KVK Kurumu Tarafından Yayınlanan “Kanunlarda Öngörülme Kişisel Veri İşleme” Şartına İlişkin Bilgi Notu Hk

Kişisel Verileri İşleme Kurumu (“Kurum”) tarafından 12.02.2024 tarihinde 6698 Sayılı Kişisel Verilerin Korunması Kanunu’ndaki (“Kanun”) hukuka uygun veri işleme şartlarından biri olan “Kanunlarda açıkça öngörülme” şartı hakkında bilgi notu (“Bilgi Notu”) yayınlamıştır. İlgili bilgi notunda; “kişisel verilerin işlenmesinin kanunlarda açıkça öngörülmesi”ne ilişkin hukuka uygunluk sebebi, öncelikle Türk hukuku kapsamında değerlendirilmiş, daha sonra AB hukuku kapsamında değerlendirmelerde bulunularak sonuç bölümüne yer verilmiştir.

1. “Kanunlarda Açıkça Öngörülme” İşleme Şartı ve Türk Mevzuatı Kapsamında Kanunilik İlkesi

Anayasa’nın 13.maddesi temel hak ve özgürlüklerin hangi durumlarda sınırlanabileceğini belirtmektedir. Temel hak ve özgürlükler ile otorite arasında paradoksal bir ilişki vardır. Temel hak ve özgürlükler otoriteye karşı otorite tarafından korunmaktadır. Bu bağlamda, Anayasal bir hak olan kişisel verilerin korunması hakkına da ancak Anayasa’da belirtilen kriterler doğrultusunda sınırlama getirilebilecektir.

Kurum’un yayınlamış olduğu bilgi notunda, doktrindeki farklı görüşlere atıf yapılarak sınırlama ve düzenleme kavramlarının birbirinden farklı olduğu belirtilerek sınırlamanın düzenlemeyi de kapsayıcı daha geniş bir kavram olduğuna ve düzenlemenin sınırlama olup olmadığının tespiti için düzenlemenin içeriğinin incelenmesi gerektiğine değinilmiştir. Bu doğrultuda norm alanına daraltma getirmeyen düzenlemelerin bir sınırlama olmadığı vurgulanmıştır. Buradan hareketle, Kurum’un Kanun’un 5.maddesinin 2.fıkrasında düzenlenen işleme şartlarını, kişisel verilerin korunması hakkına getirilen bir sınırlama olarak değerlendirdiği söylenebilecektir.

Kurum, kişisel verilerin korunması hakkının yalnızca yasama tarafından çıkartılacak bir düzenlemeyle sınırlanabileceğini belirterek bu yetkinin başka organlar tarafından kullanılmasına izin veren düzenlemelerin Anayasa Mahkemesi (“AYM”) tarafından iptal edildiği kararlara yer vermiştir:

• Bilgi Teknolojileri ve İletişim Kurumuna (BTK) kişisel verilerin işlenmesi ve gizliliğin korunmasına ilişkin doğrudan düzenleme yetkisi veren düzenleme yasama yetkisinin devredilemezliği ilkesine aykırılık oluşturduğu gerekçesiyle ile iptal edilmiştir.
• AYM; Kanun Hükmünde Kararname ile Atatürk Kültür, Dil ve Tarih Yüksek Kurumu, Atatürk Araştırma Merkezi, Türk Dil Kurumu, Türk Tarih Kurumu ve Atatürk Kültür Merkezi Başkanlıklarına “gerekli gördükleri bilgileri bütün kamu kurum ve kuruşları ile diğer gerçek ve tüzel kişilerden isteme yetkisi” veren düzenlemeyi kanunilik ilkesine aykırılık oluşturduğundan bahisle ilgili hükmü iptal etmiştir.
• Son olarak, her ne kadar Cumhurbaşkanlığı Kararnamesi ile Başkanlıklara “görevleri ile ilgili olarak gerekli gördüğü bilgileri bütün kamu kurum ve kuruluşlarından ve diğer gerçek ve tüzel kişilerden doğrudan isteme” yetkisi veren uygulama Anayasa’ya aykırı olmadığı gerekçesiyle iptal edilmemiş ise de, karşı oylarda ilgili hükmün Anayasa’ya aykırı olduğunun savunulmakta olduğuna değinilmiştir.

Öte yandan Kurum, idarenin hukuki yükümlülüğün yerine getirilmesi yahut kanunlarda açıkça öngörülmesi hususlarının değerlendirilmesinde dar veya geniş yorum yapılmasının idarenin takdir yetkisinde olduğunu ve bu durumun temel hak ve özgürlüklere kısıtlama getirildiği şeklinde yorumlanmaması gerektiğinin altını çizmiştir. Bu bağlamda, kanunlarda kişisel verilerin işlenebileceğine işaret eden bir durumun tanımlanmasının akabinde, kanunun uygulanmasına ilişkin çıkarılacak yönetmelikle hangi kişisel verilerin bu kapsamda işlenebileceğinin belirtilmesinin, “kanunlarda açıkça öngörülme” kapsamında değerlendirilebileceğini ve kişisel verilerin bu hukuka uygunluk sebebine dayanılarak işlenebileceğini belirtmiştir.

1. Avrupa Birliği Mevzuatı Kapsamında “Kanunlarda Açıkça Öngörülme” İşleme Şartının Değerlendirilmesi

Kanun’un 5.maddesinde kişisel veri işlemenin “kanunlarda açıkça öngörülmesi” ve “veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması” sebepleri işlemeyi hukuka uygun hale getiren iki ayrı hukuki sebep olarak anılmıştır. Ancak Kanunu’muzdan farklı olarak, Avrupa Birliği ülkeleri tarafından uygulanan Genel Veri Koruma Tüzüğü’nde (“GVKT”) kanunlarda açıkça öngörülme ve hukuki yükümlülüğün yerine getirilmesi hususları ayrı bir şekilde düzenlenmemiş olup GVKT’nin gerekçesinde, zaten veri sorumlusunun genel amacının, genel veya özel hukuk kurallarında belirgin bir temeli olan hukuki bir yükümlülüğe uymak olduğu kabul edilmiştir. Bu bağlamda, GVKT kapsamında veri sorumluları hem birincil hem de ikincil kanuni düzenlemelere dayanarak gerçekleştirdiği veri işleme faaliyetlerinde “hukuki yükümlülük” veri işleme şartına dayanacaktır.

• SONUÇ

Anayasal hakların yönetmelik, tebliğ, genelge gibi ikincil mevzuatlar ile detaylı olarak düzenlenebilmesi ve bu hakların sınırlarının genişletilmesi mümkün ise de, söz konusu normların ikincil düzenlemelerle sınırlarının daraltılması mümkün değildir. Ancak, kişisel verilerin işlenmesine olanak veren bir kanun hükmünün usul ve esaslarını düzenleyen yönetmelikle, hangi kişisel verilerin ilgili kanun kapsamında işlenebileceğinin belirtilmesi, kanunilik ilkesine aykırılık teşkil etmeyecek ve kişisel veriler “kanunda açıkça öngörülme” işleme şartına dayanılarak işlenebilecektir.

Kurum’un yayımlamış olduğu Bilgi Notu ile, “kanunlarda açıkça öngörülme” şartının kapsamı hakkındaki belirsizlik giderilmeye çalışılmıştır. Bu bağlamda, ilgili şartta yer alan “açık” ifadesinin geniş yorumlanması gerektiği belirtilerek, bu durumun temel hak ve özgürlüklerin yasama organı dışındaki bir idare tarafından kısıtlanması şeklinde değerlendirilmemesi gerektiği vurgulanmıştır. Ancak uygulayıcıların ve veri sorumlularının, kişisel verilerin işlenmesi ve temel hakların korunması arasında dengeli bir yaklaşımı benimsemesi önem taşımaktadır.

Saygılarımızla,

Tunca Avukatlık Ortaklığı