Yaşar Üniversitesi Uluslararası İlişkiler Bölümü seminerine konuşmacı olarak katılan Avukat Dr. İpek Çimen Bulut, bir ürün veya hizmetin sunulmasında, kişisel verilerin işlenmesine yönelik rıza verilmesinin ön koşul olarak belirlenmesi ve bu rıza verilmeden kişinin o ürün ya da hizmetten yararlandırılmamasının yasaya aykırı olduğunu söyledi. Bulut, ayrıca, Türkçe olmayan aydınlatma ve rıza metinlerinin de yasadaki "açık ve kolay anlaşılır olma" şartını yerine getirmemesi nedeniyle aydınlatma yükümlülüğüne uygun olmayacağını belirtti.
Yaşar Üniversitesi Uluslararası İlişkiler Bölümü seminerler serisi kapsamında, Avukat Dr. İpek Çimen Bulut’un konuşmacı olduğu "Çevrim içi Ortamlarda Kişisel Verilerin Korunması" başlıklı çevrim içi seminer gerçekleştirildi. Seminerin moderatörlüğünü yapan Bölüm Başkanı Doç. Dr. Ayselin Yıldız, pandemiyle birlikte her şeyin çok daha fazla çevrim içi ortama taşındığı günümüzde, kişisel verilerin ve korunmasının daha önemli hale geldiğini ifade ederek, böyle bir seminer düzenleyerek farkındalık ve bilinç oluşturmak istediklerini dile getirdi.
2016 yılında yürürlüğe giren 6698 Sayılı Kişisel Verilerin Korunması Kanunu ile ilgili bilgiler veren Avukat Dr. İpek Çimen Bulut, bu yasa ile veri çağı olarak adlandırılan günümüzde, kişisel verilerimizin güvence altına alınarak bunların hangi şartlarda işlenebileceğinin düzenlenmeye çalışıldığını söyledi.
Hangi amaçla alındığı açıkça belirtilmeli uyarısı
Kişisel verilerin işlenmesinde hukuka uygunluk sebeplerinden biri olan açık rızanın unsurlarının, kanunda açıkça sayıldığını vurgulayan Dr. İpek Çimen Bulut, "Bu unsurlardan birinin dahi olmaması halinde, yasada tanımlanan açık rıza kapsamından çıkacaktır. Öncelikle rızanın, hangi amaç doğrultusunda ve ne kapsamda verildiğinin açıkça anlaşılır olması şarttır. Rıza metni, kişisel verilerin işlenmesi faaliyetinin olası başka amaçları da kapsayabileceği anlamı çıkarılabilen ibareler içeren muğlak ve genel ifadeler taşımaması da gerekmektedir. Bu bağlamda ’Kişisel verilerimin işlenmesine muvafakat ediyorum’ gibi hangi kişisel verilerin, hangi işleme faaliyeti kapsamında ve hangi sınırlar çerçevesinde işlenmesine izin verildiğinin belli olmadığı açık uçlu ifadeler, ilgili yasa çerçevesinde açık rızanın verilmiş olduğu şeklinde yorumlanmamalıdır" dedi.
Özellikle internette bir ürün ya da hizmet satın almak istenildiğinde karşımıza çıkan, kişisel verilerin işlenmesine açık rıza vermenin "ön koşul" haline getirilmesine de değinen Dr. Bulut, "İlgili yasa kapsamında, geçerli bir açık rızanın verilmesinde olmazsa olmaz bir diğer unsur da rızanın, veri sahibi kişinin özgür iradesine dayanması gereğidir. Bu kapsamda bir ürün veya hizmetin sunulmasında, kişisel verilerin işlenmesine yönelik rıza verilmesinin ön koşul olarak belirlenmesi ve bu rıza verilmeden kişinin o ürün ya da hizmetten yararlandırılmaması, yasaya aykırıdır. Bu durumun, somut olayda özgür iradenin sakatlanmasına neden olabileceği unutulmamalıdır. Kişisel Verileri Koruma Kurumu, yayınladığı ’açık rıza’ başlıklı kılavuzdaki örneklerde, bu şekilde alınan açık rızanın ’özgür irade ile açık rıza verilmesi ilkesi ve ölçülülük ilkesine’ aykırı olacağını belirtmiştir" diye konuştu.
Yabancı dilde aydınlatma metni geçerli olur mu?
Dr. İpek Çimen Bulut, karşılaştığı bir olaydan örnek vererek, neredeyse girdiğimiz her internet sitesinde ve sosyal medya platformunda karşımıza çıkan "kişisel verilerin işlenmesine ilişkin aydınlatma metinleri"nin, nasıl olması gerektiğine de değindi. Bulut, "Aydınlatma yükümlülüğü yerine getirilirken Kişisel Verilerin Korunması Kanunu’nun yanı sıra Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’e de uyulması gerekir. Bu tebliğin 5/ğ maddesine göre, ’Aydınlatma yükümlülüğü kapsamında ilgili kişiye yapılacak bildirimin anlaşılır, açık ve sade bir dil kullanılarak gerçekleştirilmesi gerekmektedir’ denilmekte. Ülkemizde faaliyet gösteren bazı sosyal medya platformlarının kişisel verilerin işlenmesine ilişkin olarak kullanıcılara gönderdikleri aydınlatma metinlerinin yabancı bir dil kullanılarak hazırlandıklarını görüyoruz. Bu durum, Türkiye’de yerleşik kullanıcıların, metinde kullanılan yabancı dili hiç bilmemeleri, bilmek zorunda olmamaları veya bilseler dahi dile yeterince hakim olmadıkları için metni tam olarak anlama hususunda karşılaşabilecekleri zorluklar da dikkate alındığında, bu metinlerin, ilgili tebliğin 5/ğ maddesinde hüküm altına alınan ’Anlaşılır, açık ve sade bir dil kullanılması’ koşulunu karşılamadığı kanaatindeyim. Bu sebeplerle destekleyici bilgi ve belgelerle başvuru yolları kullanıldığı takdirde önümüzdeki günlerde Kişisel verileri Koruma Kurulu’nun bu konuyu da inceleyebileceğini düşünüyorum" dedi.
İhlal söz konusuysa ne yapılmalı?
Avukat Dr. İpek Çimen Bulut, kişisel verilerin ihlal edildiğinde neler yapabileceğini de anlattı. Bulut, şöyle devam etti:
"Genel mahkemeler aracılığıyla yargı yoluna başvurabileceğimiz gibi 6698 Sayılı Kişisel Verileri Koruma Kanunu’nun veri sahibi ilgili kişilerin kişisel verilerinin korunmasına ilişkin olarak getirdiği hak arama yollarına da başvurabiliriz. Kanun, kademeli bir başvuru yöntemi getirmekte. Buna göre; birinci kademe, kişisel verilerinin ihlal edildiğini düşünen kişinin, öncelikle veri sorumlusuna başvurmasıdır. Veri sorumlusu, yasal süresi içinde bu talebi reddeder, talebe herhangi bir cevap vermez ya da verdiği cevap ilgili kişi tarafından yeterli bulunmazsa ikinci aşamaya geçilebilir. Veri sorumlusuna başvuru yolu tüketilmeden, ikinci kademeye geçilemeyeceğinin altını burada önemle çizmek gerekiyor. İkinci kademe ise yine yasal süresi içinde Kişisel Verileri Koruma Kurulu’na şikayet hakkının kullanılması. Kurul, şikayet üzerine yapacağı inceleme sonucunda kanun hükümlerinin ihlal edildiği sonucuna varırsa bu aykırılığa ilişkin kararını ilgililere tebliğ edecektir. Şikayet tarihinden itibaren, kurul tarafından 60 gün içinde herhangi bir cevap verilmediği durumlarda ise talebin reddedilmiş sayılacağı hükme bağlanmıştır."