17 Temmuz 2019, Türkiye'de kişisel verilerin korunması ile ilgili Kişisel Verileri Koruma Kurulu ("Kurul") kararları açısından önemli bir gün. Şu ana kadar Kişisel Verileri Koruma Kurulu birçok karar yayınlandı. Peki bu tarihte yayınlananları ilginç kılan nedir?

Kararların içeriğine ve önemine istinaden bunları kararlarına göre bir yazı dizisiyle açıklamak istedik.

Yazı dizimizin ilki bölümünü 29 Temmuz 2019'da tarihinde blogumuzda yayınlamıştık (bakınız https://www.ozbek.av.tr/kvk-blog/kisisel-verilerin-korunmasi-dunyasinda-ilginc-bir-gun-bolum-1/).

Bu ikinci yazımızın konusu ise Kurul'un, bir varlık yönetim şirketinin ilgili kişiye aynı konu ile ilgili birden çok mesaj gönderimine ilişkin 31/05/2019 tarihli ve 2019/159 sayılı kararı.

BÖLÜM 2

AYNI KONUDA BİRDEN FAZLA MESAJ GÖNDERİMİ KARARI

GİRİŞ

Kişisel verilerin korunması konusunun içinde olanlar bilirler, kişisel verilerin korunmasının dolaşım sisteminin kaynağı ilkelerdir. Bu ilkeler ilk olarak kişisel verilerin korunmasının temellerini atan yapı taşlarından biri olan 23 Eylül 1980 tarihli OECD kılavuzunda ortaya çıkmış ve bu tarihe kadar 108 sayılı sözleşmeden, 95/46/AB Direktifi'ne, Avrupa Veri Koruma Genel Tüzüğü'ne ("GDPR") ve son olarak 6698 sayılı Kişisel Verilerin Korunması Kanunu'na ("Kanun") kadar pek çok kişisel veri mevzuatının ana koruma kaynağı olmuştur ve kendi mevzuatları hep bu ilkeler çerçevesinde düzenlenmiştir.

Bu ilkeler nasıl yorumlanır? Bu ilkelerin nasıl yorumlanacağı gerek Kişisel Verileri Koruma Kurumu ("Kurum") ve Kurul kılavuzlarında ve AB mevzuatının preamble (giriş/gerekçe) kısımlarında açıklanmıştır. Bu açıklamalar esasen bir yorumlama rehberi gibi hareket etmektedir. Uygulayıcılara düşen görev ise mevzuatın ve kılavuzların yaptığı bu rehberlik çerçevesinde hareket edip bireyin temel hak ve özgürlüklerinden özel hayatın gizliliğinin korunması hedefini gütmek; ama aynı zamanda kamu yararı, kamu sağlığının korunması, yaşama hakkı gibi demokratik toplumun gerekliliklerinden ortaya çıkan birtakım sınırlamalara da dikkat ederek bu ilkeleri uygulamaktır.

Yazımıza konu birinci karar ise tam bu çerçevede verilmiş, emsal niteliğinde, Avrupa'da dahi benzerine pek rastlanmayan, belki de hiç rastlanmamış bir ilke yorumu; fakat temel hak ve özgürlükleri bir denge testine koyduğumuzda kararın doğru yönde alındığı söylenebilir.

OLAY

Karardan anlaşıldığı kadarıyla olayda kişisel verisi işlenen ilgili kişinin ("Veri Sahibi") bir kredi borcu var ve alacaklı banka tarafından veri sorumlusu olan varlık yönetim şirketine bu kredi borcu alacağı temlik ediliyor. Veri sorumlusu ise Veri Sahibi'ne kolaylıklar sağlayarak alacağını tahsil edebilmek ve borcun ödenmemesi durumunda Veri Sahibi'nin maruz kalabileceği hukuki riskleri bildirmek amacıyla mesaj atıyor; fakat bu mesajları farklı tarihlerde birden fazla kez gönderiyor.

Kurul bu aramanın hukuka uygunluk sebebini "bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması" olarak değerlendiriyor. Bu hukuki sebep kişisel verilerin işlenmesinin hukuka uygunluğu açısından oldukça güçlü bir sebep. Hatta bizim mevzuatımızda olmasa dahi GDPR'da özel nitelikli verilerin işlenmesi için en çok yararlanılabilecek istisnalardan biri konumunda. Bu hukuki sebepte meşru menfaat sebebinin aksine bir denge testi de yapmak gerekmiyor. Sadece "zorunluluk" unsuru gerekiyor. Ama prensip olarak zorunluluk unsuruna bakılırken de, aynı amacı sağlamak için daha az müdahaleci yöntemler var ise bunların seçilmesi gerekiyor.

DEĞERLENDİRME

İşte bu noktada bu kararı asıl önemli hale getiren değerlendirme ortaya çıkıyor. Kurul, karar özetinde açıklandığı üzere, hukuka uygunluk sebebinden genel ilke değerlendirmesine geçiyor ve bu faaliyeti hakkın kötüye kullanılması olarak yorumlayarak, aynı konuda birden fazla mesaj gönderimi işleme faaliyetini kişisel verilerin korunmasına dair genel ilkelerden "hukuka ve dürüstlük kuralına uygun olma" ilkesine aykırı olarak değerlendiriyor.

Kanaatimizce, bu değerlendirme etkili ve doğru bir yaklaşım sonucu ortaya çıkıyor. Hukuka uygunluk değerlendirmelerinde Kanun'un 5. maddesinde yer alan işlenme şartlarından birine uygunluk sağlandığında ilkeler göz ardı edilebiliyor. Oysa ki kişisel verilerin korunmasının temelini oluşturan ilkelerin işlenme şartlarından çok daha önemli olduğunu unutmamak gerek.

Bu noktada söylenebilecek bir başka husus ise hakkın tesisi, kullanılması veya korunması için zorunlu olma şartındaki "zorunluluk" unsurunun da sağlanmamış olabileceği. Kanaatimizce hukuka ve dürüstlük kuralına aykırılığın yanı sıra, veri sorumlusunun ilk mesajından sonra "zorunluluk" unsuru ortadan kalkıyor. Zira, kendi hakkını korumak için borçluya defalarca mesaj atması bir gereklilik değil. Bu tip bir durumda, ihtar amaçlı, takipten hemen önce veya uzun bir süre geçmesini takiben mesajlar atılması bu unsuru biraz daha karşılayabilir. Ancak karardan anlaşıldığı üzere bu mesaj, farklı tarihlerde defalarca atıldığından "zorunluluk" unsurunun da bir noktadan sonra geçerli olamayacağını söylemek de mümkün.

SONUÇ

Bu karar, bir işleme faaliyetinin hukuka uygun olup olmadığı değerlendirmesi yapılırken sadece kişisel verilerin işlenme şartlarına değil, aynı zamanda genel ilkelere bakılıyor olması gerektiğinin açık bir göstergesi olduğundan oldukça önemli. İşlenme şartlarından veya genel ilkelerden herhangi birine aykırılık, o işleme faaliyetini hukuka uygun olmaktan çıkarıyor.

Burada dikkat edilmesi gereken en önemli hususlardan biri de işlenme şartlarının karşılanmadığı durumda açık rıza mümkünken genel ilkelerin bunun da ötesinde değerlendirilmesi. Açık rıza, Kanun'da, gerek özel, gerek normal nitelikteki kişisel verilerin işlenmesine dair bir alternatif olarak düzenlenirken ilkelerde böyle bir istisna söz konusu değil. Dolayısıyla açık rıza ile dahi, ilkelere aykırı bir işleme faaliyeti gerçekleştirilemez.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.