Stj.Av. Tolga Koncagül

Giriş

Kişisel Verinin Tanımı ve Kişisel Verilerin Korunmasını Talep Hakkının Dayanağı

»Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişilere ait her türlü bilgi olarak tanımlanır. Gerçek kişiler için kişiler verilerin korunmasını talep etme hakkı dayanağını Anayasa’nın 20. maddesinde ve Avrupa Birliği Temel Haklar Bildirgesinin 8. maddesinden alan bir temel haktır. Hukuk düzenimizde bu temel hakkı etkili bir şekilde koruyabilmek için Avrupa Birliği’nin 1995 tarih ve 46 sayılı Veri Korunması Yönergesi esas alınarak oluşturulan 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), Parlamentoda 24.03.2016 tarihinde kabul edilmiş ve 07.04.2016 tarihli Resmi Gazetede yayımlanarak yürürlüğe girmiştir.

»Kişisel veriler şahıs varlığı hakkı olup kapsamı KVKK madde 2′ de şu şekilde belirtilmiştir: ”Bu Kanun hükümleri, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır.” Maddeden de anlaşıldığı üzere kişisel verilerin korunmasını talep hakkı gerçek kişilere tanınmış bir hak olup tüzel kişiler ve vefat eden kişiler bu korunmanın kapsamında değildir. KVKK’da düzenlenen özel hükümler dışında Türk Medeni Kanununda da kişilik haklarını koruyan genel hükümler düzenlenmiş olup kişisel veriler bu hükümlere göre de korunabilir.

»Kişisel verileri koruyan tüm kanun hükümleri kişisel verileri koruma hukukunun genel ilkelerine göre yorumlanır. Doktrinde kişisel veriler ikili bir ayrıma tabi tutulmuştur. Buna göre kişisel veriler, özel nitelikli kişisel veriler ve genel nitelikli kişisel veriler olarak ikiye ayrılır. Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli verilerdir. KVKK 6.maddede özel nitelikli kişisel verilerin neler olduğu sayılmıştır. 6.maddede belirtilen hususlar sınırlı sayı ilkesine tabidir. Bu kapsama giren her türlü veri özel nitelikli kişisel veri kapsamında değerlendirilir. Genel nitelikli kişisel veriler ise özel nitelikli kişisel veri kapsamına girmeyen her türlü veri olarak değerlendirilir. Teknolojik yeniliklerle ortaya çıkan ve özel nitelikli kişisel veri kapsamını düzenleyen maddeye eklenmeyen her türlü veri genel nitelikli kişisel veri kapsamına girer. Özel nitelikli kişisel verilerden farklı olarak genel nitelikli kişisel verilerde sınırlı sayı ilkesi geçerli değildir.

Kişisel Verilerin İşlenmesi Tanımı ve Şartları

»Kişisel verilerin işlenmesi tanımı KVKK 3. maddesinin e bendinde belirtilmiş olup maddede:

ʺKişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemʺ

olarak tanımlanmıştır.

»Kişisel verilerin işlenme şartları da aynı kanunun 5. maddesinde belirtilmiştir ve sınırlı sayı ilkesine tabidir. Buna göre kişisel verilerin işlenebilmesi için ilgili kişinin açık rızası, kanunlarda açıkça öngörülmesi, bir sözleşmenin kurulması veya ifasıyla doğrudan ilgiliyse sözleşmenin taraflarına ait kişisel verilerin saklanması gerektiği hallerde, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması halinde, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması halinde, ilgili kişinin kendisi tarafından kamuoyuna açıklandığı durumlarda, bir hakkın belirlenmesi, kullanılması veya korunması için veri işlemenin zorunlu olduğu hallerde, ilgili kişinin temel hak ve özgürlüklerini zedelemediği sürece veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olduğu haller kişisel veri işleme şartlarını oluşturur.

Kişisel Verilerin İşlenmesinde Rıza

»KVKK’ya göre rıza, kişinin sahip olduğu verinin işlenmesine, kendi isteği ile ya da karşı taraftan gelen istek üzerine, onay vermesi anlamını taşımaktadır. 95/46 EC sayılı Avrupa Birliği Direktifinde açık rıza; ”ilgili kişinin kendisiyle ilgili veri işlenmesine, özgürce, konuyla ilgili yeterli bilgi sahibi olarak, tereddüde yer bırakmayacak açıklıkta ve sadece o işlemle sınırlı olarak verdiği onay beyanı” şeklinde anlaşılmakta olup, Avrupa Birliği’nde yalnızca özel nitelikli verilerin işlenmesi için açık rıza şartı aranmıştır. Ülkemizde kural olarak her türlü kişisel verinin işlenmesi için açık rızaya ihtiyaç duyulmaktadır. Bu açıdan Kanununumuz, Avrupa Birliği düzenlemelerine kıyasla daha koruyucu niteliktedir. Rıza açıklaması veri işleyene gerçekleştireceği fiil konusunda yol gösterici niteliktedir. Kişi rıza açıklaması ile aslında veri işleyene kendi hukuksal değerine ilişkin verdiği kararı bildirir.

»Rıza açıklaması ilgilinin, işlenmesine izin verdiği verinin sınırlarını, kapsamını, gerçekleştirilme şeklini belirtir ve süresini de belirlemesini sağlar. Ayrıca açık rıza kural olarak yazılı şekle tabi değildir. Elektronik ortamda da açık rıza alınabilir. Kişisel veri ilgilinin açık rızası haricindeki şartlardan birine dayanarak işleniyorsa ilgili kişinin rızası aranmaz. Dikkat edilmesi gereken husus açık rıza dışı bir şarta dayanarak veri işlenebiliyorken veri işlemenin açık rızaya dayandırılarak işlenmesi hakkın kötüye kullanımı sayılacaktır. Örnekle açıklayacak olursam işverenin çalışanı teşvik etmek amacıyla bir yıllığına ikramiye verecek olması ve bunun takibi için ikramiye alanların kaydının tutulması için işçilerinden izin alması. Örnekte işveren veri sorumlusunun meşru menfaati şartından faydalanabilecekken açık rıza şartına dayanmış olursa işçinin rızayı geri çekmesi halinde veri sorumlusunun diğer kişisel veri işleme şartlarından birine dayalı olarak veri işleme faaliyetini sürdürmesi hukuka ve dürüstlük kurallarına aykırı işlem teşkil edecektir. Bu sebeple açık rıza şartı haricindeki şartlardan biri sağlanıyorsa açık rıza şartına başvurulmamalıdır. Son olarak kişisel veri faaliyetinin amacı birden fazla kişisel veri işleme şartına dayanabilir.

İlkeler

Genel olarak

»Kişisel verilerin toplanması ve işlenmesine ilişkin ilkeler AB yönergesinden iktibas edilmiş olup KVKK madde 4’te düzenlenmiştir. Buna göre:

 “Genel ilkeler

MADDE 4- (1) Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.

(2) Kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması zorunludur:

a)Hukuka ve dürüstlük kurallarına uygun olma.

b)Doğru ve gerektiğinde güncel olma.

c)Belirli, açık ve meşru amaçlar için işlenme. ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma. d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.”

 olarak maddede uyulması zorunlu beş ilkeden bahsedilmiştir.

»Verilerin korunması için elzem olan bu ilkeler birbirleri ile bağlantılıdır ve bu ilkelere uyulması zorunludur. Bu durum kişisel verilerin korunması kapsamında bütün yasal düzenlemelere uygunluk açısından da temel teşkil etmektedir. Yukarıda anlatılan ilkeler arasındaki bağlantıyı daha rahat anlaşılabilmesi için örneklendirerek şu şekilde açıklayabiliriz; Hukuka ve dürüstlük kuralına uygun olma ilkesi sadece kişisel verilerin korunmasına özgü bir ilke olmayıp hukukun her alanında elzem bir ilkedir. Hukuka ve dürüstlük kuralına uygun olmayan bir veri işleme faaliyetinin doğru ve gerektiğinde güncel olma ilkesine uygun olması bir anlam ifade etmeyecektir. Kişisel verilerin korunmasına ilişkin maddede sayılan genel ilkeler somut, katı kurallar içermemektedir. Bu ilkeler veri koruma düzenlemelerine uygunluğa ilişkin kuralları içermektedir. Bu ilkelere uyulmaması hukuka aykırılık teşkil eder. Bu ilkeler sırayla aşağıda açıklanmıştır.

Hukuka ve dürüstlük kuralına uygun olma ilkesi:

»Hukuk sistemimizdeki diğer alanlarda olduğu gibi burada da dikkate alınmaktadır. Bu ilke kısaca hukuk devleti olmanın bir gereği olup, Medeni kanun 2.maddede belirtilen dürüstlük kuralına uygun şekilde hareket edilmesi ayrıca veri işleyen kişilerin kötü niyetli hareket etmemesi gerekir. Verinin işlenmesi “açık rıza” veya bunun dışında kanunlarda işlemenin açık bir şekilde izin verildiği hukuka uygunluk sebeplerinden birisi kapsamında işlenmesi halinde veri işleme hukuka uygun hale gelir. Veri sorumlusu, veri işlemedeki amacına yönelik işlem yaparken, ilgili kişilerin çıkarlarını ve makul beklentilerini dikkate almalıdır. İlgili kişinin beklemediği ve beklemesinin de gerekmediği sonuçların ortaya çıkmasını önleyici eylem ve işlemlerden kaçınması gerekir. İlkenin bir gereği olarak ayrıca ilgili kişi için söz konusu veri işleme faaliyetinin şeffaf olması ve veri sorumlusunun bilgilendirme ve uyarı yükümlülüklerine uygun hareket etmesi de gerekmektedir. Veri işleyenin ayrıca hukuka aykırı veri işlenmesini önlemek için gerekli tedbirleri de alması gerekmektedir.

»Bu konuya ilişkin Kişisel Verileri Koruma Kurulunun İlgili kişi tarafından alenileştirilen kişisel verinin, alenileştirme amacı dışında işlenmesi konulu 07/11/2019 Tarihli ve 2019/331 Sayılı Kararında “Şikâyetçinin kişisel verilerine kendisi tarafından daha önce alenileştirilen internet sitesinden ulaşılması halinde dahi Şirket tarafından Şikâyetçinin bu bilgilerinin internet sitesinde bulunma ve alenileştirilme amacıyla kullanılmadığı, diğer bir deyişle Şikâyetçinin mesleki yetkinliğinden faydalanmak için kendisine ulaşılmaya çalışılmadığı, aksine Şirket faaliyetlerine ilişkin randevu talebi ile Şikâyetçinin arandığı anlaşıldığından, Şirket tarafından gerçekleştirilen veri işleme faaliyetinin 6698 sayılı Kişisel Verilerin Korunması Kanununun 5 inci maddesinin (2) numaralı fıkrasının (d) bendi çerçevesinde değerlendirilemeyeceği kanaatine varılmış olup, bu kapsamda Şirketin kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almayarak Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendine aykırı davranmış olması nedeniyle Şirket hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 100.000 TL idari para cezası uygulanmasına karar verilmiştir.” denmiştir.

 Doğru ve gerektiğinde güncel olma ilkesi

»Doğru ve gerektiğinde güncel olma ilkesi beraberinde aktif özen yükümlülüğünü getirir. Aktif özen yükümlülüğünün gereği olarak veri sorumlusunun ilgili kişinin verilerin düzeltilmesini talep etmesine imkan tanıyacak koşulları sağlaması gerekir. Kişisel verilerin doğru ve güncel olması gerektiğine atıfta bulunan bu ilke Kanunda öngörülen ilgili kişinin, verilerin düzeltilmesini talep etme hakkının bir sonucudur.

»Kişisel verilerin doğru ve güncel bir şekilde tutulması hem veri sorumlusunun çıkarlarıyla bağdaşmakta hem de ilgili kişinin temel hak ve özgürlüklerinin korunması açısından da önem arz etmektedir. Örneğin kişinin yaşam yerine ilişkin bir verinin yanlış tutulması sonucunda hatalı sonuçlardan ötürü başvuru vb. işlemlerde adresin önem arz ettiği durumlarda sorun teşkil edebilir.

Belirli açık ve meşru amaçlar için işlenme ilkesi

»Belirli açık ve meşru amaçlar için işlenme ilkesi, ilgili kişisel veri işlemlerinin açık bir şekilde verisi işlenen taraf tarafından anlaşılabilmesi, kişisel veri işleme faaliyetlerinin hangi hukuki dayanağa sahip olduğunun belirli olması, kişisel veri işleme faaliyeti ve faaliyetin gerçekleştirilme amacının belirliliğinin açıkça ortaya konmasını sağlamak amacıyla kanunda düzenlenmiştir. Kanunda açıkça belirtilmese de hesap verilebilirlik ilkesiyle bu ilke iç içedir. Amacın açık ve meşru olması şarttır.

»Örneğin online bir mağazanın müşterinin adı soyadı haricinde TC kimlik no’su nu da veri olarak işlemesi bu meşru değildir bu sebeple bu ilkeye aykırıdır. Bu ilkeye başka bir örnek ise Kişisel Verileri Koruma Kurulunun 27/02/2020 Tarihli ve 2020/173 Sayılı Kararıdır. Kararda; Amazon Turkey Perakende Hizmetleri Limited Şirketince işlenen kişisel veriler hakkında yapılan başvuru sonucunda alışveriş yapabilmek için zorunlu olan üye hesabı oluşturulması amacıyla “Kullanım ve Satış Şartları”nı kabul ederek elektronik iletişim izni verilmiş sayılmanın özgür irade ile verilmiş bir açık rıza olarak değerlendirilemeyeceği, bu sebeple kişisel verilerin işlenmesinde “hukuka ve dürüstlük kurallarına uygun olma”, “belirli, açık ve meşru amaçlar için işlenme” ve “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkelerine uyulmadığından ve KVKK 8-9.cu maddelerinin ihlaliyle beraber veri sorumlusu tarafından Kanunun 12’nci maddesinin (1) numaralı fıkrasındaki yükümlülüklerin yerine getirilmemesinden dolayı Kanunun 18’inci maddesinin (1) numaralı maddesinin (b) bendi kapsamında 1.100.000 TL idari para cezası uygulanmasına, karar verilmiştir.”

 İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkesi

»İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkesi, veri ekonomisi ilkesi olarak da adlandırılmakta olup amaca yetecek oranda verinin işlenmesini amaçlar. Bu ilke kişisel verilerin işlenmesinin ikincil nitelikte kalmasını, istenen amaca kişisel verilerin işlenmesinden başka bir şekilde ulaşma imkanı varsa bu yöntemin tercih edilmesi gerektiğini de vurgular. ”Ölçülülük ilkesi, veri işleme yapılmaksızın amaca ulaşmanın mümkün olmadığı hallerde kişisel veriler işlenirken gündeme gelir.” Böyle bir sınırlamaya gidilmesinin sebebi özel hayatın gizliliği, haberleşme özgürlüğü gibi bireylerin sahip olduğu birtakım hakların ihlalini önlemektir.

»Danıştay’ın 11.Daire Başkanlığı 2017/816 Esas ve 2017/4906 numaralı Kararında “davalı idarenin personellerinin yüz tanıma sistemi ile mesai kontrolünün yapılması uygulamasının personelden kişisel veri alınması kapsamında olduğu, kamusal alanda da olsa “özel hayatın gizliliği” ilkesi kapsamında bulunduğu açıkça görülmektedir, dava konusu işlem tarihi itibarıyla uygulamanın sınırlarını usul ve esaslarını gösteren bir yasal dayanağın bulunmaması, toplanan verilerin ileride başka bir şekilde kullanılamayacağına dair bir güvencenin mevcut olmaması göz önüne alındığında, temel haklar ve Anayasal ilkelerle bağdaşmayan dava konusu işlemde ve davanın reddi yolundaki mahkeme kararında hukuka uygunluk bulunmamaktadır.’‘ denilerek bu ilkeye atıfta bulunulmuştur.

İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkesi

»İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkesi, varsa mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar saklanması gerekliliğini vurgular. Kanuni mecburiyet bulunmadığı takdirde veya verinin kullanım amacının gerçekleşmesinden itibaren kişisel verilerin yok edilmesi veya anonimleştirilmesi gerekir.

»Eğer kanunda ilgili verinin ne zaman yok edilmesi gerektiği hakkında bir hüküm bulunmuyorsa amaç için gerekli sürenin objektif olarak belirlenmesi gerekir. Bu belirlemeyi kişisel verileri koruma kurulu yapar. Kurulun belirlediği süreye uyulmaması halinde Türk Ceza Kanunu madde 138 gereği süreye uymayanların cezalandırılması gündeme gelir.