Online Danışmanlık

Ulusal ve uluslararası iş ve mesleki çevrelere etkin ve yön verici bir şekilde katılmaktayız.

Sigorta Hizmetleri Bağlanımda Kişisel Verilerin Korunması
8 Ağustos 2022

Sigorta Hizmetleri Bağlanımda Kişisel Verilerin Korunması

Makalenin döküman halini incelemek için tıklayın.

GİRİŞ

Teknolojinin gelişimi ve endüstri 4.0 dediğimiz yapay zeka çağının hayatımızın birçok alanına etki etmesiyle birlikte başlayan süreçte, verilerin dijital ortam üzerinde kaydedilmeye ve hatta depolanmaya başlaması gündeme gelmiştir. Nitekim, günlük hayatımızda önemli yeri olan ticaret, ekonomi, haberleşme, sağlık ve sigorta hizmetleri gibi çok sayıda farklı mecralarda veri işleme faaliyeti gerçekleştirilmektedir. Dahası, bu veri işleme faaliyetleri sonucu elde edilen veriler “bulut bilişim” olarak tanımlanan hizmet sağlayıcılarında saklanmaktadır.

Veri işlemenin bu dönüşümü, siber risk tanımıyla bilinen bir sakıncayı da beraberinde getirmektedir. Siber saldırı ihtimaliyle karşı karşıya kalınan bu dönemde, veri sorumlularının alması gereken önlemler daha geniş çapta ve güncel teknolojik gereksinimlere uygun olmalıdır. Siber risk hem sigortalılar hem de sigorta şirketleri için önem arz etmektedir. Nitekim, sigorta şirketleri bu alanda “siber sigorta” adıyla yeni bir sigorta türü geliştirmişlerdir. Sigorta şirketlerinin ise siber riske karşı gerek teknolojik alt yapı bakımından gerekse teknik ve idari tedbirler bakımından yeterliliklerini sağlamaları gerekmektedir.

Çalışmanın birinci bölümünde kişisel verilerin korunması hususuna genel hatlarıyla değinilecek olup, ikinci bölümde ise sigorta sektörü bağlamında kişisel verilerin korunması hususuna ve bir veri sorumlusu olarak sigorta şirketlerinin bu bağlamda nelere dikkat etmesi gerektiği, veri işleme faaliyetinin kapsamı ve hangi risklerle karşı karşıya kalınabileceğine değinilecektir.

BİRİNCİ BÖLÜM: KİŞİSEL VERİLERİN KORUNMASI

  1. Kişisel Veri Kavramı ve Türleri

6698 Sayılı Kişisel Verilerin Korunması Kanunu uyarınca kişisel veri, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir”.

İlgili kanunun kapsamında yalnızca gerçek kişilere ait veriler kişisel veri niteliği kazanabilecek olup, tüzel kişiler kapsam dışında sayılmaktadır. Ayrıca, kişisel veri doğrudan veri sahibiyle alakalı bir bilgi içerebileceği gibi, dolaylı olarak veri sahibini belirlenebilir kılan bir bilgiyi de içerebilmektedir.

Kişisel veriler; genel nitelikli ve özel nitelikli kişisel veriler olarak iki kategoride incelenmektedir. Özel nitelikli kişisel veriler KVKK m. 6 kapsamında ele alınmış olup, bunların dışında kalan kişisel verilerin genel nitelikli kişisel veri olduğu söylenebilir. Özel nitelikli kişisel veriler sınırlı sayıda olup, ilgili madde uyarınca şu verileri kapsamaktadır: “kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri”kapsamaktadır.

  1. İlgili Kişi, Veri Sorumlusu ve Veri İşleyen

Kanundaki tanımıyla ilgili kişi, kişisel verileri işlenen gerçek kişidir. Tüzel kişilere ait veriler kişisel veri sayılmadığından, tüzel kişiler ilgili kişi konumunda olamamaktadır. Buna karşın, tüzel kişilere ait olmakla birlikte gerçek kişilere ilişkin bilgi içeren ve gerçek kişilerle ilişkilendirilebilen veriler de kişisel veri sayılabilmektedir.

Veri sorumlusu ise, veri işleme faaliyetinin amacını ve yöntemi belirleyen ve bir nevi karar merci konumunda olan gerçek veya tüzel kişidir. Veri sorumlusunun kapsamı ilgili kişinin aksine tüzel kişileri de içermektedir. Dolayısıyla, gerçek kişilerin veri sorumlusu olmasının yanında tüzel kişiler de veri sorumlusu olabilmektedir.

Veri işleyen kavramına değinilecek olursa, kişisel verilerin işlenmesi faaliyetini bir gerçek veya tüzel kişiye devredilmesi halinde “veri işleyen” kavramı gündeme gelecektir. KVKK m. 12 f. 2 uyarınca da veri sorumlusu, kişisel verilerin veri işleyen tarafından işlenmesi hâlinde, gerekli tedbirlerin alınması hususunda veri işleyenle birlikte müştereken sorumludur. İlgili kanun hükmünde anlaşılacağı üzere, veri işleme faaliyetinin veri işleyen tarafından gerçekleştirilmesi halinde dahi veri sorumlusunun bu hususa ilişkin yükümlülükleri devam edecektir.

  1. Kişisel Verilerin İşlenmesi

Kişisel verilerin işlenmesinde hakim olan temel ilkeler Kanunun 4. maddesinde belirtilmiştir. İlgili madde uyarınca kişisel verilerin işlenmesinde; hukuka ve dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine uyulması zorunluluk arz etmektedir. Bu ilkelere aykırı bir şekilde gerçekleştirilen veri işleme faaliyeti, hukuka aykırı sayılmakla birlikte veri ihlali kapsamında değerlendirilecektir.

Veri işleme şartları ise KVKK m. 5 kapsamında ele alınmıştır. İlgili hükme göre; kişisel verilerin işlenmesi için açık rıza alınması şart koşulmuş olup, veri işleme faaliyetinin kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması durumlarından birinin mevcudiyeti halinde, kişisel verinin açık rıza alınmaksızın işlenmesi mümkün olacaktır. Görüldüğü üzere, kişisel verilerin işlenmesinde temel esas açık rızanın alınmasıdır. Kanunda öngörülen diğer haller ise, istisnai hal olarak uygulama alanı bulmaktadır.

Özel nitelikli kişisel verilerin işlenmesi hususu ise KVKK m. 6 kapsamındadır. Hükme göre, sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.

İKİNCİ BÖLÜM: SİGORTA HİZMETLERİ BAĞLAMINDA KİŞİSEL VERİLERİN KORUNMASI

  1. Veri Sorumlusu Olarak Sigorta Şirketinin Durumu

Sigorta şirketleri gerek genel nitelikli gerekse özel nitelikli olmak üzere birçok kişisel verilerin işlenmesinde rol oynamaktadır. Özellikle sağlık sigortası, hayat sigortası ve hastalık sigortası gibi sigorta türlerinde, ilgili sigorta türlerinin doğası gereği sağlık verilerinin işlenmesi söz konusudur. Ayrıca, bu tip sigorta sözleşmeleri kapsamında sigorta şirketleri tarafından risk değerlendirmeleri yapılmaktadır.

Öte yandan, 2015 yılında Sağlık Bakanlığı tarafından E-Nabız Projesi hayata geçirilmiştir. E-Nabız kapsamında, kişisel sağlık verileri elektronik ortamda kayıt altına alınmaya başlanmış olup, bu verilerin SGK ve özel sağlık sigortaları ile paylaşılması söz konusudur. Özel Sağlık Sigortaları Yönetmeliği m. 5 f. 3 kapsamında sigorta şirketlerinin, sigortalının yazılı onayını alarak sigortalıyı tedavi eden kişi ve kurumlardan, SGK’dan ve Sağlık Bakanlığı’ndan bilgi alma/belge isteme hakkına sahip olduğu ve ayrıca gerek görüldüğü hallerde hekim görüşünün de alınabileceği düzenlenmiştir. Bu tip uygulamalar ve düzenlemeler, sigorta şirketlerinin veri sorumlusu olarak nitelendirilebilmesini güçlendirmektedir.

Özel nitelikli kişisel verilerin işlenme şartlarını ele alan Kişisel Verilerin Korunması Kanunu m. 6 f. 3 hükmü yeterince açık olmamakla birlikte, ilgili hükmün geniş yorumlanması birtakım sakıncaları da beraberinde getirebilecektir. KVKK m. 6 f. 3 uyarınca; “… sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.”

5684 sayılı Sigortacılık Kanunu m. 31/A hükmü, sigorta şirketleri nezdindeki “sır saklama yükümlülüğü” hususunu düzenler. Dolayısıyla, yukarda değinilen KVKK hükmü kapsamındaki “sır saklama yükümlülüğü altında bulunan kişiler” ibaresinin sigorta şirketleri bakımından da geçerli olacağı yorumu getirilebilir. Böyle bir yorumun getirilmesi sonucu ise, kişisel veri hususunun en hassas noktası olan özel nitelikli kişisel verilerin, veri sahibinin açık rızası aranmaksızın sigorta şirketleri tarafından işlenmesinin önü hukuken açılmış olacaktır.

Sigorta şirketlerinin açık rıza almaksızın kişisel sağlık verilerini işlemesi, sigortalı bakımından olumsuz birtakım durumlara sebep olabilecektir. Sigorta şirketlerinin ilgili kişinin verilerine ulaşarak ticari kaygılarla yapacağı risk hesaplamaları, hasta mahremiyetinin ihlaline yol açabilir. Ayrıca, ulaşılan veriler sonucu kişinin sigortalanmaması durumu da söz konusu olabilir.

Dahası, KVKK’nın veri güvenliğine ilişkin yükümlülükleri düzenleyen 12. maddesi uyarınca veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri bu Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Ayrıca, bu yükümlülük görevden ayrılmalarından sonra da devam eder. Dolayısıyla, her ne kadar sigorta şirketlerinin sır saklama yükümlülüğü altında bulunan kişiler kapsamında sayılması birtakım riskleri beraberinde getirse dahi, KVKK m. 12 hükmü burada da uygulama alanı bulacak ve veri işleme faaliyetini gerçekleştiren yetkili personelin işten ayrılması durumunda dahi öğrendiği kişisel veriler üzerindeki sorumluluğu devam edecek, buna karşın veri sorumlusunun ilgili personel üzerindeki veri güvenliğine ilişkin yükümlülükleri de ayrıca veri sorumlusu nezdinde devam edecektir. Nitekim, bu husus kapsamında Kişisel Verileri Koruma Kurulunun 16.06.2020 tarih ve 2020/468 sayılı Kararı ile Kurumun internet sayfasında ilan edilen veri ihlal bildirimi örnek teşkil etmektedir. İlgili veri ihlal bildirimi, istifa ederek iş akdi sona erdiren bir çalışanın, iş ilişkisi sona erdikten sonra daha önce sorgu yapmak için yetkili olduğu yazılımdaki trafik ve kasko sigortası dosyalarına yetkisiz bir şekilde erişmesi sonucu meydana gelen veri ihlalini kapsamaktadır. İhlalden etkilenen kişisel verilerin, sigorta hasar dosyasında bulunan ad, soyad, adres, telefon no, vergi kimlik numarası, T.C. kimlik numarası, plaka, şase no, ruhsat, eski hasar bilgileri ve ehliyet bilgisi olduğu, ihlalden etkilenen özel nitelikli kişisel verilerin ise engellilik bilgisi, sağlık bilgisi ve alkol raporu olduğu belirtilmiş olup ihlalden etkilenen kişi gruplarının, sigortalılar, kaza mağdurları, eksperler, acente çalışanları, sürücüler, servis çalışanları, tedarikçi çalışanları olduğu tespit edilmiştir. Görüldüğü üzere; kişisel verilerin kapsamı oldukça geniş olup, ihlalden etkilenebilecek kişi gruplarına ilişkin de oldukça geniş bir yelpaze söz konusudur. Tedarikçi çalışanlarının dahi bu kapsamda ilgili kişi sıfatını haiz olabileceği gibi, şase numarası gibi doğrudan kişiyi tanımlayamayan bir veri de kişisel veri sayılabilmektedir.

Sigortacılık sektöründe, kişisel verilerin korunmasına yönelik sektörel hükümler mevcuttur fakat bazı hallerde KVKK ile uyumsuzluk söz konusu olabilmektedir. Kanaatimce, bu durumda ilgili düzenlemeler bir arada değerlendirilmelidir. Özellikle, işlenmesi ve aktarılması özel şartlara tabi tutulan ve kişisel veriler konusunda hassas bir yeri olan özel nitelikli kişisel veriler bakımından bu durum daha fazla dikkat ve özen gerektirmektedir.

Sektördeki örnek uygulamalardan yola çıkıldığında, kişisel verilerin münhasıran otomatik yollarla analiz edilmesi sonucunda kişinin aleyhine sonuç çıkması halinde ilgili kişinin buna itiraz etme hakkı bulunmaktadır. Bu hakkın, uygulamaların da ötesine geçilip, hukuki bir zemin oluşturulmak adına, sigorta sözleşmeleri ve sigorta şirketleri bakımından özel düzenlemelerle bağlayıcılık kazanması gerekmektedir.

  1. Sigorta Sektöründe Siber Güvenlik

Teknolojinin yansımaları birçok sektörde görüldüğü gibi, sigorta sektörünün işleyişinde de görülmüştür. Nitekim, neredeyse veri işleme faaliyeti niteliğindeki tüm işlemler, artık elektronik ortamda gerçekleştirilmektedir. Dolayısıyla, kişisel verilerin korunması hususunun gözetilmesi daha kapsamlı bir hal almış olup, işlenen verilerin güvenliği de olası bir zafiyete daha fazla açık hale gelmiştir. Dahası, sigortacılık sektöründe yüksek hacimde kişisel veriler işlenmektedir ve olası bir veri sızıntısı, manen ve madden ciddi zararlara yol açabilir.

Tüm bu durumların “siber risk” kavramı kapsamında ele alındığı söylenebilir. Siber risk kavramı çeşitli tanımlarla izah edilmekte olup, genel anlamda veri veya hizmetlerin gizliliğini, bütünlüğünü veya kullanılabilirliğini tehlikeye sokan ekipman, bilgi teknolojileri ve sanal gerçeklikten kaynaklanan bir “kayıp riski” olarak ifade edilebilir. Siber riskler birçok alanda ve birçok türde karşımıza çıkmakla birlikte, en yoğun olarak veri ihlalleri şeklinde karşımıza çıkmaktadır. 

Sigorta şirketleri, siber güvenliğin temini ve olası ihlallerin önlenmesi amacıyla risk yönetim süreçlerini iyi gözetmelidir. Risk yönetiminin başarılı olması halinde kuruma sağlayacağı katkılardan bahsetmek gerekirse; hedeflere ulaşılmasına yardımcı olmak, hukuki düzenlemeler ve normlara uyum, güven temini, planlı ilerlemenin sağlanması, verimin artırılması ve kayıpların minimize edilmesi olarak sayılabilir.

Siber Sigorta

Siber sigorta, bilgi iletişim teknolojilerinin arızalanması veya saldırıya uğraması sonucu oluşabilecek kayıpları teminat altına alan sigorta türüdür. 

Siber saldırıların artması sonucu sigorta şirketleri, risk bildirimleri içinde bilgisayar sistemlerinin kurumlara getireceği riski ölçen ve primlendiren bölümler oluşturdu ve bu sigorta sözleşmesi türünün ortaya çıkmasıyla birlikte kurumlar siber sigorta satın alarak bu kapsamdaki risklerini teminat altına alma imkanın sahip oldu.

Siber sigortanın kapsamı ve bu kapsama dahil edilen teminatlar, kurumun faaliyetinin türü ve yapılan işin niteliğine göre değişiklik gösterebilmektedir. Doğabilecek hasarları maddeler halinde ele almak gerekirse;

  • Kişisel veya kurumsal verinin ifşası sonucu düzenleyici ve denetleyici kurumların başlatabilecekleri hukuki eylemler sonrasında talep edilebilecek maddi yaptırımlar,
  • Sistem güvenliği ihlalinin ardından hukuken sorumlu olunan tarafların uğradığı zararlar,
  • Siber saldırı sonrası yaşanabilecek kesintilerin veya iş durmasının neden olabileceği maddi kayıplar, zorunlu giderler (halkla ilişkiler, kriz yönetim giderleri, kredi izleme hizmetleri, kişilere bildirim masrafları, IT araştırma giderleri, çağrı merkezi veya ek mesai masrafları vb.),
  • Bireylerin izni alınmadan o kişilere ait görüntü ve sesin her türlü mecrada yayınlanması sonrası olası soruşturma ve maddi cezalar,
  • Siber tehditlere ilişki fidye ödemeleri,
  • Verilerin zarar görmesi, bozulması, çalınması, kötüye kullanımı ve tahrip olması sonucu ortaya çıkan ve verilerin yerine konması, yeniden yüklenmesi veya yeniden yaratılmasına yönelik masraflar
  • Ödeme sistemlerinin öngördüğü standartların eksik veya hatalı kurgulanması sonrası olası soruşturmalar ve maddi cezalar
  • Oluşacak donanım arızaları sonrasında donanımların yenilenmesi
  • Sigortalının itibarının zarar görmesi halinde yapılacak çalışmaların masrafları ve bu nedenle oluşabilecek kar kayıpları olarak ifade edilebilir.
  1. Sigorta Suistimalleri

Sigorta suistimali, haksız kazanç elde etmek amacıyla, sigorta şirketinin risk ve tazminat değerlendirmesini değiştirecek önemli bir gerçeğin gizlenmesi ya da gerçek dışı bir beyan yoluyla sigortacının sigortalı tarafından kasıtlı olarak aldatılmasıdır. 

Her ne kadar sigorta şirketlerinin kişisel veri işlemesi hususunda sakıncalar olduğuna değinilmiş olsa da sigorta şirketleri tarafından da bu durumun irdelenmesi gerektiği kanaatindeyim. Nitekim, sigorta sözleşmelerinin kurulması esnasında yapılan araştırmalar ve risk değerlendirmeleri, sigorta şirketleri için sigorta suistimallerine karşı bir savunma mekanizması görevi gördüğü söylenebilir.

6102 Sayılı Türk Ticaret Kanunu m. 1447 uyarınca sigorta ettiren, rizikonun gerçekleştiği veya diğer ilgili yerlerde sigortacının inceleme yapmasına izin vermekle yükümlüdür. İlgili kanun hükmü kapsamında, sigortacının sigorta suiistimaline karşı mücadelesinde sigortalının kişisel verilerini inceleyebilmesinin önü açılmış bulunmaktadır.

SONUÇ

Kişisel verilerin korunması meselesi, sigorta sektörünü birçok farklı yönüyle etkilemektedir. Nitekim, sigortacılık faaliyetleri bağlamında genel kişisel verilerin işlenmesinin yanı sıra, Kanunda sayılan özel nitelikli kişisel verilerin de büyük bir çoğunluğu işlenmektedir. Bu durumda hem kişisel verilerin işlenmesi hususunda hem de işlenen verilerin korunması ve mahremiyetinin temini bakımından sigorta şirketlerinin payına büyük bir sorumluluğun düştüğü söylenebilir.

Yeni bir sigorta türü sayılan siber sigorta hala gelişimini sürdürmektedir. Siber güvenlik faaliyetlerinin kapsamı gelişmeye devam ettikçe, siber sigorta sözleşmeleri kapsamında teminat altına alınan değerler ve olası kayıplar da çeşitlilik kazanacaktır. Öte yandan, siber sigortanın kapsamı diğer sigorta türlerine göre kendine has olduğundan, düzenlenecek poliçelerde de genel nitelikli klozlardan kaçınılıp, bu sigorta türüne özel poliçe kapsamı geliştirilmelidir.

Kişisel verilerin korunması hususu ve sigorta suistimali arasında denge kurulması şarttır. Hem sigortalının hem de sigortacının menfaati, taraflar nezdinde önem arz etmektedir. Dolayısıyla, her iki tarafın da menfaati gözetilerek, bir başka deyişle menfaat dengesi sağlanarak sigorta faaliyetlerinin uygulama alanı bulması yerinde olacaktır. Bu denge hukuki düzenlemelerle kurulabileceği gibi, farkındalık eğitimleriyle de sağlanabilmesi mümkündür.

 

Yayınlar ve Haberler

YÖNETİCİ SORUMLULUK SİGORTASI (D&O SİGORTASI)

8 Ağustos 2022
Makalenin döküman halini incelemek için tıklayın. 21. yüzyılda şirket türleri içinde önemli paya sahip olan sermaye şirketleri vasıtasıyla büyük yatırımlara imza atılmakta olup bu yatırımları ve dolayısıyla sermayeleri şirketlerin yöneticileri ve müdürleri kontrol etmektedir. Yönetici ve müdürler bu kontrol sürecinde bazen ihmallerle bazen de kasıtlı olarak şirkete, pay sahiplerine ve şirket alacaklılarının zarara uğramalarına neden olabilmektedir. Bu kapsamdaki zararların teminat altına alınabilmesi, yönetici ve müdürlerin görevlerini yerine getirirken rahatlatılmalarının sağlanabilmesi için bir mekanizmaya ihtiyaç duyulmuştur ve yönetici sorumluluk sigortası modeli oluşturulmuştur. D&O sigortası, sigorta sektöründe prestijli bir teminat olarak kabul edilmesine karşın, toplam prim portföyü içerisinde önemli bir hacme sahip değildir. Bu tür sigortaya ilk başvuran şirketlerin, dünyadaki uygulamaya paralel şekilde yabancı yöneticilere sahip olan şirketler ile başta borsada işlem gören şirketler olmak üzere bankacılık ve telekomünikasyon sektöründe yer alan şirketler olduğu görülmektedir. D&O sigortasına olan talep, beklentilerin bir hayli üzerinde olup, giderek artan bir seyir izlemektedir. Yerel sigortacılar için sorun, kendi ülkelerindeki taleplere yönelik ani bir artış karşısında yeterince büyük bir portföy oluşturmanın oldukça zor olması ve aynı zamanda şirketin gerekli ve doğru teminat kapsamını ve uygun prim belirlemelerinin güçlük arz etmesidir. D&O sigortasının Türkiye’deki uygulamasına bakıldığında, Türk sigorta sektörü için yeni bir uygulama alanı olduğundan, zararın gerçekleştiği durumlarda uyuşmazlıkların doğması kuvvetle muhtemel olacaktır. Türkiye’de öncelikle uluslararası şirketlerin yöneticilerinin ve ulusal şirketlerdeki yabancı uyruklu yöneticilerin talepleri doğrultusunda D&O sigortası, sigorta şirketlerinin gündemine dahil olmuştur. Bu çalışmanın birinci bölümünde, D&O sigortasının tanımı yapılacak, konusuna ve hukuki niteliğine değinilecek, ayrıca türlerinden bahsedilecek ve yönetici sorumluluğunun esaslarına değinilecektir. Çalışmanın ikinci bölümünde ise, taraflar ve tarafların bu sigorta türü kapsamında özellik arz eden birtakım yükümlülükleri incelenecektir. Üçüncü ve son bölümde ise, D&O sigortasının sona erme sebeplerine yer verilecektir. BİRİNCİ BÖLÜM: KONUSU VE HUKUKİ NİTELİĞİ TANIMI “Yönetici sorumluluk sigortası (D&O Sigortası), bir tüzel kişinin (bu şirket kooperatif, vakıf, dernek veya iktisadi şekilde işletilen kamu tüzel kişisi olabilir) ama ağırlıklı olarak bir şirketin veya bağlı işletmelerinin organ üyelerinin, müdürlerinin, yönetim ve denetim kadrosunda çalışanlarının görevlerini ifa ederken gerçekleştirdikleri görev ihlallerinden kaynaklanan saf mal varlığı zararlarına ilişkin olarak doğan iç ilişki ve dış ilişki sorumluluğu sebebiyle şirket, ortaklar, şirket alacaklıları veya bunların dışındaki üçüncü kişiler tarafından şirketin (ya da bağlı işletmelerinin) organ üyelerine, müdürlere ve diğer yönetim ve denetim kademesinde çalışanlarına yöneltilecek haksız tazminat taleplerine karşı savunma teminatını ve haklı tazminat taleplerini ödeme teminatını içeren bir isteğe bağlı sorumluluk sigortasıdır.” D&O sigortasının tanımına ilişkin başka bir görüşe göre ise, “Anonim şirket yönetim kurulu üyelerinin mesleki sorumluluk sigortası, yönetim kurulu üyeliğinin bir meslek haline geldiğini göz önüne getirirsek, üyenin sahip olduğu mesleki konumunun gerektirdiği sorumluluğu güvence altına alan sigortadır. Yönetim kurulu üyesinin mesleğini yaparken (yönetim kurulu üyeliğinin gerektirdiği görevlerini yaparken veya yetkileri kullanırken)  doğan zararlar nedeniyle talep edilen tazminatlar için sigorta himayesi sunan bir sorumluluk sigortasıdır.” D&O sigortasının kapsamı ve tarafları dikkate alındığında, yönetim kurulu üyelerini kapsayan D&O sigortasının bir mesleki sorumluluk sigortası olduğunu söylemek oldukça güçtür. Zira, yönetim kurulu bir organ olup, yönetim kurulu üyeliği ise mesleki faaliyet niteliğinde sayılamamaktadır. Yönetim kurulu üyelerinin yürüttüğü mesleki faaliyetler, yönetim kurulu üyeliğinden bağımsız ve dolayısıyla yönetici sorumluluk sigortası kapsamı dışında kalan faaliyetlerdir. Tüm bunların sonucunda, yönetici sorumluluk sigortasının bir mesleki sorumluluk sigortası niteliğinde olmadığını belirtmek gerekmektedir. TÜRLERİ Taraf A himayesi Taraf A himayesi tipi D&O sigortası poliçesinde, pay sahiplerinin ve üçüncü kişilerin yöneticilere karşı açacağı davaların oluşturduğu riske karşı, bireysel olarak organların üyeleri için sağlanan koruma söz konusudur. Bu teminat sayesinde, yöneticinin D&O sigortası vasıtasıyla şahsi sorumluluktan korunması söz konusudur. Taraf A himayesi sigorta poliçesi türünde yer alan bu sigorta teminatı türü, yöneticinin kişisel ve müteselsil sorumluluğunu güvence kapsamına dahil etmektedir. Ayrıca bu teminat, yöneticinin haksız fiil ve benzeri fiillerden doğan kanuni sorumluluk hükümlerinin ihlali sonucu doğan zararları, şirket faaliyetlerinin yürütülmesi sırasında gösterilen kusurlu davranışlardan doğan zararları ve sözleşmeden doğan sigortalanmış tazminat taleplerini de kapsamaktadır. En çok bilinen D&O sigortası türüdür . Taraf B himayesi Taraf B himayesi tipi D&O sigortası; sigorta ettiren şirketin, yükümlülüğünü ihlal eden yöneticilere karşı ileri sürülen taleplere yönelik yapmış olduğu tazminat ödemeleri için bir güvence niteliğinde olan D&O sigortası türüdür. Bu koruma kapsamında bireysel olarak yönetici değil, şirketin kendisi sigortalı olarak değerlendirilmekte ve şirket yöneticisine karşı ileri sürülen talepler için yüklenilmiş olan tazminata sigorta güvencesi tanınmaktadır. Anglosakson hukukunda çokça rastlanılan bir poliçe tipi olup, ABD hukukunda yöneticilere yöneltilen savunma masraflarının finansmanına yönelik kullanılan kayda değer bir uygulama alanına sahiptir. Taraf C himayesi Taraf C himayesi tipi D&O sigortası hem şirketin hem de yöneticilerin sorumluluğunu sigorta eden bir sigorta türüdür. Burada; şirketin kendisini, şirket tüzel kişiliğinin taraf olduğu hissedarlar tarafından açılan davalara yönelik riskten koruması söz konusudur. Yöneticinin şahsi olarak davada adının geçip geçmemesine bağlı olmaksızın şirket tüzel kişiliğinin sorumluluğuna ilişkin doğrudan koruma sağlamaktadır. Uygulamada genellikle hisse alım satımı, hisse opsiyonları, yasal düzenlemeler veya finansal bildirimler gibi eylemleri içeren menkul kıymetler ihlallerini güvence altına aldığı görülmektedir. HUKUKİ NİTELİĞİ Yönetici sorumluluk sigortası, sigortacının ediminin niteliğine göre zarar sigortaları ve rizikonun konusuna göre malvarlığı sigortaları grubundadır. Zarar sigortası niteliğinde olduğundan, zenginleşme yasağı prensibinin uygulama alanına girer. Zenginleşme yasağının bir sonucu olarak, sigortacıya kanuni halefiyet hakkı tanınmıştır. Bu sayede, TTK m. 553 ve 557 hükümleri uyarınca yönetim kurulu üyelerinin özellikle müteselsil sorumlulukları halinde, zarar görenin müteselsil sorumlulardan birinden veya onun sigortacısından zararın tamamını alması halinde, sigortacının sigortalısına halef olarak fazla ödediği miktar için diğer sorumlulara rücu etmesi mümkün kılınmıştır (TTK m. 1472). TTK BAĞLAMINDA YÖNETİCİ SORUMLULUĞU TTK m. 361 uyarınca, “Yönetim kurulu üyelerinin, görevlerini yaparken kusurlarıyla şirkete verebilecekleri zarar, şirket sermayesinin yüzde yirmi beşini aşan bir bedelle sigorta ettirilmiş̧ ve bu suretle şirket teminat altına alınmışsa, bu husus halka açık şirketlerde Sermaye Piyasası Kurulunun ve ayrıca pay senetleri borsada işlem görüyorsa borsanın bülteninde duyurulur ve kurumsal yönetim ilkelerine uygunluk değerlendirmesinde dikkate alınır.” İlgili hüküm D&O sigortasından bahsetmekte olup, bu tür sigorta sözleşmesinin tanımını ve kapsamını içermediğinden D&O sigortasının yasal bağlamda kapsamlı bir düzenlemeye sahip olduğu söylenemez. Hükümden çıkarılan bir diğer sonuç, bu sigortanın ihtiyari olduğu ve şirket zararlarını teminat altına aldığıdır. Ancak, taraf A himayesi türünde belirtildiği üzere, D&O sigortasının yönetici menfaatini teminat altına aldığı poliçe türünün olduğunu belirtmek isabetli olacaktır. Tüm bu sebeplerden dolayı, TTK m. 361 hükmü, D&O sigortası gibi kapsamlı ve önemli menfaatlerin güvence altına alındığı bir sigorta türü için yeterli nitelikte bir kanuni düzenleme niteliğinde sayılamamaktadır. RİZİKONUN GERÇEKLEŞTİĞİ AN (SİGORTA OLAYI) TTK m. 1473 uyarınca, sorumluluk sigortalarında sigortacının sorumluluğu sözleşme süresi içerisinde sigortalının sorumluluğunu gerektirecek olaylara dayandırılmaktadır. Dolayısıyla, zararın sözleşme süresinden daha sonra doğması veya talebin sözleşme süresi bitiminde ileri sürülmesi burada bir önem arz etmemektedir. İlgili husus, talebin ileri sürülmesi ilkesi ile açıklanabilir. Talebin ileri sürülmesi ilkesi gereği, rizikonun gerçekleştiği an yani sigortayı doğuran olay, sorumluluk talebinin ilk kez ileri sürüldüğü anda geçerli olan poliçeye dayandırılır. D&O sigortalarında talebin yazılı bir şekilde ileri sürülmesi hususu, manipülasyonları önlemek amacıyla genel olarak sigorta şartlarında belirtilen esaslar arasında yer almaktadır. Hukukumuz açısından değinilmesi gereken bir nokta olarak, TTK m. 1475 uyarınca sorumluluk sigortalarında sigortalının, tazminat taleplerini derhal sigortacıya bildirmekle yükümlülüğü söz konusudur. İKİNCİ BÖLÜM: TARAFLARI SİGORTA ETTİREN Sigorta ettiren, sigorta sözleşmesinin tarafı olan gerçek veya tüzel kişidir. Dolayısıyla, sigorta sözleşmesinden doğan borç ve yükümlülüklerin altına giren taraf olup, poliçeyi talep hakkı da sigorta ettirenin kendisine aittir. Sermaye şirketlerinde şirket tüzel kişiliğinin ve yöneticilerin sorumluluklarının birbirinden ayrı olarak ele alınması söz konusu olduğundan, genellikle sermaye şirket türlerinden en çok anonim ve limited şirketler tarafından D&O sigortasına başvurulmaktadır . Bunun dışında, hisseli komandit şirket ve kooperatifler bakımından da anonim şirket hükümlerinin uygulandığı hallerde yönetici sorumluluk sigortası düzenlenmesi mümkündür. Bağlı şirketler ise TTK m. 195 hükmünde tanımlanmış olup, hakim şirket ile akdedilen yönetici sorumluluk sigortası, bağlı şirket yöneticilerini de kapsamına alabilir. Bunun dışında, bağlı şirket bakımından ayrıca bir yönetici sorumluluk sigortası düzenlenmesi için de bir engel yoktur. SİGORTALI Sigortalı, zarar sigortaları kapsamında menfaati teminat altına alının kişiyi ifade etmektedir. Yönetici sorumluluk sigortası genellikle başkası hesabına sigorta niteliğinde olduğundan, sigorta ettiren ve sigortalı sıfatları da farklı kişilere aittir. Bu sigorta poliçesi kapsamında sigortalı taraf, öncelikle hakim şirketin ve varsa bağlı şirket/şirketlerin organ üyeleri olarak karşımıza çıkmaktadır. Anonim şirketlerde genellikle yönetim kurulu üyeleri, icra kurulu üyeleri ve fiili yöneticiler sigortalı sıfatını haiz olabilmektedir. Bu bağlamda, TTK m. 553 hükmü, yönetim kurulu üyelerinin, yöneticilerin ve tasfiye memurlarının sorumluluklarını düzenlemektedir . ÖZELLİK ARZ EDEN YÜKÜMLÜLÜKLER Sigorta Ettirenin Sözleşme Öncesi Beyan Yükümlülüğü TTK m. 1435 uyarınca; sigorta ettiren sözleşmenin yapılması sırasında bildiği veya bilmesi gereken tüm önemli hususları sigortacıya bildirmekle yükümlüdür. Sigortacıya bildirilmeyen, eksik veya yanlış̧ bildirilen hususlar, sözleşmenin yapılmamasını veya değişik şartlarda yapılmasını gerektirecek nitelikte ise, önemli kabul edilir. Sigortacı tarafından yazılı veya sözlü olarak sorulan hususlar, aksi ispat edilinceye kadar önemli sayılır. İlgili hüküm, sözleşme öncesi görüşmelerde ve sözleşmenin akdedilmesi esnasında sigorta ettirene, sözleşmenin konusu kapsamına ilişkin önemli hususları sigortacıya bildirme yükümlülüğünü düzenlemektedir. Hükmün lafzından yola çıkıldığında, sözleşme öncesi beyan yükümlülüğünün doğması, ilgili hususun rizikoyu etkileyecek nitelikte önemli olması gerekmektedir. Konu kapsamında değinilmesi gereken bir başka hüküm ise TTK m. 1436’dır. İlgili hüküm uyarınca; sigortacı sigorta ettirene, cevaplaması için sorular içeren bir liste vermişse, sunulan listede yer alan sorular dışında kalan hususlara ilişkin olarak sigorta ettirene hiçbir sorumluluk yüklenemez; meğerki, sigorta ettiren önemli bir hususu kötü niyetle saklamış olsun. Sigortacı, liste dışında öğrenmek istediği hususlar varsa bunlar hakkında da soru sorabilir. Söz konusu soruların da yazılı ve açık olması gerekir. Sigorta ettiren bu soruları cevaplamakla yükümlüdür. Bu hükme göre de sigortacının sigorta ettirene soru listesi vermesi halinde, listedeki soruların haricinde sigorta ettirene sorumluluk yüklenemeyecektir. Ancak bu durumda dahi, sigorta ettirenin önemli sayılabilecek bir hususu kötü niyetle saklamış olması halinde sorumluluğu devam edecektir. Yükümlülüğün ihlali halinde; TTK m. 1439 uyarınca, sigortacının TTK m. 1440’da belirtilen 15 günlük süre içinde cayma hakkının kullanılması ve prim farkının istenmesi mümkündür. TTK m. 1440’da belirtilen 15 günlük süre, caymanın sigortacının bildirim yükümlülüğünün ihlal edilmiş olduğunu öğrendiği tarihten itibaren başlamaktadır. Rizikoyu Ağırlaştırmama Yükümlülüğü TTK m. 1444/1 uyarınca, sigorta ettiren, sözleşmenin yapılmasından sonra, sigortacının izni olmadan rizikoyu veya mevcut durumu ağırlaştırarak tazminat tutarının artmasını etkileyici davranış ve işlemlerde bulunamaz. Rizikoyu ağırlaştırmama yükümlülüğünün ihlali sonucunda, sigorta ettirenin rizikonun ağırlaşmasını beyan yükümlülüğü doğmaktadır. TTK m. 1444/2 hükmü uyarınca, rizikonun ağırlaşması durumunda, sigorta ettirenin bu hususu öğrendiği tarihten itibaren en geç on gün içerisinde sigortacıya bildirmesi gerekmektedir. TTK m. 1445/1 hükmünde belirtildiği üzere, sigortacı tarafından rizikonun ağırlaşmasının öğrenildiği tarihten itibaren bir ay içinde sözleşmenin feshedilmesi veya prim farkının istenmesi mümkündür. ÜÇÜNCÜ BÖLÜM: SONA ERME SEBEPLERİ POLİÇE SÜRESİNİN BİTMESİ Sigorta sözleşmesinin poliçeye yazılması zorunlu olup, sürenin dolmasıyla birlikte sigorta sözleşmesi de kendiliğinden sona erer. Ancak sözleşmede, sözleşmenin sona ermesi için fesih bildirimi şartı öngörülmüşse, bu bildirim yapılmadığı takdirde sözleşme sona ermeyip, 1 yıl süreyle uzatılmış sayılacaktır. ANLAŞMALI SONA ERME TTK m. 1419 uyarınca, sigorta sözleşmesinin süresi dolmamış olsa dahi, sözleşme serbestisinden dolayı tarafların karşılık anlaşmasıyla sona erdirilebilir. Bu durumda, sonraki dönemlere ait primlerin sigorta ettirene geri verilmesi gerekmektedir. CAYMA HAKKI Kanundan veya sözleşmeden doğabilen bir hak olan cayma hakkı,  taraflardan birinin tek taraflı irade beyanı ile sözleşmeyi olağan süresinden önce geriye etkili olarak sona erdirme hakkı veren kurucu nitelikte bir haktır. Yönetici sorumluluk sigortası bakımından cayma hakkı hususu, TTK m. 1434/2 ve TTK m. 1439 hükümleri kapsamında iki halde gündeme gelir. TTK m. 1434/2 hükmü uyarınca, ilk taksiti veya tamamı bir defada ödenmesi gereken prim, zamanında ödenmemişse, sigortacı, ödeme yapılmadığı sürece, sözleşmeden üç ay içinde cayabilir. Bu süre, vadeden başlar. Prim alacağının, muacceliyet gününden itibaren üç ay içinde dava veya takip yoluyla istenmemiş olması halinde, sözleşmeden cayılmış olunur. TTK m. 1439 uyarınca ise, sigortacı için önemli olan bir husus bildirilmemiş̧ veya yanlış̧ bildirilmiş̧ olduğu takdirde, sigortacı 1440’ıncı maddede belirtilen süre içinde sözleşmeden cayabilir veya prim farkı isteyebilir. İstenilen prim farkının on gün içinde kabul edilmemesi halinde, sözleşmeden cayılmış̧ kabul olunur. Önemli olan bir hususun sigorta ettirenin kusuru sonucu öğrenilememiş olması veya sigorta ettiren tarafından önemli sayılmaması durumu değiştirmez. İFLAS Sigortacı bakımından; TTK m. 1418 hükmü uyarınca, sigortacının iflası halinde sigorta sözleşmesi sona ereceği öngörülmüştür. Sigorta ettiren bakımından ise; TTK m. 1417/1 hükmü uyarınca, sigorta ettiren, aciz haline düşen veya hakkında yapılan takip semeresiz kalan sigortacıdan, taahhüdünün yerine getirileceğine ilişkin teminat isteyebilir. Bu istemden itibaren bir hafta içinde teminat verilmemiş ise sigorta ettiren sözleşmeyi feshedebilir. İlgili hükmün devamında, primin ödenmesinden önce acze düşen, iflas eden veya hakkında yapılan takip semeresiz kalan sigorta ettirene, sigortacının istemiyle, aynı şartlarla, birinci fıkra hükmünün uygulanacağı belirtilmiştir. KONTROL DEĞİŞİKLİĞİ Ortaklıklar hukukunda hakimiyetin niteliği bakımından mevcut görüşlerden biri olan kontrol görüşü, hakimiyetin varlığının kabulü hususunda, hakimiyetin bağlı ortaklık üzerinde fiilen icra edilmesi koşulunu öngörmekte ve icra edebilme imkanını yeterli bulmaktadır. Bu bağlamda D&O sigortası, şirketteki kontrol değişikliklerinden dolayı da sona erebilir.  Sigorta sözleşmesinin, “kontrol değişikliği klozu” içermediği ihtimalde rizikonun ağırlaşması durumu gündeme gelecek olup, rizikonun ağırlaşmasının hukuki sonuçları kapsamında değerlendirilecektir. Kontrol değişikliği klozunun sözleşmede öngörülmüş olması halinde ise, sözleşmenin sona ermesi söz konusu olacaktır. Bu husus bağlamında TTK’da bir düzenleme bulunmayıp, kontrol değişikliği klozunun rizikonun ağırlaşmasının istisnası niteliğinde olması halinde, sigortalı aleyhine sayılarak geçersiz hale gelebilir. Ancak bu klozun, sigortalının aleyhine olmayacak nitelikte düzenlenmesi halinde, Türk hukuku bakımından da sözleşmenin sona ermesinin sonuçlarının doğması mümkün olabilecektir. SONUÇ ABD’de temelleri atılan, daha sonra Avrupa’da talep gören ve şu anda tüm dünyaya yayılmakta olan yönetici sorumluluk sigortası, diğer sigorta türlerinden farklı olarak koruyucu niteliğinin ötesinde, şirketlerin risk yönetimlerinin önemli bir parçasını oluşturmaktadır. Bundan dolayı gerek dünyada gerekse Türkiye’deki sigorta piyasasında giderek artan bir yere sahip olacaktır. Bu çalışma kapsamında D&O sigortasının tanımı ve hukuki niteliği gibi genel esaslara değinilerek, D&O sigortasının zamanla gösterdiği gelişimin sonucunda ortaya çıkan ve ilgili sigorta türü kapsamındaki poliçelerde rastlanılan türlerinden bahsedilmiştir. Dahası, D&O sigortasının taraflarına ve bu sigorta türünün bakımından özellik arz eden yükümlülükler incelenmiştir. Çalışmanın son bölümünde ise, D&O sigortasının sona erme sebeplerinden bahsedilmiştir. Türk hukuku bakımından bir değerlendirme yapılacak olursa, D&O sigortasını kapsamına alan düzenlemeye TTK m. 361’de yer verilmiştir. İlgili hükme çalışma dahilinde detaylıca yer verilmiş olup, burada tekrar edilmeyecektir. TTK’da yer alan bu düzenleme, yönetici sorumluluk sigortası bakımından yeterli kapsamı içermemekte olup, bu sigorta türüne ilişkin genel şartları da içeren bir düzenlemenin getirilmesi gerektiği açıktır. Zira, D&O sigortasının önemi günden güne giderek artmakta olup, uygulamada sahip olduğu hacim de buna paralel olarak büyüme göstermektedir. Sonuç olarak, konuya ilişkin mevcut hükmün, olası ihtilafları çözüme kavuşturma konusunda yetersiz kalacağı açık olup, bu sigorta türünün hukuki zeminin yetersizliği de eleştiri konusu olmaya devam edecektir.  

KİŞİSEL VERİLERİN KORUNMASI ve E-TİCARET HUKUKUNA YANSIMALARI

8 Ağustos 2022
Makalenin döküman halini incelemek için tıklayın. KİŞİSEL VERİLERİN KORUNMASI ve E-TİCARET HUKUKUNA YANSIMALARI Dijitalleşmenin insan hayatına olan birçok etkisiyle birlikte “veri” kavramı da büyük önem arz etmeye başlamıştır. Nitekim endüstri 4.0 olarak adlandırılan yapay zeka çağının bir getirisi olarak, “akıllı” cihazların daimi olarak veri işledikleri söylenebilir. Günümüzde birçok insanın akıllı cep telefonlarına sahip olduğu göz önünde bulundurulduğunda, mahremiyet kavramının korunması hususu daha fazla önem arz etmeye başlamıştır. Öte yandan, toplanan verilerin aynı zamanda belli yerlere aktarılması da veri işleme kapsamındadır. Aktarılan veriler, zamanla ekonomik değer kazanmış ve verileri elinde bulunduran şirketler için sermaye aracına dönüşmüştür. Öte yandan veri güvenliğinin mevcudiyeti, siber güvenliğin sağlanması ile mümkündür. Bu sayede veri mahremiyeti ihlallerine karşı tehditlerin bertaraf edilmesi ve hak ihlallerinin önlenmesi büyük oranda mümkün olabilecektir. Ayrıca siber saldırılar yalnızca bireysel değil aynı zamanda toplumsal ölçekte de tehdit niteliğindedir. Bilindiği üzere günümüzde milli güvenliğe tehdit oluşturabilecek siber saldırılar da düzenlenmektedir. İşlenen verilerin kişisel veri niteliğine haiz olması durumunda veri işleme ve aktarımı hususlarının ekonomik boyutları, hukuksal düzlemde de tartışmalara yol açmıştır. Zira, verinin sermaye aracına dönüşmesi, veri sahibinin temel hak ve özgürlüklerine müdahale niteliğindedir. Nitekim, Avrupa İnsan Hakları Sözleşmesi (AİHS) m. 8 kapsamında ele alınan temel hak şu şekildedir: “Herkes özel ve aile hayatına, konutuna ve yazışmasına saygı gösterilmesi hakkına sahiptir.” Bu kapsamdaki temel hak ve özgürlüklere karşı olası müdahaleler karşısında veri güvenliğinin sağlanması ve genel anlamda kişisel verilerin korunması amacıyla ulusal bir yasal düzenlemenin getirilmesi ihtiyacı doğmuş olup, belli çalışmalar sonucunda 6698 sayılı Kişisel Verilerin Korunması Kanunu 2016 yılında yürürlüğe girmiştir. Mobil cihazların birer kişisel asistan haline geldiği bu çağda, insanların günlük hayata dair alışkanlıkları da değişmiştir. Dolayısıyla akıllı cihazların kullanımın yaygınlaşması ve birçok ihtiyacın internet üzerinden karşılanması eğiliminin ekonomik boyutunun olması da kaçınılmaz hale gelmiştir. Çok açıktır ki, e-ticaretin zeminini oluşturan en önemli etken de değişen bu alışkanlıklardır. En basit örneğiyle, internet ortamında yapılan alışveriş esnasında oluşturulan hesapların kişisel veri barındırmasının yanı sıra, ödeme esnasında girilen ödeme aracı bilgileri de birer kişisel veri ihtiva etmektedir. Tüm bunların sonucu olarak, e-ticaret ile kişisel verilerin korunması hususunun birçok noktada kesiştiği ve iç içe olduğu söylenebilir. Öte yandan, 6698 sayılı Kişisel Verilerin Korunması Kanunu yürürlüğe girmeden önce yürürlükte olan 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun, elektronik ticaret işlemlerinde veri işlenmesi ve aktarılmasına yönelik kuralları içermektedir. Bu çalışmanın temelinde kişisel verilerin korunmasından bahsedilecek olup, kişisel verilerin korunması hususunun elektronik ticaret bağlamında arz ettiği önem ve bu alandaki yansımaları ele alınacaktır. BİRİNCİ BÖLÜM: KİŞİSEL VERİLERİN KORUNMASI KİŞİSEL VERİLERİN KORUNMASI TARİHSEL SÜREÇ 20. yüzyılda veri işleme faaliyetlerinin artmasıyla birlikte mahremiyetin korunması ihtiyacının doğduğu hususuna yukarıda değinilmişti. Bunun sonucunda da veri mahremiyetinin ihlallerinin önlenmesi ve olası ihlaller sonucu uygulanacak yaptırımların belirlenmesi amacıyla kişisel verilerin korunması hususunun yasal düzenlemelerle bağlayıcı hale getirilmesine yönelik çeşitli çalışmalar başlatılmıştır. Ayrıca, teknolojik gelişmelerin hayatımızın büyük çoğunluğunda yer almasından dolayı “veri” kavramı da oldukça önemli bir unsur haline gelmiştir. Nitekim, yalnızca akıllı telefon kullanımı dahi gerek görsel gerek işitsel birçok kaydın veri olarak işlenebilmesine zemin hazırlamaktadır. Big data uygulamaları bu verilerin daha süratli ve daha işlevsel kullanılabilmesine olanak sağlamaktadır. Bu imkanların bir dezavantajı olarak ise, bu hacimli verilerin depolanması, kişisel verilerin korunması bakımından zafiyet teşkil edebilmektedir. Başka bir deyişle, veri tek başına “belirlenebilir” nitelikte olmayabilir fakat verilerin bir araya gelmesiyle birlikte kişi “belirlenebilir” hale gelebilmekte ve bu durumda big data bünyesinde kişisel verinin varlığı mümkün olabilmektedir.  Bu bağlamda Avrupa’daki ilk hukuki düzenleme 1970’te yürürlüğe giren Almanya’nın Hessen Eyaleti’ne ait Kişisel Verilerin Korunması Kanunu’dur. İlgili düzenleme, elektronik ortamda işlenen verilerin korunmasına dair hükümleri içermektedir. Almanya’daki ilk federal düzenleme ise 1977 tarihli Federal Veri Koruma Kanunu’dur. Fransa’da bu kapsamda 1978 tarihinde Veri İşleme ve Hürriyetler Kanunu kabul edilmiştir. Avusturya’da ise 1980 tarihinde yürürlüğe giren Federal Kişisel Verilerin Koruması Kanunu mevcuttur. Öte yandan İsviçre’de bu husus, Federal Veri Koruma Kanunu ile birlikte 1992 tarihinde yasal zemine kavuşmuştur. İngiltere’de ise 1998 tarihli Veri Koruma Kanunu mevcuttur. Uluslararası nitelikteki düzenlemelere bakılması gerekirse, Türkiye’nin de üye ülkeler arasında yer aldığı İktisadi İşbirliği ve Kalkınma Teşkilatı (OECD) tarafından 1980 tarihinde kabul edilen “Kişisel Alanın ve Sınır Aşan Kişisel Bilgi Trafiğinin Korunmasına İlişkin Rehber İlkeler” düzenlemesinden bahsedilebilir. Avrupa Birliği düzeyinde ise, oldukça önem arz eden bir düzenleme olan Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi (108 No’lu Sözleşme) 1981 yılında imzaya açılmış olup, Türkiye, 28.01.1981 yılında bu sözleşmeyi imzalamış ve sözleşmenin uygun bulunduğuna dair kanun 2016 yılında Resmi Gazete’de yayımlanmıştır. Akabinde ise Avrupa Birliği bünyesinde çeşitli düzenlemeler yapılmış olmakla birlikte, son olarak 2018 yılında Genel Veri Koruma Tüzüğü (GDPR) yürürlüğe girmiştir. Türk Hukuku’nda yaşanan gelişmelerin ilk örneği olarak Anayasa’nın 20. maddesine eklenen 3. fıkra gösterilebilir. AY m. 20/3’e göre “ Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.” Getirilen bu düzenleme ile birlikte kişisel verilerin korunması temel hak niteliği kazanmıştır. İlgili hükmün lafzından da anlaşılacağı üzere, bu korumanın sağlanabilmesine ilişkin hükümler ancak kanunla düzenlenebilir. Bu hükmün gereği olarak, 07.04.2016 tarihinde 6698 sayılı Kişisel Verilerin Korunması Kanunu yürürlüğe girmiştir. 6698 sayılı kanun yürürlüğe girmeden önce yasal düzenleme olarak yalnızca TCK m. 135-140 hükümleri kapsamındaki cezai yaptırımlar mevcuttu. KİŞİSEL VERİ KAVRAMI KVKK’daki tanımıyla kişisel veri, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir”. Kanunda yer alan tanımdan da anlaşılacağı üzere, hukukumuzda kişisel verisi koruma altına alınan kişi yalnızca gerçek kişilerdir. Dolayısıyla, tüzel kişiler bu kapsamın dışındadır. Buna rağmen, tüzel kişiliğe ait verinin, gerçek bir kişiye ait veri veya verilerle ilintili olması halinde, bu veriler de kişisel veri sayılmaktadır. Kişisel verinin, ilgili gerçek kişiyle ilgili doğrudan bir bilgi içermesi gerekmez. Bir başka anlatımla, bir kişinin adı ve soyadı kişisel verisi olup, kişisel veri kavramının kapsamı bununla sınırlı değildir. Kişiyi doğrudan tanımlayan unsurların kişisel veri niteliğinde olmasının yanı sıra, doğrudan olmamakla birlikte kişiyi belirlenebilir kılan veriler de kişisel veri kapsamındadır. Örneğin; MOBESE kayıtları, motorlu taşıt plakası, sosyal güvenlik numarası, parmak izi, pasaport numarası, özgeçmiş ve hatta kişinin bir mülkünün bedeli gibi veriler de kişisel veri niteliğindedir. Bazı veriler vardır ki, niteliklerinden dolayı işlenmeleri özel şartlara tabi tutulmuştur. Bu kapsamdaki veriler, “hassas veri” olarak da tanımlanmış olan “özel nitelikli kişisel verilerdir” ve adeta özel koruma altına alınmıştır. Özel nitelikli kişisel veriler, sahip oldukları içerikler itibariyle, öğrenilmesi sonucu kişiyi çevresinde veya toplumda dezavantajlı duruma düşürebilecek, bir başka deyişle kişiyi zor durumda bırakabilecek verilerdir. AB Yönergesi m.8’e göre özel nitelikli kişisel veriler kişinin; ırksal veya etnik kökenine, siyasal görüşüne, dinsel ya da felsefi inancına, sendika üyeliğine, sağlık ya da cinsel yaşamına ilişkin verilerdir. Genel Veri Koruma Tüzüğü’nde (GDPR) ise bu kapsam genişletilerek yeni kategoriler benimsenmiştir. Kişinin genetik verileri ve biyometrik verileri bu kapsama dahil edilmiştir. Ayrıca, “cinsel yaşam” verisinin kapsamına “cinsel yönelim” unsuru da dahil edilmiştir.  Türk Hukuku bakımından ise KVKK m.6 f.1’de belirtilmiştir. KVKK kapsamında belirtilen bu veri kategorisi sınırlı sayıda olup, bu veriler; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri olarak sayılmıştır. KİŞİSEL VERİLERİN KORUNMASINDA ÖNEMLİ SÜJELER İlgili Kişi En basit tanımıyla ilgili kişi, kişisel verileri işlenen kişidir. GVKT ve AB Veri Koruma Yönergesi’nde yer alan tanımlara göre ise ilgili kişi, veri öznesi konumundadır. Gerek uluslararası düzenlemeler gerekse KVKK’da yer alan hükümler uyarınca, ilgili kişi konumundaki veri özneleri, gerçek kişilerdir. Dolayısıyla, tüzel kişiler bu kapsam dışında bırakılmıştır. Bu kapsamda ölü kişilerin ilgili kişi olup olamayacağı önemli bir tartışma konusudur. TMK’nın 28. maddesinde, kişiliğin ölümle sona ereceği hükme bağlanmıştır. Nitekim, Kişisel Verileri Koruma Kurulu’nun 18/09/2019 Tarih ve 2019/273 Sayılı kararında ilgili kanun hükmüne atıfta bulunularak, talebin yalnızca ilgili kişinin kendisi tarafından yapılabileceği belirtilmiş ve KVKK kapsamının dışında kaldığına karar verilmiştir. Kanımca, tüzel kişilerin de Kişiler Hukuku kapsamında bir kişiliğe sahip oldukları dikkate alınırsa, tüzel kişiliğe ait verilerin de kişisel veri niteliğinde sayılması ve bir ihlal söz konusu olması halinde bu ihlalin de KVKK kapsamında olması gerekmektedir. Her ne kadar gerçek kişilerle birebir aynı korumaya sahip olması mantığa aykırı olsa da tamamen kapsam dışı bırakılması da bir o kadar mantığa aykırılık teşkil etmektedir. Bu noktada, hukukumuzca kabul edilmiş her kişilik türünün, sahip olduğu özelliklere göre özel düzenlemelerin getirilmesi bir çözüm yolu olabilir. Ayrıca, ölü kişilerin de koruma kapsamının tamamen dışında bırakılması da isabetli bir durum değildir. Nitekim, ölü bir kişiye ait verinin hayatta olan bir kişiyle bağlantılı olması durumunda bunun da kişisel veri kapsamına alınmasına yönelik düzenlemeler mevcuttur. Örneğin, ölü kişiye ait bir genetik verinin, bu kişinin alt ve üst soyu ile bağlantılı olması kuvvetle muhtemeldir. Hukukumuzda ise bu durum henüz bir hükme bağlanmamıştır. Veri Sorumlusu KVKK m. 3’te veri sorumlusu “Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi, ifade eder.” tanımıyla hükme bağlanmıştır. Bunun yanı sıra, GVKT de veri sorumlusu kavramına yer vermiştir. Veri sorumlusunun kapsamı ilgili kişi kavramında değinildiği gibi olmayıp, tüzel kişiler de bu kapsamda sayılabilmektedir. Dolayısıyla, gerçek kişilerin veri sorumlusu olmasının yanında tüzel kişiler de veri sorumlusu olabilmektedir. İlgili kişinin hakları sonraki bölümlerde detaylandırılacak olup, veri sorumlusu ilgili kişinin bu haklarını koruması ve verilerinin işlenmesi hususunda bilgi sahibi olabilmeleri açısından önemli bir aktördür. Ayrıca veri sorumlusu, kişisel verinin işlenmesi konusunda karar merciidir. Veri sorumlusunun, ilgili kişinin kişisel verilerinin işlenmesinden doğan sorumlulukları ve alması gereken birtakım önlemler mevcut olup, bu hususlar çalışmanın sonraki bölümlerinde detaylıca ele alınacaktır. Veri İşleyen KVKK m. 3 veri işleyen kavramını “Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi” tanımıyla ele almıştır. Veri sorumlusunun, kişisel verilerin işlenmesi faaliyetini bir gerçek veya tüzel kişiye devretmesi halinde veri işleyen kavramı gündeme gelmektedir. Kişisel verilerin işlenmesi veri işleyen tarafından gerçekleştirildiği hallerde, veri sorumlusunun kişisel verilerin korunması kapsamındaki yükümlülükleri devam etmektedir. Dahası, veri ihlali söz konusu olması halinde, veri sorumlusu ve veri işleyen bakımından müşterek sorumluluk gündeme gelebilecektir.  Veri işleyenin varlığına rağmen bir ihlal gerçekleşmesi durumunda tüm sorumluluğun veri sorumlusunda olacağını savunan görüşler olsa da kanımca müşterek sorumluluk hükümlerinin uygulanması daha isabetli olacaktır. Nitekim, KVKK m. 12/2 uyarınca da veri sorumlusunun, kişisel verilerin veri işleyen tarafından işlenmesi hâlinde, gerekli tedbirlerin alınması hususunda veri işleyenle birlikte müştereken sorumludur. Veri sorumlusu ve veri işleyen arasındaki farka değinilecek olursa, veri sorumlusunun karar mercii konumunda olmasına karşın, veri işleyenin kapsam alanı daha çok kişisel veri işlemenin teknik gereklilikleri ile sınırlıdır. Dolayısıyla veri sorumlusu kişisel verilerin işlenmesi faaliyetinin hangi araç, sistem veya yöntemlerle gerçekleştirileceğine karar verdikten sonra veri işleyen bu karar doğrultusunda veri işleme faaliyetini gerçekleştirecektir. Veri sorumlusu-veri işleyen ilişkisinin hangi hallerde mevcut olduğunun tespiti konusuna gelinecek olursa; kişisel verilerin münhasıran veri sorumlusu adına işlenmesi, veri işleyenin kişisel veri işleme faaliyetini kendi amaçları için gerçekleştirmemesi, veri işleyenin veri işleme faaliyeti hususunda takdir yetkisinin olmaması, veri işleme araçlarının esaslı unsurlarına ilişkin kararların veri sorumlusu tarafından verilmesi, talimat ilişkisinin mevcudiyeti ve sözleşmesel bir ilişkinin bulunmaması hallerinde veri sorumlusu-veri işleyen ilişkisinin varlığından söz edilebilir. İKİNCİ BÖLÜM: KİŞİSEL VERİLERİN İŞLENMESİ KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN TEMEL İLKELER Hukuka ve Dürüstlük Kurallarına Uygunluk İlkesi Kişisel verilerin korunması hukukunda kural, kişisel veri işlenmesinin yasak olmasıdır. KVKK’da da açıkça belirtildiği üzere, kişisel verilerin işlenmesi ancak Kanun’da cevaz verilen hallerde hukuka uygun sayılabilecektir. Öte yandan, veri sorumlusunun ve veri işleyenin kanundan doğan haklarının kötüye kullanımını önlemek amacıyla dürüstlük kurallarına uygunluk ilkesi benimsenmiştir. Veri işleme sürecini gerçekleştiren süjelerin tüm yükümlülüklerine ek olarak ilgili kişilere adil davranma yükümlülükleri de mevcuttur. Bu ilke ile ulaşılmak istenen hedef, menfaatler dengesini sağlamaktır. Veri işleme sürecinde gösterilmesi gereken “şeffaflık” da bu ilke kapsamında değerlendirilecektir. Doğru ve Gerektiğinde Güncel Olma İlkesi Bu ilke çerçevesinde veri sorumlusu, işlenen verilerin eksiksiz ve güncel olması için gerekli önlemleri almakla yükümlüdür. Bu ilke ile bağlantılı olarak KVKK m. 11 çerçevesinde ilgili kişiye, eksik veya yanlış işlenen verilerin düzeltilmesini talep etme hakkı tanınmıştır. Veri sorumlusunun, işlenen verileri doğru ve güncel bir şekilde muhafaza etmediği takdirde, ilgili kişinin maddi veya manevi zararı doğabileceğinden ve bu halde veri sorumlusunun bu zararları tazmin etmekle yükümlü kılınabileceğinden, bu ilke oldukça önem arz etmektedir. Belirli, Açık ve Meşru Amaçlara Yönelik İşlenme İlkesi Kişisel verilerin işlenme amacı, kapsamı ve işleme sınırları açıkça belirtilmelidir. Aksi bir durumun veri sahibinin kişisel verileri üzerindeki denetimini sınırlandıracağından, bu ilkeye riayet edilmeden işlenen veriler hukuka aykırı sayılacaktır. Veri sorumlusunun amaçlarını açıkça belirtmesi de her durum nezdinde hukuka uygunluk için yeterli sayılmayabilir. Veri sorumlusu, belirttiği amaçlar doğrultusunda veri işleme faaliyetini gerçekleştirmek zorundadır. Dolayısıyla, belirttiği amaçların dışında herhangi bir sebeple veri işleme faaliyetinin gerçekleştirilmesi, hukuka aykırılık teşkil edecektir. Kişisel verilerin işlenmesi hususunda kural, açık rızanın alınmış olmasıdır. Bu kuralın istisnası olan, açık rıza alınmadan veri işleme faaliyetinin gerçekleştirilebildiği haller mevcuttur. Unutulmamalıdır ki, bir veri işleme faaliyetinin açık rıza alınmaksızın işlenmesi halinde hukuka uygun sayılabilmesi için Kişisel Verilerin Korunması Kanunu kapsamında sayılan sınırlı hallerden birinin kapsamına girmesi gerekmektedir. İşlendikleri Amacın Gerektirdiği Süre Boyunca ya da Mevzuatın Öngördüğü Süre Kadar Muhafaza Edilme İlkesi Kişisel verilerin hukuka uygun olarak işlenmeleri, veri sorumlusu tarafından sonsuza kadar saklanabileceği anlamına gelmemektedir. Zira böyle bir durum, bir önceki ilkede bahsedildiği üzere, veri sahibinin kişisel verileri üzerindeki hakimiyetinin azalmasına yol açacaktır. Bundan dolayıdır ki, kişisel verilerin kanundan kaynaklanan bir sebeple işlenmesi halinde ve kanunda bir süre öngörülmüşse bu süre kapsamında veri işlenmesi mümkün olacak ve sürenin sonunda veri sorumlusunun bu verileri yok etmesi, silmesi veya anonim hale getirmesi gerekecektir. Bu hususta veri sorumlusuna bir takdir yetkisi tanınmamış olup, bu kurala riayet edilmemesi halinde TCK m. 138 kapsamında verileri yok etmeme suçundan sorumluluk gündeme gelebilecektir. Öte yandan, veri işleme faaliyeti için bir süre öngörülmemiş ise, işleme faaliyetinin amacı her ne ise bu amacın gerçekleşmesi halinde yine kişisel verilerin yok edilmesi, silinmesi veya anonim hale getirilmesi gerekecektir. Bu ihtimalde de yine veri sorumlusuna takdir yetkisi tanınmamıştır ve bu kurala riayet edilmemesi yukarıda belirtilen sonuçları doğuracaktır. Doktrindeki hakim görüşe göre, bir verinin, öngörülen süreler dahilinde işlenmesi de her zaman hukuka uygunluk bakımından yeterliliği sağlamayabilir. Kişisel verilerin,  öngörülen süre içinde işlenmesi sırasında işleme amacı gerçekleşmiş olması ihtimalinde veri sorumlusunun yukarıda belirtilen yöntemlerle bu kişisel verileri imha etmesi gerekmektedir. KİŞİSEL VERİLERİN İŞLENME KOŞULLARI Açık Rıza Kişisel verilerin işlenmesinde kural, açık rızanın alınmış olmasıdır. KVKK m. 5/1 ve m. 6/2’de açık rıza hususu hükme bağlanmıştır. Öncelikle, açık rızanın kanuni tanımına bakılırsa, “belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza” açık rızadır. Genel Veri Koruma Tüzüğü’nde ise açık rıza şu şekilde tanımlanmıştır: “İlgili kişinin rızası, ilgili kişinin isteklerinin özgür, somut, bilgilendirmeye dayalı ve kesin olan her türlü göstergesini ifade eder ki kişi, bir ifade ya da olumlu eylem sayesinde kendisiyle ilgili kişisel verinin işlenmesini kabul ettiğini bu sayede belirtsin.” Görüldüğü üzere, Tüzük’te yer alan tanım KVKK tanımıyla kıyaslandığında, daha geniş ve daha kapsamlı bir tanımdır. Kişisel verilerin işlenmesi hususunun adeta temeli niteliğinde olan bir kavramın kanunda böylesine yüzeysel bir tanımla aktarılması, uygulama açısından bir belirsizliğe sebep olabilecektir ve kanımca ilgili tanımın iyileştirilmesi isabetli olacaktır. Öte yandan, açık rızanın mutlaka kişisel verilerin işlenmesinden önce açıklanmış olması gerekmektedir. Kişisel verinin işlenmesi sonrası açıklanan rıza artık açık rıza niteliğini haiz olmayacak, onay niteliğinde sayılacaktır. Açık rıza gerektiren hallerde alınan bu onay niteliğindeki rızanın da hukuka aykırılığa sebep olacağı açıktır. Açık rızanın özgür iradeyle açıklanan rıza olabilmesi için, Borçlar Hukuku kapsamında sözleşme serbestisine aykırılık teşkil etmemesi gerekir. Detaylıca değinmek gerekirse, açık rızası alınan ilgili kişinin seçim hakkına sahip olması gerekir. Dolayısıyla, ilgili kişi veri işleme konusundaki rızasını açıklamadığı takdirde dezavantajlı duruma düşmemelidir. Örneğin, bir hizmetin veya sunulan bir ürünün alınıp alınamayacağı hususu, açık rızasının açıklanıp açıklanmaması şartına bağlanmamalıdır. Buna benzer tüm durumlar hür iradeyi ortadan kaldıracak olup, bu yolla yapılan işlemler de açık rızayı dayanak göstererek hukuka uygun hale gelemeyecektir.  Dahası, ilgili kişinin, daha önce açıkladığı açık rıza beyanını geri alması mümkündür.Açık rızaya bağlı veri işleme faaliyetlerinin, açık rızanın geri alınmasıyla birlikte veri işleme şartlarının ortadan kalkması sebebiyle, bu durumda veri işleme faaliyetinin durdurulması gerekir. Ayrıca bu durum GVKT Art. 7 f. 3’te düzenlenmiştir. GVKT Art. 7 f. 3’e göre, açık rızanın iptali işleminin, rızanın verilmesi kadar basit olması gerekmektedir. Kanunlarda Açıkça Öngörülmesi Kişisel verilerin işlenmesi kapsamında, kanunda açıkça öngörülen yükümlülüklerin bulunması halinde, açık rızanın alınmış olması aranmaksızın veri işleme faaliyeti gerçekleştirilebilecektir. Fiili İmkânsızlık Fiili imkansızlık sebebiyle ilgili kişinin açık rızasının alınamayacağı hallerde veya ilgili kişinin rızasının hukuken geçerli olmaması söz konusu ise, ilgili kişinin açık rızası alınmaksızın veri işleme faaliyeti gerçekleştirilebilecektir. Yaşamsal durumlar söz konusu olduğunda bu hüküm işlerlik kazanacak olup,  istisnai hallerde kurtarıcı nitelikte olabilecektir. Sözleşmenin Kurulması ve İfası İçin Gerekli Olması Taraflar arasında kurulan bir sözleşmede, sözleşmenin yapısı itibariyle veri işlenmesi olağan bir durum ise, açık rızanın alınması sözleşmeyle bağdaşmayan bir durum oluşturabilir. Bu gibi durumlarda açık rıza alınmaksızın veri işlenmesi mümkündür. Veri Sorumlusunun Hukuki Yükümlülüklerini Yerine Getirebilmesi İçin Zorunlu Olması İstisnai hallerden biri olan veri sorumlusunun hukuki yükümlülüklerin yerine getirilebilmesi için veri işlemenin zorunlu olması halinde, veri sorumlusu ilgili kişinin açık rızası alınmaksızın veri işleme faaliyetini gerçekleştirebilecektir. Örneğin; işçi ve işveren arasında kurulan iş sözleşmesi bakımından işçinin verilerinin SGK işlemleri gibi işverenin yükümlü olduğu konularda işlenmesi zorunlu olduğundan, ayrıca işçinin açık rızası alınmaksızın veri işleme faaliyeti gerçekleştirilebilecektir. Kişisel Verilerin İlgili Kişi Tarafından Alenileştirilmiş Olması Veri sahibinin, verilerini kendisinin alenileştirmiş olduğu hallerde KVKK hükümleri uygulanmayacaktır. Burada önemli olan husus, bir verinin alenileştirilmiş olması, söz konusu verinin herkes tarafından her alanda ve sınırsızca işlenebileceği anlamına gelmemektedir. Bir başka deyişle, veri sahibinin kişisel verisini alenileştirirken gösterdiği rızanın kapsamı dışına çıkılamaz. Aksi bir durum orantısız kullanıma sebep olacaktır ve alenileştirilmiş olma hali bu duruma hukuka uygun nitelik kazandırmayacaktır. Örneğin; ürün satış işlemleri gerçekleştirilen bir dijital platforma, sunulan ürünü satın almak isteyenlerin ulaşması amacıyla irtibat numarası bırakılması durumunda, veri sahibinin rızasının kapsamı yalnızca ürün satışı için irtibata geçirilmiş olmasıdır. Bu amaç dışında yapılacak herhangi bir arama veya mesaj gönderme gibi durumların söz konusu olması halinde, bu veri işleme faaliyeti hukuka aykırı sayılacak olup, ilgili kişinin kişisel verisini alenileştirmiş olması bu durumu hukuka uygun hale getirmeyecektir. Kişisel Verilerin İşlenmesinin Bir Hakkın Tesisi, Kullanılması veya Korunması İçin Zorunlu Olması Kişisel verilerin işlenmesinin bir hakkın tesisi, yerine getirilmesi veya korunması için zorunlu olması halinde, ilgili kişinin açık rızası olmayacaktır. Örneğin, bir özlük dosyasının dava zamanaşımı boyunca saklanması, işveren açısından bu kapsamda değerlendirilebilecek olup, işçiden ayrıca açık rıza alınmasına gerek olmayacaktır. Veri Sorumlusunun Meşru Menfaatleri Sebebiyle Kişisel Verileri İşlemenin Mecburi Olması Böyle bir zorunluluğun olması durumunda gözetilmesi gereken en önemli kriter, veri işleme faaliyetinin ilgili kişinin temel hak ve özgürlüklerine müdahale niteliği taşımaması gerektiğidir. Bu işleme şartı tartışmalı olmakla birlikte, Anayasa Mahkemesinde açılan iptal davasında bu konunun ilgili hükmü olan KVKK m. 5 f .2’nin ilgili bendine de yer verilmiştir. İlgili kişinin veri işleme kapsamında temel hak ve özgürlüklerinin kısıtlanması ve veri sorumlusunun veri işleme kapsamındaki menfaati arasındaki dengenin irdelenmesi halinde, veri sorumlusunun menfaatinin asgari düzeyde eşit veya üstün olması gerekmektedir. Ancak bu iki ihtimalde veri işleme faaliyeti meşru menfaate dayanarak hukuka uygun hale getirilebilecektir. Ayrıca, bu menfaatin hukuka uygun, somut ve mevcut bir menfaat olması gerekir. Google Spain kararı, veri işleme faaliyetinin doğrudan meşru menfaate dayanılamayacağı, aynı zamanda bu meşru menfaatin yukarıda bahsedilen iki unsur (veri sorumlusunun menfaati ve ilgili kişinin temel hak ve özgürlükleri arasındaki denge) arasındaki dengeye de bağlı olduğu konusunda örnek teşkil etmektedir. Ayrıca bu karar kapsamında, kişisel verinin üzerinden zaman geçtikçe kamu yararı da aynı ölçüde azalacağı kabul edilir. Bir başka husus ise, sosyal medya hesabı gizli olan bir kişinin verilerinin, alenileştirilmiş veri olmayacağı göz ardı edilmemelidir. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENME KOŞULLARI Özel nitelikli kişisel veriler 6698 sayılı Kanunun 6. maddesinde düzenlenmiş olup, sınırlı sayıda belirtilmiştir. Buna göre; ırk, etnik köken, siyasi görüş, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler özel nitelikli kişisel veridir. Yine aynı maddenin ikinci fıkrasında, özel nitelikli kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenmesi yasaklanmıştır. Görüldüğü üzere özel nitelikli kişisel veriler, diğer tür verilere kıyasla daha hassas nitelikte sayılabilecek veriler olup, veri sahibinin rızası dışında ifşa olması halinde kişiyi toplum nezdinde kategorize edebilecek veya dezavantajlı duruma düşmesine yol açabilecek nitelikte verilerdir. Bu yüzdendir ki, kanunda özel bir düzenlemeye tabi tutulmuş ve ayrı bir koruma öngörülmüştür. KVKK m. 6 f. 3 ise özel nitelikli kişisel verilerin açık rıza aranmaksızın işlenebileceği istisnai halleri düzenlemiştir. Buna göre; sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir. Ayrıca bu kapsamdaki bir veri işleme faaliyeti sırasında, Kurul tarafından belirlenen yeterli önlemlerin alınması şartı da getirilmiştir. Kanun hükmünün değerlendirilmesi gerekirse; ilgili istisnai hallerin geniş kapsamda tutulduğu söylenebilir. Amaç, özel nitelikli kişisel verilerin daha yüksek düzeyde bir korumaya tabi tutulması olduğundan, bu kapsamdaki kanun hükmünün de daha dar kapsamlı olması ve geniş yorumlanmaya müsaade etmeyecek içerikte bir lafza sahip olması gerekir. KİŞİSEL VERİLERİN AKTARILMASI Kişisel verilerin aktarılması, veri işleme türlerinden biridir. Kanunun 8. ve 9. maddelerinde kişisel verilerin aktarılması hususu, yurt içinde üçüncü kişilere aktarılması ve yurt dışına aktarılması olmak üzere ikiye ayrılmıştır. Veri işleme hususunda yukarıda değinilmiş olan açık rıza ve diğer hukuka uygunluk halleri kapsamındaki hükümler, üçüncü kişilere aktarım bağlamında da geçerliliğini koruyacaktır. Kişisel verilerin, veri sorumlusu adına işlenmesi kapsamındaki üçüncü kişi kavramı, esasında veri işleyen konumundaki üçüncü kişileri ifade etmektedir. Örneğin; çağrı merkezi, pazarlama faaliyetleri, dosyalama, arşiv, yönetici asistanlığı, bilgi sistemleri hizmetleri gibi alanlarda veri sorumlusu-veri işleyen ilişkisine sıkça rastlanmaktadır. Ayrıca, kişisel verilerin devralınması halinde de bir veri işleme faaliyeti söz konusu olacağı için, bu durumda devralan üçüncü kişiler de veri sorumlusu sıfatını haiz olacaktır. Şirket birleşmeleri bu kapsamdaki bir aktarıma örnek niteliğindedir. Şirket birleşmelerinde külli halefiyet ilkesi geçerli olduğundan, bünyesinde birleşilen şirket yeni veri sorumlusu sıfatını haiz olacaktır. Kişisel verilerin yurtdışına aktarılması hususu KVKK m. 9’da düzenlenmiştir. Bu hüküm ışığında kural olarak, kişisel verilerin ilgili kişinin açık rızası olmaksızın yurtdışına aktarılamaz. Hükmün devamındaki ikinci fıkraya göre ise kişisel veriler, 5 inci maddenin ikinci fıkrası ile 6 ncı maddenin üçüncü fıkrasında belirtilen şartlardan birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkede; yeterli korumanın bulunması, yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması, kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir. Üçüncü fıkrada ise yeterli korumanın bulunduğu ülkelerin Kurulca belirlenerek ilan edileceği hüküm altına alınmıştır. Kurul henüz güvenli ülke listesi yayınlamamış olup, yalnızca “Yeterli Korumaya Sahip Ülkelerin Belirlenmesinde Esas Alınacak Kriterler” hakkında bir karar yayınlamakla yetinmiştir. Oysaki, günümüzde kişisel verilerin işlendiği alanlara ve mecralara bakıldığı zaman, veri işleme faaliyetinin ülke çapında sınırlı kalması neredeyse imkansızdır. Aksine, veri işlemenin günden güne daha da küresel bir faaliyete dönüştüğü açıktır. Dolayısıyla, yurtdışına kişisel veri aktarımı aslında birçok veri sahibi tarafından gayri ihtiyari olarak gerçekleştirilmektedir. Kullanılan haberleşme aplikasyonları, e-mail serverları, e-ticaret siteleri gibi birçok örneğin bu kapsamda sayılması mümkündür. Tüm bunların sonucu olarak, Kurulun güvenli ülke listesi yayınlama konusundaki çekimserliği yerinde olmayıp, çağın gerektirdiği koşullara uygun ve mevcut faaliyetleri kapsar nitelikte kararlar alınması isabetli olacaktır. İLGİLİ KİŞİNİN HAKLARI VIII.İlgili kişinin hakları KVKK m. 11’de düzenlenmiştir. Bu hükmün önemi, veri sahibinin kişisel verilerinin hukuka uygun işlenip işlenmemesi hususunda adeta bir kontrol mekanizması niteliğinde olmasıdır. İlgili kişiye tanınan haklar sayesinde veri sorumlusunun veri işleme faaliyeti tespit edilebilir hale gelmiştir. KVKK m. 11 kapsamında ilgili kişiye; kişisel veri işlenip işlenmediğini öğrenme, kişisel verileri işlenmişse buna ilişkin bilgi talep etme, kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme, kişisel verilerin silinmesini veya yok edilmesini isteme, yapılan işlemlerin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, işlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme ve kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme hakları tanınmıştır. Kişisel Veri İşlenip İşlenmediğini Öğrenme Hakkı Bu çerçevede, ilgili kişi veri sorumlusuna başvurarak, kendi verileriyle sınırlı olmak koşuluyla, kişisel verilerinin işlenip işlenmediğini öğrenme hakkına sahiptir. Bu başvuru sonucunda ise veri sorumlusu, ilgili kişinin verilerinin işlendiğinin veya işlenmediğinin bilgisini ilgili kişiye bildirmekle yükümlüdür. Kişisel Verileri İşlenmişse Buna İlişkin Bilgi Talep Etme Hakkı İlgili kişinin, işlenen kişisel verilerine dair bilgi talep etme hakkını kullanması sonucu, veri sorumlusunun buradaki bilgilendirmesinin kapsamını bizzat verinin kendisi oluşturmaktadır. Dolayısıyla, ilgili kişinin bu talebi karşılanırken, işlenen verinin içeriğine ilişkin gerekli ve yeterli düzeyde bilgilendirmenin yapılması gerekmektedir.  Kişisel Verilerin İşlenme Amacını ve Bunların Amacına Uygun Kullanılıp Kullanılmadığını Öğrenme Hakkı KVKK m. 4 uyarınca kişisel veriler belirli, açık ve meşru amaçlar dahilinde işlenebilir. Dolayısıyla, meşru nitelikte bir veri işleme amacına ilişkin açık rıza beyanının alınmış olması, veri işleme faaliyetine de meşruluk kazandıracaktır. Bu bağlamda, ilgili kişi, veri işleme faaliyetinin açık rıza kapsamında gerçekleştirilip gerçekleştirilmediğini denetleme hakkına sahiptir. Açık rızanın alınmamış olması ihtimalinde ise bu denetimin kapsamı, kanunda belirtilmiş olan ve veri işleme faaliyetini meşru kılan istisnai hallerin mevcudiyetine ilişkin olacaktır. Yurt İçinde veya Yurt Dışında Kişisel Verilerin Aktarıldığı Üçüncü Kişileri Bilme Hakkı İlgili kişi, kişisel verilerin aktarıldığı üçüncü kişileri bilme hakkını kullanarak, kanunun kişisel verilerin aktarılması ve yurt dışı aktarımı hükümlerince öngörülen koşulların sağlanıp sağlanmadığını ve bunun sonucu olarak da veri işleme faaliyetinin hukuka uygunluk denetimini yapabilir. Kişisel Verilerin Eksik veya Yanlış İşlenmiş Olması Hâlinde Bunların Düzeltilmesini İsteme Hakkı Kişisel verilerin düzeltilmesini talep etme hakkı, Anayasa m. 20 kapsamında da korunan bir haktır. Ayrıca bu hak, veri işleme ilkelerinden biri olan “doğru ve gerektiğinde güncel olma” ilkesiyle de örtüşmektedir. Burada değinilmesi gereken önemli bir husus; ilgili kişinin bu talebinin yerine getirilmemesi halinde hangi sonucun doğacağıdır. Bu durumda, ilgili kişinin talebinden sonra gerçekleştirilen veri işleme faaliyeti hukuka aykırı sayılacaktır. Dolayısıyla, hakkın kullanılması ilgili kişi bakımından ne kadar önemliyse, talebin karşılanması da veri sorumlusu bakımından bir o kadar önem arz etmektedir. Sonuç olarak, veri sorumlusunun dikkat ve özen çerçevesinde talebi karşılaması oldukça mühimdir. Kişisel Verilerin Silinmesini veya Yok Edilmesini İsteme Hakkı KVKK m. 7 f. 1 uyarınca, KVKK ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir. Kanunda yer alan bu hüküm kapsamında ilgili kişinin, artık işlenmesinde bir sebep bulunmayan verilerinin silinerek, yok edilerek veya anonim hale getirilerek veri işleme faaliyetinin durdurulmasını talep etme hakkı bulunmaktadır. Bu kapsamdaki bir başka hüküm ise KVKK m. 11 f. 1 b. e’dir. Bu hüküm uyarınca; ilgili kişi veri sorumlusuna başvurarak 7. maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme hakkına sahiptir.  İlgili kişinin bu hakkı ayrıca Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik kapsamında da çeşitli hükümlerle bağlayıcı hale getirilmiştir. Yönetmeliğin 5. Maddesi, kişisel verilerin silinmesi ve yok edilmesi süreçlerinin yükümlülük olarak düzenlenmiş olması, bu süreçlerin talebe bağlı olmaksızın yerine getirilmesi gerçekleştirilmesi gerektiği sonucunu doğurur. Dolayısıyla, ilgili kişi böyle bir talepte bulunmamış olsa dahi veri sorumlusu bu süreçleri hukuka uygun şekilde yürütmek zorundadır. Ayrıca; Yönetmeliğin 8. ve 9. Maddeleri kapsamında da veri sorumlusunun bu yükümlülükleri açıkça düzenlenmiştir. Kişisel verilerin silinmesini veya yok edilmesini isteme hakkı, GVKT Art. 17 kapsamında düzenlenen unutulma hakkı ile örtüşmektedir. Bu bağlamda unutulma hakkını ele almak isabetli olacaktır. Bilindiği üzere, teknolojinin gelişmesiyle birlikte veriler sadece ulaşılabilir değil, aynı zamanda saklanabilir ve depolanabilir unsurlar haline gelmiştir. Bu durum, internette var olan bir verinin, sonsuza kadar yer alabilmesine imkan tanımaktadır. Oysaki, bir kişi hakkında internette yer alan her bilgi güncel olmamakla birlikte gerçeği de yansıtmayabilir. Bu gibi durumlarda verilerin varlığını sürdürmesi, insan onuruna aykırılık teşkil edecek olup aynı zamanda insan haklarına da aykırılığı gündeme getirecektir. Bu bağlamda, unutulma hakkı bireylerin, internette yer alan verileri üzerindeki hakimiyetini belli bir ölçüde sağlamaktadır. Hukukumuzda unutulma hakkını ele alan hükümlerden biri de Türkiye Cumhuriyeti Anayasası’nın 20. maddesidir. İlgili maddenin unutulma hakkıyla ilgili olan son fıkrası şu şekildedir: “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.” Görüldüğü üzere maddede yer alan “silinmesini talep etme hakkı” ibaresiyle unutulma hakkı, Anayasa kapsamında güvence altına alınmıştır. İnternetteki verilere ulaşmanın neredeyse kaçınılmaz olan yolu arama motorlarını kullanmaktır. Dolayısıyla, ticari şirket olan arama motorlarının, insanların yaşamına olan etkilerinden de öte insan haklarının hayata geçirilmesindeki rolleri oldukça büyüktür. Bu yüzdendir ki arama motorları mülkiyet hakkı ve özel yaşamın gizliliği gibi insan haklarını kapsayan konularda oldukça önemli bir yer edinmiştir. Arama motorlarının bu alandaki rollerinden bir diğeri, unutulma hakkı için öncelikle arama motorlarına başvurulmasıdır. İnsan hakları bağlamında değerlendirilen böylesi önemli bir hususta karar merciinin ticari şirket sıfatına sahip arama motorlarının olması eleştiri konusu olmaktadır.  Yapılan İşlemlerin Kişisel Verilerin Aktarıldığı Üçüncü Kişilere Bildirilmesini İsteme Hakkı Yukarıda değinildiği üzere, kişisel verilerin internet ortamında ve arama motorlarında ulaşılabilir hale gelmesinin sonucu olarak, üçüncü kişiler tarafından da işlenebilir hale gelmesi mümkündür. Ayrıca, kişisel verilerin devralınması da söz konusu olabilmektedir. İlgili kişinin kişisel verisinin paylaşıldığı her mecrayı bilmesi beklenemeyeceğinden, veri sorumlusuna doğrudan başvurarak silme ve düzeltme işlemlerinin, verisinin paylaşıldığı üçüncü kişilere bildirilmesini talep etme hakkı tanınmıştır. İlgili kişinin bu hakkı da unutulma hakkı kapsamında değerlendirilebilecektir. Nitekim, unutulma hakkının hayata geçirilebilmesi için, tüm veri sorumlularının bu silme talebinden haberdar olması ve gerekli yükümlülüklerini yerine getirmeleri gerekmektedir. Tüm veri sorumlularının bu kapsamdaki verileri silmesi veya yok etmesi halinde ancak unutulma hakkının karşılık bulabileceği söylenebilir. İtiraz Hakkı KVKK m. 11 f. 1 b. g uyarınca ilgili kişinin; işlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme hakkı bulunmaktadır. Günümüzde, veri işleme faaliyetlerinin büyük çoğunluğunda münhasıran otomatik sistemler vasıtasıyla gerçekleştirildiği göz önüne alındığında, ilgili kişiye tanınan bu hakkın oldukça önem arz ettiği sonucuna ulaşılabilmektedir. Zira, kişinin birtakım mecralarda bilgisi dışında verilerinin işlenmesi sonucu ciddi olumsuzluklarla karşılaşması, kişilik haklarının zedelenmesine yol açabilir. Bir talebin reddi, hizmetten faydalanamama veya ayrımcılığa maruz kalınması gibi durumların gerçekleşmesi muhtemel sonuçlara örnek teşkil edebilir. Buna benzer durumların engellenmesi amacıyla; ilgili kişiye, aleyhine çıkan sonuçlara itiraz etme ve çıkan sonucun denetlenmesini talep etme hakkı tanınmıştır. Zararın Giderilmesini Talep Etme Hakkı KVKK m. 11 f. 1 b. ğ uyarınca; ilgili kişi, kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme hakkına sahiptir. Bu hakkın kullanılması için öncelikle haksız fiil niteliğinde olan “kişisel verilerin hukuka aykırı işlenmesi” şartı aranmaktadır. Dahası, veri işleme faaliyeti ile hak ihlali arasında nedensellik bağı bulunmalıdır. Başka bir deyişle; hak ihlali, bu kapsamdaki veri işleme faaliyetinden dolayı gerçekleşmiş olmalıdır. Burada veri sorumlusunun kusurunun hangi kapsamda ele alınacağına detaylıca değinilmeyecek olup, kanunda öngörülen yükümlülüklerin yerine getirilmiş ve teknik ve idari tedbirlerin eksiksiz alınmış olmasına rağmen bir hak ihlalinin gerçekleşmesi durumunda, veri sorumlusunun bu hak ihlalinden dolayı sorumlu tutulmamasının daha hakkaniyetli olacağı öne sürülebilir.  Ayrıca, ilgili kişi bu zararın tazmin edilmesini talep etme hakkının doğması için, veri işleme faaliyetinden kaynaklı hak ihlalinin sonucunda bir zarar meydana gelmiş olmalıdır. Başvuru Usulü İlgili kişinin bu haklarını kullanabilmesinin yolu öncelikli olarak veri sorumlusuna başvurmasıdır. Veri sorumlusuna başvurunun yazılı olarak yapılabileceği gibi, elektronik ortamda da gerçekleştirilmesi mümkündür. İlgili kişinin başvurusu üzerine veri sorumlusu, talebi en geç otuz gün içerisinde sonuçlandırmak zorundadır. Veri sorumlusu, yapılacak incelemeler sonucunda talebi kabul edip gereğini yerine getirir veya gerekçesiyle birlikte reddeder ve cevabını ilgili kişiye bildirir. Başvurunun reddedilmesi, verilen cevabın yetersiz kalması veya veri sorulusunun süresi içinde cevap vermemesi halinde ise ilgili kişinin ikinci başvuru yolu olan Kurula şikayet hakkı gündeme gelecektir. Bu üç ihtimal sonucunda, ilgili kişi cevabı öğrendiği tarihten itibaren otuz gün veya veri sorumlusunun süresinde cevap vermemiş olması ihtimali dahilinde en geç altmış gün içinde Kurula başvuruda bulunarak şikayet yoluna gidebilecektir. Şikayet üzerine Kurul, yapacağı inceleme sonucunda ilgililere cevap verir, cevap vermez ise de başvuru reddedilmiş sayılır. VERİ SORUMLUSUNUN YÜKÜMLÜLÜKLERİ Veri Sorumlusunun Aydınlatma Yükümlülüğü Aydınlatma yükümlülüğü, esas itibariyle şeffaflığın sağlanması amacı dahilinde düzenlenmiştir. KVKK m. 10 kapsamında düzenlenen bu yükümlülük, asgari olarak ilgili maddede belirtilen unsurları içermek zorundadır. Bu unsurlar; veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin işlenme amacı, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ve 11. maddede sayılan diğer hakları olarak sayılmıştır. Ayrıca, bu konuyla ilgili Kurulun yayınlamış olduğu “Aydınlatma Yükümlülüğünün Yerine Getirilmesi Rehberi” de mevcuttur. Aydınlatma yükümlülüğünün yerine getirilmesi; sözlü, ses kaydı, çağrı merkezi gibi çeşitli ortamlar kullanılarak gerçekleştirilebilir. Unutulmamalıdır ki, açık rıza alınması gereken hallerde açık rızanın alınmış olması, aydınlatma yükümlülüğünün mevcudiyetini ortadan kaldırmayacaktır. Böyle durumlarda açık rızanın alınması ve aydınlatma yükümlülüğünün yerine getirilmesi, ayrı ayrı gerçekleştirilmelidir.  Burada ayrı ayrı gerçekleştirmekten kasıt, yerine getirilmesi gereken yükümlülüklerin bağımsız olduğudur. Oysaki Kanunumuzda kabul gören uygulama, içeriklerin ve yükümlülüklerin bağımsız olmasına ek olarak, bunlara ilişkin düzenlemelerin de ayrı ayrı yapılması gerektiğidir. Kanımca, içerik olarak hem açık rızayı hem aydınlatma yükümlülüğüne dair bilgilendirmeyi kapsayan tek bir metinle de her iki yükümlülüğün yerine getirilmesi mümkün olmalıdır. Ayrıca, bu kapsama giren durumlarda, açık rızaya ve aydınlatma yükümlülüğüne ilişkin içeriklerin aynı metin içerisinde düzenlenmesi, uygulamanın daha pratik olmasını sağlayacaktır. Veri Sorumlusunun Veri Güvenliğine İlişkin Yükümlülükleri Kanunun 12. maddesinde düzenlenen veri güvenliğine ilişkin yükümlülükler, veri sorumlusunun kişisel verilerin korunması kapsamında almakla yükümlü olduğu teknik ve idari tedbirleri kapsamaktadır. KVKK m. 12 incelendiğinde alınması gereken bu tedbirler; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yöneliktir. İlgili maddenin ikinci fıkrasında, kişisel veri işleme faaliyetinin veri sorumlusu-veri işleyen ilişkisi çerçevesinde gerçekleştirilmesi halinde, tarafların bu yükümlülüğün yerine getirilmesinden müşterek sorumlu olacağı düzenlenmiştir. Ayrıca hükmün devamında belirtildiği üzere; veri sorumlusunun ile veri işleyenin, öğrendikleri kişisel verileri hukuka aykırı olarak üçüncü kişilere açıklamama ve bu verileri amacı dışında kullanmama yükümlülükleri de söz konusudur. Burada önemli olan bir husus vardır ki; ilgili yükümlülük, bu kişilerin görevden ayrılmalarından sonra da devam eder. Kişisel verilerin korunması ve veri güvenliği farklı kavramlar olup, veri güvenliği daha çok teknik ve idari tedbirleri kapsamakta olup kişisel verilerin korunmasına hizmet eder. Ayrıca veri güvenliği yükümlülüğü mutlak bir yükümlülük olmayıp, “gerekli” tedbirlerin alınması zorunlu kılar niteliktedir. Bu nedenle, veri sorumlusunun alması gereken tedbirlerin, riskin gerektirdiği oranda olması yeterli olacaktır. Örneğin; mahremiyet ihlali riskinin az olduğu alanda, gerektiğinden daha yüksek düzeyde tedbirlerin alınması gerekmeyecektir. Veri güvenliğine ilişkin yükümlülüklerin yerine getirilmesi sırasında “veri minimizasyonu” ilkesi de göz önünde bulundurulmalıdır. Teknik ve idari tedbirlerin alınması kapsamında, kişisel verilerin işlenmesi yalnızca gerekli verilerle sınırlandırılmalıdır. Bu bağlamda yapılabilecek bir başka uygulama ise mümkün olduğunca anonim veri işlemenin gerçekleştirilmesidir. Öte yandan; veri maskeleme, otomatik yok etme ve silme işlemleri ve bu süreçlere ilişkin denetim mekanizmaları uygulamaya geçirilmelidir. İdari tedbirler kapsamında; veri sorumlusu, veri işleme faaliyetlerine ilişkin olarak veri envanteri düzenlemelidir. Ayrıca, işlenen verilerin yalnızca yetkili kişilerce ve gerektirdiği ölçüde erişimine ilişkin, yetki matrisi uygulamasına geçilmelidir. KVKK m. 12 f. 5 kapsamında; bir veri ihlali gerçekleşmesi halinde, veri sorumlusunun bu ihlali ilgilisine ve Kurula bildirme yükümlülüğü bulunmaktadır. Bunun üzerine Kurul, gerek görüldüğü takdirde bu ihlali kamuoyu duyurusu olarak ilan eder. Bu bağlamda, veri sorumlusunun bir veri ihlali olması ihtimaline karşın önceden önlemlerini alması gerekmektedir. Bir başka deyişle, veri ihlali yaşanması durumunda izlenecek yolun önceden belirlenmiş olması gerekir. Bu durum hem sürecin sağlıklı yönetilmesi bakımından hem de ihlal sebeplerinin analiz edilerek veri güvenliğinin sağlanmasına ilişkin yöntemlerinin geliştirilmesi bakımından önem arz etmektedir. Veri güvenliğinin sağlanması adına uygulamaya konulan yöntemlerin işlerliğinin denetlenmesi açısından risk analizleri oluşturulmalıdır. Bu risk analizleri tüm süreci değil, teknik süreci kapsamına dahil eder nitelikte olacaktır. Ayrıca, oluşturulan risk analizlerinin akabinde şekillenen veri yönetim sisteminin, veri işleme faaliyetlerinin gerektirdiği ölçüde güncellenmesi ve teknolojik gelişmelere açık olması gerekmektedir. Kişisel verilerin korunması kapsamında bilgi güvenliğinin sağlanması amacıyla Bilgi Güvenliği Yönetim Sisteminin oluşturulması, yukarıda değinilen veri yönetim sisteminin sağlıklı işleyebilmesi bakımından önemlidir. Bilgi, verinin enformasyon yoluyla anlam kazanmış hali olarak tanımlanabilir. Bilgi güvenliği ise, bilgiye sürekli erişimin sağlanması ve bilginin tahribata uğramadan iletilebilmesidir. Bilgi güvenliğinin temelini oluşturan unsurlar; gizlilik (confidentiality), bütünlük (integrity) ve kullanılabilirliktir (availability). Son yıllarda siber saldırıların da artışıyla birlikte mahremiyet arttırıcı teknolojiler oldukça önem kazanmıştır. Çalışmanın ilerleyen bölümlerinde detaylıca değinilecek olan elektronik imza (e-imza), mahremiyet arttırıcı teknolojilere örnek teşkil etmektedir. TS ISO/IEC 27001 Standardı Kapsamında Bı̇lgı̇ Güvenlı̇ğı̇ Yönetı̇m Sı̇stemı̇nı̇n kurulması, bilgi güvenliği yönetiminin verimliliği açısından faydalı olacaktır.  “Bilgi Güvenliği Yönetim Sistemi (BGYS); bilginin gizliliğini, bütünlüğünü ve kesintisiz kullanılabilirliğini (erişilebilirliğini) sağlamak üzere sistemli, kuralları koyulmuş, planlı, yönetilebilir, sürdürülebilir, dokümante edilmiş, yönetimce kabul görmüş ve uluslararası güvenlik standartlarının temel alındığı faaliyetler bütünüdür.” Bu çalışmada BGYS bağlamında ayrıca detaylı bilgi verilmeyecek olup, bazı kanaatlerin sunulmasında beis görülmemektedir. Öyle ki, kurumsal bilgi güvenliği hususunda en önemli faktör, çalışan farkındalığıdır. Personelin bilinç düzeyi bu alandaki uygulamalarla ne kadar bağdaşırsa, sistemin çarkları da o kadar doğru çalışacaktır. Bundan dolayı, çalışan farkındalığı da bilgi güvenliği kapsamında bir önlem olarak görülmeli ve önemsenmelidir. Çalışan farkındalığına ek olarak, çalışanın uygulanacak güvenlik teknolojilerini tanıması ve bu konuda kullanım becerilerinin arttırılması, yine aynı derecede önemlidir. Zira, ancak bu sayede yatırımların sürekliliği ve işlerliği sağlanarak olumlu geri dönüşler alınabilecektir. Tüm bu bilgiler ışığında, kişisel verilerin korunması hukukunun; hukukun diğer alanlarından farklı olarak, hukukçularla teknik bilgi sahibi olan kişilerin birlikte çalışmasıyla başarılı sonuçlanabilecek bir alan olduğu açıktır. Bu gereklilik, özellikle veri güvenliğinin sağlanması hususunda öne çıkmaktadır. Uygulamada sıkça rastlanan ve yüzeysel nitelikteki hizmetlerin, kişisel verilerin korunmasının özüne aykırı olduğu açıktır. Böyle bir uygulamanın, tamamlanması gereken eksiklerin halı altına süpürülmesinden farksız olduğu açıktır. Bu alanda hukukçuların teknik destek almadan kişisel verilerin korunması uyum sürecini sağlıklı yürütmesi ne kadar zor ise, içerisinde hukukçu olmayan bir ekiple uyum sürecinin sağlıklı yönetilmesi bir o kadar imkansızdır. Buna benzer örneklerin çok sayıda olmasının sebeplerinden biri, kişisel verilerin korunmasına olan yüzeysel bakış açısıdır. Halbuki, veri mahremiyetinin önemi VERBİS kaydından ibaret değildir. Dahası, VERBİS kaydının tamamlanmış olmasıyla tüm yükümlülükler bertaraf edilmiş sayılmamaktadır.  VERBİS Kayıt Yükümlülüğü Veri Sorumluları Sicili, kamuya açık olarak tutulan ve Kurulun gözetiminde olan bir sicildir. Veri sorumluları, kişisel veri işleme faaliyetine başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır. VERBİS kayıt yükümlülüğüne Kurul kararlarıyla birtakım istisnalar getirilmiştir.    Getirilen istisnalar bakımından önemli olan husus; Sicile kayıt yükümlülüğünden muaf olmanın, kanunun yükümlülüklerinden muafiyet sonucunu doğurmadığıdır. Dolayısıyla, bir veri sorumlusu Sicile kayıt yükümlülüğünden muaf olsa dahi, kişisel verilerin korunması kapsamında kanuni yükümlülüklerini yerine getirmek zorundadır. Bir başka deyişle, Sicile kayıt yükümlülüğünden muafiyet, herhangi bir veri ihlali sonucunda sorumluluğun doğmayacağı ve idari veya cezai sorumluluğun gündeme gelmeyeceği anlamına gelmemektedir. Sonuç olarak, kişisel veri işleme faaliyeti gerçekleştiren her veri sorumlusu, VERBİS’e kayıt olsun olmasın, kişisel verilerin korunması uyum süreçlerini tam ve eksiksiz yerine getirmek zorundadır. YAPTIRIMLAR İdari Yaptırım Sistemi Kişisel verilerin işlenmesi sırasında ortaya çıkabilecek veri ihlalleri veya veri sorumlularının yükümlülüklerini yerine getirmemeleri sonucunda uygulanacak idari yaptırımlar, Kişisel Verilerin Korunması Kanunu m. 18 hükmü kapsamında Kabahatler başlığı altında düzenlenmiştir. KVKK m. 18 kapsamındaki idari para cezalarının 2021’de yeniden değerleme oranına göre uygulanacak olan miktarları şu şekildedir: Aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 9.834 Türk lirasından 196.686 Türk lirasına kadar, Veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 29.503 Türk lirasından 1.966.862 Türk lirasına kadar, Kurul tarafından verilen kararları yerine getirmeyenler hakkında 49.172 Türk lirasından 1.966.862 Türk lirasına kadar, Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 39.337 Türk lirasından 1.966.862 Türk lirasına kadar. Kanunun lafzından yola çıkıldığında, idari para cezalarından sorumluluk yalnızca veri sorumlusu nezdinde gündeme gelmektedir. Her ne kadar veri sorumlusu ve veri işleyenin müştereken sorumlu olduğu kabul edilmiş olsa da yaptırımlar kapsamında buna ilişkin açık bir düzenleme getirilmemiştir. Oysaki, veri sorumlusu-veri işleyen ilişkisi günden güne daha da sık rastlanır hale gelmektedir. Bu durumda, büyük çaplı veri işleme hizmeti vermekte olan veri işleyenlerin açık bir düzenlemeyle sorumluluğa tabi tutulmamasının büyük bir eksiklik teşkil ettiği kuşkusuzdur. Cezai Yaptırım Sistemi Kişisel verilerin korunmasına ilişkin cezai yaptırımlar genel normlarla korunması öngörülmüş ve TCK’nın “Özel Hayatın Gizliliğine İlişkin Suçlar” başlığı altında 135 vd. maddelerinde kişisel verilerin korunmasına ayrılık sonucu ortaya çıkabilecek suç tiplerine yer verilmiştir. Türk Ceza Kanunu’nun 135. maddesi, kişisel verilerin hukuka aykırı bir şekilde kaydedilmesi suçunu ele almakta olup, bu suçun oluşması halinde bir yıldan üç yıla kadar hapis cezası ile sorumluluk gündeme gelecektir. İlgili hükmün ikinci fıkrasında ise cezayı ağırlaştıran haller düzenlenmiş olup, bu halleri mevcudiyeti kapsamında cezanın yarı oranında arttırılması söz konusu olacaktır. Türk Ceza Kanunu’nun 136. maddesinde ise, verileri hukuka aykırı olarak verme veya ele geçirme suçu düzenlenmiştir. Bu hükme göre, verileri hukuka aykırı olarak üçüncü bir kişiye veren veya ele geçiren kişinin, iki yıldan dört yıla kadar hapis cezasıyla sorumlu olması söz konusudur. Öte yandan, Kanunun 137. maddesi, 135. ve 136. madde kapsamındaki suçların nitelikli hallerini düzenlemiştir. TCK m. 137’e göre; “Yukarıdaki maddelerde tanımlanan suçların; kamu görevlisi tarafından ve görevinin verdiği yetki kötüye kullanılmak suretiyle veya belli bir meslek ve sanatın sağladığı kolaylıktan yararlanmak suretiyle işlenmesi halinde, verilecek ceza yarı oranında artırılır.” Kişisel verilerin hukuka aykırı işlenmesi hususuna ilişkin Türk Ceza Kanunu kapsamında bağlayıcı nitelikteki bir başka düzenleme ise Kanunun 138. maddesidir. İlgili madde, verileri yok etmeme suçunu düzenler. Bu maddeye göre; kanunda belirtilen sürelerin geçmiş olmasına karşın veri sorumlusunun, kişisel verileri sistem içinde yok etmemek suretiyle görevini yerine getirmemesi halinde bir yıldan iki yıla kadar hapis cezası verileceğini düzenlemiştir.  İlgili düzenlemeden de açıkça anlaşıldığı üzere, kişisel verilerin hukuka aykırı işlenmesi durumu yalnızca aktif nitelikte bir davranışın olması halinde ortaya çıkmamaktadır. Kanuni süresi geçmiş olan bir verinin yok edilmemesi de kişisel verinin hukuka aykırı işlenmesi kapsamındadır. Dolayısıyla, yalnızca aktif davranışlar değil, aynı zamanda yerine getirilmesi gereken bir yükümlülüğün pasif kalınarak yerine getirilmemesi halinde de idari ve cezai yaptırımlarla karşı karşıya kalınabilecektir. Sonuç olarak, kişisel verilerin işlenmesi kapsamındaki kanuni sürelerin sona ermesiyle birlikte, yok etme veya anonim hale getirme yöntemlerinin uygulanması ve bu doğrultuda veri işleme faaliyetinin sona erdirilmesi gerekmektedir.  ÜÇÜNCÜ BÖLÜM: E-TİCARET HUKUKU KAPSAMINDA KİŞİSEL VERİLERİN KORUNMASI E-TİCARET SEKTÖRÜ AÇISINDAN KİŞİSEL VERİLERİN KORUNMASI Öncelikle elektronik ticaretin tanımı yapılacak olursa; fiziki olarak karşı karşıya gelmeksizin, elektronik ortamda gerçekleştirilen çevrim içi iktisadi ve ticari her türlü faaliyet elektronik ticareti ifade etmektedir.  OECD’ye göre e-ticaret ise; ilgili altyapı dahil olmak üzere, internet gibi özel mülkiyet altında olmayan ağlar üzerinden yapılan işlerdir. DTÖ’ye göre e-ticaret ise; internet erişim hizmetleri, hizmetlerin elektronik ortamda verilmesi ve internet üzerinden dağıtımıdır.   Ticaret sektörünün değişen yapısı ve dijitalleşmenin e-ticaret sektörünü kaçınılmaz kılmasıyla birlikte, işletmeler arasındaki rekabet düzeyi daha da artmış ve bu durum firmaların ticari stratejilerini de şekillendirmiştir. Firmaların bu yönelimi ise, veri işleyen ve depolayan kişilerce veri satışlarının gerçekleştirilmesi sonucunu doğurmuştur. Böylelikle, kişisel veriler pazarlama faaliyeti konusu olup bir sermaye unsuru haline gelmiştir. Buna karşın, kişisel verilerin korunması hem AİHS m. 8 hem de AY m. 20 ek hükmü bağlamında temel hak statüsündedir. Dolayısıyla, kişisel verilerin bir sermaye unsuru olmaktan öte; elde ediliş amacı doğrultusunda ve ilgili kişi olarak adlandırılan veri sahibinin bilgisi dahilinde işlenmesi, ayrıca işlenme amacının sona ermesi halinde ise anonim hale getirme, silme veya yok etme gibi yöntemlerle bu veri işleme faaliyetinin durdurulması gerekmektedir. Buna riayet edilmediği takdirde, kişisel verilerin korunması hakkı yasalar çerçevesinde koruma altına alınmış olduğundan hem idari yaptırım olarak KVKK kapsamında hem de cezai yaptırım olarak TCK kapsamında ayrı ayrı sorumluluk gündeme gelecektir. E-TİCARET KANUNU (ETDHK) KAPSAMINDA TİCARİ ELEKTRONİK İLETİ VE KİŞİSEL VERİLERİN KORUNMASI 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun’un 2. maddesinin ilk fırkasının c bendine göre ticari elektronik ileti; telefon, çağrı merkezleri, faks, otomatik arama makineleri, akıllı ses kaydedici sistemler, elektronik posta, kısa mesaj hizmeti gibi vasıtalar kullanılarak elektronik ortamda gerçekleştirilen ve ticari amaçlarla gönderilen veri, ses ve görüntü içerikli iletileri ifade etmektedir.  E-Ticaret Hukukunun temeli olan 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun (ETDHK) kapsamında ticari elektronik iletilere ilişkin kişisel verilerin korunması bağlamında çeşitli hükümler mevcuttur. Öncelikli olarak, ETDHK m. 6 hükmü uyarınca, ticari elektronik iletiler, alıcılara ancak önceden onayları alınmak kaydıyla gönderilebilir. Burada bahsedilen onayın, yazılı olarak veya elektronik iletişim araçlarıyla alınması gerekmektedir.  Ayrıca, ilgili maddenin son fıkrası uyarınca esnaf ve tacirlere önceden onay alınmaksızın ticari elektronik iletiler gönderilebilmesi mümkündür. Öte yandan; ETDHK m. 7 hükmü, ticari elektronik iletinin içeriğine ilişkin kuralları düzenlemiştir. İlgili maddede, ticari elektronik iletinin alıcının onayı ile bağdaşır nitelikte olması gerektiği hükme bağlanmıştır. Ayrıca maddenin ikinci fıkrasında, hizmet sağlayıcının tanınmasını sağlayan bilgilerin de yer alması gerektiği düzenlenmiştir. Son fıkrada ise iletinin konusu, amacı ve başkası adına yapıldığı hallerde kimin adına yapılacağının yer alması gerektiği belirtilmiştir.  Dahası, ETDHK m. 8 hükmü uyarınca, alıcılar diledikleri zaman ticari elektronik ileti almayı reddetme hakkına sahiptir. Son olarak, ETDHK’nın kişisel verilerin korunması başlıklı 10 maddesi; hizmet sağlayıcının ve aracı hizmet sağlayıcının, kişisel verilerin saklanmasından ve güvenliğinden sorumlu olduğunu hükme bağlamıştır. Ayrıca bu kişisel verilerin, veri sahibinin onayı olmaksızın bir başkasına aktarılamayacağı da bu hüküm kapsamında düzenlenmiştir.  Görüldüğü üzere, ETDHK kapsamındaki ilgili hükümler ile, 6698 sayılı Kanun hükümleri belli noktalarda örtüşmektedir. Nitekim, “onay” kavramının açık rıza ile örtüştüğü söylenebilir. Ayrıca, hizmet sağlayıcının bilgilerinin yer alması hususu, veri sorumlusunun aydınlatma yükümlülüğü için gerekli asgari içeriklerle örtüşmesi söz konusudur. ETDHK m. 8 hükmü ise KVKK m. 11 kapsamındaki ilgili kişinin hakları hükümleriyle aynı doğrultudadır. ETDHK m. 10 ise açıkça kişisel verilerin korunması başlığı altında düzenlenmiş olup, yine aynı hususa ilişkin bağlayıcı hükümleri içermektedir. Kişisel Verileri Koruma Kurulunun ticari elektronik iletilere ilişkin ilk kararı, 16.10.2018 tarih ve 2018/119 sayılı karardır. Kararın konusu reklam içerikli iletiler olup, KVKK m. 5 kapsamındaki işleme şartları sağlanmadan veri işleme faaliyeti niteliğinde ticari elektronik iletilerin gönderilmesi işleminin derhal durdurulmasına karar verilmiştir. Ayrıca, veri sorumlusu ve veri işleyenin, KVKK m. 12 kapsamında yükümlülüklere ilişkin müştereken sorumlu olduğu belirtilmiştir. Sonucunda ise, KVKK m. 18 kapsamında idari yaptırıma tabi olunacağı ve TCK m. 136 kapsamında cezai yaptırım uygulanacağı ifade edilmiştir.  E-Ticaret Kanunu’na atıf yapılan güncel bir karar ise, 16.01.2020 tarihli ve 2020/34 sayılı karardır. Kararın konusu, dergi aboneliği işlemleri için verilmiş olan bir telefon numarasının, bir gıda şirketinin reklamının yapılması amacıyla aranmasıdır. İlgili kişi yazılı başvuruda bulunmuş fakat veri sorumlusunun yanıtını yetersiz bularak Kurula şikayet hakkını kullanmıştır. Bunun üzerine Kurul bu durumu kişisel verinin elde ediliş amacından farklı bir amaç için kullanılması olarak değerlendirmiş ve KVKK m. 4’e aykırı görmüştür. Ayrıca, kişisel verinin farklı bir amaç doğrultusunda işlenmesi söz konusu olacak ise, ilgili kişinin açık rızasının alınması gerektiğine değinilmiştir. Sonucunda, KVKK m. 12 f. 1 b. a hükmüne aykırılık kapsamında KVKK m. 18 f. 1 b. b uyarınca 18.000 TL idari para cezası uygulanmasına karar vermiştir.  Ticaretin gelişen teknolojiye adapte olmasıyla birlikte ivme kazanması göz önünde bulundurulduğunda, EDI teknolojisinin firmalara bu anlamda önemli bir katkıda bulunduğu sonucuna varılabilir. Başka bir deyişle, EDI teknoloji sayesinde şirketler bu ivmeyi yakalama olanağına sahip olmaktadırlar. Bunun yanı sıra, her ne kadar B2B ticaret şekli kapsamına bu sistem kullanılıyor olsa da elektronik verilerin içerikleri kişisel veri niteliğini haiz olabilir. Bu bağlamda; her ne kadar veri alışverişinin bir tarafı tüketici olmasa da iletilerin kişisel veri içeriğine sahip olduğu faaliyetler kapsamında, ilgili faaliyetlerin veri sorumlularının kişisel verilerin korunması hususunda öngörülen teknik ve idari tedbirleri almaları ve bunun dışında faaliyetlerin Kişisel Verilerin Korunması Hukuku hükümlerine aykırılık teşkil etmemesi gerekmektedir. E-TİCARET HUKUKU KAPSAMINDA ÖRNEK BİR KARAR: AMAZON TÜRKİYE KARARI XIII.Kişisel Verileri Koruma Kurulu’nun güncel kararlarından biri olan Amazon Türkiye kararı, kişisel verilerin yurtdışına aktarımı ve ticari elektronik iletilere ilişkin önemli nüansları barındırmaktadır. İlgili kişinin temel iddiası; amazon.com.tr sitesine üyelik oluşturma sırasında, ticari elektronik iletilerin gönderilmesine ilişkin herhangi bir şekilde açık rızanın alınmadığı, açık rıza alınması kuralının istisnalarından birinin varlığının da beyan edilmediği yönündedir. Bununla birlikte, çerez politikasının da hukuka aykırı olduğu ileri sürülmüştür. Ayrıca, ilgili siteden alışveriş yapılabilmesi için üye olunmasının zorunlu olduğu, üye olurken birtakım şartların kabul edilmesi gerektiğinden dolayı da bu durumun özgür iradeyi zedeleyen nitelikte olduğundan açık rıza sayılamayacağı ileri sürülmüştür. Bununla birlikte, ilgili sitede kişisel verilerin yurtdışına aktarıldığına dair ibareler bulunduğu belirtilmiş ve yurtdışı aktarımı için kişiden açık rıza alınmadığı öne sürülmüştür. Bunun üzerine veri sorumlusu, ilgili kişinin iddialarının dayanaktan yoksun olduğunu, ayrıca bu siteye kayıtlı müşterilerin diledikleri zaman kolayca iletişim tercihlerini değiştirerek ticari elektronik ileti almayı reddedebildiklerini beyan etmiştir. Yurtdışına aktarım hususunda ise, Gizlilik Bildiriminin onaylanmasının bu durumun kabulü anlamına geldiğinden açık rıza niteliğinde olduğu ve iddiaların asılsız olduğu belirtilmiştir. Kurul, bunun üzerine gerekli incelemeyi başlatarak hukuka aykırılığın tespiti yönünde çalışmalarda bulunmuştur. Bunun üzerine, üyelik bilgilerinin kaydedilmesi sırasında açık rıza alınmadığı ve yalnızca reklam ve pazarlama e-postalarının gönderiminin iptal edildiği bir seçenek yer aldığı tespit edilmiştir. Bu durumda açık rızanın hukuka uygunluğu irdelenmiş ve rızanın otomatik onay şeklinde değil, özgür iradeyle ve işlemin sonuçlarını öngörerek verilmesi gerektiği belirtilmiştir. Öte yandan Kurul, veri sorumlusunun savunmasında yer alan Gizlilik Bildirimi uygulamasının genel geçer nitelikte olmasından dolayı açık rıza sayılamayacağına değinmiştir. Dolayısıyla, veri sorumlusunun KVKK m. 12 kapsamındaki yükümlülüklerini yerine getirmediği kanaatine varılmıştır. Açık rıza alınmadan işlem yapılması ve hizmetten yararlanmanın açık rıza alınmış olması şartına bağlanmasının KVKK m. 4 kapsamında açık rıza için gereken unsurların bulunmamasından dolayı hukuka aykırılık teşkil edeceğine işaret edilmiştir. Ayrıca açık rızanın genel nitelikte olamayacağını, “battaniye rıza” kapsamına giren beyanların hukuka uygun sayılamayacağına değinilmiştir. Tüm bunların sonucu olarak; KVKK m. 4’te yer alan genel ilkelere aykırılığın olduğunu, veri sorumlusunun açık rıza almamasından dolayı kişisel verilerin aktarılmasına ilişkin hükümlere aykırı hareket ettiğini, yurtdışına aktarım ile ilgili ise açık rıza beyanının yokluğundan dolayı KVKK m. 9’da yer alan şartlara uygunluğun sağlanmadığını karara bağlamıştır. Bu doğrultuda ise; KVKK m. 18 f. 1 b. b uyarınca 1.100.000 TL idari para cezası ve KVKK m. 18. f. 1 b. a uyarınca 100.000 TL idari para cezası uygulanmasına karar verilmiştir. Ayrıca, veri sorumlusunun kişisel verilerin korunması kapsamındaki yükümlülüklerine ilişkin düzenlenmesi gereken tüm metinlerin güncellenmesi ve hukuka uygunluğun sağlanıp Kurul’a bildirilmesi yönünde karar alınmıştır.  SONUÇ Kapitalizmin hüküm sürdüğü bu çağda “kişisel veri” her ne kadar meta haline dönüştüyse de özünde temel insan haklarından biri olma özelliğini korumaktadır. Günümüzde kişisel verilerimizin adeta birer sermaye unsuru haline gelmiş olduğu açıktır. Bundan yola çıkarak, olası ihlallerin önlenmesi amacıyla çalışmanın ilgili bölümlerinde değinilen birtakım düzenlemeler getirilmiş ve bu ilgili düzenlemeler çerçevesinde birtakım önlemler alınmıştır. Kişisel verilerin korunması hakkı, bu düzenlemelerin de ötesinde gerek Avrupa İnsan Hakları Sözleşmesi gerekse Türkiye Cumhuriyet Anayasası bağlamında korunan bir haktır. Dolayısıyla, para ile ölçülebilen bir değerden çok öte ve insanın insan olmasından dolayı sahip olduğu haklardan biri olan kişisel verilerin korunması hakkının, insan onurunu korumaya da büyük ölçüde hizmet ettiği sonucuna ulaşılması mümkündür. Veri koruma bilincinin dijitalleşmeye birlikte oluşmaya başladığı gözlemlenmiştir. Teknolojinin, ticari faaliyetler de dahil olmak üzere hayatın hemen hemen tüm alanlarına sirayet etmesi sonucu, verinin çok daha hızlı ve geniş alanlarda dolaşım halinde olması söz konusu olmuştur. Öyle ki, elektronik ticaret olarak adlandırılan yeni bir alan geliştirilmiş olup, bu alanın, ticaretin büyük payını alma potansiyeline sahip olduğu söylenebilir. Global düzeyde yayılan verilerin kişisel veri niteliğini haiz olduğu durumlarda ise, kişilerin haklarına müdahale sayılabilecek davranışlar ve faaliyet biçimleri vücut bulmaya başlamıştır. Bunun üzerine, önce Avrupa’da yürürlüğe konulan düzenlemelerle, daha sonra ise hukukumuzda yer alan düzenlemeler kapsamında kişisel verilerin korunması hakkı yasal düzlemde koruma altına alınmıştır. Her ne kadar Türk Hukukunda bu hakkın yasal korumaya sahip olması olumlu bir gelişme olsa da hukukumuzda yürürlükte olan Kişisel Verilerin Korunması Kanunu kapsamında güncellemelerin yapılması, hükümlerin daha açık ve uygulanabilir hale getirilmesi gerektiği açıktır. Genel Veri Koruma Tüzüğü ile kıyaslandığında, ulusal düzenlemeler bakımından daha fazla yol kat edilmesi ve bu anlamda tıkanıkların giderilmesi gerektiği su götürmez bir gerçektir. Nitekim, kanunumuzda uygulanabilirliği oldukça zayıf olan hükümler mevcuttur. Örneğin; KVKK m. 9’da ele alınan, kişisel verilerin yurtdışına aktarılmasına dair henüz kanun hükmünün işlerlik kazandığı bir örnek mevcut değildir. Günlük hayatta kullanılan birçok elektronik iletişim aracı yoluyla dahi, sayısız yurtdışı veri aktarımı söz konusudur. Öte yandan, henüz bir ülkenin taahhüdü kabul edilmemiş olmasından öte, güvenli ülke listesi de yayınlanmış değildir. Burada iki husus arasında karar verilmesi gerekmektedir. Birincisi, yurtdışı aktarım yasağının uygulanabilir hale gelmesi için zemin hazırlamak ve kişilere alternatif imkanları sağlamak ki bu kısa vadede pek gerçekçi olmayacaktır. İkincisi ise, uygulamada mevcut olan ve yurtdışı veri aktarımı teşkil eden faaliyetlerin çerçevesini belirleyerek hukuka uygun bir şekilde gerçekleştirilmesini sağlamaktır. Kanaatimce; Kurul, kişisel verilerin aktarılması ve bulut servislerin kullanımı ile ilgili “yerelleşme” yönünde bir politika izlemektedir. Böyle bir amaca hizmet ediliyor ise, yerel altyapıların ve bulut servislerin daha ivedi şekilde geliştirilmesi gereklilik arz etmektedir. Nitekim, birçok faaliyet sonucu idari ve cezai yaptırımlar uygulanmaktadır ve bazı durumlarda veri sorumlularına uygulanan bu yaptırımlar ölçüsüz olabilmektedir. Bir başka husus; kişisel verilerin korunması hakkının, ezbere bir uygulama silsilesinin parçası olmaktan öte, özümsenmesi ve günlük hayata geçirilmesi gereken ve birçok temel insan hakkıyla da bağlantılı olduğundan, oldukça önem arz eden bir hak olduğudur. VERBİS kayıtları için verilen, hukuksal temellendirmelerden oldukça uzak, sadece iş bitirmeye yönelik ve tabiri caizse halı altına süpürme niteliğindeki uygulamalar, bu hususun insanların bakış açısında niteliksiz hale gelmesine yol açmaktadır. Halbuki, böylesine hassas ve önemli bir alanda, yalnızca bu kapsamda yetkinliğe sahip insanların çalışmalar yürütmesi gerekir. Bu doğrultuda; kişisel verilerin korunmasına yönelik, çerçevesi yasal düzenlemelerle çizilmiş bir yetkinlik şartının getirilmesi ve gerek danışmanlık faaliyetlerinin gerekse uyum projelerinin yalnızca bu çerçeve kapsamındaki yetkin kişilerce yerine getirilmesi gerekmektedir. Son olarak, endüstri 4.0 tanımıyla da bilinen yapay zeka çağında e-ticaret gibi veri temelli birçok yeni sektörün oluşması ve yeni istihdam türlerinin ortaya çıkması kuvvetle muhtemeldir. Bu yüzdendir ki, veri koruma hususundaki yasal düzenlemelerin önleyici nitelikte olması oldukça önemlidir. Olası problemlerin en azından öngörülebilir kısmı bakımından yasal düzenlemelerin iyileştirilmesi dahi olumlu bir adım sayılabilecektir. Bilinmelidir ki, hukukun işlerlik kazanabilmesi; yaptırım uygulamaktan öte, toplumun tüm bireyleri için en temel gereklilik olan “insanca yaşamanın” güvence altına alınmasıyla mümkündür.