6698 sayılı Kişisel Verilerin Korunması Kanunu, 7 Nisan 2016 Tarih ve 29677 sayılı Resmî Gazete’de yayımlanarak yürürlüğe girmiştir. İşbu kanun hükmü Anayasa’nın 20. Maddesinde 2010 yılında eklenen “Herkes, kendisiyle ilgili kişisel veriler hakkında bilgilendirme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.” ek fıkra ile yeni bir sosyal hak ele alınmıştır.
A.
Kanunun Kapsamı
6698 sayılı Kişisel Verilerin Korunması
Kanunu’nun ikinci maddesi ile Kanun’un kapsamı ortaya konmuştur. Bu maddeye
göre Kanunun kapsamı öncelikle verisi işlenen kişileri ele alırken, ardından
işbu verileri işleyen gerçek veya tüzel kişiler hakkında uygulanacaktır.
Kanunda tüzel kişilik ibaresi ile herhangi bir ayrıma gidilmemiş olup özel ve
kamu hukuku tüzel kişileri ifade edilmiştir.
Kişisel verilerin belirli kriterlere
göre yapılandırılarak işlendiği kayıt sistemi olan Veri kayıt sistemi ise,
otomatik veya otomatik olmayan yollarla veri işlenmesini sağlamaktadır. Bu
sisteme otomatik veya manuel yollarla veri işlemesine ilişkin herhangi bir fark
bulunmamaktadır.
Bu hususta tartışmalı konu ise otomatik
olmayan (manuel) yollarla veri işlenmesi halinde verinin Kanun kapsamında
korunmaya alınması pratik hayatta zorluklara yol açmaktadır. Manuel yolla
yapılan veri işlemesinin sistematik olarak yazılı kaydının yapılması, Kanuna
uygun bir veri işleme yapıldığı kapsamında görülecektir.
Ek olarak, otomatik olmayan yollarla
işlenen verilerin herhangi bir veri kayıt sistemine işlenmemesi halinde işbu
Kanun kapsamında değerlendirilmeyeceği de aşikardır. Ancak veri kayıt sistemine
alınmayan verilerin kişisel veri niteliğinde olmadığını göstermeyeceğinden bu
verilere ilişkin işlenecek hukuka aykırı fiiller 5237 sayılı Türk Ceza Kanunu
bakımından suç teşkil edecektir.
Tüzel kişilerin verilerinin ise Kanun kapsamında olup olmadığı tartışma konusudur. Bu kapsamda tüzel kişiye ait verinin herhangi bir gerçek kişinin kimliğinin belirlenmesine sebep olması halinde Kanun kapsamında dikkate alınacağı uygun görülmüştür.
B.
Hükmün Amacı
Bu hüküm ile amaçlanan kişilerin
verilerinin korunmasını ve sair işlemlere ilişkin yapılacak eylemlerin her
birini yönetebilme hakkını anayasal bir hak olarak düzenlemektir. Bunun yanı
sıra bu hüküm ile kişilerin verilerinin korunması kanuni koruma altına alınmış
olup usul ve esasın kanunla düzenlenmesi öngörülmüştür.
Bu hükmün sonucu olarak kişisel
verilerin işlenmesinin denetlenmesi ve böylece verilerin güvenliğinin
sağlanması amaçlanmıştır. Böylece verileri işlenen kişilerin hukuka duyulan
güveni artacak ve kişilerin mahremiyeti korunacaktır.
İşbu 6698 sayılı Kişisel Verilerin
Korunması Kanunu’nun Türk Hukuk Sistemimizde kabulü ile birçok hukuksuzluğun
önüne geçilmesi ise asıl amaçtır. Nitekim işbu kanun ile kişisel verilerin
tarafların izni olmaksızın toplanması, yetkisi bulunmayan kişilerin iş, işlem
ve erişimine açılması, ifşası veya amaç dışı ya da kötüye kullanımı sonucu
kişilerin haklarının ihlal edilmesinin önlenmesi amaçlanmaktadır.
Bunların yanı sıra işbu kanun ile gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esaslar da belirlenmiş, böylece veri işlemenin sorumlulukları ve yükümlülüklerinin sınırı çizilmiştir.
C.
Kişilerin Kişisel Verilerinin Korunması İsteme Hakkı
Günümüzde bilgiye ulaşma hızı her geçen
gün katlanarak artmaktadır. Gelişen teknoloji ile bu hızın önüne geçilmesi
neredeyse imkânsız hale gelmiş durumdadır. Teknolojinin hızla gelişmesi
yalnızca kitabi bilgilerin değil kişilerin bilgilerinin de hızlıca yayılmasına
ve belki bazı hallerde hukuka aykırı eylemlere konu olmasına sebep olmuştur.
Bireylerin kişisel bilgileri yani bir
bakıma kişisel verilerinin hukuka aykırı eylemlere konu olduğu en pratik
olaylarından biri banka-kredi kartları veya kişilerin mahreminin ihlali sonucu
elde edilen verilerdir.
Yargıtay Ceza Genel Kurulu, TCK’da yer
alan “verileri hukuka aykırı olarak verme veya ele geçirme” suçuyla ilgili,
6698 sayılı Kanun ihdas edilmeden önce verdiği kararlarda kişisel verilerin
işlenme şekillerden bazılarına ilişkin açıklamalarda bulunmuştur. Bu
kararlardan 2012/12-1510 Esas, 2014/331 Karar ve 17.6.2014 tarihli ve
2012/12-1514 Esas, 2014/312 Karar ve 10.6.2014 tarihli kararlarında, “Kişisel
verileri bir başkasına verme” fiilini şu şekilde açıklamaktadır:
““Kişisel
verileri bir başkasına verme”” seçimlik hareketinde, maddede geçen
"başkası" gerçek bir kişi olabileceği gibi tüzel kişi de olabilecek,
veriler bu kişilere elden, posta ya da internet üzerinden elektronik posta ile
vb. şekillerde verilebilecektir. Türk Dil Kurumu Büyük Türkçe Sözlüğünde
"vermek"; "üzerinde, elinde veya yakınında olan bir şeyi
birisine eriştirmek, iletmek, düşünce veya bilgi anlatan şeyleri başkalarına
iletmek, bildirmek" şeklinde açıklanmıştır. Bu seçimlik harekette
verilerin hukuka uygun ya da aykırı yöntemle elde edilmiş olmasının önemi
bulunmamakta olup, önemli olan husus verme eyleminin hukuka aykırı olmasıdır.”
Bu ihtimaller ve daha niceleri
sebebiyle her gün belki de binlerce kişinin hukuki güvenliğinin ihlal
edilmesinin sonucu olarak kişilerin hem kişisel verilerini saklama hem de
korunmasını talep hakkı doğmaktadır.
Tüm bunların yanı sıra dürüstlük
kuralına uygun işleme ilkesini açıklayan bir örnek vermek gerekirse, bir
kişinin hız limitlerini aşması dolayısıyla elde edilen kişisel bilgisi yalnızca
bu amaçla kullanılacak olursa işleme faaliyeti dürüstlük kuralına uygun
olacaktır, ancak bu amaç dışında sırf kişiye zarar vermek üzere, kötü niyetli
amaçlarla kullanılacak olursa o zaman bu işleme faaliyeti dürüstlük kuralına
aykırı olacaktır. İlgili ilke ile ilgili olmak üzere KVKK, Facebook aleyhine
verdiği, 2019/104 karar sayılı, 11/04/2019 tarihli kararında,
“üçüncü
taraf bir uygulamaya Facebook platformu üzerinden Facebook kullanıcısı
tarafından fotoğraflarına erişim izni verildiğinde sadece zaman çizelgesinde
paylaştığı fotoğraflara erişim sağlaması gerekirken, açıklanan ihlalden
kaynaklı Marketplace veya Facebook Stories'de paylaşılan diğer fotoğraflara da
üçüncü taraf uygulamaların erişim sağladığı, ayrıca Facebook kullanıcılarının
Facebook'a taslak olarak yüklediği ve henüz paylaşıma açmadığı fotoğraflara da
söz konusu üçüncü taraf uygulamaların erişim sağladığı dikkate alındığında,
Facebook kullanıcılarının genel olarak izin vermiş olduğu kapasiteden çok daha
fazla sayıda fotoğraflara erişim sağlanmasının, Kanunun 12’inci maddesinin (1)
numaralı fıkrasına ve 4 üncü maddesinin (2) numaralı fıkrasının (a) bendinde
belirtilen “Hukuka ve dürüstlük kurallarına uygun olma” ve (ç) bendinde
belirtilen “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkelerine
aykırılık teşkil ettiğini, Facebook’un bahsi geçen üçüncü taraf uygulamaların
normalde erişime izin verilmiş olan sayıdan daha fazla spesifik fotoğrafa
gerçekten erişip erişemediklerini belirleyemediği dikkate alındığında, bu
durumun Facebook’un kendi platformundaki veri akışını kontrol etme noktasında
sıkıntılar yaşadığını ve bu kapsamdaki hususun Kanunun 12’nci maddesinin (1)
numaralı fıkrasında öngörülen veri güvenliğine ilişkin yükümlülüklere aykırılık
teşkil ettiğini, Facebook platformu uygulamalarının daha ilk aşamada
“Arkadaşların, bağlantıların ve birlikte oyun oynadığın diğer kişiler senin
oyun hareketlerini görebilecek. Oyunun senin herkese açık profiline ve bu oyunu
oynayan tanıdığın kişilere erişimi vardır” ifadesini kullanarak, kullanıcının
arkadaş bilgilerine veya diğer bilgilere kişi istemese bile ulaşabilecek
şekilde çalışması hususunda izin aldığını, ilgili kişilerin uygulamada
paylaşmaya izin verecekleri kişisel verilerinin neler olması gerektiğine ve
yükleme aşamasında gizlilik ayarlarıyla ilgili seçimlere imkân sağlamayarak,
kişisel verilerin bu şekilde işlenmesini açık rızaya dayandırmadığını, açık
rızanın özgür irade ile açıklanması gerektiğinden, ilgili kişinin açık
rızasının alınması, bir ürün veya hizmetin sunulmasının ya da ürün veya
hizmetten yararlandırılmasının ön şartı olarak ileri sürülmemesi gerektiğini,
bu durumların Kanunun 4 üncü maddesinin (2) numaralı fıkrasının (a) bendine
belirtilen “Hukuka ve dürüstlük kurallarına uygun olma” ilkesine aykırılık
teşkil ettiğini, açıklanan ihlalin 6,8 milyon kullanıcıyı ve 876 geliştirici
tarafından oluşturulan 1.500 uygulamayı etkilemiş olabileceğini, Türkiye’de
bulunan yaklaşık 300 bin kullanıcının da veri ihlalinden etkilenmiş
olabileceğini, ifade ederek,”
anılan veri ihlalinin oluşmaması için
Facebook tarafından teknik ve idari tedbirlerin alınmadığı gerekçesiyle
Facebook aleyhine 6698 sayılı Kanun’un 18’nci maddesinin (1) numaralı
fıkrasının (b) bendi uyarınca 1.100.000 TL; yine söz konusu veri ihlalinin
19.09.2018 tarihinde tespit edilmesine rağmen Kuruma bildirim yapılmadığı ve
13.09.2018 - 25.09.2018 tarihleri arasında gerçekleşen veri ihlalinin ilgili
kişilere 17.12.2018 tarihinde bildirilmeye başlandığının tespit edildiği
gerekçeleriyle, 6698 sayılı Kanun ile aranan en kısa sürede bildirim yapılması
yükümlülüğüne aykırı hareket eden Facebook aleyhine 550.000 TL idari para
cezası uygulanmasına karar vermiştir. [1]
Görülen o ki kişisel verilerin hukuka
ve dürüstlük kurallarına uygun işlenmesi ilkesi, birçok şekilde ihlal
edilebilir ve bu ihlaller kanun gereğince birçok cezai yaptırıma yol
açabilecektir. Bu bakımdan kişisel verilerin, özellikle özel nitelikli kişisel
verilerin hukuka ve dürüstlük kurallarına uygun işlenmesi büyük önem teşkil
eder.
Öyle ki teknoloji olmadan adım dahi
atamadığımız bu günlerde hem iş hayatımız hem de sosyal yaşantımızda birçok
kişisel verimizin işlenmesine maruz kalmakta, böylece farklı platformlarca
işlenen verilerimizin korunmasını talep etmemiz yukarıda da bahsettiğimiz üzere
Anayasal bir hak olarak kendini göstermektedir.
Kısa sürede hem birçok bilgiye
ulaşılmakta hem bilgilerin uygun koşulda saklanması gerekmekte hem de bu
bilgilerin kontrolünün yapılması sağlanmalıdır. Teknolojinin hızı ve kişisel
verilerin fazlalığı aynı oranda arttığından tarafların kendi bilgilerini
kontrol etmeleri mümkün olmayıp bu kontrol için devletin gücüne ihtiyaç
duymaları zaruridir.
Bu suretle de kendisine çok daha kolay
erişilen verinin, eskisinden daha çok korunması ihtiyacı hasıl olmuştur. Bunun
nedeni, bu bilgilerin mevcut teknolojiler sayesinde kontrolsüz ve hızlı bir
şekilde çoğaltılabilmesi, depolama maliyetlerinin düşük olması nedeniyle
gereğinden fazla bilginin kayıt altına alınması, kısa sürede uzak mesafelere
transfer edilebilmesi, tehditlere karşı korunamayan bilgilerin kısa süre içinde
sınırsız sayıda kişinin erişimine açık hale gelmesi ve bu sürecin sonunda geri
dönüşü olmayan sonuçların ortaya çıkabilmesi imkanıdır. [2]
Bu suretle kişinin, özellikle kişinin verilerinin mahremiyeti, aranan bir meziyet ve korunması gereken bir kavram haline gelmiştir. Mahremiyetin karşısına en çok çıkan gözetim ise iktidarların gücünün ve meşruiyetinin kaynağı olmuştur. [3] Gözetlenen, sürekli büyük bir otoritenin gözetim ve denetimi altında olan ve bunu da hisseden kişinin özgür olduğundan bahsedemeyiz. Kişiyi sürekli gözeten ve izleyen bir toplumda, George Orwell’in 1984 adlı romanında tasvir ettiği distopyanın [4] ya da Bentham’ın tasvir ettiği “Panoptikon [5]” düzeninin gerçekleşmesi işten bile değildir. Bu bağlamda kişisel verilerin korunması, kişilerin bu tip baskılar altında kalmalarını engellemek, gözetleyen ile gözetlenen arasındaki güç dengesini sağlamak ve kişilerin özgür bireyler olabilmeleri için gereken ortamı yaratmak açısından bir ihtiyaç olarak ortaya çıkmıştır.
D.
Kişisel Verilerin Unsurları
Kişisel veri 6698 sayılı Kanun’da hemen
hemen bütün uluslararası düzenlemelerle benzer olmak üzere tanımlanmıştır. Buna
göre kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin
her türlü bilgiyi, ifade etmektedir. Bu bağlamda bireyin kişisel verilerini,
özünde bireyin kimliğini ortaya çıkartan, bir kişiyi belirli kılan ve onu
karakterize eden veri denilmektedir. Bu bağlamda kişiye ilişkin bilginin
varlığı yani işlenmemiş kişisel veriler bilgiyi oluşturacaktır.
İkinci olarak ise, verinin varlığından
söz edilebilmesi için verinin belirli veya belirlenebilir bir kişiye ait
olmasıdır. Yukarıda belirttiğimiz üzere her ne kadar Kanunda ilgili kişi diye
belirlenen gerçek kişiler olsa da “Elektronik Haberleşme Sektöründe Kişisel
Verilerin İşlenmesi ve Gizliliğinin Korunması Hakkında Yönetmelik” tarafından
hem gerçek hem de tüzel kişilerin verilerinin kişisel veri kapsamında
değerlendirildiği anlaşılmaktadır. Böylece kanunun lafzından, gerekçesinden ve
uygulamadan yola çıktığımızda ilgili kişinin kimliğinin ortaya çıkarılması
sonucu belirli bir kimseyi işaret eden her veri kişisel veri niteliğini
kazanacaktır. Tüzel kişiye ilişkin verinin herhangi birini işaret etmesi,
belirtmesi halinde de tüzel kişinin veri ihlalinin varlığı söz konusu
olacaktır.
Üçüncü olarak ise, kullanılan kişisel
veri ile yapılan araştırma sonucu kişiye ulaşılabilmesi yani bilginin kişiye
ilişkin olması aranmaktadır.
Yargıtay 12. Ceza Dairesi’nin 2013/9669
Esas, 2014/3760 Karar ve 17.2.2014 tarihli kararı gereğince kişisel veri;
““Kişisel
veri” kavramından, kişinin, yetkisiz üçüncü kişilerin bilgisine sunmadığı,
istediğinde başka kişilere açıklayarak ancak sınırlı bir çevre ile paylaştığı
nüfus bilgileri ( T.C. kimlik numarası, adı, soyadı, doğum yeri ve tarihi, anne
ve baba adı gibi ), adli sicil kaydı, yerleşim yeri, eğitim durumu, mesleği,
banka hesap bilgileri, telefon numarası, elektronik posta adresi, kan grubu,
medeni hali, parmak izi, DNA'sı, saç, tükürük, tırnak gibi biyolojik örnekleri,
cinsel ve ahlaki eğilimi, sağlık bilgileri, etnik kökeni, siyasi, felsefi ve
dini görüşü, sendikal bağlantıları gibi kişinin kimliğini belirleyen veya
belirlenebilir kılan, kişiyi toplumda yer alan diğer bireylerden ayıran ve onun
niteliklerini ortaya koymaya elverişli, gerçek kişiye ait her türlü bilginin
anlaşılması gerekir; ancak, herkes tarafından bilinen ve/veya kolaylıkla
ulaşılması ve bilinmesi mümkün olan kişisel bilgiler, yasal anlamda “kişisel
veri” olarak değerlendirilemez, aksinin kabulü; anılan maddenin uygulama
alanının amaçlanandan fazla genişletilerek, uygulamada belirsizlik ve hemen her
eylemin suç oluşturması gibi olumsuz sonuçlar doğurur.” hükmünü havi idi.
E.
Kişisel Verilerin Türleri
Kişisel verilerin türleri genel
bağlamda genel nitelikli ve özel nitelikli kişisel veriler eklinde ikiye
ayrılmaktadır. İşbu makale kapsamında özel nitelikli kişisel veriler
incelenmekte olduğundan genel nitelikli kişisel verilere kısaca değinilmekle
geçilecektir.
1.
Genel Nitelikli Kişisel Veriler
Bu bağlamda genel nitelikli kişisel
veriler, 6698 sayılı Kanun kapsamında tahdidi bir biçimde sayılmış olup sayılan
özel nitelikli veriler dışında kalan tüm kişisel veriler, genel nitelikli
veriler olarak adlandırılmaktadır.
2.
Özel Nitelikli Kişisel Veriler
Kanunumuzda özel nitelikli kişisel veriler
olarak anılan verilerin milletlerarası bağlamda, “hassas veri” olarak yer
aldığı da görülmektedir.
İşbu özel nitelikli kişisel verilerin
kanunda tahdidi yani sınırlı sayıda sayılmış olduğu kanun metninden
anlaşılmaktadır.
Öyle ki kanunun 6’ncı maddesi
gereğince,
“Kişilerin
ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer
inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı,
cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile
biyometrik ve genetik verileri özel nitelikli kişisel verilerdir.” şeklinde tanımlanmıştır [6].
Ulusal ve uluslararası metinler
incelendiğinde bunlar;
-kişilerin ırkı,
-etnik kökeni,
-siyasi düşüncesi,
-felsefi inancı,
-dini, mezhebi veya diğer inançları,
-kılık ve kıyafeti,
-dernek, vakıf ya da sendika üyeliği,
-sağlığı, cinsel hayatı,
-ceza mahkûmiyeti ve güvenlik
tedbirleriyle ilgili verileri ile
-biyometrik ve genetik verileridir.
Özel nitelikli kişisel verilerin kıyas yoluyla genişletilmesi mümkün değildir.
Bu kapsamda işbu özel nitelikli
verilerin tahdidi olarak Kanunumuzda yer almasının en önemli sebeplerinden
biri, bu verilerin kişileri ayrımcılığa sürükleyecek türden olmasıdır.
Yargıtay Ceza Genel Kurulu 2012/12-1510
Esas, 2014/331 Karar ve 17.6.2014 tarihli; keza Yargıtay Ceza Genel Kurulu
2012/12-1514 Esas, 2014/312 Karar ve 10.6.2014 tarihli kararları ile Yargıtay
12. Ceza Dairesi 2011/20072 Esas, 2012/12126 Karar ve 15.5.2012 tarihli
muhalefet şerhi şu ifadeleri haizdir:
“Bilimsel
görüşlerden hareketle kişisel verilerin neler olabileceğini şu başlıkları
altında sınıflandırabiliriz. a- Yaşam şekline ilişkin kişisel veriler:
Kişilerin üçüncü kişiler tarafından ayırımcılığa uğramaması ve haysiyetinin
korunmasıyla ilişkili olarak, dini inançları, cinsel tercihleri, etnik kökeni,
suç geçmişi, politik eğilimleri ve kişisel özel aktivitelere ilişkin bilgiler
bu bağlamda sayılabilecektir. b- Ekonomik ve finansal kişisel veriler: Suçlular
tarafından suistimale ve kimlik hırsızlığına hedef olmamak için kişinin mali
varlığı, sahip olduğu hisse ve hesaplar, borçları, yaptığı alış verişler, kredi
kartlarına ilişkin veriler. Ayrıca sayılan bu bilgiler ile kişinin nerede ve
kimlerle bulunduğuna, sağlık bilgilerine ilişkin bilgiler de ortaya
çıkarabileceğinden ve varlık bilgisinin toplumsal açıdan da özel sayılmasından
dolayı önemi artmaktadır. c- Bilişim alanına ilişkin kişisel veriler:
e-postaların bizzat adresleri veya şifreleri, internet ortamında paylaşılan
kişisel veriler mahrem olarak değerlendirilebilir. Bunun önemi şu bakımdan
artmaktadır. İnternette gezinti yapan kişi birçok kişisel bilgileri
paylaşmakta, bu bilgiler kayıt altına alınmakta, yine internet erişimine
ilişkin iz kayıtlarının hizmet sağlayıcı ve sunucu sahipleri tarafından
tutulabiliyor olması nedenleriyle artmaktadır. d- Sağlıkla ilgili kişisel
veriler: Sağlık verileri kişilerin iş güvenliğini, toplum içindeki statüsünü ve
sigorta kapsamını etkileyen hassas bilgilerdir. Ayrıca sağlık verileri kişilerin
sosyal yaşantısı ve psikolojik durumları hakkında bilgi edinilmesine neden
olabilir. Biyometrik ( Kişinin kendine özgü fiziksel veya biyolojik
niteliklerine dayalı olarak insanların kimliğini tespit için dijital
teknolojiden faydalanma bilimi ) veriler de kişisel veriler arasındadır. e-
Politik kişisel veriler: Toplum içinde yaşayan kişilerin siyasi tercihleri
toplum katmanları arasında bilinme halinde ayırımcılığa maruz kalma ihtimali
bulunduğundan bu bilgilerde kişisel veridir.”
Nitekim Yargıtay 9. Ceza Dairesi
1995/6119 Esas, 1995/5720 Karar ve 9.11.1995 tarihli ve 1992/11430 Esas,
1993/592 Karar ve 9.2.1993 tarihli kararlarında, halk nezdinde ırk ayrılığı
gözetmenin, “halkı düşmanlığa tahrik etmek suçu”na vücut veren düşünce
biçimlerinden biri olduğunu ifade etmiştir.
Bu minvalde kişinin olumsuz herhangi bir davranışa maruz kalmasına sebebiyet verecek her türlü bilginin de özel nitelikte sayılabileceğini belirtmek yanlış olmayacaktır.
F.
Özel Nitelikli Kişisel Verilerin İşlenmesi
Yukarıda Kanun hükmünün amacı
başlığında da belirtiğimiz üzere, 6698 sayılı Kanun’un üçüncü maddesi gereği;
“kişisel
verilerin işlenmesi, kişisel verilerin tamamen veya kısmen otomatik olan ya da
herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan
yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi,
değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması,
elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının
engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi”
ifade edilmektedir.
Ulusal ve uluslararası metinler
incelendiğinde, verilerin işlenmesi evresinde birçok aşamanın yer aldığı
görülmektedir. Nitekim kişisel/hassas verinin var olduğu andan itibaren
silindiği/yok edildiği ana kadar geçen tüm evrede verinin işlendiğini dile getirmek
yanlış olmayacaktır.
Avrupa Adalet Divanı’nın Bodil
Lindqvist kararında; kişisel verilerin işlenmesi ve özel nitelikli kişisel
veriler bağlamında bu kararda ifade edildiği üzere, bir kişiyi belirlenebilir
kılan bilgilerin bir internet sitesinde yayınlanması, kişisel verilerin kısmen
veya tamamen otomatik yollarla işlenmesi olarak kabul edilecektir.
Bu minvalde kişisel verilerin elde
edilme ile işlenmeye başlandığı görülecektir. Bu elde etme işleminin kanuni
veya kanuni olmayan yollar ile gerçekleşmesinin kanunda herhangi bir karşılığı
bulunmamaktadır. Öyle ki kanuni olmayan yolla elde edilen verinin dahi
işlenmesi gerekmektedir.
Verilerin işlenmesi kapsamında; verilerin kaydedilmesi, verilerin depolanması, verilerin muhafaza edilmesi, verilerin değiştirilmesi, verilerin yeniden düzenlenmesi, verilerin açıklanması, verilerin devralınması, verilerin sınıflandırılması, verilerin elde edilebilir hale getirilmesi, verilerinin kullanılmasının engellenmesi, verilerin aktarılması ve verilerin anonim hale getirilmesi, feshedilmesi ve verilerin yok edilmesi gibi işlemleri kapsamaktadır.
1.
Özel Nitelikteki Kişisel Verilerin Genel İlkeler Çerçevesinde İşlenmesi
Kişisel verilerin birbirinden farklı
şekillerde işlendiği ifade edilmiştir. Ancak bu veriler işlenirken hem ulusal
hem de uluslararası bağlamda dikkat edilmesi gereken bazı hukuki ilkeler
bulunmaktadır.
Bu ilkeler uluslararası belge ve
metinler aracılığıyla yıllardır süregelmiş ve içtihatlar vesilesiyle kanunlar
oluşturulmuştur. Buna göre Kanunun 4. maddesinde yer alan kişisel verilerin
işlenmesine ilişkin usul ve esaslar “108
sayılı Avrupa Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında
Bireylerin Korunması Sözleşmesi”ne ve “95/46/EC
sayılı Avrupa Birliği Veri Koruma Direktifi”ne paralel şekilde
oluşturulmuştur.
Uluslararası metinlere göre Kanunda
kişisel verilerin işlenmesinde sayılan genel ilkeler şunlardır:
- Hukuka ve dürüstlük kurallarına uygun
olma,
- Doğru ve gerektiğinde güncel olma,
- Belirli, açık ve meşru amaçlar için
işlenme,
- İşlendikleri amaçla bağlantılı,
sınırlı ve ölçülü olma,
- İlgili mevzuatta öngörülen veya
işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.
Kişisel verilerin işlenmesine ilişkin işbu genel ilkeler, tüm kişisel veri işleme faaliyetlerinin özünde bulunmalı ve tüm kişisel veri işleme faaliyetleri bu ilkelere uygun olarak gerçekleştirilmelidir.
2.
Özel Nitelikli Kişisel Verilerin İşlenmesinde Usule İlişkin İlkeler
Öncelikle bilinmelidir ki 6698 sayılı
İş Kanunu’na göre genel nitelikteki verilerin açık rıza olmaksızın işlenmesinin
kanunun yorumuna göre hukuka uygun bulunmazken özel nitelikli belgelerin
ilgilinin açık rızası olmaksızın işlenmesinin direkt kanunen yasak olduğu
belirtilmiştir. İşbu kanuni yasağa “kesin işlem yasağı” da denmektedir.
Kanunun lafzından anlaşılacağı üzere
kişilerin özel veya genel nitelikteki verilerinin işlenmesi için ancak
şahısların açık rızasının alınması gerektiği belirtilmiştir.
İşbu açık rızanın alınmaması için ancak
ve ancak kanuni bir şartın varlığı ile hukuka uygun hale getirilmesi
gerekecektir. Bu husus ise genel nitelikli kişisel veriler bakımından daha
uygulanabilir iken özel nitelikli kişisel veriler bakımından oldukça
sınırlayıcı bir ayrım halindedir.
Kanunun gerekçesine ve lafzına
bakıldığında kanunda tahdidi şekilde sayılan özel nitelikli kişisel verilerin
açık rıza olmaksızın işlenmesinin yol açacağı problemler çok daha büyük olacaktır.
Bu nedenle veriler işlenirken bir verinin özel nitelikte mi yoksa genel
nitelikte mi olduğu oldukça önem arz edecektir.
Ancak bazı hallerde kişilerin açık
rızası aranmaksızın özel nitelikli verilerinin de işlenebileceği
belirtilmiştir. Bu husus da kendi içinde bazı geçerlilik şartlarını ve
gerekliliklerini barındırmaktadır. Yalnızca belirli hallerde açık rızanın
kalktığı görülmekte, ancak bu verilerin işlenmesinde sınırların olduğu ve
yeterli önlemlerin alınması gerekmektedir.
Aynı şekilde kişisel verinin tahdidi
nitelikte sayılmaması halinde de bazı hukuka aykırılıkların doğabileceği, bir
tarafın hakkı korunurken bir diğerinin hakkının ihlal edilmesi gibi bazı hukuki
sorunlar oluşabilmektedir.
Bu sebeple bazı durumlarda Kanun, özel nitelikli kişisel veriler arasında da bir ayrım yapmayı tercih etmiştir. Böylece kamu düzenini ve genel ahlakı tehdit eden bir unsurun varlığı gibi durumlarda bazı özel nitelikli kişisel verilerin açık rıza olmaksızın işlenebilmesi gerektiğine değinilmiştir. Buna göre sağlık ve cinsel hayata ilişkin kişisel verilerin işlenmesi ile bunlar dışındaki özel nitelikli kişisel verilerin, açık rıza olmaksızın işlenebileceği haller farklı düzenlenmiştir.
3.
Özel Nitelikli Kişisel Verilerin İşlenme Şartları
Kanuna göre her ne kadar özel nitelikli
kişisel verilerin işlenmesi yasak olsa da aynı kanunun 6.maddesi gereğince
kişisel verilerin ilgilinin açık rızası ve KVKK tarafından yeterli önlemlerin
alınması hallerinde mümkün olacaktır.
Ancak bazı hallerde özel nitelikli kişisel verilerin işlenmesi için kişilerin rızası aranmayacaktır. Bu halleri ilerleyen bölümlerde açıklayacağız, öncelikle açık rızanın ne olduğunu ve unsurlarını belirtmemiz gerekir.
G.
Açık Rıza ve Unsurları
Şahsın açık rızasının alınması özel
nitelikli kişisel verilerin işlenmesini hukuka uygun hale getiren iş ve
işlemlerden biridir. Örneğin bir iş kurumunda kılık kıyafete ilişkin verinin iş
yönetimi tarafından kayda alınması ve işçinin buna açık bir şekilde rıza
vermesi özel nitelikteki kişisel verinin hukuka uygun bir şekilde işlenmesinin
somut hallerinden biridir.
Açık rıza, 6698 sayılı Kanun’un
“tanımlar” başlığını taşıyan 3’üncü maddesi gereği “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür
iradeyle açıklanan rızayı” ifade eder. Kanun gerekçesinde, açık rızanın,
95/46 sayılı Direktif esas alınmak suretiyle tanımlandığı ifade edilmektedir.
Buna göre açık rızanın, “ilgili kişinin,
kendisiyle ilgili veri işlenmesine, özgürce, konuyla ilgili yeterli bilgi
sahibi olarak, tereddüde yer bırakmayacak açıklıkta ve sadece o işlemle sınırlı
olarak verdiği onay beyanı” şeklinde anlaşılması gerektiği ifade
edilmiştir.
Açık rızanın unsurlarını ele alacak
olursak ilk olarak, özgür iradeyle açıklanan “tereddüde yer bırakmayacak açıklıkta” bir rıza olması
gerektiğidir. Buna göre kişinin özel nitelikte verisinin işlendiği anda veri
işlenmesine ilişkin herhangi bir tereddüdü olmaksızın rızasının bulunması
gerekmektedir. Burada tereddüt ile anlaşılması gereken her ne kadar somut olay
bazında değerlendirilmesi gereken bir husus olsa da rızanın herhangi bir
belirsizliğe mahal vermeyecek açıklıkta olması gerektiğidir.
İkinci olarak, ilgili kişinin işlenecek
veriye ilişkin açıkça, hangi verinin, hangi şart ve haller ile işleneceğinin
bilgilendirilmiş olması aranmaktadır. İlgili kişinin veri işlenmesinin amacını,
yöntemini, saklanması koşullarını ve devamını bilmeye hakkı vardır. Burada veri
sorumlusunun aydınlatma yükümlülüğü doğacaktır. 29 Madde Çalışma Grubu’na göre,
ilgili kişinin geçerli bir rıza adına bilgilendirilmiş sayılması için iki tür
gereklilik vardır243: Bunlardan biri, bilgilendirmenin kalitesidir. Buna göre,
bilgilendirmenin yapılma şekli, rızanın “bilgilendirilmeye” dayalı olup
olmadığını değerlendirmede çok önemlidir. Bu nispetle bilgilendirme, jargon
kullanılmadan, düz bir metinle, normal/ortalama kişilerin onu anlayabileceği
şekilde yapılmalıdır. Gerekliliklerden diğeri ise, bilgilendirmenin
erişilebilir ve görünür olması gerekliliğidir. Buna göre, bilgilendirme
doğrudan ilgili kişiye yapılmalıdır. Bilginin bir yerde “erişilebilir” olması
yeterli değildir. Bilgilendirme yazı tipi ve büyüklüğü bakımından açıkça
görülebilir, belirgin ve kapsamlı olmalıdır.
Nitekim bu hususta yayınlanan
“Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar
Hakkında Tebliğ(Aydınlatma Tebliği)” ile, “açık
rıza bakımından, veri sorumlusunun ilgili kişiyi, açık rızası ve diğer şartlara
bağlı olarak her durumda bilgilendireceği, veri işleme amacı değişmişse bu amaç
için de kişiyi işlemeden evvel bilgilendireceği, eğer veri sorumlusunun sicile
kayıt yükümlülüğü varsa, ilgili kişiye verilecek bilgilerin sicile açıklanan
bilgilerle uyumlu olması gerektiği, bu bilgilendirmenin ilgili kişinin talebine
bağlı olmadığı, bilgilendirme yükümlülüğünün yerine getirildiğinin ispat
yükünün veri sorumlusuna ait olduğu, ilgili kişinin açık rızası alınırken, açık
rızanın alınması ve bilgilendirme(aydınlatma) yükümlülüğünün ayrı ayrı yerine
getirilmesi gerektiği, kişisel veri işleme amacının belirli, açık ve meşru
olması gerektiği, bilgilendirme yapılırken, genel nitelikte ve muğlak ifadelere
yer verilmemesi gerektiği, gündeme gelmesi muhtemel başka amaçlar için kişisel
verilerin işlenebileceği kanaatini uyandıran ifadeler kullanılmaması gerektiği,
ilgili kişiye yapılacak bilgilendirmenin anlaşılır, açık ve sade bir dil
kullanılarak gerçekleştirilmesi gerektiği, bilgilendirme anında kanunda yer
alan hangi işleme şartlarına dayanılarak işleme yapılacağının açıkça
belirtilmesi gerektiği, bilgilendirme yapılırken eksik, ilgili kişileri
yanıltıcı ve yanlış bilgilere yer verilmemesi gerektiği” düzenlenmiştir.
[7]
Üçüncü olarak, açık rızanın
unsurlarından biri de rızanın belirli bir konuya ilişkin alınmış olmasıdır. Bu
unsurda temel prensip “amaca bağlılık” ilkesinden geçmektedir. Rızanın geçerli
sayılabilmesi için, aranan rızanın belirli ve amaca bağlı olmasına dayanır. 29
Madde Çalışma Grubu’na göre, veri işlemenin kesin amacını belirtmeksizin alınan
toplu battaniye rızaları kabul edilemez. Bir başka deyişle, açık uçlu bir dizi
işlem faaliyeti için verilen rızalar geçerli olmayıp, rızanın geçerli olduğu
bağlamın sınırlı olması gerekmektedir.
Belirtmek gerekir ki, ilgili kişinin verisinin işlenmesi adına veri sorumlusu tarafından birden fazla farklı amaçlar güdülüyorsa, ilgili kişiden, belirli ve genel yetkilendirme şeklinde olmayan her bir amaç için ayrı açık rıza alınmalıdır.
H.
Özel Nitelikli Kişisel Verilerin İşlenmesinde Açık Rızanın Aranmadığı Haller
Her ne kadar yazımızda, kanunumuzda
ilgili kişilerin verilerinin işlenmesi için açık rıza arandığını ifade etsek de
bazı hallerde ilgili kişinin açık rızası aranmaksızın özel nitelikteki
verilerin işlenebileceğine değinmiştik.
Buna göre sağlık ve cinsel hayata
ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik,
tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile
finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında
bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenebilecektir.
Nitekim hangi tür özel nitelikli veri olduğu fark etmeksizin bütün özel
nitelikli kişisel veriler, ancak KVKK tarafından belirlenen yeterli önlemlerin
alınması şartıyla işlenebilecektir.
Dönemin hükümeti tarafından TBMM Adalet
Komisyonuna sunulan kanun tasarısının, özel nitelikli kişisel verilerin
işlenmesine ilişkin esasların düzenlendiği 6’ncı maddesine göre kurul
tarafından belirlenen yeterli önlemler alınmaksızın ve ilgili kişinin açık
rızası olmaksızın özel nitelikli kişisel verilerin işlenemeyeceği, ancak
kanunlarda açıkça öngörülmesi, siyasi parti, vakıf, dernek veya sendika gibi
kâr amacı gütmeyen kuruluş ya da oluşumların, tabi oldukları mevzuata ve
amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere
açıklanmamak kaydıyla kendi üyelerine ve mensuplarına yönelik verileri
işlemesi, özel nitelikli kişisel verilerin ilgili kişinin kendisi tarafından
alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için
veri işlenmesinin zorunlu olması ile kamu sağlığının korunması, koruyucu
hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık
hizmetlerinin planlanması hallerinde, özel nitelikli kişisel verilerin
ilgilinin açık rızası olmaksızın işlenebileceği düzenlenmiştir. [8]
Burada hukuki olarak sorun yaratan
husus özel nitelikte işlenemeyecek hususların tahdidi olarak kanunda sayılmasına
rağmen açık rızanın aranmadığı hallere yer verilmemiş ve yoruma bırakılmış
olmasıdır.
Bu hallerden özellikle “kanunla açıkça
öngörülme”, kanuna dönüşen metin ile yalnızca sağlık ve cinsel hayat dışındaki
özel nitelikli kişisel veriler bakımından bir işleme istisnası olarak
düzenlenmiştir.
Ancak kanaatimizce “kanunlarda açıkça
öngörülmesi” halinde özel nitelikli kişisel verilerin açık rıza aranmaksızın
işlenebileceği hususunun, sağlık ve cinsel hayata ilişkin veriler bakımından da
düzenlenmesi gerekirdi. Zira Anayasanın 20’nci maddesi gereği, “(…) Herkes, kendisiyle ilgili kişisel
verilerin korunmasını isteme hakkına sahiptir. (…) Kişisel veriler, ancak
kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel
verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.” Anayasal
bir hak olarak düzenlenen “kişisel verilerin korunmasını isteme hakkı”,
Anayasanın 13’üncü maddesi hükmü gereği, özüne dokunulmaksızın yalnızca
Anayasanın belirtilen ilgili maddelerinde sebeplerle sınırlı tutulmuştur. Bu
suretle sağlık ve cinsel hayata dair özel nitelikli kişisel verilerin
işlenmesine ilişkin kanunlarla açıkça düzenlenen sınırlamaların Anayasal
çerçeveye uygun olması halinde, bu verilerin de açık rıza aranmaksızın
işlenmesi amaçlanmıştır.
Ayrıca belirtmek gerekir ki Kişisel verilerin işlenmesine bir kere rıza verilmiş olması, bundan sonra bu verilerin işlenmesine hiçbir şekilde müdahale edilemeyeceği anlamına gelmemektedir. Böyle bir hal de veri sorumlusunun yeniden rıza alması gerekmektedir.
1.
Açık Rıza Aranmaksızın Özel Nitelikli Verilerin İşlenmesinde Aranan Genel
Şartlar
Öncelikle belirtmek gerekir ki özel
nitelikli kişisel verilerin açık rıza aranmadığı her halde Kişisel Verileri
Koruma Kurulu tarafından belirlenen yeterli önlemlerin alınması gerekmektedir.
Bu husus tamamen “veri güvenliği
ilkesi” gözetilerek tarafların açık rızası olmadığı hallerde onların hukuka
duydukları güveni zedelememek ve bir yandan da verinin işlenme evresinin
denetimini sağlayabilmek adına yapılan bir koşuldur.
Kişisel Verileri Koruma Kurulu
tarafından alınan 31/01/2018 tarihli ve 2018/10 sayılı karar ile özel nitelikli
kişisel verilerin işlenmesi için alınması gereken önlemler belirlenmiştir.
Bir diğer şartlardan biri de kamu
sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım
hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması halinde
ilgilinin açık rızası olmaksızın işlenebilmesini gerekli kılan hükümdür.
Ancak bu hükmün uygulanması için bazı özel koşullar aranmıştır. Öyle ki, sağlık ve cinsel hayata ilişkin kişisel veriler, ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilecektir.
1.a.
Açık Rıza Aranmaksızın Sağlık ve Cinsel Hayata İlişkin Özel Nitelikli Verilerin
İşlenmesinde Aranan Özel Şartlar
6698 sayılı Kanun kapsamında sağlık ve
cinsel hayata ilişkin kişisel verilerin, ilgilinin açık rızası aranmaksızın
işlenmesinin hukuka uygun kabul edilebilmesi için şu şartların birlikte
gerçekleşmesi gerekmektedir:
- Sağlık veya cinsel hayata dair
kişisel bir verinin olması,
- Bu verinin yasal mevzuat gereği sır
saklama yükümlülüğü altında bulunan bir kişi veya kuruluş tarafından işlenmesi,
- Bu verinin, kamu sağlığının
korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin
yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi
amaçlarından biri dahilinde işlenmesi ve,
- Bu verilerin işlenmesine dair KVVK tarafından belirlenen yeterli önlemlerin alınmış olmasıdır. [9]
I. Sağlık
veya Cinsel Hayata Dair Bir Verinin Sır Saklama Yükümlülüğü Altında Bulunan
Kişiler veya Kuruluşlar Tarafından İşlenmesi
Sağlık ve cinsel hayata ilişkin kişisel
verilerin işlenmesi için açık rızanın gerekmediği hallerde bu verinin sır saklama
yükümlülüğü doğmaktadır. Bu sır kavramı için, doktrinde ve içtihatlarda oluşan
tanım, paylaşılmayan bilgi olduğu şeklindedir.
Bu sır yükümlülüğü kendi içerisinde
objektif ve sübjektif olmak üzere ikiye ayrılmaktadır. Bahsedilen sırrın;
meslek, ticari, iş ve daha birçok özelliği içerisinde barındıracağı
görülmektedir. İş sırrıyla ifade edilen, iş ve işyeri ile ilgili her türlü
gizli bilgi olup; bu bilgiler iş ve işyerine ait, müşterilere, imalata,
ticarete, know-how gibi birçok bilgiye ilişkin olabilecektir.
Bu bağlamda görülecektir ki sırrın
olduğu bir ortamda veri sorumlusunun ve veri işleyenin sır saklama yükümlülüğü
doğacaktır. Hekimin sorumluluğu, vekilin sır saklama yükümlülüğü, bankaların
sır saklama yükümlülüğü ve işçi-işverenin sır saklama yükümlülüğü bu hususta
örnek olarak gösterilebilir.
Nitekim Avukatın sır saklama
yükümlülüğü, Avrupa Konseyi tarafından ihdas edilen Avukatlık Mesleğinin
İcrasındaki Özgürlükler Hakkındaki 9 Numaralı Tavsiye Kararı’nda da
düzenlenmiştir.
Öyle ki bu hususa ilişkin “Bir
avukatlık ortaklığı tarafından borçlu ilgili kişiye kısa mesaj gönderilmesi
suretiyle kişisel verilerinin işlenmesi” hakkında Kişisel Verileri Koruma
Kurulu’nun 22/03/2023 tarihli ve 2023/437 sayılı Kararı gereğince;
“Veri
sorumlusu olarak Avukatlık Ortaklığı tarafından Şirketten elde edilen kişisel
veriler hakkında ilgili kişiyle iletişime geçildiği ilk anda aydınlatma
yükümlülüğünün yerine getirilmemesi ve ayrıca çağrı merkezi vasıtasıyla yapılan
görüşme bağlamında ses kaydı hakkında ses kaydı gerçekleşmeden önce aydınlatma
yükümlülüğünün yerine getirilmemesi nedeniyle 6698 sayılı Kişisel Verilerin
Korunması Kanunu’nun (Kanun) 18’inci maddesinin birinci fıkrasının (a) bendi
uyarınca veri sorumlusu hakkında yaptırım uygulanması, Toplamda beş kez aynı
konu ve içerikle ilgili kişiye kısa mesaj gönderilmesi nedeniyle Kanunun
18’inci maddesinin birinci fıkrasının (b) bendi uyarınca veri sorumlusu
hakkında yaptırım uygulanması, Veri sorumlusunun “hukuka aykırı olarak elde edilen
veriler üzerinden vatandaşların kimlik ve iletişim bilgileri gibi kişisel
verilerin sorgulanmasına imkân tanıyan yazılım/program/uygulama” kullanıp
kullanmadığı hususunda denetim yapılması” talep
edildiğine ilişkin karar verilmiştir. Kararın devamında;
“İlgili
kişinin, veri sorumlusu nezdinde hukuka aykırı olarak elde edilen veriler
üzerinden vatandaşların kimlik ve iletişim bilgileri gibi kişisel verilerin
sorgulanmasına imkân tanıyan yazılım/program/uygulama kullanıp kullanmadığı
hususunda denetim yapılması talebine ilişkin olarak veri sorumlusunun cevabi
yazısında ilgili kişinin bu iddiasının reddedilmiş olduğu ve ilgili kişi
tarafından da iddiasını tevsik edici nitelikte herhangi bir bilgi, belge veya
kaydın Kuruma iletilmemiş olduğu dikkate alındığında bahse konu talep hakkında
Kanun kapsamında yapılacak bir işlem bulunmadığına”
şeklinde karar verilmiştir. Buna göre
şirketten elde edilen kişisel verilere ilişkin ilgili kişi ile ilk iletişime
geçildiği anda bilgi verilmemesi, aydınlatma yükümlülüğünü yerine
getirilmemesi, ses kaydının gerçekleşmeden önce aydınlatma yükümlülüğünün
yerine getirilmesi gibi sebeplerden cezalandırılmalarına sebebiyet vermiştir.
Yine aynı şekilde Avukatlık mesleğinin
kendi içerisinde getirdiği yükümlülüklerin ihlaline örnek teşkil edebilecek
kararlardan bir diğeri de İcra takibi dolayısıyla veri sorumlusu avukat
tarafından borçlunun borç bilgisinin oğlu ile paylaşılması ve kendisi ile borç
bilgisi paylaşılan borçlunun oğlunun telefon numarasının bu suretle hukuka
aykırı olarak işlenmesi” hakkındadır. Kişisel Verileri Koruma Kurulunun
01/12/2022 tarihli ve 2022/1281 sayılı kararı gereğince;
“Keşidecisinin
borçlu baba olduğu bono sebebiyle hakkında başlatılan ve kesinleşen icra takibi
neticesinde borçlunun adreslerindeki menkul ve gayrimenkulleri ile üçüncü
şahıslardaki hak ve alacaklarının haczi ve haczedilecek taşınır malların
muhafaza altına alınması talebiyle icra müdürlüğüne başvurulduğu ve bu talebin
kabul edildiği, Hukuk bürosunda çalışan bir avukat tarafından belirlenen tarihte
haciz ve muhafaza işlemlerinin gerçekleştirilmesi adına haciz mahalli olan
adrese gidilerek burada hazır bulunan borçlu ile oğluna haciz memuru tarafından
geliş sebebinin mahalde anlatıldığı, bu hususun haciz tutanakları ile de sabit
olduğu, Söz konusu işlemler sürerken borçlunun haciz mahallini terk ettiği,
sonrasında haciz mahallinde bulunan borçlunun oğlu tarafından “Ben borçlu
şirketin yetkilisiyim, borçlu benim misafirim olarak geldi, borçlunun şirketle
alâkası yoktur, haczedilen mallar şirkete aittir.” demek suretiyle istihkak
iddiasında bulunduğu, haczedilen malların yediemin sıfatıyla kendisine
bırakıldığı ve haciz tutanağının imzalandığı, Bu suretle borçlunun oğlunun
kişisel verilerinin haciz işleminin gerçekleştirildiği tarihte icra memuru tarafından
işlendiği, iddia edilenin aksine borçlunun borcu hakkında oğluna bilgi
verilmediği, iki tarafın da hâlihazırda konudan haberdar oldukları, İlgili
kişilerin veri sorumlusuna usulüne uygun başvuruda bulunmadıkları, borçlunun
başvurusunda yer alan vekaletnamede kişisel verilerin korunması çerçevesinde
veri sorumlusuna başvurulabilmesi için gerekli açık rızayı içeren özel bir
hükmün bulunmadığı, borçlunun oğlunun başvurusunun ise başvuruda bulunan vekil
ile vekaletnamede yer alan vekilin farklı olması nedeniyle usulsüz olduğu” ifade edilmiştir.
Bu karar, vekillerine belirli görev
atamalarında bulunan kişilerin yasal bir mecburiyetin bulunmadığı hallerde
kişisel verilere ilişkin özel yetki verilmesinin uygun olmadığı ve hukuka
aykırı eylemlere sebebiyet verebileceğine ilişkindir.
Bunun yanı sıra işçi-işveren arasındaki
sır saklama yükümlülüğüne örnek olabilecek nitelikteki Kişisel Verileri Koruma
Kurulu’nun 20/10/2022 tarihli ve 2022/1147 sayılı Kararı gereğince;
“İlgili
kişinin yer aldığı görüntülerin veri sorumlusunun arşivlerinde bulunmasının
hukuka uygun olacağı ancak iş akdinin sona ermesinden sonra da söz konusu
verilerin paylaşımına devam edilmesi suretiyle işlenmesinde Kanun kapsamında
geçerli bir işleme şartının mevcut olmadığı, öte yandan ilgili kişinin kargo
şirketleri nezdinde kayıtlı olan kişisel cep telefonu numarasının ve iş akdi
feshedilmeden öncesinde çalıştığı mağazadaki dijital ödeme sistemleri, çeşitli
evrak ve formlar içerisinde kayıtlı bulunan ve kendisini işlem yetkilisi olarak
gösteren kişisel verilerinin Kanun’un 4’üncü maddesinde yer alan Genel
İlkelerden “doğru ve gerektiğinde güncel olma” ilkesine aykırı şekilde
işlendiği, bu verilerin işlenmesinde veri sorumlusunca bir başka hukuki nedenin
de gösterilemediği görüldüğünden Kanun’un 12’nci maddesinin (1) numaralı
fıkrasında yer alan yükümlülüklerini yerine getirmediği anlaşılan veri
sorumlusu hakkında, ilgili kişinin hukuka aykırı olarak işlenen kimlik ve
iletişim bilgileri kullanılarak yapılan satış, kargo gönderimi gibi yasal
işlemlerin ilgili kişi üzerinde negatif sonuç doğurma riskinin yüksek olduğu
hususu dikkate alınarak, Kanun’un 18’inci maddesinin (1) numaralı fıkrasının
(b) bendi uyarınca 250.000 TL idarî para cezası uygulanmasına,”
şeklinde hüküm kurularak, ilgili kişinin kişisel verilerinin iş akdinin feshinden sonra işveren tarafından işlenmeye devam edilmesine ilişkin işçi lehine hükme varılmıştır.
J. Kişisel
Verileri Koruma Kurulu Tarafından Belirlenen Yeterli Önlemler
KVKK tarafından çeşitli önlemler alınsa
da özel nitelikli kişisel verilerin yeterli önlemlerin alınması gerektiğinden
ilk yapılması gereken kurum içi bir politika belirleyerek bu yönde
ilerlemektir.
Aynı şekilde kurum içi belirlenen
politika ile birlikte kurum içi çalışanlara gerekli eğitim verilerek kişisel
verilerin ihlali hususunda farkındalık yaratılması gerekmektedir. Hatta öyle ki
kişisel verilerin korunması hususunda hassasiyet sahibi olunan bazı kurumlarda
kurum ve çalışanlar arasında kurum içi gizlilik anlaşmasının dahi yapıldığı görülmektedir.
Özellikle kurumun bilgi sisteminde çalışacak, kritik görevlerde yer alacak
kişisel verilere erişme ihtimali olan tüm personellerin işbu gizlilik
sözleşmesine taraf olması gerekmektedir.
KVKK, veri sorumlusu nezdinde
bulundukları pozisyon veya görev itibariyle kişisel verilere erişime yetkisi
olanlar tarafından, yetkilerini aşarak ve işleme amacı dışında söz konusu
verilerin işledikleri konusunda kuruma gelen ihbarların değerlendirilmesi
sonucunda şu karara imza atmıştır:
“(…)
Bir veri sorumlusu nezdinde bulundukları pozisyon veya görev itibariyle kişisel
verilere erişme yetkisi olanlar tarafından, yetkileri aşmak ve/veya yetkilerini
kötüye kullanmak suretiyle, kişisel amaçlara veya nedenlere bağlı olarak işleme
amacı dışında söz konusu kişisel verilerin işlenmesi ve/veya bu verilerin
üçüncü kişilerle paylaşılması 6698 sayılı Kişisel Verilerin Korunması Kanununun
(Kanun) 12’nci maddesinin (1) numaralı fıkrasına aykırılık teşkil edeceğinden,
bu kapsamdaki eylemlerin önlenmesi amacıyla veri sorumlularınca uygun güvenlik
düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirin
alınması gerektiği hususunda veri sorumlularının bilgilendirilmesine, (…) oy
birliği ile karar verilmiştir.”
Nitekim bu karar neticelerini mevzuat
çalışmaları anlamında da göstermiş, Kişisel Sağlık Verileri Yönetmeliği’nin 5’inci
maddesine şu hüküm eklenmiştir:
“Sağlık
hizmeti sunucuları tarafından; banko, gişe ve masa gibi bölümlerde yetkisi
olmayan kişilerin yer almasını önleyecek ve aynı anda yakın konumda hizmet
alanların birbirlerine ait kişisel verileri duymalarını, görmelerini,
öğrenmelerini veya ele geçirmelerini engelleyecek nitelikte gerekli fiziki,
teknik ve idari tedbirler alınır.”
Bu hususların yanı sıra kurum içi
kişisel verilerin korunmasını ekseriyetle sağlamak adına yapılması gereken bir
diğer işlem görevleri sona eren veya değişikliğe uğrayan çalışanların
yetkilerinin kaldırılması yönünde olmalıdır.
Bu hususta Devlet Denetleme Kurulu,
bilgi sistemlerine yetkisiz erişimlerin önüne geçmek ve bu alanda oluşabilecek
güvenlik açıklarını en aza indirmek amacıyla şu hususların göz önünde
bulundurulması gerektiğini ifade etmiştir:
“Tüm çalışanlar, yükleniciler ve üçüncü taraf kullanıcıların işten ayrılma, uzun süreli ara verme, sözleşmelerin sonlandırılması durumları göz önünde bulundurularak, bu kişilerin erişim hakları dondurulmalı veya iptal edilmelidir(…) Tüm çalışanlar, yükleniciler ve üçüncü taraf kullanıcıların yetkilerinin düzenlenmesi için; personelin işe girme, işten ayrılma ve geçici işe ara verme işlemlerinde bilgi sistemlerindeki yetkilerinin alınması veya dondurulması ile ilgili süreç ve politika belirlenmelidir. Belirlenen bu politika masaüstü bilgisayarlar, kritik sunucu sistemleri, kurumsal uygulamalar gibi tüm bilgi sistemlerine uygulanmalıdır. Kurumların insan kaynakları birimleri ile bilgi işlem birimleri eşgüdüm halinde çalışmalı, personelin işten ayrılma, uzun süreli ara verme (askerlik, aylıksız izin, uzun süreli sağlık izni, doğum izni ve benzeri), sözleşmelerin sonlandırılması durumlarında otomatik olarak bu personele ait sisteme giriş yetkilerinin dondurulması veya kaldırılmasına yönelik mekanizma geliştirilmelidir.”
K. Elektronik
Ortamda İşlenen Özel Nitelikli Kişisel Verilerin İşlenmesinde Alınacak Önlemler
KVKK tarafından veri sorumlularınca
dikkate alınması gereken birçok çeşitli önlem bulunmaktadır. Bu önlemler bazen elektronik olurken
bazen de fiziksel olmalıdır. Öyle ki bazı hallerde kişilerin dijital
ortamlardaki verilerinin tutulması ve bunların güvenlik kontrollerinin
yapılması gerekmektedir. Bu noktada erişim yapılan verilere en az iki kademeli
kimlik doğrulama sistemi kullanılması belirlenmiştir.
Kriptografi, verileri şifrelemek ve
şifresini çözmek için matematiği kullanma bilimi olup dünya çapında veri
işlemede kriptografik yöntemlerin kullanılması, 2016/679 sayılı Tüzük’te de
uygun güvenlik önlemlerinden biri olarak sayılmış olup, bu yöntemler düşük
maliyeti olan yaygın önlemlerdir.
SONUÇ
Özel nitelikli kişisel verilere ilişkin
açık rıza aranmaksızın işlendiği haller makalemizde incelenmiştir. Bu hususa
ilişkin gerekli ilkeler, sınırlandırmalar ve koşullar belirtilmiştir. Her ne
kadar ilgilinin kişisel verisinin işlenmesindeki en genel ilke “açık rızanın
varlığı” unsuru olsa da bazı hallerde açık rızanın aranmadığı görülmüştür.
Bu minvalde veri sorumlularının sır
saklama yükümlülüğü, sınırları ve kontrolleri ele alınmıştır. İşbu sır saklama
yükümlülüğüne ilişkin farklı yükümlülüklerin doğduğu, bu yükümlülüklerin
tahdidi olmadığı ele alınmıştır. Bunun yanı sıra Kişisel Verileri Koruma Kurumu
bünyesinde verilen kurul kararları ile de işbu yükümlülüklerin ne boyutta
olduğu irdelenmiştir.
Her ne kadar ülkemizde hem iş hayatında
hem de gündelik hayatta kişisel verilerin korunmasına ilişkin birçok imkânsızlık,
zorluk ve bilinçsiz eylem ile karşı karşıya kalsak da her geçen gün Kişisel
Verilerin Korunması Kurumu tarafından verilen kurul kararları ve uluslararası
düzlemde gerçekleşen çalıştay ve kararlar neticesinde büyük ilerlemeler
kaydedilmektedir.
Av. Esra Nur
Kaya
Kaynakça:
1.
KVKK tarafından “Facebook nezdinde gerçekleşen veri ihlalinin
değerlendirilmesi” ile ilgili Kişisel Verileri Koruma Kurulunun 11.04.2019
tarih ve 2019/104 sayılı Kararı Özeti” başlığıyla duyurulan, 2019/104 sayılı, 11.4.2019 tarihli
kararın tam metni için bkz.: https://www.kvkk.gov.tr/Icerik/5450/2019-104
11 Mayıs 2019.
2.
Murat Volkan Dülger, Kişisel Verilerin Korunması Hukuku, İstanbul,
Hukuk Akademisi, 2019, (Dülger, Kişisel Veriler), s.37.
3.
Akdağ’a göre, Orwell’in 1984’ündeki sistem, sürekli fiilen gözetim altında
olan, hayatının her anı kontrol edilen, asla yalnız kalamayan ve farklı
düşünemeyen kişilere dayanmaktadır., bkz.: Akdağ, a.g.e., s.1;
Özdemir’e göre, George Orwell, yazmış olduğu eserinde kişiyi baskı altında
tutan, her an her saniye izleyen ve kendisine ait kişisel verileri kişisel olmaktan
çıkaran şeffaf bir insan modelinin yaratıldığı totaliter bir rejimi konu
almakta ve figüratif olarak yer alan “Büyük Birader” motifi günümüzde
telekomünikasyon araçlarının izlenmesinde bir deyim olarak
kullanılmaktadır, bkz.: Hayrunnisa Özdemir, “Elektronik Haberleşme Alanında
Kişisel Verilerin Özel Hukuk Hükümlerine Göre Korunması”, Doktora
Tezi, Ankara, 2009, (Özdemir, Elektronik Haberleşme), dpn.1;
Özdemir aynı zamanda kişiyi her an gözetleyen, ona özel bir alan bırakmayan
Büyük Birader sendromunun yaşadığımız döneme çok da uzak bir kavram olmadığını
ifade etmektedir, bkz.: Özdemir, Elektronik Haberleşme, s.1;
Küzeci’ye göre ise “1984 bir distopyadır. Ancak pek çok kişi burada
resmedilen dünyanın gerçeğe dönüşmesinden endişe etmektedir.”, bkz.: Küzeci, Kişisel
Veriler, s.43; Gür’e göre ise, “Bilgi mahremiyetinin tiranlık
karşısında istihkâm işlevi göreceği yönündeki yaygın inanç, George Orwell’ın
1984 isimli romanında dışa vurulmaktadır.”, bkz.: İkbal Gür, “Kişisel
Verilerin Korunması Hususunda AB ile ABD Arasında Çıkan Uyuşmazlıklar ve Çözüm
Yolları”, Yayımlanmamış Yüksek Lisans Tezi, Ankara, 2009, s.7.
4.
“Yunanca Pan (Bütün) ve optikon(gözlemlemek) kelimelerinin birleşim olan
panoptikon “her yeri gözleyebilen” anlamına gelmektedir. Michel Foucault’nun
tespit ettiği gibi modern iktidarın başlıca koşulu olan disiplin pratiklerinin
temeli bu şemaya dayanmaktadır. Ortadaki gözetim kulesinin çevresindeki birkaç
katlı tek kişilik hücrelerden oluşan bir halka üstüne kurulu bu şema, dış
pencerelerden sürekli olarak sızan güneş ışınlarıyla adeta ortadaki gözetim
kulesini görünmez, hücreyi ise aydınlık kılan yapısıyla mahkûmda sürekli olarak
gözetlenebilme ihtimalinden yola çıkarak bir “öz-disiplin” yaratmayı
amaçlamaktaydı. Mahkûm ne zaman izlendiğinin bilgisine asla vakıf olamadığından
zihninde sürekli olarak izlendiğine –izlenebilir olduğuna- dair bir düşünceyle
hareket eder.”, bkz.: Çağrı Usluer, “Panoptik - Sonrasi
Postmodern Akışkan Gözetim: Self-Panoptisizm”, (Çevrimiçi), https://www.academia.edu/7261350/Mesele-_89_Panoptik_-_Sonrasi_Postmodern_Akiskan_G%C3%B6zetim_Self-Panoptisizm
26 Eylül 2020, s.2; “Panoptikon modeli kişilerin toplum içinde ayırt edilmeme
hakkını ortadan kaldıran bir sistemdir.”, bkz.: Sabire Sanem Yılmaz, “Tıp
Alanında Kişisel Verilerin Hukuka Aykırı Olarak
Verilmesinin Ceza Hukuku Açısından Değerlendirilmesi (Sır Saklama
Yükümlülüğü Kapsamında)”, Yüksek Lisans Tezi, İstanbul, 2014, s.19;
“Panoptisizm ise, güç dengesizliği üzerine kurulu bir sistem olup, bu sistemde
kişiler sürekli gözetlenme riski altındadır, haklarında kim tarafından, ne
zaman, hangi bilgilerin toplandığını bilme olanakları yoktur. Bu da onları
fiilen gözetlenmeseler bile, sürekli gözetleniyorlarmış gibi yaşamaya iter.”,
bkz.: Akdağ, a.g.e., s. 1-2; Panoptikon esasında bir hapishane
sistemidir, daha ayrıntılı bilgi için bkz.: Mehmet Emin Artuk/ Mehmet Emin
Alşahin, “Hapis Cezalarının ve Cezaevlerinin Tarihi Gelişimi
(Historical Evolution Of Prison Sentences And Prisons)”, Marmara
Üniversitesi Hukuk Fakültesi Hukuk Araştırmaları Dergisi: Mehmet
Akif Aydın’a Armağan, C.XXI, No: 2, (Çevrimiçi),
http://dergipark.gov.tr/download/article-file/272845 26 Eylül 2020, s.145-185.
5.
Akdağ, a.g.e., s.2.; Aydın Akgül, “Kişisel Verilerin
Korunması Açısından İdarenin Hukuki Sorumluluğu ve Yargısal Denetimi”, Doktora
Tezi, Kocaeli, 2013, s. 28; Aksoy, a.g.e., s.4.
6.
Akdağ, a.g.e., s.2.
7.
10 Mart 2018 tarihli, 30356 sayılı Resmî Gazete’de KVKK tarafından yayımlanan
“Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar
Hakkında Tebliğ” m.5,
http://www.resmigazete.gov.tr/eskiler/2018/03/20180310-5.htm 10 Mart 2019.
8.
Türkiye Büyük Millet Meclisi (TBMM), “Kişisel Verilerin Korunması
Kanunu Tasarısı (1/541) ve Adalet Komisyonu Raporu”, (Çevrimiçi) https://www.tbmm.gov.tr/sirasayi/donem26/yil01/ss117.pdf
17 Ekim 2020, s.101.
9. Kişisel Verilerin Korunması Kurumu, Madde Ve Gerekçesi İle Kişisel Verilerin Korunması Kanunu (Bilgi Notu) Ve Kişisel Verilerin Korunmasına İlişkin Terimler Sözlüğü, Erişim: 10.07.2023, https://www.kvkk.gov.tr/Icerik/5388/Madde-ve-Gerekcesi-ile-Kisisel-Verilerin-Korunmasi-Kanunu-Bilgi-Notu-ve-Kisisel-Verilerin-Korunmasina-Iliskin-Terimler-Sozlugu
