Giriş

Kişisel Verilerin Korunması Kurulu 15. 04. 2020 tarihinde daha önce yayımladığı kararlarla benzerlik gösteren iki karar yayımladı. Kararların değerlendirmelerine geçmeden önce belirtmek isteriz ki gerçekten kişisel verilerin korunması hukukuna hakim olunmak isteniyorsa, benzerliklerinden dolayı kararları değerlendirmekten, tartışmaktan ve üzerinde konuşmaktan kaçınılmamalıdır. Çünkü bu hukuk alanı somut duruma göre değerlendirme yapmanın gerekli olduğu (diğer hukuk alanlarına göre daha nitelikli bir durum değerlendirmesi yapılması gereken) bir alandır. Doğru bir değerlendirmenin yapılabilmesi ancak birbirinden farklılaşan özellikli durumlar hakkında bilgi sahibi olmakla mümkündür. Bu durumu küçük bir örnekle açıklamak gerekirse sigara içme bilgisi kimi zaman özlük bilgisi kategorisine giren bir kişisel veri iken kimi durumlarda ise sağlık bilgisi kategorisine giren bir özel nitelikli kişisel veri olabilir. Bunun belirlenmesi ise ancak ve ancak somut olayın değerlendirilmesi ile mümkündür.

Yayımlanan kararlardan ilki veri sorumlusuna usule uygun başvuru yapılması ve veri sorumlusunun usule uygun başvuruya dürüstlük kuralları çerçevesinde cevap vermesine, ikincisi ise kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli idari ve teknik tedbirlerin alınması yükümlülüğüne aykırılığa ilişkindir. Çalışmamızın konusunu da bu iki kararın değerlendirmesi oluşturmaktadır.

1. 2020/86 Sayılı Kararının Özeti

Kurul’un 06. 02. 2020 tarihli 2020/ 86 sayılı kararına konu olan olayda ilgili kişi “….com” internet adresi üzerinden hizmet veren bir uçak bileti satış firması olan veri sorumlusunun sistemlerinde kayıtlı olan üyelik e-posta adresinin güncellenmesini talep ettiği; ancak söz konusu talebinin, üyelik e-posta adresleri üzerinde değişiklik işlemi yapılamadığı ve kullanılmak istenilen e-posta adresiyle yeni bir üyelik başlatılabileceği gerekçe gösterilerek reddedilmesi nedeniyle Kurum’a başvuruda bulunmuştur. Veri sorumlusu savunma yazısında, ilgili kişinin başvurusunun, esasen sisteminde kayıtlı olmayan bir e-posta adresinden gönderildiği ve bu başvurunun tebliğde sayılan yöntemlerin herhangi biri ile gerçekleşmemiş olması nedeniyle reddedildiğini belirtmiştir. Bu kapsamda ilgili kişinin başvurusunun veri sorumlusunun cevabı ile birlikte değerlendirilmesi neticesinde 01/03/2019 tarih ve 2019/48 sayılı Kişisel Verileri Koruma Kurulu kararı ile ilgili kişinin usule uygun olmayan başvurusu nedeniyle kişinin kimliğinin tanımlanamadığı noktasından hareketle, ilgili kişinin talebini reddeden veri sorumlusunun bu eylemine ilişkin olarak yapılacak bir işlem bulunmadığına, veri sorumlusu tarafından ilgili kişinin başvurusunun Kurum’a yapılan açıklamada olduğu gibi sistemlerinde kayıtlı olmayan bir e-posta adresi üzerinden yapılması nedeniyle kişinin kimliğinin belirlenemediği gerekçesiyle değil üyelik e-posta adresleri üzerinde değişiklik işlemi yapılamadığı gerekçesiyle reddedilmesi karşısında veri sorumlusunun, “Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ” kapsamında ilgili kişi tarafından yapılan bir başvuruyu dürüstlük kuralına uygun olarak sonuçlandırmadığı dikkate alınarak, bundan böyle Tebliğ kapsamında ilgili kişiler tarafından yapılacak başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırmak üzere gerekli her türlü idari ve teknik tedbirleri alması hususunda Şirketin talimatlandırılmasına karar verilmiştir.

Sonrasında ise aynı ilgili kişi aynı veri sorumlusu hakkında ikinci bir şikâyet başvurusunda bulunmuştur. İlgili kişi ikinci şikâyet başvurusunda 12.04.2019 tarihinde KEP hesabını kullanarak veri sorumlusunun KEP adresine e-posta adresinin güncellenmesi talebini ilettiğini; ancak e-postanın aynı gün içerisinde veri sorumlusu tarafından okunduğu ancak 30 gün içerisinde ilgili kişiye veri sorumlusu tarafından cevap verilmediğini belirtmiştir. Veri sorumlusu savunma yazısında ise ilgili kişinin KEP adresi yoluyla 12.04.2019 tarihinde veri sorumlusuna tekrar başvuruda bulunduğu ancak yoğunluk sebebi ile başvurunun bir süre sonra gözden kaçtığı, ilgili kişinin talebi fark edildiğinde yerine getirilerek e-posta adresinin talebi doğrultusunda güncellendiği ve bu güncellemenin ilgili kişiye de bildirildiği, ilgili kişinin talep ettiği güncellenmiş e-posta adresiyle sisteme giriş yapabilmekte olduğunu ifade etmiştir.

Değerlendirme yapan Kurul.

- Veri sorumlusu tarafından ilgili kişinin başvurularına cevap verilmemesi ya da cevabın yetersiz bulunması halinde ilgili kişiye Kurula şikâyet hakkı tanınmışsa da sadece başvuruya cevap verilmemesi sebebiyle veri sorumlusuna uygulanabilecek bir idari yaptırım türüne Kanun’da yer verilmediği,

- Başvurunun ikinci başvuru olduğu, ilk başvuruya ilişkin kararda başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırmak üzere gerekli her türlü idari ve teknik tedbirleri alması hususunda talimatlandırılmasına karar verildiği,

- Kurulun talimatına rağmen ilgili kişinin KEP adresinden yaptığı ikinci başvurusunun cevaplandırılmadığı, başvurunun cevaplandırılmamasının ise veri sorumlusunun savunmasında, yoğunluk sebebiyle gözden kaçtığı şeklinde gerekçelendirildiğinden dolayı veri sorumlusu tarafından başvuruların etkin, hukuka ve dürüstlük kuralına uygun cevaplandırılması için gerekli idari tedbirlerin alınmadığı ve Kurul tarafından verilen talimata uygun davranılmadığı,

gerekçeleriyle, Kanunun 15/5 maddesi hükümlerine aykırı hareket eden veri sorumlusu hakkında Kanunun 18/1-c maddesi uyarınca 50.000 TL idari para cezası uygulanmasına karar vermiştir.

2. 2020/ 86 Sayılı Kararının Değerlendirmesi

Olayda veri sorumlusu tarafından, ilgili kişiye (veri sorumlusuna yaptığı) ilk başvurunun e- posta adresinin güncellenmesinin mümkün olmadığından reddedildiği; bu yüzden cevap verilmediği, Kurul’a ise başvurunun “Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’e” uygun olarak gerçekleştirilmemesi nedeniyle reddedildiği belirtilmiştir.

Kararda veri sorumlusunun başvuruya cevap vermemesinin bir yaptırıma tabi olmadığı ifade edilmiştir. Kanaatimizce başvuruya cevap verilmemesinin yaptırıma tabi olmaması büyük bir eksiklik değildir. Çünkü başvuruya cevap verilmemesi durumunda ilgili kişinin Kurul’a şikâyette bulunma hakkı mevcuttur. Şikâyette bulunulması durumunda ise talimatlandırma kurumu devreye girmektedir. İdari para cezasına hükmedilmesi son çare olarak durmaktadır. Başvuruya cevap vermemenin de bir yaptırımı olması durumunda Kurul kişisel verileri koruma amaçlı bir Kurul yerine, cezalandırıcı bir Kurul haline gelecektir. Ayrıca şikâyet hakkının kullanılması durumunda Kurul tarafından gerekli incelemeler sonucunda hukuka aykırılıkların belirlenmesi suretiyle yaptırım uygulanması mümkündür.

Öncelikle veri sorumlusunun kişisel verileri güncel ve doğru tutuma yükümlülüğü bulunmaktadır. Bu kapsamda veri sorumlusu (kişisel verilerin güncel ve doğru tutulması için) gerekli teknik ve idari tüm tedbirleri almalıdır. Başka bir deyişle teknolojinin günümüzde geldiği nokta değerlendirildiğinde üyelik e-posta adresleri üzerinde değişiklik işlemi yapılamadığı ve kullanılmak istenilen e-posta adresiyle yeni bir üyelik başlatılabileceği gerekçesi makul değildir. Veri sorumlusunun sistemsel alt yapısını buna göre oluşturması veya güncellenmesi gereklidir. Aksi durum, yükümlülüğünü yerine getirmemesini haklı çıkarmamaktadır.

Uygulamada en azından bazı veri sorumluları tarafından kişisel verileri güncel ve doğru tutma yükümlülüğünün üzerinde fazla durulmadığını görüyoruz. Ne yazık ki Kanun öncesindeki (şimdiki Kanunun kavramları ile açıklamak gerekirse) veri, veri sorumlusuna aittir düşüncesi devam ettirilmeye çalışılmaktadır. Bu düşünceye sahip veri sorumluları elde ettikleri verileri yanlış veya artık kullanılmayan veriler olmalarına rağmen sistemden silmemektedirler. Hatta bundan dolayı veri ilgilileri için kimi zaman geri dönülmez sonuçlar ortaya çıkabilmektedir. Daha önce de, tekrar tekrar, belirttiğimiz gibi kişisel verilerin korunması hukukunun amacı ticari faaliyetleri sona erdirmek değildir. Faaliyetler devam ederken (sadece ticari alanda değil) kişisel verilerin de korunmasıdır. Artık buzdolabımızda hangi yiyeceklerin az kaldığının bile bilindiği toplumunda kişisel verilerin işlenmesinin kurallara tabi olması zorunlu bir ihtiyaçtır. Veri sorumlularının (tüzel kişi veri sorumluları bakımından yetkili kişileri) bir taraftan da veri ilgilisi olduklarını unutmadan hareket etmeleri gereklidir.

Kararın değerlendirmesine geri dönecek olursak ilgili kişi Tebliğ’e uygun bir başvuru yapmamış olmasına rağmen, veri sorumlusu başvuruyu bu nedenle değil de verinin güncellenememesi nedeniyle reddetmiştir. Kurul da, ilk kararında kişisel verilerin ilgili kişiler tarafından yapılacak başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırmak üzere gerekli her türlü idari ve teknik tedbirleri alması hususunda Şirketin talimatlandırılmasına karar vermiştir.

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 15. maddesine göre, Şikâyet üzerine veya resen yapılan inceleme sonucunda, ihlalin varlığının anlaşılması hâlinde Kurul, tespit ettiği hukuka aykırılıkların veri sorumlusu tarafından giderilmesine karar vererek ilgililere tebliğ eder. Bu karar, tebliğden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirilir.” Yine Kanunun 18. maddesine göre ise bu hükme aykırı davranan kişiler hakkında idari para cezasına hükmedileceği düzenlenmiştir. Kanunda öngörülen idari para cezalarının enflasyona göre güncellenmiş miktarı da göz önüne alındığında veri sorumlularının talimatların gereğinin yerine getirilmesini ihmal etmemeleri gerektiği açıkça anlaşılmaktadır. Aslında bu talimatlandırmaları veri sorumluları idari para cezası yaptırımı öncesi kişisel verilerin korunması bakımından bir iyi niyet göstergesi olarak kabul etmeleri gerekir.

Kurul, söz konusu olayda yerinde bir şekilde veri sorumlusunun talimatın gereğini yerine getirmemesi nedeniyle idari para cezasına hükmetmiştir. Dikkat edilmelidir ki önce kişisel verilerin korunması talimatlarla sağlanmaya çalışılmakta, ancak veri sorumlusu kişisel verileri korumamada ısrar ederse idari para ceza yoluyla deyim yerindeyse ıslah sağlanmaya çalışılmaktadır.

3. 2020/ 103 Sayılı Kararının Özeti

Söz konusu olayda ilgili kişi bir banka şubesinde mevduat hesabı açtırmak istediğinde aynı Bankanın başka bir ildeki şubesinde iki yıl öncesinde açılan bir ticari hesabının olduğu, anne kızlık soyadı dahil tüm kimlik bilgilerinin bahsi geçen banka şubesindeki hesapta görüldüğü bilgisini edinmesi üzerine, adına hesap açılan şubenin bulunduğu yere daha önce hiç gitmemiş olması ve yine hiçbir ticari faaliyet yürütmemesine rağmen banka nezdinde kişisel verilerinin hukuka aykırı olarak işlenmesi suretiyle adına hesap açılması hakkında Kurul’a şikayet başvurusunda bulunmuştur.

Şikâyet üzerinde Kurul, bankadan alınan bilgi ve belgelerle birlikte şikâyet başvurusunu incelemiştir. Veri sorumlusu banka, potansiyel müşteri kazanımı amacıyla yapılan bir çalışmada üçüncü bir taraftan temin edilen liste vasıtasıyla ilgili kişinin bilgilerine ulaştığı ve müşteri numarasının oluşturulduğu ancak, Temel Bankacılık Hizmet Sözleşmesi imzalanmadan müşteri numarası aktif hale gelemeyeceğinden ilgili kişinin müşteri numarasının da aktif bir hesap haline gelmediği beyanında bulunmuştur.

Kurul:

- Müşteri numarasının oluşturulduğunun iddia edildiği Ocak 2016’da 07/04/2016 tarihli ve 6698 sayılı Kanun’un yürürlükte olmamakla birlikte, bankanın ilgili kişiye vermiş olduğu 2018 yılına ait cevap içeriğinden ilgili kişinin verilerinin halen veri sorumlusu nezdinde bulunduğu anlaşıldığından ilgili kişiye yönelik kişisel veri işleme faaliyetinin Kanunun 5/1 ve 5/2 maddesinde yer alan şartlar olmaksızın gerçekleştirilmiş olması sebebiyle bankanın Kanuna aykırı veri işleme faaliyetinde bulunduğuna,

- Kanunun Geçici 1/3 maddesine aykırı şekilde ilgili kişiye ait kişisel verilerin derhal silinmediği, yok edilmediği veya anonim hale getirilmediği, bu nedenle veri sorumlusu bankanın Kanunun 4. maddesindeki genel ilkelere de aykırı bir şekilde ilgili kişinin kişisel verileri olan kimlik ve adres bilgilerini işlediği,

hususlarını dikkate alarak; anılan bankanın Kanunun 12/1-a maddesindeki kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli idari ve teknik tedbirlerin alınması yükümlülüğüne aykırı hareket ettiği kanaatine vararak hakkında Kanunun 18/b maddesi kapsamında 210.000 TL idari para cezası uygulanmasına karar vermiştir.

4. 2020/ 103 Sayılı Kararının Değerlendirmesi

Kurul’un kararına konu olay aslında, 6698 sayılı Kanun yürürlüğe girmeden önce sıklıkla karşılaştığımız, veri sorumlularının açıklamakta bir çekince göstermediği bir durumdur. Olayda banka veri ilgililerinin kişisel verilerini liste halinde üçüncü bir taraftan almış ve bu kişisel verileri sonrasında da işlemiştir. Olay her ne kadar Kişisel Verilerin Korunması Kanunu’nun yürürlüğe girdiği tarihten önce gerçekleşse de kişisel verilerin hukuka aykırı işlendiği gerçeğini ve bunu hukuka aykırı olduğu gerçeğini değiştirmemektedir.

Kanunun geçici 1. maddesinin 3. fıkrasına göre, “Bu Kanunun yayımı tarihinden önce işlenmiş olan kişisel veriler, yayımı tarihinden itibaren iki yıl içinde bu Kanun hükümlerine uygun hâle getirilir. Bu Kanun hükümlerine aykırı olduğu tespit edilen kişisel veriler derhâl silinir, yok edilir veya anonim hâle getirilir. Ancak bu Kanunun yayımı tarihinden önce hukuka uygun olarak alınmış rızalar, bir yıl içinde aksine bir irade beyanında bulunulmaması hâlinde, bu Kanuna uygun kabul edilir”.

Olayda veri sorumlusunun bu Kanunun hükümlerine aykırı olarak işlenen veri ilgilisinin kişisel verilerini derhal silmesi, yok etmesi veya anonim hale getirmesi gerekirdi. Veri sorumlusu bunu yapmayarak Kanun’un genel ilkelerine aykırı davrandığı gibi kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri almamış, hukuka aykırı veri işlemeye devam etmiştir.

Kurul yerinde bir karar ile veri sorumlusu hakkında kişisel verilerin hukuka aykırı işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik her türlü teknik ve idari tedbirleri almadığı gerekçesiyle idari para cezasına hükmetmiştir.

Ancak Kurul’un daha önceki yazılarımızda da belirttiğimiz gibi suç işlendiğini görmesi durumunda suç duyurusunda bulunması gereklidir. Kararın özetinde bankanın üçüncü taraftan kişisel verileri elde etmesinin hukuka uygun olup olmadığı belirtilmemiştir. Kararların özetinin oluşturulurken böyle önemli noktaların atlanmaması gereklidir. Aksine uygulamayı şekillendirmeye çalışan Kurul, kararlarıyla başkaca soru işaretlerine neden olmaktadır. Eğer karara konu olan olayda bankanın kişisel verileri elde edişi TCK m. 135-138 arasında düzenlenen kişisel verilere ilişkin suçlardan birini oluşturuyorsa suç duyurusunda bulunulmalıdır. Nitekim Kurul üyeleri kamu görevlisi olup, TCK’nın 279. maddesi gereğince önlerine gelen bir olayda suç işlendiğini öğrendikleri takdirde bunu gecikmeksizin yetkili Cumhuriyet savcılığına bildirmek yükümlülüğü altındırlar.

Sonuç

Kanunun yürürlüğe girmesinin üzerinden dört yıl geçmesine rağmen ne yazık ki bazı veri sorumluları kişisel verilerin korunması mevzuatına uyum için, haklarında, Kurul’un idari para cezasına hükmetmesini beklemektedir. Kişisel verilerin korunması mevzuatına uyum süreci tamamen zaman kaybı olarak görülmektedir.

Kurul’un değerlendirdiğimiz ikinci kararında da olduğu gibi kişisel verilerin Kanunun yayımlandığı tarihten önce işleniyor olması hukuka aykırı olarak işlenmesinin makul bir gerekçesini oluşturmaz. Hem Kanun hem de Kurul tarafından mevzuata mutlak bir uyum aranmaktadır. Bu bakımdan veri sorumluları faaliyetlerinde hukuka ve dürüstlük kurallarına uygun hareket etmelidir. Veri işlemeyi hukuka uygun yapması gerektiği gibi veri ilgilisinin başvurularına da hukuka uygun bir şekilde cevap vermelidir. Cevaplarında veri sorumlusu veri ilgilisine doğruyu aktarmalıdır. Veri ilgilisini başvuruda tatmin ederse veri sorumlusu şikâyet edilmeyeceği gibi idari para cezası riski ile de karşılaşmayacaktır.

Ayrıca belirtmemiz gerekir ki veri sorumlusu tarafından kendisine yapılan başvuruya cevap verilmemesinin yaptırım altına alınmamış olmasını büyük bir eksiklik olarak görmemekteyiz. Çünkü bu durumda veri ilgilisinin Kurul’a şikâyette bulunma hakkı mevcut olup hukuka aykırılıklar tespit edilerek teknik ve idari tedbirlerin alınmadığı gerekçesiyle yaptırım uygulanması mümkündür.

Kurul’un karar özetlerini kaleme alırken daha dikkatli davranması gerektiğini düşünmekteyiz. Karar özetlerini her zaman kişisel verilerin korunması hukuku bakımından uzmanlaşmış kişiler okumamaktadır. Karar özetlerinde belirsizliklerin olması, uzmanlaşmamış kişiler tarafından kararlar okunduğunda başkaca kafa karışıklıklarına neden olarak uygulamada başkaca sorunlara neden olmaktadır. Kimi zaman Kanun’un hükümleri ile ilgilisi olmayan uyum adı altında projeler yapılmaktadır. Kurul’un daha önce de eleştirdiğimiz karar özetlerini eksik bir şekilde kaleme almasının bir örneğini de incelediğimiz ikinci kararda oluşturmaktadır. Kararda bankanın üçünü taraftan kişisel verileri hukuka aykırı olarak elde edip etmediğine ilişkin bir değerlendirme bulunmamaktadır.

Kurul anlamadığımız bir şekilde suç duyurusunda bulunmaktan kaçınmaktadır. Oysaki kamu görevlisi olan Kurul üyelerinin Türk Ceza Kanunu’nun 279. maddesi gereğince suçu bildirme yükümlülüğü bulunmaktadır. Kurul’un tavrını daha önceki yazılarımızda da eleştirdiğimiz gibi bu yazımızda da eleştirme gereğinin olduğunu düşünüyoruz. Suç işlediğini öğrenmesi durumunda Cumhuriyet Savcılığına suç duyurusunda bulunmalıdır.

İşbirliği ile çalışıldığında kişisel verilerimizin korunması sağlanacağı asla unutulmamalıdır. Veri sorumluları cezalarla sindirilmemesi gerektiği gibi verinin veri ilgilisine aidiyetini sürdürmesi için, oluşturulan bu mevzuata uyumda veri sorumlularının azami özeni göstermesi gereklidir. Diğer taraftan da hukuka uygunluğu sağlamaya çalışan Kurul da hukuka aykırı davranmamalıdır.

Murat Volkan Dülger* / Cansu Ceren Kahraman*

--------------------------

*     Doç. Dr., İstanbul Aydın Üniversitesi Hukuk Fakültesi Ceza Hukuku, Ceza Muhakemesi Hukuku ve Bilişim Hukuku öğretim üyesi / Avukat

*     Stajyer Avukat, İstanbul Barosu, Marmara Üniversitesi Sosyal Bilimler Enstitüsü Kamu Hukuku Bölümü Yüksek Lisans Öğrencisi