Kişisel Verilerin Dilekçe ile Paylaşılması ve “Veri Sorumlusu” Sıfatı: 2019/47 Sayılı Karar Analizi
Kişisel Verileri Koruma Kurulu (Kurul), 01/03/2019 tarihli bu kararı ile KVKK’nın uygulama alanındaki en temel kriterlerden birini netleştirmiştir: Bir şahsın, diğer bir şahıs hakkındaki bilgileri dilekçelere konu etmesi, her zaman KVKK kapsamında bir “veri işleme faaliyeti” sayılır mı? Karar, “veri sorumlusu” kavramının sınırlarını ve adli suçlar ile idari ihlaller arasındaki farkı vurgulamaktadır.
1. Olayın Özeti: Aile Bilgilerinin Dilekçelerde Kullanılması
Olay: Bir şahıs (başvuran), bir başka şahsın (şikayet edilen) kendisi ve ailesi hakkındaki kişisel bilgilere İcra Müdürlükleri üzerinden hukuk dışı yollarla ulaştığını ve bu bilgileri rızası dışında yargı mercilerine ve üçüncü kişilere dilekçeler yoluyla aktardığını iddia ederek Kurul’a şikayette bulunmuştur.
2. Kurulun Hukuki Değerlendirmesi: Veri Kayıt Sistemi ve Suç Unsuru
Kurul, şikayeti iki temel noktada incelemiş ve reddetmiştir:
A. “Veri Sorumlusu” Sıfatının Oluşmaması
KVKK hükümlerinin uygulanabilmesi için verilerin; tamamen veya kısmen otomatik olan ya da bir “veri kayıt sisteminin parçası” olmak kaydıyla otomatik olmayan yollarla işlenmesi gerekir.
- Kurul, şikayet edilen şahsın muhtelif mercilere yazdığı dilekçelerde bu bilgileri kullanmasını, sistematik bir veri kayıt sistemi (veritabanı, indekslenmiş arşiv vb.) işletmek olarak görmemiştir.
- Şahsın bir “veri sorumlusu” sıfatı taşımadığına, dolayısıyla eyleminin KVKK denetim alanına girmediğine hükmetmiştir.
B. Adli Yargı ve Türk Ceza Kanunu (TCK) Vurgusu
Kurul, verilerin hukuka aykırı şekilde elde edildiği (İcra Müdürlüğünden usulsüzce sızdırıldığı) iddiasını ciddi bulmakla birlikte, bunun adresinin kendisi olmadığını belirtmiştir:
- Kişisel verilerin hukuka aykırı ele geçirilmesi ve yayılması bir suç niteliğindedir.
- KVKK Madde 17 uyarınca, bu tür iddialar hakkında Türk Ceza Kanunu hükümleri uygulanır ve yetki Cumhuriyet Savcılıklarındadır.
C. Somut Delil Eksikliği
Başvuranın, “verilerim icra müdürlüğünden sızdırıldı” iddiasının sadece bir kişisel kanaatten ibaret olduğu, bu iddiayı destekleyen somut bir bilgi veya belgenin sunulmadığı tespit edilmiştir.
3. Karar Sonucu: “Yapılacak Bir İşlem Bulunmamaktadır”
Kurul inceleme neticesinde;
- Şikayet edilenin bir “veri sorumlusu” olarak nitelendirilemeyeceği,
- İddiaların TCK kapsamındaki suçlar (verileri hukuka aykırı ele geçirme) ile ilgili olduğu ve yargının görev alanına girdiği,
- İddiaların somut belgelerle tevsik edilmediği,Gerekçeleriyle, başvuru hakkında yapılacak bir işlem bulunmadığına karar vermiştir.
4. Özgür Eralp Perspektifi: “Her Veri Paylaşımı KVKK İhlali Değildir”
Bilişim hukuku dünyasında en çok karıştırılan husus; bir bireyin, bir başkası hakkındaki bilgiyi mahkemeye dilekçeyle sunmasının doğrudan KVKK ihlali sanılmasıdır. Oysa KVKK, daha çok profesyonel veya sistematik veri işleyen yapıları (şirketler, vakıflar, büyük veri havuzları) hedef alır. İki şahıs arasındaki husumette birinin diğerinin bilgisini dilekçeye yazması, eğer sistematik bir arşiv tutulmuyorsa, KVKK’nın değil Türk Ceza Kanunu‘nun (özel hayatın gizliliği, verilerin hukuka aykırı yayılması) konusudur.
Bir yatırımcı avukat vizyonuyla uyarım şudur: Eğer birinin verilerinizi “usulsüzce ele geçirdiğinden” eminseniz, vaktinizi Kurul’da değil, Cumhuriyet Savcılığında harcamalısınız. Kurul, “kimin veri sorumlusu olduğu” ve “verinin nasıl bir sistemle işlendiği” konusunda çok katı bir “teknik” bakış açısına sahiptir. Delillendirilmemiş ve “suç” niteliğindeki iddialar her zaman yargı mercilerine havale edilir.
Sıkça Sorulan Sorular
1. Bir kişi benim verimi mahkemeye sunarsa KVKK’ya şikayet edebilir miyim?
Eğer bu kişi bir “veri sorumlusu” (şirket, kurum vb.) değilse ve veriyi bir kayıt sisteminden çekmiyorsa Kurul genellikle “görevsizlik” verir. Bu durumda hakkınızı mahkemede savunmalı ve verinin hukuka aykırı elde edildiğini iddia ediyorsanız savcılığa gitmelisiniz.
2. “Veri Kayıt Sistemi” ne demektir?
Kişisel verilerin belirli kriterlere göre (isim, tarih, müşteri no vb.) yapılandırılarak işlendiği kayıt sistemidir. Bir bilgisayar klasörü veya alfabetik bir dosya dolabı veri kayıt sistemidir; ancak tekil bir dilekçe genellikle bu kapsama girmez.
3. İcra dairesindeki bilgilerim herkese açık mıdır?
Hayır. İcra dosyalarını sadece taraflar (alacaklı, borçlu) ve avukatları inceleyebilir. Üçüncü kişilerin bu bilgilere erişmesi “Görevi Kötüye Kullanma” ve “Kişisel Verilerin İhlali” suçlarını oluşturur.
4. Kurul neden “tevsik edici belge” (delil) istiyor?
KVKK şikayetlerinde “kanaat” yeterli değildir. İddia ettiğiniz ihlalin gerçekleştiğine dair ekran görüntüsü, belge, yazışma veya tutanak gibi somut kanıtlar sunmanız gerekir.
5. Savcılığa şikayet edersem ne olur?
Savcılık, verilerin nereden ve nasıl sızdırıldığını araştırmak için bilişim polislerini ve sistem kayıtlarını inceleyebilir. Suç tespit edilirse şahıs hakkında ceza davası açılır.
Kaynaklar
- KVKK Kurumu – 2019/47 Sayılı Karar Özeti
- 6698 Sayılı KVKK (Madde 2, 3 ve 17)
- Türk Ceza Kanunu (Madde 135-136)
Etiketler
KVKK, Veri Sorumlusu, Veri Kayıt Sistemi, TCK, İcra Müdürlüğü, Dilekçe, Karar Analizi, Bilişim Hukuku, Özgür Eralp, Kişisel Veri İhlali, Suç Duyurusu, Adli Yargı, Delil Yetersizliği
Avukat-Hukuk Danışmanı,
Dijital İçerik oluşturucu,
Kitle fonlama girişimci ve yatırımcısı,
ODTÜ Felsefe Öğrencisi:)
AÖF Yönetim Bilişim Sistemleri Öğrencisi:),