Mobile logo
Top

Veri Sahibi Hangi Haklara Sahiptir?

Bilgi Bankası Temel Kavramlar

Veri Sahibi Hangi Haklara Sahiptir?

En önemli amaçlarından biri veri sahiplerini korumak olan kişisel verilerin koruması hukuku, yalnızca veri sorumlularını birtakım yükümlülükler altında bırakmamış; aynı zamanda veri sahiplerine de birçok hak tanımıştır. Söz konusu hakların kullanılmasıyla, veri sahibine kendi verisinin kaderine bir ölçüde hâkim olma imkânı tanınmıştır. Bu kapsamda veri sahiplerinin verilerinin işlenmesine ilişkin bilgi talep etme, ihlal halinde Kişisel Verileri Koruma Kuruluna şikâyette bulunma ve veri sorumlusundan zararının tazminini isteme gibi birçok hakkı mevcuttur. Bu hakları sıralamak gerekirse; 

a) Bilgi Talep Etme Hakkı

Veri sahibiveri sorumlusuna başvurarak

  • Kendisinin kişisel verisinin işlenip işlenmediğini,
  • Kişisel verisinin hangi amaçla işlendiğini,
  • Verilerinin belirlenen işleme amacına uygun kullanılıp kullanılmadığını
  • Bu verilerin gerek yurt içinde gerekse de yurt dışında kimlere aktarıldığını ve
  • Kişisel verilerinin işlenmesine ilişkin diğer her türlü bilgiyi

öğrenmeyi talep etme hakkına sahiptir. Bu kapsamda kişiler, verilerinin -örneğin- bir e-ticaret sitesi tarafından işlenip işlenmediğini merak ettikleri takdirde bu durumu sorabilecek, bu verilerin kimlere aktarıldığını ve hangi amaçla işlendiğini öğrenmeyi talep edebilecektir.

Hatta bu sayede veri sahipleri, örneğin adres işlemeye dair kendilerine karşı ileri sürülen “hizmeti doğru adrese gönderme” maksadına uygun şekilde bir işlemenin olup olmadığını da sorgulayabilecektir. 

b) Kişisel Verilerin Düzeltilmesini İsteme Hakkı

Geniş çaplı bir koruma hedefleyen Kanun, yalnızca izinsiz veya amacından sapan veri işleme faaliyetlerine değil aynı zamanda yanlış ve eksik işlenen kişisel verilerin yol açabileceği zararlara karşı da veri sahibine koruma sağlamaktadır. Bu kapsamda veri sahibi, kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme hakkına sahiptir.

Böylece örneğin, gastrit olmasına rağmen hastalığı sigorta şirketinde mide delinmesi olarak işlenen bir veri sahibi, bu hatanın düzeltilmesini sigorta şirketinden talep edebilecektir. Bir başka örnek olarak Almancadan aldığı yüksek sınav puanı dosyasına eklenmeyen bir personel, bu eksikliğin düzeltilmesini işvereninden talep edebilecektir. 

Ayrıca veri sahibi, bu işlemlerin kişisel verilerin aktarıldığı üçüncü Kişilere bildirilmesini de talep etme hakkına sahiptir. 

c) Kişisel Verilerin Silinmesini Veya Yok Edilmesini İsteme Hakkı

Veri sahipleri, veri sorumlusu tarafından veri işlemeyi gerektiren bütün sebeplerin ortadan kalkması halinde işlenen verilerinin silinmesini, yok edilmesini veya anonimleştirilmesini isteme hakkına sahiptir. Bu noktada belirtmeliyiz ki veri işlemeyi gerektiren sebep, zaman içerisinde kendiliğinden ortadan kalkabileceği gibi veri sahibinin dilediği zaman açık rızasını çekmesi ile de kalkabilir.

Dolayısıyla bir çalışan, (dava zamanaşımı süresi de geçtikten sonra) işvereninden kişisel verilerinin imha edilmesini isteyebileceği gibi bir abone de, kişisel verilerinin işlenmesine vermiş olduğu açık rızayı geri almak suretiyle kişisel verilerinin silinmesini talep edebilir. 

Elbette açık rızanın geri çekilmesi halinde verilerin silinebilmesi için veri işleme faaliyetinin açık rızaya dayalı olarak yürütülüyor olması gerekir. Veri sorumlusunun kişisel verileri saklaması zaten Kanun’da yer alan istisnalardan birine dayanıyorsa (örneğin tacirlerin Türk Ticaret Kanunu’ndan kaynaklanan ticari belgeleri 10 yıl saklama zorunluluğu gibi) veri sahibinin rızasını çekmiş olması verilerin silinmesini gerektirmez.

Ayrıca veri sahipleri, kişisel verilerinin silinmesi, yok edilmesi ya da anonim hale getirilmesi işlemlerinin verilerin aktarıldığı üçüncü kişilere bildirilmesini talep etme hakkına da sahiptir. 

d) Aleyhine Çıkan Sonuçlara İtiraz Etme

Kişiler, kişisel verilerinin münhasıran otomatik sistemler vasıtasıyla analiz edilerek işlendiği durumlarda kendileri aleyhine çıkan sonuçlara itiraz etme hakkına sahiptir. Kanun koyucunun bu tarz bir koruma yolu öngörmesindeki amaç, teknolojik vasıtalarla yanlış sınıflandırmaya karşı bireyi korumaktır.

Örneğin, kredi kartı harcamalarını analiz eden bir yazılım, kişinin sürekli tekel bayiinden alışveriş yapmasından hareketle o kişiyi “risk grubu”na sokarsa yahut çalışanlarının yazışmalarını takip eden bir robot; seçilen kelimeler, maile cevap verme süresi, yazma hızı gibi unsurları analiz ederek personel ile ilgili “aşırı heyecanlı” gibi bir sonuç çıkarırsa aleyhine sonuç çıkarılan veri sahipleri otomatik yollarla edinilen bu sonuçlara itiraz edebilecektir.  

e) Kişisel Verilerinin Genel İlkelere Uygun İşlenmesini Talep Hakkı

Veri sorumluları, kişisel veri işleme faaliyetlerinde Kanun’da düzenlenen genel ilkelere uymakla mükelleftir. Bu kapsamda kanun koyucu, bir şemsiye hüküm olarak kişisel verilerin kanunda yazan genel ilkelere ve yasal veri işleme şartlarına bağlı olarak işlenmesi şartını koymuştur. Bu yükümlülük verilerin hukuka uygun bir şekilde elde edilmesi halinde de geçerlidir. Hatta veri sahibinin açık rızası alınmış olsa bile veri sorumlusu söz konusu genel ilkelere aykırı davranamaz. Zira bu ilkelere aykırı şekilde işledikten sonra kişisel verileri hukuka uygun şekilde elde etmiş olmanın pek bir önemi kalmamaktadır. Bu kapsamda veri sahiplerinin kişisel verilerinin aşağıdaki ilkelere bağlı şekilde işlenmesini talep etme hakkı bulunmaktadır:

  • Hukuka ve dürüstlük kurallarına uygun olma,
  • Doğru ve gerektiğinde güncel olma,
  • Belirli, açık ve meşru amaçlar için işlenme,
  • İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
  • İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.

Dolayısıyla veri sahibi, örneğin iş başvurusunda bulunduğu bir kurumdan özgeçmişinin yalnızca gerekli süre kadar saklanmasını veya kişisel verilerini yalnızca depolama amacıyla saklayan bulut firmasından kişisel verilerinin diğer amaçlarla işlenmesinin önlenmesini talep edebilecektir. (Genel İlkelere ilişkin detaylı bilgi için tıklayınız.) 

f) Zararın Giderilmesini Talep Etme

Bir genel hüküm olarak; kişisel verilerinin Kişisel Verilerin Korunması Kanunu’na aykırı olarak işlenmesi sonucu zarara uğrayan kişiler, bu zararın giderilmesini talep etme hakkına sahiptir. Bu kapsamda veri sahiplerinin zarara uğradıklarını ve bu zararın veri sorumlusunun kişisel verileri Kanuna aykırı şekilde işlemesi sebebiyle doğduğunun ispat edebilmesi gerekmektedir.

Örneğin, kişisel verileri güncel şekilde işlenmeyen bir veri sahibi, bu sebeple zamanında yeteri miktarda kredi alamadığını ve ticari olarak zarara uğradığını ispat ederek ilgili veri sorumlusundan tazminat talebinde bulunabilecektir. Yahut bir sohbet sitesinin veri güvenliğine ilişkin yükümlülüklerini yeterince özenli şekilde yerine getirmemesinden ötürü siber saldırıya uğraması ve veri sahibinin aslında eşcinsel olduğunun ortaya çıkması halinde zarara uğrayan kişi, bu sebeple ortaya çıkan (işten kovulma gibi) maddi ve (ailesinden dışlanma gibi) manevi zararlarının tazminini talep edebilecektir. Ancak benzer bir siber saldırı sonrasından aslında uyuşturucu kaçakçılığı yaptığı ifşa olan kişinin bu sebeple tazminat istemesi hakkaniyete aykırı olacaktır.  

Peki Bu Hakları Nasıl Kullanacağız?

Veri sahiplerinin yukarıda sıralanan hakları kullanmak için 3 alternatif yola sahip olduğunu söyleyebiliriz: 

a) Veri Sorumlusuna Başvurmak ve Akabinde Kişisel Verileri Koruma Kurulu’na Şikayette Bulunmak

Kişisel Verileri Koruma Kurulu’na başvurmak isteyen veri sahipleri, kişisel verilerine ilişkin her türlü bilgi taleplerini ve Kanun’da sayılan diğer haklarına ilişkin taleplerini, öncelikle veri sorumlusuna yazılı olarak iletmek zorundadır. Başvurunun Kurul’un belirlediği diğer yöntemlerle yapılması da mümkündür. Veri sorumlusu; bu talebi karşı en geç 30 gün içinde olumlu yahut olumsuz şekilde ücretsiz olarak sonuçlandırmakla yükümlüdür. Ancak işlemin ayrıca bir maliyeti gerektirmesi halinde Kurulca belirlenen tarifedeki ücret alınabilir.

Veri sahipleri, veri sorumlusuna başvuruda bulunmaksızın Kurul’a şikâyet haklarını kullanamazlar. Eğer veri sahibi tarafından veri sorumlusuna yapılan başvuru reddedilir, verilen cevap yetersiz olur, ya da süresi içinde cevap verilmezse, ancak bu durumda veri sahibi, Kurul’a şikâyette bulunabilecektir. Kurul’a yapılan şikâyet tarihinden itibaren 60 gün içinde cevap verilmemesi halinde şikâyet reddedilmiş sayılır. Kurul, Veri sorumluları aleyhine idari para cezasına hükmedebileceği gibi aykırılığın düzeltilmesine de karar verebilir. Ayrıca gerekmesi halinde Kurul, birtakım tedbirlere de hükmedebilecektir. Kurul’un kararları için idari yargıya başvuru yolu açıktır.

Daha detaylı bilgi için Kişisel Verileri Koruma Kurulu’na Nasıl Şikâyette Bulunulur? başlıklı yazımızı inceleyebilirsiniz. 

 b) Suç Duyurusunda Bulunmak

Veri sahipleri yahut üçüncü kişiler; veri sorumluları tarafından “Kişisel Verilerin Hukuka Aykırı Kaydedilmesi”, “Kişisel Verileri Hukuka Aykırı Olarak Yayma veya Ele Geçirme”, “Kişisel Verileri yok etmeme” suçlarının işlendiğinden şüpheleniyorsa yukarıdaki başvuru prosedüründen bağımsız olarak doğrudan savcılığa suç duyurusunda bulunabilirler. Bu suçlar şikâyete bağlı olmadığı için yalnızca suçtan zarar gören kişi değil herkes suç duyurusunda bulunabilir. Suçun işlendiğinin sabit olması halinde sorumlular hakkında (suçun niteliğine göre) 6 yıla kadar hapis cezasına hükmedilme ihtimali mevcuttur. 

c) Genel Mahkemelerde Dava Açmak

Veri sahipleri, Kanun’a aykırılık nedeniyle bir zarar uğramaları halinde tazminat talebinde bulunabilirler. Zarara uğrayan veri sahipleri, zararı ve bu zararın kişisel verilerin korunması hukukuna aykırı davranıştan kaynaklandığını ispat eden bilgi ve belgelerle genel mahkemelere başvurabilecektir. Eğer dava idareye karşı açılıyorsa idare mahkemelerine, diğer kişilere karşı açılıyorsa hukuk mahkemelerine başvurulması gerekmektedir.

11 Ocak 2018
0
0
haklar veri sahibi
Related Posts
Aleni Verilerin İşlenmesi
 6 Şubat 2019
Veri Sahibi kimdir?
 15 Şubat 2018
Kişisel Verileri Koruma Kurulu’na Nasıl Şikâyette Bulunulur?
 6 Şubat 2018
Avatar
aydo
Yorum Bulunmuyor

Yorum Yapın