Kişisel veri kavramı gelişen teknoloji ile önemini arttırmış, özellikle ticari ilişkilerde şirketlere büyük yükümlülükler getirmiştir.
Anayasamızın 20. maddesinin 3. fıkrası ile yasalaştırılan kişilik haklarının korunması kavramı ile ilgili 2016 yılında Kişisel Verilerin Korunması Kanunu yayımlanmıştır. Kanunun amacı; kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek olarak belirtildiğinden hem gerçek hem de tüzel kişilerin kanun kapsamında olduğu ve kişisel verilerin işlenmesi ile ilgili her türlü eylemden sorumlu olacakları görülecektir.
Anlaşılacağı üzere tüketiciler de gerçek kişi olarak kanun kapsamında olup kanunun gerektirdiği hususlarda sorumlulukları bulunmaktadır. Biz bu yazımızda tüketicilerin yükümlülüklerinden değil, tüketici olarak hizmet ve mal alımları sırasında kanun gereği hangi haklara sahip olduklarını anlatmaya çalışacağız. Öncelikle birkaç tanımdan başlayalım.
Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiye verilen isim olarak karşımıza çıkmakta olup Kişisel verilerin işlenmesi ise; Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işleme verilen isim olarak ifade edilmiştir.
Kişisel verileri örneklendirecek olursak; Kişinin adı soyadı, telefon numarası, sesi, fotoğrafı, araç plaka numarası ile belirli veya belirlenebilir her türlü bilgi olarak örneklendirilebilir. Bunlar özel nitelikli kişisel veriler dışında örneklendirilebilecek kişisel veriler olup sınırlı sayıda değildir. Ancak kanunun 6. maddesinde belirtilen kişisel veriler sınırlı olarak belirtilmiş ve şu şekilde sayılmıştır; Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri.
Kişisel verilerin işlenmesi ile ilgili kanunun 4. maddesinde uyulması gereken ilkeler ile 5. maddesinde veri işleme şartları 6. maddesinde ise özel nitelikli kişisel veriler düzenleme alanı bulmuştur. Bir şirketin yahut gerçek kişinin kişisel veri işlemesi durumunda bu kurallara uyması şarttır. Bu sebeple tüketicilerin hizmet ya da mal aldığı şirket yahut gerçek kişilerin kanunun 5. maddesindeki hususlar çerçevesinde tüketicinin kişisel verilerini işleyebilmesi için;
- Kişinin açık rızasını alması.
- Kanunlarda açıkça öngörülmesi.
- Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
- Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
- İlgili kişinin kendisi tarafından alenileştirilmiş olması.
- Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
- İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması ŞARTLARINDAN BİRİSİNİN BULUNMASI YETERLİDİR.
Tüketici, mal veya hizmet alımlarında yukarıda yer alan 8 maddeden birisinin bulunması durumunda kişisel verilerinin işlenebileceğini bilmelidir. Örneğin gittiğini spor salonunda, spor salonuyla yapmış olduğunuz sözleşmenin kurulması için gerekli olan kişisel verileriniz sizin rızanıza gerek olmadan yukarıdaki 4. madde gereği kullanılabilecektir. Ya da sondan 7 maddeye de uymayan durumlarda tüketicinin kişisel verilerini kullanmak açık rızasına bağlı olacaktır.
Yine bir örnek vermek gerekirse tüketici almış olduğu takım elbise ya da ayakkabı sonucu kasada kendisine mağaza ile ilgili alışveriş mesajları gelmesini istiyorsa bunu rızası alınmak kaydıyla yapılması gerektiğinin bilincinde olmalıdır.Mağaza, müşterisi olan tüketicinin telefon numarasına açık rızası dışında bilgilendirme mesajı gönderemez.
Bu hususlara ek olarak tüketicinin kişisel verilerinin işlenmesinden önce aydınlatılması da kanun gereğidir ve zorunludur. Tüketici aydınlatılmadan, yukarıda saydığımız 8 maddeden birine göre verilerinin işlenmesi veri işlemeyi yine hukuka aykırı hale getirecektir. Anlaşılacağı üzere tüketicinin kişisel verilerinin alınmasından önce aydınlatılması, aydınlatılma yapıldıktan sonra yukarıdaki 8 şarttan birinin varlığı ile veri işlenmelidir.
Peki aydınlatılma nasıl gerçekleştirilmelidir?
Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, tüketiciye;
- Veri sorumlusunun ve varsa temsilcisinin kimliği,
- Kişisel verilerin hangi amaçla işleneceği,
- İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
- Kişisel veri toplamanın yöntemi,
- Kişisel verilerinin işlenip işlenmediğini öğrenebileceği,
- Kişisel verileri işlenmişse buna ilişkin bilgi talep edebileceği,
- Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenebileceği,
- Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişiler varsa bunları öğrenebileceği,
- Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteyebileceği,
- Kişisel verilerinin silinmesini veya yok edilmesini isteyebileceği,
- Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep edebileceği hakkında bilgiler vermek ve tüketiciyi bu konularda aydınlatmak zorundadır.
Tüketiciler Kişisel Verilerinin Hukuka Aykırı Olarak İşlendiğini Öğrendiğinde Ne Yapmalıdır?
İlgili kişiler yani verileri işlenen tüketiciler, her zaman veri işleyen kişiye başvuru yaparak yukarıda belirtmiş olduğumuz hususlar çerçevesinde bilgi talep edebilirler. Bu taleplere veri sorumlusu (Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi) tarafından en geç 30 gün içinde cevap verilmesi gerekmektedir.
Başvurunun reddedilmesi veya verilen cevabın yetersiz olması hallerinde 30 gün içinde, başvuruya süresinde cevap verilmemesi hallerinde ise başvuru tarihinden itibaren 60 gün içinde ilgili kişiler Kişisel Verileri Koruma Kurumunaşikâyet yoluna gidebilir. Örneğin kişi veri sorumlusuna başvuru yaparak taleplerini iletti diyelim. Veri sorumlusu 30 gün içinde bir cevap verecektir. Eğer talep reddedilmiş ya da yetersiz bir cevap verilmiş ise ilgili kişi cevabın kendisine bildirilmesinden itibaren 30 gün içinde kuruma şikâyet yoluna başvuracaktır. Ancak ilgili kişinin yapmış olduğu başvuruya veri sorumlusu tarafından herhangi bir cevap verilmemiş ise bu durumda kişi 30 gün cevabın gelmesini bekleyecek 30 gün içinde cevap gelmemiş ise bu durumda 30 gün içinde kuruma şikâyette bulunabilecektir.Anlaşılacağı üzere bu iki 30 günlük süre toplamı 60 gün olarak belirtilmiştir. İlgili kişiler öncelikle veri sorumlusuna başvuracak, bu yol tüketilmeden Kişisel Verilerin Korunması Kurumuna şikâyet yoluna gidilemeyecektir.
Tüketici, taleplerini yazılı olarak veya Kurulun belirleyeceği diğer yöntemlerle veri sorumlusuna iletmelidir. Veri sorumlusu başvuruyu yukarıda belirtmiş olduğumuz süreleri içerisinde ücretsiz olarak yanıtlandırmalıdır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde, Kurulca belirlenen tarifedeki ücret alınabileceği kanunda düzenlenmiştir. Başvuruda yer alan talebin kabul edilmesi hâlinde veri sorumlusunca gereği yerine getirilir. Başvurunun veri sorumlusunun hatasından kaynaklanması hâlinde alınan ücret ilgiliye iade edilir.
Kişilik hakları ihlal edilenlerin, genel hükümlere göre tazminat hakkı talep etme hakları bulunduklarından ilgili kişi kuruma şikâyetin yanında veri sorumlusunu dava ederek varsa maddi zararları yanında manevi zararlarını tazmin için dava açabilir.
İhbar veya şikâyetin dikkate alınabilmesi için ilgili kişinin dilekçesinin; Belli bir konuyu ihtiva etmesi, yargı mercilerinin görevine giren konularla ilgili olması, dilekçe sahibinin adı soyadı ve imzası ile iş veya ikametgâh adresinin bulunması şarttır. Aksi durumda ihbar ya da şikâyet dikkate alınmayacaktır.
Devlet sırrı niteliğindeki bilgi ve belgeler hariç; veri sorumlusu, Kurulun, inceleme konusuyla ilgili istemiş olduğu bilgi ve belgeleri on beş gün içinde göndermek ve gerektiğinde yerinde inceleme yapılmasına imkân sağlamak zorundadır. Şikâyet üzerine Kurul, talebi inceleyerek ilgililere bir cevap verir. Şikâyet tarihinden itibaren 60 gün içinde cevap verilmezse talep reddedilmiş sayılır. Buna göre, şikâyet tarihinden itibaren 60 günlük sürenin geçmesiyle İdari Yargıda Dava Açma Süresi başlayacaktır. Kurulun, şikâyet üzerine yapacağı inceleme için 60 günlük süre öngörülmüş ise de resen yapacağı incelemeler yönünden herhangi bir süre öngörülmemektedir. Şikâyet üzerine veya resen yapılan inceleme sonucunda, ihlalin varlığının anlaşılması hâlinde Kurul, tespit ettiği hukuka aykırılıkların veri sorumlusu tarafından giderilmesine karar vererek ilgililere tebliğ eder. Bu karar, tebliğden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirilir. Kurul, telafisi güç veya imkânsız zararların doğması ve açıkça hukuka aykırılık olması halinde, veri işlenmesinin veya verinin yurt dışına aktarılmasının durdurulmasına karar verebilir.
Tüketiciler Veri Sorumlusuna Tazminat Davası Açabilir mi?
Bir duruma açıklık getirmekte fayda vardır ve gerçekten çok önemli olduğunu düşünmekteyiz. Veri sorumlusuna başvurulması ya da veri sorumlusuna başvurulmadan kuruma başvurulamayacağı hususu tamamen kuruma başvuru koşulunun gerçekleşmesi için düzenlenmiş bir usul kuralıdır.
Verisi hukuka aykırı olarak işlenmiş tüketiciler kuruma başvurmak istiyorlarsa bu usul kuralına uymak zorundadır. Ancak tüketici, veri sorumlusuna direkt olarak dava açmak istiyorsa bu usulü takip etmesine gerek yoktur.
Verisinin hukuka aykırı olarak işlendiğini düşünen ve bundan dolayı özel hayatının gizliğinin ihlal edildiğini öngören tüketici, veri sorumlusuna maddi ve manevi tazminat davasını yukarıda vermiş olduğumuz usule uymak zorunda olmadan açabilecektir. Başvuru yoluna gitmenin zorunlu, şikâyet yoluna gitmenin ise ihtiyari olması sebebiyle, başvurusu zımnen veya açıkça reddedilen ilgili kişinin bir yandan Kurula şikâyette bulunabilmesi, diğer yandan doğrudan yargı yoluna gidebilmesi mümkün olacaktır.
Ancak bu noktada belirtmek gerekir ki, ilgili kişilerin yani tüketicilerin hak ihlallerine yönelik olarak doğrudan yargı organlarına başvurmalarının önünde herhangi bir engel bulunmamaktadır. Başka bir ifadeyle, konunun yargıya intikal ettirilmesinden önce, veri sorumlusuna başvuru zorunluluğu bulunmamaktadır.
Veri sorumlusuna doğrudan başvurma zorunluluğu, konunun Kurula iletilmesinden önce uyulması gereken bir zorunluluktur.
Bunu bir örnekle açıklamak gerekirse tüketici veri sorumlusunun verilerini ihlal ettiği düşüncesinde ve kuruma şikâyette bulunmak istiyorsa önce veri sorumlusuna başvurmalı sonra gelecek cevaplar üzerine kuruma şikâyet yoluna gitmelidir. Kişi veri sorumlusuna başvurduktan sonra gelen cevap yeterli gelmedi ise direkt dava açma hakkına sahip olduğu gibi kuruma şikâyet yoluna da başvurabilir. Bahsettiğimiz dava tazminat davasına ilişkindir.
Kişi veri sorumlusuna başvurusunu yaptı ancak gelen cevap yeterli olmadığından ya da talepleri yerine getirilmediğinden bahisle kuruma şikâyette bulunduktan sonra kurumun vereceği karar olumsuz ise bu karara karşı idari dava da açabilecektir. Ancak kuruma şikâyet yolunun tercihi dışında bu sürelerin uygulanması tazminat davası koşulu olarak ortaya çıkmamaktadır. Tüketici veri sorumlusuna tazminat davası açtıktan sonra ihlali kuruma da şikâyet etmek istiyorsa o zaman kanundaki süreler ve usulü takip etmeli ve veri sorumlusuna başvurmalıdır.
Av. Bilgehan UTKU
Av. Emre ASAN
TÜSODER Hukuk Komisyonu