Kişisel veri, 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun (KVKK) 3/1(d) maddesinde, "Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi" şeklinde tanımlanmıştır. İlgili mevzuatta yer verilen tanımdan da görüleceği üzere, kişisel veri kavramı oldukça geniş bir anlam ifade etmektedir. Kişisel veri ve bu verilerin korunması hususu yakın geçmişte ortaya çıkan bir durum olsa da, insanın doğası gereği kendisine ait birtakım bilgileri gizli tutmak istemesi alışılagelmiş bir durumdur.
Teknolojinin ve bu doğrultuda bilgi toplumunun gelişimiyle kişisel verilerin önemi artmış ve bu verilere erişim kolaylaşmıştır. Hukukun teknolojinin hızına yetişememesi, bu alanda hukuk kurallarını yetersiz kılmış ve önem kazanan kişisel verilerin korunması ihtiyacı ortaya çıkmıştır. Bu bağlamda geçmişten günümüze pek çok yasal düzenleme yapılmıştır. Ancak çalışmanın kapsamı itibariyle, ülkemizde yürürlükte bulunan KVKK'nin de esin kaynağı olan, Avrupa Birliği'nin Genel Veri Koruma Tüzüğü(GDPR) ve Avrupa Birliği Adalet Divanı'nın (ABAD), tüzüğü açıklayıcı nitelikte verdiği kararlar incelenecektir.
Kişisel veri tanımı GDPR'de de , "Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi" şeklinde tanımlanmış, Tüzük, hukukumuza uyarlanırken tanım itibariyle herhangi bir değişiklik yapılmamıştır. Yasal düzenlemelerde geçen "kimliği belirlenebilir" ifadesi irdelendiğinde, kişisel veri dendiğinde yalnızca kişinin adı, soyadı, doğum tarihi gibi veri sahibinin kesin olarak belirlenmesini sağlayan veriler değil, kişinin fiziki, ailevi, ekonomik özellikleri gibi verilerin de tanım kapsamında olduğu anlaşılmaktadır. GDPR gerekçesinde, birtakım işlemlerle anonim hale getirilmiş verinin dahi, ek bilgiler ile bir kişiye atfedilebilmesi halinde kişisel veri olarak nitelendirileceği belirtilmiştir. KVKK'nin ilgili madde gerekçesinde de, kendi başına veri olarak nitelendirilmeyecek ancak kişi hakkındaki herhangi bir kayıtla ilişkilendirildiğinde kişinin belirlenmesini sağlayan tüm verilerin kanun anlamında kişisel veri tanımına dahil olduğu belirtilmiştir. ABAD tarafından buna ilişkin olarak 2016'da verilen C‑582/14 esas numaralı Patrick Breyer v Bundesrepublik Deutschland kararında, internet sitesine giren kişilerin IP adreslerinin depolanmasının kişisel verinin depolanması anlamında geldiği, zira mevcut veriye eklenecek bilgilerle veri sahibinin belirlenebilir olduğu belirtilmiştir. Ancak ek bilgiye ulaşılması kanunen yasaklanmışsa veya teknik olarak çok fazla emek ve zaman gerektirecekse kişinin kimliğinin açığa çıkmasının zor olduğu, bu nedenle de GDPR anlamında belirlenebilir bir kişinin söz konusu olmadığı ifade edilmiştir.
Yasal düzenlemede oldukça geniş bir şekilde ifade edilen ve erişilmesi kolay olan kişisel verilerin işlenmesi belli şartlara bağlanmıştır. GDPR'nin 6/1 maddesine göre kişisel verilerin işlenmesi;
".... ancak aşağıdaki hususlardan en az biri geçerli olduğunda ve olduğu ölçüde, hukuka uygundur:
(a) veri sahibinin bir ya da daha fazla sayıda spesifik amaca yönelik olarak kişisel verilerinin işlenmesine onay vermesi;
(b) veri sahibinin taraf olduğu bir sözleşmenin uygulanması veya bir sözleşme yapılmadan önce veri sahibinin talebiyle adımlar atılması için, işleme faaliyetinin gerekli olması;
(c) kontrolörün tabi olduğu bir yasal yükümlülüğe uygunluk sağlanması amacı ile işleme faaliyetinin gerekli olması;
(d) veri sahibinin veya başka bir gerçek kişinin hayati menfaatlerinin korunması amacı ile işleme faaliyetinin gerekli olması;
(e) kamu yararına gerçekleştirilen bir görevin yerine getirilmesi veya kontrolöre verilen resmi bir yetkinin uygulanması hususunda işleme faaliyetinin gerekli olması;
(f) özellikle veri sahibinin çocuk olması halinde veri sahibinin kişisel verilerin korunmasını gerektiren menfaatleri veya temel hakları ve özgürlüklerinin bir kontrolör veya üçüncü bir kişi tarafından gözetilen meşru menfaatlere ağır basması haricinde, söz konusu menfaatler doğrultusunda işleme faaliyetinin gerekli olması.
İlk alt paragrafın (f) bendi kamu kuruluşları tarafından görevlerinin yerine getirilmesi hususunda gerçekleştirilen işleme faaliyetine uygulanmaz."
Anılı madde gerekçesinde kişisel verilerin işlenmesinin hukuka uygun olması için bu işlemin GDPR veya başka yasal düzenleme uyarınca veri sahibi tarafından verilmiş rızaya dayalı olması gerektiği vurgulanmıştır. Burada önem arz eden husus, rızanın nasıl alındığıdır. Zira hukuka uygun olarak alınmayan rıza geçerli olmayacak ve bu da başka hukuka uygunluk şartlarının olmaması halinde kişisel verinin hukuka aykırı olarak işlenmesine neden olacaktır. GDPR gerekçesine göre rıza, elektronik araçlar da dahil olmak üzere, veri sahibinin kendisiyle ilgili kişisel verilerin işlenmesine ilişkin olarak yazılı veya sözlü olarak serbest ve bilgilendirilmiş ve o işleme özgü bir şekilde olarak açık bir onaylayıcı eylemle verilmelidir. Örneğin bir internet sitesini ziyaret ederken önümüze çıkan rıza kutucuğunu işaretlemek, bu anlamda açık bir onaylayıcı işlemdir. Bu nedenle, veri sahibinin sessiz kalması veya önceden işaretlenmiş bir kutucukla rızasının istenmesi kişinin rıza verdiği anlamına gelmemektedir.
KVKK'de ise kişisel verilerin işlenmesi, 5/1 maddesinde "Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez." şeklindeki düzenleme ile açık rıza verilmesine bağlanmıştır. Ancak burada bahsedilen kişisel verilen genel nitelikli kişisel verilerdir. Maddenin devamında GDPR ile benzer şekilde birtakım şartların varlığı halinde açık rızanın aranmayacağı belirtilmiştir. Açık rıza GDPR'deki rıza tanımına paralel olarak Kanun'da "Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza" olarak tanımlanmıştır.
KVKK'de kişisel veriler genel nitelikli veriler ve özel nitelikli veriler olarak ikiye ayrılmış olsa da, yukarıda da bahsedildiği üzere, bu ayrıma bakılmaksızın her türlü verinin işlenmesi veri sahibinin açık rızasına bağlı kılınmıştır. GDPR'de ise rıza, kişisel verilerin işlenmesini hukuka uygun hale getiren sebeplerden biridir. Ancak kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerini ifade eden özel nitelikli kişisel verilerin işlenmesi her iki düzenlemede de açık rızanın varlığına bağlanmıştır. Veri öznesi tarafından verilen açık rızanın geçerli olması için öncelikle belirli bir konuya ilişkin olarak verilmesi gerekmektedir. Kişinin "kişisel verilerimin işlenmesine onay veriyorum" gibi genel ve açık uçlu ifadesi, kanun anlamında açık rızayı karşılamamaktadır.
Açık rızanın ayrıca, veri sahibinin konuya ilişkin detaylı olarak bilgilendirilmesi neticesinde alınmış olması gerekmektedir. GDPR'nin 5. Maddesine göre şeffaflık kişisel verilerin işlenmesinde önem arz eden ilkelerden biridir. Bu nedenle rızası istenen veri sahibinin, veriyi işleyecek kişinin kimliği, verinin işlenme amacı, hangi tür verinin işleneceği, rızanın geri alınması gibi konular hakkında bilgilendirildikten sonra rızasının alınması gerekmektedir. Buna ek olarak veri sahibinden rıza talep edilirken bunun açık ve net bir şekilde karşı tarafa iletilmesi gerekmektedir. Yalnızca hukuki bilgisi olan birinin anlayabileceği bir dilde rıza talep edildiği takdirde, ortalama bir insanın anlayabileceği bir dil kullanılmadığı için alınan rıza geçerli olmayacaktır. Veri sahibinin rıza verirken özgür iradesiyle bu seçimi yapması gerekmektedir. Veri sahibi, seçim şansı veya rızasının geri alma şansı olmaksızın rıza verme durumunda kalırsa bu, geçerli bir rıza olmayacaktır. Örneğin telefonda kullanılan bir fotoğraf uygulamasının, uygulamayı kullanma şartı olarak deneyimi kişiselleştirmek adına kullanıcının verilerini ve lokasyon bilgilerini paylaşmak zorunda bırakması, kullanıcı tarafından verilecek rızayı geçersiz hale getirecektir. Zira, fotoğraf uygulamasını kullanmak için bu tarz verilerin işlenmesi elzem değildir.
Veri sahibi ile veriyi işleyenler arasında güç dengesizliği bulunması halinde de verilen rızanın durumu tartışmalıdır. Çünkü, kişisel veri sahibinin bu durumda rıza vermek dışında pek fazla şansı olmayacaktır. Bu duruma örnek olarak kamu kurumlarının veri işlemesi veya iş sözleşmesi kapsamında işçiden belli konularda rıza alınması gösterilebilir. Ancak bu durum, işverenlerin veri işleme faaliyetlerine hukuki dayanak olarak rızayı gösteremeyecekleri anlamına gelmemektedir. Veri sahibinden alınan rızanın herhangi bir koşula bağlı olmaması gerekmektedir. GDPR'nin rıza koşullarını düzenleyen 7. Maddesinde rızanın özgür bir iradeyle verilip verilmediği belirlenirken, bir hizmetin sunulması da dahil olmak üzere, kişisel verinin işlenmesi sözleşmenin geçerli olması için gerekli bir unsur değilse, sözleşmenin veri işlenmesi için rıza verilmesi koşuluna bağlanamayacağı öngörülmüştür.
GDPR'de rızanın verilme şekline ilişkin bir düzenleme öngörülmemiştir. Ancak 2011 yılında AB kapsamında kurulan bağımsız bir çalışma grubu olan Article 29 Working Party tarafından rıza üzerine oldukça detaylı bir rehber hazırlanmıştır. Buna göre, açık (explicit) kelimesi, veri sahibi tarafından rızanın ifade ediliş biçimini karşılamaktadır. Dolayısıyla açık rızanın alındığını net bir şekilde anlamak için rızanın yazılı olarak alınması gerekmektedir. Bazı durumlarda veri işleyen muhtemel şüpheleri ve gelecekte ortaya çıkabilecek olası riskleri ortadan kaldırmak adına veri sahibinin imzasını da alabilecektir. Ancak veri sahibinin açık rızasının alınmasının tek yolu bu değildir. Örneğin dijital ve online ortamlarda veri sahibi elektronik bir form doldurma, e-posta göndermek veya imzalı dokümanı tarayıp göndermek gibi farklı yöntemlerle de açık rızasını verebilecektir.
ABAD, 2019 yılında karara bağladığı Case C‑673/17 Planet49 davasında, internet kullanıcısının verilerinin önceden işaretlenmiş bir kutucukla alınan rıza ile işlenmesinin GDPR'ye aykırı olduğuna karar vermiştir. Anılı davada Planet49 tarafından online bir yarışma düzenlenmiş, yarışmaya katılım için kullanıcılardan çeşitli veriler talep edilmiştir. Ancak rıza talebi önceden seçilmiş bir onay işareti ile kullanıcıya sunulmuştur. ABAD kararında, veri sahibi tarafından verilen rızanın aktif bir hareketle verilmiş olması gerektiğini vurgulayarak, önceden seçilmiş kutucuğun bu şartı sağlamadığını belirtmiştir.
Kişisel veriler, her ne kadar insan ile birlikte var olan bir unsur olsa da, gelişen teknoloji ile birlikte artan önemi hukuki düzenlemelerin de günümüzün ihtiyaçlarına uyarlanması gerekliliğini doğurmuştur. Ancak diğer temel hak ve özgürlüklere nazaran daha yeni bir alan olması itibariyle yasal düzenlemelerin uygulamaya sağlıklı yansıtılabilmesi adına içtihatlarla geliştirilmesi gereken bir alan olduğu da açıktır.
Rıza kavramı özelinde KVKK ve GDPR birlikte incelendiğinde GDPR'de rıza ve açık rıza olarak iki farklı rıza çeşidi öngörülürken, KVKK metninde yalnızca açık rıza kavramının kullanıldığı görülmektedir. GDPR anlamında açık rıza yalnızca özel nitleikli kişisel verilerin işlenmesi için bir şart olarak düzenlenmişse de, KVKK veri türüne bakılmaksızın açık rızanın varlığını aramıştır. Ancak KVKK gerekçesi ve Kişisel Verileri Koruma Kurumu tarafından yayınlanan rehberler incelendiğinde KVKK'de kullanılan açık rıza kavramının, GDPR'de yer alan rıza kavramını karşıladığı söylenebilir.
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.
