YENİ BİR VERİ İHLALİ BİLDİRİMİ: Aman çalışanlarınıza dikkat!

Kişisel Verileri Koruma Kurumu’na (“KVKK”) yapılan veri ihlali bildirimlerinin sayısı her geçen gün artmaya devam ediyor. Bu sefer ki başvuru ise ING Bankasından geldi. İhlale konu olayın ilk tespiti ise Türkiye Bankalar Birliği tarafından (“TBB”) yapılmış. Nitekim KVKK’nın internet sitesinde yapılan duyuruya göre TBB tarafından Risk merkezi nezdinde ING Bankası çalışanı tarafından yapılan sorguların şüpheli olduğu bildirilmiştir.

Bunun üzerine ING Bankası tarafından başlatılan incelemede, ilgili kişinin banka uygulaması olan Finsoft sisteminde üzerinde tanımlı yetkileri uyarınca Ticari Nitelikli Kredi Bildirimi ve Paylaşımı (“KRM”) sorgusu yapamadığı halde, yetkilendirme sistemini devre dışı bırakacak bir yöntem ile yetki aşımı yaparak TBB Risk Merkezi web sitesine Banka kullanıcı olarak doğrudan erişim sağlayabildiği tespit edildi. ING Bankası tarafından bu eyleme iştirak eden veya benzer şekilde hareket eden başka bir personelin bulunmadığı açıklamasına yer verildi.

This image has an empty alt attribute; its file name is Corp-Gov-Getty.jpg


Bununla birlikte 2018 yılı boyunca ihlale sebebiyet verin ING Bankası çalışanının pek çok TC kimlik numarası (“TCKN”) ve vergi kimlik numarası (“VKN”) bilgileriyle sorgular yaptığı ve söz konusu sorgular sonucu oluşan verilerin elektronik haberleşme yollarıyla Banka dışına sızdığı bildirildi.

ING Bank’ın yaptığı incelemeler sonucunda sistemde yapılan sorgularda şirketler dışında gerçek kişi tacirlerin bilgilerinin de yer aldığı ve bilgilerine ulaşılan hem tüzel kişi hem de gerçek kişi tacirlerin büyük çoğunluğunun ING Bank’ın müşterisi olmaması sebebiyle TCKN ve VKN verilerinin dışarıdan temin edildiği anlaşıldı. Bankanın müşterisi olan az sayıda şirketin VKN bilgilerinin ise dışarıdan gelen listelerden alındığı tahmin ediliyor.

Veri ihlalini gerçekleştiren şahsın ulaştığı kayıtların, bireysel nitelikli kredi kayıtları olmadığı, gerçek kişi ve tüzel kişi tacirlere sorgu yapabilen KRM kayıtları olduğu belirtildi. Ancak KRM kayıtlarında çek rapor sorgusunun da seçilmesi halinde raporlanan bilgiler arasında, ilgili firmanın Bankalar nezdindeki kredi limiti, risk ve teminat bilgileri, ibraz edilen çeklerin adedi, vadesi ve tutarı, geçmiş döneme ilişkin ciro bilgisi, ortaklık yapısı ve ortaklarının TCKN bilgilerine gibi oldukça detaylı bilgiler yer alıyor. Bu kapsamda, 1.172 adet gerçek kişi ticari işletmenin KRM raporlarının ve bu ticari işletmeler bünyesindeki toplam 19.055 gerçek kişinin TCKN ve isim bilgilerinin sızdırılmış olduğu raporlandı.

ING Bank Kurul’a sunduğu yazıda, veri ihlalini gerçekleştiren şahsın yetki denetimini devre dışında bırakmak için kullandığı yöntemin engellendiğini ve bu güvenlik açığını gidermek üzere değerlendirmeler gerçekleştirildiğini bilgilerine yer verdi. Veri güvenliği ihlalinden etkilenen gerçek kişi ticari işletmelere mevzuat gereği yapılacak bildirimlerin usul ve içeriğine ilişkin olarak ING Bank ile TBB Risk Merkezi arasındaki çalışma sürüyor.

Artık gaza basma vakti: Motorlu taşıtlar sektöründe yeni grup muafiyeti rejimine geçiş süresi sona erdi

Rekabet Kurulu, bundan iki yıl önce, 2005/4 sayılı Motorlu Taşıtlar Grup Muafiyeti Tebliği’ni yürürlükten kaldırarak 2017/3 sayılı yeni Tebliği yayınladı. Motorlu taşıtlar sektöründeki teşebbüslerin uygulamalarını Yeni Tebliğ’e uyumlu hale getirmeleri için de iki yıllık süre tanınmıştı ve bu iki yıllık geçiş süreci geçtiğimiz günlerde 24 Şubat 2019 tarihinde sona erdi.

Yeni motorlu taşıtların alımı, satımı veya yeniden satımı; motorlu taşıtların yedek parçalarının alımı, satımı veya yeniden satımı ile motorlu taşıtlara yönelik bakım ve onarım hizmetleri sağlayan teşebbüslerin, Mülga Tebliğ kapsamındaki uygulamalarını Yeni Tebliğ hükümleri çerçevesinde gözden geçirmeleri gerekmekteydi. Yeni Tebliğ’in düzenlemelerine uyum hususu, motorlu taşıtlar sektöründe bayilerle ya da tedarikçilerle yapılan anlaşmalar gibi dikey anlaşmaları ve bu anlaşmaların taraflarını ilgilendiriyor.

Sektörün niteliği gereği, üretim ile tüketiciye satış arasında dağıtım anlaşmalarından oluşan geniş bir dikey ağ bulunuyor. Bu durum da motorlu taşıtlar sektörünü, dikey anlaşmaların vazgeçilmez olduğu sektörlerden biri yapıyor. Dolayısıyla motorlu taşıtlar sektöründeki dikey anlaşmalara uygulanan grup muafiyet rejimi sektör oyuncuları için genel bir önem arz ediyor. Sektörün bu özel rejim ihtiyacı, daha önce 2005/4 sayılı Mülga Tebliğ ile düzenlenmekteyken artık 2017/3 sayılı Yeni Tebliğ ile düzenleniyor. Yeni Tebliğ, yürürlüğe girişinin ardından teşebbüslerin dikey anlaşmalarını yeni kurallara uyumlu hale getirebilmeleri için iki yıllık bir geçiş süreci öngörmüştü ve bu süre 24 Şubat 2019’da sona erdi. Yeni Tebliğ’e uyumlu hale getirilmeyen dikey anlaşmalar grup muafiyeti kapsamı dışında kalma ve teşebbüsleri rekabet ihlaliyle karşılaştırma riski barındırabiliyor.

Rekabet Kurumu’nun, 2014 yılında yaptığı sektör araştırması ve ardından sektör araştırması sonucu 2016 yılında hazırladığı rapor, Mülga Tebliğ’in eksiklerini tespit etmişti. Yeni Tebliğ de bu eksikliklerin giderilmesi amacıyla hazırlanıp yayınlandı. Yeni Tebliğ’de özellikle şu noktalara dikkat etmek gerekiyor:

  • Yeni Tebliğ, grup muafiyetinden yararlanmak isteyen teşebbüslerin nitel seçici dağıtım sistemleri bakımından pazar payı eşiği aramazken, nicel seçici dağıtım ile münhasır dağıtım sistemleri bakımından pazar payı eşiğini %30 olarak belirliyor.
  • Muafiyetin genel koşullarından fesih sürelerine ilişkin olarak; taraflar arasındaki sözleşme 5 yıl süre ile yapılmışsa yenilememe ihbarının en az 6 ay önceden iletilmesi gerekiyor. Öte yandan belirsiz süreli sözleşme durumunda fesih ihbar süresinin her iki taraf için 2 yıl olmalı.
  • Yeni Tebliğ’in rekabet etmeme yükümlülüğünü düzenleyen hükümlerinde, motorlu taşıtların dağıtımı, yedek parçaların dağıtımı ve bakım ve onarım hizmetleri açısından farklı rejimler öngörülüyor.
  • Yeni Tebliğ ile birlikte motorlu taşıtların satışına ilişkin kurulacak dikey anlaşmalarda ek tesis açma serbestisinin kısıtlanmasının grup muafiyetini etkilemeyeceği düzenleniyor.

Yeni Tebliğ yürürlüğe girdiği tarihten itibaren, Rekabet Kurulu uygulamaya yönelik dikkat çekici kararlar aldı. Rekabet Kurulu Renault-MAİS kararında, Renault ve Dacia markaları için yapılan muafiyet başvurusunu değerlendirirken, Dacia markası bakımından servis ve yedek parça dağıtım sisteminde niteliksel seçici dağıtım sistemi yerine niceliksel seçici dağıtım sistemi uygulamak üzerine yapılan başvuruyu reddetmiş Renault tarafında ise talebi kabul etmiştir. Rekabet Kurulu bu kararında genel olarak grup muafiyeti şartlarının sağlandığını tespit ederken, Yeni Tebliğ kapsamında hesapladığı pazar payları üzerinden Dacia hariç tutulmak üzere bahse konu dikey anlaşmanın grup muafiyetinden yararlanabileceğine karar verdi.

Rekabet Kurulu yine Renault-MAİS ve Ford-Otokoç kararlarında; sağlayıcının bayi için belirli standartlara uyum yükümlülüğü belirlemesini ek tesis yerlerinin açılmasının kısıtlanması olarak değerlendirmedi. Dolayısıyla sağlayıcılar tarafından bayiler için belirli standartlara uyum yükümlülüğü getirilmesinin grup muafiyeti kapsamında olduğu değerlendirilebilecek.

Motorlu taşıtlar sektöründe faaliyet gösteren teşebbüsler, dikey anlaşmalarını Yeni Tebliğ’in öngördüğü kurallara uygun hale getirmiş olmalı. Özellikle dağıtım ağını ilgilendiren sözleşmeler yeni düzenlemelere adapte edilmeli, teşebbüslerin nitel ya da nicel dağıtım sistemlerinin Yeni Tebliğ ile uyumlu olması gözetilmeli.

Rakipler arası işbirliği artık eskisinden daha kolay!

Rekabet Kurulu, işbirliği yapma planları içerisinde olan rakip teşebbüsleri yakından ilgilendiren bir muafiyet kararına imza attı. Superonline tarafından yapılan bildirimde Superonline ve Türksat’ın birbirlerine kendi şebekeleri üzerinden toptan seviyede veri akış erişimi hizmeti, TV hizmeti ve destek hizmetleri sunmasına yönelik anlaşmaya muafiyet tanınması talep edildi.

Kurul, Bilgi Teknolojileri ve İletişim Kurulu’nun (“BTK”) da görüşünü almak suretiyle ilgili muafiyet başvurusunu inceledi. Yapılan inceleme neticesinde ilgili ürün pazarı “toptan sabit genişbant erişim hizmetleri pazarı” olarak tanımlanmış, ancak ilişki değerlendirilirken “perakende sabit genişbant erişim hizmetleri pazarı” ve “ödemeli dijital TV yayıncılığı pazarı” üzerindeki etkilerine de bakılmıştır.


Kurul tarafından yapılan bireysel muafiyet incelemesinde, söz konusu işbirliğinin Türk Telekom’un hakim durumda olduğu ilgili pazarda Türksat ve Superonline’nın aynı bölgeye birden fazla altyapı kurulması için katlanılacak maliyeti azaltarak çifte yatırım maliyetinin önüne geçip maliyet tasarrufu sağlayacağı tespitinde bulunuldu.


Söz konusu yatırım maliyetlerinin düşmesi neticesinde genişbant internet pazarında rekabetçi yapının gelişeceği, böylelikle ilgili teşebbüslerin daha hızlı ve kaliteli internet erişimi hizmeti sunma şansına erişeceği belirtildi.
Bu doğrultuda, toptan seviyede yapılan işbirliği ile sunulan hizmet kalitesinde yaşanacak olan artışın perakende pazara yansıması ile birlikte, tüketici nezdinde de doğrudan olumlu sonuçlar doğuracağı vurgulanıp, daha uygun koşul ve fiyatlarla ilgili ürünlerin nihai tüketiciye ulaştırılabileceğine dikkat çekildi.


Yine yukarıdaki açıklamalara paralel olarak, Türk Telekom’un gerek perakende gerek toptan sabit genişbant hizmetleri pazarlarındaki pazar payı dikkate alındığında ilgili pazarın söz konusu işbirliği ile sağlanan maliyet tasarrufu ile daha da rekabetçi bir yapıya kavuşacağı değerlendirildi.


Rekabetin zorunlu olandan fazla sınırlanıp sınırlanmadığına ilişkin olarak ise, söz konusu işbirliğinin başka teşebbüslerle de yapılabileceği, ayrıca ilgili işbirliğinin yalnızca toptan seviyede yapıldığı belirtilerek, perakende seviyede rekabetin zorunlu olandan fazla sınırlanmayacağı ifade edildi.


Böylelikle, bireysel muafiyet şartları çerçevesinde yapılan değerlendirmede Kurul, rakipler arasındaki işbirliğinin ilgili şartları taşıması nedeniyle rekabetçi bir endişe doğurmayacağı sonucuna ulaştı.


Bu kararın akabinde aynı konuda Vodafone ile Türksat arasındaki işbirliğine de Kurul tarafından izin verildiğini belirtmek isteriz.


Kararın tam metni için tıklayınız.

REKABET HUKUKUNDA VEKİLE TEBLİĞ ZORUNLULUĞU

Bilindiği üzere resmi bir işlem hakkında bilgilendirme niteliği taşıyan belgelere “tebligat”, bu belgelerin teslim edilmesine dayalı uygulamaya da “tebliğ” denilmektedir. Hukuki işlem süreci tebligatın gelmesiyle başlamakta; bu kapsamda hak kaybına uğrama, itiraz ve/veya dava hakkını kaybetme vb. aleyhe durumların çıkabileceğinden dolayı tebligatın geçerliliği için usul ve yasaya uygun olarak yapılması önem arz etmektedir. Yakın zamanda Rekabet Kurumunca bazı karar ve bilgi isteme yazılarının vekile tebliğ edilmesi gerekirken asıl konumunda olan teşebbüse yapıldığını gözlemlemeye başladık – dolayısıyla biz de naçizane düşüncelerimize yer veren bu blog yazısını yazmanın faydalı olacağını düşündük. 

Rekabet Kanunu’nun ‘Tebligat’ başlığı altındaki 61. maddesinde şu ifade yer alıyor:

“Bu Kanun uyarınca ilgili taraflara yapılacak bildirimler, 7201 sayılı Tebligat Kanunu hükümlerine göre yerine getirilir.’’

Öte yandan, fiil ehliyetine sahip özel ve tüzel kişiler (Rekabet hukukundaki adı ile “teşebbüsler” diyelim) Rekabet Kurumunca yapılan önaraştırma, soruşturma ve birleşme/devralma gibi konuları ve davaları bizzat takip etmeyip, kendisini vekil ile temsil ettirebiliyor. Bu durumda, anılan konularla ilgili tüm tebligatların vekile yapılması gerektiğinden, birçok işlemin tamamlanıp hüküm ifade edebilmesi için, söz konusu işlemlerin vekile usulüne uygun olarak tebliğ edilmesi gerekiyor.

Bu noktada, vekile tebliğin yasal dayanağını, Rekabet Kanunu’nun yollamada bulunduğu 7201 sayılı Kanun’un “Vekile ve Kanuni Mümessile Tebligat” başlıklı 11. maddesi oluşturuyor. Anılan maddede ise, “mealen vekil vasıtasıyla takip edilen işlerde tebligatın vekile yapılacağı, vekil birden çok ise bunlardan birine tebligat yapılmasının yeterli olduğu, eğer tebligat birden fazla vekile yapılmış ise, bunlardan ilkine yapılan tebliğ tarihinin asıl tebliğ tarihi sayılacağı, avukat tarafından takip edilen işlerde, avukatın bürosunda yapılacak tebligatların da resmi çalışma gün ve saatleri içinde yapılacağı” hükme bağlanıyor. Tebligat Kanunun Uygulanmasına Dair Yönetmeliğin 18.maddesinde de aynı doğrultuda hükümler yer alıyor. Bu kapsamda önemli olan nokta tebligatın hem asıla hem de vekile yapıldığı durumlarda geçerli bir tebliğ söz konusu olduğu; ancak, ilgili sürelerin vekile yapılan tebliğ tarihinden itibaren işlemeye başladığı.

Dolayısıyla, Tebligat Kanunun ve anılan Yönetmeliğin yukarıda açıklanan emredici hükümleri karşısında, vekil varken asıla (ilgili teşebbüse) yapılan tebligat geçersiz sayılıyor – yani sanki böyle bir tebligat yok (!), hiç yapılmamış gibi değerlendiriliyor. Ek olarak şunu hatırlatalım ki, tebligat vekil adına çıkarılmış fakat usulüne uygun olarak tebliğ edilmemişse bu durumda usulsüz tebligat söz konusu oluyor. Bu bakımdan usulsüz tebligat ile geçersiz tebligatın birbirinden farklı olduğunu dipnot olarak düşelim.

Diğer taraftan, tebligatın geçersiz yani yok hükmünde olması halinde neler oluyor bunlara bakalım…

Öncelikle bu durumda süreler başlamayacak. Dolayısıyla yapılan tebligat, teşebbüsten bilgi isteme, ona bir ödev yükleme şeklinde ise, teşebbüs bu nedenle bir ceza veya yaptırımla karşı karşıya kalmayacak.

Nitekim Rekabet Kurulu’nun; bilgi ve belge talep ettiği yazının geç yanıtlanması üzerine raportörlerce teşebbüse idari para ceza verilmesi yolundaki önaraştırma raporuna rağmen tebligatın vekil varken teşebbüse yapıldığı gerekçesiyle idari para cezası verilmesine yer olmadığına yönelik bir kararı[1] mevcut. Benzer bir şekilde, Danıştay 13. Dairesi’nin de sözlü savunma davetiyesine ilişkin tebligatın teşebbüsün vekili varken ilgili teşebbüse yapılması nedeniyle sözlü savunma toplantısına ilgili teşebbüs ve vekili, katılamadığı için, bu usulü eksiklik nedeniyle Kurulca verilen nihai kararı iptal ettiği bir karar[2] bulunuyor.

Yukarıda açıkladığımız hükümler çerçevesinde, Rekabet Kurulu’nun her türlü kararının veya yazısının yasa ve usule uygun tebliğ edilmesi bağlamında eğer teşebbüsün vekili varsa mutlaka vekile yapılması zorunlu!  

Aksi halde teşebbüsün vekili varken teşebbüse tebligat yapılması halinde bu tebligat geçersiz yani “yoklukla muallel” bir tebligat olacak. Bunun sonucunda da karar nihai kararsa 2577 sayılı İYUK 11. maddeye göre itiraz süresi veya doğrudan doğruya dava açılması için dava açma süresi başlamayacak. Bunun dışında, Rekabet Kurumunca yapılan tebligat bilgi veya belge isteme şeklinde bir yazı ise bu durumda ilgili teşebbüse Rekabet Kanunu’nun 14. maddesi anlamında bir yükümlülük yüklenemeyeceği için, Kanun’un 16. maddenin 1/c fıkrasına göre idari para cezası tesisi de mümkün olmayacak.  

Ancak şunu da ayrıca belirtelim ki, belirtilen tebligatlar teşebbüse gönderilmesine rağmen vekil tarafından öğrenildiği beyan edilirse, bu durumda Tebligat Kanunun 32. maddesinin 2. fıkrasına göre, vekilin tebligatı öğrendiğini beyan ettiği tarih itibariyle tebligatın doğuracağı hukuki sonuçlar işlemeye başlayacak.

Rekabet hukukunda, teşebbüsün vekili varsa her türlü tebligatın vekile yapılacağı doğrultusundaki yasal hükümler, bu konudaki Danıştay kararları ve yine bu yöndeki Rekabet Kurulu kararları karşısında bu konu tartışmasız olmasına rağmen, Rekabet Kurumu son günlerde bazı yazı ve kararlarının tebligatını vekil yerine teşebbüse çıkarıyor. Bu uygulama bir taraftan yukarıda da belirttiğimiz gibi tebligatı geçersiz yani yok hükümsüz kılıyor diğer taraftan ise doğru tebligatın yapılmasına dair süreç zaman alacak bir unsur olarak öne çıkıyor. Bu kapsamda söz konusu uygulamaların belki teşebbüslerin hak kaybına, Rekabet Kurumu’nun da zaman kaybına yol açabileceğini unutmamak gerekiyor!  


[1]Rekabet Kurulu’nun 25.08.2011 tarih ve 11-46/1133-398 sayılı kararında raportörlerce idari para cezası verilmesi yoluyndaki görüşe karşı; Önaraştırma kapsamında, Kurum tarafından Tüsan’a gönderilen 10.08.2011 tarihli yazıda, 16.08.2011 günü mesai bitimine kadar cevap verilmesinin gerektiği belirtilerek, ek bazı bilgi ve belgeler istenmiştir. Anılan şirket tarafından, ek bilgi yazısı kapsamındaki bilgiler, üç gün gecikmeli olarak 19.08.2011 tarihinde Kurum kayıtlarına intikal ettirilmiştir. Ancak dosya mevcudu bilgilerden, anılan yazının 7201 Sayılı Tebligat Kanunu’nun 11. maddesinde açıklanan, “vekil tarafından takip edilen işlerde tebligat vekile yapılır” hükmüne aykırı olarak, tebligatın Tüsan vekili yerine Tüsan’a yapıldığı anlaşıldığından, bu çerçevede, söz konusu teşebbüse, talep edilen bilgi ve belgelerin Kuruma süresi içinde gönderilmediği gerekçesiyle idari para cezası verilmesine olanak bulunmadığı kanaatine varılmıştır.’’ deniliyor.

[2] Danıştay 13.Dairesinin 06.12.2011 gün ve E.2008/3453 K. 2011/5609 sayılı Kararı

KVKK’dan yeni karar özetleri: Uygulama yavaş yavaş netleşmeye başlıyor

Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından son dönemde uygulamayı yakından ilgilendiren karar ve duyurular yayınlanmıştır. Kurul kararlarında özellikle sağlık, e-ticaret ve kamu sektörlerine ilişkin değerlendirmelere yer verilmektedir. Bu yazımızda, Kurul’un kişisel verilerin işlenmesi, muhafazası, yurtiçine ve yurtdışına aktarımı ile veri ihlali bildirimi hususlarına ilişkin kararları açıklanmakta ve ilgili kararların uygulamada ne gibi sonuçlar doğuracağına ilişkin değerlendirmelerimiz yer almaktadır.  

I. Eczanenin Hukuka Aykırı Veri Aktarımı

Doktor kontrolünde ilaç kullanan ilgili kişiye ait sağlık verilerine ilişkin bilgilerin, ilaçlarını temin ettiği eczane tarafından, herhangi bir işleme şartına dayanmadan üçüncü kişilere aktarıldığı gerekçesi ile ilgili tarafından Kurum’a şikayet başvurusu yapılmıştır. Kurum tarafından yapılan inceleme neticesinde, kişisel verilerin işlenmesinde ve kişisel verilerin üçüncü kişilere aktarılmasında temel kuralın, ilgilinin açık rızasının alınması olduğuna dikkat çekilmiştir. Bu kuralın istisnası olan hallerin ise yalnız ilgili mevzuat çerçevesi ile sınırlı olduğu belirtilmiş ve bu kapsamda olmayan hallerde temel kurala uyulmamasının ihlal olarak nitelendirileceği ortaya konulmuştur. Bu anlamda, eczanenin, kanunda yer alan istisnai hallerden herhangi birine dayanmaksızın, ilgilinin özel nitelikli kişisel verisi olan sağlık verilerini üçüncü kişilere aktarmasının hukuka uygun bir aktarım olmaması sebebiyle veri sorumlusunun en temel yükümlülüklerinden olan kişisel veri güvenliğinin sağlanması yükümlülüğüne aykırı hareket ettiğini saptayan Kurum, bu ihlal neticesinde eczaneye idari para cezası uygulanmasına karar vermiştir.[1]

Karardan anlaşıldığı üzere, özellikle özel nitelikli kişisel veri işleyen veri sorumlularının kişisel verilerin işlenmesinde ve bu verilerin aktarılmasında Kanun’unda öngörülen hukuki sebebe dayanması gerekmektedir. Aksi halde yaptırımı idari para cezası olacaktır.

II. Sistemde Yer Alan Verilerin Erişilebilir Hale Gelmesi

İlgili kişi, bir hazır giyim firmasının internet sitesi üzerinden üyelik bilgileri ile alışveriş yaparken, kendisine ait teslimat adresi, adı, soyadı, adresi ve telefon numarası gibi kişisel bilgilerinin, şirkete ait bu internet sitesi üzerinden alışveriş yapan diğer kişilerce erişilebilir hale gelmesi sebebiyle Şirkete başvuruda bulunmuş ve kişisel verilerinin sistemlerinden silinmesini talep etmiştir. Şirket tarafından şikayetin kendilerine gelmesi ile olayın öğrenildiği, olayın sistemsel bir hatadan kaynaklandığı ve Şirket tarafından başka müşterilerin aynı olaya maruz kalmamaları için önlemlerin alındığı belirtilmişse de ilgili kişi bu yanıtı yetersiz bularak Kurum’a başvurmuştur. Kurum tarafından yapılan değerlendirmede, firmanın kişisel verilere hukuka aykırı erişilmesini önleme amacıyla gerekli tedbirleri almadığı saptanmış ve firma aleyhine idari para cezası uygulanmasına karar verilmiştir.[2]

Karardan görüleceği üzere, özellikle e-ticaret alanında faaliyet gösteren veri sorumlularının sistemlerinde yer alan kişisel verilere hukuka aykırı erişilmesini önleme yükümlülüğüne uyulmaması, idari para cezası yaptırımı uygulanmasını gerektirmektedir.  

III. Verilerin İşlenmesini Gerektiren Sebeplerde Dikkat Edilecek Süreler

Devlet memuru ilgili kişilerce, memuriyet döneminde haklarında açılmış inceleme-soruşturma dosyalarına ilişkin evrakların imha edilmesi talebi ile veri sorumlusu kamu kurumuna başvurulmuş ve kişisel verilerinin silinmesi talep edilmiştir. Anılan kurum, ilgili mevzuat uyarınca verileri saklamaları gerektiğini belirterek bu talebi reddetmiştir. İlgili söz konusu şikayeti Kurum’a taşımış ve Kurul, kanunda yer alan özel saklama sürelerinin (memurluğun sona ermesinden itibaren 101 yıl) devam ediyor olması sebebiyle ilgili kişinin bu talebinin karşılanmamasının hukuka uygun olduğu yönünde karar vermiştir.[3]

Karardan anlaşılacağı üzere, Kurum, kişisel verilerin işlenmesini gerektiren sebebe ilişkin olarak özellikle saklama süreleri bakımından mevzuattan doğan en uzun süreyi dikkate almıştır. Bu anlamda, veri sorumlularının, kişisel verilerin işlenmesi ve muhafaza edilmesinde mevzuatta yer alan sürelere dikkat etmesinin çok önemli olduğunu vurgulamak isteriz.

IV. Veri İhlali Bildiriminde “en kısa süre” 72 Saat Olarak Belirlendi[4]

Veri sorumlularının veri ihlalini öğrenmelerinin üzerine durumu en kısa sürede ilgilisine ve Kurul’a bildirmesine ilişkin düzenleme, uygulamada “en kısa süre”den ne anlaşılması gerektiğine ilişkin soru işaretleri ortaya çıkarmaktaydı. Bu hususta Kurul’un alacağı kararlar arasında yeknesaklığın sağlanması ve uygulamada bir standardın yakalanması amacı Kurul, “en kısa süre” ifadesinin 72 saat olarak yorumlanmasına karar vermiştir. Bu sayede Avrupa Genel Veri Koruma Tüzüğü (GDPR) ile de yeknesak bir uygulama yaratılmıştır.

Veri sorumlusu, ihlali öğrenmesinden itibaren en geç 72 saat içinde Kurul’a bildirim yapmalı, ihlalden etkilenen kişilerin belirlenmesini takiben makul olan en kısa süre içerisinde ilgili kişilere iletişim adreslerinden ve kendi web sitesinden ihlale ilişkin bildirimde bulunmalıdır. Kurul’a yapılacak bildirimde Kişisel Veri İhlal Bildirim Formu sunulmalı, formda yer alan tüm bilgilerin aynı anda sağlanmasının mümkün olmadığı hallerde ise bilgilerin gecikmeksizin aşamalı olarak sağlanması gerekmektedir. Haklı bir gerekçe ile 72 saat içerisinde yapılamayan bildirimlerde, yapılan bildirim ile beraber gecikme sebepleri de mutlaka Kurul’a açıklanmalıdır. Kurul duyurusunda veri sorumlularınca bir veri ihlali müdahale planı hazırlanmasına ve belirli aralıklarla bu planın gözden geçirilmesine de karar vermiştir.

Veri ihlalinin yurtdışında yerleşik bir veri sorumlusu nezdinde gerçekleşmesi halinde ise Türkiye’de yerleşik kişilerin ihlalden etkilenmesi ve ilgili kişilerin ürün ve hizmetlerden Türkiye’de yararlanması şartlarıyla aynı bildirim süreci yürütülecektir.

Veri ihlali bildirimi noktasında Kurul’a yapılacak bildirimler ön planda tutulmuş, ilgili kişiye ve veri işleyen tarafından veri sorumlusuna yapılacak bildirimlerde ise süre belirlememiştir. Ancak Kurul’un önceki kararlarında “en kısa süre”ye ilişkin esnek yorumlarının artık kabul edilmeyeceği varsayımında söz konusu bildirimlerde de süre konusuna titizlikle yaklaşılması gerekmektedir. Veri ihlali müdahale planlarının kapsamlı bir biçimde hazırlanması (kimlere raporlama yapılacağı, ihlalin olası sonuçlarının değerlendirilmesinde sorumluluğun kimde olduğu vs.) hem ilgili bildirim formunun doldurulmasında hem de ihlale ilişkin bilgi, etki ve önlemlerin Kurul’un incelemesine hazır halde bulundurulmasında kolaylık sağlayacaktır.

Sonuç

Yayınlanan kararlarda da görüldüğü üzere Kurul, özel nitelikli kişisel verilerin hukuka aykırı biçimde işlenmesi ve kişisel verilere hukuka aykırı biçimde erişilmesi hususlarında idari para cezası verme uygulamasını oldukça katı bir biçimde sürdürmektedir. Veri sorumlularının bu noktada iç politikalarını titizlikle incelemeleri önem arz etmektedir. Kurul, kişisel verilerin saklanması ve veri ihlali bildirimi noktalarında da uygulamanın süreye ilişkin kaygılarını giderir nitelikte kararlar vermiştir. Bu kararların ilgililerce gerek kişisel verilerin muhafazası aşamasında, gerek ise olası bir veri ihlalinin bildirimi noktasında dikkate alınması gerekmektedir.

Kurul kararları ile ilgili yeni gelişmeler oldukça güncellemeler aracılığı ile sizlere bilgi vermeye devam edeceğiz.


[1] Kurul’un 05/12/2018 Tarihli ve 2018/143 Sayılı Kararı

[2] Kurul’un 26/07/2018 Tarihli ve 2018/91 Sayılı Kararı

[3] Kurul’un 28/06/2018 Tarihli ve 2018/69 Sayılı Kararı

[4] Kurul’un 24/01/2019 Tarihli ve 2019/10 Sayılı Kararı

Rekabet soruşturmalarında ses kayıtlarının delil niteliği nedir?

Rekabet Otoritelerinin teşebbüsler hakkında yürüttüğü soruşturmalar kapsamında telefon görüşmelerinin delil olarak kullanılmasına yönelik uygulamalar artarken biz de Rekabet Kurumu’nun bu konudaki tutumunu araştıralım istedik. Telefon görüşmelerine yönelik ses kayıtlarının yürümekte olan bir soruşturmada delil olarak kullanılmasına yönelik uygulama en yakın zamanda kurumsal krediler pazarında faaliyet gösteren 13 banka hakkında yürütülen soruşturmada karşımıza çıkmıştı. Hatırlayacağınız üzere Rekabet Kurulu 2017 yılında, pişmanlık başvurusu üzerine başlayan soruşturma kapsamında bankaların kredi sözleşmelerine ilişkin faiz, vade gibi koşullara dair rekabet açısından hassas bilgilerin değişiminde bulunduğu iddiaları incelenmişti. 2017 yılının Kasım ayında gerekçeli kararını yayınlayan Rekabet Kurulu bu kararıyla, iki banka hakkında idari para cezası verilmesine hükmederken, dosya kapsamında dikkate aldığı deliller nedeniyle ilgi çekmişti.

Rekabet Kurulu ilgili bankacılık kararında, işyerindeki masa telefonuyla yapılan görüşmelerin kayıtlarını delil olarak kabul etti

Pişmanlık başvurusunda bulunan banka ile hakkında soruşturma yürütülen bankalardan birinin çalışanı arasında gerçekleşen telefon görüşmesi, bu çalışanın bilgisi dışında kayıt edilmiş ve ardından pişmanlık dosyası kapsamında delil olarak Rekabet Kurulu’na sunulmuştu. Ses kaydından habersiz teşebbüsün, bu kayda onay vermediği, bu nedenle söz konusu kayıtların hukuka aykırı olduğu, hukuka aykırı delillere dayanarak karar verilemeyeceği ve bu delillerin zehirli ağacın meyvesi teorisi kapsamında değerlendirilmesi gerektiğine yönündeki savunmalar Rekabet Kurulu tarafından kabul edilmemişti. Aksine Rekabet Kurulu, Rekabet Kanunu’nun 14. ve 15. maddesi kapsamındaki geniş bilgi toplama yetkilerini de hatırlatarak, “bankacılık sektöründe, görüşmelerin kayıt altına alınması ve yazılı iletişimlerin uyum programları çerçevesinde taramaya tabi tutulmasının yaygın uygulamalar” olduğu belirtilerek delillerin hukuka uygun olduğuna karar vermişti[1].

O halde Rekabet Kurulu hukuka aykırı yollardan elde edilen ses kayıtlarını delil olarak kabul ediyor mu?

Bu soruya “evet” yanıtıyla cevap vermek pek mümkün değil. Nitekim Rekabet Kurulu’nun benzer bir delilin değerlendirildiği kararında ilgili delillere yönelik benimsediği tutum incelendiğinde, Kurul’un son kararında geçmiş içtihadına bağlı kalmadığı görülecektir. Bilindiği üzere Rekabet Hukukunun da bir parçası olduğu İdare Hukukunda içtihat büyük önem taşımakta olup, bu hukuk dalına aynı zamanda içtihat hukuku da denilebilmektedir[2].

Şölen Çikolata’nın birtakım ürünlerin yeniden satış fiyatına müdahale ettiği iddialarının incelendiği dosya kapsamında Rekabet Kurulu, benzer delillerin hukuka uygunluğunu değerlendirmek durumunda kalmıştır. Bu dosya açısından da hakkında soruşturma yürütülen teşebbüs çalışanı ile yapılan bir telefon görüşmesinin kaydının alınması söz konusudur. İlgili teşebbüs çalışanları “görüşme esnasında alınan ses kaydından görüşme sonunda haberdar olduklarını, dolayısıyla söz konusu kayıt için rızalarının bulunmadığını dile getirmişlerdir”[3]. Görüleceği üzere, bankacılık kararından farklı olarak bu olayda telefon konuşmasının tarafı, ses kaydından görüşmenin sonunda haberdar olmuş ve kayda rıza vermemiştir.

Rekabet Kurulu ilgili kararında Anayasa’nın kanuna aykırı olarak elde edilmiş bulguların delil olarak kullanılamayacağına yönelik 38. maddesinin 6. fıkrasına atıfta bulunarak söz konusu Anayasa hükmünün, yalnızca ceza yargısı bakımından değil, tüm yargı çeşitleri bakımından geçerlilik taşıyan bir düzenleme konumunda olduğunu belirtmiştir. Bu doğrultuda “rıza dışı alınan ve dolayısıyla hukuka aykırı yoldan elde edilen söz konusu kaydın ispat gücü bulunmadığı değerlendirilmiştir[4].

Görüleceği üzere Rekabet Kurulu, hukuka aykırı olarak elde edilen delillere yönelik tutumu 2014 yılında bu şekilde belirlemiş olmakla birlikte 2017 yılında içtihadından ayrılmış, görüşmenin tarafının haberi ve dolayısıyla rızası olmaksızın elde edilen ses kayıtlarının delil olarak kullanılabileceğine karar vermiştir. Bu yönde bir yaklaşım, içtihadın son derece önem taşıdığı Rekabet Hukuku kapsamında Kurul’un içtihadından ayrılmasının yanı sıra, Anayasal hükümlerin Rekabet Hukuku bakımından uygulanabilirliğinin sorgulanması sonucunu da doğurmaktadır. İleride başka bir dosya kapsamında ses kayıtlarının delil niteliğinin tartışma konusu olması halinde Rekabet Kurulu’nun nasıl bir tutum takınacağını hep birlikte göreceğiz.


[1] Rekabet Kurulu’nun 28.11.2017 tarih ve 17-39/636-276 sayılı Bankacılık Soruşturma Kararı, para. 301.

[2] Turgut Tan, İdare Hukuku, Ankara 2011, s.86.

[3] Rekabet Kurulu’nun 16.01.2014 tarih ve 14-02/35-14 sayılı Şölen Önaraştırma Kararı, para. 22. 

[4] Şölen Kararı, para. 39.


KVK Kurulu’ndan Başvuru ve Şikayet Sürelerine ilişkin Kamuoyu Duyurusu

Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından 13 Şubat 2019 tarihinde duyurulan, 24.01.2019 tarih ve 2019/9 sayılı karar (“Karar”) ile birlikte, başvuru ve şikâyet sürelerine ilişkin bazı soru işaretlerini gidermek adına başvuru sürelerine ilişkin çeşitli ihtimallere açıklık getirilmiştir.

6698 sayılı Kişisel Verilerin Korunması Kanunu’nda (“Kanun”), veriye temas edenlerin yükümlülükleri ile birlikte verisi işlenen ilgili kişilerin hakları da düzenlenmiştir. Kanun, ilgili kişiler tarafından yürütülecek veri sorumlularına başvuru ve Kurul nezdinde şikâyet imkânlarını 13 ve 14. Maddelerinde yer verdiği hükümler ile açıklamaktadır.

Kanun’un ilgili maddeleri uyarınca veri sorumlusu, kendisine gelen ilgili kişi başvurularını en geç otuz gün içerisinde yanıtlamakla yükümlüdür. Başvurunun reddedilmesi, hiç yanıt verilmemesi veya verilen yanıtın ilgili kişi tarafından yeterli bulunmaması hâllerinde; ilgili kişinin Kurul nezdinde şikâyet sunma hakkı saklıdır. Ancak Kanun metninde de açıkça belirtildiği üzere, şikâyet öncesinde, veri sorumlusuna başvuru müessesesinin tüketilmesi gerekmektedir.

13 Şubat 2019 tarihinde Kişisel Verileri Koruma Kurumu’nun internet sitesi üzerinden yayınlanan Karar’da veri sorumlusuna başvuru ve başvuruya verilen yanıta istinaden Kurul’a başvurma sürelerinin yorumlanmasına ilişkin endişelerin giderilmesi adına başvuru süreleri üç farklı ihtimal üzerinde durularak açıklanmıştır.

Veri Sorumlusunun Yanıtı Şikayet Süresi
Başvuruya 30 gün içinde yanıt verilmesi Veri sorumlusu tarafından verilen yanıttan itibaren 30 gün içerisinde şikâyette bulunulması gerekir.
Başvuruya hiç yanıt verilmemesi Veri sorumlusuna yapılan başvurudan itibaren 60 gün içerisinde şikâyette bulunulması gerekir.
Başvuruya 30 günlük süre tamamlandıktan sonra yanıt verilmesi Veri sorumlusuna yapılan başvurudan itibaren, 30 günlük cevap verme süresi beklendikten sonra 30 gün içerisinde (başvuru tarihinden itibaren 60 gün) içerisinde şikâyette bulunulması gerekir.

Karar’da 60 gün olarak açıklanan sürelerin, başvuru sürecinin doğası gereği, başvuruyu izleyen otuz günlük sürenin sonunda başlayacak olan, yeni bir otuz günlük süre olarak yorumlanması yerinde olacaktır. Zira aslında veri sorumlusuna başvuruya yanıt hakkı tanıyan ilk otuz günlük dönemde (yanıt alınmadığı müddetçe) herhangi bir şekilde şikâyet prosedürünü işletmek mümkün değildir.

Son olarak hatırlatmak gerekir ki, her ne kadar Karar’da yer alan açıklamalar veri sorumlusu tarafından başvuruya yanıt verilmesini esas alsa da mevzuatta da açıkça belirtildiği üzere, ilgili kişinin, yanıtın tatmin edici olmaması hâlinde,  veri sorumlusunun yanıtından itibaren 30 gün içerisinde Kurul nezdinde şikâyet yoluna başvurma haklı saklı kalacaktır.