Kişisel Verileri Koruma Kurulu ("Kurul") 21.11.2019 tarihli ve 30955 sayılı Resmi Gazete'de yayınlanan 18 Ekim 2019 tarihli ve 2019/308 sayılı ilke kararıyla, kendisine gelen ihbarlar sonucunda yaptığı incelemede avukatlar/hukuk büroları ile finans, gayrimenkul danışmanlık, sigorta vb. sektörlerde faaliyet gösteren bazı kişi ve kuruluşlar tarafından muhtelif yollarla elde edilen kişisel veriler üzerinden vatandaşların kimlik ve iletişim bilgileri gibi kişisel verilerine erişilmesine imkan tanıyan yazılım, program veya uygulamaların kullanıldığını ve bu durumun 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun ("Kanun") veri güvenliğine ilişkin yükümlülükleri düzenleyen 12. maddesine aykırılık oluşturduğunu tespit etti.

İlke kararında açıkça belirtilmese de, bu tür yazılımların özellikle alacakların tahsili konusunda alacaklı durumundaki şirketler ve alacak takibi yapanlar tarafından kullanılmakta olduğu biliniyor. Hatta alacak takibi yapanların bazen avukat olmayan "takip bürosu" adı altında hizmet veren şirketler olduğunu da unutmamak gerek. Bu kişilerin borçluların kişilik haklarının ihlal edilmesine neden olan bazı sorunlu uygulamaları olduğu ve alacakların tahsili zorlaştıkça bu uygulamaların ciddi hukuka aykırılıkları da beraberinde getirme riskinin olduğu dabir gerçek.

Bu itibarla, ilke kararı başta avukatlar olmak üzere, finans, gayrimenkul danışmanlık, sigorta vb. sektörlerde faaliyet gösteren ve böyle uygulalamaları kullanan (ya da duruma göre kullanımına izin veren) kişi ve kuruluşlara önemli bir uyarı niteliğinde.

Diğer yandan, borçlular ve onların yakınları ya da duruma göre kefalet verenler açısından da kişisel verilerinin ihlali durumunda ilgililer açısından suç duyurusunda bulunma imkanını getiriyor. Bunun için veri sahibi durumundaki bu kişilerin Kanun'un 11. maddesi başta olmak üzere, kendilerine tanınan hakları iyi öğrenmeleri ve bunları uygun biçimde kullanmaları çok önemli.

İlke kararı ne diyor?

Kurul ilke kararında,

  • hukuka aykırı olarak elde edilen veriler üzerinden vatandaşların kişisel verilerinin sorgulanmasına imkân tanıyan mahiyetteki yazılımları/programları/uygulamaları kullandığı tespit edilenler hakkında Türk Ceza Kanunu kapsamında gerekli adli işlemlerin tesisi için konunun, 5271 sayılı Ceza Muhakemesi Kanununun 158.maddesi hükmü uyarınca ihbaren ilgili Cumhuriyet Başsavcılıklarına bildirileceğini ve
  • Kurul'un görev alanına giren yönüyle de veri sorumluları hakkında Kanun'un 18. maddesi hükmü çerçevesinde idari işlem tesis edileceğini

açıkladı.

İlke kararı Türk Ceza Kanunu çerçevesinde Kurul'un ilgililer hakkında ihbarda bulunulacağını açıklaması açısından önemli!

Bu karar ile Kurul, bu mahiyetteki yazılımları/programları/uygulamaları kullandığı tespit edilenler hakkında Türk Ceza Kanunu kapsamında gerekli adli işlemlerin tesisi için konuyu ilgili Cumhuriyet Başsavcılıklarına ihbaren bildireceğini açıkladı.

Hatırlarsanız, Türk Ceza Kanunu'nun uygulaması açısından Kurul, daha önce 2 ayrı ilke kararında daha benzer bir bilgilendirmeye yer vermişti:

En son 2 Ağustos 2019 tarihinde Kurul bir yatırım şirketi tarafından ilgili kişinin cep telefonu numarasının herhangi bir veri işleme şartına dayanmadan işlenmesi/bilgilendirme amaçlı aranması hakkında kendisine yapılan başvuru üzerine verdiği karar özetinde ise bunlardan farklı olarak "Şikayetçinin Türk Ceza Kanununun 136 ncı maddesi hakkında bilgilendirilmesine" karar vermişti. Kurul'un bu özet kararına dair yayınlamış olduğumuz blog yazımızda bu konuya değinmiştik. Hatta, her ne kadar bahsi geçen karar özelinde yalnızca şikayetçiyi bilgilendirmekle yetinmiş olsa da, Kurul'un suç unsuru tespit etmesi halinde kendisinin doğrudan suç duyurusunda bulunma yetkisi (hatta zorunluluğu) olduğunu da hatırlatmıştık.

Bu nedenle, en son yayınlanan 18 Ekim 2019 tarihli kararın hem avukatlar/hukuk büroları hem de bu yazılımları kullanan diğer kurum ve kişiler tarafından ciddiyetle okunması gerek.

Peki bu kararın bir ilke kararı olması ne anlama geliyor?

İlke kararlarına dair düzenleme Kanun'un 15. maddesinin 6. fıkrasında yer alıyor. Buna göre;

"Şikâyet üzerine veya resen yapılan inceleme sonucunda, ihlalin yaygın olduğunun tespit edilmesi hâlinde Kurul, bu konuda ilke kararı alır ve bu kararı yayımlar."

Kanun'un 18 (1) (c) maddesi uyarınca ise, Kanun'un 15. maddesi kapsamında Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası verilir.

Bu itibarla, ilke kararında belirtildiği üzere, muhtelif yollarla elde edilen kişisel veriler üzerinden vatandaşların kimlik ve iletişim bilgileri gibi kişisel verilerine erişilmesine imkan tanıyan yazılım, program veya uygulamalar ve bunların kullanılması hukuka aykırı olacaktır ve sadece ilke kararına aykırılık nedeniyle dahi veri sorumlusu durumunda olan ilgililer aleyhine idari para cezası uygulanması sözkonusu olabilecektir. Burada ilke kararında yer alan "muhtelif yollarla" ibaresinin "hukuka aykırı olarak" okunması gerekeceğini hatırlatalım. Zira ilke kararının başlığı da kastedilenin bu olduğunu açıklayıcı nitelikte.

Diğer yandan, ilke kararında "yapılan değerlendirme sonucunda bu durumun, Kanun'un veri sorumlularının veri güvenliğine ilişkin yükümlülüklerini düzenleyen 12. maddesi hükümlerine aykırılık oluşturduğu dikkate alınarak" denilmektedir. Bu itibarla, Kurul'un bu uygulamaların 12. maddeye aykırılık teşkil ettiğine dair kanaatinin net olduğunu ve duruma göre aykırılıklar açısından bu madde hükmü kapsamında da idari para cezası kesilebileceğini unutmamak gerekir.

Bir fiil hem kabahat, hem de suç oluşturuyorsa ne olacak? Veri sorumlusu olmayanlar açısından durum nedir?

Bu sorunun cevabı Kabahatler Kanunu'nun içtima başlıklı 15. maddesinde verilmektedir. Buna göre, bir fiil hem kabahat hem de suç olarak tanımlanmış ise, sadece suçtan dolayı yaptırım uygulanabilir. Ancak, suçtan dolayı yaptırım uygulanamayan hallerde kabahat dolayısıyla yaptırım uygulanır.

Diğer yandan yine Kabahatler Kanunu'nun 15. maddesi uyarınca bir fiil ile birden fazla kabahatin işlenmesi halinde bu kabahatlere ilişkin tanımlarda sadece idarî para cezası öngörülmüşse, en ağır idari para cezası verilir. Bu kabahatlerle ilgili olarak kanunda idari para cezasından başka idari yaptırımlar da öngörülmüş ise, bu yaptırımların her birinin uygulanmasına karar verilir. Yine aynı kabahatin birden fazla işlenmesi halinde her bir kabahatle ilgili olarak ayrı ayrı idari para cezası verilir. Kesintisiz fiille işlenebilen kabahatlerde, bu nedenle idari yaptırım kararı verilinceye kadar fiil tek sayılır.

Daha önce Kişisel Verileri Koruma Kanunu'na Aykırılık, Yaptırımlar ve Yargı Yolu başlıklı blog yazımızda da bu konuya detaylı olarak değinmiştik.

Ancak dikkat edilmesi gereken husus, Kanun'da düzenlenen kabahatler açısından Kanun'un 18. maddesinin 2. fıkrası gereği idari para cezası sadece veri sorumlusu olan gerçek kişiler ile özel hukuk tüzel kişileri hakkında uygulanabilecek iken; suçlar açısından böyle bir ayrım olmadığıdır. Bu itibarla, veri sorumlusu ya da veri işleyen ayrımı olmaksızın, Türk Ceza Kanunu'nun suça iştirake dair farklı hükümlerinin her durum özelinde, duruma göre uygulama alanı bulabileceğini ilgililerine özellikle hatırlatmak isteriz.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.