Son zamanlarda gerek hukuk büroları gerekse gayrimenkul danışmanlık ve sigorta şirketlerince ilgili kişilerin adres ve iletişim verilerine ulaşmak için, bu konuda geliştirilmiş ve vatandaşların kişisel verilerini içeren yazılım ve uygulamaların kullanıldığı belirlenmiştir.

Peki, ilgili kişilerden hiçbir şekilde onam alınmadan ve kanunun aradığı yükümlülükleri yerine getirmeden veri toplamak suretiyle oluşturulan bu yazılımlar vasıtasıyla bilgi edinmenin hukuki mahiyeti nedir?

6698 Sayılı Kişisel Verilein Korunması Kanun'na göre kişisel verilerin işlenmesi :

"Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi" ifade etmektedir.

Bu kapsamda verinin salt elde edilmesi de bir kişisel veri işleme faaliyeti olup, bu işleme faaliyeti için kanunun 5. maddesinde sayılan veri işleme şartlarının sağlanması gerekmektedir.

6698 Sayılı Kanun'un  "kişisel verilerin işlenme şartları" başlıklı  5. maddesi:
"MADDE 5- (1) Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez.
(2) Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın
kişisel verilerinin işlenmesi mümkündür:
a) Kanunlarda açıkça öngörülmesi.
b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya
rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya
beden bütünlüğünün korunması için zorunlu olması.
c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla,
sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.
e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri
sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması." hükmünü havidir.

Neticeten kişisel veri içeren yazılım kullanmak suretiyle veriye erişmek kanunun aradığı veri işleme şartlarına dayanmamakta olup, bu suretle veri elde etmek hukuka aykırıdır.

Konuya ilişkin olarak  Kişisel Verileri Koruma Kurumu 18/10/2019 tarih,2019/308 Sayılı ilke kararında: 

"Kişisel Verileri Koruma Kurumuna intikal eden ihbarlar kapsamında avukatlar/hukuk büroları ile finans, gayrimenkul danışmanlık, sigorta vb. sektörlerde faaliyet gösteren bazı kişi ve kuruluşlar tarafından muhtelif yollarla elde edilen veriler üzerinden vatandaşların kimlik ve iletişim bilgileri gibi kişisel verilerinin sorgulanmasına imkân tanıyan yazılım/program/uygulamaların kullanılmakta olduğu tespit edilmiştir. Yapılan değerlendirme sonucunda bu durumun, 6698 sayılı Kişisel Verilerin Korunması Kanununun veri sorumlularının veri güvenliğine ilişkin yükümlülüklerini düzenleyen 12 nci maddesi hükümlerine aykırılık oluşturduğu dikkate alınarak, yaşanabilecek veri güvenliği ihlallerinin önüne geçilmesini teminen;

- Bu mahiyetteki yazılımları/programları/uygulamaları kullandığı tespit edilenler hakkında Türk Ceza Kanunu kapsamında gerekli adli işlemlerin tesisi için konunun, 5271 sayılı Ceza Muhakemesi Kanununun 158 inci maddesi hükmü uyarınca ihbaren ilgili Cumhuriyet Başsavcılıklarına bildirileceği,

- Kişisel Verileri Koruma Kurulunun görev alanına giren yönüyle de veri sorumluları hakkında 6698 sayılı Kişisel Verilerin Korunması Kanununun 18 inci maddesi hükmü çerçevesinde idari işlem tesis edileceği hususlarında kamuoyunun bilgilendirilmesine,

- 6698 sayılı Kişisel Verilerin Korunması Kanununun 15 inci maddesinin altıncı fıkrası hükmü uyarınca alınan bu ilke kararının Resmi Gazete ile Kurumun internet sitesinde yayımlanmasına oybirliği ile karar verilmiştir." şeklinde karar vermiştir.

İşbu sebeple bu gibi uygulama ve yazılımların kullanılması suretiyle veri elde etme yoluna gidilmesinden kaçınılması büyük önem arz etmektedir.

Av. Esra Ülkü BAYRAM

Kişisel Verileri Koruma Kurulu Kararlarının Yerine Getirilmemesi Kabahati Kişisel Verileri Koruma Kurulu Kararlarının Yerine Getirilmemesi Kabahati

Editör: Av. Esra Ülkü Bayram