Arama yapmak için lütfen yukarıdaki kutulardan birine aramak istediğiniz terimi girin.

Kişisel Verilerin Korunması Bakımından Kişisel Verileri Koruma Kurulu’na Yapılan Şikâyet Başvurusu

Application for Complaint to the Personal Data Protection Board with Respect to Protection of Personal Data

Cemal BAŞAR

Kişisel verilerin korunmasını istemek, Anayasa ile teminat altına alınmış bir temel haktır. Türkiye’de kişisel verilerin korunması hakkı 2010 yılında Anayasa’nın 20’nci maddesine eklenmiştir. Buna ilaveten, Türk hukuku bakımından, 6698 sayılı Kişisel Verilerin Korunması Kanunu bu alandaki ilk özel ve kapsamlı kanunu oluşturmaktadır. Aynı Kanun çerçevesinde Kişisel Verileri Koruma Kurumu da kurulmuştur. Kurum’un karar organı Kurul’dur. Kişisel Verileri Koruma Kurulu’nun görevlerinden biri de Kişisel verilerle ilgili haklarının ihlal edildiğini ileri sürenlerin şikâyetlerini karara bağlamaktır. Kurul’a şikâyet ile ilgili hükümler 6698 sayılı Kanun’un 14’üncü maddesinde düzenlenmiştir. Kanun’un 15’inci maddesi ise Kurul tarafından yapılacak incelemenin usul ve esaslarını belirlemektedir. Bu çalışmada, bahsi geçen kanun hükümleri esas alınmak suretiyle, Kişisel Verileri Koruma Kurulu’na şikâyette bulunulması konusu incelenecektir.

Kişisel Veri, Kişisel Verilerin Korunması, Kişisel Verileri Koruma Kurulu, Veri Sorumlusuna Başvuru, Kurul’a Şikâyet.

Demanding for a protection of personal data is a fundamental right which is recognized by the Constitution. The right to protection of personal data in Turkey has been added to Article 20 of the Constitution in 2010. In addition to this, in respect of Turkish legislation, the Law on the Protection of Personal Data No. 6698 is the first specific and comprehensive law in this field. Personal Data Protection Authority was also established within the same Law. Decision making body of the Authority is the Board. One of the duties of the Personal Data Protection Board is to conclude the complaints of those who claim that their rights with regard to personal data protection have been violated. The provisions regarding the complaint to the Board are regulated in article 14 of the Law No. 6698. Article 15 of the Law determines the procedures and principles of the examination to be made by the Board. In this study, based on the provisions of the mentioned law, the subject of complaint to the Personal Data Protection Board will be examined.

Personal Data, Protection of Personal Data, Personal Data Protection Board, Request to the Data Controller, Complaint to the Board.

Giriş

6698 sayılı Kişisel Verilerin Korunması Kanunu 3/d maddesinde kişisel veriyi, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak tanımlamaktadır. Kişisel veriler bakımından madde metninde kullanılan “her türlü bilgi” ifadesi, yasa koyucunun iradesinin kişisel verilerin kapsamını olabildiğince geniş tutmak yönünde olduğunu göstermektedir. Bu şekilde, gerçek kişiye ilişkin her türlü bilginin kişisel veri olarak kabul edilmesi, kişisel verilerin korunması kavramının önemini ortaya koymaktadır. Bu önemden ötürü 6698 sayılı Kanun ile verilen görevleri yerine getirmek üzere Kişisel Verileri Koruma Kurumu kurulmuştur. Kurumun karar organı, Kişisel Verileri Koruma Kurulu’dur. 6698 sayılı Kanun’un 22’nci maddesinde sayılan Kurul’un görev ve yetkileri arasında, kişisel verilerle ilgili haklarının ihlal edildiğini ileri sürenlerin şikâyetlerini karara bağlamak da yer almaktadır.

Kişisel verilerin korunması bakımından Kurul’a şikâyet yoluna başvurulması ve bu yöntemin hukuki analizi çalışmanın da temasını oluşturmaktadır. Bununla birlikte çalışmanın kademeli biçimde ilerlemesinin daha faydalı olabileceği düşüncesiyle ilk olarak kişisel veri kavramına kısaca değinilecektir. Burada kişisel verinin tanımı ve kapsamı konuları üzerinde durulacaktır. Ardından kişisel verilerin korunması hususu ele alınacaktır. Bu başlık altında kişisel verilerin korunması kavramından ne anlaşılması gerektiğinden bahsedilecek ve kişisel verilerin bağımsız denetim organları tarafından korunması mevzusu değerlendirilecektir. Bahsi geçen konulara dair açıklamalar getirildikten sonra, kişisel verilerin yargı dışı korunması yöntemi olarak 6698 sayılı Kanun’un 14’üncü maddesinde düzenlenen Kurul’a şikâyet yolu incelenecektir.

I. Kişisel Veri Kavramı

Kişisel verilerin korunması konusunda ülkemizdeki temel hukuki düzenleme niteliğinde olan 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun Tanımlar başlıklı 3/d maddesinde kişisel verinin; “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi” ifade ettiği belirtilmiştir. Anayasa Mahkemesi de 6698 sayılı Kanun’un yürürlüğe girmesinden önce vermiş olduğu bir kararında, kişisel veri kavramının belirli veya kimliği belirlenebilir olmak şartıyla, bir kişiye ilişkin bütün bilgileri ifade ettiğini vurgulamıştır.1 Anayasa Mahkemesi’nin bahsi geçen kararındaki açıklamalarına ve kişisel veri tanımına Danıştay tarafından da atıfta bulunulmuştur.2

Söz konusu tanımlara ilaveten, kişisel verilerin korunmasına ilişkin en önemli uluslararası kaynaklardan biri olarak 28.01.1981 tarihinde imzalanan, 30.01.2016 tarihli ve 6669 sayılı Kanun ile de onaylanması uygun bulunan, 108 sayılı Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi’nin 2/a maddesinde kişisel veriler, kimliği belirli veya belirlenebilir bir gerçek kişi hakkındaki tüm bilgiler şeklinde tanımlanmıştır.3 Aynı tanıma Avrupa Parlamentosu ve Konseyi’nin 24 Ekim 1995 tarihli ve 95/46/AT sayılı Kişisel Verilerin İşlenmesi ve Bu Verilerin Serbest Dolaşımı Konusunda Bireylerin Korunması Hakkında Direktifi’nin 2/a maddesinde,4 95/46/AT sayılı Direktifi ilga eden, Avrupa Parlamentosu ve Konseyi’nin 27 Nisan 2016 tarihli ve 2016/679 sayılı Kişisel Verilerin İşlenmesi ve Bu Verilerin Serbest Dolaşımı Konusunda Bireylerin Korunması Hakkında Tüzük’ün 4/1 maddesinde5 de yer verilmiştir.

Gerek ulusal mevzuatımız, gerekse bahsi geçen diğer düzenlemeler dikkate alındığında, en genel anlamıyla kişisel veri kavramı; kimliği belirli veya belirlenebilir bir kişiye ilişkin tüm bilgileri ifade etmektedir.6 Yasal düzenlemelerde, içtihatlarda ve öğretide de kabul gören bu tanımda geçen kişi kavramı, önemini, kimlerin kişisel verilerin korunmasına ilişkin yasal düzenlemelerin kapsamı içinde bulunduğunu tespit etme noktasında göstermektedir. Bu doğrultuda bir değerlendirme yapılacak olduğunda, kişisel verilerin hem gerçek kişilere hem de tüzel kişilere ilişkin olabileceğini söylemek mümkün olsa da,7 tüzel kişilere ait verilerin korunması 6698 sayılı Kanun’un kapsamı dışında bırakılmıştır.8 6698 sayılı Kanun, yalnızca gerçek kişilere ait verileri korumaktadır. Durum böyle olmakla beraber, tüzel kişiye ilişkin verilerden yola çıkılarak gerçek kişilerin belirlenebilmesi halinde, bu nitelikteki verilerin de 6698 sayılı Kanun kapsamında değerlendirilmesi yerinde olacaktır.9

Koruma konusu olan gerçek kişiyi işaret etmek için hukuki metinlerde yaygın olarak “veri öznesi (data subject)” veya “ilgili kişi” terimlerinin kullanıldığı görülmektedir.10 6698 sayılı Kanun, kişisel verisi işlenen gerçek kişiyi nitelendirmek için “ilgili kişi” ifadesini kullanmıştır. Kanun’da yazılı kişisel veri tanımı uyarınca bilginin, gerçek kişiye ilişkin olması gerekmektedir. Bilginin bir kişiye ait olması, bilginin kişiyle bağlantılı olması, bu bilgi sayesinde o kişiyle bağlantı kurulabilmesi anlamına gelmektedir.11 Burada değinilmesi gereken bir diğer husus, kimliğin belirli veya belirlenebilir olmasından ne anlaşılması gerektiğidir. Araya başka hiçbir vasıta gerekmeksizin direkt kişiyi tanıtan veya karmaşık olmayan, yalın bir ilişik kurulması neticesinde bir kişinin kim olduğunun anlaşılmasını mümkün kılan verilerin belirli bir kişiye ilişkin; kişinin kimliğini doğrudan ortaya çıkarmamakla birlikte, bağlantılı birtakım unsurlarla kişinin somut olarak ortaya çıkmasını sağlayan verilerin ise belirlenebilir bir kişiye ilişkin oldukları ve kişisel verilerin korunması hakkı kapsamında yer aldıkları söylenebilir.12

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 3/d maddesinde kimliği belirli veya belirlenebilir gerçek kişiye ilişkin “her türlü bilgiden” söz edilmek suretiyle kişisel veri kavramının sınırları olabildiği kadar geniş tutulmuştur. Kişisel veriler, gerçek kişiye ilişkin tüm bilgileri içereceği için, kapsam olarak bir kişinin yalnızca özel hayatına ilişkin bilgiler ile sınırlandırılamazlar.13 Bu konuda genişletici yorum yapmak, Kanun’un amacıyla da bağdaşır nitelikte olacaktır. Kişisel verilerin geniş ve sınırları olmayan bir alanı ifade etmesinden ötürü nelerin kişisel veri olduğunun tek tek sayılması mümkün olmamakla birlikte, kapsamının belirlenebilir olması gerekmektedir. Aksi halde kişisel veri kavramı belirsiz ve muğlak olacak ve bu durumda kişisel verilerin korunması da imkânsız bir hal alacaktır.14 Bir bilginin kişisel veri olarak kabulü bakımından, bahis mevzusu bilginin gizli veya aleni olması ya da nesnel veya öznel nitelik taşıması önemli olmayıp, gerçekliğinin veya doğruluğunun ispatlanmış olması da şart değildir.15 Bu bağlamda, kişiyi belirleyen ya da belirlenebilir kılan,16 isim, kimlik numarası, pasaport numarası, sosyal güvenlik numarası, vergi numarası, banka hesap numarası, diploma numarası, motorlu taşıt plakası, doğum tarihi, medeni hal, meslek, kurum sicili, sağlık durumu, hücre örnekleri,17 parmak izi,18 avuç içi tarama, el geometrisi tanıma, iris tanıma, yüz tanıma, retina tanıma, DNA tanıma gibi biyometrik yöntemlerle elde edilen veriler,19 IP adresi, e-posta adresi, e-posta yazışmaları, hobiler, tercihler, kanaatler, sosyal ağlardaki paylaşımlar, ahlaki eğilim, etkileşimde bulunulan kişiler, grup üyelikleri, dini görüş, seyahat bilgileri, telefon numarası, telefon görüşmesi kayıtları,20 telefon mesajları, nüfus ve adli sicil kayıtları, özgeçmiş, fotoğraf, resim, ses kayıtları,21 kameralı takip sistemi ile elde edilen görüntüler,22 dava bilgileri,23 internet ortamında çıkan haberler,24 ev ile iş adresleri, iş ve sosyal yaşama ilişkin bilgiler, malvarlığı, eğitim bilgileri, aile yapısı, uyruk, ırki köken, genetik bilgiler, cinsel hayat, cinsel eğilim, politik veya sendikal faaliyetler gibi tüm bilgiler kişisel veri kapsamında yer alırlar.

Bununla beraber, kimi verilerin daha sıkı muhafaza edilebilmesi amacıyla onlara ayrı bir önem atfedilmiştir. Bu tür veriler 6698 sayılı Kanun’un 6’ncı maddesinde “özel nitelikli kişisel veriler” başlığı altında toplanmıştır. Anılan maddede, “Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veri” olarak kabul edilmiştir. Kanun’da özel nitelikli kişisel verinin veya yaygın kullanımı ile hassas kişisel verinin herhangi bir tanımı yapılmamış, yalnızca ne tür verilerin özel nitelikli veri kapsamında değerlendirileceği hususunda tahdit edici bir sayıma gidilmiştir. Sözü edilen Kanun maddesinin gerekçesinde, bu tür verilerin başkaları tarafından öğrenildiği takdirde ilgili kişinin mağdur olabilmesine veya ayrımcılığa maruz kalabilmesine neden olabilecek nitelikte veriler olduğu ve bu sebeple bu tür verilerin özel nitelikli (hassas) veri olarak kabul edildiği belirtilmiştir. Danıştay da vermiş olduğu bir kararında özel nitelikli kişisel verilerin ayrıca korunmasının önemini şöyle ifade etmektedir:25“Bireyin kişisel verilerinden bir kısmı hassas veri şeklinde nitelendirilmekte, hassas veriler ile bireyin temel hak ve özgürlükleri arasında yakın bir ilişki bulunması nedeniyle de bu nitelikteki verilerin bireyin diğer kişisel verilerinden daha etkin ve özel koruma altına alınması gerekmektedir.” Esasında özel nitelikli (hassas) veriler de birer kişisel veri olup; kişisel verilerin korunması hakkı tüm veriler için muteberdir. Ancak özel nitelikli verilere özellikle bazı toplumsal ve siyasal kaygılardan ötürü farklılık tanınmıştır.26 Bu tür verilerin işlenmesinin, veri özneleri bakımından olumsuz etkilere sahip olma olasılığı yüksektir.27 Başkaları tarafından öğrenilmeleri halinde özel niteliklerinden ötürü ilgili kişinin mağduriyetine yol açabileceklerdir.28

Kişisel verilerin korunması bir gerçek kişiye ilişkin tüm verileri kapsadığından, bütün verilerin eşit biçimde ele alınması gerekmektedir. Zira önemsiz gibi gelen bir veri, diğer verilerle ilişkilendirilerek, kişi hakkında başka bilgilere erişilmesine imkân sağlayabilmektedir.29 Hiç şüphe yok ki, teknolojik gelişmeler devam ettikçe, eldeki veriler üzerinden kişinin kimliğinin belirlenebilmesi için kullanılan yöntem sayısı da artış gösterecektir. Bu gelişmelerin yansımaları, yargısal içtihatlarda da yerini bulacaktır. Anayasa Mahkemesi de vermiş olduğu bir kararında; “kişisel veri kavramı teknolojik gelişmelere bağlı olarak çok farklı şekillerde ortaya çıkabileceğinden bu kapsama giren tüm verilerin kanun koyucu tarafından önceden öngörülebilmesi ve tek tek sayılabilmesi mümkün değildir. Kişisel veri kavramının bu çerçevede doktrin, uygulama ve yargı kararlarında belirlenerek anlam ve içeriğinin gelişip değişeceğinde kuşku yoktur.” demektedir.30