Uluslararası veri aktarımı günümüzde uluslararası ticaretin önemli bir bileşeni ve birçok dijital hizmet modelinin bel kemiği konumunda. Araştırmalara göre uluslararası veri transferinin 2014 yılında dünyadaki gayri safi yurtiçi hasılaya katkısı 2.9 trilyon Amerikan Doları’na ulaşmış.[1] Bunun bir sonucu olarak da, veri transferi tüm dünyada çeşitli mevzuat düzenlemeleri ile kontrol altına alınmaya çalışılıyor.
Category: KVKK
AB Genel Veri Koruma Tüzüğünün Dünyaya Uzanan Eli: GDPR ve Türkiye
Konu: Kişisel Veri, KVKK, AB Genel Veri Koruma Tüzüğü (GDPR)
Kabul edileli üç buçuk yıldan biraz fazla bir süre geçen GDPR, yakın zamanda giderek daha çok anılan bir düzenleme. Uyum ve geçiş süreçlerinin tamamlanması için tanınan yaklaşık iki yıllık sürenin ardından 25 Mayıs 2018 tarihinden itibaren, bir buçuk yıldan uzun bir süredir de yürürlükte.
GDPR sıfırdan ortaya çıkan bir düzenleme olmaktan ziyade kişisel verilerin işlenmesi sürecinde kişilerin haklarının korunmasına ve kişisel verilerin serbest dolaşımına ilişkin 95/46/EC sayılı AB direktifinin yerini almak üzere geliştirilen bir düzenleme. 1995 yılında çıkartılan söz konusu AB direktifi, AB uyum süreci kapsamında hazırlanan ve 7 Nisan 2016 tarihinde yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun da dayanağını oluşturan metin.
Tahmin edilebileceği üzere belirli yerel farklılıklar ve kendine özgü uygulamaları olmakla birlikte KVKK büyük ölçüde ve esas itibarıyla AB direktifine paralel nitelikte bir düzenleme. GDPR da direktifin izinden giderek onu geliştirdiği için doğal olarak KVKK ile GDPR için de özünde ve çerçeve olarak birbirlerine paralel düzenlemeler diyebiliriz. Bununla birlikte söz konusu düzenlemeler arasında belirli ve bazen uygulamayı etkileyebilecek nitelikte farklılıklar bulunduğunu da kabul etmek ve akılda tutmak gerekiyor.
Öncelikle ve özellikle belirtilmesi gereken bir husus: GDPR ve KVKK’nin en nihayetinde farklı iki yargı alanında çıkartılan farklı iki düzenleme olduğu ve bu nedenle, özellikle uyumluluk bakımından, GDPR uyumluluğunun KVKK uyumluluğu anlamına gelmediği ve tam tersinde de yine KVKK uyumluluğunun GDPR uyumluluğu anlamına gelmediği.
Bu doğrultuda GDPR’ın AB sınırları dışındaki kişiler, dolayısıyla Türkiye’deki şirketler bakımından uygulanabilirliğine değinmek faydalı olacaktır. Nitekim AB ile ticari faaliyetleri olan Türkiye’deki şirketlerin bu uygulanabilirliği akılda tutması ve gerekli noktalarda somut olaya göre değerlendirme yapılması gerekecektir. AB dışındaki kişiler bakımından GDPR’a tabii olup olmadıkları yönünde bir değerlendirme yapılırken kabaca iki basamaklı bir inceleme gerçekleştiriliyor. Bunları “Kurumsal Kriter” ve “Hedef Alma Kriterleri” olarak ayırabiliriz.
Kurumsal Kriter
Kurumsal kriter ilk bakışta yalnızca AB’deki kişiler bakımından kapsamı belirliyor gibi görünse de aslında AB dışındaki veri sorumlularının ve veri işleyenlerin de bu kriter uyarınca doğrudan GDPR kapsamında değerlendirilmesi mümkün. Bu kriter kapsamında GDPR’ın uygulanması için veri sorumlusunun AB sınırları içinde bulunması veya veri işleme faaliyetinin AB’de gerçekleşmesi şartı aranmıyor. Örneğin; herhangi bir AB ülkesinde tescilli bir şubesi, iştiraki, bağlı şirketi ya da temsilciliği olmayan ve veri işleme faaliyetlerini de AB dışında gerçekleştiren bir kişi de bu kriter kapsamında GDPR bakımından sorumlu addedilebilir.
Burada önemli olan husus AB dışındaki veri sorumlusu veya veri işleyenin AB’de stabil bir anlaşma kapsamında asgari nitelikte dahi olsa gerçek ve etkili bir faaliyet yürüten bir temsilcisinin veya çalışanının varlığı olmasıdır. Örneğin; AB sınırları içinde herhangi bir şubesi ya da iştiraki bulunmayan ve Türkiye’de faaliyet göstermek üzere kurulan bir e-ticaret sitesinin ileride AB piyasasına girişini kolaylaştırmak için Almanya’da açtığı bir ofis (şirket ya da şube değil) GDPR bakımından yükümlülük doğurabilir. Dolayısıyla AB’de bir iştirak veya şubeniz bulunmamasına rağmen örneğin sürekli bir sözleşme kapsamında düzenli olarak şirketiniz adına AB’de tanıtım ve pazarlama faaliyetleri yürüten AB vatandaşı bir çalışanınızın (veya üçüncü kişi hizmet sağlayan/tedarikçinin) olması bu faaliyetler kapsamında GDPR bakımından yükümlülük doğurabilir.
Hedef Alma Kriterleri
Kurumsal kriter doğrultusunda GDPR kapsamında değerlendirilmese dahi bir veri sorumlusu veya veri işleyen hedef alma kriterleri doğrultusunda GDPR kapsamında değerlendirilebilir. İki tane hedef alma kriteri mevcut ve yine bunlardan birinin gerçekleşmesi uygulanabilirlik için yeterli. Diğer bir deyişle her iki kriterin de birlikte gerçekleşmesi şart değil. Her iki hedef alma kriteri için de öncelikli şart AB’deki bir ilgili kişinin kişisel verilerinin işleniyor olması. Burada GDPR ilgili kişinin AB vatandaşı olmasını ya da AB’de ikamet ediyor olmasını aramıyor. İlgili kişinin o sırada AB’de bulunması GDPR bakımından AB’deki bir ilgili kişi olarak değerlendirilmek için yeterli. Hedef alma kriterlerini kısaca mal ve hizmetlerin sunulması ile davranışların izlenmesi olarak ayırabiliriz. Uygulanabilirlik kapsamına her türlü mal ve hizmet sunumu ya da her türlü davranış takibi girmiyor. Buna ek bazı şartların da gerçekleşmesi gerekiyor.
Servis Sunma
Bu kriterin gerçekleşmesi için öncelikle mal ve hizmetlerin aktif olarak sunuluyor olması ya da AB’deki veri sahiplerine yöneltilmesi ya da bunların hedef alınması gerekli. Aktif olarak sunulmasına örnek olarak aşağıdaki faaliyetleri sayabiliriz:
– AB dışındaki bir e-ticaret şirketine ait internet sitesinin AB dillerinde versiyonlarının olması,
– AB üyesi ülkelerin para birimlerinde görüntüleme seçeneği sunulması,
– AB üyesi ülkelerden kullanıcıların yorumlarına yer verilmesi, ya da
– AB üyesi ülkelere gönderim yapıldığının belirtilmesi
Dolayısıyla Türkiye’deki bir şirkete ait yalnızca Türkçe seçeneği bulunan ve yurt dışına gönderim yaptığı yönünde herhangi bir ibare bulunmayan bir internet sitesinin Almanya’dan ya da AB üyesi ülkelerden erişilebiliyor olması tek başına GDPR’ın uygulanması için yeterli değildir. Bununla birlikte söz konusu ticari faaliyetin gelişimine paralel olarak internet sitesinin geliştirilmesi esnasında da yukarıda bahsedilen hususların göz önünde bulundurulması uygun olacaktır.
Davranış Takibi
Yine benzer şekilde davranışların izlenmesi kriterinin gerçekleşmesi ve bu doğrultuda GDPRın uygulanabilirliği için, söz konusu izleme faaliyetinin gelecekte kullanılmak üzere gerçekleştiriliyor olması gerekmektedir. Bu kriter cookie maddesi olarak da isimlendiriliyor. İnternet sitelerinde kullanıcıları takip etmek için kullanılan cookie sistemi artık çok yaygın ve neredeyse her internet sayfası cookie teknolojisinden yararlanıyor. Dolayısıyla GDPR’ın uygulanabilir olması için de yalnızca internet sitesinde cookie teknolojisinin kullanılıyor olması yeterli değil. Buna ek olarak, bu şekilde toplanan kişisel verilerin ileride AB’deki veri sahipleri bakımından da, örneğin, reklam veya pazarlama, araştırma gibi çeşitli faaliyetler bakımından kullanılma amacının bulunması gerekiyor.
Dolayısıyla örneğin yukarıdaki örnek üzerinden devam ettiğimizde, tek başına AB’den erişilebilir olması Türkiye’de kurulu bir e-ticaret sitesinin GDPR kapsamına girmesi için yeterli sebep oluşturmazken, bu e-ticaret sitesine AB’den giriş yapan kişilerinin davranışlarının gelecekte gerçekleştirilecek pazarlama faaliyetleri için izlenmesi halinde, bu davranış takibi bakımından teorik olarak GDPR uygulama alanı bulabilecektir.
Açıkladığımız bu kriterlerden herhangi birinin şartları gerçekleştiğinde ilgili veri sorumlusu veya veri işleyen bakımından GDPR uygulanabilir hale geliyor ve bu kişilerden GDPR kapsamındaki sorumluluklarını yerine getirmesi bekleniyor. Bu bakımdan düşünüldüğünde görebileceğimiz üzere GDPR, yetki alanı ve uygulanabilirliği bakımından AB dışına da taşan düzenleme.
Yaptırım
İlgili ülkelerde mevcut kişisel veri koruma otoriteleri, GDPR kapsamında bir hukuka aykırılık ihtimali görürlerse ilgili veri sorumlularını ve veri işleyenleri uyarma ve gerekli önlemlerin alınmasını talep etme yetkisine sahipler. GDPR bakımından bir aykırılık tespit ettiklerinde de en hafif yaptırım olan kınama cezasını verebiliyorlar.
Bunlar dışında yine ilgili somut olayın özelliklerine göre otoriteler veri işleme faaliyetlerini geçici veya sürekli olarak durdurabiliyorlar. Verilerin düzeltilmesini, kısıtlanmasını veya silinmesini talep edebiliyorlar. Otoriteler aynı zamanda verilerin üçüncü ülkelere aktarımının durdurulmasına da karar verme yetkisine sahipler.
Son olarak tahmin edilebileceği üzere otoritelerin GDPR’a aykırılık halinde ayrıca para cezası verme yetkisi de bulunuyor. GDPR’da para cezaları iki grup olarak belirleniyor ve ilgili maddelerde üst sınırlar ihlalin türü ve niteliğine göre (i) 10 milyon Euro’ya veya cironun %2’sine ya da (ii) 20 milyon Euro’ya veya cironun %4’üne kadar para cezası şeklinde belirtilmiş. Üst sınırlardan hangisi daha fazla ise o üst sınır olarak uygulanıyor.
Burada Türkiye’deki şirketler için özellikle önemli olabilecek kısım veri sorumluları ve veri işleyenlerin genel yükümlülükleri bölümü. Yukarıda bahsedilen hedef alma kriterleri doğrultusunda GDPR kapsamına giren AB dışındaki veri sorumlularının temsilci atama yükümlülüğü genel yükümlülükler arasında yer alıyor. Genel yükümlülüklere aykırı hareket etmenin yaptırımı 10 milyon Euro’ya veya cironun %2’sine kadar (hangisi daha yüksekse) para cezası olarak öngörülmüş. Dolayısıyla, GDPR kapsamında belirlenen yükümlülüklere tabi olan ancak bu yükümlülüklerini yerine getirmeyen veri sorumluları teorik olarak böyle bir yaptırım riski altındalar.
Uyum
Uyumluluk konusu doğal olarak her bir veri sorumlusu ve veri işleyen bakımından kendine özgü niteliklere ve gereksinimlere sahip olacaktır. Bununla birlikte genel olarak GDPR uyumluluğu konusuna nasıl yaklaşılabileceği konusunda aşağıdaki genel çerçeve kullanılabilir:
– Uyumluluk bakımından ilk aşamada yapılması gereken yukarıda bahsedilen GDPR’ın uygulanabilirlik kriterleri doğrultusunda veri sorumlusu veya veri işleyen sıfatıyla GDPR kapsamına girilip girilmediğinin tespit edilmesidir.
– GDPR kapsamına girildiğine kanaat getirilmesi halinde GDPR’ın uygulanacağı veri işleme faaliyetlerinin tespit edilmesi gerekecektir.
– Bu faaliyetler de tespit edildikten sonra GDPR uyarınca bu faaliyetlerle ilgili şirketin üzerine düşen yükümlülüklerin tespit edilmesi gerekir.
– Bu hususlar tespit edildikten sonra KVKK sürecine benzer şekilde GDPR uyumluluğu için bir aksiyon planı belirlenmesi ve bu plan kapsamında önceliklerin belirlenmesi uygun olacaktır.
– Daha sonra bu aksiyon planı KVKK uyumluluğu da göz önünde bulundurularak ve finansal ve zamansal tasarruf amacıyla mümkün olduğu ölçüde KVKK kapsamında gerçekleştirilen uygulamalardan da yararlanılarak uygulanmalıdır.
– Son olarak aksiyon planı tamamlanmış olsa da GDPR ile ilgili gelişmelerin takip edilmesi ve bunlara göre gerekli değişikliklerin yapılması gerektiği unutulmamalı ve sürdürülebilirlik için bir sistem oluşturularak uygulamaya konulmalıdır.
Yazar: Av. İlay Yılmaz, Av. Can Sözer, Av. Türker Doygun – Esin Hukuk Bürsou
Makalelerdeki görüş ve yorumlar yazar veya yazarlara ait olup , Etik ve İtibar Derneği’nin konu ile ilgili düşüncelerini yansıtmamaktadır.
Kişisel Verilerin Korunması Kanunu ve Türk Ceza Kanunu Arasındaki Farklılıklara Dair Genel Değerlendirmeler
2016 yılında yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) veri sorumlularına, veri koruma politikalarını kanun hükümlerine uygun hale getirmeleri için kanunun yayımı tarihinden itibaren iki yılık bir süre tanımış idi. Bu geçiş sürecinin 7 Nisan 2018 tarihinde sona ermesi ile, Avrupa’da GDPR’ın yürürlüğe girmesini takiben görülen etkiye benzer olarak Türkiye’de de kişisel verilerin korunması alanında bir hareketlilik yaşanmaya başlanmıştı.
Her ne kadar söz konusu hareketliliğin hâlihazırda daha çok uyumluluk süreçlerine odaklı olarak gerçekleştiği görülmekteyse de, konunun ceza hukuku boyutu da görmezlikten gelinemeyecek derecede önem arz etmektedir. Esasen, kişisel veri ihlallerine ilişkin cezai müeyyideler KVKK’dan önceye dayanmaktadır; nitekim kişisel verilerin hukuka aykırı olarak kaydedilmesi, bir başkasına verilmesi, ele geçirilmesi, yayılması ve yok edilmemesi, Türk Ceza Kanunu kapsamında bu kanunun yürürlüğe girmesinden önce de suç olarak düzenlenmekte idi. Şimdi ise, KVKK ile uygulama 4 alanı bulan ve kişisel verilerin işlenmesine ilişkin kuralları ve ilkeleri belirlerken aynı zamanda kanunun ihlali halinde gündeme gelecek cezai sorumluluğa da atıfta bulunan yeni hükümlerin yürürlüğe girmesi ile, bu iki kanunun bir arada nasıl uygulanacağı da kaygı doğuran bir mesele haline gelmiştir.
TÜRK CEZA KANUNU’NUN YAKLAŞIMI
Türk Ceza Kanunu’nun doğrudan kişisel verilerin korunmasını ilgilendiren düzenlemeleri, madde 135 ila 140 hükümleri arasında yer almaktadır. Madde 135 hükmü, kişisel verilerin hukuka aykırı olarak kaydedilmesi halinde kişiye, bir yıldan üç yıla kadar hapis cezası verileceğini düzenlemektedir. Söz konusu hükmün ikinci fıkrası ise, hukuka aykırı olarak kaydedilen kişisel verinin kişilerin siyasi, felsefi veya dini görüşlerine, ırki kökenlerine, ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin olması durumunu, suçun nitelikli hali olarak kabul etmekte ve bu durumda verilecek hapis cezasının yarı oranında artırılacağını öngörmektedir. Takibinde madde 136 hükmü, kişisel verilerin hukuka aykırı olarak bir başkasına verilmesi, yayılması veya ele geçirilmesinin iki yıldan dört yıla kadar hapis cezası ile cezalandırmakta ve son olarak madde 138 hükmü, kişisel verilerin kanunların belirlediği sürelerin geçmiş olmasına karşın yok edilmemesini suç olarak düzenleyerek, bu suçun işlenmesi halinde bir yıldan iki yıla kadar hapis cezası öngörmektedir.
Kısaca özetlemek gerekirse, Türk Ceza Kanunu genel olarak kişisel verilerin hukuka aykırı olarak kaydedilmesi, ele geçirilmesi, bir başkasına verilmesi, yayılması ve yok edilmemesi eylemlerini suç olarak sıralamakta ve söz konusu verilerin kişilerin siyasi, felsefi veya dini görüşlerine, ırki kökenlerine, ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin olması durumunda koruma kapsamını genişletmektedir.
KVKK’NIN YAKLAŞIMI
KVKK’nın 17. maddesi, oldukça geniş bir ifade kullanarak kişisel verilere ilişkin suçlar bakımından Türk Ceza Kanunu’nun 135 ila 140. maddelerine atıfta bulunmaktadır. Bununla birlikte, ilgili hükmün ikinci fıkrası daha spesifik bir düzenleme ile, kişisel verilerin KVKK hükümlerine aykırı olarak silinmemesi veya anonim hale getirilmemesi halinde Türk Ceza Kanunu’nun 138. Maddesinin uygulama bulacağını ifade etmektedir.
KVKK’nın 18. Madde hükmü ise aydınlatma yükümlülüğünün, veri güvenliğine ilişkin yükümlülüklerin ve Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğünün yerine getirilmemesini ve Kişisel Verileri Koruma Kurulu tarafından verilen kararlara uyulmamasını açıkça kabahat niteliği taşıyan eylemler olarak tanımlamış ve böylece söz konusu ihlalleri Türk Ceza Kanunu’nun kapsamı dışında tutmuştur.
KVKK, özel nitelikli kişisel verilere ilişkin olarak ise Türk Ceza Kanunu’nda belirtilen kişisel verilere, kişilerin ırkı ve etnik kökeni, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek veya vakıf üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri eklemiştir. Bunun yanında, Türk Ceza Kanunu’nun aksine, kişilerin ahlaki eğilimleri KVKK’da özel nitelikli veri olarak düzenlenmemiştir.
İKI YAKLAŞIMIN DEĞERLENDIRILMESI
Tahmin edilebileceği üzere, KVKK yalnızca kişisel verilerin kaydedilmesi, ele geçirilmesi, bir başkasına verilmesi, yayılması ve yok edilmemesi durumlarını değil, kişisel veriler üzerinde yapılan her türlü işlemi kapsamı içerisine almakta; daha teknik bir ifade ile veri işlemenin söz konusu olduğu her halde uygulama bulmaktadır. Bu durumun doğal bir sonucu olarak KVKK, cezai sorumluluğa ilişkin olarak Türk Ceza Kanunu’na atıfta bulunduğu hallerde, Türk Ceza Kanunu’nun ilgili hükümlerinin kişisel verilerin herhangi bir şekilde işlenmesi durumunda uygulanmasını amaçladığı söylenebilecektir.
Bununla birlikte, Türk Ceza Kanunu’nun ilgili hükümleri kişisel verilerin yukarıda belirtilmiş olan durumlar dışında işlenmesi hallerini kapsamamaktadır. Bu durumda ise, suçların ve cezaların kanuniliği ilkesi uyarınca, kişisel verilerin hukuka aykırı olarak ve fakat Türk Ceza Kanunu’nun ilgili düzenlemelerinin kapsamına girmeyen fillerle işlenmesi ve bu fiillerin Türk Ceza Kanunu’nda sıralanan suç tipleri ile ilişkilendirilememesi durumunda Türk Ceza Kanunu uygulama alanı bulmayacaktır. Dolayısıyla, kişisel verilerin hukuka aykırı olarak işlendiği birtakım haller, herhangi bir cezai sorumluluk doğurmayacaktır.
Aslında arzu edilen düzeyde bir koruma sağlayabilmek adına her türlü veri güvenliği ihlali için cezai yaptırım öngörülmesinin gerekip gerekmediği ya da ceza sorumluluğunun bu anlamda efektif bir araç olup olmadığı ayrı bir tartışma konusudur. Ancak bu iki kanunda yer alan mevcut hükümlerin, halihazırda sağladıkları farklı kapsam ve seviyedeki korumalarla çelişkili uygulamalara yol açabilecek bir belirsizlik yarattığını ve sırf bu durumun dahi bir değişiklik ihtiyacı doğurduğunu söylemek yanlış olmayacaktır.
Burada şunu da eklemek de fayda olacaktır ki, Kabahatler Kanunu’nun 15/3. maddesi uyarınca, kişisel verilerin hukuka aykırı olarak işlendiği ve Türk Ceza Kanunu’nun uygulamadığı bir halde, söz konusu fiil kabahat olarak değerlendirilerek bir yaptırıma tabi tutulabilecektir. Aynı hükmün, bir fiilin hem kabahat hem suç olarak tanımlanmış olması halinde, sadece suçtan dolayı yaptırım uygulanabileceği yönündeki düzenleme de dikkate alındığında, 4 hemen yukarıda izah edilen ceza sorumluluğu ile arzu edilen korumanın sağlanıp sağlanamayacağı yönündeki değerlendirmenin tekrarlanması gerektiği açıktır. Bu değerlendirme başlı başına ayrı bir makalenin konusu olacak olmakla birlikte, yapılması arzu edilen değişiklikler gündeme geldiğinde kanun koyucunun bir fiilin suç mu yoksa kabahat mi teşkil ettiği yönündeki iradesi bakımından oldukça önem arz etmektedir.
Yukarıdaki açıklamalarımız, yürürlükteki düzenlemelerin, kanunilik ilkesinin katı doğası ile şekillenen hukuki yorumlarını yansıtmaktadır. Bununla birlikte, Türk Ceza Kanunu’nun 135 ve 136. madde hükümlerinin, Yargıtay tarafından KVKK’nın ruhuna ve sağlamayı amaçladığı koruma kapsamına uygun şekilde ve daha geniş bir biçimde yorumlanması durumunda, daha farklı bir uygulamanın gelişmesi de mümkün olabilecektir. Ancak unutmamak gerekir ki, ceza hukukunun bakış açısı ve temel prensipleri esasen bu şekilde geniş yorumlamalara izin vermemektedir. Dolayısıyla kanunun amacına uygun bir yorumda bulunmak, ceza hâkimleri için zor bir görev teşkil etmektedir. Bu sebeple ideal olan, kanun koyucunun farklılıkları ve yanlış yorumlamaları bertaraf edecek bir aksiyon alması olacaktır.
Bu noktada bir parantez açılması gerekmektedir. Kanunilik ilkesine gerektiği gibi katı uygulandığı ilk senaryo ile karşılaşılması durumunda, Türk Ceza Kanunu’nun ilgili hükümlerinde yer almayan fiillerin işlenmesiyle ortaya çıkan kişisel veri ihlallerine ilişkin cezai soruşturmaların sonuçsuz kalacağı şüphesizdir. Bununla birlikte, Türk Ceza Kanunu’nda suç olarak sayılmayan bu fiiller KVKK uyarınca hukuka aykırı niteliğini kaybetmeyeceğinden, KVKK yine de ihlal edilmiş olacaktır. Bu durumda, KVKK’nın 12. maddesinin atfıyla, kabahatleri ve uygulanacak idari para cezalarını düzenleyen 18. madde hükmü devreye girecektir. KVKK 12. maddesi genel itibariyle veri sorumlusunun veri güvenliğine ilişkin yükümlülüklerini düzenlemekte ve söz konusu yükümlülüklerin yerine getirilmemesini, kabahat olarak kabul edilmektedir. Bu durumda cezai sorumluluk kapsamında tutulmamanın etkisiyle rehavete kapılabilecek veri sorumluları için problem yaratabilecek olan husus ise, Kişisel Verileri Koruma Kurulu’nun madde 12 hükmünün uygulama alanını aşırı bir biçimde genişleterek, madde 12 kapsamına girmese dahi, neredeyse tüm veri ihlallerini veri güvenliğine ilişkin yükümlülüklerin ihlali olarak değerlendiriyor olmasıdır. Kurul’un eleştiri konusu olan bu yaklaşımının bir sonucu olarak, cezai sorumluluk yerini 1 milyon Türk Lirasını bulabilecek ciddi para cezalarına bırakmıştır.
Türk Ceza Kanunu ile KVKK arasındaki bir diğer farklılık ise, özel nitelikli veri kapsamlarının birbiri ile uyuşmamasından kaynaklanmaktadır. Yukarıda da açıklanmış olduğu gibi, KVKK’da özel nitelikli veri olarak düzenlenen birtakım kişisel veriler, daha eski tarihli Türk Ceza Kanunu tarafından aynı şekilde tanımlanmamıştır. Bunun sonucunda ise bu veriler (kişilerin ırkı ve etnik kökeni, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek veya vakıf üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri) KVKK uyarınca özel nitelikli kişisel veri olarak değerlendirilmiş olmalarına rağmen, Türk Ceza Kanunu tarafından tanınan nitelikli korumadan yararlanamayacaklar ve yalnızca madde 135/1 hükmü ile düzenlenen suçun yalın halinin konusunu oluşturacaklardır. Buna karşın, yalnızca Türk Ceza Kanunu tarafından özel nitelikli veri olarak kabul edilen kişilerin ahlaki eğilimlerine ilişkin kişisel veriler ise, KVKK’da özel nitelikli veri olarak kabul edilmemelerine rağmen suçun nitelikli halinin konusunu oluşturacak ve ilave bir korumadan yararlanacaktır. Kişilerin ahlaki eğilimlerine ilişkin kişisel verilerine tanınan bu geniş kapsamlı koruma, anlamı ve içeriği tam olarak belirli olmayan olan “ahlaki eğilim” kavramının yanlış yorumlamalara oldukça açık olması nedeniyle de eleştiri konusu olmuştur. Arzu edilen korumanın tam olarak sağlanabilmesi için, bu tür belirsizliklerin açıklığa kavuşturulması ve özellikle yasal tanımlar söz konusu olduğunda KVKK’nın bu amaca tek rehber olarak kabul edilmesi gerekmektedir.
Bu bölümü sona erdirmeden önce üzerinde durulması gereken son nokta olarak belirtilmelidir ki, Türk Ceza Kanunu’nda suç olarak sayılmayan fiiller ve bunların kanunilik ilkesi kapsamındaki yorumundan kaynaklanan karışıklık, kişisel verilerin silinmesi ve anonim hale getirilmesi üzerinde aynı etkiyi doğurmamaktadır. Açıklamak gerekirse, Türk Ceza Kanunu’nun138. maddesi kişisel verilerin yok edilmemesi halini düzenlemekteyken, KVKK’nın 17/2. maddesi kişisel verilerin silinmemesi veya anonim hale getirilmemesi halini kapsamına almaktadır. Dolayısıyla, ilk bakışta Türk Ceza Kanunu kapsamında olmayan “anonim hale getirmeme” fiilinin suç olarak kabul edilmesinin de kanunilik ilkesine aykırı olduğu düşünülebilecek ise de, 17/2. madde hükmünün söz konusu ihlallerin Türk Ceza Kanunu’nun 138. Maddesine göre cezalandırılacağı şeklindeki açık lafzı ve atfı, bu şekilde bir yorumun önüne geçmektedir.
SONUÇ
Şüphesiz ki, bu iki kanunun kapsamları ve yaklaşımları arasındaki farklılıklar sebebiyle uygulamada karşılaşılması muhtemel karışıklık ve çelişkilere karşı izlenebilecek en uygun çözüm yolu, öncelikle Türk Ceza Kanunu’nda ve gerekirse KVKK’da gerekli değişikliklere giderek farklılıkları tamamen ortadan kaldırmak olacaktır. Ancak, en azından odak noktasının KVKK’nın idari yükümlülükleri ile uyumluluk noktasında toplandığı şu dönemde bu husus ikincil planda kalmakta ve bu sebeple halihazırda böyle bir değişiklik gündemi bulunmamaktadır.
Bu sebepledir ki bugün için merak uyandıran husus, iki kanun arasındaki söz konusu farklılıkların uygulamayı nasıl etkileyeceği ve Yargıtay içtihatlarına nasıl yansıyacağıdır. KVKK’nın nispeten yeni bir kanun olduğu da düşünüldüğünde, uygulamaya yön verecek çok yönlü tartışmaların mahkemeler nezdinde henüz sağlanmadığını söylemek de yanlış olmayacaktır. Bunun bir diğer sonucu da, bugüne kadar konuya ilişkin olarak oluşturulmuş olan Yargıtay içtihatlarının yeterli bir rehber niteliği arz edememesidir. Nitekim söz konusu içtihatlar, genellikle KVKK öncesi döneme dayanmakta olup kapsam itibariyle oldukça sınırlıdır.
Bu durum karşısında ve arzu edilen değişikliklerin en azından kısa vadede yapılmayacağı öngörüsüyle, Yargıtay KVKK ve Türk Ceza Kanunu’nun ilgili hükümlerinin yorumlanması ve uygulanmasına yönelik birtakım standartlar belirleyene kadar, özellikle ilk derece mahkemelerince yürütülen yargılamalar sonucunda birbiriyle çelişen kararlar ile karşılaşmanın şaşırtıcı olmayacağını söylemek mümkündür.
Yazı: Gün+Partners Avukatlık Bürosu, Yönetici Avukat Av.Fliz Toprak Esin ve Kıdemli Avukat Asena Aytuğ Keser
Makalelerdeki görüş ve yorumlar yazar veya yazarlara ait olup , Etik ve İtibar Derneği’nin konu ile ilgili düşüncelerini yansıtmamaktadır.
Veri Koruma Hukuku ve Önemi
Günümüzde teknolojideki hızlı gelişmeler sonucunda veri, çağın yeni değeri haline gelmiş ve gerek büyük ölçekte ülkelerin gerekse de iş hayatındaki pek çok kurumun yıllardır süregelen politikalarında birtakım değişikliklere gitmelerini zorunlu hale getirmiştir.
Kolaylaşan veri akışı ile beraber gittikçe ticarileşen internet ise veri koruma hususunda ulusal ve uluslararası düzenlemeler yapılmasını mecburi kılmıştır. Bu bağlamda 7 Nisan 2016’da ülkemizde 6698 Sayılı Kişisel Verilerin Korunması Kanunu ve 25 Mayıs 2018’de de Avrupa Veri Koruma Tüzüğü (General Data Protection Regulation) yürürlüğe girmiştir. Söz konusu Tüzük ve Kanunun temelleri yıllar öncesine dayanmasına karşın yaptırım gücü olan düzenlemelere dönüşmeleri ancak son 2 yıl içerisinde mümkün olmuştur. Bu durumun temel nedeni, başlangıçta da açıklanmış olduğu üzere gerek internet gerekse gelişmeye hızla devam eden akıllı nesneler vasıtasıyla verilerin son yıllarda artan kullanımı sonucunda kişilerin mahremiyetinin korunması ihtiyacıdır.
Kişisel veri kavramı, hayatın çok içinde ve herkesin temas halinde olduğu bir konu olmakla birlikte özellikle işleri gereği kişisel verilere sürekli erişim sağlayan şirketler açısından önemli bir sorumluluk getirmiştir. Kanunun öngördüğü yükümlülüklerden birkaçını; veri envanterinin oluşturulması, veri güvenliğinin sağlanması için teknik ve idari tedbirlerin alınması ve veri kayıt sistemine (VERBİS) doğru ve güncel bilgiler ile kayıt olunması oluşturmaktadır.
Kişisel Verilerin Korunması mevzuatımız, AB sınırları içerisinde 1998 yılından bu yana yürürlükte bulunan 95/46/AT sayılı “Kişisel Verilerin İşlenmesi ve Serbest Dolaşımı Bakımından Bireylerin Korunmasına İlişkin Direktif ”den esinlenilerek hazırlanmış olsa da 2018’de yürürlüğe giren GDPR bu iki düzenlemeden de ayrışan birtakım hususlar barındırmaktadır. Bunlardan ilki ve belki de en önemlisi veri ihlalleri karşısında öngörülen müeyyide miktarlarının büyüklüğüdür. KVKK ’ya aykırılık halinde idari yaptırımın üst sınırı 1 Milyon TL ve cezai yaptırım ise 1-4 yıl arasında öngörülmekte iken GDPR’da üst sınır 20 Milyon Euro veya bir önceki mali yıl küresel cirosunun %4’ü olabilmektedir. Bununla beraber GDPR, KVKK ’da yer verilmeyen Veri Koruma Görevlisi (Data Protection Officer) ve Veri Koruma Etki Değerlendirmesi (Data Protection Impact Assessment) kavramlarına da yer vererek sistematik olarak büyük ölçekli veri işlemekte olan tüzel kişilerin bu hususları da uygulamalarına almalarını öngörmüştür.
Kişisel Verilerin Korunması Hukuku bağlamında son yıllarda oluşan bu hassasiyet neticesinde gerek dünyada gerekse de Türkiye’de pek çok yaptırıma şahitlik edilmektedir. Hızla sayıları artmakta olan idari para cezalarının miktarları ihlalin etkilediği kişi sayısı ve ihlal şekline göre değişiklik gösterebilmektedir. İngiltere Veri Koruma Komisyonu (ICO) tarafından hukuka aykırı veri işleme ve gerekli idari ve teknik tedbirlerin alınmamış olması nedeniyle Facebook’a verilen 500.000 Sterlin değerindeki ceza ile başlayan yaptırım süreci yakın tarihte Google’a verilen 50 Milyon Euro değerindeki ceza ile sürmektedir. Söz konusu yaptırım, ilgili kişilere şeffaf ve yeterli bir aydınlatma yapılmadığı gerekçesiyle Fransız Veri Koruma Otoritesi (CNIL) tarafından verilmiştir. Ülkemizde de KVK Kurumunun özellikle 6698 Sayılı Kanun ile GDPR uygulamasının birbirine yaklaşabilmesi açısından veri işlemede takip edilecek genel ilkeler konusu kapsamında ciddi bir hassasiyet gösterdiği ve bu pek çok cezayı bu ilkeler bağlamında verdiği görülmektedir. Buna ilaveten kurumun şimdiye kadar uygulamış olduğu yaptırımlardan bir diğeri ve şirketler için belki de bir maddi yaptırımdan çok daha etkili olacak uygulaması ise kurumun resmî web sitesinde kamuya yönelik veri ihlali bildiriminin yapılmasıdır. Buradan hareketle, kişisel verilerin korunmasının hem veri işleyen gerçek kişiler hem de kamu/özel tüzel kişilikleri için ivedilikle aksiyon alınması gereken bir konu haline geldiği aşikardır.
Tüm dünyada ortaklaşa kabul edilen, Veri Koruma Günü ise 28 Ocak 1981’de kişisel verilerin korunmasını öngören 108. Konvansiyonun Avrupa Konseyi üyesi 46 ülke tarafından imzalanmasıyla ilan edilmiştir. Türkiye’nin de 28 Ocak 1981’de Strazburg’da imzaladığı bu sözleşme ancak üzerinden 35 yıl geçmesi ile bir Kanun kapsamında düzenlenerek mevzuatımızda yerini alabilmiştir. Uzun yıllar önce imzalanmış bir uluslararası sözleşmenin Türk Hukukuna dâhil olabilmesi için bu denli fazla zamanın geçirilmiş olması, veri koruma hususunun bir Kanun ya da Tüzükten ibaret olmayıp Türk Kültürü içine yerleştirilmesi gereken bir olgu olduğunu ve bu farkındalığın yerleşmesinin biraz zaman alacağını göstermektedir.
Yazı: Fırat Barış Kavlak, Kavlak Avukatlık Bürosu Ortak Avukatı
Makalelerdeki görüş ve yorumlar yazar veya yazarlara ait olup , Etik ve İtibar Derneği’nin konu ile ilgili düşüncelerini yansıtmamaktadır.