Kişisel Verilerin Korunması Alanında Avukatlar Tarafından Gerçek ve Tüzel Kişilere Verilebilecek Hukuki Destek ve Danışmanlık

1. Giriş

Gelişen ve değişen teknolojiyle birlikte sosyal ve ekonomik alanda yaşanan etkileşimler sonucu bir hizmetin sunumu, bir görevin yerine getirilmesi vb. etkileşimlerle bağlantılı olarak bireylere ilişkin kişisel veriler gerçek ve tüzel kişiler tarafından elde edilmektedir. Sosyal ve ekonomik alana sirayet eden bu veri meselesinin hukuk alanında düzenlenmemesi ve işlenmemesi de düşünülemez. 7 Nisan 2016 tarih ve 29677 sayılı Resmî Gazetede yayımlanarak yürürlüğe giren Kişisel Verilerin Korunması Kanunu ile birlikte gerçek ve tüzel kişilerin etkileşimde oldukları kişilere ait kayıt altına alınan kişisel verilerin korunmasına yönelik hukuki çerçeve düzenlenmiştir. Kişisel Verilerin Korunması Kanunu 95/46/EC Sayılı Kişisel Verilerin Korunmasına İlişkin Avrupa Birliği Direktifi, daha sonra yayımlanarak yürülüğe giren ve direktifin yerini alan AB Parlamentosu ve Konseyi’nin 27 Nisan 2016 tarihli ve 2016/679 sayılı Avrupa Birliği Genel Veri Koruma Tüzüğü (General Data Protection Regulation – GDPR) ile 28 Ocak 1981 tarihinde Strazburg’da imzalanan 108 sayılı “Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi” ile
uyumlu bir yasal düzenlemedir. Kişisel verilerin özel hukuk gerçek ve tüzel kişileri ile kamu kurumları ve tüzel kişileri tarafından işlenmesi hususunun bir taraftan kişinin özel hayatı ve mahremiyetine ilişkin olması- temel hak ve özgürlüklerle ilgili olması- diğer taraftan kamu kurumları için genel güvenlikle yakından ilgili olması ve diğer gerçek ve tüzel kişiler için toplumsal refahla ilgili olması nedeniyle bu çatışan değerlerin dengede tutulması giderek
önem kazanmaktadır.

Kişisel Verilerin Korunması alanında çalışan avukat ve hukuk bürolarının yaptığı iş temel olarak müvekkilin yetkili merciler önünde temsili ve kişisel verilerin korunmasına ilişkin kendilerine danışmanlık sağlanmasıdır. Bu temsil ve danışmanlık kimi zaman geçici ve kısa süreli bir sorun üzerine gerçekleştirilirken, kimi zaman ise şirketler açısından geniş kapsamda kişisel veri mevzuatına uyum projeleri yürütmek şeklinde de hayata geçebilmektedir. Somut durum ne olursa olsun avukat, müvekkilin çıkarları doğrultusunda onun lehine olabilecek şekilde hareket edecek ve hayata geçirilmek istenen plan ve stratejilerin yasal sınırlar çerçevesinde gerçekleştirilebilmesine yardımcı olacaktır.

2. Kişisel Verilerin Korunması Kapsamında Bir Avukatın Müvekkillerine Sunacağı Hukuki Yardımın Kapsamı

Gerek gerçek kişiler gerek ise şirketler ve kurumlar bazında, kişisel verilerin korunması alanında çalışan avukatlar tarafından sunulan danışmanlık ve hizmetler şu şekilde sayılabilir:

a. Kişisel Verilerin Korunması Kanunu’nun gereklerine uygun kapsamlı bir strateji geliştirmek

Gerçek ve tüzel kişilerin, bünyesinde çalışan kişilerin ve müşterilerinin kişisel veri niteliğindeki bilgilerini kendi sistemlerine işleyebilmeleri Kişisel Verilerin Korunması Kanunu ile çizilen sınırlar dahilinde gerçekleştirilebilecektir. Kişisel verilerin işlenmesinde göz önünde bulundurulması gereken birtakım ilkeler mevcuttur. Buna göre kişisel verilerin işlenmesi işlemi hukuka ve dürüstlük kuralına uygun yapılmalı; işlenen veriler doğru ve güncel olmalı; veriler belirli, açık ve meşru amaçlar için işlenmeli; işlendikleri amaçla sınırlı ve ölçülü olmalı; işlenen veriler ilgili mevzuatta öngörülen ya da işlendikleri amaç için gerekli olan süre kadar muhafaza edilmelidir. Bu ilkelere aykırı bir veri işleme yapılması halinde veri sorumlusu şirket idari ve cezai yönden sorumluluk altına girecektir. Böyle bir zarardan kaçınmak ve mevzuata uygun bir veri işleme süreci yürütmek adına konunun uzmanı bir avukatla çalışıp veri sorumlusu şirkete uygun bir veri işleme stratejisi belirlenmesi isabetli olacaktır.

b. Müşterilerin Verilerinin Gizlilik Sözleşmelerine ve Açık Rızaya Dayanmasına, Verilere Erişim Prosedürlerine ve Şikayet Prosedürlerine İlişkin Gerekli Belgelerin Hazırlanması

Kişisel verileri işlenecek olan gerçek kişilerin bu işleme dair açık rızalarının alınması gerekmektedir. Yalnızca kanunda sayılan hallerde açık rıza bulunmadan veri işleme yapılabilecektir. Açık rıza; belirli bir konuya ilişkin, bilgilendirilmeye dayanan, özgür irade açıklamasıdır. Bu anlamda açık rıza alınmasının ilk boyutu bilgilendirme boyutudur. Kişisel verileri işlenecek ilgili kişi sürece dair bilgilendirilmeli, ondan sonra rızasına başvurulmalıdır. Açık rızanın alınmasına ilişkin bir şekil şartı bulunmamasına karşılık ispat gücü bakımından bu rızanın yazılı veya elektronik ortamda alınması veri sorumluları açısından isabetli olacaktır. Açık rızanın yanında verileri işlenen ilgili kişilerle gizlilik politikası çerçevesinde,
elde edilen kişisel verilerin üçüncü kişilerle paylaşılmayacağına ilişkin sözleşme imzalanacaktır. Bu husus kişi temel hak ve hürriyetleri açısından son derece önemlidir ve hak ihlallerine yol açmamak adına veri sorumlusu müvekkiller tarafından göz önünde bulundurulmalıdır.

c. Kişisel Verilerin Korunması Kurumu’na Yapılacak Veri Bildirimi ve Diğer İşlemlere İlişkin Başvuruların Hazırlanması

Kanunda veri sorumlusu olarak adlandırılan gerçek ve tüzel kişiler, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder. Gerçek ve tüzel kişiler, veri bildiriminde bulunulmadan önce Veri Sorumluları Sicili’ne kaydolmak zorundadır. Kişisel Verilerin Korunması Kurumu bünyesindeki bu sicile kaydolan veri sorumluları, müşterilerine ve çalışanlarına dair elinde bulunan kişisel veriler hakkında bu sicile bildirimde bulunacaktır.
Bununla birlikte veri sorumlularının kişisel verilere ilişkin beyanları, şikayetleri ve diğer işlemler için de Kurum’a başvuru yapılacaktır. Yapılacak olan veri bildirimi ve diğer başvuruların usule uygun gerçekleştirmesi önem arz etmektedir. Bu nedenle sürecin bu alanda çalışan avukatlar tarafından yürütülmesi olası hak kayıplarının önüne geçebilecektir.

d. Çalışanların Verilerinin Korunması Hakkında Şirket ve Kurumlara Danışmanlık Verilmesi, Eğitim Programlarının Düzenlenmesi

Kişisel verilerin korunması süreci yalnızca Kurum’a yapılacak bildirim ve başvurularla sınırlandırılmamalıdır. Ülkemizde henüz son yıllarda gelişmekte ve önemi giderek artan olan kişisel verilerin korunması konusunun kapsamı ve uygulanması usulü, gerek çıkarılan mevzuat ile gerek ise Kurum tarafından verilen kararlar ile belirlenmektedir. Kişisel Verilerin Korunması Kanunu esas kanun olup, tek kanun değildir. Avrupa İnsan Hakları Sözleşmesi 8.Maddesinde düzenlenen özel hayatın korunmasından, Türk Medeni Kanununda düzenlenen kişilik haklarının korunmasına, Türk Ceza Kanununda 135-140. Maddeler arasında düzenlenen kişisel verilerin korunmasının ihlali durumunda faillerin
cezalandırılmasına kadar bir çok mevzuat kişisel verilerin korunmasıyla yakından ilgili mevzuattır. Bu alanda faaliyet gösteren avukatlar hem kendini geliştirmeye açık olmalı, hem de temsil ve danışmanlık hizmeti verdikleri müvekkilleri ile konuya dair bilgi paylaşımında bulunulmalıdır. Bu kapsamda yazılı bilgilendirme metinleri hazırlanabilir, eğitim seminerleri yapılarak müvekkil ve bünyesindeki çalışanlara kişisel verilerin korunmasına dair bilgilendirme yapılabilir. Sürece dahil tüm paydaşların veri işletim sürecinden haberdar ve bilinçli olarak çalışmaları, yürütülen veri stratejisinin daha başarılı hayata geçirilmesine yardımcı olacaktır.

e. Şirketlere Veri Güvenliği İhlalleriyle Başa Çıkmak İçin Prosedür Geliştirilmesine Yardımcı Olunması

Mevzuata uygun bir şekilde kişisel verileri işleyen ve bunları veri sisteminde depolayan veri sorumlusu, aynı zamanda bünyesindeki kişisel verilerin güvenliğinden de sorumlu olacaktır. Kanunun 12. maddesinde veri sorumlusunun kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğu belirtilmiştir.

Bu kapsamda veri sorumlularının, teknik ve hukuki destek ile güvenlik prosedürü geliştirmesi olası risklerin önüne geçilmesini sağlayacaktır. İdari ve hukuki anlamda; mevcut risk ve tehditlerin belirlenmesi, çalışanların eğitilmesi ve farkındalık çalışmaları uygulanması ve kişisel verilerin mümkün olduğunca azaltılması gibi tedbirlere başvurulabilecektir. Teknik anlamda ise siber güvenliğin sağlanması, kişisel veri güvenliğinin takibi, kişisel verilerin güvenli ortamlarda depolanması gibi tedbirlerle kişisel verilerin korunması sağlanabilecektir. Teknik konularda hukukçu mühendis işbirliği içerisinde çalışılmasında büyük yarar vardır.

f. Şirket Bünyesinde Verilerin Yurtdışına Aktarılması Konusunda Şirkete En Uygun Yöntemin Belirlenmesi

Kişisel Verilerin Korunması Kanunu’nun 9.maddesinde kişisel verilerin yurtdışına aktarılması hususu düzenlenmiştir. Bu hükme göre verilerin yurtdışına aktarılabilmesi için ilgili kişinin açık rızası şart koşulmuştur. Ancak kanunun 5. ve 6. maddesinde belirlenen şartlar sağlandığında, kişisel verilerin aktarılacağı ülkede yeterli korumanın bulunması, yeterli koruma söz konusu değil ise Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması kaydıyla ilgili kişinin açık rızası aranmaksızın kişisel veriler yurt dışına aktarılabilecektir. Hangi ülkelerde yeterli korumanın bulunduğu Kişisel Verilerin Korunması Kurulu tarafından belirlenmektedir.
Mevzuat hükümleri de göz önünde bulundurularak usule uygun bir şekilde verilerin yurtdışına aktarılması ve bir merkezde toplanması sağlanabilecektir. Burada en uygun yöntemin belirlenmesi için hukuki, teknik ve mali şartlar birlikte değerlendirilmelidir. Düşük maliyetli, verilerin korunması bakımından üst düzey güvenliğe sahip ve gerek ulusal gerek ise uluslararası mevzuata uygun bir prosedürün belirlenmesi müvekkil adına faydalı olacaktır.

Av.Erdem ARDA AKAY Av. Yalçın TORUN

UYARI
Web sitemizde yayımlanan yukarıdaki yazılı metnin, eser sahipliği hakları Av.Yalçın TORUN’a ve Av.Erdem Arda AKAY’a aittir. Bu yazılı metin hak sahipliğinin tespiti amacıyla zaman içerikli elektronik imza ile muhafaza edilmektedir. Sitemizdeki yazılı metinler avukat meslektaşlarımız tarafından dilekçelerinde serbestçe kullanılabilir, fakat metinlerin tamamının, bir kısmının veya özetinin atıf yapılmaksızın başka web sitelerinde yayınlanmasına iznimiz yoktur.