Kişisel Verilerin Korunması Alanında Yol Gösterici Gelişmeler: İngiltere Ses Kaydı ve Diğer Biyometrik Verilerin İşlenmesi Konusunda GDPR’ı Nasıl Uyguluyor?

Regülasyon ekosisteminin önemli unsurlarından olan kişisel verilerin korunması, 6698 sayılı Kanun’un yürürlüğe girmesi ile ülkemizdeki uygulama hayatına da hızlı bir giriş yaptı. Gelişen teknolojiler karşısında dijitalleşen dünyanın en değerli varlığı olan “kişisel veriler”; bir taraftan müşteri davranışları ve kullanıcı tercihlerini gözlemleyerek kişiselleştirilmiş hizmetlerin önünü açarken bir taraftan da veri sahiplerinin mahremiyetlerini hacir altına alıyor. İnovsyon destekli yaratıcı yıkım süreçlerinin karşı karşıya getirdiği bu menfaatler arasındaki dengeye hukuk zerk etmek ise yine yasamaya ve düzenleyici otoritelere düşüyor.

Bu kapsamda, veri koruma kurallarına uluslar üstü bir standart kazandırmayı amaçlayan General Data Protection Regulation (“GDPR”), 2016 yılından itibaren mehaz Avrupa uygulamalarını düzenliyor. Ülkemiz veri koruma mevzuatına da doğrudan şekil vermiş olan GDPR’ın Avrupa’daki uygulama trendleri ise veri koruma alanındaki karar insicamını yeni yeni oluşturan tüm ülkeler tarafından yakından takip ediliyor ve referans alınıyor.

İşte bu bağlamda, GDPR temelli bir veri koruma uygulamasına sahip olan Birleşik Krallık cephesinde biyometrik verilerin işlenmesine kılavuzluk edecek bir gelişme yaşandı. Avrupa veri koruma içtihadı üzerinde önemli etkisi olan Birleşik Krallık Veri Koruma Otoritesi[1] (“ICO”), İngiltere Gelir ve Gümrük İdaresi’nin[2] (“HMRC”) telefon destek hattını arayan kullanıcıların ses kaydı verilerinin işlenerek otomatik bir ses tanıma (Voice ID) sistemi kurulmasını incelemiş ve açık rıza alınmadan işlenen yaklaşık beş milyon kullanıcının verisinin silinmesi yönünde karar vermiştir.

Bildiğiniz üzere, kişisel verilerin işitsel bir izdüşümü olan ses kayıtları, gerek ülkemizde gerekse Avrupa veri koruma otoritelerince biyometrik veriler kategorisinde değerlendiriliyor ve özel verilerin işlenmesi rejimine tabi tutuluyor. Bu kapsamda, veri koruma ağının işleyişine yön veren İngiltere’deki güncel uygulama trendleri ile bunların ülkemizdeki yansımalarına dair değerlendirmeler de önem kazanıyor.

İnceleme konusu uygulama

HMRC, 2017 yılında telefon destek hattının ara yüzü içerisine yeni bir otomasyon sistemi ekledi. Kullanıcıların, uzun güvenlik prosedürlerini tamamlayarak kimliklerini teyit etmek için vakit kaybetmelerine engel olmak isteyen bu sistem, kullanıcıların ses kayıtlarını alarak bir sonraki aramalarında onları seslerinden tanımlamak üzere işletiliyor. Kullanıcıların bir HMRC danışmanı ile konuşmaya başlamalarına kadar geçen süreyi önemli ölçüde kısalttığı değerlendirilen sistemin, tüm bu etkinlik kazanımlarını sağlayabilmesi için ise öncelikle veri koruma kuralları ile tam uyumluluğu sağlaması gerekiyor.

İşte HMRC’nin sisteminin karşılaştığı problem de tam burada ortaya çıkıyor. İleri teknolojik imkanlar karşısında bireylerin mahremiyetlerini ve medeni özgürlüklerini korumayı hedefleyen bir sivil haklar organizasyonu olan Big Brother Watch[3] tarafından hazırlanan bir şikayet üzerine başlatılan inceleme sonucunda, vergi otoritesinin bahse konu sisteminin GDPR ile uyumlu olmadığı anlaşılıyor. Gerçekten de, kar amacı gütmeyen bir organizasyon olarak özellikle devlet destekli mahremiyet ihlallerini engellemek amacıyla kampanyalar yürüten ve kamu davalarına katılan Big Brother Watch; Haziran 2018’de şikâyet konusu eylemlerin detaylarını açıklamış[4] ve kullanıcılara verilerini ses tanıma sistemine aktarmak dışında bir seçenek sunulmadığını belirterek sistemin kullanıcıların rızası hilafına uygulamaya koyulduğunu iddia etmişti.

Birleşik Krallık Veri Koruma Otoritesi’nin kararı

Big Brother Watch şikâyeti üzerine konuyu inceleme altına alan ICO ise HMRC tarafından kurulan sistemin bir biyometrik veri türü olan ses kayıtlarının işlenmesi üzerine inşa edildiğini değerlendirerek bu tür verilerin özel nitelikli veriler grubuna dâhil olduğunu ve işlemeler için kullanıcılardan açık rıza alınması gerektiğini belirtiyor. İnceleme konusu uygulamayı da bu perspektiften değerlendiren İngiliz veri koruma otoritesi, kullanıcılardan ses tanıma sistemine dâhil edilmeleri aşamasında tatminkâr bir “açık rıza” alınmadığını ve kullanıcılara sistemden çıkabilme opsiyonunun (opt-out) izah edilmediğini değerlendiriyor[5]. Özel nitelikli biyometrik verilerin, kullanıcıların açık rızası olmaksızın işlenmesinin veri koruma kurallarına aykırı olduğuna kanaat getiren ICO, bu sebeple HMRC tarafından mevzuata aykırı şekilde toplanarak işlenen tüm verilerin silinmesine karar veriyor[6].

Veri koruma otoritesinin kararına saygı duyduğunu belirten HMRC ise bir yandan mevzuata aykırı şekilde sistemine dâhil ettiği yaklaşık beş milyon kullanıcının verisini imha ederken bir yandan da ses tanıma sisteminin devamlılığını sağlamak adına kullanıcılardan rıza alma sürecini yeniden gözden geçiriyor. GDPR döneminde biyometrik verilere ilişkin ilk defa böyle bir yaptırım uygulanmasını öngören karar, biyometrik verilerin, ileri bir koruma gerektiren özel nitelikli verilerden olduğunu sarih biçimde tanımlayan ilk karar olması ile de dikkat çekiyor[7].

Veri koruma uygulamasının en kapsamlı “veri imha etme” vakıasını ortaya çıkartan ICO kararı, gerek biyometrik verilerin işlenmesi konusundaki hassas sinir uçlarına işaret etmek açısından gerekse veri koruma kurallarının vergi idaresi gibi önde gelen kamu kuruluşlarına da tavizsiz uygulanacak olduğunu göstermesi açısından ülkemiz uygulamasına da yol gösterecek önemli iç görüler içeriyor. Bu itibarla, bankalar, GSM operatörleri ve hastaneler başta olmak üzere telefon destek hatlarını yaygın kullanan teşebbüsler açısından ICO’nun kararından ders çıkartılabilecek noktaların daha iyi anlaşılması adına, ses kaydı kullanımlarının biyometrik veri vasfını incelememiz de faydalı olacaktır.

Ses kaydının biyometrik veri olup olmadığını nasıl anlarım

Ses tanıma sistemleri, bireyin kendisine has ses şablonunu ve konuşma ritmini analiz ederek parmak izi benzeri bir biyometrik tanıma ve kimlik tespit etme işlevi taşıyor. Sisteme işlenen bir ses kaydının vokal karakterini çözümlemek için yüzlerce farklı davranışsal faktörü inceleyen ses tanıma sistemleri, konuşan kişinin ağız yapısı, konuşma hızı ve vurgu şemalarını da bu değerlendirmeye dâhil ediyor.

Sesleri ve ritimleri sayısal bir şablon üzerine oturtan bu sistemler, her birey için farklı bir işitsel kimlik oluşturup kişinin hasta olduğu veya sesinin değiştiği durumlarda dahi tanımlama yapabilecek şekilde dizayn ediliyor.

Öte yandan belirtmek gerekir ki, “biyometrik ses tanıma sistemleri” ile “otomatik ses algılama sistemlerini” birbirleri ile karıştırmamak gerekiyor. Biyometrik ses tanıma sistemlerinin aksine, otomatik ses algılama sistemleri yalnızca sisteme yöneltilen kelimeleri algılayarak bu kelimeler üzerinden talimatlar alıp yönlendirmeler veriyor fakat kullanıcının kimliğini tanımlamak üzere herhangi bir işlem gerçekleştirmiyor. Veri koruma sorumluluklarının belirlenmesinde önem arz eden bu farklılık kapsamında; ses verisini kişileri tanımlamak için kullanan biyometrik sistemler için kullanıcının açık rızası gerekirken herhangi bir tanımlama işlemi içermeyen sesli komut sistemleri açısından bu yükümlülük gündeme gelmiyor.

Karara ilişkin tepkiler

İnovatif dijital hizmetlerin hayatlarımızı kolaylaştırdığını” belirten ICO Yardımcı Komiseri Steeve Woods, konuya ilişkin hazırladığı değerlendirme yazısında “bu gelişmelerin bedelinin bireylerin temel mahremiyet haklarının ihlali olmaması gerektiğini” belirtiyor[8].

ICO Komiseri Elizabeth Denham ise HMRC’nin “ses tanıma sistemini uygularken veri koruma prensipleri hakkında hiç denecek kadar az değerlendirme yaptığını” belirterek “bilgilerin toplanması esnasında kullanıcılarla kurum arasında belirgin bir güç dengesizliği olduğunu” ekliyor “kullanıcıların sisteme girmeyi nasıl reddedeceklerinin veya reddetmeleri halinde herhangi bir olumsuzluk yaşamayacaklarının açıklanmadığına” da vurgu yapıyor[9]. Konunun veri koruma ve hesap verebilirlik açısından önemli olduğunu da belirten ICO Komiseri, “HMRC nezdinde bir denetim gerçekleştirerek karara uyulup uyulmadığını takip edebileceklerine” de dikkat çekiyor[10]

Şikâyeti gerçekleştirerek inceleme sürecini tetikleyen Big Brother Watch organizasyonunun Direktörü Silkie Carlo ise konuya ilişkin yaptığı açıklamada “kararın biyometrik verilerin toplanmasına ilişkin emsal niteliğinde olduğunu” değerlendiriyor[11]. HMRC İcra Kurulu Başkanı Sir Jon Thompson ise konuya ilişkin yazdığı mektup ile bahse konu verileri silmeye başladıklarını belirterek “ses tanıma sisteminin kullanıcılar arasında popüler olduğunu ve kullanıcı verilerinin de daha etkin korunmasını sağladığını” ve yürürlükte kalmasından memnun olduklarını belirtiyor[12].

Sonuç

ICO’nun kararı biyometrik verilerin işlenmesi alanında birtakım ilklere sahne oluyor. Birleşik Krallık’taki en kapsamlı veri imhasına karar veren veri koruma otoritesi, bu kararı ile GDPR temelli uygulamalarında ilk defa “ses kayıtlarını” ve dolayısıyla da “biyometrik verileri” daha ileri bir koruma rejimine tabi özel nitelikli verilerin içerisinde değerlendiren bir içtihat oluşturuyor. Bu kapsamda belirtmek gerekir ki, ülkemiz veri koruma mevzuatı kapsamında da özel nitelikli veri olarak değerlendirilen biyometrik verilerin işlenmesi için kullanıcıların açık rızalarının alınması gerekiyor.

Açık rızanın yokluğunda toplanan verilerin; veriyi toplayan kurumun bir kamu kurumu olmasına veya toplanan verilerin hacminin ne kadar büyük olduğuna bakılmaksızın silinmesine karar verilebileceğini ve bu durumun takip eden denetim ve yerinde incelemeler ile temin edilebileceğini gözler önüne seren karar, bu tür verilerin işlenmesi ile iştigal eden şirketler açısından da bir uyarı niteliği taşıyor. Açık rızanın nasıl algılanması ve neleri ihtiva etmesi gerektiği konusunda da ipuçları veren ICO kararı; rızası aranan kullanıcılara, bahse konu sistemden çıkma hakları (opt-put) olduğunun ve bu hakkı icra etmeleri durumunda kendilerine sağlanan hizmetlerin olumsuz etkilenmeyeceğinin açıkça ve pro-aktif olarak belirtilmesi gerektiğini öğütlerken sisteme dâhil olmanın mecburi olduğu yönünde bir izlenim uyandırmaktan da kaçınılması gerektiğini gösteriyor.

Türk veri koruma rejimi tarafından da yakından takip edilen GDPR uygulamaları hakkında faydalı iç görüler sağlayan bu içtihat; özellikle bankalar, GSM operatörleri, internet servis sağlayıcıları ve hastaneler gibi kapsamlı telefon destek hizmetleri sunan ve ses kaydı verileri ile muhatap olan teşebbüsler açısından önem arz ediyor.

Bu itibarla belirtmek gerekir ki, ses kaydı veya parmak izi gibi biyometrik verilerin kişileri tanımlamak için kullanılmasını içeren uygulamaları hayata geçirecek kurumların, öncelikle kullanıcılara yüksek standartta bilgi veren ve seçeneklerini tanımlayan bir açık rıza prosedürü hazırlamaları gerekiyor. Aynı kapsamda, bu tür bir açık rıza almadan bahse konu verileri işlemeye başlamış olan kuruluşların ise bu verileri imha etmeleri veya kullanıcılardan açıklanan şekilde bir açık rıza almaları önem kazanıyor. Benzer bir durumda, Kişisel Verileri Koruma Kurumu tarafından nasıl bir aksiyon alınacağı konusu henüz keşfedilmeyi beklerken İngiliz veri koruma otoritesinin GDPR uygulamalarının, büyük ölçüde yol gösterici olabileceği değerlendiriyoruz.


[1] The Information Commissioner’s Office.

[2] Her Majesty’s Revenue and Customs.

[3] https://bigbrotherwatch.org.uk/about/who-we-are/

[4] https://bigbrotherwatch.org.uk/2018/06/hmrc/

[5] https://www.itpro.co.uk/privacy/33577/the-ico-compels-hmrc-to-delete-5m-biometric-records

[6] https://ico.org.uk/action-weve-taken/enforcement/hmrc/

[7] https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2019/05/blog-using-biometric-data-in-a-fair-transparent-and-accountable-manner/

[8] https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2019/05/blog-using-biometric-data-in-a-fair-transparent-and-accountable-manner/

[9] https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2019/05/blog-using-biometric-data-in-a-fair-transparent-and-accountable-manner/

[10] https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2019/05/blog-using-biometric-data-in-a-fair-transparent-and-accountable-manner/

[11] https://www.itpro.co.uk/privacy/33577/the-ico-compels-hmrc-to-delete-5m-biometric-records

[12] https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/799688/Letter_from_Sir_Jonathan_Thompson_to_HMRC_Data_Protection_Officer_-_3_May_2019.pdf

Siirt ve Batman’da Kişisel Verilerin Korunması ve Rekabet Hukuku anlattık!

Barolara eğitim serimiz kapsamında geçtiğimiz hafta sonu Siirt ve Batman Barolarını ziyaret ettik. Bizleri karşılayan ilgili gözlere kişisel verilerin korunması hukuku ve rekabet hukuku nedir, ne işe yarar, nasıl uygulanır gibi temel konuları açıklamaya çalıştık.

Eğitimlere katılım gösteren avukatlar, hem ilgili alanlardaki bilgi dağarcıklarını geliştirme hem de müvekkillerini daha iyi yönlendirebilme adına önemli detaylara vakıf olma şansını yakaladılar.

Katılımcılardan gelen ilgili ve bilgili sorular eliyle şekillenen katılımcı tartışmalar sonucu, özveri ile icra ettiğimiz avukatlık mesleğinin gelişimine katkı sağlayabilmiş olmak ise bizleri ayrıca mutlu etti. İlerleyen günlerde barolara eğitim serimize diğer illerimizde de devam edeceğimizi buradan duyurmak isteriz.

Siirt ve Batman Barolarına misafirperverliklerinden ötürü teşekkür ederiz.

Kişisel Verilen Korunması Mevzuatında Yapılan Son Değişiklikler

28 Nisan 2019 tarihinde yayınlanan Resmi Gazete ile i) “Veri Sorumluları Sicili Hakkında Yönetmelik”, ii) “Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmelik”[1] ve iii) “Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul Ve Esaslar Hakkında Tebliğ”’de bazı değişiklikler yapılmıştır.

Mevzuat değişikliklerine ek olarak, yine aynı tarihte, Kişisel Verileri Koruma Kurumu (“Kurum”) resmi web sitesinde “Kişisel Veri İşleme Envanteri Hazırlama Rehberi” yayınlanmıştır. Yazımızda bu rehbere ilişkin olarak da hazırlanmış olan kısa bilgilendirmeyi bulabilirsiniz.                                                                                                                                                        

VERİ SORUMLULARI SİCİLİ (“SİCİL”) HAKKINDA YÖNETMELİK’TE YAPILAN DEĞİŞİKLİKLER

– Yönetmeliğin tanımları düzenleyen ilgili maddesinde yapılan değişiklikler neticesinde irtibat kişisi ile kişisel veri işleme envanteri tanımına birtakım eklemeler yapılmış olup; bu eklemeler ile;

       (a) Mevzuattan doğan yükümlülükleri bakımından Kurum ile iletişimi sağlayacak olan irtibat kişisinin;

              (i) Türkiye’de yerleşik olan gerçek ve tüzel kişiler için veri sorumlusu;

              (ii) Türkiye’de yerleşik olmayan gerçek ve tüzel kişiler için ise veri sorumlusu temsilcisi tarafından Sicil’e kayıt esnasında bildirileceği;

         (b) Kişisel Veri İşleme Envanterinde;

(i) Kişisel verileri işleme faaliyetlerine, kişisel veri işleme amaçlarına, veri kategorisine, aktarılan alıcı grubuna, yabancı ülkelere aktarımı yapılan kişisel verilere ve veri güvenliğine ilişkin alınan tedbirlere ek olarak veri işleme faaliyetinin hukuki sebebine ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza etme süresine yer verilmesi gerektiği düzenlenmiştir.[2]

– Kişisel Veri İşleme Envanteri’nin Sicile kayıtla yükümlü veri sorumluları tarafından hazırlanması kanuni bir yükümlülük haline getirilmiştir.

– Sicil’de yer alan ve kamuya açıklanacak olan bilgiler kapsamından irtibat kişisine ilişkin bilgiler çıkarılmıştır.

– Sicil’de yer alan kayıt bilgilerinde meydana gelen değişikliklerin, değişikliğin meydana geldiği tarihten itibaren 7 (yedi) gün içerisinde Kurum’a bildirileceği düzenlenmiştir.

– Kişisel Verileri Koruma Kurulu’nun (“Kurul”) Sicil’e kayıt yükümlülüğüne istina getirirken değerlendireceği kriterlere Kurul’un daha önceki kararıyla da paralel olarak veri sorumlusunun yıllık çalışan sayısı ile yıllık mali bilanço toplamı bilgisi eklenmiştir.

AYDINLATMA YÜKÜMLÜLÜĞÜNÜN YERİNE GETİRİLMESİNDE UYULACAK USUL VE ESASLAR HAKKINDA TEBLİĞ’DE YAPILAN DEĞİŞİKLİK

– Veri sorumlusunun farklı birimlerinde farklı amaçlarla işlenen kişisel veriler bakımından, her bir birim için aydınlatma yükümlülüğünün ayrı ayrı yerine getirilmesi gerekliliğini düzenleyen ilgili madde yürürlükten kaldırılmıştır.

– Veri Kayıt Sistemi değişiklik öncesi “Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam” olarak tanımlanırken, değişiklik ile birlikte “Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi” olarak tanımlanmıştır.

KİŞİSEL VERİ İŞLEME ENVANTERİ HAZIRLAMA REHBERİ

Yayınlanan Rehber’de, Sicil’e kayıt yükümlülüğü olan veri sorumlularının;

– Kişisel verileri işleme faaliyetlerini,

– Kişisel veri işleme amaçlarını ve hukuki sebebi,

– Veri kategorisini,

– Kişisel verilerin aktarıldığı alıcı grubunu,

– Kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza etme süresini,

– Yabancı ülkelere aktarımı yapılan kişisel verileri,

– Veri güvenliğine ilişkin alınan idari ve teknik tedbirleri

içeren Kişisel Veri İşleme Envanteri hazırlamakla yükümlü olduğu ve Kişisel Veri İşleme Envanteri ile VERBİS’in birbirinden farklı kavramlar olduğu ancak Kişisel Veri İşleme Envanteri’nin VERBİS’e kayıt esnasında kaynak olarak kullanılacağı düzenlenmiştir.

SONUÇ

Kanun’a uyumluluk kapsamında mevzuatta meydana gelen değişiklikleri yakından takip etmenin ve bu değişiklikler ışığında, prosedürleriniz ve politikalarınızda gerekli güncellemeleri yapmanın siz veri sorumlusu şirketler için önemini vurgulamak isteriz


[1] Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmelik’te mevzuatın uygulanma esaslarını etkilemeyecek derecede şekli değişiklikler yapılmıştır.

[2] Kişisel Veri İşleme Envanteri tanımında yapılan bu değişiklik çerçevesinde; tüm mevzuatta yer alan bu tanım güncellenmiştir. 

Ayna ayna söyle bana, var mı rekabet politikası dijital piyasalara? : Artık var!

Avrupa Komisyonu geçtiğimiz günlerde, bir süredir rekabet hukuku çevrelerinin hararetli tartışma konusu olan dijital platformlara ilişkin politika raporu yayınladı. Dijital ekonomilere yönelik rekabet politikasının şekillenmesi açısından önemli nüanslar barındıran bu rapora göre Avrupa, büyük teknoloji şirketlerine karşı rekabet hukukunun bazı konularında daha sıkı bir yaklaşım benimseyecek gibi görünüyor.

Big Tech, dijital platformlar, dijital ekonomiler, Big Data, verinin pazar gücünü artırmada kullanılması, büyük teknoloji şirketlerinin rekabet gücü… Bu kavramlar bir süredir rekabet hukukunun da aralarında bulunduğu çok çeşitli mecraların tartışma konusu. The Economist’in 17 Kasım 2018 sayısında büyük teknoloji şirketleri hakkındaki serzenişler şöyle yansıtılmış[1]:

Batı’da pek çok insanın üzerinde mutabık kaldığı nadir konulardan biri büyük teknoloji şirketleriyle ilgili bir problem olduğudur. En yaygın şikâyetler ise şunlar; yüksek pazar payına sahip şirketlerin ortaklık yapısı yoğunlaşmış olduğundan bu şirketlerin gelişiminden kodamanlar yararlanıyor, teknoloji şirketleri bağımlılığa neden oluyorlar, ifade hürriyetini kısıtlıyorlar, ifade hürriyetini kısıtlamıyorlar, Rus ajanlarınca istila edilmiş durumdalar, Çinli otokratlara yaranmaya çalışıyorlar, kullanıcılara verileri karşılığında para vermiyorlar, verileri üçüncü taraflara veriyorlar, verileri üçüncü taraflara vermeyi reddediyorlar, yeterince yatırım yapmıyorlar, kendilerini eleştirenlerin gözünü korkutuyorlar, işçilerine az ücret veriyorlar, üniversitelerden çok fazla sayıda uzmanı kadrolarına katıyorlar, çok az vergi veriyorlar, politikayı yozlaştırıyorlar.

Bu serzenişlerin önemli bir kısmının rekabet hukuku ve kişisel verilerin korunması hukuku ile yakından ilgili olduğunu görüyoruz. Avrupa’da geçtiğimiz yıllarda dijital platformlara ve büyük teknoloji şirketlerine yönelik incelemelerle ve bazıları sonucunda çıkan cezalarla birlikte rekabet hukuku çevrelerinde dijital platformlar için özel bir rekabet politikasına ihtiyaç olup olmadığı, hatta dijital ekonomiyi regüle etme gerekliliğinin bulunup bulunmadığı yönünde tartışmalar hızlanmıştı. Avrupa Komisyonu da geçtiğimiz günlerde tartışılan konuları bir araya toplayan ve bu konular hakkındaki genel görüşleri içeren “Dijital Çağ İçin Rekabet Politikası” (Competition Policy for the Digital Era) adlı raporunu yayınlayarak tartışmalara bir nevi yön vermiş oldu[2].

Biz de bu yazımızda raporu sizler için ana hatlarıyla gözden geçirecek ve rekabet politikasının dijital platformlar bakımından nasıl şekilleneceğine ilişkin öngörülere değineceğiz.

Rapor esasen beş ana bölümden oluşuyor ve bu bölümlerde genel olarak şu konulara değiniliyor: (i) dijital hizmetlerin sunulduğu piyasalar nasıl işliyor? (ii) AB rekabet hukukunun amaçlarının dijital çağ açısından değerlendirilmesi ve kullanılacak metodoloji, (iii) çok taraflı platformlar bakımından rekabet hukukunun uygulanması, (iv) veri kavramının dijital piyasalar bakımından önemi ve rekabet hukuku bakımından incelenmesi ve (v) dijital piyasaları ilgilendiren birleşme ve devralma işlemlerinin incelenmesi.

Dijital hizmetlerin sunulduğu piyasalar nasıl işliyor?

Raporda dijital piyasaların özellikleri ile dijital ekonomileri ilgilendiren ana hususlar; ölçeğe göre yüksek getiri, ağ dışsallıkları ile şebeke etkileri ve verinin önemi yönlerinden inceleniyor. Rapora göre alışılmış piyasalarda tüketici/kullanıcı sayısının artmasıyla birlikte maliyetler de benzer ölçüde artarken dijital piyasalarda kullanıcı sayısındaki artışlar maliyetlere daha düşük oranda yansıyor. Öte yandan,  alışılmış piyasada faaliyet gösteren oyunculardan kapasitesi daha yüksek olan üreticinin maliyetler açısından etkinlik kazanması söz konusu olsa da, dijital piyasalardaki oyuncular bakımından bu örnek çok daha uçlarda yaşanıyor. Bu durumun ise dijital piyasalardaki yerleşik oyuncular bakımından ciddi bir rekabet avantajı yarattığı görüşü ifade ediliyor.

Ağ dışsallıkları noktasında; yerleşik oyuncu olan çok taraflı platformların şebeke etkisi nedeniyle piyasa güçlerinin rekabetle azaltılmasının güçlüğüne vurgu yapılıyor. Zira platformun bir tarafındaki kullanıcıların o platformu tercih sebebinin diğer taraftaki kullanıcılar olması durumunda, rakip platformun daha ucuz ve daha kaliteli hizmet sunması yeterli olmuyor ve kullanıcıların kitlesel olarak yeni platforma göç etmesinin sağlanması gerekiyor.

Raporda ayrıca dijital ekonomilerin beslendikleri ana kaynaklardan olan verinin ilerleyen süreçte de hayati önemini koruyacağına vurgu yapılıyor.

Dijital piyasalar bakımından yapılan bu karakterizasyonun ardından kapsam ekonomisinin denkleme girişine değiniliyor. Kapsam ekonomisi, bir teşebbüsün sahip olduğu uygun kaynaklar sayesinde diğer teşebbüslere nazaran daha kolay bir biçimde ilgili pazarın ilişkili pazarlarında ya da tamamen bağımsız pazarlarda hızlıca faaliyete geçebilmesine olanak sağlıyor. Bu sayede örneğin belli bir piyasada faaliyet gösteren çok taraflı bir platform, elindeki teknolojik avantajlar, veri analiz gücü ve kaynakları gibi unsurlar sayesinde diğer pazarlarda da faaliyete geçerek pazar gücü elde edebiliyor, bu faaliyetleri birbirlerine entegre etmesi sonucunda da bir ekosistem pazarı meydana getirebiliyor. Raporda bu konuya örnek olarak Uluslararası Ödemeler Bankası’nın (Bank of International Settlements) organize ettiği Finansal İstikrar Kurulu’nun (Financial Stability Board) yaptığı bir çalışmaya yer veriliyor. Bu çalışmaya göre finansal piyasalardaki yerleşik oyuncuların mevcut konumlarını bozacak olanların, yeni gelişmekte olan finansal teknoloji (fintech) şirketleri değil, farklı piyasalarda faaliyetlerini sürdüren mevcut Big Tech firmaları olduğu ifade ediliyor.

Dijital piyasalarla ilgili olarak genel değerlendirmede ise yerleşik oyuncuların genelde şebeke etkisi nedeniyle piyasadaki güçlerinin sarsılmasının çok zor olduğuna, öte yandan bu teşebbüslerin mevcut konumları nedeniyle rekabete aykırı davranışlar içine girme dürtülerinin de daha yüksek olduğuna kanaat getiriliyor.

AB rekabet hukukunun amaçlarının dijital çağ açısından değerlendirilmesi ve kullanılacak metodoloji

Raporda mevcut AB rekabet hukuku kurallarının (ABİHA – Avrupa Birliği’nin İşleyişi Hakkında Anlaşma 101. ve 102. maddeler) rekabet sorunlarını çözebilecek kapsamda olduğu ve dijital piyasalara ayak uydurmak amacıyla bu kurallarda değişikliğe gidilmesinin gerekli olmadığı vurgulanıyor. Bununla birlikte AB rekabet hukuku kurallarının dijital piyasada faaliyet gösteren teşebbüslere uygulanması safhasında farklı yaklaşımlar gösterilebileceği kanaati geniş yer buluyor. Bu bakımdan tüketici refahı standardı, pazar tanımı, pazar gücü, ispat yükü ve rekabet hukuku ile regülasyonun ilişkisi konuları ekseninde değerlendirmelere yer veriliyor.

Tüketici refahı standardı açısından yapılan değerlendirmede, tüketici zararı açıkça görülmüyor ve tespit edilemiyor dahi olsa hâkim durumdaki oyuncuların rekabet karşıtı stratejilerinin yasak olması gerektiği vurgulanıyor. Bu noktada, hâkim durumdaki teşebbüsün rekabete aykırı birtakım davranışlarının gözlenmesi halinde tüketicide refah artışı açıkça ortaya konulamıyorsa tüketici zararının çok katı şekilde aranmasının gerekmediği belirtiliyor.

Bilindiği üzere pazar tanımı kavramı dijital piyasalar ve özellikle çok taraflı platformlar bakımından oldukça tartışma yaratan bir konu. Ancak son dönemlerde pazar tanımına yüksek önem atfedilmemesi gerektiği yönündeki görüşler kabul görüyor. Raporda da bu yönde bir değerlendirmeye yer veriliyor. Alışılmış tek taraflı pazarlardan farklı olarak çok taraflı pazarlarda pazarın farklı taraflarının birbirlerine bağlılığı da vurgulanarak pazar tanımının güçlüğüne dikkat çekiliyor. Bu eksende pazar tanımına ciddi mesai harcamaktansa gerekli eforun daha çok rekabete aykırı davranışın izdüşümünün ortaya çıkarılması noktasında harcanması tavsiye ediliyor. Pazar tanımı noktasında getirilen dikkat çekici önerilerden biri ise “ekosistem pazarı”. Buna göre kapsam ekonomileri sayesinde birden çok pazarda faaliyet yürüten ve bu pazarlardaki hizmetlerini entegre hale getiren teşebbüslerin ekosistemler oluşturduğu durumlarda kullanıcılar bu ekosistemi terk etmekte zorlanıyorlarsa ekosistem spesifik pazar tanımı yapılabileceği öneriliyor.

Pazar gücü noktasında; dijital piyasalara yönelik rekabet hukuku incelemelerinde davranışsal ekonomiye daha yoğun olarak eğilmek gerektiğine vurgu yapan rapor, yerleşik oyuncuların kendilerini rekabetten nasıl koruduklarına yönelik olarak incelemeler yapılması gerektiği yönünde tavsiyeler sunuyor. Oldukça parçalı pazarlarda dahi çok taraflı platformlar bakımından aracılık gücü şeklinde pazar gücünün ortaya çıkabileceği değerlendirilirken, pazara giriş yapacakların erişemedikleri veriyi elinde tutan teşebbüsün ciddi bir rekabetçi güç barındırdığı hususuna yer veriliyor.

İspat yükü noktasında ise rekabete aykırı olup olmadığı kesin olarak tespit edilemeyen riskli davranışların kimi hallerde yasak olarak kabul edilmesi (Tip 1 hatasının Tip 2 hatasına tercih edilmesi) yönünde bir eğilim gözleniyor. Özellikle güçlü şebeke etkisinin ve yüksek giriş engellerinin olduğu yoğunlaşmış dijital piyasalarda bir davranışın rekabete aykırı olup olmadığı noktasında ispat yükünün incelenen taraf üzerinde bırakılması, riskli davranışın rekabet yanlısı olduğunun bu teşebbüs tarafından ispat edilmesi gerektiği görüşü ifade ediliyor.

Rekabet hukuku ile regülasyon arasındaki ilişkinin ikame edilebilirlik göstermediğinin değerlendirildiği raporda regülasyonun, rekabet hukukunu tamamlar şekilde denkleme dahil edilmesi gerektiği yönünde görüşler bildiriliyor.

Çok taraflı platformlar bakımından rekabet hukukunun uygulanması

Raporda pazar gücüne sahip çok taraflı platformların belirli davranışlarının daha sıkı incelemeye tabi tutulması öneriliyor. MFN (Most Favored Nation – En Çok Kayrılan Müşteri) hükümlerinin çok taraflı platformlar tarafından uygulanması durumunda daha katı bir yaklaşım benimsenmesinin tavsiye edildiği raporda, özellikle hâkim durumdaki platformların yatırımlarının karşılığını almak için sözleşmelerinde yer alacak MFN gibi kısıtların minimal düzeyde olması gerektiği tavsiye ediliyor. Bu noktada platform kullanıcıları bakımından adeta bir düzenleyici otorite olarak hareket edip platform içi regülasyonlar kuran çok taraflı platformların bu düzenlemelerinde rekabeti kısıtlayabilecek hükümlerden mümkün olduğunca kaçınmaları yönünde görüş bildiriliyor.

Öte yandan bu tür teşebbüslerin aynı anda birden çok platform kullanımını (multi-homing) ve platformlar arası geçişi kısıtlayıcı davranışlarda bulunmaktan kaçınması gerektiği ifade ediliyor. Özellikle kullanıcıların bir platformdaki verilerini başka bir platforma taşıyabilmesine (data portability) imkan tanınması, ayrıca bahse konu teşebbüs nezdindeki bu verilerin başka platformda da kullanılabilir vaziyette olması (data interoperability) gibi hususların önemine vurgu yapılıyor. Bu noktada kişisel verilerin korunmasına yönelik regülasyonların önemi ve bunlarca üstlenilecek rol, raporun veriye ilişkin bölümünde ayrıntılandırılmak üzere burada da dile getiriliyor.

Veri kavramının dijital piyasalar bakımından önemi ve rekabet hukuku bakımından incelenmesi

Günden güne veri kullanımının dijital piyasalarda rekabetçi güç elde etme bakımından öneminin arttığı tartışmasız. Raporda da veri kullanımının ve verinin iktisadi boyutunun önemine bu şekilde dikkat çekilirken işlenen verinin niteliğinin de önemli bir parametre olduğu vurgulanıyor. Bu doğrultuda verinin ve rekabetin tesisi için veriye erişimin öneminin tespitinde ilgili piyasanın özelliklerinin, verinin niteliğinin ve ne şekilde kullanıldığının dikkate alınması gerektiği belirtiliyor.

Veriye erişimin tesis edilmesi noktasında AB veri koruma düzenlemesi GDPR’ın (General Data Protection Regulation) veri taşınmasına yönelik kuralının önemine dikkat çekilmekle birlikte söz konusu hükmün nasıl yorumlanacağı noktasında bir netlik olmamasının olumsuz yönleri de değerlendiriliyor. GDPR’ın ilgili hükmü kişiye belirli bir platform nezdindeki verilerini bir başka platforma taşıma konusunda bir hak tanımışken bu hakkın nasıl kullanılacağı ve söz konusu verinin ne nitelikte olacağı (aynı verinin başka platformda kullanılabilir/çalışabilir durumda olması – data interoperability) hususu net değil. Bu bakımdan raporda hâkim durumdaki dijital platformların bağımlılık yaratıcı uygulamalarının önüne geçecek olan veri taşınabilirliği bakımından daha açık ve katı bir yaklaşım benimsenebileceği, hatta bu sorunların önüne sektör spesifik bir regülasyon ile geçilebileceği görüşleri sunuluyor.

Verinin rakiplerle paylaşılması açısından ise bir bilgi değişimi riskinin gündeme gelebileceği değerlendiriliyor. Bunun yanında bahse konu veri paylaşımının, pazardaki rakiplerin kendi verilerini yaratma güdüsünü azaltabileceği, bu nedenlerle veri paylaşımının bazı hallerde rekabeti olumsuz etkileyen sonuçlara yol açabileceği ifade ediliyor. Öte yandan verinin adil, makul ve ayrımcı olmayan (fair, reasonable and non-discriminatory – FRAND) koşullar dışındaki şartlarla sunulması durumunda da bir sömürücü kötüye kullanma riskiyle karşılaşılabileceği görüşü sunuluyor.

ABİHA’nın 102. maddesi uyarınca hâkim durumdaki teşebbüsün nezdindeki verileri paylaşma yükümlülüğü konusunda yapılan değerlendirmede bahse konu verinin vazgeçilmez olup olmadığı üzerinde duruluyor. Buna göre teşebbüslerin ABİHA’nın 102. maddesine dayanarak hâkim durumdaki teşebbüsten veri paylaşımı talep etmeleri durumunda verinin vazgeçilmez nitelikte olup olmadığının, verinin niteliğiyle paralel olarak farklı veri gruplarının ayrıştırılarak verilmesinin mümkün olup olmadığının incelenmesi tavsiye ediliyor. Bu noktada yerel rekabet otoritelerinin yapacakları değerlendirmelerde netlik olmadığı hallerde, verinin paylaşımına hükmederek piyasaya doğrudan müdahale etmektense çekingen davranmalarının daha doğru olacağı yönünde yorumlarda bulunuluyor. Bununla birlikte bu konuyu da düzenleyen bir sektör spesifik regülasyona ihtiyaç olabileceği belirtiliyor.

Dijital piyasaları ilgilendiren birleşme ve devralma işlemlerinin incelenmesi

Bu başlık altında yapılan en önemli değerlendirmeler AB’nin mevcut birleşme ve devralma kontrol eşiklerinin yeterli olup olmadığına yönelik. Avrupa’daki devralmaların bildirimi için öngörülen ciro eşiklerinin önemli sayılabilecek işlemleri gözden kaçırabildiği husus bir süredir rekabet hukuku çevrelerinin en çok tartışılan konularından. Biz de daha önce burada “İşlem Tutarı Esasına Dayalı Birleşme ve Devralma Bildirimi Yükümlülüğü: Cermenler Neler Söylüyor?” başlıklı yazımızda söz konusu hususa değinmiş ve Almanya ile Avusturya’nın kanunlarında yaşanan değişimlere ve yeni bildirim eşiklerine ilişkin değerlendirmelerimizi paylaşmıştık.

Raporda da AB üye devletlerinin mevcut eşiklerin yanında işlem tutarına dayalı eşikler belirliyor olması değerlendirmeye tabi tutuluyor ve AB’nin de bu tip yeni bir sisteme ihtiyacı olup olmadığı tartışılıyor. Ancak Almanya ve Avusturya’nın tanıştırdığı işlem tutarı sisteminin henüz çok yeni olduğu ve gözlenebilir sonuçlarının henüz ortaya çıkmadığı belirtilerek Avrupa için yeni bir birleşme ve devralma kontrolü rejiminin gerekli olmadığı kanaati bildiriliyor. Komisyon tarafından söz konusu sistemlerin çıkaracağı sonuçların yakından gözleneceği ifade edilmekle birlikte, ilerleyen dönemlerde üye devletlerin benimsedikleri bu yeni sistemler nedeniyle sistematik bir boşluk oluşması durumunda AB Birleşme Regülasyonu’nun revize edilebileceğine ilişkin görüşler paylaşılıyor.



[1] Trustbusting in the 21st Century, Special Report: Competition, The Economist, 17.11.2018, s. 6.

[2] Avrupa Komisyonu, Competition Policy for the Digital Era, http://ec.europa.eu/competition/publications/reports/kd0419345enn.pdf (Erişim tarihi: 8.4.2019)

Hindistan’da doğrudan yabancı yatırımın kuralları değişiyor: Çevrimiçi platformların başı yine dertte!

Bir süredir, başta Amazon olmak üzere çevrimiçi satış platformları Avrupa Komisyonu’nun gündeminde. Komisyon’un rekabetten sorumlu üyesi Margrethe Vestager yaptığı açıklamada, Amazon’un alıcılarla satıcıları buluşturduğu platform aracılığıyla topladığı verileri kendi ürünlerinin satışını arttırmak için kullanıp kullanmadığının incelemekte olduğunu hatırlatıyor. Benzer bir inceleme halihazırda Avusturya Rekabet Otoritesi nezdinde de yürütülüyor. Alman Rekabet Otoritesi Bundeskartellamt ise 2018 yılının Aralık ayında Amazon’un hakim durumunu kötüye kullanıp kullanmadığını belirlemek üzere soruşturma başlatmıştı.

Tüm Avrupa’da Amazon’un iş modeli bu şekilde yakından incelenirken bir darbe de Hindistan’dan geldi. Hindistan Ticaret Bakanlığı’nın öngördüğü doğrudan yabancı yatırım politikasındaki değişiklik, 2018 yılının sonunda yayımlandı ve Şubat ayında resmen yürürlüğe girdi. Bu yeni düzenlemeden en fazla etkilenenler tabi ki Amazon ve Hindistan’ın ikinci büyük çevrimiçi satış platformu Flipkart oldu. Nitekim mevcut durumda bu iki şirket birlikte çevrimiçi satış pazarının %60’ını elinde bulundurmakta.

Peki, bu değişiklikte neler yer alıyor?

Esasen söz konusu değişiklik ile yabancı sermayeli çevrimiçi platformların, bu platformlar aracılığıyla kendi ürünlerini satan satıcılar üzerinde baskı kurması engellenmeye çalışılıyor. Buna göre söz konusu platformların kendi markalarını taşıyan ürünlerini bu platformlarda satması engelleniyor.

Burada neden bahsettiğimizi daha iyi anlatabilmek için Amazon, Flipkart gibi çevrimiçi platformların iş modeline kısaca değinmek gerekir. Yabancı sermayeli Amazon ve Flipkart, platformlarında (internet sitelerinde) hem üçüncü taraf satıcıların hem de kendi (Amazon, Flipkart markalı ürünlerin) satışını gerçekleştiriyor. Son dönemlerde üçüncü taraf satıcıların en büyük şikayeti ise bu platformların kendi markalarını taşıyan ürünleri, fiyatlama politikalarıyla kayırdığı yönünde. Söz konusu değişikliğin geçtiğimiz Şubat ayında yürürlüğe girmesiyle artık Amazon veya Flipkart, Hindistan internet sitesinde kendi markalı ürünleri satamayacak.

Benzer şekilde platformun, platform sahibi şirketi kontrol eden şirketin veya bu şirketin iştiraklerinin hissesine sahip olduğu satıcıların da bu platformda satış yapması mümkün olmayacak. Bu yasağın kapsamına platformun, satıcının envanterinin %25’inden fazlasını kontrol ettiği durumlar da giriyor. Söz konusu platformların satıcılarla imzaladığı sözleşmelerde münhasırlık hükümlerine yer vermesi de bu değişiklikle yasaklandı. Dolayısıyla Amazon gibi çevrimiçi platformlar, satıcıları münhasıran bu platformlarda (çevrimiçi olarak) satış yapmaya zorlayamayacak.

Çalışmalar ticaret birliklerinden gelen şikayetler üzerine başladı

Yapılan açıklamalara göre Amazon ve Flipkart’ın çevrimiçi satış pazarındaki gücü arttıkça, bu platformların üçüncü taraf satıcılar üzerindeki baskıları da artmaya başladı. Platformların, kendi ürünlerini bu satıcıların ürünlerinin aksine çok düşük fiyatlardan satışa sunması, yüksek indirimler uygulaması, platform aracılığıyla edindiği bilgileri kendi satışlarını arttırmak için kullanması ve bu satıcılara münhasıran platform üzerinden satış yapma yükümlülüğü getirmesi sonucu satıcılardan ve ticaret birliklerinden şikayetler yağmaya başladı. Söz konusu şikâyetlere kulak veren Ticaret Bakanlığı çalışmalar başlatarak geçtiğimiz Aralık ayında söz konusu değişikliği 2019 yılının Şubat ayında yürürlüğe girmek üzere yayımladı. Değişikliğin yürürlüğe girmesi beklenirken, Flipkart’ın değişiklikle öngörülen yükümlülüklerinden kaçınmak için birtakım uygulamalarda bulunduğuna ilişkin şikâyetler gelmeye devam etti.

Amazon ise ilgili bakanlık ile iletişime geçerek değişikliğin kapsamı ve uygulamasına ilişkin detaylı bilgi almaya çalıştığını, iş modelini ise bu yeni düzenlemeye göre gözden geçireceğini açıkladı.

Bu düzenleme kimlerin işine yarayacak?

Söz konusu değişiklik ile çevrimiçi platformlar üzerinden satış yapan üçüncü taraf satıcılar üzerinde kurulan baskıların bertaraf edilmesi amaçlanıyor. Dolayısıyla bu yeni düzenlemeden ilk olarak,

  • çevrimiçi platformlarda satış yapan,
  • platform, platformu kontrol eden şirket ya da bu şirketin iştiraklerinin herhangi bir hissesine sahip olmadığı satıcılar yarar sağlayacak.

Tahmin edileceği gibi, çevrimiçi satışların başlaması ve bu platformların satıcıları münhasıran çevrimiçi mecralarda satış yapmaya zorlaması ile brick & mortar olarak adlandırılan geleneksel kanallardan satışlar önemli derece azalmıştı. Platformların sözleşmelerinde münhasırlık hükümlerine yer vermesinin yasaklanması ile brick & mortar satışlarının tekrar artması, bu kanalda yaklaşık olarak %19’luk bir büyüme yaşanması bekleniyor[1].

Amazon ve Flipkart gibi çevrimiçi platformların işini zorlaştıran bu düzenlemenin yürürlüğe girmesi ile bu platformların Hindistan’da uyguladığı iş modellerini revize etmesi için süreç başladı. Eğer yeni düzenlemeye uyum süreci başarılı olarak yürütülemezse, Amazon’un başı Avrupa’da olduğu gibi Hindistan’da da belaya girecek gibi duruyor.


[1] https://economictimes.indiatimes.com/industry/services/retail/brick-and-mortar-to-see-additional-sales-of-rs-10000-12000-crore-in-2020-due-to-recent-fdi-norms-crisil/articleshow/67524904.cms

KVKK’dan yeni karar özetleri: Uygulama yavaş yavaş netleşmeye başlıyor

Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından son dönemde uygulamayı yakından ilgilendiren karar ve duyurular yayınlanmıştır. Kurul kararlarında özellikle sağlık, e-ticaret ve kamu sektörlerine ilişkin değerlendirmelere yer verilmektedir. Bu yazımızda, Kurul’un kişisel verilerin işlenmesi, muhafazası, yurtiçine ve yurtdışına aktarımı ile veri ihlali bildirimi hususlarına ilişkin kararları açıklanmakta ve ilgili kararların uygulamada ne gibi sonuçlar doğuracağına ilişkin değerlendirmelerimiz yer almaktadır.  

I. Eczanenin Hukuka Aykırı Veri Aktarımı

Doktor kontrolünde ilaç kullanan ilgili kişiye ait sağlık verilerine ilişkin bilgilerin, ilaçlarını temin ettiği eczane tarafından, herhangi bir işleme şartına dayanmadan üçüncü kişilere aktarıldığı gerekçesi ile ilgili tarafından Kurum’a şikayet başvurusu yapılmıştır. Kurum tarafından yapılan inceleme neticesinde, kişisel verilerin işlenmesinde ve kişisel verilerin üçüncü kişilere aktarılmasında temel kuralın, ilgilinin açık rızasının alınması olduğuna dikkat çekilmiştir. Bu kuralın istisnası olan hallerin ise yalnız ilgili mevzuat çerçevesi ile sınırlı olduğu belirtilmiş ve bu kapsamda olmayan hallerde temel kurala uyulmamasının ihlal olarak nitelendirileceği ortaya konulmuştur. Bu anlamda, eczanenin, kanunda yer alan istisnai hallerden herhangi birine dayanmaksızın, ilgilinin özel nitelikli kişisel verisi olan sağlık verilerini üçüncü kişilere aktarmasının hukuka uygun bir aktarım olmaması sebebiyle veri sorumlusunun en temel yükümlülüklerinden olan kişisel veri güvenliğinin sağlanması yükümlülüğüne aykırı hareket ettiğini saptayan Kurum, bu ihlal neticesinde eczaneye idari para cezası uygulanmasına karar vermiştir.[1]

Karardan anlaşıldığı üzere, özellikle özel nitelikli kişisel veri işleyen veri sorumlularının kişisel verilerin işlenmesinde ve bu verilerin aktarılmasında Kanun’unda öngörülen hukuki sebebe dayanması gerekmektedir. Aksi halde yaptırımı idari para cezası olacaktır.

II. Sistemde Yer Alan Verilerin Erişilebilir Hale Gelmesi

İlgili kişi, bir hazır giyim firmasının internet sitesi üzerinden üyelik bilgileri ile alışveriş yaparken, kendisine ait teslimat adresi, adı, soyadı, adresi ve telefon numarası gibi kişisel bilgilerinin, şirkete ait bu internet sitesi üzerinden alışveriş yapan diğer kişilerce erişilebilir hale gelmesi sebebiyle Şirkete başvuruda bulunmuş ve kişisel verilerinin sistemlerinden silinmesini talep etmiştir. Şirket tarafından şikayetin kendilerine gelmesi ile olayın öğrenildiği, olayın sistemsel bir hatadan kaynaklandığı ve Şirket tarafından başka müşterilerin aynı olaya maruz kalmamaları için önlemlerin alındığı belirtilmişse de ilgili kişi bu yanıtı yetersiz bularak Kurum’a başvurmuştur. Kurum tarafından yapılan değerlendirmede, firmanın kişisel verilere hukuka aykırı erişilmesini önleme amacıyla gerekli tedbirleri almadığı saptanmış ve firma aleyhine idari para cezası uygulanmasına karar verilmiştir.[2]

Karardan görüleceği üzere, özellikle e-ticaret alanında faaliyet gösteren veri sorumlularının sistemlerinde yer alan kişisel verilere hukuka aykırı erişilmesini önleme yükümlülüğüne uyulmaması, idari para cezası yaptırımı uygulanmasını gerektirmektedir.  

III. Verilerin İşlenmesini Gerektiren Sebeplerde Dikkat Edilecek Süreler

Devlet memuru ilgili kişilerce, memuriyet döneminde haklarında açılmış inceleme-soruşturma dosyalarına ilişkin evrakların imha edilmesi talebi ile veri sorumlusu kamu kurumuna başvurulmuş ve kişisel verilerinin silinmesi talep edilmiştir. Anılan kurum, ilgili mevzuat uyarınca verileri saklamaları gerektiğini belirterek bu talebi reddetmiştir. İlgili söz konusu şikayeti Kurum’a taşımış ve Kurul, kanunda yer alan özel saklama sürelerinin (memurluğun sona ermesinden itibaren 101 yıl) devam ediyor olması sebebiyle ilgili kişinin bu talebinin karşılanmamasının hukuka uygun olduğu yönünde karar vermiştir.[3]

Karardan anlaşılacağı üzere, Kurum, kişisel verilerin işlenmesini gerektiren sebebe ilişkin olarak özellikle saklama süreleri bakımından mevzuattan doğan en uzun süreyi dikkate almıştır. Bu anlamda, veri sorumlularının, kişisel verilerin işlenmesi ve muhafaza edilmesinde mevzuatta yer alan sürelere dikkat etmesinin çok önemli olduğunu vurgulamak isteriz.

IV. Veri İhlali Bildiriminde “en kısa süre” 72 Saat Olarak Belirlendi[4]

Veri sorumlularının veri ihlalini öğrenmelerinin üzerine durumu en kısa sürede ilgilisine ve Kurul’a bildirmesine ilişkin düzenleme, uygulamada “en kısa süre”den ne anlaşılması gerektiğine ilişkin soru işaretleri ortaya çıkarmaktaydı. Bu hususta Kurul’un alacağı kararlar arasında yeknesaklığın sağlanması ve uygulamada bir standardın yakalanması amacı Kurul, “en kısa süre” ifadesinin 72 saat olarak yorumlanmasına karar vermiştir. Bu sayede Avrupa Genel Veri Koruma Tüzüğü (GDPR) ile de yeknesak bir uygulama yaratılmıştır.

Veri sorumlusu, ihlali öğrenmesinden itibaren en geç 72 saat içinde Kurul’a bildirim yapmalı, ihlalden etkilenen kişilerin belirlenmesini takiben makul olan en kısa süre içerisinde ilgili kişilere iletişim adreslerinden ve kendi web sitesinden ihlale ilişkin bildirimde bulunmalıdır. Kurul’a yapılacak bildirimde Kişisel Veri İhlal Bildirim Formu sunulmalı, formda yer alan tüm bilgilerin aynı anda sağlanmasının mümkün olmadığı hallerde ise bilgilerin gecikmeksizin aşamalı olarak sağlanması gerekmektedir. Haklı bir gerekçe ile 72 saat içerisinde yapılamayan bildirimlerde, yapılan bildirim ile beraber gecikme sebepleri de mutlaka Kurul’a açıklanmalıdır. Kurul duyurusunda veri sorumlularınca bir veri ihlali müdahale planı hazırlanmasına ve belirli aralıklarla bu planın gözden geçirilmesine de karar vermiştir.

Veri ihlalinin yurtdışında yerleşik bir veri sorumlusu nezdinde gerçekleşmesi halinde ise Türkiye’de yerleşik kişilerin ihlalden etkilenmesi ve ilgili kişilerin ürün ve hizmetlerden Türkiye’de yararlanması şartlarıyla aynı bildirim süreci yürütülecektir.

Veri ihlali bildirimi noktasında Kurul’a yapılacak bildirimler ön planda tutulmuş, ilgili kişiye ve veri işleyen tarafından veri sorumlusuna yapılacak bildirimlerde ise süre belirlememiştir. Ancak Kurul’un önceki kararlarında “en kısa süre”ye ilişkin esnek yorumlarının artık kabul edilmeyeceği varsayımında söz konusu bildirimlerde de süre konusuna titizlikle yaklaşılması gerekmektedir. Veri ihlali müdahale planlarının kapsamlı bir biçimde hazırlanması (kimlere raporlama yapılacağı, ihlalin olası sonuçlarının değerlendirilmesinde sorumluluğun kimde olduğu vs.) hem ilgili bildirim formunun doldurulmasında hem de ihlale ilişkin bilgi, etki ve önlemlerin Kurul’un incelemesine hazır halde bulundurulmasında kolaylık sağlayacaktır.

Sonuç

Yayınlanan kararlarda da görüldüğü üzere Kurul, özel nitelikli kişisel verilerin hukuka aykırı biçimde işlenmesi ve kişisel verilere hukuka aykırı biçimde erişilmesi hususlarında idari para cezası verme uygulamasını oldukça katı bir biçimde sürdürmektedir. Veri sorumlularının bu noktada iç politikalarını titizlikle incelemeleri önem arz etmektedir. Kurul, kişisel verilerin saklanması ve veri ihlali bildirimi noktalarında da uygulamanın süreye ilişkin kaygılarını giderir nitelikte kararlar vermiştir. Bu kararların ilgililerce gerek kişisel verilerin muhafazası aşamasında, gerek ise olası bir veri ihlalinin bildirimi noktasında dikkate alınması gerekmektedir.

Kurul kararları ile ilgili yeni gelişmeler oldukça güncellemeler aracılığı ile sizlere bilgi vermeye devam edeceğiz.


[1] Kurul’un 05/12/2018 Tarihli ve 2018/143 Sayılı Kararı

[2] Kurul’un 26/07/2018 Tarihli ve 2018/91 Sayılı Kararı

[3] Kurul’un 28/06/2018 Tarihli ve 2018/69 Sayılı Kararı

[4] Kurul’un 24/01/2019 Tarihli ve 2019/10 Sayılı Kararı

KVK Kurulu’ndan Başvuru ve Şikayet Sürelerine ilişkin Kamuoyu Duyurusu

Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından 13 Şubat 2019 tarihinde duyurulan, 24.01.2019 tarih ve 2019/9 sayılı karar (“Karar”) ile birlikte, başvuru ve şikâyet sürelerine ilişkin bazı soru işaretlerini gidermek adına başvuru sürelerine ilişkin çeşitli ihtimallere açıklık getirilmiştir.

6698 sayılı Kişisel Verilerin Korunması Kanunu’nda (“Kanun”), veriye temas edenlerin yükümlülükleri ile birlikte verisi işlenen ilgili kişilerin hakları da düzenlenmiştir. Kanun, ilgili kişiler tarafından yürütülecek veri sorumlularına başvuru ve Kurul nezdinde şikâyet imkânlarını 13 ve 14. Maddelerinde yer verdiği hükümler ile açıklamaktadır.

Kanun’un ilgili maddeleri uyarınca veri sorumlusu, kendisine gelen ilgili kişi başvurularını en geç otuz gün içerisinde yanıtlamakla yükümlüdür. Başvurunun reddedilmesi, hiç yanıt verilmemesi veya verilen yanıtın ilgili kişi tarafından yeterli bulunmaması hâllerinde; ilgili kişinin Kurul nezdinde şikâyet sunma hakkı saklıdır. Ancak Kanun metninde de açıkça belirtildiği üzere, şikâyet öncesinde, veri sorumlusuna başvuru müessesesinin tüketilmesi gerekmektedir.

13 Şubat 2019 tarihinde Kişisel Verileri Koruma Kurumu’nun internet sitesi üzerinden yayınlanan Karar’da veri sorumlusuna başvuru ve başvuruya verilen yanıta istinaden Kurul’a başvurma sürelerinin yorumlanmasına ilişkin endişelerin giderilmesi adına başvuru süreleri üç farklı ihtimal üzerinde durularak açıklanmıştır.

Veri Sorumlusunun Yanıtı Şikayet Süresi
Başvuruya 30 gün içinde yanıt verilmesi Veri sorumlusu tarafından verilen yanıttan itibaren 30 gün içerisinde şikâyette bulunulması gerekir.
Başvuruya hiç yanıt verilmemesi Veri sorumlusuna yapılan başvurudan itibaren 60 gün içerisinde şikâyette bulunulması gerekir.
Başvuruya 30 günlük süre tamamlandıktan sonra yanıt verilmesi Veri sorumlusuna yapılan başvurudan itibaren, 30 günlük cevap verme süresi beklendikten sonra 30 gün içerisinde (başvuru tarihinden itibaren 60 gün) içerisinde şikâyette bulunulması gerekir.

Karar’da 60 gün olarak açıklanan sürelerin, başvuru sürecinin doğası gereği, başvuruyu izleyen otuz günlük sürenin sonunda başlayacak olan, yeni bir otuz günlük süre olarak yorumlanması yerinde olacaktır. Zira aslında veri sorumlusuna başvuruya yanıt hakkı tanıyan ilk otuz günlük dönemde (yanıt alınmadığı müddetçe) herhangi bir şekilde şikâyet prosedürünü işletmek mümkün değildir.

Son olarak hatırlatmak gerekir ki, her ne kadar Karar’da yer alan açıklamalar veri sorumlusu tarafından başvuruya yanıt verilmesini esas alsa da mevzuatta da açıkça belirtildiği üzere, ilgili kişinin, yanıtın tatmin edici olmaması hâlinde,  veri sorumlusunun yanıtından itibaren 30 gün içerisinde Kurul nezdinde şikâyet yoluna başvurma haklı saklı kalacaktır.