Kişisel Veri:
Kişisel veri, ilgili kanunun 3. Maddesi olan “Tanımlar”
kısmında, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her
türlü bilgi olarak tanımlanmıştır. Aynı maddede kişisel verilerin işlenmesi
tanımı da yapılmıştır. Kişisel verilerin işlenmesi; kişisel verilerin tamamen
veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası
olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi,
depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi,
açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi,
sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen
her türlü işlem, olarak tanımlanmıştır. Kişisel verilerin korunması kavramı,
Anayasal hak olan özel hayatın gizliliği kapsamında olduğundan, bu iki kavram
arasında bağlantıya sıkça rastlanmaktadır.
Anayasa Doğrultusunda Özel Hayatın Gizliliği:
1. Anayasa
m. 20/1’e göre; “Herkes, özel hayatına ve aile hayatına saygı gösterilmesini
isteme hakkına sahiptir. Özel hayatın ve aile hayatının gizliliğine
dokunulamaz.”
2. Millî
güvenlik, kamu düzeni, suç işlenmesinin önlenmesi, genel sağlık ve genel
ahlâkın korunması veya başkalarının hak ve özgürlüklerinin korunması
sebeplerinden biri veya birkaçına bağlı olarak, usulüne göre verilmiş hâkim
kararı olmadıkça; yine bu sebeplere bağlı olarak gecikmesinde sakınca bulunan
hallerde de kanunla yetkili kılınmış merciin yazılı emri bulunmadıkça; kimsenin
üstü, özel kâğıtları ve eşyası aranamaz ve bunlara el konulamaz. Yetkili
merciin kararı yirmi dört saat içinde görevli hâkimin onayına sunulur. Hâkim,
kararını el koymadan itibaren kırk sekiz saat içinde açıklar; aksi halde, el
koyma kendiliğinden kalkar. (Anayasa m. 20/2).
3. Herkes,
kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu
hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilmesini, bu
verilere erişmesini, bunların düzeltilmesini veya silinmesini talep etme ve
amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmesini de kapsar. Kişisel
veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla
işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller, kanunla
düzenlenir. (Anayasa m. 20/3). Bu düzenleme ile kişisel verilerin korunması
hakkına anayasal bir nitelik kazandırılmış olup, bir temel hak ve özgürlük olan
bu hakkın sınırlandırılması da ancak Anayasa'nın 13. maddesine uygun bir
şekilde gerçekleştirilebilir. Nitekim Anayasa'nın 13. maddesi: "Temel
hak ve hürriyetler, özlerine dokunulmaksızın yalnızca Anayasanın ilgili
maddelerinde belirtilen sebeplere bağlı olarak ve ancak kanunla sınırlanabilir.
Bu sınırlamalar, Anayasanın sözüne ve ruhuna, demokratik toplum düzeninin ve
lâik Cumhuriyetin gereklerine ve ölçülülük ilkesine aykırı olamaz." şeklinde
hüküm kurmaktadır.
Kişisel Verilerin Korunması Kanunu’nun Gelişimi:
KVKK'nın tarihçesine kısaca bakıldığında, ilk olarak
kişisel verilerin korunmasına yönelik 1981 yılında Avrupa Konseyi’nin çıkardığı
108 sayılı Sözleşme ve ardından Avrupa Birliği’nin 1995 yılındaki 95/46 EC
sayılı Direktifi’nin ardından konunun Türkiye’nin iç hukukunda aktif edilmesi
gerektiğinden 6698 sayılı Kişisel Verileri Koruma Kanunu (KVKK) 7 Nisan 2016
tarihinde yayımlanarak yasalaşmıştır. Söz konusu kanuna kadar yakın tarihte
kişisel veriler, Anayasa, TMK, TCK çerçevesinde korunurken, ilgili kanunun
07.04.2016 tarihinde Resmî Gazete'de yayımlanmasıyla birlikte ilgili verilerin
korunması konusunda özel bir düzenleme ortaya çıkmıştır.
KVKK’nın Amacı ve Kişisel Verilerin İşlenmesi:
1. KVKK
m. 1’de; “Kişisel verilerin korunması kanununun amacı, kişisel verilerin işlenmesinde başta özel hayatın
gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel
verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul
ve esasları düzenlemektedir.
(KVKK m. 1).
2. Kişisel veriler, ancak bu Kanunda ve diğer
kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir. Kişisel
verilerin işlenmesinde aşağıdaki ilkelere uyulması zorunludur: (KVKK m. 4/1,2)
·
Hukuka
ve dürüstlük kurallarına uygun olma.
·
Doğru
ve gerektiğinde güncel olma.
·
Belirli,
açık ve meşru amaçlar için işlenme.
·
İşlendikleri
amaçla bağlantılı, sınırlı ve ölçülü olma.
·
İlgili
mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar
muhafaza edilme.
Anılan madde hükmünden anlaşılacağı üzere, kişisel
verilerin işlenmesinde her hal ve şartta Kanunun 4. maddesinde sayılan ilkelere
uyulması bir gerekliliktir.
3. Kişisel veriler ilgili kişinin açık rızası olmaksızın
işlenemez. Ancak
aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası
aranmaksızın kişisel verilerinin işlenmesi mümkündür: (KVKK m. 5/1,2)
·
Kanunlarda
açıkça öngörülmesi.
·
Fiili
imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına
hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı
veya beden bütünlüğünün korunması için zorunlu olması.
·
Bir
sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla,
sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
·
Veri
sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
·
İlgili
kişinin kendisi tarafından alenileştirilmiş olması.
·
Bir
hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
·
İlgili
kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun
meşru menfaatleri için veri işlenmesinin zorunlu olması.
4. Kişilerin
ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer
inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı,
cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile
biyometrik ve genetik verileri özel nitelikli kişisel veridir. Özel
nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi
yasaktır.
Yukarıda sayılan sağlık ve cinsel hayat dışındaki
kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası
aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise
ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve
bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının
planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan
kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası
aranmaksızın işlenebilir. Özel nitelikli kişisel verilerin işlenmesinde,
ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır. (KVKK
m. 6).
Kişisel Verileri Koruma Kurulu’nun 21.09.2021 Tarihli
2021/962 Sayılı Kararı:
Konu Özeti:
İlgili kişinin talebi ya da rızası olmaksızın özel bir hastane çalışanı
tarafından e-nabız sistemine erişim sağlanması hakkındadır.
İlgili kararda;
“veri sorumlusu tarafından kişisel veri güvenliğine ilişkin
alınan teknik ve idari tedbirlere dair savunma ve belgeler Kuruma iletilmiş
olmakla birlikte ilgili kişinin şikâyeti kapsamında somut olayda e-nabız
sistemine giriş yetkisinin veri sorumlusu hastanenin çalışanı olan hekime ait
olduğu ancak hekimin yanında sekreter olarak görev yapan kişi tarafından yazılı
olarak dile getirildiği üzere ilgili kişinin e-nabız sistemine, yanında
çalıştığı hekimin hastasını muayene ettiği esnada kendisi tarafından erişim
sağlandığı dikkate alındığında veri sorumlusu tarafından 6698 sayılı Kanunun 12
nci maddesinde düzenlenen kişisel verilere hukuka aykırı olarak erişilmesini
önlemeye yönelik makul idari ve teknik önlemlerin alınmadığına”
hükmedilmiştir.
Bu karar üzerine, yukarıda da belirtildiği gibi özel nitelikli kişisel
verilerin işlenmesi konusunda ilgilinin açıkça rızası alınmış olmalıdır. Ancak
sağlık ve cinsel hayata ilişkin kişisel verilerde ise bazı durumlarda rıza
aranmaksızın, yetkili kurum ve kuruluşlar, sır saklama yükümlülüğü kapsamında
kişisel verileri işleyebilir. Karara baktığımızda; doktorların kişilerin açık
iznine dayanmadan ilgili sağlık sistemine giriş yetkisi bulunmasına rağmen
yanında çalışan kişilerin veri sahibinin izni olmadan sisteme giriş yapmaları,
kişisel verilerin korunması hakkını ihlal etmektedir.
Bilgi Edinme Kanunu Kapsamında Bilgi Edinme Hakkı:
1. Anayasa
20/3’te düzenlenmiş olan; “Kişinin kendisiyle ilgili kişisel veriler
hakkında bilgilendirilmesi, bu verilere erişmesini talep etmesi” bilgi
edinme hakkının Anayasa’nın da himayesinde olduğunun göstergesidir. Bilgi
kavramı, 09.10.2003 tarihinde kabul edilen Bilgi Edinme Hakkı Kanunu m.3’te
düzenlenmiştir. Bu kanuna göre bilgi; kurum ve kuruluşların sahip oldukları
kayıtlarda yer alan bu Kanun kapsamındaki her türlü veri, olarak
tanımlanmıştır. Aynı kanunda düzenlenmiş olan m.1‘e göre bu kanunun amacı,
demokratik ve şeffaf yönetimin gereği olan eşitlik, tarafsızlık ve açıklık
ilkelerine uygun olarak kişilerin bilgi edinme hakkını kullanmalarına ilişkin
esas ve usulleri düzenlemektir. Herkes anayasal bir hak olan bilgi edinme
hakkına sahiptir. Anayasal bir hak olarak düzenlenmiş olan bilgi edinme, aynı
zamanda ifade özgürlüğü kapsamında da değerlendirilebilir. Ancak ilgili kanunun
21. maddesi kapsamında; "Kişinin izin verdiği haller saklı kalmak
üzere, özel hayatın gizliliği kapsamında, açıklanması halinde kişinin sağlık
bilgileri ile özel ve aile hayatına, şeref ve haysiyetine, mesleki ve ekonomik
değerlerine haksız müdahale oluşturacak bilgi ve belgeler, söz konusu hak
kapsamı dışındadır.”
Kişisel Verileri Koruma Kurulu’nun 06.05.2021 Tarihli
2021/470 Sayılı Kararı:
Konu Özeti: İlgili kişinin yemek kartı hesap hareketlerine ilişkin erişim talebinin
veri sorumlusu tarafından yerine getirilmediği iddiası.
Kararda ilgili;
“Kendisine
işvereni tarafından tahsis edilen yemek kartına ait hesap hareketlerinin,
tarafına iletilmesinin talep edilmesine rağmen, veri sorumlusu tarafından
verilen cevapta ise, istenilen bilginin sağlanması için kimliği doğrulayacak ilave
bilgiler talep edildiği, bunun üzerine dilekçe ve kimlik görüntüsünün veri
sorumlusuna e-posta aracılığıyla iletildiği, veri sorumlusu şirketin gönderdiği
e-postada ise ilgili bilgilerin ekte paylaşıldığı ancak ilave güvenlik önlemi
alınması nedeniyle ekte paylaşılan dokümana erişilebilmesi için e-postada yer
alan cep telefonu numarasının aranması gerektiğinin belirtildiği, getirilen bu
ilave güvenlik önleminin hukuka aykırı olup şahsına ait verilere erişmesinin
engellendiği ve hesap hareketlerinin 6698 sayılı Kişisel Verilerin Korunması
Kanunu’na uygun olarak paylaşılmadığı belirtilerek Kanun kapsamında gereğinin
yapılmasını” talep etmiştir..
Veri sorumlusu cevabında ise;
“İlgili kişinin gmail adresinden veri sorumlusuna
gönderdiği e-postada … nolu yemek kartı kullanıcısı olduğunu belirterek
Kanun’un 11’inci maddesi uyarınca tüm hesap hareketlerini ve işlenen
verileriyle ilgili açıklamaları talep ettiği, yapılan inceleme sonucunda söz
konusu e-posta adresi sistemde kayıtlı olmadığından, ilgili iletişim kanalının
teyit edilemediği ve ayrıca ilgili kişi tarafından sunulan kart numarasının
hatalı bir numara olduğunun görüldüğü, ilgili kişinin daha önce veri sorumlusu
sisteminde tanımlı olmayan ve “gmail” gibi altyapısı yurtdışında barındırılan
bir e-posta adresine kişisel verilerinin gönderilmesini talep etmesi nedeniyle
risk değerlendirmesi yapılarak e-posta ortamında güvenliği en üst düzeyde temin
etmek amacı doğrultusunda talebin yanıtlandığı ve ek olarak dosyanın
şifrelendiği, ilgili kişinin dosya şifresinin kendisine verilmesi için doğrudan
arayabileceği bir telefon numarasının kendisine bildirildiği ve bu güvenlik
tedbirinin neden alındığının açıkça izah edildiği”
şeklinde ifade etmiştir. Bu değerlendirmelerden
hareketle Kurul,
“Yemek kartına ait hesap hareketlerinin tamamen
kişisel veri olmasına rağmen, veri sorumlusu tarafından e-posta aracılığıyla
ilgili kişi tarafından belirtilen “gmail” adresine gönderilen ve kişisel verileri
içeren söz konusu dosyanın şifrelenmesinin ilgili kişinin iddiasının aksine
Kanun’un 12. maddesinin (1) numaralı fıkrasının (b) bendi gereğince, kişisel
verilere hukuka aykırı olarak erişilmesini önlemek amacıyla uygun güvenlik
düzeyini temin etmek amacıyla gerekli her türlü teknik ve idari tedbiri alma
yükümlülüğünü yerine getirmek adına makul bir tedbir olduğuna, alınan bu
güvenlik tedbirine ilişkin gerekli açıklamanın ilgili kişiye yapıldığı ve
e-posta içerisinde yer alan telefon numarası arandığında şifrenin ilgili
kişiyle derhal paylaşılacağının belirtildiği dikkate alındığında, kişisel
verilere erişim hakkının engellenmediğine, bu doğrultuda veri sorumlusu
hakkında Kanun kapsamında yapılacak bir işlem bulunmadığına”
karar vermiştir.
Kişinin kendi kişisel verilerini
talep etmesi, Anayasa ve Bilgi Edinme Kanunu’nda düzenlenen bilgi edinme hakkı
olarak değerlendirilir. İlgili karar doğrultusunda, veri sahibi, kişisel
verileri hakkında bilgi talep etmiş ancak talep, veri sorumlusu tarafından
tedbirli bir şekilde iletilmiştir. İlgilinin veri talebinin tedbirli
gönderilmiş olması, ilgilinin kişisel verilerine ulaşmasını engellememekte,
verilerin diğer risklerden korunmasını sağlamaktadır. Söz konusu tedbir,
geçerli bir neden olarak değerlendirilmiş, ihlal oluşturmadığına karar
verilmiştir.
Dava Aydınlatma Yükümlülüğü Doğrultusunda Yargı
Makamlarının Kişisel Verileri İşlemesi:
1. HMK.
m.31'de ayrıca hâkimin davayı aydınlatma yükümlülüğü düzenlenmektedir. İlgili
kanun maddesinde; "Hâkim, uyuşmazlığın aydınlatılmasının zorunlu
kıldığı durumlarda, maddi veya hukuki açıdan belirsiz yahut çelişkili gördüğü
hususlar hakkında, taraflara açıklama yaptırabilir, soru sorabilir, delil
gösterilmesini isteyebilir." İlgili kanunun 216/2. maddesinde ise; "Belgenin
aslını elinde bulunduran taraf, üçüncü kişi veya resmi makamlar, istenmesi
halinde bunu mahkemeye vermek zorundadır." şeklinde hüküm kurulmuştur.
2. KVKK
m.28’de ise kişisel verilerin işlenmesi konusunda istisnai hükümler
belirtilmiştir. İlgili maddenin (1). fıkrası (ç), (d) bentlerinde;
“(ç): Kişisel
verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini
veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki
verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve
istihbari faaliyetler kapsamında işlenmesi.
(d): Kişisel verilerin soruşturma, kovuşturma, yargılama
veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz
mercileri tarafından işlenmesi gibi durumlarda bu Kanun hükümleri
uygulanmaz.”
şeklinde ifade edilmiştir. Yine KVKK m.28/2, (a)’da ise; “Kişisel veri
işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması
halinde de Kanunun uygulanmayacağı” ifade edilmiştir.
Sonuç olarak;
Yargı makamları tarafından gerçekleştirilen suç
soruşturması kapsamında, ilgili makamca kişisel verilerin işlenmesi halinde
Kişisel Verilerin Korunması Kanunu’nun uygulanmayacağı, kişinin açıkça rızası
olmasa da verilerin, hukuka ve dürüstlük kurallarına uygun olma, doğru ve
gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme,
işlendikleri amaçla bağlantılı olma, sınırlı ve ölçülü olma ve ilgili mevzuatta
öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme
ilkelerine uyulduğu
müddetçe, ilgili
makamlar tarafından işlenebileceği Kanun’da açıkça düzenlenmiştir.
Stj. Av. Mehmet Çağrı Telligözoğlu
Kararlar:
1. Kişisel Verileri Koruma Kurulu - 2021/962 E. -
21.09.2021
2. Kişisel Verileri Koruma Kurulu – 2021/470 E.- 06.05.2021
