Kişisel Verileri Koruma Kurulu 21/12/2017 tarihinde “Rehberlik Hizmeti Veren İnternet Sitelerinde/Uygulamalarda Kişisel Verilerin Korunması konusunda Kuruma intikal eden ihbar veya şikayetler sonucunda yapmış olduğu değerlendirmeleri ve tespitleri içeren Kararını 25.01.2018 tarihli Resmi Gazete yayımladı.

Karar; 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) hükümlerine aykırı olarak ilgili kişilerin (kurul rehberindeki ismiyle veri sahiplerinin) açık rızalarını almaksızın isimden telefon numarası veya telefon numarasından isim sorgulanması şeklinde rehberlik hizmeti veren internet siteleri ve uygulamalara ilişkin verilmiştir. (Veri İşleme Şartlarından Açık rızaya dayanmalarının gerektiği belirtilmiştir m.5/f.1)

Kişisel verileri çeşitli uygulamalar, internet siteleri veya sosyal medya hesapları üzerinden toplayan ifadesi Kararda detaylarına girilmese de iki farklı senaryo ihtimali üzerinden değerlendirilebilir.

İlk senaryo; kişilerin verilerini sosyal medya hesapları üzerinden kendileri tarafından alenileştirmiş olduğudur (Kararda geçen “üzerinden” ifadesinden sonuca gidilmeye çalışılmaktadır). Kararı incelediğimizde; Kurulun bu şekilde alenileştirilen verilerin, alenileştirme amacı dışında işlenemeyeceği şeklinde bir yorum yaptığı da söylenebilir. Özellikle sosyal medya vasıtasıyla alenileştirilen verilerin iş veya kredi başvurusu esnasında değerlendirmeye kaynak teşkil eden veri setine eklenebileceğini ilişkin görüşün isabetli olup olmadığı açısından yol gösterici olacaktır. (Avrupadaki bazı karar ve rehberlerde alenileştirme amacının dikkate alınması gerektiğine işaret edildiğini görebiliyoruz. Bu konuyu başka bir yazıda ele alacağız.)

İkinci senaryo; kişilerin uygulama, internet sitesi veya sosyal medya platformları üzerindeki hesaplarına üye olurken paylaştığı isim ve telefon numarası bilgisine Rehberlik Hizmeti veren şirketlerin ulaştığı şeklinde kurulabilir. Ancak böyle bir durumda verilerin bilişim sistemine girme suçu gibi bilişim suçlarının işlenmesi suretiyle elde edildiği ve ilgili kanun maddelerine atıf yapılması veya işaret edilmesi beklenirdi. Kararın genelinde bu senaryoyu doğrulayan argümanlar bulunmadığı için zorlama bir yorum olarak kabul edebilirsiniz ancak yine de bu ihtimal bir kenarda durmalı.

İlke Kararda ismi geçmeyen şirketlerin; Kişisel verileri ilgili mevzuata uygun olmayan bir şekilde topladığı (1), toplanan verileri 3. kişilerle paylaştığı (2) ve isim/telefon numarası ilişkisini kurarak verileri türetmek suretiyle eşleştirip ardından paylaştığı(3) ve başkalarının telefon rehberinde nasıl kayıtlı olduğunun öğrenilmesi hizmetlerini verdiği (4) Kurul tarafından tespit edilmiştir.

Kanun’un 15. maddesinin 6. fıkrasında “Şikâyet üzerine veya resen yapılan inceleme sonucunda, ihlalin yaygın olduğunun tespit edilmesi hâlinde Kurul, bu konuda ilke kararı alır ve bu kararı yayımlar.” şeklinde düzenlenmiştir. Kararın niteliği göz önüne alınarak değerlendirilmesi gerekmektedir. İlke karar olması sebebiyle şirket isimlerinin verilmemesi uygundur.

KVKK madde 15/1: “Kurul, şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen, görev alanına giren konularda gerekli incelemeyi yapar”.

Şikâyet üzerine veya resen inceleme yapması gerektiği durumların usul ve esaslarını düzenleyen 15. maddenin 7. fıkrasının uygulanması gerektiğine karar vermesi önemlidir.

Söz konusu fıkra; “Kurul, telafisi güç veya imkânsız zararların doğması ve açıkça hukuka aykırılık olması hâlinde, veri işlenmesinin veya verinin yurt dışına aktarılmasının durdurulmasına karar verebilir. şeklinde düzenlenmiştir. Bu fıkrada verilen yetkinin Ölçülü bir şekilde kullanılması hususunda dikkat edilmesi gerektiği konunun uzmanları tarafından da dile getirilmiştir.

Hukuka aykırı bir şekilde devam eden veri işleme faaliyetinin sonucunda kişilerin haklarına gelen yük ile veri işleme faaliyeti durdurulan organizasyonların hak ve menfaatlerinin uğrayacağı zarar değerlendirilmelidir. Veri işleme faaliyetinin durdurulması sonucunda şirketlerin itibarının sarsılması, kendilerine duyulan güvenin azalması gibi telafi edilemez zararlara uğrayabileceği göz önünde bulundurulmalıdır.

Kanun maddesinde sayılan şartlardan hangisine dayanılarak veri işleme faaliyetinin durdurulmasına karar verildiği net bir biçimde anlaşılamamaktadır. Ancak Kişisel Verilerin Korunması alanının Türkiye’de gideceği yön açısından bize bilgi vermektedir. Diğer veri sorumlusu organizasyonların da veri işleme faaliyetinin durdurulması kararı ile karşı karşıya kalabileceği söylenebilecektir. Ancak hangi şartların bu karara Kurul’u yönelttiği bilinmezse, alınması planlanan tedbirlerin belirlenmesinde güçlük yaşanacaktır.

İnternet sitelerinin/uygulamaların söz konusu faaliyetlerine ne kadar sürede son vermezse erişiminin engelleneceği sorusu akıllara gelebilir. Kanunun 15. maddesinin 5. fıkrasında “Bu karar, tebliğden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirilir.” yanıtlanmaktadır.

Kişisel verilerin hukuka aykırı olarak elde edilmiş olabileceğini dikkate alarak kurulun Cumhuriyet Başsavcılığına durumu bildireceği hususunda bilgi verilmektedir.

Posted by Oğuz Kartöz

Oğuz Kartöz, Marmara Üniversitesi Hukuk Fakültesinden mezun oldu. İstanbul Üniversitesi'nde Kamu Hukuku alanındaki yüksek lisans eğitimine devam ediyor. Kişisel Veriler, Mülkiyet Hakkı, AYM ve AİHM, Siber güvenlik, E-ticaret ve Sözleşmeler Hukuku alanlarıyla ilgilenmektedir. 2012 yılında Genç Fütüristler derneğinin üyesi olarak çeşitli projelerin kurucu ekipleri arasında yer alma fırsatı bulmuştur. Genç Fütüristler Yönetim Kurulu üyesi olarak görev yapmaktadır. Gelecek trendlerinin ve teknolojik gelişmelerin felsefi, sosyal ve hukuksal yönleriyle ilgilenmektedir.

Leave a reply

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir