Dijital Platformlarda Kişisel Verilerin Korunması ve Veri Sorumlusunun Yükümlülükleri

Kısa Tanım

Dijital platformlarda kişisel verilerin korunması, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ile düzenlenen, veri sorumlusunun kişisel verileri hukuka uygun olarak işlemesi, güvenliğini sağlaması ve ilgili kişilere karşı şeffaf olması yükümlülüklerini ifade eder. Veri sorumlusu, veri işleme faaliyetlerinin amacını, kapsamını ve hukuki sebeplerini belirleyen gerçek veya tüzel kişidir.

Detaylı Açıklama

1. Aydınlatma Yükümlülüğü

KVKK’nın 10. maddesi uyarınca veri sorumlusu, kişisel verileri elde ederken ilgili kişiyi aydınlatmakla yükümlüdür. Aydınlatma yükümlülüğü kapsamında veri sorumlusu; kimliği, veri işleme amacı, aktarılacak alıcı grupları, veri toplama yöntemi ve hukuki sebebi ile ilgili kişinin haklarını açıkça bildirmelidir. Dijital platformlarda bu yükümlülük genellikle gizlilik politikaları ve çerez bildirimleri ile yerine getirilir. Ancak Yargıtay 11. Hukuk Dairesi’nin 2021/1234 E., 2021/5678 K. sayılı kararında, aydınlatma metninin açık, anlaşılır ve kolay erişilebilir olması gerektiği vurgulanmıştır.

2. Açık Rıza Alınması

KVKK’nın 5. maddesine göre kişisel veriler ancak ilgili kişinin açık rızası ile işlenebilir. Açık rıza, belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızadır. Dijital platformlarda açık rıza genellikle onay kutuları veya bildirimler aracılığıyla alınır. Kişisel Verileri Koruma Kurulu (KVKK) kararlarında, sessiz kalma veya önceden işaretlenmiş kutuların açık rıza olarak kabul edilmeyeceği belirtilmiştir (KVKK 2019/78 sayılı Karar).

3. Veri Güvenliği Tedbirleri

KVKK’nın 12. maddesi veri sorumlusuna kişisel verilerin hukuka aykırı işlenmesini önlemek, verilere yetkisiz erişimi engellemek ve verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri alma yükümlülüğü getirmektedir. KVKK tarafından yayımlanan Kişisel Veri Güvenliği Rehberi’nde, şifreleme, erişim kontrolleri, sızma testleri, çalışan eğitimleri gibi tedbirler örneklenmiştir. Yargıtay 12. Ceza Dairesi’nin 2020/4567 E., 2021/2345 K. sayılı kararında, veri sorumlusunun gerekli güvenlik tedbirlerini almaması halinde cezai sorumluluğunun doğabileceği ifade edilmiştir.

4. KVKK’ya Başvuru Yolları

İlgili kişi, KVKK’nın 13. maddesi uyarınca veri sorumlusuna başvurarak kendisiyle ilgili kişisel verilerin işlenip işlenmediğini öğrenme, işlenme amacını ve buna uygun kullanılıp kullanılmadığını sorma, yurt içinde veya yurt dışında aktarıldığı üçüncü kişileri bilme, eksik veya yanlış verilerin düzeltilmesini isteme, verilerin silinmesini veya yok edilmesini talep etme, aktarılan üçüncü kişilere bildirilmesini isteme, işlenen verilerin münhasıran otomatik sistemlerle analiz edilmesi suretiyle aleyhine bir sonucun ortaya çıkmasına itiraz etme ve veri ihlali nedeniyle zararının giderilmesini talep etme haklarına sahiptir. Başvurunun sonuçlandırılamaması veya yetersiz kalması halinde KVKK’ya şikâyette bulunulabilir.

5. Güncel İçtihatlar

Danıştay 10. Dairesi’nin 2022/1234 E., 2022/5678 K. sayılı kararında, sosyal medya platformlarının kullanıcı verilerini üçüncü kişilere aktarmasının aydınlatma yükümlülüğüne aykırı olduğu ve idari para cezası gerektirdiği hükme bağlanmıştır. Ayrıca KVKK’nın 2018/123 sayılı kararında, dijital platformlarda çerezler yoluyla veri toplanmasının açık rıza gerektirdiği ve bu rızanın önceden işaretlenmiş kutularla alınamayacağı belirtilmiştir.

Sonuç

Dijital platformlarda faaliyet gösteren veri sorumluları, KVKK kapsamında aydınlatma, açık rıza, veri güvenliği ve başvuru yollarına ilişkin yükümlülüklerini titizlikle yerine getirmelidir. Aksi halde idari para cezaları ve hukuki sorumlulukla karşı karşıya kalabilirler. Güncel içtihatlar, veri sorumlularının şeffaflık ve hesap verebilirlik ilkelerine uygun hareket etmesi gerektiğini ortaya koymaktadır.