Kişisel verinin alenileştirilmesi, kişisel verinin herkes tarafından bilinir kılınması anlamına gelmektedir. 6698 sayılı KVK Kanunu kapsamında alenileştirme ise; “Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi'' olarak tanımlanmıştır. Her iki tanımlama da kişisel verilerin anonimleştirilmesini ifade etmektedir. Anonimleştirilen kişisel veri hiçbir gerçek kişi ile ilişkilendirilemez.
Örneğin; kamuoyu araştırması yapan bir şirket tarafından bir mahallede yapılan araştırmada ad, soyad, TC kimlik numarası, yaş, cinsiyet, ödeme tercihleri, kullanılan cep telefonu modeli, sahip olunan araç
markası, kıyafet ve marka tercihleri gibi bilgiler sorulmuş ve araştırma sonucu da kamuoyu ile
paylaşılmak istenmiştir. Alınan bilgilerden; ad, soyad, TC kimlik numarası gibi doğrudan herhangi bir kişiyi belirli veya belirlenebilir kılabilecek olanların listeden çıkarılması, yıldızlanarak / bastırılarak görünmez hale getirilmesi, genelleştirilmesi, k-anonimlik, l-çeşitlilik, t-yakınlık gibi teknikler kullanılması anonimleştirme teknikleridir.
Alenileşen Kişisel Veri Amacı Dışında İşlenebilir mi?
Kişisel verilerin anonim hale getirilmesi artık bir kişi ile ilintili hale getirilmeyecek olması anlamına gelir. İlgili kişi veri sorumlusuna kişisel verilerinin silinmesi, yok edilmesi veya anonimleştirilmesi için başvurabilir.
Fakat eğer kişisel veriyi işleme şartları ortadan kalkmış ise bu veriler, silinecek, yok edilecek ya da anonim hale getirilecektir. Anonimleşen kişisel veri de tıpkı diğer kişisel veriler gibi amacı dışında işlenemez.
Kişisel Verileri Koruma Kurumuna bu konuyla ilgili başvuru yapan bir şahıs, kurum tarafından haklı bulunmuş, alenileşen kişisel verileri amacı dışında işleyen veri sorumlusu para cezası ile karşı karşıya kalmıştır.
Somut olayı detaylandıracak olursak; şahsına ait web sitesinde telefon numarası vb. iletişim bilgileri bulunan şahsın kişisel verileri bir sigorta şirketi tarafından ticari amaçlarla işlenmiştir. Şirket randevu talebiyle şahsa ait telefon numarasını izinsiz şekilde aramıştır. İzni dışında telefon numarasından aranan kişi KVKK'ya başvurmuştur. Sigorta şirketi açıklamasında şahsın kişisel verilerini alenileştirdiğini, halka açık bir web sitesinden paylaştığını öne sürmüştür. Fakat KVKK, şahsın kendisi tarafından alenileştirilen bilgileri şahsın mesleki faaliyetlerinden faydalanmak amaçlı değil de, sigorta şirketinin faaliyetleri kapsamında randevu talebinde bulunmak için işlediği sonucuna varmıştır. Yani kişisel veri işleme şartları bu olayda oluşmadığından, sigorta şirketinin yapmış olduğu kişisel veri işleme faaliyeti hukuka aykırı bulunmuştur. KVKK sigorta şirketine kişisel verilerin hukuka aykırı işlemesini önlemek kuralına uyulmaması gerekçesiyle 100.000 TL para cezası vermiştir.
İlgili KVKK kurul kararı aşağıdaki şekildedir;
“İlgili kişi tarafından alenileştirilen kişisel verinin, alenileştirme amacı dışında işlenmesi” hakkında Kişisel Verileri Koruma Kurulunun 07/11/2019 Tarihli ve 2019/331 Sayılı Karar Özeti
Karar Tarihi : 07/11/2019 Karar No : 2019/331 Konu Özeti : İlgili kişi tarafından alenileştirilen cep telefonu numarasının, bir sigorta şirketi tarafından alenileştirme amacı dışında işlenmesi hk.
İlgili kişinin bir Sigorta Şirketi (Şirket) tarafından açık rızası alınmadan sigortacılık faaliyetleri konusunda aranması hususunda Kurula yapmış olduğu şikâyet başvurusu ile ilgili olarak Şirketten alınan yazısında, Şikayetçinin ad, soyadı ve telefon bilgisinin finansal güvence danışmanlarınca teklif araması yapılmadan önce gerçekleştirilen araştırmalar sonucunda …uzantılı internet sitesinden bulunduğu, Şikayetçinin taraflarınca ulaşılan ad, soyad ve telefon numarası bilgisinin belirtilen sitede halka açık bir şekilde yer aldığı şeklindeki savunmasının değerlendirilmesi sonucunda,
Şikâyetçinin kişisel verilerine kendisi tarafından daha önce alenileştirilen internet sitesinden ulaşılması halinde dahi Şirket tarafından Şikâyetçinin bu bilgilerinin internet sitesinde bulunma ve alenileştirilme amacıyla kullanılmadığı, diğer bir deyişle Şikâyetçinin mesleki yetkinliğinden faydalanmak için kendisine ulaşılmaya çalışılmadığı, aksine Şirket faaliyetlerine ilişkin randevu talebi ile Şikâyetçinin arandığı anlaşıldığından, Şirket tarafından gerçekleştirilen veri işleme faaliyetinin 6698 sayılı Kişisel Verilerin Korunması Kanununun 5 inci maddesinin (2) numaralı fıkrasının (d) bendi çerçevesinde değerlendirilemeyeceği kanaatine varılmış olup, bu kapsamda Şirketin kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almayarak Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendine aykırı davranmış olması nedeniyle Şirket hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 100.000 TL idari para cezası uygulanmasına
karar verilmiştir.
