KVKK KAPSAMINDA KİŞİSEL VERİLERİN İŞLENMESİNE HAKİM OLAN İLKELER İLE BU İLKELER DOĞRULTUSUNDA KURUL KARARLARININ İNCELENMESİ

Abone Ol

Bilindiği üzere AİHS uyarınca özel hayatın gizliliği temel hak ve özgürlük çerçevesinde düzenlenmiştir ve korunmaktadır. Sözleşmeye taraf olan devletlerin pozitif ve negatif yükümlülüğü olduğundan, sözleşme bağlamında korunan hak ve özgürlüğün devlet tarafından uygulanması, korunması, mevzuat çerçevesinde düzenlenmesi gibi pozitif yükümlülüğü olduğu gibi; devletin bireyin bu hak ve özgürlüğüne karşı gelebilecek olası bir müdahalede bulunmaması gibi bir negatif yükümlülüğü de bulunmaktadır. İşte bu yükümlülüklerin doğal bir sonucu olarak da ulusal mevzuatımızda kişinin özel hayatının bir parçası olan kişisel verilerin koruma kapsamına alınması için 6698  sayılı Kişisel Verilerin Korunması Kanunu düzenlenmiştir. Kanunun 1. maddesinde kanunun amacı açık bir şekilde belirtilmiştir. Bu hükme göre amaç, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir. Kanunun ruhu ve amaçsal hükümleri göz önüne alındığında, kişisel verilerin işlenmesinin belli ilkeler doğrultusunda yapılması gerektiği belirtilmiştir. Bu ilkelerin ne olduğunu bilmeden önce kişisel veri işlemenin tanımını bilmek daha doğru olacaktır.  Kanunun tanımlar başlıklı 3. maddesinin e bendinde kişisel verilerin işlenmesi: ''Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi '' ifade eder olarak belirtilmiştir. Bu kapsamda veri işleyenin uyması gereken belirli esasların olduğu kaçınılmazdır. Bu ilke ve esaslara uymayan veri işleyenin kanun kapsamında sorumluluğunun doğması kaçınılmazdır. Bilindiği üzere kişisel veriler ancak açık rıza ile işlenebilir. Bazı istisnai hallerde ise açık rıza alınmadan da verilerin işlenmesi mümkündür. Kanunun ikinci bölümü olan Kişisel Verilerin İşlenmesi adlı  MADDE 4: ''(1) Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir. (2) Kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması zorunludur: a) Hukuka ve dürüstlük kurallarına uygun olma. b) Doğru ve gerektiğinde güncel olma. c) Belirli, açık ve meşru amaçlar için işlenme. ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma. d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme. '' olarak düzenlenmiştir. İşte kişisel verilerin düzenlenmesinde bu ilke ve esaslara uyulması son derece önemlidir. Kişinin özel hayatının ayrılmaz bir parçası niteliğinde sayılan bu verilerin işlenmesinde, bu ilkelere uyulmasının kişiye getirdiği hukuki koruma açıktır ki hukuki güvenlik hakkının da bir gereğidir. Bu ilkeler kanun kapsamında oluşturulan KVKK kurul kararlarında kendini göstermektedir.

Hukuka ve Dürüstlük Kurallarına Uygunluk İlkesi, özellikle KVKK kapsamında aydınlatma ilkesinin bir yansımasıdır. Bu ilkeye bir nevi şeffaflık ilkesi de denebilecektir. Bu ilkeye göre veri sorumlusu, kişisel verisi işlenecek olan kişiye yapacağı aydınlatmada bu verilerin ne amaçla saklanacağı, gizleneceğini veya işleneceğini açık bir şekilde aktarmak ve ilgili kişinin bu verilerin işlenmesinin sonuçlarını algılayarak özgür bir irade beyanına dayalı olarak rıza vermesini sağlamak zorundadır. Aksi halde aydınlatmanın tam ve eksiksiz bir şekilde yerine getirilmeden yapılması halinde, bu ilkeye aykırı hareket edildiğinde veri işleyenin sorumluluğu gündeme gelecektir. Nitekim kurul “Bir sigorta şirketi tarafından hizmetin açık rıza şartına bağlanması hakkındaki ihbar” ile ilgili olarak Kişisel Verileri Koruma Kurulunun 20/04/2021 tarihli ve 2021/389 sayılı kararında özetle , Kuruma intikal eden bir ihbarda; ihbar eden ilgili kişinin bir sigorta şirketinden (Şirket) bireysel emeklilik sözleşmesi (BES) yaptırdığı, şirketin internet sayfasından poliçe bilgilerine ulaşmak için giriş yapmaya çalıştığında bir onay kutucuğu sunularak kişisel verilerin işlenmesine rıza göstermek zorunda bırakıldığı, bu kutucuğu işaretlememesi halinde hiçbir işlem yapamayacağının anlaşıldığı, ancak kişisel verilerinin işlenmesine onay vermek zorunda bırakılmasının hukuka aykırı olduğu belirtilerek 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir. Kurul yaptığı inceleme sonucunda verdiği kararda,  Kanunun 5 inci maddesinde yer alan diğer işleme şartları mevcut iken ilgili kişilerin açık rızasının alınmasının Kanunun 4 üncü maddesinde yer alan “hukuka ve dürüstlük kurallarına uygun olma” ilkesine aykırı olduğu dikkate alındığında Kanunun 12 nci maddesinin (1) numaralı fıkrasında yer alan yükümlülüklerini yerine getirmeyen veri sorumlusu hakkında, Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca söz konusu uygulamanın ihbar eden dışında pek çok kişi üzerinde olumsuz etki doğurabileceği, veri sorumlusunun sunduğu hizmet bakımından geniş bir müşteri kitlesi bulunduğu, Şirketin kusuru, ekonomik durumu ve haksızlık içeriği gibi hususlar da göz önünde bulundurularak 250.000 TL idari para cezası uygulanmasına karar vermiştir. Bu karar göstermektedir ki, veri işleyenin aydınlatma ilkesini tam ve eksiksiz bir şekilde yerine getirmesinin, ancak hukuka ve dürüstlük kurallarına uygun bir şekilde sağlanmasıyla mümkündür.

Kanunda yer alan diğer  Verilerin Doğru ve Güncel Saklanması İlkesi ise, verilerin doğru bir şekilde tutulması ile kişisel verinin işleme amacı ortadan kalktığında bu verilerin silinmesi gerektiğini ifade etmektedir. Örneğin kişinin bir iş başvurusunda şirkete sunmuş olduğu öz geçmişinin şirket tarafından yıllarca saklanmasında hukuka uygun hareket edildiği söylenemeyecektir. Çünkü artık verinin doğru ve güncel olarak kaldığından söz edilemez. Bu hususta bilhassa şirketlerin veri sorumlularının bu konuyu önemle takip etmesi, güncel olmayan verilerin sistemden silinmesi gerekliliğinin son derece önemli olduğunu belirtmekte fayda vardır. “Telekomünikasyon sektöründe faaliyet gösteren veri sorumlusu tarafından şikayetçiye, ad ve soyadı benzerliği olan başka bir abonesinin fatura bilgilerinin e-posta yoluyla iletilmesi hakkında” Kişisel Verileri Koruma Kurulunun 07/11/2019 Tarihli ve 2019/333 Sayılı Karar Özetinde,  ‘’Bu çerçevede bir müşterinin abonelik kaydı oluşturulurken sistemde kayıtlı bulunan bir e-posta adresi yazıldığında bu e-postanın hali hazırda kayıtlı bir müşteri için var olduğu uyarısının kayıt yapılan sistem tarafından verilmemesi dolayısıyla veri sorumlusunun veri güvenliğine ilişkin gerekli teknik tedbirleri almadığı, sistemindeki verilerin doğru ve gerektiğinde güncel olmadığı ve müşterilerinin verilerini başka müşteriler ile paylaşabildiğinden bünyesinde barındırdığı kişisel verilerin güvenliğini sağlayamadığı kanaatine varılmıştır.’’

Belirlilik, Açıklık ve Meşruiyet İlkesi ise doğrudan açık rıza kavramı ile örtüşmekte olup, kişisel verilerin işlenmesinin belirlilik, açıklık ve meşru amaca hizmet ölçüsünde yapılmasını ifade etmektedir. Özellikle bu ilke kapsamında kurul tarafından alınan kararlarda görüldüğü üzere, şirketlerin ilgili kişilerden almış oldukları açık rızanın çok yetersiz olduğu, kişilere açık bir şekilde veri işlemenin sonuçlarının anlatılmadığı ifade edilmiştir.  “İşverenin, işçisine ait kişisel verileri ve özel nitelikli kişisel verileri; aydınlatma yükümlülüğünü yerine getirmeden ve hukuka aykırı işlemesi” hakkında Kişisel Verileri Koruma Kurulunun 20/05/2020 tarihli ve 2020/404 sayılı Karar Özetinde, Veri sorumlusu tarafından çalışanlarından elektronik ortamda KVKK Çalışma Muvafakatnamesi alındığı, söz konusu muvafakatnamenin çok geniş kapsamlı olduğu ve yeterli aydınlatmanın yapılmadığı, verilecek rızanın “battaniye rıza” olduğu, kendisinin bu muvafakatnameye onay vermekten imtina ettiği ancak onay vermek durumunda bırakıldığı belirtilmiştir. Bu kapsamda kurul tarafından yapılan inceleme neticesinde idari para cezası uygulamıştır.

Amaçla Bağlantılı Olma, Sınırlılık ve Ölçülülük ilkesi ise kurul kararlarında kendisini en çok gösteren ilkelerden biri olarak karşımıza çıkmaktadır. Bu ilkeye göre, veri sorumlusunun ölçülülük ilkesine uygun olarak hareket etmesi gerektiği, sınırlı işlem uygulamasının önemini belirtmektedir. Kurulun “Belediyede memur olarak görev yapan ilgili kişinin, veri sorumlusu bünyesinde işe giriş çıkış takibinin biyometrik veri işlenerek yapılması” hakkında Kişisel Verileri Koruma Kurulunun 01/12/2020 tarihli ve 2020/915 sayılı karar özetinde, somut olayda ilgili kişinin veri sorumlusu tarafından kendisine ait olan parmak izi bilgilerinin hukuka aykırı olarak işlenmesine ilişkin şikâyeti ile ilgili veri sorumlusunun PDKS sistemi gereği personelden alınan parmak izlerinin salt mesai kontrollerinde kullanıldığı, parmak izi tanıma algoritmasının temel işlevinin parmak izinin çıkartılması ve karakterlerin eşleştirilmesi olduğu, parmak izinin çıkartılmasıyla kastedilenin parmak izinin temel karakteristik verilerinin şifrelenip karakteristik bir şablon haline getirilmesi olduğu, bir şablon haline getirilen parmak izinin daha sonra hiçbir şekilde görüntüsünün alınamadığı ve işlem yapılamadığı şeklindeki açıklamaları çerçevesinde veri sorumlusu bünyesinde çalışan personellerden işe giriş ve çıkışlarda parmak izlerinin kullanıldığının açıkça kabul edildiği, ilgili kişinin parmak izinin açık rızasına dayanılarak alınıp alınmadığı hususunun anlaşılamadığı; ancak işe giriş ve çıkışlarda söz konusu kişisel verisinin işlenmesinin devam etmesi noktasında ilgili kişinin onayı olmadan parmak izinin işlenemeyeceği hususunda şikayeti bulunduğu dikkate alındığında ilgili kişinin parmak izi kullanılarak mesai kontrolü yapılması hususunda açık rızasının olmadığı, Veri sorumlusu bünyesinde mesai kontrolü amacıyla biyometrik veri olan parmak izinin işlenmesinin Kanunun “Genel İlkeler” başlıklı 4 üncü maddesinin (ç) bendindeki amaçla bağlantılı, sınırlı ve ölçülü olma ilkesine aykırı olduğu sonucuna varılmıştır.

Son olarak kişisel verilerin işlenmesinde, ''Belirli Süreyle Saklanma İlkesi'' gereğince veri işleyenin, kişisel veriyi kanunlarda belirtilen bir süre varsa bu süreye riayet edilerek saklamasını, yoksa veri işleyenin bu verileri makul süreye göre silmesinin gereğini ifade etmektedir. Kişisel veriler, belirlenen süre dolduktan, amaç gerçekleştikten ya da veri işleme şartı ortadan kalktıktan sonra gelecekte kullanma ihtimalinin varlığına dayanarak saklanamazlar. Bu ilkeyle bağlantılı olarak “İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkesi gereğince kişisel verilerin silinmemesi hakkında” Kişisel Verileri Koruma Kurulunun 05/12/2018 tarihli ve 2018/142 sayılı kararı özetle, özel kanunlardaki sürelere KVKK'nın da uyumlu olduğunu gösteren bir karardır. Bu kararda bankaların müşterilerinden aldığı bilgi ve belgeleri 10 yıl süreyle saklamalarının, Bankacılık Mevzuatı kapsamında bir zorunluluk oluşturduğundan, bu ilkeye aykırılık teşkil edilemediği belirtilmiştir.

Özetle veri sorumlularının kişisel verilerin işlenmesinde uyacağı ilke ve esaslar son derece önemli olup; veri işleyenlerin kişisel verilerin işlenmesi, depolanması, yok edilmesi gibi çeşitli konularda KVKK eğitiminden geçirilmesine, özellikle açık rıza kavramının ve aydınlatma yükümlülüğünün öneminin anlaşılmasının olası ihlallerin önüne geçilmesi bakımından etkilerinin kurumların gerek etik politikaları,  gerekse de hacimli idari para cezaları yaptırımına karşılık ekonomik ve benzeri pek çok yönden bu konu üzerinde çalışmalar yapma gereğine ihtiyaç duyulacağı aşikardır.