Kişisel verileri tarama yazılımlarına ilişkin KVKK ilke kararı üzerine eleştiri ve öneriler…

Kişisel Verileri Koruma Kurulu, geçtiğimiz günlerde önemli bir konuda bir ilke kararı yayımladı. Bu karar, avukatlar, finans kuruluşları, gayrimenkul danışmanlık şirketleri, sigorta şirketleri dahil olmak üzere çeşitli sektörlerde faaliyet gösteren kişi ve kuruluşların kullandığı kişisel veri sorgulama yazılımlarına ilişkindi.

Türkiye’de kişilerin birçok kişisel verisini bir veritabanı olarak içeren ve bu veritabanı üzerinde tarama imkanı sağlayan yazılım ve uygulamaların özellikle icra takibi yoğunluklu çalışan birçok avukat, faktöring şirketi, banka ve finans kuruluşu, sigorta şirketleri, emlak danışmanlık şirketleri ve bunların takip işlerini yürüten kişi ve kuruluşlar tarafından öteden beri kullanılageldiği bir sır değildi.

Söz konusu karar ile, bahsi geçen yazılımları kullandığı tespit edilenler hakkında cezai yaptırım ve idari yaptırım süreçlerinin işletileceğine ilişkin bir “ilke kararı” alınmış oldu. Kararın tam metnini bu yazının sonunda bulabilirsiniz.

Öncelikle vurgulamalıyım ki sayılan meslek grupları arasında avukatların yer almasından bir avukat olarak üzüntü ve mahcubiyet duyuyorum.

Alınan bu ilke kararı kağıt üzerinde olumlu bir adım olmakla birlikte, kişisel verilerin korunmasının yalnızca mevzuat çıkarmak veya karar alıp yayımlamak ile sağlanamayacağı açıktır. Bu mevzuat ve kararların anlam kazanabilmesi için etkili denetim ve yaptırım süreçlerinin işletilmesi bir zorunluluktur.

Denetim süreçleri, somut olaylar üzerinden hareket edilerek, mağdurların şikayeti üzerine işletilmelidir. Örneğin, bir kişinin telefonla aranarak kardeşinin borcu için rahatsız edildiğini düşünelim. Bu olayda kardeşinin telefonuna ulaşılması da, o kişinin kardeşinin kim olduğunun öğrenilmesi de kişisel veri hukuku ihlalidir (bu olayda borçlar hukuku ve medeni hukuk anlamında doğan sonuçlardan da söz edilebilir ancak bunlar bu yazımızın konusu değil). Bu telefon araması üzerine hem borçlu kişi, hem de aranan kişi (kardeşi), gerek telefon aramasını gerçekleştirenler, gerekse alacaklı hakkında şikayette bulunabilmelidir. Şikayet usulü olabildiğince kolaylaştırılmalı, delil toplama görevi idari kurumlar arasında işbirliğiyle yürütülmeli, delil toplama külfeti şikayet edenlere yüklenmemelidir.

Bu gibi şikayetler üzerine ihlalde bulunduğundan şüphenilen kişi veya kuruluş üzerinde etkili bir denetim süreci hızla işletilmeli, bu denetimlerin ve yaptırımların istatistikî sonuçları ilan edilerek bu konuda toplumdaki bilinç ve güven güçlendirilmelidir.

Etkili denetim ve yaptırımlarla desteklenmeyen mevzuat ve kararlar fiilen hiçbir somut yarar sağlayamayacaktır.


18 Ekim 2019 tarihli ve 2019/308 sayılı bu ilke kararının metni:

Kişisel Verileri Koruma Kurumuna intikal eden ihbarlar kapsamında avukatlar/hukuk büroları ile finans, gayrimenkul danışmanlık, sigorta vb. sektörlerde faaliyet gösteren bazı kişi ve kuruluşlar tarafından muhtelif yollarla elde edilen veriler üzerinden vatandaşların kimlik ve iletişim bilgileri gibi kişisel verilerinin sorgulanmasına imkân tanıyan yazılım/program/uygulamaların kullanılmakta olduğu tespit edilmiştir. Yapılan değerlendirme sonucunda bu durumun, 6698 sayılı Kişisel Verilerin Korunması Kanununun veri sorumlularının veri güvenliğine ilişkin yükümlülüklerini düzenleyen 12 nci maddesi hükümlerine aykırılık oluşturduğu dikkate alınarak, yaşanabilecek veri güvenliği ihlallerinin önüne geçilmesini teminen;

– Bu mahiyetteki yazılımları/programları/uygulamaları kullandığı tespit edilenler hakkında Türk Ceza Kanunu kapsamında gerekli adli işlemlerin tesisi için konunun, 5271 sayılı Ceza Muhakemesi Kanununun 158 inci maddesi hükmü uyarınca ihbaren ilgili Cumhuriyet Başsavcılıklarına bildirileceği,

– Kişisel Verileri Koruma Kurulunun görev alanına giren yönüyle de veri sorumluları hakkında 6698 sayılı Kişisel Verilerin Korunması Kanununun 18 inci maddesi hükmü çerçevesinde idari işlem tesis edileceği hususlarında kamuoyunun bilgilendirilmesine,

– 6698 sayılı Kişisel Verilerin Korunması Kanununun 15 inci maddesinin altıncı fıkrası hükmü uyarınca alınan bu ilke kararının Resmi Gazete ile Kurumun internet sitesinde yayımlanmasına

oybirliği ile karar verilmiştir.

Av. Ertuğrul Harman
Sözleşme hukuku, bilişim hukuku, ticaret hukuku, fikri mülkiyet hukuku, uluslararası özel hukuk ve sigorta hukuku ağırlıklı çalışan bir avukat (LLM Exeter), yazılım geliştirici (Sayıbul, Masterlist), doktora adayı, blog yazarı (ertugrulharman.com). İngilizce (KPDS 96) ve Almanca (B2) biliyor. Türkiye ve ABD'de faaliyet gösteriyor.
TurkeyUSA