6698 sayılı Kişisel Verilerin Korunması Kanunu’nun altıncı yılında, ilk beş seneyi incelemiş olduğumuz yayınımızın devamı olarak 1 Ocak 2021-31 Aralık 2021 tarihleri arasındaki kuruluşların Kişisel Verilerin Korunması Kanunu’na uyum sürecinde dikkat etmesi gereken değişen uygulamaları ve Kişisel Verileri Koruma Kurulu’nun yaklaşımını derlediğimiz ikinci rehberimizi Moroğlu Arseven olarak 28 Ocak Veri Koruma Günü vesilesiyle sunmaktan mutluluk duyarız. 2021 yılında veri korumu hukuku alanındaki önemli gelişmelerden biri, veri sorumluları siciline kayıt için belirlenen sürenin 31 Aralık 2021 tarihi itibari ile son bulmuş olmasıdır. 30 Eylül 2019 tarihinden beri ihtiyaçlar doğrultusunda pek çok kez ertelenen kayıt için son tarih, en son COVID-19 sebebi ile bir 31 Aralık 2021’e ertelenmiş, sonrasında ile yeniden bir erteleme kararı alınmamıştır. 2021 yılındaki bir diğer önemli gelişme de yurtdışına veri aktarıma ilişkin taahhütlerin onaylanmaya başlamasıdır. 2021 yılında üç adet yurtdışı aktarımına ilişkin taahhütname Kişisel Verileri Koruma Kurumu tarafından onaylanmış olup; bununla birlikte henüz şirket içi kurullara dair bir onay duyurusu yapılmamıştır. 2021 yılında Kişisel Verileri Koruma Kurumu tarafından yapay zekâ, unutulma hakkı, biyometrik veriler ve çerezler gibi konularda rehber ve rehber taslakları yayımlanmış, aydınlatma metinlerinde işlenen verilere yer verilmesi gerektiği gibi kararlarla daha önce pek çok kez tartışılan ve bir görüş birliğine varılamayan konularda yol gösterici adımlar atılmıştır. Kişisel Verileri Koruma Kurulu’nun kamuoyuna açıklanan faaliyetleri de dikkate alınarak Veri Koruma Hukuku alanında 2021 yılı içinde Türkiye’de yaşanan gelişmeleri yıllık olarak güncellediğimiz rehberimiz vasıtası ile sizlerle paylaşıyoruz. Rehber’de her bir konu başlığı altında yer verdiğimiz açıklamalarımız, Kişisel Verileri Koruma Kurulu’nun faaliyetlerine yönelik tarihsel sıralama dikkate alınarak hazırlanmış olup; hukuki görüş içermemektedir.
A. MEVZUAT VE UYGULAMADA ESASLI GELİŞMELER
I. Kişisel Verilerin Korunmasına İlişkin Mevzuata Genel Bakış
Kişisel verilerin korunması, Türk hukukunda başta T.C. Anayasası olmak üzere farklı hukuki kaynaklar altında koruma alanı bulmakla beraber, kişisel verilerin korunmasında uluslararası modern düzenleme yaklaşımına uygun temel ve kapsayıcı düzenleme 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) ile getirilmiştir. KVKK’nin yürürlüğe girmesi ile beraber, kişisel verilerin hukuka uygun işlenmesine ilişkin kurallar düzenlenerek başta 5237 sayılı Türk Ceza Kanunu’nda yer alan kişisel verilerin korunmasına ilişkin hükümler olmak üzere pek çok hukuki düzenleme hem yorum hem de uygulama açısından açıklığa kavuşmuştur.
KVKK ile idari ve mali özerkliğe sahip ve kamu tüzel kişiliğini haiz surette Kişisel Verileri Koruma Kurumu (“Kurum”) düzenleyici ve denetleyici idari yetkileri de haiz surette kurulmuştur. Kurum, karar organı olan Kişisel Verileri Koruma Kurulu (“Kurul”) ve Başkanlık’tan oluşan bir yapı ile çalışmalarını yürütmektedir.
KVKK’nin yürürlüğe girmesinden sonra başta Veri Sorumluları Sicili Hakkında Yönetmelik, Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik, Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ, Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ ve Personel Sertifikasyon Mekanizmasına İlişkin Usul ve Esaslar Hakkında Tebliğ olmak üzere ikincil mevzuat düzenleme çalışmaları yürütülmüştür. Kurum ayrıca o tarihten bu yana gerçekleştirdiği rehber çalışmalarıyla, kamuoyu duyurularıyla ve denetleyici faaliyetleri çerçevesinde verdiği kararlarla veri korumu hukuku alanında uygulamaya yön vermektedir.
II. 2021 Yılında Mevzuatta Gerçekleşen Değişiklikler
Personel Sertifikasyon Mekanizmasına İlişkin Usul ve Esaslar Hakkında Tebliğ (“Personel Tebliği”) 6 Aralık 2021 tarihli ve 31681 sayılı Resmî Gazete’de yayımlanmıştır. Bu tebliğ ile, (TS) EN ISO/IEC 17024 nolu standarda uygun olarak Veri Koruma Görevlisi Programı dâhilinde kişilerin sertifikasyonuna ilişkin usul ve esaslar belirlenmiştir.
Personel Tebliği’nde, Kurum tarafından usul ve esasları belirlenecek programa katılım sağlayarak katılım belgesini alan kişilerden sınavda başarılı olanların “veri koruma görevlisi” unvanını kullanmaya hak kazanacağı düzenlenmektedir. Bu kapsamda sertifikasyon için ilgili sınavlarda başarılı olanları belgelendirmeye Türk Akreditasyon Kurumu tarafından (TS) EN ISO/IEC 17024 standardı kapsamında akredite edilen kuruluşlar yetkili olacaktır.
Personel Tebliği uyarınca veri koruma görevlisinin sertifikalandırıldıkları program kapsamında kişisel verilerin korunması mevzuatı açısından yeterli bilgiye sahip olduğu kabul edilmektedir. Ayrıca veri koruma görevlisinin, sadece sertifikalarının geçerlilik süresi boyunca bu unvanı kullanabileceği düzenlenmektedir.
Son olarak veri sorumlusunun ve/veya veri işleyenin bünyesinde veri koruma görevlisi istihdam etmesinin, veri sorumlusunun ve veri işleyenin KVKK’ye ve ilgili mevzuata uyma sorumluluğunu ortadan kaldırmayacağı Personel Tebliği’nde vurgulanmaktadır.
III. 2021 Yılında Kurum Tarafından Yayımlanan Rehberler
1.YAPAY ZEKÂ ALANINDA KİŞİSEL VERİLERİN KORUNMASINA DAİR TAVSİYELER REHBERİ
Kurul, 15 Eylül 2021 tarihinde resmi internet sitesinde yapay zekâ (“YZ”) alanında faaliyet gösteren geliştiriciler, üreticiler, servis sağlayıcılar ve karar alıcılar için KVKK bağlamında kişisel verilerin korunması amacına yönelik önerileri içeren Yapay Zekâ Alanında Kişisel Verilerin Korunmasına Dair Tavsiyeler (“YZ Rehberi”) isimli rehberi yayımlamıştır. Rehberin hazırlanmasında, Avrupa Komisyonu ve OECD’nin önceki çalışmalarından da yararlanıldığı anlaşılmaktadır.
YZ Rehberi’nde öne çıkan başlıklar aşağıdaki gibidir:
- YZ uygulamalarının geliştirilmesinde etik çerçeveye uyulmalı; temel insan haklarına saygılı, sosyal değerlerle uyumlu ve şeffaf bir yaklaşım benimsenmelidir.
- Kişisel veri işleme temelli YZ ve veri toplama çalışmaları, kişisel verilerin doğru ve güncel olması, kişisel veri kullanım amacının belirli ve sınırlı olması ilkeleri ile veri güvenliği yaklaşımına dayalı olmalıdır.
- Kişisel verilerin korunması açısından yüksek risk öngörülen YZ çalışmalarında mahremiyet etki değerlendirmesi uygulanmalı ve veri işleme faaliyetinin hukuka uygunluğuna bu çerçevede karar verilmelidir.
- Kişisel veri işleme temelli YZ uygulamalarının her aşamasında ve bu alandaki çalışmalardaki paydaşların her biri tarafından veri koruma mevzuatına tam uyum sağlanmalıdır.
- Bağlamından koparılmış algoritma modelleri (başlangıçta belirli bir YZ modeli için tasarlanmış algoritmaların amacı dışında farklı bir amaç ya da YZ modelinde kullanılması), bireyler ve toplum üzerinde olumsuz etkilere sebep olma riski açısından dikkatle değerlendirilmelidir.
- YZ uygulamaları ile etkileşime giren kişiler, kişisel veri işleme faaliyetinin gerekçeleri, kişisel verilerin işlenmesinde kullanılan yöntemlerin detayları ile muhtemel sonuçları hakkında aydınlatılmalı ve gerekli haller için etkili bir veri işleme onay mekanizması tasarlanmalıdır. Bu bağlamda veri sahiplerinin ilgili haklarını kullanmaları mümkün kılınmalıdır.
YZ Rehberi’nde karar alıcı konumdaki kurum ve kuruluşlar için de birtakım tavsiyelerde bulunulmuştur:
- Kişisel verilerin korunmasına yönelik risk değerlendirme prosedürleri benimsenmeli ve sektör/uygulama/donanım/yazılım temelinde bir uygulama matrisi oluşturulmalıdır.
- Davranış kuralları ve sertifikasyon mekanizmaları gibi uygun önlemler alınmalıdır.
- İlgili kişilerin temel hak ve özgürlüklerini önemli ölçüde etkileme ihtimali ortaya çıktığında YZ alanında düzenleme ve/veya denetleme yapmaya yetkili otoritelere başvurulmalıdır.
2. BİYOMETRİK VERİLERİN İŞLENMESİNDE DİKKAT EDİLMESİ GEREKEN HUSUSLARA İLİŞKİN REHBER
Kurul 16 Eylül 2021 tarihinde resmi internet sitesinde veri sorumlularınca biyometrik verilerin işlenmesinde dikkat edilmesi gereken ilkeler ve biyometrik veri güvenliğine ilişkin yol gösterici olması amacıyla Biyometrik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehber’i (“Biyometrik Veri Rehberi”) yayımlamıştır.
Biyometrik Veri Rehberi uyarınca, kişisel verilerin biyometrik veri niteliğini haiz olabilmesi için;
- Kişinin fizyolojik, fiziksel veya davranışsal özellikleri gibi ayırt edici özellikleri veri işleme sonucunda ortaya çıkarılmalı,
- Ortaya çıkarılan özellikler kişinin kimliğini tanımlamaya yarayan ya da kişinin kimliğini doğrulayan kişisel veriler olmalıdır.
Biyometrik Veri Rehberi, biyometrik verileri, fizyolojik nitelikli biyometrik veriler (parmak izi, retina, iris vb.) ve davranışsal nitelikli biyometrik veriler (kişinin yürüme biçimi, klavyeye basış biçimi vs.) olmak üzere ikiye ayırmaktadır.
- Biyometrik verilerin işlenmesine ilişkin temel ilkeler, Biyometrik Veri Rehberi’nde aşağıdaki şekilde açıklanmıştır:
- Veri sorumlusu, KVKK madde 4’te yer alan genel ilkelere ve madde 6’ya uygun bir şekilde, ancak aşağıda yer alan ilkeler doğrultusunda biyometrik verileri işleyebilecektir.
- Temel hak ve özgürlüklerin özüne dokunmaması,
- Başvurulan yöntemin işleme amacına ulaşılabilmesi bakımından elverişli olması, veri işleme faaliyetinin ulaşılmak istenen amaç için uygun olması,
- Biyometrik veri işleme yönteminin ulaşılmak istenen amaç bakımından gerekli olması,
- Veri işlemeyle ulaşılmak istenilen amaç ve aracın arasında orantı bulunması,
- Gerektiği süre kadar tutulması, gereklilik ortadan kalktıktan sonra söz konusu verilerin gecikmeksizin/derhal imha edilmesi,
- İşleme amacı doğrultusunda sınırlı olmak üzere; veri sorumlularının KVKK madde 10’a uygun bir biçimde aydınlatma yükümlülüğünü yerine getirmesi,
- Açık rızanın gerekmesi halinde ilgili kişilerin açık rızalarının KVKK’ye uygun şekilde alınmış olması.
- Yukarıda sayılan bütün ilkelerin sağlandığı hususu veri sorumlusu tarafından kayıt altına alınıp belgelendirilmelidir.
- Gerekmediği takdirde, biyometrik veri alınırken genetik veri (kan, tükürük vb.) alınmamalıdır.
- Biyometri türünün veya türlerinin seçiminde (iris, parmak izi, elin damar ağı, vb.) tercih edilen biyometrik veri türünün veya türlerinin diğerleri yerine neden seçildiğine dair gerekçeler ve belgeler sunulmalıdır.
- KVKK’de öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkesi gereği, kişisel verilerin işlenmesinde azami süre belirlenmelidir.
Biyometrik Veri Rehberi’nde, biyometrik veri güvenliğine ilişkin alınması gereken teknik ve idari tedbirlere de yer verilmektedir.
Bu kapsamda, alınması gereken teknik tedbirler aşağıdaki şekilde listelenmiştir:
- Biyometrik veriler bulut sistemlerinde kriptografik yöntemler kullanılarak muhafaza edilmelidir.
- Türetilmiş biyometrik veriler, orijinal biyometrik özelliğin yeniden elde edilmesine izin vermeyecek biçimde saklanmalıdır.
- Biyometrik veriler ve şablonları güncel teknolojiye uygun olarak, yeterli güvenliği sağlayacak kriptografik yöntemlerle şifrelenmelidir. Şifreleme ve anahtar yönetimi politikası açıkça tanımlanmalıdır.
- Veri sorumlusu sistemi kurmadan önce ve herhangi bir değişiklikten sonra, oluşturulacak test ortamlarında sentetik veriler (gerçek olmayan) aracılığıyla sistemi test etmelidir.
- Veri sorumlusu, test amaçlı olarak yapacağı çalışmalarda biyometrik verilerin kullanımını gerekli olanla sınırlamalıdır. Tüm veriler en geç testlerin sonlanmasıyla birlikte silinmelidir.
- Veri sorumlusu, sisteme yetkisiz erişilmesi durumunda sistem yöneticisini ikaz eden ve/veya biyometrik verileri silen ve rapor veren önlemler uygulamalıdır.
- Veri sorumlusu sistemde sertifikalı teçhizat, lisanslı ve güncel yazılımlar kullanmalı, öncelikli olarak açık kaynak kodlu yazılımları tercih etmeli ve sistemdeki gerekli güncellemeleri zamanında yapmalıdır.
- Biyometrik veriyi işleyen cihazların kullanım ömrü izlenebilir olmalıdır.
- Veri sorumlusu biyometrik veriyi işleyen yazılım üzerindeki kullanıcı işlemlerini izleyebilmeli ve sınırlayabilmelidir.
- Biyometrik veri sisteminin donanımsal ve yazılımsal testleri periyodik olarak yapılmalıdır.
Alınması gereken idari tedbirler ise Biyometrik Veri Rehberi’nde aşağıdaki şekilde sıralanmıştır:
- Biyometrik çözümü kullanamayan (biyometrik verilerin kaydedilmesi veya okunması imkansız, kullanımı zorlaştıran handikap durumu, vb.) veya kullanmaya açık rızası olmayan ilgili kişiler için herhangi bir kısıtlama veya ek maliyet olmaksızın alternatif bir sistem sağlanmalıdır.
- Biyometrik yöntemlerle kimlik doğrulamanın yapılamaması ya da başarısızlığı durumunda gerçekleştirilecek bir eylem planı oluşturulmalıdır (bir kimliği doğrulayamama, güvenli bir alana girme yetkisi eksikliği, vb.).
- Yetkili kişilerin biyometrik veri sistemlerine erişim mekanizması kurulmalı, yönetilmeli ve sorumluları belirlenerek belgelendirilmelidir.
- Biyometrik veri işleme sürecinde yer alan personel biyometrik verilerin işlenmesi hususunda özel eğitimler almalı ve söz konusu eğitimler belgelendirilmelidir.
- Çalışanların sistem ve servislerdeki muhtemel güvenlik zafiyetleri ve söz konusu zafiyetler sonucu oluşabilecek tehditleri bildirebilmesi için resmi bir raporlama prosedürü oluşturulmalıdır.
- Veri sorumlusu bir veri ihlali olması durumunda uygulanmak üzere acil durum prosedürü oluşturmalı ve ilgili herkese duyurmalıdır.
3. UNUTULMA HAKKI REHBERİ
Kurul, 20 Ekim 2021 tarihinde resmi internet sitesinde arama motorları özelinde ilgili kişinin unutulma talebine dair haklarını düzenleyen Unutulma Hakkı Rehberi’ni yayımladı. Kurul tarafından uygulamada unutulma hakkı olup olmadığı ve /veya nasıl kullanılacağına dair tartışmaları netleştirmek amacı ile yayımlanan rehber, ilgili kişiler nezdinde bu hakkın kullanılabilir olduğunu pekiştirdi.
Unutulma Hakkı Rehberi’nde belirtildiği üzere KVKK çerçevesinde unutulma hakkına ilişkin açık bir düzenleme olmamakla birlikte, bu hakka yönelik farklı düzenlemeler mevcuttur.
Anayasa madde 20’de kişisel verilerin korunmasını isteme hakkı; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, amaçları doğrultusunda kullanılıp kullanılmadığını öğrenme ve bunların düzeltilmesini veya silinmesini talep etme hakkını kapsar.
KVKK madde 4’te kişisel verilerin işlenmesine ilişkin genel ilkeler, madde 7’de kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesi, madde 11 ise kişisel verilerin silinmesini veya yok edilmesini isteme hakkı da dahil ilgili kişinin hakları düzenlenmekte olup; söz konusu düzenlemeler unutulma hakkının dayanağıdır.
Unutulma Hakkı Rehberi’nde ifade edildiği üzere KVKK uyarınca, unutulma hakkının tesisi mümkün olup unutulma hakkının ayrı bir hak olarak tanımlanmasına gerek yoktur. İlgili kişilerin bu hakka yönelik talepleri yerine getirilmelidir. Kurul, Unutulma Hakkı Rehberi’nde Kurul’un 23 Haziran 2020 tarihli ve 2020/481 sayılı Kararı’na (“2020/481 sayılı Karar”) atıf yaparak ilgili kişinin arama motorlarında kendi adı ve soyadıyla yapacağı bir arama sonucunda gösterilen sonuçların indeksten çıkarılmasına yönelik talepte bulunabileceğine ve veri sorumlusu arama motorları tarafından reddedilmesi veya taleplerine cevap verilmemesi hâlinde Kurul’a başvuruda bulunulurken aynı zamanda doğrudan yargı yoluna başvurmalarının mümkün olduğuna vurgu yapmaktadır.
Kurul’un 2020/481 sayılı Karar’ında atfettiği denge testine istinaden her somut olay özelinde değerlendirme yapılmasının gerekli olması sebebiyle unutulma hakkı, ilgili kişiler tarafından her koşulda ileri sürülebilen mutlak bir hak olarak değerlendirilmemektedir.
Kurul, Unutulma Hakkı Rehberi’nde, 2020/481 sayılı Karar’ında da belirtildiği şekilde değerlendirmede dikkate alınacak ve her somut olay özelinde incelenecek kriterleri aşağıdaki şekilde sıralamıştır:
İlgili kişinin kamusal yaşamda önemli bir rol oynaması,
Arama sonuçlarının öznesinin çocuk olması,
Bilginin içeriğinin doğruluğu,
Bilginin kişinin çalışma hayatı ile ilgisi,
Bilginin ilgili kişi hakkında hakaret, onur kırıcı, iftira niteliğine sahip olması,
Bilginin özel nitelikli kişisel veri niteliği taşıması,
Bilginin güncelliği,
Bilginin kişi hakkında önyargıya sebep olması,
Bilginin kişi açısından risk doğurması,
Bilginin kişinin kendisi tarafından yayımlanma durumu,
İçeriğin gazetecilik faaliyeti kapsamında işlenen verileri kapsaması,
Bilgilerin yayınlanmasında yasal zorunluluk olması,
Bilginin ceza gerektiren bir suçla ilgili olması.
4. ÇEREZ UYGULAMALARI HAKKINDA REHBER TASLAĞI
Kurul, çerezler yoluyla kişisel veri işleyen veri sorumlularına yönelik tavsiye niteliğinde ve yol gösterici mahiyette bir doküman oluşturulması amacıyla taslak rehber hazırlayarak 11 Ocak 2022 tarihinde resmi internet sitesinde kamuoyunun görüşlerine açmıştır. Bu kapsamda rehber taslağına ilişkin görüş ve değerlendirmelerin 10 Şubat 2022 tarihine kadar Kuruma ve/veya e-posta ile cerez@kvkk.gov.tr elektronik posta adresine gönderilmesi öngörülmüştür.
tanımlanmakta ve çerez çeşitleri hakkında bilgi verilmekte, ardından 6363 sayılı Elektronik Ticaretin Düzenlenesi Hakkında Kanun (“ETK”) ve ikincil mevzuat ile KVKK arasındaki bağ değerlendirilmektedir. Rehberin devamında ise açık rıza gerektiren ve gerektirmeyen çerez örneklerine ilişkin açıklamalar yer almaktadır. Bu kapsamda, KVKK madde 5 kapsamında bir veri işleme sebebine dayanmayan çerez uygulamaları bakımından açık rıza yoluna gidilmesi gerekecektir. Ancak her halükârda çerez uygulamasının madde 4’te yer alan ilkelere uygun olması gerekmektedir.
Kullanıcı sepetinin oluşturulmasına yarayan çerezler gibi kullanıcı girdili çerezler, kullanıcıyı bir internet sitesine giriş yaptığında tanımlamak için kullanılan kimlik doğrulama çerezleri, kullanıcı tarafından açıkça talep edilmiş bir hizmet kapsamında güvenliği artırmak amaçlı kullanılan kullanıcı merkezli güvenlik çerezleri, videoyu yeniden oynatmaya veya ses içeriğine ilişkin ihtiyaç duyulan teknik veriyi depolamak için kullanılan multimedya oynatıcısı oturum çerezleri, tek bir makine yerine bir makine havuzu üzerinden web sunucusu taleplerinin dağıtılması işlemlerine izin veren yük dengelemesi oturum çerezleri, kullanıcının internet sayfalarındaki bir hizmete ilişkin tercihlerini depolamak için kullanılan kullanıcı ara yüzünü kişiselleştirme çerezleri ile sosyal eklenti içerik paylaşımı (beğen, paylaş, yorum) çerezleri, açık rıza yönetim platformu için kullanılan çerezler, birinci taraf analitik çerezler, internet sitesinin güvenliği için kullanılan çerezler, açık rıza gerektirmeyen çerez uygulamalarına örnek gösterilmiştir.
Diğer taraftan davranışsal reklamcılık, analitik veya pazar araştırması gibi ilave amaçlarla, üye olan/olmayan kişileri üçüncü taraf çerezler yardımıyla izlemek için kullanılabilen sosyal eklenti takip çerezleri ile çevrimiçi davranışsal reklamcılık çerezleri açık rıza gerektiren çerez uygulamalarına örnek gösterilmiştir.
IV. 2021 Yılında Kurum Tarafından Yayımlanan Kamuoyu Duyuruları
2021 yılında Kurum tarafından üçü yurtdışına veri aktarımına ilişkin 12 adet kamuoyu duyurusu yayımlanmış, bu kamuoyu duyurularında, açık rıza, VERBİS’e kayıt ve çeşitli veri işleme faaliyetlerine ilişkin açıklamalarda bulunulmuştur. Söz konusu kamuoyu duyuruları, hukuki açıdan bağlayıcılık taşımamakla birlikte, Kurum’un ilgili hususa ilişkin hukuki değerlendirmesi değerlendirmesini ve yaklaşımını göstermesi bakımından önem arz etmektedir.
Yayınlanmış olan kamuoyu duyuruları tarih sırasına göre aşağıda yer almaktadır.
1. WHATSAPP İLE İLGİLİ KAMUOYU DUYURULARI
Kurum’un resmî internet sitesinde yayımlanan 12 Ocak 2021 tarihli kamuoyu duyurusunda WhatsApp Inc. tarafından, WhatsApp uygulamasını kullanmak isteyen kullanıcıların kişisel verilerinin işlenmesine ve yurtdışında bulunan üçüncü taraflara aktarılmasına rıza verilmesini içerecek şekilde kullanım şartlarının güncellendiği, bu kapsamda rıza vermeyen kullanıcıların uygulamayı kullanamayacağına ve hesaplarının silineceğine dair kullanıcılara bilgilendirme iletildiğinin tespit edildiği belirtilmiştir. Kurum, yapılan ön değerlendirme sonucunda;
Kullanıcılardan kişisel verilerinin işlenmesine ve yurtdışında yerleşik üçüncü taraflara aktarılmasına yönelik rıza alınması işleminin ayrıştırılmadığı, bu durumun KVKK’de belirlenen açık rızanın unsurlarından “özgür iradeyle açıklanması” açısından bir ihlal oluşturup oluşturmadığı,
Yurtdışında bulunan başka bir şirkete aktarım yapılmak şartıyla uygulamanın kullanılmasına izin verilmesinin KVKK madde 4’te maddesinde sayılan ilkelerden “hukuka ve dürüstlük kurallarına uygun olma”, “belirli, açık ve meşru amaçlar için işlenme” ve “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkeleri açısından bir ihlale sebebiyet verip vermediği,
Sunulan hizmetin açık rıza şartına bağlanmış olmasının verilen açık rızayı sakatlayabileceği bu durumun da kişisel verilerin hukuka aykırı işlenmesi sonucunu doğurabileceği dikkate alındığında Whatsapp Inc. tarafından yapılan güncelleme ile hizmetin rıza şartına bağlanması durumunun ortaya çıkıp çıkmadığı,
WhatsApp Inc. tarafından yurtdışında yerleşik veri sorumlularına yapılacak aktarım hususunda KVKK madde 9 hükümlerine aykırılık olup olmadığı
hususları açısından, Kurul’un 12 Ocak 2021 tarihli ve 2021/28 sayılı Kararı ile WhatsApp Inc. hakkında resen inceleme başlatılmasına karar verildiği duyurulmuştur.
3 Eylül 2021 tarihinde ise yeni bir kamuoyu duyurusu yayımlanarak, ilgili incelemenin tamamlanarak karara bağlandığı duyurulmuştur.
İlgili duyuruda;
Hizmet Koşullarının kullanıcı ile yapılan bir sözleşme olarak tanımlaması nedeniyle sözleşmeye onay verilmesi suretiyle ilgili kişilerin açık rızasının alınması yoluna gidildiği, bu çerçevede kullanıcılardan kişisel verilerinin işlenmesine ve yurtdışında yerleşik üçüncü taraflara aktarılmasına seçimlik hak sunulmaksızın tek bir açık rıza alındığı, sözleşmeye aktarıma ilişkin hüküm koymak suretiyle işleme ve aktarım faaliyetlerinin, tek metinde birbirinden ayrılmaz bir biçimde ilgili kişiye sunulduğu dikkate alındığında, açık rızanın “özgür iradeyle açıklanması” unsurunun zedelendiği,
Hizmet Koşulları ve Gizlilik İlkesinde yer alan “aktarım”a ilişkin ifadelerin müzakereye kapalı nitelikte sunularak ilgili kişilerin sözleşmeye bir bütün olarak onay vermeye zorlandığı, bu suretle açık rızanın saf dışı bırakılmaya çalışıldığı, uygulamanın kullanılmasının aktarım şartına bağlandığı, bu kapsamda ilgili kişilerin çıkarları ve makul beklentileri göz önüne alınmaksızın hareket edildiği dikkate alınarak veri sorumlusunun bu uygulamasının KVKK’nin madde 4’te yer alan “hukuka ve dürüstlük kurallarına uygun olma” ilkesine aykırılık teşkil ettiği,
İşlenen tüm kişisel verilerin aktarımına ilişkin açık rıza istenildiği, ancak bu verilerin işlendikleri amaçla orantılı ve sınırlı bilgiler olmadığı gibi hangi verinin hangi amaçla aktarılacağının da bahse konu metinlerde net olarak ortaya konulmadığı,
Veri sorumlusunun Türkiye’de bulunan ilgili kişilerden elde ettiği kişisel veriler üzerinde, bu verileri elde ettikten sonra yapmış olduğu kaydetme, depolama, değiştirme, aktarma gibi her türlü işleme faaliyetinin, sunucuları Türkiye’de bulunmadığı sürece kişisel verilerin yurt dışına aktarımı anlamına geldiği, dolayısıyla söz konusu aktarımın, KVKK’nin “Kişisel verilerin yurt dışına aktarılması” başlıklı madde 9’auygun olarak yapılmasının zorunluluk arz ettiği ancak veri sorumlusu tarafından aktarım faaliyetleri için hiçbir şekilde açık rızaya başvurulmadığının beyan edildiği, bununla birlikte veri sorumlusunca Kurum’a bir taahhütname başvurusunda da bulunulmadığı dikkate alındığında, veri sorumlusu tarafından KVKK Madde 9 uygun hareket edilmediği,
Veri sorumlusu tarafından, profilleme amacıyla çerezler aracılığıyla yapılacak kişisel veri işleme faaliyetine ilişkin olarak ilgili kişilerden açık rıza alınmadığı, bu kapsamda yürütülen kişisel veri işleme faaliyetinin de hukuka uygun olmadığı
tespitlerine yer verilmiştir. Buna dayanarak Kurul, WhatsApp aleyhine 1.950.000 TL para cezası uygulanarak, söz konusu metinlerin üç ay içerisinde KVKK’ye uygun hale getirilmesi ve Aydınlatma Tebliği hükümlerine uygun bir aydınlatma yapılmasına ilişkin WhatsApp’in talimatlandırılmasına karar verdiğini duyurdu.
2. TAAHHÜTNAME YOLUYLA YURTDIŞINA VERİ AKTARIMI
Kurum, 9 Şubat 2021 tarihli kamuoyu duyurusunda yurtdışına veri aktarımı için yapılan bir başvuruyu onayladığını belirtti. Böylelikle, Türkiye’de 2021 yılı itibari ile taahhütname yoluyla kişisel verilerin yurtdışına kişisel veri aktarımı süreci başladı.
2021 yılı içerisinde Kurul tarafından kabul edildiği duyurulan taahhütname sayılı 3 ile sınırlı kaldı.
3. VERBİS’E KAYIT
Kurul, 25 Haziran 2021 tarihinde Veri Sorumluları Sicil Bilgi Sistemi’ne (“VERBİS”) kayıt yükümlülüğüne ilişkin oluşan soru işaretlerini gidermek adına aldığı kararlara ilişkin 2 adet kamuoyu duyurusu yayımlamıştır.
Kurul, 9 Haziran 2021 tarihli ve 2021/571 sayılı kararı ile;
22 Nisan 2020 tarihli ve 2020/315 sayılı Karar ile değişik 02 Nisan 2018 tarihli 2018/32 sayılı Kurul Kararında yer alan “yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı olmak üzere kişisel veri işleyen Türkiye’de yerleşik dernek, vakıf ve sendikalar” ifadesinin “yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı olmak üzere kişisel veri işleyen Türkiye’de yerleşik dernek, vakıf ve sendikalardan kendisine bağlı herhangi bir iktisadi işletmesi bulunmayanlar” olarak değiştirilmesine,
Yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı olmak üzere kişisel veri işleyen Türkiye’de yerleşik dernek, vakıf ve sendikalardan kendisine bağlı herhangi bir iktisadi işletmesi bulunanların VERBİS’e kaydolmaları ile VERBİS’e kayıtları esnasında yalnızca iktisadi işletmelerin faaliyetlerine ilişkin bilgi girişi yapmalarının gerektiğine,
karar vermiştir.
Kurul, 9 Haziran 2021 tarihli ve 2021/569 sayılı kararı ile ise; iş ortaklığı, konsorsiyum, adi ortaklık gibi yapılar altında gerçekleştirilen faaliyetlerde işlenen kişisel verilerin VERBİS’e bilgi girişi olarak yansıtılmasının önemini dikkate alarak ortaklığı oluşturan ortaklardan hâlihazırda VERBİS’e kayıt yükümlülüğü bulunanların VERBİS’e kayıtları esnasında kendi faaliyetleri ile birlikte ortaklık faaliyetleri kapsamında işledikleri kişisel verilere ilişkin olarak da bilgi girişi yapması gerektiğine karar vermiştir.
4. İŞ VAADİ KONULU TCK KAPSAMINDAKİ KİŞİSEL VERİ İHLALLERİ
Kurul, 7 Aralık 2021 tarihinde, ilgili kişilerin çeşitli kanallardan veya sosyal medya üzerinden evde paketleme vb. konulu iş ilanlarına başvuruda bulundukları, başvuru neticesinde bu kişilerden T.C. kimlik kartı fotoğraflarının ve belirtilen IBAN hesap numarasına para gönderilmesi ve hemen ardından para iadesi işlemi yapılmasının talep edildiği, akabinde ise iş vaadinde bulunan işletmelere ya da kişilere ulaşılamadığı dolayısıyla kimlik bilgilerinin dolandırıcıların eline geçtiği yönünde Kurum’a çok sayıda ihbar ve şikayetin ulaşması sebebiyle konuya ilişkin bir kamuoyu duyurusu yayımlamıştır.
Söz konusu duyuruda, dolandırıcılık amaçlı olduğu anlaşılan iş vaadi konulu benzer şikayetlere konu iddiaların TCK kapsamında suç unsuru barındırabileceği ve KVKK madde 15 uyarınca yargı mercilerinin görevine giren konularla ilgili olan dilekçelerin incelenemeyeceği hükme bağlandığından ilgili kişilerin konuya ilişkin gerekli hukuksal işlemlerin tesisini teminen yargı yoluna başvurmaları gerektiği ifade edilmiştir.
5. MAĞAZALARDA ALIŞVERİŞ SIRASINDA İLGİLİ KİŞİLERE SMS İLE DOĞRULAMA KODU GÖNDERİLMESİ SURETİYLE KİŞİSEL VERİLERİN İŞLENMESİ
Kurul, 17 Aralık 2021 tarihinde, mağazalarda gerçekleştirilen alışverişi müteakip kasa işlemleri esnasında ilgili kişilere kısa mesaj (“SMS”) ile doğrulama kodu gönderildiği ve ödemelerinin tamamlanması ya da bilgilerinin güncellenmesi için gerekli olduğu gerekçesi ile söz konusu kodun kasa görevlisine bildirilmesinin istenildiği, ancak bahse konu işlemin akabinde ilgili kişilere söz konusu mağaza faaliyetleri ile ilgili ticari elektronik ileti gönderildiği iddialarına yönelik bir kamuoyu duyurusu yayımlamıştır.
Kurul tarafından şikayet ve ihbarlara yönelik yapılan incelemelerde ilgili kişilere ödeme işlemleri esnasında doğrulama kodu gönderilen SMS içeriklerinde ya da SMS gönderimi öncesinde veri sorumlusunca herhangi bir aydınlatma yapılmadığı ve/veya söz konusu kodun ödeme işlemlerinin tamamlanması ya da bilgilerinin güncellenmesi için gerekli olduğu gerekçesi ile istenilmesine rağmen veri sorumlusu tarafından bu yolla ticari elektronik ileti gönderimine ilişkin açık rıza alınması suretiyle ilgili kişilerin yanıltıldığı tespit edilmiştir.
Bu kapsamda,
Kişilerin telefonuna gönderilecek olan SMS’in amacının ne olduğu ve bu SMS ile iletilen kodun verilmesi halinde ne gibi sonuçlar doğuracağı hususunun, katmanlı aydınlatmanın bir gereği olarak ilk aşamada veri sorumlusunun mağazalarda yetkilendirdiği kişiler tarafından ilgili kişilere açık ve anlaşılır bir biçimde aktarılması, ayrıca aydınlatma yükümlülüğünün yerine getirilebilmesini teminen yine söz konusu SMS içeriklerinde de gerekli kanalların sağlanması,
Mağazalarda gerçekleştirilen alışverişler ile ilgili ödeme esnasında ilgili kişilere SMS ile doğrulama kodu gönderilerek üyelik sözleşmesi, kişisel verileri işletme izni, ticari elektronik ileti onayı vb. birbirinden farklı işleme faaliyetlerinin tek bir eylemle gerçekleştirilmesine yönelik uygulamalara son verilmesi, söz konusu işleme faaliyetlerine yönelik seçenek sunulmak suretiyle ayrı ayrı açık rıza alınması,
Bunun yanı sıra, veri sorumlularınca açık rıza alınması ve aydınlatma yükümlülüğü işlemlerinin birlikte gerçekleşmesine neden olabilecek durumlardan kaçınılması,
Ticari elektronik ileti gönderimi için açık rıza alınmasını teminen SMS doğrulama kodu gönderilmesine yönelik bir uygulamaya gidilmesi halinde ise söz konusu işlemde alınacak açık rızanın tüm unsurları kapsamasının
önem arz ettiği duyurulmuştur.
6. SALGIN DÖNEMİNDE KİŞİSEL VERİLERİN KORUNMASI
Bilindiği üzere, KVKK uyarınca sağlık verileri madde 6 kapsamında özel nitelikli kişisel veri olarak addedilmekte olup; işlenebilmesi kural olarak kişinin açık rızasına veya kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacı olması ve bu işleme faaliyetinin sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesi gerekmektedir.
Çalışma ve Sosyal Güvenlik Bakanlığı (“Çalışma Bakanlığı”) 3 Eylül 2021 tarihinde, İş “Yerlerinde Covid-19 Tedbirleri” başlıklı bir duyuru yayımlamıştır. Duyuruda Çalışma Bakanlığı tarafından, işverenlerin işçilerinden isteyeceği PCR testi ve işçilerini Covid-19 riskleri ve tedbirleri konusunda bilgilendirmesini içeren, 2 Eylül 2021 tarihli genel yazının 81 İl Valiliği’ne gönderildiği belirtilmiştir. Duyuru uyarınca, işverenlerin, işyerinde karşılaşılabilecek sağlık ve güvenlik risklerine yönelik koruyucu ve önleyici tedbirler hakkında tüm işçilerini bilgilendirmekle yükümlü oldukları ifade edilerek, işverenlerin COVID-19 aşısı tamamlanmamış işçilerini yazılı olarak ayrıca bilgilendirmesi istenmektedir. İlgili genelde uyarınca, COVID-19 aşısı olmayan işçilerden 6 Eylül 2021 tarihi itibariyle zorunlu olarak haftada bir kez PCR testi yaptırmaları işyeri/işveren tarafından istenebilecek, test sonuçları gerekli işlemler yapılmak üzere işyerinde kayıt altında tutulacaktır.
20 Ağustos 2021 ise İçişleri Bakanlığı, tarihinde “Bazı Faaliyetler İçin PCR Testi Zorunluluğu Genelgesi Gönderildi” başlıklı bir duyuru yayımlamıştır. Duyuruda, 19 Ağustos 2021 tarihinde toplanan Cumhurbaşkanlığı Kabinesinde salgının seyri, aşılama faaliyetlerinde kat edilen mesafe, yerli aşı geliştirilmesine yönelik çalışmalar ve aşılama faaliyetlerine ilişkin toplumun bazı kesimlerinde gözlenen tereddüt konuları Sağlık Bakanlığı ve Koronavirüs Bilim Kurulunun tavsiyeleri göz önünde bulundurularak ele alındığı ve aşağıdaki tedbirler dahil bazı tedbirlerin hayata geçirilmesine karar verildiği ifade edilmiştir.
6 Eylül 2021 Pazartesi gününden itibaren aşı olmayan kişilerin; konser, sinema ve tiyatro gibi vatandaşların toplu olarak bulunduğu faaliyetlere katılımında negatif sonuçlu PCR testi zorunluluğu getirilecek. Bu çerçevede işletmeciler/organizatörler tarafından etkinliklere girişte HES kodu üzerinden kişilerin aşılı/geçirilmiş hastalık (Covid-19 hastalığı sonrası bilimsel olarak bağışık kabul edilen süreye göre) veya azami 48 saat önce yapılmış negatif PCR testi sorgulaması yapılacak. Kişi hastalığı geçirmemiş veya aşılı değil veya negatif PCR testi yok ise etkinliğe katılmasına müsaade edilmeyecek.
Aşısız veya hastalığı geçirmemiş kişilerin özel araç hariç uçak, otobüs, tren veya diğer toplu ulaşım araçlarıyla gerçekleştirecekleri şehirlerarası seyahatler için de negatif sonuçlu PCR testi bulunacak. Bu çerçevede 6 Eylül 2021 Pazartesi gününden itibaren seyahat firmalarınca araca kabul aşamasında HES kodu üzerinden kişilerin aşılı/geçirilmiş hastalık (Covid-19 hastalığı sonrası bilimsel olarak bağışık kabul edilen süreye göre) veya azami 48 saat önce yapılmış negatif PCR testi sorgulaması yapılacak. Kişi hastalığı geçirmemiş veya aşılı değil veya negatif PCR testi yok ise bu kişilerin seyahatine müsaade edilmeyecek.
Valilikler/kaymakamlıklarca illerinde/ilçelerinde kişilerin toplu olarak bulunduğu diğer etkinlikler veya faaliyetlerden faydalanacak hastalığı geçirmemiş veya aşısız kişiler için İl/İlçe Hıfzıssıhha Kurulu kararlarıyla HES kodu üzerinden PCR test kontrolü zorunluluğu getirilebilecek.
Kurul ise 2020 yılında, Covid-19 salgın döneminde kişisel verilerin korunmasına ilişkin bazı duyurular yayımlamıştır.
23 Mart 2020 tarihli kamuoyu duyurusunda, kişisel verilerin korunması mevzuatı kapsamında Kurum’a intikal eden şikayet, ihbar ve veri ihlal bildirimleri ile ilgili olarak veri sorumlularının gerek Kurum’a gerek ilgili kişilere karşı yükümlülükleri açısından KVKK’de ve ilgili alt düzenlemelerde çeşitli süreler belirlendiği, veri sorumluları tarafından bu sürelere riayet edilmesinin önem arz ettiği; bununla birlikte, ülkemizin içinde bulunduğu bu olağanüstü süreçte veri sorumluları tarafından alınan önlemler kapsamında farklı operasyonel uygulamalara (uzaktan çalışma, dönüşümlü çalışma vb.) gidildiği de dikkate alınarak, her bir başvuru ya da veri ihlal bildirimi özelinde, veri sorumlularının uymakla yükümlü oldukları sürelerin değerlendirilmesi açısından Kurul tarafından içerisinde bulunduğumuz olağanüstü koşulların gözetileceği duyurulmuştur.
27 Mart 2020 tarihli kamuoyu duyurusunda, COVID-19 virüsü salgınının yayılmasını engellemek ve etkilerini hafifletmek adına kamu kurum ve kuruluşlarının gerekli adımları attığı ve çeşitli önlemler alınması suretiyle mücadele ettiği ve bu önlemlerin alındığı çoğu durumda özel nitelikli kişisel veriler de (sağlıkla ilgili veriler vb.) dahil olmak üzere pek çok kişisel verinin (TC kimlik no, ad, adres, işyeri, seyahat bilgileri gibi) işlenmesinin kaçınılmaz olduğu belirtilmiştir. Öte yandan, söz konusu istisnai zamanlarda dahi veri sorumluları ve veri işleyenlerin, ilgili kişilerin kişisel verilerinin güvenliğini sağlamaları gerektiğine vurgu yapılmıştır. Duyuruda belirtildiği üzere, kişisel verilerin hukuka uygun olarak işlenmesi ve bu konuda alınan herhangi bir önlemin hukukun genel ilkelerine uygun olması, bu çerçevede kişilerin temel hak ve özgürlükleri açısından geri döndürülemez zararların ortaya çıkmaması önemlidir. Bu kapsamda duyuruda, özellikle COVID-19 virüsüne karşı alınan önlemler kapsamında gerçekleştirilen kişisel veri işleme faaliyetlerinin gerekli, amaçla bağlantılı, sınırlı ve ölçülü olması gerektiğine vurgu yapılmış, bu konuda alınan kararların, Sağlık Bakanlığı başta olmak üzere halk sağlığı kuruluşlarının veya diğer ilgili kurum ve kuruluşların rehberliği ve / veya talimatları çerçevesinde olması gerektiği belirtilmiştir. Ayrıca, duyuruda yer alan soru cevap bölümünde,
işverenlerin, işyerindeki Covid-19 vakaları hakkında personeli bilgilendirmesi gerektiği, bilgilendirme yapılırken bireylerin isimlerinin verilmesinin gerekmeyeceği gibi gereğinden fazla bilginin de verilmemesi gerektiği, koruyucu tedbirlerin alınması açısından virüsün bulaştığı çalışanın/çalışanların isminin açıklanmasının zorunlu olduğu hallerde ilgili çalışanların bu hususta önceden bilgilendirilmesinde fayda görüldüğü;
İşverenlerin, çalışanın sağlığını korumak ve güvenli bir iş yeri sağlamakla ilgili yasal yükümlülükleri bulunduğu, bu bağlamda ve mevcut koşullarda, işverenlerin, çalışanlardan ve ziyaretçilerden virüsten etkilenen bir bölgeyi ziyaret edip etmedikleri ve/veya virüsün neden olduğu hastalığa dair belirtiler gösterip göstermedikleri konusunda kendilerini bilgilendirmelerini istemek için haklı gerekçelerinin gündeme geleceği, bilgi talebinin gereklilik ve ölçülülüğe bağlı ve risk değerlendirilmesine dayanan güçlü bir gerekçesi olması gerektiği;
KVKK madde 8 ve bulaşıcı hastalıklara ilişkin ilgili diğer kanunlarda yer alan hükümler çerçevesinde, bildirime esas bulaşıcı hastalıkları taşıyanlara ilişkin kişisel veriler, işveren tarafından ilgili makamlar ile paylaşılabileceği;
ifade edilmiştir.
9 Nisan 2020 tarihli kamuoyu duyurusunda, KVKK madde 28’in 1. fıkrasının (ç) bendinde, kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi halinde KVKK hükümlerinin uygulanmayacağının düzenlendiği, salgın hastalık gibi kamu düzeni ve kamu güvenliğini tehdit eden durumlarda bu tehdidi ortadan kaldırabilmek amacıyla salgın hastalık teşhisi konmuş kişilerin bulaşıcılığının sürdüğü dönemde izolasyonlarının temin edilmesine, genel nüfusun konum verilerinin işlenmesi suretiyle kalabalık alanların tespit edilmesine ve bu kapsamda önlemler geliştirilmesine yönelik olarak yetkili kamu kurum ve kuruluşları tarafından gerçekleştirilecek veri işleme faaliyetleri bu kapsamda değerlendirildiği, bu çerçevede, Covid-19’un sebebiyet verdiği salgın hastalığın kamu güvenliğini ve kamu düzenini tehdit etmesi sebebiyle hastalığın yayılımını engellemek amacıyla konum verisinin anılan madde hükmü kapsamına giren kamu kurum ve kuruluşları tarafından işlenmesinin önünde bir engel bulunmadığı ifade edilmektedir.
Son olarak Kurul, Covid-19 ile mücadele kapsamında yetkili kurumlar ve işverenlerin aşı ve PCR test sonucu bilgisini işlemesinin KVKK ile uyumluluğu hakkında 28 Eylül 2021 tarihli ve 2021/980 sayılı kararı yayımladı. Kararda, yukarıda açıklanan Çalışma Bakanlığı ve İçişleri Bakanlığı kararlarına atıf yaparak COVID-19’un dünya genelinde sağlık, sosyal ve ekonomik hayat üzerindeki etkisi göz önüne alındığında, salgınla mücadele kapsamında aşı durumu ve PCR test sonucunun; kamu sağlığının, kamu güvenliğinin ve kamu düzeninin korunması amacıyla işlenmesin zorunlu olduğu belirtilerek KVKK madde 28’de düzenlenen durumlarda KVKK hükümlerinin uygulanmayacağının altı çizilmiştir. Kurul, salgın hastalık gibi kamu güvenliği ve kamu düzenini tehdit eden durumlarda bu tehdidi ortadan kaldırabilmek amacıyla salgın hastalığın bulaşıcılığının önüne geçilebilmesini teminen kanunla yetki verilmiş kamu kurum ve kuruluşlarınca yürütülen bu faaliyetler kapsamında kişisel verilerin işlenmesinin KVKK madde 28 kapsamında değerlendirilmesi gerektiğine karar vermiştir.
B. KURUL, KURUM’UN YAPISI VE DENETLEYİCİ FAALİYETLER
I. Kurul, Kurum’un Yapısı ve Teşkilatlanma
Kurum, Kurul ve Başkanlık’tan oluşmaktadır. Kurum, Kurum Başkanı, Kurum Başkan Yardımcısı, Kurum Başkanı dışında 8 Kurul üyesi ve 7 başkanlık birimi şeklinde teşkilatlanmıştır.
Kurul yapısı, 2020 ve 2021 yıllarında değişmiş, İsmail Aydın TBMM Genel Kurulu’nun 25 Şubat 2021 tarihli kararıyla Kişisel Verileri Koruma Kurulu üyesi ve 13 Nisan 2021 tarihinde Kişisel Verileri Koruma Kurumu 2. Başkanı olarak, Tamer Aksoy TBMM Genel Kurulu’nun 07 Ekim 2020 tarihli kararı ile ve Ayşenur Kurtoğlu TBMM Genel Kurulu’nun 07 Ekim 2020 tarihli kararı ile Kurul üyesi olarak seçilmişlerdir. Dr. İhsan Ezel Büyüksekban, Turan Arık ve Cabir Bilirgen’in ise Kurul üyeliği ve diğer görevleri son bulmuştur.
Başkanlıklar
Veri Yönetimi Dairesi Başkanlığı
İnceleme Dairesi Başkanlığı
Hukuk İşleri Dairesi Başkanlığı
Veri Güvenliği ve Bilgi Sistemleri Dairesi Başkanlığı
Rehberlik, Araştırma ve Kurumsal İletişim Dairesi Başkanlığı
İnsan Kaynakları ve Destek Hizmetleri Dairesi Başkanlığı
Strateji Geliştirme Dairesi Başkanlığı
Kurum, Çarşamba Seminerleri de dahil olmak üzere 2021 yılında 29 adet seminer eğitim ve etkinlik gerçekleştirdiğini resmi web sitesinden duyurmuştur.
Bunlardan bazıları;
- Kişisel Verileri Koruma Zirvesi
- e-Safe Kişisel Verileri Koruma Zirvesi
- Kişisel Verilerin Korunması Konferansı
- 7 Nisan Kişisel Verileri Koruma Günü Etkinliği
- Dijital Dünya Çalıştayı
- Siber Güvenlik Ekosisteminin Geliştirilmesi Zirvesi
- Dijital Çağda Kişisel Verilerin Korunması
- Güncel Gelişmeler Işığında Kişisel Verilerin Korunması Kanunu
- Uygulama ve Teoride Kişisel Verilerin Korunması
- 28 Ocak Veri Koruma Günü Etkinliği
Kurum, 2018 yılı için ilk defa faaliyet raporu yayımlamış ve bu uygulamasını 2019 ve 2020 yılları için devam ettirmiştir. Kurum, 2021 yılında yürüttüğü faaliyetlere ilişkin olarak önceki yıllardan farklı olarak, henüz bir faaliyet raporu yayımlamamıştır. Kurum resmi internet sitesinde 2021 yılı içinde yayınlar dikkate alındığında, 118 adet karar özeti, 60 adet veri ihlal bildirimi, 3 taahhütname onay duyurusu da dahil olmak üzere toplam 12 adet kamuoyu duyurusu yayımlamıştır.
II. 2021 Yılında Kamuoyuna Yapılan Açıklamalar Işığında Denetleyici Faaliyetler
1. VERİ İHLAL BİLDİRİMLERİ VE KURUL’UN YAKLAŞIMI
Kurum, 2021 yılında resmi web sitesinde 35 adet veri ihlali yayımlamıştır. Henüz 2021 yılına ilişkin olarak yayımlanmış bir karar olmamakla beraber, 2020 yılında yayımlanan veri ihlali bildirimlerine ilişkin yayımlanan kararlardan 6 adedinde Kurul, gerekli teknik ve idari tedbirlerin alınması sebebiyle ceza verilmemesine karar vermiştir. İlgili karaların detayları C/III başlığı altında ele alınmaktadır.
2. KURUL’UN FAALİYETLERİNE YÖNELİK İSTATİSTİKİ VERİLER
Kurul Başkanı tarafından 13 Ekim 2021 tarihli Çarşamba seminerinde yapılan sözlü açıklama uyarınca; 1 Ekim 2021 tarihi itibari ile 10.715 ihbardan 8767 tanesi sonuçlanmış, 653 hukuki görüş paylaşılmış ve toplam 57.480.000 TL idari para cezası uygulanmıştır.
Kurul’un yayımlamış olduğu 2019 ve 2020 yılı Faaliyet Raporunda açıklanan bilgilere göre istatistiki veriler aşağıdaki gibidir:
3. ŞİKAYETLER
3.1. Şikayetlerin Sektör Bazında Dağılımı
3.2. Şikayetlerin Konu Bazında Dağılımı
3.3. Şikayet ve İhbar Sayıları
4. YAPTIRIMLAR
4.1. İdari Yaptırımlar
4.2. Yaptırımların İncelenmesi
2017-2021 Yılları Arasında 36 Milyon TL İdari Para Cezası
En Yüksek Ceza: WhatsApp’a 3 Eylül 2021 tarihli ve 2021/891 sayılı karar altında verilen 1.950.000 TL tutarındaki cezadır. Bu ceza, Kurul’un faaliyete başladığı tarihten itibaren açıklanmış olan ve tek kalemde kesilen en yüksek para cezasıdır.
2021 yılı içerisinde 169 adet Yayınlanmış Özet/Kısa Karar
Kişisel verilerin hukuka aykırı işlenmesini önlemek için gerekli teknik ve idari tedbirlerin alınmaması nedeniyle 76 adet idari para cezası,
Kişisel verilerin hukuka aykırı olarak işlendiğinin makul bir sürede Kurula ve veri sahiplerine bildirilmemesi nedeniyle 20 adet idari para cezası,
Kurulun talimatlarını ve ihlalleri giderme emirlerini yerine getirmeme nedeniyle 7 adet idari para cezası,
Genel veri koruma ilkelerine uyulmaması nedeniyle 13 adet idari para cezası,
İlgili kişilerin haklarını düzenleyen madde 11’e uyulmaması nedeniyle 3 adet idari para cezası.
Sektörlere Göre Yayınlanan Kararlar2021 yılı içerisinde Kurum’un internet sitesinde yayımlanan ve sektör bilgisine yer verilen kararlardan derlediğimiz üzere, kesilen kararların sektöre bazında dağılımı aşağıdaki gibidir.
- 19 karar Bankacılık ve Finans
- 25 karar Bilişim, Telekomünikasyon ve Elektronik Ticaret
- 15 karar Sağlık
4.3. İlgili Kanun Maddelerine Göre Yayınlanan Kararlar
2021 yılı içerisinde Kurum’un internet sitesinde yayımlanan kararların ilgili kanun maddelerine göre dağılımı aşağıdaki şekildedir.
5. EN YÜKSEK İDARİ PARA CEZALARI
Yandaki tabloda Kurul tarafından 2018 yılından itibaren kamuoyuna duyurulmuş olan kararlar çerçevesinde kesilmiş olan en büyük 20 para cezası listelenmektedir. Tablo incelendiğinde, en yüksek idari para cezası kesilen ilk beş karara bakıldığında Bilişim ve Medya sektörünün en çok ceza alan sektör olarak ilk sırada geldiği görülmektedir. İlgili kararlar incelendiğinde ise, bu beş karardan dördünde veri ihlallerinin idari aksaklıklardan çok bilgi sistemlerindeki aksaklıklar ve Kurul’a zamanında bildirimde bulunulmamasından kaynaklandığı anlaşılmaktadır.
Yandaki tabloda gösterildiği gibi, Kurul tarafından yayımlanmış kararlarda uygulanan yaptırımların yüzde 80’i, madde 12’de düzenlenen veri güvenliği kurallarına uyulmamış olması gerekçesiyle idari para cezasını düzenleyen madde 18/1 (b)’ye dayanmaktadır. Bunun nedeni, KVKK’nin yalnızca madde 10, 12, 15 ve 16’nın ihlali için yaptırım öngörmesi ve KVKK’nin madde 4, 5, ve 6’nın ihlaline yönelik herhangi bir yaptırım öngörmemiş olmasıdır.
III. Kurul İlke Kararları
1. İLETİŞİM ADRESLERİNİN DOĞRULANMASI
Kurul, 15 Ocak 2021 tarihinde resmi internet sitesinde, veri sorumlularının veri sahipleri tarafından sağlanan iletişim adreslerini doğrulayabilmesi adına alması gereken teknik ve idari tedbirlere ilişkin 22 Aralık 2020 tarihli ve 2020/787 sayılı ilke kararını yayımlamıştır.
Kurul’a intikal eden şikâyet ve ihbarlar kapsamında; işbu ilke kararında:
E-ticaret, telekomünikasyon, ulaşım, turizm gibi muhtelif sektörlerde faaliyet gösteren veri sorumlularınca, fatura, ekstre, rezervasyon belgesi gibi kişisel veri içeren dokümanların SMS ve/veya e-posta vasıtasıyla gönderimini sağlamak üzere, veri sahiplerinden telefon numarası ve/veya e-posta adreslerini beyan etmelerinin istenildiği,
Bununla birlikte veri sahipleri tarafından söz konusu bilgilerin beyanında yanlışlık olabildiği veya yine veri sahiplerince üçüncü kişilere ait bilgilerin beyan edilmesinin söz konusu olabildiği,
Bunun sonucunda, veri sahiplerine ait verileri içeren bahse konu dokümanların üçüncü kişilere iletildiğinin anlaşıldığı
belirtilmektedir.
Karara konu şikâyette yer alan hususlar daha önce de Kurul tarafından tartışılmış ve Kurul’un 7 Kasım 2019 tarihli ve 2019/333 sayılı kararına konu olmuştur. Karara konu olayda, aynı e-posta adresini beyan eden iki müşterinin faturalarının da bu e-posta adresine gönderilmek suretiyle e-posta adresini yanlış beyan eden müşterinin kişisel verileri bir başka müşteri ile hukuka aykırı şekilde paylaşılmıştır. Kurul, bu olay sonucunda birden fazla müşterinin aynı e-posta adresini beyan etmesinin engellenmesine yönelik tedbirleri almayan veri sorumlusu hakkında idari para cezasına hükmetmiştir.
Yaşanan olumsuzluklar değerlendirilerek, kişisel verilerin doğru ve gerektiğinde güncel tutulabilmesini temin etmek amacıyla, Kurul veri sahiplerince beyan edilen iletişim bilgilerinin telefon numarası ve/veya e-posta adresine doğrulama kodu/linki gönderilmesi vb. yöntemlerle doğrulanmasına dair makul önlemlerin alınması gerektiğine hükmetmiştir.
Bu nedenle Kurul, veri sorumluları tarafından kişisel veri içeren belgelerin üçüncü kişilere gönderilmesini önlenmek için iletişim bilgilerinin doğruluğunun teyit edilmesine yönelik gerekli idari ve teknik tedbirlerin alınması hususunda ilke kararı yayımlanmıştır.
2. VERBİS KAYIT SÜRELERİNİN UZATILMASI
Kurul, 16 Mart 2021 tarihinde resmi internet sitesinde, VERBİS’e kayıt sürelerinin uzatılmasına ilişkin olarak 11 Mart 2021 tarihli ve 2021/238 sayılı ilke kararını yayımlamıştır.
Kararda, dünyada olduğu gibi ülkemizde de etkisini gösteren salgın nedeniyle VERBİS’e kayıt yükümlülüğünün yerine getirilmesi hususunda zorluklar yaşandığı gerekçesiyle VERBİS’e kayıt sürelerinin uzatılmasına ilişkin birçok veri sorumlusu veya bunların bağlı olduğu üst kuruluşlar ile bazı kamu kurumları ve kamu kurumu niteliğindeki meslek kuruluşları tarafından Kurul’a intikal ettirilen taleplerin değerlendirilmesi neticesinde;
Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları ile yurtdışında yerleşik gerçek ve tüzel kişi veri sorumlularının VERBİS’e kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 31 Aralık 2021 tarihine,
Yıllık çalışan sayısı 50’den az ve yıllık mali bilançosu 25 milyon TL’ den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumlularının VERBİS’e kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 31 Aralık 2021 tarihine,
Kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşu veri sorumlularının VERBİS’e kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 31 Aralık 2021 tarihine
kadar uzatılmasına karar verilmiştir.
IV. Kurul Kararları
2021 içerisinde Kurul tarafından yayımlanan kritik kararlar aşağıda ihlal konusuna göre incelenecektir
1. AYDINLATMA YÜKÜMLÜLÜĞÜNE İLİŞKİN KARARLAR
Aydınlatma yükümlülüğüne ilişkin olarak 2021’deki en önemli kararlar, Kurul’un, aydınlatma metninde işlenen kişisel veri kategorilerine de yer verilmesi gerektiğine dair verdiği kararlar olmuştur. Her ne kadar Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ (“Aydınlatma Tebliği”) madde 4’te, aydınlatma metninde bulunması gereken bilgiler veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi, ilgili kişinin KVKK madde 11’de sayılan hakları olarak belirlenmiş olsa da, Kurul’un aşağıda yer alan kararlarında aydınlatma metninde işlenen kişisel veri kategorilerine de yer verilmesi gerektiği ifade edilmiştir.
Kurul’un 8 Ekim 2020 tarihli 2020/765 sayılı kararında10 Kurul “Aydınlatma metninde veri sorumlusu tarafından işlenen kişisel verilere (kategorik olarak) ayrıca yer verilmediği gibi metinde kişisel verilerin hangi kişisel veri işleme şartına dayanılarak işlendiğine ilişkin de ayrıntılı bir düzenleme yapılmadığı; yalnızca KVKK’nin 5. maddesinin (2) numaralı fıkrasının (a), (c), (ç), (e) ve (f) bentleri ile Kanunun madde 6/2 numaralı fıkrasındaki hükümlerin sıralandığı” hususunu da değerlendirerek karar vermiştir.
Kurul’un 8 Ekim 2020 tarihli 2020/766 sayılı kararında11 ise Kurul, “(…) bahsi geçen aydınlatma metninin de kredi kartı başvurusuna özgü, sadece o işlem kapsamında işlenen kişisel verilere (kategorik olarak), işleme amaçlarına ve işlemenin dayandığı hukuki sebep ve diğer unsurlara yer verilmediği aksine genel nitelikli bir aydınlatma metni olduğu, bu aydınlatma metninde de Bankanın ana sayfasında yer alan aydınlatma metni gibi veri sorumlusu tarafından işlenen kişisel verilerin hangi kişisel veri işleme şartına dayanılarak işlendiğine ayrıntılı bir şekilde yer verilmemesi dolayısıyla Aydınlatma Tebliği’nin “Usul ve esaslar” başlıklı 5’inci maddesinin (1) numaralı fıkrasının (h) bendinde yer alan hükme aykırı olduğu” hususunu değerlendirerek karar vermiştir.
Bunların yanı sıra 2021 yılı içinde aydınlatma yükümlülüğünün ihlaline ilişkin olarak 6 adet karar yayımlamıştır. Bu kararlar kapsamında aydınlatma metni dolayısıyla en yüksek cezaya 20 Mayıs 2020 tarihli ve 2020/404 sayılı kararında 50.000 TL tutarında hükmetmiştir.
2. AÇIK RIZAYA İLİŞKİN KARARLAR
Kurul, 2021 yılında açık rızayı bir işleme sebebi olarak yaptırıma esas olarak tartıştığı 9 adet karar yayımlamış, bu kararlar kapsamında açık rızaya ilişkin yükümlülüklere uyulmaması sebebiyle en yüksek cezaya 20 Nisan 2021 tarihli ve 2021/389 sayılı kararında 250.000 TL tutarında hükmetmiştir. Bu kararlardan bazılarına aşağıda yer verilmiştir.
3. VERİ İHLAL BİLDİRİMİNE İLİŞKİN KARAR
Kurul, 2021 yılında veri ihlal bildiriminin 72 saat içerisinde yapılmamasına karşın makul sürede yapılmış sayıldığına dair bir adet karar yayımlamıştır.
4. TEKNİK VE İDARİ TEDBİRLERE İLİŞKİN KARAR
Kurul, 2021 yılında teknik ve idari tedbirlerin alınmamasını esas olarak tartıştığı 50 adet karar yayımlamış, bu kararlar kapsamında teknik ve idari tedbirlerin alınmaması sebebiyle en yüksek cezaya 3 Mart 2020 tarihli ve 2020/191, 2020/192, 2020/193, 2020/194 sayılı kararlarında 1.400.000 TL tutarında hükmetmiştir. Bu kararlardan bazılarına aşağıda yer verilmiştir.
5. ÖZEL NİTELİKLİ KİŞİSEL VERİLER
Kurul, 2021 yılında özel nitelikli kişisel verilerin işlenmesini yaptırıma esas olarak tartıştığı 14 adet karar yayımlamış, bu kararlar kapsamında özel nitelikli kişisel verilerin işlenmesine ilişkin kurallara uyulmaması sebebiyle en yüksek cezaya 20 Nisan 2021 tarihli ve 2021/407 sayılı kararında 600.000 TL tutarında hükmetmiştir. Bu kararlardan bazılarına aşağıda yer verilmiştir.
6. KİŞİSEL VERİLERİN YURTDIŞINA AKTARILMASI
Kurul, 2021 yılında kişisel verilerin aktarılmasını yaptırıma esas olarak tartıştığı 3 adet karar yayımlamış, bu kararlar kapsamında kişisel verilerin aktarılmasına ilişkin kurallara uyulmaması sebebiyle en yüksek cezaya 22 Temmuz 2020 tarihli ve 2020/559 sayılı kararında 900.000 TL tutarında hükmetmiştir. Bu kararlardan bazılarına aşağıda yer verilmiştir.
7. E-POSTALARIN İNCELENMESİ
Kurul, 27 Ocak 2020 tarihli ve 2020/59 sayılı kararında, limited şirket ortağının kurumsal e-posta adresinide yer alan yazışmaların e-posta sunucusunun yedek kayıtlarından elde edilerek incelenmesini tartışmıştır. Kararda, ortağı olduğu şirkete ait işlemlerin ilgili kişi tarafından takip edilmekte olmasına rağmen ilgili kişinin gerçekleştirdiği işlem ve kayıtlar hakkında hiçbir bilgi vermemesi, genel kurul davetine de icabet etmemesi üzerine şirket Genel Müdürünün, ilgili kişinin gerçekleştirdiği işlemleri ve yazışmalarını bulmak amacıyla şirket e-posta sunucusundan şirkete ait info@şirketadı.com.tr e-posta adresinin yazışmalarına bakıldığı, Asliye Ticaret Mahkemesinin dosyasına konu ve şirket gelirlerinin suiistimaline ilişkin e-posta yazışmalarına, ilgili kişinin hesabına erişilmek suretiyle değil ilgili kişinin kendisinin talebiyle önceden dâhil edildiği e-posta hesabının sunucu yedeklerinden ulaşıldığı belirtilmektedir. Kurul, kişinin ortağı olduğu şirkete ilişkin hakların korunması amacıyla söz konusu e-posta adresine ilişkin sunucu yedek kayıtlarından elde edilen kişisel verilerin “bir hakkın tesisi, kullanılması ve korunması kapsamında veri işlemenin zorunlu olması” kapsamında işlendiği ve kişisel veriler kullanılarak Asliye Ticaret Mahkemesi nezdinde açılan dava nedeniyle gerçekleştirilen kişisel veri işleme faaliyetinin ise Madde 28 kapsamında olduğu değerlendirildiğinden söz konusu şikayet ile ilgili KVKK kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir.
E-posta hesaplarının şirket faaliyetleri kapsamında incelenmesi hususu esasen çalışan özelinde Türk ve AB hukuku uygulamasında pek çok tartışmaya konu olmuştur. Anayasa Mahkemesi (“Mahkeme”), 2016’da 2013/4825 numaralı Kara/Özbek başvurusunda da aynı konu hakkında karar vermiştir. Bu husus 2017 yılında Avrupa İnsan Hakları Mahkemesi tarafından da Bărbulescu v. Romania kararında incelenmiştir. Çalışan e-maillerinin denetimi konusu, İş Yerinde Elektronik İletişimin Denetimi Hakkında Çalışma Belgesi12 ve 8/2001 Sayılı İş Hukuku Bağlamında Kişisel Verilerin İşlenmesi Hakkında Görüş13 ve 2/2017 Sayılı İşte Veri İşleme Hakkında Görüş14 gibi konuya hasredilmiş diğer belgeler gibi pek çok Madde 29 Çalışma Grubu Raporu’na da konu olmuştur.
İlk olarak Mahkeme, Kara/Özbek başvurusunda çalışanların iletişiminin denetlenmesi hususunu değerlendirmiştir. Buna göre işveren tarafından e-mail içeriklerinin denetlenmesinin, aşağıdaki şartların sağlanması halinde çalışanın haberleşme özgürlüğünü ve özel hayatın gizliliğini ihlal etmeyeceğine karar vermiştir:
İşverenin, e-mail içeriklerini denetlemesinde meşru bir amacı olması
İşverenin aldığı önlemlerin meşru amaçla ölçülü bir ilişki içinde olması,
Çalışanların, işverenin meşru menfaatinin ve e-mail incelemesi yapma yetkisinin kaynağı olan iş yeri kural ve düzenlemelerine tabi olması
Çalışanların, kurumsal e-postaların özel iletişim veya kullanım bakımından kısıtlandığı konusunda işveren tarafından uyarılması
Mahkeme daha sonra 17 Eylül 2020 tarihli ve 2016/13010 sayılı E.Ü. kararında incelemenin hukuka uygun kabul edilebilmesi için aranan şartları, yukarıda atıf yapılan Bărbulescu v. Romania kararı ile paralel hale getirmiştir. Bu kapsamda, e-posta incelemelerinin hukuka uygun kabul edilebilmesi için;
- İşverenin iletişimin denetlenmesinde meşru bir amacı olmalıdır. Bu amaca ulaşmak için yalnızca iletişim trafik akışının incelenmesi yeterli mi yoksa iletişim içeriğinin denetlenmesi de zaruri mi sorusunun cevaplanması gerekmektedir.
- Çalışanlar; incelemeye, amacına, hukuki gerekçelerine, kapsamına, sonuçlarına ve haklarına ilişkin olarak işveren tarafından önceden bilgilendirilmelidir.
- Çalışanın gizliliğine yapılan müdahale, inceleme amacını gerçekleştirmek için gerekli olmalıdır.
- Müdahalenin, inceleme amacına ulaşmak için zorunlu olması ve aynı sonuca, sayı ya da yoğunluk itibarıyla daha az kişisel veri işlenmesinin yeterli olacağı diğer araçlarla ulaşılamıyor olması gerekir.
- Toplanacak verinin inceleme amacıyla sınırlı olması, aşırı veri işlemenin söz konusu olmaması gerekir.
- İşverenin meşru menfaatiyle çalışanın temel hak ve hürriyetleri arasında ölçülü bir ilişki olmalıdır.
- Mahkeme, e-posta mesajlarının incelenmesinde bir hakkın tesisi, kullanılması ve korunmasına değil, meşru menfaate atıf yapmıştır.
C. TÜRK VERİ KORUMA HUKUKU 2022 GÜNDEMİ
I. AB Mevzuatına Uyum
AB mevzuatına uyum, gelecek dönemde beklenen değişikliklerin başında gelmektedir. Her ne kadar henüz kamuoyu bilgisine sunulan taslak bir metin olmasa da, hazırlanan farklı politika belgeleri ve strateji raporlarında yer verildiği ve Kurul tarafından düzenlenen oturumlarda ifade bulduğu üzere, AB mevzuatı ile uyum sağlamak üzere bir kanun değişikliği çalışmasının gündemde olduğu çıkarımı yapılabilmektedir.
11. Kalkınma Planı, AB İlerleme Raporu ve İnsan Hakları Eylem Planı’nın ilgili kısımları birlikte incelendiğinde, bu çerçevede olası bir kanun değişikliği 2022 yılı içerisinde beklenmektedir. 2 Eylül 2021 tarihli Kurum tarafından düzenlenmiş olan Kişisel Verileri Koruma Zirvesi’nde (“Zirve”), kanun değişikliği için hazırlıklar yürütüleceği sözlü olarak ifade edilmiştir ve değişliklerin özellikle yurtdışına kişisel veri aktarımı yapılması ve özel nitelikli kişisel verilerin işlenmesine ilişkin olacağı vurgulanmıştır. Aynı Zirve’de, özellikle yurtdışına kişisel veri aktarımına yönelik olarak AB mevzuatının ilgili hükümlerin esas alınarak KVKK kapsamında değişiklik yapılmasına yönelik bir hazırlık olduğu anlaşılmıştır. Zirve’ye ilişkin Kurum’un resmi sayfasında yayımlanan duyuruda16 da ülkemizin kişisel verilerin korunması alanındaki reform hareketlerinin devam ettirdiği belirtilmektedir. İlgili duyuru ile çeşitli eylem planları ve reform paketleriyle KVKK’nin AB mevzuatı ile uyumlu hale getirilmesinin hedeflendiği yazılı olarak da ifade edilmiş ve özellikle AB Genel Veri Koruma Tüzüğü’nün yurt dışına kişisel veri aktarımına yönelik hükümleri esas alınarak KVKK kapsamında değişikliklerin yapılacağının öngörüldüğü belirtilmiştir.
Söz konusu çalışmalar kapsamında, gerek AB mevzuatı ile uyumlu hale gelebilmek gerekse farklı sektörel ihtiyaçlar doğrultusunda özel nitelikli kişisel verilerin işlenmesine ilişkin hususlarda değişiklik yapılması beklenmektedir. Özellikle sigorta ve sağlık sektörlerinde gündeme getirilen çerçevede, Kurum’un Zirve’deki açıklamaları doğrultusunda özel nitelikli kişisel verilerin işlenmesine ilişkin çeşitli değişikliklerin TBMM gündemine taşınacağı anlaşılmaktadır.
Adalet Bakanlığı tarafından hazırlanan Nisan 2021 tarihli İnsan Hakları Eylem Planı’nda (“Eylem Planı”), kişisel verilerin korunmasına ilişkin ayrı başlık açıldığı görülmektedir. Eylem Planı uyarınca Kurum ile Bilgi Edinme Değerlendirme Kurulu’nun etkinliğinin artırılacağı, KVKK’nin AB standartları ile uyumlu hale getirileceği, Kurul’un idari para cezası kararlarına karşı sulh ceza hâkimlikleri yerine idari yargıya başvuru imkânı sağlanacağı, kişilerin mağduriyetlerinin ve hak kayıplarının önlenmesi için adli sicil kayıtlarının silinmesinde uygulamadan kaynaklı sorunların giderileceği, “arşiv kayıtları”nın silinme sürelerinin kısaltılacağı, ceza mahkûmiyetinin sonucu olan yasaklanmış hakların geri verilmesine ilişkin hükümlerin, hak ve özgürlüklerin kullanılmasına engel teşkil etmeyecek şekilde yeniden düzenleneceği ifade edilmektedir. Eylem Planı’nda, KVKK’nin AB standartları ile uyumlu hale getirilmesi için hedef 1 yıl olarak belirlenmiştir.
11. Kalkınma Planı’nda da KVKK’nin AB mevzuatı baz alınarak güncellenmesinin beklendiği açıklanmış olup; KVKK’de yer alan bazı kavramların AB mevzuatı dikkate alınarak değiştirilmesi ve/veya genişletilmesinin söz konusu olabileceği belirtilmiştir. AB Mevzuatı kapsam başlıklı 3. maddesinde olduğu gibi, KVKK’nin uygulama kapsamı, Türkiye’de yerleşik gerçek kişileri hedefleyen veya Türkiye’de yerleşik gerçek kişilerin davranışlarının izlenmesini ve Türkiye’den yapılacak tüm veri işleme faaliyetlerini kapsayacak şekilde belirlenebilir. Kısıtlama hakkı ve veri taşınabilirliği gibi ilgili kişilere yeni haklar tanınması gündeme gelebilir. İdari para cezasının hesaplanma yönteminde de değişiklik olabileceği değerlendirilmektedir. İdari para cezalarında belirli üst – alt sınırlar yerine, veri sorumlusunun cirosuna dayalı bir hesaplama yöntemi benimsenebilir. Bunların yanı sıra, KVKK’ye “veri koruma görevlisi”, “veri işleme kayıtları” ve “veri koruma denetimleri”, “özel ve olağan veri koruması (“privacy by design and privacy by default”) ve “müşterek veri sorumluları” gibi kavramların eklenmesi söz konusu olabilir.
2020 AB İlerleme Raporu’nda da (“Rapor”), kişisel verilerin korunmasına ilişkin temel beklentiler, KVKK’nin AB mevzuatı ile uyumlu hale getirilmesi ve Kurum’un bağımsızlığının sağlanması olarak açıklanmaktadır. Rapor’da, AB’nin Kurum’un bağımsızlığına ve KVKK tahtında düzenlenmekte olan muafiyetler kapsamında devletin yurtdışından Türkiye’ye gönderilen kişisel verilere istihbarat gerekçesi ile erişim yetkisi olmasına dair endişeleri yer almaktadır. Rapor’da ayrıca 2018 tarihli 108 sayılı Sözleşme’de yapılan değişiklik protokolünün Türkiye tarafından imzalanmamış olmasına da değinilmiştir.
Özetlemek gerekir ise, tüm yayınlanan plan, rehber ve raporlar ile Kurum tarafından yapılan ve kamuoyunun bilgisine ulaşan açıklamalar ışığında; 2022 yılı içerisinde KVKK ve AB mevzuatının uyumlaştırılması ve kamuoyunun özellikle sağlık ve sigorta sektörünün uygulamada karşılaştığı zorlukların bertaraf edilmesi amacıyla çalışmalar yürütüleceği anlaşılmaktadır.
II. Ulusal Yapay Zekâ Stratejisi 2021-2025
Sanayi ve Teknoloji Bakanlığı ve Cumhurbaşkanlığı Dijital Dönüşüm Ofisi tarafından hazırlanan Ulusal Yapay Zekâ Stratejisi 2021-2025 isimli belgede, YZ değerleri arasında mahremiyetin de düzenlendiği görülmektedir. Buna göre insan onuru ve insan özerkliği için gerekli bir hak olan mahremiyet hem kişisel hem de toplumsal düzeyde YZ sistemlerinin yaşam döngüsü boyunca saygı görmeli ve korunmalıdır. YZ sistemlerinde kullanılan verilerin YZ değer ve ilkelerine uygun bir şekilde toplanması, kullanılması, paylaşılması, arşivlenmesi ve silinmesi önemlidir. YZ sistemleri kişisel verilerin gizliliğine ve korunmasına halel getirmeyecek bir şekilde geliştirilmeli ve çalışmalıdır. Kişisel verilerin kimden, nasıl sağlandığı ve veriye dayalı olarak alınan kararların insanları nasıl etkileyeceği her zaman denetime açık bir şekilde izlenebilir olmalıdır. Evrensel ve kültürel etik kurallar ile kişisel verilerin gizliliğinin aynı ağırlıkta değerlendirilmesi gereklidir.
III. Çerezler
Çerezlere ilişkin kamuoyu görüşüne açılan taslak rehberin Kurul tarafından son haline getirilmesi ve 2022 yılı içinde yayımlanması beklenmektedir. Keza, Kurul’un yakın tarihli kararları incelendiğinde çerezlerin, özellikle profilleme amaçlı olarak kişisel veri toplayan çerezlerin açık rızaya tabi olduğunun ifade edildiği görülmektedir. Benzer yaklaşıma taslak rehberde de yer verilmektedir.