6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 24.03.2016 tarihinde Resmi Gazete’de yayımlanarak yürürlüğe girmesiyle birlikte Kişisel Verileri Koruma Hukuku günlük hayatımızın birçok noktasında karşımıza çıkmaya başladı. Ülkemizde Kişisel Verileri Koruma Hukukunun birincil kaynağı niteliğinde olan 6698 sayılı Kanun ve bunun yanı sıra yönetmelikler, tebliğler ve Kişisel Verileri Koruma Kurulu’nun kararları bulunmakla birlikte, uygulamada hala birçok sorun yaşanmakta ve çok sayıda soruya yanıt aranmaktadır. Bunlar özellikle özel sektör bakımından ticari hayatın hukuka uygun işlemesi ama bir yandan da ticaretin engellenmemesi açısından hayati önemi haizdir.
İşte bu yazıda “KVKK uygulamasında ve uyum sürecinde ortaya çıkan sorunları” ele almaya ve aslında bu işle ilgilenen hemen hemen herkesin kafasında olan soruları yüksek sesle dile getirmeye çalışacağım.
Her şeyden önce belirtmeliyim ki, 6698 sayılı Kanun, 2016 yılında yürürlüğe girmiş olup uygulama açısından henüz tam oturmamıştır. Kanun’un eleştirildiği ve uygulama açısından yetersiz kaldığı birçok husus bulunmaktadır. Bu hususların bir kısmı Kurul kararlarıyla netleştirilmiş olsa da uygulama açısından halen giderilmesi gereken birçok eksiklik bulunmaktadır. Aşağıda tespit ettiğim sorunlara ana başlıklar çerçevesinde değinecek ve bazılarına getirilebildiğim çözüm önerilerini açıklayacağım. Ancak bunlar kesin çözümler olmayıp, bu konudaki tartışmaların başlaması için birer öneri niteliğindedir.
1. VERBİS Sicil Yönetmeliği Kapsamında Uygulamadaki Soru ve Sorunlar
VERBİS Sicil Yönetmeliği’nin 13. maddesinde “Veri sorumluları, sicilde kayıtlı bilgilerde değişiklik olması halinde meydana gelen değişiklikleri, VERBİS üzerinden yedi gün içerisinde Kurum’a bildirir.” düzenlemesi yer almaktadır. Buna göre veri sorumlusu sıfatını haiz kişilere veya kurumlara kayıtlarda değişiklik olması halinde söz konusu değişikliği 7 gün içerisinde Kurum’a bildirme yükümlülüğü getirilmiştir. Ancak buradaki 7 günlük sürenin hangi andan itibaren başlayacağı belirsizdir.
VERBİS Sicil Yönetmeliği’nde düzenlenen 7 günlük sürenin, değişiklik olduğunun öğrenilmesinden itibaren mi yoksa değişikliğin oluştuğu andan itibaren mi işlemeye başlayacağı söz konusu düzenlemede belirtilmemiştir. Uygulamada gördüğüm örneklere göre kişisel verilerdeki olası değişikliklerin her zaman hemen ve kolayca tespit edilmesi mümkün değildir. Değişikliğin tespit edilmesi halinde ise 7 günlük sürenin değişikliğin meydana geldiği anda başlatılması halinde ise Kurul’a bildirim için 7 günlük sürenin kısa olduğunu düşünmekteyim. Bu nedenle kişisel verilerin veri sorumlusu tarafından organizasyonel bir yapı içerisinde düzenli aralıklarla güncelliğinin, doğruluğunun kontrol edilmesi ve 7 günlük sürenin de bu kontroller sonucunda kişisel verideki değişikliğin tespit edilmesinden itibaren başlaması gerektiğini düşünmekteyim.
Bu husustaki değerlendirme, GDPR’da verilerin doğruluk ve güncelliğinin tespiti açısından yapılan değerlendirmeyle kıyas yapılarak geliştirebilir. GDPR, “Kişisel Verilerin Doğru ve Gerektiğinde Güncel Tutulma İlkesine” yer verdiği 5/1-d maddesinde, güncel olmayan verileri işlediğini anlayan veri sorumlusunun ne yapması gerektiği hususunu da açıklamıştır. Buna göre, veri sorumlusu aslında güncel olmayan hatalı verileri işlediğini herhangi şekilde anlarsa bu gibi verilerin, işleneceği amaçlarla ilgili olarak bir gecikmeye mahal vermeksizin silinmesini veya düzeltilmesini sağlamak için gerekli her türlü makul adımı atmalıdır.
GDPR’da bu kapsamda yapılan yorumu VERBİS Sicil Yönetmeliği ile getirilen 7 günlük sürenin başlangıç aşaması açısından da kıyas yoluyla değerlendirebiliriz. Buna göre veri sorumlusunun 7 günlük süre zarfında değişikliği Kurul’a bildirmesi; bir gecikmeye mahal vermeksizin silinmesini veya düzeltilmesini sağlamak için gerekli bir adım olarak değerlendirilip, 7 günlük sürenin başlangıcı olarak da veri sorumlusunun üzerinde değişiklik meydana gelen verileri işlediğini herhangi şekilde öğrenme anını esas alabiliriz.
Bununla birlikte veri sorumlusunun olumsuz sonuçlarla karşılaşmaması ve ilgili kişinin hak ihlali iddialarına maruz kalmaması için veri sorumlusunun organizasyonel bir yapıda verileri kontrol etmesi gerektiğini tekrar belirtmeliyim. Bu kapsamda yeni veri işleme süreçlerinin ortaya çıkması halinde nasıl hareket edileceğine, kimin hangi sürede nasıl bildirimde bulunacağına dair politikalar ve prosedürler oluşturulmalı, bu konuda görevlendirmeler yapılmalı ve bir ihlal durumunun olmaması için bu yapılanlar doğrultusunda ilgili kişilerin işlemde bulunması sağlanmalıdır.
2. Açık Rıza Alınırken Rıza Karşılığı Ek Avantajlar Sağlanabilir mi?
GDPR, Direktif ve 6698 sayılı Kanun’da açıkça belirtildiği üzere açık rıza beyanı ilgili kişinin özgür iradesinin ürünü olmalıdır. Özgür iradeyle açıklanmış olan bir beyan, kişinin kendi kararını özgürce verebilmesi ve bunu dışarıya özgür bir şekilde açıklayabilmesi anlamına gelir. Veri sorumlusunun “açık rıza verilmesi halinde hizmetin yerine getirileceği dayatması” yapması açık rızanın özgür iradeyle açıklanmış olma özelliğini zedelediği için bu şekilde alınan rızaların hukuka uygun olmadığı kabul edilmektedir. Ancak tam tersi yönde, söz konusu işlemin yerine getirilmesi hususunda bir dayatma olarak değil de kişinin açık rıza vermesiyle kendisine artı bir menfaat kazandırılacağı yönünde bir uygulamayla alınan açık rızanın geçerli olup olmadığı tartışmalıdır.
Kanaatimce rıza karşılığı ek avantaj getirilmesi kişinin özgür iradesini zedelemez. İşlemin gerçekleştirilmesi hususunda dayatmada bulunulması kişinin açık rıza vermezse yapmak istediği işin yapılmayacağını, söz konusu işlemin yapılması için kişisel verilerinin işlenmesine açık rıza vermesini zorunlu kılar niteliktedir. Bu nedenle kişinin özgür iradesinin ortadan kalkması sonucu doğmaktadır. Ancak ek avantaj getirilmesi söz konusu işlemi etkilememekte sadece kişinin rızasını almak üzere teşvik edilmesini sağlamaktadır. Veri sorumlusunun yerine getirdiği faaliyet çerçevesinde veri ilgilisini zorlamaya varmayacak derecede etkilemeye çalışması gibi durumların özgür iradeyi sakatlayan durumlar olarak algılanmaması gerektiğini düşünüyorum. Zira böyle bir kabulde özgür iradeyle açıklanmış olma kavramı çok geniş yorumlanmış ve ticaret faaliyetler de kötü etkilenmiş olacaktır. Üstelik yalnızca ticari faaliyet yürüten veri sorumlusu için değil bundan faydalanacak olan veri ilgilisi üzerinde de olumsuz etkilerinin olması mümkündür[2].
Bu soru en çok sadakat kart (loyalty card) özelinde gündeme gelmektedir. Ticaret şirketleri, müşterilerini kendilerine çekebilmek ve bağlı kalmalarını sağlamak için müşterilerinin bazı kişisel verilerini almakta ve bunun karşılığında müşterilerine indirim yaparak ya da çeşitli hediyeler vererek avantajlar sağlamaktadır. İşte tam da bu noktada yukarıda ifade etmiş olduğum görüş devreye girmektedir. Sadakat kartı çıkaran şirket, kişisel verilerini vermek ve kartı almak istemeyen müşterilerine ürün ya da hizmet satmaktan kaçınmamakta, yalnızca bunlara avantaj sağlamamaktadır. Dolayısıyla aslında burada iradenin etkilenmesi değil, karşılıklı bir sözleşme söz konusudur ve bu sözleşmenin ifası gereği karşılıklı edimler yerine getirilmektedir. Bence burada dikkat edilmesi gereken husus, müşteriye dilediği zaman bu sözleşmeyi kolayca sona erdirme hakkının verilmesi ve bu irade beyanı gerçekleştiğinde veri sorumlusunun müşterinin bu kapsamda alınan kişisel verilerini gerçekten silmesidir.
3. 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun ve 6698 sayılı Kişisel Verilerin Korunması Kanun’u Arasındaki Eksikler ve Çelişkiler
2015 yılında yürürlüğe giren 6563 sayılı Elektronik Ticaret Kanunu ile 6698 sayılı Kanun arasında Kişisel Verilerin Korunması Hukuku açısından birtakım çelişkiler bulunmaktadır. Bu çelişkiler başlıca şunlardır:
- 6563 sayılı Elektronik Ticaret Kanunu esas itibariyle kişisel verilerin aktarılması ve işlenmesi hususunda zımni rızayı kabul etmektedir. Ancak 6698 sayılı Kanun ve GDPR’daki düzenlemelerde açıkça belirtildiği üzere Kişisel Verilerin Korunması Hukuku açısından zımni rıza söz konusu olamaz. Bu durumda ülkemizdeki uygulama açısından Elektronik Ticaret Kanunu kapsamında alınan kişisel veriler için zımni rızanın geçerli olup olmayacağına yönelik bir soru işareti oluşmaktadır. Bu konudaki görüşüm Elektronik Ticaret Kanunu kapsamında işlenen kişisel veriler için 6563 sayılı Elektronik Ticaret Kanunu’nun uygulanması yönündedir. Bu görüşümün iki gerekçesi bulunmaktadır.
Bunlardan ilki kanunların uygulanması bakımından temel bir kural olan genel kanun – özel kanun çatışmasında özel kanunların uygulanacağına yönelik kuraldır. Bu kurala göre; bir hususa ilişkin olarak genel kanundaki bir düzenleme ile özel kanundaki bir düzenleme çatışıyorsa genel kanun değil özel kanun uygulama alanı bulur. Bizim değerlendirmemiz açısından ise 6698 sayılı Kişisel Verilerin Korunması Kanunu genel kanun niteliğinde olup 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun ise özel kanun niteliğindedir. Bu nedenle iki düzenleme arasında çatışma olması durumunda 6563 sayılı Kanun kapsamında işlenen kişisel veriler için 6563 sayılı Kanun uygulanmalıdır.
İkincisi ise, 6698 sayılı Kanunun 6. maddesinin 3. fıkrasında ve 5. maddesinin 2. fıkrasının (a) bendinde “Kanun’da Öngörülmüş Olma” kişisel verilerin işlenmesine ilişkin hukuka uygunluk nedenleri arasında düzenlenmiştir. Bu açıdan bakıldığında Elektronik Ticaret kapsamında işlenen kişisel veriler için 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun’da açıkça bir düzenleme bulunmaktadır. Bu nedenle bu kanun kapsamında işlenen veriler için 6698 sayılı Kanunun 6. maddesinin 3. fıkrasına ve 5. maddesinin 2. fıkrasının (a) bendine giren hallerde istisna söz konusu olup bu hallerde açık rıza alınmaması gerekir.
Ancak söz konusu yorum özel nitelikli kişisel veriler açısından, 6. maddenin 3. fıkrası dışında kalan haller için işe yaramayacak olup bu tür veriler için her durumda açık rıza alınması gerekir.
- Yukarıda 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun’da Elektronik Ortamda alınan kişisel verilerin işlenebilmesi için onay alınması gerektiğinden bahsetmiştik. Buna ek olarak söz konusu kanundaki bir başka düzenlemeyle veri sorumlusuna, kişi istenilen onaya ret cevabını vermiş olsa bile, yılda iki kere ilgili kişiye onaylayıp onaylamadığını sorma hakkı verilmiştir. 6563 sayılı Kanun’da böyle bir düzenleme getirilmiş olmasına rağmen bu konuyla ilgili 6698 sayılı Kanun’da bir sınırlama bulunmamaktadır. Bu hususla ilgili 6698 sayılı Kanun ile bir sınırlama getirilmelidir. Aksi taktirde ilgili kişilerle onay olmak amacıyla çok sık aralıklarla iletişime geçilmesi söz konusu olabilir.
Bu şekilde alınacak olan rızanın hukuka uygunluğu ise ayrı bir tartışma konusudur. İlgili kişilerden her gün telefon, e-mail vb. yollarla iletişime geçilerek rıza alınması kişinin özgür iradesinin ürünü olması gereken açık rızayı hukuka aykırı hale getirecektir. Bu nedenle bu hakkın kullanılmasına bir sınırlama getirilmelidir.
- Ayrıca 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun kapsamında yapılacak bilgilendirme ile 6698 sayılı Kanun kapsamında yapılacak aydınlatma birlikte yapılabilir mi? Bilgilendirme metni aydınlatma metnini de kapsayabilir mi yoksa ayrı ayrı mı yapılmaları gerekmektedir? Uygulamada birçok soru işareti ve tereddüde yol açan bu soruya da bir açıklama getirilmesi gerekir.
Bu kapsamda Kişisel Verilerin Korunması Kurumu tarafından 10 Mart 2018 tarihinde yayınlanan “Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ”in 5. maddesinin 1. fıkrasının “f” bendi uyarınca aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerekir. Söz konusu sorun bu tebliğ kapsamında değerlendirildiğinde Elektronik Ticaretin Düzenlenmesi Hakkında Kanun kapsamında yapılacak bilgilendirme işleminin de ayrıca yapılması gerektiğini düşünmekteyim. Ancak bu ikisinin birlikte tek metinde yapılabilmesinin daha kolay ve işlevsel bir yöntem olduğunu da belirtmeliyim.
Kanaatimce, söz konusu iki kanun arasında yukarıda belirtmiş olduğumuz çelişkiler ve soru işaretlerinin giderilmesi ve bu hususlarla ilgili olarak Kurul ve Ticaret Bakanlığı’nın ortak bir tebliğ yayınlaması yerinde ve faydalı olur.