Kişisel verilerin korunması hakkı[1] yasal düzenlemelere konu olması ve konuya ilişkin özel kanunların öngörülmesiyle günümüzde yeni bir hukuk dalı olarak kabul edilmektedir. Ancak bu hukuk dalı henüz kapsam, içerik ve özellikle uygulanma biçimi bakımından belirsizlikler içermektedir. Bu belirsizliklerin giderilebilmesi ve tam anlamıyla bir kişisel verilerin korunması hukukunun oluştuğunun kabul edilebilmesi için ise konuya ilişkin uyuşmazlıkların yargı makamlarının önüne gelerek içtihatların oluşması ve verilerin korunması amacıyla görevlendirilen kuruluşların açıklama ve kararlarda bulunarak bunları kamuoyuyla paylaşması gerekir.
Bu bağlamda, mevzuat ile öngörülmüş ve konuyla ilgili olarak görevlendirilmiş olan Kişisel Verileri Koruma Kurulu’nun yayınları, konunun anlaşılması üzerine oluşturdukları rehberleri, tebliğleri ve bilhassa kararları büyük önem arz etmektedir. Veri sorumlularının hangi noktalara dikkat ederek hassasiyetle yaklaşması gerektiği, ihlallerin hangi konularda yoğunlaştığı ve somut olay açısından ihlal değerlendirmesinin nasıl ve neye göre yapılacağı bu kararların değerlendirilmesiyle anlaşılabilecektir.
Kurul da önüne gelen somut olaylara ilişkin vermiş olduğu kararlardan sekiz tanesinin özetini bu düşünce doğrultusunda 20 Nisan 2018 tarihinde yayınlamıştı[2]. Bundan sonra vermiş olduğu kararlardan bazılarını 3 Ağustos 2018 tarihinde ikinci kez kamuoyuyla paylaşarak konuyla ilgili akıllara gelen soruları belli ölçüde cevaplandırmak istemiştir. İlk olarak belirtmeliyim ki, önceki yayınlanan kararlardan farklı konuların yer aldığı ve veri güvenliği ihlallerinin farklı açılardan ele alındığı kararların yayınlanmış olması yerinde olmuştur. Böylece özellikle konunun ilgilileri ve Kanun’un getirdiği yükümlülüklere uyumlu hale gelmek zorunda olan veri sorumluları ve veri işleyenler açısından yol gösterici kararlara yenileri eklenmiştir.
Kurulun yayınlamış olduğu söz konusu kararları; 6698 sayılı Kanun ile getirilen ve kararlara konu olan yükümlülük açısından ele alıp; somut olayda hangi noktalarda ihlal kanaatinin getirildiğine değineceğim. Böylece Kurulun konuya olan bakış açısının anlaşılarak Kanun’un verilen kararlar kapsamında ele alınmasını sağlamaya çalışacağım.
Kişisel Verileri Koruma Kurulu Kararları
Kararları açıklamaya geçmeden önce veri sorumlusunun, veri güvenliğinin sağlanmasına ilişkin yükümlülüklerini düzenleyen ve dolayısıyla yapmış olduğu ihlallerin dayanak maddesini hatırlatmakta fayda görüyorum. Veri sorumlusunun kişisel verilerin güvenliğini sağlamak ile ilgili görev ve yetkileri Kanun’un “veri güvenliğine ilişkin yükümlülükler” başlıklı 12. maddesinde düzenlenmiştir[3]. Buna göre:
- Veri sorumlusu kişisel verilerin hukuka aykırı olarak işlenmesini ve bu verilere erişilmesini önlemek ile verilerin muhafazasını sağlamak amacıyla gerekli her türlü teknik ve idari tedbiri almak zorundadır.
- Veri işleyen olması halinde bu tedbirlerin alınmasında veri sorumlusu ve veri işleyen müştereken sorumludur.
- Veri sorumlusu, Kanun’un uygulanmasını sağlamak üzere gerekli denetimi yapmak ve yaptırmak zorundadır.
- Veri sorumluları ve veri işleyenler görevden ayrıldıktan sonrası için de geçerli olmak üzere görevleri sırasında öğrendikleri kişisel verileri hukuka aykırı bir biçimde açıklayamaz ve kullanamazlar.
- İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirmelidir.
1. Bir gerçek kişinin adının geçtiği köşe yazısının silinmesi talebi
Veri sorumlusu, Kanun’un 12. maddesiyle kendisine yüklenen veri güvenliğine ilişkin yerine getirmek zorunda olduğu kuralların yanı sıra Kanun’un “İlgili kişinin hakları” başlıklı 11. maddesiyle ilgili kişinin veri sorumlusuna başvurarak kendisiyle ilgili bilgilere ilişkin olarak yapacağı taleplerini de yerine getirmek zorundadır[4].
İlgili kişinin veri sorumlusuna başvurarak yapacağı taleplerden en dikkat çekici olanlardan birisi ve uygulamada da nasıl ve ne zaman yapılacağı hususunda belirsizliklerin yoğunlaştığı nokta, ilgili kişinin “7. maddede öngörülen koşullar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini” isteyebilmesidir. Kanun’un 7. maddesi ise; Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinmesini, yok edilmesini veya anonim hale getirilmesini gerektirir.
Dolayısıyla Kanun’un öngördüğü kurallara uygun olarak elde edilen, toplanan veya işlenen kişisel verilerin işlenme amacı ortadan kalktıktan sonra belirtilen işlemlerden herhangi bir tanesine tabi tutularak ortadan kaldırılması gerekir. Bu gereklilik veri sorumlusu tarafından resen yerine getirilmediği takdirde ilgili kişi tarafından da talep edilebilecektir. İlgili kişinin haklı talebine rağmen bunu yerine getirmeyen veri sorumlusu kişinin verilerinin korunması hakkından yararlanmasını engellemiş olacak ve ayrıca Kanun’da sayılan veri koruma hukuku ilkelerinden “ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme” ilkesine uygun hareket etmeyerek hukuka aykırı davranmış olacaktır. Somut olaya geçmeden önce ilke ile ilgili olarak belirtmek istediğim husus, veri sorumlularının kişisel verilerin muhafaza süreleri konusunda sorun yaşamaması adına hangi kişisel verilerin hangi sürelerin sonunda silineceğine ilişkin ilgili mevzuatta bir süre bulunması halinde bu sürelere uymaları, bulunmaması halinde makul süreler belirlemesi gerektiğidir. Bunun içinde hem kişisel verilin silinmesi, yok edilmesi ve anonimleştirilmesine ilişkin “kurum politikası” oluşturulmalı, hem de kişisel veri envanteri çıkarılırken varsa ilgili kanun, yoksa kurum politikası gereğince hangi veri setlerin ne zaman yok edileceği, silineceği ya da anonimleştirileceği, bunun için ayrılan alanda açıkça belirtilmeli ve buna uyulmalıdır.
Kurul’un yayınlamış olduğu karar özetlerinden ilkinde, bir gerçek kişinin adının bir gazetedeki köşe yazısında yer aldığı, aradan belli bir süre geçtiği ve ilgili kişinin de söz konusu köşe yazısının silinmesini talep ettiği anlaşılmaktadır. Kurul’un bu talep karşısında ne yönde karar verdiğine geçmeden önce ilgili kişinin verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin talebinin “unutulma hakkı” ile olan bağlantısına değinmek istiyorum.
Gerçekten böyle bir hak olup olmadığı ve eğer varsa da bunun kapsam ve sınırlarının ne olduğu hususunda tartışmalar bulunmakla beraber bilişim teknolojilerinin sağladığı imkanların yarattığı tehlikeler karşısında bir güvence olmak ve güncel bir gereksinimi karşılamak üzere ortaya çıkan, zaman içerisinde yargı makamları tarafından verilen kararlarla da tanınan ve ilgili kişinin unutulmasını öngören bir unutulma hakkı söz konusudur. Buna göre kendisine ait bilgileri uzun süre önce elde edilmiş, toplanmış veya işlenmiş olan ve artık bu verileri üzerinde denetim hakkı olmayan birey, o tarihte yaşanmış olan bir olayın yükünü bugün de çekmek zorunda değildir. Bu noktada belirtmeliyim ki, yaşanan olayın mutlaka kişi hakkında olumsuz bir yargı oluşturacak nitelikte olması gerekmez. Bizatihi kişisel verilerin korunduğu günümüzde, uzun süre önce yaşanan ve artık ilgili kişinin üzerinde katılım ve denetim yetkisinin olmadığı olayda yalnızca kişisel verilerin yer alması bu haktan faydalanılması için yeterlidir.
Avrupa Adalet Divanı’nın unutulma hakkına olan ilgi ve merakın yoğunlaşmasına sebep olan “Google Kararı” bu hakkın mahkeme kararlarıyla da tanınmasını sağlaması bakımından oldukça önemlidir. Karara konu olayda Costeja González adlı İspanyol bir avukat, Google arama motorunda adıyla arama yaptığında uzun bir süre önce sosyal güvenlik borçlarının yapılandırılması için mülkünü satmak zorunda kalmasına ilişkin bilgilerin yer aldığı gazete haberlerinin 95/46/EC Sayılı Direktif’e aykırılık oluşturduğunu ileri sürmüştür. Divan, başvurucuyu haklı bularak 13 Mayıs 2014 tarihinde verdiği kararda, Direktifin kişinin erişim hakkı konulu 12. maddesini dayanak göstermiş ve kişinin ismiyle yayınlamış kişisel verilerin geçersiz veya ilgisiz hale gelmesinden sonra amacını aşması halinde silinmesi gerektiğine hükmetmiştir.
Mahkeme, söz konusu kişisel bilgilerin güncelliğini yitirmiş olmasına rağmen ilgili kişinin kişisel verilerini ve finansal bilgilerini ifşa niteliğinde olduğu, ancak asıl olaylardan 10-15 yıl geçtikten sonra bu bilgilerin hala geniş bir kitleye ulaşabileceği gerçeğini mantıklı görmüyordu. Bu olaylar gerçekleştiği dönemde önemli ahlâkî ve ekonomik zararlara sebep olmuşsa da, dava sırasında yayınlanmasına neden olan koşullar artık mevcut değildi.
Unutulma hakkının yer aldığı en güncel kararlardan biri ise Avrupa İnsan Hakları Mahkemesi tarafından 28 Temmuz 2018 tarihinde verilen “M.L. ve W.W. v. Almanya” kararıdır[5]. Karara konu olan olay, başvurucuların 2007 yılında Hamburg Bölge Mahkemesi’ne başvurarak 1993 yılında işledikleri öldürme suçunun hala yer aldığı gazete sayfalarındaki verilerinin anonim hale getirilmesi talebiyle başlamıştır. Almanya Federal Mahkemesi tarafından da reddedilen bu talep son olarak AİHM’nin önüne getirilmiştir. Mahkeme, halkın arşivlenmiş haberlere erişim hakkına karşılık cezai suçlardan hüküm giymiş kişilerin unutulma hakkının ağır basması gerektiğine hükmederek, hakkı açıkça tanımıştır. Mahkemeye göre internet yayıncılığına konu olmuş bir kişinin hakları, kamunun özellikle dijital basım arşivleri kullanılarak geçmiş olaylar ve tarihi bilgilendirilme haklarına karşı korunmalıdır. Çünkü suçluların kamuoyunun bilgilenme konusundaki ilgisinden çok daha uzun bir süre sonra geçmiş eylemleriyle yüzleşmek zorunda kalmaları kaygı vericidir. Sonuç olarak Federal Mahkeme’nin verilerin anonim hale getirilmesi yönündeki talebi red kararı AİHM tarafından Sözleşme’ye aykırı bulunarak reddedilmiştir.Yapılan açıklamalar ve Divan kararı ışığında unutulma hakkının uluslararası mahkemeler tarafından tanınan ve ilgili kişinin uzun süre öncesine dayanıp da erişim ve denetim yetkisini kaybettiği verilerinin silinmesini talep edebilme yetkisi olduğu söylenebilir. Dolayısıyla her ne kadar yeni gündeme gelen bir hak olsa da ilgili kişilerin bu haktan faydalandırılması ve bu yönde gerekli adımların atılması gerekir.
Konuya ilişkin kararda, Kurul’un, köşe yazısında adı geçen kişinin hala kamuyu ilgilendiren bir konumda olması ve köşe yazısının da ifade özgürlüğünün bir yansıması olan basın özgürlüğü kapsamında sayılması nedenleriyle Kanun’un 28. maddesinin 1-c bendine dayanarak söz konusu köşe yazısının silinmesine yönelik talebine ilişkin olarak yapılacak herhangi bir işlem bulunmadığına karar verildiği anlaşılmaktadır[6]. Bu maddeye göre ifade özgürlüğü kapsamında gerçekleştirilen kişisel verilerin işlenmesi faaliyetleri üzerinde Kanun uygulama alanı bulamayacaktır.
Karara ilişkin değerlendirme ve görüşlerimi belirtmeden önce kararın unutulma hakkı, basın özgürlüğü ve ifade özgürlüğü gibi önemli kavramlarla yakın ilişki içerisinde bulunmasına karşın çok genel ve belirsiz bir şekilde açıklanmış olduğunu belirtmeliyim. Bu nedenle değerlendirmelerin yalnızca kararda açıklanan noktalara ilişkin ve genel nitelikte olduğunu ve söz konusu kavramların detaylı bir şekilde olaya uyarlanmasını içermediğini hatırlatmak isterim.
İlk olarak, olayda anılan köşe yazısının niteliği itibariyle basın özgürlüğü kapsamında olduğu ve bu özgürlüğün de ifade özgürlüğünün bir yansıması olarak ortaya çıktığı konusunda şüphe bulunmamaktadır. Bununla birlikte içerik ve kapsamı ne olursa olsun her köşe yazısının ifade özgürlüğü gerekçesiyle hukuka uygun olarak kabul edilmesi mümkün değildir. Bireylerin temel hak ve özgürlüklerden insan hakları, insan onuru, bireysel özerklik, maddi ve manevi bütünlüğünü geliştirme hakkı kavramlarına zarar vermeyecek şekilde yararlandırılmaları gerektiğini kabul etmekle beraber, bu temel hak ve özgürlüklerin de sınırları olduğu ve her durumda mutlak surette uygulanamayacağı unutulmamalıdır. Olayda köşe yazısı açısından basın özgürlüğü söz konusu iken, ilgili kişi açısından da kişisel verilerinin korunması hakkı söz konusudur. Dolayısıyla basın özgürlüğü ile kişisel verilerin korunması hakkı karşı karşıyadır[7]. Öyleyse temel hak ve özgürlüklerin sınırlandırılması için gerekli olan “ölçülülük” ilkesi gereğince, köşe yazısından beklenen yarar ile bireyin kişisel verilerinin korunması hakkından beklediği meşru çıkarı karşılaştırılmalıdır. Bu karşılaştırma yapılırken ve somut örnekler karara bağlanırken temel çıkış noktasının şu şekilde olması gerektiğini düşünüyorum: Basının köşe yazıları aracılığıyla kamuoyunu bilgilendirme ve kamuoyuna haber verme hakkı olarak somutlaşan basın ve ifade özgürlüğü ile bireyin eski tarihlere dayanmasına karşılık hala geniş kitleler tarafından ulaşılabilmesi suretiyle tehlike altında bulunan kişisel verilerin korunması hakkından yararlandırması yönünde var olan beklenti ve talep arasında adil ve makul bir denge oluşturulmalıdır.
Kararın açıkladığım dengeye göre verilmesi gerektiğini soyut bir şekilde ifade edebilmekle birlikte bu düşüncemi somut örneğe uygulayarak Kurul’un verdiği kararı değerlendirebilmek mümkün görünmemektedir. Zira böyle bir değerlendirmenin gerçeklikten uzak ve hatalı olacağı açıktır. Gazetede yer alan söz konusu köşe yazısının kaç sene öncesine ilişkin olduğu, ilgili kişinin hangi kişisel verilerine ne ölçüde yer verdiği, konu itibariyle kamuoyunu ilgilendirip ilgilendirmediği gibi sorular cevapsız kalmaktadır.
Bununla birlikte Kurul’un, ilgili kişinin kişisel verilerinin yer aldığı köşe yazısının silinmesi talebine ilişkin olarak yapacak bir işleminin olmadığı kanaatine dayanak olarak gösterdiği gerekçelerinin de yetersiz olduğunu düşünmekteyim. İlk olarak, köşe yazısında kişisel verileri yer alan ilgili kişinin kamuyu ilgilendiren bir konumda olması, onun kişisel verilerin korunması hakkından yararlandırılmayacağı ve verilerinin silinmesini isteyemeyeceği karşısında yeterli bir gerekçe olamaz. Kişi, kamuyu ilgilendiren ve kamuya mal olmuş bir konumda bulunsa da, belirlenen işleme amaçlarının ortadan kalkması halinde amaçsız kalan kişisel verilerinin silinmesini isteyebilmelidir. Kişinin kamuyu ilgilendiriyor olması, verilerinin meşru amaç olmaksızın tutulacağı veya işleneceği anlamına gelemez. Zira böyle bir düşünce kişisel verilerin korunması hakkının çıkış noktasına ve felsefesine aykırıdır. Kaldı ki yukarıda belirttiğim Divan kararında söz konusu olan gazete haberinde yer alan olayların da gerçekleştiği dönemde önemli ahlaki ve ekonomik zararlara sebep olduğu belirtilmişti. Dolayısıyla tek başına kamuyu ilgilendiriyor olmak, kişisel verilerin korunması hakkına yönelik yapılacak müdahaleye meşruluk kazandırmaz.
Öte yandan olayda kişisel verilerin ifade özgürlüğü kapsamında işlenmesinden dolayı Kanun’un uygulanmayacağı ve dolayısıyla da Kurul’un söz konusu talep karşısında işlem yapamayacağı da yeterli bir gerekçe olarak gözükmemektedir. Bu gerekçe karşısında yukarıdaki ifade özgürlüğü ile ilgili olarak açıklamalarım geçerli olup; ifade özgürlüğü ile kişisel verilerin korunması hakkı kavramları arasında somut olay esas alınarak bir dengenin kurulması gerektiğini düşünmekteyim.
Karar özeti metninden somut olaya ilişkin olarak anlaşılan bilgiler karşısında yukarıda açıkladığım değerlendirmeleri yapmakla birlikte; daha detaylı ve gerçekçi değerlendirme yapabilmek için beklentim, özellikle temel hak ve özgürlükler ile ilişkili olan kararların daha kapsamlı bir şekilde açıklanmasıdır.
2. Özel nitelikli kişisel verilerin Kanun’a aykırı şekilde internet ve sosyal medya mecralarında paylaşılması
Kişisel verilerden bir kısmı hassas, bir başka deyişle özel nitelikli veri olarak tanımlanmıştır. Bazı verilerin hassas olarak adlandırılıp, bu şekilde daha etkin bir koruma altına alınmış olmasının nedeni bu verilerin kişinin temel hak ve özgürlükleri ile daha yakın bir ilişkide bulunmasından kaynaklanır. Zira söz konusu verilerin kötüye kullanılma ihtimalinde veri sahibi üzerinde doğabilecek zararların ve mağduriyetlerin daha büyük olacağı endişesiyle haklı olarak böyle bir ayrıma gidilmiştir. Hangi verilerin özel nitelikte olduğu Kanun’da sınırlı olarak sayılmıştır ve sayılanlar dışında kalan verilerin özel nitelikli kabul edilmesi mümkün değildir.
Özel nitelikli verilerin taşıdığı önem, bu verilerin daha geniş çaplı bir korumadan faydalanmasını gerektirir. Kanun’da da aynı doğrultuda özel nitelikli kişisel verilerin işlenmesi daha sıkı şartlara bağlanmıştır. Kişinin en mahrem ve paylaşılmasını istemediği bilgilerinden olan sağlık verileri de muayene, tanı, tedavi gibi bütün aşamalarda elde edilen bütün kişisel verileri ifade etmek üzere Kanun’da ve konuya ilişkin özel nitelikli verilerin kabul edildiği ulusal ve uluslararası tüm belgelerde özel nitelikli veriler arasında sayılmıştır.
Somut olayda, ilgili kişiye ait özel nitelikli kişisel veri niteliğinde olan sağlık raporu veri sorumlusuna ait mobil olarak kullanılan bir uygulamadan alınan ekran görüntüsü, bir hastane nezdinde hastaların tedavi sürecinde yer alan hekimler tarafından başka bir cihaz kullanılarak çekilmiştir. Çekilen fotoğrafın internet ve sosyal medya mecralarında paylaşılması şeklinde gelişen olaylar sonucunda bireyin özel nitelikli kişisel verisi sosyal medya aracılığıyla geniş bir kitleye ifşa edilmiştir. Kurul konuyla ilgili olarak yaptığı incelemede Kanun’un 12. maddesiyle veri sorumlusuna yükletilen “kişisel verilerin muhafazasını sağlamak amacıyla uygunluk güvenlik düzeyini temin etme” sorumluluğunun veri sorumlusu tarafından yerine getirilmediği sonucuna ulaşarak Kanun’un 18. maddesini dayanak göstererek ilgili veri sorumlusu hakkında idari para cezası uygulamıştır.
Bu detayda verilen olay açısından Kurul’un vermiş olduğu ihlal kararına katılmakta ve gerekli yaptırımın uygulanmış olmasını doğru bulmaktayım. Zira kişiye ait özel nitelikli verilerin hukuka aykırı bir şekilde alınan ekran görüntüsünün sosyal medyada paylaşılarak ifşa edilmesinin kabul edilmesi mümkün değildir. Kaldı ki, bu veriler özel nitelikli verilerden olmasaydı da ihlal söz konusu olacaktı. Bu noktada, ihlal konusu verilerin özel nitelikli veri olmasının idari para cezasını etkilemesi gereken bir husus olduğunu düşünüyorum. Bununla birlikte veri sorumlusunun hangi önlemi almaması itibariyle karar konusu ihlalin yaşandığı ve bu tür durumlar karşısında hangi önlemlerin alınması gerektiği gibi noktalar belirsizdir. Örneğin veri sorumlusuna ait mobil olarak kullanılan uygulamaya kimler tarafından erişilebiliyor ve bu bağlamda kimlerin erişmesi gerekirdi? Erişim yetkilisi olmaması gerektiği halde erişebilen bir kişi tarafından mı ekran görüntüsü alınmıştır? Söz konusu uygulamada ekran görüntüsü alınmasını engelleyen teknik bir önlemin alınması mümkün olabilir miydi? Belirtilen hususlarda akıllara gelen bu tür soruların da yayınlanan kararlarla açıklanmış olması Kanun’a uyumlu olarak hareket etmesi gereken veri sorumluları açısından daha faydalı olabilirdi.
Olaya ilişkin olarak yapılan değerlendirmede belirtmek istediğim ilk husus, kişilerin verilerinin yer aldığı bilgi ve belgelerin görüntüsünün alınması, bu görüntülerin çoğunlukla mobil uygulamalar aracılığıyla üçüncü kişilerle paylaşılması veya internet ve sosyal medya mecralarında ifşa edilmesi çok sık karşılaşılan bir problemdir. Kişiler, teknolojik araçların yardımıyla hukuka aykırı bir şekilde kişisel verilere kolaylıkla ulaşabilmekte, bu verileri kaydedebilmekte ve üçüncü kişilerle paylaşabilmektedir. Öte yandan hukuka uygun elde etmekle birlikte elde etmesini sağlayan belirli, açık ve meşru amacın sınırlarını aşabilmektedir. Bu imkânın her zaman söz konusu olduğu günümüzde, kişisel verilerin korunması bilincinin oluşturulamaması halinde bu tür hukuka aykırılıkların yaşanmasından kaçınılması da mümkün değildir.
Hastalara ait sağlık bilgilerinin hukuka aykırı olarak paylaşılmasının önüne nasıl geçileceği uyumluluk süreçlerinde rol aldığımız sağlık kuruluşları tarafından da büyük bir problem noktası oluşturmaktadır. Hasta bilgilerine ulaşmasında hiçbir çıkar ve meşru amacı olmayan kişilerin bu bilgilere ulaşabildiği, hekimlerin aralarındaki samimiyet ilişkisi nedeniyle dışarıya hastalar hakkında bilgi verdiği, kendi aralarında mesleki bilgi paylaşımını geçecek şekilde hastaların sağlık verilerini konuştuklarını ve bu konuşmanın bir şekilde başka kişilere ulaştığı ancak bunun önüne geçilmesinin çok zor olduğu belirtilmektedir.
İlk olarak belirtmek gerekir ki, insan faktörünün söz konusu olduğu bir durumda her ihtimali öngörebilmek ve bütün bu ihtimallerin yarattığı tüm tehlikeleri tamamıyla önleyebilmek mümkün değildir. Bazen siz ne yaparsanız yapın hastanın verilerini alan ve kaydeden bir personelin, hemşirenin, hekimin veya diğer çalışanların hukuka aykırı bir şekilde veri paylaşmasını engelleyemezsiniz. Ancak bu durum tabii ki tek başına geçerli bir savunma olamaz. Bu savunmanın gündeme gelebilmesi için veri sorumlusunun hali hazırda gerekli bütün önlemleri almış olması gerekir. Zira “ben ne yaparsam yapayım bu hareketi engelleyemezdim” gibi bir savunmanın kabul edilmesi mümkün değildir.
Veri sorumlularına önerim ilk önce Kanun ve diğer yasal düzenlemelerle alınmasının zorunlu tutulduğu teknik ve idari tedbirleri almalarıdır. Bundan sonra insan faktörünün önüne geçebilmenin en iyi yolu konuya ilişkin eğitmek ve bilinçlendirmektedir. Kişisel verilerin korunmasının önemini kavrayan, başkalarına ait verileri paylaşması halinde bu kişilerin temel hak ve özgürlüklerini ihlal edeceği bilincinde olan ve aynı ihlalin kendisine yönelik olarak yapılmasını istemeyeceği empatisini kurabilen kişinin, belirtilen davranışlarda bulunma ihtimali her zaman daha azdır.
Dolayısıyla konuya özel olarak sağlık kuruluşları ve genelde ise tüm veri sorumluları veri güvenliğini sağlamak amacıyla alacağı tedbirler kapsamında kendisine bağlı bütün personeli içerisine dahil eden, geniş ve kapsamlı kişisel verilerin korunması konulu eğitimler düzenlemelidir. Ayrıca bu eğitimleri belirli aralıklarla güncel gelişmeleri de içerisine alarak tekrar etmelidir. Böylece Kanun’a uyumluluk açısından gerekli her türlü teknik ve idari tedbiri alan ve bünyesinde yer alan bütün kişileri konuya ilişkin hukuka aykırı hareketlerde bulunmaması nedeniyle bilinçlendirme girişimlerinde bulunan veri sorumlusunun veri güvenliğine ilişkin yükümlülükleri de ihlal ettiğinden bahsedilemeyecektir.
3. İş başvurusu sürecinde işlenen kişisel verilerin hukuka aykırı şekilde paylaşılması
Kişisel verilerin korunması alanında tartışmaların, soruların ve belirsizliklerin en çok yaşandığı noktalardan biri şüphesiz işçi-işveren ilişkisidir. İşçilerin çalışma sürecinden önce başvurusu sırasında alınan, başvurusu alınmakla beraber işe kabul edilmeyen işçi adaylarından toplanan, işçilerin çalışma süreci içerisinde toplanan verilerinin hangi hallerde toplanabileceği veya işlenebileceği daha da ötesi işçilerin çalışma süresi sona erdikten sonra verilerine ne olacağı çok geniş bir konuyu ve tartışmayı oluşturmaktadır. Bu nedenle bu noktada işçi-işveren ilişkisindeki kişisel verilerin korunması hakkını detaylı olarak açıklamak yerine Kurul’un iş başvurusu sürecinde işlenen kişisel verilerle ilgili olarak yayınlamış olduğu iki adet karar özelinde bir değerlendirme ve açıklama yapmakla yetineceğim.
Verilen kararlardan ilki işe başvuru yapan bir adayın verilerinin, başvuran diğer adaylarla paylaşılmasına ilişkindir. Buna göre işçi adayı, online olarak insan kaynakları hizmeti sunan veri sorumlusuna ait bir platform üzerinde iş başvurusunda bulunmuştur. Yapılan başvuru bilgisi, ad ve soyad bilgisi ile e-posta adres bilgisini içeren kişisel veriler herhangi bir hukuki sebebe dayanmaksızın diğer başvuran adaylarla paylaşılmıştır. Bu paylaşımın anılan şirket tarafından veri güvenliğine ilişkin yükümlülüklerin yerine getirilmediği anlamına geldiği ve idari para cezasının uygulanmasının gerektiği kanaatine varılmıştır.
İşçi-işveren ilişkisinin ilk adımı işe başvuru aşamasıdır. Bu başvuru aşamasının nasıl gerçekleştirileceği, başvuru formunda hangi verilerin istenebileceği ve özellikle başvuru sırasında alınan bilgilerin nasıl ve ne ölçüde işlenebileceği ile hangi süre sonunda silinmesi gerektiği kişisel verilerin korunması alanını ilgilendiren ve bu mevzuat uyarınca cevaplandırılması gereken sorulardır. Dolayısıyla işe başvuru aşaması kişisel veriler açısından önemli ve sınırlarının belirlenmesi gereken bir alanı oluşturur. Bu nedenle de veri sorumlularına işe başvuruların nasıl alınacağı ile ilgili olarak kişisel verilerin korunması konulu yasal düzenlemelere uygun kesin ve net kurallar koyarak bunu ilgili prosedürlerinde belirtmelerini öneriyorum.
İş başvurusu sırasında alınan işçi adayına ait kişisel verilerin başka adaylarla paylaşılması suretiyle gerçekleşen olayda veri korumanın ihlal edildiğini düşünmekte ve Kurul kararına katılmaktayım. Zira veri sorumlusunun bir adaya ait olan veriyi diğer bir adayla paylaşmasında ne gibi bir yararı olacağını düşündüğümüzde Kanun kapsamında herhangi bir meşru çıkarı görünmemektedir. Dolayısıyla veri sorumlusu meşru çıkarının olduğu anlaşılmayan hareketiyle veri güvenliğine ilişkin yükümlülüklerine aykırı hareket etmiştir.
Karar içeriğiyle ilgili olarak eleştirebileceğim husus ise yine eksikliklere ilişkin olacaktır. Veri sorumlusunun başvuru yapan bir adayın kişisel verilerini başka adaylarla paylaşması şeklindeki davranışına ilişkin savunması ne yönde olmuştur? Bu paylaşımı hangi amaçla yapmıştır? Olayda söz konusu olan paylaşım herhangi bir durumda hukuka uygun olarak kabul edilebilir mi; kabul edilebilirse bu hangi amaca ilişkin olmalıdır? Öte yandan paylaşılan diğer adaylar aynı pozisyona başvuran adaylar mıdır? Verilerin paylaşıldığı adayların aynı veya farklı pozisyona başvuran adaylardan olması ihlal açısından herhangi bir fark oluşturur mu? Bu soruların cevaplarının da karardan anlaşılması konunun ilgilileri ve veri sorumluları açısından daha faydalı olabilirdi.
Konuya ilişkin ikinci karar ise başvuru sırasında alınan kişisel verilerin veri sorumluları arasında aktarımının yapılması ile ilgilidir. Buna göre kişinin işe başvuru sırasında alınan kişisel verileri, bir şirketler topluluğu arasında yer alan veri sorumluları arasında aynı veri tabanı kullanılmak suretiyle paylaşılmıştır. Kurul bu paylaşımı yapan Şirket’in veri güvenliğine ilişkin yükümlülüklerini yerine getirmediğinden bahisle idari para cezası verilmesi gerektiğine karar vermiştir.
Bu karara ilişkin olarak akılları karıştıran ve cevaplanması gereken asıl sorun, bir şirketler topluluğu bünyesinde yer alan şirketlerin her birinin ayrı ayrı veri sorumlusu olarak mı kabul edileceğidir? Buradan hareketle, bu kabulün tamamen bir ayrılık şeklinde mi olacağı yoksa ortak noktaların da bulunup bulunamayacağı ile ayrı kabul edilen veri sorumluları arasındaki paylaşım ve aktarımların hangi kapsamda değerlendirileceği konuya ilişkin diğer merak noktalarını oluşturur.
Bir şirketler topluluğu bünyesinde yer alan her bir şirket açısından durumun ne olacağı başlarda açık ve kesin değilken ve Kanun’a uyumluluk süreçlerinde konu belirsizlik yaratıyorken; daha sonra Kurul tarafından yayınlanan rehberler ve yapılan açıklamalarla bir şirketler topluluğu bünyesinde yer alan her bir şirketin ayrı ayrı veri sorumlusu olarak kabul edileceği belirtildi. Bu kapsamda şirketler topluluğu altında yer alan her bir şirketin kendi arasında gerçekleştirilen veri paylaşımı ve aktarımı işlemlerinin de üçüncü bir kişi ile paylaşma veya aktarma olarak değerlendirilmesi gerektiği belirlendi. Böylece konuya ilişkin belirsizlikler giderilmiş oldu ve bir şirketler topluluğunun Kanun’a uyumlu hale gelmek üzere yürüttüğü süreçlerde bünyesinde bulunan her bir şirket açısından, bir veri sorumlusunun yapması gerekenlerin tekrarlanacağı anlaşıldı. Öyleyse bu nitelikte şirketler tarafından yapılacak olan paylaşımlar ve aktarımlar da üçüncü bir kişiye paylaşım veya aktarım yapılmasına ilişkin şartları taşımalıdır. Bu açıdan hiçbir fark bulunmamalıdır.
Olaya dönecek olursak, bir şirket topluluğunun bünyesinde yer alan veri sorumlusuna iş başvurusu yapan adayın kişisel bilgileri, başvuru yaptığı veri sorumlusu tarafından yine aynı topluluk bünyesinde bulunan diğer bir veri sorumlusuna aktarımı gerçekleştirilmiştir. Ancak bu aktarım kişisel verilerin üçüncü kişilere aktarımı niteliğinde olduğundan Kanun’un kişisel verilerin aktarılması başlıklı 8. maddesinde yer alan koşullarından herhangi birine sahip olması gerekirdi. Buna göre kişisel veriler ilgilinin açık rızası olmaksızın işlenemeyecek olmakla birlikte; kişisel verilerin işlenme şartlarının bulunması ve yeterli önemler alınmak koşuluyla özel nitelikli kişisel verilerin işlenme şartlarının bulunması halinde açık rıza olmaksızın aktarılabilir.
Kararda ilgili kişinin verilerinin üçüncü kişilere aktarılması hususuna ilişkin bir açık rızasının olmadığı belirtilmiştir. Kurul’un bu aktarım karşısında ihlal kararı vermiş olmasından somut olayda işlenme şartlarının da söz konusu olmadığını anlıyoruz. Bu şekilde gerçekleştirilen bir aktarımın Kanun’a aykırı olması gerektiği açıktır.
Bu noktada değinmek istediğim husus, şirketlerin kullandığı veri tabanlarına ilişkindir. Veri tabanı bilgilerin depolandığı bir yazılım anlamına gelir. Şirketler, bu yazılımları kullanarak büyük miktarda verileri güvenli bir şekilde tutabilmekte, bilgilere hızlı bir biçimde erişimi mümkün kılabilmekte ve daha da önemlisi aynı anda birden fazla kullanıcıya erişim imkânı sağlayabilmektedir. Bu durum her ne kadar şirketlerin, faaliyetlerini yürütebilmeleri açısından büyük kolaylıklar sağlasa da kişisel verilerin korunması açısından da riskler barındırır. Bu nedenle şirketlerin yürüttükleri uyumluluk süreçlerinde, kullandıkları veri tabanları ile bu veri tabanlarına erişim yetkisi olan kişiler açısından da gözden geçirmeler yaparak eksik veya hatalı oldukları noktalar varsa bu noktaları Kanun’a uyumlu bir şekilde düzenlemeleri gerektiğini öneriyorum.
Sonuç
Kişisel Verileri Koruma Kurulu’nun önüne gelen ve yapılan incelemeler sonucunda yayınlanan karar özetlerinin değerlendirilmesi sonucu dikkat edilmesi gerektiğini düşündüğüm hususlar aşağıdaki gibidir:
- İlgili kişi “İlgili kişinin hakları” başlıklı 11. maddesiyle kendisine tanınan haklar kapsamında veri sorumlusuna başvurarak “7. maddede öngörülen koşullar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini” isteyebilir.
- Kanun’un öngördüğü kurallara uygun olarak elde edilen, toplanan veya işlenen kişisel verilerin, işlenme amacı ortadan kalktıktan sonra silme, yok etme veya anonim hale getirme işlemlerinden herhangi bir tanesine tabi tutularak ortadan kaldırılması gerekir. Bu gereklilik veri sorumlusu tarafından resen yerine getirilmediği takdirde ilgili kişi tarafından da talep edilebilecektir.
- Veri sorumluları, kişisel verilerin muhafaza süreleri konusunda sorun yaşamamak için hangi kişisel verilerin hangi sürelerin sonunda silineceğine ilişkin ilgili mevzuatta bir süre bulunması halinde bu sürelere uymalı, bulunmaması halinde ise makul süreler belirlemelidir.
- İlgili kişinin verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin talebin “unutulma hakkı” ile yakın ilişki içindedir.
- Unutulma hakkı, bilişim teknolojilerinin sağladığı imkanların yarattığı tehlikeler karşısında bir güvence olmak ve güncel bir gereksinimi karşılamak üzere ortaya çıkan, zaman içerisinde yargı makamları tarafından verilen kararlarla da tanınan ve ilgili kişinin unutulmasını öngören bir haktır.
- Basının köşe yazıları aracılığıyla kamuoyunu bilgilendirme ve kamuoyuna haber verme isteği olarak somutlaşan basın ve ifade özgürlüğü ile bireyin eski tarihlere dayanmasına karşılık hala geniş kitleler tarafından ulaşılabilmesi suretiyle tehlike altında bulunan kişisel verilerin korunması hakkından yararlandırması yönünde var olan beklenti ve talep arasında adil ve makul bir denge oluşturulmalıdır.
- Köşe yazısında kişisel verileri yer alan ilgili kişinin kamuyu ilgilendiren bir konumda olması, onun kişisel verilerin korunması hakkından yararlandırılmayacağı ve verilerinin silinmesini isteyemeyeceği karşısında yeterli bir gerekçe teşkil etmez.
- Veri sorumluları veri güvenliğini sağlamak amacıyla alacağı tedbirler kapsamında kendi bünyesinde bulunan bütün personeli içerisine dahil eden, geniş ve kapsamlı kişisel verilerin korunması konulu eğitimler düzenlemelidir. Ayrıca bu eğitimleri belirli aralıklarla güncel gelişmeleri de içerisine alarak tekrar etmelidir. Böylece Kanun’a uyumluluk açısından gerekli her türlü teknik ve idari tedbiri alan ve bünyesinde yer alan bütün kişileri konuya ilişkin hukuka aykırı hareketlerde bulunmaması nedeniyle bilinçlendirme girişimlerinde bulunan veri sorumlusunun veri güvenliğine ilişkin yükümlülükleri de ihlal ettiğinden bahsedilemeyecektir.
- İşe başvuru aşaması kişisel veriler açısından önemli ve sınırlarının belirlenmesi gereken bir alanı oluşturması nedeniyle veri sorumlularına işe başvuruların nasıl alınacağı ile ilgili olarak kişisel verilerin korunması konulu yasal düzenlemelere uygun kesin ve net kurallar koyarak bunu ilgili prosedürlerinde belirtmelerini öneriyorum.
- Bir şirketler topluluğunda yer alan her bir şirket, ayrı ayrı veri sorumlusu olarak kabul edilmekte ve şirketler topluluğu altında yer alan şirketler arasında gerçekleştirilen veri paylaşımı ve aktarımı işlemleri de üçüncü bir kişi ile paylaşma veya aktarma olarak ele alınmaktadır. Böylece bir şirketler topluluğunun Kanun’a uyumlu hale gelmek üzere yürüttüğü süreçlerde bünyesinde bulunan her bir şirket açısından, bir veri sorumlusunun yapması gerekenleri tekrarlaması gerekir.
- Bir şirketler topluluğu bünyesinde yer alan şirketlerin kendi aralarında ilgili kişinin açık rızası olmaksızın aynı veri tabanını kullanmak suretiyle kişisel veri aktarımı yapması hukuka aykırıdır.
- Şirketlerin yürüttükleri uyumluluk süreçlerinde, kullandıkları veri tabanları ile bu veri tabanlarına erişim yetkisi olan kişiler açısından da gözden geçirmeler yaparak eksik veya hatalı oldukları noktalar varsa bu noktaları Kanun’a uyumlu bir şekilde düzenlemeleri gerekir.
Her şeyden önce kararların içerik ve haklılığına bakılmaksızın belirtmek gerekir ki, Kurul tarafından verilen kararların yayınlanması güncel ve henüz kapsam, içerik ve özellikle uygulanma biçimi bakımından belirsizlikler içeren kişisel verilerin korunması hukuku bakımından oldukça önemlidir. Somut olayların meydana gelmesi, bu olayların Kurul’un önüne getirilmesi, Kurul tarafından incelenerek karara bağlanması ve kamuoyuyla paylaşılması hem kişisel verilerin korunması alanının gelişmesi hem de somut örnekler üzerinde tartışılmak suretiyle yeni bakış açıların oluşmasını sağlayacaktır.
Söz konusu nedenlerle kararların bu şekilde yayınlanması kişisel verilerin korunması hakkı, Kanun’un anlaşılması ve özellikle Kanun’a uymakla yükümlü bulunan veri sorumluları açısından önem arz etmektedir. Bununla birlikte karar özetlerinde somut olaya ilişkin olarak verilen bilgi ve detay miktarı açısından eleştirilerimi yukarıda eksik bulduğum noktalarda detaylı olarak belirtmiş olmam sebebiyle bu noktada yalnızca hatırlatmakla yetiniyorum.
(Bu köşe yazısı, sayın Doç. Dr. Murat Volkan DÜLGER tarafından www.hukukihaber.net sitesinde yayınlanması için kaleme alınmıştır. Kaynak gösterilse dahi köşe yazısının tamamı özel izin alınmadan kullanılamaz. Ancak alıntılanan köşe yazısının bir bölümü, aktif link verilerek kullanılabilir. Yazarı ve kaynağı gösterilmeden kısmen ya da tamamen yayınlanması şahsi haklara ve fikri haklara aykırılık teşkil eder.)
----------------------------------
[1] Aslında kişisel verilerin korunması hakkı 2010 tarihinde yapılan Anayasa değişikliği öncesinde de zaten 1 Haziran 2005 tarihli 5237 sayılı Türk Ceza Kanunu’nun 135-140. maddelerinde düzenlenmiş ve konuya ilişkin suçlar öngörülmüştü. Bununla birlikte her ne kadar kişisel veriler üzerinde işlenen suçların ilgili hükümlerle korunması hüküm altına alınmışsa da hakkın anayasal bir korumaya sahip olmaması TCK hükümlerinin de tam bir koruma sağlamasına imkan tanımamaktaydı. Bu nedenle kişisel verilerin korunması hakkının asıl anlamını 2010 tarihinde Anayasa’nın “Özel hayatın gizliliği” başlıklı 20. maddesine eklenen ek 3. Fıkra ile kazandığını söylemek mümkündür. Nitekim konuyu düzenleyen yasal düzenlemelere ilişkin çalışmalar da bu değişiklikten sonra önem kazanmıştır. Anayasa’ya eklenen ek 3. fıkra şu şekildedir: “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.”
[2] Söz konusu karar özetlerine ilişkin yazmış olduğum değerlendirme yazısı için bkz: https://www.academia.edu/36536342/K%C4%B0%C5%9E%C4%B0SEL_VER%C4%B0LER%C4%B0_KORUMA_KURULU_NUN_20.4.2018_TAR%C4%B0H%C4%B0NDE_YAYINLAMI%C5%9E_OLDU%C4%9EU_KARAR_%C3%96ZETLER%C4%B0NE_%C4%B0L%C4%B0%C5%9EK%C4%B0N_DE%C4%9EERLEND%C4%B0RME
[3] Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler) için bakınız: https://kvkk.gov.tr/SharedFolderServer/CMSFiles/7512d0d4-f345-41cb-bc5b-8d5cf125e3a1.pdf.
[4] Buna göre, kişi kendisiyle ilgili kişisel veri işlenip işlenmediğini öğrenme, işlenmişse buna ilişkin bilgileri talep etme, verilerin işlenme amacı ile bunların amacına uygun kullanılıp kullanılmadığını öğrenme, yurtiçinde veya yurtdışında verilerin aktarıldığı üçüncü kişileri bilme, 7. maddede öngörülen koşullar çerçevesinde kişisel verilerin silinmesini, yok edilmesini veya verinin muhtevasının eksik ya da gerçeğe aykırı olması hallerinde bunların düzeltilmesini isteme hakkına sahiptir.
[5] AİHM, “M.L. ve W.W. v. Almanya” Başvuru No: 60798/10, 65599/10.
[6] Madde 28 – “(1) Bu Kanun hükümleri aşağıdaki hâllerde uygulanmaz: … c) Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.”
[7] Bu noktada belirtmek gerekir ki ilgili kişinin şikayet konusu yaptığı köşe yazısı bilinmemekle beraber, bu köşe yazısının konusu, içeriği ve ilgili kişinin hangi verilerine ne ölçüde yer verdiği de bilinmemektedir. Dolayısıyla verilen bilginin çok kısıtlı olması itibariyle yalnızca kişisel verilerinin korunması hakkının söz konusu olduğu anlaşılmaktadır. Buna karşın bu hak ile yakın ilişkin içerisinde bulunan özel hayatın gizliliği, haberleşme hürriyeti gibi temel hak ve özgürlüklerin de söz konusu olması muhtemeldir.