Bu terazi (!) bu sıkleti çeker mi? : Teknoloji şirketlerinin finansal piyasalara girişi

Facebook’un yakın zamanda duyurduğu kripto para Libra uluslararası finans düzleminde tartışıladursun, Uluslararası Ödemeler Bankası’na göre konu regülasyon ve rekabeti de içerecek şekilde geniş bir perspektiften ele alınmalı.

Klasik iktisatta paranın üç fonksiyonunun olduğu kabul edilir: (i) mübadele aracı olma (medium of exchange), (ii) değer saklama aracı olma (store of value), (iii) hesap birimi olma (unit of account). Son dönemlerde dillerden düşmeyen blokzincir teknolojisine dayalı kripto paraların bu fonksiyonları sağlayıp sağlayamadığı tartışma konusu. Kripto paraların en yaygını Bitcoin’in dahi bu fonksiyonları karşılayamadığı konusunda iktisatçılar neredeyse hemfikir. Bu nedenle kripto paraların piyasada yaygınlaşmadığı ve yaygınlaşmalarının da güç olduğu ifade ediliyor. Ancak piyasaya yeni bir oyuncu geliyor ve bu oyuncu terazinin (!) dengesini kendi lehine değiştirebilir. Facebook’un yakın zamanda tanıttığı Libra adlı kripto para, Big Tech olarak anılan büyük teknoloji şirketlerinin diğer piyasalara doğru yayılmacı politikalarının son örneklerinden biri. Visa, Mastercard, PayPal ve PayU gibi ödeme sistemi devlerinin de ortak olduğu Libra, diğer kripto paraların sağlayamadığı üç temel fonksiyonu sağlama yolunda ise hızlı bir çıkış yapabilecekmiş gibi görünüyor.

Teknoloji devlerinin regülasyon ve rekabet çevrelerinde yakından takip edildiği bir dönemde tanıtılan Libra, ülkelerin merkez bankalarının üye olduğu global düzenleyici otorite Uluslararası Ödemeler Bankası’nın da (BIS – Bank for International Settlements) dikkatini çekmiş durumda. BIS tarafından Libra’nın tanıtımının hemen ardından yapılan açıklama[1], Libra’nın global finansal istikrarda olumsuz etkiler doğurabileceğine yönelik çekinceler barındırıyor. Basel’li düzenleyici otorite tarafından yayımlanan yakın tarihli rapor da konuya daha geniş bir perspektiften yaklaşarak teknoloji devlerinin finansal piyasalara girişinin olası sonuçlarını ve olumsuzluklara karşı erkenden alınabilecek önlemleri değerlendiriyor[2].

Henüz on yılını tamamlamış olan 2008 yılındaki uluslararası finans krizinin ardından finansal piyasaların yerleşik oyuncuları bankalar, global ölçekte düzenleyici otoritelerin sıkı regülasyonları ile karşılaştılar. Krizlerin önüne geçilmesini ve finansal istikrarın teminini amaçlayan bu düzenlemeler bankalar bakımından ciddi uyum maliyetleri yaratıyor. Teknoloji devlerinin ise finansal piyasalarda boy gösterirken bu düzenlemelere tabi olmamaları ve uyum maliyetlerinden kurtulmaları, bankaların eşit olmayan bir oyun alanında rekabet edemedikleri algısının güçlenmesine ve şikayetlerin doğmasına yol açıyor. Buradaki endişelerin başında ise bu şirketlerin teknolojik üstünlüklerini ve geniş kullanıcı portföylerini kullanarak bankaları gelecekte kadük teşebbüsler haline getirmeleri var. Bu şekilde halihazırda problemler görülen finansal piyasalarda çok daha dar oligopollerle karşılaşılabileceği yönünde çekinceler var. Tüm bu çekincelere karşın BIS’in sloganı; aynı faaliyet için aynı regülasyon. Yakın zamanda finansal piyasaların yeni oyuncuları teknoloji devleri de finansal piyasaların kurallarına hızlı bir uyum sağlamak zorunda kalabilir.

BIS’in bu noktada yaptığı bir diğer önemli değerlendirme ise global ve yerel düzlemdeki birbirinden farklı konuları düzenleyen regülasyonların iç içe çalışma gerekliliği üzerine. BIS’in değerlendirmesine göre finansal piyasaların düzenleyici kurumlarının, kişisel verileri koruma kurumlarının ve rekabet otoritelerinin yakın temas içinde ortak bir politika izlemeleri gerekiyor. Nitekim BIS’in raporunda teknoloji devlerinin farklı piyasalarda varlık göstermeye başlamalarının analizi yapılırken farklı otoritelerin aksiyonlarının bu şirketleri ne yönde etkileyebileceği konusu bir pusula alegorisiyle değerlendiriliyor. Bu kapsamda Almanya rekabet otoritesi Bundeskartellamt’ın yakın zamanda verdiği Facebook kararının kişisel verilerin kullanımı bakımından teknoloji devlerine bir kısıtlama getirdiği değerlendirilirken, Çin’in yakın zamanda Baihang adlı dijital platforma kredi puanlaması lisansı vermesinin ve Hindistan’ın yeni Birleşik Ödemeler Arayüzü sisteminin ise piyasalara girişin önünü açan gelişmeler olduğu kabul ediliyor.

BIS’in yaptığı değerlendirmelerden en önemlisi ise düzenleyici otoritelerin rekabet değerlendirmesi konusundaki yetkinliklerine ilişkin. Zira belirtildiği şekilde teknoloji devlerinin mevcut avantajlarından yararlanarak çeşitli piyasalara giriyor olması öncelikli olarak bu piyasalardaki rekabeti ilgilendiriyor. Bu doğrultuda BIS’in de belirttiği üzere bu piyasaların düzenleyici otoritelerinin hızlı bir şekilde rekabet ve rekabet hukuku alanında yetkinliklerini artırmaları gerekiyor. BIS’e göre geç olmadan regülasyon ve rekabet politikalarının global düzlemde teknoloji devlerinin ilerleyişine adapte edilmesi gerekiyor. Regülasyon ve rekabet dünyasındaki tartışmalar Facebook’un Libra’sı sayesinde yakında şiddetlenecek gibi görünüyor.


[1] BIS Araştırma Dairesi Başkanı Hyun Song Shin’in Libra’ya dair açıklamaları için bkz. https://www.youtube.com/watch?v=QC8spl8u6Lg

[2] BIS Annual Economic Report 2019, s. 55-80.

TÜSİAD’ın üçüncü e-ticaret raporu çıktı!

Şahin ARDIYOK, Emin KÖKSAL

TÜSİAD’ın 2014 yılında yayınladığı e-ticaret konulu ilk rapor, Türkiye’deki e-ticaret için durum tespiti yapan bir çalışmaydı[1]. E-ticareti dijital pazarların odak noktasına koyan bu raporda Türkiye için atılması gereken adımlar da yer almıştı. 2017 yılında çıkan ikinci rapor ise e-ticaretteki gelişmelerin yanında, perakende olarak nitelendirilebilecek B2C e-ticarete odaklanan bir rapor olarak hazırlanmıştı[2]. TÜSİAD’ın geçtiğimiz günlerde yayınladığı üçüncü rapor ise B2C’nin yanında B2B e-ticarete, e-ihracata ve tamamen dijital olarak verilen hizmetlere odaklanmış bir çalışma olarak karşımıza çıkıyor[3].

E-ticaretin gelişiminin birçok faktöre bağlı olduğunu, bunların içerisinde internet kullanımının yaygınlığının, lojistik olanakların, ödeme sistemlerinin, tüketici algısının vb. koşulların önemli olduğunu biliyoruz. TÜSİAD’ın ilk iki raporu bu faktörler konusunda iyi birer referans kaynağı olurken, söz konusu üçüncü raporun e-ticaretteki gelişmelere e-ihracat, sosyal medya ve B2B e-ticaret konusunda ilave boyutlar kattığını söylemek mümkün.

Rapor yapısal olarak, önce dünyada ve sonra Türkiye’de (1) e-ticaret hacmi üzerinde etkili olan faktörlerdeki gelişmeleri, (2) e-ticaret ekosistemindeki değişimi inceliyor. Ekosistem içerisindeki değişimi ele alırken yasal düzenlemelerdeki (regülasyon) değişikliklere önemli bir yer ayrıldığı görülüyor. Bu blogu okuyanların ilgi alanını düşünerek, rapordaki diğer konuları bir kenara bırakıp yasal düzenlemeler alanındaki tespitlere kısa kısa değinmek isteriz.

Bazıları bu blogda da yer alan düzenlemelerin başında, Hindistan’da yerel e-ticaret oyuncularını küresel oyuncuların rekabetinden korumak amacıyla Amazon, Flipkart gibi önemli pazaryeri oyuncularına getirilmesi düşünülen kısıtlayıcı düzenlemeler yer alıyor[4].

Yine Asya kıtasından devam edersek, e-ticaretin en gelişmiş olduğu ülkelerden biri olan Çin’de son dönemde önemli yasal düzenlemelerin gündemde olduğu tespiti yapılıyor. E-ticaret platformlarının rekabeti engelleyici fiillerine cezalar gelirken, kullanıcıların ürün ve hizmetler konusundaki deneyimlerini yansıtan kullanıcı yorumlarına dair yeni düzenlemelere dikkat çekiliyor.

ABD’de ise firmaların ürünlerinin satışının gerçekleştirdiği eyalette fiziksel bir ofisi veya mağazası olmasa dahi çevrimiçi satışlardan ilgili vergilerin alınmasına ilişkin düzenlemeler getirildiğine değiniliyor.

Avrupa kıtasına geldiğimizde ise e-ticareti ilgilendiren en önemli gelişme olarak, 2018 yılı ortasında Genel Veri Koruma Tüzüğü’nün (General Data Protection Regulation – GDPR) yürürlüğü girmesi ortaya konuyor. Söz konusu tüzüğün 3. maddesinde öngörüldüğü şekliyle, GDPR’nin AB üyesi ülkelerde kurulu olan veya AB pazarına ürün veya hizmet sunan firmalara uygulanıyor olması, e-ticareti doğrudan etkileyecek bir faktör olarak sunuluyor[5].

Türkiye için yapılan değerlendirmelerde e-ticaret alanındaki düzenlemelere dair gelişmelerin başında 2016’da yasallaşan Kişisel Verilerin Korunması Kanunu (KVKK) geliyor[6]. Raporda özel bir bölüm ayrılan KVKK düzenlemeleri için iki tespit dikkati çekiyor. Bunlardan ilki KVKK’nın B2B e-ticaret paydaşları için nasıl uygulanacağına dair bir kılavuzun gerekliliğine, ikincisi ise kişisel verilerin saklanması için bulut bilişim kullanımına dair belirsizliğe işaret ediyor.

Raporda, Türkiye’deki düzenlemelere dair yer alan diğer konulara baktığımızda ise iki konunun gözümüze çarptığını söyleyebiliriz. Bunlardan ilki, internet ortamında verilen reklam hizmetlerinin gelir/kurumlar vergisi stopajı kapsamına alınması. Diğeri ise yurt dışındaki e-ticaret platformlarından yapılan satın alma işlemlerinde bedeli 22 Avroyu aşmayan ürünlere tanınan vergi muafiyetinin yürürlükten kaldırılması.

Raporda değinilmeyen, fakat Türkiye’deki e-ticaret hacmi üzerinde etkili olabilecek son dönemde gerçekleştirilen bir diğer değişikliği de biz ekleyelim. Rekabet Kurulu, geçtiğimiz Nisan ayında Dikey Anlaşmalara İlişkin Kılavuz’da bir revizyona gitmişti. Hatırlatmak gerekirse bu revizyonla, marka sahiplerinin internet satışlarına getirdiği kısıtlamalar ve çeşitli e-ticaret platformlar tarafından kullanılan “en çok kayrılan müşteri” (EKM) şartları konusunda önemli tespitlerde bulunulmuştu[7].


[1] TÜSİAD. (2014). Dijital Pazarın Odak Noktası e-Ticaret: Dünya’da Türkiye’nin Yeri, Mevcut Durum ve Geleceğe Yönelik Adımlar. Erişim tarihi 03.07.2019, https://tusiad.org/tr/yayinlar/raporlar/item/download/8575_2aa6e4ca543c2375304fd4d4edf532a5.

[2] TÜSİAD. (2017). Dijitalleşen Dünyada Ekonominin İtici Gücü: E-Ticaret. Erişim tarihi 03.07.2019, https://tusiad.org/tr/yayinlar/raporlar/item/download/8595_8e317197ef6a8179195e319a5668a7a0.

[3] TÜSİAD. (2019). E-Ticaretin Gelişimi, Sınırların Aşılması ve Yeni Normlar. Erişim tarihi 03.07.2019, https://tusiad.org/tr/yayinlar/raporlar/item/download/9228_dd99423af3c375774e32203b5a3e6daa.

[4] Bkz. ÇINAR, G. (4 Nisan 2019). Hindistan’da doğrudan yabancı yatırımın kuralları değişiyor: Çevrimiçi platformların başı yine dertte! Rekabet Regülasyon. Erişim tarihi 25.04.2019, http://www.rekabetregulasyon.com/hindistanda-dogrudan-yabanci-yatirimin-kurallari-degisiyor-amazonun-basi-yine-dertte/.

[5] Bkz. CANBEYLİ, A. (20 Mayıs 2019). Kişisel Verilerin Korunması Alanında Yol Gösterici Gelişmeler: İngiltere Ses Kaydı ve Diğer Biyometrik Verilerin İşlenmesi Konusunda GDPR’ı Nasıl Uyguluyor?. Erişim tarihi 25.04.2019, http://www.rekabetregulasyon.com/kisisel-verilerin-korunmasi-alaninda-yol-gosterici-gelismeler-ingiltere-ses-kaydi-ve-diger-biyometrik-verilerin-islenmesi-konusunda-gdpri-nasil-uyguluyor/.

[6] Bkz. SÜTLÜ, S. (4 Nisan 2018). Kişisel Verileri Koruma Kurumu’ndan İki Yeni Tebliğ! Erişim tarihi 25.04.2019, http://www.rekabetregulasyon.com/kisisel-verileri-koruma-kurumundan-iki-yeni-teblig/.

[7] Bkz. YEŞİLYAPRAK, D. (14 Mayıs 2018). “Yeni Kılavuz Çıktı Hanım” – Evet de Yeni Kılavuz Neden Bahsediyor? Erişim tarihi 25.04.2019 http://www.rekabetregulasyon.com/yeni-kilavuz-cikti-hanim-evet-de-yeni-kilavuz-neden-bahsediyor/.

OTT Regülasyonu geliyor!

Günümüz regülasyon hukuku tartışmalarından belki de en popüleri Over-the-Top (OTT) hizmetlerinin düzenlenmesi.

Peki neden ülkeler OTT hizmetlerini regüle etmek konusunda bu denli istekli?

Türkiye’de isteğe bağlı internet yayınlarının denetlenmesine ilişkin yeni düzenlemeler bizi nereye götürüyor?

Şahin Ardıyok ile OTT’ye ilişkin güncel meseleleri kısaca özetlediğimiz “Network Industries Quarterly” dergisinde yayınlanan makalemizi okumak için tıklayınız.

Rüzgarın Bol Olsun Türkiyem

Rüzgar enerjisi santrali (“RES”) kurulu gücü yaklaşık 7,4 GW olan ülkemizde 2018 yılında üretilen elektriğin yaklaşık yüzde 6.8’i rüzgar santrallerinden sağlandı. Enerjide dışa bağımlılık ile karbon izinin azaltılmasında ve enerji arz güvenliğinin sağlanmasında kritik önemi haiz rüzgar enerjisine ilişkin yatırımlar hız kesmiyor. 2017 yılında yapılan RES’lere yönelik ilk YEKA ihalesinden sonra 250 MWe kapasiteli Balıkesir, Çanakkale, Aydın, Muğla bağlantı bölgeleri için YEKA-2 ihalesi de 30.05.2019 tarihinde yapıldı. Bir milyar dolarlık yatırım anlamına gelen bahse konu RES’ler tamamlandığında yaklaşık 1 milyon 200 bin hanenin elektrik ihtiyacının karşılanması öngörülüyor. YEKA RES-2 ihalesi kapsamında kurulacak tesislerin lisans süresinin 49 yıl olacağını belirtmekte fayda var.

YEKA-2 kapsamında yapılan Aydın Bağlantı Bölgesi ihalesini 4,56 dolar/cent’lik teklifiyle ve Çanakkale bağlantı Bölgesi ihalesini 3,67 dolar/cent’lik teklifiyle Enerjisa Üretim Santralleri A.Ş. kazandı. Diğer yandan, Muğla Bağlantı Bölgesi için yapılan ihaleyi 4,00 dolar/cent’lik teklifiyle ve Balıkesir Bağlantı Bölgesi için yapılan ihaleyi 3,53 dolar/cent’lik teklifiyle  Enercon Rüzgar Enerji Santrali Kurulum Hizmetleri Ltd.Şti., kazandı.

İlk YEKA için yapılan açık eksiltmenin 3,48 dolar/centlik teklif ile kazanıldığını göz önüne aldığımızda YEKA-2’deki fiyatlar görece yüksek olduğu belirtilebilir.  Elbette ki,  bunun temel sebebi yatırımların ölçeklerindeki farklılık anımsanacağı üzere YEKA-1 ihalesi bin MWe için yapılmıştı.) ve döviz kurunda yaşanan dalgalanmalar. Ancak, son dönemde yaşanan ekonomik gelişmelere rağmen ülkemiz ekonomisine duyulan güvenin göstergesi olması nedeniyle bu ihalenin çok önemli olduğunu söylemek mümkün. Keza, yerli ve milli enerji söyleminin meyvelerinin yeşerdiği de aşikar. Yatırımların hız kesmemesi temennisiyle: Rüzgarın bol olsun Türkiyem…

Kişisel Verileri Koruma Kurulu’ndan dört yeni karar!

Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından son dönemde uygulamayı yakından ilgilendiren kararlar yayınlandı. Bu yazımızda, Kurul’un, kişisel verilerin güvenliğinin sağlanması ve korunması, Kurul kararlarına uyulması ve aydınlatma yükümlülüğünün yerine getirilmesi ile ilgili olan kararlara ilişkin bilgilendirmemizi bulabilirsiniz.

I. Teknik Servis Hizmeti Veren Veri Sorumlusunun Kurul Kararına Uymaması

Teknik servis hizmeti veren veri sorumlusu firma hakkında kişisel verileri ihlal ettiği gerekçesi ile Kurul’a gelen ihbar neticesinde, Kurul firmanın internet sitesinde servise bırakılan cihazlar için kişilere verilen sorgu numaralarının son iki hanesinin değiştirilerek başka cihaz sahiplerine ait cihaz kod numaralarına ulaşılabildiğini ve bunu takip eden linklerde ise ilgili kişilere ait kimlik bilgileri ile sahip oldukları cihazlara ilişkin kod numaralarına erişilebildiğini tespit etmişti. Kurul bu tespiti üzerine, veri sorumlusu tarafından söz konusu linklerin kullanımının durdurulmasına ve kişisel verilerin güvenliğine ilişkin gerekli idari ve teknik tedbirleri almaması sebebi ile veri sorumlusu firmanın 150.000 TL idari para cezası ödemesine karar vermişti.[1]

Kurul’un bu kararının şirkete tebliğinden sonra, Kurul tarafından veri sorumlusu firmanın internet sitesinde yapılan sorgulamada, internet sitesi üzerinden yönlendirilen çeşitli linkler aracılığı ile halen teknik servis hizmeti alan ilgili kişilerin sahip oldukları cihazların kod numaralarına ulaşılabildiği, kargo gönderileri sorgulama linki aracılığı ile firma tarafından ilgili kişilere gönderilen kargoları teslim alan kişilerin ad ve soyad bilgilerine açık bir şekilde erişilebildiği tespit edilmiş olup; veri sorumlusu firmanın Kurul Kararı’na uymadığı tutanağa bağlandı. Bunun üzerine Kurul, Kurul kararına uymama sebebi ile veri sorumlusu firmaya 50.000 TL idari para cezası uygulanmasına ve söz konusu sorgulama sistemine erişimin tamamen engellenmesine karar verdi.[2]

II. Sadakat kartları hizmet alımına engel mi? [3]

Tüketici şikayetleri ve Kurum’a intikal eden ihbarlar sonucunda Kurum bir marketi mercek altına aldı. Şikayetlerde marketin bazı alışveriş/hizmet alımlarında indirim ve puan biriktirme avantajı sağlayan sadakat kartlarının açık rızanın bir ürün veya hizmetin sunulmasına ilişkin koşul olarak ileri sürüldüğü, ihbarlarda ise marketin kart kullanımına ilişkin açık rıza alma esnasında “Veri İzni Alma Uygulaması” adı altında 0,01 TL’lik bir hizmet bedeli alındığı iddia edildi.

Yapılan incelemede, müşterilerin sadakat karta ilişkin açık rıza vermemeleri halinde kendilerine hizmet sunulmaması gibi bir durumun ortaya çıkmadığı, dolayısıyla hizmet veya ürün sunumunun açık rıza şartına bağlanmadığı anlaşıldı. Marketin savunmasından müşterilere çeşitli kanallardan yapılan duyuruların hukuka uygun olmayan şekilde elde edilen kişisel verilere meşruiyet kazandırılması için değil, aksine önceden alınan rızalara ilişkin matbu formdaki bazı eksiklik veya tahrifatların giderilmesi amacıyla alındığı anlaşıldığından konuya ilişkin bir işlem tahsis edilmedi.

“Veri İzni Alma Uygulaması” adı altında alınan hizmet bedelinin ise alışveriş kasalarına kurulan bilgi teknolojileri sisteminden kaynaklanan ve sehven yansıtılan bir bedel olduğu ve söz konusu bedelin müşteri kartlarına aynı tutarda indirim olarak yüklendiği anlaşıldığından, bu hususta da herhangi bir işlem yapılmamasına hükmedildi.

Bu süreçte marketin Üyelik Rıza metni ile Aydınlatma Metni arasında tutarsızlıklar tespit eden Kurul, bu tutarsızlıkların giderilmesine ve Aydınlatma metninin kanunun temel ilkeleri ile Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’e (“Tebliğ”) uygun hale getirilmesine hükmetti. Bu kararın arkasında yatan sebebin, marketin gıda ve ihtiyaç maddelerinin perakende olarak tüketiciye sunulması faaliyetinin kapsamını ve amacını aşan nitelikteki özel nitelikli kişisel verileri toplaması ve işlemesi olduğu anlaşıldı.

III. Siz siz olun başvurulara zamanında cevap verin![4]

İlgili kişinin hakları kapsamındaki taleplerini veri sorumlusu T.C. Ziraat Bankası A.Ş.’ye (“Banka”) bildirmesi ile başlayan süreç, Kurum’un önüne geldi. Kuruma yapılan şikayet başvurusunda Banka’nın kanuni yükümlülüğü olan 30 günlük sürede ilgili kişinin başvurusuna yanıt vermediği anlaşıldı.

Kurum’un konuya ilişkin açıklama talebini içeren yazısı Banka’ya teslim edilmekle beraber, Banka’dan herhangi bir dönüş yapılmamasını takiben Kurum, Kanun’un 18/3. maddesi çerçevesinde sorumlular ile gerekli tedbirleri almak ve denetimleri yapmakla yükümlü kişiler hakkında disiplin hükümlerine göre işlem yapılmasına karar verdi.

İlgili kişi başvurusuna ilişkin ise Banka tarafından cevap verilmesine ve Banka’nın kanuni yükümlülüklerine uyum konusunda azami dikkat ve özen göstermesi konusunda talimat verilmesi kararlaştırıldı. Son olarak Banka’nın internet sitesinde yer alan Aydınlatma Metni’ne ilişkin görüşlerini bildiren Kurul, ilgili metinde işlenen verilerin hangi hukuki sebebe dayandırıldığı belirtilmediği ve veri işleme amaçları ifadesinin belirsizlik yarattığı gerekçesiyle metnin gözden geçirilmesine ve Tebliğ’e uygun hale getirilmesine hükmetti.

IV. Kurul’a Yapılan Şikayet

İlgili kişi, bir şahsın kendisi ve ailesine ait kişisel verilere hukuk dışı yollar ile erişerek bu verileri ilgili kişinin rızası olmaksızın üçüncü kişiler ve İcra Müdürlükleri ile paylaştığı iddiası ile Kurul’a şikayette bulundu.

Kurul tarafından yapılan inceleme neticesinde, şikayet edilen şahsın kısmen veya tamamen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla gerçekleştirdiği bir veri işleme faaliyetinin olmadığı, dolayısıyla kendisinin veri sorumlusu olarak değerlendirilemeyeceği belirtildi.

Ek olarak, Kurul, şikayet edilenin eylemlerinin Türk Ceza Kanunu kapsamında suç niteliği taşıyabileceğini belirtmiş ve konunun ceza yargılaması konusu olabileceğini açıkladı. Bu nedenlerle, ilgili kişinin iddiası bakımından Kurul tarafından yapılabilecek bir işlem olmadığına karar verildi.[5]

Sonuç

Kurum kararlarınında veri sorumluları için önemli mesajlar içerdiği kanaatindeyiz. Bu kapsamda Kurul kararlarının yerine getirilmesinin önemi ve gerekliliğini ve Kurul’a yapılan şikayetlerde ortaya konan iddiaların ispat yükünün başvurucuda olduğunu hatırlatır, başkalarına ait kişisel verilerin ilgili kişilerin rızası olmadan elde edilmesinin Türk Ceza Kanunu kapsamında suç teşkil edeceğini dikkatinize sunarız. Ayrıca kararlardan Kurul’un veri sorumlularının aydınlatma metinlerini mercek altına aldığı anlaşılmakla, aydınlatma metinlerinizi Kanun’un temel ilkeleri ve Tebliğ kapsamında yeniden gözden geçirmenizin faydalı olabileceğini belirtmek isteriz.


[1] Kurul’un 14/02/2019 Tarihli ve 2019/23 Sayılı Kararı

[2] Kurul’un 05/03/2019 Tarihli ve 2019/52 Sayılı Kararı

[3] Kurul’un 25.03.2019 Tarihli ve 2019/82 Sayılı Kararı

[4] Kurul’un 02.05.2019 Tarihli ve 2019/122 Sayılı Kararı

[5] Kurul’un 01/03/2019 Tarihli ve 2019/47 Sayılı Kararı

Yazıyor yazıyor! Resmi Gazete elektrik piyasasını baştan yazıyor!

2019 yılının enerji ve özellikle elektrik piyasaları için oldukça hareketli başladığı, geçtiğimiz hafta sonu Resmi Gazete’de peş peşe yayınlanan değişikliklerle bir kez daha kanıtlandı. Sektör oyuncuları henüz Cumhurbaşkanlığı Kararı ile gelen değişikliklere adapte olmaya çalışırken bir de Elektrik Piyasasında Lisanssız Elektrik Üretim Yönetmeliği (“Yönetmelik”) yayınlandı. Biz de Cuma’dan Pazar’a elektrik sektöründe yaşanan gelişmeleri sizler için kaleme aldık.

Cumhurbaşkanlığı Kararnamesi Neler Getirdi?

Mayıs ayında elektrik piyasasındaki ilk değişim rüzgarı 10 Mayıs tarihli Resmi Gazete’de yayınlanan Cumhurbaşkanlığı Kararnamesi ile esti. Yenilenebilir enerji kaynaklarına dayalı üretim faaliyeti gösteren tesisler için uygulanacak fiyat ve süreler ile yerli katkı ilavesine ilişkin karara eklenen madde ile Yenilenebilir Enerji Kaynakları Destekleme Mekanizması (“YEKDEM”) tarifeleri düzenlendi. Getirilen değişiklik ile kendi ihtiyacı için elektrik üreten kişilerin ürettiği ihtiyaç fazlası elektrik enerjisinin alımına uygulanacak tarife belirlendi. Enerji Piyasası Düzenleme Kurumu (“EPDK”) tarafından ilan edilen ve tesis için gösterilen perakende abone grubuna ait tek zamanlı aktif enerji bedeli, tesisin işletmeye giriş tarihinden itibaren 10 yıl boyunca uygulanacak.

Kararname ile getirilen ikinci ek madde ise Elektrik Piyasası Kanunu kapsamında lisanssız faaliyet yapabilecek yenilenebilir enerji kaynaklarına dayalı üretim tesislerinin kurulu güç sınırlamasını esnetti. Eskiden azami 1 megavatlık kurulu güce sahip olabilen üretim tesisleri için yeni üst sınır 5 megavat olarak belirlendi. Bu maddeyi uzun zamandır beklenen mahsuplaşma sistemi için bir yeşil ışık olarak görenler ise, pazar günü yapılan değişiklikle haklı çıktı.

Yeni yönetmelikle neler değişti?

EPDK Başkanı Mustafa Yılmaz’ın Nisan ayında yaptığı açıklamalarla da sinyallerini verdiği yeni Yönetmelik ile birlikte yeni lisanssız elektrik üretimi sistemi 12 Mayıs 2019 tarihli ve 30772 sayılı Resmi Gazete ile yürürlüğe girdi ve Elektrik Piyasasında Lisanssız Elektrik Üretimine İlişkin Yönetmeliği ilga etti. Elektrik piyasasında tüketicilerin elektrik ihtiyaçlarını tüketim noktasına en yakın kendi üretim tesisinden karşılaması, arz güvenliğinin sağlanmasında küçük ölçekli üretim tesislerinin ülke ekonomisine kazandırılması ve küçük ölçekli üretim kaynaklarının etkin kullanımının sağlanması ile elektrik şebekesinde meydana gelen kayıp miktarlarının düşürülmesini amaçlayan yönetmelik ile lisans alma ve şirket kurma yükümlülüğü olmaksızın elektrik enerjisi üretebilecek gerçek veya tüzel kişilere uygulanacak usul ve esaslar belirlendi.

Aylık mahsuplaşma sistemi gelen yönetmelik ile resmileşmiş oldu. Peki mahsuplaşma neyi değiştirdi? Mahsuplaşma ile serbest tüketici olup olmama ayrımına gidilmeksizin herkesin hafta içi veya gece tükettiği elektriği, gündüz veya hafta sonu ürettiği elektrikten karşılama imkanı olacak. Konu ile ilgili açıklamasında Başkan Yılmaz da “Güneşimiz her hane için, her ticarethane için, her sanayici için bir enerji kaynağı olsun istiyoruz. Yeni düzenleme ile her tüketicinin kendi enerjisini üretebilmesinin de yolunu açıyoruz. Güneş çatılarda yükselmeye devam ettikçe hem tüketici kazanacak hem de ülkemiz.”[1] diyerek yeni düzenlemeden beklentilerini dile getirmişti.

Konu ile ilgili Uluslararası Güneş Enerjisi Topluluğu – Türkiye Bölümü (“GÜNDER”) de bir açıklama yaptı[2]. GÜNDER Başkanı Kutay Kaleli’nin imzasını taşıyan açıklamada mahsuplaşmada sürenin aylık olarak belirlenmesinin faydasına dikkat çekildi. Sürenin aylık olarak belirlenmesi, vatandaşlar ve işletmelerin şirket kurma veya lisans alma zorunluluğu olmaksızın daha fazla elektrik üretebilmelerine imkan tanıyor.  

Unutulmaması gereken bir nokta şu ki, yönetmeliğin amacı tüketiciye en fazla enerjiyi üretmeye yönlendirmek değil, kendi tüketimini karşılayacak ve aynı zamanda en hesaplı olacak tesisi kurdurmak. Bu sebeple, sürecin etkinleşmesi adına yeni düzenlemede birçok adım atıldığı görülüyor. Bunlardan ilki lisanssız elektrik üretimine ilişkin tüm tebliğ ve yönetmeliklerin tek bir mevzuat altında yürütülmesi iken, başvuru süreçlerinde bürokratik adımların azaltılması, başvurunun kurumlarda geçirdiği sürenin azaltılması ve tüketim tesisinin bağlantı anlaşmasındaki sözleşme gücünün tüketicinin tüketimini en az maliyetle karşılayacağı şekilde düzenlenmesi de başkaca örnekler olarak karşımıza çıkıyor.

Arazi tipi GES projeleri tarihe mi karışıyor?

Uygulama bir yandan beklentileri karşılarken, diğer yandan bazı soru işaretlerini de beraberinde getiriyor. Bunlardan ilki ise güneş enerjisi santralleri (“GES”) özelinde karşımıza çıkıyor. Yeni yönetmeliğin 11. maddesinin 3. fıkrası, kurulacak üretim tesisinin güneş enerjisine dayalı çalışacak olması halinde, bunun ancak çatı veya cephe uygulaması olarak gerçekleştirilebileceğini düzenliyor.[3] Söz konusu hükme ilişkin farklı görüşler ise şimdiden tartışılmaya başlandı.[4]

Her ne kadar hemen bir sonraki fıkrada tarım arazilerinin bir kısmında tarımsal sulama yapmak amacıyla bir üretim tesisi kurulabileceğine ilişkin istisnaya yer verilse de[5], söz konusu üretim tesislerinin de kurulu güçleri bakımından bağlantı anlaşmalarındaki sözleşme gücü ile sınırlı tutulduğu görülüyor.

Bu haliyle yeni yönetmeliğin arazi tipi GES projelerini tamamen rafa kaldırdığını söylemek mümkün gözükmese de, uygulama alanının oldukça daraldığı bir gerçek olarak karşımıza çıkıyor.

Hangi yönetmeliğe tabi olacaksınız?

Başvurusunun farklı aşamasında olan üretim tesisleri için akıllara gelebilecek bir soru da tesisin hangi düzenleme kapsamında işletileceği olabilir. Özellikle başvuru süreci yeni Yönetmelik’ten önce başlayan tesisler için, tesisin yeni Yönetmelik kapsamında mı yoksa mülga Elektrik Piyasasında Lisanssız Elektrik Üretimine İlişkin Yönetmeliği kapsamında mı olacağı hususu önem arz ediyor. Yayınlanan yeni yönetmeliğin geçici maddeleri başvuru sahiplerine bu konuda ışık tutuyor.

Geçici Madde 1 uyarınca çatı ve cephe uygulamalı elektrik üretim tesislerine aylık mahsuplaşmadan yararlanma imkanı getiriliyor. Ürettiği enerjinin tamamını iletim veya dağıtım sistemine vermeden kullanan, üretimi ve tüketimi aynı ölçüm noktasında olan GES projeleri ile 21 Haziran 2018 tarihinden sonra bağlantı anlaşmasına çağrı mektubu düzenlenen ve 10 kilovata kadar projelendirilmiş çatı tipi GES projeleri, Yönetmeliğin yürürlük tarihini takip eden 60 gün içerisinde başvuruda bulunulması halinde Yönetmelik kapsamına girecek ve aylık mahsuplaşmadan yararlanabilecek.

Henüz çağrı mektubu düzenlenmemiş ancak bağlantı anlaşmasına çağrı mektubu almaya hak kazananların yardımına ise Geçici Madde 2 koşuyor. Bu madde uyarınca, yürürlükten kalkan yönetmelik kapsamında çağrı mektubu almaya hak kazanan, alan veya bağlantı anlaşması imzalayan kişilerin bundan sonraki aşamalardaki işlemleri de yeni Yönetmelik kapsamında devam ettirilecek.

Sonuç

Elektrik piyasasındaki değişim rüzgarları bir süre daha esmeye devam edecek gibi gözüküyor. Lisanssız elektrik üretimi kurulu güç sınırlamasının esnetilmesi ve mahsuplaşmaya ilişkin gelişmeler, Türkiye’de yenilenebilir enerji kaynakları ile dağınık üretim sisteminin güçleneceği sinyallerini veriyor. Merkezi enerji santrallerini odağına koyan klasik anlayıştan uzaklaşan ve küçük ölçekli ama son tüketiciye daha yakın santrallerde üretime geçen yeni sistemden piyasanın beklentisi büyük. Enerji ihtiyacını yerinde, daha etkin ve daha verimli bir şekle büründürmesi amaçlanan yeni düzenlemenin uygulamanın ihtiyaçlarına cevap verip veremeyeceğini ise zaman gösterecek.


[1] https://www.epdk.org.tr/Detay/Icerik/2-4827/epdk-baskani-mustafa-yilmaz-“her-tuketicinin-ken

[2] https://www.enerjigunlugu.net/kaleli-vatandas-daha-fazla-lisanssiz-elektrik-uretebilecek-32362h.htm

[3] (3) Bu Yönetmelik kapsamında faaliyet göstermek isteyen kişiler, bağlantı anlaşmasındaki sözleşme gücünü ve 5 inci maddenin birinci fıkrasının (c) bendi uyarınca belirlenecek kurulu gücü geçmeyecek şekilde tüketim tesisi ile aynı ölçüm noktasında, dağıtım tesisi niteliğinde tesis teçhiz etmeden, yenilenebilir enerji kaynaklarına dayalı üretim tesisi kurabilir. Güneş enerjisine dayalı üretim tesisleri ancak çatı ve cephe uygulaması olarak gerçekleştirilebilir.

[4] https://www.enerjiportali.com/lisanssiz-elektrik-uretiminde-yeni-donem-basladi-hasan-yigit/

[5] (4) İlgili diğer mevzuat hükümlerine uygun olması halinde, tarım arazilerinin bir kısmında tarımsal sulama amacıyla bu Yönetmelik kapsamında üretim tesisi kurulabilir. Ancak ilgili üretim tesisinin kurulu gücü söz konusu sulama tesisinin bağlantı anlaşmasındaki sözleşme gücünden fazla olamaz. 

Kişisel Verilerin Korunması Alanında Yol Gösterici Gelişmeler: İngiltere Ses Kaydı ve Diğer Biyometrik Verilerin İşlenmesi Konusunda GDPR’ı Nasıl Uyguluyor?

Regülasyon ekosisteminin önemli unsurlarından olan kişisel verilerin korunması, 6698 sayılı Kanun’un yürürlüğe girmesi ile ülkemizdeki uygulama hayatına da hızlı bir giriş yaptı. Gelişen teknolojiler karşısında dijitalleşen dünyanın en değerli varlığı olan “kişisel veriler”; bir taraftan müşteri davranışları ve kullanıcı tercihlerini gözlemleyerek kişiselleştirilmiş hizmetlerin önünü açarken bir taraftan da veri sahiplerinin mahremiyetlerini hacir altına alıyor. İnovsyon destekli yaratıcı yıkım süreçlerinin karşı karşıya getirdiği bu menfaatler arasındaki dengeye hukuk zerk etmek ise yine yasamaya ve düzenleyici otoritelere düşüyor.

Bu kapsamda, veri koruma kurallarına uluslar üstü bir standart kazandırmayı amaçlayan General Data Protection Regulation (“GDPR”), 2016 yılından itibaren mehaz Avrupa uygulamalarını düzenliyor. Ülkemiz veri koruma mevzuatına da doğrudan şekil vermiş olan GDPR’ın Avrupa’daki uygulama trendleri ise veri koruma alanındaki karar insicamını yeni yeni oluşturan tüm ülkeler tarafından yakından takip ediliyor ve referans alınıyor.

İşte bu bağlamda, GDPR temelli bir veri koruma uygulamasına sahip olan Birleşik Krallık cephesinde biyometrik verilerin işlenmesine kılavuzluk edecek bir gelişme yaşandı. Avrupa veri koruma içtihadı üzerinde önemli etkisi olan Birleşik Krallık Veri Koruma Otoritesi[1] (“ICO”), İngiltere Gelir ve Gümrük İdaresi’nin[2] (“HMRC”) telefon destek hattını arayan kullanıcıların ses kaydı verilerinin işlenerek otomatik bir ses tanıma (Voice ID) sistemi kurulmasını incelemiş ve açık rıza alınmadan işlenen yaklaşık beş milyon kullanıcının verisinin silinmesi yönünde karar vermiştir.

Bildiğiniz üzere, kişisel verilerin işitsel bir izdüşümü olan ses kayıtları, gerek ülkemizde gerekse Avrupa veri koruma otoritelerince biyometrik veriler kategorisinde değerlendiriliyor ve özel verilerin işlenmesi rejimine tabi tutuluyor. Bu kapsamda, veri koruma ağının işleyişine yön veren İngiltere’deki güncel uygulama trendleri ile bunların ülkemizdeki yansımalarına dair değerlendirmeler de önem kazanıyor.

İnceleme konusu uygulama

HMRC, 2017 yılında telefon destek hattının ara yüzü içerisine yeni bir otomasyon sistemi ekledi. Kullanıcıların, uzun güvenlik prosedürlerini tamamlayarak kimliklerini teyit etmek için vakit kaybetmelerine engel olmak isteyen bu sistem, kullanıcıların ses kayıtlarını alarak bir sonraki aramalarında onları seslerinden tanımlamak üzere işletiliyor. Kullanıcıların bir HMRC danışmanı ile konuşmaya başlamalarına kadar geçen süreyi önemli ölçüde kısalttığı değerlendirilen sistemin, tüm bu etkinlik kazanımlarını sağlayabilmesi için ise öncelikle veri koruma kuralları ile tam uyumluluğu sağlaması gerekiyor.

İşte HMRC’nin sisteminin karşılaştığı problem de tam burada ortaya çıkıyor. İleri teknolojik imkanlar karşısında bireylerin mahremiyetlerini ve medeni özgürlüklerini korumayı hedefleyen bir sivil haklar organizasyonu olan Big Brother Watch[3] tarafından hazırlanan bir şikayet üzerine başlatılan inceleme sonucunda, vergi otoritesinin bahse konu sisteminin GDPR ile uyumlu olmadığı anlaşılıyor. Gerçekten de, kar amacı gütmeyen bir organizasyon olarak özellikle devlet destekli mahremiyet ihlallerini engellemek amacıyla kampanyalar yürüten ve kamu davalarına katılan Big Brother Watch; Haziran 2018’de şikâyet konusu eylemlerin detaylarını açıklamış[4] ve kullanıcılara verilerini ses tanıma sistemine aktarmak dışında bir seçenek sunulmadığını belirterek sistemin kullanıcıların rızası hilafına uygulamaya koyulduğunu iddia etmişti.

Birleşik Krallık Veri Koruma Otoritesi’nin kararı

Big Brother Watch şikâyeti üzerine konuyu inceleme altına alan ICO ise HMRC tarafından kurulan sistemin bir biyometrik veri türü olan ses kayıtlarının işlenmesi üzerine inşa edildiğini değerlendirerek bu tür verilerin özel nitelikli veriler grubuna dâhil olduğunu ve işlemeler için kullanıcılardan açık rıza alınması gerektiğini belirtiyor. İnceleme konusu uygulamayı da bu perspektiften değerlendiren İngiliz veri koruma otoritesi, kullanıcılardan ses tanıma sistemine dâhil edilmeleri aşamasında tatminkâr bir “açık rıza” alınmadığını ve kullanıcılara sistemden çıkabilme opsiyonunun (opt-out) izah edilmediğini değerlendiriyor[5]. Özel nitelikli biyometrik verilerin, kullanıcıların açık rızası olmaksızın işlenmesinin veri koruma kurallarına aykırı olduğuna kanaat getiren ICO, bu sebeple HMRC tarafından mevzuata aykırı şekilde toplanarak işlenen tüm verilerin silinmesine karar veriyor[6].

Veri koruma otoritesinin kararına saygı duyduğunu belirten HMRC ise bir yandan mevzuata aykırı şekilde sistemine dâhil ettiği yaklaşık beş milyon kullanıcının verisini imha ederken bir yandan da ses tanıma sisteminin devamlılığını sağlamak adına kullanıcılardan rıza alma sürecini yeniden gözden geçiriyor. GDPR döneminde biyometrik verilere ilişkin ilk defa böyle bir yaptırım uygulanmasını öngören karar, biyometrik verilerin, ileri bir koruma gerektiren özel nitelikli verilerden olduğunu sarih biçimde tanımlayan ilk karar olması ile de dikkat çekiyor[7].

Veri koruma uygulamasının en kapsamlı “veri imha etme” vakıasını ortaya çıkartan ICO kararı, gerek biyometrik verilerin işlenmesi konusundaki hassas sinir uçlarına işaret etmek açısından gerekse veri koruma kurallarının vergi idaresi gibi önde gelen kamu kuruluşlarına da tavizsiz uygulanacak olduğunu göstermesi açısından ülkemiz uygulamasına da yol gösterecek önemli iç görüler içeriyor. Bu itibarla, bankalar, GSM operatörleri ve hastaneler başta olmak üzere telefon destek hatlarını yaygın kullanan teşebbüsler açısından ICO’nun kararından ders çıkartılabilecek noktaların daha iyi anlaşılması adına, ses kaydı kullanımlarının biyometrik veri vasfını incelememiz de faydalı olacaktır.

Ses kaydının biyometrik veri olup olmadığını nasıl anlarım

Ses tanıma sistemleri, bireyin kendisine has ses şablonunu ve konuşma ritmini analiz ederek parmak izi benzeri bir biyometrik tanıma ve kimlik tespit etme işlevi taşıyor. Sisteme işlenen bir ses kaydının vokal karakterini çözümlemek için yüzlerce farklı davranışsal faktörü inceleyen ses tanıma sistemleri, konuşan kişinin ağız yapısı, konuşma hızı ve vurgu şemalarını da bu değerlendirmeye dâhil ediyor.

Sesleri ve ritimleri sayısal bir şablon üzerine oturtan bu sistemler, her birey için farklı bir işitsel kimlik oluşturup kişinin hasta olduğu veya sesinin değiştiği durumlarda dahi tanımlama yapabilecek şekilde dizayn ediliyor.

Öte yandan belirtmek gerekir ki, “biyometrik ses tanıma sistemleri” ile “otomatik ses algılama sistemlerini” birbirleri ile karıştırmamak gerekiyor. Biyometrik ses tanıma sistemlerinin aksine, otomatik ses algılama sistemleri yalnızca sisteme yöneltilen kelimeleri algılayarak bu kelimeler üzerinden talimatlar alıp yönlendirmeler veriyor fakat kullanıcının kimliğini tanımlamak üzere herhangi bir işlem gerçekleştirmiyor. Veri koruma sorumluluklarının belirlenmesinde önem arz eden bu farklılık kapsamında; ses verisini kişileri tanımlamak için kullanan biyometrik sistemler için kullanıcının açık rızası gerekirken herhangi bir tanımlama işlemi içermeyen sesli komut sistemleri açısından bu yükümlülük gündeme gelmiyor.

Karara ilişkin tepkiler

İnovatif dijital hizmetlerin hayatlarımızı kolaylaştırdığını” belirten ICO Yardımcı Komiseri Steeve Woods, konuya ilişkin hazırladığı değerlendirme yazısında “bu gelişmelerin bedelinin bireylerin temel mahremiyet haklarının ihlali olmaması gerektiğini” belirtiyor[8].

ICO Komiseri Elizabeth Denham ise HMRC’nin “ses tanıma sistemini uygularken veri koruma prensipleri hakkında hiç denecek kadar az değerlendirme yaptığını” belirterek “bilgilerin toplanması esnasında kullanıcılarla kurum arasında belirgin bir güç dengesizliği olduğunu” ekliyor “kullanıcıların sisteme girmeyi nasıl reddedeceklerinin veya reddetmeleri halinde herhangi bir olumsuzluk yaşamayacaklarının açıklanmadığına” da vurgu yapıyor[9]. Konunun veri koruma ve hesap verebilirlik açısından önemli olduğunu da belirten ICO Komiseri, “HMRC nezdinde bir denetim gerçekleştirerek karara uyulup uyulmadığını takip edebileceklerine” de dikkat çekiyor[10]

Şikâyeti gerçekleştirerek inceleme sürecini tetikleyen Big Brother Watch organizasyonunun Direktörü Silkie Carlo ise konuya ilişkin yaptığı açıklamada “kararın biyometrik verilerin toplanmasına ilişkin emsal niteliğinde olduğunu” değerlendiriyor[11]. HMRC İcra Kurulu Başkanı Sir Jon Thompson ise konuya ilişkin yazdığı mektup ile bahse konu verileri silmeye başladıklarını belirterek “ses tanıma sisteminin kullanıcılar arasında popüler olduğunu ve kullanıcı verilerinin de daha etkin korunmasını sağladığını” ve yürürlükte kalmasından memnun olduklarını belirtiyor[12].

Sonuç

ICO’nun kararı biyometrik verilerin işlenmesi alanında birtakım ilklere sahne oluyor. Birleşik Krallık’taki en kapsamlı veri imhasına karar veren veri koruma otoritesi, bu kararı ile GDPR temelli uygulamalarında ilk defa “ses kayıtlarını” ve dolayısıyla da “biyometrik verileri” daha ileri bir koruma rejimine tabi özel nitelikli verilerin içerisinde değerlendiren bir içtihat oluşturuyor. Bu kapsamda belirtmek gerekir ki, ülkemiz veri koruma mevzuatı kapsamında da özel nitelikli veri olarak değerlendirilen biyometrik verilerin işlenmesi için kullanıcıların açık rızalarının alınması gerekiyor.

Açık rızanın yokluğunda toplanan verilerin; veriyi toplayan kurumun bir kamu kurumu olmasına veya toplanan verilerin hacminin ne kadar büyük olduğuna bakılmaksızın silinmesine karar verilebileceğini ve bu durumun takip eden denetim ve yerinde incelemeler ile temin edilebileceğini gözler önüne seren karar, bu tür verilerin işlenmesi ile iştigal eden şirketler açısından da bir uyarı niteliği taşıyor. Açık rızanın nasıl algılanması ve neleri ihtiva etmesi gerektiği konusunda da ipuçları veren ICO kararı; rızası aranan kullanıcılara, bahse konu sistemden çıkma hakları (opt-put) olduğunun ve bu hakkı icra etmeleri durumunda kendilerine sağlanan hizmetlerin olumsuz etkilenmeyeceğinin açıkça ve pro-aktif olarak belirtilmesi gerektiğini öğütlerken sisteme dâhil olmanın mecburi olduğu yönünde bir izlenim uyandırmaktan da kaçınılması gerektiğini gösteriyor.

Türk veri koruma rejimi tarafından da yakından takip edilen GDPR uygulamaları hakkında faydalı iç görüler sağlayan bu içtihat; özellikle bankalar, GSM operatörleri, internet servis sağlayıcıları ve hastaneler gibi kapsamlı telefon destek hizmetleri sunan ve ses kaydı verileri ile muhatap olan teşebbüsler açısından önem arz ediyor.

Bu itibarla belirtmek gerekir ki, ses kaydı veya parmak izi gibi biyometrik verilerin kişileri tanımlamak için kullanılmasını içeren uygulamaları hayata geçirecek kurumların, öncelikle kullanıcılara yüksek standartta bilgi veren ve seçeneklerini tanımlayan bir açık rıza prosedürü hazırlamaları gerekiyor. Aynı kapsamda, bu tür bir açık rıza almadan bahse konu verileri işlemeye başlamış olan kuruluşların ise bu verileri imha etmeleri veya kullanıcılardan açıklanan şekilde bir açık rıza almaları önem kazanıyor. Benzer bir durumda, Kişisel Verileri Koruma Kurumu tarafından nasıl bir aksiyon alınacağı konusu henüz keşfedilmeyi beklerken İngiliz veri koruma otoritesinin GDPR uygulamalarının, büyük ölçüde yol gösterici olabileceği değerlendiriyoruz.


[1] The Information Commissioner’s Office.

[2] Her Majesty’s Revenue and Customs.

[3] https://bigbrotherwatch.org.uk/about/who-we-are/

[4] https://bigbrotherwatch.org.uk/2018/06/hmrc/

[5] https://www.itpro.co.uk/privacy/33577/the-ico-compels-hmrc-to-delete-5m-biometric-records

[6] https://ico.org.uk/action-weve-taken/enforcement/hmrc/

[7] https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2019/05/blog-using-biometric-data-in-a-fair-transparent-and-accountable-manner/

[8] https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2019/05/blog-using-biometric-data-in-a-fair-transparent-and-accountable-manner/

[9] https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2019/05/blog-using-biometric-data-in-a-fair-transparent-and-accountable-manner/

[10] https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2019/05/blog-using-biometric-data-in-a-fair-transparent-and-accountable-manner/

[11] https://www.itpro.co.uk/privacy/33577/the-ico-compels-hmrc-to-delete-5m-biometric-records

[12] https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/799688/Letter_from_Sir_Jonathan_Thompson_to_HMRC_Data_Protection_Officer_-_3_May_2019.pdf