Öldükten sonra da mı? Kişisel verilerin korunması ve dijital miras

Geçtiğimiz yıl Bölge Adliye Mahkemesi’nin verdiği karar üzerine dijital miras Türk hukukunda da daha yoğun bir şekilde tartışılmaya başlandı. Bu kapsamda SDÜ-Akademik Koordinasyon Topluluğu’nun düzenlediği Dijital Çağ’da Dijital Miras etkinliğinde dijital mirasın kişisel verilerin korunmasıyla ilişkisi üzerine bir konuşma gerçekleştirdim. Konuşma kaydını aşağıdan dinleyebilir ya da metne dökülmüş halini okuyabilirsiniz. Bu vesileyle davetleri için organizasyonu gerçekleştiren ekibe bir kez daha teşekkür ediyorum.

Öncelikle minik bir araştırmanın sonucundan bahsetmek istiyorum. Oxford’lu iki araştırmacının yaptığı 2019 yılında sonuçları yayınlanan bir araştırmaya göre, eğer Facebook bugünkü hızıyla büyümeye devam ederse 2100 yılında Facebook içerisinde toplam 4.9 milyar ölü hesapla karşı karşıya kalacağız (Öhman/Watson-2019). Sayı, dijital mirasın içinde bulunduğumuz yüzyılda ne kadar önemli olduğunu göstermesi açısından son derece kıymetli.

Sunumda temel olarak şu konulara değinmeyi planlıyorum:

Neden dijital miras?

Miras hukuku açısından fiziki dünyada çok temel bir kuralımız var: Muris gerisinde mirasçı bırakmaksızın ölürse bu durumda onun mirası devlete geçiyor (TMK 501). Bilişim ve teknolojinin içinde bulunduğu dünyanın kuralları da tabi ki fiziki dünyadan farklı. Dijital dünyada muris, mirasçı bırakmaksızın ölürse bu durumda onun mirasının dijital platformlara kalacağı söylenebilir. Alanla ilişkili sivil toplum kuruluşları da bu alandaki yayınlar da tam olarak bunu hedefliyor: Murislerin, artık bir ekonomik değer ifade eden kişisel verilerinin dijital platformlara kalmasını engellemeye çalışıyor. Çünkü kişisel veri bugün itibariyle artık yalnızca kişiliğimizi yansıtan bir değer değil, aynı zamanda şirketler açısından çok önemli bir ekonomik değer.

Dijital mirasla ilişkili hukuk alanları

Murisin dijital değerleri mirasçılarına geçmeli mi geçmemeli mi sorusuna doğrudan basitçe bir cevap verebilmek mümkün değil. Zira dijital miras içerisinde birden çok hukuk dalını ilgilendiriyor.

• Mülkiyet hakkı: Muris bu dijital tereke içerisinde yer alan değerler üzerinde bir mülkiyet hakkına sahip miydi?
• Zilyetlik: Mülkiyet hakkından bahsedemiyorsak murisin bu değerler üzerinde bir zilyetliği söz konusu muydu?
• Fikri haklar: Murisin paylaştığı değerler murisin paylaştığı veriler üzerinde bir fikri hak söz konusu muydu?
• Sözleşme özgürlüğü: Ölümünden önce murisin Facebook’la Twitter’la veya diğer dijital platformlarla akdettiği hizmet kullanım sözleşmesi, gizlilik sözleşmesi gibi çeşitli sözleşmeler var. Buradaki dijital mirasın mirasçılara geçişini engelleyen hükümlerin geçerliliği nedir?
• Miras hukuku: Miras hukuku kuralları bu konuda ne diyor?
• Kişisel verilerin korunması: Mirasçıların dijital terekeyi edinirken murisin kişisel verilerinin akıbeti ne olacak? Muris henüz yaşarken üçüncü kişilerle yaptığı etkileşim nedeniyle ortaya çıkan üçüncü kişilerin verileri korunacak mı?

Dijital tereke, mirasçılara geçmeli mi geçmemeli mi sorusunun net olarak cevaplandırabilmesi bu bulutların tamamının aralanıp daha berrak bir bakış açısıyla değerlendirme yapmak gerekecek diye düşünüyorum.

Dijital mirasa özgü bir düzenleme yapılmalı mı?

Bu soru, önümüzdeki yıllarda çokça tartışılacağa benziyor. Sadece bir perspektif bir katmak adına burada atların hukuku (law of horses) teorisinden bahsetmek istiyorum. Amerikalı bir yargıç tarafında yazılan makalenin başlığından türetilmiş bir teori bu. Makalede diyor ki: Biz nasıl atlara özel kural oluşturma yoluna gitmeyip haksız fiil hükümlerini, ticaret hukukunun kurallarını ve diğer ilişkili kuralları uyguluyorsak bilişim hukukuna da şu an mevcut hukuk kurallarını uygulamalıyız. Her yeni çıkan meselede yeni bir düzenleme yapmamız bizi bir anlamda norm enflasyonuna götürür. Bunu engellemek için mevcut hukuk kuralları çerçevesinde hukukçuların muhakeme güçlerini çalıştırarak makul-düzgün yorumlar getirmesi gerekir.

Anılan teori, elbette düzenleme yapılmamalı sonucuna bizi götürmemeli; ancak sadece dijital terekeye ilişkin bir düzenleme yapılırken bu teorinin de mutlaka göz önüne alınıp bu açıdan değerlendirilmesinin sağlıklı olacağını düşünüyorum.

Kişisel verilerin korunması perspektifinden dijital miras

Temel kavramlar

Kişisel verilerin korunması sınır ötesi bir alan. 1970’de Almanya’nın Essen eyaletinde başlıyor macera dünya açısından ve Brüksel etkisi olarak andığımız bu Avrupa Birliği düzenlemelerinin tüm dünyaya hızla yayılmasını ifade eden etki kapsamında Dünya’nın hemen hemen her ülkesi de bugün itibariyle kişisel verilerin korunmasına ilişkin düzenlemelere rastlıyoruz. Nitekim Türkiye de hem Avrupa Birliği aday ülke olması sebebiyle hem de genel trende uyarak kişisel verilerin korunmasına ilişkin temel düzenlemeyi 2016 yılında kabul etmiştir.

Kişisel verilerin korunması açısından temel bazı kavramlarımız şöyle:

• Kişisel veri, kanundaki ifadesiyle kimliği belirli ve ya kimliği belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade ediyor. Dijital tereke açısından bunun örnekleri neler olabilir? Örneğin kişinin Whatsapp yazışmaları, hangi uygulamaları telefonuna indirdiği, tarayıcı geçmişi gibi verilerin tamamı kişisel veridir.
• Diğer bir temel kavram da veri sorumlusu. Kanun’daki önemli sorumluluk aktörlerinden biri olan veri sorumlusu; kişisel verilerin işleme amaçlı vasıtalarını belirleyen o veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek ve tüzel kişiyi ifade ediyor. Dijital terekeye ilişkin örneklerimizde Almanya örneğinde Facebook, Amerika’daki meşhur davada Yahoo veri sorumlusu olarak karşımıza çıkıyor. Dolayısıyla kişisel verilerin korunmasına ilişkin tüm talepleri biz veri sorumlusu sıfatıyla bu şirketlere yönlendiriyoruz.

Seçilen problemler

Kişisel verilerin korunmasına ilişkin dijital mirasla ilişkili olarak birçok problem gündeme gelebilir; ancak zamanın sınırlı olması nedeniyle yalnızca şu iki probleme değinmeye çalışacağım:

1. Ölenin kişisel verileri korunur mu?
2. Yaşayan üçüncü kişilerin kişisel verileri korunur mu?

Kilit soru bu ikinci soru, çünkü bir tarafta mirasçıların miras hakkına ilişkin menfaatleri söz konusu; ancak öte tarafta murisin henüz hayattayken üçüncü kişilerle temas kurması sonucu ortaya çıkan üçüncü kişilere ilişkin veriler de var. Örneğin muris, ölmeden önce Facebook’a girip üçüncü kişilerle etkileşime geçtiyse, bir dengelemenin yapılması gerekecek. Zira burada yaşayan üçüncü kişilerin kişisel verilerinin korunmasını isteme hakkı da söz konusu. Dolayısıyla yaşayan üçüncü kişilerin kişisel verilerinin korunmasını isteme hakkıyla mirasçıların miras hakkı arasında bir dengelemenin yapılması gerekiyor. Zira bildiğimiz üzere hukuk, menfaatler arasında bir denge kurma sanatı. İşte bu dengeyi nasıl doğru kurabiliriz? Sunumumun da temel sorusunu bu oluşturuyor.

1. Ölenin kişisel verileri korunur mu?

Kişisel verilerinin koruması, bugün Kıta Avrupası hukuk sisteminde temel hukuki rejim olarak kişilik hakkı içerisinde değerlendirilen bir mesele. Dolayısıyla değerlendirmeleri de kişilik hakkı içerisinde yapacağız. Temel kuralımız burada Roma Hukuku’ndan bugüne dek geçerliliğini sürdüren “Actio personalis moritur cum persone” ilkesi. Yani kişiliğe bağlı olan dava hakları ölümle birlikte sona erer. Bir başka deyişle kişilik hakkına ilişkin koruma mekanizması ölümle birlikte sona erer.

Bu kuralın çeşitli istisnaları var. Alman hukukunda bunun temel istisnası post-mortem korumayı ifade ediyor. Post-mortem korumaya göre; hak ehliyeti ölümle sona erer, ancak koruma bitmemelidir. Yani muris, ölümden sonra kendi kişilik hakkına yapılacak olan saldırıları defetmek amacıyla, örneğin bir kişiyi yetkilendirebilir, bu kişi de kendisine yönelik saldırılar karşında dava açılabilir diyor.

Türk- İsviçre hukukuna geçtiğimizde hatırayı koruma görüşünü görüyoruz. Hatırayı koruma görüşü bir post-mortem koruma sağlamıyor. Hatırayı koruma görüşüne göre ölen kişiye yapılan bir saldırı, ancak yakınlarının menfaatlerini de ihlal ediyorsa bu durumda bir koruma gündeme gelmelidir. Yani ölenin kişiliği üzerinden bir koruma söz konusu değil artık. Bu görüşte ancak ölene yapılan saldırı, aynı zamanda yakınlarına yönelik bir saldırı mahiyetini taşıyorsa, bu durumda yakınları koruma talep edebilecektir deniliyor.

🇹🇷 Türk hukukunda durum

Türk hukukunu daha yakından incelersek… 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 3. maddesinin (d) fıkrasında yalnızca hukukun süjesi olan gerçek kişiler kapsama alınmış durumda. 4721 sayılı Türk Medeni Kanunu’na bakıldığında kişiliğin tam ve sağ doğumla başlayıp ölümle sona erdiği, dolayısıyla bir post-mortem korumanın söz konusu olmadığını söylüyoruz. Ancak bunun hatırayı koruma görüşüyle kısmen genişletilmesi mümkün.

Bu etkinliğin belki organize edilmesi önemli motivasyon kaynaklarından bir tanesi olan MT davasına baktığımızda… Maalesef bu davada ölenin kişisel verilerinin korunmasına dair herhangi bir değerlendirmenin olmadığını görüyoruz. Mahkemeden, en azından, ölümle birlikte kişilik değerinin kişilik hakkının sona erdiği ve dolayısıyla ölenin kişisel verilerinin kural olarak korunmayacağı yönünde bir değerlendirme yapması beklenirdi; ancak mahkeme buna ilişkin herhangi bir değerlendirme yapmamış.

🇪🇺 Avrupa Birliği hukukunda durum

Avrupa Birliği’nde 1970 yılında Almayanda başlayan o macera, 2016 yılında artık üçüncü seviye kural olarak adlandırılan Avrupa Birliği Genel Veri Koruma Tüzüğüyle (GVKT ya da GDPR) çok üst bir noktaya gelmiş durumda. GPDR‘a göre kural yalnızca hukukun süjesi olan gerçek kişilerin bu korumadan yararlanmasıdır (m. 1). Ölen kişiler açısından Avrupa birliği hukuku bazında genel bir korumadan söz etmek mümkün değildir. Ancak GDPR yine kendi içinde yaptığı bir düzenleme ile (Rec. 27) buna bir istisna getirmiş; buna göre üye ülkeler dilerlerse kendi iç hukuklarında bu gerçek kişilerin korunmasına ilişkin mekanizmayı genişletebilirler, yani bir post-mortem koruma imkanı getirebilirler.

Üye ülkelerde yeknesak uygulamanın olmadığını görüyoruz. Örneğin kimi ülkeler veri sorumlularına ölüm sonrası kısmı yükümlülükler getiriyor. Fransa bunlardan bir tanesi. Fransa getirdiği bu istisnai düzenleme ile veri sorumlularına, veri koruma düzenlemelerinde yer alan yükümlülüklerinin bir kısmının ölüm sonrasında da devam etmesi gerektiğini belirtiyor. Diğer bir anlayış, korumanın sınırlı süreyle devam etmesi gerektiğine yönelik. Örneğin Danimarka’da kişi öldükten sonra onun verileri tıpkı yaşıyormuş gibi 10 yıl boyunca ilgili veri koruma düzenlemeleri tarafından korunmaya devam ediyor. Bir diğer anlayış korumayı, yakınların rızasına bağlamak. Örneğin Slovakya’da ölenin bir yakınının rızası varsa, kişi ölmesine rağmen onun verilerinin korunmasına devam edilmelidir. Son grupta da yakınlara sınırlı haklar tanıyan bir anlayış var. İspanya’da bir kişi öldükten sonra yakınları, GDPR’da yer alan sınırlı hakları onun adına kullanabiliyor. Örneğin kişisel verilerinin silinmesi hakkı ya da kişisel verilerinin düzeltmesini isteme hakkı şeklindeki haklardan faydalanabiliyor.

2. Yaşayan üçüncü kişilerin kişisel verileri korunur mu?

Başta ifade ettiğim o terazide, bir tarafta mirasçıların anayasal mekanizmayla korunan miras hakkı var; ancak öte tarafta da yaşayan üçüncü kişilerin kişisel verilerin korunmasını isteme hakkı var, ki bu da Anayasa’ya göre 2010 değişikliğinden itibaren anayasal koruma mekanizmasına kavuşturuldu. Burada çeşitli görüşler bulunmakta:

• Mektup ve anılara ilişkin hükümler, kıyasen uygulanmalıdır.
• Yaşayan üçüncü kişilerin kişisel verilerinin korunmasına öncelik verilmelidir.

Yaşayan üçüncü kişilerin kişisel verileri korunur mu sorusuna ilk oturumdan bu yana bahsedilen davaları incelemek gerekirse… Karşımızda çok temel iki dava var.

🇺🇸 Ellsworth davası

April 20, 2005; Oaklanda Co. Mich., Prob. Ct.

Bir tanesi Amerika’da 2004 yılında yaşanan olaya ilişkin Ellsworth davası. 20 yaşında bir asker Kasım 2004’te Irakt’a ölüyor. Babası bir anı kitap yapmak için o zaman oğlunun kullandığı e posta hesabının şifresini Yahoo’dan talep ediyor. Ancak Yahoo, hizmet kullanım sözleşmesindeki, ilgili yazışmaların mirasçılara geçişini engelleyen hükmü gerekçe göstererek talebi reddediyor. Mahkeme ise yaptığı inceleme kapsamında tüm yazışmaların CD ve yazılı formatta aileye teslimine karar veriyor. Netice olarak mahkemenin yaşayan üçüncü kişilerin kişisel verilerinin korunmasına ilişkin menfaatleri göz ardı ettiğini söyleyebiliriz.

🇩🇪 L.W./Facebook davası

BGH, Urteil vom 12. Juli 2018, Az. III ZR 183/17

Davaya konu olayda 15 yaşında genç kız bir trenin altında kalarak can veriyor. Ardından annesi, acaba benim kızım bir siber zorbalığa mı maruz kaldı yoksa gerçekten bu bir kaza mıydı, sorusundan hareketle Facebook’tan kızının hesap bilgilerini talep ediyor. Ancak Facebook, hizmet kullanım şartlarını gerekçe göstererek talebi reddediyor.

Dava üç aşamadan oluşuyor. İlk derecede mahkeme diyor ki tıpkı fiziki dünyadaki gibi dijital dünyada da külli halefiyet ilkesi geçerlidir. Dolayısıyla malvarlığı değerlerin yanı sıra bu hesap bilgisinin de külli halefiyet ilkesi kapsamında mirasçısı olan annesine devri gerekir.

Dava yerel yüksek mahkemeye taşınıyor. Yüksek mahkeme, Telekommunikationsgesetz § 88(3)’e dayanarak annenin üçüncü kişi olduğuna karar veriyor. Yani anne burada gizliliği ihlal eden üçüncü kişidir, dolayısıyla anneye kızın hesap bilgisinin verilmesi hukuka aykırıdır.

Netice itibariyle konu Federal Yüksek Mahkeme’ye geliyor. Mahkeme kişisel verilerin korunmasına ilişkin üç temel sonuca varıyor.

• Facebook ile L.W. arasındaki murisin bilgilerinin mirasçılara intikalini engelleyen sözleşme hükümleri haksız şart niteliğindedir.
• Anne, Telekommunikationsgesetz § 88(3) kapsamında üçüncü kişi olarak değerlendirilemez. Zira mirasçı olarak anne, tüm hak ve borçlarıyla murisin ayakkabılarını giyer.
• GDPR, mirasçıların hesaba erişmesini engellemez. Çünkü GDPR içerisinde mirasçıların bu hesap içerisindeki verileri işlemeye yönelik olarak menfaati vardır ve burada GDPR’daki özellikle meşru menfaat hükmüne atıf yapılmış.

🇹🇷 M.T. davası

Antalya BAM 6. Hukuk Dairesi, E. 2020/1149 K. 2020/905

Geliyoruz geçtiğimiz günlerde Bölge Adliye Mahkemesi tarafından verilen karara. Burada mahkemenin eline, kişisel verilerin korunması bakımından Türk hukukunda bir içtihat oluşturmak adına altın bir fırsat geçmişti. Burada, yarışan menfaatlere dair bazı kriterler geliştirebilirdi. Ancak mahkemenin böyle bir kriter belirttiğini görmüyoruz. Peki kriterler ne olabilirdi?

Öncelikle şöyle bir ayrım yapılabilirdi: Bilgileri talep edilen platform parasal bir değer içeriyor mu içermiyor mu? Ayrıca murisin iradesine bakılabilirdi ki murisin iradesinin ben de Melek Hoca gibi klasik anlamda ölüme bağlı tasarruf şeklinde yapılmasa dahi dikkate alınması gerektiğini düşünüyorum. Yine örneğin, muris dijital platformların ölüm sonra hizmetlerine kaydolmuş mu kaydolmamış mı? Ya da kişi örneğin şifrelerini mirasçılarıyla paylaştı mı paylaşmadı mı?

Maalesef bu ve benzeri kriterlerin mahkeme kararında yer almadığını görüyoruz. Bu kriterler bir içtihat olarak mahkeme kararında yer alsaydı ya da sonraki kararlarda yer alırsa, bu durumda en azından kısa vadede, dijital dünya açısından yeni bir düzenlemeye de ihtiyaç olmayabilir diye düşünüyorum.

Sonuç

Bugünkü sunumumda kişisel verilerin korunması açısından iki temel soruya cevap aramaya çalıştım. Sonuç olarak iki cümle halinde şunu söyleyebilirim. İlk soruya cevap olarak murisin kişisel verilerinin korunması bakımından kural ölümün korumayı sonlandırdığı yönündedir. İkinci soru bakımından yaşayan üçüncü kişilerin kişisel verilerinin korunması ile mirasçıların miras hakkı arasındaki dengelemede içinde bulunduğumuz dijital dünyaya ilişkin kriterlerin geliştirilmesi gerekir.