Kişisel Verileri İşleme Politikaları
Umut Rojda Yıldırım
Türk hukukunda, 2010 yılında yapılan Anayasa değişikliği referandumu ile 20.maddeye eklenen şu fıkra sayesinde kişisel verilerin korunması meselesi gündeme gelmiştir.
(Ek Fıkra: 7.5.2010 5982/2) Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.
Anılan madde ve ardından gelen Anayasa Mahkemesi kararları ışığında, uzun zamandır konuyla alakalı yapılan çalışmalar tekrar gün yüzüne çıkmıştır.
Ardından öncelikle Avrupa Parlamentosu özelinde kabul edilen Genel Veri Koruma Tüzüğü (GDPR), Türk hukukunda 6698 sayılı Kişisel Verilerin Korunması Kanununun hazırlanmasında temel olarak kullanılmıştır. Kanun 24 Mart 2016 tarihinde kanunlaşmış olup 7 Nisan 2016 tarihli Resmi Gazetede yayımlanarak yürürlüğe girmiştir.
Bunun yanında Türk Ceza Kanunu’nun kişisel verilerin açıklanmasını, değiştirilmesini vs. suç olarak düzenleyen maddelerini de kişisel verilerin korunması mevzuatı kapsamında sayabiliriz.
Genel olarak politika metinleri, şirketleri yahut kurumların, belirli konular hakkında yaptıkları aydınlatmalardan, işleyişten ibarettir. Bu doğrulta özellik kişisel verilerin korunması hukuku kapsamında veri sorumlusu sıfatına haiz şirketler, veri ilgili kişilerini, Kanun’un 10.maddesi uyarınca aşağıdaki gibidir.
Veri sorumlusunun aydınlatma yükümlülüğü
MADDE 10
(1) Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere;
a) Veri sorumlusunun ve varsa temsilcisinin kimliği,
b) Kişisel verilerin hangi amaçla işleneceği,
c) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
ç) Kişisel veri toplamanın yöntemi ve hukuki sebebi,
d) 11 inci maddede sayılan diğer hakları,
konusunda bilgi vermekle yükümlüdür.
Kanun’a uyum sağlamak amacıyla şirketlerin aslında oluşturması gereken zorunlu metin Aydınlatma Metni olarak hazırlanmaktadır. Politika metinleri ise, aydınlatma metinlerinden farklı olarak daha geniş süreçlerle alakalı iş akışlarının bulunduğu metinlerdir. Aydınlatma yükümlülüğü, veri sorumlusunun her türlü kişisel veri işleme faaliyetinden önce ve sadece o faaliyete yönelik geçerli olarak hazırlanmaktadır. Oysa politika metinleri genel olarak veri sorumlusunun, kişisel verilerle alakalı bütün bir işleme sürecini veri ilgili kişilerine açıkladıkları metinlerdir. Bu nedenle uygulamada, Politika metinleri, Aydınlatma Yükümlülüğü uyarınca Aydınlatma Metni yerine geçmemektedir. Zira Aydınlatma metinleri çok daha kısa ve açık şekilde hazırlanırlar. Oysa politika metinleri çoğu zaman 10’larca sayfayı bulabilmektedir. Böyle bir durumda, veri ilgili kişisinin 10 sayfalık Politika metnini okuyarak, bunun Aydınlatma Metni yerine geçmesini beklemek veri ilgili kişisi açısından menfaat ihlali sonucu doğurur.
Kişisel Verileri Koruma Kurulu’nun 08 Temmuz 2019 karar tarihli ve 2019/206 karar sayılı kararının Kurul internet sitesin yayımlanan özetine göre;
İhbara konu web adresi üzerinden erişim sağlanan “GİZLİLİK ve KVK Politikamız” başlıklı metin, söz konusu mevzuat düzenlemeleri çerçevesinde incelendiğinde;
Web sitesinin ilgili kişiler hakkında işlediği ad, soyadı, doğum tarihi, cep telefonu numarası, e-posta, cinsiyet, adres, sosyal medya hesaplarıyla bağlanılması durumunda üyenin o kanallar aracılığıyla paylaşılmasına onay verdiği bilgilerin, üyenin tüm alışveriş bilgilerinin, yani hangi üye işyeri, alışveriş noktası ve zamanı, ne kadar ödeme yaptığı, hangi kampanyadan faydalandığı, aldığı indirim tutarı, alışverişindeki ürün bilgileri, uygulama üzerindeki gezinme ve tıklama bilgilerinin, uygulamayı açtığı lokasyon bilgilerinin, “ilgili mevzuat”tan kaynaklanan yasal yükümlülük çerçevesinde mi yoksa ilgili kişilerin açık rızalarına istinaden mi işlendiğinin ya da söz konusu kişisel verilerin hangilerinin “ilgili mevzuat”tan kaynaklanan yasal yükümlülük çerçevesinde hangilerinin ise ilgili kişilerin açık rızalarına istinaden işlendiğinin açıkça belirtilmemiş olduğu,
İlgili kişilerin kişisel verilerin işlenmesinin hukuki sebebi olarak “ilgili mevzuattan kaynaklanan yasal yükümlülük”ten bahsedildikten sonra, aydınlatma metninin devamında, “… söz konusu amaç ve yasal yükümlülüklerini yerine getirebilmeyi sağlayacak kişisel verilerinizi … sizlerden talep etmektedir. Bu kişisel veriler veri sorumlusunun sunmuş olduğu hizmetlerden yararlanabilmeniz adına, açık rızanıza istinaden, … işlenecek ve saklanacaktır.” şeklinde bir bilgilendirmede bulunularak, kişisel veri işleme faaliyetinin asıl olarak ve yalnızca ilgili kişilerin açık rızalarına dayanılarak geçekleştirildiği izlenimine neden olunduğu,
Oysa kişisel veri işleme faaliyetinin, Kanunda bulunan açık rıza dışındaki şartlardan birine dayanıyorsa, bu durumda ilgili kişiden açık rıza alınmasına gerek bulunmadığı ve veri işleme faaliyetinin, açık rıza dışında bir dayanakla yürütülmesi mümkün iken açık rızaya dayandırılmasının, aldatıcı ve hakkın kötüye kullanımı niteliğinde olacağı; nitekim ilgili kişi tarafından verilen açık rızanın geri alınması halinde veri sorumlusunun diğer kişisel veri işleme şartlarından birine dayalı olarak veri işleme faaliyetini sürdürmesinin hukuka ve dürüstlük kurallarına aykırı işlem yapılması anlamına geleceği,
dikkate alındığında, bahse konu web adresi üzerinden erişim sağlanan “GİZLİLİK ve KVK Politikamız” başlıklı metnin, “Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ”e uygun düzenlenmediği, bu kapsamda söz konusu metnin Tebliğde yer verilen hükümler dikkate alınmak suretiyle güncellenmesi, ayrıca aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerektiği yönünde Şirketin talimatlandırılmasına karar verilmiştir.
Veri sorumluları, kişisel verileri işledikleri amaçlarla ve işleme süreçleriyle alakalı olarak envai çeşit politika metni hazırlayabilirler. Bu kapsamda en çok hazırlanan politika metinleri;
şeklinde uzayıp giden bir liste yapmamız mümkündür.
Ayrıca bu hususta Çerez Politikasına da değinmek gerekir. Çerez teknolojisi, kişisel verilerin toplanması ve işlenmesi hususunda çok sıklıkla kullanılır. Örneğin bu yazıyı okuduğunuz sayfada dahi çerezler bulunmaktadır. Peki nedir bu çerezler? Çerez kısaca, internet servislerinin kullanan cihazlara kullanıcıların belirli birtakım verilerini toplamak amacıyla yerleştirilirler. Çerezler metin belgesi formatında ve oldukça küçük boyutlara sahip olarak özgülendikleri amaca uygun olarak veri toplarlar. Bu veriler cihazınınız özellikleri, işletim sisteminiz gibi otomatik verilerden çerezin kullanıldığı internet sitesinden ne kadar süre harcadığınız, hangi sekmelere tıkladığınız gibi birçok bilgiyi içerebilir.
Eğer veri sorumluları, Çerez teknolojisini kullanarak veri ilgilisi kişilerin kişisel verilerini toplama eylemindeyseler bu konuyla alakalı da tıpkı yukarıda açıklandığı gibi Aydınlatma Yükümlülüğü kapsamında Aydınlatma Metni hazırlamaları gerektiği gibi Politika metinleri hazırlamaları da Kanun’a uyum kapsamında değerlendirilmelidir.
Kişisel Verileri Koruma Kurulu’nun son zamanlarda verdiği kararlar da göz önüne alınırsa ‘Kişisel Veri Serüveninde’ adım adım ancak hızlı bir şekilde ilerliyoruz. Veri sorumluları, Kurul’un özellikle yüksek tutarda verdiği cezalarda göz önünde bulundurulursa kişisel veri işleme süreçlerinde olabildiğince şeffaf ve Kanun-Kurul ikilisini göz ardı etmeden uyum süreçlerini yürütmelidir.
