Aile fotoğrafları ve gezdiğiniz yerleri paylaştığınız sosyal medya hesapları, tatil yapmak için gittiğiniz bir otele verdiğiniz kimlik kartınız, kargo için paylaştığınız adresiniz, masumane bir alışveriş yaparken harcama yapmak için kullandığınız kredi kartı bilgileriniz, aradığınız yeri bulmak için faydalandığınız lokasyon bilgileri, aslında teknoloji ile bağlantılı hemen hemen her detay sizi tanımlıyor.
Yaşam biçiminiz, neye eğiliminizin olduğu, ihtiyaçlarınız belki de gelecekte sizi beklemesi muhtemel durumlar veri analizi ile artık kolayca tespit edilebiliyor. Seyahat özgürlüğünüzün kısıtlandığının, güvenliğinizin tehlikede olduğunun ve bu durumun farkında olmadığınızı düşünün. Ya da evden çıktıktan sonra işyerine giderken, alışveriş yaparken sürekli izlendiğinizi düşünün. Bu durum size fazlası ile ürkütücü gelebilir. Fakat bunlar gelişen teknoloji ile birlikte günümüzde artık bir gerçek haline gelmiş durumda. Kişisel verilerimiz bu kadar önemli hale gelmişken işte bu verilerin güvenliğinin sağlanması için ülkemizde uygulanan kanunlar bulunuyor. 2016 yılında yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanun’u (“KVKK” veya “Kanun”) kişisel verilerin işlenmesinde rol olan sorumluların temel olarak uyması gereken kurallar bütününü oluşturuyor.
6698 Sayılı Kişisel Verilerin Korunması Kanunu’nu gerçek kişilere ait kişisel verileri kaydeden, düzenleyen, aktaran kısacası bu verileri işleyen gerçek ve tüzel kişiler hakkında uygulanmakta. Dernek kavramı ise Türk Medeni Kanunu’nda “tüzel kişiliğe sahip kişi topluluklar.” şeklinde tanımlanıyor. Dolayısıyla derneklerin de Kişisel Verilerin Korunması Kanun’u kapsamında sorumlulukları bulunuyor. Ülkemizde kurulu dernekler ve sivil toplum kuruluşlarının gerçekleştirdiği faaliyetler bakımından kişisel verilerin korunması son derece önemli hale geliyor. KVKK ve ilgili mevzuat kapsamına giren çalışmalar yapan derneklerin, mevzuat çerçevesinde kanuna uyma noktasında aşağıda bahsedileceği üzere ciddi sorumlulukları bulunmaktadır. Bu sorumlulukların gereği yerine getirilmediğinde, 9.000 TL’den 1.950.000 TL’ye kadar idari para cezası ile karşılaşılabilir ve dernek yöneticileri veya gönüllüleri suç teşkil eden fiillerinden 1 yıldan 3 yıla kadar hapis cezası ile karşı karşıya kalabilir.
6698 sayılı Kişisel Verilerin Korunması Kanunu’na göre kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak tanımlanmaktadır. Kimlik bilgileri, iletişim bilgileri gibi bilgiler kişisel veri olarak değerlendirildiği gibi araç plakası da kişiyi tanımladığı için kişisel veri olarak değerlendirilebilmektedir. Tüm bunlarla beraber kanun daha fazla korunmasını istediği birtakım veriler de saymış ve buna da özel nitelikli kişisel veriler denmektedir. Özel nitelikli kişisel veriler öğrenilmesi halinde kişiyi ayrımcılığa maruz bırakacak bilgilerden oluşmaktadır. Bu kapsamda en hassas yaklaşılan özel nitelikli kişisel veri sağlık bilgisi olarak değerlendirilmektedir. Bununla beraber dernek, vakıf, sendika üyeliği, ceza mahkumiyeti verileri, siyasi düşünce, felsefi dini inanç bilgileri, biyometrik ve genetik veriler de özel nitelikli kişisel veriler olarak sınırlı bir şekilde kanunda sayılmıştır. Derneklerin gerçekleştirdiği faaliyetleri kapsamında üyeler, ziyaretçiler, konuklar gibi pek çok kişinin kişisel verilerinin işlenmesi söz konusudur. Bu veriler bakımından dernekler Kanun’a uygun hareket etmelidir. Aşağıda derneklerin KVKK ve ilgili mevzuat kapsamında temel olarak süreçlerinde dikkat etmesi gereken açıklamalara yer verilmiştir.
İlk olarak dernekler, üyelerine ait dernek üyeliği bilgisini kendi bünyelerinde tutmaktadır. Söz konusu dernek üyeliği bilgisi özel nitelikli kişisel veri olarak değerlendirildiğinde bu bilginin kanuni zorunluluklar dışında izinsiz üçüncü kişiler ile paylaşılmaması gerekmektedir. Kanun kapmasında getirilen yükümlülüklerden biri Kanun’un 4.5. ve 6. maddelerinde sayılan usul ve esaslara uygun olarak kişisel verilerin işlenmesidir. Bu kapsamda dernekler toplamış olduğu kişisel verileri mutlaka ölçülü bir amaç doğrultusunda keyfiyete dayalı işlemler yapmadan gerekli olan süre kadar muhafaza etme ilkesi uyarınca saklamalı ve kullanmalıdır. Dolayısıyla sivil toplum örgütleri bakımından doğru, güncel olmayan ve amaca hizmet etmeyen verilerin işlenmemesi, saklanmaması gerekmekte en nihayetinde bir tedbir olarak kişisel veriler mümkün olduğunca azaltılmalıdır.
Örneğin. Dernekler Tarafından Tutulan Üye Kayıt Defterinde Bulunması Gereken Bilgiler ile Bu Defterin Şekli Hakkında Tebliğ’de “dernek yönetim kurulunca başvurusu kabul edilen gerçek kişi üyenin; adı soyadı, T.C. kimlik numarası, tabiiyeti, anne adı, cinsiyeti, üyeliğe giriş ve üyelikten çıkış tarihlerinin deftere yazılması zorunludur.” ifadesi belirtilen kişisel verilerin dernek üyeleri ilgili kişilerden alınabileceğini açıkça öngörmektedir. Bu kapsamda tebliğde bahsedilen kişisel veriler derneklerce kanuni dayanak kapsamında işlenmekte bu kapsamda bu bilgilerin güvenliği sağlandığı sürece aykırı bir işlem bulunmamaktadır. Fakat Kanun’un 6. maddesi kapsamında derneklerin sağlık bilgisi olarak özel nitelikli kişisel verileri işlemesi için ilgili kişilerden açık rıza alarak üyelerinden veya üye adaylarından sağlık raporu, kan grubu bilgisi, aşı bilgisi, PCR sonucu, Hes Kodu gibi sağlık bilgisi içeren kişisel verileri işlemesi söz konusu olabilmektedir. Kişilerden açık rıza alınmaksızın bu şekilde bilgi toplanması hukuka aykırı olduğu gibi idari yaptırımlarla da karşı karşıya kalınabilir.
Bununla birlikte Dernekler Yönetmeliği 39. maddesi uyarınca defterler hariç olmak üzere, dernekler tarafından kullanılan alındı belgeleri, harcama belgeleri ve diğer belgeler özel kanunlarda belirtilen süreler saklı kalmak üzere, kaydedildikleri defterlerdeki sayı ve tarih düzenine uygun olarak 5 yıl süreyle saklanacağı düzenlenmiştir. Bu sürelerin dolmasından sonra bu kişisel verilerin saklama süresini tamamlaması sebebi ile imha edilmesi gerekmektedir. Bu ve buna benzer örnekler yasal mevzuat uyarınca çoğaltılabilir.
Türkiye’de kişisel veri toplayan, işleyen, depolayan veya Türkiye dışında bulunsa bile Türkiye ile bağı kurulabilecek her türlü kişisel veriyi toplayan, işleyen ve depolayan tüm gerçek ve tüzel kişiler Kanun kapsamına girdiğinden bahsetmiştik. Bilindiği üzere, ülkemizde birçok yerli ve yabancı sivil toplum kuruluşu kuruldukları amaçları gerçekleştirebilmek için yürüttükleri faaliyetler sırasında kişisel verileri toplamakta, depolamakta ve yurt içine ya da yurt dışına aktarmaktadır. Örneğin gmail,yandex,hotmail gibi mail sistemlerinin kullanılması, yurtdışı tabanlı internet siteleri üzerinden etkinliklere başvurular alınması gibi eylemler bu internet platformlarının sunucularının yurtdışında bulunması sebebi ile kişisel verilerin yurtdışına aktarılması anlamını taşımaktadır. Bugün için dernekler bakımından bu eylemlerde kanuna uygun hareket edebilmek için tek bir çıkış yolu bulunmaktadır. İlgili kişilerden kişisel verilerinin yurtdışına aktarılması konusunda açık rıza alınmalıdır. Google gibi altyapıları kullanarak işlemlerini yürüten organizasyonların bu noktada başvuru formları ve iletişim alanlarına açık rıza beyanlarını içeren onay mekanizmalarını ekleyerek ilerlemesi gerekmektedir.
Sivil toplum kuruluşlarının bir diğer önemli yükümlüğü ise Kişisel verilerin 10. maddesine göre aydınlatma yükümlülüğünü yerine getirmesidir. Aydınlatma yükümlülüğü, kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi tarafından temel olarak ilgili kişilere bilgi verilmesidir. Toplamış olduğu kişisel verilerin toplanma amacı, yöntemi, hukuki sebebini açıklayacağı şekilde ilgili kişileri aydınlatması gerekmektedir. Bu aydınlatma kapsamı içerisinde hareket etmektedir.Kişisel verilerin aktarılması konusu da kişisel verilerin güvenli saklanması kadar önem arz etmektedir. Bir kişisel verinin kanuni gereklilikler dışında izinsiz paylaşımı geri dönülmez sonuçlara yol açabilmektedir.
Kişisel Verileri Koruma Kurumuna intikal eden bir şikayette ilgili kişinin cep telefonu numarasına bir dernek tarafından reklam içerikli SMS gönderildiği, ilgili kişinin bu tür mesajlardan rahatsız olması, derneğin kendisine ait kişisel verileri nereden elde ettiğini bilmemesi ve kişisel verilerinin kendisinin açık rızası olmaksızın kullanılması nedeniyle 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) uyarınca dernekten bilgi talebinde bulunduğu, söz konusu bilgi alma talebine 30 günlük yasal süre içinde herhangi bir yanıt verilmediği belirtilerek, veri sorumlusu dernek nezdinde gerçekleşen tüm usulsüzlüklerin ortaya çıkarılması ve gerekli yaptırımların uygulanması talep edilmiş; Kurum tarafından veri sorumlusu tarafından ilgili kişinin SMS gönderimine ilişkin açık rızasının tespit edilemediğinin açıkça belirtildiği, bu çerçevede şikayetçinin kişisel verisi niteliğindeki cep telefonu numarasının elde edilmesi ve reklam içerikli SMS gönderimi için kullanılması şeklide gerçekleşen kişisel veri işleme faaliyetinin Kanuna aykırılık teşkil ettiği, bu durumun ise veri sorumlusu tarafından veri güvenliğine ilişkin yükümlülüklerin yerine getirilmediğinin göstergesi olduğu değerlendirmelerinden hareketle idari para cezası verilmiştir.
Kişisel Verileri Koruma Kurulu tarafından buna benzer yüzlerce karar yayımlanmaktadır. Uygulamada sivil toplum örgütleri kanun kapsamında bir sorumluluğu bulunmadığı düşüncesi ile hareket etse de kanuna uygun hareket etme bakımından dernek ve benzeri kuruluşların bir ayrıcalığı bulunmamaktadır. Bu kapsamda tüm sivil toplum kuruluşlarının da yaptığı faaliyetlerde kanuna uygun hareket etme noktasında özen göstermesi son derece önemlidir.
Av. Girayhan OCAK
Commentaires