“Veri işleme” izinleri ve gizlilik


6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun), kişisel veri işlemenin hukuka uygunluk sebeplerini düzenlerken; kişinin veri işlemeye yönelik vereceği “açık rızanın” tanımını da yapmıştır.Bu tanıma göre açık rıza, özgür iradeye dayanmalıdır. Açık rızanın özgür iradeye dayanması demek, el yazısı ile “özgür irademle rıza veriyorum” demek değildir. Burada “özgür irade” kavramı önem arz eder. Örneğin bir çalışan-işveren ilişkisinde, çalışanın açık rıza metni imzalamaması halinde işveren tarafından işten çıkarılacağı yönünde bir baskı varsa, o rıza “özgür irade” altında verilmemiştir ve hukuka uygun sebebi arz etmekten, dolayısıyla Kanun’a uygun olmaktan çıkar.
Kişisel Verileri Koruma Kurumu (Kurum), geçtiğimiz haftalarda yeni bir karara imza atmıştır. Bir sigorta şirketinin internet sayfasından poliçe bilgilerine erişmek isteyen kullanıcı, karşısına çıkan “veri işleme izni” kutucuğunu onaylamadan sisteme devam edememiş ve poliçe bilgilerine ulaşamamıştır. Sistemde bu sigorta şirketi, yalnızca “veri işleme izni” verilmesi şartı ile müşterisine hizmet sunmayı kabul etmiştir. Hizmet, açık rıza şartına bağlanmıştır. Daha doğrusu, sigorta şirketi, KVKK ile ilgili bütün belgeleri tek bir doküman altına toplayıp, hepsini tek bir kutucukta sunmuştur. “Aydınlatma metni” ile “açık rıza”, tek bir metin altında onaylatılmıştır. Aslında birbirinden tamamen ayrı kuralları ve içerikleri bulunan iki belgedir bunlar. Örneğin aydınlatma metni, aydınlatma yükümlülüğünün yerine getirildiğinin bir kanıtı olarak onaylatılır; diğer tarafın bir rızası, onayı, taahhüdü bulunmaz. Açık rıza verildiğine dair metin ise, özgür iradeye dayalı olma şartıyla “isteğe bağlı onay” olarak sunulmalıdır. Sonuç olarak Kurum, sigorta şirketi için 250.000,00 TL idari para cezası uygulamış, ve metinlerin tekrar düzenlenmesi için şirkete talimat vermiştir.
Sunulan hizmetin yalnızca “kişinin veri işlemeye rıza vermesi” şartıyla sunulması, verilecek rızanın “o sözleşmeyi/işi ifa etmek için zorunlu olması” ihtimali dışında, Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) 7 ve 32. Maddeleri uyarınca da hukuka aykırıdır. Ayrıca bu rızanın zımni şekilde değil, açık ve aktif bir eylem ile verilmesi gerekir. Kurum, KVKK’nın Avrupa mevzuatından esinlenerek hazırlanmasından dolayı, pek çok kararında GDPR’a atıf yapmıştır ve Avrupa mevzuatı bu konuda oldukça önemlidir.
Veri, altındır. Bugün trilyon dolarlık değerlemeye ulaşan şirketlerin hizmetlerinin (Gmail, Instagram, Hotmail, Dropbox vb.) ücretsiz olması, bu hizmetlerin bedava olduğunu göstermez. Bu hizmetler ücretsizse, ödediğiniz bedel, aslında sizin kişisel verilerinizdir. Reklam amacıyla kullanılan veriler dışında, yapay zeka uygulamalarının gelişimi için de her geçen gün daha fazla veri gerekiyor, ve “nesnelerin interneti” konsepti gelişip “her şeyin internetine” dönüştükçe, aslında sağladığımız veriler her gün artıyor, çeşitleniyor. Bu büyümenin karşılığında da, gizlilik kavramı, her geçen gün daha da ön plana çıkıyor. Örneğin Apple’ın geçtiğimiz ay güncelleştirdiği “gizlilik kontrolleri”, artık uygulamaların takip iznine izin verip vermeyeceğini kullanıcılara bıraktı ve sonuç olarak, bugün kullanıcıların aşağı yukarı %96’sı, uygulamaların veri takip iznini ayarlardan “engelledi”. Yalnızca bu olay bile, gizliliğin artık soyut bir kavramdan çıkıp “nihai tüketici” gözünde bir endişe haline geldiğini gösteriyor.
Saygılarımla

Yorum Ekle