Kişisel Veri Koruma Rehberi; Nerede, Nelere dikkat etmeli? 

Sosyal medyada, iş başvurusu sırasında, alışveriş öncesi ve sonrası kişisel verilerimiz güvende mi? Hangi alanlarda hangi verilerimizi koruma altına almalıyız?

Kişisel Verileri Koruma Kanunu'nun yürürlüğe girmesinin üzerinden 6 yıl geçti. 6698 Sayılı kanunla kişisel verilerin işlenmesi ve saklanması konusunda kamu kurumları başta olmak üzere tüm özel şirketlere önemli yükümlülükler getirilmesine rağmen, gelişen teknoloji bu konuda çok önemli bilgilerimizi riske atıyor.  

Rasyotek İnsan Kaynakları Bilişim A.Ş. Bilişim Hukuku Yönetici Avukatı Alara YILMAZ, vatandaşların hayatın her alanında daha duyarlı ve dikkatli olması gerektiğini belirterek şu bilgileri verdi: 

SOSYAL MEDYA VE EĞİTİM KURUMLARINDA NELERE DİKKAT EDİLMELİ? 

Özellikle okul kayıtları veya kayıt yenilemeleri esnasında vatandaşların mutlaka kişisel verilerin işlenmesi süreçleri ile ilgili bilgi talep etmeleri gerekiyor. Örneğin çocuklarının bilgileri nerelerde ve ne şekilde kullanılacak, kimlerle hangi amaçlarla paylaşılacak bunlarla ilgili bilgi alabilirler. Yine çocukların verileri eğitim faaliyetleri dışında kullanılacak veya paylaşılacak ise bu faaliyetlere ilişkin izin alınması gerekiyor. Eğer ki ebeveynimiz çocuğunun kişisel verilerinin farklı amaçlar ile işlenmesine onay vermiyor ise eğitim kurumu da bu faaliyetlerini gerçekleştiremeyecektir.   

OKUL BİLGİLERİ, SINAV NOTLARI KVKK İHLALİ KAPSAMINA GİRER Mİ?

KVKK’da kişisel veri gerçek kişiyi tanımlamaya yönelik her türlü bilgi olarak kabul ediliyor. Dolayısıyla bu tanımdan hareketle örneğin çocuğun adının soyadının yanında sınav notu, sınıfı vs. herkese açık olarak paylaşılıyor ise bu durum veri ihlali kapsamına girer. Nitekim bu konuyla ilgili de Kişisel Verileri Koruma Kurumu’nun çeşitli kararları mevcut. Bu nedenle özellikle öğrenci bilgilerinin kimlik doğrulama sistemi ile giriş yapılan ortamlarda bulundurulması gerekiyor.   

DOĞUM GÜNÜ ETKİNLİKLERİ VE SOSYAL ETKİNLİK GÖRÜNTÜLERİ VERİ İHLALİ Mİ?

Çocukların doğum günleri ya da herhangi bir doğum günü etkinliğinde bilgi ve görüntüsünün yer almasını yasal açıdan nasıl değerlendirmeliyiz? En çok duyduğumuz sorulardan biri.  

Gelişen teknoloji ile artık teknolojinin kullanımı 3-4 yaşlarına kadar düştü diyebiliriz. Bununla beraber sosyal medya üzerinde ebeveynler de çocuklarının her fotoğrafını paylaşmaya başladılar. Ancak bu durum ne yazık ki doğru bir uygulama değil. Evrensel mevzuatlarda biliyoruz ki her zaman çocukların üstün yararından söz ediliyor. Bu noktada çocukların kişisel verilerinin işlenmesinde de her zaman çocuğun üstün yararı göz önüne alınmalı. Bu konuda bizim mevzuatımızda açık bir düzenleme olmamakla birlikte Avrupa Birliği Genel Veri Koruma Tüzüğü’nü incelediğimizde çocukların kişisel verilerinin işlenmesine ilişkin çeşitli düzenlemeleri görüyoruz. 16 yaşından küçük çocuklarda veli veya vasisinin bu işleme faaliyetleri için rıza göstermesi gerekiyor. Aksi durumda bu tür görüntü ve bilgilerin paylaşılması hukuka aykırı kabul ediliyor. Yine ebeveynlerin yaptığı paylaşımlarla ilgili olarak da hem bu noktada farkındalığın artması gerekiyor hem de yapılan paylaşımlara dikkat edilmesi gerekiyor. Veli/vasilerin kişisel veriler üzerindeki yetkisi de çocuğun üstün yararına hizmet ediyor olmalıdır.  

DÜĞÜN, NİŞAN TÖRENLERİ VE AİLE GÖRÜNTÜLERİ 

Düğün, nişan gibi aile karelerinin o günün anlamına uygun olsa bile farklı hesaplarda yayınlanması KVKK ihlali kapsamında değerlendirilebilir mi?   

Bu konuyu doğrudan KVKK ihlali kapsamında değerlendirmek çok doğru olmayacaktır. Nitekim burada veri sorumlusunun varlığı ve istisnaların yorumlanması gerekiyor. Düğün, nişan gibi aile karelerinin sosyal medyada paylaşılması halinde aslında doğrudan bir veri işleme faaliyeti gündeme gelmiyor. Çünkü hem belirli bir topluluk içerisinde çekilen çeşitli fotoğraf ve videolar var hem de o fotoğraflarda isteyerek yer alan ilgili kişiler var. Bir yandan da asıl amaç belirttiğimiz üzere kişisel veri işleme faaliyetini gerçekleştirmek değil. Örneğin sosyal medyada bir fotoğraf paylaşıyorsunuz ve bu sosyal medya platformu, fotoğrafı topluluk kurallarını ihlal ettiği gerekçesi ile kaldırabiliyor. Dolayısıyla buradaki kayıt sisteminden siz sorumlu değilsiniz. Ancak özel hayatın gizliliği düzenlemelerini de burada değerlendirmek gerekiyor. Düğün fotoğraflarını sizin haberiniz olmadan fotoğrafta bulunmayan veya tanımadığınız kişilerin alıp kullanması o kişi açısından suç oluşturabilir.   

İlgili kişinin yani kişisel verisi bulunan kişinin izni olmaksızın üçüncü bir kişi tarafından kullanılması, herkese açık şekilde paylaşılması Türk Ceza Kanunu’nun 134. Maddesi kapsamında özel hayatın gizliliğini ihlal suçunu oluşturabilir.  

YOUTUBE SOKAK RÖPORTAJLARINA DİKKAT! 

Son günlerde YouTube gibi mecralarda son derece popüler olan sokak röportajlarındaki görüntülerde (Röportaj kaydı başlamadan ya da ortasında, konuyla ilgisiz biçimde çekilen tanıtım görüntülerinde) yüz hatları ve kim olduğu açıkça görüntülenen kişilerin KVKK ihlali söz konusu mu?  

Youtube gibi herkese açık erişimi olan kaynaklarda yapılan sokak röportajları aslında basın ve ifade özgürlüğü kapsamında değerlendirilebilir. Bu nedenle KVKK’nın istisna maddeleri gündeme geliyor. Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi halinde KVKK hükümleri uygulanmıyor. Ancak veri mahremiyeti ilkeleri kişilik haklarının ihlali konusunun kamu yararı ile doğru şekilde karşılaştırılması ve değerlendirilmesi gerektiğini unutmamak gerekiyor.  

KVKK İhlali Nerede Başlar, Nerede Biter?  

KVKK ihlali aslında verinin KVKK kapsamında işlenmesi anından itibaren başlayabilir. Örneğin siz yeni bir işe başlayacaksınız ve iş görüşmesine gittiniz. Görüşmenize insan kaynakları departmanından birisi girmemiş veya sizin özgeçmiş bilgilerinize yetkisiz birisi erişim sağlamış ise bu da bir veri ihlali sayılacaktır. Bu durumun bir veri ihlali teşkil ettiğini ise veri sorumlusunun bilmesi ve bu konuyla ilgili aksiyonları alması gerekiyor. Yine sizin izniniz olmadan telefonunuza gönderilen tanıtım mesajları, size yanlış fatura gönderilmesi, sosyal medya hesaplarınızın çalınması, büyük şirketlerde yaşanan siber güvenlik açıkları nedeniyle oluşan ihlalleri sayabiliriz. İhlal boyutuna göre değişkenlik gösterse de farklı şekillerde ihlaller gerçekleşebiliyor. Gündelik yaşamımızda özellikle veri güvenliği ve mahremiyeti konuları hakkında farkındalık oluşturur isek bizim de burada ölçütleri belirlememiz mümkün hale gelecektir.  

Yine bir örnek paylaşmak isterim, hastanede sıra bekliyorsunuz ve yanınızdaki kişi yabancı olduğu için elindeki sağlık raporunu anlayamıyor ve size gösteriyor. Siz de o bilgilere erişim sağlıyorsunuz ve kendisine tercüme ediyorsunuz. Normal şartlarda bu da aslında özel nitelikle kişisel verilere yetkisiz erişim olarak değerlendirilebilir. Belki de sizin sağlık raporunuzu gören kişi o esnada sizin kişisel verilerinizi kaydetti ve pazarlama amacıyla kullanmış olabilir. Bu gibi durumlar için farkındalıktan söz ediyoruz. Biz ne kadar bu konulara hassasiyet gösterirsek, şifrelerimizi ne kadar karmaşık yaparsak, sosyal medya hesaplarımızda kendimize dair ne kadar az ilgi paylaşırsak, kötü niyetli kişilerin bu eylemleri de daha zor hale gelecektir.