Kişisel Verilerin Alenileştirilme Amacı Dışında İşlenmesi
Anadolu Üniversitesi’nin hazırlamış olduğu, "2019'u Bitirirken Sosyolojik Açıdan İnternet ve Sosyal Medya İstatistikleri Raporu” verilerine göre dünyada 3 milyar 480 milyon kişi aktif olarak sosyal medyayı, 4 milyar 380 milyon kişi de interneti kullanıyor. Türkiye'de ise 52 milyon aktif sosyal medya, 59 milyon 300 bin de internet kullanıcısı bulunuyor. İnternet ve sosyal medya platformlara yönelik oluşan ilgiyi göz önünde bulundurduğumuzda, bu ivmenin sayıları daha fazla arttıracağını öngörebiliyoruz. Her ne kadar bilgiye bu denli hızlı erişebilmek, birbirimizle iletişim içerisinde olmak son derece kolaylaşmış olsa da sosyal medyanın hayatımızın ortasında yer almasıyla birlikte, kendimize ve yakınlarımıza ait birçok kişisel veri de üçüncü kişiler tarafından kolaylıkla erişilebilir hale geliyor.
Pek tabi veri güvenliğinin sağlanması adına, kişisel hesaplarımızın ayarlar kısmından gizli hesap tercihi ile paylaşımlarımızın erişilebilirliğine ilişkin sınırlandırmalarda bulunabiliyoruz. Peki kişinin hesap gizliliğini tercih etmeksizin aleni olarak yapmış olduğu paylaşımlarda yer alan bilgiler, veri sorumluları tarafından kaydedilip kullanılabilir mi? Bugün sizlerle Kişisel Verilerin Korunması Kanunu 5. maddesinde belirtilen; kişinin kendisi tarafından alenileştirilen verilerin veri sorumlusu tarafından açık rıza olmaksızın işlenebilmesine yönelik düzenlemeleri, verilerin alenileştirilme amaçlarıyla birlikte değerlendirmeye çalışıp, kişisel verilerin veri sorumluları tarafından kaydedilebilmesine veya başka yerlerde kullanılabilmesine imkan tanınıp tanımadığını değerlendireceğiz
Öncelikle veri ilgilisi tarafından alenileştiren verilerin, herhangi bir rıza olmaksızın veri sorumlusu tarafından işlenebilmesine olanak sağlayan Kişisel Verilerin Korunması Kanunu 5. maddesini inceleyelim:
MADDE 5- (1) Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez. (2) Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür: a) Kanunlarda açıkça öngörülmesi. b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması. c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması. ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması. d) İlgili kişinin kendisi tarafından alenileştirilmiş olması. e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması. f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.’’
5.maddenin 2 numaralı fıkrasının (d) bendinde yer alan ‘İlgili kişinin kendisi tarafından alenileştirilmiş olması.’ ibaresi, kişinin kendisi tarafından alenileştirilen verilerin veri sorumlusu tarafından açık rıza olmaksızın işlenebileceğini hükme bağlamıştır. Bu gerekçe ile sosyal medyada hesap gizliliğine ilişkin bir sınırlandırma bulunmaksızın yapılan paylaşımlar için birçok kişi, erişilebilen verilerin ilgilisi tarafından alenileştirildiği nedeniyle kaydedilebilmesinin veya farklı bir amaç için kullanılabilmesinin mümkün olduğunu düşünmektedir. Her ne kadar 5. maddede veri sorumlusu tarafından kişisel verilerin işlenmesine ilişkin düzenlenen veri işleme işinin, kişinin alenileştirdiği veri üzerinde rıza aranmaksızın gerçekleştirilebileceği belirtilse de kişisel verilerin işlenmesinde genel hükümlerde gösterilen şekil ve usullere uygunluk göz önünde tutulmalıdır.
Genel hükümlerde gösterilen şekil ve usullerden konu açılmışken Kanunun genel ilkeler başlıklı 4.maddesine değinmekte fayda var. Kişisel Verilerin Korunması Kanunu 4.madde: (1) Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir. (2) Kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması zorunludur: a) Hukuka ve dürüstlük kurallarına uygun olma. b) Doğru ve gerektiğinde güncel olma. c) Belirli, açık ve meşru amaçlar için işlenme. ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma. d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.’’ şeklinde düzenlenmiştir. Bahse konu maddenin 2.fıkrasının (ç) bendinde görüldüğü üzere kişisel verilerin işlenmesinde, veri sorumsunca işlenen verinin amaca uygunluk dahilinde işlenmesi gerekmektedir.
Yani kişi her ne kadar yapmış olduğu paylaşım dahilinde, verilerine erişilmesine ilişkin herhangi bir tedbir almamış olsa da bu durum veri sorumluları tarafından ilgili kişinin verilerinin kaydedilebilmesine doğrudan cevaz vermemektedir. Veri sorumluları, veri kaydetme işleminde bulunurken ilgili tarafından alenileştirilen veririnin alenileştirilme amacını da göz önünde bulundurmalıdır. Nitekim bu konu hakkında “İlgili kişi tarafından alenileştirilen kişisel verinin, alenileştirme amacı dışında işlenmesi” hakkında Kişisel Verileri Koruma Kurulunun 07/11/2019 Tarihli ve 2019/331 Sayılı Karar Özetinde de:
‘‘İlgili kişinin bir Sigorta Şirketi (Şirket) tarafından açık rızası alınmadan sigortacılık faaliyetleri konusunda aranması hususunda Kurula yapmış olduğu şikâyet başvurusu ile ilgili olarak Şirketten alınan yazısında, Şikayetçinin ad, soyadı ve telefon bilgisinin finansal güvence danışmanlarınca teklif araması yapılmadan önce gerçekleştirilen araştırmalar sonucunda … uzantılı internet sitesinden bulunduğu, Şikayetçinin taraflarınca ulaşılan ad, soyad ve telefon numarası bilgisinin belirtilen sitede halka açık bir şekilde yer aldığı şeklindeki savunmasının değerlendirilmesi sonucunda,
Şikâyetçinin kişisel verilerine kendisi tarafından daha önce alenileştirilen internet sitesinden ulaşılması halinde dahi Şirket tarafından Şikâyetçinin bu bilgilerinin internet sitesinde bulunma ve alenileştirilme amacıyla kullanılmadığı, diğer bir deyişle Şikâyetçinin mesleki yetkinliğinden faydalanmak için kendisine ulaşılmaya çalışılmadığı, aksine Şirket faaliyetlerine ilişkin randevu talebi ile Şikâyetçinin arandığı anlaşıldığından, Şirket tarafından gerçekleştirilen veri işleme faaliyetinin 6698 sayılı Kişisel Verilerin Korunması Kanununun 5 inci maddesinin (2) numaralı fıkrasının (d) bendi çerçevesinde değerlendirilemeyeceği kanaatine varılmış olup, bu kapsamda Şirketin kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almayarak Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendine aykırı davranmış olması nedeniyle Şirket hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 100.000 TL idari para cezası uygulanmasına karar verilmiştir.’’
Şeklinde karar verilmiştir. Ezcümle kişisel verilerin veri ilgilisi kişi tarafından alenileştirilmiş olması, veri sorumlularınca doğrudan kaydedilebilmesine veya başka yerlerde kullanılabilmesine imkan tanımamaktadır. Genel hükümlerde gösterildiği üzere, alenileştirilen verinin alenileştirilme amacı da veri sorumluları tarafından değerlendirilmelidir. Yine de veri güvenliğinizi sağlayabilmek ve mağduriyetlerin yaşanmasına engel olmak adına sosyal medya hesaplarınızda gizlilik tercihinde bulunmanızın faydalı olacağı kanaatindeyim. İyi günler dilerim
KAYNAKÇA
1) Anadolu Üniversitesi (AÜ) Sosyal Medya ve Dijital Güvenlik Eğitim, Uygulama ve Araştırma Merkezi (SODİGEM) Bilim Kurulunca, teknoloji kullanımına ilişkin verilerden oluşan "2019'u Bitirirken Sosyolojik Açıdan İnternet ve Sosyal Medya İstatistikleri Raporu”
2) 6698 sayılı kanun için bkz. www.mevzuat.gov.tr (Erişim Tarihi ve Saati: 14.05.2020- 19.26)
3) Kişisel veri ihlali bildirim usul ve esaslarına ilişkin Kişisel Verileri Koruma Kurulu'nun 24.01.2019 tarih ve 2019/10 sayılı kararına ilişkin duyuru için bkz. www.kvkk.gov.tr (Erişim Tarihi ve Saati: 14.05.2020- 11.20)
URL
YORUMLAR