6698 sayılı Kanun ve konuya ilişkin diğer mevzuatta kendisine verilen görev ve yetkilerini yerine getirmek ve kullanmakla görevli olan Kişisel Verileri Koruma Kurulu, bu doğrultuda kişisel verilerle ilgili haklarının ihlal edildiğini ileri sürenlerin şikayetlerini karara bağlamakla da yetkilidir. Kurul, ayrıca şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen görev alanına giren konularda kişisel verilerin hukuka uygun olarak işlenip işlenmediğini inceleyecek ve gerektiğinde de bu konuda önlemler alacaktır.
Kanun’un yürürlüğe girmesi ve konuya ilişkin diğer hukuki düzenlemelerin oluşturulmasıyla kişisel verilerin korunması hukukuna ilişkin genel bir çerçevenin çizilmesinin ardından Kurul, bu görev ve yetkilerine dayanarak konuya ilişkin olarak somut olayları karara bağlamakta ve bunlardan gerekli gördüğünü kamuoyu ile özet biçiminde paylaşmaktadır. Bu yazının konusunu da Kurul’un son olarak 3 Nisan 2019 tarihinde yayınlamış olduğu farklı tarihlere ait kararları oluşturmaktadır. Kararları, özellikle somut olaydaki soru ve sorunlar ile Kurulun buna karşı bakış açısı bağlamında ele alacak, son olarak görüş ve önerilerimle değerlendirilip sonuçlandıracağım.
1. Kişisel Verileri Koruma Kurulunun 3 Nisan Tarihinde Yayınlamış Olduğu Karar Özetleri
a. Aydınlatma yükümlülüğü ve açık rıza alma süreçleri ile ilgili 26/07/2018 tarihli ve 2018/90 sayılı Karar
Aydınlatma yükümlülüğü ve açık rıza alma süreçlerine ilişkin karara konu olan veri sorumlusu şirketleri topluluğu, online platformda iş başvurusu almakta ve iş başvurusunda bulunurken üyelik kaydı yapılmasını zorunlu tutmaktadır. Ancak iş başvurusunda bulunacak olan veri sahibi, bu üyelik kaydını yaptığı sırada tek kutucuğu işaretlemesi yoluyla hem aydınlatma metnini okumuş olduğunu belirtmekte hem de kişisel verilerin işlenmesi hususunda açık rıza vermektedir.
Bu noktada aslında karara konu olan aydınlatma yükümlülüğü ve açık rıza alma süreçlerinin birlikte gerçekleştirilmesi hususundan önce başvuru yapabilmek için üyelik kaydının zorunlu tutulmasına değinmek istiyorum. Online bir platformda herhangi bir işlem yapabilmek için üyelik kaydının zorunlu tutulmasını doğrudan hukuka aykırı olarak nitelendirememekle birlikte bu durumun çeşitli hallere özgü olarak tehlikeli olabileceğini düşünüyorum. Örneğin, bir mağazanın online sitesinden bir ürün alacağımızı düşünelim: Bu mağaza, bizim çok sık alışveriş yapmadığımız, yalnızca söz konusu ürüne özgü olarak uğradığımız bir yer olabilir. Bu durumda, o alışverişi gerçekleştirebilmek için üye olup daha fazla bilgi vermektense, üye olmadan da o ürünü satın alabilmek ve yalnızca siparişin gerçekleştirebilmesi için gerekli iletişim ve adres bilgilerini vermek isteriz. Nitekim aksi durumda gerçekleştirilmek istenen amaç için gerekli ve bu amaçla sınırlı olmayan kişisel verilerin alınması ve işlenmesinden söz edilir, ki bu da kişisel verilerin korunması hukukunun temel ilkelerine aykırıdır. Dolayısıyla üyelik kaydının zorunlu tutulması her durumda olmasa bile veri ilgilisi aleyhine sonuçlar doğurabilme olasılığı barındırır.
Bu nedenle bana göre yapılması gereken, veri ilgilisine söz konusu web sitesine üye olma aşamalarının yanı sıra “üye olmadan devam et” şeklinde ayrıca bir seçeneğin sunulmasıdır. Böylece veri ilgilisi belki de bir daha ziyaretçisi olmayacağını düşündüğü bir web sitesine üye olmak durumunda bırakılmayacaktır. Nitekim özellikle konuya ilişkin mevzuatın oluşturması, kişisel verilerin korunmasına ve gizliliğe verilen önemin artması ve konuyla ilgili farkındalığın oluşmasıyla birlikte, online platformların üye olmadan da çeşitli işlemlerin gerçekleştirilebilmesini sağladığı görülmektedir. Ancak belirtmeliyim ki, bu husus karara konu olan hukuka aykırılıktan farklı olup yalnızca dikkat edilmesi gerektiğini düşündüğüm bir parçasıdır.
Buna karşılık, Kurul, aydınlatma yükümlülüğü ve açık rıza alma süreçlerinin bir arada gerçekleştirilmesine ilişkin aşağıdaki hususlara değinmiştir:
- Aydınlatma yükümlülüğü ve açık rızanın alınması işlemleri ayrı ayrı yerine getirilmelidir!
Veri sorumlusu ve onun yetkilendirdiği kişilerce yerine getirilmesi gereken aydınlatma yükümlülüğü kapsamında uyulacak usul ve esaslar 10 Mart 2018 tarihli ve 30356 sayılı Resmi Gazete’de yayımlanarak yürürlüğe giren “Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ” ile belirlenmiştir[1]. Tebliğ’in “Usul ve esaslar” başlıklı 5. maddesiyle bu yükümlülüğün yerine getirilmesi sırasında uyulması gereken hususlar Kanun’a ek ve daha geniş bir şekilde düzenlenmiştir.
Buna göre kişisel veri işleme faaliyetinin veri sahibinin açık rızasına dayanılarak gerçekleştirildiği hallerde aydınlatma yükümlülüğü ile açık rıza alınması işlemleri ayrı ayrı yerine getirilmelidir. Bu hükümle, ilk olarak veri sahibinin açık rızasına dayanılarak gerçekleştirilecek işleme faaliyetlerinde dahi aydınlatma yükümlülüğünün vazgeçilemez bir zorunluluk olduğu anlaşılır. Veri sorumlusu, Kanun’da belirtilen diğer işleme şartlarından herhangi birine dayanmadığı ve veri sahibinin açık rızasına ihtiyaç duyduğu hallerde de aydınlatma yükümlülüğünü şüphesiz yerine getirmelidir. Tebliğ, bu noktada daha da ileri giderek veri sahibini aydınlatma ve veri sahibinden açık rıza alma işlemlerinin de ayrı ayrı yerine getirilmesini hüküm altına almıştır. Öyleyse veri sorumlusu, veri sahibinin açık rızasına dayanarak gerçekleştirdiği kişisel veri işleme faaliyetlerinde de, hem aydınlatma yükümlülüğünün devam ettiği hem de bu yükümlülüğü açık rıza alma işleminden bağımsız olarak yerine getirmesi gerektiği noktalarında dikkatli olmalıdır.
- Aydınlatma yükümlülüğünün yerine getirilmesi herhangi bir onaya tabi değildir.
Bu husus, aydınlatma yükümlülüğünün usul ve amaçlarıyla ilgilidir. Şöyle ki, veri sorumlusunun, veri sahibinin, söz konusu kişisel veri işleme faaliyetine ilişkin olarak bilgilendirme yapması ve aydınlatması noktasında herhangi bir tereddüt yoktur. Bu aydınlatma, usul, şekil, kullanılan araç, yapıldığı zaman bakımından mevzuata uygun ve Tebliğ ile belirlenen asgari hususları içerecek şekilde yapılacaktır. Ancak veri sorumlusunun aydınlatması neticesinde veri sahibinin “ben bu konuya ilişkin olarak bilgilendirildim” veya “aydınlatıldım” şeklinde onay vermesi gibi bir zorunluluk öngörülmemiştir. Dolayısıyla veri sahibinin onayı, aydınlatma yükümlülüğünün bir koşulu değildir. Zira aydınlatma yükümlülüğü usul ve amaç olarak açık rızadan farklıdır. Açık rıza alınması, kişisel verilerin işlenmesi faaliyetinin hukuki bir gerekçeye dayandırılması amacına hizmet ederken; aydınlatma yükümlülüğü veri sahibinin işleme faaliyeti hakkında bilgilendirilmesini temin eder.
Peki öngörülmemiş olan bu koşulun veri sorumlusu tarafından yerine getirilmesi herhangi bir sakınca barındırır mı? Asıl sakınca, bu onayın açık rıza ile beraber de alınıyor olması mıdır? Kurul, yayınlamış olduğu karar özetinde aydınlatma yükümlülüğünün yerine getirilmesinin veri sahibinin onayına tabi olmadığını belirtmiş olmakla birlikte, bunun sakıncalarına tam olarak değinmemiştir.
Kanaatimce bu noktada doğabilecek olan tehlike, yanlış bir algının oluşabileceği ile ilgilidir. Belirtilmelidir ki, veri sahibinin bilgilendirilmiş olduğunu beyan etmesi, hiçbir şekilde aydınlatma yükümlülüğünün yerine getirildiği anlamına gelmez. Zira veri sorumlusunun bilgilendirmesi, Kanun ve Tebliğ hükümlerine uygun olarak yapılmadığı takdirde veri sorumlusunun onayı, hukuka aykırı olarak yapılan bilgilendirmeyi hukuka uygun hale getirmeyecektir, başka bir deyişle veri sahibinin bilgilendirildiğini ifade etmesi aydınlatma yükümlülüğünün yerine getirilip getirilmediği noktasında bir anlam ifade etmez.
Nasıl ki, veri sahibinin bilgilendirilmiş olduğunu beyan etmesi, aydınlatma yükümlülüğünün yerine getirildiği anlamına gelmiyorsa, bilgilendirilmemiş olduğunu iddia etmesi de tek başına bu yükümlülüğün yerine getirilmediği anlamını taşımaz. Ancak veri sorumluları unutmamalıdır ki, aydınlatma yükümlülüğüne ilişkin hükümler bu yükümlülüğün asgari hususlarını belirtir. Öyleyse veri sahibinin açıklığa kavuşturulmasını istediği noktalarda, bu yükümlülük devam eder.
Dolayısıyla bu noktada veri sahibi lehine bir yanlış algının engellenmek istendiği sonucuna ulaşılabilir. İşte bunun için de veri sorumlusu, mevzuatta bir koşul olarak öngörülmemiş olan “aydınlatma sonunda veri sahibinin onayının alınması” gibi bir geri bildirimi açık rızanın verildiği beyandan ayrı olarak almalıdır. Zira veri sahibi aydınlatma metninde yazan hususlara onay vermek zorunda değildir.
Bu noktada önemle belirtmeliyim ki, geri bildirimin alınıp alınmaması gerektiği sorusu akıllara gelebilir. Aydınlatma yükümlülüğünün yerine getirilmiş olduğunun ispati veri sorumlusuna ait olduğundan böyle bir bildirimin alınması faydalı olacaktır. Buradaki temel sorun, geri bildirimin kişisel verilerin işlenmesine ilişkin açık rıza verilmesi beyanıyla birlikte alınmasıdır; bilgilendirmeye ilişkin onay veya geri bildirimin, mutlaka açık rıza beyanından ayrı olarak alınması gerekir.
Kurul, bu hususları bir arada değerlendirerek her iki mekanizmanın ayrıştırılması hususunda veri sorumlusunun talimatlandırılmasına karar vermiştir.
b. Kimliği belirsiz kişilerin veri sorumlusu olarak kabul edilemeyeceği hakkında 13/09/2018 tarihli ve 2018/106 sayılı Karar
Karara konu olan somut olayda, ilgili kişinin görevi nedeniyle imzalamış olduğu evrak, hukuka aykırı bir şekilde elde edilerek kimliği belirsiz kişi veya kişilerce internet ortamında paylaşılmıştır. Öte yandan aynı kullanıcı ismiyle şikayetçinin isim ve soy isminin baş harflerine yer verilerek hakkında iftira içerikli metinlere yer verilmiştir. Veri ilgilisi bunun üzerine Kuruma başvurmuştur.
Bu noktada temel sorun, somut olaya konu olan fiilin hukuka aykırı olup olmadığından ziyade Kuruma yapılan başvurunun niteliği, daha açık bir ifadeyle konunun hangi hukuk dalının problemini oluşturduğudur. Zira fiilin hukuka aykırı noktasında bir tereddüt yoktur. Ancak kimliği belirsiz bir kişinin veri sorumlusu olarak kabul edilmesi mümkün müdür? Veri sorumlusu olarak kabul edilmediği takdirde söz konusu fiil, kişisel verilerin korunması hukukunun, dolayısıyla da Kuruma yapılan başvuruların konusunu oluşturabilir mi?
Bunun için aşağıdaki hususlara bakmak gerekir:
Kanun, bir tarafta kişisel verileri işlenen gerçek kişileri kapsamı altına alırken; diğer taraftan veri sorumlusunu kapsar. Veri sorumlusu kavramı ise bu verileri “tamamen veya kısmen otomatik olan” veya “herhangi bir kayıt sisteminin parçası olmak kaydıyla otomatik olmayan” yollarla işleyen gerçek ve tüzel kişileri kapsar.
- Veri sorumlusu kavramının tanımı
Veri sorumlusu, bir kişisel veri işleme faaliyetinde, işleme amaç ve araçlarını belirleyen ve veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder. Daha açık bir ifadeyle bir veri sorumlusu, hangi amaçlara özgü olarak hangi verilerin işlenebileceğini ve bu işleme faaliyetinin nasıl ve ne şekilde gerçekleştirileceğini belirler. Bu belirlemeyi elbette ki konuya ilişkin mevzuata uygun ve uyumlu bir şekilde yapar. Ancak altını çizmeliyim ki, burada zaten olması ve yapılması gereken bir işleme faaliyeti söz konusudur.
Bu açıklamalardan kimliği belirsiz bir kişinin 6698 sayılı Kanun anlamında veri sorumlusu olarak tanımlanamayacağı ve dolayısıyla kimliği belirsiz bir kişinin Kanun ve Kuruma yapılan başvuruların konusu olamayacağı sonucuna ulaşılır.
- Türk Ceza Kanunu açısından olayın değerlendirilmesi
Kimliği belirsiz bir kişinin veri sorumlusu sıfatını taşımaması sebebiyle gerçekleştirdiği bir fiil, hukuka aykırı olsa dahi 6698 sayılı Kanun’un konusunu oluşturmayacaktır. Bununla birlikte TCK açısından bu suç olma niteliğini korumaktadır. Suçun işlendiği yer Cumhuriyet savcılığına yapılacak şikâyet sonucunda bir soruşturma başlatılacaktır. Bu soruşturma esnasında eylemi gerçekleştiren kişiler belirlenebildiğinde, veriyi kendileri için işliyorlarsa bu kişiler, veriyi bir tüzel kişilik ya da üçüncü kişi adına işliyorlarsa söz konusu kişiler veri sorumlusu kabul edilecektir. İşte bu durumda hem eylemi gerçekleştirenler açısından bir kamu davasının açılması ve şartları oluşmuşsa bir mahkûmiyet hem de veri sorumlusu belirlenmiş olduğu için KVK Kurulu tarafından idari bir yaptırım uygulanması söz konusu olacaktır.
Bu karardan çıkan sonuç, KVK Kurulu’nun avcılık ya da ceza mahkemesi gibi soruşturma yapma olanağının olmadığıdır. Dolayısıyla kimliği belirlenemeyen bir veri sorumlusu hakkında işlem yapması mümkün olmadığı gibi bunu araştırıp bulmak gibi bir imkânı da bulunmamaktadır. Buna göre KVK Kurulu’na başvuru yapılacağı zaman adeta bir özel hukuk uyuşmazlığında olduğu gibi, şikâyette bulunanların veri sorumlusu ve/veya veri işleyenin kimliğini açıkça göstermeleri gerekir.
c. Kurul kararının gereğinin süresi içinde yerine getirilmemesi hakkında 16/10/2018 tarihli ve 2018/118 sayılı Karar özeti
Kararın esas konusunu daha önceki bir tarihte verilen Kurul kararının yerine getirilmemesi oluşturmaktadır. Buna göre ilgili kişi, veri kayıt sisteminde mevcut bulunan kişisel verilerinin silinmesi amacıyla veri sorumlusuna başvuru yapmış ve tatminkâr bir cevap alamamıştır. Bunun üzerine konuyla ilgili Kuruma başvuran ilgili kişi, Kurul tarafından alınan kararın da veri sorumlusu tarafından yerine getirilmemesi nedeniyle şikayetçi olmuştur.
Bir önceki verilen Kurul kararı veri sorumlusunun şu hususlarda talimatlandırılmasına ilişkindir:
- Veri sorumlusu nezdinde bulunan kişisel verilerin asgari saklama süresi tamamlanmış olanların “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik” gereğince ilk periyodik imha işleminde, kalanların da yasal saklama yükümlülüğün dolmasını takiben yapılan periyodik imha işlemi dönemlerinde silinmesi,
- Bu silme işlemleri hakkında şikayetçiye bilgi verilmesi ve,
- Söz konusu kişisel verilerin saklama amacı dışında işlenmemesi.
Söz konusu Kurul kararı 02.07.2018 tarihinde veri sorumlusuna tebliğ edilmiştir.
Bu kararın gereklerinin yerine getirilmemesi gerekçesiyle yapılan başvuruda ise tespit edilen hukuka aykırılıklar şu şekildedir:
- Kurul kararı en geç otuz gün içinde yerine getirilmelidir!
6698 sayılı Kanun’un “Şikayet üzerine veya resen incelemenin usul ve esasları” başlıklı 15. maddesinin 5. fıkrasına göre; Kurul, şikayet üzerine veya resen yaptığı bir inceleme sonucunda ihlalin varlığına kanaat getirmesi halinde, tespit ettiği hukuka aykırılıkların veri sorumlusu tarafından giderilmesine karar vererek ilgililere tebliğ eder. Bu kararın gerekleri, tebliğinden itibaren gecikmeksizin ve en geç otuz gün içinde ilgili veri sorumlusu tarafından yerine getirilmelidir.
Dolayısıyla Kanun, veri sorumlusuna, hakkında verilen bir ihlal kararının gereklerini yerine getirmesi için azami otuz günlük bir süre tanımıştır. Bu süre üst sınır olmakla birlikte otuz günden önce yapılan her uygulamanın da hukuka uygun sayılmayacağını belirtmeliyim. Zira madde hükmünde “gecikmeksizin ve en geç otuz gün içinde” ibaresi kullanılmıştır. Buna göre veri sorumlusu hakkında verilen bir ihlal kararı üzerine bu kararın gereklerini hem otuz gün içinde yerine getirmeli hem de gecikmiş olmamalıdır. Öyleyse, örneğin, on beş gün içinde yerine getirilen bir karar hakkında da, somut olayın özelliklerine göre veri sorumlusunun kararı yerine getirmekte gecikmiş olduğu gerekçesiyle, gereği gibi yerine getirilmediği sonucuna ulaşılabilir. Veri sorumlularının bu açıdan büyük bir dikkat ve özen göstermeleri gerekir.
Mevcut olayda ise Kurul’un yukarıda belirtilen talimatları içeren kararını, 02.07.2018 tarihinde veri sorumlusuna tebliğ ettiği; ancak veri sorumlusunun Kurul kararı kapsamında 16.08.2018 tarihinde şikayetçiye bilgi verdiği ve bu hususun da 17.08.2018 tarihli yazı ile Kurula bildirildiği tespit edilmiştir. Dolayısıyla ilgili mevzuat gereğince hakkında verilen ihlal kararının gereklerini en geç 01.08.2018 tarihinde yerine getirmesi gereken veri sorumlusu, bu süreyi aşmış ve kararı hukuka uygun olarak yerine getirememiştir.
Kanun’un “Kabahatler” başlıklı 18. maddesinin 1-c bendiyle, Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası verileceği hüküm altına alınmıştır.
- Veri sorumlusu, Kurul kararı üzerine şikayetçiye yapacağı bildirimde, söz konusu karara uygun ve kararla uyumlu olarak gerekli ve yeterli açıklamada bulunmalıdır.
Kurul, kendisine yapılan başvuru neticesinde yukarıda belirtildiği gibi periyodik imha işlemleri, bu imha işlemlerine ilişkin şikayetçiye bilgi verilmesi ve verilerin saklama amacına uygun olarak işlenmesi hususlarında talimat kararı vermiştir. Ancak veri sorumlusu şikayetçiye zaten süresinden sonra yaptığı bildirimde, kararın bu hükümlerine ilişkin herhangi bir açıklamada bulunmamıştır. Oysaki veri sorumlusunun hakkında ihlal kararı verilmiş olan hususlarda ilgili kişiyi detaylı olarak bilgilendirmesi ve ihlale neden olan uygulamalarından vazgeçmesi beklenir. Ancak somut olayda veri sorumlusunun şikayetçiye yaptığı bildirim, Kurulun talimat kararı vermiş olduğu hususlarda herhangi bir açıklamaya yer vermeyerek sembolik bir bildirimden öteye gidememiştir. Dolayısıyla veri sorumlusunun hem zaman hem de esas bakımından kararı gereği gibi yerine getirmediği söylenebilir.