KVKK UYARINCA VERİ GÜVENLİĞİ VE AYDINLATMA YÜKÜMLÜLÜĞÜ İHLALİ KARAR İNCELEMESİ
KVKK UYARINCA
VERİ GÜVENLİĞİ VE AYDINLATMA YÜKÜMLÜLÜĞÜ İHLALİ
KARAR İNCELEMESİ
-
KİŞİSEL VERİ TANIMI VE YASAL DÜZENLEMELER
1.1 Kişisel Veri, Veri Sorumlusu Tanımı
Kişisel veri; 24.03.2016 kabul tarihli ve 07.04.2016 tarih ve 29677 sayılı Resmî Gazete’de yayımlanarak yürürlüğe giren 6698 sayılı “Kişisel Verilerin Korunması Kanunu” (KVKK) uyarınca “Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi” ifade etmektedir.
Ayrıca kişinin sadece şahsi değil, ailesine dair (ailevi) bilgileri de ona ait kişisel veriler kapsamında değerlendirilmektedir (Akgül, 2014, s. 8). Öğretide kişisel veri “bireyin şahsi, mesleki ve ailesine ilişkin özelliklerini gösteren, o bireyi diğer bireylerden ayırmayı ve niteliklerini ortaya koymayı sağlayan her türlü bilgi” şeklinde tanımlanabilir. Örneğin kişinin adı, soyadı, medeni hâli, kimlik numarası, nüfusa kayıtlı olduğu yer, doğum yeri ve tarihi gibi kimlik bilgilerinin yanı sıra, bedenindeki yara izi, ben, dövme gibi belirleyici işaretler, kişisel görüntüsü, fotoğrafı, telefon numarası, banka hesap/ IBAN numarası, kredi kartı numarası, emeklilik, kurum sicil, sosyal sigorta numarası, internet protokolü (IP) adresi, elektronik posta adresi, sosyal medya hesap bilgileri, bunlara ilişkin şifreler, güvenlik kodları, ıslak ve/ veya elektronik imzası, matbu veya dijital, örneğin e- posta yolu ile veya sosyal ağlarda yaptığı yazışma ve paylaşımlar hep kişisel verilerdendir (Henkoğlu, 2015, s. 28; Akgül, 2014, s. 8 – 9; Şimşek, 2008, s. 121; Özdemir, 2009, s. 124; Er, 2007, s. 21). Bununla birlikte kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik (parmak izi, retina görüntüsü, DNA özellikleri gibi) ve genetik verileri özel nitelikli (hassas) kişisel veriler olarak düzenlenmiştir (KVKK.m.6/ I) (AKKURT; Kişisel Veri Kavramının Hukuki Niteliğine İlişkin Yaklaşımlara Mukayeseli Bir Bakış)
Yukarıda ifade ettiğimiz açıklamalardan da görüleceği üzere kişisel verilerin kapsamı çok geniştir. Kanun koyucu kişisel verilerin hukuka uygun tutulmasını sağlamak, hukuka aykırı tutulan verilerde oluşan/oluşabilecek mağduriyeti gidermek için Kişisel Verileri Koruma Kanunu’nda (KVKK) veri sorumlusu ve veri işleyen kavramı altında çeşitli düzenlemeler yapmış, veriler tutulurken uyulacak kurallardan da bahsetmiştir.
1.2 Veri Sorumlusu, Veri İşleyen Kavramı ile Kişisel Verilerin İşlenmesi Şartları
KVKK madde 3 Tanımlar başlığı altında Veri Sorumlusu ve Veri İşleyen kavramlarına yer verilmiştir. Söz konusu maddede ilgili kısım aşağıdaki gibidir:
“ğ) Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi,
…
ı) Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi, ifade eder.” Şeklindedir. Maddedeki tanımdan da görüleceği üzere kişisel verilerin işleme amaçlarını ve araçlarını belirleyen, kişisel verilerin işleneceği veri kayıt sisteminin kurulması ve yönetiminden sorumlu olan gerçek veya tüzel kişi Veri Sorumlusu olarak ifade edilmiştir.
Veri sorumlusunun vermiş olduğu yetkiye dayanarak Veri Sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişiye ise kanun koyucu tarafından Veri İşleyen ifadesi kullanılmıştır.
Kişisel Verileri Koruma Kanununda veri sorumlusu ve veri işleyen kişi tanımlarının yanı sıra kişisel verilerin işlenmesinde uyulması gereken genel ilkelere de yer verilmiştir (KVKK m.4). KVKK m.4 e göre kişisel verilerin işlenmesinde uyulması gereken genel ilkeler şunlardır:
- a) Hukuka ve dürüstlük kurallarına uygun olma.
- b) Doğru ve gerektiğinde güncel olma.
- c) Belirli, açık ve meşru amaçlar için işlenme.
ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.
- d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.
KVKK m.4’te sayılan genel ilkelere uyulması her kişisel verinin işlenebileceği sonucunu oluşturmamaktadır. Nitekim KVKK m.5/1 de kişisel verilerin ilgili kişinin (ilgili kişi; kişisel verisi işlenen gerçek kişidir.) açık rızası olmaksızın işlenemeyeceği hüküm altına alınmıştır. Aynı maddenin 2. Fıkrasında ise aşağıda ifade edeceğimiz şartlardan birinin gerçekleşmiş olması/ varlığı halinde kişinin açık rızasının aranmaksızın kişisel verilerinin işlenebileceği ifade edilmiştir. Bu şartlar aşağıdaki gibidir:
- a) Kanunlarda açıkça öngörülmesi.
- b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
- c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
- d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.
- e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
- f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
Kanun koyucu KVKK m.5’te kişisel verilerin işlenmesine ilişkin şartları düzenlemişken KVKK m.6’da özel nitelikli kişisel verileri düzenlemiştir. Söz konusu düzenleme aşağıdaki gibidir:
“Özel nitelikli kişisel verilerin işlenme şartları
MADDE 6- (1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.
(2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.
(3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.
(4) Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.”
İlgili kişi tarafından KVKK uygulanmasıyla ilgili taleplerini öncelikle veri sorumlusuna, veri sorumlusundan yeterli dönüşü alamadığı takdirde Kişisel Verileri Koruma Kuruluna şikayette bulunabileceği hususu da KVKK m.13, 14 ve 15/1 de ifade edilmiştir:
“Veri sorumlusuna başvuru
MADDE 13- (1) İlgili kişi, bu Kanunun uygulanmasıyla ilgili taleplerini yazılı olarak veya Kurulun belirleyeceği diğer yöntemlerle veri sorumlusuna iletir.
(2) Veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde, Kurulca belirlenen tarifedeki ücret alınabilir.
(3) Veri sorumlusu talebi kabul eder veya gerekçesini açıklayarak reddeder ve cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir. Başvuruda yer alan talebin kabul edilmesi hâlinde veri sorumlusunca gereği yerine getirilir. Başvurunun veri sorumlusunun hatasından kaynaklanması hâlinde alınan ücret ilgiliye iade edilir.
Kurula şikâyet
MADDE 14- (1) Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; ilgili kişi, veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve her hâlde başvuru tarihinden itibaren altmış gün içinde Kurula şikâyette bulunabilir.
(2) 13 üncü madde uyarınca başvuru yolu tüketilmeden şikâyet yoluna başvurulamaz.
(3) Kişilik hakları ihlal edilenlerin, genel hükümlere göre tazminat hakkı saklıdır.
Şikâyet üzerine veya resen incelemenin usul ve esasları
MADDE 15- (1) Kurul, şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen, görev alanına giren konularda gerekli incelemeyi yapar. …”
- KİŞİSEL VERİLERİ KORUMA KURULU 24.08.2023 TARİHLİ KARARI
“… Somut olayda, ilgili kişiler ve veri sorumlusu arasındaki bir ihtilafın çözümünde delil olarak kullanılmak üzere ve aynı zamanda güvenlik amacıyla ses verisinin işlenmesinin, ses verisini işlemeyi mecburi kılacak bir sebep olarak nazara alınamayacağı, bu nedenle görüntü kaydı alınmaksızın yalnızca ses kaydının alındığı durumda dahi kişisel verinin meşru menfaat kapsamında işlenmesinin söz konusu olmayacağı,
Veri sorumlusunun ses kaydı alma yönündeki uygulaması Kanun’a uygun bulunmadığından söz konusu işleme faaliyetinin her halde hukuka aykırı olduğu ve bu sebeple aydınlatma yükümlülüğünün yerine getirilip getirilmediği hususunun ayrıca incelenmesine gerek bulunmadığı, buna karşılık görüntü kaydı alınmasında Kanun’a uygun bir işleme sebebi bulunduğundan hukuka uygun olan kişisel veri işleme faaliyeti açısından aydınlatma yükümlülüğünün yerine getirilip getirilmediğinin de ayrıca ele alınması gerektiği, …
Ses kaydı alınması suretiyle gerçekleştirilen kişisel veri işleme faaliyetinin Kanun’un 5’inci maddesinde yer alan veri işleme şartlarından herhangi birine dayanılmaksızın gerçekleştirildiği, bu bakımdan veri sorumlusu tarafından, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alması zorunluluğunu getiren, Kanun’un 12’nci maddesinin birinci fıkrasına aykırı hareket edildiği değerlendirilmiş olup bu doğrultuda veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 200.000 TL,
Kamera vasıtasıyla görüntü kaydı alınmasının Kanun’un 5’inci maddesinin ikinci fıkrasının (ç) bendinde yer alan“ veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için veri işlemenin zorunlu olması” ve (f) bendinde yer alan “ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” kapsamında hukuka uygun olduğu değerlendirilse de veri sorumlusunun aydınlatma yükümlülüğünün devam ettiği; buna karşılık aydınlatma yükümlülüğünün yerine getirildiğini ispat edemediği, bu bakımdan Kanun’un 10’uncu maddesinde düzenlenen hükme aykırı davranması nedeniyle veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (a) bendi uyarınca 30.000 TL olmak üzere toplam 230.000 TL idari para cezası uygulanmasına,
İlgili kişilerin veri sorumlusuna başvuruları neticesinde erişemedikleri, kendileri ile ilgili kişisel verilerin ilgili kişilere sağlanması ve hukuka aykırı olarak işlenen ses verilerinin imha edilmesi ve sonucundan Kurula bilgi verilmesi hususlarında veri sorumlusunun talimatlandırılmasına,
İlgili kişilerin soru ve taleplerinin veri sorumlusu tarafından karşılanmadığı iddiası yönünden ise ilgili kişiler tarafından Kanun kapsamında yapılacak başvuruların Kanun’un 13’üncü maddesi hükmü ile veri sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in 6’ncı maddesi hükmü uyarınca etkin, hukuka ve dürüstlük kuralına uygun şekilde, gerekçe belirterek ve süresi içinde sonuçlandırılması gerektiği hususunun veri sorumlusuna hatırlatılmasına” karar verilmiştir.
Bu karar ile; taraflar arasındaki ihtilafın çözümü için veya güvenlik için dahi olsa kişilerin seslerinin kayıt altına alınması, ses verisinin işlemenin mümkün olmadığı kurul tarafından karara bağlanmıştır. Bu karar ile şikayet edilen aleyhine Kanun’un 12. Maddesinde düzenlenen veri güvenliğinin ihlali sebebi ile 200.000,00 TL ve ses ve kamera kaydı için aydınlatma yükümlülüğünün yerine getirilmemesi sebebi ile 30.000,00 TL idari para cezasına hükmedilmiştir.
- SONUÇ
Kişisel veriler, ilerleyen teknoloji ve gelişen dünyanın da etkisiyle birlikte her geçen gün daha korumasız hale gelmektedir. Bu nedenle kişisel verilerin depolanması, saklanması ve zamanı geldiğinde silinmesi hayati önem taşımaktadır. Türk kişisel veri mevzuatında ise bu kapsamda Veri Sorumlusuna önemli yükümlülükler yüklenmektedir. Kişisel verilerin güvenliğini sağlamak için öncelikle veri sorumlusuna, veri sorumlusundan yeterli düzeyde geri dönüş alınmadığı takdirde Kişisel Verileri Koruma Kuruluna başvuru yapılarak hak arayışına gidilebilir. Ancak kişisel veri mevzuatının kendisine özgü hükümler içermesi, karar ve itiraz usullerinin farklı olması sebebi ile KVKK uyarınca hak aramak isteyen kişilerin Kişisel Veri Mevzuatına hakim olan ve alanında bir avukattan hukuki yardım almasının yararına olacağı kanaatindeyiz.
Av. Arb. Çağlar Şaban ALTINYÜZÜK