Stj. Av. Mehmet Çağrı Telligözoğlu
Kişisel Veri:
Kişisel veri, ilgili kanunun 3. Maddesi olan “Tanımlar” kısmında, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak tanımlanmıştır. Aynı maddede kişisel verilerin işlenmesi tanımı da yapılmıştır. Kişisel verilerin işlenmesi; kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem, olarak tanımlanmıştır. Kişisel verilerin korunması kavramı, Anayasal hak olan özel hayatın gizliliği kapsamında olduğundan, bu iki kavram arasında bağlantıya sıkça rastlanmaktadır.
Anayasa Doğrultusunda Özel Hayatın Gizliliği:
1. Anayasa m. 20/1’e göre; “Herkes, özel hayatına ve aile hayatına saygı gösterilmesini isteme hakkına sahiptir. Özel hayatın ve aile hayatının gizliliğine dokunulamaz.”
2. Millî güvenlik, kamu düzeni, suç işlenmesinin önlenmesi, genel sağlık ve genel ahlâkın korunması veya başkalarının hak ve özgürlüklerinin korunması sebeplerinden biri veya birkaçına bağlı olarak, usulüne göre verilmiş hâkim kararı olmadıkça; yine bu sebeplere bağlı olarak gecikmesinde sakınca bulunan hallerde de kanunla yetkili kılınmış merciin yazılı emri bulunmadıkça; kimsenin üstü, özel kâğıtları ve eşyası aranamaz ve bunlara el konulamaz. Yetkili merciin kararı yirmi dört saat içinde görevli hâkimin onayına sunulur. Hâkim, kararını el koymadan itibaren kırk sekiz saat içinde açıklar; aksi halde, el koyma kendiliğinden kalkar. (Anayasa m. 20/2).
3. Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilmesini, bu verilere erişmesini, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmesini de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller, kanunla düzenlenir. (Anayasa m. 20/3). Bu düzenleme ile kişisel verilerin korunması hakkına anayasal bir nitelik kazandırılmış olup, bir temel hak ve özgürlük olan bu hakkın sınırlandırılması da ancak Anayasa’nın 13. maddesine uygun bir şekilde gerçekleştirilebilir. Nitekim Anayasa’nın 13. maddesi: “Temel hak ve hürriyetler, özlerine dokunulmaksızın yalnızca Anayasanın ilgili maddelerinde belirtilen sebeplere bağlı olarak ve ancak kanunla sınırlanabilir. Bu sınırlamalar, Anayasanın sözüne ve ruhuna, demokratik toplum düzeninin ve lâik Cumhuriyetin gereklerine ve ölçülülük ilkesine aykırı olamaz.” şeklinde hüküm kurmaktadır.
Kişisel Verilerin Korunması Kanunu’nun Gelişimi:
KVKK’nın tarihçesine kısaca bakıldığında, ilk olarak kişisel verilerin korunmasına yönelik 1981 yılında Avrupa Konseyi’nin çıkardığı 108 sayılı Sözleşme ve ardından Avrupa Birliği’nin 1995 yılındaki 95/46 EC sayılı Direktifi’nin ardından konunun Türkiye’nin iç hukukunda aktif edilmesi gerektiğinden 6698 sayılı Kişisel Verileri Koruma Kanunu (KVKK) 7 Nisan 2016 tarihinde yayımlanarak yasalaşmıştır. Söz konusu kanuna kadar yakın tarihte kişisel veriler, Anayasa, TMK, TCK çerçevesinde korunurken, ilgili kanunun 07.04.2016 tarihinde Resmî Gazete’de yayımlanmasıyla birlikte ilgili verilerin korunması konusunda özel bir düzenleme ortaya çıkmıştır.
KVKK’nın Amacı ve Kişisel Verilerin İşlenmesi:
1. KVKK m. 1’de; “Kişisel verilerin korunması kanununun amacı, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektedir. (KVKK m. 1).
2. Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir. Kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması zorunludur: (KVKK m. 4/1,2)
· Hukuka ve dürüstlük kurallarına uygun olma.
· Doğru ve gerektiğinde güncel olma.
· Belirli, açık ve meşru amaçlar için işlenme.
· İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.
· İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.
Anılan madde hükmünden anlaşılacağı üzere, kişisel verilerin işlenmesinde her hal ve şartta Kanunun 4. maddesinde sayılan ilkelere uyulması bir gerekliliktir.
3. Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez.Ancak aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür: (KVKK m. 5/1,2)
· Kanunlarda açıkça öngörülmesi.
· Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
· Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
· Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
· İlgili kişinin kendisi tarafından alenileştirilmiş olması.
· Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
· İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
4. Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir. Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.
Yukarıda sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir. Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır. (KVKK m. 6).
Kişisel Verileri Koruma Kurulu’nun 21.09.2021 Tarihli 2021/962 Sayılı Kararı:
Konu Özeti: İlgili kişinin talebi ya da rızası olmaksızın özel bir hastane çalışanı tarafından e-nabız sistemine erişim sağlanması hakkındadır.
İlgili kararda;
“veri sorumlusu tarafından kişisel veri güvenliğine ilişkin alınan teknik ve idari tedbirlere dair savunma ve belgeler Kuruma iletilmiş olmakla birlikte ilgili kişinin şikâyeti kapsamında somut olayda e-nabız sistemine giriş yetkisinin veri sorumlusu hastanenin çalışanı olan hekime ait olduğu ancak hekimin yanında sekreter olarak görev yapan kişi tarafından yazılı olarak dile getirildiği üzere ilgili kişinin e-nabız sistemine, yanında çalıştığı hekimin hastasını muayene ettiği esnada kendisi tarafından erişim sağlandığı dikkate alındığında veri sorumlusu tarafından 6698 sayılı Kanunun 12 nci maddesinde düzenlenen kişisel verilere hukuka aykırı olarak erişilmesini önlemeye yönelik makul idari ve teknik önlemlerin alınmadığına”
hükmedilmiştir. Bu karar üzerine, yukarıda da belirtildiği gibi özel nitelikli kişisel verilerin işlenmesi konusunda ilgilinin açıkça rızası alınmış olmalıdır. Ancak sağlık ve cinsel hayata ilişkin kişisel verilerde ise bazı durumlarda rıza aranmaksızın, yetkili kurum ve kuruluşlar, sır saklama yükümlülüğü kapsamında kişisel verileri işleyebilir. Karara baktığımızda; doktorların kişilerin açık iznine dayanmadan ilgili sağlık sistemine giriş yetkisi bulunmasına rağmen yanında çalışan kişilerin veri sahibinin izni olmadan sisteme giriş yapmaları, kişisel verilerin korunması hakkını ihlal etmektedir.
Bilgi Edinme Kanunu Kapsamında Bilgi Edinme Hakkı:
1. Anayasa 20/3’te düzenlenmiş olan; “Kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilmesi, bu verilere erişmesini talep etmesi” bilgi edinme hakkının Anayasa’nın da himayesinde olduğunun göstergesidir. Bilgi kavramı, 09.10.2003 tarihinde kabul edilen Bilgi Edinme Hakkı Kanunu m.3’te düzenlenmiştir. Bu kanuna göre bilgi; kurum ve kuruluşların sahip oldukları kayıtlarda yer alan bu Kanun kapsamındaki her türlü veri, olarak tanımlanmıştır. Aynı kanunda düzenlenmiş olan m.1‘e göre bu kanunun amacı, demokratik ve şeffaf yönetimin gereği olan eşitlik, tarafsızlık ve açıklık ilkelerine uygun olarak kişilerin bilgi edinme hakkını kullanmalarına ilişkin esas ve usulleri düzenlemektir. Herkes anayasal bir hak olan bilgi edinme hakkına sahiptir. Anayasal bir hak olarak düzenlenmiş olan bilgi edinme, aynı zamanda ifade özgürlüğü kapsamında da değerlendirilebilir. Ancak ilgili kanunun 21. maddesi kapsamında; “Kişinin izin verdiği haller saklı kalmak üzere, özel hayatın gizliliği kapsamında, açıklanması halinde kişinin sağlık bilgileri ile özel ve aile hayatına, şeref ve haysiyetine, mesleki ve ekonomik değerlerine haksız müdahale oluşturacak bilgi ve belgeler, söz konusu hak kapsamı dışındadır.”
Kişisel Verileri Koruma Kurulu’nun 06.05.2021 Tarihli 2021/470 Sayılı Kararı:
Konu Özeti: İlgili kişinin yemek kartı hesap hareketlerine ilişkin erişim talebinin veri sorumlusu tarafından yerine getirilmediği iddiası.
Kararda ilgili;
“Kendisine işvereni tarafından tahsis edilen yemek kartına ait hesap hareketlerinin, tarafına iletilmesinin talep edilmesine rağmen, veri sorumlusu tarafından verilen cevapta ise, istenilen bilginin sağlanması için kimliği doğrulayacak ilave bilgiler talep edildiği, bunun üzerine dilekçe ve kimlik görüntüsünün veri sorumlusuna e-posta aracılığıyla iletildiği, veri sorumlusu şirketin gönderdiği e-postada ise ilgili bilgilerin ekte paylaşıldığı ancak ilave güvenlik önlemi alınması nedeniyle ekte paylaşılan dokümana erişilebilmesi için e-postada yer alan cep telefonu numarasının aranması gerektiğinin belirtildiği, getirilen bu ilave güvenlik önleminin hukuka aykırı olup şahsına ait verilere erişmesinin engellendiği ve hesap hareketlerinin 6698 sayılı Kişisel Verilerin Korunması Kanunu’na uygun olarak paylaşılmadığı belirtilerek Kanun kapsamında gereğinin yapılmasını” talep etmiştir..
Veri sorumlusu cevabında ise;
“İlgili kişinin gmail adresinden veri sorumlusuna gönderdiği e-postada … nolu yemek kartı kullanıcısı olduğunu belirterek Kanun’un 11’inci maddesi uyarınca tüm hesap hareketlerini ve işlenen verileriyle ilgili açıklamaları talep ettiği, yapılan inceleme sonucunda söz konusu e-posta adresi sistemde kayıtlı olmadığından, ilgili iletişim kanalının teyit edilemediği ve ayrıca ilgili kişi tarafından sunulan kart numarasının hatalı bir numara olduğunun görüldüğü, ilgili kişinin daha önce veri sorumlusu sisteminde tanımlı olmayan ve “gmail” gibi altyapısı yurtdışında barındırılan bir e-posta adresine kişisel verilerinin gönderilmesini talep etmesi nedeniyle risk değerlendirmesi yapılarak e-posta ortamında güvenliği en üst düzeyde temin etmek amacı doğrultusunda talebin yanıtlandığı ve ek olarak dosyanın şifrelendiği, ilgili kişinin dosya şifresinin kendisine verilmesi için doğrudan arayabileceği bir telefon numarasının kendisine bildirildiği ve bu güvenlik tedbirinin neden alındığının açıkça izah edildiği”
şeklinde ifade etmiştir. Bu değerlendirmelerden hareketle Kurul,
“Yemek kartına ait hesap hareketlerinin tamamen kişisel veri olmasına rağmen, veri sorumlusu tarafından e-posta aracılığıyla ilgili kişi tarafından belirtilen “gmail” adresine gönderilen ve kişisel verileri içeren söz konusu dosyanın şifrelenmesinin ilgili kişinin iddiasının aksine Kanun’un 12. maddesinin (1) numaralı fıkrasının (b) bendi gereğince, kişisel verilere hukuka aykırı olarak erişilmesini önlemek amacıyla uygun güvenlik düzeyini temin etmek amacıyla gerekli her türlü teknik ve idari tedbiri alma yükümlülüğünü yerine getirmek adına makul bir tedbir olduğuna, alınan bu güvenlik tedbirine ilişkin gerekli açıklamanın ilgili kişiye yapıldığı ve e-posta içerisinde yer alan telefon numarası arandığında şifrenin ilgili kişiyle derhal paylaşılacağının belirtildiği dikkate alındığında, kişisel verilere erişim hakkının engellenmediğine, bu doğrultuda veri sorumlusu hakkında Kanun kapsamında yapılacak bir işlem bulunmadığına”
karar vermiştir.
Kişinin kendi kişisel verilerini talep etmesi, Anayasa ve Bilgi Edinme Kanunu’nda düzenlenen bilgi edinme hakkı olarak değerlendirilir. İlgili karar doğrultusunda, veri sahibi, kişisel verileri hakkında bilgi talep etmiş ancak talep, veri sorumlusu tarafından tedbirli bir şekilde iletilmiştir. İlgilinin veri talebinin tedbirli gönderilmiş olması, ilgilinin kişisel verilerine ulaşmasını engellememekte, verilerin diğer risklerden korunmasını sağlamaktadır. Söz konusu tedbir, geçerli bir neden olarak değerlendirilmiş, ihlal oluşturmadığına karar verilmiştir.
Dava Aydınlatma Yükümlülüğü Doğrultusunda Yargı Makamlarının Kişisel Verileri İşlemesi:
1. HMK. m.31’de ayrıca hâkimin davayı aydınlatma yükümlülüğü düzenlenmektedir. İlgili kanun maddesinde; “Hâkim, uyuşmazlığın aydınlatılmasının zorunlu kıldığı durumlarda, maddi veya hukuki açıdan belirsiz yahut çelişkili gördüğü hususlar hakkında, taraflara açıklama yaptırabilir, soru sorabilir, delil gösterilmesini isteyebilir.” İlgili kanunun 216/2. maddesinde ise; “Belgenin aslını elinde bulunduran taraf, üçüncü kişi veya resmi makamlar, istenmesi halinde bunu mahkemeye vermek zorundadır.” şeklinde hüküm kurulmuştur.
2. KVKK m.28’de ise kişisel verilerin işlenmesi konusunda istisnai hükümler belirtilmiştir. İlgili maddenin (1). fıkrası (ç), (d) bentlerinde;
“(ç): Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi.
(d): Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi gibi durumlarda bu Kanun hükümleri uygulanmaz.”
şeklinde ifade edilmiştir. Yine KVKK m.28/2, (a)’da ise; “Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması halinde de Kanunun uygulanmayacağı” ifade edilmiştir.
Sonuç olarak;
Yargı makamları tarafından gerçekleştirilen suç soruşturması kapsamında, ilgili makamca kişisel verilerin işlenmesi halinde Kişisel Verilerin Korunması Kanunu’nun uygulanmayacağı, kişinin açıkça rızası olmasa da verilerin, hukuka ve dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı olma, sınırlı ve ölçülü olma ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine uyulduğu müddetçe, ilgili makamlar tarafından işlenebileceği Kanun’da açıkça düzenlenmiştir.
Stj. Av. Mehmet Çağrı Telligözoğlu
Kararlar:
1. Kişisel Verileri Koruma Kurulu – 2021/962 E. – 21.09.2021
2. Kişisel Verileri Koruma Kurulu – 2021/470 E.- 06.05.2021
Kaynak: : Stj. Av. Mehmet Çağrı Telligözoğlu – İçerik, Özgun Law firmasının özel izni ile yayınlanmıştır. Yazıya ilişkin tüm hak ve sorumluluk yazara aittir.
Yasal Uyarı: Bu içerikte yer alan bilgi, görsel, tablolar, açıklama, yorum, analiz ve bir bütün olarak içeriğin tamamı sadece genel bilgilendirme amacıyla verilmiştir. Kişi veya kuruma özel profesyonel bir bilgilendirme ve yönlendirmede bulunma amacı güdülmemiştir. Konu ile benzerlik gösterse de her işletmenin kendi özel şartları nedeniyle farklı durumları olabilir. Bu nedenle, bu yazıda belirtilen içerikte yola çıkarak işletmenizi etkileyecek herhangi bir karar alıp uygulamaya geçmeden önce, uzmanına danışmanız menfaatiniz gereğidir. Muhasebenews veya ilişkili olduğu kişi veya kurumlardan hiç biri, bu belgede yer alan bilgi, tablo, görsel, görüş ve diğer türdeki tüm içeriklerin özel veya resmi, gerçek veya tüzel kişi, kurum ve organizasyonlar tarafından kullanılması sonucunda ortaya çıkabilecek zarar veya ziyandan sorumlu değildir.
