Kişisel Verilerin Hukuka Uygun İşlenmesi ve Aktarılması

~ 01.06.2020, Prof. Dr. Ersan ŞEN ~

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun;

 

“Tanımlar” başlıklı 3. maddesinin 1. fıkrasının (a) bendinde yer alan “açık rıza” kavramıyla; belirli bir konuda, bilgilendirilmeye ve özgür iradeye dayanarak açıklanan rıza, 3. maddenin 1. fıkrasının (ç) bendinde yer alan “ilgili kişi” kavramıyla, kişisel verisi işlenen gerçek kişi ve (d) bendinde yer verilen “kişisel veri” kavramıyla, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin tüm veriler, yani gerçek kişiye ait ve onu anlatan bilgiler ifade edilmiştir.

 

“Kişisel Verilerin İşlenmesi” başlıklı İkinci Bölümün “Genel ilkeler” başlıklı 4. maddesinde, kişisel verilerin işlenmesi ile ilgili ilkelerden bahsedildiği; yine aynı altında kişisel verilerin işlenme şartları ile yurtiçine veya yurtdışına aktarılması hükümlerinin bulunduğu, kişisel verilerin işlenmesinde temel şartın ilgili kişinin açık rızası olarak gösterildiği, ancak 5. maddenin 2. fıkrasında yedi bent halinde istisnalara yer verildiği[1], bu istisnalar arasında yer alan (c) bendinde bir sözleşmenin kurulması veya ifası ile doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekliliğinin gösterildiği, fakat bu istisna halinde örneğin e-ticaret firmasının internet sitesine giren ve yalnızca sitede dolaşan kişinin çerezlerini[2] izni olmaksızın kaydetmek hukuka uygun sayılmayacaktır. Ancak aynı kişinin; sisteme bilgilerini girerek internet sitesine üye olması halinde, e-ticaret sitesi ile arasında bir kullanıcı sözleşmesi akdettiği, bu nedenle bir alışveriş gerçekleşmese veya bir kez yapılsa bile akdedilen, yani kurulan sözleşmeden çıkılmadıkça, sözleşme feshedilmedikçe, sözleşmenin kurulması veya kurulduktan sonra ifası ile ilgili olması kaydıyla internet sitesine üye olduğunun kabulü ile ayrıca açık rızası alınmaksızın kişisel verilerinin işlenebileceği anlaşılmaktadır. 16 Ocak 2020 tarihinde kaleme aldığımız “Kişisel Verilerin İşlenmesinin ve Paylaşılmasının Hukukiliği” başlıklı hukukihaber.net adlı haber sitesinde yayınlanan yazımızda, e-ticaret firması tarafından sözleşmenin bir gereği olarak alıcı veya satıcı sıfatıyla kaydedilen kişilerin verilerinin işlenmesi, bu bilgilerin kargo firması veya alıcının bilgilerinin satıcı ile paylaşılması, yani aktarılması, sözleşmenin gereği ve doğal bir sonucu sayılacağından, burada KVKK m.5/2-c’nin tatbikinin gündeme geleceği belirtilmiştir. Nitekim hukukihaber.net sitesinde 12 Ocak 2015 tarihinde yayınlanan “Kişisel Verilerin Korunması Kanunu Son Tasarısı” başlıklı yazımız içeriğinde de benzer bir görüş ortaya koyularak, bir sözleşmenin kurulması veya ifasına ilişkin olması kaydıyla sözleşme taraflarına ait kişisel verilerin işlenmesinin gerekliliğinin KVKK m.5/2-c’den kaynaklandığı ifade edilmiştir.

 

Veri sorumlusunun hukuki yükümlülüğünün olması halinde bundan kaynaklanan zorunluluğu yerine getirebilmesi 5. maddenin (ç) bendinde ve kişisel veri sahibine, yani kişisel verisi işlenen gerçek kişiye somut olarak zarar vermemek kaydıyla, veri sorumlusunun kabul edilebilir ve hukuka aykırılık içermeyen menfaatleri adına veri işlenmesinin gerekli olması hali de 5. maddenin 2. fıkrasının (f) bendinde yer almaktadır. Bu hallerin var olması durumunda, ilgili kişinin açık rızasının aranmayacaktır.

 

“İlgili kişinin açık rızası” kavramından ne anlaşılması gerekir?

 

6698 sayılı Kanunun 5. maddesinin 1. fıkrası ile 8. maddesinin[3] 1. fıkrasında ve 9. maddesinin[4] 1. fıkrasında yer alan bu kavramı, kişisel verilerin korunması bakımından özel olarak tanımlamak gerekir. Buna göre; 6698 sayılı Kanunun 5. maddesinin 2. fıkrası, 6. maddenin 3. fıkrası, 8. maddesinin 2. fıkrası ve 9. maddesinin 2. fıkrasında sayılan istisnalar dışında, veri sorumlusu veya kayıtla yetkili kıldığı kişi tarafından kişisel veri işlenmeden veya yurtdışına aktarılmadan önce, ilgili kişinin işlenecek verinin kapsamı ve hangi amaçla işleneceği konusunda aydınlatılarak, özel olarak alınan muvafakatine “ilgili kişinin açık rızası” denir. 5, 6, 8 ve 9. maddelerde sayılan istisnalardan birisinin varlığı halinde, ilgili kişinin kişisel verisinin işlenmesi veya yurtdışına aktarılması hakkında ayrıca aydınlatılmasına ve açık rızasının alınmasına gerek bulunmamaktadır. Kişisel verinin dokunulmazlığı ve özel hayat hakkı kapsamında sayılması sebebiyle, hiçbir durumda ilgili kişinin özgür iradesine dayanan açık rızası olmaksızın kişisel veri işlenemeyeceği veya yurtdışına aktarılamayacağı fikri ileri sürülebilir, fakat kanun koyucu bazı zorluk ve zorunlukları gözeterek, ilgili kişinin açık rızasını her durumda aramamıştır.

 

Esasen kanun koyucu veri işleme ve aktarma kavramlarını birlikte ele alıp, her ikisini kişisel verilerin işlenmesi olarak kabul etmiştir (6698 sayılı Kanun m.3/1-e). Kanaatimizce; yurtiçi veri aktarmanın veri işleme olduğu söylenebilirse de, bunun dışında kalan yurtdışına veri aktarmalarını veri işlemenin dışında görmek gerekir. Kanun koyucu, veri aktarılmasını Kanunun 8. ve 9. maddelerinde özel olarak düzenlemiştir. Ancak yurtiçine veri aktarılmasında; kişisel veri sahibi olan ilgili kişinin açık rızası dışında kalan haller, m.5/2 ve özel nitelikli kişisel veriler bakımından m.6/3 olarak gösterilmişken, kişisel verilerin yurtdışına aktarılmasına m.9/2’de ek şart getirilmiş, veri aktarılacak yabancı ülkenin güvenli sayılması, bu olmadığı takdirde veri sorumlusundan taahhüt alınması gibi veri sorumlusuna ek yükümlülükler getirilmiştir.

 

İlgili kişinin verilerinin işlenmesi ve işlenen verilerin yurtiçine veya yurtdışına aktarılması ile ilgili açık rıza, veri işlemede ve aktarmada ayrı alınmalıdır. Veri sorumlusunun aydınlatma yükümlülüğü ise Kanunun 10. maddesinde düzenlenmiş olup açık rızadan farklı bir kavramdır. Aydınlatma yükümlülüğü kişisel verilerin elde edilmesi sırasında veri sorumlusu tarafından gerçekleştirilmesi gereken bir yükümlülük olup, açık rıza için var olan istisna hallerine tabi değildir. Bir başka deyişle, Kanun m.5/2’de sayılan istisna hallerinin varlığı halinde dahi veri sorumlusunun veri sahibinin kişisel verilerini elde ettiği sırada yerine getirmesi gereken aydınlatma yükümlülüğü devam edecektir. Veri sorumlusu aydınlatma yükümlülüğünü yerine getirilirken hangi konuları veri sahibine açıklaması gerektiği, Kanunun 10. maddesinde sayılmış ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’de[5] bu yükümlülüğün usul ve esasları açıklanmıştır.

 

Kanunun 10. maddesinde düzenlenen veri sorumlusunun aydınlatma yükümlülüğünün istisnası olmamakla birlikte, kişisel verisi işlenecek veya aktarılacak olan ilgili kişiden açık rıza alınmasının istisnaları, 6698 sayılı Kanun m.5/2, 6/3, 8/2 ve 9/2’de sayılmıştır. Kanunun 5. maddesinde sıralanan istisnalardan birisinin varlığı halinde, ilgili kişinin verisinin işlenmesi için açık rızasına ihtiyaç olmayacaktır. Örneğin m.5/2-c’ye göre; taraflar arasında bir sözleşmenin akdedilmesi veya ifası ile ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesi gerekebilir. Bir e-ticaret firmasının sitesi vasıtasıyla ürün satmak veya almak isteyen kişinin kişisel verilerinin; bu alışveriş ilişkisinin şartlarını belirleyen sözleşmenin akdedilmesi ve ifası kapsamında işlenmesi gerekecektir ki, bu durumda ilgili kişiden açık rıza aranmayacaktır.

 

Özetle; ilgili kişinin açık rızası alınmaksızın veri işlenmesi yalnızca sözleşmenin akdedilmesi ve ifası ile sınırlı olmayıp, bu istisnalar 5. maddenin 2. fıkrasında toplam yedi bent halinde sıralanmıştır. Kişisel verilerin yurtiçine aktarılmasında ek koşul aramayan kanun koyucu, yurtdışına aktarmaya m.9/2’de ek şart getirmiştir. Yurtdışına veri aktarmada; m.5/2 ve m.6/3’ün yanında, m.9/2’de aranan koşullardan birisin varlığı zorunlu olup, aksi halde veri aktarılması hukuka aykırı sayılacaktır.

 

Kişisel veri sahibi olan ilgili kişinin açık rızası; kişisel veriyi işleyecek kişi tarafından, kişisel verisi işlenecek kişiye, kişisel verisinin işleneceğine dair açıklayıcı bilgi ile birlikte rızasının sorulup alınmasıdır. Ancak bu rızaya, m.5/2’de yer alan istisnai hallerde ihtiyaç bulunmadığını tekrar söylemek gerekir.

 

Bir diğer istisna hali de 6698 sayılı Kanun m.5/2-f’de düzenlenmiştir.

 

Bu düzenleme uyarınca; “İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için işlenmesinin zorunlu olması.” halinde, kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenebileceği belirtilmiştir.

 

Kanunun m.5/2-f kapsamında, kişisel verisi işlenecek kişinin hiçbir temel hak ve özgürlüğüne zarar verilmemeli, örneğin onun maddi ve manevi bütünlüğünü, özel hayatını, muhaberat hürriyetini, yerleşme ve seyahat hürriyetini, ifade hürriyeti, yani Anayasa’nın 17 ila 74. maddelerinde sayılan hak ve hürriyetleri zarara uğratılmamalıdır. Ayrıca; bu istisnanın geçerli olduğunun kabulü için, veri sorumlusunun meşru menfaati kapsamında bahse konu kişisel verinin işlenmesinin zorunlu olup olmadığına bakılmalıdır. Kanun koyucu, bu konuda sınırlayıcı hareket etmiş, yani bu istisna halinin geniş uygulanmasını tercih etmemiştir. Örneğin; şirketin menfaatlerinde zorunluluk varsa, çalışanlarının veya müşterilerinin verilerinin işlenmesi gündeme gelebilecektir. Bununla birlikte somut olayda; kişisel veri işlenmesinin m.5/2-f’de gösterilen istisnaya girmesi ihtimalinin bulunması halinde, hemen aşağıda yer verdiğimiz üçlü kritere bakılmak suretiyle değerlendirme mutlaka yapılmalı, bu dengeleme testi tatbik edilmeksizin, peşin olarak m.5/2-f’de düzenlenen istisnai durumun olmadığı sonucuna varılmalıdır.

 

Bu bilgiler doğrultusunda, kişisel veri işlenmesinin m.5/2-f kapsamında sayılabilmesi için aşağıda sayılan üç kriterin varlığı aranmalıdır:

 

İlk olarak; somut olayda meşru menfaatin ne olduğu tanımlanmalıdır.

 

- İkinci olarak; veri işlemenin bu meşru menfaati sağlamak için neden gerekli olduğu gösterilmelidir. Kanunda diğer yollarla veri işlenebilmekte ise, o yol kullanılmalıdır. Bundan anlaşılan, meşru menfaatin son çare olarak görülmesi gerektiğidir.

 

- Son olarak; kişisel verisi işlenen veri sahibinin herhangi bir hak ve özgürlüğüne olumsuz müdahale olup olmadığı saptanmalı ve veri sorumlusunun gözetilen menfaati ile veri sahibinin ihlal edilen temel hak ve özgürlükleri arasında bir denge kurulmalıdır. Veri sahibinin hak ve özgürlüklerinin ihlali veri sorumlusunun menfaatine üstün gelmekte ise, bu durumda veri işlenmesi Kanun m.5/2-f kapsamında değerlendirmemeli ve ilgili kişinin açık rızası aranmalıdır. Kişisel verisi işlenen kişinin; bu işlemin yapılacağına dair makul bir beklentisi yoksa veya bu işlem meşru olmayan bir zarara yol açacaksa, bireyin hak ve özgürlüklerinin, veri sorumlusunun meşru menfaatine ağır bastığı söylenebilir[6]. Kaldı ki; 6698 sayılı Kişisel Verilerin Korunması Kanunu m.5/2-f’de, “ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla” ibaresine yer verilerek, ilgili kişinin temel hak ve hürriyetlerinin zarara uğramaması ölçütüne öncelik verildiği, yani bu ölçütün bir önkoşul gibi kabul edildiği söylenebilir.

 

Kanunumuzun 5. maddesinin 2. fıkrasının (f) bendinde düzenlenen “veri sorumlusunun meşru menfaati” ile ilgili istisna hali, Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) m.6/1-f’de düzenlenmiş olup, burada yalnızca veri sorumlusunun değil, üçüncü kişilerin meşru menfaati de istisna kapsamına sokulmuştur. Gerek Avrupa devlet mahkemeleri ve gerekse Avrupa Birliği Adalet Divanı’nın GDPR m.6/1-f’de düzenlenen veri sorumlusunun meşru menfaatinin (“legitimate interest of the data controller”) varlığı konusunda verdiği kararlarda; yukarıda bahsettiğimiz dengeleme sisteminin uygulandığı, bu doğrultuda veri sorumlusunun veriyi işlemekte meşru menfaatinin bulunduğu, meşru menfaatinin elde edilebilmesi için bu verinin işlenmesinin zorunlu olduğu ve veri sorumlusunun korunan meşru menfaati ile veri sahibinin ihlal edilen hak ve özgürlükleri arasında dengenin bulunduğu hallerde, veri işlenmesini GDPR m.6/1-f kapsamına dahil ettiği ve veri sahibinin açık rızanın aranmadığı görülecektir.

 

“Meşru menfaat” kavramı, e-ticaret firmalarına uygulanabilir mi?

 

Bu soruya kural olarak “evet” cevabı verilebilir, ancak yukarıda yer verdiğimiz üç aşamalı test burada da uygulanmalıdır. Meşru menfaatin, pazarlama faaliyetlerinde mutlak bir istisna oluşturacağı söylenemez. Her somut olay ayrı ele alınmalıdır. Dikkat edilmesi gereken hususların başında, elektronik ticareti düzenleyen diğer kanunlarda bu konuya ilişkin başka bir kuralın öngörülüp öngörülmediğidir; zira 6698 sayılı Kanun, diğer kanunlara aykırı gerçekleştirilmiş işlemleri hukuka uygun hale getirmez.

 

Meşru menfaatin ne olduğu her somut olayda ayrıca ve gerekçeli bir şekilde belirtilmeli ve bu husus kayıt altına alınmalıdır. Örnek olarak, doğrudan müşterinin ihtiyaçları ile ilgili olan malların indirime girmesi meşru menfaat sayılabilir. Ancak meşru menfaate veri sorumlusu açısından bakılması gerektiği, yani somut olayda müşterinin değil, veri sorumlusunun meşru menfaatinin bulunması gerektiği unutulmamalıdır. Burada meşru menfaat, e-ticaret firması bakımından ticari faaliyette bulunma ve alışveriş hizmetini kişiselleştirerek müşteri memnuniyeti sağlama şeklinde gösterilebilir.

 

Kişisel verinin işlenme gereği ve meşru menfaat ile müşterinin temel hak ve hürriyetleri çelişmemelidir. Müşterinin tercihleri ile ilgili kesin deliller varsa, veri işlenmesi hukuka uygun sayılmalıdır. 6698 sayılı Kanunun 5/2-f’de geçen “işleme zorunluluğu” kavramı, çok sıkı bir şart olarak ele alınmamalıdır. Burada geçen “zorunlu olması” ibaresi, veri sorumlusu ve e-ticaret firması açısından bir gereklilik olarak düşünülmelidir. Bu gereklilik, veri sorumlusunun yürüttüğü faaliyetlerde işlenen veriyi kullanılmasının lüzumlu olması hali olarak gösterilecektir. Her durumda, kişisel verisi işlenen kişinin temel hak ve hürriyetlerine bir zarar verildiği kanaatine varılmamalı, veri sahibinin temel hak ve özgürlüklerine zarar verildiği iddiası varsa, bu iddianın iddiada bulunan tarafından ispatlanması gerektiği hususu gözardı edilmemelidir. Bu doğrultuda; e-ticaret firmasının hizmeti sunabilmesi, tanıtım yapabilmesi için, alışverişe zorlamamak kaydıyla meşru menfaat kapsamında ilgili kişinin kişisel verisini işleyebilir. Bu işleme, 6698 sayılı Kanunun 5. maddesinin 2. fıkrasının (f) bendi kapsamında görülmelidir.

 

6698 sayılı Kanunun 8. ve 9. maddelerinde kişisel verilerin aktarılması hükümlerine yer verildiği, prensip olarak aktarılmada ilgili kişinin açık rızasının arandığı, ancak yurtiçi aktarmada m.5/2 ve 6/3’ün hariç tutulduğu ve yurtdışı aktarmayı düzenleyen 9. maddede ise m.5/2 ve 6/3’ün yanında kişisel verinin aktarılacağı yabancı ülkenin, ya KVKK tarafından yeterli korumanın bulunduğu güvenli ülke sayılıp ilan edilmesi veya bunun olmaması durumunda yeterli korumaya ilişkin veri sorumlusunun taahhütte bulunması ve Kurulun bu taahhüdü onaylaması aranmaktadır ki, bunlarda birisi gerçekleşmeden yurtdışına veri aktarılması mümkün değildir. E-ticaret firmalarının 6698 sayılı Kanunun 5. maddesinin 2. fıkrasının (c) bendi kapsamına girdiği, bu nedenle ilgili kişinin açık rızası olmasa da bir sözleşmenin kurulması ve ifası kapsamında kişisel verileri işleyebileceği, bu halin varlığına ek olarak kişisel verinin aktarıldığı ülkenin “güvenli ülke” sayılması ve bu durum mevcut değilse “taahhütname” yoluyla kişisel verilerin ilgili kişinin açık rızasına ihtiyaç duyulmaksızın yurtdışına aktarabileceği tartışmasızdır. Kişisel verilerin korunması konusunda güvenli kabul edilen ülkeye kişisel veri aktarılmasında, Kurula taahhüt verilmesine ve Kuruldan izin alınmasına gerek olmadığını söylemeliyiz.

 

Belirtmeliyiz ki; kişisel verilerin aktarılması, kişisel verilerin işlenmesi kapsamında değerlendirilemez.

 

Her ne kadar veri aktarma faaliyeti, Kişisel Verilerin İşlenmesi faaliyeti başlıklı İkinci Bölümünde düzenlense de, aktarmanın 8. ve 9. maddelerde ayrıca ve özel olarak tanımlandığı görülmektedir. Bu nedenle, kanaatimizce veri işleme ve aktarma ayrı değerlendirilmelidir. Kanunun 10 ila 12. maddelerinde hak ve yükümlülüklerden söz edildiği, 10. maddede veri sorumlusunun aydınlatma yükümlülüğüne ve 12. maddede de veri güvenliğine ilişkin yükümlülüklerin sıralandığı, ancak bunların arasında veri aktarmadan bahsedilmediği, 12. maddenin 1. fıkrasında kişisel verinin hukuka aykırı olarak işlenmesini, kişisel veriye hukuka aykırı olarak erişilmesini önleme ve kişisel verilerin muhafazası ile ilgili yükümlülüklerin öngörüldüğü, Kanunun 3. maddesinin 1. fıkrasının (e) bendinde, “kişisel verilerin işlenmesi” tanımı içinde aktarılması ibaresine yer verilmek suretiyle geniş bir tanımlama yapılmışsa da, Ceza Hukukunda olduğu gibi Kabahatler Hukukunda da “kanunilik” ilkesinin geçerli olduğu, buradan hareketle 5326 sayılı Kabahatler Kanunu’nun “Kanunilik ilkesi” başlıklı 4. maddesi uyarınca, bir fiilin kabahat sayılabilmesi ve bundan dolayı cezanın gündeme gelmesi için, kabahatin mutlaka kanunda tanımlanması gerektiği, idari cezada kanun şartının arandığı, kabahatin tanımında ise kanunun kapsam ve koşullarını bakımından belirlediği çerçeve hüküm içeriğinin kanunun yetki vermesi kaydıyla idarece genel ve düzenleyici işlemlerle doldurulabileceği, ancak 6698 sayılı Kanunda Adalet Bakanlığı’na veya KVKK’ya bu yönde genel ve düzenleyici işlemlerle çerçeve hükmün içini doldurup kabahat düzenleme yetkisinin verilmediği görülmektedir. 1567 sayılı Türk Parasının Kıymetini Koruma Kanunu bakımından eskiden Bakanlar Kuruluna ve şimdi Cumhurbaşkanına çerçeve hüküm kapsamında kabahat düzenleme yetkisinin tanındığı, oysa 6698 sayılı Kanunda böyle bir hükmün olmadığı görülmektedir.

 

Kişisel verilerin aktarılmasında m.18’de öngörülen idari para cezası tatbik edilemez.

 

6698 sayılı Kanunun 17. maddesinde adli suçlar ve 18. maddesinde de kabahatlerin tanımlandığı, adli suçlar bakımından Türk Ceza Kanunu’nun 135 ila 145. maddelerine atıf yapıldığı, kabahatler hakkında ise, 5326 sayılı Kabahatler Kanunun 3. ve 4. maddelerine uygun şekilde Kanunun 18. maddesinde kabahatlerin sıralandığı, 18. maddede 4 bent halinde kabahatlerin tanımlanarak, idari suç ve cezaların nelerden ibaret olduğunun gösterildiği, bunların arasında 8 ve 9. maddelerin ihlali ile ilgili, yani kişisel verilerin aktarılması konusunda hukuka aykırılıkların karşılığında kabahat nev’inden idari suç ve cezanın öngörülmediği, 18. maddenin 1. fıkrasında yer alan (b) bendinde gösterilen Kanunun 12. maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında uygulanacak para cezasında, 12. maddede açıkça veri aktarılması sayılmamış olup, 18. maddede ise Kanunun 8. veya 9. maddesinde yer alan “kişisel verilerin aktarılması” yükümlülüklerini ihlali ibaresi yer almadığından ve veri güvenliğine ilişkin yükümlülükleri düzenleyen 12. maddede kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesi, kişisel verilere hukuka aykırı olarak erişilmesinin önlenmesi ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini sağlamaya yönelik teknik ve idari tedbirleri alma yükümlülüğünü veri sorumlusuna yüklediğinden ve aktarma konusunu düzenleyen 8. ve 9. maddeler bu kapsama girmediği gibi, 18. madde de sayılmadığından, bu yönde bir kabahat tanımı olmadığından, veri sorumlusunun 18. maddenin 1. fıkrasının (b) bendini ihlal ettiğinden bahisle idari para cezası ile cezalandırılması “kanunilik” ilkesine aykırı olacaktır.

 

5326 sayılı Kabahatler Kanununun “Kanunilik ilkesi” başlıklı m.4’e göre; Hangi fiillerin kabahat oluşturduğu, kanunda açıkça tanımlanabileceği gibi; kanunun kapsam ve koşulları bakımından belirlediği çerçeve hükmün içeriği, idarenin genel ve düzenleyici işlemleriyle de doldurulabilir.

 

Kabahat karşılığı olan yaptırımların türü, süresi ve miktarı, ancak kanunla belirlenebilir.”

 

Görüldüğü üzere; bir fiilin kabahat sayılabilmesi için, ya kanunda açık tanım olmalıdır ya da kanunun kapsamı veya koşulları bakımından belirlediği çerçeve hükmün içeriğinin idarenin genel ve düzenleyici işlemi ile doldurulabileceği kanunda belirtilmelidir. Somut olayda, kişisel verilerin aktarılmasını düzenleyen 8. ve 9. maddeler ile ilgili bir kabahatin “Kabahatler” başlıklı 18. maddede yer almadığı tartışmasızdır.

 

[1] “Kişisel verilerin işlenme şartları” başlıklı m.5’e göre; “(1) Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez.

(2) Aşağıdaki şartlardan birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür:

a) Kanunlarda açıkça öngörülmesi.

b) Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.

c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.

ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.

d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.

e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.

f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması”.

 

[2] Ziyaret edilen web sitesi; ziyaret edenin bilgisayarına veya cep telefonuna küçük bilgiler kaydeder ve siteye tekrar girildiğinde bu bilgileri okuyabilir. Bu küçük bilgilerin kaydedildiği dosyalara, çerez veya tanımlama bilgisi denilmektedir.

 

[3] “Kişisel verilerin aktarılması” başlıklı m.8’e göre; “(1) Kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz.

(2) Kişisel veriler;

a) 5 inci maddenin ikinci fıkrasında,

b) Yeterli önlemler alınmak kaydıyla, 6 ncı maddenin üçüncü fıkrasında, belirtilen şartlardan birinin bulunması halinde, ilgili kişinin açık rızası aranmaksızın aktarılabilir.

(3) Kişisel verilerin aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır”.

 

[4] “Kişisel verilerin yurtdışına aktarılması” başlıklı m.9’a göre; “(1) Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurtdışına aktarılamaz.

(2) Kişisel veriler, 5 inci maddenin ikinci fıkrası ile 6 ncı maddenin üçüncü fıkrasında belirtilen şartlardan birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkede;

a) Yeterli korumanın bulunması,

b) Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması, kaydıyla ilgili kişinin açık rızası aranmaksızın yurtdışına aktarılabilir.

(3) Yeterli korumanın bulunduğu ülkeler Kurulca belirlenerek ilan edilir”.

 

[5] Tebliğ için bkz. Resmi Gazete, 10.03.2018 tarihli ve 30356 sayılı.

[6] Bu konuda bkz. Legitimate Interests, Information’s Commissioner’s Office, https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/lawful-basis-for-processing/legitimate-interests/

Prof. Dr. Ersan ŞEN | Tüm Yazıları
Hits: 906