YÖNETİCİ SORUMLULUK SİGORTASI (D&O SİGORTASI)
8 Ağustos 2022
Makalenin döküman halini incelemek için tıklayın.
21. yüzyılda şirket türleri içinde önemli paya sahip olan sermaye şirketleri vasıtasıyla büyük yatırımlara imza atılmakta olup bu yatırımları ve dolayısıyla sermayeleri şirketlerin yöneticileri ve müdürleri kontrol etmektedir. Yönetici ve müdürler bu kontrol sürecinde bazen ihmallerle bazen de kasıtlı olarak şirkete, pay sahiplerine ve şirket alacaklılarının zarara uğramalarına neden olabilmektedir. Bu kapsamdaki zararların teminat altına alınabilmesi, yönetici ve müdürlerin görevlerini yerine getirirken rahatlatılmalarının sağlanabilmesi için bir mekanizmaya ihtiyaç duyulmuştur ve yönetici sorumluluk sigortası modeli oluşturulmuştur.
D&O sigortası, sigorta sektöründe prestijli bir teminat olarak kabul edilmesine karşın, toplam prim portföyü içerisinde önemli bir hacme sahip değildir. Bu tür sigortaya ilk başvuran şirketlerin, dünyadaki uygulamaya paralel şekilde yabancı yöneticilere sahip olan şirketler ile başta borsada işlem gören şirketler olmak üzere bankacılık ve telekomünikasyon sektöründe yer alan şirketler olduğu görülmektedir. D&O sigortasına olan talep, beklentilerin bir hayli üzerinde olup, giderek artan bir seyir izlemektedir. Yerel sigortacılar için sorun, kendi ülkelerindeki taleplere yönelik ani bir artış karşısında yeterince büyük bir portföy oluşturmanın oldukça zor olması ve aynı zamanda şirketin gerekli ve doğru teminat kapsamını ve uygun prim belirlemelerinin güçlük arz etmesidir.
D&O sigortasının Türkiye’deki uygulamasına bakıldığında, Türk sigorta sektörü için yeni bir uygulama alanı olduğundan, zararın gerçekleştiği durumlarda uyuşmazlıkların doğması kuvvetle muhtemel olacaktır. Türkiye’de öncelikle uluslararası şirketlerin yöneticilerinin ve ulusal şirketlerdeki yabancı uyruklu yöneticilerin talepleri doğrultusunda D&O sigortası, sigorta şirketlerinin gündemine dahil olmuştur.
Bu çalışmanın birinci bölümünde, D&O sigortasının tanımı yapılacak, konusuna ve hukuki niteliğine değinilecek, ayrıca türlerinden bahsedilecek ve yönetici sorumluluğunun esaslarına değinilecektir.
Çalışmanın ikinci bölümünde ise, taraflar ve tarafların bu sigorta türü kapsamında özellik arz eden birtakım yükümlülükleri incelenecektir.
Üçüncü ve son bölümde ise, D&O sigortasının sona erme sebeplerine yer verilecektir.
BİRİNCİ BÖLÜM: KONUSU VE HUKUKİ NİTELİĞİ
TANIMI
“Yönetici sorumluluk sigortası (D&O Sigortası), bir tüzel kişinin (bu şirket kooperatif, vakıf, dernek veya iktisadi şekilde işletilen kamu tüzel kişisi olabilir) ama ağırlıklı olarak bir şirketin veya bağlı işletmelerinin organ üyelerinin, müdürlerinin, yönetim ve denetim kadrosunda çalışanlarının görevlerini ifa ederken gerçekleştirdikleri görev ihlallerinden kaynaklanan saf mal varlığı zararlarına ilişkin olarak doğan iç ilişki ve dış ilişki sorumluluğu sebebiyle şirket, ortaklar, şirket alacaklıları veya bunların dışındaki üçüncü kişiler tarafından şirketin (ya da bağlı işletmelerinin) organ üyelerine, müdürlere ve diğer yönetim ve denetim kademesinde çalışanlarına yöneltilecek haksız tazminat taleplerine karşı savunma teminatını ve haklı tazminat taleplerini ödeme teminatını içeren bir isteğe bağlı sorumluluk sigortasıdır.”
D&O sigortasının tanımına ilişkin başka bir görüşe göre ise, “Anonim şirket yönetim kurulu üyelerinin mesleki sorumluluk sigortası, yönetim kurulu üyeliğinin bir meslek haline geldiğini göz önüne getirirsek, üyenin sahip olduğu mesleki konumunun gerektirdiği sorumluluğu güvence altına alan sigortadır. Yönetim kurulu üyesinin mesleğini yaparken (yönetim kurulu üyeliğinin gerektirdiği görevlerini yaparken veya yetkileri kullanırken) doğan zararlar nedeniyle talep edilen tazminatlar için sigorta himayesi sunan bir sorumluluk sigortasıdır.”
D&O sigortasının kapsamı ve tarafları dikkate alındığında, yönetim kurulu üyelerini kapsayan D&O sigortasının bir mesleki sorumluluk sigortası olduğunu söylemek oldukça güçtür. Zira, yönetim kurulu bir organ olup, yönetim kurulu üyeliği ise mesleki faaliyet niteliğinde sayılamamaktadır. Yönetim kurulu üyelerinin yürüttüğü mesleki faaliyetler, yönetim kurulu üyeliğinden bağımsız ve dolayısıyla yönetici sorumluluk sigortası kapsamı dışında kalan faaliyetlerdir. Tüm bunların sonucunda, yönetici sorumluluk sigortasının bir mesleki sorumluluk sigortası niteliğinde olmadığını belirtmek gerekmektedir.
TÜRLERİ
Taraf A himayesi
Taraf A himayesi tipi D&O sigortası poliçesinde, pay sahiplerinin ve üçüncü kişilerin yöneticilere karşı açacağı davaların oluşturduğu riske karşı, bireysel olarak organların üyeleri için sağlanan koruma söz konusudur. Bu teminat sayesinde, yöneticinin D&O sigortası vasıtasıyla şahsi sorumluluktan korunması söz konusudur. Taraf A himayesi sigorta poliçesi türünde yer alan bu sigorta teminatı türü, yöneticinin kişisel ve müteselsil sorumluluğunu güvence kapsamına dahil etmektedir. Ayrıca bu teminat, yöneticinin haksız fiil ve benzeri fiillerden doğan kanuni sorumluluk hükümlerinin ihlali sonucu doğan zararları, şirket faaliyetlerinin yürütülmesi sırasında gösterilen kusurlu davranışlardan doğan zararları ve sözleşmeden doğan sigortalanmış tazminat taleplerini de kapsamaktadır. En çok bilinen D&O sigortası türüdür .
Taraf B himayesi
Taraf B himayesi tipi D&O sigortası; sigorta ettiren şirketin, yükümlülüğünü ihlal eden yöneticilere karşı ileri sürülen taleplere yönelik yapmış olduğu tazminat ödemeleri için bir güvence niteliğinde olan D&O sigortası türüdür. Bu koruma kapsamında bireysel olarak yönetici değil, şirketin kendisi sigortalı olarak değerlendirilmekte ve şirket yöneticisine karşı ileri sürülen talepler için yüklenilmiş olan tazminata sigorta güvencesi tanınmaktadır. Anglosakson hukukunda çokça rastlanılan bir poliçe tipi olup, ABD hukukunda yöneticilere yöneltilen savunma masraflarının finansmanına yönelik kullanılan kayda değer bir uygulama alanına sahiptir.
Taraf C himayesi
Taraf C himayesi tipi D&O sigortası hem şirketin hem de yöneticilerin sorumluluğunu sigorta eden bir sigorta türüdür. Burada; şirketin kendisini, şirket tüzel kişiliğinin taraf olduğu hissedarlar tarafından açılan davalara yönelik riskten koruması söz konusudur. Yöneticinin şahsi olarak davada adının geçip geçmemesine bağlı olmaksızın şirket tüzel kişiliğinin sorumluluğuna ilişkin doğrudan koruma sağlamaktadır. Uygulamada genellikle hisse alım satımı, hisse opsiyonları, yasal düzenlemeler veya finansal bildirimler gibi eylemleri içeren menkul kıymetler ihlallerini güvence altına aldığı görülmektedir.
HUKUKİ NİTELİĞİ
Yönetici sorumluluk sigortası, sigortacının ediminin niteliğine göre zarar sigortaları ve rizikonun konusuna göre malvarlığı sigortaları grubundadır. Zarar sigortası niteliğinde olduğundan, zenginleşme yasağı prensibinin uygulama alanına girer. Zenginleşme yasağının bir sonucu olarak, sigortacıya kanuni halefiyet hakkı tanınmıştır. Bu sayede, TTK m. 553 ve 557 hükümleri uyarınca yönetim kurulu üyelerinin özellikle müteselsil sorumlulukları halinde, zarar görenin müteselsil sorumlulardan birinden veya onun sigortacısından zararın tamamını alması halinde, sigortacının sigortalısına halef olarak fazla ödediği miktar için diğer sorumlulara rücu etmesi mümkün kılınmıştır (TTK m. 1472).
TTK BAĞLAMINDA YÖNETİCİ SORUMLULUĞU
TTK m. 361 uyarınca, “Yönetim kurulu üyelerinin, görevlerini yaparken kusurlarıyla şirkete verebilecekleri zarar, şirket sermayesinin yüzde yirmi beşini aşan bir bedelle sigorta ettirilmiş̧ ve bu suretle şirket teminat altına alınmışsa, bu husus halka açık şirketlerde Sermaye Piyasası Kurulunun ve ayrıca pay senetleri borsada işlem görüyorsa borsanın bülteninde duyurulur ve kurumsal yönetim ilkelerine uygunluk değerlendirmesinde dikkate alınır.”
İlgili hüküm D&O sigortasından bahsetmekte olup, bu tür sigorta sözleşmesinin tanımını ve kapsamını içermediğinden D&O sigortasının yasal bağlamda kapsamlı bir düzenlemeye sahip olduğu söylenemez. Hükümden çıkarılan bir diğer sonuç, bu sigortanın ihtiyari olduğu ve şirket zararlarını teminat altına aldığıdır. Ancak, taraf A himayesi türünde belirtildiği üzere, D&O sigortasının yönetici menfaatini teminat altına aldığı poliçe türünün olduğunu belirtmek isabetli olacaktır. Tüm bu sebeplerden dolayı, TTK m. 361 hükmü, D&O sigortası gibi kapsamlı ve önemli menfaatlerin güvence altına alındığı bir sigorta türü için yeterli nitelikte bir kanuni düzenleme niteliğinde sayılamamaktadır.
RİZİKONUN GERÇEKLEŞTİĞİ AN (SİGORTA OLAYI)
TTK m. 1473 uyarınca, sorumluluk sigortalarında sigortacının sorumluluğu sözleşme süresi içerisinde sigortalının sorumluluğunu gerektirecek olaylara dayandırılmaktadır. Dolayısıyla, zararın sözleşme süresinden daha sonra doğması veya talebin sözleşme süresi bitiminde ileri sürülmesi burada bir önem arz etmemektedir. İlgili husus, talebin ileri sürülmesi ilkesi ile açıklanabilir. Talebin ileri sürülmesi ilkesi gereği, rizikonun gerçekleştiği an yani sigortayı doğuran olay, sorumluluk talebinin ilk kez ileri sürüldüğü anda geçerli olan poliçeye dayandırılır. D&O sigortalarında talebin yazılı bir şekilde ileri sürülmesi hususu, manipülasyonları önlemek amacıyla genel olarak sigorta şartlarında belirtilen esaslar arasında yer almaktadır. Hukukumuz açısından değinilmesi gereken bir nokta olarak, TTK m. 1475 uyarınca sorumluluk sigortalarında sigortalının, tazminat taleplerini derhal sigortacıya bildirmekle yükümlülüğü söz konusudur.
İKİNCİ BÖLÜM: TARAFLARI
SİGORTA ETTİREN
Sigorta ettiren, sigorta sözleşmesinin tarafı olan gerçek veya tüzel kişidir. Dolayısıyla, sigorta sözleşmesinden doğan borç ve yükümlülüklerin altına giren taraf olup, poliçeyi talep hakkı da sigorta ettirenin kendisine aittir. Sermaye şirketlerinde şirket tüzel kişiliğinin ve yöneticilerin sorumluluklarının birbirinden ayrı olarak ele alınması söz konusu olduğundan, genellikle sermaye şirket türlerinden en çok anonim ve limited şirketler tarafından D&O sigortasına başvurulmaktadır . Bunun dışında, hisseli komandit şirket ve kooperatifler bakımından da anonim şirket hükümlerinin uygulandığı hallerde yönetici sorumluluk sigortası düzenlenmesi mümkündür.
Bağlı şirketler ise TTK m. 195 hükmünde tanımlanmış olup, hakim şirket ile akdedilen yönetici sorumluluk sigortası, bağlı şirket yöneticilerini de kapsamına alabilir. Bunun dışında, bağlı şirket bakımından ayrıca bir yönetici sorumluluk sigortası düzenlenmesi için de bir engel yoktur.
SİGORTALI
Sigortalı, zarar sigortaları kapsamında menfaati teminat altına alının kişiyi ifade etmektedir. Yönetici sorumluluk sigortası genellikle başkası hesabına sigorta niteliğinde olduğundan, sigorta ettiren ve sigortalı sıfatları da farklı kişilere aittir. Bu sigorta poliçesi kapsamında sigortalı taraf, öncelikle hakim şirketin ve varsa bağlı şirket/şirketlerin organ üyeleri olarak karşımıza çıkmaktadır. Anonim şirketlerde genellikle yönetim kurulu üyeleri, icra kurulu üyeleri ve fiili yöneticiler sigortalı sıfatını haiz olabilmektedir. Bu bağlamda, TTK m. 553 hükmü, yönetim kurulu üyelerinin, yöneticilerin ve tasfiye memurlarının sorumluluklarını düzenlemektedir .
ÖZELLİK ARZ EDEN YÜKÜMLÜLÜKLER
Sigorta Ettirenin Sözleşme Öncesi Beyan Yükümlülüğü
TTK m. 1435 uyarınca; sigorta ettiren sözleşmenin yapılması sırasında bildiği veya bilmesi gereken tüm önemli hususları sigortacıya bildirmekle yükümlüdür. Sigortacıya bildirilmeyen, eksik veya yanlış̧ bildirilen hususlar, sözleşmenin yapılmamasını veya değişik şartlarda yapılmasını gerektirecek nitelikte ise, önemli kabul edilir. Sigortacı tarafından yazılı veya sözlü olarak sorulan hususlar, aksi ispat edilinceye kadar önemli sayılır.
İlgili hüküm, sözleşme öncesi görüşmelerde ve sözleşmenin akdedilmesi esnasında sigorta ettirene, sözleşmenin konusu kapsamına ilişkin önemli hususları sigortacıya bildirme yükümlülüğünü düzenlemektedir. Hükmün lafzından yola çıkıldığında, sözleşme öncesi beyan yükümlülüğünün doğması, ilgili hususun rizikoyu etkileyecek nitelikte önemli olması gerekmektedir.
Konu kapsamında değinilmesi gereken bir başka hüküm ise TTK m. 1436’dır. İlgili hüküm uyarınca; sigortacı sigorta ettirene, cevaplaması için sorular içeren bir liste vermişse, sunulan listede yer alan sorular dışında kalan hususlara ilişkin olarak sigorta ettirene hiçbir sorumluluk yüklenemez; meğerki, sigorta ettiren önemli bir hususu kötü niyetle saklamış olsun. Sigortacı, liste dışında öğrenmek istediği hususlar varsa bunlar hakkında da soru sorabilir. Söz konusu soruların da yazılı ve açık olması gerekir. Sigorta ettiren bu soruları cevaplamakla yükümlüdür.
Bu hükme göre de sigortacının sigorta ettirene soru listesi vermesi halinde, listedeki soruların haricinde sigorta ettirene sorumluluk yüklenemeyecektir. Ancak bu durumda dahi, sigorta ettirenin önemli sayılabilecek bir hususu kötü niyetle saklamış olması halinde sorumluluğu devam edecektir.
Yükümlülüğün ihlali halinde; TTK m. 1439 uyarınca, sigortacının TTK m. 1440’da belirtilen 15 günlük süre içinde cayma hakkının kullanılması ve prim farkının istenmesi mümkündür. TTK m. 1440’da belirtilen 15 günlük süre, caymanın sigortacının bildirim yükümlülüğünün ihlal edilmiş olduğunu öğrendiği tarihten itibaren başlamaktadır.
Rizikoyu Ağırlaştırmama Yükümlülüğü
TTK m. 1444/1 uyarınca, sigorta ettiren, sözleşmenin yapılmasından sonra, sigortacının izni olmadan rizikoyu veya mevcut durumu ağırlaştırarak tazminat tutarının artmasını etkileyici davranış ve işlemlerde bulunamaz.
Rizikoyu ağırlaştırmama yükümlülüğünün ihlali sonucunda, sigorta ettirenin rizikonun ağırlaşmasını beyan yükümlülüğü doğmaktadır. TTK m. 1444/2 hükmü uyarınca, rizikonun ağırlaşması durumunda, sigorta ettirenin bu hususu öğrendiği tarihten itibaren en geç on gün içerisinde sigortacıya bildirmesi gerekmektedir. TTK m. 1445/1 hükmünde belirtildiği üzere, sigortacı tarafından rizikonun ağırlaşmasının öğrenildiği tarihten itibaren bir ay içinde sözleşmenin feshedilmesi veya prim farkının istenmesi mümkündür.
ÜÇÜNCÜ BÖLÜM: SONA ERME SEBEPLERİ
POLİÇE SÜRESİNİN BİTMESİ
Sigorta sözleşmesinin poliçeye yazılması zorunlu olup, sürenin dolmasıyla birlikte sigorta sözleşmesi de kendiliğinden sona erer. Ancak sözleşmede, sözleşmenin sona ermesi için fesih bildirimi şartı öngörülmüşse, bu bildirim yapılmadığı takdirde sözleşme sona ermeyip, 1 yıl süreyle uzatılmış sayılacaktır.
ANLAŞMALI SONA ERME
TTK m. 1419 uyarınca, sigorta sözleşmesinin süresi dolmamış olsa dahi, sözleşme serbestisinden dolayı tarafların karşılık anlaşmasıyla sona erdirilebilir. Bu durumda, sonraki dönemlere ait primlerin sigorta ettirene geri verilmesi gerekmektedir.
CAYMA HAKKI
Kanundan veya sözleşmeden doğabilen bir hak olan cayma hakkı, taraflardan birinin tek taraflı irade beyanı ile sözleşmeyi olağan süresinden önce geriye etkili olarak sona erdirme hakkı veren kurucu nitelikte bir haktır. Yönetici sorumluluk sigortası bakımından cayma hakkı hususu, TTK m. 1434/2 ve TTK m. 1439 hükümleri kapsamında iki halde gündeme gelir. TTK m. 1434/2 hükmü uyarınca, ilk taksiti veya tamamı bir defada ödenmesi gereken prim, zamanında ödenmemişse, sigortacı, ödeme yapılmadığı sürece, sözleşmeden üç ay içinde cayabilir. Bu süre, vadeden başlar. Prim alacağının, muacceliyet gününden itibaren üç ay içinde dava veya takip yoluyla istenmemiş olması halinde, sözleşmeden cayılmış olunur. TTK m. 1439 uyarınca ise, sigortacı için önemli olan bir husus bildirilmemiş̧ veya yanlış̧ bildirilmiş̧ olduğu takdirde, sigortacı 1440’ıncı maddede belirtilen süre içinde sözleşmeden cayabilir veya prim farkı isteyebilir. İstenilen prim farkının on gün içinde kabul edilmemesi halinde, sözleşmeden cayılmış̧ kabul olunur. Önemli olan bir hususun sigorta ettirenin kusuru sonucu öğrenilememiş olması veya sigorta ettiren tarafından önemli sayılmaması durumu değiştirmez.
İFLAS
Sigortacı bakımından; TTK m. 1418 hükmü uyarınca, sigortacının iflası halinde sigorta sözleşmesi sona ereceği öngörülmüştür.
Sigorta ettiren bakımından ise; TTK m. 1417/1 hükmü uyarınca, sigorta ettiren, aciz haline düşen veya hakkında yapılan takip semeresiz kalan sigortacıdan, taahhüdünün yerine getirileceğine ilişkin teminat isteyebilir. Bu istemden itibaren bir hafta içinde teminat verilmemiş ise sigorta ettiren sözleşmeyi feshedebilir. İlgili hükmün devamında, primin ödenmesinden önce acze düşen, iflas eden veya hakkında yapılan takip semeresiz kalan sigorta ettirene, sigortacının istemiyle, aynı şartlarla, birinci fıkra hükmünün uygulanacağı belirtilmiştir.
KONTROL DEĞİŞİKLİĞİ
Ortaklıklar hukukunda hakimiyetin niteliği bakımından mevcut görüşlerden biri olan kontrol görüşü, hakimiyetin varlığının kabulü hususunda, hakimiyetin bağlı ortaklık üzerinde fiilen icra edilmesi koşulunu öngörmekte ve icra edebilme imkanını yeterli bulmaktadır.
Bu bağlamda D&O sigortası, şirketteki kontrol değişikliklerinden dolayı da sona erebilir. Sigorta sözleşmesinin, “kontrol değişikliği klozu” içermediği ihtimalde rizikonun ağırlaşması durumu gündeme gelecek olup, rizikonun ağırlaşmasının hukuki sonuçları kapsamında değerlendirilecektir. Kontrol değişikliği klozunun sözleşmede öngörülmüş olması halinde ise, sözleşmenin sona ermesi söz konusu olacaktır. Bu husus bağlamında TTK’da bir düzenleme bulunmayıp, kontrol değişikliği klozunun rizikonun ağırlaşmasının istisnası niteliğinde olması halinde, sigortalı aleyhine sayılarak geçersiz hale gelebilir. Ancak bu klozun, sigortalının aleyhine olmayacak nitelikte düzenlenmesi halinde, Türk hukuku bakımından da sözleşmenin sona ermesinin sonuçlarının doğması mümkün olabilecektir.
SONUÇ
ABD’de temelleri atılan, daha sonra Avrupa’da talep gören ve şu anda tüm dünyaya yayılmakta olan yönetici sorumluluk sigortası, diğer sigorta türlerinden farklı olarak koruyucu niteliğinin ötesinde, şirketlerin risk yönetimlerinin önemli bir parçasını oluşturmaktadır. Bundan dolayı gerek dünyada gerekse Türkiye’deki sigorta piyasasında giderek artan bir yere sahip olacaktır.
Bu çalışma kapsamında D&O sigortasının tanımı ve hukuki niteliği gibi genel esaslara değinilerek, D&O sigortasının zamanla gösterdiği gelişimin sonucunda ortaya çıkan ve ilgili sigorta türü kapsamındaki poliçelerde rastlanılan türlerinden bahsedilmiştir.
Dahası, D&O sigortasının taraflarına ve bu sigorta türünün bakımından özellik arz eden yükümlülükler incelenmiştir.
Çalışmanın son bölümünde ise, D&O sigortasının sona erme sebeplerinden bahsedilmiştir.
Türk hukuku bakımından bir değerlendirme yapılacak olursa, D&O sigortasını kapsamına alan düzenlemeye TTK m. 361’de yer verilmiştir. İlgili hükme çalışma dahilinde detaylıca yer verilmiş olup, burada tekrar edilmeyecektir. TTK’da yer alan bu düzenleme, yönetici sorumluluk sigortası bakımından yeterli kapsamı içermemekte olup, bu sigorta türüne ilişkin genel şartları da içeren bir düzenlemenin getirilmesi gerektiği açıktır.
Zira, D&O sigortasının önemi günden güne giderek artmakta olup, uygulamada sahip olduğu hacim de buna paralel olarak büyüme göstermektedir. Sonuç olarak, konuya ilişkin mevcut hükmün, olası ihtilafları çözüme kavuşturma konusunda yetersiz kalacağı açık olup, bu sigorta türünün hukuki zeminin yetersizliği de eleştiri konusu olmaya devam edecektir.
KİŞİSEL VERİLERİN KORUNMASI ve E-TİCARET HUKUKUNA YANSIMALARI
8 Ağustos 2022
Makalenin döküman halini incelemek için tıklayın.
KİŞİSEL VERİLERİN KORUNMASI ve E-TİCARET HUKUKUNA YANSIMALARI
Dijitalleşmenin insan hayatına olan birçok etkisiyle birlikte “veri” kavramı da büyük önem arz etmeye başlamıştır. Nitekim endüstri 4.0 olarak adlandırılan yapay zeka çağının bir getirisi olarak, “akıllı” cihazların daimi olarak veri işledikleri söylenebilir. Günümüzde birçok insanın akıllı cep telefonlarına sahip olduğu göz önünde bulundurulduğunda, mahremiyet kavramının korunması hususu daha fazla önem arz etmeye başlamıştır. Öte yandan, toplanan verilerin aynı zamanda belli yerlere aktarılması da veri işleme kapsamındadır. Aktarılan veriler, zamanla ekonomik değer kazanmış ve verileri elinde bulunduran şirketler için sermaye aracına dönüşmüştür.
Öte yandan veri güvenliğinin mevcudiyeti, siber güvenliğin sağlanması ile mümkündür. Bu sayede veri mahremiyeti ihlallerine karşı tehditlerin bertaraf edilmesi ve hak ihlallerinin önlenmesi büyük oranda mümkün olabilecektir. Ayrıca siber saldırılar yalnızca bireysel değil aynı zamanda toplumsal ölçekte de tehdit niteliğindedir. Bilindiği üzere günümüzde milli güvenliğe tehdit oluşturabilecek siber saldırılar da düzenlenmektedir.
İşlenen verilerin kişisel veri niteliğine haiz olması durumunda veri işleme ve aktarımı hususlarının ekonomik boyutları, hukuksal düzlemde de tartışmalara yol açmıştır. Zira, verinin sermaye aracına dönüşmesi, veri sahibinin temel hak ve özgürlüklerine müdahale niteliğindedir. Nitekim, Avrupa İnsan Hakları Sözleşmesi (AİHS) m. 8 kapsamında ele alınan temel hak şu şekildedir: “Herkes özel ve aile hayatına, konutuna ve yazışmasına saygı gösterilmesi hakkına sahiptir.” Bu kapsamdaki temel hak ve özgürlüklere karşı olası müdahaleler karşısında veri güvenliğinin sağlanması ve genel anlamda kişisel verilerin korunması amacıyla ulusal bir yasal düzenlemenin getirilmesi ihtiyacı doğmuş olup, belli çalışmalar sonucunda 6698 sayılı Kişisel Verilerin Korunması Kanunu 2016 yılında yürürlüğe girmiştir.
Mobil cihazların birer kişisel asistan haline geldiği bu çağda, insanların günlük hayata dair alışkanlıkları da değişmiştir. Dolayısıyla akıllı cihazların kullanımın yaygınlaşması ve birçok ihtiyacın internet üzerinden karşılanması eğiliminin ekonomik boyutunun olması da kaçınılmaz hale gelmiştir. Çok açıktır ki, e-ticaretin zeminini oluşturan en önemli etken de değişen bu alışkanlıklardır. En basit örneğiyle, internet ortamında yapılan alışveriş esnasında oluşturulan
hesapların kişisel veri barındırmasının yanı sıra, ödeme esnasında girilen ödeme aracı bilgileri de birer kişisel veri ihtiva etmektedir.
Tüm bunların sonucu olarak, e-ticaret ile kişisel verilerin korunması hususunun birçok noktada kesiştiği ve iç içe olduğu söylenebilir. Öte yandan, 6698 sayılı Kişisel Verilerin Korunması Kanunu yürürlüğe girmeden önce yürürlükte olan 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun, elektronik ticaret işlemlerinde veri işlenmesi ve aktarılmasına yönelik kuralları içermektedir. Bu çalışmanın temelinde kişisel verilerin korunmasından bahsedilecek olup, kişisel verilerin korunması hususunun elektronik ticaret bağlamında arz ettiği önem ve bu alandaki yansımaları ele alınacaktır.
BİRİNCİ BÖLÜM: KİŞİSEL VERİLERİN KORUNMASI
KİŞİSEL VERİLERİN KORUNMASI TARİHSEL SÜREÇ
20. yüzyılda veri işleme faaliyetlerinin artmasıyla birlikte mahremiyetin korunması ihtiyacının doğduğu hususuna yukarıda değinilmişti. Bunun sonucunda da veri mahremiyetinin ihlallerinin önlenmesi ve olası ihlaller sonucu uygulanacak yaptırımların belirlenmesi amacıyla kişisel verilerin korunması hususunun yasal düzenlemelerle bağlayıcı hale getirilmesine yönelik çeşitli çalışmalar başlatılmıştır.
Ayrıca, teknolojik gelişmelerin hayatımızın büyük çoğunluğunda yer almasından dolayı “veri” kavramı da oldukça önemli bir unsur haline gelmiştir. Nitekim, yalnızca akıllı telefon kullanımı dahi gerek görsel gerek işitsel birçok kaydın veri olarak işlenebilmesine zemin hazırlamaktadır. Big data uygulamaları bu verilerin daha süratli ve daha işlevsel kullanılabilmesine olanak sağlamaktadır. Bu imkanların bir dezavantajı olarak ise, bu hacimli verilerin depolanması, kişisel verilerin korunması bakımından zafiyet teşkil edebilmektedir. Başka bir deyişle, veri tek başına “belirlenebilir” nitelikte olmayabilir fakat verilerin bir araya gelmesiyle birlikte kişi “belirlenebilir” hale gelebilmekte ve bu durumda big data bünyesinde kişisel verinin varlığı mümkün olabilmektedir.
Bu bağlamda Avrupa’daki ilk hukuki düzenleme 1970’te yürürlüğe giren Almanya’nın Hessen Eyaleti’ne ait Kişisel Verilerin Korunması Kanunu’dur. İlgili düzenleme, elektronik ortamda işlenen verilerin korunmasına dair hükümleri içermektedir. Almanya’daki ilk federal düzenleme ise 1977 tarihli Federal Veri Koruma Kanunu’dur. Fransa’da bu kapsamda 1978 tarihinde Veri İşleme ve Hürriyetler Kanunu kabul edilmiştir. Avusturya’da ise 1980 tarihinde yürürlüğe giren Federal Kişisel Verilerin Koruması Kanunu mevcuttur. Öte yandan İsviçre’de bu husus, Federal Veri Koruma Kanunu ile birlikte 1992 tarihinde yasal zemine kavuşmuştur. İngiltere’de ise 1998 tarihli Veri Koruma Kanunu mevcuttur.
Uluslararası nitelikteki düzenlemelere bakılması gerekirse, Türkiye’nin de üye ülkeler arasında yer aldığı İktisadi İşbirliği ve Kalkınma Teşkilatı (OECD) tarafından 1980 tarihinde kabul edilen “Kişisel Alanın ve Sınır Aşan Kişisel Bilgi Trafiğinin Korunmasına İlişkin Rehber İlkeler” düzenlemesinden bahsedilebilir.
Avrupa Birliği düzeyinde ise, oldukça önem arz eden bir düzenleme olan Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi (108 No’lu Sözleşme) 1981 yılında imzaya açılmış olup, Türkiye, 28.01.1981 yılında bu sözleşmeyi imzalamış ve sözleşmenin uygun bulunduğuna dair kanun 2016 yılında Resmi Gazete’de yayımlanmıştır. Akabinde ise Avrupa Birliği bünyesinde çeşitli düzenlemeler yapılmış olmakla birlikte, son olarak 2018 yılında Genel Veri Koruma Tüzüğü (GDPR) yürürlüğe girmiştir.
Türk Hukuku’nda yaşanan gelişmelerin ilk örneği olarak Anayasa’nın 20. maddesine eklenen 3. fıkra gösterilebilir. AY m. 20/3’e göre “ Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.” Getirilen bu düzenleme ile birlikte kişisel verilerin korunması temel hak niteliği kazanmıştır. İlgili hükmün lafzından da anlaşılacağı üzere, bu korumanın sağlanabilmesine ilişkin hükümler ancak kanunla düzenlenebilir. Bu hükmün gereği olarak, 07.04.2016 tarihinde 6698 sayılı Kişisel Verilerin Korunması Kanunu yürürlüğe girmiştir. 6698 sayılı kanun yürürlüğe girmeden önce yasal düzenleme olarak yalnızca TCK m. 135-140 hükümleri kapsamındaki cezai yaptırımlar mevcuttu.
KİŞİSEL VERİ KAVRAMI
KVKK’daki tanımıyla kişisel veri, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir”.
Kanunda yer alan tanımdan da anlaşılacağı üzere, hukukumuzda kişisel verisi koruma altına alınan kişi yalnızca gerçek kişilerdir. Dolayısıyla, tüzel kişiler bu kapsamın dışındadır. Buna rağmen, tüzel kişiliğe ait verinin, gerçek bir kişiye ait veri veya verilerle ilintili olması halinde, bu veriler de kişisel veri sayılmaktadır.
Kişisel verinin, ilgili gerçek kişiyle ilgili doğrudan bir bilgi içermesi gerekmez. Bir başka anlatımla, bir kişinin adı ve soyadı kişisel verisi olup, kişisel veri kavramının kapsamı bununla sınırlı değildir. Kişiyi doğrudan tanımlayan unsurların kişisel veri niteliğinde olmasının yanı sıra, doğrudan olmamakla birlikte kişiyi belirlenebilir kılan veriler de kişisel veri kapsamındadır. Örneğin; MOBESE kayıtları, motorlu taşıt plakası, sosyal güvenlik numarası, parmak izi, pasaport numarası, özgeçmiş ve hatta kişinin bir mülkünün bedeli gibi veriler de kişisel veri niteliğindedir.
Bazı veriler vardır ki, niteliklerinden dolayı işlenmeleri özel şartlara tabi tutulmuştur. Bu kapsamdaki veriler, “hassas veri” olarak da tanımlanmış olan “özel nitelikli kişisel verilerdir” ve adeta özel koruma altına alınmıştır. Özel nitelikli kişisel veriler, sahip oldukları içerikler itibariyle, öğrenilmesi sonucu kişiyi çevresinde veya toplumda dezavantajlı duruma düşürebilecek, bir başka deyişle kişiyi zor durumda bırakabilecek verilerdir. AB Yönergesi m.8’e göre özel nitelikli kişisel veriler kişinin; ırksal veya etnik kökenine, siyasal görüşüne, dinsel ya da felsefi inancına, sendika üyeliğine, sağlık ya da cinsel yaşamına ilişkin verilerdir. Genel Veri Koruma Tüzüğü’nde (GDPR) ise bu kapsam genişletilerek yeni kategoriler benimsenmiştir. Kişinin genetik verileri ve biyometrik verileri bu kapsama dahil edilmiştir. Ayrıca, “cinsel yaşam” verisinin kapsamına “cinsel yönelim” unsuru da dahil edilmiştir.
Türk Hukuku bakımından ise KVKK m.6 f.1’de belirtilmiştir. KVKK kapsamında belirtilen bu veri kategorisi sınırlı sayıda olup, bu veriler; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri olarak sayılmıştır.
KİŞİSEL VERİLERİN KORUNMASINDA ÖNEMLİ SÜJELER
İlgili Kişi
En basit tanımıyla ilgili kişi, kişisel verileri işlenen kişidir. GVKT ve AB Veri Koruma Yönergesi’nde yer alan tanımlara göre ise ilgili kişi, veri öznesi konumundadır. Gerek uluslararası düzenlemeler gerekse KVKK’da yer alan hükümler uyarınca, ilgili kişi konumundaki veri özneleri, gerçek kişilerdir. Dolayısıyla, tüzel kişiler bu kapsam dışında bırakılmıştır.
Bu kapsamda ölü kişilerin ilgili kişi olup olamayacağı önemli bir tartışma konusudur. TMK’nın 28. maddesinde, kişiliğin ölümle sona ereceği hükme bağlanmıştır. Nitekim, Kişisel Verileri Koruma Kurulu’nun 18/09/2019 Tarih ve 2019/273 Sayılı kararında ilgili kanun hükmüne atıfta bulunularak, talebin yalnızca ilgili kişinin kendisi tarafından yapılabileceği belirtilmiş ve KVKK kapsamının dışında kaldığına karar verilmiştir.
Kanımca, tüzel kişilerin de Kişiler Hukuku kapsamında bir kişiliğe sahip oldukları dikkate alınırsa, tüzel kişiliğe ait verilerin de kişisel veri niteliğinde sayılması ve bir ihlal söz konusu olması halinde bu ihlalin de KVKK kapsamında olması gerekmektedir. Her ne kadar gerçek kişilerle birebir aynı korumaya sahip olması mantığa aykırı olsa da tamamen kapsam dışı bırakılması da bir o kadar mantığa aykırılık teşkil etmektedir. Bu noktada, hukukumuzca kabul edilmiş her kişilik türünün, sahip olduğu özelliklere göre özel düzenlemelerin getirilmesi bir çözüm yolu olabilir.
Ayrıca, ölü kişilerin de koruma kapsamının tamamen dışında bırakılması da isabetli bir durum değildir. Nitekim, ölü bir kişiye ait verinin hayatta olan bir kişiyle bağlantılı olması durumunda bunun da kişisel veri kapsamına alınmasına yönelik düzenlemeler mevcuttur. Örneğin, ölü kişiye ait bir genetik verinin, bu kişinin alt ve üst soyu ile bağlantılı olması kuvvetle muhtemeldir. Hukukumuzda ise bu durum henüz bir hükme bağlanmamıştır.
Veri Sorumlusu
KVKK m. 3’te veri sorumlusu “Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi, ifade eder.” tanımıyla hükme bağlanmıştır. Bunun yanı sıra, GVKT de veri sorumlusu kavramına yer vermiştir.
Veri sorumlusunun kapsamı ilgili kişi kavramında değinildiği gibi olmayıp, tüzel kişiler de bu kapsamda sayılabilmektedir. Dolayısıyla, gerçek kişilerin veri sorumlusu olmasının yanında tüzel kişiler de veri sorumlusu olabilmektedir.
İlgili kişinin hakları sonraki bölümlerde detaylandırılacak olup, veri sorumlusu ilgili kişinin bu haklarını koruması ve verilerinin işlenmesi hususunda bilgi sahibi olabilmeleri açısından önemli bir aktördür. Ayrıca veri sorumlusu, kişisel verinin işlenmesi konusunda karar merciidir.
Veri sorumlusunun, ilgili kişinin kişisel verilerinin işlenmesinden doğan sorumlulukları ve alması gereken birtakım önlemler mevcut olup, bu hususlar çalışmanın sonraki bölümlerinde detaylıca ele alınacaktır.
Veri İşleyen
KVKK m. 3 veri işleyen kavramını “Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi” tanımıyla ele almıştır.
Veri sorumlusunun, kişisel verilerin işlenmesi faaliyetini bir gerçek veya tüzel kişiye devretmesi halinde veri işleyen kavramı gündeme gelmektedir. Kişisel verilerin işlenmesi veri işleyen tarafından gerçekleştirildiği hallerde, veri sorumlusunun kişisel verilerin korunması kapsamındaki yükümlülükleri devam etmektedir. Dahası, veri ihlali söz konusu olması halinde, veri sorumlusu ve veri işleyen bakımından müşterek sorumluluk gündeme gelebilecektir. Veri işleyenin varlığına rağmen bir ihlal gerçekleşmesi durumunda tüm sorumluluğun veri sorumlusunda olacağını savunan görüşler olsa da kanımca müşterek sorumluluk hükümlerinin uygulanması daha isabetli olacaktır. Nitekim, KVKK m. 12/2 uyarınca da veri sorumlusunun, kişisel verilerin veri işleyen tarafından işlenmesi hâlinde, gerekli tedbirlerin alınması hususunda veri işleyenle birlikte müştereken sorumludur.
Veri sorumlusu ve veri işleyen arasındaki farka değinilecek olursa, veri sorumlusunun karar mercii konumunda olmasına karşın, veri işleyenin kapsam alanı daha çok kişisel veri işlemenin teknik gereklilikleri ile sınırlıdır. Dolayısıyla veri sorumlusu kişisel verilerin işlenmesi faaliyetinin hangi araç, sistem veya yöntemlerle gerçekleştirileceğine karar verdikten sonra veri işleyen bu karar doğrultusunda veri işleme faaliyetini gerçekleştirecektir.
Veri sorumlusu-veri işleyen ilişkisinin hangi hallerde mevcut olduğunun tespiti konusuna gelinecek olursa; kişisel verilerin münhasıran veri sorumlusu adına işlenmesi, veri işleyenin kişisel veri işleme faaliyetini kendi amaçları için gerçekleştirmemesi, veri işleyenin veri işleme faaliyeti hususunda takdir yetkisinin olmaması, veri işleme araçlarının esaslı unsurlarına ilişkin kararların veri sorumlusu tarafından verilmesi, talimat ilişkisinin mevcudiyeti ve sözleşmesel bir ilişkinin bulunmaması hallerinde veri sorumlusu-veri işleyen ilişkisinin varlığından söz edilebilir.
İKİNCİ BÖLÜM: KİŞİSEL VERİLERİN İŞLENMESİ
KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN TEMEL İLKELER
Hukuka ve Dürüstlük Kurallarına Uygunluk İlkesi
Kişisel verilerin korunması hukukunda kural, kişisel veri işlenmesinin yasak olmasıdır. KVKK’da da açıkça belirtildiği üzere, kişisel verilerin işlenmesi ancak Kanun’da cevaz verilen hallerde hukuka uygun sayılabilecektir.
Öte yandan, veri sorumlusunun ve veri işleyenin kanundan doğan haklarının kötüye kullanımını önlemek amacıyla dürüstlük kurallarına uygunluk ilkesi benimsenmiştir. Veri işleme sürecini gerçekleştiren süjelerin tüm yükümlülüklerine ek olarak ilgili kişilere adil davranma yükümlülükleri de mevcuttur. Bu ilke ile ulaşılmak istenen hedef, menfaatler dengesini sağlamaktır. Veri işleme sürecinde gösterilmesi gereken “şeffaflık” da bu ilke kapsamında değerlendirilecektir.
Doğru ve Gerektiğinde Güncel Olma İlkesi
Bu ilke çerçevesinde veri sorumlusu, işlenen verilerin eksiksiz ve güncel olması için gerekli önlemleri almakla yükümlüdür. Bu ilke ile bağlantılı olarak KVKK m. 11 çerçevesinde ilgili kişiye, eksik veya yanlış işlenen verilerin düzeltilmesini talep etme hakkı tanınmıştır. Veri sorumlusunun, işlenen verileri doğru ve güncel bir şekilde muhafaza etmediği takdirde, ilgili kişinin maddi veya manevi zararı doğabileceğinden ve bu halde veri sorumlusunun bu zararları tazmin etmekle yükümlü kılınabileceğinden, bu ilke oldukça önem arz etmektedir.
Belirli, Açık ve Meşru Amaçlara Yönelik İşlenme İlkesi
Kişisel verilerin işlenme amacı, kapsamı ve işleme sınırları açıkça belirtilmelidir. Aksi bir durumun veri sahibinin kişisel verileri üzerindeki denetimini sınırlandıracağından, bu ilkeye riayet edilmeden işlenen veriler hukuka aykırı sayılacaktır.
Veri sorumlusunun amaçlarını açıkça belirtmesi de her durum nezdinde hukuka uygunluk için yeterli sayılmayabilir. Veri sorumlusu, belirttiği amaçlar doğrultusunda veri işleme faaliyetini gerçekleştirmek zorundadır. Dolayısıyla, belirttiği amaçların dışında herhangi bir sebeple veri işleme faaliyetinin gerçekleştirilmesi, hukuka aykırılık teşkil edecektir.
Kişisel verilerin işlenmesi hususunda kural, açık rızanın alınmış olmasıdır. Bu kuralın istisnası olan, açık rıza alınmadan veri işleme faaliyetinin gerçekleştirilebildiği haller mevcuttur. Unutulmamalıdır ki, bir veri işleme faaliyetinin açık rıza alınmaksızın işlenmesi halinde hukuka uygun sayılabilmesi için Kişisel Verilerin Korunması Kanunu kapsamında sayılan sınırlı hallerden birinin kapsamına girmesi gerekmektedir.
İşlendikleri Amacın Gerektirdiği Süre Boyunca ya da Mevzuatın Öngördüğü Süre Kadar Muhafaza Edilme İlkesi
Kişisel verilerin hukuka uygun olarak işlenmeleri, veri sorumlusu tarafından sonsuza kadar saklanabileceği anlamına gelmemektedir. Zira böyle bir durum, bir önceki ilkede bahsedildiği üzere, veri sahibinin kişisel verileri üzerindeki hakimiyetinin azalmasına yol açacaktır.
Bundan dolayıdır ki, kişisel verilerin kanundan kaynaklanan bir sebeple işlenmesi halinde ve kanunda bir süre öngörülmüşse bu süre kapsamında veri işlenmesi mümkün olacak ve sürenin sonunda veri sorumlusunun bu verileri yok etmesi, silmesi veya anonim hale getirmesi gerekecektir. Bu hususta veri sorumlusuna bir takdir yetkisi tanınmamış olup, bu kurala riayet edilmemesi halinde TCK m. 138 kapsamında verileri yok etmeme suçundan sorumluluk gündeme gelebilecektir.
Öte yandan, veri işleme faaliyeti için bir süre öngörülmemiş ise, işleme faaliyetinin amacı her ne ise bu amacın gerçekleşmesi halinde yine kişisel verilerin yok edilmesi, silinmesi veya anonim hale getirilmesi gerekecektir. Bu ihtimalde de yine veri sorumlusuna takdir yetkisi tanınmamıştır ve bu kurala riayet edilmemesi yukarıda belirtilen sonuçları doğuracaktır.
Doktrindeki hakim görüşe göre, bir verinin, öngörülen süreler dahilinde işlenmesi de her zaman hukuka uygunluk bakımından yeterliliği sağlamayabilir. Kişisel verilerin, öngörülen süre içinde işlenmesi sırasında işleme amacı gerçekleşmiş olması ihtimalinde veri sorumlusunun yukarıda belirtilen yöntemlerle bu kişisel verileri imha etmesi gerekmektedir.
KİŞİSEL VERİLERİN İŞLENME KOŞULLARI
Açık Rıza
Kişisel verilerin işlenmesinde kural, açık rızanın alınmış olmasıdır. KVKK m. 5/1 ve m. 6/2’de açık rıza hususu hükme bağlanmıştır. Öncelikle, açık rızanın kanuni tanımına bakılırsa, “belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza” açık rızadır. Genel Veri Koruma Tüzüğü’nde ise açık rıza şu şekilde tanımlanmıştır: “İlgili kişinin rızası, ilgili kişinin isteklerinin özgür, somut, bilgilendirmeye dayalı ve kesin olan her türlü göstergesini ifade eder ki kişi, bir ifade ya da olumlu eylem sayesinde kendisiyle ilgili kişisel verinin işlenmesini kabul ettiğini bu sayede belirtsin.”
Görüldüğü üzere, Tüzük’te yer alan tanım KVKK tanımıyla kıyaslandığında, daha geniş ve daha kapsamlı bir tanımdır. Kişisel verilerin işlenmesi hususunun adeta temeli niteliğinde olan bir kavramın kanunda böylesine yüzeysel bir tanımla aktarılması, uygulama açısından bir belirsizliğe sebep olabilecektir ve kanımca ilgili tanımın iyileştirilmesi isabetli olacaktır.
Öte yandan, açık rızanın mutlaka kişisel verilerin işlenmesinden önce açıklanmış olması gerekmektedir. Kişisel verinin işlenmesi sonrası açıklanan rıza artık açık rıza niteliğini haiz olmayacak, onay niteliğinde sayılacaktır. Açık rıza gerektiren hallerde alınan bu onay niteliğindeki rızanın da hukuka aykırılığa sebep olacağı açıktır.
Açık rızanın özgür iradeyle açıklanan rıza olabilmesi için, Borçlar Hukuku kapsamında sözleşme serbestisine aykırılık teşkil etmemesi gerekir. Detaylıca değinmek gerekirse, açık rızası alınan ilgili kişinin seçim hakkına sahip olması gerekir. Dolayısıyla, ilgili kişi veri işleme konusundaki rızasını açıklamadığı takdirde dezavantajlı duruma düşmemelidir. Örneğin, bir hizmetin veya sunulan bir ürünün alınıp alınamayacağı hususu, açık rızasının açıklanıp açıklanmaması şartına bağlanmamalıdır. Buna benzer tüm durumlar hür iradeyi ortadan kaldıracak olup, bu yolla yapılan işlemler de açık rızayı dayanak göstererek hukuka uygun hale gelemeyecektir.
Dahası, ilgili kişinin, daha önce açıkladığı açık rıza beyanını geri alması mümkündür.Açık rızaya bağlı veri işleme faaliyetlerinin, açık rızanın geri alınmasıyla birlikte veri işleme şartlarının ortadan kalkması sebebiyle, bu durumda veri işleme faaliyetinin durdurulması gerekir. Ayrıca bu durum GVKT Art. 7 f. 3’te düzenlenmiştir. GVKT Art. 7 f. 3’e göre, açık rızanın iptali işleminin, rızanın verilmesi kadar basit olması gerekmektedir.
Kanunlarda Açıkça Öngörülmesi
Kişisel verilerin işlenmesi kapsamında, kanunda açıkça öngörülen yükümlülüklerin bulunması halinde, açık rızanın alınmış olması aranmaksızın veri işleme faaliyeti gerçekleştirilebilecektir.
Fiili İmkânsızlık
Fiili imkansızlık sebebiyle ilgili kişinin açık rızasının alınamayacağı hallerde veya ilgili kişinin rızasının hukuken geçerli olmaması söz konusu ise, ilgili kişinin açık rızası alınmaksızın veri işleme faaliyeti gerçekleştirilebilecektir. Yaşamsal durumlar söz konusu olduğunda bu hüküm işlerlik kazanacak olup, istisnai hallerde kurtarıcı nitelikte olabilecektir.
Sözleşmenin Kurulması ve İfası İçin Gerekli Olması
Taraflar arasında kurulan bir sözleşmede, sözleşmenin yapısı itibariyle veri işlenmesi olağan bir durum ise, açık rızanın alınması sözleşmeyle bağdaşmayan bir durum oluşturabilir. Bu gibi durumlarda açık rıza alınmaksızın veri işlenmesi mümkündür.
Veri Sorumlusunun Hukuki Yükümlülüklerini Yerine Getirebilmesi İçin Zorunlu Olması
İstisnai hallerden biri olan veri sorumlusunun hukuki yükümlülüklerin yerine getirilebilmesi için veri işlemenin zorunlu olması halinde, veri sorumlusu ilgili kişinin açık rızası alınmaksızın veri işleme faaliyetini gerçekleştirebilecektir. Örneğin; işçi ve işveren arasında kurulan iş sözleşmesi bakımından işçinin verilerinin SGK işlemleri gibi işverenin yükümlü olduğu konularda işlenmesi zorunlu olduğundan, ayrıca işçinin açık rızası alınmaksızın veri işleme faaliyeti gerçekleştirilebilecektir.
Kişisel Verilerin İlgili Kişi Tarafından Alenileştirilmiş Olması
Veri sahibinin, verilerini kendisinin alenileştirmiş olduğu hallerde KVKK hükümleri uygulanmayacaktır.
Burada önemli olan husus, bir verinin alenileştirilmiş olması, söz konusu verinin herkes tarafından her alanda ve sınırsızca işlenebileceği anlamına gelmemektedir. Bir başka deyişle, veri sahibinin kişisel verisini alenileştirirken gösterdiği rızanın kapsamı dışına çıkılamaz. Aksi bir durum orantısız kullanıma sebep olacaktır ve alenileştirilmiş olma hali bu duruma hukuka uygun nitelik kazandırmayacaktır. Örneğin; ürün satış işlemleri gerçekleştirilen bir dijital platforma, sunulan ürünü satın almak isteyenlerin ulaşması amacıyla irtibat numarası bırakılması durumunda, veri sahibinin rızasının kapsamı yalnızca ürün satışı için irtibata geçirilmiş olmasıdır. Bu amaç dışında yapılacak herhangi bir arama veya mesaj gönderme gibi durumların söz konusu olması halinde, bu veri işleme faaliyeti hukuka aykırı sayılacak olup, ilgili kişinin kişisel verisini alenileştirmiş olması bu durumu hukuka uygun hale getirmeyecektir.
Kişisel Verilerin İşlenmesinin Bir Hakkın Tesisi, Kullanılması veya Korunması İçin Zorunlu Olması
Kişisel verilerin işlenmesinin bir hakkın tesisi, yerine getirilmesi veya korunması için zorunlu olması halinde, ilgili kişinin açık rızası olmayacaktır. Örneğin, bir özlük dosyasının dava zamanaşımı boyunca saklanması, işveren açısından bu kapsamda değerlendirilebilecek olup, işçiden ayrıca açık rıza alınmasına gerek olmayacaktır.
Veri Sorumlusunun Meşru Menfaatleri Sebebiyle Kişisel Verileri İşlemenin Mecburi Olması
Böyle bir zorunluluğun olması durumunda gözetilmesi gereken en önemli kriter, veri işleme faaliyetinin ilgili kişinin temel hak ve özgürlüklerine müdahale niteliği taşımaması gerektiğidir. Bu işleme şartı tartışmalı olmakla birlikte, Anayasa Mahkemesinde açılan iptal davasında bu konunun ilgili hükmü olan KVKK m. 5 f .2’nin ilgili bendine de yer verilmiştir.
İlgili kişinin veri işleme kapsamında temel hak ve özgürlüklerinin kısıtlanması ve veri sorumlusunun veri işleme kapsamındaki menfaati arasındaki dengenin irdelenmesi halinde, veri sorumlusunun menfaatinin asgari düzeyde eşit veya üstün olması gerekmektedir. Ancak bu iki ihtimalde veri işleme faaliyeti meşru menfaate dayanarak hukuka uygun hale getirilebilecektir. Ayrıca, bu menfaatin hukuka uygun, somut ve mevcut bir menfaat olması gerekir.
Google Spain kararı, veri işleme faaliyetinin doğrudan meşru menfaate dayanılamayacağı, aynı zamanda bu meşru menfaatin yukarıda bahsedilen iki unsur (veri sorumlusunun menfaati ve ilgili kişinin temel hak ve özgürlükleri arasındaki denge) arasındaki dengeye de bağlı olduğu konusunda örnek teşkil etmektedir. Ayrıca bu karar kapsamında, kişisel verinin üzerinden zaman geçtikçe kamu yararı da aynı ölçüde azalacağı kabul edilir. Bir başka husus ise, sosyal medya hesabı gizli olan bir kişinin verilerinin, alenileştirilmiş veri olmayacağı göz ardı edilmemelidir.
ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENME KOŞULLARI
Özel nitelikli kişisel veriler 6698 sayılı Kanunun 6. maddesinde düzenlenmiş olup, sınırlı sayıda belirtilmiştir. Buna göre; ırk, etnik köken, siyasi görüş, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler özel nitelikli kişisel veridir. Yine aynı maddenin ikinci fıkrasında, özel nitelikli kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenmesi yasaklanmıştır. Görüldüğü üzere özel nitelikli kişisel veriler, diğer tür verilere kıyasla daha hassas nitelikte sayılabilecek veriler olup, veri sahibinin rızası dışında ifşa olması halinde kişiyi toplum nezdinde kategorize edebilecek veya dezavantajlı duruma düşmesine yol açabilecek nitelikte verilerdir. Bu yüzdendir ki, kanunda özel bir düzenlemeye tabi tutulmuş ve ayrı bir koruma öngörülmüştür.
KVKK m. 6 f. 3 ise özel nitelikli kişisel verilerin açık rıza aranmaksızın işlenebileceği istisnai halleri düzenlemiştir. Buna göre; sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir. Ayrıca bu kapsamdaki bir veri işleme faaliyeti sırasında, Kurul tarafından belirlenen yeterli önlemlerin alınması şartı da getirilmiştir. Kanun hükmünün değerlendirilmesi gerekirse; ilgili istisnai hallerin geniş kapsamda tutulduğu söylenebilir. Amaç, özel nitelikli kişisel verilerin daha yüksek düzeyde bir korumaya tabi tutulması olduğundan, bu kapsamdaki kanun hükmünün de daha dar kapsamlı olması ve geniş yorumlanmaya müsaade etmeyecek içerikte bir lafza sahip olması gerekir.
KİŞİSEL VERİLERİN AKTARILMASI
Kişisel verilerin aktarılması, veri işleme türlerinden biridir. Kanunun 8. ve 9. maddelerinde kişisel verilerin aktarılması hususu, yurt içinde üçüncü kişilere aktarılması ve yurt dışına aktarılması olmak üzere ikiye ayrılmıştır.
Veri işleme hususunda yukarıda değinilmiş olan açık rıza ve diğer hukuka uygunluk halleri kapsamındaki hükümler, üçüncü kişilere aktarım bağlamında da geçerliliğini koruyacaktır. Kişisel verilerin, veri sorumlusu adına işlenmesi kapsamındaki üçüncü kişi kavramı, esasında veri işleyen konumundaki üçüncü kişileri ifade etmektedir. Örneğin; çağrı merkezi, pazarlama faaliyetleri, dosyalama, arşiv, yönetici asistanlığı, bilgi sistemleri hizmetleri gibi alanlarda veri sorumlusu-veri işleyen ilişkisine sıkça rastlanmaktadır.
Ayrıca, kişisel verilerin devralınması halinde de bir veri işleme faaliyeti söz konusu olacağı için, bu durumda devralan üçüncü kişiler de veri sorumlusu sıfatını haiz olacaktır. Şirket birleşmeleri bu kapsamdaki bir aktarıma örnek niteliğindedir. Şirket birleşmelerinde külli halefiyet ilkesi geçerli olduğundan, bünyesinde birleşilen şirket yeni veri sorumlusu sıfatını haiz olacaktır.
Kişisel verilerin yurtdışına aktarılması hususu KVKK m. 9’da düzenlenmiştir. Bu hüküm ışığında kural olarak, kişisel verilerin ilgili kişinin açık rızası olmaksızın yurtdışına aktarılamaz. Hükmün devamındaki ikinci fıkraya göre ise kişisel veriler, 5 inci maddenin ikinci fıkrası ile 6 ncı maddenin üçüncü fıkrasında belirtilen şartlardan birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkede; yeterli korumanın bulunması, yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması, kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir. Üçüncü fıkrada ise yeterli korumanın bulunduğu ülkelerin Kurulca belirlenerek ilan edileceği hüküm altına alınmıştır.
Kurul henüz güvenli ülke listesi yayınlamamış olup, yalnızca “Yeterli Korumaya Sahip Ülkelerin Belirlenmesinde Esas Alınacak Kriterler” hakkında bir karar yayınlamakla yetinmiştir. Oysaki, günümüzde kişisel verilerin işlendiği alanlara ve mecralara bakıldığı zaman, veri işleme faaliyetinin ülke çapında sınırlı kalması neredeyse imkansızdır. Aksine, veri işlemenin günden güne daha da küresel bir faaliyete dönüştüğü açıktır. Dolayısıyla, yurtdışına kişisel veri aktarımı aslında birçok veri sahibi tarafından gayri ihtiyari olarak gerçekleştirilmektedir. Kullanılan haberleşme aplikasyonları, e-mail serverları, e-ticaret siteleri gibi birçok örneğin bu kapsamda sayılması mümkündür. Tüm bunların sonucu olarak, Kurulun güvenli ülke listesi yayınlama konusundaki çekimserliği yerinde olmayıp, çağın gerektirdiği koşullara uygun ve mevcut faaliyetleri kapsar nitelikte kararlar alınması isabetli olacaktır.
İLGİLİ KİŞİNİN HAKLARI
VIII.İlgili kişinin hakları KVKK m. 11’de düzenlenmiştir. Bu hükmün önemi, veri sahibinin kişisel verilerinin hukuka uygun işlenip işlenmemesi hususunda adeta bir kontrol mekanizması niteliğinde olmasıdır. İlgili kişiye tanınan haklar sayesinde veri sorumlusunun veri işleme faaliyeti tespit edilebilir hale gelmiştir.
KVKK m. 11 kapsamında ilgili kişiye; kişisel veri işlenip işlenmediğini öğrenme, kişisel verileri işlenmişse buna ilişkin bilgi talep etme, kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme, kişisel verilerin silinmesini veya yok edilmesini isteme, yapılan işlemlerin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, işlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme ve kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme hakları tanınmıştır.
Kişisel Veri İşlenip İşlenmediğini Öğrenme Hakkı
Bu çerçevede, ilgili kişi veri sorumlusuna başvurarak, kendi verileriyle sınırlı olmak koşuluyla, kişisel verilerinin işlenip işlenmediğini öğrenme hakkına sahiptir. Bu başvuru sonucunda ise veri sorumlusu, ilgili kişinin verilerinin işlendiğinin veya işlenmediğinin bilgisini ilgili kişiye bildirmekle yükümlüdür.
Kişisel Verileri İşlenmişse Buna İlişkin Bilgi Talep Etme Hakkı
İlgili kişinin, işlenen kişisel verilerine dair bilgi talep etme hakkını kullanması sonucu, veri sorumlusunun buradaki bilgilendirmesinin kapsamını bizzat verinin kendisi oluşturmaktadır. Dolayısıyla, ilgili kişinin bu talebi karşılanırken, işlenen verinin içeriğine ilişkin gerekli ve yeterli düzeyde bilgilendirmenin yapılması gerekmektedir.
Kişisel Verilerin İşlenme Amacını ve Bunların Amacına Uygun Kullanılıp Kullanılmadığını Öğrenme Hakkı
KVKK m. 4 uyarınca kişisel veriler belirli, açık ve meşru amaçlar dahilinde işlenebilir. Dolayısıyla, meşru nitelikte bir veri işleme amacına ilişkin açık rıza beyanının alınmış olması, veri işleme faaliyetine de meşruluk kazandıracaktır. Bu bağlamda, ilgili kişi, veri işleme faaliyetinin açık rıza kapsamında gerçekleştirilip gerçekleştirilmediğini denetleme hakkına sahiptir. Açık rızanın alınmamış olması ihtimalinde ise bu denetimin kapsamı, kanunda belirtilmiş olan ve veri işleme faaliyetini meşru kılan istisnai hallerin mevcudiyetine ilişkin olacaktır.
Yurt İçinde veya Yurt Dışında Kişisel Verilerin Aktarıldığı Üçüncü Kişileri Bilme Hakkı
İlgili kişi, kişisel verilerin aktarıldığı üçüncü kişileri bilme hakkını kullanarak, kanunun kişisel verilerin aktarılması ve yurt dışı aktarımı hükümlerince öngörülen koşulların sağlanıp sağlanmadığını ve bunun sonucu olarak da veri işleme faaliyetinin hukuka uygunluk denetimini yapabilir.
Kişisel Verilerin Eksik veya Yanlış İşlenmiş Olması Hâlinde Bunların Düzeltilmesini İsteme Hakkı
Kişisel verilerin düzeltilmesini talep etme hakkı, Anayasa m. 20 kapsamında da korunan bir haktır. Ayrıca bu hak, veri işleme ilkelerinden biri olan “doğru ve gerektiğinde güncel olma” ilkesiyle de örtüşmektedir. Burada değinilmesi gereken önemli bir husus; ilgili kişinin bu talebinin yerine getirilmemesi halinde hangi sonucun doğacağıdır. Bu durumda, ilgili kişinin talebinden sonra gerçekleştirilen veri işleme faaliyeti hukuka aykırı sayılacaktır. Dolayısıyla, hakkın kullanılması ilgili kişi bakımından ne kadar önemliyse, talebin karşılanması da veri sorumlusu bakımından bir o kadar önem arz etmektedir. Sonuç olarak, veri sorumlusunun dikkat ve özen çerçevesinde talebi karşılaması oldukça mühimdir.
Kişisel Verilerin Silinmesini veya Yok Edilmesini İsteme Hakkı
KVKK m. 7 f. 1 uyarınca, KVKK ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir. Kanunda yer alan bu hüküm kapsamında ilgili kişinin, artık işlenmesinde bir sebep bulunmayan verilerinin silinerek, yok edilerek veya anonim hale getirilerek veri işleme faaliyetinin durdurulmasını talep etme hakkı bulunmaktadır.
Bu kapsamdaki bir başka hüküm ise KVKK m. 11 f. 1 b. e’dir. Bu hüküm uyarınca; ilgili kişi veri sorumlusuna başvurarak 7. maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme hakkına sahiptir.
İlgili kişinin bu hakkı ayrıca Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik kapsamında da çeşitli hükümlerle bağlayıcı hale getirilmiştir. Yönetmeliğin 5. Maddesi, kişisel verilerin silinmesi ve yok edilmesi süreçlerinin yükümlülük olarak düzenlenmiş olması, bu süreçlerin talebe bağlı olmaksızın yerine getirilmesi gerçekleştirilmesi gerektiği sonucunu doğurur. Dolayısıyla, ilgili kişi böyle bir talepte bulunmamış olsa dahi veri sorumlusu bu süreçleri hukuka uygun şekilde yürütmek zorundadır. Ayrıca; Yönetmeliğin 8. ve 9. Maddeleri kapsamında da veri sorumlusunun bu yükümlülükleri açıkça düzenlenmiştir.
Kişisel verilerin silinmesini veya yok edilmesini isteme hakkı, GVKT Art. 17 kapsamında düzenlenen unutulma hakkı ile örtüşmektedir. Bu bağlamda unutulma hakkını ele almak isabetli olacaktır. Bilindiği üzere, teknolojinin gelişmesiyle birlikte veriler sadece ulaşılabilir değil, aynı zamanda saklanabilir ve depolanabilir unsurlar haline gelmiştir. Bu durum, internette var olan bir verinin, sonsuza kadar yer alabilmesine imkan tanımaktadır. Oysaki, bir kişi hakkında internette yer alan her bilgi güncel olmamakla birlikte gerçeği de yansıtmayabilir. Bu gibi durumlarda verilerin varlığını sürdürmesi, insan onuruna aykırılık teşkil edecek olup aynı zamanda insan haklarına da aykırılığı gündeme getirecektir. Bu bağlamda, unutulma hakkı bireylerin, internette yer alan verileri üzerindeki hakimiyetini belli bir ölçüde sağlamaktadır.
Hukukumuzda unutulma hakkını ele alan hükümlerden biri de Türkiye Cumhuriyeti Anayasası’nın 20. maddesidir. İlgili maddenin unutulma hakkıyla ilgili olan son fıkrası şu şekildedir: “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.” Görüldüğü üzere maddede yer alan “silinmesini talep etme hakkı” ibaresiyle unutulma hakkı, Anayasa kapsamında güvence altına alınmıştır.
İnternetteki verilere ulaşmanın neredeyse kaçınılmaz olan yolu arama motorlarını kullanmaktır. Dolayısıyla, ticari şirket olan arama motorlarının, insanların yaşamına olan etkilerinden de öte insan haklarının hayata geçirilmesindeki rolleri oldukça büyüktür. Bu yüzdendir ki arama motorları mülkiyet hakkı ve özel yaşamın gizliliği gibi insan haklarını kapsayan konularda oldukça önemli bir yer edinmiştir. Arama motorlarının bu alandaki rollerinden bir diğeri, unutulma hakkı için öncelikle arama motorlarına başvurulmasıdır. İnsan hakları bağlamında değerlendirilen böylesi önemli bir hususta karar merciinin ticari şirket sıfatına sahip arama motorlarının olması eleştiri konusu olmaktadır.
Yapılan İşlemlerin Kişisel Verilerin Aktarıldığı Üçüncü Kişilere Bildirilmesini İsteme Hakkı
Yukarıda değinildiği üzere, kişisel verilerin internet ortamında ve arama motorlarında ulaşılabilir hale gelmesinin sonucu olarak, üçüncü kişiler tarafından da işlenebilir hale gelmesi mümkündür. Ayrıca, kişisel verilerin devralınması da söz konusu olabilmektedir. İlgili kişinin kişisel verisinin paylaşıldığı her mecrayı bilmesi beklenemeyeceğinden, veri sorumlusuna doğrudan başvurarak silme ve düzeltme işlemlerinin, verisinin paylaşıldığı üçüncü kişilere bildirilmesini talep etme hakkı tanınmıştır. İlgili kişinin bu hakkı da unutulma hakkı kapsamında değerlendirilebilecektir. Nitekim, unutulma hakkının hayata geçirilebilmesi için, tüm veri sorumlularının bu silme talebinden haberdar olması ve gerekli yükümlülüklerini yerine getirmeleri gerekmektedir. Tüm veri sorumlularının bu kapsamdaki verileri silmesi veya yok etmesi halinde ancak unutulma hakkının karşılık bulabileceği söylenebilir.
İtiraz Hakkı
KVKK m. 11 f. 1 b. g uyarınca ilgili kişinin; işlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme hakkı bulunmaktadır.
Günümüzde, veri işleme faaliyetlerinin büyük çoğunluğunda münhasıran otomatik sistemler vasıtasıyla gerçekleştirildiği göz önüne alındığında, ilgili kişiye tanınan bu hakkın oldukça önem arz ettiği sonucuna ulaşılabilmektedir. Zira, kişinin birtakım mecralarda bilgisi dışında verilerinin işlenmesi sonucu ciddi olumsuzluklarla karşılaşması, kişilik haklarının zedelenmesine yol açabilir. Bir talebin reddi, hizmetten faydalanamama veya ayrımcılığa maruz kalınması gibi durumların gerçekleşmesi muhtemel sonuçlara örnek teşkil edebilir. Buna benzer durumların engellenmesi amacıyla; ilgili kişiye, aleyhine çıkan sonuçlara itiraz etme ve çıkan sonucun denetlenmesini talep etme hakkı tanınmıştır.
Zararın Giderilmesini Talep Etme Hakkı
KVKK m. 11 f. 1 b. ğ uyarınca; ilgili kişi, kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme hakkına sahiptir. Bu hakkın kullanılması için öncelikle haksız fiil niteliğinde olan “kişisel verilerin hukuka aykırı işlenmesi” şartı aranmaktadır. Dahası, veri işleme faaliyeti ile hak ihlali arasında nedensellik bağı bulunmalıdır. Başka bir deyişle; hak ihlali, bu kapsamdaki veri işleme faaliyetinden dolayı gerçekleşmiş olmalıdır. Burada veri sorumlusunun kusurunun hangi kapsamda ele alınacağına detaylıca değinilmeyecek olup, kanunda öngörülen yükümlülüklerin yerine getirilmiş ve teknik ve idari tedbirlerin eksiksiz alınmış olmasına rağmen bir hak ihlalinin gerçekleşmesi durumunda, veri sorumlusunun bu hak ihlalinden dolayı sorumlu tutulmamasının daha hakkaniyetli olacağı öne sürülebilir. Ayrıca, ilgili kişi bu zararın tazmin edilmesini talep etme hakkının doğması için, veri işleme faaliyetinden kaynaklı hak ihlalinin sonucunda bir zarar meydana gelmiş olmalıdır.
Başvuru Usulü
İlgili kişinin bu haklarını kullanabilmesinin yolu öncelikli olarak veri sorumlusuna başvurmasıdır. Veri sorumlusuna başvurunun yazılı olarak yapılabileceği gibi, elektronik ortamda da gerçekleştirilmesi mümkündür. İlgili kişinin başvurusu üzerine veri sorumlusu, talebi en geç otuz gün içerisinde sonuçlandırmak zorundadır. Veri sorumlusu, yapılacak incelemeler sonucunda talebi kabul edip gereğini yerine getirir veya gerekçesiyle birlikte reddeder ve cevabını ilgili kişiye bildirir. Başvurunun reddedilmesi, verilen cevabın yetersiz kalması veya veri sorulusunun süresi içinde cevap vermemesi halinde ise ilgili kişinin ikinci başvuru yolu olan Kurula şikayet hakkı gündeme gelecektir. Bu üç ihtimal sonucunda, ilgili kişi cevabı öğrendiği tarihten itibaren otuz gün veya veri sorumlusunun süresinde cevap vermemiş olması ihtimali dahilinde en geç altmış gün içinde Kurula başvuruda bulunarak şikayet yoluna gidebilecektir. Şikayet üzerine Kurul, yapacağı inceleme sonucunda ilgililere cevap verir, cevap vermez ise de başvuru reddedilmiş sayılır.
VERİ SORUMLUSUNUN YÜKÜMLÜLÜKLERİ
Veri Sorumlusunun Aydınlatma Yükümlülüğü
Aydınlatma yükümlülüğü, esas itibariyle şeffaflığın sağlanması amacı dahilinde düzenlenmiştir. KVKK m. 10 kapsamında düzenlenen bu yükümlülük, asgari olarak ilgili maddede belirtilen unsurları içermek zorundadır. Bu unsurlar; veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin işlenme amacı, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ve 11. maddede sayılan diğer hakları olarak sayılmıştır. Ayrıca, bu konuyla ilgili Kurulun yayınlamış olduğu “Aydınlatma Yükümlülüğünün Yerine Getirilmesi Rehberi” de mevcuttur.
Aydınlatma yükümlülüğünün yerine getirilmesi; sözlü, ses kaydı, çağrı merkezi gibi çeşitli ortamlar kullanılarak gerçekleştirilebilir. Unutulmamalıdır ki, açık rıza alınması gereken hallerde açık rızanın alınmış olması, aydınlatma yükümlülüğünün mevcudiyetini ortadan kaldırmayacaktır. Böyle durumlarda açık rızanın alınması ve aydınlatma yükümlülüğünün yerine getirilmesi, ayrı ayrı gerçekleştirilmelidir. Burada ayrı ayrı gerçekleştirmekten kasıt, yerine getirilmesi gereken yükümlülüklerin bağımsız olduğudur. Oysaki Kanunumuzda kabul gören uygulama, içeriklerin ve yükümlülüklerin bağımsız olmasına ek olarak, bunlara ilişkin düzenlemelerin de ayrı ayrı yapılması gerektiğidir. Kanımca, içerik olarak hem açık rızayı hem aydınlatma yükümlülüğüne dair bilgilendirmeyi kapsayan tek bir metinle de her iki yükümlülüğün yerine getirilmesi mümkün olmalıdır. Ayrıca, bu kapsama giren durumlarda, açık rızaya ve aydınlatma yükümlülüğüne ilişkin içeriklerin aynı metin içerisinde düzenlenmesi, uygulamanın daha pratik olmasını sağlayacaktır.
Veri Sorumlusunun Veri Güvenliğine İlişkin Yükümlülükleri
Kanunun 12. maddesinde düzenlenen veri güvenliğine ilişkin yükümlülükler, veri sorumlusunun kişisel verilerin korunması kapsamında almakla yükümlü olduğu teknik ve idari tedbirleri kapsamaktadır. KVKK m. 12 incelendiğinde alınması gereken bu tedbirler; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yöneliktir.
İlgili maddenin ikinci fıkrasında, kişisel veri işleme faaliyetinin veri sorumlusu-veri işleyen ilişkisi çerçevesinde gerçekleştirilmesi halinde, tarafların bu yükümlülüğün yerine getirilmesinden müşterek sorumlu olacağı düzenlenmiştir. Ayrıca hükmün devamında belirtildiği üzere; veri sorumlusunun ile veri işleyenin, öğrendikleri kişisel verileri hukuka aykırı olarak üçüncü kişilere açıklamama ve bu verileri amacı dışında kullanmama yükümlülükleri de söz konusudur. Burada önemli olan bir husus vardır ki; ilgili yükümlülük, bu kişilerin görevden ayrılmalarından sonra da devam eder.
Kişisel verilerin korunması ve veri güvenliği farklı kavramlar olup, veri güvenliği daha çok teknik ve idari tedbirleri kapsamakta olup kişisel verilerin korunmasına hizmet eder. Ayrıca veri güvenliği yükümlülüğü mutlak bir yükümlülük olmayıp, “gerekli” tedbirlerin alınması zorunlu kılar niteliktedir. Bu nedenle, veri sorumlusunun alması gereken tedbirlerin, riskin gerektirdiği oranda olması yeterli olacaktır. Örneğin; mahremiyet ihlali riskinin az olduğu alanda, gerektiğinden daha yüksek düzeyde tedbirlerin alınması gerekmeyecektir.
Veri güvenliğine ilişkin yükümlülüklerin yerine getirilmesi sırasında “veri minimizasyonu” ilkesi de göz önünde bulundurulmalıdır. Teknik ve idari tedbirlerin alınması kapsamında, kişisel verilerin işlenmesi yalnızca gerekli verilerle sınırlandırılmalıdır. Bu bağlamda yapılabilecek bir başka uygulama ise mümkün olduğunca anonim veri işlemenin gerçekleştirilmesidir. Öte yandan; veri maskeleme, otomatik yok etme ve silme işlemleri ve bu süreçlere ilişkin denetim mekanizmaları uygulamaya geçirilmelidir.
İdari tedbirler kapsamında; veri sorumlusu, veri işleme faaliyetlerine ilişkin olarak veri envanteri düzenlemelidir. Ayrıca, işlenen verilerin yalnızca yetkili kişilerce ve gerektirdiği ölçüde erişimine ilişkin, yetki matrisi uygulamasına geçilmelidir.
KVKK m. 12 f. 5 kapsamında; bir veri ihlali gerçekleşmesi halinde, veri sorumlusunun bu ihlali ilgilisine ve Kurula bildirme yükümlülüğü bulunmaktadır. Bunun üzerine Kurul, gerek görüldüğü takdirde bu ihlali kamuoyu duyurusu olarak ilan eder. Bu bağlamda, veri sorumlusunun bir veri ihlali olması ihtimaline karşın önceden önlemlerini alması gerekmektedir. Bir başka deyişle, veri ihlali yaşanması durumunda izlenecek yolun önceden belirlenmiş olması gerekir. Bu durum hem sürecin sağlıklı yönetilmesi bakımından hem de ihlal sebeplerinin analiz edilerek veri güvenliğinin sağlanmasına ilişkin yöntemlerinin geliştirilmesi bakımından önem arz etmektedir.
Veri güvenliğinin sağlanması adına uygulamaya konulan yöntemlerin işlerliğinin denetlenmesi açısından risk analizleri oluşturulmalıdır. Bu risk analizleri tüm süreci değil, teknik süreci kapsamına dahil eder nitelikte olacaktır. Ayrıca, oluşturulan risk analizlerinin akabinde şekillenen veri yönetim sisteminin, veri işleme faaliyetlerinin gerektirdiği ölçüde güncellenmesi ve teknolojik gelişmelere açık olması gerekmektedir.
Kişisel verilerin korunması kapsamında bilgi güvenliğinin sağlanması amacıyla Bilgi Güvenliği Yönetim Sisteminin oluşturulması, yukarıda değinilen veri yönetim sisteminin sağlıklı işleyebilmesi bakımından önemlidir. Bilgi, verinin enformasyon yoluyla anlam kazanmış hali olarak tanımlanabilir. Bilgi güvenliği ise, bilgiye sürekli erişimin sağlanması ve bilginin tahribata uğramadan iletilebilmesidir. Bilgi güvenliğinin temelini oluşturan unsurlar; gizlilik (confidentiality), bütünlük (integrity) ve kullanılabilirliktir (availability). Son yıllarda siber saldırıların da artışıyla birlikte mahremiyet arttırıcı teknolojiler oldukça önem kazanmıştır. Çalışmanın ilerleyen bölümlerinde detaylıca değinilecek olan elektronik imza (e-imza), mahremiyet arttırıcı teknolojilere örnek teşkil etmektedir. TS ISO/IEC 27001 Standardı Kapsamında Bı̇lgı̇ Güvenlı̇ğı̇ Yönetı̇m Sı̇stemı̇nı̇n kurulması, bilgi güvenliği yönetiminin verimliliği açısından faydalı olacaktır.
“Bilgi Güvenliği Yönetim Sistemi (BGYS); bilginin gizliliğini, bütünlüğünü ve kesintisiz kullanılabilirliğini (erişilebilirliğini) sağlamak üzere sistemli, kuralları koyulmuş, planlı, yönetilebilir, sürdürülebilir, dokümante edilmiş, yönetimce kabul görmüş ve uluslararası güvenlik standartlarının temel alındığı faaliyetler bütünüdür.”
Bu çalışmada BGYS bağlamında ayrıca detaylı bilgi verilmeyecek olup, bazı kanaatlerin sunulmasında beis görülmemektedir. Öyle ki, kurumsal bilgi güvenliği hususunda en önemli faktör, çalışan farkındalığıdır. Personelin bilinç düzeyi bu alandaki uygulamalarla ne kadar bağdaşırsa, sistemin çarkları da o kadar doğru çalışacaktır. Bundan dolayı, çalışan farkındalığı da bilgi güvenliği kapsamında bir önlem olarak görülmeli ve önemsenmelidir. Çalışan farkındalığına ek olarak, çalışanın uygulanacak güvenlik teknolojilerini tanıması ve bu konuda kullanım becerilerinin arttırılması, yine aynı derecede önemlidir. Zira, ancak bu sayede yatırımların sürekliliği ve işlerliği sağlanarak olumlu geri dönüşler alınabilecektir.
Tüm bu bilgiler ışığında, kişisel verilerin korunması hukukunun; hukukun diğer alanlarından farklı olarak, hukukçularla teknik bilgi sahibi olan kişilerin birlikte çalışmasıyla başarılı sonuçlanabilecek bir alan olduğu açıktır. Bu gereklilik, özellikle veri güvenliğinin sağlanması hususunda öne çıkmaktadır. Uygulamada sıkça rastlanan ve yüzeysel nitelikteki hizmetlerin, kişisel verilerin korunmasının özüne aykırı olduğu açıktır. Böyle bir uygulamanın, tamamlanması gereken eksiklerin halı altına süpürülmesinden farksız olduğu açıktır. Bu alanda hukukçuların teknik destek almadan kişisel verilerin korunması uyum sürecini sağlıklı yürütmesi ne kadar zor ise, içerisinde hukukçu olmayan bir ekiple uyum sürecinin sağlıklı yönetilmesi bir o kadar imkansızdır. Buna benzer örneklerin çok sayıda olmasının sebeplerinden biri, kişisel verilerin korunmasına olan yüzeysel bakış açısıdır. Halbuki, veri mahremiyetinin önemi VERBİS kaydından ibaret değildir. Dahası, VERBİS kaydının tamamlanmış olmasıyla tüm yükümlülükler bertaraf edilmiş sayılmamaktadır.
VERBİS Kayıt Yükümlülüğü
Veri Sorumluları Sicili, kamuya açık olarak tutulan ve Kurulun gözetiminde olan bir sicildir. Veri sorumluları, kişisel veri işleme faaliyetine başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır.
VERBİS kayıt yükümlülüğüne Kurul kararlarıyla birtakım istisnalar getirilmiştir. Getirilen istisnalar bakımından önemli olan husus; Sicile kayıt yükümlülüğünden muaf olmanın, kanunun yükümlülüklerinden muafiyet sonucunu doğurmadığıdır. Dolayısıyla, bir veri sorumlusu Sicile kayıt yükümlülüğünden muaf olsa dahi, kişisel verilerin korunması kapsamında kanuni yükümlülüklerini yerine getirmek zorundadır. Bir başka deyişle, Sicile kayıt yükümlülüğünden muafiyet, herhangi bir veri ihlali sonucunda sorumluluğun doğmayacağı ve idari veya cezai sorumluluğun gündeme gelmeyeceği anlamına gelmemektedir. Sonuç olarak, kişisel veri işleme faaliyeti gerçekleştiren her veri sorumlusu, VERBİS’e kayıt olsun olmasın, kişisel verilerin korunması uyum süreçlerini tam ve eksiksiz yerine getirmek zorundadır.
YAPTIRIMLAR
İdari Yaptırım Sistemi
Kişisel verilerin işlenmesi sırasında ortaya çıkabilecek veri ihlalleri veya veri sorumlularının yükümlülüklerini yerine getirmemeleri sonucunda uygulanacak idari yaptırımlar, Kişisel Verilerin Korunması Kanunu m. 18 hükmü kapsamında Kabahatler başlığı altında düzenlenmiştir.
KVKK m. 18 kapsamındaki idari para cezalarının 2021’de yeniden değerleme oranına göre uygulanacak olan miktarları şu şekildedir:
Aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 9.834 Türk lirasından 196.686 Türk lirasına kadar,
Veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 29.503 Türk lirasından 1.966.862 Türk lirasına kadar,
Kurul tarafından verilen kararları yerine getirmeyenler hakkında 49.172 Türk lirasından 1.966.862 Türk lirasına kadar,
Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 39.337 Türk lirasından 1.966.862 Türk lirasına kadar.
Kanunun lafzından yola çıkıldığında, idari para cezalarından sorumluluk yalnızca veri sorumlusu nezdinde gündeme gelmektedir. Her ne kadar veri sorumlusu ve veri işleyenin müştereken sorumlu olduğu kabul edilmiş olsa da yaptırımlar kapsamında buna ilişkin açık bir düzenleme getirilmemiştir. Oysaki, veri sorumlusu-veri işleyen ilişkisi günden güne daha da sık rastlanır hale gelmektedir. Bu durumda, büyük çaplı veri işleme hizmeti vermekte olan veri işleyenlerin açık bir düzenlemeyle sorumluluğa tabi tutulmamasının büyük bir eksiklik teşkil ettiği kuşkusuzdur.
Cezai Yaptırım Sistemi
Kişisel verilerin korunmasına ilişkin cezai yaptırımlar genel normlarla korunması öngörülmüş ve TCK’nın “Özel Hayatın Gizliliğine İlişkin Suçlar” başlığı altında 135 vd. maddelerinde kişisel verilerin korunmasına ayrılık sonucu ortaya çıkabilecek suç tiplerine yer verilmiştir.
Türk Ceza Kanunu’nun 135. maddesi, kişisel verilerin hukuka aykırı bir şekilde kaydedilmesi suçunu ele almakta olup, bu suçun oluşması halinde bir yıldan üç yıla kadar hapis cezası ile sorumluluk gündeme gelecektir. İlgili hükmün ikinci fıkrasında ise cezayı ağırlaştıran haller düzenlenmiş olup, bu halleri mevcudiyeti kapsamında cezanın yarı oranında arttırılması söz konusu olacaktır.
Türk Ceza Kanunu’nun 136. maddesinde ise, verileri hukuka aykırı olarak verme veya ele geçirme suçu düzenlenmiştir. Bu hükme göre, verileri hukuka aykırı olarak üçüncü bir kişiye veren veya ele geçiren kişinin, iki yıldan dört yıla kadar hapis cezasıyla sorumlu olması söz konusudur.
Öte yandan, Kanunun 137. maddesi, 135. ve 136. madde kapsamındaki suçların nitelikli hallerini düzenlemiştir. TCK m. 137’e göre;
“Yukarıdaki maddelerde tanımlanan suçların; kamu görevlisi tarafından ve görevinin verdiği yetki kötüye kullanılmak suretiyle veya belli bir meslek ve sanatın sağladığı kolaylıktan yararlanmak suretiyle işlenmesi halinde, verilecek ceza yarı oranında artırılır.”
Kişisel verilerin hukuka aykırı işlenmesi hususuna ilişkin Türk Ceza Kanunu kapsamında bağlayıcı nitelikteki bir başka düzenleme ise Kanunun 138. maddesidir. İlgili madde, verileri yok etmeme suçunu düzenler. Bu maddeye göre; kanunda belirtilen sürelerin geçmiş olmasına karşın veri sorumlusunun, kişisel verileri sistem içinde yok etmemek suretiyle görevini yerine getirmemesi halinde bir yıldan iki yıla kadar hapis cezası verileceğini düzenlemiştir.
İlgili düzenlemeden de açıkça anlaşıldığı üzere, kişisel verilerin hukuka aykırı işlenmesi durumu yalnızca aktif nitelikte bir davranışın olması halinde ortaya çıkmamaktadır. Kanuni süresi geçmiş olan bir verinin yok edilmemesi de kişisel verinin hukuka aykırı işlenmesi kapsamındadır. Dolayısıyla, yalnızca aktif davranışlar değil, aynı zamanda yerine getirilmesi gereken bir yükümlülüğün pasif kalınarak yerine getirilmemesi halinde de idari ve cezai yaptırımlarla karşı karşıya kalınabilecektir. Sonuç olarak, kişisel verilerin işlenmesi kapsamındaki kanuni sürelerin sona ermesiyle birlikte, yok etme veya anonim hale getirme yöntemlerinin uygulanması ve bu doğrultuda veri işleme faaliyetinin sona erdirilmesi gerekmektedir.
ÜÇÜNCÜ BÖLÜM: E-TİCARET HUKUKU KAPSAMINDA KİŞİSEL VERİLERİN KORUNMASI
E-TİCARET SEKTÖRÜ AÇISINDAN KİŞİSEL VERİLERİN KORUNMASI
Öncelikle elektronik ticaretin tanımı yapılacak olursa; fiziki olarak karşı karşıya gelmeksizin, elektronik ortamda gerçekleştirilen çevrim içi iktisadi ve ticari her türlü faaliyet elektronik ticareti ifade etmektedir. OECD’ye göre e-ticaret ise; ilgili altyapı dahil olmak üzere, internet gibi özel mülkiyet altında olmayan ağlar üzerinden yapılan işlerdir. DTÖ’ye göre e-ticaret ise; internet erişim hizmetleri, hizmetlerin elektronik ortamda verilmesi ve internet üzerinden dağıtımıdır.
Ticaret sektörünün değişen yapısı ve dijitalleşmenin e-ticaret sektörünü kaçınılmaz kılmasıyla birlikte, işletmeler arasındaki rekabet düzeyi daha da artmış ve bu durum firmaların ticari stratejilerini de şekillendirmiştir. Firmaların bu yönelimi ise, veri işleyen ve depolayan kişilerce veri satışlarının gerçekleştirilmesi sonucunu doğurmuştur. Böylelikle, kişisel veriler pazarlama faaliyeti konusu olup bir sermaye unsuru haline gelmiştir.
Buna karşın, kişisel verilerin korunması hem AİHS m. 8 hem de AY m. 20 ek hükmü bağlamında temel hak statüsündedir. Dolayısıyla, kişisel verilerin bir sermaye unsuru olmaktan öte; elde ediliş amacı doğrultusunda ve ilgili kişi olarak adlandırılan veri sahibinin bilgisi dahilinde işlenmesi, ayrıca işlenme amacının sona ermesi halinde ise anonim hale getirme, silme veya yok etme gibi yöntemlerle bu veri işleme faaliyetinin durdurulması gerekmektedir. Buna riayet edilmediği takdirde, kişisel verilerin korunması hakkı yasalar çerçevesinde koruma altına alınmış olduğundan hem idari yaptırım olarak KVKK kapsamında hem de cezai yaptırım olarak TCK kapsamında ayrı ayrı sorumluluk gündeme gelecektir.
E-TİCARET KANUNU (ETDHK) KAPSAMINDA TİCARİ ELEKTRONİK İLETİ VE KİŞİSEL VERİLERİN KORUNMASI
6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun’un 2. maddesinin ilk fırkasının c bendine göre ticari elektronik ileti; telefon, çağrı merkezleri, faks, otomatik arama makineleri, akıllı ses kaydedici sistemler, elektronik posta, kısa mesaj hizmeti gibi vasıtalar kullanılarak elektronik ortamda gerçekleştirilen ve ticari amaçlarla gönderilen veri, ses ve görüntü içerikli iletileri ifade etmektedir.
E-Ticaret Hukukunun temeli olan 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun (ETDHK) kapsamında ticari elektronik iletilere ilişkin kişisel verilerin korunması bağlamında çeşitli hükümler mevcuttur. Öncelikli olarak, ETDHK m. 6 hükmü uyarınca, ticari elektronik iletiler, alıcılara ancak önceden onayları alınmak kaydıyla gönderilebilir. Burada bahsedilen onayın, yazılı olarak veya elektronik iletişim araçlarıyla alınması gerekmektedir. Ayrıca, ilgili maddenin son fıkrası uyarınca esnaf ve tacirlere önceden onay alınmaksızın ticari elektronik iletiler gönderilebilmesi mümkündür.
Öte yandan; ETDHK m. 7 hükmü, ticari elektronik iletinin içeriğine ilişkin kuralları düzenlemiştir. İlgili maddede, ticari elektronik iletinin alıcının onayı ile bağdaşır nitelikte olması gerektiği hükme bağlanmıştır. Ayrıca maddenin ikinci fıkrasında, hizmet sağlayıcının tanınmasını sağlayan bilgilerin de yer alması gerektiği düzenlenmiştir. Son fıkrada ise iletinin konusu, amacı ve başkası adına yapıldığı hallerde kimin adına yapılacağının yer alması gerektiği belirtilmiştir.
Dahası, ETDHK m. 8 hükmü uyarınca, alıcılar diledikleri zaman ticari elektronik ileti almayı reddetme hakkına sahiptir.
Son olarak, ETDHK’nın kişisel verilerin korunması başlıklı 10 maddesi; hizmet sağlayıcının ve aracı hizmet sağlayıcının, kişisel verilerin saklanmasından ve güvenliğinden sorumlu olduğunu hükme bağlamıştır. Ayrıca bu kişisel verilerin, veri sahibinin onayı olmaksızın bir başkasına aktarılamayacağı da bu hüküm kapsamında düzenlenmiştir.
Görüldüğü üzere, ETDHK kapsamındaki ilgili hükümler ile, 6698 sayılı Kanun hükümleri belli noktalarda örtüşmektedir. Nitekim, “onay” kavramının açık rıza ile örtüştüğü söylenebilir. Ayrıca, hizmet sağlayıcının bilgilerinin yer alması hususu, veri sorumlusunun aydınlatma yükümlülüğü için gerekli asgari içeriklerle örtüşmesi söz konusudur. ETDHK m. 8 hükmü ise KVKK m. 11 kapsamındaki ilgili kişinin hakları hükümleriyle aynı doğrultudadır. ETDHK m. 10 ise açıkça kişisel verilerin korunması başlığı altında düzenlenmiş olup, yine aynı hususa ilişkin bağlayıcı hükümleri içermektedir.
Kişisel Verileri Koruma Kurulunun ticari elektronik iletilere ilişkin ilk kararı, 16.10.2018 tarih ve 2018/119 sayılı karardır. Kararın konusu reklam içerikli iletiler olup, KVKK m. 5 kapsamındaki işleme şartları sağlanmadan veri işleme faaliyeti niteliğinde ticari elektronik iletilerin gönderilmesi işleminin derhal durdurulmasına karar verilmiştir. Ayrıca, veri sorumlusu ve veri işleyenin, KVKK m. 12 kapsamında yükümlülüklere ilişkin müştereken sorumlu olduğu belirtilmiştir. Sonucunda ise, KVKK m. 18 kapsamında idari yaptırıma tabi olunacağı ve TCK m. 136 kapsamında cezai yaptırım uygulanacağı ifade edilmiştir.
E-Ticaret Kanunu’na atıf yapılan güncel bir karar ise, 16.01.2020 tarihli ve 2020/34 sayılı karardır. Kararın konusu, dergi aboneliği işlemleri için verilmiş olan bir telefon numarasının, bir gıda şirketinin reklamının yapılması amacıyla aranmasıdır. İlgili kişi yazılı başvuruda bulunmuş fakat veri sorumlusunun yanıtını yetersiz bularak Kurula şikayet hakkını kullanmıştır. Bunun üzerine Kurul bu durumu kişisel verinin elde ediliş amacından farklı bir amaç için kullanılması olarak değerlendirmiş ve KVKK m. 4’e aykırı görmüştür. Ayrıca, kişisel verinin farklı bir amaç doğrultusunda işlenmesi söz konusu olacak ise, ilgili kişinin açık rızasının alınması gerektiğine değinilmiştir. Sonucunda, KVKK m. 12 f. 1 b. a hükmüne aykırılık kapsamında KVKK m. 18 f. 1 b. b uyarınca 18.000 TL idari para cezası uygulanmasına karar vermiştir.
Ticaretin gelişen teknolojiye adapte olmasıyla birlikte ivme kazanması göz önünde bulundurulduğunda, EDI teknolojisinin firmalara bu anlamda önemli bir katkıda bulunduğu sonucuna varılabilir. Başka bir deyişle, EDI teknoloji sayesinde şirketler bu ivmeyi yakalama olanağına sahip olmaktadırlar. Bunun yanı sıra, her ne kadar B2B ticaret şekli kapsamına bu sistem kullanılıyor olsa da elektronik verilerin içerikleri kişisel veri niteliğini haiz olabilir. Bu bağlamda; her ne kadar veri alışverişinin bir tarafı tüketici olmasa da iletilerin kişisel veri içeriğine sahip olduğu faaliyetler kapsamında, ilgili faaliyetlerin veri sorumlularının kişisel verilerin korunması hususunda öngörülen teknik ve idari tedbirleri almaları ve bunun dışında faaliyetlerin Kişisel Verilerin Korunması Hukuku hükümlerine aykırılık teşkil etmemesi gerekmektedir.
E-TİCARET HUKUKU KAPSAMINDA ÖRNEK BİR KARAR: AMAZON TÜRKİYE KARARI
XIII.Kişisel Verileri Koruma Kurulu’nun güncel kararlarından biri olan Amazon Türkiye kararı, kişisel verilerin yurtdışına aktarımı ve ticari elektronik iletilere ilişkin önemli nüansları barındırmaktadır.
İlgili kişinin temel iddiası; amazon.com.tr sitesine üyelik oluşturma sırasında, ticari elektronik iletilerin gönderilmesine ilişkin herhangi bir şekilde açık rızanın alınmadığı, açık rıza alınması kuralının istisnalarından birinin varlığının da beyan edilmediği yönündedir. Bununla birlikte, çerez politikasının da hukuka aykırı olduğu ileri sürülmüştür.
Ayrıca, ilgili siteden alışveriş yapılabilmesi için üye olunmasının zorunlu olduğu, üye olurken birtakım şartların kabul edilmesi gerektiğinden dolayı da bu durumun özgür iradeyi zedeleyen nitelikte olduğundan açık rıza sayılamayacağı ileri sürülmüştür. Bununla birlikte, ilgili sitede kişisel verilerin yurtdışına aktarıldığına dair ibareler bulunduğu belirtilmiş ve yurtdışı aktarımı için kişiden açık rıza alınmadığı öne sürülmüştür.
Bunun üzerine veri sorumlusu, ilgili kişinin iddialarının dayanaktan yoksun olduğunu, ayrıca bu siteye kayıtlı müşterilerin diledikleri zaman kolayca iletişim tercihlerini değiştirerek ticari elektronik ileti almayı reddedebildiklerini beyan etmiştir. Yurtdışına aktarım hususunda ise, Gizlilik Bildiriminin onaylanmasının bu durumun kabulü anlamına geldiğinden açık rıza niteliğinde olduğu ve iddiaların asılsız olduğu belirtilmiştir.
Kurul, bunun üzerine gerekli incelemeyi başlatarak hukuka aykırılığın tespiti yönünde çalışmalarda bulunmuştur. Bunun üzerine, üyelik bilgilerinin kaydedilmesi sırasında açık rıza alınmadığı ve yalnızca reklam ve pazarlama e-postalarının gönderiminin iptal edildiği bir seçenek yer aldığı tespit edilmiştir. Bu durumda açık rızanın hukuka uygunluğu irdelenmiş ve rızanın otomatik onay şeklinde değil, özgür iradeyle ve işlemin sonuçlarını öngörerek verilmesi gerektiği belirtilmiştir.
Öte yandan Kurul, veri sorumlusunun savunmasında yer alan Gizlilik Bildirimi uygulamasının genel geçer nitelikte olmasından dolayı açık rıza sayılamayacağına değinmiştir. Dolayısıyla, veri sorumlusunun KVKK m. 12 kapsamındaki yükümlülüklerini yerine getirmediği kanaatine varılmıştır. Açık rıza alınmadan işlem yapılması ve hizmetten yararlanmanın açık rıza alınmış olması şartına bağlanmasının KVKK m. 4 kapsamında açık rıza için gereken unsurların bulunmamasından dolayı hukuka aykırılık teşkil edeceğine işaret edilmiştir. Ayrıca açık rızanın genel nitelikte olamayacağını, “battaniye rıza” kapsamına giren beyanların hukuka uygun sayılamayacağına değinilmiştir.
Tüm bunların sonucu olarak; KVKK m. 4’te yer alan genel ilkelere aykırılığın olduğunu, veri sorumlusunun açık rıza almamasından dolayı kişisel verilerin aktarılmasına ilişkin hükümlere aykırı hareket ettiğini, yurtdışına aktarım ile ilgili ise açık rıza beyanının yokluğundan dolayı KVKK m. 9’da yer alan şartlara uygunluğun sağlanmadığını karara bağlamıştır. Bu doğrultuda ise; KVKK m. 18 f. 1 b. b uyarınca 1.100.000 TL idari para cezası ve KVKK m. 18. f. 1 b. a uyarınca 100.000 TL idari para cezası uygulanmasına karar verilmiştir. Ayrıca, veri sorumlusunun kişisel verilerin korunması kapsamındaki yükümlülüklerine ilişkin düzenlenmesi gereken tüm metinlerin güncellenmesi ve hukuka uygunluğun sağlanıp Kurul’a bildirilmesi yönünde karar alınmıştır.
SONUÇ
Kapitalizmin hüküm sürdüğü bu çağda “kişisel veri” her ne kadar meta haline dönüştüyse de özünde temel insan haklarından biri olma özelliğini korumaktadır. Günümüzde kişisel verilerimizin adeta birer sermaye unsuru haline gelmiş olduğu açıktır. Bundan yola çıkarak, olası ihlallerin önlenmesi amacıyla çalışmanın ilgili bölümlerinde değinilen birtakım düzenlemeler getirilmiş ve bu ilgili düzenlemeler çerçevesinde birtakım önlemler alınmıştır.
Kişisel verilerin korunması hakkı, bu düzenlemelerin de ötesinde gerek Avrupa İnsan Hakları Sözleşmesi gerekse Türkiye Cumhuriyet Anayasası bağlamında korunan bir haktır. Dolayısıyla, para ile ölçülebilen bir değerden çok öte ve insanın insan olmasından dolayı sahip olduğu haklardan biri olan kişisel verilerin korunması hakkının, insan onurunu korumaya da büyük ölçüde hizmet ettiği sonucuna ulaşılması mümkündür.
Veri koruma bilincinin dijitalleşmeye birlikte oluşmaya başladığı gözlemlenmiştir. Teknolojinin, ticari faaliyetler de dahil olmak üzere hayatın hemen hemen tüm alanlarına sirayet etmesi sonucu, verinin çok daha hızlı ve geniş alanlarda dolaşım halinde olması söz konusu olmuştur. Öyle ki, elektronik ticaret olarak adlandırılan yeni bir alan geliştirilmiş olup, bu alanın, ticaretin büyük payını alma potansiyeline sahip olduğu söylenebilir. Global düzeyde yayılan verilerin kişisel veri niteliğini haiz olduğu durumlarda ise, kişilerin haklarına müdahale sayılabilecek davranışlar ve faaliyet biçimleri vücut bulmaya başlamıştır. Bunun üzerine, önce Avrupa’da yürürlüğe konulan düzenlemelerle, daha sonra ise hukukumuzda yer alan düzenlemeler kapsamında kişisel verilerin korunması hakkı yasal düzlemde koruma altına alınmıştır.
Her ne kadar Türk Hukukunda bu hakkın yasal korumaya sahip olması olumlu bir gelişme olsa da hukukumuzda yürürlükte olan Kişisel Verilerin Korunması Kanunu kapsamında güncellemelerin yapılması, hükümlerin daha açık ve uygulanabilir hale getirilmesi gerektiği açıktır. Genel Veri Koruma Tüzüğü ile kıyaslandığında, ulusal düzenlemeler bakımından daha fazla yol kat edilmesi ve bu anlamda tıkanıkların giderilmesi gerektiği su götürmez bir gerçektir. Nitekim, kanunumuzda uygulanabilirliği oldukça zayıf olan hükümler mevcuttur. Örneğin; KVKK m. 9’da ele alınan, kişisel verilerin yurtdışına aktarılmasına dair henüz kanun hükmünün işlerlik kazandığı bir örnek mevcut değildir. Günlük hayatta kullanılan birçok elektronik iletişim aracı yoluyla dahi, sayısız yurtdışı veri aktarımı söz konusudur. Öte yandan, henüz bir ülkenin taahhüdü kabul edilmemiş olmasından öte, güvenli ülke listesi de yayınlanmış değildir. Burada iki husus arasında karar verilmesi gerekmektedir. Birincisi, yurtdışı aktarım yasağının uygulanabilir hale gelmesi için zemin hazırlamak ve kişilere alternatif imkanları sağlamak ki bu kısa vadede pek gerçekçi olmayacaktır. İkincisi ise, uygulamada mevcut olan ve yurtdışı veri aktarımı teşkil eden faaliyetlerin çerçevesini belirleyerek hukuka uygun bir şekilde gerçekleştirilmesini sağlamaktır. Kanaatimce; Kurul, kişisel verilerin aktarılması ve bulut servislerin kullanımı ile ilgili “yerelleşme” yönünde bir politika izlemektedir. Böyle bir amaca hizmet ediliyor ise, yerel altyapıların ve bulut servislerin daha ivedi şekilde geliştirilmesi gereklilik arz etmektedir. Nitekim, birçok faaliyet sonucu idari ve cezai yaptırımlar uygulanmaktadır ve bazı durumlarda veri sorumlularına uygulanan bu yaptırımlar ölçüsüz olabilmektedir.
Bir başka husus; kişisel verilerin korunması hakkının, ezbere bir uygulama silsilesinin parçası olmaktan öte, özümsenmesi ve günlük hayata geçirilmesi gereken ve birçok temel insan hakkıyla da bağlantılı olduğundan, oldukça önem arz eden bir hak olduğudur. VERBİS kayıtları için verilen, hukuksal temellendirmelerden oldukça uzak, sadece iş bitirmeye yönelik ve tabiri caizse halı altına süpürme niteliğindeki uygulamalar, bu hususun insanların bakış açısında niteliksiz hale gelmesine yol açmaktadır. Halbuki, böylesine hassas ve önemli bir alanda, yalnızca bu kapsamda yetkinliğe sahip insanların çalışmalar yürütmesi gerekir. Bu doğrultuda; kişisel verilerin korunmasına yönelik, çerçevesi yasal düzenlemelerle çizilmiş bir yetkinlik şartının getirilmesi ve gerek danışmanlık faaliyetlerinin gerekse uyum projelerinin yalnızca bu çerçeve kapsamındaki yetkin kişilerce yerine getirilmesi gerekmektedir.
Son olarak, endüstri 4.0 tanımıyla da bilinen yapay zeka çağında e-ticaret gibi veri temelli birçok yeni sektörün oluşması ve yeni istihdam türlerinin ortaya çıkması kuvvetle muhtemeldir. Bu yüzdendir ki, veri koruma hususundaki yasal düzenlemelerin önleyici nitelikte olması oldukça önemlidir. Olası problemlerin en azından öngörülebilir kısmı bakımından yasal düzenlemelerin iyileştirilmesi dahi olumlu bir adım sayılabilecektir. Bilinmelidir ki, hukukun işlerlik kazanabilmesi; yaptırım uygulamaktan öte, toplumun tüm bireyleri için en temel gereklilik olan “insanca yaşamanın” güvence altına alınmasıyla mümkündür.