Kişisel Veri İhlali Nedir?

Kişisel Veri İhlali”nin tanımı, Kişisel Verileri Koruma Kanunu (KVKK) ve Kişisel Verileri Koruma Kurumu tarafından çıkarılan kılavuzlarda net olarak bulunmamaktadır. Bu konudaki en net tanım AB Genel Veri Koruma Regülasyonu (GDPR)’ın 4. maddesinde bulunmaktadır. GDPR’da kişisel veri ihlali, “iletilen, saklanan veya işlenen kişisel verilerin kazara veya yasa dışı yollarla imha edilmesi, kaybı, değiştirilmesi, yetkisiz şekilde açıklanması veya bunlara erişime yol açan bir güvenlik ihlali” şeklinde tanımlanmaktadır [1]

KVKK kapsamında “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12. maddenin yorumu kişisel veri ihlali tanımına temel oluşturmaktadır. Maddede veri sorumlusunun yükümlülükleri; 

i.      Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
ii.     Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
iii.    Kişisel verilerin muhafazasını sağlamaktır. 

Veri sorumlusu bu amaçlara ilişkin olarak uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür. Veri sorumlularının söz konusu yükümlülüklerine aykırı fiilleri kişisel veri ihlali olarak değerlendirilmelidir [2].  

Veri İhlaline Karşı Hukuki, İdari ve Cezai Yollar

Veri ihlalinin gerçekleşmesi ve doğurduğu sonuçlar kapsamında mevzuatımızda farklı koruma yöntemleri belirlenmiştir. Buna göre, kişisel verilerinin hukuka aykırı olarak işlenmesi veya kullanılması sonucu zarara uğrayan kişiler, öncelikle veri sorumlusuna başvurabilirler. Veri sorumlusu talebe cevap vermez ya da yanıt yetersiz kalırsa, kişisel verilerin hukuka aykırı olarak işlenmesi veya kullanılması sonucunda zarara uğrayan kişiler, Kişisel Verileri Koruma Kurumuna başvurabilirler. Başvuru akabinde ya da resen inceleme yapan Kurum, yapılan şikâyetleri inceleyerek, veri sorumlusuna gerekli düzeltmeleri yapması yönünde ve/veya idari para cezası yaptırımlarının uygulanmasına karar verebilir. Ayrıca, kişisel verilerin hukuka aykırı olarak işlenmesi veya kullanılması sonucu zarara uğrayan kişiler, Türk Ceza Kanununda yer alan ilgili hükümler uyarınca suç duyurusunda bulunabilirler [3]

Ek olarak, kişinin ihlalden doğan maddi ve manevi zararlarının karşılanmasına yönelik tazminat hakkı da bulunmaktadır.  
 

İşyerinde Kişisel Veri İhlali ve İşçinin Fesih Hakkı

Kişisel veri ihlalleri, işyerlerinde sıklıkla karşılaşılabilecek bir durumdur. Bu tür ihlaller işçilerin haklarını ihlal edebilir ve işverenin yükümlülüklerini yerine getirmemesi halinde işçinin fesih hakkı doğabilir.

İşyerlerinde kişisel veri ihlalleri, işverenin işçilerin kişisel verilerini yeterince korumaması veya izinsiz olarak işlemesi durumunda gerçekleşebilir. Bu tür bir ihlal durumunda, işçinin fesih hakkı gündeme gelebilir. İşverenin yükümlülüklerini yerine getirmemesi nedeniyle işçi, ahlak ve iyi niyet kurallarına uymayan haller kapsamında haklı nedenle fesih hakkını kullanabilir. Kişisel verilerine saldırının işçinin kişilik haklarını zedelemesi çerçevesinde değerlendirilmesi ya da kişisel verilerin korunması hakkı gibi kişilik hakkı kapsamındaki bir temel hakkının ihlali göz önüne alındığında, bu iş ilişkisinin işçi yönünden sürdürülmesini beklemek dürüstlük kuralına aykırılık oluşturabilecektir. Ancak işçinin bu fesih hakkını kullanabilmesi için mevcut ihlalin iş ilişkisini çekilmez hale getirmesi aranmaktadır [4]. Dolayısıyla, her bir somut ihlal açısından iş ilişkisinin devamının ne ölçüde etkilendiği ele alınması gereken bir husustur. 

Ek olarak, kişisel verilerin hukuk aykırı işlenmesi durumunda işverenin hilesi sebebiyle haklı fesih hakkı da gündeme gelebilecektir. İş Kanunu m. 24/2(a) uyarınca, “İşveren iş sözleşmesi yapıldığı sırada bu sözleşmenin esaslı noktalarından biri hakkında yanlış vasıflar veya şartlar göstermek yahut gerçeğe uygun olmayan bilgiler vermek veya sözler söylemek suretiyle işçiyi yanıltırsa” işçinin derhal fesih hakkı doğmaktadır. Kişisel verilerin işlenmesi hususunda işçiye eksik ya da yanlış bilgilendirme yapılmasının bu konuda aldatma unsurunu oluşturup oluşturmadığı somut uyuşmazlıklar bağlamında ayrıca değerlendirilmelidir [5]
_____________________________________________________________________

[1] General Data Protection Regulation, m.4 
[2] Kişisel Verilerin Korunması Kanunu m.12 
[3] Kişisel Verilerin Korunması Kanunu m.13, 14
[4] İlke Gürsel, İşçinin Kişisel Verilerinin Korunması Hakkı, Adalet Yayınları, 2016, s. 420.
[5] Merve Ezgi Hisli, İş İlişkisinde Kişisel Verilerin Korunması, Akdeniz Ünv. Sosyal Bilimler Enstitüsü, Yüksek Lisans Tezi, s. 86-87.