GSG Hukuk Aylık Kişisel Verilerin Korunması Hukuku Bülteni Sayı -2

Transkript

1 Aylık Kişisel Verilerin Korunması Hukuku Bülteni Sayı -2 Aylık KVK Bülteni Aralık 2017 Güncel Haberler: Kişisel Verilerinin Silinmesi, Yok Edilmesi ve Anonim Hale Getirilmesi Rehberi yayınlandı Kişisel Verileri Koruma Kurumu ( Kurum ) tarafından Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Haline Getirilmesi Hakkında Rehber yayınlanmıştır. Rehberde silme, yok etme ve anonim hale getirme süreçleri Avrupa mevzuatı ve uygulamaları ışığında oldukça detaylı bir biçimde anlatılmıştır. Açıklamalar gereken yerlerde resimli olarak gösterilmiştir. Söz konusu rehbere buraya tıklayarak ulaşabilirsiniz: Kişisel Verileri Koruma Kurulu nun çalışma esaslarına ilişkin Yönetmelik yayımlandı Kişisel Verileri Koruma Kurulu Çalışma Usul ve Esaslarına Dair Yönetmelik 16 Kasım 2017 tarihli Resmi Gazete de yayımlanarak yürürlüğe girmiştir. Yönetmelik hükümleri temel olarak Kişisel Verileri Koruma Kurulu nun ( Kurul ) çalışma esas ve usullerini, yetki ve sorumluluklarını düzenlemekte olup Kurul kararlarına ilişkin birtakım hükümler öngörmektedir. Yönetmelik in 13. maddesi uyarınca şikayet üzerine veya ihlal iddiasının öğrenilmesi durumunda re sen yapılan inceleme sonucunda verilecek kararların, Kurul tarafından gerekli görülmesi halinde kamuoyuna duyurulacağı belirtilmiştir. Bunun yanında toplantıda görüşülen konular ve alınan kararlar hakkında basın ve yayın organlarına ancak Kurul başkanı tarafından açıklama yapılabileceği belirtilmiştir. Yönetmelik in 16. maddesi ise Kurul da görüşülüp kararlaştırılması gereken konuların ön incelemesi yapıldıktan sonra daha ayrıntılı bir kapsamda Kurul a sunulmak üzere Kurul kararı ile bir ihtisas komisyonu veya çalışma grubunun kurulabileceği belirtilmiştir. Bu komisyon ve çalışma gruplarında Kurum personelinin görevlendirilebileceği belirtilmektedir. Bu sayıda 1 Güncel Haberler Kişisel verilerin silinmesi Yok Edilmesi ve Anonim Hale Getirilmesi Rehberi yayınlandı Kişisel Verileri Koruma Kurulu nun çalışma esaslarına ilişkin yönetmelik yayımlandı Kişisel Sağlık Verilerinin Korunması Yönetmeliği yeniden düzenlendi Elektronik Haberleşme Sektörüne İlişkin Tüketici Hakları Yönetmeliği yayımlandı 2 Makaleler Çalışanlar üzerinde gözetim aktiviteleri GDPR ın uygulama alanı Türk Hukuku nda unutulma hakkı 1

2 Aylık Kişisel Verilerin Korunması Hukuku Bülteni Sayı -2 Bunun yanında Yönetmelik ile Kurul üyelerine ve Kurul toplantı ve çalışmalarına katılan kişilere sır saklama yükümlülüğü getirilmiştir. Kişisel Sağlık Verilerinin Korunması Yönetmeliği yeniden düzenlendi 20 Ekim 2016 tarihinde yürürlüğe giren Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelik ( Yönetmelik ) yürürlüğe girdiği tarihten beri 6698 sayılı Kişisel Verilerin Korunması Kanunu na ( KVKK ) aykırı hükümler içermesi iddiasıyla sağlık sektörü oyuncuları tarafından eleştirilmekteydi. Tüm Eczacı İşverenler Sendikası tarafından açılan davada yönetmeliğin 5. ve 14. maddelerinin eczacılık mevzuatına aykırı ve uygulanması mümkün olmayan yükümlülükler içermesi sebebiyle Yönetmelik in yürütmesinin durdurulması ve iptali istenmekteydi. Daha sonra benzer içerikte bir dava Sağlık Bakanlığı ve Kurum aleyhine Türk Dermatoloji Derneği ile Türk Psikiyatr Derneği tarafından açılmış ve Danıştay, 6 Temmuz 2017 tarihinde Yönetmelik hakkında yürütmenin durdurulması kararı vermişti. Danıştay kararında özetle kişisel verilerin korunması konusunda genel kontrol ve denetim yetkisine sahip otoritenin Kurul olduğu, diğer kurum ve kuruluşlarca hazırlanan ve kişisel verilere ilişkin hükümler içeren mevzuat taslakları hakkında Kurul görüşü alınmadan hareket edilmesinin mevzuata ve hukuka aykırı olduğu vurgulanmaktaydı. Yönetmelik, Sağlık Bakanlığı tarafından hazırlanıp yürürlüğe girdiğinde Kurul henüz oluşmadığından Kurul görüşlerine başvurulmadan yürürlüğe konan Yönetmelik in KVKK ya aykırı olması sebebiyle yürütmesinin durdurulmasına karar verilmişti. 24 Kasım 2017 tarihli Resmi Gazete de Yönetmelik te yapılan değişiklikler yayımlanmış ve yürürlüğe konmuştur. Danıştay kararına paralel olarak yapılan değişikliklerin genel olarak kişisel sağlık verilerinin işlenmesinde Kurul un yetkilerini vurguladığı ve Sağlık Bakanlığı ve ona bağlı otoritelerin yetki alanını daraltan düzenlemeler olduğu göze çarpmaktadır. Bunun yanında yeni düzenleme ile kişisel sağlık verilerinin işlenmesine ilişkin hükümler korunmuş ve bu verilerin aktarılmasına ilişkin düzenlemeler büyük ölçüde kaldırılmıştır. Yönetmelik te yapılan değişiklikleri her madde özelinde ayrı ayrı gösteren yazımıza buraya tıklayarak ulaşabilirsiniz: Elektronik Haberleşme Sektörüne İlişkin Tüketici Hakları Yönetmeliği yayımlandı 28 Ekim 2017 tarihli Resmi Gazete de yayımlanan Elektronik Haberleşme Sektörüne İlişkin Tüketici Hakları Yönetmeliği nin 7. maddesinin ilk bendinde abonelik sözleşmelerinin bundan böyle elle atılan imza ve güvenli elektronik imza ile yapılabileceği düzenlenmiştir. Sözleşmenin kuruluşu ve uygulanması sürecine ilişkin tüm tedbirlerin alınması sorumluluğu işletmecide olmak şartıyla abonelik sözleşmesi Bilgi Teknolojileri Kurumu tarafından belirlenecek usuller ile elektronik ortamda akdedilebilecektir. Böylece abonelik sözleşmeleri dijital ortamda bilgisayar ya da tablet ekranı gibi araçlar ile akdedilebilir hale gelmiştir. Elektronik ortamda elle atılan imzanın yasal mevzuat kapsamına alınmasının dijitalleşen dünyaya uyum sağlamak açısından yerinde bir düzenleme olduğu kanaatindeyiz. Elle atılan imza kuşkusuz kişisel veri niteliğini haiz olacak ve operatörlerin KVKK kapsamında gerekli aksiyonları alması gerekecektir. 2

3 Aylık Kişisel Verilerin Korunması Hukuku Bülteni Sayı -2 KVK Makaleleri: Çalışanların Üzerinde Gözetim Aktiviteleri Çalışanlar üzerindeki gözetim aktivitelerinde İşverenler nelere dikkat etmelidir? İşyerinde gözetim aktiviteleri yoluyla kişisel verilerinin işlenmesi KVKK ya tabidir. İşverenler, çalışanlarını farklı sebeplerden ötürü gözetleyebilmektedirler. Çalışanların, işverenin ekipmanlarını, araç gereçlerini veya donanımlarını kullanmaları veya şüphe doğuran yetkisiz erişimleri engelleme faaliyetleri bunlardan sadece bazılarıdır. Gözetim aktiviteleri görüntü izleme, ekran izleme, e-posta izleme, konum izleme, görüşme doküman ve interaktif izlemeler olarak çeşitlendirilebilir. Burada bütün gözetim aktiviteleri için geçerli olan genel ilkelere değinilecektir. Eğer bir işveren, işyerini belli amaçlar için gözetim aktivitelerine tabi tutmak istiyor ise, aşağıdaki kişisel verilerin korunması ilkelerine uymak zorundadır. Bunlar, Gereklilik: İşveren, gözetim aktiviteleri aracılığıyla amacını gerçekleştirirken işlemiş olduğu kişisel verilerin kendisi için gerekli olduğunu ispatlamak zorundadır. Yasallık: İşveren, gözetim aktiviteleri aracılığıyla kişisel veri işlerken (hassas kişisel veri de dahil olmak üzere), KVKK nın kişisel veri işleme şartlarından birine dayanmak zorundadır. Ayrıca bu kişisel verileri işlerken dürüstlük kuralına uymakla yükümlüdür. Ölçülülük: Her gözetim aktivitesinde ölçülülük ilkesi ışığında hareket edilmesi gerekecektir. Şeffaflık: İşveren, gözetim aktivitelerini sürdürürken çalışanlarına bilgi vermekle yükümlüdür. Gözetim faaliyetleri yoluyla işlenen kişisel verilerinin muhafazası için gerekli güvenlik tedbirleri uygulanmalı ve bu kişisel verilere yetkisiz erişim engellenmelidir. Şirket politikasının veya KVKK nın ihlal edildiği durumlarda veya diğer kanunların öngördüğü durumlarda bu verilere erişim sağlanabilir. KVKK uyarınca, gözetim faaliyetleri yoluyla işlenen kişisel verilerin mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi gereklidir. Bu sürenin geçmesiyle birlikte, bu kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi zorunludur. Elbette, gözetim aktiviteleri yoluyla işlenen kişisel verilerin yargılama aşamasında ileriye dönük olarak işverence muhafaza edilmesi başka bir konudur. Örneğin, gözetim aktiviteleri sonucu, çalışanın/çalışanların yasa dışı aktivitelerde bulunması durumunda, bu verilerin ispat amacıyla kullanılması için daha uzun süre muhafaza edilmesi hukuka uygun kabul edilecektir. Gereklilik İşveren öngörülen gözetim faaliyetine başlamadan önce, gerçekten bu faaliyetin gerekli olduğuna emin olmalıdır. Bir başka anlatımla, eğer istenen amaç çalışanların mahremiyet alanına daha az müdahale ile gerçekleştirilebiliyorsa gözetim faaliyetleri tercih edilmemelidir. Avrupa uygulamalarına baktığımızda, 2018 yılında yürürlüğe girecek olan Genel Veri Koruma Tüzüğü nün ( GDPR veya Regülasyon ) 35. maddesi uyarınca Mahremiyet Etki Değerlendirilmesi bu anlamda işveren tarafından işyerinde gerçekleştirilebilir. Mahremiyet Etki Değerlendirilmesi kısaca, planlanan gözetim aktivitelerinin gerçekten gerekli ve orantılı olup olmadığını belirleme işlevi görmektedir. Yasallık İşverence yapılan gözetim aktivitelerinin farklı türleri mevcuttur. İşveren, gizli bilgilerin internet kullanımı yoluyla çalışanlar tarafından dışarıya çıkarılmasını engelleme amacıyla gözetim aktivitesinde bulunabileceği gibi; alternatif olarak, gözetim aktivitesi, iş ve işçi güvenliğini sağlama amacıyla da kullanılabilir. İşveren, bu gözetim aktivitelerini sürdürürken, KVKK nın kişisel verilerin (hassas kişisel veriler de dahil olmak üzere) işlenme şartlarını düzenleyen 5. ve 6. maddelerindeki şartlara uyma zorunluluğu vardır. Avrupa uygulamalarına baktığımızda, işverenin çalışanlardan açık rıza almak yerine, (İlgili Kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla) meşru menfaatleri için veri işlemenin zorunlu olması istisnasını öne sürdüğü görülmektedir. 3

4 Aylık Kişisel Verilerin Korunması Hukuku Bülteni Sayı -2 KVK Yazıları: Çalışanların Üzerinde Gözetim Aktiviteleri (devam) Ölçülülük İşveren, gözetim aktivitelerinde bulunurken, ölçülülük ilkesine uygun davranmalıdır. Örnek olarak, işverenin gizli bilgilerin e- mail yoluyla dışarıya sızmasını engelleme amacıyla bütün çalışanların her türlü ini gözetim faaliyetlerine tabi tutması bu ilkeye aykırılık oluşturacaktır. Öte yandan, lerin toptan izlenmesi, işverenin bilişim sistemlerinin güvenliğini sağlamak için sistemdeki zayıf yönleri saptamakla orantılı olabilir. Gözetim aktiviteleri bu gibi örneklerden yola çıkarak, potansiyel veya bilinen bir tehdide mantıklı ve gerçekçi bir yanıt olarak yürütülmelidir. Ölçülülük prensibi KVKK nın 4. maddesinde yerini bulmuştur. Bu maddeye göre, kişisel veriler işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olmalıdır. Bu yüzden, e- mailler üzerinden yapılan gözetim aktivitelerinin trafik verileriyle sınırlandırılması bu ilkeye uygundur. Bir başka değişle, e- mailin içeriğine dair bilgilerin elde edilmesi yerine, kime kim tarafından atıldığı veya ne zaman atıldığı bilgisinin elde edilmesi ölçülülük prensibine uygun düşecektir. in içeriğine ilişkin gözetim aktiviteleri genel olarak bu ilkeye ters düşecektir. Şeffaflık İşverenler, işyerinde gözetim aktivitesi yapmaları durumunda, çalışanları bu konu hakkında bilgilendirmekle yükümlüdür. Bu nedenle işverenler yeni ve mevcut çalışanların dikkatine sunulan ve işveren iletişim ekipmanları için beklenen standartları (örneğin telefon, internet, e-posta) detaylandıran kabul edilebilir bir kullanım politikası geliştirmelidir. Bu politika çerçevesinde çalışanlar gözetim aktivitelerinin nasıl yapılacağına dair detaylı ve açık bir şekilde bilgilendirilebilir. Kabul edilebilir kullanım politikası işverenin ekipmanlarının, çalışanların özel kullanımına dair bilgiler de içermelidir. Genellikle, çalışanların özel kullanımları takip edilmemelidir. İşverenler, kabul edilebilir kullanım politikasında işveren ekipmanının özel kullanımına izin verilmediğini belirterek, bu sorunu aşabilirler. Her ne kadar şeffaflık asıl olsa da, bazı durumlarda işverenler çalışanının veya çalışanlarının bazılarının şüpheli hareketlerinden yola çıkarak gizli gözetim faaliyetlerinde bulunmak isteyebilirler. Bu durumun (yasallığı konusunda mevzuatımızda açık bir hüküm bulunmamakla beraber) bazı ülkelerde güvenlik güçlerinin dahil olması gereken bir süreç olarak uygulanabileceği bazı ülkelerde ise çok sınırlı olarak belli durumlarda uygulanabileceği belirtilmektedir. İşverenin Hukuka Uygun Olmayan Gözetim Aktivitelerinde Bulunması Teknolojinin gelişimiyle birlikte, işverenlerin çalışanlar üzerinde gözetim aktivite yöntemleri artmıştır. Bu gözetim aktivitelerinin yukarıda da bahsedildiği gibi birçok farklı amaca hizmet ettiği söylenebilir. Gerek şirketin işleyişi gerek şirketin ticari sır niteliğindeki bilgilerinin güvenliğinin sağlanması bu amaçlardan bazılarıdır. Bu gözetim aktivitelerinin belli ilkeler ve kurallar çerçevesinde yapılması bir gereklilik olup yukarıda uyulması gereken şartlar belirtilmiştir. Bunlara uyulmamasının, Kurul un dikkatini çekmesi ve işverenlerin para cezalarıyla karşı karşıya kalabilmeleri mümkündür. Ayrıca kişisel verisi işlenen çalışanlar ile işverenler arasında hukuki uyuşmazlık konusu olabileceği de unutulmamalıdır. 4

5 Aylık Kişisel Verilerin Korunması Hukuku Bülteni Sayı -2 KVK Yazıları: GDPR ın Uygulama Alanı GDPR Avrupa Birliği üyesi olmayan devletler için ne ölçüde bağlayıcı olacak? Avrupa Birliği nin ( AB ) gündemindeki yeni veri mahremiyeti mevzuatı olan GDPR 27 Nisan 2016 tarihinde yayımlanmış olup 25 Mayıs 2018 tarihinde yürürlüğe girecektir. GDPR a uyumluluk kapsamında hem kamu hem de özel sektör için iki yıllık bir uyum süreci öngörülmüştür. AB de halihazırda geçerli olan veri mahremiyeti mevzuatı 95/46 Direktifi ( Direktif ) AB üyesi devletler için geçerli olmakla birlikte her üye ülkenin kendi iç düzenlemesini yapmasına izin veren çerçeve nitelikte bir düzenlemedir. Ancak GDPR tüm AB üyesi ülkeler için aynı olup ülkelerin uyması gereken tek standart niteliğindedir. Her ne kadar tek bir standart ile tüm ülkelerde uyumun amaçlanması Direktif e oranla daha pratik bir yöntem olarak düşünülse de GDPR ile getirilen kriterler oldukça yüksek olduğundan beklenen uyumluluğun yakalanması ciddi bir yatırım gerektirmektedir. GDPR ın, AB sınırları dışında yer alan devletlerde kurulu kuruluşları da doğrudan etkileyebilecek bir düzenleme olduğu unutulmamalıdır. Bu noktada kuruluş un kapsamının geniş yorumlanması gerektiği ve yalnızca şirketlerle sınırlı olmayacağı söylenebilir 1. GDPR ın Bölgesel Kapsam başlıklı 3. maddesi, bu madde altında sayılan bazı durumlarda AB sınırları dışında kurulmuş kuruluşların da GDPR yükümlülüklerine uyması gerekeceğini düzenlemektedir. Bu madde aşağıdaki şekilde üç kategori altında açıklanmaktadır: 1. Söz konusu maddede GDPR ın, kişisel veri işleme faaliyetinin AB de gerçekleşip gerçekleşmemesinden bağımsız olarak, AB deki bir veri sorumlusu ya da veri işleyen kuruluşun faaliyetleri kapsamında yapılan kişisel veri işleme süreçlerinde uygulanacağı belirtilmiştir. Bu hüküm doğrultusunda merkezi AB üyesi devletlerde bulunan şirketlerin Türkiye de bulunan iştiraklerinin yaptığı kişisel veri işleme faaliyetlerinde GDPR ın uygulanacağı söylenebilir. 2. Bunun yanında AB üyesi devletlerde bulunan veri sahiplerinin kişisel verilerinin AB üyesi devletlerde kurulu olmayan bir veri sorumlusu ya da veri işleyen tarafından aşağıdaki durumlarda işlenmesi durumunda GDPR ın uygulanacağı düzenlenmiştir: i. AB de bulunan veri sahibine, veri sahibinin ödeme yapıp yapmaması zorunluluğundan bağımsız olarak, mal veya hizmet sunulması (kuruluşun yürüttüğü faaliyetleri AB deki veri sahiplerine yöneltmeyi planladığı aşikar olmalıdır); veya ii. Davranışları AB de gerçekleştiği sürece veri sahibinin davranışlarını izleme 2. Ancak AB de bulunan işletmelere (bireylere değil) mal veya hizmet satan AB üyesi olmayan kuruluşların yukarıdaki kapsama girip girmeyeceği tartışma konusudur. Bu düzenleme, veri sorumlularının veya veri işleyenlerin üçüncü bir ülkede şirket kurarak AB deki veri sahiplerinin verilerini GDPR a tabi olmadan işlemelerine engel olmak için getirilmiştir. 3. Maddenin son fıkrasında ise AB de kurulu olmayan ancak uluslararası hukuk kuralları uyarınca AB Üye Ülke hukukunun uygulandığı bir yerde kurulu olan veri sorumlusu tarafından kişisel veri işlenmesi durumunda da GDPR ın uygulanacağı düzenlenmektedir. Bu maddenin amacı ise AB üyesi devletlerin bünyesinde bulunan elçilikler ve konsoloslukların veri işleme faaliyetlerinin GDPR ın uygulama alanına dahil edilmesini sağlamaktır. GDPR ın genişletilmiş yargı yetkisi, veri mahremiyetindeki en önemli değişikliklerden biri olarak karşımıza çıkmaktadır. Direktif te en sorunlu maddelerden biri olan uygulanabilirlik konusu GDPR ile birlikte büyük ölçüde aşılmıştır. Bunun yanında GDPR ın geniş yargı yetkisi kapsamına giren organizasyonların AB de yer alan bir temsilci atamaları gerekeceğini hatırlatmak gerekir. 1. Avrupa Birliği Adalet Divanı nın Weltimmo v NAIH (C-230/14) kararında kuruluşun geniş ve esnek yorumlanması gerektiği ve bir organizasyonun (küçük olsa bile) gösterdiği gerçek ve etkili herhangi bir faaliyeti istikrarlı düzenlemeler yoluyla yürütmesinin Avrupa Birliği nde kuruluş olarak kabul edilmek için yeterli olacağı belirtilmiştir (Örn. yetkili tek bir kişinin varlığı) 2. İzleme konsepti, özellikle online olarak profil oluşturmak ve bu profillerin karar verme; kişisel tercihleri, davranışları ve tutumları analiz etme/öngörme amaçlarıyla bireylerin izlenmesini kapsamaktadır. 5

6 Aylık Kişisel Verilerin Korunması Hukuku Bülteni Sayı -2 KVK Yazıları: Türk Hukuku nda Unutulma Hakkı Unutulma Hakkı nın Türkiye de uygulanması mümkün müdür? Teknolojik gelişmelerle birlikte kamu kurumları ve özel teşebbüslerin veri elde etmesi, işlemesi, saklaması ve bu verilerin aktarımının sağlanması büyük ölçüde kolaylaşmıştır. Özellikle arama motorlarıyla birlikte yıllar öncesine ait bir kişisel veri bile yıllarca saklanmakta, bu veriye basit bir arama yöntemiyle üçüncü kişiler tarafından ulaşılabilmektedir. Bu durum, gün geçtikçe daha çok tartışılan Unutulma Hakkının ortaya çıkmasını sağlamıştır. Unutulma hakkı, basit bir tanım ile kişinin geçmişine ait herhangi bir kişisel verisinin dijital dünyadan geri döndürülemez şekilde ortadan kaldırılmasını isteme hakkı olarak tanımlanabilir. Unutulma Hakkı ile ilgili en önemli kararlardan biri Google İspanya kararıdır. Bu dava sonucunda Avrupa Birliği Adalet Divanı birtakım ilke kararlar ortaya koymuştur. Bu ilkelerden belki de en önemlisi, kişisel verilerin arama motorlarından silinmesinin veri sahipleri tarafından belirli şartlar altında talep edilmesinin bir hak olarak ortaya konmasıdır. Buna göre, veri sahibine ait bir kişisel verinin yanlış, yetersiz ya da eksik olması durumunda bu verinin arama motorlarından silinmesinin talep edilmesi mümkün hale gelmiştir. Avrupa Birliği Adalet Divanı, arama motorlarının tüm kişisel verileri saklamasında ekonomik çıkar savunmasını yeterli bulmamış, belirli durumlarda bu kişisel verilerin silinmesinin ve yok edilmesinin gerekliliğine işaret etmiştir. Öte yandan, Unutulma Hakkı nın mutlak olmadığının ve her zaman diğer temel haklarla dengede uygulanması gerektiğinin de altını çizmiştir (Örn. medyanın ifade özgürlüğü). Unutulma Hakkı için temel ilkelerin belirlenmesi ve detayların durumun şartlarına göre değerlendirilmesi isabetlidir. Gerçekten de bir tarafta, başta özel hayatının gizliliği olmak üzere veri sahiplerinin kişisel verileri, diğer tarafta da toplumun bilgiye ulaşma hakkı söz konusu olup bu haklar arasında bir denge gözetilmelidir. Unutulma hakkı, Türk hukukunda Yargıtay ın 2015 yılında vermiş olduğu bir kararda 3 detaylıca incelenmiştir. Karar, cinsel taciz suçuna ilişkin verilen bir mahkeme kararının davacı ve davalı tarafların isimleri rumuzlanmadan bir ceza hukuku kitabında yayınlanması ile ilgilidir. Davacı, geçmişte yaşadığı bu kötü olayın toplum hafızasından silinmesini istemiş, geleceğini serbestçe şekillendirmek istediğini belirtmiş ve isminin rumuzlanmadan olduğu gibi yayınlanmasında hiçbir üstün yarar bulunmadığını ileri sürmüştür. Hatta özellikle Türk toplum yapısı göz önüne alındığında bu durumun kendisi için çok zor olduğunu belirtmiştir. Kitapta kendi isminin rumuzlanmadan olduğu gibi yazılmasının kişilik haklarına saldırı oluşturduğunu belirterek söz konusu kitabın yayından toplatılması istemi ile manevi tazminat talep etmektedir. Davalı ise söz konusu kitabın bilimsel eser niteliğini haiz olduğunu ve Avrupa İnsan Hakları Mahkemesi kararlarının davalı ve davacıların isimleri ile adlandırıldığını belirterek bu durumun hukuka aykırı olmadığını ileri sürmüştür. Yargıtay, bu durumun temelinde Unutulma Hakkı nın yer aldığını, bilim ve sanat özgürlüğü ile bireyin temel hakları arasında adil bir denge kurulması gerektiğini belirtmiştir. Bunun yanında bireyin geçmişte yaşadığı olumsuz etkilerden kurtularak geleceği şekillendirebilmesinin yalnızca bireyin yararına olmadığını, bu durumun aynı zamanda toplumun kalitesinin ve gelişmişlik seviyesinin yükselmesinde de etkili olacağını belirtmiştir. Bu kapsamda davacının isminin rumuzlanmadan kitapta yer almasının Unutulma Hakkı nı ve dolayısıyla özel hayatın gizliliğini ihlal ettiğini savunarak davacı lehine manevi tazminata hükmetmiştir. Söz konusu Yargıtay kararı KVKK nın yürürlüğe girmesinden önce verilen bir karar olduğu için KVKK ya herhangi bir atıf yapılmamıştır. Her ne kadar KVKK da Unutulma Hakkı ayrı bir tanım ya da terim olarak yer almasa da KVKK nın genel ruhu ve özellikle kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması halinde re sen ya da İlgili Kişi nin talebi üzerine imha edilmesi gerektiğini düzenleyen 7. madde çerçevesinde Unutulma Hakkı nın uygulanabilir olduğu söylenebilir. 3. Yargıtay Hukuk Genel Kurulu nun E. 2014/4-56 K. 2015/1679 numaralı tarihli kararı 6

7 Aylık Kişisel Verilerin Korunması Hukuku Bülteni Sayı -2 KVK Yazıları: Türk Hukuku nda Unutulma Hakkı Bunun yanında KVKK çerçevesinde kişisel veriler ancak meşru amaçlar için işlenmelidir. Oysaki davacının isminin kitapta rumuzlanmadan olduğu gibi yer alması herhangi meşru bir amaç olmaksızın davacının kişisel verilerinin kamuya açık hale getirilmesi olarak yorumlanabilir. Bu sebeple KVKK nın yürürlüğe girmesinden sonra açılacak bu tip bir davada davacı, mahkeme nezdinde talep edebileceği tazminatın yanı sıra Kurum nezdinde şikayette bulunarak idari/cezai yaptırımların uygulanmasını da isteyebilir. Bir dipnot olarak belirtmek gerekir ki, Unutulma Hakkı 2018 yılında yürürlüğe girecek olan GDPR kapsamında açıkça düzenlenmiştir. GDPR ın 17. maddesi İlgili Kişi nin belli şartlar altında veri sorumlusundan kendisine ait kişisel verileri gecikme olmaksızın silmesini isteyebileceğini düzenlemektedir. Buna uymayan veri sahiplerine yıllık global cirolarının %2 sine kadar idari para cezası uygulanabileceği düzenlenmiştir GDPR da bazı durumlarda Unutulma Hakkı nın sınırlanabileceği düzenlenmiştir (ifade özgürlüğü hakkının kullanılması, kamu sağlığını ilgilendiren durumlar, kişisel verinin tarihi, istatistiki ve bilimsel amaçlar için işlenmesi gibi).. 7

8 Aylık Kişisel Verilerin Korunması Hukuku Bülteni Sayı -2 Aylık Kişisel Verilerin Korunması Hukuku Bülteni Aralık 2017 KVKK kapsamında yerine getirmeniz gereken hukuki yükümlülükler hakkında daha detaylı bilgi almak için bizimle iletişime geçin Süleyman Seba Cad. No :48 BJK Plaza B Blok K:4 Akaretler Beşiktaş - İstanbul info@gsghukuk.com Nilgün Serdar Şimşek, LL.M. Ortak, Avukat T: +90 (212) nilgun.simsek@gsghukuk.com Rıza Eroğlu Kıdemli Müdür T: +90 (212) riza.eroglu@gsghukuk.com İpek Okucu Taftalı Kıdemli Avukat T: +90 (212) /3881 ipek.okucu@gsghukuk.com 2017 Gündüz Şimşek Gago Avukatlık Ortaklığı. Tüm hakları saklıdır. Bu dokümanda GSG Avukatlık Ortaklığı veya ibaresi, Gündüz Şimşek Gago Avukatlık Ortaklığı nı ifade etmektedir.