Kişisel Verileri Koruma Kurulu’nun 2019 Yılı Karnesi – Baran Can YILDIRIM & Celal Duruhan AYDINLI
2019, kişisel verilerin korunması alanında geçtiğimiz yıllara kıyasla gündemi yoğun ve farkındalık getiren bir yıl olarak geride bırakıldı. Kişisel Verileri Koruma Kurulu (“Kurul”), 2019 yılı boyunca internet sitesi üzerinden 33 karar özeti, 1 ilke kararı, 5 düzenleyici karar ve 39 veri ihlali duyurusu yayımladı. Bankacılık sektörü, 5 veri ihlal bildirimi ve 3 karar özetine konu olarak, Kurul’un en fazla inceleme gerçekleştirdiği sektör olarak ortaya çıktı. Kurul, tespit ettiği ve duyurduğu ihlaller kapsamında 2019 yılında toplamda 8.230.000 TL idari para cezası uygulayarak, geçen yıla oranla (yaklaşık 3,5 milyon TL) daha sıkı bir politika izledi. Bu yazımızda, Kişisel Verileri Koruma Kurulu’nun 2019 gündemine göz atacağız.
Kararlar Işığında 2019
Kurul, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) uyarınca, şikayet üzerine veya re’sen kişisel verilerin kanunlara uygun olarak işlenip işlenmediğini inceleme ve gerektiği durumlarda idari yaptırımlara karar verme yetkisine sahiptir. Gerekli görülen Kurul kararları ise, Kişisel Verileri Koruma Kurulu Çalışma Usul ve Esaslarına Dair Yönetmelik’in (“Yönetmelik”) 15. maddesi uyarınca kamuyla paylaşılabilmektedir. Bu kapsamda Kurul’un (ilke kararları hariç olmak üzere), aldığı kararları kamuyla paylaşmama yetkisine sahip olduğu belirtilmelidir. Bu doğrultuda Kurul, kimi kararlarını özet halinde yayımlamakta, kimi kararlarını ise hiç yayımlamamaktadır. Dolayısıyla Kurul’un almış olduğu kararların tamamı, kamuoyu tarafından bilinememektedir. Yayımlanan özet kararlar kapsamında ise şirketlerin unvanlarının genellikle gizlendiği görülmektedir.
Örneğin, 01.10.2019 tarihli ve 2019/294 sayılı karar özeti(1) kapsamında, sunduğu sadakat programını kullanan ilgili kişinin kullanıcı adı ve parola bilgilerini değiştirme talebi karşısında ilgili kişiden arkalı önlü kimlik görüntüsü talep eden veri sorumlusuna 100.000 TL idari para cezası uygulanmış, bununla birlikte ilgili veri sorumlusunun ismi gizli tutularak, şirketten yalnızca “bir havayolu taşımacılık şirketi” olarak bahsedilmiştir. Benzer şekilde, 26.11.2019 tarihli ve 2019/352 sayılı karar özeti(2) kapsamında, bir banka nezdinde gerçekleşen veri ihlali sebebiyle ilgili bankaya toplamda 100.000 TL idari para cezası uygulanmış, ancak bankanın ismi gizli tutulmuştur.
Geçtiğimiz yıllara göre kararlarını daha şeffaf bir şekilde yayımladığı değerlendirilen Kurul’un, gelecekte tüm kararlarını herhangi bir gizliliğe tabi tutmadan yayımlamasının, gerek kurum ve kuruluşlar, gerekse gerçek kişiler için şeffaf bir yaklaşım sergilenmesine ve ortak bir bilincin oluşmasına katkı sağlayacağı düşünülmektedir.
Kurul Karar Özetlerine Bir Bakış
2019 yılı, Kurul’un ihlal kararları bağlamında veri sorumlularının öngörülerini şekillendirebilmesi için değerli bir yıl olarak kayıtlara geçerek, yüksek cezalardan çok genel anlayışa yönelik ilkesel yaklaşımların sergilendiği, yalnız kurum ve kuruluşların değil gerçek kişilerin de sorumlu olabildiğinin gösterildiği bir yıl oldu.
Kurul tarafından verilen ceza miktarının önceki yıllara göre belirgin bir biçimde arttığı görülmekle birlikte (geçtiğimiz yıl yaklaşık 3.5 milyon TL; bu yıl ise 8.230.000 TL ceza uygulandı), ceza miktarının belirlenmesinde gözetilen kriterler bakımından herhangi bir açıklığın hala bulunmadığı belirtilmelidir.
İlaveten, Kurul tarafından benzer ihlallere ilişkin verilen cezaların Avrupa’daki emsallerine kıyasla önemli ölçüde düşük gerçekleştiği görülmektedir. Örnek vermek gerekirse, Marriott International Inc.’in Starwood Tercih Edilen Konuk Hesabı kapsamında gerçekleşen ve tüm dünyada çok sayıda kişiyi ilgilendiren veri ihlali sebebiyle, İngiltere veri koruma otoritesi (Information Commissioner’s Officer) tarafından Marriott’a yaklaşık 124 milyon ABD Doları ceza verilmiş; Kurul tarafından ise aynı ihlal sebebiyle toplamda 1 milyon 450 bin TL idari para cezası uygulanmasına karar verilmiştir. Bu noktada, 6698 sayılı Kişisel Verilerin Korunması Kanunu ile Avrupa Birliği’nde uygulanmakta olan General Data Protection Regulation’ın (“GDPR”) cezalara yaklaşımını anlamak önem taşımaktadır. GDPR kapsamında şirketlerin yıllık cirolarının %4’üne kadar cezaya hükmedilebilmekteyken(3), 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında ise ihlal başına verilebilecek en yüksek ceza 1.450.000 TL olarak belirlenmektedir. Bu doğrultuda mevzuatımız, Avrupa Birliği’nin aksine, ceza miktarının uygulanması noktasında şirketlerin ciro bakımından büyüklüğünü henüz dikkate almamaktadır.
Veri İhlali Duyuruları
Kanun’ 12(5). maddesi uyarınca, kişisel veri ihlali, “işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hali” olarak tanımlanmaktadır. Örneğin, aşağıda yer verilen durumlar, kişisel veri ihlali olarak nitelendirilebilmektedir:
- Kişisel verilerin yanlış alıcı veya alıcılara gönderilmesi
- Kişisel veri içeren fiziki belgelerin (kağıt, dosya vb.) veya elektronik aygıtların (telefon, bilgisayar, USB vb.) kaybedilmesi veya çalınması
- Şirket içinde kullanılan veri tabanlarının siber saldırıya uğraması
- Elektronik cihazlara ait kullanıcı adı ve parola bilgilerinin, üçüncü kişiler tarafından öğrenilmesi
Kanun’un 12. maddesi, veri ihlallerinin en kısa zaman içerisinde (Kurul tarafından yayımlanan karar doğrultusunda 72 saat olarak belirlenmiştir) Kurul’a bildirilmesi gerektiğini düzenlemektedir. 2019 yılında, Kurul’a gerçekleştirilen veri ihlal bildirimlerinden 39 tanesi Kurul tarafından kamuoyu ile paylaşılmıştır. Bildirim yapan veri sorumluları arasında, Microsoft gibi büyük uluslararası şirketler(4) ve Küçükcekmece Belediyesi gibi yerel idari yönetimler(5) de bulunmaktadır.
Gerçekleştirilen veri ihlal bildirimleri kapsamında Kurul gerekli incelemeleri gerçekleştirmekte ve Kanun’a aykırılık tespit etmesi halinde bünyesinde veri ihlali gerçekleşen veri sorumlularına cezalar kesebilmektedir. Örneğin yukarıda açıklanan ve Marriott tarafından gerçekleştirilen veri ihlal bildirimi, Kurul’un internet sitesinde 2019 yılının ilk çeyreğinde yayımlanmış ve Kurul tarafından gerekli soruşturmanın başlatıldığı bilgisi kamuoyu ile paylaşılmıştır. Soruşturma ise Mayıs 2019’da tamamlanmış ve Marriott’a 1.450.000 TL idari para cezası verildiği duyurulmuştur(6).
Görüş Taleplerinin Değerlendirilmesi
Kurul, 2019 yılında veri sorumlularının ilettiği görüş taleplerini yanıtlamış ve yanıtlarını görüş talebinde bulunan veri sorumlularının ticari unvanlarını gizlemek suretiyle internet sitesi üzerinden kamu ile paylaşmıştır. Belirli uygulamalar hakkında Kurul’dan görüş talep edilmesi, Kanun’da düzenlenen bir yöntem değildir. Kurul’un bu talepleri yanıtsız bırakmaması, Kurul’un kişisel verilerin korunması hakkında toplumu bilinçlendirme çabasının bir yansıması olarak değerlendirilebilecektir. Bu görüş taleplerini ve Kurul’un değerlendirmelerini, aşağıda kısaca açıklamaktayız.
Bir yüksek öğretim kurulu tarafından Kurul’a iletilen görüş talebi kapsamında, öğretim görevlisi aday puanlarının internet sitesi üzerinden paylaşılmasının hukuka uygun olup olmadığı değerlendirilmiş ve internet ortamında yayımlanan kişisel verilerin belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek şekilde maskelenmesi gerektiği belirtilmiştir(7).
Yurt dışında yerleşik tüzel kişilerin Türkiye’deki şubeleri ile irtibat bürolarının Veri Sorumluları Sicil Kayıt Bilgi Sistemi’ne (“VERBİS”) kayıt yükümlülüğü hakkında Kurul’a iletilen görüş talebi kapsamında Kurul,
- yurt dışında yerleşik veri sorumlusunun, kişisel verileri şubesi aracılığıyla işlese dahi sicile kaydolmakla mükellef olduğuna ve
- şubelerin, şirketten bağımsız bir biçimde veri sorumlusu kriterlerini sağlaması durumunda VERBİS’e kayıt olması gerektiğine yönelik görüş bildirdi(8).
Son olarak, 5015 sayılı Petrol Piyasası Kanunu uyarınca “Dağıtıcı Lisansı” kapsamında faaliyet gösteren bir veri sorumlusu şirket tarafından Kurul’a iletilen görüş talebi kapsamında, ilgili kişilerin açık rızası olmaksızın veri işleme faaliyetinin hukuka uygun olmasını sağlayan koşullardan biri olan meşru menfaate yönelik kriterler değerlendirildi(9). Kararda, meşru menfaat şartının değerlendirilmesinde “söz konusu yararın çok sayıda kişiyi etkilemesi, yalnızca kar elde edilmesi ya da ekonomik yararın sağlanması amacına yönelik olmaması, iş süreçlerini ya da bir işleyişi kolaylaştırması (örneğin bir birim ya da az sayıda personel nezdinde değil, kurumsal olarak geneli etkileyecek şekilde) gibi şeffaf ve hesap verilebilir nitelikleri haiz kriterlerin esas alınması” gerektiği ifade edildi.
İlke Kararları ve Düzenleyici İşlemler
Bilindiği üzere, Kurul tarafından ihlalin yaygın olduğunun tespit edilmesi halinde, Kanun’un 15. maddesi uyarınca ilke kararları alınabilmektedir. Bu kararların, diğer kararların aksine, kamuoyu ile paylaşılması zorunludur. Kurul, 2019 yılı içerisinde, hukuka aykırı olarak elde edilen veriler üzerinden vatandaşların kimlik ve iletişim bilgileri gibi kişisel verilerinin sorgulanmasına imkân tanıyan yazılım/program/ uygulamalar hakkında olmak üzere bir adet ilke kararı yayımladı(10). Karar kapsamında, avukatlar/hukuk büroları ile finans, gayrimenkul danışmanlık, sigorta vb. sektörlerde faaliyet gösteren bazı kişi ve kuruluşlar tarafından elde edilen veriler üzerinden, vatandaşların kimlik ve iletişim bilgileri gibi kişisel verilerinin sorgulanmasına imkân tanıyan yazılım/ program/uygulamaların kullanılmakta olduğunun tespit edildiği ve bu durumun Kanun’a aykırılık teşkil ettiği tespit edilmiştir. Bu doğrultuda hukuka aykırı şekilde kişisel veri işleme faaliyetleri gerçekleştiren veri sorumluları hakkında Kanun uyarınca idari para cezası uygulanabileceği ve ayrıca Türk Ceza Kanunu kapsamında gerekli adli işlemlerin tesisi için konunun, 5271 sayılı Ceza Muhakemesi Kanunu uyarınca ilgili Cumhuriyet Başsavcılıklarına bildirileceği bilgisi kamuoyu ile paylaşılmıştır.
2019 yılında gerçekleşen diğer bir gündem ise, veri sorumlularının VERBİS’e kayıt yükümlülüğünün, üç aylık arayla iki defa ertelenmesi oldu. Erteleme kararlarına gerekçe olarak, veri sorumluları tarafından hatalı bildirimler gerçekleştirildiği hususuna vurgu yapıldı. Mevcut durumda, (i) yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları ile (ii) yurt dışında yerleşik gerçek ve tüzel kişi veri sorumlularının, 30.06.2020 tarihine kadar VERBİS’e kayıt yükümlülüklerini yerine getirmeleri gerekmekte(11).
2019 Yılında Kurul Etkinlikleri ve Akademik Çalışmaları
Kurul, gelenekselleşen Çarşamba Seminer’lerine 2019 yılında da devam ederek, kişisel verilerin korunması alanında bilgi sahibi olmak isteyen ilgililere yönelik çalışmalarını sürdürdü. Herkese açık olarak gerçekleştirilen bu seminerler kapsamında, veri ihlal bildirimleri, veri işleyen-veri sorumlusu kavramları, suç ve kabahatler, siber güvenlik problemleri gibi çok çeşitli konular tartışıldı.
2019 yılında başlamış olan dikkate değer diğer bir çalışma da, Kurul’un Kişisel Verileri Koruma Dergisi(12) oldu. Bu girişimle birlikte, Nisan ve Ekim aylarında olmak üzere yılda iki kez yayımlanacak olan bir hakemli dergi, Türkiye pratiğine kazandırılmış oldu.
Sonuç
Kişisel verilerin korunmasına yönelik çerçeve kanunun duyurulmasının üzerinden yaklaşık üç yıl gibi bir sürenin geçmiş olduğu değerlendirildiğinde, veri sorumlularının bu alana yönelik bilincinin belirli bir seviyeye ulaştığı söylenebilecektir. Bununla birlikte, VERBİS’e kayıt yükümlülüklerine yönelik son tarihin yıl içerisinde iki defa ertelenmesi, veri sorumluları nezdinde hala yeterli bilincin oluşmadığına dair bir işaret olarak değerlendirilebilecektir.
Üç yıllık süreç içerisinde uygulamacıların ve akademisyenlerin kişisel verilerin korunması alanına yönelik gösterdiği yoğun ilginin ilerleyen yıllarda da devam etmesi, bu bilincin artırılması hususunda oldukça önemli olacaktır.
Kurul tarafından yayımlanan özet kararlar kapsamında tespit edildiği üzere, veri sorumluları nezdinde kişisel verilerin korunmasına yönelik temel prensiplere ilişkin hassasiyetin henüz oluşmadığı söylenebilecektir. Bu kapsamda, uyum sürecine yönelik projelerin veri sorumluları tarafından bir an evvel tamamlanması, gerek idari para cezalarıyla karşılaşılmaması gerekse kamu nezdinde şirket itibarının korunması bakımından yüksek önem arz etmektedir.
Dipnotlar
(1)https://www.kvkk.gov.tr/Icerik/6556/2019-294
(2)https://www.kvkk.gov.tr/Icerik/6656/2019-352
(3)https://gdpr.eu/fines/
(4)https://www.kvkk.gov.tr/Icerik/5451/Kamuoyu-Duyurusu- Veri-Ihlali-Bildirimi-Microsoft-Corporation
(5)https://www.kvkk.gov.tr/Icerik/6584/Kamuoyu-Duyurusu- Veri-Ihlali-Bildirimi-Kucukcekmece-Belediyesi
(6)https://www.kvkk.gov.tr/Icerik/5479/2019-143
(7)https://www.kvkk.gov.tr/Icerik/6668/2019-389
(8)https://kvkk.gov.tr/Icerik/5545/2019-225
(9)https://kvkk.gov.tr/Icerik/5434/2019-78
(10)https://kvkk.gov.tr/Icerik/6568/2019-308
(11)https://www.kvkk.gov.tr/Icerik/6631/Veri-Sorumlulari-Siciline- Kayit-Yukumlulugune-Iliskin-Kurulca-Belirlenen-Tarihler- Hakkinda-2019-387-Sayili-Kurul-Karar-Ozeti
(12)https://dergipark.org.tr/tr/pub/kvkd