Bu yazı ilk olarak Lexpera Blog’da yayınlanmıştır.
Türkiye’nin kişisel verilerin korunmasına ilişkin çerçeve kanunuyla tanışmasının üzerinden üç yıl geçti. Üç yıllık tanışıklık sürecinde özellikle uygulamacıların ve akademisyenlerin konuya yönelik yoğun ilgisi, çift taraflı bir bilinç oluşmasının başlangıcına vesile oldu. Bir yandan veri sorumluları uyum süreçlerine başlarken, diğer yandan verisi işlenen gerçek kişiler de özellikle medya ve Kişisel Verileri Koruma Kurumu’nun faaliyetleri aracılığıyla bilinçlenmeye başladı.
Her iki taraf açısından da bilinç düzeyi henüz idealin çok altında olmasına rağmen 2019 yılının kişisel verilerin korunması açısından önceki yıllara göre çok daha verimli geçtiğini söyleyebiliriz. Bu yıl Türkiye’de, meseleye ilişkin hangi düzenlemelerin tesis edildiğini, Anayasa Mahkemesi ve Danıştay nezdinde hangi kararların verildiğini, uyum süreçleri ve VERBİS’e kayıt sınavında neler yaşandığını, Kişisel Verileri Koruma Kurulu’nun karar ve çalışmalarının neler olduğunu incelediğim bu yazıdaki veriler, tamamıyla açık kaynaklardan derlenmiştir.
A. YENİ İKİNCİL DÜZENLEMELER
İlk kez 2016 yılında yayınlanan; ancak Danıştay tarafından yürütmesi durdurulan kişisel sağlık verilerine ilişkin yönetmelik; YD kararı doğrultusunda kısmi değişiklikler yapılarak ikinci kez 2018 yılında yayınlanmıştı. Ancak Danıştay, kısmen değişiklik yerine yeni bir düzenlemenin yapılması gerektiğini belirterek ikinci yönetmeliğin de yürütmesini durdurmuştu. Bunun üzerine baştan yürütülen bir çalışma neticesinde “Kişisel Sağlık Verileri Hakkında Yönetmelik”, 21 Haziran 2019’da Resmî Gazete’de yayımlanarak yürürlüğe girdi.
Bu yıl ayrıca doğrudan Kurum’un iç işleyişini ilgilendiren “Kişisel Verileri Koruma Kurumu Disiplin Amirleri Yönetmeliği” de yürürlüğe girdi.
B. ANAYASA MAHKEMESİ ve DANIŞTAY KARARLARI
2010 yılından itibaren bir insan hakkı olarak Anayasa’da düzenlenen kişisel verilerin korunması hakkı, bu yıl çok sayıda Anayasa Mahkemesi kararına konu oldu.
Anayasa Mahkemesi, bu hakka ilişkin olarak önemli iki soyut norm denetimi incelemesi gerçekleştirdi. Mahkeme, 13 Kasım 2019’da Resmî Gazete’de yayımlanan kararıyla, KHK’yla BTK’ya her türlü kurum ve kuruluştan kişisel veri talep etme yetkisi veren düzenlemenin iptal edilmesi talebini inceledi. Gerçekleştirdiği inceleme kapsamında mahkeme, anılan düzenlemeyi yetkinin Kurum’un siber güvenliği sağlama görevi çerçevesinde bulunduğu; kişisel verilerin temin edilmesindeki amacın, kapsamın ve sınırların Kanun’da açıkça belirlenmesi sebepleriyle iptal talebini oy çokluğuyla reddetti. Kararda Zühtü Arslan’ın karşıoy gerekçesi de anılmaya değerdi. Arslan, gerekçesinde Mahkeme’nin BTK’nın selef kurumu olan TİB’e verilen yetkiler açısından da benzer incelemelerde bulunarak çeşitli hükümleri iptal ettiğini ve bu anlamda Mahkeme’nin önceki kararlarından ayrılmasını gerektiren bir hususun bulunmadığını, BTK’nın görev alanının oldukça geniş olması ve iptali talep edilen kuralların geniş bir alanda kişilerin temel haklarına müdahaleye izin verdiğini, BTK tarafından işlenen kişisel verilerin mahiyeti, denetimi ve kişilerin durumdan haberdar edilmesi gibi hususlar yönünden ilgili düzenlemede güvencelere yer verilmediğini ifade etti.
Anayasa Mahkemesi’nin 29 Kasım 2019’da Resmî Gazete’de yayımlanan diğer kararında ise yine KHK’yla getirilmiş olan ve kamu görevine girişte aranan “güvenlik soruşturması ve arşiv araştırması yapılmış olmak” şartının iptal edilmesi talebini inceledi. Yapılan inceleme neticesinde Mahkeme, “güvenlik soruşturması ve arşiv araştırması sonucunda devlet memurluğuna atanmada esas alınacak kişisel veri niteliğindeki bilgilerin alınmasına, kullanılmasına ve işlenmesine yönelik güvenceler ve temel ilkeler kanunla belirlenmeksizin bunların alınmasına ve kullanılmasına izin verilmesi“nin Anayasa’nın 13, 20 ve 128. maddeleriyle bağdaşmadığı sonucuna ulaşarak ilgili hükmü iptal etti.
Anayasa Mahkemesi, kişisel verilerin korunması hakkını da içeren özel hayatın gizliliği başlıklı Anayasa’nın 20. maddesiyle ilgili olarak toplam 108 bireysel başvuru kararı verdi. Söz konusu kararlardan doğrudan kişisel verilerin korunmasını ilgilendiren başvuru sayısı ise yalnızca 4 oldu (Bkz. Tablo-1). Mahkeme, bu başvurulardan ikisinde ihlâl kararı verirken; diğer ikisinde ise iddiaların açıkça dayanaktan yoksun olması nedeniyle kabul edilemezlik kararına hükmetti.
Sağlık verilerinin işlenmesine ilişkin yönetmeliklerin yürütmesinin durdurulmasında ifade edilen “Kişisel Verileri Koruma Kurulunun görüşünün alınması” gerektiği hususu, bu yıl Danıştay tarafından bir kez daha vurgulandı. Danıştay 15. Dairesinin kararıyla “Ayakta Teşhis ve Tedavi Yapılan Özel Sağlık Kuruluşları Hakkında Yönetmelik”in 19. maddesinin üçüncü fıkrası hakkında “dava konusu düzenleme tesis edildiğinde [kararın verildiği tarihte] özel nitelikli kişisel veri olarak kabul edilen sağlık verilerinin işlenmesinde alınması gerekli olan önlemlerin Kişisel Verileri Koruma Kurulu tarafından belirlenmediği ve “mevzuat taslağı hakkında Kurul görüşü alınmaması” gerekçeleriyle yürütmenin durdurulması kararı verildi. Danıştay’ın bu istikrarlı tutumu, diğer kurumlar tarafından hazırlanacak mevzuat taslaklarının, görüşüne başvurulmak üzere Kurul’a iletilmesi gerektiğini bir kez daha ortaya koymuş oldu.
C. KİŞİSEL VERİLERİ KORUMA KURULU KARARLARI
Meselenin Türkiye’de yol almasında kilit rol oynayan Kişisel Verileri Koruma Kurulu, 2019 yılında 9’u düzenleyici işlem ve ilke karar, 26’sı birel işlem olmak üzere toplam 37 kararını yayımladı.
1. DÜZENLEYİCİ İŞLEM ve İLKE KARARLAR
Düzenleyici işlem ve ilke karar niteliğindeki kararlarının bir kısmında VERBİS’e kayıt sürelerini ve istisnalarını düzenleyen Kurul’un, bunun dışındakilerde ise uygulamadaki önemli hususlara dair tereddütleri gidermeyi amaçladığı ifade edilebilir[1]. İşte o kararlar;
Yurtdışında yerleşik tüzel kişilerin Türkiye’deki şubeleri ile irtibat bürolarının sicile kayıt yükümlülüğü hakkındaki görüş talebi üzerine Kurul; (i) yurtdışındaki veri sorumlusunun şubesi aracılığıyla veri işlese dahi sicile kaydolmakla yükümlü olduğuna, (ii) şubelerin, şirketten bağımsız olarak veri sorumlusu kriterlerini karşılaması ve belirlenen yıllık çalışan sayısı ve mali bilanço ölçütlerine uyması durumunda sicile kaydolmakla yükümlü olduğuna, (iii) Yurtdışında yerleşik tüzel kişilerin, irtibat bürolarının sicile kayıt yükümlülüğünün ancak belirtilen spesifik şartlarda söz konusu olabileceğine karar verdi (2019/225).
Kurul, avukatlar ile finans, sigorta gibi sektörlerde faaliyet gösteren kişi ve kuruluşlarca hukuka aykırı şekilde kişisel verilerin sorgulanmasına imkân tanıyan yazılımlara yönelik bu yıl bir ilke karar aldı. Durumun Kanun’un 12. maddesine aykırılık teşkil etmesi nedeniyle anılan kişi ve kuruluşların 18. madde uyarınca cezalandırılacakları ve ayrıca Cumhuriyet Başsavcılıklarına bildirileceği konusunda kamuoyu bilgilendirmesi yapıldı (2019/308).
Kanun’un 12. maddesinin 5. fıkrasında düzenlenen bildirim yükümlülüğünün çerçevesi de bu yıl tespit edildi. Kurul, aldığı kararlarla gerçekleşen ihlallerin veri sorumluları tarafından Kurul’a (2019/10) ve ilgili kişilere (2019/271) nasıl bildirileceğine ilişkin usul ve esasları ayrı ayrı belirledi.
Ayrıca Kurul, açık rızanın istisnasını teşkil eden meşru menfaatin kapsam ve kriterleri (2019/78) ile yurt dışından e-posta hizmeti alınmasının Kanun kapsamındaki yerini (2019/157) de kendisine gelen görüş talepleri kapsamında aldığı kararlarla bu yıl belirledi.
2. BİREL İŞLEMLER (İDARİ PARA CEZASI İÇEREN KARARLAR)
Kişisel Verileri Koruma Kurulu, göreve başladığı günden 2018 yılının sonuna kadar toplamda yaklaşık üç buçuk milyon Türk lirası tutarında idari para cezası uygulamıştı[2]. Bu miktar, 2019 yılında ise sekiz milyon Türk lirasını aştı. Eş deyişle Kurul’un 2019 yılındaki para cezası uygulamaları, öncesindeki iki yıla kıyasla yaklaşık yüzde yüz yirmi oranında artış gösterdi.
Anılan kurul kararlarının her birinin gerekçesinde veri güvenliğini sağlama yükümlülüğü (m.12/I) yer alırken, iki kararında ayrıca denetim yapma-yaptırma yükümlülüğüne (m. 12/III) de dayanıldı. Söz konusu iki kararın, önümüzdeki süreçte veri sorumlularının Kanun’da öngörülen diğer yükümlülüklerin yanı sıra denetim yükümlülüğünü de yerine getirmesi gerekliliği bakımından önemli kararlar olduğu söylenebilir.
2019 yılında Kurul’un idari yaptırım uygulama yetkisinden en çok nasibini alan veri sorumlusu ise Facebook oldu. Facebook’a iki ayrı kararda toplam 3.250.000 TL ceza uygulayan Kurul’un, en yüksek miktarlı beş cezasından dördünün yabancı menşeili şirketlere verilmiş olması da dikkat çekici nitelikteydi.
Kurul, yılın sonlarına doğru uyguladığı bir idari yaptırımla, idari para cezalarının muhataplarının tüzel kişilerin yanı sıra gerçek kişi veri sorumlularının da olabileceğini hatırlatmış oldu. Bir doktorun (veri sorumlusu) ilgilinin cep numarasını herhangi bir veri işleme şartına dayanmadan işlemesi ve bu numaraya reklam/bilgilendirme mesajı göndermesine ilişkin olarak Kurul, bu kişi hakkında 50.000 TL idari para cezası uyguladı.
Mevcut tabloda, yetkisinin üst sınırı iki milyon liraya yaklaşmasına rağmen Kurul’un 2019 yılındaki birçok kararında 200.000 TL’ye dahi varmayan cezalar uygulaması, kanaatimce önemli bir gösterge. Şahsi yorumum, bu durumun Kurum’un kuruluş günlerinde açıkladıkları “cezalarla anılmak istemiyoruz” yaklaşımının korunmaya çalışıldığını gösteriyor. Ancak önümüzdeki yıllarda kişisel verileri koruma bilinci geliştikçe ve veri sorumluları nezdinde uyum süreçleri ilerledikçe kararların da daha caydırıcı niteliğe bürüneceğini söylemek, sanıyorum yanlış olmayacaktır.
D. UYUM SÜREÇLERİ ve VERBİS’E KAYIT SINAVI
Uyum süreçlerinin yürütülmesi konusunda, bu yıl avukatlık büroları ile yalnız diğer disiplinlerden kişileri istihdam eden danışmanlık şirketleri, sosyal medyada dahi görülecek şekilde sık sık karşı karşıya geldi. Bu noktada Kişisel Verilerin Korunması Kanununa uyum faaliyetlerinin, bir hukuki danışmanlık faaliyeti kapsamında yerine getirilebilecek olması nedeniyle 1136 sayılı Kanun uyarınca avukatların münhasır işleri arasında yer aldığı ve fakat teknik ve yazılımsal uyum noktasında disiplinler arası bir çalışmayla yürütülmesinin verim artıracağı noktasındaki genel kanaati bir kez daha burada ifade etmek gerekir[3]. Disiplinler arasındaki bu karşı karşıya geliş, Kurul’un 6 Kasım tarihli duyurusuna da konu oldu. Kurul, avukatlık hizmetine ilişkin bir değerlendirme yapmaksızın yalnızca veri sorumlusu tüzel kişilerdeki uyum süreçlerinde disiplinler arası bir çalışmanın önemine değindi ve Kurum nezdinde kişisel verilerinin işlenmesi sürecinde güven veren bir sertifikalandırma mekanizması başlatıldığını duyurdu.
Kurul’un yayınladığı 8 Kasım tarihli diğer bir kamuoyu duyurusunda ise uyum sürecine ilişkin bir başka tereddüt giderildi. Buna göre ilgili kişiye GDPR’a uyumlu şekilde yapılan bir aydınlatmanın veri sorumlularının KVKK açısından yükümlülüklerini ortadan kaldırmadığı, bu nedenle öncelikle KVKK’ya uyumlu aydınlatmanın yapılması gerektiği ifade edildi.
Kanun’un birçok veri sorumlusu tarafından duyulmasını sağlayan VERBİS’ kayıt yükümlülüğüne ilişkin bitiş tarihleri, bu yıl üç aylık arayla iki kez ertelendi. İkinci erteleme kararında gerekçe olarak veri sorumluları tarafından hatalı bildirimlerde bulunulduğu ve kayıt bildiriminin tamamlandığının zannedilmesi gibi sebepler yer aldı. Ancak kararda yer almayan önemli sebeplerden bir diğeri ise, elbette sicile kayıt yükümlülüğü bulunmasına rağmen VERBİS’te kullanıcı adı ve şifre dahi almayan çok sayıda veri sorumlusunun bulunmasıydı.
E. VERİ İHLAL BİLDİRİMLERİ ve DİĞER ETKİNLİKLER
Kanun’un 12. maddesinde düzenlenen veri ihlallerini Kurul’a bildirim yükümlülüğü kapsamında, 2019 yılında Kurul tarafından toplamda en az 800 binin üzerinde kişiyi etkileyen 37 veri ihlâl bildirimi yayımlandı.
Kurum, bu yıl toplamda 25 Çarşamba Seminerine ev sahipliği yaptı. Bunun yanında Kişisel Verileri Koruma Dergisi’nin ilk iki sayısı da bu yıl içinde yayınlandı. Kurum’un faaliyetlerine ilişkin diğer detayları ise 2019 faaliyet raporunun yayınlanmasıyla hep birlikte öğreneceğiz.
F. AKADEMİ
Kanun’un yürürlüğe girmesinden bu yana, her yıl kişisel verilerin korunmasıyla ilişkili akademik eserler de arttı. 2019 yılında, hem hukuk hem de diğer alanları da içine alacak şekilde bu alanda toplam 43 yüksek lisans ve doktora tezi tamamlandı[4]; en az 14 kitap ve 10’larca makale yayınlandı[5].
***
Bu gelişmelerle tamamlanan 2019 yılının ardından, 2020 yılında kişisel verilerin korunması alanındaki çift taraflı bilincin çok daha iyi seviyelere gelmesi temennisiyle, bu alanda çalışanlara başarılı bir yıl diliyorum.
Yazıyla ilgili görüşlerini paylaşarak katkılarını esirgemeyen Arş. Gör. Bilâl Toprak’a ve verilerin teyitine yönelik katkıları nedeniyle Ankara Yıldırım Beyazıt Üniversitesi Hukuk Fakültesi öğrencisi sevgili Buğra Rahmi Bardakçı’ya teşekkür ederim.
Dipnotlar
[1] Tablo-2’nin en altında yer alan iki karara, uygulamaya kılavuzluk edeceklerini düşünmem sebebiyle, her ne kadar ilgili veri sorumlularının görüş taleplerine binaen verilmiş birel nitelikte işlemler olsa da bu tabloda yer verilmiştir.
[2] Hesaplama Kurul Başkanı Prof. Dr. Faruk Bilir’in, 2 Kasım 2019 tarihli açıklamasına (s.e.t: 30.12.2019) ve Kişisel Verileri Koruma Kurumu’nun web sitesindeki yayımlanmış kararlardaki ceza miktarlarına dayanarak yapılmıştır.
[3] İstanbul Barosu’nun 1 Kasım 2019 tarihli açıklamasında da benzer hususlara yer verilmiştir (s.e.t: 30.12.2019).
[4] Kaynak liste; http://afyonluoglu.org/kvk/akademik/ (s.e.t: 30.12.2019)
[5] Kaynak liste; Kaya, Mehmet Bedii/Taştan, Furkan Güven; Kişisel Veri Koruma Hukuku: Mevzuat-İçtihat-Bibliyografya, İstanbul 2019, s. 657 vd;