Kişisel Verileri Koruma Kanunu (KVKK), kişisel verileri işleyen şirketlere, gerçek kişilere, kurum ve kuruluşlara kılavuzluk ederken, aynı zamanda verisi işlenen yurttaşların haklarını da koruyor mu? KVKK’nın amacının ne olduğu ve neyi içerdiğini, hem gerçek hayatta hem de teknolojinin ilerlemesiyle birlikte internet ortamında kişisel verilere rıza dışında erişilmesini, çeşitli yöntemlerle yurttaşların dolandırılması ve bu tür durumların önlenmesine yönelik alınması gereken tedbirleri Avukat Ecren Örengül Ceylan, Siber Güvenlik Uzmanı Sefer Şimşek ve Tüketici Hakları Derneği Genel Başkanı Turhan Çakar ile görüştük.
KVKK NE ZAMAN VE HANGİ AMAÇLA ORTAYA ÇIKTI?
Avukat Ecren Örengül Ceylan, KVKK'nın ortaya çıkışını şöyle özetledi: “İlk olarak 2. Dünya Savaşından sonra, temel insan hak ve özgürlükleri bağlamında dünya gündemine giriyor. 1970’li yıllardan itibaren OECD ve Birleşmiş Milletler bu anlamda bazı küresel çalışmalar yapmak zorunda kaldı. Yapılan bu küresel çalışmalardan Türkiye açısından en önemli olanı, 1995'te AB’nin yaptığı 95/46/EC sayılı Kişisel Verilerin Korunması ve Serbest Veri Trafiğine ilişkin direktif. Bu direktif, bizim şu an yürürlükte olan 6698 sayılı KVKK’nın referans mehazıdır. Daha basit söylemle AB 1995'te bir direktif yayınlıyor biz de -birkaç istisna hariç tutularak- bu direktifi alıp Türkçeye çeviriyoruz ve kanunumuz bu, diyoruz. Bizim için ise süreç, 2010 yılı Anayasa değişikliğine dayanıyor. İlk defa bu değişiklikle anılmaya başlıyor. Ama Türkçeleştirip onaylanmasıve kanunlaşması ise 24 Mart 2016’da gerçekleşiyor. Ancak bu sırada, 14 Nisan 2016'da -yani biz kanunlaştırdıktan yaklaşık iki hafta sonra- mehaz kanun aldığımız 95/46/EC AB’de yürürlükten kaldırılıyor. Yerine GDPR olarak bilinen genel veri koruma tüzüğünü yürürlüğe sokuyorlar. Yani bizim kanunumuz sakat doğmuş oluyor, zira dayanağı kaldırılıyor. Ve bu sakat kanun, hala yürürlükte ve uygulanmakta…”
"SİSTEM OTURMUŞ DEĞİL"
Suç ve cezalar konusunda da 6698’in aksak bir düzeni olduğunu söyleyen Ceylan, kanunun aksayan yönlerini şöyle sıraladı: “6698, belli başlı veri ihlalleri için hatırı sayılır derecede para cezası öngörmektedir. Hatta birtakım ihlallerde ihlal başına ceza verilir ki; örneğin bir ticari işletmede minik bir veri sızıntısı ile yüz müşterinin veri güvenliği ihlal edildi. Bu durum tek bir ihlal değil yüz ayrı ihlal olarak kabul ediliyor ve cezası ona göre katlanıyor. Ancak burada öngörülen ceza, idari para cezasıdır. Birtakım ihlaller ise Türk Ceza Kanunu’nda düzenlenmektedir. KVKK’dan doğan idari para cezaları, Türkiye’de bu anlamda yetkili tek kurum olan Kişisel Verileri Koruma Kurumu tarafından veriliyor. Verilen idari para cezalarının kanuniliği, bu cezaların iptal edilip edilemez oluşu ise hala Türkiye’de oturmuş bir sistem değildir. İptal için sulh ceza hâkimliğine başvuru yapılıyor ancak bu makam tek hâkimle çalışan ve görev alanı trafik cezalarından tut da moleküler genetik inceleme kararlarına varana kadar geniş bir yelpazeye sahip. Bu durumda Türkiye’de kişisel verilerin korunması anlamında inceleme ve ceza vermeye tek yetkili kurumun, gerekçeleri ile belirttiği bir cezanın iptali pratikte çok kolay olmuyor.”
kvkk’nın hayatımıza etkileri
'KVKK' ya göre, kişisel verilerin işlenmesi ancak açık rıza veya kanunlarda belirtilen hallerde meşru amaçlarla gerçekleştirilebilir' diyen Siber Güvenlik Uzmanı Sefer Şimşek, kişisel verilerin korunmasının temel bir insan hakkı olduğunu ve veri sorumlularının bu konudaki sorumluluklarını şöyle ifade etti: “Kişisel veri sahipleri, KVKK kapsamında çeşitli haklara sahiptir. Bunun yanı sıra, KVKK çerçevesinde veri sorumluları ve veri işleyenler arasında da belirli yükümlülükler bulunmaktadır. Bu kapsamda, veri sorumluları, kişisel verilerin güvenliğini sağlamak, veri sahiplerine aydınlatma yapmak, veri sahiplerinin haklarını korumak gibi bir dizi önlemi almakla yükümlüdür. KVKK ile bireylerin veri güvenliği ve gizliliği daha iyi korunmuş ve kişisel verilerin işlenmesi daha şeffaf bir hale gelmiştir. Bu da toplum ve bireyler için daha güvenli bir veri ortamı ve kişisel verilerin daha etkin bir şekilde korunmasını sağlamaktadır.”
Alınması gereken önlemler
Tüketici Hakları Derneği Genel Başkanı Turhan Çakar, internet ve sosyal medyada dolandırıcılık ve kişisel verilerin çalınması olaylarının arttığını belirterek, mağduriyet yaşamaması için alınması gereken önlemler hakkında bilgi veren Çakar, sözlerini şöyle tamamladı: “Tüketici internet ya da sosyal medya ortamından bir mal sipariş edecekse, önce internette ya da sosyal medyada tanıtımını yapan kuruluş gerçekten var mı, iletişim bilgileri doğru mu? Bunlar BTK'dan kontrol edilmeli. İkinci olarak, Ticaret Bakanlığı Tüketicinin Korunması Genel Müdürlüğü’ne böyle bir firma var mı, böyle bir ürün var mı, tanıtımda belirtilenler doğru mu, sorulması lazım. Doğrulandıktan sonra alışveriş yapılmalı. Belge ve fatura olmadan hakkınızı arayamazsınız. Fatura alınmalı. 6502 sayılı tüketicinin korunması hakkındaki yasa gereğince internet, sosyal medya ve telefonla yapılan alışverişlere, mesafeli alışveriş deniyor. Bu mesafeli alışverişlere tüketicinin hiçbir gerekçe göstermeden cezai şart veya ceza ödemeden 14 günlük süreçte cayma hakkı var. Tüketici bu mesafeli alışveriş üzerinden aldığı ürünü hiçbir gerekçe göstermeden geri iade edebilir.’’
