Mahkemeye Fazla Veri Gönderilmesi ve Veri Minimizasyonu: 2018 Yılı KVKK Karar Analizi
Kişisel Verileri Koruma Kurulu, 2 Ağustos 2018 tarihli bu karar özetiyle, “hukuki yükümlülük” maskesi altında yapılan aşırı veri paylaşımlarına karşı sınırları çizmiştir. Bu karar, özellikle adli makamlarla kurulan iletişimde veri sorumlularının “ne istendiyse sadece onu” gönderme zorunluluğunu (Veri Minimizasyonu) tescil etmektedir.
1. Olayın Özeti: Mahkeme İstedi, Şirket “Fazlasıyla” Verdi
Olay: Bir mahkeme, devam eden bir yargılama kapsamında veri sorumlusu olan kurumdan ilgili kişi hakkında belirli kişisel verileri talep etmiştir. Ancak veri sorumlusu, mahkemenin talebiyle sınırlı kalmayıp, ilgili kişinin dosyasındaki gereğinden fazla ve konuyla ilgisiz kişisel veriyi de mahkemeye aktarmıştır.
2. Kurulun Hukuki Değerlendirmesi: “Hukuki Yükümlülük” Sınırsız Değildir
Kurul, veri sorumlusunun “Mahkeme istedi, ben de gönderdim” şeklindeki savunmasını kabul etmeyerek şu hukuki saptamaları yapmıştır:
- Hukuki Yükümlülük Sınırı (Md. 5/2-ç): Mahkeme müzekkeresine cevap vermek bir hukuki yükümlülüktür. Ancak bu yükümlülük, sadece talep edilen veri ile sınırlıdır. Talebi aşan her türlü veri aktarımı “hukuki yükümlülük zorunluluğu” kapsamında değerlendirilemez.
- Ölçülülük ve Sınırlılık İlkesi (Md. 4/1-ç): Kişisel verilerin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması KVKK’nın temel direğidir. Mahkemenin ihtiyacı olmayan verilerin gönderilmesi, bu altın kuralı doğrudan ihlal eder.
- Veri Güvenliği Zafiyeti (Md. 12/1): Gereğinden fazla verinin yetkisiz (veya gerekçesiz) bir merciye aktarılması, verinin gizliliğini ve güvenliğini sağlayamamak anlamına gelir.
3. Karar Sonucu: İdari Para Cezası
Kurul, mahkemeye talep edilenin ötesinde veri göndererek “veri minimizasyonu” ilkesini çiğneyen ve veri güvenliği yükümlülüğünü yerine getirmeyen veri sorumlusu hakkında KVKK Madde 18 uyarınca idari para cezası uygulanmasına karar vermiştir.
4. Özgür Eralp Perspektifi: “Gereğinden Fazla Veri, Gereğinden Fazla Risk Demektir”
Bilişim hukuku alanındaki tecrübemizde, kurumların hukuk birimlerinin “Mahkemeden yazı geldi, dosyanın tamamını tarayıp gönderelim, başımız ağrımasın” yaklaşımına çok sık rastlıyoruz. Oysa bu karar gösteriyor ki; asıl başınızı ağrıtacak olan o “fazla” veridir. Mahkemeye sunulan her gereksiz veri, ilgili kişinin özel hayatına yapılmış ölçüsüz bir müdahaledir.
Bir yatırımcı avukat vizyonuyla uyarım şudur: Şirketler, adli makamlardan gelen müzekkereleri çok titiz okumalıdır. Eğer mahkeme “çalışanın maaş bilgisini” istiyorsa, siz onun “disiplin kayıtlarını” veya “sağlık raporlarını” gönderemezsiniz. Kurumlar içinde, gelen resmi talepleri süzgeçten geçirecek ve sadece “talep edilenle sınırlı” veriyi paketleyecek bir veri yönetim disiplini kurulmalıdır. Unutmayın, mahkemeye dahi olsa “ölçüsüz” gönderilen her veri, Kurul nezdinde bir ihlaldir.
Sıkça Sorulan Sorular
1. Mahkeme her istediği verimi hastaneden veya bankadan alabilir mi?
Evet, mahkemeler yargılama için gerekli gördükleri verileri talep edebilir. Ancak kurum, mahkemenin spesifik olarak neyi istediğine bakmak ve sadece o bilgiyi vermekle yükümlüdür.
2. “Veri Minimizasyonu” (Veri Azaltımı) nedir?
Bir işlem için gerekli olan en az miktardaki verinin işlenmesi ve saklanması prensibidir. “İleride lazım olur” veya “Hepsini gönderelim” mantığının tam tersidir.
3. Fazla veri gönderilmesi benim için neden riskli?
Mahkeme dosyaları, davanın tarafları ve avukatları tarafından incelenebilir. Konuyla ilgisiz sağlık verilerinizin veya ailevi bilgilerinizin boşanma veya alacak davası dosyasına girmesi, mahremiyetinizin telafisi güç şekilde zedelenmesine yol açar.
4. Kurum “Hata yaptık, hepsini gönderdik” derse ceza almaz mı?
Kararda görüldüğü üzere alır. “Hata” veya “Dikkatsizlik”, KVKK Md. 12 kapsamındaki idari ve teknik tedbirlerin alınmadığının bir göstergesidir ve yaptırım gerektirir.
5. Avukatım dosyada gereksiz kişisel verilerimi görürse ne yapmalı?
Eğer karşı tarafın sunduğu veya kurumun gönderdiği veriler davanın amacıyla ilgili değilse, avukatınız bu verilerin dosyadan çıkarılmasını veya gizlilik kararı alınmasını talep etmeli, ardından KVKK’ya şikayette bulunulmalıdır.
Kaynaklar
- KVKK Kurumu Duyurusu – 2 Ağustos 2018
- 6698 Sayılı KVKK (Madde 4, 5, 8 ve 12)
- Hukuk Muhakemeleri Kanunu (İlgili Madde: Bilgi ve Belge İbrazı)
Etiketler
KVKK, Veri Minimizasyonu, Mahkeme Müzekkeresi, Ölçülülük İlkesi, Hukuki Yükümlülük, İdari Para Cezası, Veri Güvenliği, Bilişim Hukuku, Özgür Eralp, Veri Sorumlusu, Veri Aktarımı, Kişisel Verilerin Korunması, Adli Süreçler
Avukat-Hukuk Danışmanı,
Dijital İçerik oluşturucu,
Kitle fonlama girişimci ve yatırımcısı,
ODTÜ Felsefe Öğrencisi:)
AÖF Yönetim Bilişim Sistemleri Öğrencisi:),