Spor olsun diye parmak izi verme
‘Güvenlik’ gerekçesiyle parmak izi kullanılması yaygınlaşıyor. Kimi spor salonlarına bile parmak iziyle giriliyor. KVKK Başkanı Prof. Dr. Bilir, “Parmak izi şartıyla hizmet kanuna aykırı” diyor
Kişisel verilerin korunmasının anayasal bir hak olduğunu söyleyen Kişisel Verileri Koruma Kurumu (KVKK) Başkanı Prof. Dr. Faruk Bilir, 7 Nisan 2016’da yürürlüğe giren Kişisel Verilerin Korunması Kanunu’nun başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve hürriyetlerini korumayı amaçladığını söyledi. “Kişisel verilerin korunmasını istemek bir anayasal haktır. Kanunun 11. maddesinde kişilere bu haklar veriliyor. Kişisel hakların korunması dediğimizde aslında korunan kişinin kendisidir. Bu bir kişilik hakkı” diyen Bilir, “Öncelikle kişisel veri kavramını ortaya koymak gerekiyor. Kanun kişisel veriyi şöyle tanımlıyor, kimliği belirli veya belirlenebilir bir gerçek kişiye ilişkin her türlü bilgi. Kişiyi doğrudan veya dolaylı tanımlayan her türlü bilgi diyebiliriz” şeklinde konuştu.
Milyonluk cezası var
Milliyet'ten Kadife Şahin'in haberine göre, KVKK olarak kişisel verilerin korunması konusunda toplumda gereken bilinç ve ilginin oluşmasına önem verdiklerini söyleyen Bilir, kişisel verinin işlenmesinin, amacına uygun şekilde kullanımının gerçekleşmesinin, güvenliğinin sağlanmasının ve yasal sürede silinmesinin düzenlemelerle belirlendiğini söyledi.
Kurum olarak kişisel verinin işlenmesinde hukuka aykırılık söz konusu olduğunda idari para cezası uygulama yetkileri olduğunu, ancak konusu suç teşkil eden hukuka aykırılıkların mahkemelerin görev alanına girdiğini ifade eden Bilir, en fazla 1 milyon TL para cezası uygulama yetkileri olduğunu, bu rakamın güncellenerek 1 milyon 400 TL’ye kadar çıktığını söyledi.
- Kişisel veri nedir?
Kişiyi başkalarından ayırt eden her türlü bilgi kişisel veridir. Adımız soyadımız, TC kimlik numaramız, adresimiz vs. Önemli olan o kişiyi belirli veya belirlenebilir kılması. Belirli olması dediğimizde doğrudan doğruya o kişiye ulaşılmasını kastediyoruz. Bazı durumlarda bilenebilir olmak için bir takım ek bilgilere ihtiyaç var. Örneğin araç plaka numarası başlı başına bir kişisel veri midir? Evet kişisel veridir. Doğrudan sizin araç plakanıza bakarak sizin olduğunuzu tespit edemeyebilirim ancak başka kaynaklardan yapılan sorgulama neticesinde bu aracın size ait olduğunu söyleyebilirim. Ya da bir kişinin çalıştığı yer ve görevi ile ilgili bilgiler bir araya geldiğinde o kişiyi belirleyici nitelikte olabilir. X şirketinin CEO’su dediğiniz zaman isim verilmeden tanımlama yapılmış olur. Bir başka örnek ise kişilerin takma isimleridir. Takma isimler tek başına veya başka kaynaklarla birleştirildiğinde kişiyi tanımlamayı sağlayabilecek nitelikte ise bu tarz veriler de kişisel veri olarak kabul edilir. Kanun kişisel veride herhangi bir sınırlamaya gitmiyor. Bu tanım çerçevesinde sizi belirli ya da belirlenebilir kılan her türlü bilgi kişisel veridir.
Kanun bazı verileri ise özel nitelikli kişisel veriler olarak sınıflandırmış. Örneğin, kişilerin ırkı, etnik kökeni, dini, ceza mahkumiyeti, biyometrik veya sağlığı ile ilgili veriler özel nitelikli kişisel verilerdir. Bu veriler öğrenilmesi halinde kişilerin mağdur olmasına ya da ayrımcılığa maruz kalmasına neden olabilir. Kanun bu verileri daha sıkı koruma altına almıştır.
- Uyarılarınız nedir?
Kanun verinin nasıl işleneceği, yurtiçinde ve yurtdışında nasıl aktarılacağı ve verinin güvenliğinin nasıl sağlanacağı güvence altına alıyor. Verisi işlenen kişinin aydınlatılması bilgilendirilmesi gerekiyor. Bu verinin kendisinden neden alındığı, bunların güvenliğinin nasıl sağlanacağı, verilerin başkalarıyla paylaşılıp paylaşılmayacağı, yurtiçi veya yurtdışına aktarılıp aktarılmayacağı gibi konularda bilgi verilmesi gerekiyor. Bu konularda kişiye bilgi verilmeden verisi işlenemez.
Hizmet ‘açık rıza’ şartına bağlanamaz
- Açık rıza nasıl alınmalı?
Kanun açık rızanın alınmasında bir şekil şartı öngörmüyor. Yazılı, sözel (telefonla da) ya da elektronik ortamda olabilir. Ancak açık rızanın alınıp alınmadığı konusunda bir ihtilaf olursa ispat sorumluluğu veri sorumlusuna ait. Hizmetin sunumu kişisel verisinin işlenmesi şartına bağlanmamalı. Sözleşmelerde “açık rızanızı vermezseniz bu hizmetten faydalanamazsanız” gibi bir maddenin yer aldığını görüyoruz. Spor merkezlerine bir sözleşmeyle üye olup o sözleşme çerçevesinde sunulan hizmetlerden faydalanıyorsunuz. Spor merkezindeki “giriş çıkışların kontrol edilmesi ve güvenlik amacıyla parmak izinizi istiyoruz” diyebiliyorlar. Kanunumuza göre parmak izi biyometrik yani özel nitelikli kişisel veridir. Eğer parmak izinizi vermezseniz bu hizmetten yararlanamazsınız denirse, bu durum kanuna aykırılık oluşturur.
Spor merkezlerinde giriş çıkış kontrolü, güvenlik kontrolü başka bir araçla da sağlanabilir. Örneğin üyelere bir kart verilerek bu kart giriş çıkışlarda okutulabilir. Elde edilen verinin amaçla bağlantılı ve ölçülü olması gerekir.
Rızada zorlama olmaz
- Açık rıza şartları nedir?
Kanun açık rızayı üç unsura ayırıyor. Belli bir konuya ilişkin bilgilendirmeye dayalı özgür irade açıklaması. Bazen “size daha iyi bir hizmet sunmak için verilerinizi istiyoruz” diyerek açık rızanızı alıyorlar. Bu çok genel bir ifade olup açık rızanın belirli bir konuya ilişkin olma unsurunu taşımıyor. Kampanyalarımızdan haberdar etmek için iletişim bilgilerinizi istiyoruz gibi işleme amacının daha net bir şekilde anlatılması gerekiyor. Konunun belli olması gerekiyor. En önemlisi benim özgür irademle olmalı. Buna zorlanmamalıyım, alternatifim olmalı. Avrupa’daki uygulamada da eğer kişiye alternatif sunmuyorsanız bu özgür irade ile verilen bir rıza değildir. Kanun getirdiği bu hükümle gerçek kişilerin verileri üzerindeki kontrol gücü ve denetimini artırmayı amaçlıyor.