Makale
Avukatlar, yürüttükleri mesleki faaliyetler kapsamında müvekkillerine ve üçüncü kişilere ait kişisel verileri işlerken veri sorumlusu sıfatını haizdir. Bu bağlamda, Kişisel Verilerin Korunması Kanunu ve Avukatlık Kanunu uyarınca aydınlatma, veri güvenliğini sağlama ve sır saklama gibi bir dizi hukuki yükümlülüğü titizlikle yerine getirmelidirler.
Veri Sorumlusu Olarak Avukatın KVKK Yükümlülükleri
Günümüz hukuk dünyasında, dijitalleşmenin ve bilgi teknolojilerinin gelişmesiyle birlikte kişisel verilerin korunması, her meslek grubunda olduğu gibi avukatlık mesleğinde de büyük bir önem kazanmıştır. Avukatlar, mesleklerini icra ederken müvekkillerinin, karşı yanın veya uyuşmazlığın tarafı olan üçüncü kişilerin verilerini toplamakta ve işlemektedir. Bu durum, avukatları 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında doğrudan veri sorumlusu konumuna getirmektedir. Bir veri sorumlusu olarak avukatın, sadece Avukatlık Kanunu ve meslek kurallarından doğan geleneksel özen veya sır saklama borçlarını yerine getirmesi yeterli değildir; aynı zamanda KVKK sistematiğinde öngörülen spesifik hukuki yükümlülüklere de harfiyen uyması gerekmektedir. İlgili kişilerin kişilik haklarının ve temel özgürlüklerinin zedelenmemesi adına, verilerin hukuka ve dürüstlük kurallarına uygun işlenmesi kritik bir zorunluluktur. Bu makalede, avukatların veri sorumlusu sıfatıyla üstlendikleri aydınlatma, veri güvenliğini sağlama, verileri imha etme ve kurul kararlarına uyma gibi temel yükümlülükleri, KVKK ve Avukatlık Kanunu çerçevesinde hukuki bir perspektifle detaylı bir şekilde ele alınacaktır.
Avukatın Aydınlatma ve Bilgi Verme Yükümlülüğü
Veri sorumlusu sıfatını taşıyan avukatların en temel sorumluluklarından biri aydınlatma yükümlülüğüdür. KVKK'nın 10. maddesi uyarınca avukat, kişisel verilerin elde edilmesi sırasında ilgili kişilere; veri sorumlusunun kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen verilerin kimlere ve hangi amaçla aktarılabileceği, veri toplamanın yöntemi ve hukuki sebebi ile Kanun'da sayılan diğer hakları konusunda bilgi vermek zorundadır. Bu yükümlülük, ilgili kişinin bir talebine bağlı olmaksızın avukat tarafından re'sen yerine getirilmelidir. Aydınlatma yapılırken kullanılan dilin açık, belirli, anlaşılır ve sade olması gerekmekte olup, muğlak ifadelere yer verilmemelidir. Avukat, vekâlet ilişkisi kurduğu müvekkilini hukuki sürecin riskleri hakkında nasıl aydınlatmakla mükellefse, işlediği kişisel verilerin akıbeti konusunda da aynı şeffaflığı sağlamalıdır. Üstelik bu yükümlülüğün yerine getirilmesi, açık rıza şartına bağlanamaz; her iki işlem birbirinden bağımsız hukuki süreçler olarak yürütülmelidir.
Veri Güvenliğini Sağlama ve Sır Saklama Borcu
Avukatlar, elde ettikleri kişisel verilerin güvenliğini temin etmek amacıyla gerekli her türlü idari ve teknik tedbirleri almakla yükümlüdür. KVKK'nın 12. maddesi, veri sorumlusuna kişisel verilerin hukuka aykırı olarak işlenmesini ve bu verilere erişilmesini önleme ile muhafazayı sağlama görevi yükler. Bu kapsamda, veri kayıt sistemlerinin yetkisiz erişimlere karşı korunması, elektronik dosyalarda şifreleme ve güvenlik duvarı gibi teknik önlemlerin alınması şarttır. İdari önlem olarak ise, avukatlık bürosunda çalışan personelin veri güvenliği konusunda eğitilmesi ve yetki matrislerinin sınırlandırılması gerekmektedir. Öte yandan, Avukatlık Kanunu'ndan doğan sır saklama yükümlülüğü, KVKK'daki veri güvenliği borcuyla doğrudan örtüşmektedir. Avukat, görevinden ayrılmış olsa dahi, mesleki faaliyeti sırasında öğrendiği kişisel verileri başkasına açıklayamaz ve işleme amacı dışında kullanamaz. Bu borç, avukatın hem kamu görevlisi niteliğinin hem de veri sorumlusu sıfatının ayrılmaz bir parçasıdır.
Sicil Kaydı, İlgili Kişi Talepleri ve Veri
Veri sorumlusu olan avukatların yükümlülükleri veri toplama aşamasıyla sınırlı kalmayıp, sürecin sonlanmasına kadar devam eder. Kurul kararları uyarınca avukatlar, VERBİS kayıt yükümlülüğünden istisna tutulmuş olsalar da bu durum onların Kanun'dan doğan diğer sorumluluklarını ortadan kaldırmaz. Avukatların veri güvenliği ve yönetimi döngüsünde dikkat etmesi gereken temel hususlar şunlardır:
- Taleplerin Karşılanması: İlgili kişilerin kişisel verilerine erişim, düzeltme veya bilgi taleplerine en geç otuz gün içinde kural olarak ücretsiz yanıt verilmelidir.
- Kurul Kararlarına Uyma: Kişisel Verileri Koruma Kurulu tarafından verilen kararların, hukuka uygunluk çerçevesinde eksiksiz bir şekilde yerine getirilmesi zorunludur.
- Verilerin İmhası: KVKK'nın 7. maddesi ve Avukatlık Kanunu'nun evrak saklama süreleri dolduğunda, işleme amacı ortadan kalkan kişisel veriler re'sen veya talep üzerine silinmeli, yok edilmeli veya anonim hâle getirilmelidir.