Kişisel Verileri Koruma Kurumu Research Papers (original) (raw)

Kararın Konusu: Karar, avukatların diledikleri icra takip dosyasını incelemek suretiyle kişisel verilere yetkisiz kişilerce erişilmekte olması konulu ihbarlar üzerine Kişisel Verileri Koruma Kurulunun ("Kurul") başlattığı resen incelemeye ilişkindir. İhbarlarda alacaklı vekili avukatların, icra tevzi bürolarına başvuruda bulunup borçluların alacaklı olduğu icra takip dosyalarına ait bilgilerin elde edilmesinin haksız olduğu iddia edilmiştir.

- by
- •
- Avukatlık Hukuku, Kişisel Veri, Veri Koruma Hukuku, Veri Koruma Hukuku

Avrupa Birliğinin 2016/679 sayılı General Data Protection Regülation (Kısaca GDPR) diğer bir ifade ile Genel Veri Koruma Tüzüğü, 25 Mayıs 2018 tarihinde yürürlüğe girdi. GDPR ın yürürlüğe girmesi ile birlikte, aşina olduğumuz kavramlar dışında yeni bir çok kavram da yasal olarak literatüre girmiş oldu. Bu çalışmada "Pseudonymization" (Takma Ad Verme) kavramı açıklanmaya çalışılmaktadır.

Sunumda, Kişisel Verilerin Korunması Kanunu'nun getirdikleri, tanımlar, dikkat edilmesi gereken hususlar, uyum sürecinde atılması gereken adımlar, kişisel veriler korunmadığında yasalarda öngörülen suçlar ve kabahatler ile Yargıtay... more

Kişisel Verilerin Korunması Kanunu'nda açık rızaya ilişkin özel bir düzenleme bulunmamaktadır. Sadece açık rızanın (genel ifadelerle) tanımının yapılması ile yetinilmiştir. Bu da yanlış uygulamalara neden olmuş; bu yanlışlıklar ise Kurul'un kararları ve Kurum'un rehberleriyle düzeltilmeye çalışılmıştır. Açık rıza konusundaki Kurul kararlarından şüphesiz en önemlilerinden biri, bir market zinciri hakkındaki "sadakat kart kararı"dır. Söz konusu kararda Kurul açık rızanın hizmet şartına bağlanamayacağını ifade etmiştir. Bu çalışmanın konusunu ise bir sigorta şirketinin-yine-açık rızayı hizmet şartına bağladığına ilişkin Kurul kararı oluşturmaktadır. Öncelikle açık rıza ve açık rızanın özgür iradeye dayanması konusundan (ve kısaca sadakat kart kararından) bahsedildikten sonra sigorta şirketi hakkındaki kararın değerlendirilmesi yapılacaktır.

- by Prof. Dr. Murat Volkan Dülger and +1
- •
- Sigorta Hukuku, Sigorta Şirketleri, Kişisel Veri, Veri Koruma Hukuku

6698 sayılı Kanun ve konuya ilişkin diğer mevzuatta kendisine verilen görev ve yetkilerini yerine getirmek ve kullanmakla görevli olan Kişisel Verileri Koruma Kurulu, bu doğrultuda kişisel verilerle ilgili haklarının ihlal edildiğini ileri sürenlerin şikayetlerini karara bağlamakla da yetkilidir. Kurul, ayrıca şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen görev alanına giren konularda kişisel verilerin hukuka uygun olarak işlenip işlenmediğini inceleyecek ve gerektiğinde de bu konuda önlemler alacaktır. Kanun'un yürürlüğe girmesi ve konuya ilişkin diğer hukuki düzenlemelerin oluşturulmasıyla kişisel verilerin korunması hukukuna ilişkin genel bir çerçevenin çizilmesinin ardından Kurul, bu görev ve yetkilerine dayanarak konuya ilişkin olarak somut olayları karara bağlamakta ve bunlardan gerekli gördüğünü kamuoyu ile özet biçiminde paylaşmaktadır. Bu yazının konusunu da Kurul'un son olarak 3 Nisan 2019 tarihinde yayınlamış olduğu farklı tarihlere ait kararları oluşturmaktadır. Kararları, özellikle somut olaydaki soru ve sorunlar ile Kurulun buna karşı bakış açısı bağlamında ele alacak, son olarak görüş ve önerilerimle değerlendirilip sonuçlandıracağım. 1. Kişisel Verileri Koruma Kurulunun 3 Nisan Tarihinde Yayınlamış Olduğu Karar Özetleri a. Aydınlatma yükümlülüğü ve açık rıza alma süreçleri ile ilgili 26/07/2018 tarihli ve 2018/90 sayılı Karar Aydınlatma yükümlülüğü ve açık rıza alma süreçlerine ilişkin karara konu olan veri sorumlusu şirketleri topluluğu, online platformda iş başvurusu almakta ve iş başvurusunda bulunurken üyelik kaydı yapılmasını zorunlu tutmaktadır. Ancak iş başvurusunda bulunacak olan veri sahibi, bu üyelik kaydını yaptığı sırada tek kutucuğu işaretlemesi yoluyla hem aydınlatma metnini okumuş olduğunu belirtmekte hem de kişisel verilerin işlenmesi hususunda açık rıza vermektedir. Bu noktada aslında karara konu olan aydınlatma yükümlülüğü ve açık rıza alma süreçlerinin birlikte gerçekleştirilmesi hususundan önce başvuru yapabilmek için üyelik kaydının zorunlu tutulmasına değinmek istiyorum. Online bir platformda herhangi bir işlem yapabilmek için üyelik kaydının zorunlu tutulmasını doğrudan hukuka aykırı olarak nitelendirememekle birlikte bu durumun çeşitli hallere özgü olarak tehlikeli olabileceğini düşünüyorum. Örneğin, bir mağazanın online sitesinden bir ürün alacağımızı düşünelim: Bu mağaza, bizim çok sık alışveriş yapmadığımız, yalnızca söz konusu ürüne özgü olarak uğradığımız bir yer olabilir. Bu durumda, o alışverişi gerçekleştirebilmek için üye olup daha fazla bilgi vermektense, üye olmadan da o ürünü satın alabilmek ve yalnızca siparişin gerçekleştirebilmesi için gerekli iletişim ve adres bilgilerini vermek isteriz. Nitekim aksi durumda gerçekleştirilmek istenen amaç için gerekli ve bu amaçla sınırlı olmayan kişisel verilerin alınması ve işlenmesinden söz edilir, ki bu da kişisel verilerin korunması hukukunun temel ilkelerine aykırıdır. Dolayısıyla üyelik kaydının zorunlu tutulması her durumda olmasa bile veri ilgilisi aleyhine sonuçlar doğurabilme olasılığı barındırır.

Genel olarak Türk kişisel veri koruma hukukunun ve somut olarak 6698 sayılı Kişisel Verilerin Koruması Kanunu'nun (KVKK) ilham kaynağı olan AB kişisel veri koruma hukukunda yakın zamanda önemli bir reform süreci yaşandı. Birliğin kişisel veri koruma hukukunun omurgasını oluşturan 95/46 sayılı Direktif yerine 2016/679 sayılı Genel Kişisel Veri Koruma Tüzüğü (GDPR) ikame edildi. GDPR, 95/46 sayılı direktifin öngördüğü ana ilkeleri benimseyen ve sürdüren bir metin olmakla birlikte yeni teknolojilerin ortaya çıkardığı yeni ihtiyaçlara yönelik günün gereksinimleriyle daha uyumlu olmak amacıyla bazı konularda daha ayrıntılı düzenlemeler getirdi. GDPR'ın rıza konusundaki düzenlemelerinin de bu kapsamda ele alınması gerekir. Kişisel verilerin korunması hukukunun en temel kavramları arasında yer alan rıza, kişisel verilerin işlenmesine hukuki meşruiyet sağlar. Kişisel veri koruma hukukunda hukuki bir neden bir başka deyişle hukuka uygunluk nedeni olmadıkça verilerin işlenmesi yasaktır. Dolayısıyla bu bakış açısıyla kişisel verilerin işlenmemesi kural, işlenmesi ise istisnadır. Bu genel yasak karşısında veri ilgilisinin rızasının yani kişisel verilerinin işlenmesine yönelik onayının bulunması genel bir istisna ya da genel bir hukuka uygunluk nedeni oluşturur. Bu nedenle "rıza", kapsamı ve anlamı iyi incelenmesi ve anlaşılması gereken bir kavramdır. GDPR'ın yürürlüğe girmesiyle 95/46 sayılı Direktif yürürlükten kalkmış olsa da rıza kavramına ilişkin eski müktesebat geçerliliğini korumaktadır. Zira rıza kavramı (GDPR'da daha ayrıntılı olsa da) öncelikle 95/46 sayılı Direktif ile GDPR ile aynı doğrultuda düzenlenmiştir. Buna bağlı olarak da Birlik hukukunda rıza kavramına yönelik içtihatlar, kurum ve komisyonların tavsiye kararları ve görüşleri geçerliliğini korumaktadır 2. 1. Kavramın İsim Sorunu Rıza kavramı 95/46 sayılı Direktif'te "rıza" (consent) şeklinde isimlendirilmekte, ancak "muğlak olmayan şekilde verilmiş" (unumbiguously given) olma koşuluyla birlikte kullanılmaktadır. Bu kullanım rızanın geçerli olması için taşıması gereken niteliği ve koşullarını da ifade ettiği için AB kişisel veri koruma hukukunda kavram sıklıkla "muğlak olmayan rıza" (unumbiguous consent) olarak anılmaktadır. GDPR ise kavramı yalnızca "rıza" (consent) şeklinde kullanmış, rızanın sahip olması gereken nitelik ve sağlaması gereken koşulları ayrıca düzenlemeyi tercih etmiştir. Özel nitelikli kişisel veriler bakımından ise 95/46 sayılı Direktif'te "açık rıza" (explicit consent) koşulundan söz edilmektedir. GDPR'da özel nitelikli kişisel veriler bakımından "açık rıza" (explicit consent) kavramını kullanmayı sürdürmüştür.

Kişisel verilerin Türkiye'den yabancı bir ülkeye aktarılması gün geçtikçe daha büyük bir sorun haline gelmektedir. Öyle ki, mevcut durumda yurt dışına 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) çerçevesinde hukuka uygun bir veri aktarımı neredeyse imkânsız hale gelmiştir. Zira Kişisel Verileri Koruma Kurulu (Kurul) tarafından yayımlanan kararlarda da açıklandığı gibi mevcut düzenlemeler kapsamında kişisel verilerin yabancı bir ülkeye aktarılması için tek yöntem ilgili kişilerin açık rızalarının alınmasıdır. Ancak bu yöntemin ne kadar uygulanabilir olduğu büyük bir soru işaretidir. Nitekim Kurul da bu konuda yol gösterici herhangi bir açıklama yapmamakta yalnızca yapılması gerekenin açık rıza almak olduğunu söylemektedir. Bununla birlikte, mevcut yöntemlerin uygulanamaz olması ve konunun bir sorun haline dönüşmesi nedeniyle, başkaca çözüm yolları aranmaktadır. Kurul tarafından konuya ilişkin olarak son yayımlanan ve bu yazının da konusu olan karar ise Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi (108 sayılı Sözleşme) çerçevesindeki çözüm arayışları anlamını yitirmiştir. Peki Kurul ne yapmaya çalışmaktadır? İşte bu yazımızda yurt dışına veri aktarımı sorunu ile konuyla ilgili son yayımlanan karar çerçevesinde Kurul'un ne yapmaya çalıştığını tartışarak veri sorumluları için başkaca çözüm yolları aramaya çalışacağız. Kişisel verilerin Türkiye'den yabancı bir ülkeye aktarılması bir kişisel veri işleme faaliyetidir. Bu aktarım kişisel verilerin doğrudan yabancı bir ülkeye iletilmesi / gönderilmesi / aktarılması şeklinde olabileceği gibi kişisel verilerin yabancı ülkede bulunan sunucularda saklanması da bir aktarım faaliyeti olarak kabul edilmektedir. Bunun anlamı nedir? Buna göre sunucuları yurt dışında bulunan her uygulama, program, yazılım, sistem aracılığıyla gerçekleştirilen kişisel veri işleme süreçlerinde aynı zamanda kişisel veriler yurt dışına aktarılmaktadır. 1. Yurt Dışına Veri Aktarımı Bir Sorun Mudur? Kişisel verilerin aktarılması kavramının kapsamına bakıldığında özellikle uluslararası şirketlerin veya yabancı ülkelerle yoğun bir şekilde ticari faaliyette bulunan şirketlerin hemen her süreçte aynı zamanda kişisel veri aktarımı faaliyeti de gerçekleştirdiği görülür. Bunun yalnızca belirtilen nitelikteki şirketlerle sınırlı olmadığına da dikkat edilmelidir. Türk şirketi olmakla birlikte sunucularını yabancı bir ülkede tutan veya sunucuları yabancı bir ülkede bulunan bir program kullanan her şirket yine yurt dışına aktarım faaliyetinde bulunmaktadır.

Yaklaşık üç yılı aşkın bir süredir, KVKK uyum projeleri yürütüyoruz. Hali hazırda elliden fazla projede yer aldık ve yer almaya da devam ediyoruz. Özellikle VERBİS'e kayıt yükümlülüğü için getirilen sürenin sürenin sonuna yaklaştıkça, meslektaşlarımızdan uyum sürecinin nasıl gerçekleştirileceğine ilişkin çok sayıda soru alıyoruz. Özellikle Anadolu'da bu konudaki bilgi biriminin yeterli düzeyde olmadığını gözlemliyoruz.
İşte bu eksikliğe bir nebze yanıt olması amacıyla uyum projelerini birlikte yürüttüğümüz değerli meslektaşlarım Av. Yavuz Selim Dicle ve Av. Sezen Yankı Esen ile birlikte hazırlamış olduğumuz bu sunumu değerli meslektaşlarımızın ve konuyla ilgilenenlerin ilgisine sunuyoruz.
Sevgi ve bilginin paylaştıkça artacağı düşüncesinden hareketle bilgiyi saklamadan paylaşmak gerektiğini düşünüyoruz.
Umarız, konunun ilgilerine bir nebze faydası olur.

Bursa Barosu Dergisi, Sayı 109, s.65-72

6698 sayılı Kanun yürürlüğe girdiği zaman hiçbir sektörün iş faaliyeti bu Kanuna uyumlu değildi ve de Kanun’un yürürlüğe uyumun nasıl sağlanacağı tartışmalara neden oldu. Çünkü Kanun’un hükümleri de uygulamadaki sorunları çözmek konusunda yol göstermede yetersiz kalıyordu.
İşte bu noktada da uygulamanın şekillenmesi için yol gösterici olarak Kurul kararları ve rehberleri devreye girdi. Kararlar kişisel verilerin korunması mevzuatının somut olaya nasıl uygulanacağının yaşanan örneklerini teşkil etmektedir. Ayrıca idari para cezalarının hükmedildiğine ilişkin kararların da yer almasıyla caydırıcılık etkisini de barındırmaktadır. Bu çalışmanın konusunu da Kurul’un 02.04.2020 tarihinde yayımlanan kararları oluşturmaktadır.

- by Prof. Dr. Murat Volkan Dülger and +1
- •
- Kişisel Veri, Veri Koruma Hukuku, Veri Koruma Hukuku, Kişisel Verilerin Korunması

Bilindiği üzere 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun 7 Nisan 2016'da yürürlüğe girmesinden beri, kişisel verilerin yurt dışına aktarımı tam bir muammadan ibaret. Çünkü güvenli olmayan ülkelere veri aktarımı yapılabilmesi için Kurul'a kişisel verilerin korunduğuna ve korunacağına ilişkin bir taahhütname ile başvurarak izin alınması gerekmekte. Ancak (Kurul'a sayıları çok olmamakla birlikte bazı veri sorumluları tarafından izin başvurusunda bulunulduğu biliniyor) Kurul'a bu zamana kadar yapılan başvurulardan herhangi bir sonuç elde edilemedi. Sonuç elde edilemediği gibi Kurul güvenli olan ülkelerin listesini de hala açıklamadı. Böyle bir durumda yurt dışına kişisel veri aktarımı yapmak isteyen veri sorumlularının elinde tek seçenek kaldı o da açık rıza. Ne yazık ki bu yol da teoride mümkün iken uygulamada (çalışanların açık rızalarının özgür iradeyle alınması sorunu, açık rızaların her zaman geri alınabilmesi gibi nedenlerle) imkansıza yakın. Tabi ki bu cümlelerden Kurul'un kötü çalıştığı sonucu çıkarılmamalıdır. Kurul'un kişisel verilerin korunması mevzuatının Türkiye'de yerleşmesi için yoğun ve başarılı bir şekilde çalıştığı kabul edilmelidir. Ancak şu anda gerçekleştirilen yurt dışı aktarımların büyük çoğunluğunun hukuka aykırı bir şekilde gerçekleştirildiği de (Kanun'un dört yıl önce yürürlüğe girdiğini göz önüne aldığımızda) unutulmamalıdır. Kurul'un takdir edilmesi gereken noktaları olduğu gibi eleştirilmesi gereken noktaları da vardır. Açıkçası (kişisel verilerin korunması mevzuatına ve uygulamadaki sorunların çözümüne katkısı olduğunu düşündüğümüzden) bu tarz yapıcı eleştirilerin de gerekli olduğunu düşünüyoruz. Güvenli olan ve olmayan ülkelerin açıklanmasının "karşılıklılık" ilkesinden dolayı zaman alması kabul edilebilir olsa da taahhütnamelere geri dönüşlerin olmaması ve veri sorumlularına hukuka uygun bir yurt dışı aktarımı için (açık rıza dışında) yol gösterilmemesi Kanun'un amacına ters düşmektedir.

- by Prof. Dr. Murat Volkan Dülger and +1
- •
- Kişisel Veri, Veri Koruma Hukuku, Veri Koruma Hukuku, Kişisel Verilerin Korunması

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 24.03.2016 tarihinde Resmi Gazete’de yayımlanarak yürürlüğe girmesiyle birlikte Kişisel Verileri Koruma Hukuku günlük hayatımızın birçok noktasında karşımıza çıkmaya başladı. Ülkemizde Kişisel Verileri Koruma Hukukunun birincil kaynağı niteliğinde olan 6698 sayılı Kanun ve bunun yanı sıra yönetmelikler, tebliğler ve Kişisel Verileri Koruma Kurulu’nun kararları bulunmakla birlikte, uygulamada hala birçok sorun yaşanmakta ve çok sayıda soruya yanıt aranmaktadır. Bunlar özellikle özel sektör bakımından ticari hayatın hukuka uygun işlemesi ama bir yandan da ticaretin engellenmemesi açısından hayati önemi haizdir.
İşte bu yazıda “KVKK uygulamasında ve uyum sürecinde ortaya çıkan sorunları” ele almaya ve aslında bu işle ilgilenen hemen hemen herkesin kafasında olan soruları yüksek sesle dile getirmeye çalışacağım.
Her şeyden önce belirtmeliyim ki, 6698 sayılı Kanun, 2016 yılında yürürlüğe girmiş olup uygulama açısından henüz tam oturmamıştır. Kanun’un eleştirildiği ve uygulama açısından yetersiz kaldığı birçok husus bulunmaktadır. Bu hususların bir kısmı Kurul kararlarıyla netleştirilmiş olsa da uygulama açısından halen giderilmesi gereken birçok eksiklik bulunmaktadır. Aşağıda tespit ettiğim sorunlara ana başlıklar çerçevesinde değinecek ve bazılarına getirilebildiğim çözüm önerilerini açıklayacağım. Ancak bunlar kesin çözümler olmayıp, bu konudaki tartışmaların başlaması için birer öneri niteliğindedir.

- by Prof. Dr. Murat Volkan Dülger
- •
- Privacy, PERSONAL DATA PROTECTION, Privacy (Law), Data Protection

6698 sayılı Kişisel Verilerin Korunması Kanunu'nun (Kanun) 7 Nisan 2016 tarihinde yürürlüğe girmesinin peşi sıra yapılan yasal düzenlemelerle kişisel verilerin korunması hukuku alanında hemen her konu belirsizliğini yitirmiş olmasına rağmen yurt dışına veri aktarımı durumu bir türlü açıklığa kavuşturulamayarak büyük bir sorun haline gelmiştir. Kişisel Verileri Koruma Kurulu (Kurul) tarafından konuyla ilgili adımlar atılmaktaysa da bunların mevcut durumu çözmek için yeterli olmadığı açıktır. Zira halihazırda yurt dışına veri aktarımı suretiyle gerçekleştirilen çoğu işleme faaliyetlerinin, konuyla ilgili belirsizlikler dolayısıyla hukuka uygun olması aslında teknik olarak mümkün değildir. Nitekim bu nedenle Kurulun yurt dışına veri aktarımı gerçekleştirilen veri sorumlusu hakkında bu kapsamda ihlal kararı veremeyeceği ve idari para cezasına hükmedemeyeceği gibi söylentiler de söz konusudur. Ancak Kurul, bu söylentilerin aksine 7 Mayıs 2020 tarihinde Amazon Turkey Perakende Hizmetleri Limited Şirketi (Amazon) hakkındaki toplamda 1.200.000 TL'lik idari para cezası uygulanmasına ilişkin 27/02/2020 tarih ve 2020/173 sayılı Kararını (Karar) web sitesinde yayınlayarak, bu konuda yeni bir aşamaya geçmiş ve yurt dışına veri aktarımında idari para cezası verilmeyeceğine ilişkin düşüncelere de son vermiştir. Yurt dışına veri aktarımına ilişkin hükümler ile konuyla ilgili atılan adımları kısaca hatırlayalım: Kanun'un "Kişisel verilerin yurt dışına aktarılması" başlıklı 9. maddesi uyarınca yurt dışına veri aktarımı ilgili kişinin açık rızası olmaksızın gerçekleştirilemeyecek bir işleme faaliyetiyken; Kanun'un 5. ve 6. maddelerinde yer alan hukuki sebeplerden herhangi bir ve/veya birkaçının olması halinde bu aktarımın yapılması mümkündür. Ancak Kanun'un 9. maddenin 2. fıkrası kişisel verilerin aktarılacağı ülkeler bakımından bazı şartlar getirmiştir. Buna göre kişisel verilerin ilgili kişilerin açık rızası olmaksızın aktarılmasının hukuka uygun olması için kişisel verilerin aktarılacağı yabancı ülkede "a) yeterli korumanın bulunması" veya "b) Yeterli korumanın bulunmaması durumunda Türkiye'deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması" şartlarının oluşması gerekir. İlk olarak Kurul tarafından geçen dört (4) yıllık sürede hala yeterli korumanın bulunduğu ülkelerin yayınlanmaması büyük bir eleştiri konusudur. Kurul, 11 Haziran 2019 tarihinde, 02/05/2019 tarih ve 2019/125 sayılı kararıyla yeterli korumanın bulunduğu ülkelerin tayininde kullanılmak üzere oluşturulan form ile bu ülkelerin belirlenmesinde esas alınacak kriterleri yayınlamış olsa da bu ülkelerin hala açıklanmamış olması büyük bir eksikliktir.

Kişisel verilerin korunması hukukunun getirdikleri denilince, konuya ilişkin mevzuatın ve teorik bilgilerin verilmesinden ziyade bireylerin kişisel verilerin korunması hukukuna karşı olan ilgisi, bilgisi ve farkındalık düzeyinin tartışılması ve artırılması gerektiğini düşünüyorum. Elbette ki bu durum konuya ilişkin hukuki düzenlemelerden tamamen bağımsız olmayıp, öncelikli olarak 6698 sayılı Kişisel Verilerin Korunması Kanunu ile birlikte ele alınmalıdır. Zira Türkiye’de kişisel verilerin korunması esas olarak 6698 sayılı Kanun’un yürürlüğe girdiği 7 Nisan 2016 tarihinden sonra gündeme gelmiş ve tartışılmaya başlanmıştır. Bu nedenle de, bu çalışmada esasen 7 Nisan 2016 tarihinden bu yana Türkiye’de kişisel verilerin korunmasına ilişkin nasıl bir hava olduğu, nelerin eksik veya hatalı anlaşıldığı ve hangi noktaların geliştirilmesi gerektiğini açıklamaya çalışacağım.

- by Prof. Dr. Murat Volkan Dülger
- •
- Privacy, PERSONAL DATA PROTECTION, Privacy (Law), Data Protection

Kişisel veriler alanının önemli bir parçasını ve özel nitelikli halini oluşturan kişisel sağlık verileri ile ilgili düzenlemeleri içeren “Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelik” 29863 sayılı ve 20 Ekim 2016 tarihli Resmi Gazete’de yayımlanarak yürürlüğe girmişti. Kişisel veriler anlamında temel kanun olan 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 7 Nisan 2016 tarihinde yayımlanmış olması ve bu kanunda öngörülen Kişisel Verileri Koruma Kurulu oluşturulup görevine başlamadan Kişisel Sağlık Verileri yönetmeliğinin yayımlanması, söz konusu kurulun görüşü alınmadan hazırlandığı için henüz erken bir düzenleme olduğu yönünde eleştirilmekteydi. Kanun henüz tam olarak anlaşılmamışken, içerisinde yer alan bazı kavram ve tanımlar henüz çok yeniyken ve en önemlisi sık sık atıf yapılan Kişisel Verilerin Korunması Kurulu henüz göreve başlamamış ve çalışma usul ve esaslarının belirlenmiş olmadan Kişisel Sağlık Verileri Yönetmeliğinin yayınlanmasına yönelik eleştirilere katılmaktayım. Dolayısıyla 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun ne demek istediğinin zamanla daha iyi anlaşılması, Kişisel Verileri Koruma Kurulu için seçilen üyelerin 12 Ocak 2017 tarihinde yemin ederek göreve başlaması, 28 Ekim 2017 tarihinde “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik”in yayımlanması ve son olarak 16 Kasım 2017 tarihinde “Kişisel Verileri Koruma Kurulu Çalışma Usul ve Esaslarına Dair Yönetmelik” ’in yayımlanması gibi gelişmeler, söz konusu yönetmelikte birtakım değişiklikler yapmayı ve yayımlanan düzenlemelerle uyumlulaştırmayı zorunlu hale getirmiştir. İşte bu nedenle “Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelikte Değişiklik Yapılmasına Dair Yönetmelik” 30250 sayılı Resmi Gazete’de 24 Kasım 2017 tarihinde yayımlandı ve yayımlandığı tarihte yürürlüğe girdi. Aşağıda başlıklar halinde yönetmelikle getirilen yeni düzenlemelere, Kişisel Sağlık Verileri Yönetmeliğini 6698 sayılı Kanuna uyumlu hale getirmek amacıyla yapılan değişikliklere ve açıklanması gereken diğer hususlara değinip; detaylı bir inceleme ve değerlendirmede bulunacağım.

Kişisel verilerin korunması hakkının her geçen gün daha fazla ilgi çektiği ülkemizde buna paralel olarak, 7 Nisan 2016 tarihinde yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun ardından kişisel verilerin korunması alanına ilişkin yönetmelik, tebliğ ve karar yayınlanması yoluna gidilerek konu, yetkililer tarafından yasal düzenlemeler ile kapsamlı bir biçimde açıklanmak istenmektedir. Kişisel verilerin korunması hakkının konu edildiği çalışmalar uzun zaman öncesine dayansa da konuya ilişkin ilk somut adım, söz konusu hakkın 2010 yılında yapılan Anayasa değişikliği sonucu Anayasanın 20. maddesine eklenen 3. fıkrasıyla Anayasal güvence altına alınması ile atılmıştır. Bu husus kişisel verilerin Anayasal düzeyde korunmaya değer görülmesi ve özel hayatın gizliliği başlığı altında düzenlenmiş bulunsa da özel hayat kavramından ayrı olarak zikredilmesi oldukça önemli olmuştur. Anayasada yapılan değişikliğin ardından zaman içerisinde kişisel verilerin korunması hakkının kapsamlı bir şekilde düzenlenmesi ihtiyacının artması ile nihayet 6698 sayılı Kişisel Verilerin Korunması Kanunu 7 Nisan 2016 tarihinde yürürlüğe girerek; söz konusu ihtiyaç büyük ölçüde giderilmeye çalışılmıştır. Kişisel verilerin korunması hakkı, konuyla ilgili daha önceki yazılarımda da belirttiğim gibi birçok hak ile bağlantılı olup; oldukça geniş bir kavramı ifade eder. Özellikle teknolojinin geldiği nokta ile bağlantılı olarak hangi faaliyet içerisinde bulunursa bulunulsun, kişisel veriler alınmadan, tutulmadan veya herhangi bir biçimde işlenmeden bu işlemlerin yapılması mümkün değildir. Üstelik bu yalnızca ekonomik ve mesleki faaliyetlerle sınırlı olmayıp; gündelik ihtiyaçlarımızda dahi sıklıkla karşılaştığımız ve ihtiyaç duyduğumuz bir husus haline gelmiştir. Günlük hayatımızın bu denli içerisine girerek, her anımızla ilişkili olan kişisel verilerin korunması hakkının yalnızca Kanun ile hüküm altına alınan düzenlemelerle yeterli bir korumaya sahip olması beklenemez. Bu nedenle Kanun'un genel olarak düzenlediği hususları açıklamak ve eksik kalan noktaları tamamlamak amaçlarıyla başta yönetmelik olmak üzere diğer hukuki araçların kullanılması zorunludur. Nitekim 6698 sayılı Kanun tarafından hüküm altına alınmış bulunan birtakım konulara ilişkin usul ve esasları belirlemek amacıyla yönetmelikler yayınlanacağı öngörülmüş ve Kanun'dan sonra birçok farklı kırılım noktasında yayınlanan yönetmelikler ile konunun daha iyi anlaşılması sağlanmaya çalışılmıştır. Kişisel verilerin korunması alanında yaşanan gelişmeleri son olarak tarafımızca da beklendiği üzere Kişisel Verileri Koruma Kurulu tarafından yayınlanan karar ve tebliğler takip etmiştir.

Sağlık verileri, özel nitelikli kişisel veri kategorisinde olmasına rağmen işleme faaliyetlerine sıklıkla konu olmaktadır. Bir işe giriş sırasında veya bir spor kulübünün yüzme havuzuna yapılacak bir üyelik için istenen sağlık raporu, muayene veya tedavi için başvurduğumuz bir sağlık kuruluşu tarafından toplanan ve kaydedilen veriler, bir çalışanın özlük dosyasında saklanan sağlık bilgileri en fazla karşılaştığımız örneklerdir. Bu nedenle sağlık verilerinin işlenmesine ilişkin esas ve usullerin açık bir biçimde belirlenmesi önemlidir: Kimler, hangi amaçlara dayanarak sağlık verileri toplayabilir? Bu veriler hangi ortamda hangi idari ve teknik tedbirler altında saklanmalıdır? Sağlık verilerinin işlenmesi sırasında uyulması gereken kurallar nelerdir? Bütün bu soruların kesin cevaplarının olması, sağlık verilerinin işlenmesi sırasında yaşanması muhtemel ihlallerin önlenmesini sağlar.

KVKK’nın getirdiği yükümlülükleri ihlal eden tüzel kişilerin ifşası ile idari para cezalarında yeniden değerleme oranlarına göre yapılan artışlardan dolayı cezaların üst sınırı iki milyon Türk Lirasına yaklaşsa da o zamanki hali ile üst sınırı bir milyon Türk Lirasını bulan cezaların verilmeye başlanması tüm sektörlerde hareketlenme yaşanmasına yol açtı. Bir anda, özellikle müşterilerini doğrudan gerçek kişilerin oluşturduğu sektörler, şirketlerini kanuna uyumlu hale getirecek kişilerin ve kurumların arayışı içine girdiler. İstedikleri iki şey vardı; az para harcayarak uyumlu hale gelmek ve idari para cezalarından kaçınmak. Bunu gerçekleştirmek için veri sorumlularının karşısına iki farklı alanda faaliyet gösteren iki aktör ve iki seçenek çıktı: KVKK’ya uyumlu hale gelmek ve yasal yükümlülükleri yerine getirmek için ya bilişim şirketleri ile anlaşarak bilişim uzmanlarıyla ya da avukatlık büroları ile anlaşarak avukatlar ile çalışmak.
VERBİS kaydının son süresinin yeni uzatıldığı bugünlerde de bilişim şirketleri ve uzmanları ile avukatlık büroları ve avukatlar arasında uyum projelerinin yürütülmesi konusundaki çatışma, sıklıkla ve özellikle sosyal medyada yer almaya devam ediyor. Aslında ben de uyum projeleri yürüten bir avukatlık bürosunda yer aldığım için, öznel düşüncelerini yansıtıyor eleştirisinden kaçınmak için bugüne kadar bu tartışmaya girmek istemedim. Gelişmeleri ve tartışmaları yakından takip etmekle sınırlı kaldım. Ancak bugüne kadar sözlü olarak belirttiğimiz bu tartışmaya ilişkin görüşlerimi artık yazıya dökmek istedim.

Kişisel veriler kavramı, konuya ilişkin bütün ulusal ve uluslararası yasal düzenlemelerde benzer şekilde ifade bulmuş; ülkemiz açısından kişisel veriler alanına özgü temel kanun olarak kabul edilen 6698 sayılı Kişisel Verilerin Korunması Kanunu'nda da; " kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi " şeklinde tanımlanmıştır. Bu bağlamda gerçek bir kişinin gündelik yaşam aktivitelerinden mesleki faaliyetlerine kadar yaşamının her alanında söz konusu olabilen ve onu tanımlamaya veya tanımlanabilir kılmaya yarayan her türlü bilginin kişisel veri niteliğinde olduğu söylenebilir. Öyleyse kişisel veriler belli bir alan veya faaliyete özgülenmiş olmayıp, kapsam ve sınırları açık ve net bir biçimde çizilmiş değildir; kişinin bulunduğu her ortamda söz konusu olabilecektir. Çalışma hayatının insanların yaşamında önemli bir yer ve zaman kapladığı günümüzde işçi-işveren ilişkisi de kişisel veriler bakımından önem arz eder. İş sözleşmesinin kuruluş aşamasında ve devamı süresince; işçi, işverene ekonomik ve hukuki bir bağımlılık içindeyken; işveren de işçisini koruma ve gözetme borcu altındadır. İşçi-işveren arasındaki bu karşılıklı ilişki işçinin kişisel verilerine müdahale oluşturabilecek unsurları barındırır. Ayrıca gelişen bilişim teknolojilerinin sağladığı imkanlar bu ilişkinin kişisel veriler ile olan bağlantısının farklı bir bakış açısıyla ele almayı zorunlu hale getirmiştir. Dolayısıyla iş ilişkisinin kurulması, çalışma süreci, işten ayrılma ve hatta işten ayrıldıktan sonrası da dahil olmak üzere iş ilişkisinde kişisel veriler özel bir önem taşır. Günümüzde işverenler tarafından işçilere ait kişisel veriler işe giriş ve çalışma sürecinde toplanıp işlenmekte ve işçiler çalışma esnasında çeşitli yollarla gözetlenmektedir. Özellikle teknolojik gelişmelerin kamusal ve özel alanlarda bireylerin elektronik şekilde gözetlenmesini sağlaması işverenlerin gözetleme isteklerini yerine getirmelerini kolaylaştırmıştır. Bu şekilde bir gözetleme, bazı durumlarda haklı olmakla beraber işçilerin kişisel alanına müdahale niteliğinde olması nedeniyle başta kişisel verilerin korunması hakkı olmak üzere; özel hayatın gizliliği ve korunması ve haberleşme hürriyeti gibi temel hak ve özgürlükler kapsamında ele alınmalıdır. Nitekim işverenlerin gözetleme faaliyetlerine ilişkin akıllara cevaplanması gereken şu sorular gelmektedir: • İşverenlerin işçilere ait kişisel veri toplamasının sebepleri nelerdir? • İşverenler tarafından elektronik izleme ve gözetleme uygulamalarına başvurmaya neden ihtiyaç duyulmuştur? • İşçilerin izleme ve gözetleme yollarıyla kişisel verilerinin elde edilmesi, toplanması ve işlenmesi hukuka uygun mudur? Hangi özelliklere bakılarak hukuka uygunluk değerlendirmesi yapılmalıdır? • Konuya ilişkin doktrin görüşleri ile Yargıtay kararları ne cevap vermektedir?

4 Ocak 2021 sabahı uyanıp cep telefonlarımızı elimize aldığımızda "WhatsApp" tarafından telefonlarımızda sözleşme değişikliğine gidileceğine ilişkin bir uyarı ile karşılaştık. Sözleşmedeki "Gizlilik İlkesi" gereğince onay vermemiz halinde verilerimizin Facebook ve bağlı şirketleri ile paylaşılacağı, onay vermememiz halinde ise bu uygulamayı belirtilen tarihten sonra kullanamayacağımızı öğrendik. Ülkesinin ordusunun kozmik odasına girilmesiyle bu kadar ilgilenmeyen ve tedirgin olmayan insanlarımız, ne kadar derin sırlar saklıyorlarsa bu değişiklikten çok tedirgin oldular ve her yerde bu konuyu konuşmaya başladılar. Sonuçta WhatsApp'ın veri paylaşıma ilişkin sözleşme değişikliği bir anda ülkemizin gündeminin baş köşesine oturuverdi. WhatsApp'ın yapmaya çalıştığı (ya da daha doğru bir deyişle dayattığı) sözleşme değişikliği nedeniyle haklı olarak korkuya kapılan ve çekinen pek çok kullanıcı bir anda Telegram, Signal veya BİP gibi mesajlaşma platformlarına geçiş yapmaya başladı. Tabi bir yandan hepimizin aklında ardı arkası kesilmeyen sorular oluştu; zira bu süreçte WhatsApp uygulaması iş yaşamımızdan özel yaşamımıza kadar hayatımızın her alanına çoktan girmişti. Bu değişiklik öylesine önemsendi ki ülkemizde, Twitter üzerinden "WhatsApp Siliyoruz" hashtagi ile uygulamaya karşı boykotlar ve toplu eleştiriler başladı. Aslında bu bir bakımdan oldukça iyi bir gelişme oldu. Böylelikle toplumun büyük bir çoğunluğu son derece önemli olan kişisel veri güvenliği konusunda farkındalık edindi, hatta aydınlanma yaşadı. Bunu da bu sürecin önemli bir yanı ve kazanımı olarak dikkate almalıyız. İşte bu yazımda kullanıcıların verilerin paylaşılması noktasında bu derece radikal bir farkındalık yaşamasına neden olan mobil uygulamaları, bunların kişisel verilerin güvenliğe yaklaşımlarını ve konunun hukuki boyutunu değerlendirmeye çalışacağım.

- by Prof. Dr. Murat Volkan Dülger
- •
- Cyber Security, Whatsapp, Kişisel Veri, Veri Koruma Hukuku

Kişisel Verileri Koruma Kurulunun " Veri sorumluları ve veri işleyenler tarafından ilgili kişilerin e-posta adreslerine veya SMS ya da çağrı ile cep telefonlarına reklam bildirimleri/aramaları yönlendirilmesinin önüne geçilmesi " ile ilgili 16.10.2018 tarihli ve 2018/119 sayılı İlke Kararı, 1 Kasım 2018 tarihli ve 30582 sayılı Resmi Gazete'de yayımlanmıştır. Karar'ın hitap ettiği kitlenin hem veri sorumlusu ve veri işleyenler tarafında hem de veri sahipleri tarafında oldukça geniş olması ve Karar'a konu olan reklam bildirimleri veya aramalarının günümüzde neredeyse vazgeçilmez derecede yoğunluk göstermesi, Karar'a karşı özellikle konunun ilgilileri tarafından büyük bir ilgi gösterilmesini sağlamıştır. Buna paralel olarak Karar'ın yayınlanmasıyla beraber birçok tartışma ve belirsizlik noktası da gündeme gelmiştir. İşte bu yazımda da Kurul tarafından yayınlanan Karar'ı başta 6698 sayılı Kanun olmak üzere konuyla ilişkili diğer mevzuatları da göz önünde bulundurarak ele alacağım.

Kişisel verilerin korunması hakkının öneminin anlaşılmasıyla beraber konuya ilişkin her gün yeni gelişmeler meydana gelmekte. Bu gelişmelerin genellikle ya yeni yasal düzenlemeler ya da mahkemelere konu olmuş uyuşmazlıklara ilişkin verilen kararlarla gerçekleştiğini görüyoruz. Özellikle son dönemlerde kişisel verilerin korunması birçok davaya konu olmuştur. Bunun nedenini hem bu hak üzerinde gerçekleştirilen müdahale ve ihlallerin artmasına hem de bireylerin zamanla konunun bilincine varıyor olmasına bağlıyorum. Günümüzde kişisel verilerin korunması hakkının ihlali sonucunu doğuracak tehlikelerle karşılaşmamak mümkün değildir. Zira günümüz teknolojisi ve bilgi dünyası bunu zorunlu kılmaktadır. Bununla birlikte özellikle somut olaylarda yaşanan uyuşmazlıklara cevap verebilecek nitelikte kapsamlı düzenlemeler ve içtihatlarla tehlikeyi en aza indirgemek mümkündür. Bu açıdan mahkeme kararları son derece önemlidir. Konuyla ilgili yaşanan son gelişmelerden biri de Sosyal Güvenlik Kurumu'nun tuttuğu kişisel sağlık verilerini satış konusu haline getirmesi ve bu hususun mahkeme kararıyla kanıtlanmış olmasıdır. Dava konusu olay CHP milletvekili A.A'nın, SGK'nın sağlık verilerini satmış olduğuna ilişkin iddiasını basın aracılığıyla duyurmasıyla başlamıştır. İddiaya göre SGK, kişisel sağlık verilerini eski milletvekili B.İ.'nin sahibi olduğu şirkete belli bir bedel karşılığında satmıştır. Ardından aynı iddia CHP milletvekili Ö.Ö. tarafından bu kez televizyon programında dile getirilmiştir. Bu iddialarla karşılaşan şirket sahibi B.İ. Ankara 11. Asliye Hukuk Mahkemesi'nde dava açarak kendisinin karalandığı gerekçesiyle tazminat talebinde bulunmuştur. Tazminat talebi reddedilen davacı, arkasından temyize gitmiş olsa da; Yargıtay 4. Hukuk Dairesi tarafından iddiaların doğru olduğu ve bunun belgelerle sabit olduğu gerekçeleriyle ilk derece mahkemesinin kararı onaylanmıştır. Bugün, her ne kadar kişisel verilerin birçok satış ilişkisine konu olduğu bilinen bir gerçek olsa da bu satışın özel nitelikli veriler üzerinde hele ki bir kamu kurumu tarafından gerçekleştirilmesi durumun ciddiyetini açık bir biçimde ortaya koymaktadır. Aşağıda yer alan soruları SGK'nın kişisel sağlık verilerini satış konu haline getirmesine ilişkin söz konusu mahkeme kararı bağlamında cevaplandıracağım. Sağlık verileri neden paylaşılamaz ya da satılamaz?

Kişisel verilerin korunmasına ilişkin farkındalık düzeyinin artmasıyla beraber ilgili kişilerin verileri üzerindeki merakının da paralel şekilde arttığını görüyoruz. Bireyler, artık verilerin kimler tarafından neden tutulduğunu, hangi amaçlarla işlendiğini ve üçüncü kişilere aktarılıp aktarılmadığını merak ediyor. Bu nedenle de veri sorumlusuna başvuruda bulunup, "hangi verilerimi neden işliyorsun ve kimlere aktarıyorsun" diyerek adeta hesap soruyor. Nitekim Kurul tarafından son zamanlarda yayınlanan kararlar çoğunlukla veri sahibinin önce veri sorumlusuna başvuru hakkını kullanması ve ardından kendisine gelen cevaptan tatmin olmaması veya hiç cevap gelmemesi üzerine Kurula şikâyette bulunması sonucunda ortaya çıkıyor. Özellikle son olarak 6 Kasım 2019 tarihinde yayınlanan karar özetleri bunun en güzel örneğidir. Kurul, bu kararlarda veri sorumlusuna, veri sahibinin başvuru hakkını kullanması karşısında nelere dikkat etmesi gerektiği bakımından çok önemli ipuçlarına yer veriyor. Görünen o ki, veri sorumluları, veri sahibine gerektiği gibi cevap vermekte oldukça zorlanmakta ve Kurul da çareyi cevap verme usulü ve esaslarını somut olaylar bağlamında da açıklığa kavuşturmakta buluyor. Ancak veri sahibinin veri sorumlusuna başvuru hakkının veri koruma hukukunu oluşturan temellerden biri olduğu unutulmamalıdır. Bu nedenle de bu hakkın öncelikle yasal dayanakları ve sonrasında da hakkın kullanılması halinde veri sahibine ne şekilde bir cevap verilmesi gerektiği açıklığa kavuşturulmalıdır. Aksi durum, gördüğümüz gibi Kurulun idari yaptırımlarına neden olmaktadır.

Kişisel verilerin korunması alanında konunun tüm paydaşları tarafından bir süreden beri merakla beklenen gelişmelerinden biri 28 Ekim 2017 tarihinde gerçekleşti ve Kişisel Verileri Koruma Kurumu tarafından 6698 sayılı Yasaya dayanılarak “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik”, 30224 sayılı ve 28.10.2017 tarihli Resmi Gazete’de yayınlandı. Hemen belirtilmeyim ki Yönetmeliğin 14. maddesine göre yürürlüğe giriş tarihi 1 Ocak 2018 olarak belirlendi. Nitekim diğer taslak halindeki yönetmeliklerde de 1 Ocak 2018 yürürlüğe giriş tarihi olarak belirlendi. Dolayısıyla bu tarih KVK hukuku açısından adeta bir başlangıç tarihi olarak belirlenmiş durumda.
6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 3. maddesinin 1. fıkrasının (b) bendinde “anonim hale getirme” kavramı tanımlanmış ve 7. maddesinde “kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi” düzenlenmiştir. 7. maddenin 3. fıkrasında ise kişisel verilerin silinmesine, yok edilmesine veya anonim hale getirilmesine ilişkin usul ve esasların yönetmelikle düzenleneceği belirtilmiştir. Ayrıca Yasanın 22. maddesinin 1. fıkrasının (e) bendinde de Kurulun görev alanı ile Kurumun işleyişine ilişkin konularda gerekli düzenleyici işlemleri yapma görev ve yetkisinde olduğu düzenlenmiştir. İşte bu düzenleme gereğince söz konusu yönetmelik düzenlenmiş ve yayınlanmıştır.
Aşağıda başlıklar halinde yönetmelikle getirilen yeni düzenlemeler ve kavramlar ile açıklanması gereken hususlara teorik ayrıntılara girmeden değineceğim.

Yazı içeriğinde, Covid-19 salgını sebebiyle gündeme gelen, kişisel sağlık verilerinin veri sorumlusu işverenler tarafından işlenmesi üzerine ortaya çıkan sorunlar ile kişisel sağlık verilerinin işlenmesi kapsamında, kanunun yürürlük tarihinden itibaren, ortaya çıkan sorunlar örnekler verilerek ele alınacaktır.
Bu doğrultuda Doç. Dr. Mesut Serdar Çekin’in 6 Nisan 2020 tarihinde kaleme aldığı “Rahmetlinin Hayatını Kurtaramadık Ama En Azından Kişisel Sağlık Verilerini Koruduk!!! Covid-19 Pandemisi Karşısında Kişisel Sağlık Verilerinin İşlenmesine Dair KVKK Hükümlerinin İş İlişkileri Kapsamında Değerlendirilmesi” başlıklı yazısına katkı ve tartışmaların derinleştirilmesi kapsamında birtakım yorumlarımız da yer alacaktır.

Kişisel verilerin korunması alanının takipçileri tarafından merakla beklenen ve ilk olarak 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda öngörülmüş olan Veri Sorumluları Siciline ilişkin kapsamlı düzenlemelere yer veren “Veri Sorumluları Sicili Hakkında Yönetmelik” 30 Aralık 2017 tarihinde 30286 sayılı Resmi Gazete’de yayınlandı. Yönetmeliğin yürürlüğe giriş tarihi ise 1 Ocak 2018 olarak belirlendi.
Öncelikle belirtmek gerekir ki Veri Sorumluları Sicili kavramı söz konusu Yönetmelikten önce 6698 sayılı Kanun’da zaten yer almaktaydı. Kanun’un 16. maddesine göre; “Kurulun gözetiminde, Başkanlık tarafından kamuya açık olarak Veri Sorumluları Sicili tutulur.” Böylece Kanun maddesiyle hem Kişisel Verilerin Korunması Kurulu’na Veri Sorumluları Sicili tutulması, hem de kişisel verileri işleyen gerçek ve tüzel kişilere sicile kayıt olma bakımından yükümlülük getirilmiştir.
Kanun’un aynı maddesinin 2. fıkrasında bu zorunluluğa Kurul tarafından istisna getirilebileceğine ve 3. fıkrasında da Veri Sorumluları Siciline kayıt başvurusunun hangi hususları içermesi gerektiğine yer verilmiştir. Son olarak Kanun, aynı maddenin 5. fıkrasıyla Veri Sorumluları Siciline ilişkin diğer usul ve esasların yönetmelikle düzenleneceğini belirterek bugün inceleme konumuz olan Yönetmelik’in çıkarılacağına dair ipucu vermiştir.
Veri Sorumluları Sicili’ne kayıt yükümlülüğünün öneminin anlaşılması adına Kanun’da öngörülmüş olan yaptırımlara da değinmek gerekir. Kanun’un ‘Kabahatler’ başlıklı 18. maddesinde; Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar, idari para cezası verileceği düzenlenmiştir. Görüldüğü gibi bu miktar oldukça yüksek olup; bu konuda dikkatli olunması gerekmektedir.
Kanun’da konuyla ilgili son olarak Kurul’un görev ve yetkileri başlıklı 22. maddesinde Veri Sorumluları Sicilinin tutulmasını sağlamak Kurul’un; Başkanlığın oluşum ve görevleri başlıklı 25. maddesinde ise Veri Sorumluları Sicilini tutmak Başkanlığın görevleri arasında sayılmıştır.
Böylece 6698 sayılı Kanun ile Veri Sorumluları Sicilinin tutulması, sicile kayıt yükümlülüğü, sicile kayıt yükümlülüğüne aykırı hareket etmenin yaptırımı gibi hususlar yüzeysel olarak düzenlenmiş olmakla beraber bu konuya geniş ve kapsamlı bir biçimde yer verilmemiş; sicile ilişkin diğer usul ve esasların Yönetmelik ile belirleneceği öngörülmüştür.
Bahsedilen Yönetmelik yukarıda belirttiğim gibi 30 Aralık 2017 tarihinde yayınlanmış olup; aşağıda konuyla ilgili diğer çalışmalarımda da olduğu gibi başlıklar halinde yönetmelikle getirilen yeni düzenlemeler ve kavramlar ile yapılan değişiklikler ve dikkat edilmesi gereken hususları belirtip, değerlendirmede bulunacağım.

Elinizde bulunan bu kitap dağıtıma girdikten dokuz ay gibi kısa bir süre içinde tükendi. Açıkçası kitabın bu kadar kısa sürede tükenmesini ve yeni bir baskı yapılmasını planlamıyorduk. Kitabın baskısının kısa sürede tükenme durumu, her ne kadar bir tıpkı basım yapmayı gündeme getirse de, tıpkı basım yaparak işin kolayına kaçmak istemedim. Zira kitaba son noktayı koyduğum günden bu yana Kişisel Verilerin Korunması alanında birçok gelişme oldu. Bu gelişme ve değişmeler hem mevzuat hem çeşitli organların verdiği kararlar nedeniyle oldu. Ayrıca bireysel olarak içinde yer aldığım uyum projelerinden edindiğim deneyimlerim ve yeni okuduğum kaynaklardan edindiğim bilgiler kitabı baştan sona güncelleme konusunda bana motivasyon kaynağı oldu. Bunun yanı sıra çeşitli vesilelerle bir araya geldiğimiz hukukçu meslektaşlarımızın kitap hakkındaki eleştirileri de güncelleme ve geliştirme açısından yol gösterici oldu.
Bu baskıda yer verdiğim değişiklik ve güncellemeler özetle şu başlıklar altında toplanabilir:
• Her şeyden önce, bu baskıda kitabın sistematiğini yeniden oluşturdum. Daha kullanışlı, daha anlaşılır ve daha okuyucu dostu bir sistem oluşturmaya çalıştım.
• Önceki baskıda yer alan yazım hataları ve terminoloji sapmalarını düzelttim.
• Konulara ilişkin çok sayıda özgün veya veri koruma otoritelerinin görüşlerine dayanan örneklere yer verdim.
• Konulara ilişkin güncel Kurul kararlarını ilgili bölümlere işledim. Ayrıca ABAD, AYM ve Yargıtay içtihatlarını da ilgili bölümlerde işledim.
• Kişisel verilerin korunması hukukunda konular ve kavramlar birbirleriyle
ilişkili ve iç içedir. Bu nedenle konuların mutlak ve keskin hatlarla ayrılması
mümkün değildir. Buna karşın konunun belirli bir metot çerçevesinde ele
alınması için konuları bölümlere ve a lt başlıklara ayırmaya çalıştım.
Kitap okunurken şu hususa dikkat edilmesi gerekir: Kavramlar ve konular birbirleriyle ilişkileri nedeniyle birden fazla başlık altında yer bulmakta. Bu nedenle bir bölümde konu ele alınırken mümkün olduğunca diğer ilgili bölümlere atıf yaptım. Özellikle terminoloji ve temel ilkelerin ele alındığı İkinci Bölüm ve kişisel verilerin korunmasında uyulacak esasların ele alındığı Dördüncü Bölüm konuları birbiriyle pek çok açıdan ilintilidir. Konuyu bir bütün olarak kavramak isteyen okuyucuların ilgili tüm bölümlere bakmasını tavsiye ederim.
Böylelikle daha anlaşılır, daha okuyucu dostu, bol örnekli, teori ve uygulama dengesini koruyan ve her ikisine de ışık tutmaya çalışan, yazarı olarak benim de okurken keyif aldığım bir kitap oluşturmaya çalıştım. Umarım ilk baskıya göre bir adım daha öne geçmeyi başarabilmişimdir.

Kişisel Verilerin Korunması Kurulu 15.04.2020 tarihinde daha önce yayımladığı kararlarla benzerlik gösteren iki karar yayımladı. Kararların değerlendirmelerine geçmeden önce belirtmek isteriz ki gerçekten kişisel verilerin korunması hukukuna hakim olunmak isteniyorsa, benzerliklerinden dolayı kararları değerlendirmekten, tartışmaktan ve üzerinde konuşmaktan kaçınılmamalıdır. Çünkü bu hukuk alanı somut duruma göre değerlendirme yapmanın gerekli olduğu (diğer hukuk alanlarına göre daha nitelikli bir durum değerlendirmesi yapılması gereken) bir alandır. Doğru bir değerlendirmenin yapılabilmesi ancak birbirinden farklılaşan özellikli durumlar hakkında bilgi sahibi olmakla mümkündür. Bu durumu küçük bir örnekle açıklamak gerekirse sigara içme bilgisi kimi zaman özlük bilgisi kategorisine giren bir kişisel veri iken kimi durumlarda ise sağlık bilgisi kategorisine giren bir özel nitelikli kişisel veri olabilir. Bunun belirlenmesi ise ancak ve ancak somut olayın değerlendirilmesi ile mümkündür. Yayımlanan kararlardan ilki veri sorumlusuna usule uygun başvuru yapılması ve veri sorumlusunun usule uygun başvuruya dürüstlük kuralları çerçevesinde cevap vermesine, ikincisi ise kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli idari ve teknik tedbirlerin alınması yükümlülüğüne aykırılığa ilişkindir. Çalışmamızın konusunu da bu iki kararın değerlendirmesi oluşturmaktadır.

- by Prof. Dr. Murat Volkan Dülger and +1
- •
- Kişisel Veri, Veri Koruma Hukuku, Veri Koruma Hukuku, Kişisel Verilerin Korunması

Kişisel verilerin korunması alanına dair esas düzenleme olan 6698 sayılı Kişisel Verilerin Korunması Kanunu, 7 Nisan 2016 tarihinde yürürlüğe girdi. Bu konuda daha önce de yasalaştırma çalışmaları yapılmış ancak uzun yıllar özellikle politik ve idari nedenlerle bu çalışmalar olumlu bir sonuca ulaşamamıştı. Nihayet AB'ye uyum çerçevesinde 95/46/EC sayılı Direktifin de büyük ölçüde esas alınmasıyla Kanun çıkarılmış ancak çeşitli yönlerden eleştiriye uğramıştır. Kanun'un çıkarıldığı sırada Avrupa Parlamentosu'nun Direktifi değiştirerek tüzük için onay vermiş olması ve Kanun'un hem eski Direktife göre hazırlanması hem de bu Direktife tam uyum sağlayamaması temel eleştiri noktalarıdır. Bununla birlikte kişisel verilerin korunmasına ilişkin temel bir düzenlemenin yapılmamış olması büyük bir eksiklikti. Bu nedenle, her ne kadar ben de Kanun'u çeşitli yönlerden eleştirsem de; Kanun'un kişisel verilerle ilgili en açık ve en somut adım olması ve kişisel verilerin korunması hukukunun oluşmasında ilk ve temel basamak olmasından dolayı, yayınlanmasını olumlu bir gelişme olarak değerlendiriyorum. Nitekim devam eden süreçte, Kanun'da detaylı bir biçimde açıklanmayan konular hakkında çeşitli yönetmelikler çıkarılmış ve konunun daha iyi anlaşılması sağlanmaya çalışılmıştır. Bu çalışmamda TBMM'nin bazı üyeleri tarafından 6698 sayılı Kanun'un çeşitli hükümlerinin hukuka aykırı olduğu iddiası ve bu hükümlerin iptali istemiyle Anayasa Mahkemesi'ne yapılan iptal başvurusunu ve başvuru üzerine Anayasa Mahkemesi'nin vermiş olduğu 28.9.2017 tarihli, 2016/125 E., 2017/143 K. sayılı kararını ele alacağım. İptali istenen hükümleri başlıklar halinde açıklayıp, bu hükümlerin iptal isteminin gerekçesini, Anayasa Mahkemesi'nin hükümlere ilişkin verdiği karar ile karar gerekçesini ve son olarak da kendi görüşümü belirteceğim.

Kitabın ikinci baskısı beş ay gibi çok kısa bir süre içinde tükendi. Kitaba ilgi gösteren tüm okurlara çok teşekkür ederim. Bu nedenle üçüncü baskıyı öngördüğümden çok daha kısa bir zaman içinde hazırlamak durumunda kaldım.
“Her şerde bir hayır vardır” sözünü hatırlatacak şekilde, tüm dünyada ve ülkemizde Covid-19 virüsü nedeniyle yaşanan pandemi sürecinde karantina ilan edilmesi nedeniyle ortaya çıkan durum, kitabı baştan sona yenilemek için gerekli olan zaman aralığını bir fırsat olarak önüme sundu. Ben de bunu değerlendirerek tüm kitabı elden geçirdim.
Bu vesileyle, bu süreçte hayatını kaybeden tüm insanlara rahmet ve yakınlarına sabır, hasta olan veya hastalığı atlatmış olanlara da geçmiş olsun dileklerimi iletiyorum. Özellikle, bizler için kendilerini riske atan tüm sağlık çalışanlarına da çok teşekkür ediyorum.
Kitabın bu baskısında yer alan yenilikler şöyle:
• Mahremiyet kavramını detaylı bir şekilde anlatan yeni bir bölüm eklendi,
• Kişisel Verileri Koruma Kurulu’nun yayınlamış olduğu tüm kararlar ve duyurular ilgili yerlere işlendi,
• Yargıtay 12. Ceza Dairesi’nin TCK m. 135-138. maddeleriyle ilgili vermiş olduğu özellikle 2018-2020 tarihli tüm kararlar gözden geçirildi ve önemli olanları ilgili bölümlere işlendi,
• Müşterek veri sorumlusu ve veri sorumlusu ile veri işleyen arasındaki ilişki GDPR karşılaştırmalı olarak detaylı biçimde işlendi,
• Bağlayıcı Şirket Kuralları ve uygulamaya etkisi açıklandı,
• Çocukların verdiği açık rızanın geçerliliği sorunu işlendi,
• Yurt dışına veri aktarım sorunu detaylı şekilde incelendi,
• Elektronik Ticaret Kanunu ile KVKK arasındaki ilişki detaylı şekilde işlendi,
• Çerez politikası konusu açıklandı,
• EDBP’nın yeni kararları ve rehberleri ile ICO’nun rehberleri ilgili bölümlere işlendi,
• Okurlara ve uygulamacılara kolaylık olması için kitabın en sonuna tüm Kurul kararlarının yer aldığı detaylı bir tablo eklendi,
• Aynı mantıkla yurt dışına veri aktarımında bulunanlar için nelere dikkat edilmesi ve yapılması gerekenlere ilişkin bir tablo hazırlanarak kitabın sonuna eklendi.
Yukarıda belirttiklerim yalnızca öne çıkan değişiklik ve eklemeler, bunun dışında da tüm kitap satır satır okunarak, okurlara mümkün olduğunca en düzgün, güncel ve hatasız bir kitap hazırlanmaya çalışıldı.

- by Prof. Dr. Murat Volkan Dülger
- •
- Privacy, Privacy and data protection, Mahremiyet, Kişisel Veri

Kişisel Verileri Koruma Kurulu'nun 16 Nisan 2019 tarihinde yayınlamış olduğu kararına veri sorumlusunun meşru menfaati konu olmuştur. Karar, veri sorumlusunun kanuni yükümlülüğünü yerine getirmek için işlediği kişisel verileri meşru menfaat çerçevesinde kullanma talebiyle Kuruma yapmış olduğu başvuru üzerine verilmiştir. Burada iki farklı işleme şartının söz konusu olduğuna dikkat edilmelidir: Veri sorumlusu "hukuki yükümlülüğünü yerine getirebilmek için" kişisel veri işlemekte veya mevcut amaca özgü işleme faaliyeti sona ermekle birlikte işlemeye devam etmek istediği kişisel verileri "meşru menfaati" çerçevesinde kullanmaya devam etmek istemektedir. Bu yöndeki talebini de Kurula bildirmiştir. Karara konu olan işleme şartlarının önemi ve kapsamı nedeniyle, öncelikle söz konusu istisna hallerini ve bu hallere ilişkin tartışmalı noktaları açıklayarak Kurulun kararını değerlendirmeye çalışacağım. Bu kapsamda özellikle Kurulun vermiş olduğu kararla getirdiği ek düzenlemelere değineceğim ve veri sorumlularının dikkatli olmaları gereken hususların altını çizeceğim. Ayrıca Kurul kararında değinilen her iki istisna halinin de ele alındığı Anayasa Mahkemesi'nin 28 Eylül 2017 tarihli 2016/125 E. ve 2017/143 K. numaralı kararına da yeri geldikçe değineceğim. Veri sorumlusunun kanuni yükümlülüğü ve meşru menfaati çerçevesinde kişisel veri işlemesine ilişkin 25/03/2019 tarihli ve 2019/78 sayılı Kararın konusu Olayda "Akaryakıt Dağıtım Firması" olarak faaliyet gösteren bir şirket, ilgili mevzuat ve kararlar gereğince bir denetim sistemi kurma yükümlülüğü altında olduklarını ve bu sistemi kurabilmek için araç sahiplerinin kişisel verilerinin işlenmesinin zorunlu olduğunu belirterek meşru menfaatlerinin korunması için açık rıza olmaksızın veri işleme talebinde bulunmuştur. Buna göre 5015 sayılı Petrol Piyasası Kanunu doğrultusunda faaliyet gösteren şirket, Enerji Piyasası ve Düzenleme Kurulu Kararı ile getirilen yükümlülük çerçevesinde satış hareketlerini (plaka, akaryakıt türü, miktar, fiyat, saat dakika ve saniye şeklinde zaman) gösteren, sorgulama imkânı veren ve ilgili Kurumun anlık erişime de açık olan bir sistem kurmuştur. İlgili şirket, bu sistemde yer alan plaka ve akaryakıt türüne ilişkin verilerin sektörde hatalı akaryakıt dolumlarına neden olması nedeniyle geliştirilen "Araç Tanıma Projesi"ni kullanmak istemektedir. Bu proje ile birlikte akaryakıt ve plaka verileri otomatik olarak eşleştirilerek yanlış akaryakıt alımları engellenmektedir. Veri sorumlusu şirket, yanlış akaryakıt dolumlarının önüne geçebilmek için kullanacağı bu sistem için tüketicinin araç plakasını kullanmak zorunda olduğunu ve böylece meşru menfaatlerinin korunmuş olacağı gerekçesiyle otomasyon sistemi kapsamında işlediği bazı verileri, veri ilgilisinin açık rızası olmaksızın ilgili proje kapsamında kullanma talebiyle Kuruma başvuruda bulunmuştur.

Kişisel Verilerin Korunması Kanunu " nun 16. maddesinin 2. fıkrası ile kısaca " VERBİS " olarak adlandırılan Veri Sorumluları Sicili'ne kayıt yaptırma yükümlülüğü düzenlenmişti. Aynı madde ile veri sorumluları siciline kayıt olma yükümlülüğüne istisnalar getirilebileceği ve hem sicilin kurulması ve işleyişi hem de istisnaların neler olacağının çıkarılacak bir yönetmelikle düzenleneceği belirtilmişti. Bu amaçla çıkarılan Veri Sorumluları Sicili Hakkında Yönetmelik'in 15. maddesinde istisna uygulanacak haller, 16. maddesinde ise istisna kriterleri düzenlenmişti. Yönetmeliğin 16. maddesinin 2. fıkrasında; Kurulun, birinci fıkrada sayılan kriterler çerçevesinde belirlenen istisnaların kapsamı ile uygulama usul ve esaslarını belirlemek amacıyla karar alma yetkisini haiz olduğu ve Kurul kararlarını uygun yöntemlerle yayımlayarak kamuya duyuracağı ifade edilmişti. Kişisel verilerin korunmasına ilişkin planlama yapmak durumunda olan tüm sektörlerde ve bu konuyla ilgilenen tüm kesimlerde uzun zamandır istisnaların yayınlanmasına ilişkin bir beklenti bulunmaktaydı. Kurul'un buna ilişkin olarak 2.4.2018 tarihli ve 2018/32 sayılı kararı, 15 Mayıs 2018 tarihli ve 30422 sayılı Resmi Gazete'de yayımlandı. Bu makalemde söz konusu karara ilişkin öne çıkan hususları inceleyeceğim.

Kişisel Verileri Koruma Kurulu bir çok farklı alanda ilke kararlar yayımlamış olup son olarak 18 Şubat 2019 tarihli Resmi Gazete’de “Sağlık verilerini Kanununun 6’ncı maddesinde yer alan işleme şartlarından birine dayanmadan üçüncü bir kişiye aktaran veri sorumlusu hakkında Kişisel Verileri Koruma Kurulunun 05/12/2018 tarihli, 2018/143 sayılı” kararını, “Kişisel verilere hukuka aykırı erişilmesini önleme yükümlülüğünü yerine getirmeyen veri sorumlusu hakkında Kişisel Verileri Koruma Kurulu’nun 26/07/2018 tarihli, 2018/91 sayılı” kararını ve “Sicil dosyalarındaki kişisel verilerin, işlenmelerini gerektiren sebeplerin ortadan kalkmaması halinde, imha edilmemesi gerektiği hakkında Kişisel Verileri Koruma Kurulu’nun 28/06/2018 tarihli, 2018/69 sayılı” kararını ilke karar olarak yayımlamıştır.
Bu kararların özelliği, dikkatli okunduğunda, aslında hukuk sistemimizde olmayan ancak GDPR ile AB’nin gündemine gelen “tasarlanmış ve önceden tanımlanmış veri koruma” ile karşılaştırmalı hukukta var olan ülkemizde bugüne kadar kabul edilmeyen “risk sorumluluğu” kavramlarını hukuk sistemimize girmesinde öncü nitelikte olmasıdır.
Bu makalemde Kurul tarafından yayımlanan söz konusu kararları başta 6698 sayılı Kanun olmak üzere konuyla ilişkili diğer mevzuatları da göz önünde bulundurarak yukarıda belirtmiş olduğum kavramlar bağlamında ele alacağım.

Kişisel verilerin korunması alanına ilişkin her geçen gün yeni gelişmelerin yaşandığı günümüzde, son olarak yine Kurul tarafından bir dizi kamuoyu duyurusunu içeren önemli bir adım atılmıştır. Belirtmeliyim ki, bir hukuk dalının oluşması o konuya özgü bir mevzuat düzenlemesi ve teori oluşturulmasından çok daha öte bir meseledir. Bir hukuk dalının oluşması için pozitif hukuk normlarının düzenlenmesi zorunlu bir unsur olmakla birlikte tek başına yeterli değildir. Bunun için daha ziyade konuya ilişkin somut olayların gerçekleşmesi, düzenlenmiş olan hukuk normlarının somut olaylara uygulanması ve bu olaylara ilişkin kararlar verilmesi gerekir. Dolayısıyla konuya ilişkin mevzuatın yanı sıra bu mevzuatın bir uygulama alanı olmalıdır. Böylece hukukun vazgeçilmez ve aynı zamanda da tamamlayıcı bir unsuru olan içtihat kavramı ortaya çıkacaktır. Zira ancak bu şekilde bir hukuk dalının oluştuğundan söz edilebilir.
İşte kişisel verilerin korunması alanı da tam olarak bu noktadadır. Kişisel Verileri Koruma Kanunu’nun yayınlanmasından bu yana özellikle yasal düzenlemeler bakımından atılan adımlar sonucunda kapsamlı bir mevzuat oluşmuştur. Kurul tarafından kendisine yapılan şikâyetler sonucunda ve somut olaylar kapsamında verilen kararlar konuya özgü uygulamanın ve içtihadın oluşmasını sağlamaktadır. Öte yandan Kanun kapsamında yapılan başvuru, şikâyet ve ihlal bildirimlerinin yayınlanması, ortaya somut örneklerin çıkması bakımından önemlidir. Bu nedenle kişisel verilerin korunması bilincinin gelişmesi ve somut olaylara konu edilmesi, nihayet bu olaylar hakkında ilgili mevzuat kapsamında kararlar verilmesi, her şeyden önce adım adım bir kişisel verilerin korunması hukukunun oluşması açısından sevindiricidir.
Bu noktada da mevzuata dayalı teorik bilgi vermekten mümkün olduğunca kaçınarak yalnızca söz konusu kararları değerlendirmeye ve uygulamada nelere dikkat edilmesi gerektiğini açıklamaya çalışacağım. Zira bugüne kadar kişisel verilerin korunması hukukunun ve bu hukukun değindiği hemen her konuda kitap, makale veya değerlendirme yazısı şeklinde yazmaya çalıştım. Bundan sonra, özellikle somut olaylara ilişkin değerlendirmelerimde hiç teorik bilgilere girmeden, doğrudan kararlara geçeceğim.

Bu gelişme karşısında ilk olarak GDPR’ın tam anlamıyla ayağının tozuyla hızlı bir giriş yaptığı söylenebilir. Gerçekten henüz yürürlüğe girmesi üzerinden bir yıl bile geçmemiş olan GDPR hükümlerinin ihlal edildiği gerekçesiyle Fransız yetkililer tarafından Google’a verilen 50 milyon Euro’luk idari para cezası bunu göstermektedir. Böylece GDPR yürürlüğe girdiğinden bu yana ilk ana ihlal gerçekleşmiş olmuş ve buna GDPR’da düzenlenen idari para cezası uygulanmıştır.

- by Prof. Dr. Murat Volkan Dülger
- •
- Privacy, PERSONAL DATA PROTECTION, Privacy (Law), Google

Kişisel verilerin korunması hakkı yasal düzenlemelere konu olması ve konuya ilişkin özel kanunların öngörülmesiyle günümüzde yeni bir hukuk dalı olarak kabul edilmektedir. Ancak bu hukuk dalı henüz kapsam, içerik ve özellikle uygulanma biçimi bakımından belirsizlikler içermektedir. Bu belirsizliklerin giderilebilmesi ve tam anlamıyla bir kişisel verilerin korunması hukukunun oluştuğunun kabul edilebilmesi için ise konuya ilişkin uyuşmazlıkların yargı makamlarının önüne gelerek içtihatların oluşması ve verilerin korunması amacıyla görevlendirilen kuruluşların açıklama ve kararlarda bulunarak bunları kamuoyuyla paylaşması gerekir. Bu bağlamda, mevzuat ile öngörülmüş ve konuyla ilgili olarak görevlendirilmiş olan Kişisel Verileri Koruma Kurulu'nun yayınları, konunun anlaşılması üzerine oluşturdukları rehberleri, tebliğleri ve bilhassa kararları büyük önem arz etmektedir. Veri sorumlularının hangi noktalara dikkat ederek hassasiyetle yaklaşması gerektiği, ihlallerin hangi konularda yoğunlaştığı ve somut olay açısından ihlal değerlendirmesinin nasıl ve neye göre yapılacağı bu kararların değerlendirilmesiyle anlaşılabilecektir. Kurul da önüne gelen somut olaylara ilişkin vermiş olduğu kararlardan sekiz tanesinin özetini bu düşünce doğrultusunda 20 Nisan 2018 tarihinde yayınlamıştı. Bundan sonra vermiş olduğu kararlardan bazılarını 3 Ağustos 2018 tarihinde ikinci kez kamuoyuyla paylaşarak konuyla ilgili akıllara gelen soruları belli ölçüde cevaplandırmak istemiştir. İlk olarak belirtmeliyim ki, önceki yayınlanan kararlardan farklı konuların yer aldığı ve veri güvenliği ihlallerinin farklı açılardan ele alındığı kararların yayınlanmış olması yerinde olmuştur. Böylece özellikle konunun ilgilileri ve Kanun'un getirdiği yükümlülüklere uyumlu hale gelmek zorunda olan veri sorumluları ve veri işleyenler açısından yol gösterici kararlara yenileri eklenmiştir.

Bu yazının konusunu Kurul'un, 10 Mayıs 2019 tarihinde yayınlamış olduğu, 2019/104 K. sayılı ve 11.04.2019 tarihli "Facebook kararı" oluşturmaktadır. Kurul'un kararına konu veri ihlali, kamuoyuna yansıyan ve "Fotoğraf API" olarak adlandırılan 13 Eylül-25 Eylül 2018 tarihleri arasında bazı üçüncü taraf uygulamalarının on iki gün boyunca yetkisini aşan düzeyde, Facebook üzerinden fotoğraflara erişmiş olabileceği iddiasına dayanmaktadır. Facebook Mühendislik Direktörü Tomer Bar bu açığı, 14 Aralık 2018'de https://developers.facebook.com/blog/post/2018/12/14/notifying-our-developer-ecosystem-about-a-photo-api-bug/ adresinden "Geliştirici ekosistemimizin bir fotoğraf API'si hatası hakkında bilgilendirme" başlığıyla yayımladığı bir açıklamayla bu iddiayı doğrulamıştır. Açıklamada, Facebook kullanıcı fotoğraflarına erişmek için üçüncü taraf uygulamalara izin veren bir fotoğraf API hatası keşfedildiği, sorunun çözüldüğü ancak bu kusur nedeniyle 13 Eylül-25 Eylül 2018 tarihleri arasında bazı üçüncü taraf uygulamaların 12 gün boyunca yetkisini aşan düzeyde fotoğraflara erişmiş olabileceği belirtilmiştir. Bunun yanında Facebook, 12 gün boyunca üçüncü parti bir uygulamaya Facebook platformu üzerinden Facebook kullanıcısı tarafından fotoğraflarına erişim izni verildiğinde sadece zaman çizelgesinde paylaştığı fotoğraflara erişim sağlaması gerekirken, açıklanan kusurdan kaynaklı Marketplace veya Facebook Stories'de paylaşılan diğer fotoğraflara da üçüncü parti uygulamaların erişim sağladığı ortaya çıkmıştır.

Kişisel Verileri Koruma Kurulu 27 Mart 2020 tarihinde COVID-19 virüsü ile mücadele kapsamında kişisel verilerin işlenmesi süreçlerine ilişkin bilinmesi gerekenlere dair bir kamuoyu duyurusu yayınladı.
Kurulun da belirttiği gibi içerisinde bulunduğumuz olağandışı pandemi halinde kişilerin verileri (TC kimlik no, adres, iş yeri, seyahat bilgileri) ve kategorik olarak diğerlerine oranla daha hassas kabul edilen özel nitelikli verilerin işlenmesi kaçınılmazdır. Bunlardan biri de “kişilerin sağlığı” ile ilgili verilerdir . Bu veriler diğer verilere oranla KVVK’nın korumasından daha fazla faydalanmaktadırlar.
Her ne kadar Kurul’a, kişisel verilerin işlenmesinin hukuka uygun ve temel ilkeler esas alınarak gerçekleştirilmesinin istisnai pandemi durumunda da geçerli olduğu ve temel hak ve özgürlüklerde geri döndürülemez zararların ortaya çıkmasının engellenmesi gerektiği noktasında katılıyor olsam da bu açıklamaların oldukça geç geldiğini belirtmem gerekir.

Kişisel verilerin korunması alanına ilişkin olarak en çok merak edilen konulardan birini şüphesiz Kişisel Verileri Koruma Kurulu'nun vereceği kararlar teşkil etmekteydi. Kurulun karar verirken hangi hususlara dikkat edeceği ve önem vereceği, kararların hangi konular üzerinde yoğunlaşacağı, somut olay açısından ihlal değerlendirmesinin neye göre yapılacağı ve kararların yayınlanıp yayınlamayacağına ilişkin birçok soru işareti, uygulamanın yeni olması nedeniyle doğal olarak akılları karıştırmaktaydı. Nihayet akıllara gelen bu tür soruları belli bir ölçüde cevaplandıracak nitelikte bir gelişme gerçekleşmiş ve Kurulun vermiş olduğu bazı kararların özetleri Kurul tarafından yayınlanmıştır. Kişisel verilere ilişkin farklı farklı ihlal kararlarının yayınlanmış olması özellikle konunun ilgilileri ve Kanun'un getirdiği yükümlülüklere uyumlu hale gelmekzorunda olan veri sorumlusu ve veri işleyenleri açısından yol göstericidir. Kurulun yayınlamış olduğu kararları; 6698 sayılı Kanun ile getirilen ve kararlara konu olan yükümlülük açısından ele alıp; somut olayda hangi noktalarda ve hangi nedenle ihlal kanaatine ulaşıldığına değineceğim. Böylece Kurulun konuya olan bakış açısının anlaşılarak Kanun'un verilen kararlar kapsamında ele alınmasını ve değerlendirilmesini sağlamaya çalışacağım.

“Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelik” birçok kez tartışma konusu olmuş ve deyim yerindeyse bir türlü yerine oturtulamamıştır. Yönetmeliğin ilk hali, 6698 sayılı Kanun henüz yayınlanmışken, içerisinde yer alan bazı kavram ve tanımlar tam anlaşılamamışken ve en önemlisi sık sık atıf yapılan Kişisel Verileri Koruma Kurulu henüz göreve başlamamışken, dolayısıyla da Kurulun bu konuda görüşleri alınmadan yayınlanmış olması sebebiyle erken bir düzenleme olduğu yönünde eleştirilmekteydi. Nitekim Yönetmeliğin yürütülmesi Danıştay tarafından durdurulmuş ancak bu doğrultuda bazı değişiklikler yapılarak Yönetmeliğin değişiklik yapıldığı haliyle tekrar yayınlanmıştır. Yapılan değişikliklerle kişisel verilerin korunması mevzuatına uyumlu ve paralel düzenlemeler yapılmaya çalışılması amacının net bir biçimde ortaya konduğunu düşünüyorum. Bununla birlikte, Yönetmeliğin değişiklik yapıldığı halinin bile kişisel verilerin korunmasının sağlanması hakkında birtakım ciddi tereddütler barındırdığını belirtmeliyim. Nitekim konuya ilişkin bir önceki değerlendirme yazımda da her bir değişiklik özelinde eleştirilerimi ifade etmiştim.
Yönetmelik, değişiklik yapıldığı haliyle de kişisel sağlık verilerinin korunması bakımından tatmin edici yenilikler getirememiş olması sebebiyle Türk Tabipleri Birliği ve Türk Dişhekimleri Birliği tarafından Danıştay’da dava konusu edilmiştir. Nihayet, Danıştay tarafından Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelikte Değişiklik Yapılmasına Dair Yönetmelik’in yürütülmesinin durdurulmasına karar verilmiştir.
Buraya kadarki gelişmeler bu şekilde olmakla birlikte, aşağıda söz konusu Danıştay kararı hakkında, durdurulması istenen maddeler ve bu maddelerin kişisel verilerin korunması mevzuatına uygunluğu bakımından ele alarak değerlendirmede bulunacağım.

Kişisel Verileri Koruma Kurulu’nun konuya ilişkin vermiş olduğu kararlardan dört tanesinin Kurum’un internet sayfası ile Resmi Gazete’de yayımlanmasına oy birliği ile karar verilmesi sonucu, söz konusu kararlar 18 Ağustos 2018 tarihli ve 30513 sayılı Resmi Gazete’de yayımlandı. Bu çalışmamda da ilgili kararları, Veri Sorumluları Sicili hakkında daha önce gerçekleştirilen yasal düzenlemeleri de göz önünde bulundurarak değerlendireceğim. Bu değerlendirme sonucunda Kanun’a uyumluluk projeleri yürüten veri sorumlularının Sicil’e kayıt yükümlülüğü aşamalarında nelere dikkat etmeleri gerektiği konusunda önerilerde bulunacağım. Böylece veri sorumluları açısından ciddi belirsizliklerin ve soru işaretlerinin bulunduğu “VERBİS’e kayıt yükümlülüğü” konusunun verilen kararlara ilişkin olarak bir nebze olsun anlaşılmasını sağlamaya çalışacağım.

Kişisel Verilerin Koruma Kurumu, 28 Ekim 2017 tarihli Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmelik’te ve 30 Aralık 2017 tarihli Veri Sorumluları Sicili Hakkında Yönetmelik’te değişiklik yoluna gitmiş ve bu değişikliklere ilişkin yönetmelikler 28 Nisan 2019 tarihli ve 30758 sayılı Resmi Gazete’de yayınlanmıştır. Kişisel veri koruma mevzuatındaki ikinci gelişme ise 17 Mayıs 2019 tarihli ve 30777 sayılı Resmi Gazete’de yayınlanmıştır. Burada Kurum tarafından Kişisel Verileri Koruma Kurumu Disiplin Amirleri Yönetmeliği getirilmiş ve Kişisel Verileri Koruma Kurulu Çalışma Usul ve Esaslarına Dair Yönetmelik’te ise değişiklik yoluna gidilmiştir.
Bu yazımda söz konusu değişikliklerin neleri ifade ettiğini ve uygulamada ne gibi kolaylıklar veya zorluklar getireceğini ele alacağım.

https://www.seckin.com.tr/kitap/342559155
• Avrupa Konseyi Siber Suç Sözleşmesi ve Sözleşmeyi Açıklayıcı Metin
• Avrupa Suç Sorunları Komitesi (CDPC) Nihai Faaliyet Raporu
• Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi (1981)
• Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesine Ek Denetleyici Makamlar ve Sınıraşan Veri Akışına İlişkin Protokol
• Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR)
• Kişisel Verilerin İşlenmesi ve Bu Tür Verilerin Serbest Dolaşımına Dair Bireylerin Korunması Hakkında Avrupa Konseyi ve AP Direktifi
• TCK(Gerekçeli) – CMK – PVSK - FSEK (İlgili Maddeler)
• Kişisel Verilerin Korunması Kanunu (Gerekçeli)
• İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun (Gerekçeli)
• Elektronik Haberleşme Kanunu - Basın Kanunu - Cezai Konularda Uluslararası İşbirliği Kanunu
• Elektronik İmza Kanunu (Gerekçeli)
• Banka Kartları ve Kredi Kartları Kanunu (Gerekçeli)
• Elektronik Ticaretin Düzenlenmesi Hakkında Kanun
• Erişim Sağlayıcıları Birliği Tüzüğü
• Ceza Muhakemesinde Ses ve Görüntü Bilişim Sisteminin Kullanılması Hakkında Yönetmelik
• Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetin Sağlanması Hakkında Yönetmelik
• İnternet Ortamında Yapılan Yayınların Düzenlenmesine Dair Yönetmelik
• Ticari İletişim Ve Ticari Elektronik İletiler Hakkında Yönetmelik
• Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ
• Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ
• Bilgi Sistemleri Yönetmeliği Tebliği
Ve Bilişim, Kişisel Verilerin Korunması ve İnternet İletişimi ile ilgili diğer bütün uluslararası düzenleme, kanun, tüzük, yönetmelik ve genelgeyi içermektedir.