Kişisel Verileri Koruma Kurulunun 3 Nisan 2019 Tarihli Karar Özetlerine İlişkin Değerlendirme (original) (raw)
Related papers
Kişisel verilerin korunması hakkı yasal düzenlemelere konu olması ve konuya ilişkin özel kanunların öngörülmesiyle günümüzde yeni bir hukuk dalı olarak kabul edilmektedir. Ancak bu hukuk dalı henüz kapsam, içerik ve özellikle uygulanma biçimi bakımından belirsizlikler içermektedir. Bu belirsizliklerin giderilebilmesi ve tam anlamıyla bir kişisel verilerin korunması hukukunun oluştuğunun kabul edilebilmesi için ise konuya ilişkin uyuşmazlıkların yargı makamlarının önüne gelerek içtihatların oluşması ve verilerin korunması amacıyla görevlendirilen kuruluşların açıklama ve kararlarda bulunarak bunları kamuoyuyla paylaşması gerekir. Bu bağlamda, mevzuat ile öngörülmüş ve konuyla ilgili olarak görevlendirilmiş olan Kişisel Verileri Koruma Kurulu'nun yayınları, konunun anlaşılması üzerine oluşturdukları rehberleri, tebliğleri ve bilhassa kararları büyük önem arz etmektedir. Veri sorumlularının hangi noktalara dikkat ederek hassasiyetle yaklaşması gerektiği, ihlallerin hangi konularda yoğunlaştığı ve somut olay açısından ihlal değerlendirmesinin nasıl ve neye göre yapılacağı bu kararların değerlendirilmesiyle anlaşılabilecektir. Kurul da önüne gelen somut olaylara ilişkin vermiş olduğu kararlardan sekiz tanesinin özetini bu düşünce doğrultusunda 20 Nisan 2018 tarihinde yayınlamıştı. Bundan sonra vermiş olduğu kararlardan bazılarını 3 Ağustos 2018 tarihinde ikinci kez kamuoyuyla paylaşarak konuyla ilgili akıllara gelen soruları belli ölçüde cevaplandırmak istemiştir. İlk olarak belirtmeliyim ki, önceki yayınlanan kararlardan farklı konuların yer aldığı ve veri güvenliği ihlallerinin farklı açılardan ele alındığı kararların yayınlanmış olması yerinde olmuştur. Böylece özellikle konunun ilgilileri ve Kanun'un getirdiği yükümlülüklere uyumlu hale gelmek zorunda olan veri sorumluları ve veri işleyenler açısından yol gösterici kararlara yenileri eklenmiştir.
Kişisel Verileri Koruma Kurulunun 17 Temmuz 2019 Tarihli Karar Özetlerine İlişkin Değerlendirme
6698 sayılı Kanun ve konuya ilişkin diğer mevzuatta kendisine verilen görev ve yetkilerini yerine getirmek ve kullanmakla görevli olan Kişisel Verileri Koruma Kurulu, bu doğrultuda kişisel verilerle ilgili haklarının ihlal edildiğini ileri sürenlerin şikayetlerini karara bağlamakla da yetkilidir. Kurul, ayrıca şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen görev alanına giren konularda kişisel verilerin hukuka uygun olarak işlenip işlenmediğini inceleyecek ve gerektiğinde de bu konuda önlemler alacaktır. Kanun'un yürürlüğe girmesi ve konuya ilişkin diğer hukuki düzenlemelerin oluşturulmasıyla kişisel verilerin korunması hukukuna ilişkin genel bir çerçevenin çizilmesinin ardından Kurul, bu görev ve yetkilerine dayanarak konuya ilişkin olarak somut olayları karara bağlamakta ve bunlardan gerekli gördüğünü kamuoyu ile özet biçiminde paylaşmaktadır. Bu yazının konusunu da Kurul'un 17 Temmuz 2019 tarihinde yayınlamış olduğu farklı tarihlere ait kararları oluşturmaktadır. Kararları, özellikle somut olaydaki soru ve sorunlar ile Kurulun buna karşı bakış açısı bağlamında ele alacak, son olarak görüş ve önerilerimle değerlendirilip sonuçlandıracağım.
2020
Kişisel Verilerin Korunması Kurulu 15.04.2020 tarihinde daha önce yayımladığı kararlarla benzerlik gösteren iki karar yayımladı. Kararların değerlendirmelerine geçmeden önce belirtmek isteriz ki gerçekten kişisel verilerin korunması hukukuna hakim olunmak isteniyorsa, benzerliklerinden dolayı kararları değerlendirmekten, tartışmaktan ve üzerinde konuşmaktan kaçınılmamalıdır. Çünkü bu hukuk alanı somut duruma göre değerlendirme yapmanın gerekli olduğu (diğer hukuk alanlarına göre daha nitelikli bir durum değerlendirmesi yapılması gereken) bir alandır. Doğru bir değerlendirmenin yapılabilmesi ancak birbirinden farklılaşan özellikli durumlar hakkında bilgi sahibi olmakla mümkündür. Bu durumu küçük bir örnekle açıklamak gerekirse sigara içme bilgisi kimi zaman özlük bilgisi kategorisine giren bir kişisel veri iken kimi durumlarda ise sağlık bilgisi kategorisine giren bir özel nitelikli kişisel veri olabilir. Bunun belirlenmesi ise ancak ve ancak somut olayın değerlendirilmesi ile mümkündür. Yayımlanan kararlardan ilki veri sorumlusuna usule uygun başvuru yapılması ve veri sorumlusunun usule uygun başvuruya dürüstlük kuralları çerçevesinde cevap vermesine, ikincisi ise kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli idari ve teknik tedbirlerin alınması yükümlülüğüne aykırılığa ilişkindir. Çalışmamızın konusunu da bu iki kararın değerlendirmesi oluşturmaktadır.
Kişisel Verileri Koruma Kurulu’nun konuya ilişkin vermiş olduğu kararlardan dört tanesinin Kurum’un internet sayfası ile Resmi Gazete’de yayımlanmasına oy birliği ile karar verilmesi sonucu, söz konusu kararlar 18 Ağustos 2018 tarihli ve 30513 sayılı Resmi Gazete’de yayımlandı. Bu çalışmamda da ilgili kararları, Veri Sorumluları Sicili hakkında daha önce gerçekleştirilen yasal düzenlemeleri de göz önünde bulundurarak değerlendireceğim. Bu değerlendirme sonucunda Kanun’a uyumluluk projeleri yürüten veri sorumlularının Sicil’e kayıt yükümlülüğü aşamalarında nelere dikkat etmeleri gerektiği konusunda önerilerde bulunacağım. Böylece veri sorumluları açısından ciddi belirsizliklerin ve soru işaretlerinin bulunduğu “VERBİS’e kayıt yükümlülüğü” konusunun verilen kararlara ilişkin olarak bir nebze olsun anlaşılmasını sağlamaya çalışacağım.
2020
6698 sayılı Kanun yürürlüğe girdiği zaman hiçbir sektörün iş faaliyeti bu Kanuna uyumlu değildi ve de Kanun’un yürürlüğe uyumun nasıl sağlanacağı tartışmalara neden oldu. Çünkü Kanun’un hükümleri de uygulamadaki sorunları çözmek konusunda yol göstermede yetersiz kalıyordu. İşte bu noktada da uygulamanın şekillenmesi için yol gösterici olarak Kurul kararları ve rehberleri devreye girdi. Kararlar kişisel verilerin korunması mevzuatının somut olaya nasıl uygulanacağının yaşanan örneklerini teşkil etmektedir. Ayrıca idari para cezalarının hükmedildiğine ilişkin kararların da yer almasıyla caydırıcılık etkisini de barındırmaktadır. Bu çalışmanın konusunu da Kurul’un 02.04.2020 tarihinde yayımlanan kararları oluşturmaktadır.
Kişisel Verileri Koruma Kurulunun " Veri sorumluları ve veri işleyenler tarafından ilgili kişilerin e-posta adreslerine veya SMS ya da çağrı ile cep telefonlarına reklam bildirimleri/aramaları yönlendirilmesinin önüne geçilmesi " ile ilgili 16.10.2018 tarihli ve 2018/119 sayılı İlke Kararı, 1 Kasım 2018 tarihli ve 30582 sayılı Resmi Gazete'de yayımlanmıştır. Karar'ın hitap ettiği kitlenin hem veri sorumlusu ve veri işleyenler tarafında hem de veri sahipleri tarafında oldukça geniş olması ve Karar'a konu olan reklam bildirimleri veya aramalarının günümüzde neredeyse vazgeçilmez derecede yoğunluk göstermesi, Karar'a karşı özellikle konunun ilgilileri tarafından büyük bir ilgi gösterilmesini sağlamıştır. Buna paralel olarak Karar'ın yayınlanmasıyla beraber birçok tartışma ve belirsizlik noktası da gündeme gelmiştir. İşte bu yazımda da Kurul tarafından yayınlanan Karar'ı başta 6698 sayılı Kanun olmak üzere konuyla ilişkili diğer mevzuatları da göz önünde bulundurarak ele alacağım.
Kişisel verilerin korunması alanına ilişkin her geçen gün yeni gelişmelerin yaşandığı günümüzde, son olarak yine Kurul tarafından bir dizi kamuoyu duyurusunu içeren önemli bir adım atılmıştır. Belirtmeliyim ki, bir hukuk dalının oluşması o konuya özgü bir mevzuat düzenlemesi ve teori oluşturulmasından çok daha öte bir meseledir. Bir hukuk dalının oluşması için pozitif hukuk normlarının düzenlenmesi zorunlu bir unsur olmakla birlikte tek başına yeterli değildir. Bunun için daha ziyade konuya ilişkin somut olayların gerçekleşmesi, düzenlenmiş olan hukuk normlarının somut olaylara uygulanması ve bu olaylara ilişkin kararlar verilmesi gerekir. Dolayısıyla konuya ilişkin mevzuatın yanı sıra bu mevzuatın bir uygulama alanı olmalıdır. Böylece hukukun vazgeçilmez ve aynı zamanda da tamamlayıcı bir unsuru olan içtihat kavramı ortaya çıkacaktır. Zira ancak bu şekilde bir hukuk dalının oluştuğundan söz edilebilir. İşte kişisel verilerin korunması alanı da tam olarak bu noktadadır. Kişisel Verileri Koruma Kanunu’nun yayınlanmasından bu yana özellikle yasal düzenlemeler bakımından atılan adımlar sonucunda kapsamlı bir mevzuat oluşmuştur. Kurul tarafından kendisine yapılan şikâyetler sonucunda ve somut olaylar kapsamında verilen kararlar konuya özgü uygulamanın ve içtihadın oluşmasını sağlamaktadır. Öte yandan Kanun kapsamında yapılan başvuru, şikâyet ve ihlal bildirimlerinin yayınlanması, ortaya somut örneklerin çıkması bakımından önemlidir. Bu nedenle kişisel verilerin korunması bilincinin gelişmesi ve somut olaylara konu edilmesi, nihayet bu olaylar hakkında ilgili mevzuat kapsamında kararlar verilmesi, her şeyden önce adım adım bir kişisel verilerin korunması hukukunun oluşması açısından sevindiricidir. Bu noktada da mevzuata dayalı teorik bilgi vermekten mümkün olduğunca kaçınarak yalnızca söz konusu kararları değerlendirmeye ve uygulamada nelere dikkat edilmesi gerektiğini açıklamaya çalışacağım. Zira bugüne kadar kişisel verilerin korunması hukukunun ve bu hukukun değindiği hemen her konuda kitap, makale veya değerlendirme yazısı şeklinde yazmaya çalıştım. Bundan sonra, özellikle somut olaylara ilişkin değerlendirmelerimde hiç teorik bilgilere girmeden, doğrudan kararlara geçeceğim.
Kişisel verilerin korunması hakkının her geçen gün daha fazla ilgi çektiği ülkemizde buna paralel olarak, 7 Nisan 2016 tarihinde yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun ardından kişisel verilerin korunması alanına ilişkin yönetmelik, tebliğ ve karar yayınlanması yoluna gidilerek konu, yetkililer tarafından yasal düzenlemeler ile kapsamlı bir biçimde açıklanmak istenmektedir. Kişisel verilerin korunması hakkının konu edildiği çalışmalar uzun zaman öncesine dayansa da konuya ilişkin ilk somut adım, söz konusu hakkın 2010 yılında yapılan Anayasa değişikliği sonucu Anayasanın 20. maddesine eklenen 3. fıkrasıyla Anayasal güvence altına alınması ile atılmıştır. Bu husus kişisel verilerin Anayasal düzeyde korunmaya değer görülmesi ve özel hayatın gizliliği başlığı altında düzenlenmiş bulunsa da özel hayat kavramından ayrı olarak zikredilmesi oldukça önemli olmuştur. Anayasada yapılan değişikliğin ardından zaman içerisinde kişisel verilerin korunması hakkının kapsamlı bir şekilde düzenlenmesi ihtiyacının artması ile nihayet 6698 sayılı Kişisel Verilerin Korunması Kanunu 7 Nisan 2016 tarihinde yürürlüğe girerek; söz konusu ihtiyaç büyük ölçüde giderilmeye çalışılmıştır. Kişisel verilerin korunması hakkı, konuyla ilgili daha önceki yazılarımda da belirttiğim gibi birçok hak ile bağlantılı olup; oldukça geniş bir kavramı ifade eder. Özellikle teknolojinin geldiği nokta ile bağlantılı olarak hangi faaliyet içerisinde bulunursa bulunulsun, kişisel veriler alınmadan, tutulmadan veya herhangi bir biçimde işlenmeden bu işlemlerin yapılması mümkün değildir. Üstelik bu yalnızca ekonomik ve mesleki faaliyetlerle sınırlı olmayıp; gündelik ihtiyaçlarımızda dahi sıklıkla karşılaştığımız ve ihtiyaç duyduğumuz bir husus haline gelmiştir. Günlük hayatımızın bu denli içerisine girerek, her anımızla ilişkili olan kişisel verilerin korunması hakkının yalnızca Kanun ile hüküm altına alınan düzenlemelerle yeterli bir korumaya sahip olması beklenemez. Bu nedenle Kanun'un genel olarak düzenlediği hususları açıklamak ve eksik kalan noktaları tamamlamak amaçlarıyla başta yönetmelik olmak üzere diğer hukuki araçların kullanılması zorunludur. Nitekim 6698 sayılı Kanun tarafından hüküm altına alınmış bulunan birtakım konulara ilişkin usul ve esasları belirlemek amacıyla yönetmelikler yayınlanacağı öngörülmüş ve Kanun'dan sonra birçok farklı kırılım noktasında yayınlanan yönetmelikler ile konunun daha iyi anlaşılması sağlanmaya çalışılmıştır. Kişisel verilerin korunması alanında yaşanan gelişmeleri son olarak tarafımızca da beklendiği üzere Kişisel Verileri Koruma Kurulu tarafından yayınlanan karar ve tebliğler takip etmiştir.
Kişisel Verileri Koruma Kurulu'nun 16 Nisan 2019 tarihinde yayınlamış olduğu kararına veri sorumlusunun meşru menfaati konu olmuştur. Karar, veri sorumlusunun kanuni yükümlülüğünü yerine getirmek için işlediği kişisel verileri meşru menfaat çerçevesinde kullanma talebiyle Kuruma yapmış olduğu başvuru üzerine verilmiştir. Burada iki farklı işleme şartının söz konusu olduğuna dikkat edilmelidir: Veri sorumlusu "hukuki yükümlülüğünü yerine getirebilmek için" kişisel veri işlemekte veya mevcut amaca özgü işleme faaliyeti sona ermekle birlikte işlemeye devam etmek istediği kişisel verileri "meşru menfaati" çerçevesinde kullanmaya devam etmek istemektedir. Bu yöndeki talebini de Kurula bildirmiştir. Karara konu olan işleme şartlarının önemi ve kapsamı nedeniyle, öncelikle söz konusu istisna hallerini ve bu hallere ilişkin tartışmalı noktaları açıklayarak Kurulun kararını değerlendirmeye çalışacağım. Bu kapsamda özellikle Kurulun vermiş olduğu kararla getirdiği ek düzenlemelere değineceğim ve veri sorumlularının dikkatli olmaları gereken hususların altını çizeceğim. Ayrıca Kurul kararında değinilen her iki istisna halinin de ele alındığı Anayasa Mahkemesi'nin 28 Eylül 2017 tarihli 2016/125 E. ve 2017/143 K. numaralı kararına da yeri geldikçe değineceğim. Veri sorumlusunun kanuni yükümlülüğü ve meşru menfaati çerçevesinde kişisel veri işlemesine ilişkin 25/03/2019 tarihli ve 2019/78 sayılı Kararın konusu Olayda "Akaryakıt Dağıtım Firması" olarak faaliyet gösteren bir şirket, ilgili mevzuat ve kararlar gereğince bir denetim sistemi kurma yükümlülüğü altında olduklarını ve bu sistemi kurabilmek için araç sahiplerinin kişisel verilerinin işlenmesinin zorunlu olduğunu belirterek meşru menfaatlerinin korunması için açık rıza olmaksızın veri işleme talebinde bulunmuştur. Buna göre 5015 sayılı Petrol Piyasası Kanunu doğrultusunda faaliyet gösteren şirket, Enerji Piyasası ve Düzenleme Kurulu Kararı ile getirilen yükümlülük çerçevesinde satış hareketlerini (plaka, akaryakıt türü, miktar, fiyat, saat dakika ve saniye şeklinde zaman) gösteren, sorgulama imkânı veren ve ilgili Kurumun anlık erişime de açık olan bir sistem kurmuştur. İlgili şirket, bu sistemde yer alan plaka ve akaryakıt türüne ilişkin verilerin sektörde hatalı akaryakıt dolumlarına neden olması nedeniyle geliştirilen "Araç Tanıma Projesi"ni kullanmak istemektedir. Bu proje ile birlikte akaryakıt ve plaka verileri otomatik olarak eşleştirilerek yanlış akaryakıt alımları engellenmektedir. Veri sorumlusu şirket, yanlış akaryakıt dolumlarının önüne geçebilmek için kullanacağı bu sistem için tüketicinin araç plakasını kullanmak zorunda olduğunu ve böylece meşru menfaatlerinin korunmuş olacağı gerekçesiyle otomasyon sistemi kapsamında işlediği bazı verileri, veri ilgilisinin açık rızası olmaksızın ilgili proje kapsamında kullanma talebiyle Kuruma başvuruda bulunmuştur.