7 Nisan 2016 tarihinde yayımlanan 6698 sayılı Kişisel Verilerin Korunması Kanunu ile ilgili düzenleme çalışmalarının devam ettiğini, çeşitli yazılarımızda belirtmiştik. Kanun’un yükümlülüklere dair hükümleri yürürlüğe girmiş olmasına rağmen, uygulamanın nasıl ilerleyeceği konusunda, soru işaretleri oldukça fazla. Burada belirleyeci olacak olan, düzenleyici otorite olarak Kişisel Verilerin Korunması Kurulu (KVKK) kararları.

KVKK, bugüne kadar, web sayfası veya Resmi Gazete’de bir karar yayımlamamıştır. Buna karşın, Kurum Başkanı TBMM’de yaptığı açıklamada, 2017 yılında, 34’ü şikayet, 7’si ihbar olmak üzere, 41 başvuru aldıklarını, 19 başvurunun sonuçlandırıldığını ve toplam 125.000,00 TL idari para cezası kararı aldıklarını, ifade etmiştir.

Konunun ülkemiz açısından yeni olması nedeniyle, Kurul kararlarının mümkün olan her platformada yayımlanması, şeffaf hareket edilmesi önem kazanıyor.

Bu yolda ilk adım, 25 Ocak 2018 tarihli Resmi Gazete’de iki Kurul kararının yayımlanması ile atılmış oldu. Bu kararlar, pek çok yerde, kamu ve özel sektör uygulamalarında, esaslı değişiklikler getirecek gibi görünüyor.

21.12.2017 tarihli ilk karar ile, rehberlik hizmeti veren internet siteleri ile uygulamalarda kişisel verilerin korunması ele alınıyor. Bu konuda Kurum’a iletilen; açık rıza alınmaksızın, isimden telefon numarası veya telefon numarasından isim sorgulanması gibi rehberlik hizmeti veren web siteleri ve uygulamalarına dair şikayetleri değerlendiren Kurul, bu veri işleme faaliyetinin Kanun’a aykırı olduğu sonucuna vararak, derhal durdurulması gerektiğine karar verdi.

Kurul kararında; çeşitli uygulamaların, internet siteleri veya sosyal medya hesapları üzerinden kişisel verileri topladığı, sonrasında bu verilerin işlenmesi ile isim sorgulandığında telefon numarası bilgisine, telefon numarası sorgulandığında isim bilgisine erişim sağlandığı, kişisel verilerin işlenebilmesi için 6698 sayılı Kanun’un 5 ve 6 ıncı maddelerinde sayılan işlenme şartlarının bulunması gerektiği, buna aykırılık nedeniyle Kanun’un 15.maddesinin 7.fıkrası uyarınca, bu faaliyetlerin derhal durdurulması, durdurulmadığı taktirde, bu site ve uygulamalara erişimin engellenmesi için başvuru yapılacağı, yanı sıra Türk Ceza Kanunu 136.maddesi uyarınca Cumhuriyet Başsavcılığına bildirimde bulunulacağı, yazılıdır.

Kurul’un yine 21.12.2017 tarihli diğer kararında ise, banko, gişe, masa gibi hizmet alanlarında kişisel verilerin korunması ele alınmıştır.

Bankacılık ve sağlık sektörü başta olmak üzere, birden fazla çalışan ile bitişik düzende hizmet veren posta ve kargo hizmetleri, turizm acenteleri, zincir mağazalarının müşteri hizmetleri bölümleri, çeşitli abonelik işlemlerinin yapıldığı kuruluşlar ile belediye, vergi ve nüfus ile ilgili işlemler gibi hizmetlerin verildiği kamu ve özel sektör kurum ve kuruluşlarının işlemleri sırasında; banko/gişe/masa gibi bölümlerde yetkisi olmayan kişilerin yer almasını önleyecek, aynı anda birbirlerine yakın konumda hizmet alanların birbirlerine ait kişisel verileri duymasını, görmesini veya ele geçirmesini engelleyecek nitelikte gerekli teknik ve idari tedbirleri alması sonucuna varan Kurul, karara uyulmaması halinde ise Kanun’un 18.maddesinin uygulanmasına, karar vermiştir.

Son derece geniş bir kapsamı ve uygulaması olması beklenen bu karar ile, örneğin, bir mağazada, kitapçıda, üyelik kartınız var mıydı, sorusuna karşılık, özellikle cep telefonu ile sorgulaması yapılması sırasında, diğer müşteri ve yetkisiz kişilerin “duyma/görme” mesafesinde olmasını engelleyici veya bu tür bir sorgulama yapılmasını önleyici uygulamaların geliştirilmesi, kaçınılmaz görünüyor.

Kurul kararlarına uyulmaması halinde, 18.madde gereği, 25.000,00 TL’den 1.000.000,00 TL’ye kadar idari para cezası uygulanması söz konusu olduğundan, karar muhataplarının gerekli önlemleri almaları gerektiği, kuşkusuz.

Yazdır