Lexpera Blog

Kişisel Verinin İlgili Kişinin Kendisi Tarafından Alenileştirilmesi ve Amaca Uygunluk

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“KVK Kanunu”) 5. maddesinin 1. fıkrası uyarınca kişisel veriler ilgili kişinin açık rızası ile işlenecek; aynı maddenin 2. fıkrasında sayılan şartlardan birinin varlığı hâlinde ise, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkün olacaktır. Bu şartlar arasında kişisel verinin, ilgili kişinin kendisi tarafından alenileştirilmiş olması da yer almaktadır.

Diğer bir deyişle, ilgili kişinin alenileştirme iradesiyle açıkladığı kişisel veriler, alenileştirme amacına ve genel ilkelere uygun surette işlendiğinde bu işleme hukuka aykırı bir işleme olmayacaktır. Kişisel verilerin korunmasının amacının özel hayatın gizliliğinin korunması olduğu da dikkate alındığında, hukuk uygun biçimde alenileşen kişisel verinin gizli kalması konusunda, ilgili kişinin artık makul bir beklentisinin varlığından bahsedilemeyecektir[1].

Bu nedenle, alenileşmiş olup genel olarak erişilebilir kişisel verinin kaydedilmesi halinde TCK’nin 135. maddesi bağlamında kişisel verilerin kaydedilmesi veyahut 136. maddesi bağlamında hukuka aykırı ele geçirmenin kural olarak söz konusu olmayacağı kabul edilecektir. Bununla birlikte, belirli amaç veya amaçlar için alenileştirilen verinin kötüye kullanımı ve/ veya amaç dışı kullanımı halinde hakaret, özel hayatın gizliliğini ihlal, huzur ve sükun bozma, cinsel taciz gibi başkaca suçların vücuda geleceği gözden kaçırılmamalıdır[2]. Kişilik haklarına saldırı bağlamında hukuk talepleri de saklıdır.

Özellikle, sosyal medya hesaplarında alenileştirilen kişisel verilerin (fotoğraf, telefon numarası, adres, e-posta adresi gibi) ilgili kişinin o kişisel veriyi alenileştirme amacına uygun olmayan surette kötüye kullanımı halinde (fotoğrafların sahte hesap açmada kullanılması, küçük düşürücü eylemlere konu edilmesi, rıza ile yapılmış özel hayata ilişkin paylaşımların rıza gösterilmeyen kişi veya kişilerle paylaşılması, telefon numarası veya adres bilgilerinin taciz eylemlerinde kullanılması gibi), sıkça yargı kararlarına da konu olduğu biçimde, diğer pek çok suçtan hüküm kurulmaktadır. Bu anlamda şayet ilgili kişinin alenileştirme iradesi ve amaç ile uyumlu surette bir işlemenin hukuka aykırı olduğu iddiası söz konusu ise 6698 sayılı KVK Kanunu’nun 5/2 - d bendinde düzenlenen alenileştirme hali özel bir hukuka uygunluk nedeni olarak ileri sürülebilecektir. Bununla birlikte amaca uygunluk ilkesi, kişisel veriler üzerinde daha sonra yapılan işlemelerin, toplanma zamanındaki amaç ile de uyumlu olmayı sürdürmesini[3] gerektirdiğinden kişinin alenileştirme amaç ve niyetine aykırı olarak daha sonra yapılacak kaydetme, verme, paylaşma gibi işleme eylemleri yine suç teşkil edecektir.

Nitekim Kişisel Verileri Koruma Kurulu (“KVK Kurulu”) kararlarında da amaçla uygunluk hususunun özellikle değerlendirildiği görülmekte; bilhassa alenileştirme özelinde bir örnek olarak ilgili kişinin, kendisine mesleki uzmanlığı nedeniyle ulaşılması amacıyla konu ile ilgili web sitesi üzerinden yayınlayarak alenileştirdiği bilgilerinin sigorta şirketince kendi faaliyetlerine dair işlemler için kullanılması, “ilgili kişi tarafından alenileştirilen kişisel verinin, alenileştirme amacı dışında işlenmesi” nedeniyle ihlal sayılmış ve veri sorumlusuna idari para cezası uygulanmıştır[4].

Kişinin iradesi hilafına elde edilen veriler açısından ise hukuka aykırı ele geçirme (veyahut eyleme göre TCK’nin 243 ve devamı maddelerinde düzenlenen suçlar) söz konusu olabileceği gibi, olası bir sır saklama yükümlülüğü gereği, bu yükümlülük altında olan kişilere sunulan verilerin, karşı taraf veya üçüncü kişi tarafından ihlali halinde de ilgili kişinin kişisel verilerini alenileştirdiği kabul edilemez[5]. Ayrıca alenileştirilen kişisel verinin diğer verilerle birleştirilerek/profillenerek işlenmesi halinde de sorun doğabilecektir[6].

GDPR tarafına bakıldığında ise, GDPR’da KVK Kanunu’ndaki gibi “ilgili kişinin kendisi tarafından alenileştirme”nin açıkça bir işleme şartı olarak sayılmadığı görülmektedir. Fakat GDPR’ın bazı hükümlerinde veri sahibinin kendisi tarafından yapılan alenileştirme ile ilgili düzenlemelere yer verilmiştir. Örneğin GDPR’ın 9/ 2 (e) maddesi ile özel kategorilerdeki kişisel verilerin işlenmesinin işleme faaliyetinin veri sahibi tarafından açık bir biçimde kamuya açıklanan kişisel verilerle ilgili olması halinde işlemenin yasak olmadığı düzenlenmiştir. Keza, Regülasyon’un 14/ 2 (f) maddesinde de kişisel verilerin hangi kaynaktan alındığı ve (uygun ise) kişisel verilerin kamunun erişebileceği kaynaklardan gelip gelmediği bilgisinin veri sahibine sağlanması gerektiği hükmü yer almıştır. Bu hükümde alenileştirmenin her zaman veri sahibinin/ ilgili kişinin kendisi tarafından yapılıp yapılmadığı belli olmamakla birlikte kişisel verinin kamunun erişebileceği bir kaynaktan alınması halinde kontrolör için bir sorumluluk öngörülmüş ve veri sahibi açısından adil ve şeffaf bir işleme faaliyeti sağlamaya yönelik bir bilgilendirme yapması gerekliliği getirilmiştir[7]. Bununla birlikte, şayet resmi kayıtlar bünyesinde tutulan veriler söz konusu ise, KVK Kanunu kapsamında da bir tedbir olarak başvurulan yetki erişimleri ve “bilmesi gereken” prensibi söz konusu olacaktır.


Dipnotlar


  1. Ketizmen, Muammer, Türk Ceza Hukukunda Bilişim Suçları, Adalet Yayınevi, Ankara, 2008, s. 238. ↩︎

  2. Gerek özel hayatın gizliliğini ihlal gerekse kişisel verilerin korunmasına ilişkin suçlar açısından Yargıtay ceza dairelerinin ise alenileştirilen verinin içeriği, biçimi, görünümün günlük hayata mı, özel alana mı dair olduğu gibi kriterler üzerinden ayrımlara gittiği görülmektedir. ↩︎

  3. Küzeci, Elif, Kişisel Verilerin Korunması, Turhan Kitabevi, Ankara, 2019, s. 346. ↩︎

  4. KVK Kurulu’nun 07.11.2019 tarih ve 2019/331 Karar sayılı kararı. ↩︎

  5. Develioğlu, Hüseyin Murat, 6698 Sayılı Kişisel Verilerin korunması Kanunu ile Karşılaştırmalı Olarak Avrupa Genel Veri Koruma Tüzüğü Uyarınca Kişisel Verilerin Korunması Hukuku, On İki Levha Yayınları, İstanbul, 2017, s. 59. ↩︎

  6. Ketizmen, 2008, s. 238. ↩︎

  7. Foitzik, Piotr, Publicly Available Data Under the GDPR: Main Considerations, 28 Mayıs 2019. https://iapp.org/news/a/publicly-available-data-under-gdpr-main-considerations/ ↩︎

Kaynaklar

Develioğlu, Hüseyin Murat, 6698 Sayılı Kişisel Verilerin korunması Kanunu ile Karşılaştırmalı Olarak Avrupa Genel Veri Koruma Tüzüğü Uyarınca Kişisel Verilerin Korunması Hukuku, On İki Levha Yayınları, İstanbul, 2017.

Foitzik, Piotr, Publicly Available Data Under the GDPR: Main Considerations, 28 Mayıs 2019. https://iapp.org/news/a/publicly-available-data-under-gdpr-main-considerations/

Ketizmen, Muammer, Türk Ceza Hukukunda Bilişim Suçları, Adalet Yayınevi, Ankara, 2008.

Küzeci, Elif, Kişisel Verilerin Korunması, Turhan Kitabevi, Ankara, 2019.

www.kvkk.gov.tr

Lexpera Blog’da yayımlanan yazılar, yazarlarının görüşlerini ifade eder. Lexpera Blog’da bir yazıya yer verilmesi, o yazıda savunulan görüşlerin On İki Levha Yayıncılık tarafından benimsendiği anlamına gelmez. Yazılar, bilgi amaçlı olup, hukuki mütalaa ya da tavsiye niteliği taşımamaktadır.
Author image
Hacettepe Üniversitesi Ceza ve Ceza Muhakemesi Hukuku A.B.D.