Konuk yazarımız Av. Seval Sönmez Durmuşoğlu kurucusu olduğu ticaret ve bilişim odaklı hukuk bürosunda avukatlık hizmetleri vermektedir.
Kişisel Verilerin Korunması Kanunu (“Kanun”) 7 Nisan 2016 tarihinde Resmi Gazete’de yayınlandı ve 7 Ekim 2016 tarihi itibariyle tüm hükümleri yürürlüğe girdi. Kişisel verilerin gizliliği 2010 yılından beri T.C. Anayasası ile korunan bir anayasal hak, daha açık bir ifadeyle bir temel insan hakkı niteliğini taşımaktadır. Bu sebeple Kanun ve beraberinde getirdiği yükümlülükler bir temel hakkın değerlendirmesi olduğu için hepimizi çok ilgilendiriyor ve veri işleyen şirketlere önemli sorumluluklar yüklüyor. Ben de bu yazıda Kanun kapsamında kişisel verilerin işlenmesi için benimsenen bir temel ilkeyi mobil uygulamalar üzerinden ele alacağım.
Gerçek kişilere ilişkin kişisel verileri işlerken temel alınması gereken bu ilke “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesi olarak Kanun’da düzenlenmektedir. Bu ilkeyi detaylı incelemeden önce kişisel veriyi “gerçek kişiyi” belirleyen ya da belirlenebilir kılan her türlü veri olarak tanımlamak gerekir. Kişisel veri işlemek ise ya kişisel verileri herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla ya da tam veya yarı otomatik yollarla yapılabilir. Kişisel verilerin işlenmesi; elde etme, kaydetme, depolama, muhafaza etme, değiştirme, yeniden düzenleme, açıklama, aktarma, devralma, elde edilebilir hâle getirme, sınıflandırma veya kullanılmasını engelleme anlamlarına da gelmektedir.
Toplanan veriler amaca uygun mu?
Söz konusu ilkeyi detaylı inceleyecek olursak; veri işlerken ölçülü davranma prensibinin önemli bir kriter gerektiğini görmekteyiz. Bu da kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kuran ve yöneten kişinin dikkatle seçilmesini gerektirir. Ayrıca bir kişisel veri işleniyorsa, bu verinin toplanma amacına uygun, meşru ve kabul edilebilir bir bağlantısı olması gerekmektedir.
Somutlaştırmak adına bir örnek verelim; ücretsiz yemek tarifleri veren bir mobil uygulamanın, bu uygulamayı akıllı telefonuna yükleyen bir kişinin konum bilgisine, rehberindeki kişilere, kamera görüntülerine veya SMS yazışmalarına ulaştığı ve bu verileri işlediğini varsayalım. Bu verileri işlemenin, uygulamanın amacı ve işlevi olan yemek tarifi sunma ile meşru bir bağının olduğunu ve ölçülü olduğunu söylemek tutarlı bir açıklamaya ihtiyaç duyar. Diğer taraftan kişinin bulunduğu yerdeki restoranların menülerindeki yemekleri veya yemek tariflerini sunan konum tabanlı bir uygulama için kişinin konum bilgisine ulaşmanın ve bu veriyi işlemenin uygulamanın amacıyla bağlantılı ve ölçülü olduğunu kabul etmek mümkündür.
1 milyon TL'ye varan cezalar gelebilir
Bu noktada mevcut Kanun'un bize kısık bir sesle de olsa “ihtiyacın olmayan veriyi işleme!” mesajını verdiğinin ve muhafazakâr yorumlar yapmaya neden olduğunu belirtebilirim. Kanun kapsamında kurulacak olan Veri Koruma Kurumu'na başvuruda bulunulması ve yapılacak bir denetimle uygulama geliştiren şirketin hukuka aykırı veri işlediğine hükmedilmesi sonucunda 1 milyon TL’ye varan para cezaları ile muhatap olunması kanımca çok uzak bir ihtimal değildir. Prensipte değerlendirdiğimizde veri işlerken muhafazakâr yorumlar yapmaya neden olan hükümlerin, uygulamada nasıl karşılık bulacağını ise elbette ilerleyen zamanda daha net göreceğiz.
Özel bir örnekle ele aldığım bu konu; elbette sigortadan sağlığa, e-ticaretten bankacılığa, her sektörde veri işleyen veri sorumlularının kendi veri işleme operasyonları için değerlendirmesi gereken bir konudur. Ekim’den itibaren Veri Koruma Kurumu'nun kurulmasıyla veri işleme noktasında birçok soru gündeme gelecek ve şirketler kişisel veri işleme prosedürlerini yeni baştan gözden geçirmek ve yenilemek zorunda kalacaklar. Şimdiden rahatlıkla yapabileceğimiz yorum ise şirketler ciddi idari para cezaları ile karşılaşmak istemiyorlarsa veri işleme süreçlerinin hukuka uygunluk denetimi geciktirmeden yapmaları yararlı olacaktır.