İle Av. Alper Atmaca Ağustos 1, 2018
Kişisel verilerin korunması kanunun 11. maddesi ilgili kişilere, yani verilerinin sahibi olan kullanıcılara verileri üzerinde yeni haklar getiren yenilikçi bir düzenleme öngörmektedir. Söz konusu hüküm şu şekildedir;
İlgili kişinin hakları
MADDE 11- (1) Herkes, veri sorumlusuna başvurarak kendisiyle ilgili;
a) Kişisel veri işlenip işlenmediğini öğrenme,
b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,12305
e) 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir
sonucun ortaya çıkmasına itiraz etme,
ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme,
haklarına sahiptir.
Hüküm bakımından veri sahipleri, veri işleyen kişilerden kendileri ile ilgili olan bilgileri sorma, kopyasını alma başta olmak üzere bilgilere ilişkin sayılan diğer taleplerde bulunma haklarına sahipler. Bu hakkın kullanımı noktasında kanun koyucunun, (e) bendinde kanımızca çok önemli bir işlem için seçtiği kavramın uygulamada sorunlara yol açabileceğini öngörüyoruz.
Silme ve yok etme fiilleri kavramsal olarak farklıdır. Silme bilgiye ilişkin bir eylem olup bilginin kaydedildiği ortamın, içerdiği anlamı ortadan kaldıracak bir şekilde tekrar işlenmesidir. Yok etme ise bilgiye değil fiziki nesnelerin kullanım özelliklerini yok etmek adına bir eylemdir. Örnekle kurşun kalem ile kağıt üzerine yazılmış bir bilgiye, silgi sürülürse silinmiş, kağıt yakılır ise yok edilmiş olunur. Bu ayrım, gündelik hayatta bilgiye ilişkin istenen sonuç silmek veya yok etmek ile elde edilebileceğinden geçirgen olmaktadır. Bir şeyin silinmesi ile yok edilmesi arasındaki teknik fark son kullanıcı tarafından farkında olunulan bir durum değildir.
Kanun’un ifadesi ile 11/e bendinde kullanıcıların 7. maddedeki koşulların bulunması durumunda veri sorumlusundan kendileri hakkındaki verinin silinmesini veya yok edilmesini talep etme haklarının bulunduğu belirtilmektedir. Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliğin 8. ve 9. maddeleri silme ve yok etme işlemlerini tanımlarken; silme eylemi için ilgili kullanıcılar için erişiminin imkansızlaştırılması, yok etme eylemi için de herkes tarafından erişiminin imkansızlaştırılmasını ifade etmiştir. Bu bakımdan kanunun belirttiği silme eylemi, gündelik kullanımı da dahil olmak üzere silme fiilinin mutlak ortadan kaldırma anlamını taşımamaktadır.
Bu bakımdan 11. madde kapsamında veri sorumlusuna başvuran bir ilgili kişi, talebini kendisine ait olan kişisel bilgilerin silinmesi yönünde yaptığında, varsayılan iradesi olan verinin tamamen imhası mı yoksa kanunun teknik olarak farklı tanımladığı erişimin engellenmesi işleminin mi uygulanacağı kanımızca tartışmalıdır. Şayet ilgili kişinin talebi üzerine kişisel verisi, talebinin gerçek kastı ile yok edilmeyip sadece kanunun tanımladığı şekli ile siler, yani erişimi engellerse ve olası bir güvenlik sızıntısı sonucu kişisel verisi açığa çıkarsa sorumluluk nasıl tanımlanacaktır?
Bu bakımdan kişisel verisi hakkında işlem yapmak için yola çıkan tüm ilgili kişilerin uygulamadaki durum netleşinceye kadar bahsedilen ayrımın farkında olarak hareket etmeleri ve kişisel verileri hakkında talepte bulunurken silme ve yok etme kavramlarının kanun hükmündeki farkını dikkate alması tarafımızca tavsiye edilir.