“Bir bankanın, ilgili kişinin cep telefonu numarasını bankaya veriliş amacı dışında kullanması” hakkında.

Kişisel Verileri Koruma Kurulunun

18/09/2019 Tarihli

2019/227 Sayılı Karar Özeti

Şikâyetçinin bir banka çalışanının kendisini arayarak eşinin müdürü olduğu Şirket ile ilgili olarak eşine ulaşamadığını ve eşiyle iletişime geçebilmesi konusunda kendisine yardımcı olmasını talep ettiği, bunun üzerine müşterisi olarak Bankaya kendisiyle ilgili işlemlerde kullanılması için vermiş olduğu iletişim bilgilerine amacı dışında nasıl ve neden ulaşıldığı hakkında bilgi almak için Bankaya başvuru yaptığı ve Bankanın kendisine yazılı bir cevap vermediği iddiasıyla yapılan başvurusunun incelenmesi sonucunda;

Şikâyetçinin talebini Bankaya e-posta yoluyla ilettiği ancak Bankadan cevap verilmediği yönündeki iddiası ile ilgili olarak Bankanın Şikâyetçinin e-posta adresine mesaj gönderdiği ve gönderilen mesajda “… paylaşımınız hakkında detaylı bilgilendirme yapabilmek amacıyla iletişim numaranız üzerinden size ulaşmayı denedik ancak yanıt alamadık. İşleminiz ile ilgili detayları …Hizmet Hattı’nı arayarak öğrenebilirsiniz…” ifadelerine yer verilerek şikayetçinin bilgilendirilmesi yoluna gidildiği görülmüştür.

Bu çerçevede;

  • Banka tarafından, Şikâyetçiye gönderilen e-posta mesajında başvurusuna ilişkin detayları Banka Hizmet Hattını arayarak öğrenebileceğine dair bilgilendirme yoluna gidilmesinin, veri sorumlusunca Şikâyetçiye başvurusunda talep ettiği hususları açıklayıcı nitelikte yazılı veya elektronik ortamda bir cevap olarak değerlendirilemeyeceği kanaatine ulaşılmış olduğundan, Şikâyetçinin başvurusuna Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ hükümlerine uygun cevap verilmemiş olması nedeniyle Bankaya Kanun ve Tebliğ hükümlerine uyum hususunda azami dikkat ve özenin gösterilmesi konusunda hatırlatmada bulunulmasına,,
  • Şikâyetçinin müşterisi olduğu Bankaya kendisine ait iş ve işlemlerde ulaşılması adına vermiş olduğu telefon numarası bilgisinin, eşine ulaşılmasında yardımcı olunabilmesi adına işlenmesinin, 6698 sayılı Kanunun 4 üncü maddesinin (2) numaralı fıkrasının (c) ve (ç) bentlerinde yer alan kişisel verilerin işlenmesinde “belirli, açık ve meşru amaçlar için işlenme ve işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkelerine uyulması zorunluluğuna aykırı olduğu ve bu çerçevede Kanunun 12 nci maddesinin birinci fıkrasının (a) bendi uyarınca veri sorumlusunun kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almadığını göstermesi nedeniyle Banka hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 100.000 TL idari para cezası uygulanmasına

karar verilmiştir.

“Bir operatör şirketinin, ilgili kişinin internet sitesi üzerinden yapmış olduğu başvurusunu kimlik teyidi yapamadığı gerekçesiyle reddetmesine ilişkin olarak Kurula yapılan başvuru” hakkında.

Karar Tarihi: 01/10/2019

Karar No : 2019/296

İlgili kişinin bireysel olarak faturalı telekomünikasyon ve buna bağlı hizmetler aldığı Operatör Şirketine (Şirket) internet sitesi üzerinden yapmış olduğu başvurusunun, Şirketin internet sitesinde bulunan KVKK başvuru formunun doldurularak noter aracılığıyla veya elektronik imzalı e-posta ile iletilmediğinden bahisle kimlik teyidi yapılamadığı gerekçesiyle reddedilmesi sonucu Kişisel Verileri Koruma Kuruluna ilettiği şikayet başvurusunun incelenmesi neticesinde,

Şikayete konu olayda veri sorumlusundan alınan bilgiler ışığında; Şirketin internet sitesinde yer alan Gizlilik Politikasında ilgili kişi tarafından Şirkete yapılacak başvurunun KVKK talep formunun doldurularak Şirket adresine “noter kanalı vb. yollarla” gönderilmesi gerektiği doğrultusunda bilgilendirme mahiyetinde açıklamada bulunulduğu ve söz konusu formun Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’e (Tebliğ) uygun bir formatta sunulduğu, Şirketin yapılacak başvurularda belirtilen şekilde başvuruyu aramasının nedeni olarak kişilerin kimlik tespitinin amaçlandığı, Şirket tarafından başvuran kişi ile bilgisi talep edilenin aynı kişi olup olmadığı hususunda Tebliğ’de belirtilen yöntemlere ek bir kontrol mekanizması daha oluşturulduğu, ilgili kişinin başvurusunun Şirket tarafından belirtilen yöntem üzerinden değil Şirketin müşteri hizmetlerine elektronik ortamda yapıldığı, ilgili kişinin başvurusunu ilettiği formda ise Şirketin başvuru amacına yönelik oluşturduğu KVKK talep formunun aksine kimlik teyidini sağlayacak TC kimlik numarası, adres gibi bilgilerin istenmediği, yalnızca ad soyad, telefon, e-posta adresi gibi bilgilerin zorunlu olarak yer aldığı ve bu sebeplerle bahsi geçen şikayet başvurusunun Tebliğ’e uygun olmadığı anlaşılmış olup,

6698 sayılı Kanun’un “Veri Sorumlusuna Başvuru” başlıklı 13’üncü maddesinin (1) numaralı fıkrasında, ilgili kişinin bu Kanun’un uygulanmasıyla ilgili taleplerini yazılı olarak veya Kurulun belirleyeceği diğer yöntemlerle veri sorumlusuna ileceği, bu kapsamda Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in “Başvuru Usulü” başlıklı 5’inci maddesinde, ilgili kişinin Kanun’un 11’inci maddesinde belirtilen hakları kapsamında taleplerini yazılı olarak veya kayıtlı elektronik posta (KEP) adresi, güvenli elektronik imza, mobil imza ya da ilgili kişi tarafından veri sorumlusuna daha önce bildirilen ve veri sorumlusunun sisteminde kayıtlı bulunan elektronik posta adresini kullanmak suretiyle veya başvuru amacına yönelik geliştirilmiş bir yazılım ya da uygulama vasıtasıyla veri sorumlusuna ileteceği ve Tebliğ’in 6’ncı maddesinde veri sorumlusunun bu tebliğ kapsamında yapılacak başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırmak üzere gerekli her türlü idari ve teknik tedbirleri almakla yükümlü tutulduğu hükümlerine yer verildiği dikkate alınarak;

  • Şirketçe kimlik teyidi sağlamak amacıyla yalnızca noter kanalı veyahut e-imza ile başvuruda bulunabileceğinin bildirilmesi sonucu Kanun’da ya da Tebliğ’de öngörülmeyen maddi bir külfet getirilmesinin ve ilgili kişinin bu şekilde yanlış yönlendirilmesi suretiyle söz konusu KVKK talep formunu doldurarak usule uygun bir başvuru yapma hakkının engellenmesinin Tebliğ’in 6’ncı maddesinde sayılan hukuka uygunluk ve dürüstlük kuralı ile bağdaşmayacağı dikkate alındığında, Tebliğ hükümlerine uyum konusunda azami dikkat ve özenin gösterilmesi hususunda Şirketin talimatlandırılmasına,
  • İlgili kişiye ise 6698 sayılı Kanun’un 11’inci maddesi kapsamında ilgili kişinin hakları ile Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in ilgili maddelerinin hatırlatılmasına

karar verilmiştir.

6698 SAYILI KİŞİSEL VERİLERİN KORUNMASI KANUNU ÜZERİNE GENEL BİR DEĞERLENDİRME

  • Av. Kadir Can ÖZEL[1]

 
GİRİŞ
 
            Bilindiği üzere, ülkemizde Kişisel Verilerin Korunması Kanunu Tasarısı; geçtiğimiz günlerde, TBMM Genel Kurulu’nun 24.03.2016 tarihli oturumunda, meclis içindekilerin, meclis dışındaki hukukçuların, sivil toplum örgütlerinin yoğun tartışmaları arasında yasalaştı, 07.04.2016 tarihli Resmi Gazete’de yayımlandı ve bazı maddeler hariç(Kanunun 32. maddesine göre; 8., 9., 11., 13., 14., 15., 16., 17., 18. maddeler kanunun yayım tarihinden altı ay sonra yürürlüğe girecektir) yürürlüğe girdi. Söz konusu tartışmalar şu anda dahi sürmekte ve sürecek gibi de duruyor.
 
Tartışmaların odağını oluşturan noktayı 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 3. maddesinin gerekçesinde bulabiliriz. KVKK’nın 3. maddesinin gerekçesine baktığımız zaman, “Kişisel Veri”den nelerin anlaşılması gerektiği tek tek sayılmıştır. Bu bağlamda; “Kişisel Veri”, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi (fiziki bilgiler, ailevi bilgiler, kültürel bilgiler, dini bilgiler, mezhepsel bilgiler, sosyal ve ekonomik bilgiler vs.) ifade ettiğinden ve bu sebeple kişisel verilerin korunması yurttaşlar açısından çok önemli bir rol oynadığından; kişisel verilerin korunması sadece verinin kendisinin değil, aynı zamanda bireyin temel hak ve özgürlüklerinin, bilhassa özel alanının korunması anlamına geldiğinden[2] kanun tasarısına yönelik yasalaşma öncesi, sırası ve sonrasında devam eden tartışmaların, birbirinden sert eleştirilerin nedenini anlamak mümkün. Mevcut durum bu şekildeyken; çalışmamızda yeni kanunun olgunlaşma sürecini ve gereklilik nedenlerini ele alıp, üzerinde tartışmaların da sürdüğü hükümler ile ilgili genel bir değerlendirme yapmaya çalıştık.
 
Değerlendirmelerimizin yer aldığı dört bölümden oluşan çalışmamız “Giriş” bölümü olan bu bölüm ile başlayacak olup, “Çerçeve Kanuna İhtiyaç Duyulması ve Kişisel Verilerin Korunması Kanunu’nun Ortaya Çıkışı” başlıklı ikinci bölümle devam edecektir. İkinci bölümde, Türkiye’deki Kişisel Verilerin Korunması Kanunu’na olan ihtiyacı ve kanunun ortaya çıkışına neden olan olayları, süreci irdelemeye çalıştık. “Kişisel Verilerin Korunması Kanunu’nun Bazı Hükümlerinin Değerlendirilmesi” başlıklı üçüncü bölümde ise kişisel verilerin işlenmesindeki açık rızaya; kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine; kişisel verilerin üçüncü kişilere aktarılmasına; kişisel verilerin yurt dışına aktarılmasına; veri sahibinin haklarına; veri sorumlusunun veri güvenliğine ilişkin yükümlülüklerine; veri sorumlusuna başvuru ve Kişisel Verileri Koruma Kurulu’na şikayete; Veri Sorumluları Sicili ve Sicilin aleniyetine; Kişisel Verileri Koruma Kurumu’na; Kanunun uygulanmadığı istisnalara değindik. Nihayetinde, “Sonuç”kısmıyla çalışmamızı bitirdik.
 

  1. ÇERÇEVE KANUNA İHTİYAÇ DUYULMASI VE

KİŞİSEL VERİLERİN KORUMASI KANUNU’NUN ORTAYA ÇIKIŞI
 
6698 sayılı Kişisel Verilerin Koruması Kanunu yürürlüğe girene kadar, kişisel verilerin korunması yeterli olmamakla birlikte, kişisel verilerin korunması ulusal mevzuatımızda çeşitli kanunlarda doğrudan veya dolaylı olarak güvence altına alınmıştır. Ülkemizde kişisel verilerin korunması hukukunda başta Anayasa olmak üzere, Türk Ceza Kanunu, Ceza Muhakemeleri Kanunu, Polis Vazife ve Selahiyet Kanunu, Elektronik Haberleşme Kanunu, Elektronik Ticaret Kanunu, Türk Medeni Kanunu, İş Kanunu ve Bankacılık Kanunu’nda kişisel verilerin korunmasına ilişkin hükümler halihazırda mevcuttur.
 
Anılan kanunlarda kişisel verilerin korunmasına ilişkin birçok hüküm bulunmasına rağmen, KVKK’yı Türk hukuk mevzuatı içerisine katma, çeşitli nedenlerle çıkarma gerekliliği doğmuştur. Bunlara kısaca değinecek olursak şunlar söylenebilir:
 
1990’lı yılların ikinci yarısından itibaren internetin yaygınlaşması ve son dönemde mobil teknolojilerin hızlı bir şekilde gelişmesi; günümüzde kişisel verilerin toplanmasını, saklanmasını, paylaşılmasını ve analizini bir hayli kolaylaştırmıştır[3]. Günümüzde bir yandan kişisel verilere ihtiyaç duyulurken, diğer yandan kişilerin özel yaşamlarına saldırılar artmakta[4] ve bu saldırıların önlenmesi için kişisel verilerin korunması alanındaki mevzuat eksikliğinin giderilmesi gerekmektedir.
 
Türkiye, kişisel verilerin korunması alanındaki ilk uluslararası sözleşme olan Avrupa Konseyi’nin 28 Ocak 1981 tarihinde Strazburg’da imzaya açtığı “108 No’lu Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi”ni imzalamıştı; ancak onay sürecini işletmemişti. Sözleşmenin tarafların yükümlülüklerini düzenlendiği 4. maddede; tarafların kendi iç hukuklarında, kişisel verilerin korunmasına ilişkin temel ilkelere işlerlik kazandırmak amacıyla gerekli önlemleri almaları gerektiği ve bu önlemlerin sözleşmenin tarafı bakımından, en geç, sözleşmenin kendisi bakımından yürürlüğe girdiği tarihe kadar alınmasının zorunlu olduğu belirtilmiştir. Bu açıdan en önemli önlem, kişisel verilerin korunması alanını düzenleyen çerçeve bir kanuna sahip olunmasıdır[5]
 
Yine Avrupa Birliği’nin 1995 tarihli “Kişisel Verilerin Korunmasına İlişkin 95/46/AT Yönergesi”ne göre kişisel verileri korumayan ülkelere veri transferinin yapılmaması da bir çerçeve kanunun çıkarılmasını zorunlu kılmıştır[6]
 
Sonuç olarak, Türkiye’de kişisel verilerin korunması alanında düzenleme yapılması ihtiyacı daha çok uluslararası etkenlerden kaynaklanmıştır. Bu uluslararası etkenler de Avrupa Birliği’ne uyum sürecinde, Avrupa Birliği Komisyonu’nun İlerleme Raporları aracılığıyla sıklıkla dile getirilmiştir[7]. Açıklanan nedenlerle, iç hukukumuzda yukarıda sayılan mevzuatın çerçeve kanunu sayılabilecek 6698 sayılı Kişisel Verilerin Koruması Kanunu yürürlüğe girmiştir.
 

  1. KİŞİSEL VERİLERİN KORUNMASI KANUNU’NUN BAZI HÜKÜMLERİNİN DEĞERLENDİRİLMESİ

 

  1. Kişisel Verilerin İşlenmesinde Açık Rıza

 
Kanunun “Kişisel Verilerin İşlenme Şartları” başlığını taşıyan 5. maddesinin 1. fıkrasına göre kişisel veriler ilgili kişilerin açık rızası olmaksızın işlenemez. “Açık Rıza’”nın aranması yerinde bir düzenleme olmakla beraber, bunun sınırları çizilseydi daha isabetli olurdu. Aynı maddenin 2. fıkrasında ise, “Açık Rıza”nın aranmadığı haller düzenlenmiş ve bunlardan herhangi birinin mevcut olması durumunda kişisel verilerin işlenmesi mümkün kılınmıştır.
 
Kanunun “Özel Nitelikli Kişisel Verilerin İşlenme Şartları” başlığını taşıyan 6. maddesinin 1. fıkrasında “Özel Nitelikli Kişisel Veriler (Hassas Veriler)” düzenlenmiştir. Bunlar; Irk, etnik köken, siyasi düşünce, felsefi inanç, dini, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler, biyometrik ve genetik verilerdir. Sayılan hassas verilerin; ancak Kişisel Verileri Koruma Kurulu tarafından alınacak önlemlerle işlenebilecek olması olumlu bir düzenlemedir.
 
Bunun dışında KVKK md. 6/3’te “Hassas Veriler”in ilgilinin açık rızasının aranmadan işlenmesini düzenleyen hüküm de kanunun tartışılan yanlarından biridir. Bu konuda hassas verilerin istisnai durumlarda dahi işlenemeyeceğini ve bunun Avrupa Birliği düzenlemelerine göre de böyle olması gerektiğini dile getirenler varken, kanundaki düzenlemeyi yerinde bulanlar da vardır.
 

  1. Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi

 
Kanunun “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi” başlığını taşıyan 7. maddesinin yerinde bir düzenleme olduğu söylenebilir. Zira bu maddenin Avrupa Birliği’nin gayretleriyle gündeme gelen ve Yargıtay Hukuk Genel Kurulu’nun 17.06.2015 tarihli kararında belirtilen  “Unutulma Hakkı”yla paralellik gösterdiği söylenebilir (Unutulma Hakkı: Bu hak Avrupa Birliği (Özellikle Fransa) ve Arjantin tarafından gündeme getirilen ve sonrasında hayata geçirilen bir konsepttir. Bu konsept bir bireyin geçmişte yapmış olduğu belirli bir eylemin bir sonucu olarak sürekli ve periyodik olarak damgalanmış bir şekilde hayatının devamını geçirmek istememe özgürlüğünden çıkmıştır. Söz konusu hakkı, “dijital hafızada yer alan bireye ait fotoğraf, kimlik bilgisi, adres ve diğer kişisel içeriğin, yine bireyin kendi talebi üzerine bir daha geri getirilemeyecek biçimde ortadan kaldırılması biçiminde tanımlamak mümkündür.”)[8].
 

  1. Kişisel Verilerin Üçüncü Kişilere Aktarılması

 
Kanunun “Kişisel Verilerin Aktarılması” başlığını taşıyan 8. maddesinin 1. fıkrasında,kişisel verilerin üçüncü kişilere aktarılmasında ilgili kişinin açık rızası aranmaktadır. Maddenin bu kısmı yerinde olmuştur; ancak 8. maddenin 2. fıkrasında şartların oluşması ve Kişisel Verileri Koruma Kurulu’nun önlem alması halinde ilgili kişinin açık rızası aranmadan kişisel verilerin üçüncü kişilere aktarılabileceği düzenlenmiştir. Şu halde, idarenin yurttaşların kişisel verilerini korumasından ziyade, bu verileri üçüncü kişilere ücret karşılığı devredebileceği ihtimalinin bulunması endişe yaratan bir durumdur.
 

  1. Kişisel Verilerin Yurt Dışına Aktarılması

 
Kanunun “Kişisel Verilerin Yurt Dışına Aktarılması” başlığını taşıyan 9. maddesinin olumlu bir düzenleme olduğu söylenebilirse de, bu maddenin kanunun tasarı metnine belirli kişi/kişileri koruma kalkanı olarak koyulduğunu dile getirenler de vardır. Maddenin 1. fıkrasına göre kişisel verilerin yurt dışına aktarılmasında ilgili kişinin açık rızasıaranmaktadır. Maddenin 5. fıkrasında “Kişisel veriler, uluslararası sözleşme hükümleri saklı kalmak üzere, Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, ancak ilgili kamu kurum veya kuruluşunun görüşü alınarak Kurulun izniyle yurt dışına aktarılabilir.” denilmek suretiyle belirli durumlarda kişisel verilerin yurt dışına aktarılması Kişisel Verileri Koruma Kurulu’nun iznine tabi tutulmuştur.
 

  1. Kişisel Verileri İşlenen Kişinin (Veri Sahibinin) Hakları

 
Kanunun “İlgili Kişinin Hakları” başlığını taşıyan 11. maddesinin kişisel verilerin işlenmesi sürecinde idarenin şeffaflığını ve bireyin bilgi edinme hakkını düzenlemesinden dolayı maddenin yerinde bir hüküm olduğunu dile getirmek gerekir. Zira bu maddeye göre herkes; veri sorumlusuna başvurarak kendisiyle ilgili; kişisel veri işlenip işlenmediğini öğrenme, kişisel verileri işlenmişse buna ilişkin bilgi talep etme, kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme, şartları varsa kişisel verilerin silinmesini veya yok edilmesini isteme, bazı işlemlerin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, işlenen veriler kişinin aleyhine bir sonuç ortaya çıkarmışsa buna itiraz etme, kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme haklarına sahiptir.
 

  1. Veri Sorumlusunun Veri Güvenliğine İlişkin Yükümlülükleri

 
Kanunun “Veri Güvenliğine İlişkin Yükümlülükler” başlığını taşıyan 12. maddesinin 1. fıkrasına göre veri sorumlusu (md. 3/1-h’ye göre bu kişi; kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder); kişisel verilerin hukuka aykırı olarak işlenmesini ve bunlara erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.
 

  1. Veri Sorumlusuna Başvuru ve Kişisel Verileri Koruma Kurulu’na Şikayet

 
Kanunun “Veri Sorumlusuna Başvuru” başlığını taşıyan 13. ve “Kurula Şikayet” başlığını taşıyan 14. maddeleri birlikte değerlendirildiğinde; kişisel verilerin işlenmesiyle ve kanunun uygulamasıyla ilgili yapılacak idari başvurularda iki aşamalı idari başvuru yolunun düzenlendiği görülmektedir. Yani ilgili kişi ilk önce veri sorumlusuna başvuruda bulunacak, buradan istediği sonucu alamadığı takdirde kurula şikayette bulunacaktır. Veri sorumlusuna başvuru yolu tüketilmeden şikayet yoluna başvurulması kanunun 14. maddesinin 2.  fıkrasına aykırılık oluşturacaktır. Ayrıca kanunun 14. maddesinin 3. fıkrasında, kişisel hakları ihlal edilenlerin, genel hükümlere göre tazminat yoluna başvurabilecekleri de düzenlenmiştir.
 

  1. Veri Sorumluları Sicili ve Sicilin Aleniyeti

 
KVKK’nın 16. maddesinin 1. fıkrasında “Veri Sorumluları Sicili” düzenlenmiştir. Fıkraya göre Veri Sorumluları Sicili; Kurulun gözetiminde, Başkanlık tarafından kamuya açık olarak tutulur. Aynı maddenin 2. fıkrasında ise “Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır.” denilmiştir. İlk fıkranın Sicilin kamuya açık olarak tutulacağını düzenlemesi ve ikinci fıkranın gerçek ve tüzel kişilerin, veri işlenmesinden önce Sicile kaydolma zorunluluklarının getirilmesi; aleniyeti sağladığı için olumlu düzenlemelerdir.
 
I.         Kişisel Verileri Koruma Kurumu 
           (Kişisel Verileri Koruma Kurulu ve Başkanlık)
 
6698 sayılı Kişisel Verilerin Korunması Kanunu ile Kişisel Verileri Koruma Kurumu ihdas edilmiştir. Kanunun 19. maddesinin 1. fıkrasına göre Kurum, idari ve mali özerkliğe sahip, kamu tüzel kişisidir. 2. fıkraya göre ise Kurum, Kurul ve Başkanlıktan oluşur.Kanuna ilişkin üzerinde en yoğun tartışmaların bulunduğu alan da, Kişisel Verileri Koruma Kurumu’nun Başkanlıktan ve Kişisel Verileri Koruma Kurulu’ndan oluşan söz konusu ikili yapısındaki üyelerin ve başkanın seçimini yapan organların yasama ve yürütme olmasıdır.
 
Kişisel Verileri Koruma Kurulu, kanunun “Kişisel Verileri Koruma Kurulu” başlığını taşıyan 21. maddesinde düzenlenmiştir. Söz konusu maddenin 1. fıkrasına göre Kurul, görev ve yetkilerini bağımsız olarak yerine getirmeli; görev alanına giren konularla ilgili hiçbir organ, makam, merci veya kişiden emir ve talimat almamalı, kimse kurula tavsiye veya telkinde bulunmamalıdır. Maddenin 2. fıkrasına göre de dokuz üyeden oluşan kurulun beş üyesi Türkiye Büyük Millet Meclisi, iki üyesi Cumhurbaşkanı, iki üyesi Bakanlar Kurulu tarafından seçilir. Her iki fıkra birlikte değerlendirildiğinde, bağımsız idari otorite niteliğinde olan Kurulun üyelerinin seçiminde rol oynayan TBMM ve Cumhurbaşkanı’nın, üyeleri 21. maddenin 3. fıkrasındaki şartları taşıyan kişilerden seçecekleri görülür. Seçilen üyelerin de görevlerini yerine getirirken ve yetkilerini kullanırken bağımsız davranmaları gerekir. Nitekim, tartışmaların sürdüğü bu noktada Kurulun seçildikleri organlara karşı bağımsız olamayacaklarını dile getirenler olduğu gibi, bunun Kurulun işleyişini etkilemeyeceğini savunanlar da vardır. Benzer şeyleri Başkanlığın oluşumu ve Başkanın seçimi için de dile getirmek mümkündür.
 
            Kanaatimizce üzerinde durulması gereken bir başka nokta da, Kurula seçilecek üye kontenjanlarında belirli sayıda hukukçunun seçilmesi zorunluluğunun bulunmamasıdır. Kanunun 1. maddesinde belirtildiği gibi, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerinin korunması ile ilgili kanunun yüklediği görevleri yerine getiren Kurul’un belli sayıda kontenjanı hukuk fakültesinde yükseköğrenim görmüş kişilere ayrılmalıydı.
 

  1. Kanun Hükümlerinin Uygulanmadığı İstisnalar

 
KVKK’nın “İstisnalar” başlıklı 28. maddesi; Kanunun uygulanmadığı halleri düzenleyen, genel istisnai bir hüküm niteliğinde olan ve üzerinde eleştirilerin bulunduğu bir maddedir. Örneğin Kanunun 28/1-ç bendinde “Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi.”durumunda KVKK’nın uygulanmayacağı hüküm altına alınmıştır. Şu halde, kişisel verilerin idare tarafından işlenmesinin; bireyin açık rızasına dayanmayacağı veya kişisel verilerin işlenmesinde herhangi bir denetimin olmayacağı bir şekilde meşru sayılması ve bu konuda idareye geniş bir takdir yetkisi verilmesi söz konusudur. Bu durum da eğer suistimal edilirse bireyi, idare karşısında savunmasız bir hale getirecektir.
 
SONUÇ
 
            Çalışmamızda; Türkiye’de kişisel verilerin korunması hukukunda çerçeve bir kanuna olan ihtiyacı ve Kişisel Verilerin Korunması Kanunu’nun ortaya çıkışını irdelemeye; ardından 07.04.2016 tarihinde Resmi Gazete’de yayımlanarak kısmen yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun önemli, tartışmalı, eleştirilere konu olan hükümlerini değerlendirmeye, bunlarla ilgili görüşlerimizi belirtmeye çalıştık.
 
            Kişisel verilerin korunması hukukunda iç hukukumuzdaki çeşitli kanunlardaki hükümlere ek olarak, çerçeve bir kanun olan Kişisel Verilerin Korunması Kanunu’nun uygulanması insan hakları esasına dayanmalıdır. Dolayısıyla hukuk devleti ilkesi de ancak bu şekilde teminat altına alınmış olacaktır.
 
            Kanunun sözüyle ve özüyle temel hak ve özgürlükleri temel alacak bir şekilde uygulanması temennisiyle…



———————————–
 

[1] İzmir Barosu Üyesi, Dokuz Eylül Üniversitesi S.B.E. Kamu Hukuku A.B.D. Tezli Yüksek Lisans Öğrencisi;[email protected]

[2] ŞİMŞEK, Oğuz; Anayasa Hukukunda Kişisel Verilerin Korunması, Beta Yayınları, İstanbul 2008, s. 4.

[3] KESER, Leyla/ KAYA, Mehmet Bedii/ KINIKOĞLU, Batu; Türkiye’de Kişisel Verilerin Korunmasının Hukuki ve Ekonomik Analizi, İstanbul Bilgi Üniversitesi Yayınları, İstanbul 2014, s. 2.

[4] KÜZECİ, Elif; Kişisel Verilerin Korunması, Turhan Kitabevi Yayınları, Ankara 2010, s. 259.

[5] AKILLIOĞLU, Tekin; İdari Usul ve Kişisel Verilerin Korunması, Erişim: http://www.idare.gen.tr/akillioglu-idariusul.htm, Erişim Tarihi: 23.04.2016.

[6] KOCA, Raşit Can; Kişisel Verilerin Korunması Kanunu Tasarısı Üzerine Prof. Dr. Savaş Bozbel ile Röportaj, Erişim: http://blog.statjus.com/2015/01/kisisel-verilerin-korunmasi-kanunu-tasarisi-uzerine-prof-dr-savas-bozbel-ile-roportaj/, Erişim Tarihi: 23.04.2016.

[7] YÜKSEL CİVELEK, Dilek; Kişisel Verilerin Korunması ve Bir Kurumsal Yapılanma Önerisi (Uzmanlık Tezi), T.C. Başbakanlık Devlet Planlama Teşkilatı Müsteşarlığı Bilgi Toplumu Dairesi Başkanlığı Yayınları, Ankara 2011, s. 128.

[8] GÜLENER, Serdar; Dijital Hafızadan Silinmeyi İstemek: Temel Bir İnsan Hakkı Olarak “Unutulma Hakkı”, Türkiye Barolar Birliği Dergisi, S. 102, Ankara 2012, s. 226.