6698 sayılı Kanun ve konuya ilişkin diğer mevzuatta kendisine verilen görev ve yetkilerini yerine getirmek ve kullanmakla görevli olan Kişisel Verileri Koruma Kurulu, bu doğrultuda kişisel verilerle ilgili haklarının ihlal edildiğini ileri sürenlerin şikayetlerini karara bağlamakla da yetkilidir. Kurul, ayrıca şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen görev alanına giren konularda kişisel verilerin hukuka uygun olarak işlenip işlenmediğini inceleyecek ve gerektiğinde de bu konuda önlemler alacaktır.
Kanun’un yürürlüğe girmesi ve konuya ilişkin diğer hukuki düzenlemelerin oluşturulmasıyla kişisel verilerin korunması hukukuna ilişkin genel bir çerçevenin çizilmesinin ardından Kurul, bu görev ve yetkilerine dayanarak konuya ilişkin olarak somut olayları karara bağlamakta ve bunlardan gerekli gördüğünü kamuoyu ile özet biçiminde paylaşmaktadır. Bu yazının konusunu da Kurul’un son olarak 3 Nisan 2019 tarihinde yayınlamış olduğu farklı tarihlere ait kararları oluşturmaktadır. Kararları, özellikle somut olaydaki soru ve sorunlar ile Kurulun buna karşı bakış açısı bağlamında ele alacak, son olarak görüş ve önerilerimle değerlendirilip sonuçlandıracağım.
1. Kişisel Verileri Koruma Kurulunun 3 Nisan Tarihinde Yayınlamış Olduğu Karar Özetleri
a. Aydınlatma yükümlülüğü ve açık rıza alma süreçleri ile ilgili 26/07/2018 tarihli ve 2018/90 sayılı Karar
Aydınlatma yükümlülüğü ve açık rıza alma süreçlerine ilişkin karara konu olan veri sorumlusu şirketleri topluluğu, online platformda iş başvurusu almakta ve iş başvurusunda bulunurken üyelik kaydı yapılmasını zorunlu tutmaktadır. Ancak iş başvurusunda bulunacak olan veri sahibi, bu üyelik kaydını yaptığı sırada tek kutucuğu işaretlemesi yoluyla hem aydınlatma metnini okumuş olduğunu belirtmekte hem de kişisel verilerin işlenmesi hususunda açık rıza vermektedir.
Bu noktada aslında karara konu olan aydınlatma yükümlülüğü ve açık rıza alma süreçlerinin birlikte gerçekleştirilmesi hususundan önce başvuru yapabilmek için üyelik kaydının zorunlu tutulmasına değinmek istiyorum. Online bir platformda herhangi bir işlem yapabilmek için üyelik kaydının zorunlu tutulmasını doğrudan hukuka aykırı olarak nitelendirememekle birlikte bu durumun çeşitli hallere özgü olarak tehlikeli olabileceğini düşünüyorum. Örneğin, bir mağazanın online sitesinden bir ürün alacağımızı düşünelim: Bu mağaza, bizim çok sık alışveriş yapmadığımız, yalnızca söz konusu ürüne özgü olarak uğradığımız bir yer olabilir. Bu durumda, o alışverişi gerçekleştirebilmek için üye olup daha fazla bilgi vermektense, üye olmadan da o ürünü satın alabilmek ve yalnızca siparişin gerçekleştirebilmesi için gerekli iletişim ve adres bilgilerini vermek isteriz. Nitekim aksi durumda gerçekleştirilmek istenen amaç için gerekli ve bu amaçla sınırlı olmayan kişisel verilerin alınması ve işlenmesinden söz edilir, ki bu da kişisel verilerin korunması hukukunun temel ilkelerine aykırıdır. Dolayısıyla üyelik kaydının zorunlu tutulması her durumda olmasa bile veri ilgilisi aleyhine sonuçlar doğurabilme olasılığı barındırır.
Bu nedenle bana göre yapılması gereken, veri ilgilisine söz konusu web sitesine üye olma aşamalarının yanı sıra “üye olmadan devam et” şeklinde ayrıca bir seçeneğin sunulmasıdır. Böylece veri ilgilisi belki de bir daha ziyaretçisi olmayacağını düşündüğü bir web sitesine üye olmak durumunda bırakılmayacaktır. Nitekim özellikle konuya ilişkin mevzuatın oluşturması, kişisel verilerin korunmasına ve gizliliğe verilen önemin artması ve konuyla ilgili farkındalığın oluşmasıyla birlikte, online platformların üye olmadan da çeşitli işlemlerin gerçekleştirilebilmesini sağladığı görülmektedir. Ancak belirtmeliyim ki, bu husus karara konu olan hukuka aykırılıktan farklı olup yalnızca dikkat edilmesi gerektiğini düşündüğüm bir parçasıdır.
Buna karşılık, Kurul, aydınlatma yükümlülüğü ve açık rıza alma süreçlerinin bir arada gerçekleştirilmesine ilişkin aşağıdaki hususlara değinmiştir:
- Aydınlatma yükümlülüğü ve açık rızanın alınması işlemleri ayrı ayrı yerine getirilmelidir!
Veri sorumlusu ve onun yetkilendirdiği kişilerce yerine getirilmesi gereken aydınlatma yükümlülüğü kapsamında uyulacak usul ve esaslar 10 Mart 2018 tarihli ve 30356 sayılı Resmi Gazete’de yayımlanarak yürürlüğe giren “Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ” ile belirlenmiştir[1]. Tebliğ’in “Usul ve esaslar” başlıklı 5. maddesiyle bu yükümlülüğün yerine getirilmesi sırasında uyulması gereken hususlar Kanun’a ek ve daha geniş bir şekilde düzenlenmiştir.
Buna göre kişisel veri işleme faaliyetinin veri sahibinin açık rızasına dayanılarak gerçekleştirildiği hallerde aydınlatma yükümlülüğü ile açık rıza alınması işlemleri ayrı ayrı yerine getirilmelidir. Bu hükümle, ilk olarak veri sahibinin açık rızasına dayanılarak gerçekleştirilecek işleme faaliyetlerinde dahi aydınlatma yükümlülüğünün vazgeçilemez bir zorunluluk olduğu anlaşılır. Veri sorumlusu, Kanun’da belirtilen diğer işleme şartlarından herhangi birine dayanmadığı ve veri sahibinin açık rızasına ihtiyaç duyduğu hallerde de aydınlatma yükümlülüğünü şüphesiz yerine getirmelidir. Tebliğ, bu noktada daha da ileri giderek veri sahibini aydınlatma ve veri sahibinden açık rıza alma işlemlerinin de ayrı ayrı yerine getirilmesini hüküm altına almıştır. Öyleyse veri sorumlusu, veri sahibinin açık rızasına dayanarak gerçekleştirdiği kişisel veri işleme faaliyetlerinde de, hem aydınlatma yükümlülüğünün devam ettiği hem de bu yükümlülüğü açık rıza alma işleminden bağımsız olarak yerine getirmesi gerektiği noktalarında dikkatli olmalıdır.
- Aydınlatma yükümlülüğünün yerine getirilmesi herhangi bir onaya tabi değildir.
Bu husus, aydınlatma yükümlülüğünün usul ve amaçlarıyla ilgilidir. Şöyle ki, veri sorumlusunun, veri sahibinin, söz konusu kişisel veri işleme faaliyetine ilişkin olarak bilgilendirme yapması ve aydınlatması noktasında herhangi bir tereddüt yoktur. Bu aydınlatma, usul, şekil, kullanılan araç, yapıldığı zaman bakımından mevzuata uygun ve Tebliğ ile belirlenen asgari hususları içerecek şekilde yapılacaktır. Ancak veri sorumlusunun aydınlatması neticesinde veri sahibinin “ben bu konuya ilişkin olarak bilgilendirildim” veya “aydınlatıldım” şeklinde onay vermesi gibi bir zorunluluk öngörülmemiştir. Dolayısıyla veri sahibinin onayı, aydınlatma yükümlülüğünün bir koşulu değildir. Zira aydınlatma yükümlülüğü usul ve amaç olarak açık rızadan farklıdır. Açık rıza alınması, kişisel verilerin işlenmesi faaliyetinin hukuki bir gerekçeye dayandırılması amacına hizmet ederken; aydınlatma yükümlülüğü veri sahibinin işleme faaliyeti hakkında bilgilendirilmesini temin eder.
Peki öngörülmemiş olan bu koşulun veri sorumlusu tarafından yerine getirilmesi herhangi bir sakınca barındırır mı? Asıl sakınca, bu onayın açık rıza ile beraber de alınıyor olması mıdır? Kurul, yayınlamış olduğu karar özetinde aydınlatma yükümlülüğünün yerine getirilmesinin veri sahibinin onayına tabi olmadığını belirtmiş olmakla birlikte, bunun sakıncalarına tam olarak değinmemiştir.
Kanaatimce bu noktada doğabilecek olan tehlike, yanlış bir algının oluşabileceği ile ilgilidir. Belirtilmelidir ki, veri sahibinin bilgilendirilmiş olduğunu beyan etmesi, hiçbir şekilde aydınlatma yükümlülüğünün yerine getirildiği anlamına gelmez. Zira veri sorumlusunun bilgilendirmesi, Kanun ve Tebliğ hükümlerine uygun olarak yapılmadığı takdirde veri sorumlusunun onayı, hukuka aykırı olarak yapılan bilgilendirmeyi hukuka uygun hale getirmeyecektir, başka bir deyişle veri sahibinin bilgilendirildiğini ifade etmesi aydınlatma yükümlülüğünün yerine getirilip getirilmediği noktasında bir anlam ifade etmez.
Nasıl ki, veri sahibinin bilgilendirilmiş olduğunu beyan etmesi, aydınlatma yükümlülüğünün yerine getirildiği anlamına gelmiyorsa, bilgilendirilmemiş olduğunu iddia etmesi de tek başına bu yükümlülüğün yerine getirilmediği anlamını taşımaz. Ancak veri sorumluları unutmamalıdır ki, aydınlatma yükümlülüğüne ilişkin hükümler bu yükümlülüğün asgari hususlarını belirtir. Öyleyse veri sahibinin açıklığa kavuşturulmasını istediği noktalarda, bu yükümlülük devam eder.
Dolayısıyla bu noktada veri sahibi lehine bir yanlış algının engellenmek istendiği sonucuna ulaşılabilir. İşte bunun için de veri sorumlusu, mevzuatta bir koşul olarak öngörülmemiş olan “aydınlatma sonunda veri sahibinin onayının alınması” gibi bir geri bildirimi açık rızanın verildiği beyandan ayrı olarak almalıdır. Zira veri sahibi aydınlatma metninde yazan hususlara onay vermek zorunda değildir.
Bu noktada önemle belirtmeliyim ki, geri bildirimin alınıp alınmaması gerektiği sorusu akıllara gelebilir. Aydınlatma yükümlülüğünün yerine getirilmiş olduğunun ispati veri sorumlusuna ait olduğundan böyle bir bildirimin alınması faydalı olacaktır. Buradaki temel sorun, geri bildirimin kişisel verilerin işlenmesine ilişkin açık rıza verilmesi beyanıyla birlikte alınmasıdır; bilgilendirmeye ilişkin onay veya geri bildirimin, mutlaka açık rıza beyanından ayrı olarak alınması gerekir.
Kurul, bu hususları bir arada değerlendirerek her iki mekanizmanın ayrıştırılması hususunda veri sorumlusunun talimatlandırılmasına karar vermiştir.
b. Kimliği belirsiz kişilerin veri sorumlusu olarak kabul edilemeyeceği hakkında 13/09/2018 tarihli ve 2018/106 sayılı Karar
Karara konu olan somut olayda, ilgili kişinin görevi nedeniyle imzalamış olduğu evrak, hukuka aykırı bir şekilde elde edilerek kimliği belirsiz kişi veya kişilerce internet ortamında paylaşılmıştır. Öte yandan aynı kullanıcı ismiyle şikayetçinin isim ve soy isminin baş harflerine yer verilerek hakkında iftira içerikli metinlere yer verilmiştir. Veri ilgilisi bunun üzerine Kuruma başvurmuştur.
Bu noktada temel sorun, somut olaya konu olan fiilin hukuka aykırı olup olmadığından ziyade Kuruma yapılan başvurunun niteliği, daha açık bir ifadeyle konunun hangi hukuk dalının problemini oluşturduğudur. Zira fiilin hukuka aykırı noktasında bir tereddüt yoktur. Ancak kimliği belirsiz bir kişinin veri sorumlusu olarak kabul edilmesi mümkün müdür? Veri sorumlusu olarak kabul edilmediği takdirde söz konusu fiil, kişisel verilerin korunması hukukunun, dolayısıyla da Kuruma yapılan başvuruların konusunu oluşturabilir mi?
Bunun için aşağıdaki hususlara bakmak gerekir:
- Kanun’un kapsamı
Kanun, bir tarafta kişisel verileri işlenen gerçek kişileri kapsamı altına alırken; diğer taraftan veri sorumlusunu kapsar. Veri sorumlusu kavramı ise bu verileri “tamamen veya kısmen otomatik olan” veya “herhangi bir kayıt sisteminin parçası olmak kaydıyla otomatik olmayan” yollarla işleyen gerçek ve tüzel kişileri kapsar.
- Veri sorumlusu kavramının tanımı
Veri sorumlusu, bir kişisel veri işleme faaliyetinde, işleme amaç ve araçlarını belirleyen ve veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder. Daha açık bir ifadeyle bir veri sorumlusu, hangi amaçlara özgü olarak hangi verilerin işlenebileceğini ve bu işleme faaliyetinin nasıl ve ne şekilde gerçekleştirileceğini belirler. Bu belirlemeyi elbette ki konuya ilişkin mevzuata uygun ve uyumlu bir şekilde yapar. Ancak altını çizmeliyim ki, burada zaten olması ve yapılması gereken bir işleme faaliyeti söz konusudur.
Bu açıklamalardan kimliği belirsiz bir kişinin 6698 sayılı Kanun anlamında veri sorumlusu olarak tanımlanamayacağı ve dolayısıyla kimliği belirsiz bir kişinin Kanun ve Kuruma yapılan başvuruların konusu olamayacağı sonucuna ulaşılır.
- Türk Ceza Kanunu açısından olayın değerlendirilmesi
Kimliği belirsiz bir kişinin veri sorumlusu sıfatını taşımaması sebebiyle gerçekleştirdiği bir fiil, hukuka aykırı olsa dahi 6698 sayılı Kanun’un konusunu oluşturmayacaktır. Bununla birlikte TCK açısından bu suç olma niteliğini korumaktadır. Suçun işlendiği yer Cumhuriyet savcılığına yapılacak şikâyet sonucunda bir soruşturma başlatılacaktır. Bu soruşturma esnasında eylemi gerçekleştiren kişiler belirlenebildiğinde, veriyi kendileri için işliyorlarsa bu kişiler, veriyi bir tüzel kişilik ya da üçüncü kişi adına işliyorlarsa söz konusu kişiler veri sorumlusu kabul edilecektir. İşte bu durumda hem eylemi gerçekleştirenler açısından bir kamu davasının açılması ve şartları oluşmuşsa bir mahkûmiyet hem de veri sorumlusu belirlenmiş olduğu için KVK Kurulu tarafından idari bir yaptırım uygulanması söz konusu olacaktır.
Bu karardan çıkan sonuç, KVK Kurulu’nun avcılık ya da ceza mahkemesi gibi soruşturma yapma olanağının olmadığıdır. Dolayısıyla kimliği belirlenemeyen bir veri sorumlusu hakkında işlem yapması mümkün olmadığı gibi bunu araştırıp bulmak gibi bir imkânı da bulunmamaktadır. Buna göre KVK Kurulu’na başvuru yapılacağı zaman adeta bir özel hukuk uyuşmazlığında olduğu gibi, şikâyette bulunanların veri sorumlusu ve/veya veri işleyenin kimliğini açıkça göstermeleri gerekir.
c. Kurul kararının gereğinin süresi içinde yerine getirilmemesi hakkında 16/10/2018 tarihli ve 2018/118 sayılı Karar özeti
Kararın esas konusunu daha önceki bir tarihte verilen Kurul kararının yerine getirilmemesi oluşturmaktadır. Buna göre ilgili kişi, veri kayıt sisteminde mevcut bulunan kişisel verilerinin silinmesi amacıyla veri sorumlusuna başvuru yapmış ve tatminkâr bir cevap alamamıştır. Bunun üzerine konuyla ilgili Kuruma başvuran ilgili kişi, Kurul tarafından alınan kararın da veri sorumlusu tarafından yerine getirilmemesi nedeniyle şikayetçi olmuştur.
Bir önceki verilen Kurul kararı veri sorumlusunun şu hususlarda talimatlandırılmasına ilişkindir:
- Veri sorumlusu nezdinde bulunan kişisel verilerin asgari saklama süresi tamamlanmış olanların “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik” gereğince ilk periyodik imha işleminde, kalanların da yasal saklama yükümlülüğün dolmasını takiben yapılan periyodik imha işlemi dönemlerinde silinmesi,
- Bu silme işlemleri hakkında şikayetçiye bilgi verilmesi ve,
- Söz konusu kişisel verilerin saklama amacı dışında işlenmemesi.
Söz konusu Kurul kararı 02.07.2018 tarihinde veri sorumlusuna tebliğ edilmiştir.
Bu kararın gereklerinin yerine getirilmemesi gerekçesiyle yapılan başvuruda ise tespit edilen hukuka aykırılıklar şu şekildedir:
- Kurul kararı en geç otuz gün içinde yerine getirilmelidir!
6698 sayılı Kanun’un “Şikayet üzerine veya resen incelemenin usul ve esasları” başlıklı 15. maddesinin 5. fıkrasına göre; Kurul, şikayet üzerine veya resen yaptığı bir inceleme sonucunda ihlalin varlığına kanaat getirmesi halinde, tespit ettiği hukuka aykırılıkların veri sorumlusu tarafından giderilmesine karar vererek ilgililere tebliğ eder. Bu kararın gerekleri, tebliğinden itibaren gecikmeksizin ve en geç otuz gün içinde ilgili veri sorumlusu tarafından yerine getirilmelidir.
Dolayısıyla Kanun, veri sorumlusuna, hakkında verilen bir ihlal kararının gereklerini yerine getirmesi için azami otuz günlük bir süre tanımıştır. Bu süre üst sınır olmakla birlikte otuz günden önce yapılan her uygulamanın da hukuka uygun sayılmayacağını belirtmeliyim. Zira madde hükmünde “gecikmeksizin ve en geç otuz gün içinde” ibaresi kullanılmıştır. Buna göre veri sorumlusu hakkında verilen bir ihlal kararı üzerine bu kararın gereklerini hem otuz gün içinde yerine getirmeli hem de gecikmiş olmamalıdır. Öyleyse, örneğin, on beş gün içinde yerine getirilen bir karar hakkında da, somut olayın özelliklerine göre veri sorumlusunun kararı yerine getirmekte gecikmiş olduğu gerekçesiyle, gereği gibi yerine getirilmediği sonucuna ulaşılabilir. Veri sorumlularının bu açıdan büyük bir dikkat ve özen göstermeleri gerekir.
Mevcut olayda ise Kurul’un yukarıda belirtilen talimatları içeren kararını, 02.07.2018 tarihinde veri sorumlusuna tebliğ ettiği; ancak veri sorumlusunun Kurul kararı kapsamında 16.08.2018 tarihinde şikayetçiye bilgi verdiği ve bu hususun da 17.08.2018 tarihli yazı ile Kurula bildirildiği tespit edilmiştir. Dolayısıyla ilgili mevzuat gereğince hakkında verilen ihlal kararının gereklerini en geç 01.08.2018 tarihinde yerine getirmesi gereken veri sorumlusu, bu süreyi aşmış ve kararı hukuka uygun olarak yerine getirememiştir.
Kanun’un “Kabahatler” başlıklı 18. maddesinin 1-c bendiyle, Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası verileceği hüküm altına alınmıştır.
- Veri sorumlusu, Kurul kararı üzerine şikayetçiye yapacağı bildirimde, söz konusu karara uygun ve kararla uyumlu olarak gerekli ve yeterli açıklamada bulunmalıdır.
Kurul, kendisine yapılan başvuru neticesinde yukarıda belirtildiği gibi periyodik imha işlemleri, bu imha işlemlerine ilişkin şikayetçiye bilgi verilmesi ve verilerin saklama amacına uygun olarak işlenmesi hususlarında talimat kararı vermiştir. Ancak veri sorumlusu şikayetçiye zaten süresinden sonra yaptığı bildirimde, kararın bu hükümlerine ilişkin herhangi bir açıklamada bulunmamıştır. Oysaki veri sorumlusunun hakkında ihlal kararı verilmiş olan hususlarda ilgili kişiyi detaylı olarak bilgilendirmesi ve ihlale neden olan uygulamalarından vazgeçmesi beklenir. Ancak somut olayda veri sorumlusunun şikayetçiye yaptığı bildirim, Kurulun talimat kararı vermiş olduğu hususlarda herhangi bir açıklamaya yer vermeyerek sembolik bir bildirimden öteye gidememiştir. Dolayısıyla veri sorumlusunun hem zaman hem de esas bakımından kararı gereği gibi yerine getirmediği söylenebilir.
d. Tüzel kişiliğe ait verilerin başka bir tüzel kişilik tarafından talep edilmesi hakkında 19/11/2018 tarihli ve 2018/131 sayılı Karar
Her şeyden önce belirtmeliyim ki, burada kastedilen tüzel kişilik bünyesinde bulunan kişisel veriler değil; bizatihi tüzel kişiliğe ait verilerdir. Bir veri sorumlusu, söz konusu tüzel kişiliğe ait elektronik ortamda bulunan verileri başka bir veri sorumlusuna aktarmış ve bunun üzerine ilgili tüzel kişilik Kuruma şikâyette bulunmuştur. Dolayısıyla aktarılmış olan tüzel kişiliğe ait verilerdir.
- Tüzel kişiye ait veriler, 6698 sayılı Kanun kapsamında kişisel veri değildir!
Kişisel veri, en genel tanımıyla kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir. Nitekim Kanun’un “Tanımlar” başlıklı 3. maddesinin 1-d bendinde de bu şekilde tanımlanmıştır. Bu tanıma göre “gerçek bir kişinin bulunması” kişisel veri kavramının bir unsurudur ve bu unsur bulunmaksızın bir kişisel verinin varlığından söz edilmesi mümkün değildir. Öte yandan Kanun’un “Kapsam” başlıklı 2. maddesinde bu Kanun hükümlerinin kişisel verileri işlenen gerçek kişiler hakkında uygulanacağı belirtilerek tüzel kişilere ait veriler Kanun kapsamı dışında bırakılmıştır.
Açıklanan hükümlere göre, tüzel bir kişiye ait verilerin 6698 sayılı Kanun kapsamında kişisel veri sayılması ve dolayısıyla da tüzel kişiye ait verilerin aktarılmasının Kanun ve Kuruma yapılan başvurulara konu olması mümkün değildir. Dolayısıyla mevcut olayda yapılan başvuru, Kurumun görev ve yetkisi kapsamı dışında olup incelemeye tabi değildir.
- Tüzel kişilik bünyesinde bulunan gerçek kişilere ait veriler, kişisel veridir.
Her ne kadar tüzel kişiye ait veriler Kanun kapsamında kişisel veri değilse de; tüzel kişinin gerçek kişilerden bağımsız olmadığını ve tüzel bir kişiliğin gerçek kişiler aracılığıyla var edildiği unutulmamalıdır. Buna göre, bir şirketin, ticari unvanının kişisel veri olarak sayılabilmesi mümkün olmasa da o şirketin ortak ve yetkililere ait isim, soy isim veya adres gibi bilgiler kişisel veridir. Dolayısıyla mevcut olayda aktarılan veriler, şirket bünyesinde bulunan gerçek kişilere ait veriler olsa idi; bu durum Kanun kapsamında sayılacak ve Kuruma yapılan başvuruların konusu olabilecekti. Bu konuda hem veri sorumlularının hem de Kurumun gerekli dikkati göstermesi gerektiğini düşünüyorum.
- İlgili kişinin hakları da aynı doğrultuda gerçek kişilerin haklarını ifade eder.
Kurul, kararda ayrıca Kanun’un “İlgili kişinin hakları” başlıklı 11. maddesine yer vermiştir. Maddede düzenlenen hakların da aynı şekilde gerçek kişilere ait olduğu ve kendisi hakkında kişisel verilerin işlenip işlenmediğini öğrenme ve işlenmişse buna ilişkin bilgi talep etme haklarının da gerçek kişiler veya bunların yasal temsilcileri tarafından kullanılabileceği belirtilmiştir.
Bu açıdan herhangi bit tereddüt bulunmamakla birlikte Kurul’un ayrıca bu maddeye ilişkin açıklamaya yer vermiş olmasının nedeni somut olaya ilişkin açıklamaların oldukça kısıtlı olması sebebiyle tam olarak anlaşılamamaktadır. Kanaatimce olayda, verilerinin aktarıldığını iddia eden tüzel kişilik tarafından, verilerini aktaran veri sorumlusuna Kanun’un 11. maddesi doğrultusunda bilgi talep edilmiş ve talep karşılanmayınca Kurula bu açıdan da şikâyette bulunulmuştur. Bu nedenle Kurul, somut olayda Kanun’un 11. maddesi bakımından da incelemeye tabi herhangi bir durum olmadığını açıklamıştır. Bununla birlikte kararların, yayınlanan özetlerinin anlaşılmaya ve değerlendirmeye yetecek kadar bilgi içermediği noktasında eleştirilerimi belirtmeliyim.
- Şirket ortak ve yetkilisi gerçek kişilere ilişkin verilere erişim sağlanması talebinin ise ilgili kişilerin kendileri tarafından değil şirket tüzel kişiliği tarafından talep edilmesi sebebiyle söz konusu başvurunun Kanunun 11 ve 13 inci maddeleri kapsamında değerlendirilemez.
Bu satır arasında geçen ancak aslında çok önemli bir tespittir. 6698 sayılı Kanunun 11. maddesinde “ilgili kişinin hakları”, 13. maddesinde ise “veri sorumlusuna başvuru” düzenlenmiştir. 11. maddeye göre “herkesin” veri sorumlusun başvurmaya hakkı vardır. Herkes kavramının içine gerçek kişiler girdiği gibi tüzel kişiler de girmektedir. Ancak maddenin devamında herkesin veri sorumlusuna başvurarak “kişisel verisinin işlenip işlenmediğini öğrenme” vd. haklarının olduğu ifade edilmektedir. Kanunun “Tanımlar” başlıklı 3. maddesinde kişisel veri “kimliği belirli ya da belirlenebilir gerçek kişiye ilişkin her türlü bilgi”, ilgili kişi ise “kişisel verisi işlenen gerçek kişi” olarak tanımlanmaktadır. Buna göre kişisel verisi işlenen herkesin veri sorumlusuna başvurma hakkı vardır. Kişisel verisi işlenenler kanunda veri ilgilisi olarak belirtilmiş bunların da ancak gerçek kişi olacağı açıkça ifade edilmiştir.
Kurul böylelikle vermiş olduğu kararla bir yanlış anlamanın önüne geçmiştir. Tüzel kişilerin, veri sorumlusundan kurucu, yönetici, çalışan veya diğer kişiler hakkında 6698 sayılı Kanunun 13. maddesine dayanarak bilgi talep etme hakkı yoktur. Bu hak yalnızca veri ilgilisi gerçek kişilere tanınmıştır. Dolayısıyla Kurul’un bu kararını ve tespitini olumlu ve yerinde buluyorum.
e. Kişisel verilerin silinmemesi hakkında 05/12/2018 tarihli ve 2018/142 sayılı Karar
Olayın konusunu en sık karşılaşılan husus olan “kişisel verilerin silinmesi” talebi oluşturmaktadır. Veri ilgilisi, veri sorumlusu olan bir bankaya ait veri kayıt sisteminde yer alan kişisel verilerin silinmesi yönündeki talebinin banka tarafından reddedildiği gerekçesiyle Kuruma başvuruda bulunmuştur.
- Kişisel veriler, amaç için “gereken süre” kadar muhafaza edilmelidir!
Kişisel verilerin amaç için gereken süre kadar muhafaza edilmesi veri koruma hukukunun hem GDPR hem de 6698 sayılı Kanun ile tanımlanmış olan en temel ilkelerinden biridir. Bu ilke, yalnızca veri sorumlusu açısından gerekli ve yeterli bir süre olarak değil; aynı zamanda saklama süresinin sınırlandırılması olarak anlaşılmalıdır. Zira meşru bir amaç dahilinde de olsa kişisel verilerin elde tutulması başlı başına bir risk faktörüdür. Dolayısıyla “amaç için gereken süre” dar yorumlanmalı ve bu süre veri ilgilisi lehine mümkün olduğunca sınırlandırılarak ortak bir payda bulunmalıdır.
Nitekim bu ilke “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik” ile Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel verilerin resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silineceği, yok edileceği veya anonim hale getirileceği şeklinde düzenlenmiştir.
- Bankalar, alınan yazılar ve faaliyetler ile ilgili belgeleri 10 yıl süreyle saklamaya görevli ve yetkilidir.
6698 sayılı Kanun kişisel verilerin korunması hukukuna ilişkin usul ve esasları düzenlemekteyse de her sektöre ait kurallara ve veri saklama sürelerine tek tek yer vermesi mümkün değildir. Kanun konuya ilişkin genel bir çerçeve niteliğinde olup; hangi sektörde hangi verilerin hangi sürelerle saklanacağı özel kanunlar aracılığıyla belirlenir. 5411 sayılı Bankacılık Kanunu’nun “Belgelerin saklanması” başlıklı 42. maddesi de söz konusu özel hükümlere örnek teşkil eder. Buna göre alınan yazılar ve faaliyetler ile ilgili belgeler madde metninde belirtilen şekilde olmak koşuluyla ilgili banka nezdinde on yıl süreyle saklanır. Maddede “saklanır” ifadesine yer verilmiş olması, bunun bankanın hem görevi hem de yetkisi olduğuna işaret eder.
Dolayısıyla her ne kadar verilerin saklama süresinin sınırlandırılması temel bir ilke olsa da, aynı zamanda bu verilerin gereken süre kadar saklanması ilgili mevzuat hükmü gereğince bir yükümlülüktür. Mevcut olaya baktığımız zaman Kurum, ilgili kişinin şikayetine yönelik yaptığı incelemede ilgili banka nezdinde son işlemi üzerinden henüz 10 yıllık saklama süresinin geçmediği sonucuna ulaşmıştır. Bu nedenle söz konusu talep karşısında yapılacak herhangi bir işlem söz konusu olmamıştır.
f. Yargı mercilerin görev alanına giren konularla ilgili Kuruma yapılan başvurular hakkında 24/12/2018 tarihli ve 2018/156 sayılı Karar
Her şeyden önce bu kararın kişisel verilerin korunması alanında en çok karşılaşılan sorunlardan birine yönelik olduğunu belirtmeliyim. Kanaatimce Kurul da kendisine bu yönde çok fazla sayıda şikâyet başvurusunda yapıldığı için söz konusu kararla konuyu açıklığa kavuşturmaya çalışmıştır. Karara konu olan olayda ilgili kişinin adı, soyadı, yerleşim yeri, boy, kilo, tip gibi kişisel bilgileri kullanılarak cinsel, siyasi, dini, arkadaşlık vb. içerikli yorumlar ve paylaşımlar yapılmış ve bunun üzerine ilgili kişi tarafından Kuruma başvuruda bulunulmuştur. Aynı zamanda olay yargı mercilerine intikal etmiştir. Buradaki temel problem, olayın hukuka aykırı olup olmadığı değil; Kurumun görev alanına girip girmediğidir ve burada da esas olarak bu husus açıklanacaktır.
- Kurul, hangi hallerde kendisine yapılan başvuruları incelemeye alamaz?
Öncelikle belirtmeliyim ki kararla kastedilen usule aykırı olarak yapılan başvurular değil; usule uygun olarak yapılmış olmakla birlikte Kurulun görev ve yetkisi kapsamına girmeyen şikayetlerdir. Bu şikayetler, Kanun’un “Şikayet üzerine veya resen incelemenin usul ve esasları” başlıklı 15. maddesinde açıklanmıştır. Buna göre Kurul, şikâyet üzerine veya resen görev alanına giren konularda gerekli incelemeyi yapacak olmakla birlikte; 3071 sayılı “Dilekçe Hakkının Kullanılmasına Dair Kanun”un 6. maddesinde belirtilen şartları taşımayan ihbar veya şikayetleri incelemeye alamaz.
Dilekçe Hakkının Kullanılmasına Dair Kanun’un 6. maddesine göre aşağıdaki hallerde Kurul inceleme yapmayacaktır:
- Belli bir konuyu ihtiva etmeyen (belirli bir somut olayı içermeyen ve kapsamayan başvurular)
- Yargı mercilerinin görev alanına giren konularla ilgili olan
- 4. maddede gösterilen şartlardan birini taşımayan (dilekçe sahibinin adı soyadı ve imzası ile iş veya ikametgâh adresi).
Kurum, kendisine yapılan şikâyete konu iddiaların TCK uyarınca suç unsuru barındırması ve bunların da bireysel suç niteliğinde olması, öte yandan konunun yargı makamlarına intikal ettirilmiş olması sebebiyle Kanun kapsamında bir değerlendirme yapılamayacağına kanaat getirmiştir. Bunun yanında ilgili kişiye verilecek cevapta Kanun kapsamında Kuruma yapılacak başvurular açısından izlenilmesi gereken yolun açıklanmasına karar verilmiştir.
Sonuç
Daha önce yayınlanan kararlara ilişkin yaptığım değerlendirmelerde de tekrar ettiğim gibi, kişisel verilerin korunmasına ilişkin atılan her adımı, her şeyden önce konuyla ilgili gelişme ve iyileşme gösterecek olması nedeniyle oldukça olumlu karşılamaktayım.
Şüphesiz Kurul kararları, özellikle henüz uygulama noktasında birçok soru ve problemin olduğu bu alanda belirleyici ve yol göstericidir. Bu nedenle de Kanun ve ilgili mevzuatın uygulamasında ve uyumluluk süreçlerinde yaşadığımız belirsizlikleri giderebilmesi açısından yayınlanacak olan kararların sorunların yoğunlaştığı konularda olması gerektiğini düşünüyorum. Nitekim yukarıda açıklanan kararlarda da bu hususun göz önünde bulundurulduğunu görüyorum. Bununla birlikte Kurumun bu noktadaki ölçütünün daha çok kendisine yapılan başvurular olduğunu belirtmeliyim. Ancak yayınlanacak olan kararlarda Kuruma yapılan başvuruların yanı sıra hem Kanun’un uygulanmasında görev alan kişilere hem de veri sorumlularına yardımcı olması bakımından uygulamada yaşanan belirsizlikleri gidermeye yarayacak konuların da göz önünde bulundurulması gerektiğini düşünüyorum. Zira tek başına veri ilgilisi tarafından yapılan başvurular üzerinde durulması uygulamayı yeterli ölçüde rahatlatmaz; aynı zamanda veri sorumlusu ve uygulayıcılar açısından var olan problemler de çözülmeli ve yayınlanmalı ki, veri ilgilisi tarafında da daha az şikayet ve başvuru olsun. Dolayısıyla Kurulun kendisine yapılan başvurularda, hem veri ilgililerinin sıklıkla yaşadığı problemleri hem de Kanun’a uygulamakla görevli olan veri sorumluları ile uyumluluk süreçleri yürüten kişilerin belirsizlik yaşadığı durumları göz önünde bulundurmasını tavsiye ediyorum.
Yukarıda açıklanan kararlar özelinde varılan temel sonuçlar ise şu şekildedir:
- Veri sorumlusu, Kanun’da belirtilen diğer işleme şartlarından herhangi birine dayanmadığı ve veri sahibinin açık rızasına ihtiyaç duyduğu hallerde de aydınlatma yükümlülüğünü şüphesiz yerine getirecektir.
- Aydınlatma yükümlülüğünün yerine getirilmesi herhangi bir onaya tabi değildir.
- Bununla birlikte aydınlatma yükümlülüğünün yerine getirilmiş olduğunun ispatı veri sorumlusuna aittir. Bu nedenle veri sorumluların konuya ilişkin mümkün olduğunda yazılı olarak geri bildirim almasını ya da bildirimde bulunduğunu ispat edebilecek araçlarla bildirimde bulunmasını öneriyoruz.
- Ancak, bu geri bildirim açık rıza beyanıyla aynı anda alınamaz. Kişisel verilerin işlenmesine ilişkin açık rıza verilmesi ile aydınlatma yükümlülüğüne ilişkin onay veya geri bildirimin ayrı ayrı alınması gerekir.
- Kimliği belirli olmayan kişi veya kişiler veri sorumlusu sıfatına sahip değildir. Bu nedenle bu durumun Kanun ve Kuruma yapılan şikayetlere konu olması mümkün değildir. Somut olayda TCK açısından herhangi bir suç unsuru bulunması halinde ancak bu yolla hukuka aykırılık iddia edilebilir.
- Kurul kararları gecikmeksizin ve en geç otuz gün içinde yerine getirilmelidir.
- Veri sorumlusu, Kurul kararı üzerine şikayetçiye yapacağı bildirimde, söz konusu karara uygun ve kararla uyumlu olarak gerekli ve yeterli açıklamada bulunmalıdır.
- Tüzel kişiye ait veriler, 6698 sayılı Kanun kapsamında kişisel veri değildir.
- Bununla birlikte tüzel kişilik bünyesinde bulunan gerçek kişilere ait veriler, kişisel veridir.
- Kişisel veriler, işlendikleri amaç için gereken süre kadar muhafaza edilmelidir.
- Bankalar, alınan yazılar ve faaliyetler ile ilgili belgeleri ilgili kişinin son işlem tarihinden itibaren 10 yıl süreyle saklamaya görev ve yetkilidir.
- Yargı mercilerin görev alanına giren konularda Kurumun inceleme yapmaya yetkisi yoktur.
Doç. Dr. Murat Volkan Dülger*
------------------
* Akademisyen / Avukat.
[1] Tebliğ ile ilgili değerlendirme yazısı için bkz: https://www.academia.edu/36140084