Kategori: KVKK

Kişisel verilerin kaydedilmesi, aktarılması, silinmesi kadar önemle ele alınması gereken bir diğer husus kişisel verilere hukuka aykırı olarak erişimin engellenmesi yani korunmasıdır.  Aksi halde veri ihlalinin varlığı söz konusu olacaktır.

Kişisel verilerin Korunması Kanunu 12. Maddesine göre veri ihlali ; “…işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde…”  olarak tanımlanmıştır.

AB mevzuatının Genel Veri Koruma Regülasyonuna (GDPR) veri ihlali; “…iletilen, saklanan veya işlenen kişisel verilerin kazara yasadışı yollarla imha edilmesi, kaybı,  değiştirilmesi, yetkisiz şekilde açıklanması veya bunlara erişime yol açan bir güvenlik ihlali” olarak tanımlanmıştır.

Bu tanımlara bakıldığında, KVKK ile GDPR arasında farklılık olduğu göze çarpmaktadır.

KVKK, veri ihlali bildirimi için,  kişisel verilerin hukuka aykırı şekilde “başkaları tarafından elde edilmesi” eylemini gerekli görmüştür.

GDPR ise,

-verilerin imha edilmesi, kaybedilmesi (yok edilmesi ya da ulaşılamaz hale getirilmesi),

-değiştirilmesi (verinin aslına veya bütünlüğüne zarar verilmesi),

-yetkisiz şekilde açıklanması (gizliliğinin ortadan kaldırılarak ifşa edilmesi),

durumlarında ihlalin varlığı kabul edilecektir.

Burada GDPR ile KVKK arasında ciddi farklılık göze çarpmaktadır.

Bu iki tanım ve örnekler üzerinden KVKK ‘ya dair değerlendirme yapıldığında; verilerin bütünlüğüne zarar gelmesi ve verilere erişilebilmesi hallerinin kanunumuz kapsamında Kuruma bildirimi gereken veri ihlali olarak kabul edilmediği sonucuna varmak mümkündür. Verilerin başkaları tarafından elde edilmesi;  verilerin bilinir olması yani gizliliğinin ortadan kalkması sonucunu doğurmakta olduğundan, veriler şifreli ise, elde edilememiş yani gizliliğinin ortadan kalkmamış olacaktır ki bu da kanuna göre bildirilmesi gereken bir veri ihlalinin olmadığı anlamına gelecektir. Başka bir durumda da, özel nitelikli kişisel verileri içeren bir sunucuya yapılan saldırı ile verilerin silinmesi ancak buna rağmen üçüncü bir kişilerin eline geçmemiş olması durumunda da KVKK yönünden ”bildirimi gereken bir veri ihlali” gerçekleşmemiş demektir. Kısacası Kurumun bildirim yükümlülüğü için tek kıstasının, verilerin üçüncü bir kişinin eline geçmiş olması olduğunu anlaşılmaktadır.

GDPR’a göre verilere üçüncü kişilerce ulaşılmasa dahi, silinmesi, değiştirilmesi, şifreli dahi olsa erişilmiş olması halleri bir veri ihlalinden söz etmek ve derhal bildirimde bulunmak için yeterlidir.

Her iki uygulama için de bildirimi gereken bir veri ihlali var ise, bildirimin en erken sürede gerçekleştirilmesi gerektiği tartışmasızdır.

Kişisel Verilerin Korunması Kanununun 12. maddesinin 5. Fıkrasının; “… işlenen verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, veri sorumlusunun bu durumu en kısa sürede ilgilisine ve Kurula bildireceği …” şeklindeki düzenlenmesi,  Kişisel Verileri Koruma Kurulunun 24.01.2019 Tarih Ve 2019/10 Sayılı Kararı ile belirgin bir hal almış ve “en kısa sürede” ifadesi 72 saat olarak belirlenmiştir.

Ancak bazı durumlarda ihlalin öğrenilmesine rağmen etkilenecek kişilerin kimler olduğu, riskin boyutu hakkında bilgilere erişilmesi güç olabilecektir. Örneğin, veri ihlalini gerçekleştirenin verilere nasıl eriştiğini, ne ölçüde eriştiğini veya sistemden veri kopyalayıp kopyalamadığını derhal anlamak mümkün olmayabilir. Ancak 72 saat içinde bu bilgilere ulaşılması için ciddi bir çaba sarf edilmeli, bu somut şekilde ortaya konulmalı ve gerekli bilgilerin öğrenildikleri an veya aşamalı olarak sunulmalıdır. Böyle bir durumda; bilgilere tahminen ne kadar süre içerisinde erişilebileceğini, bu konudaki çalışma planının ne olduğu, olasılıkların neler olduğunu açıklamak belirtmek gerekmektedir.

Kişisel Verileri Koruma Kurulunun 24.01.2019 Tarih Ve 2019/10 Sayılı Kararı devamı;

“…Veri sorumlusunca söz konusu veri ihlalinden etkilenen kişilerin belirlenmesini müteakip ilgili kişilere de makul olan en kısa süre içerisinde, ilgili kişinin iletişim adresine ulaşılabiliyorsa doğrudan, ulaşılamıyorsa veri sorumlusunun kendi web sitesi üzerinden yayımlanması gibi uygun yöntemlerle bildirim yapılmasına…” şeklindedir.

Etkilenen kişilere yapılacak bildirimde, ihlalin varlığından haberdar etmenin yanında, mevcut ihlale dair açık ve sade bir dille açıklamada bulunmak, bilgi ve öneri vermek de yararlı olacaktır. Bireylere önerilerde bulunurken ihlale rağmen atabilecekleri adımlar hakkında, yararlı ve samimi öneriler sunmak (şifrelerini değiştirmek, dolandırıcılık amaçlı yaklaşımlara karşı hazırlıklı ve dikkatli olmak gibi) zararı azaltmak için etkili bir yol olabilecektir. İhlal hakkında iletişime geçebilecekleri yetkilinin bilgilerini, polis (veya başka ilgili bir kurumla) ile iletişime geçilip geçilmediğini,  olası sonuçların yani risklerin neler olduğunu ve riski en aza indirmek için bireylerin yapabileceklerini öneri olarak sunmak süreci sağlıklı yürütmek için faydalı olacaktır.

Veri ihlal bildirimi ile amaçlanan, veri sahibi bireyler için potansiyel olumsuz sonuçların “mümkün olduğu ölçüde” engellenmesidir. Burada engellemeden kastedilen, bireylerin göreceği zararı en aza indirmenin mümkün olması ihtimalinin dikkate alınması ve ihlalin olumsuz etkilerini en aza indirmek için acil ve önleyici adımlar atılmasını sağlanmasıdır. Burada KVKK, hangi veri ihlallerinin bildirileceği konusunda bir ayrıma gitmemiş, tüm veri ihlallerini seviyede riskli görerek, Kuruma ve kişisel verisi ihlale uğrayan kişilere bildirimini şart koşmuştur.  

GDPR yönünden ise farklı bir değerlendirme söz konusudur. Burada risk seviyesi ayrımına gidilmiştir. Şöyle ki; temel hak ve özgürlüklere yönelik olarak oluşan riskin Otorite’ye bildirimi gerekirken,  ihlalden kaynaklı oluşan riskin, yüksek risk yaratması halinde ihlalin, ilgili Kişiye bildirilmesi gerekmektedir. Bu adımlar atılırken ihlalin doğuracağı olumsuz sonuçlar (olası riskler) her vakıaya göre ayrı değerlendirilecektir. Örneğin çalışanların yalnızca adlarının yer aldığı bir listenin kaybolması ile kimlik verilerini veya sağlık verilerini içeren kayıtların kaybolması arasında (zararlı sonuçlar yönünden) ciddi farklılık vardır.  Elbette ki, özel nitelikli verilerin ihlali söz konusu olduğunda, bildirimde bulunma ya da etmemek hususunda değerlendirmede bulunmaya gerek yoktur. Burada risk yüksektir.  İhlal, ırksal veya etnik köken, siyasi görüş, din veya felsefi inançları veya sendika üyeliğini ortaya çıkaran kişisel verileri içeriyorsa veya genetik veriler, sağlıkla ilgili veriler veya cinsel yaşamla ilgili veriler veya cezai mahkumiyetler içeriyorsa, uğranılacak zararın yüksek olduğu kabul edilmelidir.

Burada sonuçların ciddiyeti, ihlalden zarar bireylerin özel durumları, veri sorumlusunun faaliyet alanı yönlerinden  değerlendirme yapmak önemlidir.  Bu nedenle, ihlal edilen kişisel verilerin kimlik hırsızlığı, fiziksel zarar, psikolojik zarar, aşağılama vb. İle sonuçlanıp sonuçlanmayacağını değerlendirmesi gerekir. Ancak bu risk değerlendirmesinin ve bildirimde bulunup bulunmama kararının gerekçelendirilmesi ve belgelenmesi gerekmektedir. Diğer bir deyişle, ihlalin haklar ve özgürlükler açısından riske yol açma olasılığının düşük olduğu gerekçesi ile bildirimde bulunmama kararı alınmış ise, bu kararı destekleyen delililer sunmak, bu kararı somut gerekçelerle (hesap verebilir şekilde) belgelemek gerekmektedir.

Tüm bu anlatımlarımıza rağmen (ihlali bildirmemek için haklı ve yerinde gerekçelerin olmaması durumunda)  bildirim sorumluluğunun mevzuata uygun şekilde (süresinde, eksiksiz)  gerçekleştirilmemesi, ciddi yaptırımlarla karşılaşılması sonucunu doğuracaktır.

Kişisel Verilerin Korunması Kanun’un Kabahatler başlıklı 18. Maddesinde;

• b) 12 nci maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar,
• c) 15 inci maddesi uyarınca Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar, …

idari para cezası verilir….”

hükmü mevcuttur.

GDPR ise; 

• veri güvenliğinin sağlanamaması nedeniyle 000.000 Avro veya şirketin bir önceki finansal yıla ait tüm dünyadaki cirosunun %10’u kadar idari para cezası,
• veri ihlalinin bildirilmemesi nedeniyle  000.000 Euro veya şirketin bir önceki finansal yıla ait tüm dünyadaki cirosunun %20’si kadar idari para cezası

öngörmektedir. Burada görüldüğü üzere iki ayrı idari para cezası mevcuttur.

Maddede yer alan cezalar idari yaptırım niteliğinde olup, kişilik hakları ihlal edilenlerin, genel hükümlere göre (maddi ve manevi) tazminat hakkına dair taleplerine dair dava açma hakları saklıdır.

Gerek idari para cezası gerek ise tazminat taleplerinin yanı sıra, uğranılacak itibar kaybının hafife alınamayacak kadar ciddi sonuçlar yaratacağının altını çizmek gerekmektedir.

Bu kapsamda yapılacak değerlendirme,

İhlalin kaynağını, etkilenecek kişileri,  ihlale konu veri türlerini, zararı ve riskleri değerlendirmek, olası sonuçlarını tespit etmek de “kişisel verilerin korunması”na hizmet eden ve ciddiyetle ele alınması gereken bir konudur.

Av. S. MELEK ATALAN

Tüm insanlığı etkisi alarak, hayatın akışını durma noktasına getirmiş olan koronavirüs pandemisi, beraberinde ciddi kayıplar, zorluklar ve korkuları da getirdi.  Amaç öncelikle hayat kurtarmak ve salgını önlemek iken, bu amaca hizmet edeceği düşünülen tüm bilgiler kısıtlamasız ve sınırsız biçimde paylaşılmaya başlandı. Dolayısı ile, hayatta kalma ve sevdiklerini koruma endişesi bu derece yoğun yaşanır iken, çözüm arayışına engel olacak ya da yavaşlatacak tüm düzenlemelerin tartışmalı hale gelmesi de kaçınılmaz olmuştur.

Salgın döneminde kişisel verilerin korunması, titizlikle ele alınması ve en ufak bir ihmal olmaksızın uygulanması gereken bir süreçtir. Bu hususlar fikir ayrılıkları en aza indirilerek, azami dikkat ve özenle uygulanmalıdır. Aksi halde, kişisel verilerin korunamaması söz konusu olacak ve telafisi imkansız sonuçlar doğuracaktır.

Nitekim Avrupa Birliği’nin 28 AB üye ülkesinin birçoğu, tek bir kapsayıcı sıkı veri gizliliği mevzuatına (Genel Veri Koruma Yönetmeliği (GDPR)) sahip olmasına rağmen, Avrupa’nın pek çok ülkesinde pandemi süresince pek çok fikir ayrılıkları ve uygulama farklılıkları ortaya çıkmaya başlamıştır.

Koronavirüs pandemisi Avrupa’ya yayıldıkça, veri koruma yetkilileri (DPA’lar) işverenlerin ve diğer kuruluşların (okullar, apartman blokları ve alışveriş merkezleri de dahil olmak üzere) insanlara kişisel ve tıbbi ile ilgili bilgileri sorma konusunda ne kadar ileri gidebilecekleri konusunda sorularla karşılaşmışlardır. Hal böyle iken, tüm veri koruma yetkilileri (DPA) sadece “temel” bilgilerin toplanması ve paylaşılması gerektiği konusunda hemfikir olsa da, DPA’ların “temel” olanın neleri kapsayabileceği konusunda farklı tolerans seviyelerinde olduğu görülmektedir.

Tüm bunlar, kişisel verilerin korunmasına dair mevcut düzenlemelerin ne kadar belirsiz olduğunu ve farklı yorumlara yol açtığını göstermektedir. Şöyle ki;

• Fransa ve İtalya’daki veri koruma yetkilileri, işverenlerin çalışanlarının sağlık durumları hakkında aktif olarak bilgi toplamaması veya nereye gittikleri veya ailelerinin ve arkadaşlarının sağlığı ve refahı hakkında sorular sormaması gerektiğine ancak hastalananların kaydını oluşturabileceğine dair çok erken işaretler vermiştir.
• Danimarka ve İrlanda veri koruma yetkilileri, hassas kişisel verilerin yasal olarak GDPR kapsamında toplanıp ifşa edilebileceğini, ancak bu tür işlemlerin meşru ve gerekli olanlarla sınırlı olup olmadığının değerlendirilmesinin önemini vurgulamışlardır.
• Hollanda, işverenlerin çalışanların hastalığına dair detaylı bilgileri kaydetmemesi gerektiğini, ancak bir sağlık sorunu var ise bunun ne kadar süre devam edeceklerini sorgulayabileceklerini açıklamıştır.
• İngiltere ise, veri korumasının işverenlerin soru sormasını veya meslektaşlarına bildirimde bulunmasını yasaklamadığını, ancak kuruluşların gereğinden fazla bilgi istememesi gerektiğini belirterek, “uygun güvenlik önlemlerini” uygulamalarını hatırlatmıştır.
• Finlandiya telekomünikasyon işletmecisi olan Telia firması, hükümetin virüsle savaşması için gerçek zamanlı, ancak anonimleştirilmiş kullanıcı hareketi verilerini sağlamaktadır.
• İtalya ve Avusturya koronovirüsün bulaştığı kişilerin hareketlerini izlemek için mobil konum verilerini kullanmaktadır.
• Fransa ve Norveç dahil olmak üzere diğer bazı ülkeler merkezi bir yaklaşım seçmiş olup, sağlık görevlileri hastalığı ve yayılmasını kontrol altına alabilmek adına verilere daha kolay ulaşarak analiz yapabilmektedirler.
• Avrupa dışında, Güney Kore ve İsrail de, koronavirüsün bulaştığı kişilerin hareketlerini izlemek için mobil konum verilerini kullanmaktadır.
• Çin, virüsü izlemek için yüz tanıma araçlarından yararlanmaya ve insanlara maske takmalarını söyleyen insansız hava araçları çalıştırmaya başlamıştır. Mobil takip ve izleme sistemleri de uygulama da yaygın olarak kullanılmıştır.
• Singapur, enfeksiyon riski altında olanları belirlemek için Bluetooth kullanan TraceTogether adlı bir uygulama başlatmıştır.

Anlaşılacağı üzere, tüm Dünya’nın hayatta kalma mücadelesi sürerken “veri korumanın” ana endişe kaynağı olmadığı görülmektedir.  Ancak, pandemi sürecinde kişisel verilerin toplanması ve işlenmesi için ilgili kişinin açık rızasını aranmamaktadır. Hal böyle iken, ilgilinin rızası olmaksızın toplanan verilerinin “veri korumanın” temel ilkelerine bağlı şekilde “ölçülü ve amaçla sınırlı” şekilde sürdürülmesi “veri sorumlusu” nun yönetimindedir. Veri sorumlularının bu süreçte, keyfiyet içerecek, sınırı aşacak tüm eylemleri ciddi sorunları ve güvensizlikleri de beraberinde getirecek olup, tüm bu ihtimaller ve boyutları iyi düşünülmelidir.

Nitekim, Avrupa Veri Koruma Kurulu (EDPB) da, GDPR’ın koronavirüs pandemisine karşı mücadelede alınan önlemleri engellemediğini, ancak işletmelerin GDPR’ye uymaktan muaf olmadığının altını çizmiştir. Açıklamadan anlaşılacağı üzere GDPR ilkeleri hala geçerlidir. Bu ilkeler;

• Amaç sınırlaması ve veri minimizasyonu. İzlenen hedeflere ulaşmak için gerekli olan kişisel veriler, belirlenmiş ve açık amaçlar için işlenmelidir.
• Şeffaflık. Bireyler, toplanan verilerin elde tutulması süresi ve işlemenin amaçları da dahil olmak üzere, işletmelerin işleme faaliyetleri ve bunların temel özellikleri hakkında açık ve anlaşılır bir dilde şeffaf bilgiler almalıdır.
• Güvenlik. İşletmeler, kişisel verilerin yetkisiz taraflara ifşa edilmemesini sağlayacak yeterli güvenlik önlemlerini ve gizlilik politikalarını benimsemelidir.
• Hesap verebilirlik. İşletmeler acil durumu ve temeldeki karar alma sürecini yönetmek için uyguladıkları önlemleri belgelemelidir.

Burada doğru ifade edilmesi ve kabul edilmesi gereken husus; Salgınla mücadele ederken “insan hayatı”  tartışmasız şekilde en değerli ve öncelikli olandır. Kişisel verilerin bu mücadelede sağlayacağı fayda “insan” hayatına hizmet niteliğindedir. Bu bağlamda özellikle ve tekrar belirtmek gerekir ki, kişisel verilerin korunması, kişisel verilerin “salgınla mücadeleye ” karşı korunması değildir. Nitekim mevcut düzenlemeler, toplum sağlığı için gerekli olduğu sürece, ilgili kişilerin rızasını almasına gerek kalmadan kişisel verileri işlemesine izin vermektedir. Bu derece değerli olan verilerin “amaç dışı kullanımdan” korunmaya muhtaç oldukları ise tartışmasızdır.

EDPB (Avrupa Veri Koruma Kurulu) başkanı Andrea Jelinek de, “Veri koruma kuralları (GDPR gibi) koronavirüs pandemisine karşı mücadelede alınan önlemleri engellemiyor” şeklindeki söylemi ile, kişisel verilerin korumanın salgın ile mücadeleye zarar vermeyeceğinin altını çizmiştir.

O halde, kişisel verilerin salgın ile mücadeleden uzak tutulması değil, salgın ile mücadeleye katkıda bulunurken ölçülü ve amaca bağlı kalınmak suretiyle korunması amaçlanmalıdır. Bu yazının içerisinde geçen tüm “Kişisel Verilerin Korunması” ifadeleri de; bu verilerin salgın ile mücadeleye fayda sağlamasının desteklenmesi ve fayda sağlarken de korunması anlamında kullanılacaktır.

Böyle bir süreçte kişisel verilerin ölçülü şekilde toplanması, işlenmesi, değerlendirilmesi ve korunması ise, ancak sınırların iyi belirlenmesi ve “amacın” doğru şekilde ortaya konulması ile mümkün olacaktır.

Belirtmek gereken diğer bir husus da, devletin kişisel verileri toplama amacı ve sürece dair şeffaf bir politika belirlemesi gerektiğidir.  Salgın sürecinde pek çok tedirginlik ve tereddüt arasında toplumun, kişisel verilerinin ne şekilde işleneceğine dair bilgilendirilmesi ve bu bakımdan tereddütlerini giderecek bir süreç yönetimi kamuya  duyulan güveni daha da sağlam hale getirecektir. Amaç ile bağlantılı ve orantılı (ölçülü) bir uygulama kadar, şeffaf yürütülen bir süreç de büyük öneme sahiptir.

Burada ortak ve temel amaç ve fayda toplum sağlığını güvende tutmak, salgının daha fazla yayılmasının önüne geçmek ve tıbben erken müdahalede bulunarak kişilerin hayatta kalma ihtimalini arttırmaktır. Amaç net ve tartışmasız şekilde ortada iken, netleştirilmesi gereken ve esnek uygulanma ihtimali daha kuvvetli bulunan hususlar kısaca şu şekilde sıralanabilir;

1. “Kimlerin” verileri toplanacaktır?
2. Toplanacak, işlenecek ve korunması gerekecek verilerin “türleri” nelerdir?
3. Bu verileri “kimler, hangi yöntemle” toplayacak ve erişeceklerdir?
4. Veriler “nerelere ve nasıl” aktarılacaktır?
5. Veriler “nerede ve nasıl muhafaza” edilecektir? Nelere dikkat edilmesi gerekmektedir?
6. Veriler “ ne kadar süre” boyunca saklanacak ve “ne şekilde imha” edilecektir?

Bu sorulara verilecek yanıtlar Kişisel Verilerin Korunması yönünden büyük önem arz etmektedir.

1. “Kimlerin” verileri toplanacaktır?

Hızlı şekilde yayılan ve bulaşıcılık seviyesi ileri boyutta olan bir virüs salgını mevcut iken, toplumda yaşayan tüm gerçek kişiler virüsün yayılmasına etki edecek derecede önem arz etmektedirler. Veri sahibi gerçek kişilerin yanında, aile (yakını) üyelerinin ve/veya en son görüştüğü kişilerin kimler olduğu da salgının yayılma hızına etki edecek faktörlerdendir. Bu sebeple tüm bu kişilerin birbiri ile bağlantılı şekilde verilerinin toplanması gerekebilecektir. Burada sınırların belirlenmesi ise; yalnızca virüsün bulaşmış olduğunun tespit edildiği, ya da bulaşma ihtimalinin (mesleği veya temasta bulunduğu kişiler sebebi ile) yüksek olduğu kişi ve/ veya bu kişi ile temas/yakınlık halinde olan kişilerin verilerinin toplanması ile sağlanmış olacaktır. En önemli faktör salgın ile mücadelede kişisel veri sahibinin arasında bir bağın/ilişkinin mevcut olması ya da kurulacak olmasıdır.

2. Toplanacak, işlenecek ve korunması gerekecek verilerin “türleri” nelerdir?

Salgın ile mücadele; salgının yayılmasının önlenmesi ve mevcut vakıaların hayatta kalmalarının sağlanması ile sürdürülmektedir. Bu çerçevede yalnızca salgını önleme ve tedavi kapsamında gereken veri türlerinin işlenmesi büyük önem arz etmektedir. Belirli bir amaca yönelik gerçekleştirilen söz konusu veri işleme faaliyetinde gereğinden fazla kişisel veri işlenmesi sınırın aşılması ve ihlal niteliğinde kabul edilecektir.

Bu bağlamda kimlik ve iletişim verisi haricinde ve ilaveten işlenecek veriler;

• Seyahat veya konum verisi: Risk teşkil eden bölge ve yerlerde, tiyatro, konser, sergi vs faaliyetlerde bulunulmuş olması yönünden,
• Çalışma ve çalışanların verisi: Çalışanlar ve temasta bulundukları diğer şahıslara bulaşmanın önlenmesi yönünden,
• Aile veya yakını verisi: Bu kişilere de bulaşmanın önlenmesi, veya bu kişilerde mevcut bir bulaşı olması durumunda veri sahibi olan ilgili kişiye bulaşmasının önlenmesi yönünden,
• Sağlık verisi: Kronik rahatsızlık gibi riskli durumların tespit edilerek önlem alınması yönünden,
• Banka ve finans verisi: Kişinin alışverişte bulunduğu yerlerin riskli olduğu tespit edilmesi durumunda erken müdahalede bulunulması ve yayılmaması için gerekli önlemlerin alınması yönünden,
• Görsel veri: Kişinin temasta bulunduğu yer ve kişilerin tespit edilerek erken müdahalede bulunulması ve yayılmaması için gerekli önlemlerin alınması yönünden,

toplanması mümkün görünmektedir.

3. Bu verileri “kimler, hangi yöntemle” toplayacak ve erişeceklerdir?

Öncelikle, ilgili kişinin, yukarıda sayılan türde verilerini toplayacak olan veri sorumlularının, kişisel verilerin korunması gerekliliğine, sorumluluklarına vakıf olması, amaçla ile bağlantılı ve sınırlı olacak şekilde veri toplaması, işlemesi ve korunması gerekmektedir.

Veri sahibi vatandaş yönünden Sağlık Bakanlığı, İçişleri Bakanlığı, Ulaştırma Bakanlığı gibi kamu otoritelerinin salgının önlenmesi ve kontrol altına alınabilmesi amaçlı uygulamalar, yazılımlar, kontroller gerçekleştirerek, telefon veya diğer iletişim yöntemleri ile ulaşarak verileri toplaması mümkündür.

Kişisel Verileri Koruma Kanunun 28 inci maddesinin (1) numaralı fıkrasının (ç) bendinde kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi halinde Kanun hükümlerinin uygulanmayacağı düzenlenmiştir. Mevcut salgın, kamu güvenliğini ve kamu düzenini tehdit etmekte olup, kişisel verilerin Sağlık Bakanlığı ve kamu kurum ve kuruluşları tarafından işlenmesi mümkündür.

Kamu yararına faaliyet gösteren sivil toplum kuruluşlarının, kişide mevcut veya yakınlarında/temasta bulunduğu kişilerde mevcut olabilecek salgının kontrol altına alınması, bulaşının önlenmesi amacına hizmet eden kişisel verileri toplaması, işlemesi, aktarması ve saklaması mümkündür.

Veri sahibi çalışanlar yönünden, işverenlerinin çalışanlarda mevcut veya olası salgının önlenmesi, azaltılması amacına hizmet eden kişisel verileri toplaması, işlemesi, aktarması ve saklaması mümkündür.

Özel sağlık kuruluşlarına başvuran kişiler yönünden, kişinin güncel sağlık durumunun bulaşıcılık riski taşıyıp taşımadığı, olası bulaşının önlenmesi, kişide mevcut veya yakınlarında/temasta bulunduğu kişilerde mevcut olabilecek salgının kontrol altına alınması, bulaşının önlenmesi amacına hizmet eden kişisel verileri toplaması, işlemesi, aktarması ve saklaması mümkündür.

Bankalar, kargo firmaları, alışveriş merkezleri ile iş ve işlemleri olan kişiler yönünden, kişinin temasta bulunduğu kişiler ve/veya ortamların tespit edilmesi, bu temaslarda olası bulaşının boyutları tespit edilerek salgının kontrol altına alınması, bulaşının önlenmesi amacına hizmet eden kişisel verileri toplaması, işlemesi, aktarması ve saklaması mümkündür.

Oteller, organizasyon, ulaşım veya seyahat firmaları ile iş ve işlemleri olan kişiler yönünden, kişinin güncel sağlık durumunun bulaşıcılık riski taşıyıp taşımadığı, olası bulaşının önlenmesi, kişinin temasta bulunduğu kişiler ve/veya ortamların tespit edilmesi, bu temaslarda bulaşının boyutları tespit edilerek salgının kontrol altına alınması, bulaşının önlenmesi amacına hizmet eden kişisel verileri toplaması, işlemesi, aktarması ve saklaması mümkündür.

Eğitim Kurumları, kreşler ile iş ve işlemleri olan kişiler yönünden, kişinin güncel sağlık durumunun bulaşıcılık riski taşıyıp taşımadığı, olası bulaşının önlenmesi, ileride bulaşı olması durumunda temasta bulunduğu kişiler ve/veya ortamların tespit edilmesi, bu temaslarda bulaşının boyutları tespit edilerek salgının kontrol altına alınması, amacına hizmet eden kişisel verileri toplaması, işlemesi, aktarması ve saklaması mümkündür.

Site yönetimlerine bağlı evlerde ikamet eden kişiler yönünden, olası bulaşının önlenmesi, ileride bulaşı olması durumunda temasta bulunduğu kişiler ve/veya ortamların tespit edilmesi, bu temaslarda bulaşının boyutları tespit edilerek salgının kontrol altına alınması, amacına hizmet eden kişisel verileri toplaması, işlemesi, aktarması ve saklaması mümkündür.

Dernek ve vakıflar, birliklerin üyeleri, barolara bağlı kişiler yönünden (kişinin güncel sağlık durumunun bulaşıcılık riski taşıyıp taşımadığı, olası bulaşının önlenmesi, ileride bulaşı olması durumunda temasta bulunduğu kişiler ve/veya ortamların tespit edilmesi, bu temaslarda bulaşının boyutları tespit edilerek salgının kontrol altına alınması, amacına hizmet eden) kişisel verileri toplaması, işlemesi, aktarması ve saklaması mümkündür.

4. Veriler “nerelere ve nasıl ” aktarılacaktır?

Her bir veri sorumlusu yönünden toplanacak veriler farklılık arz edebilecek ise de hepsinin ortak yönü salgının önlenmesi ve ortadan kaldırılması amacına hizmet etmesi olacaktır. Aynı husus aktarım için de geçerlidir.

Kişisel verilerin aktarımı da, toplanması ve saklanması kadar titizlikle alınması gereken bir karar ve aynı titizlikle yürütülmesi gereken bir süreçtir. Hal böyle olunca salgını önlemek, azaltmak, ortadan kaldırmak amacıyla toplanan verilerin aynı amaçtan kopmadan aktarılabileceğini unutmamak gerekir. Bu kapsamda öncelikle toplum sağlığına hizmet eden kamu otoritelerine (Sağlık Bakanlığı, İç İşleri Bakanlığı,  Ulaştırma Bakanlığı) aktarımın ölçülü olacağını düşüncesindeyiz. Aynı şekilde özel sağlık kuruluşlarına aktarımın talep edilmesi ve salgın ile mücadelede gerekli olduğu kanaatinin uyanması durumunda veri aktarımının gerçekleştirilebileceği kanaatindeyiz.

Salgının yayılma hızını azaltmak, etkilenecek kişi sayısını en aza indirmek, tedbir olunmasını sağlamak amaçlarıyla, temasta bulunulmuş olacak kişilerle iletişime geçilmesi ve risk hakkında gerektiği kadar (hastalığın bulaştığı ve onunla temasta bulunulan kişinin de imlik verisi ve sağlık durumunu kısmen içeren) bilgiler vermek suretiyle paylaşımda bulunulması uygun olacaktır. Yani, işverenler personeli koronavirüs vakaları hakkında bilgilendirmeli ve koruyucu önlemler almalı, ancak gereğinden fazla bilgi iletmemelidir. Hatta rıza almanın zorunlu olmadığı durumlarda dahi,  hastalığın bulaştığı çalışan, hakkında (diğer çalışanlara) aktarılacak bilgiler konusunda bilgilendirilmeli ve mahremiyetlerine saygı gösterildiği (ölçülülük) iletilmelidir. 

Veri işleme ve toplama amacının temelini oluşturan bu salgın ulusal seviyede olmayıp, tüm Dünya için tehlike arz eder hale gelmiştir.  Tüm Dünyayı ilgilendiren ve oldukça hızlı şekilde bulaşıcılık arz eden bu hastalığın önlenmesi ve sona erdirilmesi amaçlarıyla pek çok ülkede çalışmalar yürütülmektedir. Bu sebeple Türkiye’de üçüncü kişilere ve kurumlara aktarımlar haricinde, küresel bu salgının yayılmasının önlenmesi ve tedavi amaçlarıyla, mevzuatta öngörülen şartlara uygun olarak ve mevzuatta belirtilen güvenlik önlemlerini alarak  yurt dışına aktarım da söz konusu olabilecektir.

Tüm bu veri aktarımları sırasında, verilerin korunması ve olası sızıntıların önlenmesi de oldukça önemlidir.

5. Veriler “nerede ve nasıl muhafaza” edilecektir? Nelere dikkat edilmesi gerekmektedir?

Kişisel verilerin toplanması ve aktarılması kadar muhafazası da önem taşımaktadır.

Salgın ile birlikte, insanların uzaktan (evlerinde) çalışma hayatına geçmesi, yeterli güvenlik sistemleri içermeyen ağ bağlantıları gerçekleşmesi sebebi ile ciddi risk teşkil etmektedir. Çünkü, mevcutta pek çok işyeri uzaktan çalışma hayatına geçmiş ise de, çalışanların uzaktan çalışmalarını sağlayan (kişisel verilerin topladığı, işlendiği ve muhafaza edildiği) bilişim sistemlerinin yeterince güvenli olduğu ve uzaktan çalışmaya hazır olduğunu söylemek  pek de mümkün değildir. Zira siber güvenlik bağlamında suçlular, salgın sonrasında uzaktan eğitim, uzaktan çalışma gibi yöntemlerin artmasını kendileri için bir fırsat olarak görmüşler, bu amaçla çeşitli yöntemler geliştirmişlerdir. Bunlara örnek olarak; hileli e -postalar (saldırıya uğradığınızı ve bunların çözülmesine yardımcı olacaklarını belirten ‘yardımcı’ kişilerden) veya telefon aramaları, hayali güvenlik önlemleri veya web sitelerine bağlantılar içeren enfekte eklere sahip (salgın temalı) kimlik avı e-postaları gösterilebilir.

Bu sebeple söz konusu salgın öncesi ve sonrası toplanan verilerin titizlikle (ihmalin olmadığı ve her türlü ihtimalin değerlendirildiği şekilde)  korunması adına, azami idari ve teknik tedbirlerin alınması şarttır. (Koronovirüs salgını sonrası toplanan kişisel veriler gibi, salgın öncesi mevcut olan kişisel verilerin de korunması güvenlik tedbirlerini arttırmak gerekecektir. )

İdari güvenlik tedbiri olarak; uzaktan çalışma politikası belirlenmeli, şüpheli bir veri ihlali olması durumunda, olası tedbirler ve yapılacaklar belirlenmeli, irtibat kişilerinin güncel bilgileri belirlenmeli ve çalışanların bu politikaya bağlı kaldıkları denetlenmelidir. Uzaktan çalışma sırasında işyeri dışına çıkartılmış olunan kağıtlar, dosyalar vs. güvenli bir şekilde teslim edilmeli, taşınmalı, muhafaza edilmeli ve ger alınmalıdır. Çalışanın ailesi veya evinde bulunan diğer kişilerin gerek bilgisayar gerek ise bu evraklara erişiminin olmayacağı bir alanda çalışması ve cihazların kullanılmadığında kapalı, kilitli veya dikkatli bir şekilde saklandığından emin olunması gerektiği belirtilmeli, denetlenmeli (Çalışanın evinde kilitler, alarm sistemleri vb. gibi ileri düzeyde fiziksel güvenliğin olması aranmalıdır ) ve sorumluluk uyarısında bulunulmalıdır.

Bu kapsamda, teknik tedbirlere de yönelerek; yalnızca güvenilir wifi ağları (kamuya açık veya riskli wifi ağları kullanılmamalıdır) veya bulut hizmetleri kullanılmalı,  cihazların şifrelemeyle güvence altına alınmalı, verilerin muhafaza edildiği ortamlara (fiziki, bilişim sistemleri, veri kayıt sistemleri içerisine v.s.) erişim kısıtlaması getirilmeli, çevrimiçi güvenlik önlemleri (anti-virüs sistemlerinin kurulması ve güvenlik duvarlarının risk içermemesi) , kamera sistemleri kurulmalı, denetime tabi girişler uygulanmalıdır.

Bir başka veri türü olan, (mobil telefon aracılığı ile toplanan)  konum verilerinin ve uygulamaların muhafazası hususunda ise;

Konum verisi, Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğinin Korunması Hakkında Yönetmelikte “Kamuya açık elektronik haberleşme hizmeti kullanıcısına ait bir cihazın coğrafi konumunu belirleyen ve elektronik haberleşme şebekesinde veya elektronik haberleşme hizmeti aracılığıyla işlenen belirli veri” olarak tanımlanmıştır. Kişiyi belirlenebilir hale getiren konum verisi, kişisel veri kapsamındadır.

Bu verinin salgın sürecinde toplanması ve işlenmesi; hasta kişilerin tespiti, hastalığı bulaştırma riski bulunan kişilerle görüşmüş kişilerin tespiti, virüsün yayılma haritası çıkartılarak karantina uygulanması geliştirilmesi, riskli yerlerin tespiti, sürecin kontrollü sürdürülmesi gibi (virüsün yayılımını önlemek ve sona erdirmek) amacıyla olmalıdır.

Bu veri “cep telefonu takibi” yolu ile toplanmakta olup,  bu verinin toplanma ve işlenme yönünden ekstra inceleme ve güvencelere tabi olması gerekmektedir. Zira konum verileri kişinin özel hayatına dair ciddiyetle ele alınması ve korunması gereken diğer bir veri türüdür.

Bu veri toplanırken de, veri minimizasyonu sağlanmalı, gerçek kişiyi tanımlayan tüm veriler ve konum verisi birlikte toplanmak suretiyle orantısız bir uygulamaya gidilmemelidir. Öyle ki, konum verisinin işlenmesindeki amaç (salgında bulaşının izlenmesi veya tespit edilebilmesi) , insanların temasta bulundukları mesafe ve sürenin bilinmesi, toplulukların tespiti ve konumu ile sağlanabilmekte ise, (bunun yanında ayrıca) kişilerin kimlik verilerinin işlenmesi,  aile verilerinin işlenmesi, iletişim verilerinin işlenmesi  amacın dışına çıkan (gerekenden fazla) bir veri işleme ortaya çıkarır. Bunun yerine orantıyı sağlamak adına konum verileri ile gerçek kişinin diğer (bazı) kişisel verileri ile kurulacak bağlantı ancak kişiye virüs bulaşmış, ya da temasta bulunduğu kişiye bulaşmış olduğu tespit edildiğinde kurulmalıdır. Hastalığın tespit edilmesi durumunda anonimleştirilmiş ya da kodlanmış verilerin nasıl kullanılacağı ise analiz edilerek planlanmalıdır. Böyle bir tespit olana kadar da konum verisi yanında (haricinde) gerçek kişiyi tanımlayan diğer veriler kodlanarak veya anonimleştirilmiş halde işlenmelidir.

Konum verilerine ulaşım da ayrıca sınırlandırılmalıdır. Bu verilere ulaşım, yalnızca “amaç” için gerekli olduğunda, yetkili kişilerin iznine tabi şekilde gerçekleştirilmelidir.

Ayrıca tek bir merkezi sunucuda korunan verilerin saldırı durumunda daha büyük bir riskle karşı karşıya olacakları da tartışmasızdır. Bu sebeple verilerin gizlilik ve korunması bağlamında ileride doğabilecek tüm riskler değerlendirilerek ve önlemler alınarak (anonim hale getirilmesi gibi) muhafaza edilmeleri önemlidir.

Tüm bunların yanında, veri sahibinin de, aydınlatılarak, haberdar edilmesi,  ölçülü ve iyi niyetli bir yaklaşım olacaktır.

6. Verilere“ ne kadar süre” boyunca erişilecek ve “ne şekilde imha” edilecektir?

Söz konusu verilerin toplanma ve işlenme amacı, salgının önlenmesi ve tedavi amaçlı olup, bu amaç için gerekli olan süre kadar muhafaza edilmelidir. Bu kapsamda, verilerin salgın hastalık süresince saklanması gerekli olduğundan şüphe yoktur. Sürenin bitimi veya işlenmesini gerektiren sebeplerin ortadan kalkması da ancak salgının sona ermesi ile mümkün olacaktır.

Verilerin işlenmesi ve muhafaza edilmesini gerektiren amacın yani salgının ortadan kalkması ve ilerde oluşacak olası bir salgının önlenmesi amacıyla ve bu amaçla sınırlı olacak şekilde verilerin saklanmasının gerekmemesi halinde, kişisel veriler silinmeli, yok edilmeli veya anonim hale getirilmelidir.

Kamu otoritesi tarafından salgını önlemek ve sona erdirmek gayesi ile çıkılan bu yolda, salgının ortadan kalkmasına rağmen verilerin işlenmeye devam edilmesi yani bunun keyfiyete ve alışkanlığa dönüşmesi, başta Anayasa olmak üzere tüm hukuk ilkeleri ile çelişecektir. Mahremiyeti ortadan kaldıracak bu yaklaşım, devlete ve kamu kurumlarına olan güveni ciddi biçimde zedeleyecek, eski hale getirilmesi imkansız bir hal alacaktır.

Bunun için resmi makamlarca ve yine Kişisel Verilerin Korunması Kurumunun kamuoyuna bilgilendirme içeren açıklamalarda bulunması gerekmektedir. Zira sürecin belirli şekilde ve güvencelerle yürütülmesi ne kadar önemli ise, bunun topluma açıklanması da o derece önemlidir. Bu hassasiyetle açıklamalar yapılması beklenmekte olup, kurumların duyurularının takip edilmesinde fayda vardır.

Toplanan verilere erişim hususunda ise; sürekli erişim orantısız bir uygulama olacaktır. Mevcut verilerin toplanması ve işlenmesi gibi erişilmesi de gerektiren koşullar yani amaçla bağlantılı şekilde sürdürülmelidir. Bu amaç (sadece salgın ile mücadele ve önleme) mevcut iken erişilmesi gerekli olan verilere erişilmesi gerekmektedir. Bu sürecin şeffaf ve en ufak bir tereddüte mahal vermeyecek şekilde titizlikle yürütülmesi hayati önem sahiptir. Aksi halde keyfiyete tabi şekilde korunamamış verilerden bahsedilecektir.

Tüm bu açıklamalar ışığında şu kanaate varmak mümkündür ki; Dünyayı saran salgınla savaşabilmek için ciddi yarar sağlayan bu verilerin önemi hayatidir. Çünkü kişisel verilerin, aynı şekilde korunmaları da bundan sonra yaşanabilecek olası hayati durumlar için o denli önemli olduğu sabit iken verileri korumanın yaşam hakkı ile de bağlantılı olacağı savına varmak mümkündür.

Ancak bu salgının, tüm verileri sınırsız şekilde toplamak ve paylaşmak için yetki ve haklılık vermeyeceğini de üzerine basarak tekrar belirtmek gerekmektedir.  Salgından ciddi şekilde insanların yaşadığı korku ve endişe beraberinde çaresizlik, vazgeçmişlik getirse de tüm bunlar sona erdiğinde, geriye (eskiye dönülemez şekilde) hasar almış ve kişilerin verilerini koruyamamış bir yapı kalmaması adına çalışmalarda bulunmak, riskleri değerlendirmek ve önlemler almak ciddi bir husustur. Tüm bunları ciddiye alan ve kişisel verileri “koruyarak” salgın ile savaşmayı başaran yapı, yeni hayatlarımız başladığında kişisel verilerimizi ve aslında bizlerin “hayatını” korumaya devam edebilecek güçte olacaktır.

Av. MELEK ATALAN

 

Kişisel verilerin korunması bağlamında, gerek TCK [1]  gerek ise KVKK [2]  , kişisel verilere ilişkin suçlar bakımından hükümler içermektedirler. TCK 135. Madde ve devamında; genel olarak kişisel verilerin hukuka aykırı olarak kaydedilmesi, ele geçirilmesi, bir başkasına verilmesi, yayılması ve yok edilmemesi eylemlerinin suç olarak sıralandığı görülmektedir. KVKK’nın 17. Maddesinde de kişisel verilere ilişkin suçlar bakımından Türk Ceza Kanunu’na atıfta bulunulmuş, ayrıca kabahat niteliği taşıyan eylemler de tanımlanmış ancak bunlar Türk Ceza Kanunu’nun kapsamı dışında tutulmuştur.

Her iki kanunda da yer alan suçlar veya kabahatlere dair, araştırma, soruşturma, kovuşturma yapılması ve yaptırımların uygulanması taleplerini içeren “şikayet” hakkına yer verilmiştir.

Şikayet; “Mağdur veya suçtan zarar görenin yetkili mercie başvurarak, suç teşkil eden fiil dolayısıyla soruşturma ve kovuşturma yapılması yönündeki iradesini açıklaması”dır. (Özgenç 2014, s. 562)

Şikayet hakkı; “Bireyin devletten kendi menfaatine bir şey yapmasını isteyebilme hakkını ifade eden sübjektif kamu hukuku hakkıdır “(Erem, Danışman ve Artuk, 2019)

Şikayet hakkı, Anayasa temelli ve her suç yönünden kullanılabilinen bir haktır. Bununla birlikte her suç yönünden devletin “kendiliğinden” yani re’sen soruşturma ve kovuşturma yapmaması, “takibi şikâyete tabi suçlar”ı oluşturmuştur. Bunun anlamı şudur ki, bazı suçlar şikâyet şartı gerçekleşmeksizin “mutlak olarak takip edilemeyen” suçlardır.

Kişisel verilerin “korunmaması” durumunda oluşan suçun takibi ve soruşturulmasının “şikayete tabi” olup olmadığını, ceza mavzuatı ve KVKK kapsamında ele aldığımızda;

TCK 139. Maddesi;  Kişisel verilerin kaydedilmesi, verileri hukuka aykırı olarak verme veya ele geçirme ve verileri yok etmeme hariç, bu bölümde yer alan suçların soruşturulması ve kovuşturulması şikâyete bağlıdır.”

KVKK 14. maddesi; “Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; ilgili kişi, veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve her hâlde başvuru tarihinden itibaren altmış gün içinde Kurula şikâyette bulunabilir.”

KVKK 15. Maddesi; “Kurul, şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen, görev alanına giren konularda gerekli incelemeyi yapar…”

Yukarıda yer verdiğimiz TCK maddesi incelendiğinde, kişisel verilerin korunması kapsamındaki suçların, takibinin şikayete bağlı olduğunu söylemek mümkün görünmektedir.

Bununla birlikte, KVKK yönünden şikayet hakkının kullanılması sonrasında “şikayetten vazgeçilmesinin” TCK ‘dan farklılık arz etmekte olduğunu söylemek yanlış olmayacaktır.

Şikayetten vazgeçme; Soruşturulması ve kovuşturulması şikâyete bağlı bir suçun gerçekleşmesi sonrasında şikâyet hakkı sahibinin (süresi içerisinde ve kanunun öngördüğü şartlara uygun olarak) şikayet hakkını kullanması “şikayet hakkı” , sonrasında “şikâyetini geri alması ve geçersiz sayılmasını istemesi” durumunda ise “şikayetten vazgeçme” ortaya çıkmaktadır. Takibe girişilmesi ve sürdürülmesi için şikayet hakkı sahibinin rızasının arandığı bu durumlarda, şikayet ile ortaya konan rızanın geri çekilmesi ile kovuşturma veya soruşturma sona ermektedir.

KVKK kapsamında şikayette bulunma sonrasında “şikayetten vazgeçme” söz konusu olmuş ise, Kurumun (vazgeçilen) şikayete konu suç yönünden soruşturmaya devam edip etmeyeceği, yaptırım kararı alıp alamayacağına dair kanun koyucunun açık bir hükmü bulunmamaktadır.

Ancak, şikâyet üzerine veya resen incelemenin usul ve esasları başlıklı 15. maddede “Kurul, şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda “resen” [3], görev alanına giren konularda gerekli incelemeyi yapar.”, aynı maddenin 5. fıkrasında “Şikâyet üzerine veya “resen yapılan inceleme” sonucunda, ihlalin varlığının anlaşılması hâlinde Kurul, tespit ettiği hukuka aykırılıkların veri sorumlusu tarafından giderilmesine karar vererek” , yine aynı maddenin 6. fıkrasında “şikâyet üzerine veya “resen yapılan inceleme” sonucunda, ihlalin yaygın olduğunun tespit edilmesi hâlinde Kurul, bu konuda ilke kararı alır ve bu kararı yayımlar.”  Hükümleri yer almaktadır.

Yine Kurumun yayımlamış olduğu “Ki̇şi̇sel Veri̇leri̇n Korunmasina İli̇şki̇n Başvuru Ve Şi̇kâyet Hakkı” başlıklı yazıda yer alan ifadelere yer vermek gerekir ise; “…Fakat Kurul’un inceleme yapabilmesi için “mutlaka ilgilinin şikayetine ihtiyaç yoktur.” Kurul’un ihlal iddiasını herhangi bir şekilde öğrenmesi durumunda da “resen harekete geçerek görev alanına giren konularda gerekli incelemeyi yapması yetkisi dahilindedir”…Buna göre, Kurul, şikâyet üzerine veya “ihlal iddiasını öğrenmesi halinde resen, görev alanına giren konularda gerekli incelemeyi yapabilecektir.” Bu inceleme, şikâyete ya da resen öğrenilen ihlal iddiasına münhasır olacaktır…” .

Gerek kanun hükmü gerek ise Kurumun görüş ve yorumlarının yer aldığı yayımdan da anlaşıldığı üzere, kişisel verilerin korunamadığı iddiası ile yaptırım uygulanması talepleri ilgili kişi tarafından,“şikayet” başvurusu ile gerçekleştirilmeli ise de;

• Kurum, herhangi bir şikayet talebi iletilmemiş (hatta ilgili kişinin ihlal sayılacak eylemden haberdar dahi olmaması) durumunda,
• Ya da Kurum, ilgilinin şikayeti ile vakıf olduğu ihlale ilişkin olarak “ilgilinin şikayetinden vazgeçmesi” yani şikayetini geri çekmesi durumunda,

dahi, “resen” inceleme yapabilecek ve karara varabilecektir.

Bu karar; (tebliğ tarihinden itibaren gecikmeksizin ve en geç otuz gün içinde)  “aykırılığın giderilmesi” yönünde olabileceği gibi, (ihlalin yaygın olduğuna kanaat getirilir ise) “ilke kararı alınması” şeklinde de olabilecektir. İlke kararı alan Kurul, karar konusu olaya dair yaklaşımını ve sonraki inceleme ve şikâyetlerde göstereceği tutumu tüm ilgililere ilan etmekte, mevzuatın uygulamadaki yansımalarına ilişkin farklı yorumlar ve bunlardan doğacak farklı uygulamaların önüne geçmeyi hedeflemektedir.

Kişisel verilerin korunması bağlamında, “şikayetten vazgeçme” halinde kurumun incelemeyi sürdürüp sürdürmeyeceği, başka bir anlatımla ilgilinin şikayeti ile bağlı olup olmadığı hususunda vardığımız sonuç;
Kurum şikayetten bağımsızdır. Kurum mevcut şikayetin geri alınması durumunda da, incelemeyi sürdürmeyi gerekli görebilir ve veri sorumlularından gerekli tüm bilgi ve belgeleri talep ederek, aykırılığın varlığını tespit etmesi durumunda da tespit ettiği hukuka aykırılıkların veri sorumlusu tarafından giderilmesine karar verebilir ya da ilke kararı alabilir. 05.05.2020

Av. MELEK ATALAN

 

[1] Türk Ceza Kanunu

[2] Kişisel Verilerin Korunması Kanunu

[3] “kendi başına, kendiliğinden”