Kurul ölçülülük ilkesine aykırı bulduğu bir kararında353 “Spor kulübünde giriş çıkış kontrolünün yapılabilmesi ve kulüp hizmetlerinden faydalanmak isteyen kişilere ilişkin giriş kontrolünün alternatif yollar ile sağlanması mümkün iken kişilerin biyometrik veri niteliğindeki avuç içi izi verisinin alınmasının KVKK m.4/2’de yer alan işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkesi ile bağdaşmadığına karar vermiştir.”
Danıştay bir kararında354 çalışanların işe giriş saatlerinin tespiti amacıyla kullanılan “parmak izi taraması uygulaması”nın hukuka aykırı olduğuna hükmetmiştir.
üzerindeki miktarda veri saklanmamalıdır. Kişisel verilerin muhafaza edildiği her bir gün veri güvenliği bakımından risk yaratmaktadır. Bu ilke “unutulma hakkı” ve “veri minimizasyonu ilkesi” ile doğrudan bağlantılıdır355. “Unutulma hakkı” gereği verilerin sınırsız süre tutulmaması gerekir. Zira her kişi, unutulma hakkına sahiptir. Ayrıca verilerin tutulması gerekli olan süre geçince artık saklanmaması tutulan veri sayısını azaltacağından “veri minimizasyonu” ilkesinin de gerçekleşmesini sağlayacaktır.
KVKK’da belirtilen “gerekli olan süre” ifadesinin ne kadarlık bir süre olduğu tespit edilmelidir. Zira bu tespit yapılmazsa veri sorumlusunun bir veriyi gereğinden fazla ya da gereğinden az sakladığı tespit edilemez. KVKK bu konuda ikili bir ayrım yapmıştır.
Bu süre “mevzuatta öngörülen süre” olabilir. Eğer mevzuatta gerekli olan süre açıkça hükme bağlanmışsa veri sorumlusu bu süreyi aşamayacaktır.
Bu duruma, ilgili Kurul kararında356 da belirtilen “5411 sayılı Bankacılık Kanunu” m. 42 “Alınan yazılar ve faaliyetler ile ilgili belgelerin asılları ... ilgili banka nezdinde on yıl süreyle saklanır.” ve “Bankaların Muhasebe Uygulamalarına ve Belgelerin Saklanmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik” m. 17/1
“Bankaların, müşterilerinden … aldıkları mektup, telgraf, elektronik posta mesajı, ilam ve tebligatları … istenildiğinde ibraz edilebilecek şekilde nezdlerinde on yıl süreyle saklamaları zorunludur.” düzenlemeleri örnek olarak verilebilir. Kurul’un bu kararında ilgili kişi, veri sorumlusu bankaya verilerinin silinmesi için başvuruda bulunmuş, ancak
355 Küzeci, s. 337.
356 Kurul Kararı, 05.12.2018 T., 2018/142 K. https://www.kvkk.gov.tr/Icerik/5424/-
Ilgili-mevzuatta-ongorulen-veya-islendikleri-amac-icin-gerekli-olan-sure-kadar- muhafaza-edilme-ilkesi-geregince-kisisel-verilerin-silinmemesi-hakkinda-Kisisel-Verileri-Koruma-Kurulunun-05-12-2018-tarihli-ve-2018-142-sayili-Karari-Ozeti (E.T.:
14.03.2020).
mevzuatta belirtilen 10 yıllık saklama süresi geçmediğinden Kurul tarafından ihlal tespit edilmemiştir.
Mevzuatta herhangi bir süre belirlenmemişse bu süre “işlendikleri amaç için gerekli olan süre”dir357. Veri sorumlularının bu hükmü geniş yorumlaması uygulamada haksız ve hukuka aykırı veri stoklanmasının önünü açacaktır. Bunu öngören kanun koyucu veri sorumlularının VERBİS’e kaydolurken “kişisel verilerin işlendikleri amaç için gerekli olan azami süre”nin bildirilmesi gerektiğini hükme bağlamıştır358. Bildirilecek olan bu süre “makul bir süre” olmalıdır.
“Mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre”nin geçmesi halinde veri sorumlularının söz konusu veriye ne kendilerinin ne de 3. kişilerin ulaşamayacakları şekilde eylemde bulunmaları gerekmektedir. İleride de tekrar değineceğimiz gibi bu eylem verileri silme ya da anonim hale getirmedir359. Sürenin geçmesi, amacın gerçekleşmesi veya veri işleme şartının artık bulunmaması durumlarından sonra veri muhafaza edilemeyecektir360. Örneğin alışveriş merkezi
357 Bu husus KVKK m.4 gerekçesinde şu şekilde ifade edilmiştir: “Kişisel verilerin, ancak ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi zorunludur. Buna göre, veri sorumluları, ilgili mevzuatta verilerin saklanması için öngörülen bir süre varsa bu süreye uyacak; yoksa verileri, ancak işlendikleri amaç için gerekli olan süre kadar muhafaza edebilecektir.”
358 KVKK m. 16/3/f.
359 Bu husus m.4 gerekçesinde de ifade edilmiştir: “Bir verinin daha fazla saklanması için geçerli bir sebep olmaması durumunda, o veri silinecek veya anonim hale getirilecektir. Gelecekte kullanma ihtimalinin varlığına dayanarak veri saklanamayacaktır.”
360 Kurum, Örnekler, s.9
tarafından düzenlenen, belirli bir miktar alışveriş yapılması durumunda katılınabilecek araba çekilişi için müşterilerin bazı kişisel verilerinin işlenmesi durumunda, çekiliş gerçekleştikten sonra bu veriler artık muhafaza edilemeyecektir.
III. Kişisel Verileri İşleme Şartları
Anayasa m. 20/3’de “kişisel verilerin ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebileceği” hükme bağlanmıştır. Yani veri işlenebilmesi için ilgili kişinin açık rızasının gerekmesi anayasal güvence altındadır. Açık rıza dışında bir sebeple kişisel veri işlenecekse bu hallerin kanunda belirtilmesi gerektiği de Anayasa’da düzenlenmiştir. Anayasa hükmüyle uyumlu olarak, kişisel verilerin işlenebilmesi için gerekli olan şartlar KVKK m. 5’de hüküm altına alınmıştır. KVKK m. 5/1’de kişisel verilerin açık rıza olmadan işlenemeyeceği düzenlenmiştir. Maddenin devamında ise açık rızanın olmadığı hallerde verilerin işlenebileceği haller sayılmıştır. Ancak burada belirtmek gerekir ki, kural kişisel verilerin işlenmemesidir. Kişisel verilerin işlenmesi istisnadır361. Bu nedenle bu şartların tümü dar yorumlanmalıdır. Her zaman zayıf durumda olan “ilgili kişi lehine yorum” yapılmalıdır. Kişisel veri işleme şartlarının oluşup oluşmadığı hususunda tereddüt varsa şartın olmadığı kabul edilerek kişisel veri işlenmemelidir.
Kişisel verilerin hukuka uygun olarak işlenebilmesi için KVKK m.5’de sayılan hallerden herhangi birinin olması yeterlidir. Hepsinin bir arada olması gerekmez.
Kanunda kişisel verilerin işlenebileceği haller sınırlı sayıda sayılmış olup, bu haller dışında veri işlenmesi hukuka aykırı olacaktır. Eğer açık rıza ya da açık rıza gerekmeyen haller mevcut değilse somut olayda kişisel verilerin işlenmesi mümkün değildir. Bir kurul
361 Şimşek, s. 208.
kararında362 da “Bir Eğitim Kurumu tarafından ilgili kişinin cep telefonu numarasının herhangi bir veri işleme şartına dayanmaksızın işlenmesi ve ilgili numaraya reklam/bilgilendirme içerikli mesaj gönderilmesinin; kişinin açık rızasına veya KVKK m.
5/2’de sayılan diğer veri işleme şartlarına dayanmadığından” hukuka aykırı bir veri işleme olduğu yönünde karar verilmiştir. Yine benzer bir kararda363 “X Eğitim kurumunun kişisel veri işleme şartları olmaksızın ilgili kişinin cep telefonuna reklam amaçlı kısa mesaj göndermesi” sebebiyle veri sorumlusu hakkında idari para cezası uygulanmıştır.
Günlük yaşantıda sıklıkla veri sorumluları tarafından herhangi bir veri işleme şartına dayanmadan SMS veya mail ile ilgili kişilerle iletişim kurulmaktadır. Sıklıkla karşılaşılan söz konusu veri ihlalini dikkate alan Kurum, bu konuda ilke kararı yayımlamıştır364. "Veri sorumluları ve veri işleyenler tarafından ilgili kişilerin e-posta adreslerine veya SMS ya da çağrı ile cep telefonlarına reklam bildirimleri/aramaları
362 Kurul Kararı, 14.01.2020 T., 2020/20 K. https://www.kvkk.gov.tr/Icerik/6699/2020-20 (E.T.: 17.03.https://www.kvkk.gov.tr/Icerik/6699/2020-20https://www.kvkk.gov.tr/Icerik/6699/2020-20). Veri sorumlusu doktor hakkında verilen aynı yönde başka bir karar için bkz. Kurul Kararı, 07.11.2019 T., 2019/332 K.
https://www.kvkk.gov.tr/Icerik/6624/2019-332 (E.T.: 17.03.2020). Benzer yönde kararlar için bkz. Kurul Kararı, 08.07.2019 T., 2019/204 K.
https://www.kvkk.gov.tr/Icerik/5517/2019-204 (E.T.: 17.03.2020)., Kurul Kararı, 31.05.2019 T., 2019/162 K. https://www.kvkk.gov.tr/Icerik/5495/2019-162 (E.T.:
18.03.2020).
363 Kurul Kararı, 18.09.2019 T., 2019/276 K.
https://www.kvkk.gov.tr/Icerik/6558/2019-276 (E.T.: 17.03.2020).
364 Kurul İlke Kararı, 16.10.2018 T., 2018/119 K.
https://www.kvkk.gov.tr/Icerik/5299/2018-119 (E.T.: 19.03.2020).
yönlendirilmesinin önüne geçilmesi "ne ilişkin kararıyla Kurul, uygulamada sıklıkla karşılaşılan veri ihlallerinin önlenmesi gereğini belirtmiştir.
Çalışmada ilk önce açık rıza kavramı incelenecek, sonrasında ise açık rıza dışındaki kişisel verilerin işlenebilmesi için olması gerekli olan şartlar üzerinde durulacaktır. Hassas kişisel verilerin işlenmesi ise ayrı şartlara tabi olduğu için ayrı başlık altında incelemeye tabi tutulacaktır.