1) CEVAP BEKLEYEN SORULARDAN BAZILARI

Resmi gazetede 7 nisan 2016 tarihinde yayımlanarak yürürlüğe giren  ve  geçici madde 1/3  hükmüyle de 7 nisan 2018 itibariyle geçiş ve uyum süreci tamamlanması hedeflenen Kişisel Verilerin Korunması Kanunu bir çok belirsizliği beraberinde getirdi ve aradan geçen 5 seneye rağmen uyumluluk süreci tamamlanamadı. Bunun son örneğini de VERBİS kayıt sürelerinin -pandemi nedeniyle olduğu belirtilerek- 2021 yıl sonuna kadar uzatılması oluşturdu.

Her biri başlı başına bir yazı konusu olmakla birlikte; Sağlık verilerinin işlenmesinde rıza sorunu, Ceza ve güvenlik tedbirleri bilgisinin işlenmesinde rıza, meşru menfaat ve kanunda öngörülme hukuki sebeplerinin uygulanabilirliği sorunu, Ticari elektronik ileti gönderimine ilişkin mevzuat ile aynı konuya ilişkin getirilen farklı hükümler arasındaki normlar hiyerarşisi(özel-genel) uygulanması sorunu, Çerez kullanımında herkesçe kullanılan ‘varsayılan rıza’nın hukukiliği ve çerezlerin rıza gerekliliğin egöre sınıflandırılması sorunu, Veri sorumlusunu fazlasıyla aşan global teknik gerekliliklerle yurtdışı sunucularına otomatik aktarımın, olağan yurtdışı aktarım karşısındaki sui generis özelliği ve bunun hukukileştirilme sorunu ile buna benzer sorunlar veri sorumlusu ve yetkilileri ile bu alanda çalışan hukukçu ve danışmanları oldukça tereddüt içinde bırakmakta olup bu tereddütleri gidermek, kanundaki boşlukların hukuk boşluğu oluşturmasını engellemek, kanunun uygulanmasına olanak sağlayan -sadece şeklen değil esasen de- düzenleyici olan işlemler yapmak ve yeknesaklığı sağlamak KVK Kurumu ve Kurulunun sorumluluğundadır.

2) CEVAP BEKLEYEN TÜM SORULARA KVKK’DAN TEK CEVAP: “MÜTALAA VEREMEYİZ”

En basit örnek olarak, sağlık verilerinin ilk olarak işlenmesine ve sonrasında saklanmasına rıza verilmemesi veya verilmiş rızanın sonradan geri alınması halinde ne yapılması gerektiği sorunu ve 1. başlık altında kısaca bahsedilen diğer soru ve sorunlara 5 yıldır kanunda açıklık getirilmediği gibi 4 yıldır da Kurum ve Kurul tarafından bir cevap verilmiş değildir.

Bu ve benzeri sorulara cevap bulabilme amacıyla öncelikle ALO 198 KVKK Bilgi Danışma Hattını arayarak yaptığım telefon görüşmelerinde aldığım “kanuna uygunsa yapabilirsiniz” veya “kanunun 5. ve 6. maddesine uygunsa yapabilrsiniz” türünden cevaplardan tatmin olmadığım ve bu açıklamaların aslında bir cevap içermediği beyanlarıma bu kez “bu konuda yazılı olarak kuruma/kurula başvurabilirsiniz” cevaplarını almam üzerine ilk olarak bilgi edinme hakkı çerçevesinde CİMER üzerinden 3 ayrı dilekçe ile kuruma başvurdum.[1] Gelen cevaplarda, sorularımın mütalaa talebi niteliğinde olduğu ve bilgi edinme hakkı kanunu kapsamı dışında olduğu belirtilerek sorularım cevapsız bırakılmış ilgili mevzuat ve kurum rehberlerinde gerekli açıklamaların bulunduğu bilgisi verilmiş ve ayrıca cevapların bir tanesinde de -zaten defalarca okuduğum- mevzuat maddeleri sıralanmıştır.

Söylendiği gibi Kurum rehberlerinde gerçekten bu sorularıma dair bir açıklama bulunsaydı, soruma cevap olmayan mevzuat maddelerini dahi cevap amaçlı yazıp gönderen Kurumun elbette ki rehberlerdeki cevapları da bulup cevap yazısında iletmeleri beklenirdi. Bunu bir örnekle başta Kurum olmak üzere herkes için anlaşılır kılalım; eğer sorum bir mağazanın anne kızlık soyadı verisini işlemesinin meşru ve ölçülü olup olmadığı konusunda olsaydı; kurum bana cevaben bu hususun rehberlerinde açıklandığı bilgisinden başka ayrıca hangi rehberde ve ne şekilde cevaplanmış olduğu bilgisini verecek ve “KİŞİSEL VERİLERİN KORUNMASI KANUNUNA İLİŞKİN UYGULAMA REHBERİ”NİN 67. sayfasının son cümlesi olan: “Örneğin, bir hazır giyim mağazasının, müşterilerinin ad - soyad bilgilerini işlemesi meşru amaç kapsamındayken, anne kızlık soyadını işlemesi meşru amaç kapsamında değerlendirilemeyecektir.” açıklamasına atıf yaparak rehberlerinde bu sorunun nasıl cevaplanmış olduğunu açıkça ortaya koyabilecekti,ancak böyle olmadı çünkü gönderdiğim sorular rehberlerde açıklanmış değildir.

CİMER başvurularından sonuç alınamayacağının belli olması üzerine bu defa yazılı olarak dört ayrı dilekçe[2] ile gönderdiğim toplam 12 soruma cevap olarak 24.03.2021 tarihli cevap yazısında;

“Bilindiği üzere, 4982 sayılı Bilgi Edinme Hakkı Kanununun “Tavsiye ve mütalaa talepleri” başlıklı 27 nci maddesi uyarınca, tavsiye ve mütalaa talepleri anılan Kanunun kapsamı dışındadır. Bu doğrultuda, Kurumumuz tarafından, tavsiye ve mütalaa talebi niteliğindeki başvurunuza yönelik olarak görüş verilememektedir. Ayrıca ilgide kayıtlı yazılarınızın, 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanun bakımından, kendiniz veya kamu ile ilgili herhangi bir dilek veya şikayet de içermediği görülmüştür.”

Şeklinde cevap verilmiştir.

Kişisel Verileri Koruma Kurumu’nun 24.03.2021 tarih ve 67322700-045.02-E.0000050817 sayılı yazısı

3) KURUMUN “DEĞERLENDİRME”, KURULUN “TEREDDÜTLERİN GİDERİLMESİ” GÖREVİ

6698 sayılı Kişisel Verilerin Korunması Kanununun ‘Kurumun görevleri’ başlıklı 20. maddesinde “(1) Kurumun görevleri şunlardır: a) Görev alanı itibarıyla, uygulamaları ve mevzuattaki gelişmeleri takip etmek, değerlendirme ve önerilerde bulunmak, araştırma ve incelemeler yapmak veya yaptırmak.”  ifadesiyle kuruma uygulamayı takip etme, değerlendirme ve önerilerde bulunma yükümlülüğü getirilirken; ‘Kurulun görev ve yetkileri’ başlıklı 22. maddesinde yer alan “(1) Kurulun görev ve yetkileri şunlardır: a) Kişisel verilerin, temel hak ve özgürlüklere uygun şekilde işlenmesini sağlamak. …e) Kurulun görev alanı ile Kurumun işleyişine ilişkin konularda gerekli düzenleyici işlemleri yapmak. f) Veri güvenliğine ilişkin yükümlülükleri belirlemek amacıyla düzenleyici işlem yapmak. g) Veri sorumlusunun ve temsilcisinin görev, yetki ve sorumluluklarına ilişkin düzenleyici işlem yapmak.”  ifadeleriyle de Kurula uygulamaya yol gösterici düzenleyici işlemler yapma yükümlülüğü getirildiği görülmekte olup Kişisel Verileri Koruma Kurulu Çalışma Usul Ve Esaslarına Dair Yönetmelik ve Kişisel Verileri Koruma Kurumu Teşkilat Yönetmeliğinde de kanunda yer alan görevler benzer şekilde tekrar edilmiştir.

Yine Veri Sorumluları Sicili Hakkında Yönetmeliğin 18. maddesinde “(1) Bu Yönetmeliğin uygulanması sırasında doğacak tereddütleri ve uygulamaya ilişkin aksaklıkları gidermeye ve uygulamayı yönlendirmeye, ilke ve standartları belirlemeye ve uygulama birliğini sağlayacak gerekli düzenlemeleri yapmaya, bu hususta gerekli her türlü bilgi ve belgeyi istemeye, bu Yönetmelikte yer almayan konularda ilgili mevzuat hükümleri çerçevesinde karar vermeye Kurul yetkilidir.” ve Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmeliğin 13. maddesiyle de  birebir aynı ifadeyle “(1) Bu Yönetmeliğin uygulanması sırasında doğacak tereddütleri ve uygulamaya ilişkin aksaklıkları gidermeye ve uygulamayı yönlendirmeye, ilke ve standartları belirlemeye ve uygulama birliğini sağlayacak gerekli düzenlemeleri yapmaya, bu hususta gerekli her türlü bilgi ve belgeyi istemeye, bu Yönetmelikte yer almayan konularda ilgili mevzuat hükümleri çerçevesinde karar vermeye Kurul yetkilidir.” hükümleri ve her iki maddenin başlığı olarak kullanılan ‘Tereddütlerin giderilmesi’ ifadesiyle olabilecek en açık şekilde tereddütlerin giderilmesi sorumluluğuna dikkat çekilmektedir. Burada yetkilidir ifadesinin yetki ve sorumlulukta paralellik ilkesi gereği aynı zamanda yükümlülük anlamına geldiğini de daha önce duymamış olanlar için hatırlatmakta fayda görüyorum.

4) SORULARIN CEVAPSIZ BIRAKILMASININ HUKUKA AYKIRILIĞI

Kurumun “uygulamaları ve mevzuattaki gelişmeleri takip etmek, değerlendirme ve önerilerde bulunmak” sorumluluğu; Kurulun da “tereddütlerin giderilmesi” sorumluluğu ortadadır. Bu kapsamda -isabetli olarak- hizmete giren ALO 198 KVKK Bilgi Danışma Hattının rolünden de bahsetmek istiyorum zira  bu hattın danışanlara bilgi vermek için kurulduğu adından da anlaşılmaktadır. Bilgi vermenin de kendisini arayanlara mevzuat maddelerini okuyup “mevzuata uygunsa yapabilirsiniz” cevapları vermek demek olmadığı, en azından bunlardan ibaret olmadığı, esasen mevzuat maddelerinin uygulanması sırasında oluşan tereddütlerin giderilmesi anlamına geldiği her akıl sahibinin malumudur. Bazı sorularımda birinci şıktaki gibi “mevzuata/ …maddesine uygunsa yapabilirsiniz” cevapları aldığım bir gerçek olmakla birlikte bunun aksine gerçekten tereddütün giderildiği faydalı görüşmeler de tarafımdan gerçekleştirilmiştir.

Örneğin ALO 198 ile 08.02.2021 günü yapmış olduğum –konuşma saat ve süre bilgilerinin de tarafımda bulunduğu- görüşmede; veri sorumlusuna ait bilgisayarları kullanan çalışan veya diğer ilgili kişilerin şahsi internet kullanımlarında browser tercihlerinde “beni hatırla” seçeneğinin seçilmesi neticesinde veri sorumlusuna ait bilgisayarlarda ve günün sonunda veri sorumlusunca kaydedilmiş olan bu bilgilerin; verbis’te bulunan “saklama ve arşiv faaliyetleri” amacı ile ve “açık rıza” hukuki sebepleri ile işlenmekte olduğunun kabulüyle envanter kayıtlarının buna göre yapılıp yapılamayacağı sorusuna bunun mümkün olabileceği teyitini almam, kelimenin tam anlamıyla “tereddütlerin giderilmesi”dir. Buna rağmen bu soru görüştüğüm görevli tarafından cevaplanamayıp yazılı başvuruya yönlendirilseydim yine “mütalaa veremeyiz” cevabını alacak olmam pek muhtemeldir.

Hal böyleyken yazılı olarak sormuş olduğum sorulara KVK Kurumu tarafından verilen cevapta sorularımın;

1) Mütalaa talebi niteliğinde olduğu ve mütalaa taleplerinin de Bilgi Edinme Hakkı Kanunu kapsamı dışında kaldığı,

2) “Dilekçe Hakkının Kullanılmasına Dair Kanun bakımından, kendiniz veya kamu ile ilgili herhangi bir dilek veya şikayeti de içermediği”

Gerekçeleri ile  yine cevapsız bırakıldığı görülmektedir.

Birinci gerekçe ile ilgili olarak, mevzuat maddelerinin uygulanmasında yaşanan tereddüt ve sorunlara cevap verilmesi mütalaa talebi niteliğinde ise, ALO 198 Bilgi Danışma Hattının mevzuat maddelerini okumak dışında, -yukarda bahsettiğim tereddüt giderici cevap da dahil olmak üzere- mevzuat maddelerinin uygulanmasına ilişkin tüm cevaplarının, yine mütalaa kapsamında olduğunu anlamamız gerekecektir. Bu haliyle telefonla verilen bilgi neden yazılı olarak verilmemektedir?

İkinci gerekçe ile ilgili olarak ise kuruma ilettiğim soruların cevaplanması, bu konudaki tereddütlerin giderilmesi taleplerim, kanundaki adıyla “dilek”lerim;  KVKK alanında çalışan bir hukukçu olarak mesleki anlamda şahsımı tamamıyle ilgilendirdiği gibi daha da önemlisi, 2010 yılından itibaren  Anayasal hale gelen veri sahiplerinin hakları ile bunu sağlamaya hizmet eden, veri sorumluların yükümlülüklerin doğru olarak anlaşılması ve uygulanmasının sağlanması; -Kanunun, Kurumun ve Kurulun nispeten yeni olmasından kaynaklı olması muhtemel- belirsizliklerin artık açıklığa kavuşturularak kanunilik ve hukuki belirlilik ilkelerinin veri koruma hukukumuz içinde hayata geçirilmesi talebim “Kamu ile ilgili dilek” kapsamında olabilecek en faydalı, en gerekli dileklerden biri olduğu gibi aynı zamanda Kurumun “değerlendirme” ve Kurulun “tereddütlerin giderilmesi” görevleri kapsamındadır.

5) TÜM TEREDDÜTLER KARŞISINDA “MÜTALAA VEREMEYİZ” CEVABININ OLASI YAPTIRIM VE İHTİLAFLARDA HUKUKİ BELİRLİLİK İLKESİ KARŞISINDAKİ KONUMU VE UYGULAYICILAR AÇISINDAN ANLAMI

Bilindiği üzere kanunilik ilkesi idare hukukunda “kanuni idare ilkesi” veya “idarenin kanuniliği” olarak, ceza hukukunda da “suçta ve cezada kanunilik” olarak ifade edilmekte olup Anayasamızın 123. ve 38. maddeleri ile de kendilerine yer bulmaktadır. Bu iki hukuk dalının kesişiminde yer alan ve  ikisinden de öğeler barındıran idari ceza hukuku da kanunilik ilkesinin her iki görünümünün de güvencesi altındadır.

Anayasa Mahkemesi, Kanuniliğin alt ilkesi olan hukuki belirlilik ile ilgili olarak  bir çok kararıyla hukuk devleti bakımından gerekliliğini ortaya koyarken ayrıca hukuki belirliliğin salt yasal belirlilik anlamı taşımayıp belirliliğin içtihat ve ikincil mevzuatla sağlanabileceğini de istikrarlı olarak belirtmektedir.[3] Dolayısıyla yazı konusu yaptığımız tereddütlerin giderilmesi ile ilgili olarak yasanın belirliliği yeterince sağlamadığı zaten ortada olduğundan ve henüz mahkemeye taşınıp içtihata konu olmadığından belirliliği sağlama görevi bu alandaki otorite olarak düzenleyici ve denetleyici kurum ve kurul olan Kişisel Verileri Koruma Kurumu ve Kuruluna düşmekte olup tereddütlerin giderilmesi ve değerlendirmede bulunma sorumluluklarına rağmen bu alandaki belirsizliklerin açıkça sürdürülmesi hukuki belirliliği, hukuki güvenliği ve dolayısıyla hukuk devletini zedelemektedir. Bu haliyle kurum ve kurulun, çözüm önerisi içeren sorulara rağmen istikrarlı, ısrarlı ve belgelendirilmiş sessizliği karşısında, cevap vermediği konularda ceza vermesi halinde ceza kesilen veri sorumlularınca konunun idare mahkemesine taşınması neticesinde verilen cezaların iptali gündeme gelecektir.

Basit bir örnek üzerinden anlatmak gerekirse; nerdeyse tüm internet sitelerinde çerez kullanımı varsayılan olarak siteye giriş ile birlikte kullanılmaya başlanmakta ve veri sahibi ilgili kişiye çerez ayarlarını kabul etme ve değiştirme seçeneği sunulmaktadır. Yani ilgili kişi daha bu seçeneklere karar vermeden veri sorumlusu tarafından veriler  işlenmeye başlamakta, ancak sonradan iptal etme/değiştirme seçeneği ile veri kullanımına engel olunabilmektedir. Kanun ise açık rıza hukuki sebebine dayanıldığında veriyi işlemeye başlamadan önce rızanın alınması gerektiğini şart koşmaktadır. Bu durumda çerez kullanımında açık rıza bakımından yaygın olarak uygulanagelen “varsayılan rıza”ya istisnai bir durum olarak dayanılması mümkün müdür? Mümkün değilse 5 yıldır ve halen herkesçe uygulanmasına ve bilinmesine rağmen buna dair bir karar verilmemesinin altında başka bir hukuka uygunluk nedeni mi vardır? Bunun ve sorulmuş/sorulacak olan diğer soruların cevabı Kurum/Kurul tarafından verilmedikçe tüm veri sorumluları tereddüt ve tedirginlik içinde kalmaya devam edecektir.  

Kuruma/Kurula yazmış olduğum soruların çoğunda “bunlardan hangisi olabilir”, “… yapmak mümkün müdür” benzeri veya açıktan “çözüm önerilerim” adı altında çözüm önerilerimi arz ettim, bir hukukçu olarak da bu soru ve sorunlara fikrim ve çözüm önerim vardır. Ancak asıl mühim olan benim kafamdaki çözüm önerilerim ve düşüncelerim değil, hem düzenleme hem denetleme hem de en önemlisi ceza kesmeye yetkili olan KVK Kurum ve Kurulunun resmi görüşünün, çözümünün ne olduğudur. Kurum ve Kurul “tereddütlere cevap vermemeyi nasıl hukukileştiririm” değil “tereddütleri nasıl giderebilirim” demeye başladığı gün her şey çözüme kavuşur.  Mütalaa, Cevap, Çözüm, Kamuoyuna duyuru, İlan, İlke karar… metnin nasıl isimlendirildiği  hiç kimse için hiç önemli değil, gerçek bir cevabın verilmesi herkes için çok önemli…

------------------

[1]30/12/2020 tarih ve 2005867437 sayılı, 31/12/2020 tarih ve 2005895283 sayılı, 01.01.2021 tarih ve 2100001270 sayılı CİMER başvuruları

[2] Kurum kayıtlarına 15.03.2021 tarihinde 49451  sayı ile intikal ettiği belirtilen 12.03.2021 tarihli dilekçem,

Kurum kayıtlarına 16.03.2021 tarihinde 49561  sayı ile intikal ettiği belirtilen 11.03.2021 tarihli dilekçem,

Kurum kayıtlarına 17.03.2021 tarihinde 49796  sayı ile intikal ettiği belirtilen 15.03.2021 tarihli dilekçem,

Kurum kayıtlarına 19.03.2021 tarihinde 50112  sayı ile intikal ettiği belirtilen 17.03.2021 tarihli dilekçem

[3]  Ör: Anayasa Mahkemesi T.14/1/2015 E.2014/100, K.2015/ 6 sayılı kararı

“Anayasa'nın 2. maddesinde yer alan hukuk devletinin temel ilkelerinden biri 'belirlilik'tir. Belirlilik ilkesi, yalnızca yasal belirliliği değil, daha geniş anlamda hukuki belirliliği de ifade etmektedir. Yasal düzenlemeye dayanarak erişilebilir, bilinebilir ve öngörülebilir gibi niteliksel gereklilikleri karşılaması koşuluyla, mahkeme içtihatları ve yürütmenin düzenleyici işlemleri ile de hukuki belirlilik sağlanabilir. Aslolan muhtemel muhataplarının mevcut şartlar altında belirli bir işlemin ne tür sonuçlar doğurabileceğini öngörmelerini mümkün kılacak bir normun varlığıdır.”