Kişisel Verilerin Korunması Hukuku ve Bilişim Hukuku İlişkisi
Giriş
Dijitalleşme, kişisel verilerin korunması hukukunu bilişim hukukunun merkezine yerleştirmiştir. Günümüzde kişiler internet sitelerine üye olurken, mobil uygulama indirirken, e-ticaret alışverişi yaparken, sosyal medya hesabı kullanırken, bankacılık işlemi gerçekleştirirken, hastane randevusu alırken, iş başvurusu yaparken veya bir şirketle iletişime geçerken çok sayıda kişisel verisini paylaşmaktadır. Ad, soyad, telefon numarası, e-posta adresi, IP adresi, konum bilgisi, kamera görüntüsü, fotoğraf, sağlık verisi, finansal bilgi, alışveriş geçmişi, çerez kayıtları ve cihaz bilgileri dijital ortamda işlenebilen kişisel verilere örnek gösterilebilir.
Bu nedenle kişisel verilerin korunması hukuku ile bilişim hukuku birbirinden ayrı düşünülemez. Bilişim hukuku; internet, yazılım, dijital platformlar, siber güvenlik, elektronik ticaret, sosyal medya, yapay zekâ, dijital deliller ve bilişim suçları gibi alanları kapsarken, kişisel verilerin korunması hukuku bu alanlarda işlenen verilerin hangi şartlarda toplanabileceğini, saklanabileceğini, aktarılabileceğini ve korunacağını düzenler.
Türkiye’de kişisel verilerin korunmasının temel yasal dayanağı 6698 sayılı Kişisel Verilerin Korunması Kanunu’dur. Kanunun amacı; kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere temel hak ve özgürlükleri korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülüklerini düzenlemektir. Kanun, kişisel verileri işlenen gerçek kişiler ile bu verileri otomatik veya veri kayıt sisteminin parçası olarak otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır.
Bilişim hukuku bakımından KVKK’nın önemi, kişisel verilerin büyük ölçüde dijital sistemlerde işlenmesinden kaynaklanır. Bir internet sitesi çerezlerle kullanıcı davranışlarını takip ettiğinde, bir mobil uygulama konum bilgisi aldığında, bir e-ticaret sitesi ödeme ve adres bilgilerini sakladığında, bir şirket çalışanlarının e-postalarını ve log kayıtlarını tuttuğunda, bir sosyal medya platformu fotoğraf ve mesaj verilerini işlediğinde kişisel verilerin korunması hukuku doğrudan devreye girer.
Kişisel Veri Nedir?
Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir. Bu tanım son derece geniştir. Bir bilginin kişisel veri sayılması için mutlaka kişinin adı ve soyadını içermesi gerekmez. Kişiyi doğrudan veya dolaylı olarak belirlenebilir kılan her bilgi kişisel veri niteliği taşıyabilir.
Örneğin T.C. kimlik numarası, pasaport numarası, telefon numarası, e-posta adresi, IP adresi, müşteri numarası, araç plakası, banka hesap bilgisi, kart bilgisi, fotoğraf, ses kaydı, kamera görüntüsü, konum verisi, mesleki bilgi, özgeçmiş, imza, kullanıcı adı, sosyal medya hesabı ve cihaz kimliği kişisel veri olabilir. Bir internet sitesinin ziyaretçi logları, bir uygulamanın cihaz bilgileri, bir e-ticaret sitesinin sipariş geçmişi veya bir şirketin çalışan giriş-çıkış kayıtları da kişisel veri içerebilir.
Kişisel veri kavramının bu kadar geniş olması, bilişim sistemleri açısından büyük önem taşır. Çünkü dijital ortamda toplanan verilerin önemli bir kısmı doğrudan kişinin kimliğini göstermese bile, başka verilerle birleştirildiğinde kişiyi belirlenebilir hâle getirebilir. Bu nedenle “sadece IP adresi topluyoruz”, “sadece çerez kullanıyoruz”, “sadece cihaz bilgisi alıyoruz” şeklindeki yaklaşımlar tek başına yeterli değildir. Veri işleme faaliyetinin tamamı, amacına ve kapsamına göre değerlendirilmelidir.
Kişisel Verilerin Korunması Hukuku Nedir?
Kişisel verilerin korunması hukuku, kişisel verilerin hukuka uygun şekilde işlenmesini, saklanmasını, aktarılmasını, silinmesini, yok edilmesini veya anonim hâle getirilmesini düzenleyen hukuk alanıdır. Bu hukuk alanı, kişinin özel hayatının gizliliğini, veri mahremiyetini, bilgi güvenliğini, dijital kimliğini ve kişisel özerkliğini korumayı amaçlar.
KVKK’ya göre kişisel veriler belirli ilkelere uygun şekilde işlenmelidir. Bu ilkeler; hukuka ve dürüstlük kurallarına uygunluk, doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ve ilgili mevzuatta öngörülen ya da işlendikleri amaç için gerekli olan süre kadar muhafaza edilmedir.
Bilişim hukuku açısından bu ilkelerin pratik karşılığı şudur: Bir şirket internet sitesinde gereksiz veri toplamamalı, kullanıcıdan aldığı veriyi belirsiz amaçlarla saklamamalı, çerezlerle izleme yapıyorsa bunu açıkça açıklamalı, e-ticaret müşterisinin adres ve ödeme bilgilerini güvenli sistemlerde tutmalı, çalışan verilerini yalnızca gerekli kişilerle sınırlı erişime açmalı ve veri saklama süresi dolduğunda imha süreçlerini işletmelidir.
Bilişim Hukuku ile KVKK Arasındaki Temel Bağlantı
Bilişim hukuku dijital sistemlerin kullanımından doğan hukuki sorunları inceler. KVKK ise bu dijital sistemlerde işlenen kişisel verilerin korunmasını sağlar. Dolayısıyla bilişim hukukundaki birçok uyuşmazlık aynı zamanda kişisel veri uyuşmazlığıdır.
Örneğin bir sosyal medya hesabının ele geçirilmesi olayında sadece bilişim sistemine girme suçu değil, kişisel verilerin hukuka aykırı ele geçirilmesi de gündeme gelebilir. Bir e-ticaret sitesinin veri tabanının sızdırılması hâlinde yalnızca siber saldırı değil, veri güvenliği yükümlülüğünün ihlali de tartışılır. Bir mobil uygulamanın konum verilerini izinsiz toplaması hâlinde sadece tüketici veya internet hukuku değil, açık rıza, aydınlatma yükümlülüğü ve ölçülülük ilkesi de değerlendirilir.
Bu ilişkiyi en iyi gösteren alanlardan biri veri ihlalleridir. Bir şirketin müşteri veri tabanının hacklenmesi, çalışan dosyalarının yanlış kişilere gönderilmesi, hastane kayıtlarının yetkisiz kişilerce görülmesi, e-posta listesinin üçüncü kişilerle paylaşılması veya kullanıcı şifrelerinin internette yayımlanması hem bilişim hukuku hem de kişisel verilerin korunması hukuku açısından sonuç doğurur.
Veri Sorumlusu ve Veri İşleyen Kavramları
KVKK uygulamasında en önemli kavramlardan biri veri sorumlusudur. Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. Kişisel verilerin neden ve nasıl işleneceğine karar veren kişi veya şirket veri sorumlusu kabul edilir.
Örneğin bir e-ticaret şirketi müşterilerinin ad, soyad, adres, telefon, sipariş ve ödeme bilgilerini hangi amaçla işleyeceğine karar veriyorsa veri sorumlusudur. Bir işveren çalışanlarının özlük dosyalarını, maaş bilgilerini, kamera görüntülerini ve giriş-çıkış kayıtlarını işliyorsa veri sorumlusudur. Bir hastane hasta kayıtlarını ve sağlık verilerini işliyorsa veri sorumlusudur.
Veri işleyen ise veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen kişidir. Örneğin bulut hizmeti sağlayıcısı, e-posta pazarlama hizmeti veren firma, çağrı merkezi hizmeti sunan şirket, yazılım altyapısı sağlayıcısı veya muhasebe programı hizmet sağlayıcısı veri işleyen konumunda olabilir. Ancak somut olayda tarafların sözleşmedeki sıfatlarından çok, fiilen veri işleme amaç ve araçlarını kimin belirlediği önemlidir.
Bilişim hukuku açısından veri sorumlusu-veri işleyen ayrımı özellikle yazılım, SaaS, bulut bilişim, hosting, dijital pazarlama, ödeme altyapısı, CRM ve çağrı merkezi hizmetlerinde büyük önem taşır. Çünkü bir siber saldırı veya veri ihlali yaşandığında hangi tarafın hangi yükümlülüğü ihlal ettiği bu ayrıma göre belirlenir.
Veri Güvenliği ve Siber Güvenlik İlişkisi
Kişisel verilerin korunması hukuku ile bilişim hukukunun en güçlü kesişim noktalarından biri veri güvenliğidir. KVKK’nın 12. maddesine göre veri sorumlusu; kişisel verilerin hukuka aykırı işlenmesini önlemek, verilere hukuka aykırı erişilmesini önlemek ve verilerin muhafazasını sağlamak amacıyla gerekli teknik ve idari tedbirleri almakla yükümlüdür. Ayrıca veri sorumlusu, verileri kendi adına işleyen kişilerle birlikte gerekli tedbirlerin alınması bakımından müştereken sorumlu olabilir.
Bu hüküm, şirketler açısından yalnızca hukuki metin hazırlama yükümlülüğü getirmez. Aydınlatma metni, açık rıza formu veya gizlilik politikası tek başına KVKK uyumu sağlamaz. Veri güvenliği için erişim yetkilendirme, parola politikası, çok faktörlü kimlik doğrulama, log kayıtları, şifreleme, veri maskeleme, yedekleme, ağ güvenliği, zararlı yazılım koruması, çalışan eğitimi, veri işleyen sözleşmeleri, saklama-imha politikası ve olay müdahale planı gerekir.
Kişisel Verileri Koruma Kurumu’nun Kişisel Veri Güvenliği Rehberi de veri sorumlularına teknik ve idari tedbirler konusunda yol göstermek amacıyla hazırlanmıştır. Rehberde kişisel verilerin hukuka aykırı işlenmesi ve verilere hukuka aykırı erişimin önlenmesi ile verilerin muhafazasının sağlanması için alınabilecek tedbirlere yer verilmektedir.
Bu noktada bilişim hukuku ile siber güvenlik iç içedir. Örneğin bir şirket güçlü parola politikası uygulamıyor, çalışanların tüm müşteri verilerine sınırsız erişmesine izin veriyor, eski çalışanların sistem yetkilerini kapatmıyor, verileri şifrelemiyor veya log kayıtlarını tutmuyorsa, bir veri ihlali yaşandığında yalnızca teknik zafiyet değil, KVKK kapsamında hukuki sorumluluk da doğabilir.
Veri İhlali Nedir?
Veri ihlali, kişisel verilerin yetkisiz kişiler tarafından ele geçirilmesi, kaybolması, değiştirilmesi, ifşa edilmesi, erişilemez hâle gelmesi veya hukuka aykırı şekilde işlenmesi gibi durumları ifade eder. Veri ihlali her zaman dışarıdan gelen bir hacker saldırısıyla gerçekleşmez. Çalışanın müşteri verilerini kişisel amaçla sorgulaması, yanlış alıcıya e-posta gönderilmesi, USB belleğin kaybolması, açık erişimli bulut klasörü, yanlış yetkilendirme, fidye yazılımı saldırısı veya veri tabanının internete açık bırakılması da veri ihlali oluşturabilir.
KVKK’ya göre işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde veri sorumlusu bu durumu en kısa sürede ilgili kişiye ve Kurula bildirmekle yükümlüdür. Kurulun uygulamasında veri ihlalinin öğrenilmesinden itibaren Kurula bildirimin gecikmeksizin ve en geç 72 saat içinde yapılması gerektiği kabul edilmektedir.
Bu yükümlülük bilişim hukuku açısından kritik önemdedir. Çünkü siber saldırıya uğrayan şirketler çoğu zaman önce teknik müdahaleye odaklanmakta, hukuki bildirim yükümlülüklerini geciktirebilmektedir. Oysa veri ihlali olayında teknik analiz, hukuki değerlendirme, KVKK bildirimi, ilgili kişilere bildirim, delil koruma, savcılık başvurusu ve kriz iletişimi birlikte yürütülmelidir.
TCK Kapsamında Kişisel Veri Suçları
Kişisel verilerin korunması yalnızca idari yaptırım meselesi değildir. Türk Ceza Kanunu’nda kişisel verilere karşı suçlar da düzenlenmiştir. TCK m.135, hukuka aykırı olarak kişisel verilerin kaydedilmesini suç sayar. TCK m.136 ise kişisel verileri hukuka aykırı olarak bir başkasına verme, yayma veya ele geçirme fiilini yaptırıma bağlar. TCK m.138’de ise verileri yok etmeme suçu düzenlenmiştir. TCK’daki kişisel veri suçları bakımından 135 ila 140. madde hükümleri önem taşır.
Bilişim hukuku bağlamında bu suçlar uygulamada çok sık karşımıza çıkar. Örneğin bir kişinin fotoğrafının izinsiz şekilde sahte sosyal medya hesabında kullanılması, müşteri listesinin eski çalışan tarafından kopyalanması, hasta bilgilerinin üçüncü kişilere verilmesi, telefon numaralarının reklam amacıyla izinsiz paylaşılması, kimlik bilgilerinin Telegram gruplarında yayılması, banka kartı bilgilerinin ele geçirilmesi veya e-posta adreslerinin satılması TCK m.135 ve m.136 kapsamında değerlendirilebilir.
Özellikle sosyal medya dosyalarında TCK m.134 özel hayatın gizliliğini ihlal suçu ile TCK m.136 kişisel verileri hukuka aykırı verme veya ele geçirme suçu birlikte tartışılabilir. Her fotoğraf veya video özel hayat kapsamında olmayabilir; ancak kişinin kimliğini belirlenebilir kılan fotoğrafı kişisel veri niteliği taşıyabilir. Bu nedenle olayın TCK m.134 mü, TCK m.136 mı yoksa her ikisi kapsamında mı değerlendirileceği somut içeriğe göre belirlenmelidir.
Sosyal Medya ve Kişisel Veriler
Sosyal medya, kişisel veri ihlallerinin en sık yaşandığı alanlardan biridir. Kullanıcıların fotoğrafları, ad-soyad bilgileri, konumları, arkadaş listeleri, mesajları, beğenileri, takip ettiği hesaplar, paylaşımları ve davranışsal verileri sosyal medya platformlarında işlenmektedir. Ayrıca kullanıcıların başkaları hakkında yaptığı paylaşımlar da üçüncü kişilerin kişisel verilerini içerebilir.
Bir kişinin fotoğrafını izinsiz paylaşmak, özel yazışmasını yayımlamak, telefon numarasını veya adresini ifşa etmek, sahte hesap açmak, başkasının kimliğine bürünmek, eski ilişkiye ait görüntüleri paylaşmak veya kişinin iş yeri bilgilerini hedef gösterecek şekilde yayımlamak hem kişilik hakları hem ceza hukuku hem de KVKK bakımından sorun doğurabilir.
Sosyal medya kullanıcısı “ben sadece kendi hesabımda paylaştım” diyerek sorumluluktan kurtulamaz. Paylaşımın içeriği, kişinin rızası, verinin niteliği, paylaşımın amacı, erişim alanı ve mağdur üzerindeki etkisi birlikte değerlendirilir. Özellikle özel hayat, sağlık bilgisi, çocuklara ait veriler, cinsel hayat, dini veya siyasi görüş gibi hassas alanlara ilişkin verilerde hukuki risk daha yüksektir.
E-Ticaret, Mobil Uygulamalar ve KVKK
E-ticaret siteleri ve mobil uygulamalar, kişisel verilerin yoğun şekilde işlendiği alanlardır. Üyelik formları, sipariş işlemleri, ödeme süreçleri, kargo bilgileri, müşteri hizmetleri kayıtları, ürün tercihleri, çerezler, pazarlama izinleri ve reklam teknolojileri kişisel veri işleme faaliyeti oluşturabilir.
Bir e-ticaret sitesinin KVKK’ya uyumlu olması için yalnızca gizlilik politikası yayımlaması yeterli değildir. Aydınlatma metni hazırlanmalı, hangi verilerin hangi amaçlarla işlendiği açıkça belirtilmeli, ticari elektronik ileti onayları ayrı alınmalı, çerez tercihleri doğru yönetilmeli, ödeme bilgileri güvenli altyapı ile işlenmeli, üyelik verileri ölçülü tutulmalı, tedarikçilerle veri işleyen sözleşmeleri yapılmalı ve saklama-imha süreçleri işletilmelidir.
Mobil uygulamalar bakımından konum, kamera, mikrofon, rehber, galeri ve cihaz kimliği gibi izinler özellikle dikkat gerektirir. Uygulama, sunduğu hizmet için zorunlu olmayan verilere erişiyorsa ölçülülük ilkesi ihlal edilebilir. Kullanıcıya izin ekranı göstermek tek başına yeterli değildir; KVKK anlamında aydınlatmanın açık, anlaşılır ve veri işleme amacıyla bağlantılı olması gerekir.
Çerezler ve Bilişim Hukuku
Çerezler, internet sitelerinin kullanıcı cihazlarına yerleştirdiği küçük veri dosyalarıdır. Çerezler aracılığıyla oturum yönetimi, dil tercihi, sepet bilgisi, performans ölçümü, analitik takip, reklam hedefleme ve kullanıcı davranışlarının izlenmesi mümkün olabilir. Bu nedenle çerezler bilişim hukuku ve KVKK açısından önemli bir başlıktır.
Kişisel Verileri Koruma Kurumu’nun Çerez Uygulamaları Hakkında Rehberi, internet sitesi işleten veri sorumlularına pratik tavsiyeler sunmak amacıyla hazırlanmıştır. Rehber, çerezler yoluyla kişisel verilerin işlenmesini kapsamakta; kişisel veri işlenmesinde kullanılmayan çerezleri kapsam dışında bırakmaktadır. Rehberin masaüstü ve mobil web siteleri veya web uygulamaları açısından da geçerli olacağı belirtilmektedir.
Çerezlerde temel ayrım, zorunlu çerezler ile reklam, pazarlama ve davranışsal takip çerezleri arasındadır. Zorunlu çerezler bir sitenin çalışması için gerekli olabilir. Ancak reklam ve pazarlama amacıyla kullanılan, kullanıcıyı profilleyen veya üçüncü taraflara veri aktaran çerezlerde açık rıza ve doğru aydınlatma büyük önem taşır. “Siteyi kullanmaya devam ederek çerezleri kabul etmiş sayılırsınız” yaklaşımı, her durumda geçerli ve güvenli bir yöntem değildir.
Bulut Bilişim ve Yurt Dışına Veri Aktarımı
Bilişim hukukunun güncel ve önemli alanlarından biri bulut bilişimdir. Şirketler e-posta, dosya depolama, CRM, muhasebe, insan kaynakları, siber güvenlik, proje yönetimi ve veri analitiği hizmetlerini çoğu zaman yurt dışı merkezli bulut sistemleri üzerinden kullanmaktadır. Bu durumda kişisel verilerin yurt dışına aktarımı gündeme gelebilir.
KVKK’nın yurt dışına aktarım rejimi 2024 yılında önemli şekilde değişmiştir. 7499 sayılı Kanun ile KVKK’nın 9. maddesinde yapılan değişiklikler 1 Haziran 2024 tarihinde yürürlüğe girmiştir. Bu değişiklik kapsamında standart sözleşmeler ve bağlayıcı şirket kuralları, kişisel verilerin yurt dışına aktarımında kullanılabilecek uygun güvence yöntemleri arasında öngörülmüştür.
Bu değişiklik bilişim hukuku uygulaması açısından büyük önem taşır. Çünkü bulut servisleri, yabancı yazılım sağlayıcıları, global CRM sistemleri, yurt dışı e-posta altyapıları, reklam teknolojileri ve uluslararası veri merkezleri kullanan şirketlerin veri aktarım süreçlerini gözden geçirmesi gerekir. Veri aktarımının hukuki sebebi, alıcı taraf, veri kategorileri, aktarım amacı, teknik ve idari tedbirler, standart sözleşme veya bağlayıcı şirket kuralları gibi hususlar somut şekilde belirlenmelidir.
Dijital Deliller ve Kişisel Veri Dengesi
Bilişim hukuku dosyalarında dijital deliller büyük önem taşır. WhatsApp yazışmaları, e-posta kayıtları, IP adresleri, log kayıtları, kamera görüntüleri, sosyal medya paylaşımları, ses kayıtları, ekran görüntüleri ve cihaz incelemeleri davaların seyrini değiştirebilir. Ancak dijital delil toplarken kişisel verilerin korunması kuralları göz ardı edilmemelidir.
Bir işverenin çalışan bilgisayarını incelemesi, bir şirketin log kayıtlarını saklaması, bir kişinin WhatsApp yazışmalarını mahkemeye sunması, bir internet sitesinin IP kayıtlarını tutması veya bir kurumun kamera görüntülerini paylaşması kişisel veri işleme faaliyeti olabilir. Bu nedenle delil elde etme hakkı ile özel hayatın gizliliği ve kişisel verilerin korunması hakkı arasında denge kurulmalıdır.
Hukuka aykırı şekilde elde edilen dijital deliller hem ceza yargılamasında hem hukuk yargılamasında sorun yaratabilir. Örneğin başkasının hesabına izinsiz girerek yazışma elde etmek, karşı tarafın telefonunu gizlice incelemek veya yetkisiz şekilde veri tabanı kopyalamak delil elde etmek amacıyla yapılsa bile hukuka uygun kabul edilmeyebilir. Bu nedenle dijital delillerin toplanmasında hukuka uygunluk, ölçülülük ve gereklilik ilkeleri gözetilmelidir.
Şirketler İçin KVKK ve Bilişim Hukuku Uyum Süreci
Şirketler bakımından KVKK uyumu, statik bir evrak çalışması değil, sürekli yönetilmesi gereken bir risk yönetimi sürecidir. Özellikle teknoloji şirketleri, e-ticaret işletmeleri, sağlık kuruluşları, eğitim kurumları, finansal teknoloji şirketleri, oyun şirketleri, dijital ajanslar, insan kaynakları şirketleri ve veri işleyen tüm işletmeler için KVKK ve bilişim hukuku birlikte ele alınmalıdır.
Sağlıklı bir uyum sürecinde öncelikle veri envanteri çıkarılmalıdır. Hangi kişisel veriler toplanıyor, hangi amaçlarla işleniyor, kimlerle paylaşılıyor, yurt dışına aktarılıyor mu, hangi sistemlerde saklanıyor, ne kadar süre tutuluyor, kimler erişebiliyor, hangi hukuki sebebe dayanılıyor soruları cevaplanmalıdır.
Ardından aydınlatma metinleri, açık rıza süreçleri, çalışan gizlilik taahhütleri, veri işleyen sözleşmeleri, çerez politikası, saklama ve imha politikası, bilgi güvenliği politikaları, erişim yetkilendirme matrisi, veri ihlali müdahale planı ve başvuru yönetim prosedürleri hazırlanmalıdır. VERBİS yükümlülüğü bulunan veri sorumluları bakımından Veri Sorumluları Sicili’ne kayıt süreci ayrıca değerlendirilmelidir. Veri Sorumluları Sicili Hakkında Yönetmelik, Kurul gözetiminde kamuya açık tutulacak sicilin oluşturulması ve kayıt usullerine ilişkin esasları düzenlemektedir.
Veri İhlali Halinde Şirket Ne Yapmalı?
Bir şirket veri ihlali yaşadığında ilk adım, ihlalin kapsamını teknik olarak belirlemektir. Hangi sistem etkilendi, hangi veriler sızdı, kaç kişi etkilendi, veri özel nitelikli mi, saldırı devam ediyor mu, log kayıtları korunuyor mu, yedekler güvenli mi, üçüncü taraf sağlayıcı etkilenmiş mi gibi sorular yanıtlanmalıdır.
İkinci adım hukuki değerlendirmedir. İhlal KVKK bildirimi gerektiriyor mu, ilgili kişilere bildirim yapılmalı mı, Kurula hangi bilgiler sunulmalı, savcılığa suç duyurusu yapılmalı mı, sözleşme taraflarına bildirim yükümlülüğü var mı, basın açıklaması gerekir mi, sigorta bildirimi yapılmalı mı değerlendirilmelidir.
Üçüncü adım delillerin korunmasıdır. Loglar, sunucu kayıtları, saldırı izleri, e-posta başlıkları, zararlı yazılım örnekleri, kullanıcı erişim kayıtları ve olay müdahale raporları saklanmalıdır. Teknik ekip sistemi temizlerken delilleri yok etmemelidir. Bu nedenle hukuk, bilgi işlem ve yönetim ekibinin birlikte hareket etmesi gerekir.
Kişisel Verilerin Korunması Hukukunda Avukatın Rolü
Kişisel verilerin korunması hukuku teknik, idari ve hukuki boyutları olan özel bir alandır. Bu nedenle avukatın rolü yalnızca aydınlatma metni hazırlamakla sınırlı değildir. Avukat; veri işleme faaliyetlerinin hukuki analizini yapmalı, şirketin bilişim altyapısını veri koruma yükümlülükleri açısından değerlendirmeli, veri işleyen sözleşmelerini incelemeli, yurt dışı aktarım süreçlerini düzenlemeli, veri ihlali halinde bildirim sürecini yönetmeli ve Kurul kararları ile güncel mevzuatı takip etmelidir.
Bilişim hukuku avukatı ayrıca siber saldırı, veri sızıntısı, çalışan kaynaklı veri ihlali, sahte hesap, sosyal medya ifşası, e-ticaret veri uyuşmazlığı, çerez şikâyeti, açık rıza tartışması, veri silme talebi, unutulma hakkı, kişisel veri suçları ve tazminat davalarında sürecin hem teknik hem hukuki yönünü birlikte değerlendirmelidir.
Sonuç
Kişisel verilerin korunması hukuku ile bilişim hukuku arasındaki ilişki, dijital çağın en önemli hukuki bağlantılarından biridir. Kişisel veriler artık büyük ölçüde dijital sistemlerde işlenmekte, saklanmakta, aktarılmakta ve analiz edilmektedir. Bu nedenle internet siteleri, mobil uygulamalar, e-ticaret platformları, sosyal medya hesapları, bulut sistemleri, yapay zekâ araçları, CRM yazılımları, ödeme altyapıları ve şirket içi dijital sistemler KVKK ile doğrudan ilişkilidir.
KVKK, kişisel verilerin hukuka uygun işlenmesini, ilgili kişilerin haklarının korunmasını, veri sorumlularının yükümlülüklerini, veri güvenliğini ve veri ihlali bildirimlerini düzenler. Bilişim hukuku ise bu verilerin işlendiği dijital ortamların, yazılımların, platformların, siber saldırıların, elektronik sözleşmelerin, dijital delillerin ve bilişim suçlarının hukuki çerçevesini oluşturur. Dolayısıyla bu iki alan birbirini tamamlar.
Şirketler açısından KVKK uyumu yalnızca metin hazırlamak değil; veri envanteri, teknik ve idari tedbirler, çerez yönetimi, veri işleyen sözleşmeleri, yurt dışı aktarım analizi, çalışan eğitimi, log yönetimi, erişim kontrolü ve veri ihlali müdahale planı gibi çok yönlü bir süreçtir. Bireyler açısından ise kişisel verilerin korunması hukuku; sosyal medya ifşalarına, sahte hesaplara, kişisel bilgilerin yayılmasına, veri sızıntılarına, izinsiz reklam ve pazarlama faaliyetlerine karşı güçlü bir hukuki koruma sağlar.
Sonuç olarak kişisel verilerin korunması hukuku, bilişim hukukunun tamamlayıcı değil, kurucu unsurlarından biridir. Dijital dünyada güvenli ticaret, güvenli iletişim, veri mahremiyeti, siber güvenlik ve temel hakların korunması ancak bu iki alanın birlikte değerlendirilmesiyle mümkündür. Bu nedenle hem bireylerin hem de şirketlerin kişisel verilerin korunması ve bilişim hukuku konusunda bilinçli, düzenli ve profesyonel şekilde hareket etmesi büyük önem taşır.