En basit bir isim-soyisim öğrenme fiilinden tutun da, “web scraping” dediğimiz otomatik yollarla web sitelerinden veri toplama fiiline kadar, “veri işleme” fiilinin binbir türü var. Veri, eğer kanundaki “kişisel veri” tanımına giriyorsa, kişisel verilerin korunması mevzuatına uygun işlenmesi gerekiyor. Bu aslında “insan hakları hukukunun” bir yansıması, zira korunan sizin şahsi bilgileriniz. Dünyanın artık tüm gelişmiş ülkelerinde az-çok uygulanan “veri koruma hukuku” kurallarına aykırılıklara yönelik karar veren idari birimimiz, ülkemizde Kişisel Verileri Koruma Kurulu. Kurulun bazı güncel kararlarından, köşeyazımıza sığdırarak bahsedelim. Bu kararların detaylı olduğunu, herhangi bir sonuca varmadan önce kararın tamamının, iddia-cevapların, hukuki gerekçelerin okunması gerektiğini de belirtelim.
Bir hukuk bürosu, GSM şirketinin vekili olarak, mobil internet hattını iptal ettiren kişiye borç çıkartıldığı ve bu borç için icra takibi başlatılacağı yönünde mesaj gönderiyor. Ancak bu mesajı, kişinin ortağı olduğu şirkete ait diğer numaralara da gönderiyor. Şirket hattını kullananlar, soyisim maskelenmiş olsa da, kişinin isminden dolayı, borçlu olduğu iddiasını görebiliyor. Şirket, doğru ve güncel olma yönündeki veri güvenliği önlemini almadığı için 85 Bin TL para cezası ile karşılaşıyor. Hukuk bürosu, sınırlı yetki ile talimat altında iş yaptığı için, ceza almıyor.
Bir oyun web sitesini gezen kişi, web sitesinde çerezler olduğunu görüyor. Sitede aydınlatma metni ve kullanılan çerezler ile ilgili metin mevcut. Ancak içeriği doğru değil. Örneğin, sitenin kullanılması için zorunlu çerezler ile, reklam-pazarlama için kullanılan çerezler için ayrı bir onay mekanizması yok. Aydınlatma metninin içeriği de mevzuata uygun değil. Bu nedenle oyun şirketine 300 Bin TL para cezası uygulanıyor, ve kesinlikle gerekli çerezler dışında kalan çerezlerde açık rıza alınması için “opt-in” mekanizması gerekliliğini tekrar vurguluyor.
Bir şirket, çalışanını, şirkete karşı çeşitli suçlar işlediği iddiasıyla işten çıkartıyor. Akabinde, savcılığa suç duyurusunda bulunuyor ve ceza soruşturması yürüyor. Bu soruşturma hakkındaki bilgileri, o eski çalışanın kardeşine eposta ile gönderiyorlar. Şirket bu nedenle, adli bilgilerin rıza dışında üçüncü kişiyle paylaşılmasından dolayı, 150 Bin TL para cezasıyla karşılaşıyor.
Bir mobilya/dekorasyon şirketi çalışanı, işten ayrılıyor. Ancak şirkette çalıştığı zaman içinde, müşterilere yönelik yapılan yayınlarda çalışanın görüntüsü reklam ve pazarlama için kullanılırken, bu reklam/pazarlama görüntüleri, çalışan şirketten ayrıldıktan sonra da yayınlanmaya devam ediliyor. Çalışana bu konuda yeterli aydınlatma yapılmayıp, işten ayrıldıktan sonra da kullanılacağı yönünde onayı alınmıyor. Çalışanın ismi de, Şirketin kullandığı kargo gönderimlerinde insanların karşısına çıkmaya devam ediyor. Şirkete, görüntülerin “kanun kapsamında geçerli bir veri işleme şartı olmadan” kullanılmaya devam edilmesi ve çalışanın ismi kullanılarak kargo gönderimleri yapılmaya devam edilmesi nedeniyle, 250 Bin TL para cezası uygulanıyor.
Avukatlara yazılımlar üreten bir şirket, bir avukatın e-posta adresini internetten buluyor, ve avukata reklam-pazarlama amaçlı eposta gönderiyor. Kurul, “avukatın eposta adresini alenileştirme iradesi, reklam-pazarlama iletisi alma amaçlı değildir” diyerek, şirkete 150 Bin TL para cezası uygulanıyor.
