Kişisel Verileri Koruma Kurumu’nun –Kurum- 16.12.2020 tarihinde yaptığı Alenileştirme Hakkında Kamuoyu Duyurusu’nda[1] 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun –KVK Kanunu- 5/2-d- maddesinde açık rıza alınmasının istisnası olarak düzenlenen verinin “ilgili kişinin kendisi tarafından alenileştirilmiş olması” şartının uygulama alanına ilişkin açıklamalara yer verilmiştir. Bu doğrultuda okuyacağınız blog yazısında alenileştirme kavramı ile KVK Kanunu’nun mehazı niteliğindeki AB düzenlemelerinin konuya yaklaşımına yer verilecek ve KVK Kanunu’nda yer alan düzenleme ile birlikte Kurumun kamuoyu duyurusu değerlendirilecektir.
1. Alenileştirme Kavramı
Kişisel veri sahibinin açık rızası bulunmadan verilerinin işlenmesini hukuka uygun kılan verinin “alenileştirilmesi” kavramının tanımına ne KVK Kanunu ne de GDPR[2] ve KVK Kanunu’nun mehazı konumundaki 95/46 sayılı Direktifte[3] yer verilmiştir. Dolayısıyla veri işleyenler ile kişisel verilerin sahibi olan kişiler tarafından alenileştirme kavramının ne şekilde anlaşılması gerektiği belirsizdir. Dolayısıyla alenileştirme kavramının sınırlarının çizilmesi kişisel verilerin hukuka uygun olarak işlenmesi ve hukuka aykırı olarak veri işleyenlerin tespiti açısından önem arz etmektedir.
Alenileşme ifadesi “herkesçe bilinir duruma gelmek” şeklinde tanımlanır[4]. Alenileştirme ifadesini de “herkesçe bilinir duruma getirmek” şeklinde tanımlamak mümkündür. Öyleyse kişisel verilerin korunması hukukunda herkesçe bilinir durumda olmayan bir verinin herkesçe bilinir duruma getirilmesinin alenileştirmeyi ifade ettiği sonucuna ulaşılabilir. Ancak kişisel veri hukukunda alenileştirme kavramının daha dar bir anlamı bulunmaktadır. Gerçekten de bir verinin herkesçe erişilebilir olması tek başına alenileşme şartını sağlamamakta, veri sahibinin alenileştirmedeki amacı gibi birtakım ek kriterlerin varlığı gerekmektedir. Nitekim Avrupa İnsan Hakları Mahkemesi’nin –AİHM- 27.06.2017 tarihli, 931/13 dosya numaralı kararında[5] herkesçe erişilmesi mümkün olan verilerin de kişisel verilerin korunması kapsamında yer alacağı vurgulanmıştır. Bu nedenle bir verinin herkesçe erişilebilir konumda bulunması yalnız başına o verinin alenileştirildiği anlamına gelmemekte, o verinin açık rıza aranmaksızın işlenmesi için gerekli hukuka uygunluk zeminini sağlamamaktadır. Bu nedenle kişisel verilerin korunması hukukunda hangi şartlar altında verinin alenileştirilmiş olacağının incelenmesi gerekir.
2. AB Hukukunda Alenileştirme
GDPR m. 9’da yer alan düzenleme ile alenileştirme KVK Kanunu’ndan farklı olarak özel nitelikli kişisel verilerin işlenmesi yasaklarının istisnası olarak sayılmıştır[6]. 95/46 sayılı Direktifte de GDPR’a benzer şekilde alenileştirme, özel nitelikli kişisel verilerin işlenmesinde hukuka uygunluk sebebi olarak sayılmıştır.
GDPR m. 9/1 ile özel nitelikli verilerin işlenmesi yasaklanmış ve ikinci fıkrada bu yasağın istisnalarına yer verilmiştir. GDPR m. 9/2-e-’de yer alan istisnada veri sahibi tarafından açıkça kamuoyuna açıklanan özel nitelikli kişisel verinin işlenmesinin yasak kapsamı dışında olduğu belirtilmiştir[7]. GDPR düzenlemesinde “açıkça kamuoyuna açıklama” olarak ifade edilebilecek ibarenin alenileştirmeyle paralel olduğunu söylemek mümkündür. GDPR’da da “manifestly made public” hakkında herhangi bir tanımlamaya yer verilmediğinden, kavram yoruma muhtaçtır[8].
Kişisel verilerin alenileştiği kişiler bakımından konuya bakılacak olursa, baskın görüş herhangi bir istisnaya yer verilmeden verinin herkes için erişilebilir olması gerektiği yönündedir. AİHM’in aşağıda yer verilecek kararında ise bu görüşe aykırı olarak verinin belirli bir bağlamda herkes için alenileşmesinin yeterli olduğuna dair değerlendirmeler bulunmaktadır.
Birleşik Krallığın Kişisel Verileri Koruma Kurumu Information Commissioner’s Office –ICO- tarafından yayımlanan bir yazıda[9] “manifestly made public-alenileştirme” ifadesine yönelik birtakım açıklamalarda bulunulmuştur. İlgili yazıda kişisel nitelikli bir verinin alenileştirilmiş olması için, o verinin gerçekçi bir şekilde kamuoyunu oluşturan kişilere açık olması gerektiği ifade edilmiş, önemli olan kriterin verinin kamuya ait bir yerde bulunup bulunmaması değil, gerçekte yani pratik olarak kamuya açık olup olmamasıyla ilgili olduğu vurgulanmıştır. Ayrıca sınırlı bir kitleye yapılan veri paylaşımının bu nedenlerle alenileştirme olarak sayılamayacağı ve erişilebilir olan her verinin alenileşmiş sayılamayacağı açıklanmıştır. Verinin alenileşmiş sayılabilmesi için herhangi bir sınırlama öngörülmeden kamuoyunu oluşturan herhangi bir kişinin veriye erişebilmesi gerektiği ifade edilmiştir.
Ancak AİHM’in ICO’nun açıklamalarının aksine önemli bir içtihadı bulunmaktadır. AİHM’in 18.04.2004 tarihli T-302/02 dosya numaralı kararına[10] konu olayda Avrupa Merkez Bankası çalışanlarından bir kısmının IPSO adlı bir sendikaya üye oldukları, bu çalışanların Avrupa Merkez Bankası’nın e-mail yazışmalarında söz konusu sendikaya olan üyeliklerini belirten bilgileri isimlerinin yanına ekleyerek yazışmaları yaptıkları ve bu nedenle Avrupa Merkez Bankası çalışanı ve IPSO sendikası üyesi olan kişilerin Avrupa Merkez Bankası yönetiminden özel nitelikli kişisel veri taşıdığı gerekçesiyle e-maillerinin silinmesi talebinde bulunduğu belirtilmiştir. AİHM tarafından yapılan değerlendirmede çalışanların sendika üyeliklerini Avrupa Merkez Bankası içerisinde aleni hale getirdikleri – manifestly made public – gerekçesiyle başvurunun reddine karar verilmiştir. AİHM bu kararıyla alenileştirmenin “herkes” için erişilebilir olmasından çok, verilerin işlendiği bağlam açısından herkes için erişilebilir olmasının yeterli olduğunu belirtmiştir[11]. Dolayısıyla AİHM’in bu içtihadı bakımından kişisel verilerin işlendiği bağlamın önemli olduğu sonucuna ulaşılabilecektir. Bu durum ise herkese açık olmayan ancak belirli bir bağlamda -merkez bankasının e-mail sistemi gibi- herkese açıklanmış kişisel verilerin işlenmesini mümkün hale getirecektir.
Netice itibariyle kural olarak verinin paylaşıldığı kişiler bakımından herhangi bir istisnaya yer verilmeden, toplumdaki herkes için verilerin ulaşılabilir hale gelmesiyle verinin alenileşmiş sayılacağı kabul edilmelidir. Özellikle kamuoyuna açık bulunmayan sosyal medya hesaplarından yapılan paylaşımlar için bu kriter önem kazanmaktadır. Bu tip hesaplardan yapılan paylaşımlarda bulunan verilerin alenileşmiş sayılmayacağını belirtilmelidir.
Konuya kişisel verilerini alenileştiren kişi bakımından yaklaşılırsa, kişisel verilerin alenileştirilmesinde en önemli şartın alenileştirmenin bizzat verinin sahibi tarafından yapılması olduğu söylenecektir. Bununla birlikte veri sahibinin eylemini iradi olarak gerçekleştirmesi de önem arz etmekte, kişisel verisini alenileştiren veri sahibinin, bu eyleminin sonucunun yani kişisel verilerinin herkes tarafından erişilebilir hale geldiğinin farkında olması ve kişisel veriyi paylaşma iradesinde bu farkındalığı taşıması gerekmektedir[12]. Bunlara ek olarak veri sahibi, kişisel verilerini alenileştirme işlemini rızai bir fiille -free decision – özgür irade- gerçekleştirmelidir[13].
GDPR m. 9/2-e- hükmü maddede yer alan diğer istisnalardan farklı olarak kişisel veri sahibinin rızai bir fiiline dayanmaktadır. Dolayısıyla kişisel verilerin alenileştirilmesi hakkında dar yorum yapılarak veri sahiplerinin korunması gerekmektedir[14].
Kişisel verilerin alenileştirilmesinde her somut olayda kişisel veri sahibinin verilerini paylaşma amacı, kapsamı, verinin paylaşıldığı platform açısından ayrı bir değerlendirme yapılmalıdır.
3. KVK Kanunu’nun Alenileştirmeye İlişkin Düzenlemeleri ve Kurumun Alenileştirmeye İlişkin Uygulamaları
KVK Kanunu m. 5’ doğrultusunda kural olarak kişisel verilerin işlenmesi, ancak verinin ait olduğu kişinin açık rızasının varlığı halinde mümkündür. Ancak aynı maddenin ikinci fıkrasında sayılan istisna hallerinden birinin gerçekleşmesi durumunda veri sahibinin açık rızası aranmaksızın kişisel verilerin işlenmesi mümkün hale gelecektir[15]. Bu istisna hükümlerinden biri KVK Kanunu m. 5/2-d-’de belirtilen kişisel verinin “ilgili kişinin kendisi tarafından alenileştirilmiş olması” halidir. Bu yönde kişisel verinin, verinin sahibi olan kişi tarafından alenileştirilmesi halinde o verinin işlenmesinde açık rıza aranmayacaktır. Hükmün gerekçesine alenileştirilen veriler için korunması gereken hukuki yararın ortadan kalktığı ifade edilmiştir.
Açık rıza aranmamasının yanında, alenileştirilen bir veri için KVK Kanunu m. 28/2-b- hükmü doğrultusunda “veri sorumlusunun aydınlatma yükümlülüğünü düzenleyen 10 uncu, zararın giderilmesini talep etme hakkı hariç, ilgili kişinin haklarını düzenleyen 11 inci” madde uygulama alanı bulamayacaktır. Başka bir deyişle kişisel verisini alenileştiren veri sahibinin verileri açık rıza aranmadan hukuka uygun şekilde işlenebilecek, veri sorumlusu işlenen kişisel veriler hakkında herhangi bir aydınlatma yükümlülüğü altında bulunmayacak[16], ayrıca veri sahibi kişisel verilerini alenileştirmesi dolayısıyla zararın giderilmesini talep hakkı hariç KVK Kanunu m. 11’de düzenlenen haklarından yararlanamayacaktır.
KVK Kanunu’nda alenileştirme ile ilgili herhangi bir tanım yapılmamıştır. Kurum tarafından yayımlanan 6698 sayılı Kanun’da Yer Alan Temel Kavramlar adlı kitapçıkta[17] “aleniyet kazandırma” ibaresi ilgili kişinin kendisine ait bilgileri umumun bilgisine sunması olarak tanımlanmıştır. Bu açıdan Kurumun, umum kelimesini kullanarak alenileştirme için herhangi bir istisnaya yer verilmeden kişisel verinin herkes açısından erişilebilir kılınması gerektiğini vurguladığı söylenebilecektir. Ancak bu tanımlamanın da yetersiz kaldığından, uygulama açısından 16.12.2020 tarihinde Kurum tarafından yapılan kamuoyu duyurusu önem taşımaktadır.
Söz konusu kamuoyu duyurusunda kişisel veri sahibinin alenileştirme iradesi ve amacının önemine vurgu yapılmıştır. Anılan duyuruda alenileştirmenin, kişisel verinin herhangi bir şekilde kamuoyuna sunulmasından daha dar bir anlama sahip olduğu, veri sahibinin alenileştirme iradesi ve alenileştirme amacı ile yakın ilişki içerisinde bulunduğu vurgulanmıştır. Buna göre bir kişisel verinin alenileşmiş sayılabilmesi için:
- Veri sahibinde kişisel verisini alenileştirme yönünde bir iradenin şart olduğu,
- Veri sahibinin kişisel verisini alenileştirme amacıyla sınırlı yorumlanması gerektiği,
- Bu amacın dışında yapılan veri işlemelerin hukuka aykırı olacağı
açıklanmıştır. Buna göre bir verinin alenileştirilmiş olması nedeniyle açık rıza olmaksızın işlenebilmesi için kamuoyuna açık hale gelmesi yeterli değildir. Veri sahibinin bu yönde bir iradesinin olması ve alenileşmenin verileri kamuoyu ile paylaşma amacıyla sınırlı yorumlanması gerekir[18].
Kurul tarafından bu konunun değerlendirildiği 07.11.2019 tarihli ve 2019/331 no.lu kararı ve 27.01.2020 tarihli ve 2020/67 no.lu kararında da veri sahibinin kendisi tarafından internet üzerinden alenileştirilen iletişim bilgilerinin yalnızca alenileştirme amacıyla uyumlu şekilde işlenebileceği ifade edilmiş, bu amaca dahil olmayan reklam faaliyetleri için kişinin söz konusu iletişim bilgisinin işlenmesi hukuka aykırı sayılmıştır.
Alenileştirmeyi veri sahibinin amacıyla sınırlamak kanımızca isabetlidir. Çünkü öncelikle KVK Kanunu’nda alenileştirme, açık rıza haricinde kişisel verilerin hukuka uygun bir biçimde işlenmesinde veri sahibinin doğrudan iradi fiilini gerektiren tek düzenlemedir. KVK Kanunu m. 28/2-b-’ye göre veri sahibi tarafından alenileştirilen kişisel verilerin işlenmesinde veri sorumlusunun aydınlatma yükümlülüğü de ortadan kalktığı düşünüldüğünde alenileştirmenin amaç yönünden sınırlanması veri sahibinin mağduriyetini önlemek için önemlidir.
Kamuoyu duyurusunda yer alan “herkesin görebileceği bir yerde olması ya da herkesin erişimine açık durumda bulunması alenileştirilmiş olması bakımından yeterli olmamakta” ifadelerinden kişisel verinin alenileştiği kişiler bakımından bir kritere de yer verildiği görülmektedir. Kurum, alenileştirme şartının gerçekleşmesi için kişisel verinin “herkesin” erişimine açık olması gerektiğini belirtmiştir[19]. Bu nedenle herkesin erişimine açık olmayan sosyal medya hesaplarında paylaşılan kişisel verilerin, verinin paylaşıldığı kişiler bakımından herkesle paylaşılması şartı nedeniyle en baştan alenileşmediğini belirtmek gerekmektedir. Herkesin erişimine açık olan sosyal medya hesaplarında ise kişisel verinin paylaşıldığı kişiler bakımından herkes şartı sağlansa bile veri sahibinin kişisel verisini paylaşma amacı dikkate alınarak[20] değerlendirme yapılmalıdır.
Sonuç olarak Türk hukukunda kişisel verilerin veri sahibinin açık rızası dışında hukuka uygun olarak işlenebilmesi şartlarından biri de “verinin ilgili kişinin kendisi tarafından alenileştirilmiş olması” halidir. Hukuka uygun biçimde alenileşen kişisel verinin gizli kalması konusunda veri sahibinin makul beklentisinin varlığından söz edilemeyeceği kabul edilmektedir[21].Veri sahibinin verisini alenileştirme iradesinin bulunması en önemli şart olmakla birlikte, kişisel veri ancak veri sahibinin alenileştirme amacı dahilinde açık rıza aranmadan işlenebilecektir. Kurumun kamuoyu duyurusunda ayrıca kişisel verilerin alenileştiği kişiler bakımından herhangi bir istisna veya bağlam aranmadığı, verinin herkes için açık olması gerektiği sonucuna ulaşılmaktadır.
Av. Doç. Dr. Süleyman YILMAZ
Stj. Av. Ömer Faruk ÇAMAŞIRCI
[1] https://www.kvkk.gov.tr/Icerik/6843/-ALENILESTIRME-HAKKINDA-KAMUOYU-DUYURUSU
[2] AB hukukunda kişisel verilerin korunmasına yönelik son ana düzenleme Avrupa Parlamentosu tarafından 27.04.2016 tarihinde kabul edilen Genel Veri Koruma Tüzüğüdür. Genel Veri Koruma Tüzüğü adlandırması Kurum tarafından yapılan bir adlandırma olup ilgili tüzük bu yazıda GDPR olarak adlandırılmaktadır.
[3] 24 Ocak 1995 tarihli Data Protection Directive 95/46/EC -95/46 sayılı Direktif-
[4] bkz. https://sozluk.gov.tr/
[5] http://hudoc.echr.coe.int/eng?i=001-183095 Satakunnan Markkinapörssi Oy ve Satamedia Oy/Finlandiya, b.n. 931/13, metnin İngilizce özeti için link, https://globalfreedomofexpression.columbia.edu/cases/case-satakunnan-markkinaporssi-oy-satamedia-oy-v-finland/
[6] Ketizmen, Muammer/ Kart, Aslıhan; Kişisel Verinin İlgili Kişinin Kendisi Tarafından Alenileştirilmesi ve Amaca Uygunluk https://blog.lexpera.com.tr/kisisel-verinin-ilgili-kisinin-kendisi-tarafindan-alenilestirilmesi-ve-amaca-uygunluk/
[7] “processing relates to personal data which are manifestly made public by the data subject”
[8] Avrupa Birliği Temel Haklar Ajansı tarafından yayımlanan bir kitap olan Handbook on European Data Protection Law s. 162 https://fra.europa.eu/sites/default/files/fra_uploads/fra-coe-edps-2018-handbook-data-protection_en.pdf
Aynı şekilde KVKK’nin mehazı olan 95/46 sayılı Direktifte de “manifestly made by public” ibaresi yer almakta ancak yine bu ibareye yönelik olarak herhangi bir tanımlamaya yer verilmemektedir.
[9] https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/special-category-data/what-are-the-conditions-for-processing/
[10] Monika Esch-Leonhardt and Others v European Central Bank; https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:62002TJ0320&from=EN
[11] Dove, Edward S./Chen, Jiahong; What does it mean for a data subject to make their personal data “manifestly public”? An analysis of GDPR Article 9/2-e-, s.20 https://papers.ssrn.com/sol3/papers.cfm?abstract_id=3699572
[12] Georgieva, Ludmila/Kuner, Christopher; “Article 9. Processing of Special Categories of Personal Data, The EU General Data Protection Regulation -GDPR-: A Commentary, Oxford University Press 2020, s. 378.
[13] Paul Voigit/ Axel von dem Bussche; The EU General Data Protection Regulation -GDPR-: A Practical Guide, Springer International Publishing, 2017, s.113.
[14] Handbook on European Data Protection Law s. 162; Dove/Chen; s. 29.
[15] Yılmaz, Süleyman/Çavuşoğlu, Gökçe Filiz: Kişisel Verileri Koruma Hukuku, Ankara 2020, s.88-89.
[16] Aşıkoğlu, Şehriban İpek: Veri Sorumlularının Aydınlatma Yükümlülüğü -Avrupa Birliği ve Türk Hukukunda, Kişisel Verileri Koruma Dergisi, Cilt 1 – Sayı 2, s. 61.
[17] https://kvkk.gov.tr/SharedFolderServer/CMSFiles/45af208d-3718-49ed-b51a-9be9edde6ff2.pdf
[18] Yılmaz/Çavuşoğlu: s.90-91.; Altındere, Murat; Kişisel Verilerin Korunması Hukuku ve Uygulaması, Ankara 2020, s.45.
[19] Aynı yönde Yılmaz/Çavuşoğlu; s.90-91.
[20] Göçmen Uyarer, Sinem: Kişisel Verilerin Korunması Kanunu ve Türk Ceza Kanunu Kapsamında Kişisel Verilerin Korunması, Ankara 2019, s.129.
[21] Ketizmen, Muammer/ Kart, Aslıhan: Kişisel Verinin İlgili Kişinin Kendisi Tarafından Alenileştirilmesi ve Amaca Uygunluk https://blog.lexpera.com.tr/kisisel-verinin-ilgili-kisinin-kendisi-tarafindan-alenilestirilmesi-ve-amaca-uygunluk/
