İstanbul Barosu'na kayıtlı olan Avukat Mehmet Genç, mezun olduğu tarihten bu yana avukatlık mesleğini aralıksız olarak sürdürmektedir. İstanbul Barosu bünyesinde kurduğu avukatlık bürosuyla Ceza Hukuku, Miras Hukuku, Gayrimenkul Hukuku, Bilişim Hukuku başta olmak üzere birçok hukuk alanında avukatlık faaliyeti göstermektedir.
Devamını Oku
Kişisel verilerin hukuka aykırı olarak işlenmesi, aktarılması veya güvenliğinin sağlanamaması bir veri ihlali olarak kabul edilir.
Bu süreçte sorumluluğun kime ait olduğunu belirlemek, hukuki sürecin de başlangıcı olarak sayılabilir.
6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), verilerin korunması noktasında temel muhatap olarak veri sorumlusunu belirlemiştir.
Bu iki kavram birbirine sıklıkla karıştırıldığından, kanunda nasıl tanımlandıklarını gözden geçirmek faydalı olacaktır:
KVKK m. 3/1-ı: Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder.
KVKK m. 3/1-ı: Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi ifade eder.
İlgili maddelerden de anlaşılacağı üzere şikâyet ve tazminat süreçlerinde asıl muhatap, kanuni veri sorumlusu yükümlülüklerini yerine getirmekle mükellef olan veri sorumlusudur.
Veri işlemenin hukuka uygun olması için belirli şartlar gerekir. Veri sorumlusunun henüz veri toplama aşamasında aydınlatma metni ile kişiyi bilgilendirmesi zorunludur. Eğer kanundaki diğer istisnalar yoksa, kişiden açık rıza alınmalıdır. Bazı durumlarda ise kişinin temel haklarına zarar vermemek kaydıyla veri sorumlusunun meşru menfaati veri işlemeye dayanak olabilir; ancak bu dengenin iyi kurulması gerekir.
Kişisel verileri ihlal edilen bir kişinin doğrudan Kişisel Verileri Koruma Kurumu'na (KVKK) gitmesi mümkün değildir. Kanun, burada kademeli bir başvuru yolu öngörmüştür.
İlgili kişi, haklarının ihlal edildiğini düşündüğünde öncelikle veri sorumlusuna başvurmalıdır. Veri sorumlusu bu talebi en geç 30 gün içinde sonuçlandırmak zorundadır. Başvurunun reddedilmesi, yetersiz bulunması veya cevap verilmemesi durumunda, cevabı öğrendiği tarihten itibaren 30 ve her halde başvuru tarihinden itibaren 60 gün içinde Kişisel Verileri Koruma Kurulu'na şikâyet süreci başlatılabilir.
Kurula yapılacak şikayetlerde dilekçenin veya online başvuru modülünün kullanımı esastır. Başvuruda; veri sorumlusuna daha önce başvurulduğunu ve bu başvurunun ne zaman yapıldığını gösteren ispatlayıcı belgelerin, ihlale ilişkin somut kanıtların ve talebin açıkça belirtilmesi gerekir. Veri sorumlusuna gönderilen ihtarname veya alındı teyidi gibi başvuruyu doğrulayan belgelerin eksik olması durumunda, şikayetin Kurul tarafından usulden reddedilebileceği unutulmamalıdır.
KVKK m. 14/3 uyarınca, Kişisel Verileri Koruma Kurulu’na şikayet hakkı ile mahkemelerde tazminat davası açma hakkı birbirinden bağımsızdır. Kurul tazminata hükmedemez, sadece idari para cezası ve yaptırım uygular.
KVKK m. 14/3: Kişilik hakları ihlal edilenlerin, genel hükümlere göre tazminat hakkı saklıdır.
Verilerinin hukuka aykırı işlenmesi nedeniyle zarar gören kişi, Türk Borçlar Kanunu’nun haksız fiil hükümlerine dayanarak maddi ve özellikle manevi tazminat kapsamında talepte bulunabilir.
Verinin niteliği (özel nitelikli veri olması gibi) ve ihlalin yarattığı üzüntü, manevi tazminat miktarını belirlemede esastır.
(“Maddi ve Manevi Tazminat Nedir?” başlıklı makalemize buradan ulaşabilirsiniz.)
Tazminat davalarında görevli mahkeme asliye hukuk mahkemeleri olup, yetkili mahkeme ise davalının yerleşim yeri mahkemesidir.
İspat yükü kural olarak davacıdadır; ancak veri sorumlusunun veriyi hukuka uygun işlediğini ispat etmesi noktasında ciddi bir sorumluluğu bulunmaktadır.
Bir veri ihlali meydana geldiğinde, veri sorumlusunun hem idari makama hem de zarar görme ihtimali olan kişilere karşı bildirim yükümlülüğü doğar.
Veri sorumlusu, kendi sistemlerinde meydana gelen bir veri ihlali bildirimini, ihlali öğrendiği andan itibaren gecikmeksizin ve en geç 72 saat içinde Kurul’a yapmak zorundadır.
Kurul’un yanı sıra, ihlalden etkilenen kişilere de durumun bildirilmesi gerekir. Bu bildirim, ilgilinin kendi verileri üzerindeki kontrolünü sağlaması ve gerekli önlemleri alabilmesi açısından önemlidir.
Sistem giriş-çıkış kayıtları (loglar), ihlale dair ekran görüntüleri, veri sorumlusuyla yapılan yazışmalar ve ihtarname örnekleri mahkemede veya Kurul nezdinde en önemli delillerdir.
Veri sorumluları, kişisel verilerin güvenliğini sağladıklarını kanıtlamak için uluslararası standartlardan yararlanabilirler. Özellikle ISO 27701 Gizlilik Bilgi Yönetim Sistemi belgesine sahip olmak, kurumun veri koruma disiplinine sahip olduğunu gösteren önemli bir teknik delildir. Bunun yanı sıra, veri işleyenlerle imzalanan DPA (Veri İşleme Sözleşmeleri), olası bir ihlal durumunda sorumluluğun sınırlarını belirler ve idari denetimlerde veri sorumlusunun gerekli idari tedbirleri aldığını ispatlamasına yardımcı olur.
Birçok haklı dava ve şikâyet, usul hataları nedeniyle kaybedilmektedir. Dolayısıyla başvurudan dava sonuçlanana dek bunlara dikkat edilmesi davanın lehe sonuçlanması bakımından önem taşır.
En sık karşılaşılan hata, veri sorumlusuna başvurmadan doğrudan Kurul’a şikâyet yoluna gitmektir. KVKK m. 13 uyarınca veri sorumlusuna başvuru, Kurul’a şikâyet için bir başvuru önkoşuludur. Bu adım atlandığında Kurul kararı başvuruyu usulden reddedecektir.
Bazı işletmeler, her veri işleme faaliyeti için açık rıza almaya çalışır. Oysa bir sözleşmenin ifası için gerekli olan veri işlemede rıza değil, sözleşme şartına dayanılmalıdır. Yanlış hukuki sebebe dayanmak, aydınlatma yükümlülüğünün sakatlanmasına ve dolayısıyla ihlale yol açabilir.
Konu ile ilgili olarak "KVKK İhlalinde Bireysel Tazminat Davası Açma Rehberi" başlıklı yazımız da ilginizi çekebilir. Yazıya ulaşmak için başlığın üzerine tıklayabilirsiniz.