Kişisel veri, Kişisel Verilerin Korunması Kanunu kapsamında (“Kanun”), “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi” ifade ederken kişisel verilerin işlenmesi ise, “kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi” ifade etmektedir. Kanun kapsamında yalnızca gerçek kişilerin verileri korunmaktadır. Bu nedenle, Kanunda kişisel verisi işlenen gerçek kişiyi ifade etmek için “ilgili kişi” ifadesi kullanılmıştır. Korunması gereken kişi, düzenlemenin tanımlar kısmında açıkça belirtildiği üzere “gerçek kişi”dir. Kanunda yer alan kişisel verinin tanımı gereği, tüzel kişiye ait bir verinin herhangi bir gerçek kişiyi belirlemesi ya da belirlenebilir kılması halinde, bu veriler de Kanun kapsamında koruma altındadır. Ancak burada korunan menfaat tüzel kişiye değil, düzenlemenin temellendirdiği öncelik gereği belirlenen ya da belirlenebilecek gerçek kişiye ait olacaktır.
Yargıtay Hukuk Genel Kurulu’nun 17.06.2015 tarih ve E. 2014/ 56, K. 2015/ 1679 sayılı kararında da kişisel verinin sayısal olarak sınırlandırılmasının mümkün olmadığına, bireyin kimliğini ortaya çıkartan, bir kişiyi belirli kılan ve karakterize eden kişinin kimlik, ekonomik ve dijital bilgileri, tabiiyeti, kanaatleri, ırk, siyasî düşünce, felsefî inanç, din, mezhep veya diğer inançları, dernek, vakıf ve sendika üyeliği, sağlık bilgileri, fotoğrafları, parmak izi, sağlık verileri, telefon mesajları, telefon rehberi, sosyal paylaşım sitelerinde yazdığı veya paylaştığı yazı, fotoğraf, ses veya görüntü kayıtlarının kişisel veriler olarak kabul edilebileceğine hükmetmektedir (Akkurt, 2016). Yargıtay, kişisel veriyi bu şekilde belirledikten sonra kişisel verilerin korunmasını, AİHM ile uyumlu biçimde AİHS’nin 8. maddesinde yer alan “Özel ve Aile Hayatına Saygı Hakkı” altında korunan “Mahremiyet Hakkı”nın bir parçası olarak görmüştür. Bunun sonucunda da bireyin kendisi hakkındaki bilgileri kontrol edebilmesi, bilgilerin kaydedilememesi, rızası olmadan açıklanamaması ve yayılamaması şeklindeki hukuki çıkarlarını da içerdiğini ifade etmektedir. Dolayısıyla kişisel veri ihlali doğrudan hak ihlali yaratan bir hukuka aykırılık olarak kendini göstermektedir.
Kişisel Veriler ve Üretken Tüketici “Prosumer” Kavramı Kişisel veriler, gelişen internet teknolojileri sonucu, ticari işletmeler tarafından da yoğun bir şekilde kullanılmaya başlanmıştır. Ticari işletmelerin kişisel verileri kullanma amaçlarından biri, tüketicilerin davranışlarını özellikle internet ortamında gözlemleyerek kişiye özel reklamlar sunabilmektir. Kişiye özel reklam gönderme uygulaması ile birlikte kişisel verilerin işlenmesine dayalı yeni iş modelleri yaygınlaşmıştır. Bu iş modellerine sahip işletmeler, sundukları hizmetler karşılığında belirli bir ücret değil, kullanıcılarının kişisel verilerini talep etmektedirler. Daha sonra bu işletmeler, elde ettikleri kişisel verileri anlamlı veriler haline getirerek reklam amaçlı kullanmaktadırlar. Söz konusu bu işletmelerin sundukları hizmetleri kullanan kişiler, “üreten tüketiciler” (prosumer) şeklinde nitelendirilmektedirler. Zira bu kişiler, kendilerine sunulan hizmetleri kullandıkları için hem tüketici hem de kişisel verilerini paylaştıkları için bu işletmelerin sundukları hizmetin hammaddesini oluşturan verinin de üreticisi sıfatına sahip olmaktadırlar.
Söz konusu işletmelerin olabildiğince fazla kullanıcının kişisel verisini elde etmeleri, bu verileri mümkün olan en fazla çeşitte işlemeleri ve analizlerini yapmaları, ticari faaliyetlerini devam ettirebilmek ve kazançlarını artırmak açısından bir gerekliliktir. Buna karşın bu hizmetlerden faydalanan kişiler ise kişisel verilerinin ve mahremiyetlerinin azami ölçüde korunmasını istemektedirler. Bu da her iki tarafın menfaatlerinin çatışmasına sebep olmaktadır. Kişisel verilerin reklam amaçlı işlenmesi, kişisel verilerin korunması hukuku alanında birçok tartışmayı beraberinde getirmektedir. Bu hususta KVKK’nın 2023 yılının ilk yarısında kendi sayfasında emsal karar olarak yayımladığı ‘’İlgili Kişinin Kişisel Verisi Niteliğindeki E-Posta Adresinin Reklam Amaçlı İleti Gönderilmesi Suretiyle İşlenmesi” hakkında Kişisel Verileri Koruma Kurulunun 07/10/2022 tarihli ve 2022/1072 sayılı Karar’ına değinmek yerinde olacaktır.
Söz konusu kararda; ilgili kişinin Kuruma intikal eden şikayetinde, ilaç sektöründe faaliyet gösteren bir şirketin çalışanı olduğu iddia edilen bir şahıstan e-posta aldığı, e-posta adresinin nasıl elde edildiğine ilişkin veri sorumluna başvurarak e-posta adresinin ecza depoları vasıtasıyla paylaşıldığı bilgisini edindiği ifade edilerek 6698 sayılı Kanun kapsamında gereğinin yapılması talep edilmiştir. Bu talebin sonucunda Kurum; veri sorumlusu tarafından reklam ve pazarlama amaçlı, izinsiz ticari elektronik ileti gönderilmesi suretiyle ilgili kişinin kişisel verisi niteliğinde olan e-posta adresinin işlenmesinde Kanun’un “Kişisel Verilerin İşlenme Şartları” başlıklı 5. maddesinde öngörülen kişisel veri işleme şartlarının bulunmadığı ve bu kapsamda veri sorumlusunun Kanun’un 12. maddesinin (1) numaralı fıkrasının (a) bendi kapsamında kişisel verilerin hukuka aykırı işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığı kanaatine varılması nedeniyle Kanun’un 18. maddesinin (1) numaralı fıkrasının (b) bendine istinaden veri sorumlusu hakkında 50.000 TL idari para cezası uygulanmasına karar verilmiştir.
İlgili karar sonucundan da anlaşılacağı üzere kişisel verilerin korunması hususu her geçen gün daha da önemli bir hale gelmektedir. Bu noktada kişisel verilerin hangi şartlar dahilinde işlenebileceği önem kazanmaktadır. "Veri sorumluları ve veri işleyenler tarafından ilgili kişilerin e-posta adreslerine veya SMS ya da çağrı ile cep telefonlarına reklam bildirimleri/aramaları yönlendirilmesinin önüne geçilmesi " ile ilgili Kişisel Verileri Koruma Kurulunun 16/10/2018 Tarihli ve 2018/119 Sayılı İlke Kararı da bu konuda alınan önemli kararlardandır. Bu kararda: İlgili kişilerin rızalarını almadan veya Kanunun 5 inci maddesinin (2) numaralı fıkrasında hüküm altına alınan işleme şartlarını sağlamadan, telefon numaralarına SMS göndermek, arama yapmak veya e-posta adreslerine posta göndermek suretiyle reklam içerikli ileti yönlendiren veri sorumluları ile veri sorumluları adına reklam içerikli mesaj/e-posta göndermek veya arama yapmak amacıyla ilgili kişilerin açık rızaları bulunmaksızın bu verileri kullanan veri işleyenlerin söz konusu veri işleme faaliyetlerini Kanunun 15 inci maddesinin (7) numaralı fıkrası uyarınca derhal durdurması gerektiği ve 5237 sayılı Türk Ceza Kanununun “Verileri Hukuka Aykırı Olarak Verme veya Ele Geçirme” başlıklı 136. maddesi çerçevesinde ilgili veri sorumluları hakkında gerekli hukuki işlemlerin tesisi için konunun 5271 sayılı Ceza Muhakemesi Kanununun 158 inci maddesi uyarınca ilgili Cumhuriyet Başsavcılığına bildirileceği hususları yer almıştır.
Kişisel veriler istisnai haller yoksa ancak ilgili kişinin açık rızası ile işlenebilir. Kişisel verilerin sahibi olan ilgili kişinin verilerinin işlenmesine; özgürce, konuyla ilgili yeterli bilgiye sahip olarak, açık bir şekilde ve sadece o işlemle sınırlı olarak verdiği beyandır. Belirtmek gerekir ki verilen açık rıza geri alınabilir. Bu geri almadan sonra veri işlemenin durdurulması ve verilerin anonimleştirilmesi, yok edilmesi veya imha edilmesi gerekmektedir. Uygulamada yaşanan uyuşmazlıkların büyük bir çoğunluğu ilgili kişinin açık rızasını çekmesine rağmen kişisel verilerinin ticari şirketler tarafından kullanılmaya devam etmesinden kaynaklanmaktadır.
Comments