamusal alan dahi olsa herhangi bir hukuka uygunluk nedeni yok iken kişinin kayıt altına alınması TCK m. 135'te belirtilen kişisel verilerin kayıt edilmesi suçunun oluşmasına neden olacaktır [9:103]. TCK m.136'ya göre ise; Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, iki yıldan dört yıla kadar hapis cezası ile cezalandırılır. Kişisel verilerin hukuka aykırı olarak açıklanması ile bireyin özel hayatına müdahale olduğundan korunan sosyal medya paylaşımlarından ya da web sitelerinde kendileri ile ilgili yayınladıkları verilerin başka kişiler tarafından oradan alınması durumu, veriler üzerindeki tasarruf hakları saklı kalmak kaydıyla veriyi ele geçirme eylemine bir suç niteliği kazandırmaz [9:135]. Yargıtay, telefon arama kaydı dökümlerinin ele geçirilerek diğer şahıslara gönderilmesi olayında, dökümlerde konuşma ve mesaj içeriklerinin yer almaması nedeniyle işlenen suçun özel hayatın gizliliğini ihlal değil kişisel verileri verme veya ele geçirme suçu olduğuna hükmetmiştir. Kararda özetle; "Katılan ve tanık beyanları dikkate alındığında, mahkemece sanığın eyleminin sabit görülmesinde bir isabetsizlik görülmemiş ancak; sanığın, katılan ve dava dışı eski eşi Ş. arasında gerçekleşen arama kaydı dökümlerini katılanın akrabalarına göndermesi eyleminde, arama kaydı dökümlerini, katılanın ve dava dışı Ş'nin yaptıkları aramalarla kendilerini arayan numaralara ilişkin tarih, saat ve süre bilgilerini içermesi ve bu iki kişi arasında gerçekleşen konuşma veya mesajlaşma içeriklerine ilişkin bilgi bulunmaması karşısında, sanığın eyleminin haberleşmenin gizliliğini ihlal suçunu değil, verileri hukuka aykırı olarak verme veya ele geçirme suçunu oluşturduğu gözetilmeden suçun vasfında yanılgıya düşülerek karar verilmesi isabetsizdir" ifadelerine yer verilmiştir [Yargıtay 12. CD, 16.02.2015, 2014/22994 E., 2015/2630 K.]. Kişinin resmini kişisel veri olarak kabul eden Yargıtay, bu resmi herhangi bir hukuka uygunluk sebebi olmadan N. E. Adlı Facebook hesabından başkalarının görgüsüne sunan sanığın bu eyleminin genel kastla işlenen verileri hukuka aykırı olarak verme veya ele geçirme suçu olduğuna hükmetmiştir [Yargıtay 12. CD, 12.4.2017 tarih, 2015/13248 E., 2017/3108 K.]. Polis Vazife ve Salahiyetleri Kanunu'nun 5. maddesine göre sisteme kayıt edilmiş olan parmak izi ve fotoğraf, kişinin ölümünden itibaren 10 yıl ve her halde kayıt tarihinden itibaren 80 yıl geçtiğinde silinir [14:135]. Bir işçinin, ayrıldığı işverenine başvurarak kendisi gibi özel yazılar ancak sahibinin izni ile yayımlanabilir. Aksi durumda kişilik haklarının ihlali ve kişisel verilerin ifşası sebep olarak gösterilerek TCK m. 132 ve m. 133 hükümleri uygulanacaktır [16:127]. Yargıtay bir kararında, mağdur tarafından daha önce internette yayımlanan ve mağdurun günlük kıyafetleriyle poz vermiş şekilde çektirdiği resmi, mağdurun başkalarının görmesini ve bilmesini istemeyeceği özel yaşam alanına dair bir görüntü olarak kabul edilemeyeceğinden, mağdurun kişisel veri niteliğindeki resmini, hukuka uygunluk nedenlerinin bulunmaması sebebiyle hukuka aykırı olduğunda tereddüt bulunmayan bir yöntemle sahte Facebook hesabı üzerinden yayımlayan sanığın eylemini, TCK'nın 136/1. madde ve fıkrasında tanımlanan verileri hukuka aykırı olarak verme veya ele geçirme suçu olarak değerlendirmiştir (Yargıtay 12. CD, 1.2.2017 tarih, 2015/11112 E., 2017/637 K. -Kazancı İçtihat Bilgi Bankası). Kişisel verilerin korunması zamanla bireyin unutulmayı isteme talebini de sağlayacaktır. Bilgi ve iletişim teknolojisindeki gelişmeler karşısında kişinin yıllar önce yaşadığı bir olay internet arşivlerinde durmaya devam edebilmektedir. İnternet ortamı ile kişinin unutulmayı isteme hakkı ortadan kalkmaktadır [17:162]. Unutulma hakkı ile kişi; hukuka aykırılığı ortadan kaldıran bir sebep bulunmadığı sürece internet ya da diğer ortamlarda yer alan geçmişte yaşamış olduğu olumsuz olayların zamanla unutulmasını, kişisel verilerinin başkaları tarafından bilinmemesi için kayıtlardan silinmesini ve artık kitle iletişim araçları ile yayılmasının engellenmesini isteyebilir [Yargıtay HGK, 17.06.2015, 2014/4-56 E., 2015/1679 K.] Gerek unutulma hakkı gerekse kişisel verilerin korunması hakkının temelinde kişinin kişisel verileri üzerinde serbestçe tasarruf edebilmesi, geçmişe takılıp kalmadan ileriye yönelik plan yapabilmesi, kişisel verilerin kendisi aleyhine kullanılmasının önlenmesi yer almaktadır. Unutulma hakkına ilişkin Yargıtay Hukuk Genel Kurulu emsal kararında şu ifadelere yer vermiştir; unutularak geleceğini serbestçe şekillendirmek, diğer bir deyişle hayatında, yeni bir sayfa açma olanağı istemektedir. Kaldı ki, davacı da yargılama sırasında verdiği dilekçelerinde bu istem üzerinde ısrarla durmuştur. Davacı unutulma hakkı ile özel hayatına ilişkin kişisel verilerinin üçüncü kişiler tarafından bilinmemesini, aradan geçen süre nedeniyle toplum hafızasından silinmesini istemektedir" (Yargıtay HGK, 17.06.2015 tarih, 2014/4-56 E., 2015/1679 K. -Kazancı İçtihat Bilgi Bankası). TCK'nın 138. maddesine göre; kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlara görevlerini yerine getirmediklerinde bir yıldan iki yıla kadar hapis cezası verilmektedir. Verilerin yok edilmesine yönelik 6698 sayılı KVKK'ya dayanılarak "Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmelik" çıkarılmıştır [Resmi Gazete Tarihi: 28.10.2017 Resmi Gazete Sayısı: 30224]. TCK kapsamında herhangi bir kanunun emrettiği sürelere göre verilerin yok edilmesi hükme bağlanmış olmasına karşın bu yeni Yönetmeliğe göre kurum ve özel işletmelerin veri saklama ve imha (silme, yok etme, anonim hale getirme) politikaları oluşturması gerekecektir. Bir başka ifade ile veri sorumluları, işledikleri kişisel verilerin kayıt edilme sebepleri ortadan kalktığında silinmesi ve yok edilmesi ile ilgili yeni yaklaşımlar ve araçlar tanımlamak zorundadır. Bu yeni yaklaşım; silme, yok etme ve anonim hale getirmeyi içerecektir. Uygulamada ise araç olarak; veri saklama ve imha politikasının tanımlanması ile verilerin saklanma sürelerinin tespiti kullanılacaktır. Bu işlemlerin doğal sonucu olarak veri sorumlusu, kişisel verilerin imhasına yönelik periyodik bir imha -takvimi belirleyecektir. Yönetmelik en fazla altı aylık süreyi öngördüğünden bu periyot yılda en az iki olacaktır. Örneğin, işletmesine ziyaretçi olarak gelen ya da iş başvurusu yapan kişilerin verilerini kayıt eden veri sorumlusu bu verileri ne zaman yok edeceğini belirleyecektir. Veri imha politikası oluşturulurken özel kanunlardan kaynaklanan veri yok etme süreleri öncelikli olacaktır. 4.SONUÇ

uzaklaştırılacak, Türkiye kişisel veriler bakımından güvenilir bir ülke haline gelecektir.

Bu hedeflere ulaşabilmek için temelde yapılması gereken faaliyet, kişisel veri kavramının anlatılması ve gerekeli farkındalığın oluşturulmasıdır. 5018 sayılı Kamu Mali Yönetimi ve Kontrol Kanununa tabi kurumlarda tüm iş süreçlerinin tanımının yapılmış olduğu iç kontrol sisteminin varlığı nedeni ile KVKK'nın uygulanmaya başlandığı bu ilk dönemde kamu kurumları daha avantajlı olacaktır.

ÖZGEÇMİŞ -Ali Haydar DOĞU

İlk, orta ve lise eğitimini Trabzon'da tamamlamıştır. Mühendislik ve Hukuk alanında yüksek lisans derecelerine sahip olup Karadeniz Teknik Üniversitesi İktisadi ve İdari Bilimler Fakültesi İşletme Bölümünde öğretim görevlisi olarak görev yapmaktadır. KTÜ'de halen değişik bölümlerde temel bilgi teknolojileri, bilişim hukuku, yönetim bilgi sistemleri, iletişim hukuku ve internet hukuku derslerini vermektedir.

Türkiye Bilişim Derneği Ankara Şubesi üyesidir.

İbrahimKorkmaz Kişisel Verilerin Korunması Kanunu Hakkında Bir Değerlendirme

Ankara

2016 124 FurkanGüven Taştan Türk Sözleşme Hukukunda Kişisel Verilerin Korunması

İstanbul

2017 <author> <persName><forename type="first">Ali</forename><surname>Haydar</surname></persName> </author> <author> <persName><forename type="first">Doğu</forename></persName> </author> <author> <persName><forename type="first">Bilişim</forename><surname>Hukuku</surname></persName> </author> <imprint> <date type="published" when="2017">2017</date> <pubPlace>Bursa</pubPlace> </imprint> </monogr> </biblStruct> <biblStruct xml:id="b3"> <monogr> <author> <persName><forename type="first">Aydın</forename><surname>Akgül</surname></persName> </author> <title level="m">Danıştay ve Avrupa İnsan Hakları Mahkemesi Işığında Kişisel Verilerin Korunması

İstanbul

2014 Çevrimiçi Davranışsal Reklamcılık Uygulamaları Özelinde Kişisel Verilerin Korunması LeylaKeser Berber 2014 İstanbul İbrahimKorkmaz Kişisel Verilerin Korunması Kanunu Hakkında Bir Değerlendirme

Ankara

2016 124 <author> <persName><forename type="first">Doğan</forename><surname>Kılınç</surname></persName> </author> <author> <persName><forename type="first">Anayasal</forename><surname>Bir Hak</surname></persName> </author> <author> <persName><forename type="first">Olarak</forename><surname>Kişisel</surname></persName> </author> <author> <persName><forename type="first">Verilerin</forename><surname>Korunması</surname></persName> </author> </analytic> <monogr> <title level="j">Ankara Üniversitesi Hukuk Fakültesi Dergisi 61 3 2012 <author> <persName><forename type="first">Elif</forename><surname>Küzeci</surname></persName> </author> <author> <persName><forename type="first">Verilerin</forename><surname>Kişisel</surname></persName> </author> <author> <persName><surname>Korunması</surname></persName> </author> <imprint> <date type="published" when="2010">2010</date> <pubPlace>Ankara</pubPlace> </imprint> </monogr> </biblStruct> <biblStruct xml:id="b8"> <monogr> <author> <persName><forename type="first">Hale</forename><surname>Akdağ</surname></persName> </author> <title level="m">Türk Ceza Kanunu Kapsamında Kişisel Verilerin Korunması

Ankara

2013 Kişisel Verilerin Kaydedilmesi Suçu SedatErdem Aydın 2015 İstanbul BatuhanAktaş Özel Hayatın Gizliliğini İhlal Suçu

İstanbul

2017 Özel Yaşamın Bir Parçası Olarak Telekomünikasyon Yoluyla Yapılan İletişimin Gizliliğine Önleyici Denetimle Müdahale SaadetYüksel 2012 İstanbul BahriÖztürk /Behiye EkerKazancı /Sesim SoyerGüleç ;Hukukunda KorumaTedbirleri Ceza Muhakemesi

İstanbul

2013 <author> <persName><forename type="first">Yener</forename><surname>Ünver/Hakan</surname></persName> </author> <author> <persName><forename type="first">Ceza</forename><surname>Hakeri</surname></persName> </author> <author> <persName><surname>Muhakemesi Hukuku</surname></persName> </author> <imprint> <date type="published" when="2013">2013</date> <publisher>Baskı</publisher> <biblScope unit="volume">9</biblScope> <pubPlace>Ankara</pubPlace> </imprint> </monogr> </biblStruct> <biblStruct xml:id="b14"> <analytic> <title level="a" type="main">Tıp NizamettinAydın ;Ceza HukukundaVerileri HukukaAykırı OlarakVerme VeLe GeçirmeSuçu Selçuk Üniversitesi Hukuk Fakültesi Dergisi 21 2 2013 Cilt <author> <persName><forename type="first">Sami</forename><surname>Karahan</surname></persName> </author> <author> <persName><forename type="first">/Cahit</forename><surname>Suluk</surname></persName> </author> <author> <persName><forename type="first">/</forename><surname>Tahir Saraç/Temel Nal</surname></persName> </author> <author> <persName><forename type="first">Fikri</forename><surname>Mülkiyet</surname></persName> </author> <author> <persName><forename type="first">Hukukunun</forename><surname>Esasları</surname></persName> </author> <imprint> <date type="published" when="2013">2013</date> <pubPlace>Ankara</pubPlace> </imprint> </monogr> </biblStruct> <biblStruct xml:id="b16"> <monogr> <title/> <author> <persName><forename type="first">Kemal</forename><surname>Gözler</surname></persName> </author> <author> <persName><forename type="first">İnsan</forename><surname>Hakları Hukuku</surname></persName> </author> <imprint> <date type="published" when="2017">2017</date> <pubPlace>Bursa</pubPlace> </imprint> </monogr> </biblStruct> <biblStruct xml:id="b17"> <monogr> <author> <persName><surname>Murat Volkan Dülger</surname></persName> </author> <author> <persName><forename type="first">Verilerin</forename><surname>Kişisel</surname></persName> </author> <author> <persName><surname>Silinmesi</surname></persName> </author> <ptr target="5502.html" /> <title level="m">Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmelik 17.11. 2017 Getirdikleri Ve Dikkat Edilmesi Gereken Hususlar