İle Av. Alper Atmaca Kasım 21, 2018
Kurumlar, hukuki kişiler olmakla birlikte faaliyetleri çerçevesinde her zaman insanlarla temas halinde bulunuyorlar. Kurumların hafızası, kurumsal faaliyetlerde gerçek kişilerle ilişkili detayların da saklanmasını gerekli kılabiliyor. Bu bakımdan gerçek kişilerle ilgili, onlara ait veya taraflarından üretilmiş olmasa bile bir tür bilginin kaydedilmesi, yani kanuni tanımı ile işlenmesinin gerekliliği kimi zaman dile getirilmekle kanuni açıdan irdelenmesi gereken bir sorun olarak gündemde bulunuyor.
Söz konusu sorun, bir derneğin yılda bir yaptığı önemli ve pahalı bir etkinliği yönetmek konusundaki çabalarına dair hukuki danışmanlık talep etmesi ile ortaya çıktı. İncelemeye konu uygulama ile yıllık düzenlenen etkinliğe katılan kişilerin; etkinliğe katılım devamlılıkları, eğitimler kapsamında kendileri hakkında alınan notların kaydedilmesi, takip eden sene alınan kayıtlara bağlı olarak kaynak ve kontenjan açısından sınırlı eğitimin planlanmasında kullanılması hedeflenmekteydi. Kayıtlar kişilerin; isimleri, kimlik numaraları, iletişim bilgileri ile eğitim katılımı ve dersler dahilindeki katılım özelliklerini içeren notlardan oluşmaktaydı. Uygulamaya yönelik soru; rıza kapsamında işlenen bu verilerin sahibi olan ilgili kişinin, rızasını ileride geri alması ve işlenen verinin talep edilmesi durumunda nasıl davranılması gerektiğine ilişkin. Dernek kurumsal hafızası için eğitimlerine bedelsiz katılan kişileri hatırlamak istemekte ve bu durum hukuki bir çatışma doğurmaktaydı.
Kişisel Verinin Tanımlanması
Bir kurumun gerçek bir kişi hakkında ne kaydedebileceğinin ve hangi nitelikteki verilerin kişisel veri sayılacağının net bir cevabı olmasına rağmen hala uygulama alanında bir sorun karşılaşılmakta. Özel bir veri türü olarak kişisel verinin tanımının bu yazının cevaplamaya çalıştığı soru bakımından önemi elzemdir. Yerel hukukumuzda 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) kişisel veriyi “Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi…” şeklinde tanımamaktadır. Benzer ama daha kapsamlı şekilde Avrupa Birliği’nde uygulamada olan General Data Protection Regulation (GDPR) kişisel veriyi daha kapsamlı olarak şu şekilde tanımlamaktadır;
“personal data means any information relating to an indentified or indentifiable natural person (‘data subject’); an indentifiable natural person is one who can be indentified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person;…” | “Kişisel veri, belirli veya belirlenebilir gerçek kişi (“veri öznesi”) ile ilişkili her türlü bilgiyi ifade eder; belirlenebilir gerçek kişi, doğrudan veya dolaylı olarak, özellikle isim, bir tanımlayıcı sayı, konum bilgisi, çevrimiçi tanımlayıcı gibi bir veya birden fazla gerçek kişiye ait fiziksel, psikolojik, genetik, zihinsel, ekonomik, kültürel veya sosyal kimlik gibi unsura gönderme ile tanımlanabilecek kimseyi ifade eder.1 |
Her iki kanunun da belirgin bir şekilde tanımladığı üzere kişisel verinin, verinin içeriğinden bağımsız olarak bir gerçek kişi ile ilgili olması durumunda kişisel veri sayılacağıdır. Bu şekilde yoruma kapalı, belirgin bir ifade ile gerçek bir kişi ile ilişkilendirilmiş istisnasız her türlü bilginin kişisel veri sayılacağı hem kanunun lafzından hem de kanunun amacı bakımından kabul edilmelidir.
Kişisel Veri İşlemenin Hukuki Dayanaklarının Belirlenmesi
Gerçek kişilere ilişkin verilerin kaydedilmesinin ilgili mevzuat çerçevesinde kişisel veri işlenmesi olarak tanımlanması üzerine, ilgili kurumun veri sorumlusu olarak bu veriyi hangi dayanak üzerine işleyebileceği sorusunun cevaplanması gerekir. Hem KVKK hemde GDPR arasında hukuki yazım ve yorum bakımından farklılıklar olmasına rağmen yazının cevaplamak istediği sorunun kapsamında veri işleme dayanakları benzerdir. Bu bağlamda, KVKK 5. maddede ve GDPR 6. fıkrada kanuni işleme dayanaklarını şu şekilde tanımlamıştır;
|MADDE 5- (1) Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez.
(2) Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür:
a) Kanunlarda açıkça öngörülmesi.
b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.
e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
Article 6
Lawfulness of processing
Processing shall be lawful only if and to the extent that at least one of the following applies:
(a) the data subject has given consent to the processing of his or her personal data for one or more specific purposes;
(b) processing is necessary for the performance of a contract to which the data subject is party or in order to take steps at the request of the data subject prior to entering into a contract;
(c) processing is necessary for compliance with a legal obligation to which the controller is subject;
(d) processing is necessary in order to protect the vital interests of the data subject or of another natural person;
(e) processing is necessary for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller;
(f) processing is necessary for the purposes of the legitimate interests pursued by the controller or by a third party, except where such interests are overridden by the
interests or fundamental rights and freedoms of the data subject which require protection of personal data, in particular where the data subject is a child.
Point (f) of the first subparagraph shall not apply to processing carried out by public authorities in the performance of their tasks.|
Bir kurumun veri sorumlusu olarak, gerçek kişiler ile ilgili veri işleyebilmesi için bahsi geçen işleme şartlarından en az bir tanesinin mevcut ve uygulanabilir olması gerekmektedir. Bu bakımdan dikkat edilmesi gereken husus, açık rıza dışında kalan tüm işleme şartlarının kişiler arasındaki ilişkiye üçüncü bir etmenin hakim olduğu durumlardan oluşmasıdır. Bu durumların varlığında veri işlemek ilgili kişinin rızası dışında da mümkün olmakta ama dışsal etmenin varlığı ve hukuki geçerliliği önem kazanmakta.
İlgili Kişinin Haklarının Belirlenmesi
Verisi işlenen ilgili kişilerin kanun kapsamında belirlenmiş, veri sorumlusundan talep edilebilen hakları bulunmaktadır. Bu talepler KVKK 11. maddede belirtildiği üzere;
MADDE 11- (1) Herkes, veri sorumlusuna başvurarak kendisiyle ilgili;
a) Kişisel veri işlenip işlenmediğini öğrenme,
b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,12305
e) 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme,
haklarına sahiptir.
Tanımlanan bu haklar kapsamında ilgili kişi, veri sorumlusundan kendisi hakkındaki kişisel veriyi talep etme, silinmesini veya yok edilmesini isteme haklarına sahip. Bu bakımdan açık rıza dışındaki bir dayanak ile veri işleniyor olsa dahi kişisel veriyi öğrenme ve aleyhe çıkan sonuçlara itiraz etme talebi koşulsuz kullanılabiliyor.
Konu Olayın Gereklilikleri ve Kanuni İmkanlar
Çözümlenen sorun kapsamında kurum ile kişi arasındaki eğitim faaliyeti, aralarında yapılan sözleşme dahilinde sürmekte ve bu süreçte sözleşmenin ifası kapsamında gerekli olan veriler işlenmektedir. Sözleşmenin eğitim programının bitimi ile sonlanması ertesi devam eden bir sözleşmeden bahsedilemeyeceği üzere kişisel verinin işleme şartı, açık rızanın da yokluğunda kendiliğinden ortadan kalkmaktadır. Bu noktada yapılması gereken ilgili kişiye ilişkin tüm kişisel verinin yok edilmesi veya anonim hale getirilmesidir.
Kurumun arzusu ise düzenlediği eğitime katılan insanların kim olduklarını hatırlamak, ücretsiz verilen eğitimde elde bulunan kaynağı kişilerin ilgisine göre doğru yönetebilmek ve eğitimlerden daha önce yararlanmamış kişilere gelecekteki eğitimlerde öncelikli olarak imkan sağlayabilmektir. Bu amaçla kişilere ilişkin verilerin işlenmesi istenmektedir.
Bu bakımdan sözleşme ilişkisinin ertesinde ilgili kişinin açık rızasını KVKK 11. madde kapsamında geri alması ve kendisine ait kişisel verinin yok edilmesini istemesi durumunda Kurumun eğitim hakkında kişi ile ilgili bilgisini kaybedeceği kesindir. Kurumun elde etmek istediği sonucun elde edilebilmesi için hukuk çerçevesinde;
- Eğitime katılan kişileri tanımlayan, ad, soyad veya kimlik numarası gibi bir tanımlayıcının kaydedilmesi,
- Katılan kişilerin tanımlayıcısına ilişik olarak eğitim süresince elde edilen, katılım devamlılığı ve eğitmenlerin notlarının tutulması, gerekmektedir.
Sözleşme ilişkisinin sonlandığı durumda kişisel verinin işlenmesine ihtiyaç duyulduğunda kurumun eğitimine katılan kişilerin kişisel verisini işleyebilmek adına dayanak olarak kullanabileceği; ilgili kişinin rızası ve meşru menfaat hükümlerinden başka bir imkan kalmamaktadır. Açık rıza, geri alınabilir bir işleme şartı olmakla birlikte Kurum hafızasının istikrarı için uygun olmamakla geriye meşru menfaat şartı değerlendirilebilir kalmaktadır.
Meşru Menfaat Kavramının İncelenmesi
KVKK 5/2-f bendi uyarınca meşru menfaat sözleşme ertesi işleme şartı olarak kullanılması elverişli ve en uygun dayanak olarak görülmüştür. Meşru menfaat kavramının kanunca kişi hak ve özgürlükleri ile sınırlandırılması, iki çatışan menfaatin dengesinin bu dayanağın kullanımının uygunluğu açısından elzem olduğunu göstermektedir. Söz konusu menfaat çatışmasının nesnel bir ölçütü olmadığı ve var olan uygulama bakımından yeterli içtihadın oluşmadığı göz önüne alındığında yerel ve yabancı koruma kurullarının bu konudaki görüşlerine başvurulması gereklidir.
Kişisel Verileri Koruma Kurulunun yayınladığı “Kişisel Verileri İşleme Şartları” rehberinde meşru menfaat kapsamında şu somut örnekler verilmiştir;
“Çalışan bağlılığını artıran ödül ve prim uygulanması amacıyla veri işlenmesi.2”
“…bir şirket sahibinin, çalışanlarının temel hak ve özgürlüklerine zarar vermemek kaydıyla, onların terfileri, maaş zamları yahut sosyal haklarının düzenlenmesinde ya da işletmenin yeniden yapılandırılması sürecinde görev ve rol dağılımında esas alınmak üzere çalışanların kişisel verilerinin işlenmesi…3”
Benzer şekilde rehberin açıklamaların genelinden şu şartların meşru menfaat kapsamında kişisel veri işlenmesi için gerekli olduğu belirlenebilir;
- Veri sorumlusunun meşru menfaatinin belirgin şekilde ilgili kişinin hak ve menfaatinden önemli olması,
- Veri sorumlusunun gerçekleştirdiği güncel işlemlere ilişkili ve ona yakın gelecekte fayda sağlayacak bir işlem olması,
- Meşru menfaatinin Kanunun amacı ve ruhuna uygun olarak yorumlanması,
- Veri sorumlusunun meşru menfaatinin ciddi, önemli ve hali hazırda mevcut olması,
Avrupa Birliği çevresinde uygulanması bakımından GDPR 6/2-f fıkrasında belirtilen meşru menfaat (“legitimate interest”) kavramının kapsamının daha dar çizildiği ve uygulanmasına yerel hukukumuza nazaran ilgili kişi tarafından beklenebilirlik kavramını eklediği söylenebilir. Bu kapsamda Kanunun 47. gerekçesinin belirttiği üzere;
-
Kişisel veri işlenmesinin, ilgili kişinin veri sorumlusu ile ilişkisinin niteliğinden makul şekilde beklenebilir olması,
-
Meşru menfaatin tespiti için ilgili kişice, kişisel verinin işlendiği ve toplandığı zaman ve bağlamda, işleme amacının makul şekilde beklenebilir olması,
gereklidir.
Birleşik Krallık Information Commissioner’s Office’in Mart 2017 tarihli “GDPR consent guidance”4 rehberi uyarınca Kişisel Verileri Koruma Kurulunun da belirttiği üzere başkaca bir hukuki işleme şartının bulunduğu bir koşulda açık rızaya başvurulmasının sorun teşkil ettiği ve bu durumun meşru menfaat kavramı gibi geniş yoruma açık bir şart için özellikle önemli olduğudur. Kurulun bu konudaki yaklaşımını Kişisel Verileri Koruma Kurulu da taşımakla gerekçe temelde ilgili kişiden başkaca işleme şartı varken rıza almanın ilgili kişide rızasına bağlı bir işlem yapıldığı ve gerektiğinde bunu geri alabileceği izlenimini yaratmasıdır. Bu bakımdan açık rızaya dayalı bir kişisel veri işleme yapıldığında rızanın geri alınmasının ardından meşru menfaat gerekçesine dayanılması yanıltıcı bir durum ortaya çıkaracaktır. Bu bağlamda meşru menfaat kavramının öncelikli olarak kullanılması gerek görülmektedir.
Hem KVKK hem de GDPR kapsamında tanımlanan meşru menfaat kavramının ortak en önemli özelliği ise kişisel veri işlemenin, meşru menfaatin elde edilmesi için zorunlu olmasıdır. Bir başka deyiş ile şayet; meşru menfaatin sağlanabilmesi için kişisel veri işlemekten başka bir yol mevcut ise meşru menfaate dayalı olarak kişisel verinin işlenemeyecek olmasıdır.
Soruna İlişkin Sunulan Somut Çözüm
Meşru menfaat kapsamında işlenmesi uygun görülen tek veri kişinin kimlik numarası olarak belirlenmiştir. Bu veri kurum sistemlerinde sha256 gibi güvenli kriptografik özüt fonksiyonu ile Rainbow tablosu eşleştirmelerine karşı kurumca belirlenmiş rastgele veri ile dolgu (padding/salt) uygulanarak saklanması uygun görülmüştür. Bu şekilde kurum kendi elindeki ilgili kişilere ilişkin veriyi yarı anonim hale getirmiş olmakla bir kişi kendisine başvurup kimlik numarasını verinceye kadar özellikle işlem gücüne dayalı çaba harcamadığı sürece listedeki kişilerin kim olduğunu bilemeyecektir.
Bu teknik yaklaşımın iki hukuki sonucu bulunmaktadır. Öncelikle, verinin korunması için gerekli teknik ve idari tedbirler çerçevesinde işlenen verinin güvenliğinin sağlanması amaçlanmıştır. Bu bakımdan ilgili veri tabanının uygun bir algoritma ile tekrar şifrelenerek saklanması durumunda günün teknik öngörüleri ile alınabilecek tüm tedbirlerin alındığı söylenebilecektir.
İkincil olarak; meşru menfaat kavramının yorumunun tehlike içermesi, bu tehlikenin kaydedilen kişisel verinin ilgili kişinin hakları ile kurumun meşru menfaati arasındaki dengenin doğru tespit edilememesi ihtimalinden kaynaklanmasıdır. Bu durumda en doğru yaklaşım meşru görülen menfaatin kişi hak ve özgürlüklerine olan dengesinin sağlanabilmesi için gereken en az miktardaki verinin işlenmesidir. Örneğimizde kurumun tek arzusunun kişileri hatırlamak ve eski ilişkilerine dair izlenimleri gelecek eğitimlerde sahip olabilme arzusu olduğundan, özüt değeri çıkarılmış kimlik verileri yeni başvuran bir kişinin daha önce kurum ile ilişkisini belirlemenin en mahrem yolu sayılabilir.
Mahremiyet ile birlikte Kurum hafızasının korunmasının asıl imkanını ise rıza kapsamında işlenen diğer kişisel verilerin kriptografik olarak imzalanmış yani değiştirilemez bir kopyasının talep halinde ilgili kişiye ileride geri verilmek üzere teslim edilebilmesi. Bu sayede ilgili kişi kendisine ilişkin verinin silinmesini talep ettiğinde bu verinin geleceğinin korunması mümkün olabilmekte. Kişi kendisine teslim edilen imzalanmış kişisel verisini kendisi saklayarak, kuruma bu konuda güven duymak zorunda kalmadığı gibi kurum da ileride bir kişi eğitim başvurusunda bulunduğunda bu kişinin daha önce eğitim almış biri olduğunu ve kendisi ile ilgili kayıtların kişiye iletildiğini tespit edebilmekte. Teslim edilen kayıtları geri isteme imkanı yaratılarak, en az veri kaydı ile amaca ulaşılmasına ve iki tarafın da haklarını tam olarak kanunun ruhuna uygun şekilde sağlanmasına imkan tanınmış oluyor.
Sonuç
Kişisel veri işlemek genel olarak dünyada zorlaştığı gibi Türkiye’de de üzerine çokça düşünülerek hareket edilmesi gereken bir konu. Bu zorlukların toplumsal bir yararı korudukları ve bu sebeple uygulamasında özen gösterilmesi gerektiği söylenebilir. Özellikle kanuni zorunlulukların dışında veri işlenmesi gerekli olduğunda bu özenin daha da dikkatli gösterilmesi gerektiği belirgin olarak görülebilir. Kurum hafızası sağlanabilmesi için hukuki ve teknik tedbirlerin bir arada ve anlamsal bütünlük içinde kullanılarak belirli bir sorun kapsamında değerlendirilmesi sonucu elde edilmiştir. Bu anlamda söylenmesi gereken her olayın özgün olduğu ve bunun detaylı inceleme ile hukuki yorumlama gerektirdiğidir.
Meşru menfaat kavramının geniş yorumlanmaya açık ve çoğunlukla genel hüküm olarak algılanması yanlışının, uygulamanın olaya özgü olduğu gerçeğini gölgelemesine imkan verilmemelidir. Veri yönetimi ve KVKK’nın kişilere verdiği hakların korunması akışkan bir nitelik göstermekte. Bir kurumun gerçek kişilerle olan ilişkisinin kayıtlarını tutmak için doğru kararı almak sadece kanuni bir geçerlilik kazanma çabasının haricinde gerçekten ilgili kişinin bu konuda korunmasını da gerektirmekte. Kurumsal hafıza açısından kullanılabilir bulduğumuz meşru menfaat kavramının olaya özgü uygulamamız ile sadece menfaatin meşruluğuna değil aynı zamanda kişilerin hakkının korunmasının da uygulama yönünden de meşruluk göstermesi gerekliliği gösterilmek istenmiş ve gelecekte hükmün uygulanmasına ışık tutması arzu edilmiştir.
-
Metin aslı İngilizce olup, çeviri tarafımızdan kolaylık amacı ile yapılmıştır. Metnin aslı esas alınmalıdır. ↩︎
-
Kişisel Verileri Koruma Kurulu, Kişisel Verileri İşleme Şartı Rehberi sayfa 5 https://kvkk.gov.tr/SharedFolderServer/CMSFiles/8c90423f-97ea-4d81-a7c1-ace74295c2b8.pdf ↩︎
-
Kişisel Verileri Koruma Kurulu, Kişisel Verileri İşleme Şartı Rehberi sayfa 13 https://kvkk.gov.tr/SharedFolderServer/CMSFiles/8c90423f-97ea-4d81-a7c1-ace74295c2b8.pdf ↩︎
-
https://ico.org.uk/media/about-the-ico/consultations/2013551/draft-gdpr-consent-guidance-for-consultation-201703.pdf ↩︎