Hangi alanlarda hangi verilerimizi koruma altına almalıyız?

Alara YILMAZ

Bilişim Hukuku Yönetici Avukatı

Rasyotek İnsan Kaynakları Bilişim AŞ.

Sosyal medyada, iş başvurusu sırasında, alışveriş öncesi ve sonrası kişisel verilerimiz güvende mi? Hangi alanlarda hangi verilerimizi koruma altına almalıyız?

Kişisel Verileri Koruma Kanunu'nun (KVKK) yürürlüğe girmesinin üzerinden 6 yıl geçti. 6698 Sayılı Kanunla kişisel verilerin işlenmesi ve saklanması konusunda kamu kurumları başta olmak üzere tüm özel şirketlere önemli yükümlülükler getirilmesine rağmen, gelişen teknoloji bu konuda çok önemli bilgilerimizi riske atıyor.  

Sosyal medya ve eğitim kurumlarında nelere dikkat edilmeli?

Özellikle okul kayıtları veya kayıt yenilemeleri esnasında vatandaşların mutlaka kişisel verilerin işlenmesi süreçleri ile ilgili bilgi talep etmeleri gerekiyor. Örneğin çocuklarının bilgileri nerelerde ve ne şekilde kullanılacak, kimlerle hangi amaçlarla paylaşılacak bunlarla ilgili bilgi alabilirler. Yine çocukların verileri eğitim faaliyetleri dışında kullanılacak veya paylaşılacak ise bu faaliyetlere ilişkin izin alınması gerekiyor. Eğer ki ebeveynimiz çocuğunun kişisel verilerinin farklı amaçlar ile işlenmesine onay vermiyor ise eğitim kurumu da bu faaliyetlerini gerçekleştiremeyecektir.   

Okul bilgileri, sınav notları KVKK ihlali kapsamına girer mi?

KVKK’da kişisel veri gerçek kişiyi tanımlamaya yönelik her türlü bilgi olarak kabul ediliyor. Dolayısıyla bu tanımdan hareketle örneğin çocuğun adının soyadının yanında sınav notu, sınıfı vs. herkese açık olarak paylaşılıyor ise bu durum veri ihlali kapsamına girer. Nitekim bu konuyla ilgili de Kişisel Verileri Koruma Kurumu’nun çeşitli kararları mevcut. Bu nedenle özellikle öğrenci bilgilerinin kimlik doğrulama sistemi ile giriş yapılan ortamlarda bulundurulması gerekiyor.   

Doğum günü etkinlikleri ve sosyal etkinlik görüntüleri veri ihlali mi?

Çocukların doğum günleri ya da herhangi bir doğum günü etkinliğinde bilgi ve görüntüsünün yer almasını yasal açıdan nasıl değerlendirmeliyiz? En çok duyduğumuz sorulardan biri.  

Gelişen teknoloji ile artık teknolojinin kullanımı 3-4 yaşlarına kadar düştü diyebiliriz. Bununla beraber sosyal medya üzerinde ebeveynler de çocuklarının her fotoğrafını paylaşmaya başladılar. Ancak bu durum ne yazık ki doğru bir uygulama değil. Evrensel mevzuatlarda biliyoruz ki her zaman çocukların üstün yararından söz ediliyor. Bu noktada çocukların kişisel verilerinin işlenmesinde de her zaman çocuğun üstün yararı göz önüne alınmalı. Bu konuda bizim mevzuatımızda açık bir düzenleme olmamakla birlikte Avrupa Birliği Genel Veri Koruma Tüzüğü’nü incelediğimizde çocukların kişisel verilerinin işlenmesine ilişkin çeşitli düzenlemeleri görüyoruz. 16 yaşından küçük çocuklarda veli veya vasisinin bu işleme faaliyetleri için rıza göstermesi gerekiyor. Aksi durumda bu tür görüntü ve bilgilerin paylaşılması hukuka aykırı kabul ediliyor. Yine ebeveynlerin yaptığı paylaşımlarla ilgili olarak da hem bu noktada farkındalığın artması gerekiyor hem de yapılan paylaşımlara dikkat edilmesi gerekiyor. Veli/vasilerin kişisel veriler üzerindeki yetkisi de çocuğun üstün yararına hizmet ediyor olmalıdır.  

YouTube sokak röportajlarına dikkat!

Son günlerde YouTube gibi mecralarda son derece popüler olan sokak röportajlarındaki görüntülerde (Röportaj kaydı başlamadan ya da ortasında, konuyla ilgisiz biçimde çekilen tanıtım görüntülerinde) yüz hatları ve kim olduğu açıkça görüntülenen kişilerin KVKK ihlali söz konusu mu?  

Youtube gibi herkese açık erişimi olan kaynaklarda yapılan sokak röportajları aslında basın ve ifade özgürlüğü kapsamında değerlendirilebilir. Bu nedenle KVKK’nın istisna maddeleri gündeme geliyor. Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi halinde KVKK hükümleri uygulanmıyor. Ancak veri mahremiyeti ilkeleri kişilik haklarının ihlali konusunun kamu yararı ile doğru şekilde karşılaştırılması ve değerlendirilmesi gerektiğini unutmamak gerekiyor.  

KVKK ihlali nerede başlar, nerede biter? 

KVKK ihlali aslında verinin KVKK kapsamında işlenmesi anından itibaren başlayabilir. Örneğin siz yeni bir işe başlayacaksınız ve iş görüşmesine gittiniz. Görüşmenize insan kaynakları departmanından birisi girmemiş veya sizin özgeçmiş bilgilerinize yetkisiz birisi erişim sağlamış ise bu da bir veri ihlali sayılacaktır. Bu durumun bir veri ihlali teşkil ettiğini ise veri sorumlusunun bilmesi ve bu konuyla ilgili aksiyonları alması gerekiyor. Yine sizin izniniz olmadan telefonunuza gönderilen tanıtım mesajları, size yanlış fatura gönderilmesi, sosyal medya hesaplarınızın çalınması, büyük şirketlerde yaşanan siber güvenlik açıkları nedeniyle oluşan ihlalleri sayabiliriz. İhlal boyutuna göre değişkenlik gösterse de farklı şekillerde ihlaller gerçekleşebiliyor. Gündelik yaşamımızda özellikle veri güvenliği ve mahremiyeti konuları hakkında farkındalık oluşturur isek bizim de burada ölçütleri belirlememiz mümkün hale gelecektir.  

Yine bir örnek paylaşmak isterim, hastanede sıra bekliyorsunuz ve yanınızdaki kişi yabancı olduğu için elindeki sağlık raporunu anlayamıyor ve size gösteriyor. Siz de o bilgilere erişim sağlıyorsunuz ve kendisine tercüme ediyorsunuz. Normal şartlarda bu da aslında özel nitelikle kişisel verilere yetkisiz erişim olarak değerlendirilebilir. Belki de sizin sağlık raporunuzu gören kişi o esnada sizin kişisel verilerinizi kaydetti ve pazarlama amacıyla kullanmış olabilir. Bu gibi durumlar için farkındalıktan söz ediyoruz. Biz ne kadar bu konulara hassasiyet gösterirsek, şifrelerimizi ne kadar karmaşık yaparsak, sosyal medya hesaplarımızda kendimize dair ne kadar az ilgi paylaşırsak, kötü niyetli kişilerin bu eylemleri de daha zor hale gelecektir.