Lexpera Blog

KVKK Denetimi 2.0: Kişisel Verileri Koruma Kurulu’nun Yerinde İnceleme Yetkisi Var Mı?

Kişisel Verileri Koruma Kurulu (“Kurul”) zaman zaman ihlal iddialarını incelerken yerinde inceleme de yapmaktadır.[1] Kurul bugüne dek genel olarak şikayet üzerine ya da resen başlattığı inceleme süreçlerinde veri sorumlularından yazılı olarak bilgi talep ediyor ve inceleme sürecini yazılı olarak elde ettiği bilgi ve savunmalara göre tamamlıyordu. Şimdiye dek az sayıda yaptığı yerinde incelemelerin artması ile birlikte Kurulun veri sorumluları üzerinde gerçekleştirdiği denetimde yeni bir dönemin başlayacağı söylenebilir. Bir söylenti olarak yıllardır konuşulan ve artması beklenen yerinde incelemenin dayanağı, kapsamı ve riskleri ise oldukça tartışmalı görünmektedir.

Mevzuatta Kişisel Verileri Koruma Kurulu’nun İnceleme Süreci Belirlenmiş Midir?

6698 sayılı Kişisel Verilerin Korunması Kanun (“6698 sayılı Kanun”) 2016 yılında yürürlüğe girmiş olsa da Kişisel Verileri Koruma Kurulu faaliyetlerine 2017 yılında başlamıştır.[2] Kurul, o tarihten bu yana yedi yıldır faaliyet göstermektedir. Bu süre zarfında Kurul, 6698 sayılı Kanunun 22. maddesine uygun olarak şikayet üzerine ya da resen haberdar olduğu binlerce ihlal iddiasını karara bağladı.[3]

On yıla yaklaşan faaliyet süresine ve incelediği ihlal iddialarının fazlalığına rağmen Kurul’un inceleme sürecinin detaylarının yer aldığı kanun ya da kanun altı mevzuat bulunmamaktadır.[4] 6698 sayılı Kanun 15. maddesinin 3., 4., ve 5. fıkralarında inceleme sürecine dair bazı kurallar belirlenmişse de bu düzenlemeler yeterli görünmemektedir. Örneğin Rekabet Kurulunun inceleme ve araştırma süreçlerinin usulü 4054 sayılı Rekabetin Korunması Hakkında Kanunun 40 ila 53. maddesi arasında detaylı olarak düzenlenmiştir. Bu maddelerde; ön araştırma, ön araştırmanın sonuçlanması, soruşturmaya başlanması, soruşturmanın taahhüt ya da uzlaşma ile sonlanması, delillerin toplanması, yazılı savunma, sözlü savunma, kararların alınma ve yazılma şekli ve Kurul görüşme usulü gibi bir inceleme sürecinin tüm aşamaları belirlenmiştir. Kanun hükümlerine ek olarak Rekabet Kurumu tarafından; Rekabet İhlallerine İlişkin Başvuru Usulüne Dair Tebliğ, Rekabet Kurulu Nezdinde Yapılan Sözlü Savunma Toplantıları Hakkında Tebliğ ve Yerinde İncelemelerde Dijital Verilerin İncelenmesine İlişkin Kılavuz gibi düzenleyici işlemler ile inceleme sürecinin bazı aşamaları daha detaylı şekilde düzenlenmiştir.

Rekabet Kurulunun inceleme süreci kanun ve düzenleyici işlemler ile bu şekilde belirginleştirilmişken Kişisel Verileri Koruma Kurulu bakımından inceleme sürecinin kapsamı, inceleme sürecinin aşamaları, bu süreçte Kurulun yetkileri, savunma hakkının kullanılma usulü (yazılı-sözlü) ve süresi, inceleme sürecine ihbar edenin veya şikayetçinin katılımı ve incelenen veri sorumlusunun hakları gibi birçok başlık belirsiz durumdadır.

Kurul Yerinde İncelemeyi Nasıl Gerçekleştiriyor?[5]

Kurulun inceleme sürecinin belirsizliğine ek olarak artık daha sık yapılacağı anlaşılan yerinde inceleme süreçleri veri sorumluları açısından belirsizliğin boyutlarını artırmaktadır.

Yerinde inceleme çalışmaları Kurulun resen ya da şikayet üzerine başlattığı bir inceleme kapsamında yapılıyor. Kurulun inceleme sürecinde bir karar alarak yerinde inceleme yapılmasına karar vermesinin ardından Kişisel Verileri Koruma Kurumu (“Kurum”) uzmanlarına bir görev yazısı düzenleniyor. Ardından Kurum uzmanları görev yazıları ile birlikte veri sorumlusunun merkezine inceleme yapmaya gidiyor.

Peki Kurum uzmanları veri sorumlusu merkezinde nasıl bir inceleme gerçekleştiriyor? Bu sorunun yanıtı mevzuatta bulunmadığı için ancak gözleme dayalı bazı tespitlerde bulunmak mümkündür.

Uzmanlar veri sorumlusunun yetkililerine yürümekte olan inceleme sürecinde kullanılabilecek bilgileri almayı amaçlayacak şekilde veri sorumlusunun veri işleme süreçleri ve veri güvenliği ile ilgili sorular yöneltiyor. Bu sorulara verilen yanıtlar Tespit Tutanağı başlıklı bir belge ile tutanak altına alınıp yetkililer ve uzmanlar tarafından imzalanıyor.[6] Bazı hallerde Kurulun yerinde incelemede teknik tespitler de yaptığı anlaşılmaktadır.[7] Muhtemelen 6698 sayılı Kanun ve alt mevzuatta Kurulun yerinde inceleme yetkisi kapsamında yapabilecekleri detaylı şekilde belirlenmediği için de Kurum uzmanları inceleme konusunu ilgilendiren delilleri inceleme ya da bunların kopyalarını alma şeklinde işlemler gerçekleştirmiyor.

Yerinde inceleme sürecine dair vurgulanması gereken önemli nokta; uzmanlar inceleme konusu ihbar ya da şikayetin içeriği hakkında veri sorumlusu yetkililerini bilgilendirmeyebiliyor. Ayrıca veri sorumlusu yetkilisine inceleme sürecine dair hakları (avukat çağırabilme gibi), sürecin akıbeti ve yerinde inceleme sürecinden sonra savunma hakkı tanınıp tanınmayacağı gibi bilgiler de verilmiyor. Kaldı ki yerinde incelemede yapılması gereken bilgilendirmeleri düzenleyen bir hüküm de bulunmuyor.

Kurulun Yerinde İnceleme Faaliyetine Dair Sorun ve Hukuka Aykırılıklar Nelerdir?

Kurulun yerinde inceleme sürecine dair sorun ve hukuka aykırılıklar maddeler halinde şu şekilde ifade edilebilir:

I. Kanunilik Ölçütü

  1. 6698 sayılı Kanunun 15. maddesinde “veri sorumlu[larının], Kurulun, inceleme konusuyla ilgili istemiş olduğu bilgi ve belgeleri on beş gün içinde göndermek ve gerektiğinde yerinde inceleme yapılmasına imkân sağlamak zorunda” olduğu düzenlemesi yer almaktadır. Kurula yerinde inceleme yapma yetkisi tanıyan bu hükmün yerinde incelemeye dair başka bir detay içermediği görülmektedir. Ayrıca Kişisel Verileri Koruma Kurulu Çalışma Usul ve Esaslarına Dair Yönetmelikte de yerinde inceleme sürecine dair bir hüküm bulunmamaktadır.

6698 sayılı Kanunda yalnızca veri sorumlusunun yükümlülüğü olarak düzenlenen yerinde incelemenin bu haliyle kanun kalitesini[8] sağlaması kolay görünmemektedir. Zira Kanunun varlığı kadar kanun metninin ve uygulamasının da bireylerin davranışlarının sonucunu öngörebileceği kadar hukuki belirlilik taşıması gerekir. Bir diğer ifadeyle kanunun kalitesi de kanunilik koşulunun sağlanıp sağlanmadığının tespitinde önem arz etmektedir.[9] Müdahalenin kanuna dayalı olması, müdahaleye ilişkin yeterince erişilebilir ve öngörülebilir kuralların bulunmasını gerektirmektedir.[10] Oysa 6698 sayılı Kanunda bulunan yerinde inceleme yetkisi veri sorumluları bakımından öngörülebilir bir kural değildir.

  1. Anayasa Mahkemesi’nin 4054 sayılı Kanunun 15. maddesinde Rekabet Kuruluna açıkça ve detaylı şekilde verilen yerinde inceleme yetkisini dahi Anayasanın 21. maddesinde düzenlenen konut dokunulmazlığı hakkına aykırı bulduğu dikkate alınırsa hiçbir detayı bulunmayan, sadece yetkiyi düzenleyen Kanun maddesine dayanarak yapılan yerinde incelemenin Anayasaya aykırı olacağı söylenebilecektir.

II. Hukuki Güvenlik ve Belirlilik

  1. Yerinde inceleme sürecinin detaylarını düzenleyen bir mevzuatın olmaması veri sorumlularının hukuki güvenliklerini ihlal etmektedir. Yerinde inceleme faaliyetinin şekli, içeriği, kapsamı, sonuçları ve veri sorumlusunun hakları belirsizdir.

  2. Veri sorumlusuna yerinde inceleme sonrası teslim edilen tespit tutanağı yalnızca sorulan sorular ve yanıtlarını içermekte, şikayet ya da ihbar konusu ve inceleme sürecinin devamı hakkında herhangi bir bilgilendirme bulunmamaktadır. Bu yönüyle veri sorumlusu, elinde bulunan tespit tutanağı ve bir belirsizlik yumağı içinde Kurulun hakkında tesis edeceği işlemi beklemektedir.

  3. Bu haliyle Kurul tarafından yerinde incelemenin yürütülüş şekli idari faaliyetlerde bulunması gereken belirlilik ve hukuki güvenlik ilkelerine aykırı görünmektedir.

III. Niteliği ve Benzer Yetki Kullanımlarından Farkı

  1. Kurul, yaptığı yerinde incelemede delil toplamamakta, yalnızca veri sorumlusu yetkililerine soru yönelterek mülakat yöntemi ile bir tutanak hazırlanmaktadır.

  2. Oysa yerinde inceleme yetkisi, Rekabet Kurulu başta olmak üzere birçok idare[11] tarafından delil elde etme ve yazılı bilgi ile elde edilemeyecek olgu ve süreçlerin tespiti için yapılmaktadır.

  3. Bu iki fark ortaya koyulduğunda Kurulun gerçekleştirdiği yerinde incelemenin delil toplama amacıyla yapılmadığı, şikayet ya da ihbar konusuna dair veri sorumlusu yetkililerinin savunmalarının, beyanlarının alınmasının amaçlandığı görülmektedir.

  4. Bu durum Kurulun yerinde incelemesinin diğer idarelerden farklı olarak delil tespiti niteliğinde olmadığını, savunma hakkının farklı bir biçimde kullandırılması niteliğinde olduğunu düşündürtmektedir. Başka bir deyişle Kurul, genelde yazılı biçimde istediği savunmayı, uzmanlarını veri sorumlusuna gönderip şifahi savunmaları tutanağa geçirerek almaktadır.

Savunma Hakkı

  1. Kurulun yerinde inceleme faaliyeti; yürüttüğü bir inceleme bakımından veri sorumlusu yetkililerinin beyanlarının tutanak altına alınması şeklinde gerçekleştiği için esasında veri sorumlusunun savunma hakkının farklı bir biçimde kullandırılması niteliğindedir. Bu nedenle mevcut yöntemin savunma hakkı bakımından barındırdığı sorunlara da değinilmelidir. Zira Anayasanın 36. maddesinde yer alan savunma hakkı, idarenin yürüttüğü inceleme ve soruşturmalarda da geçerli olan bir haktır.

  2. Öncelikle Kurulun inceleme süreçlerinde savunma almasını zorunlu kılan, savunma istem yazısında bulunacak unsurları ve savunma için verilecek süreleri gösteren açık bir yasal düzenleme bulunmadığı belirtilmelidir.[12] Ayrıca bazı yerinde incelemelerde veri sorumlusuna inceleme konusu olay ve hakları hakkında sağlıklı bir bilgi verilmemesi önemli bir eksikliktir. Veri sorumlusu yetkilileri, bazı hallerde bilmedikleri bir olayla ilintili olarak sorulan genel sorulara yanıt vermek durumunda kalmaktadır. Bu durum, hakkındaki isnadı öğrenmeden savunma yapmak ve inceleme sürecinde veri sorumlusunu zor duruma düşürecek çelişkili cevaplar vermek gibi bir soruna da neden olmaktadır. Savunma ancak isnad edilen suç/olgu tam olarak bilinirse etkin şekilde kullanılabilir. Aksi halde savunma hakkının kullanılabilmesi mümkün değildir.[13]

  3. Danıştay’ın memur disiplin süreçlerinde savunma istem yazısında isnad edilen olguların ve hangi maddenin/bendin/alt bendin dayanak olduğunun gerekçeli şekilde açıklanmadığı disiplin cezalarını hukuka aykırı bulması[14] da Kurulun yerinde incelemede ihbar ve şikayet hakkında yeterli düzeyde bilgi vermeden aldığı savunmanın hukuka aykırılığını göstermektedir.

  4. İsnad edilen olgu bildirilmeden savunma alınmasının doğurduğu bir diğer problem ise veri sorumlusu yetkililerinin inceleme süreçlerinde kendilerini zor duruma sokacak çelişkili açıklamalar yapma olasılıklarıdır. Bu durumda yetkililer, Kurulun elindeki belgeler karşısında çelişkili duruma düşmek ile kendilerini suçlayacak açıklamalar yapmak arasında bir çıkmaza sürüklenmektedir. Oysa Anayasanın 38/5. maddesine göre “Hiç kimse kendisini (…) suçlayan bir beyanda bulunmaya veya bu yolda delil göstermeye zorlanamaz.” İsnad edilen olgu bildirilmeden ihbar ya da şikayete konu olaya dair genel soruların sorulması veri sorumlusu yetkilisi bakımından Anayasada yer alan bu yasağı ihlal edecek bir durum oluşturmaktadır.

  5. İsnad edilen olgunun bildirilmemesinin savunma hakkı üzerinde yarattığı olumsuz etkinin üzerine kişisel veri alanının teknik boyutu eklendiğinde yerinde incelemenin veri sorumlusu açısından dezavantajı artmaktadır. Kişisel verilerin korunması için alınan teknik ya da idari tedbirlerin birçoğu veri sorumlusu yetkililerinin bilemeyeceği ya da anlamayacağı kadar tekniktir. Bir şirket müdürüne “hangi teknik tedbirleri alıyorsunuz, firewall nerede, sızma testini en son ne zaman yaptırdınız, yetki matrisiniz var mı?” gibi sorular sorulması alanın teknik boyutu dikkate alındığında anlamlı değildir. Bu nedenle avukat ve teknik tedbirlere hakim kişiler (bilgi güvenliği birimi yetkilileri veya bilgi güvenliği danışmanı/tedarikçisi) olmaksızın savunma alınması veri sorumlusunun savunma hakkını kısıtlayan bir durum oluşturmaktadır.

Sonuç

Kişisel Verileri Koruma Kurulunun yerinde incelemesine dayanak olan 6698 sayılı Kanunun 15. maddesinin veri sorumluları için öngörülebilir ve yeterli bir yasal dayanak olduğu tartışmalıdır. Anayasa Mahkemesi’nin Rekabet Kurulunun yerinde inceleme yetkisini konut dokunulmazlığına aykırı bulduğu yakın tarihli kararı göz önüne alındığında Kurulun bu yetkiyi kullanması oldukça sorunludur.

Ayrıca Kurulun yerinde incelemeyi yapma şekli genellikle veri sorumlusu yetkilisine sorular sorulması ve tutanak altına alınması şeklinde gerçekleşmektedir. Bu soruların sorulmasından önce veri sorumlusu yetkililerine hakları, inceleme konusu iddia ve inceleme sürecinin akıbeti hakkında yeterli düzeyde bilgi verilmemektedir. Bu da veri sorumlusu yetkililerinin verilen bilgi düzeyinin azlığı ölçüsünde bilmedikleri bir olay hakkında çelişkili, yanlış bilgi verme olasılıklarını artırmaktadır. Üstelik veri sorumlusu yetkililerinin önemli bir kısmı teknik bir alan olan kişisel verilerin işlenmesi ve veri güvenliği hakkında bilgi sahibi değillerdir.

Tüm bunlar birlikte değerlendirildiğinde; Kurulun yeterli kanuni düzenlemenin bulunmadığı ve savunma hakkının ihlal edilebildiği yerinde inceleme sürecini gözden geçirmesi gerekmektedir. Bu yetkinin veri sorumlularının konut dokunulmazlığı, mülkiyet hakkı ve savunma hakkına uygun şekilde kullanılabilmesi için 6698 sayılı Kanunda detaylı bir düzenleme yapılması gerekmektedir. Unutulmamalıdır ki idare hukukunda yetki, iyi bir amaçtan ya da kamu yararından değil ancak kanun kalitesine sahip kanuni bir düzenlemeden doğabilir.


Dipnotlar


  1. Örneğin; Kurulun 18.09.2019 tarihli ve 2019/276 sayılı (https://www.kvkk.gov.tr/Icerik/6558/2019-276), 27/04/2021 tarihli ve 2021/426 sayılı (https://www.kvkk.gov.tr/Icerik/6980/2021-426) ve 28/09/2023 tarihli ve 2023/1645 sayılı (https://www.kvkk.gov.tr/Icerik/7765/2023-1645) kararlarında Kurulun yerinde inceleme yaptığı belirtiliyor. ↩︎

  2. Kurul, 6698 sayılı Kanun ile kurulmuş olsa da üyelerin ve başkanın seçilmesi 2017 yılına dek sürmüştür. Bkz. https://www.kvkk.gov.tr/Icerik/2075/Kurumsal-Tarihce ↩︎

  3. Kurul’un 2018 yılından bu yana yayınladığı faaliyet raporlarında şikayet sonucu ya da resen yapılan inceleme sonuçlarına dair sayısal istatistikler yer almaktadır. Bkz. https://www.kvkk.gov.tr/Icerik/2094/Faaliyet-Raporu ↩︎

  4. Halil Altındağ, Kişisel Verileri Koruma Kurulu Tarafından Verilen İdari Para Cezaları, Adalet Yayınevi, Ankara, 2021, s. 179. ↩︎

  5. Bu konuyu düzenleyen herhangi bir mevzuat bulunmadığı için uygulamadaki örneklerden elde edilen bu çıkarımlar yapılan incelemenin türü ve kapsamına göre farklılık gösterebilir. ↩︎

  6. Kurulun 27/04/2021 tarihli ve 2021/426 sayılı kararında bulunan “yerinde inceleme ve konuya ilişkin ifadelerinin yer aldığı tutanakta” ibaresi de bu durumu teyit etmektedir. ↩︎

  7. Örneğin Kurul 28/09/2023 tarihli ve 2023/1645 sayılı kararında “oyuncuların/üyelerin kişisel verilerinin yedeklenmediğinin yerinde inceleme neticesinde tespit edildiği dikkate alındığında” ibaresi ile kişisel verilerin yedeklenmediğine dair tespitin yerinde incelemede yapıldığını açıklamıştır. ↩︎

  8. Kanun kalitesi kavramı hakkında bkz. Haşim Özpolat, Anayasa Mahkemesinin Bireysel Başvurularında Maddi Anlamda Kanun Kriteri, TAAD, Y. 9, S. 33, s. 612 v.d. ↩︎

  9. Anayasa Mahkemesi, Necmiye Çiftçi ve diğerleri Başvurusu, B. No: 2013/1301, T. 30.12.2014, para. 55. ↩︎

  10. Anayasa Mahkemesi, Türkiye İş Bankası A.Ş. Başvurusu, B. No: 2014/6192, T. 12.11.2014, para. 44. ↩︎

  11. Nükleer Düzenleme Kurumu, Ticaret Bakanlığı, Sermaye Piyasası Kurumu, Enerji Piyasası Düzenleme Kurulu gibi idarelerin de yerinde inceleme yetkileri bulunmaktadır. ↩︎

  12. Altındağ, a.g.e., s. 181. ↩︎

  13. Bkz. Anayasa Mahkemesi, Salih Öz Başvurusu, B. No: 2015/13327, T. 17.07.2018; Anayasa Mahkemesi, T.K. Başvurusu, B. No: 2019/7210, T. 28.12.2021; Anayasa Mahkemesi, İsmail Reçber Başvurusu, B. No: 2021/7616, T. 07.06.2023. ↩︎

  14. Örnek için bkz. D. 12. D., E. 2016/6788 K. 2019/8868 T. 18.11.2019; D. 12. D., E. 2012/11116 K. 2016/192 T. 5.4.2016; D. 5. D., E. 2016/51130 K. 2019/6723 T. 24.12.2019. Bkz. Lexpera İçtihat ve Bilgi Bankası. ↩︎

Lexpera Blog’da yayımlanan yazılar, yazarlarının görüşlerini ifade eder. Lexpera Blog’da bir yazıya yer verilmesi, o yazıda savunulan görüşlerin On İki Levha Yayıncılık tarafından benimsendiği anlamına gelmez. Yazılar, bilgi amaçlı olup, hukuki mütalaa ya da tavsiye niteliği taşımamaktadır.
5846 sayılı Fikir ve Sanat Eserleri Kanunu ve diğer mevzuat hükümlerine aykırı ve bilimsel yazma etik kurallarını aşan iktibaslar konusunda yazarların ve On İki Levha Yayıncılık’ın rızası bulunmamaktadır.
Author image
İstanbul Medeniyet Üniversitesi İdare Hukuku Anabilim Dalı