OCAK 2022
Kişisel veri kavramı internet ve teknolojinin hızla geliştiği ve büyüdüğü dünyamızda oldukça önemli bir noktaya gelmiştir. Kişisel verilerin korunması ise işlenen verilerin ilgili şahısların özel hayatlarına, kişilik haklarına vb. nedenlere dayanmasından dolayı özenli ve detaylı bir şekilde hukuken korunması oldukça önemlidir. Dünyada ve ülkemizde bu alanda ocak ayı içerisinde olan gelişmeleri aşağıda kısaca açıklamış bulunmaktayız.
ELEKTRONİK HABERLEŞME SEKTÖRÜNDE YAPILAN DEĞİŞİKLİKLER
18 Ocak tarihinde Bilişim Teknolojileri ve İletişim Kurumu (“BTK”) tarafından 31723 sayılı Resmî Gazete ile Elektronik Haberleşme Sektörüne İlişkin Tüketici Hakları Yönetmelik’inde (“Yönetmelik”) bazı değişiklikler getirilmiştir. Kişisel verilerin korunmasına ilişkin 4. Madde şu şekildedir;
- “Abonelik sözleşmesinin kurulması için gerekli kimlik belgesi veya muadili belgelerin aslının ibrazı istenir. Abonelik sözleşmesi kurulurken, işletmeci abonelik sözleşmesinin yanında; gerekli kimlik belgesi veya muadili belgelerin örneğini almakla yükümlüdür. İşletmeci tarafından bu belgenin örneği, asılları üzerinden ve yalnızca uygun elektronik ortama aktarım şekli ile alınır.”
Bu madde ile başvuru sahibinin kimliğinin doğrulanması sürecinde kullanılan Türkiye Cumhuriyeti Kimlik Kartı (çipli) veya Pasaport (çipli) belgelerin fotokopisi alınmayarak başka şahıslara ait kimlik kartları kullanılarak yapılan usulsüz işlemlerin önüne geçilmesi amaçlanmaktadır.
ALMAN MAHKEMESİNİN İHTİYATİ TEDBİR KARARI
Aralık 2021 döneminin ilk günlerinde, Wiesbaden İdare Mahkemesi (“Mahkeme”), 26 Aralık 20221 tarihinde yayınlandığı üzere uluslararası veri aktarımlarına ilişkin dikkat çekici bir ihtiyati tedbir kararı verdi.
Bir kullanıcı tarafından mahkemeye yapılan, Rhein-Main Üniversitesi’nin sitesinde kullanıcıların çerez tercihlerini saklamak için Danimarka kökenli Cybot (“COOKIEBOT”) çerez izinleri yönetim platformunun kullanılması ancak söz konusu firmanın bulut (barındırma) sağlayıcısının Amerika Birleşik Devletleri (“ABD”) merkezli Akamai Tech. Inc. (“AKAMAI”) şirketi olması, bunun da firma tarafından elde edilen verilerin aynı zamanda Akamai firmasına aktarıldığı iddiası üzerine;
Mahkeme, Cookiebot firmasının, her bir kullanıcı için “IP adresi” ve “’Çerez anahtarı” gibi verilerin işlediğini, tam IP adresinin ve çerez anahtarlarının GDPR kapsamında kişisel veri olmasından dolayı bilgilerin ABD merkezli Akamai şirketine aktarılmasının üçüncü bir ülkeye yasadışı veri aktarımı oluşturduğu, ziyaretçilere verilerin ABD’ye aktarıldığına dair bir açıklama sunulmadığı ve rızalarının alınmadığını, bunun sonucunda da kişisel verilerin yasal olarak işlenmesi hakkının ihlali olduğunu, bu sebeple bu çerez yönetim hizmetinin kullanılmasının mahkemenin kesin kararına kadar kullanılmasına ilişkin ihtiyati tedbir kararı vermiştir.
Mahkemenin verdiği karar ihtiyati tedbir kararı olduğundan davalı tarafın itiraz hakkı bulunmaktadır. Karar kesinlik arz etmese de üçüncü ülkelerle iş birliği içerisinde olan çoğu çerez hizmet sağlayıcısı ve internet erişim şirketleri açısından veri işleme sözleşmeleri ve taraflar arası kişisel verilere ilişkin yapılan sözleşmelerin belgelenmesinin, sonuçlandırılmasının ve imzalanmasının dikkatli ve özenli bir şekilde yapılması gerekliliğini ilgilendiren önemli bir karardır.
KİŞİSEL VERİLERi KORUMA KURUlU İLKE KARARI
20 Ocak 2022 tarihli 31725 sayılı Resmî Gazete’de, araç kiralama sektöründe kullanılan “kara liste” uygulamaları hakkında, Kişisel Verilerin Korunması Kanunu’na (“KVKK”) aykırılık olduğuna dair karar yayımlanmıştır.
Kara Liste; araç kiralama sektöründe faaliyet gösteren firma veya şahısların, müşterilerin sözleşmeler vasıtası ile alınan kişisel verilerini ve söz konusu sözleşme ilişkisi içerisinde yaşanan olumlu veya olumsuz durumları ve müşteriler hakkındaki şahsi değerlendirmelerini farklı uygulama ve yazılımlar yolu ile işlemesinden ortaya çıkan bir uygulamadır.
Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından gelen ihbarlar kapsamında KVKK madde 15 çerçevesindeki incelemelerde;
- Araç kiralayan şahısların, müşterisi olduğu araç kiralama firmaları ve gerçek kişilerine sözleşme kapsamında verdiği kişisel verilerin ve araç kiralama sürecinde yaşanan olumlu veya olumsuz hakkında yapılan değerlendirmelerin kara liste özelliği içeren yazılımlara işlendiği ve bu yazılımlar aracılığıyla da diğer araç kiralama firmalarına söz konusu verilerin aktarıldığı konusunda bilgi sahibi olmadığı anlaşılmıştır.
Kurul tarafından bahse konu olayda bulunan olgular hakkında;
KVKK 3. Maddesince araç kiralama firmalarının ve gerçek kişilerinin, müşterilerin kişisel verilerini elde bulundurdukları sebebi ile ‘’veri sorumlusu’’ sayıldıklarına, ayrıca ‘’kara liste’’ özelliğini sağlayan yazılımlar ile söz konusu veri akışının sağlanması nedeni ile de yazılım şirketlerinin ‘’ortak veri sorumlusu’’ olduğuna,
Araç kiralama sektöründe kullanılan kara liste uygulamasının, Kanun’un 4. Maddesinde bulunan genel ilkelere, 5. Maddesinde bulunan kişisel verilerin işlenme şartlarına ve kanunun 8. Maddesinde bulunan veri aktarımına ilişkin düzenlemelere aykırı olarak araç kiralama sektöründe kişisel verilerin işlendiği ve veri aktarımı yapıldığına,
Söz konusu hukuka aykırılığın son bulması adına Kanun’un 12. Maddesinde düzenlenen veri güvenliğine ilişkin yükümlülüklerin veri sorumluları tarafından yerine getirilmesine karar vermiştir. Kurul Kararı “İlke Karar” özelliği taşımaktadır. Bu sebeple KVKK temel kurallarına aykırılığa ilişkin düzenlenmiş kararın, araç kiralama sektöründe faaliyet gösteren veri sorumluları tarafından ivedilikle yerine getirilmesi önem arz etmektedir. Yaşanan temel kurallara aykırılık, kişisel verilerin korunmasının detaylı olarak düzenlenmesinin ve denetim mekanizmasının düzenli şekilde işlemesinin gerekliliğini açık bir şekilde göstermiştir.
UYAP SORGULAMASI
22 Ocak tarihinde yürürlüğe giren Mal, Hak veya Alacağın Ulusal Yargı Ağı Bilişim Sistemi Üzerinden Sorgulanması Hakkında Yönetmelik (“Yönetmelik”), 2004 sayılı İcra ve İflas Kanunu’nun 8. ve 78. Maddeleri uyarınca Ulusal Yargı Ağı Bilişim Sistemi (“UYAP”) üzerinden borçlunun mal, hak veya alacağının alacaklı tarafından sorgulanmasına ilişkin hususlar hakkında detaylı düzenlemeler içermektedir. Bu Yönetmelik özellikle Kişisel Verilerin Korunması Kanunu (“KVKK”) ile uyumluluğu açısından önem arz etmektedir.
İlk maddelere bakıldığında; işlenecek verilerin nelerden oluştuğu, hangi amaç için işlendiği ve kullanılması öngörülen alanın içerisinde sınırlı olduğu düzenlemiş ve bu maddeler ile Kişisel Verilerin Korunması Kanunu’nun 4. Maddesi kişisel verilerin işlenmesine ait genel ilkelere uygun bir çerçeve çizilmiştir.
Bu Yönetmelik’in ayrı bir düzenleme olarak çıkarılmasındaki diğer önemli detay ise; KVKK 5. maddesinin ilk fıkrası gereği kişisel verilerin, işlenmesi ve veri aktarımının ancak kişinin açık rızası ile mümkün olacağı hükmüdür. Söz konusu sorgulamanın böyle bir Yönetmelik ile düzenlenmemesi düşünüldüğünde, verilerin işlenmesi ve aktarılması kişi rızası dışında olan bir durum için öngörüldüğünden hukuka aykırılık teşkil edecektir. Bu hukuka aykırılığın önüne geçilmesi adına Yönetmelik’in yürürlüğe girmesi ile yapılan sorgulama; aynı maddenin 2. fıkrasında kişisel verilerin işlenmesi ve veri aktarımının, kanunda açıkça öngörülmesi ve veri sorumlusunun hukuki yükümlülüğünü yerine getirmesi adına zorunlu olması istisna hükümlerine tabii olmuş ve hukuka uygun hale gelmiştir.
SONUÇ
Yukarıda açıklanan kararlara bakıldığında Ocak ayında kişisel verilerin korunmasına ilişkin ülkesel düzenlemeler yanında uluslararası alanda emsal kararlar da olduğu görülmektedir. Uluslararası ve iç hukukta kişisel verilerin korunmasına ilişkin yapılan düzenlemeler gün geçtikçe mevzuatı sağlamlaştırmakta, bu durum hukuki boşluklardan ortaya çıkabilecek hukuka aykırı fiillerin önüne geçmektedir. Bu sebeple ilgili kararlar ışığında kurumların da kişisel veri organizasyon yapılarını güncellemeleri büyük önem arz etmektedir.
*Yasal Uyarı*
İşbu makale bilgi ve deneyim paylaşımına yönelik olup yazıların içerdiği bilgilerin güvenilirliği veya güncelliği konusunda hukuki güvence vermemektedir. Çelikbaş Hukuk Ofisi, bu makalede yer alan her türlü bilgi ve sair içeriklerin doğrudan veya dolaylı olarak kullanılmasından oluşacak zararlardan hiçbir şekilde sorumlu değildir.
Bu sitede paylaşılan bilgiler yalnızca bilgilendirme amaçlıdır; Türkiye Cumhuriyeti Barolar Birliği’nin ilgili düzenlemeleri uyarınca reklam, teklif, hukuki öneri veya danışmanlık teşkil etmez. Bu bilgilerin iletilmesi hiçbir şekilde avukat müvekkil ilişkisi oluşturmaz. Bu bilgiler en son hukuki durumu yansıtmayabileceğinden okuyucular güncel durum hakkında bir avukata danışarak hareket etmelidirler.