MEDENİ HUKUK AÇISINDAN KİŞİSEL VERİLERİN KORUNMASI KANUNU’NUN UYGULAMA ALANI VE GENEL HUKUKA UYGUNLUK SEBEPLERİ (THE APPLICATION SPHERE OF PERSONAL DATA PROTECTION CODE AND GENERAL JUSTIFICATION GROUNDS OF PROCESSING FROM THE PERSPECTIVE OF CIVIL LAW)* Dr. Nafiye Yücedağ** ÖZ 24 Mart 2016 tarihinde kabul edilmiş ve 7 Nisan 2016 gün ve 29677 sa- yılı Resmi Gazete yayımlanmış olan 6698 sayılı Kişisel Verilerin Korunması Kanunu, temelde, 95/46/AT sayılı Yönerge’yi esas almıştır. Öte yandan, uygu- lama alanı ve genel hukuka uygunluk sebepleri açısından, Kanun’da, Yöner- ge’den farklı düzenlenmiş hususlar da bulunmaktadır. Bu düzenlemelerin bazı- ları ilgili kişiye Yönerge’ye nazaran daha fazla koruma sağlarken, bazıları ise, ilgili kişinin korunmaya değer menfaatini yeter düzeyde dikkate almamaktadır. Bu çalışmada, söz konusu düzenlemeler, Kanun’un amacına uygun olarak, diğer bir deyişle, ilgili kişinin, temel hak ve özgürlüklerinin özellikle özel haya- tın gizliliğinin korunması amacına uygun olarak ve ayrıca 95/46/AT sayılı Yö- nerge’ye ilişkin benzerlikler ve farklılıklar da gözetilerek değerlendirilmiştir. Anahtar Kelimeler: Kişisel Veriler, Hukuka Uygunluk Sebepleri, Uy- gulama Alanı ABSTRACT The Turkish Data Protection Code numbered 6698 which was accepted on 24 March 2016 and has been published on the Official Gazette dated on 7 April 2016 and numbered 2967 is mainly inspired by the 95/46/EC Directive. However, some provisions related to the application sphere and general justifi- cation grounds in the Turkish Data Protection Code differ with respect to those under the 95/46/EC Directive. While some of these provisions of the Code ma- intain further protection provided by the Directive to the data subject, others do not sufficiently safeguard the interest of the data subject. In this study, these provisions of the Data Protection Code have been evaluated in line with the aim of the Code, that is to say the protection of fundamental rights and freedoms, particularly the right to private life of the data subject. The similarities and diffe- rences compared to the 95/46/EC Directive have also been considered. Keywords: Personal Data, Justification Grounds, Application Sphere *** * Bu makale, 23.11.2017 tarihinde Editörler Kurulu’na ulaşmış olup birinci hakem ona- yından 04.12.2017 tarihinde, ikinci hakem onayından 11.12.2017 tarihinde geçmiştir. Bu çalışma, İstanbul Üniversitesi Bilimsel Araştırma Projeleri Birimi tarafından 22062 numaralı proje ile desteklenmiştir. ** İstanbul Üni. Hukuk Fak. Medeni Hukuk Anabilim Dalı, [email protected] 766 Dr. Nafiye Yücedağ (İÜHFM C. LXXV, S. 2, s. 765-790, 2017) Giriş 24 Mart 2016 tarihinde kabul edilmiş ve 7 Nisan 2016 gün ve 29677 sa- yılı Resmi Gazete yayımlanmış olan 6698 sayılı Kişisel Verilerin Korunması Kanunu1, temelde Kişisel Verilerin İşlenmesinde ve Serbest Dolaşımında Birey- lerin Korunmasına İlişkin 95/46/AT sayılı Yönergesi’nden2 esinlenmiştir. Türk kanun koyucusunun esas aldığı, 95/46/AT sayılı Yönerge, veri koruma alanın- da çerçeve düzenlemeler getirmektedir. Bu nedenle de üye ülkelerin iç hukuk- larında kendilerine tanınan serbesti çerçevesinde, Yönerge’ye nazaran daha detaylı düzenlemeler yaptığı görülmektedir. Türk Hukuku’nda da, Kişisel Veri- lerin Korunması Hakkında Kanun’un uygulanması için pek çok Yönetmelik kısa zamanda kabul edilecektir. Keza bu husus Kanun’un çeşitli maddelerinde de ifade edilmiştir (örneğin; bkz. KVKK m. 7, m. 23, m. 25, m. 31). Bu doğrul- tuda, çalışmada, Kişisel Verilerin Korunması Kanunu’nun uygulama alanının belirlenmesine ve genel hukuka uygunluk sebeplerine ilişkin yol gösterici ol- mak üzere, Alman, İsviçre ve 95/46/AT sayılı Yönerge düzenlemelerinden ya- rarlanılmış ve Medeni Hukuk açısından Kişisel Verilerin Korunması Kanu- nu’nun kişi, konu ve zaman bakımından uygulama alanı tespit edilerek, kişisel verilerin işlenmesinde genel hukuka uygunluk sebepleri üzerinde durulmuştur. I. Kişisel Verilerin Korunması Kanunu’nun Uygulama Alanı Kişisel Verilerin Korunması Kanunu’nun uygulama alanı bu çalışmada kişi, konu ve zaman bakımından olmak üzere üç başlık altında açıklanacaktır. Çalışmanın kapsamı, Medeni Hukuk alanı ile sınırlı olduğundan, Kanun’un yer bakımından uygulama alanı incelenmemiştir. A. Kişisel Verilerin Korunması Kanunu’nun Kişi Bakımından Uygu- lama Alanı Kişisel Verilerin Korunması Kanunu m. 3(d) bendinde kişisel veri “kimliği belirli veya belirlenebilir olan gerçek kişiye ilişkin bilgi” olarak tanımlanmıştır. Benzer şekilde 95/46/AT sayılı Yönerge m. 2(a) bendinde de aynı tanım yapıl- mıştır. Kişisel verilerin belirli ya da belirlenebilir gerçek kişiye ilişkin olması gerekir. Kişisel Verilerin Korunması Kanunu, 95/46/AT Yönergede olduğu gibi sadece gerçek kişileri kapsamına almakta ancak tüzel kişileri dışlamaktadır. İsviçre Veri Koruma Kanunu m. 3 (b) hükmüne göre ise, ilgili kişi, kişisel verisi işlenen gerçek ya da tüzel kişi olabilir. Kişilik sağ ve tam doğmak şartıyla ceninin ana rahmine düştüğü andan itibaren başlar (TMK m. 28) ve ölümle sona erer. Ölümle kişilik sona ereceğin- den, ölen kişinin kişisel verileri Kişisel Verilerin Korunması Kanunu kapsamın- da korunmayacaktır3. Bu çerçevede meselenin, Medeni Hukukta ölüm sonrası 1 6698 Sayılı Kişisel Verilerin Korunması Kanunu, 7 Nisan 2016 tarih ve 29677 sayılı Resmi Gazete (“KVKK”). 2 Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data (“95/46/AT sayılı Yönerge” ya da ”Yönerge”). 3 İsviçre Hukuku’nda bu yönde bkz. Beat Rudin, Datenschutzgesetz, ed. Bruno Bae- riswyl/Kurt Pärli, Stämpflis Handkommentar, 2015, Art. 2, Nr. 13. Medeni Hukuk Açısından Kişisel Verilerin Korunması Kanunu’nun Uygulama 767 Alanı ve Genel Hukuka Uygunluk Sebepleri kişilik hakkı değerlerinin korunmasına ilişkin tartışmalar çerçevesinde çözüm- lenmesi gerekecektir. 95/46/AT sayılı Yönerge’de küçüklerin kişisel verilerinin işlenmesine ilişkin özel bir düzenleme bulunmamakla birlikte, Avrupa Birliği Veri Koruma- sına İlişkin Tüzük’de, küçüklerin kişisel verilerinin işlenmesine ilişkin detaylı düzenlemeler getirilmiştir. Örneğin, Tüzük m. 8(1) hükmünde, 16 yaşından küçüğün kişisel verilerinin işlenmesi için velisinin ya da vasisinin rızası gerek- lidir. Küçüklerin kişisel verilerinin işlenmesine ilişkin özel bir düzenleme geti- rilmesi ihtiyacı, onların özellikle korunmaya muhtaç olmasından kaynaklanır. Yönerge’de olduğu gibi, KVKK'da küçüklerin kişisel verilerinin işlenmesine iliş- kin herhangi bir özel düzenleme getirilmemiştir. Küçüklerin kişisel verilerinin işlenmesine ilişkin sorunların da kişilik haklarına ilişkin tartışmalar çerçeve- sinde çözümlenmesi gerekir. B. Kişisel Verilerin Korunması Kanunu’nun Konu Bakımından Uygu- lama Alanı KVKK m. 3(d) bendine göre kişisel veri kimliği belirli veya belirlenebilir olan gerçek kişiye ilişkin her türlü bilgiyi ifade eder. Kişinin yaşı, mesleği, bilgi- sayarının IP numarası, kan grubu gibi bir ya da birden çok unsurun dikkate alınarak kişinin belirlenebilir olması yeterlidir. Yine genetik bilgiler, parmak izleri görüntü ve ses kayıtları da kişiyi belirlenebilir kıldıkları ölçüde kişisel veri niteliğindedir. İlgili kişiyi belirlenebilir kılan bilgilerin bazıları, veri sorumlusunun elin- de olmayabilir. Başka bir kişi ya da kurumdan ek bilgi elde edilerek ilgili kişi belirlenebiliyorsa, ek bilgiye sahip olmayan veri sorumlusu açısından, verinin, kişisel veri sayılıp sayılmayacağının tespit edilmesi gereklidir. İlgili kişiyi belir- lenebilir kılan bütün bilgilerin, veri sorumlusunun elinde olup olmaması mese- lesi özellikle Alman Hukuku’nda tartışmalıdır. Alman Hukuku’nda hâkim fikre göre, sadece veri sorumlusunun elindeki bilgi, kaynak ve imkânlar ile ilgili kişi belirlenebilir ise, verinin, kişisel veri sayılması mümkündür4. Yoksa herhangi bir üçüncü kişinin elindeki bilgi, belge ve imkânlar dikkate alınmamalıdır. Bu- rada esas alınan ölçütün “görece ölçüt” olduğu ifade edilmektedir5. Öte yandan, Almanya Federal Mahkemesi tarafından, Avrupa Birliği Adalet Divanı önüne, ön karar için getirilen bir meselede, ABAD, Alman Hukukundaki çoğunluk gö- rüşünü benimsememiştir. Karara konu olayda, ilgili kişinin bilgisayarının IP adresi, ziyaret ettiği Alman Federal Kurumlarına ait internet sitelerine karşı siber saldırıların önlemesi ve korsanla mücadele amacıyla elde edilmiştir6. ABAD'a önkarar yoluyla yöneltilen ilk soru, yer sağlayıcının kendi sitesine eri- şim halinde elde ettiği IP adresinin, üçüncü bir kişiden (erişim sağlayıcı) ek 4 Peter Gola/Klug Christop/Barbara Körffer, Bundesdatenschutzgesetz Kommentar, ed. Peter, Gola/Rudolf Schomerus/Klug Christop/Körffer Barbara, 12. überarbeitete und ergänzte Auflage, C.H. Beck, 2015, § 3 Nr. 10; Ulrich Dammann, Bundesdatensc- hutzgesetz Kommentar, ed. Spiros Simitis, 8. Auflage, 2014, § 3 Nr. 32; ayrıca bkz. BGH, MMR, 2015, Nr. 132. 5 Gola/Klug/Körffer, § 3 Nr. 10; Dammann, § 3 Nr. 32; ayrıca bkz. BGH, MMR, 2015, Nr. 132; Türk Hukuku’nda bu görüşte bkz. Hüseyin Can Aksoy, Medeni Hukuk ve Özellikle Kişilik Hakkı Yönünden Kişisel Verilerin Korunması, Çakmak Yayınevi, Anka- ra, 2010, s. 27. 6 Breyer v. Federal Republic of Germany, 19 Ekim 2016 tarihli ve C-582/14 sayılı ABAD kararı. 768 Dr. Nafiye Yücedağ (İÜHFM C. LXXV, S. 2, s. 765-790, 2017) bilgi elde edilmesiyle ilgili kişiyi belirlenebilir kılmasına rağmen, kişisel veri sayılıp sayılmayacağıdır7. Zira IP adresinin kime ait olduğunun belirlenmesi ancak bir erişim sağlayıcıdan elde edilecek ek bilgi ile mümkün olacaktır. ABAD'a göre kişinin belirlenebilir sayılması için, ilgili kişiyi belirlenebilir kılan bütün verilerin, veri sorumlusunun elinde bulunması gerekli değildir8. Gerçek- ten de 95/46/AT sayılı Yönergenin Giriş kısmının 26. paragrafında "veri sorum- lusu ya da herhangi bir üçüncü kişi tarafından ilgili kişiyi belirlemek için kulla- nılması mümkün olan her türlü imkânın" dikkat alınması gerektiği belirtildiğine göre, ilgili kişiyi belirlenebilir kılan bütün verilerin veri sorumlusunun elinde olması zorunlu değildir. Ancak ek bilgiye ulaşılması, hukuken yasaklanmış olmamalı ve zaman, emek ve masraf bakımından aşırı güçlüğü beraberinde getirmemelidir9. ABAD, söz konusu kararla Alman Hukuku’nda azınlık görüşü tarafından kabul edilen “objektif ölçütü” benimsemiştir10. Kişisel Verilerin Korunması Kanunu sistematiğinde verilerin özel nitelikli veriler (hassas veriler) ve özel nitelikli veriler dışında kalan veriler şeklinde tas- nif edildiği görülmektedir. Hassas veriler, “Özel Nitelikli Kişisel Verilerin İşlen- me Şartları” başlığı altında KVKK m. 6 hükmü altında düzenlenmiştir. Bu hükme göre, "Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeli- ği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir". Hassas veriler, sınır- lı sayı ilkesine tabi tutulmuştur11. Yorum yöntemiyle hassas verilerin kapsamı- nın genişletilmesi mümkün değildir. Hassas veriler ancak KVKK m. 6 hükmün- de yer alan istisnai hallerde işlenebilir. Hassas veriler kanunda belirtilen haller dışında işlenemeyeceğinden, bu veriler bakımından "kesin işlem yasağı" mevcuttur12. 95/46/AT sayılı Yönerge'de her ne kadar "biyometrik ve genetik veriler" hassas veriler olarak belirtilmemiş olsa da, KVKK'da bu verilerin kapsama alınması, Avrupa Birliği Kişisel Verilerin Korunmasına İlişkin Tüzük’e uygun- 7 IP adreslerinin kişisel veri sayılması hususunda ayrıntılı bilgi için bkz. Nafiye Yücedağ, “The Protection Of IP Addresses In Peer-To-Peer (P2P) Networks”, 13th International Conference on Internet, Law & Politics “Managing Risk in the Digital Society", Barselo- na, İspanya, 29 Haziran - 30 Eylül 2017, s. 342-357, (çevrim içi erişim, 11.10.2017, http://www.huygens.es/ebooks/IDP_2017.pdf ). 8 Breyer v. Federal Republic of Germany, 19 Ekim 2016 tarihli ve C-582/14 sayılı ABAD kararı, Nr. 43. 9 Breyer v. Federal Republic of Germany, 19 Ekim 2016 tarihli ve C-582/14 sayılı ABAD kararı, Nr. 46. 10 Breyer v. Federal Republic of Germany, 19 Ekim 2016 tarihli ve C-582/14 sayılı ABAD kararı, Nr. 25. 11 Bkz. Cemil Kaya, “Avrupa Birliği Veri Koruma Direktifi Ekseninde Hassas (Kişisel) Veriler ve İşlenmesi”, İstanbul Üniversitesi Hukuk Fakültesi Mecmuası, C. LXIX, S. 1- 2, Y. 2011, s. 319. Ancak bkz. İsviçre kanun koyucusunun iradesinin soyut kategoriler ile hassas verileri tasniflemek şeklinde olmasının yerinde olmadığı, esasen tehlikenin bu tür verilerin kullanım amacı bakımından doğduğu ve bu amaç dikkate alınarak bir değerlendirme yapılması gerektiği yönünde Rudin, Art. 3, Nr. 20. Öte yandan mali veri- ler hassas veri kapsamına alınmamıştır. Ancak örneğin 5411sayılı: 19/10/2005 tarihli Bankacılık Kanunu m. 73 hükmüne göre bankalar bakımından sır saklama yükümlü- lüğü getirilmiştir. 12 Hayrunissa Özdemir, Elektronik Haberleşme Alanında Kişisel Verilerin Özel Hukuk Hükümlerine Göre Korunması, Seçkin Yayınları, Ankara, 2009, s. 127. Medeni Hukuk Açısından Kişisel Verilerin Korunması Kanunu’nun Uygulama 769 Alanı ve Genel Hukuka Uygunluk Sebepleri dur. Ancak bu uygunluk tam değildir. Zira Tüzük’de biyometrik ve genetik veri- lerin işlenmesinin sadece gerçek kişinin kimliğini belirlemek amacıyla yapılma- sı halinde bu verilerin hassas veri olarak kabul edileceği ve işlenmelerinin kai- deden yasak olduğu düzenlenmiştir13. Bu çerçevede bir kişinin parmak izi, fo- toğrafı, görüntüsü ya da sesi her durumda hassas veri olarak kabul edilmeye- cek, sadece bu verinin özel bir teknoloji ile işlenmesindeki yegane amaç kişinin kimliğini tespit ise veri, hassas veri olarak kabul edilecektir14. İşlemenin kişinin kimliğini tespit amacı dışında gerçekleştirildiği durumlarda ise, ilgili kişi belirli ya da belirlenebilir ise, veriyi, normal veri15 olarak kabul etmek gerekecektir; ancak artık hassas veriden söz edilemeyecektir. Örneğin, bir bankanın müşteri- lerinin kimliklerini ses tanımlama sistemi ile saptaması halinde, ses kaydı has- sas veri niteliğinde sayılır. Ancak bir çağrı merkezi müşteri memnuniyetini sağ- lamak, yapılan işleme ilişkin ispat külfetini yerine getirmek gibi amaçlarla ses kaydı alıyorsa, ses kaydı, hassas veri niteliğini haiz kabul edilmemelidir. Esa- sen özel bir teknoloji ile işleme sonucunda bir kişinin psikolojik, fiziksel ya da karakteristik özelliklerine ilişkin olan ve ilgili kişinin yegane kimliğinin tanım- lanmasını sağlayan ya da doğrulayan veri, biyometrik veridir16. Biyometrik veri kavramının bu özelliği gereği, KVKK m. 6(3) hükmünde açıkça “özel bir teknolo- ji ile işleme neticesinde bir kimsenin kimliğini doğrulama amacıyla işlenen veri- ler genetik ve biyometrik veri” sayılır ibaresine yer verilmemiş olması, bir farklı- lık yaratmayacaktır. Kanaatimizce Türk Hukukunda genetik ve biyometrik veri- lerin özel bir teknoloji ile işlenmesindeki amaç kimlik tanımlaması veya doğru- laması ise, bu verilerin, biyometrik ve genetik veri sayılması yerinde olacaktır. Aksi takdirde, kişinin alışveriş merkezi ya da işyerinde görüntüsü alınmışsa, işlemenin hukuka uygun kabul edilmesi için KVKK m. 6 hükmünde belirtilen hassas verilere ilişkin sebeplerin bulunması gerekir ki, bu da hukuka uygunluk için aranması gereken ölçütün oldukça yukarı çekilmesi sonucunu doğurur. Öte yandan fotoğraf ya da görüntünün, bir kimsenin dini ya da felsefi inancını yansıtması halinde, hassas veri sayılması gerektiği belirtilmektedir17. Bu görüşe göre, makul bir kimsenin, bir fotoğraf ya da görüntüden bir kimse- nin etnik kökenini, dini inancını anlaması bekleniyorsa, söz konusu veriyi has- sas veri saymak gerekecektir. Bu durumda bir kimsenin öğrenci kimliği ya da nüfus cüzdanında yer alan siyahi olduğunu gösterir ya da müslüman olduğunu gösterir başı örtülü fotoğrafı, hassas veri niteliğindedir. Ancak bu tür bir kabu- lün yerinde olup olmadığı hususu üzerine düşünülmesi gereklidir. Zira nere- deyse her fotoğraf, ilgili kişinin etnik kökenini bir ölçüde dış dünyaya yansıt- maktadır. Bu nedenle de bir fotoğrafın hassas veri sayılması için başkaca un- 13 Tüzük, m. 9(1). 14 Bkz. Tüzük, Giriş, Nr. 51. 15 Bu çalışmada, hassas veriler dışında kalan verileri ifade etmek üzere normal veri ya da normal nitelikli veri ifadesi kullanılmıştır. 16 Biyometrik verinin tanımı için bkz. Tüzük m. 4 (14), benzer şekilde Article 29 Data Protection Working Party, Opinion 4/2007 on the concept of personal data (“Çalışma Grubu, 4/2007 nolu Görüş”), s. 8; Els J. Kind, Privacy and Data Protection Issues of Biometric Applications: A Comparative Legal Analysis, Springer, 2013, s. 147 vd. Mad- de 29 Çalışma Grubu (Article 29 Working Party) Avrupa Birliği’nin 95/46/AT sayılı Yö- nergesi’nin 29’uncu maddesi ile kurulmuştur (“Çalışma Grubu”). 17 Bkz. Article 29 Data Protection Working Party, Advice paper on special categories of data (“sensitive data”), s. 8. 770 Dr. Nafiye Yücedağ (İÜHFM C. LXXV, S. 2, s. 765-790, 2017) surların da aranması gereklidir. Ayrıca, birden fazla kişinin yer aldığı bir fotoğ- rafta, fotoğraf, bazı kişilerin dini inancını yansıttığı için onlar açısından, hassas veri sayılacak, diğerleri için ise, normal veri sayılacaktır. Bu durumda tek bir işleme farklı kimseler için farklı sonuç doğuracak18 ve işleme için farklı hukuka uygunluk sebeplerinin var olması gerekecektir. Bu doğrultuda bir resmin ya da görüntünün hassas veri olup olmadığı tespit edilirken, ilgili kategorinin kanun hükmü ile hassas veri sayılmasındaki amaca göre değerlendirme yapılmalıdır. Bu değerlendirme ise, verinin işlenmesindeki amaçtan bağımsız olarak yapıla- maz. Fotoğraf ya da görüntünün işlenmesinde amaç dikkate alınarak, verinin, hassas veri sayılıp sayılmayacağına karar verilmelidir19. İşleme amacı dikkate alınmadan bir değerlendirme yapıldığı takdirde, bir kimsenin soyadı dahi, onun etnik kökenini ortaya koyabileceği için hassas veri sayılacaktır20. Bu durumda kanaatimizce örneğin bir kimsenin ceza mahkumiyetine ilişkin görüntüleri, hassas veri niteliğinde21, bir kimsenin özlük dosyasının tutulması için alınan nüfus cüzdanı fotokopisi üzerinde bulunan fotoğrafı, din bilgisi, normal veri niteliğinde kabul edilmelidir. C. Kişisel Verilerin Korunması Kanunu’nun Zaman Bakımından Uy- gulama Alanı Kişisel Verilerin Korunması Kanunu 7 Nisan 2016 tarihi itibariyle Resmi Gazete’de yayımlanarak yürürlüğe girmiştir. 7 Nisan 2016 tarihinden itibaren işlenecek olan kişisel verilerin Kanun’a uygun şekilde işlenmeleri gereklidir. Ancak Kanun’un yayımı tarihinden önce işlenmiş olan kişisel veriler, yayımı tarihinden itibaren iki yıl içinde Kanun hükümlerine uygun hâle getirilmelidir. Bu doğrultuda 7 Nisan 2018 tarihine kadar, yayım tarihinden önce hukuka aykırı şekilde işlenmiş kişisel verilerin hukuka uygunluğunun sağlanması ge- reklidir. 7 Nisan 2016 tarihinden önce işlenmiş verilere ilişkin özellikle veri güvenliği, aydınlatmaya ilişkin yükümlülükler, 7 Nisan 2018 tarihine kadar yerine getirilmelidir. Öte yandan Kanun’un yayımı tarihinden önce rıza alın- mışsa, bu rıza, Kanun’a uygun şekilde alınmamış olsa da, bir yıl içinde ilgili kişi tarafından aksine bir irade beyanında bulunulmaması hâlinde, geçerli sayı- lacaktır. Özellikle, Kanun, açık rızayı hukuka uygunluk sebebi olarak kabul ettiğinden, rızanın aktif bir davranışla alınmamış olduğu durumlarda, söz ko- nusu geçiş hükmü, verinin işlenmesinin hukuka uygun sayılmasında önemi haiz olacaktır. 18 İsviçre Hukuku’nda bu yönde bkz. David Rosenthal/Yvonne Jöhri, Handkommentar zum Datenschutzgesetz sowie weiteren, ausgewählten Bestimmungen, Schulthess Ju- ristische Medien AG, 2008, Art. 3, Nr. 51. 19 İsviçre Hukuku’nda bu yönde bkz. Rosenthal/Jöhri, Art. 3, Nr. 51. 20 Yves Poullet/Jean Marc Dinant, Report On The Application Of Data Protection Prin- ciples To The Worldwide Telecommunication Networks: Information Self-Determination In The Internet Era, Thoughts On Convention No. 108 For The Purposes Of The Future Work Of The Consultative Committee (T-PD), 2004, s. 43 (çevrimiçi erişim, 01.10.2017, https://rm.coe.int/168068416a). Bu yaklaşım, amaçsal yaklaşım olarak adlandırılmaktadır. Bu konu hakkında bkz. Karen McCullagh, “Data Sensitivity: Proposals for Resolving the Conundrum”, Journal of International Commercial Law and Technology, Volume 2, Issue 4, 2007, s. 190-201; Aksoy, s. 33 ve 34. 21 İsviçre Hukuku’nda bu yönde bkz. Rosenthal/Jöhri, Art. 3, Nr. 51. Medeni Hukuk Açısından Kişisel Verilerin Korunması Kanunu’nun Uygulama 771 Alanı ve Genel Hukuka Uygunluk Sebepleri II. Kişisel Verilerin Korunması Kanunu Sistematiğinde Hukuka Uy- gunluk Sebepleri KVKK'da hukuka uygunluk sebepleri özel olarak düzenlendiğinden, daha genel nitelikte olan TMK m. 24(2) ve TBK m. 63 ve 64 hükümlerinde yer alan hukuka uygunluk sebepleri işlemenin hukuka uygunluğunun tayininde dikka- te alınmaz. Kişisel verinin işlenmesinin hukuka uygun olup olmadığı değerlen- dirilirken dikkate alınması gereken hükümler KVKK m. 5 ve 6 hükümleridir22. Kişisel verilerin işlenmesinde genel hukuka uygunluk sebepleri KVKK m. 5 hükmünde, özel nitelikleri verilerin işlenmesine ilişkin hukuka uygunluk sebepleri ise KVKK m. 6 hükmünde düzenlenmiştir. Öncelikle belirtmek gerekir ki, 95/46/AT sayılı Yönerge’de hassas verilere ilişkin düzenlenmiş olan bazı hukuka uygunluk sebepleri, KVKK’da genel hukuka uygunluk sebepleri olarak düzenlenmiş, 95/46/AT sayılı Yönerge’de düzenlenmiş bazı hukuka uygunluk sebepleri ise, KVKK kapsamına alınmamıştır23. 22 İsviçre Hukuku’nda bu yönde bkz. Amédéo Wermelinger, Datenschutzgesetz, ed. Bruno Baeriswyl/Kurt Pärli, Stämpflis Handkommentar, 2015, Art. 15, Nr. 198; İşçile- rin kişisel verilerinin işlenmesine ilişkin olan TBK m. 419 hükmünün Kişisel Verilerin Korunması Kanunu’ndaki hukuka uygunluk sebeplerine göre özel nitelikte bir düzen- leme olduğu hususunda bkz. Ahmet Sevimli, “Veri Koruma Hukuku İlkeleri Işığında Türk Borçlar Kanunu Madde 419”, Sicil İş Hukuku Dergisi, Y. 6, S.24, Aralık 2011, s. 133. 23 İlk olarak “fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması hukuka uygunluk sebebi” KVKK m. 5 hükmünde sadece normal verilerin işlenmesine ilişkin bir hukuka uygun- luk sebebi olarak düzenlenmişken, 95/46/AT sayılı Yönerge’de bu hukuka uygunluk sebebi hem hassas verilerin hem de normal verilerin işlenmesine imkân veren bir sebep olarak düzenlenmiştir. Belirtmek gerekir ki, 95/46/AT m. 7 (c) bendinde kişinin kendi- sinin hayatı veya beden bütünlüğünün korunması için zorunlu olması şeklinde düzen- lenmiş olan bu hukuka uygunluk sebebi, 96/46/AT Art. 8(2)(c) bendinde fiili imkânsız- lık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerli- lik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğü- nün korunması için zorunlu olması şeklinde düzenlenmiştir. Görüldüğü üzere, hassas veriler sadece ilgili kişinin değil üçüncü bir kişinin hayat ya da bedensel bütünlüğü için zorunlu olduğu takdirde işlenebilecektir. Öte yandan hükmün geniş yorumlanma- sı, normal kişisel verilerin işlenmesinde sadece fiili imkansızlığın değil hukuki imkan- sızlığın da dikkate alınmasını gerektirir. [Article 29 Data Protection Working Party, Opinion 06/2014 on the notion of legitimate interests of the data controller under Ar- ticle 7 of Directive 95/46/EC (“Çalışma Grubu, 06/2014 Nolu Görüş”), s. 20]. Türk Hukuku’nda hassas veriler bakımından bu tür bir hukuka uygunluk sebebinin kabul edilmemiş olması, bazı sorunları beraberinde getirebilecektir. Zira çoğu halde bir kimsenin ya da başkasının hayatı veya beden bütünlüğünün korunması için işlenmesi zorunlu olan kişisel veriler kişinin sağlığına ilişkin veriler olacak olup, bu veriler de hassas veri niteliğindedir. Öte yandan KVKK m. 6(3) hükmü kapsamında işlemenin hukuka uygun sayılması mümkün olabilir. Örneğin ilgili kişinin bulaşıcı hastalığının bulunması halinde ilgili kişi ile temas halinde bulunan kimselerin bedensel bütünlük- lerinin korunması, diğer bir deyişle "kamu sağlının korunması", için sağlık görevlileri- nin bu veriyi işleyebileceklerini kabul etmek gerekir. Özellikle Umumi Hıfzısıhha Kanu- nu’nun çeşitli hükümlerinde getirilmiş olan bulaşıcı hastalıkların bildirilmesine ilişkin bir yükümlülük söz konusuysa, bu durumun KVKK m. 6(3) hükmü kapsamında değer- lendirilmesi ve kamu sağlığının korunması amacıyla ilgili kişinin hassas verisinin iş- lenmesi mümkündür. Diğer yandan bir başkasının hayatı ve bedensel bütünlüğünü korumak için verinin işlenmesi her durumda kamu sağlığını ilgilendirmeyebilir. Kanaa- timizce bu türden bir durumda, verinin işlenmesi KVKK m.6(3) kapsamında, tıbbi teş- 772 Dr. Nafiye Yücedağ (İÜHFM C. LXXV, S. 2, s. 765-790, 2017) İlk bakışta hassas veriler bakımından hukuka uygunluk sebeplerinin kapsamının 95/46/AT sayılı Yönerge’ye nazaran daha dar kapsamda tutulması yerinde bir tercih olarak görülebilir. Ancak bu sebeplerin sınırlılığının uygula- mada bir takım sorunları da beraberinde getirmesi ihtimal dâhilindedir. Diğer yandan, KVKK m. 6(3) sağlık ve cinsel hayata ilişkin veriler haricindeki hassas verilerin "kanunlarda" öngörülen hallerde işlenebileceğine ilişkin düzenleme hassas verilerin işlenmesine ilişkin hukuka uygunluk sebeplerini genişletecek- tir. Bu doğrultuda yapılacak yasal düzenlemelerde, Avrupa Birliği düzenlemele- rinin ve veri işlemeye ilişkin temel prensiplerin dikkate alınması yerinde ola- caktır. Hassas verilerin işlenmesine ilişkin hukuka uygunluk sebepleri ile nor- mal verilerin işlenmesine ilişkin hukuka uygunluk sebepleri arasındaki ilişki- nin de belirlenmesi gerekmektedir. Bir an için KVKK m. 6 hükmü altında dü- zenlenmiş olan hukuku uygunluk sebeplerinin özel düzenleme niteliğinde ol- duğu, hassas verilerin bu sebeplerle işlenmesinin hukuka uygun kabul edilebi- leceği düşünülse de, esasen KVKK m. 6 hükmünde yer alan hukuka uygunluk sebeplerinin gerçekleşmiş olmasının sadece kesin işlem yasağını kaldırdığı da kabul edilebilir24. Çalışma Grubunun görüşüne göre, ilgili hukuka uygunluk sebebinin amacı ve getirdiği koruma dikkate alınarak, genel hukuka uygunluk sebeplerinin ayrıca uygulanması gerekip gerekmediği tespit edilmelidir. KVKK m. 6(3) hükmünün, KVKK m. 5 hükmündeki hukuka uygunluk sebepleri ile birlikte uygulanması gerekir25. Zira KVKK m. 6(3) hükmüne göre, sağlık ve cin- sel hayata ilişkin kişisel veriler kamu sağlığının korunması, koruyucu hekim- lik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü his ve tedavi kapsamında veri işleme olarak kabul edilmeli ve işleme KVKK m. 5(2)(b) bendindeki şartın da gerçekleşmesi halinde hukuka uygun sayılmalıdır. Bu kapsamda KVKK m. 6(3) hükmündeki tıbbi teşhis ve tedavinin üçüncü kişinin teşhis ve tedavisini de içerecek şekilde geniş yorumlanması gerekir. Önemle belirtmek gerekir ki, KVKK m. 6(3) hükmü, tek başına hassas verinin işlenmesi için hukuka uygunluğu sağlamaz. KVKK m. 6(3) hükmünün koşulları yanında KVKK m. 5(2) hükmünün koşullarının da gerçekleşmesi gerekir. Tıbbi kayıtların kişisel veriler arasındaki yeri için bkz. Caner Taşatan, Hekimin Kayıt Tutma Yükümlülüğü Kapsamında Tıbbi Kayıtlar, Oniki Levha Yayıncılık, İstanbul, 2017, s. 70. Diğer yandan, yeterli güvenceler veren ulusal hukuklarda yetki verilmiş olması kaydıy- la veri işleyenin iş hukuku alanında yükümlülüklerini ve belli haklarını yerine getirme amacı için zorunlu ise hassas verilerin işlenebileceğini ilişkin düzenleme de [95/46/AT Yönergesinde m. 8(2)(b)], KVKK kapsamına alınmamıştır. Yine 95/46/AT Yönergesinde m. 8(2)(d) bendinde düzenlenmiş olan, siyasi, felsefi, dini veya sendikal amaç taşıyan bir vakfın, derneğin ve benzeri diğer kar amacı gütmeyen kuruluşun meşru faaliyetle- rini gerçekleştirmek üzere ve yeterli güvencenin sağlanması koşuluyla, bu kuruluşların üyeleri veya bu kuruluşlarla düzenli olarak temas halinde bulunan kişilerin hassas ve- rilerinin, kuruluşun amacı doğrultusunda veri sahiplerinin rızası olmadan ve üçüncü kişilere açıklanmamak üzere işlenebileceğine ilişkin hukuka uygunluk sebebi, KVKK kapsamına alınmamıştır. Bir hakkın tesisi, kullanılması veya korunması için veri işle- menin zorunlu olması ve kişinin kendisi tarafından alenileştirilme ise, 95/46/AT sayılı Yönerge’de sadece hassas verilerin işlenmesine imkân veren hukuka uygunluk sebep- leri olarak düzenlenmişken [95/46/AT Yönergesi m. 8(2)(e)], KVKK’da normal verilere ilişkin hukuka uygunluk sebepleri olarak düzenlenmiştir [KVKK m. m.5(2) (d) ve(e)]. 24 Çalışma Grubu, 06/2014 Nolu Görüş, s. 14, dn. 30. 25 Çalışma Grubu, 06/2014 Nolu Görüş, s. 14 ve 15. Medeni Hukuk Açısından Kişisel Verilerin Korunması Kanunu’nun Uygulama 773 Alanı ve Genel Hukuka Uygunluk Sebepleri altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilecektir. Bu istisna hükmü, KVKK m. 5(1) hükmündeki ilgilinin açık rızası şartının aranmasını gerektirmez. Ancak KVKK m. 5 hükmünde düzenlenmiş bulunan diğer hukuka uygunluk sebeplerinden birinin, bu hükümde yer alan şartlara ilaveten gerçekleşmesi gereklidir. Yani, sağlık ve cinsel hayata ilişkin bir verinin kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hiz- metleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yü- kümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesi, KVKK m. 5(2) hükmündeki hukuka uygunluk sebeplerinden en az birinin de var olması şartıyla hukuka uygun kabul edilebilecektir26. Son olarak, genel hukuka uygunluk sebeplerinin Kanun’un sistemati- ğinde düzenleniş tarzı, rızanın diğer hukuka uygunluk sebeplerine karşısında hiyerarşik bir önceliği varmış izlenimi yaratmaktadır. Zira KVKK m. 5(1) hük- münde, kişisel verilerin ilgilinin açık rızası ile işlenebileceği düzenlendikten sonra ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenebileceği hal- ler KVKK m. 5(2) hükmünde belirtilmiştir. Kanun’da bu yönde bir sistematik benimsenmiş olması, hukuka uygunluk bakımından öncelikle rıza alınması gerektiği şeklinde bir izlenim yaratmaktadır. Ancak kanaatimizce söz konusu düzenleme ile amaçlanan hukuka uygunluk sebepleri arasında bir hiyerarşi yaratmak değildir. Türk Borçlar Kanunu m. 63 hükmünde "Hukuka Aykırılığı Kaldıran Haller" başlığı altında zarar görenin rızası, daha üstün nitelikte özel veya kamusal yarar, zarar verenin davranışının haklı savunma niteliği taşıması gibi durumların hukuka aykırılığı kaldıracağı düzenlenmiş, bu durumlardan biri diğerine nazaran öncelikli görülmemiştir. Kanaatimizce bu esastan kişisel veriler bakımından ayrılmaya gerek de yoktur. Kurul tarafından da açık rıza "Kanundaki kişisel veri işleme şartlarından" biri olarak görülmüş ve açık rıza- nın "diğer kişisel veri işleme şartlarına göre karşılaştırmalı bir üstünlüğü" bu- lunmadığı belirtilmiştir27. Esasen aydınlatma yükümlülüğünün gereği gibi yerine getirilmesi için de rızanın diğerlerine nazaran öncelikli bir hukuka uygunluk sebebi sayılmaması gerekir. Zira KVKK m. 10(1)(ç) bendine göre veri işlemenin hukuki sebebinin ilgili kişiye bildirilmesi gerekeceğinden, var olan bir hukuka uygunluk sebebine dayanılmadan ilgili kişinin açık rızasının alınmış olması, aydınlatma yükümlü- lüğünün gereği gibi yerine getirilmediği sonucuna varılmasına yol açabilir. Di- ğer yandan rıza her zaman geri alınabileceğinden, veri sorumlusunun ilgili hu- kuki sebebi en baştan doğru şekilde tespit etmesi önem taşır. III. Normal Verilerin İşlenmesinde Hukuka Uygunluk Sebepleri A. İlgilinin Açık Rızası KVKK m. 5 (1) hükmünde düzenlenmiş olan hukuka uygunluk sebebi il- gilinin açık rızasıdır. Kişisel Verilerin Korunması Kanunu, hem hassas hem normal nitelikli veriler bakımından rızanın değil açık rızanın hukuka uygunluk sebebi sayılacağını düzenlenmiştir. Kurul tarafından da ifade edildiği üzere, 95/46/AT sayılı Yönerge'den farklı olarak sadece hassas veriler için değil her 26 Article 29 Data Protection Working Party, Opinion 15/2011 on the definition of consent (“Çalışma Grubu, 06/2014 Nolu Görüş”), s. 15. 27 Kişisel Verileri Koruma Kurulu, 6698 Sayılı Kişisel Verilerin Korunması Kanununun Uygulanmasına Yönelik Soru Cevaplar, (“Kurul, Soru Cevaplar”), s. 21. 774 Dr. Nafiye Yücedağ (İÜHFM C. LXXV, S. 2, s. 765-790, 2017) türlü veri için açık rızanın aranması, gerçekten de ilgili kişiye daha fazla koru- ma sağlamaktadır28. Bununla birlikte, KVKK'da açık rıza tanımlanmamıştır. Açık rızanın hukuka uygunluğu sağlaması için gerekli eşiğin, rızanınkine naza- ran daha yüksek olacağı şüphesizdir. Açık rıza, ilgili kişiye veri işlemeyi red- detme veya kabul etme seçeneğinin sunulduğu ve ilgili kişinin de aktif bir dav- ranışla seçimini yaptığı durumlarda söz konusu olur29. Açık rıza aktif bir dav- ranışı gerektireceğinden, özellikle normal nitelikli veriler bakımından Avrupa Birliği uygulamasına nazaran, işlemenin hukuka uygunluğu daha katı şartlara tabi tutulmuş olacaktır. İlgilinin rızası, KVKK m. 3(1)(a) hükmünde tanımlanmış olup, "belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı" ifade eder. Bilgilendirilmiş olma varsayımı, makul bir kişinin göstermesi gere- ken makul özen üzerine temellendirilmiştir. Halbuki çoğu zaman bilgilendirme- ler anlaşılması güç hukuki bir dille yazılır. İkinci olarak kişilerin yaptığı her işlemde kendilerinin bilgilendirilmesi, bir zaman sonra bir "bilgilendirme yor- gunluğuna" yol açar. Bilgilendirilmiş rıza, özellikle internet ortamında gerçek- leştiğinde çoğu zaman bir seçim olmaktan çıkar. Zira bilgilendirmenin akabin- de kişiden istenen rıza genellikle bir uygulamanın kullanılmasından ya da hiz- metin sağlanmasından önceki kayıt aşamasında alınmaktadır. Çoğu halde bu rıza verilmedikçe uygulama kullanılamayacağı gibi hizmet de alınamamakta- dır30. Bu türden durumlarda tüketici açısından bildirim ve seçim aynı şeyleri ifade etmektedir. Bu nedenle uygulamada gerçekten açık bir rıza alınıp alınma- dığı hususunda dikkatli davranılması gerekir. Örneğin spor salonu üyeliğinde, üye olmak isteyen kişinin parmak izini vermesinin zorunlu tutulması duru- munda üye olmak isteyen kişiye başka bir tercih imkanı verilmediğinden, par- mak izine ilişkin verilen rıza hukuka uygunluğu sağlamayacaktır31. Söz konusu işin ya da sözleşmenin ifası için zorunlu olmayan bir rızanın, o sözleşmenin ya da işin ifasına bağlanmış olması, rızanın geçersiz sayılmasına yol açacaktır. Rızanın özgür iradeye dayanması için, ilgili kişi hangi hususlara rıza gösterdi- ğini bilmelidir. Bu nedenle de rızanın bilgilendirilmiş olması gereklidir. Rızanın bilgilendirmeye dayanması için rızanın alındığı tarihte işlemeye ilişkin olan önemli her türlü bilginin verilmesi gereklidir. Rızanın ne ölçüde bilgilendirmeye dayanması gerektiği temelde KVKK m. 10 ve m. 11 hükümleri- ne göre tespit edilecektir. Bilgilendirmenin asgari olarak bu hükümlerde düzen- lenmiş olan aydınlatma yükümlülüğü ile ilgili bilgileri içermesi gerekir32. Örne- ğin, veri sorumlusunun kimliği, verinin hangi amaçla ne kadar süre işleneceği, kimlere hangi amaçla aktarılabileceği, kişisel verileri toplamanın yöntemi ve hukuki sebebi gibi hususların aydınlatma metninde yer alması gerekir. Somut olayın özelliğine göre, bilgilendirmede yer alması gereken hususlar sadece KVKK m. 10 ve 11'de belirtilen durumlardan ibaret olmayabilir. 28 Kişisel Verileri Koruma Kurulu, Kişisel Verilerin Korunması Kanunu ve Uygulaması (“Kurul, Kişisel Verilerin Korunması Kanunu ve Uygulaması”), s. 29. 29 Çalışma Grubu, 06/2014 Nolu Görüş, s. 25. 30 Mesut Çekin, 6698 Sayılı Kişisel Verilerin Korunması Hakkında Kanun’un Big Data (Büyük Veri) Ve İrade Serbestisi Açısından Değerlendirilmesi, İstanbul Üniversitesi Hu- kuk Fakültesi Mecmuası, Cilt 74, Sayı 2, s. 637. 31 Kurul, Soru Cevaplar, s. 25. 32 Çalışma Grubu, 06/2014 Nolu Görüş, s. 19.
Description: