Bir temel hak olarak kişisel verilerin korunması
YALÇIN UMUT TALAY
BEGÜM YAVUZDOĞAN OKUMUŞ
KARDELEN ÖZDEN
Türkiye Cumhuriyeti Anayasası madde 38 altında, kanuna aykırı olarak elde edilmiş bulguların delil olarak kabul edilemeyeceği düzenlenmiştir. Bu ilke her ne kadar suç ve cezalara yönelik olsa da özel hukuktan kaynaklanan ve başta sözleşmelerden doğan uyuşmazlıklarda sunulan delillerin de hukuka uygun şekilde elde edilmiş olması gerekir. Hukuka aykırı delillerin dinlenmemesi esastır ve hukuka aykırı elde edilen bir bilginin delil olarak sunulması farklı yargısal süreçlere neden olabilir.
Uyuşmazlıkların çözümlenmesinde karşı tarafa ilişkin bilgilerin kullanılması elzemdir. Kimliği belirli ya da belirlenebilir bir kişiye işaret eden bir bilginin (kişisel verinin) delil olarak sunulması halinde ise her zaman söz konusu kişisel verinin hukuka uygun şekilde elde edilip edilmediği ve yine delil olarak sunulmasının hukuka uygun olup olmadığı özel olarak değerlendirilmelidir.
Kişisel verilerin hukuka aykırı şekilde elde edilmesi, kullanılması, yayılması, depolanması vb. konulara ilişkin Türk Ceza Kanunu (TCK) kapsamında fiilin niteliğine göre değişmekle birlikte 1 yıldan 4 yıla kadar hapis cezasını gerektirebilecek suçlar düzenlenmiştir. Suçun konusu olan verinin kategorisine (özel nitelikli olup olmadığına) ya da suçun faili olan kişilerin görevlerine ve imtiyazlarına bağlı olarak cezaların artabileceği de unutulmamalıdır.
Kişisel verilerin korunmasına ilişkin zaman zaman yargı ve Kurul kararları gündeme gelmektedir: Anayasa Mahkemesi’nin kararına konu olayda:
Başvurucu, eşi ile arasında devam eden bir boşanma davasında evlendikten sonra migren ataklarının arttığını ve bu durumun eşinden kaynaklandığını iddia etmiştir;
Başvurucunun eşi, yaptığı araştırma sonucunda başvurucunun evlenmeden önce de benzer sağlık sorunları olduğunu tespit etmiş, doktor olmasının sağladığı nüfuzu ve mesleki imtiyazlarını kullanarak başvurucuya ait daha önceki rapor ve tedavi bilgilerine erişmiştir ve boşanma davasında delil olarak sunmuştur;
Başvurucu, görevi kötüye kullanma, özel hayatın gizliliğini ihlal, kişisel verilerin hukuka aykırı olarak ele geçirilmesi ve paylaşılması suçlarını işlediği iddialarıyla eşinden şikâyetçi olmuştur;
Cumhuriyet Savcılığı tarafından yapılan değerlendirmede eşlerin birbirlerinin birinci dereceden yakını oldukları, birbirlerinin verilerine erişimlerinin mahremiyetin ve özel hayatın ihlali olarak değerlendirilemeyeceği ve taraflar arasında devam eden dava kapsamında sunulan delillerin iddia ve savunma dokunulmazlığı kapsamında değerlendirilmesi gerektiği tespit edilmiştir.
Ne var ki Anayasa Mahkemesi, sağlık verilerinin kişisel veri olarak kabul edilmesi gerektiğini, bu kapsamda anılan bilgilerin ele geçirilmesinin, bunların kullanılmasının ve işlenmesinin kişisel verilerin korunması hakkı kapsamında olduğu değerlendirmiştir. Dolayısıyla, Cumhuriyet Başsavcılığı tarafından etkin bir soruşturma ve kovuşturma yürütülmemesi sebebiyle başvurucunun adil yargılanma hakkı ile özel hayata saygı ile kişisel verilerin korunması haklarının ihlal edildiğine karar vermiştir.
7 Nisan 2016 tarihinde hayatımıza giren Kişisel Verilerin Korunması Kanunu (KVKK), kişisel verilerin hukuka uygun olarak nasıl elde edilebileceğine ilişkin temel düzenlemedir. Kural olarak, kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi KVKK’ya tabi değildir. Ancak bu istisnanın kapsamının ilgili kamu otoriteleri olduğu unutulmamalıdır. Örneğin, Kişisel Verileri Koruma Kurulu (Kurul), işverenin işçisi hakkında dava dosyasına sunduğu kişisel verilerin mahkemenin talebi üzerine sunulduğu vurgulanarak konunun KVKK’nın dışında değerlendirilmesi gerektiğini belirtmektedir. Mahkemenin talebi olmadan sunulan kişisel verilerin ise KVKK’dan istisna olmayacağı açıktır.
Bu çerçevede, Kurul başka benzer bir olayda, bir kurumda çalışan kişinin, eski eşine ilişkin bilgileri kurumun sisteminden elde etmesinin KVKK’ya aykırı olduğu sonucuna ulaşmıştır. Bu kişi hakkında disiplin hükümlerine göre işlem yapılması gerektiği vurgulanmakla birlikte bu gibi bir hukuka aykırılığın gerçekleşmesine neden olan kurum hakkında da bazı kararlar alınmıştır. Kurumun veri sorumlusu olduğunun altı çizilmiş ve izinsiz ve amaç dışı erişimleri engelleyebilecek gerekli tedbirleri alınması gerektiği belirtilmiştir. Veri sorumlusu kamu kurumu olduğu için ceza verilmemiştir. Ancak bir şirketin sistemlerinden bu gibi bir bilgi çıkışı olmuş olsaydı, ilgili şirketin aynı zamanda veri güvenliğini ihlal sebebiyle idari para cezası da alabileceği açıktır.
Yine son dönemde gündeme gelen bir belediye çalışanının mesai takibinin parmak izinin işlenmesi yolu ile yapılmasına ilişkin olarka çalışan tarafından idare mahkemesi nezdinde açılan iptal talebinin yerel mahkemece kabul edilmesi ardından ihtilafın belediye tarafından Bölge İdare Mahkemesine iletilip, yüksek mahkemece iptal kararının söz konusu parmak izi işlenmesi uygulamasının hukuka aykırı bulunmayıp işlenmesinde kamu menfaati olduğundan bahisle reddi üzerine, ihtilaf çalışan tarafından Anayasa Mahkemesine götürülmüştür. Bu noktada Anayasa Mahkemesi anayasal bir hak olan özel hayata saygı hakkı kapsamındaki kişisel verilerin korunmasını isteme hakkının ihlal edildiğine karar vererek ihtilafi yeniden yargılama yapılması için ilgili mahkemeye iletmiştir. Görünen o ki, özellikle mahkemeler nezdinde de henüz kişisel verilerin korunması mevzuatı ve uygulaması yönünde yeterli farkındalık ve bilgi bulunmamaktadır. Anayasa Mahkemesi ise, bu gibi durumlara anayasal temel haklar perspektifinden değerlendirerek uygulamaya yön vermektedir.
Dikkat Edilmesi Gereken Hususlar Nelerdir?
KVKK’ya aykırı şekilde elde edilen ya da avukatlar veya yargı mercilerince paylaşılan kişisel verilerin uyuşmazlıklarda delil olarak sunulması halinde hem veri sorumluları açısından idari yaptırımlar hem de gerçek kişiler ve tüzel kişi veri sorumlularının yetkilileri hakkında cezai soruşturmaların gündeme gelebileceği açıktır.
Tüm şirket ve diğer ticari işletmelerin, KVKK’ya uyum süreçlerini gözden geçirmeleri, aydınlatma metinlerinin elde ettikleri kişiler verilerin hukuki uyuşmazlıklarda kullanılması konusunda yeterli bilgiyi içerip içermediklerini teyit etmeleri önem taşımaktadır. Yalnızca şirketler ya da ticari işletmelerle sınırlı olmayarak esasen kamu kurumları ve veri sorumlusu gerçek kişiler de dahil, tüm veri sorumluları veri işleme süreçlerinde kişisel verilerin hukuka uygun şekilde işlenmesini temin etmeli ve olası uyuşmazlık çözümlerinde hangi kişisel verilerin delil olarak kullanılabileceğinin ve KVKK ile uyum açısından yol haritasının ne olması gerektiğinin somut olay özelinde değerlendirmelidir. Bu kapsamda, kişisel verilerin işlenmesindeki ölçülülük, amaca uygunluk prensipleri de her zaman göz önünde tutulmalıdır.
Kaynaklar:
1- Anayasa Mahkemesi, 3 Şubat 2022 Tarihli ve 2019/20473 Başvuru Numaralı Karar
2- Kişisel Verileri Koruma Kurulu, 18 Şubat 2020 Tarihli ve 2020/138 Sayılı Karar. Karar özeti için: https:// www.kvkk.gov.tr/Icerik/6887/2020-138.
3- Kişisel Verileri Koruma Kurulu, 11 Mart 2021 Tarihli ve 2021/230 Sayılı Karar. Karar özeti için: https://www. kvkk.gov.tr/Icerik/7119/2021-230.