II.Uluslararası Kişisel Verileri Koruma Kongresi Bildiri Metinleri Kitapçığı

Türk Ceza Kanunu hükümleri uygulanmaya devam edecektir. Dolayısıyla doğrudan adresleyen atıf hükmü nedeniyle, kapsam içinde kalanlar ile kapsam dışında kalanlar için belki de aynı fiillerden fakat farklı suç tiplerinden cezai himaye söz konusu olabilecek, bu da eşitlik ilkesi gereği çelişkiye neden olacaktır. İkinci husus ise içtima noktasında karşımıza çıkmaktadır. Kişisel verilerin korunması Anayasa’da “Özel Hayatın Gizliliği ve Korunması” kısmının “Özel Hayatın Gizliliği” başlıklı 20. maddesinde düzenlenmiş, Türk Ceza Kanunu’nda “Kişilere Karşı Suçlar” kısmının, “Özel Hayata ve Hayatın Gizli Alanına Karşı Suçlar” bölümünde düzenlenmiştir. Kişisel Verilerin Korunması Kanunun 1. maddesinde kanunun amacı “özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak” şeklinde geçmektedir. Görüldüğü üzere, kişisel verilerin korunması kavramı, kanun metodolojisinde özel hayat alanı içinde yer bulmuş ve özel hayatın gizliliği çerçevesinde tartışılmıştır. Oysa özel hayat alanı içindeki veriler, çoğunlukla kişisel veri olarak nitelendirilebilirken, her kişisel veri özel hayat alanı içinde nitelendirilemez. Hal böyle iken yargılamalarda Türk Ceza Kanunu; suçun özel hayat alanında olması durumunda özel hayatın gizliliği kapsamında, aksi durumda ise kişisel verilerin korunmasına ilişkin suçlar kapsamında özel norm-genel norm şeklinde değerlendirilerek uygulanmıştır. Ancak Kişisel Verilerin Korunması Kanunu’nun 17/1. atıf hükmü gereğince ceza kanununda uygulanabilecek maddeler açıkca belirtildiğinden, Kişisel Verilerin Korunması Kanun’nun kapsamı dahilindeki kişi ve fiiller için, yargılamalarda esas alınan işbu kriterlerle oluşan içtihat geçerliliğini kaybetmiş olmaktadır. Diğer taraftan yargılamalarda uygulanacak kanun maddesinin Kişisel Verilerin Korunması Kanunu kapsamında olan ve olmayan kişi/fiiller açısından farklı olması neticesi de ortaya çıkmakta, bu da yine eşitlik ilkesi gereğince çelişkiye neden olmaktadır.(Ketizmen, Kart 267) Bu nedenlerle, Kişisel Verilerin Korunması 124 12-14 Kasım 2021 KİŞİSEL VERİLERİ KORUMA KONGRESİ I. ULUSLARARASI Bilgi Çağında İlgili Kişinin Bilgi Alma Hakkı ve K.V.K.K. 2. ULUSLARARASI KİŞİSEL VERİLERİ KORUMA KONGRESİ Kanunu’nda doğrudan ceza maddelerini adresleyen atıf hükmü yerine, somut duruma göre Türk Ceza Kanunu’ndaki diğer suç tiplerini de içine alacak şekilde “ilgili hükümler” şeklinde bir ibarenin bulunması yerinde olacaktır. Türk Ceza Kanunu’nda “Kişisel Verilerin Kaydedilmesi” suçunun düzenlendiği 135. maddenin 2. fıkrasında “Kişisel verinin, kişilerin siyasi, felsefi veya dini görüşlerine, ırki kökenlerine; hukuka aykırı olarak ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin olması durumunda birinci fıkra uyarınca verilecek ceza yarı oranında artırılır.” denilmek suretiyle suçun nitelikli hali belirtilmiştir. Kişisel Verilerin Korunması Kanunu’nun 6/1. maddesinde ise, “Özel Nitelikli Kişisel Veri”, “Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir” şeklinde tanımlanmıştır. İdari düzenlemede tahdidi olarak sayılan bu veri türleri ayrıcalıklı düzenlemeye tabi tutulmuş iken ceza düzenlemesinde nitelikli hale tümüyle dahil edilmemiştir. Şöyle ki; “etnik köken”, “mezhep veya diğer inançlar”, “kılık ve kıyafet”, “dernek, vakıf üyeliği”, “ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler”, “biyometrik ve genetik veriler”; Türk Ceza Kanunu’nda nitelikli hal olarak bulunmamaktadır. Dolayısıyla, “Özel Nitelikli Kişisel Veri” kategorisindeki verileri işlemenin, mutlaka ağırlaştırıcı bir ceza sorumluluğu getireceğini söylemek doğru olmayacaktır.(Küzeci 373) Konu itibariyle birbirine yakın veri türleri söz konusu olduğundan adil bir yaklaşım adına Türk Ceza Kanunu’nda değişikliğe gidilerek sayılan veri türlerinin de nitelikli halden sayılması yerinde olacaktır. Diğer taraftan Türk Ceza Kanunu’nda nitelikli haller arasında sayılan ancak Kişisel Verilerin Korunması Kanunu’nda yer almayan “ahlaki eğilimler” ifadesinden ne anlaşılması gerektiği de muğlaktır. Kanunun şerhinde de bu konuda bir açıklık bulunmadığından genel düzenlemeler ışığında değerlendirilmesi gerekmektedir ki bu da belirlilik ilkesi gereği yerinde görülmemektedir. Türk Ceza Kanunu’nun “Verileri Hukuka Aykırı Olarak Verme veya Ele Geçirme” ve “Verileri Yok Etmeme” suçlarını düzenleyen 136. ve 138. maddelerinin başlıklarında; sadece “veriler” ifadesine yer verilmiştir. Oysa, işbu maddelerde kendilerinden önceki

veri” olduğu aşikardır. (Koca, Üzülmez 591) Türk Ceza Kanunu’nda kişisel verilere ilişkin suçlar, kanun sıralamasında sadece kendilerine ayrılmış ayrı bir kısımda yer almadığından ve veri kavramının kapsamı, kişisel veri kavramının kapsamından oldukça geniş olduğundan Türk Ceza Kanunu’nda işbu madde başlıklarında kişisel veri ifadesine yer verilmesi yerinde olacaktır. Türk Ceza Kanunu’nun 136. Maddesinde düzenlenen “Verileri Hukuka Aykırı Olarak Verme veya Ele Geçirme” suçunun madde başlığında suça vücut veren “verme” ve “ele geçirme” fiillerinden bahsedilmiştir. Ancak madde içeriğinde, işbu fiillerden farklı olarak “yayma” fiilinden de bahsedilmektedir. Madde metninin içeriği, “verme” fiili, “yayma” fiili ve “ele geçirme” fiillerinden bahsedilerek kaleme alınmışken, başlığında sadece “verme” ve “ele geçirme” fillerinin yer almış olması doğru görülmemiştir. Dolayısıyla hem kanunilik ilkesinin gereklerine uyulabilmesi hem de kanun yapma tekniği açısından ilgili madde başlığında “yayma” fiiliIn. UinLdUeSbLeAliRrtAilRmAeSsIi yerinde olacaktır. (Özbek, Doğan, 12-14 Bacaksız 592) KİŞİSEL VERİLERİ KORUMA KONGRESİ Kasım 2021 125 Bilgi Çağında İlgili Kişinin Bilgi Alma Hakkı ve ALBAYRAK AKDEVECİ ; Yargı İşlemlerinde Kişisel Verilerin Korunması Türk Ceza Kanunu’nun 137. maddesinde, 135 ve 136. maddelerde düzenlenen suç tiplerinin nitelikli haline yer verilmiştir. Madde, “…b) Belli bir meslek ve sanatın sağladığı kolaylıktan yararlanmak suretiyle işlenmesi halinde verilecek ceza yarı oranında artırılır.” şeklindedir. Kanun koyucunun “meslek ve sanat” ifadesinde, “veya” bağlacı yerine “ve” bağlacını tercih etmesiyle failin hem mesleği hem de sanatından yararlanması koşulu aranacak, bu da uygulama alanının daralmasına neden olabilecektir. (Özbek, Doğan, Bacaksız 584) Dolayısıyla madde metnindeki “ve” bağlacının “veya” olarak değiştirilmesi yerinde olacaktır. Türk Ceza Kanunu’nun 138. maddesinde, “Verileri Yok Etmeme” suçu, “Kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlara görevlerini yerine getirmediklerinde bir yıldan iki yıla kadar hapis cezası verilir” şeklinde düzenlenmiştir. “Verileri Yok Etmeme” suçunun oluşması için; “kanunların belirlediği sürelerin geçmiş olması”; “failin bu verileri sistem içinde yok etmekle yükümlü olması”; “failin bu verileri yok etmemiş olması” gerekir. Ancak Kişisel Verilerin Korunması Kanunu perspektifinden baktığımızda, “kanunların belirlediği sürelerin geçmiş olması” ile “failin bu verileri yok etmemiş olması” noktalarında farklılık göze çarpmaktadır. Kişisel Verilerin Korunması Kanunu’nun “Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi” başlıklı 7/1. maddesi “Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir.” şeklindedir. Yine 17/2. maddesi “Bu Kanunun 7 inci maddesi hükmüne aykırı olarak; kişisel verileri silmeyen veya anonim hale getirmeyenler 5237 sayılı Kanunun 138 inci maddesine göre cezalandırılır.” şeklinde Türk Ceza Kanunu’na atıf yapmıştır. Görüldüğü üzere öncelikle Türk Ceza Kanunu sadece “kanunları belirlediği sürelerin geçmiş olması” unsurunu gözetirken, Kişisel Verilerin Korunması Kanunu, “işlenmesini gerektiren sebeplerin ortadan kalkmasını” da belirterek suçun unsurunu genişletmek durumunda kalmıştır. (Ketizmen, Kart 266) Diğer nokta açısından ise Türk Ceza Kanunu sadece “yok etme”yi öngörmektedir. Nitekim suçun başlığı da “yok etmeme suçu”dur. Oysa Kişisel Verilerin Korunması Hukuku “yok etme”yi, “silme”yi ve “anonim hale getirme”yi ayrı olarak değerlendirmekte, hepsini birden ise “imha” olarak nitelemektedir. Bu nedenle Kişisel Verilerin Korunması Kanunu’nda bahsedilen tüm fiilleri, Türk Ceza Kanunu’ndaki 138. madde karşılamamaktadır. Nitekim kanun koyucu 17. madde ile “yok etmeme” fiiline, “silme” ve “anonim hale getirme”yi de ekleyerek Türk Ceza Kanunu’ndaki suçun unsurunu genişletmek durumunda kalmıştır. Bu nedenlerle amaçla bağlılık ilkesi gereğince Türk Ceza Kanunu’ndaki suç başlığının “İmha Etmeme” olması, suçun unsurlarının da “işlenmesini gerektiren sebeplerin ortadan kalkması”; “failin bu verileri sistem içinde yok etmekle yükümlü olması”; “failin bu verileri imha etmemiş olması” şeklinde düzenlenmesi yerinde olacaktır. Diğer taraftan Kişisel Verilerin Korunması Kanunu, ilgili suçun unsurlarında değişikliğe giderken, sadece “anonim hale getirme” fiilini kanun düzeyinde tanımlamış, “silme”, “yok etme” ve “imha”yı ise “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik”in 4., 8. ve 9. maddeleriyle tanımlamıştır. Oysaki Anayasa’nın temel hak ve özgürlüklerin sadece kanun ile sınırlanabileceğine dair açık hükmü gereğince Kişisel Verilerin Korunması Kanun’unda tanımlanmış olmaları yerinde olurdu. 126 12-14 Kasım 2021 KİŞİSEL VERİLERİ KORUMA KONGRESİ I. ULUSLARARASI Bilgi Çağında İlgili Kişinin Bilgi Alma Hakkı ve K.V.K.K. 2. ULUSLARARASI KİŞİSEL VERİLERİ KORUMA KONGRESİ Türk Ceza Kanunu’nun 138. madde içeriğinde verileri, “sistem içinde yok etmek” ifadesi geçmektedir. “Sistem” ifadesi akla, Kişisel Verilerin Korunması Kanunu’nda tanımlanan “Veri Kayıt Sistemi”ni getirmektedir. Kanuni tanıma göre “Veri Kayıt Sistemi”; “kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi”dir. Kanun koyucu eğer veri kayıt sistemini kastediyor ise suçun konusunu; otomotik yollarla işlenen kişisel veriler ile otomatik olmayan yollarla en az iki verinin belirli bir kriterle işlendiği bir sistemde işlenen kişisel veriler oluşturacaktır. Bu durumda Türk Ceza Kanun’nda açıkca “sistem” yerine, “veri kayıt sistemi” ifadesinin yer alması yerinde olur. Eğer “sistem” ifadesinden herhangi bir sistem kastediliyor ise bu kez suçun konusunu; otomatik yollarla işlenen kişisel veriler ile otomatik olmayan yollarla kriter gözetmeksizin bir sistem içinde işlenen kişisel veriler oluşturacaktır. Ancak bu kez de yok etmekle yükümlü olunmasına rağmen bir sistem içinde olmayan veriler kapsam dışında kalacak, bu şekildeki dar yorum amaçla örtüşmeyecektir. Dolayısıyla kanun koyucunun bu çelişkilerin önüne geçmek üzere Türk Ceza Kanunu’nda “sistem” ifadesini madde metninden çıkarması daha yerinde olur.(Küzeci,65) “Kişisel Verilerin Korunması Hukuku”nda korunan hukuki değer ve koruma ile amaçlanan hedef belirlendiğinde, kanun koyucunun veri koruma hukukuna bakış açısı da ortaya çıkmaktadır. Tüm bu vb. çelişkili hususlara rağmen “Kişisel Verilerin Korunması Hukuku”nun ülkemizde gelişmeye açık bir alan ve radikal bir düzenleme olduğu gerçeği hem teoride hem pratikte daha yolumuzun uzun olduğunu göstermektedir. I. ULUSLARARASI 12-14 Kasım 2021 KİŞİSEL VERİLERİ KORUMA KONGRESİ 127 Bilgi Çağında İlgili Kişinin Bilgi Alma Hakkı ve ALBAYRAK AKDEVECİ ; Yargı İşlemlerinde Kişisel Verilerin Korunması KAYNAKÇA Ketizmen Muammer, Aslıhan Kart; Kişisel Verilerin Korunması Kanununun 17. Maddesi ve Yargıtay Kararları Doğrultusunda, Kişisel Verilerin Korunmasına İlişkin Suç Teşkil Eden Fiiller Açısından Uygulanacak Norm Hakkında Değerlendirme; KHM Cilt 1, Sayı 2, 2021 Koca Mahmut, İlhan Üzülmez; Türk Ceza Hukuku, Özel Hükümler; Ankara, Adalet Yayınevi; 2020 Küzeci Elif; Kişisel Verilerin Korunması; Ankara, Turhan Kitabevi, 2010 Özbek Veli Özer, Koray Doğan, Pınar Bacaksız; Türk Ceza Hukuku, Özel Hükümler; Ankara, Seçkim, 2021 128 12-14 Kasım 2021 KİŞİSEL VERİLERİ KORUMA KONGRESİ I. ULUSLARARASI Bilgi Çağında İlgili Kişinin Bilgi Alma Hakkı ve I. ULUSLARARASI 12-14 Kasım 2021 KİŞİSEL VERİLERİ KORUMA KONGRESİ 129 Bilgi Çağında İlgili Kişinin Bilgi Alma Hakkı ve Bilgi Çağında İlgili Kişinin Bilgi Alma Hakkı ve 130 KİŞİSEL VERİLERİ KORUMA KONGRESİ 12-14 Kasım 2021 I. ULUSLARARASI 2I.. UULLUUSLARARASI 16 1-21-174KKaassımım 2200231 KİŞİSEL VERİLERİ KORUMA KONGRESİ BilgiSÇeanğdıinkdaalaİrlgveiliKKişiişsienliVneBrilMgiaAhlrmema iHyeatkikı ve Hatice Duygu ÖZER* Ticari Sır Çatışması IŞ.ehGriibrainşİpek Aşıkoğlu* KÖiZşisel verilerin korunması, tüm hukuk dallarında olduğu gibi işçinin korunmasını ÖtGeümzenelüllimkallüaeznddieşijviatekaısllolıtseyckainhl agozülolvajeirnn, iblniükyhgüueklkişvumekruei,sainçyeılsesınnebdliearlrniikndtaeinbtküeiryşnüiseketilö, nüveçemrbieoiysşaulehtmliupeyyaefznaıaiclbıilyiarerat,lleyaranipndaiınry. dzeekâarvtteığbıukluutşkteuksnuozldoujirle(rHi ielkeimtetleikrle6n3e2n vddö)r.düSnocnü dsöannaeymiddeevkriişmisielürveetirmiledreinn töüzkeeltliimklee bteidreayriskelziinşchiruinkiunkhuerbaaşkaımmaınsıdnadna edtkeği egrölesntedrmirielmkteesdiinr.inBuyaeptkılidiılğeıhıazklaadgeemlişikençtaelkışnmolaoljair, agrettmirmakitşadoılrd.uBğuuçbaillışgmi avdeaailsgeı, kilieşisienlsvanerlailreır,gteorpidlue işbıhruakkmukauktbaodyıru. tuGyelraçeelketeanlındaecabkilvgei dçaeğğıenrdleandbiürymüeklevreimriizhdaecismen, dhiıkzalvöergçüeştlietlnikmöezveellvikerlei rkioyrleumanaıylamoadkataklvaneıldaecvakbtiırr. bellek olarak çalışırken; aynı zamanda insan hayatının her noktasında etkisini göstermektedir. KBiişlgisie, lbevleleriklervien alkgoır, uinnsmaanslıığıanmvaacrılyığlaındmaenvzituibaatırmenızheçreşzitalmi adnüzilegnileçmekeilceir byirapkmonışu, boulmubşatğulra.mİdnasanullıuğsınlarbareallseıkhüuzkeurkintaekianklaumrallalanrdaırmpaaraçlealbablairrı şseükrieldrkeenk,iştieseklnovleorjiilneirni Bsvvakyyıneeüoaunrrrlkrnıaiiaufülllşlteenaammırrmlrn,mdılvödşüaaeanıslnrsüoeıömıklmbzadileilıseuiraşlenritğnn,ıvedurıibn.eebtiredBbirçinlaesuiaukaiylbıelildsşiişenırmelnkreeviiiıyşnnaşfllleibekeaksnneoenrielmşlindllievugstıeerğeeimmşsrlilinaiiuvslakrezetyiçerllşraaaadiiolrllibgıleelışamöarrbmrieğraanielaşbkkakiıknhrmpkoiatharşrıkıeluiranıslnşknaedoısmmrloaliabnlvvaınaizees,drarısavaiseaklçhoeenlırtanrakdei,numsissökııçikonaszaırdkeveuükaltedmayuknidelrivlimlaıutetireleğl.rillamiaşiiÖnrtkriıüeeazlrnilr.etiaeKlaleoitbngşnmlimkişseiteittitseruaniürelytsiivlumakilsemvnlltamrieeiinkkrşlmueiliilaşorşşiertdiinlruıssaiiineerrnnnıll.. Soelunşdtuikraml aökrgtaüdtılre.nBmierehyalekrkeı, tiaşnilıinşmkiısşinodleançahlıaşaknlalra,railtgainliınkainşiyene övneerimilşilhemakelafradaalniydeırti.nBiun huakkuıknakuuyllgaunnımluığnuınnukidşeisneeltvlemrileervine kkoişriusnelmvaesrıiblearğilaümzeırninddaeokritakyoançtırkoalrüddığeıvsaomnuiçmlakrâinkıi avnerambeakşltıekdairl[t1ı]n. dKaişeilseeal lvınearibleilriirn. Bkuonrulanrmdaansıilmkie,v“zseunatdıikapüsyaemliığnindae iblişlgkinalvmerainhiankikşıv,evrerni staorraufmınlduasnuniaşlgeentmirielsmi”işsoülraencianyedıinlilşaktminadiyr.ükTüomplluülüişğühuvkeuilkguilimkeişvizyueatteımsisızeddailmseinşdoilkaanl kbiaşğilsaenltvıenrieldereeneiyrlieşimayrhıamkckıılıkkapysaapmılmındasaıninaceklaernşeı bdilüezceenklteinr[2m].enin bulunması, sendika üyeliğinin özel nitelikli kişisel veri sayılmasıyla da uyumludur. Çalışmamızda, Kişisel VKeişriisleerlivneKriolerurinnmhuaskıuKkainbuonyuutvuekGişeinliekl VhaekrikKı,omruümlkaiyTeützvüeğfüikkraipmsaümlkıinydeat tmeoarhirleermi aiylteıtnindae ötanretımşılırvkeernil[e3n]; vseerni idşilkeameümyeelitğoitlaorlıgvuesubnuuanlanTdüargkelvişetiryilambaişnocılanülaklegouriytmguallaamr iasleartıincadrai hgearyçaetktaleöşnenemvelirbi irhrlaelklearbieitnacrealceınoelcaerkatkird. eğerlendirilmektedir. Yeni ekonominin yapı taşı olan veriden en optimal düzeyde yararlanma amaçlı yoğun yatırımların yapıldığı dijital dssboÇh“sÖvoKaoetüüuaroğrrrynsigluuimşlıuyülüaşimemssmaknatcueüdtlmleliuauaökk(Vmesal,nItuulesLikeeaırkınrzOa.mliulbıgaNraUn)nailor’rıinrtyınrhfapiiügiamikatşkrnumncyıiormenclaeibaahkektcmallm,alaiteaekAıznmranrütıkıi.varlnezKıkrldoscKmauoimıelvmyrVpadak.eeıraluı,KntaaşB”vKukdrKhoıeuuyoaanlkrgydnkıikakuanuilsarsarialeğşpşeaırçpyınul,ımsmaesia,c’vlamn“aımasıemsşziöd,eenmaıstzadnniel1macçadednr0aışiaakdep8rmkdstimir+aatokseeslnetaaansılynıkrknlaasnalaiydtirıarşablııirdaainldkiiısınşnaınaıaeSlnreiıelt.töknadvkvizivveilşkeloğiseieoşrisrirkşykiureimlouesileknninnrikemvşifmsaenibieaişsrridalsvekailesegılero,inırıihrUaevatnulasaneralinylaucrtlmoieaisisklrılbnleaöliinaeiğşrlrrdlaiihriinannrnarareılbikdknainkğaikesklkiıodeıgöotıÇrreöamzliiunmlarrneemıgetllenııavleşşviadynmmykesaaveilırnnneaae”ri Tkoeknnuosuloyjiakpıglaeclaişkmtıre.ler ışığında kanun koyucuların artan şeffaflık beklentisine tezat bIIir. Sşeeknidldiekavevrei VsoerruimKluolraurım, baüyyaüİklivşkeriinuKygauvlraammaslaarlınÇınerççaelvışema prensiplerine ilişkin 1D*Şa.elıSh,rİeisbntaanndbİipukel kÜaAnivşvıekerosKğitleuos,iAnSrofaesşytdıarlmeBariGlaimsöryleevor lEinsnisİKtsittaüansvüburÖlazÜemnl iHvleuarksruiıtkesDi oHkutokruakPFraokgüraltmesıi,ÖAğvrreunpcaisBi irliği Hukuku Anabilim Toplu iş hukuku sistemimiz, sendika ve üst kuruluş olan konfederasyon yapılanmasına vg[[O12eöc]]arTMBkeoie2lşgps0eui1lktua8iÇl,mlİelsşea.knS8ihn8öma, kzAkilvşıerntuşıipmnra.eKeBrisişoirilmnKiğfaiheaHndkuuekkrnıunaukdsuay(ynoRlaanGyM,r.ıyu0oükl7adry.uü1eğsr1uel.ünl2iakO0it1lleiaş2krka,iikn2k86ba64kn9z6u8.0SnS)aaunmymdılr.ıa2uKW/zi1şaoi-sclfehal’dtneVere,6,rBi“3lDre5er6nientğsMKiaşoyiitrkıtuelınilsşmStkaeaodnstlı,ldKaLiraukıncnauialdnanuaor, eFnloraidzi, b“eWşhsyenadRikigahnt ıtno Ebxirplanraatyioan goefleAruetkomoaltuedştuDredciusikolna-MrıatküinzgelDkoieşsilNiğoet sEaxhisitpinkuthreulGueşn”eroallaDratka tParonteımctiloannRmegıuşltaıtri.onH”,eIrntenrenaktiaondaalrDkatoanPfreivdaecryaLsaywo,n20ü17s,ts.k1u6r-1u9l.uş niteliğinde olsa da, sendikal h*[H3dDü]osozİeelçygre@ininltierCDtzaairnr.n,tcıEaAşrnmzk.ieasndolcauyar.,ntriK,BçhiiişndnioasblzeieklYrzV2ıK.l4edE@rıİrilŞglıiemmfİrSiKaÜniElün.KcLzioveomecrVrius,,iEOntKemIRRsi.iCaşİHUisİLsDıue,LEk:lAUu0RVn0keS0kİFr0LaiaK-rlk0Aeaü0Or,R0liÇtn2ReAa-sK6iUk,R3moİ4MşrA2auv-kASen61mYIS7Koaa2sys.Oyııan,NleAGvGnüi,kvR2ean0Eral1iS,k0İT,Husu.rkh8ua5kn.uKAintaabbielvim1i2,-D1240alK1ı,8aEs,ı-msP.o26s0t22a1;: 1321 Bilgi Çağında İlgili Kişinin Bilgi Alma Hakkı ve ÖZER ; Sendikalar ve Kişisel Veri Mahremiyeti örgütlenmenin ana aktörü olarak sendikalar kabul edilmektedir. Sendika ise, anılan kanunda, “İşçilerin veya işverenlerin çalışma ilişkilerinde, ortak ekonomik ve sosyal hak ve çıkarlarını korumak ve geliştirmek için en az yedi işçi veya işverenin bir araya gelerek bir işkolunda faaliyette bulunmak üzere oluşturdukları tüzel kişiliğe sahip kuruluşlar” olarak tanımlanmıştır. Sendikanın toplu iş sözleşmesi imzalama yetkisinin olması, sendikaları konfederasyonlardan daha önemli bir konuma getirmektedir. 2. Sendika Üyeliği ve Özel Nitelikli Veri Bağlantısı KVKK m.6’da hangi kişisel verilerin özel nitelikli veri olduğu sınırlı sayı esasına göre belirlenmiştir. Özel nitelikli verinin tanımı Kanun'umuzda açıkça yapılmamış, hangi verilerin özel nitelikli olduğu sayma yoluyla belirlenmiştir (Yamakoğlu 789). Anılan düzenlemeye göre, “Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veri” olarak kabul edilmiştir. Özel nitelikli kişisel veriler, bireyin temel hak ve özgürlükleriyle ilgili olarak işlenmesi halinde yüksek riskler doğurabilecek veriler olarak kabul edilir (Şenocak 33). KVKK’nın ilgili maddesinin gerekçesinde ifade edildiği üzere, özel nitelikli kişisel veriler öğrenilmesi halinde ilgili kişi hakkında ayrımcılık yapılmasına veya mağduriyete neden olabilecek nitelikteki verilerdir. Bu nedenle, diğer kişisel verilere göre çok daha sıkı şekilde korunmaları gerekmektedir2. AB ve diğer ülkelerin veri koruma mevzuatlarında da yer alan bu ayrım, ülkemizdeki düzenlemeye paralel niteliktedir. Örneğin, Avrupa Genel Veri Koruma Tüzüğü3 m.9/1’de, “ Irk veya etnik köken, siyasi görüşler, dini veya felsefi inançlar ya da sendika üyeliğinin ifşa edildiği kişisel verilerin işlenmesi ve bir gerçek kişinin kimlik teşhisinin yapılması amacıyla genetik veriler ile biyometrik verilerin, sağlık ile ilgili verilerin veya bir gerçek kişinin cinsel yaşamı veya cinsel eğilimine ilişkin verilerin işlenmesi yasaktır.” ifadelerine yer verilmek suretiyle benzer bir düzenleme yapılmıştır. Sendika üyeliğine ilişkin veriye örnek olarak, “bu üyeliği belgeleyen bilgiler” verilmiştir (Georgieva and Kuner 375). Sendika üyelik başvurusu, “Sendika Üyeliğinin Kazanılması ve Sona Ermesi İle Üyelik Aidatının Tahsili Hakkında Yönetmelik” (RG. 09.07.2013, 28702) m.5’deki hüküm gereği, “Sendika üyelik başvurusu, işçi tarafından e-Devlet kapısı üzerinden yapılır. Üyelik bildirimi elektronik ortamda eş zamanlı olarak Bakanlığa ve sendikaya ulaşır.” şeklinde yapılmaktadır. Dolayısıyla hem sendika hem de Bakanlık bu veriyi işlemiş olmaktadır. Hatta maddenin devamında, “Üyelik başvurusunun haksız bir nedenle reddedildiğini iddia eden işçi, beşinci fıkrada belirtilen bildirimin tebliğinden itibaren otuz gün içinde mahkemede dava açabilir.” hükmü gereği bazı durumlarda bu bilgiyi mahkemeler de işlemiş olmaktadır. Sendika üyeliğini özel nitelikli veri olarak kabul eden GVKT’den önceki düzenleme ise, 95/46/EC sayılı Avrupa Parlamentosu ve Konseyi Yönergesidir4. Anılan düzenlemenin 8/1. maddesine göre, “Üye Devletler, sağlık durumuna veya cinsel yaşama ilişkin verilerin işlenmesini ve sendika üyeliğini, dini veya felsefi inançları, siyasi görüşleri, ırk veya etnik kökeni açıklayan kişisel verilerin işlenmesini yasaklayacaktır.” 2 KVKK Rehberi- Özel nitelikli kişisel Verilerin İşlenme Şartları, chrome-extension://efaidnbmnnnibpcajpcglclefindmkaj/ https://kvkk.gov.tr/SharedFolderServer/CMSFiles/0ef45a05-ac30-4f35-bc4b-3b2cbefc9864.pdf, s.1, erişim tarihi, 02.11.2023. 3 2016/679 sayılı Direktif. (GDPR). AB Genel Veri Koruma Tüzüğü 25.05.2018’de yürürlüğe girmiştir. 4 Kişisel Verilerin İşlenmesi ve Serbest Dolaşımı Bağlamında Bireylerin Korunmasına İlişkin 24.10.1995 tarihli yönerge, 1998 tarihinde yürürlüğe girmiştir. 132 12-14 Kasım 2021 KİŞİSEL VERİLERİ KORUMA KONGRESİ I. ULUSLARARASI Bilgi Çağında İlgili Kişinin Bilgi Alma Hakkı ve K.V.K.K. 2. ULUSLARARASI KİŞİSEL VERİLERİ KORUMA KONGRESİ 108 sayılı Kişisel Verilerin Otomatik İşleme Tabi tutulması Karşısında Bireylerin Korunmasına İlişkin Avrupa Komisyonu Sözleşmesi’nin5 6. maddesinde özel nitelikli kişisel veriler düzenlenmiş olmakla birlikte, bunlar, ırksal köken, siyasal görüş, dinsel ya da diğer inançlar, sağlık ve cinsel yaşam, ceza mahkumiyeti olarak sayılmış, sendika üyeliğine yer verilmemiştir. 108 sayılı Sözleşmenin güncellenmiş versiyonu olan ve 108+ olarak anılan Sözleşme6 ise, özel nitelikli kişisel verilerin kapsamını genişleterek, sendika üyeliğini de bunlar arasına eklemiştir7. ILO tarafından hazırlanan Kişisel Veri Uygulama Kodu8’nda da yasal metinlerde ya da toplu sözleşmede aksine bir düzenleme olmadıkça, işçinin sendika üyeliği veya sendikal faaliyetleri hakkında işvereni tarafından bilgi toplanmaması gerektiği vurgulanmıştır (Gürsel 186). Anılan düzenlemenin 6.6. maddesine göre, “Sendika üyeliği ile ilgili olarak, işverenler, sendika aidatlarının kontrolüne ilişkin hükümlere uymak, işçi konseylerinin çalışmasına izin vermek, yasal bir bilgi verme yükümlülüğünü yerine getirmek ve benzerleri için gerekli olması halinde, bir işçi kuruluşundaki üyelik veya faaliyetler hakkında veri toplayabilir.”9 Görüldüğü üzere, diğer veri koruma metinleri gibi KVKK m.6’da da “sendika üyeliği” nin özel nitelikli veri olduğu belirtilmiştir. Sendika üyeliğinin özel nitelikli kişisel veri olarak kabul edilmesindeki temel gerekçe, işverenin sendika üyesi olma/olmama durumunu ayrımcılığa yol açacak şekilde kullanabilme olasılığıdır10. Nitekim pozitif/ negatif sendikal özgürlüğün korunması ve ayrımcılığa karşı, 6356 sayılı Kanun’da da özel düzenlemeler bulunmaktadır. Ancak unutmamak gerekir ki, sendikal ayrımcılık sadece “sendika üyeliği” ile sınırlandırılmaması gereken bir durumdur. Sendikal ayrımcılığa karşı korumayı düzenleyen STİSK m.25’de, sadece sendika üyeliği değil, “sendikal faaliyette bulunma” durumu da, 3. fıkrada, “İşçiler, sendikaya üye olmaları veya olmamaları, iş saatleri dışında veya işverenin izni ile iş saatleri içinde işçi kuruluşlarının faaliyetlerine katılmaları veya sendikal faaliyette bulunmalarından dolayı işten çıkarılamaz veya farklı işleme tabi tutulamaz.” şeklinde ele alınmıştır (Sendikal faaliyetin sendikal güvence kapsamında olduğu yönünde, Baskan 112, Ocak ve Duman 41). Sendikal faaliyetin açık bir tanımına kanunumuzda yer verilmemiştir. Yargı kararlarında karşımıza çıkan şu örnekler, sendikal faaliyet kavramını somutlaştırmaktadır; sendika 5 1981,https://inhak.adalet.gov.tr/Resimler/Dokuman/2712020140848108_tur.pdf, erişim tarihi, 09.11.2023. 6 18.05.2018’de Avrupa Konseyi Bakanlar Komitesi tarafından kabul edilmiştir. 7 Bkz. m.6. “Aşağıdakilerin işlenmesine: – genetik veriler; – suçlara, ceza davalarına ve mahkûmiyetlere ve ilgili güvenlik tedbir- lerine ilişkin kişisel veriler; – bir kişiyi benzersiz şekilde tanımlayan biyometrik veriler; - Irk veya etnik köken, siyasi görüşler, sendika üyeliği, dini veya diğer inançlar, sağlık veya cinsel hayatla ilgili olarak ifşa ettikleri bilgilere ilişkin kişisel verilere, yal- nızca bu Sözleşmedekileri tamamlayan uygun güvencelerin kanunda yer alması durumunda izin verilecektir.” https://rm.coe. int/convention-108-convention-for-the-protection-of-individuals-with-regar/16808b36f1, erişim tarihi 02.11.2023. 8 ILO Code of Practice, (1997), “Uygulama Kuralları” olarak anılan düzenleme, kamu yetkilileri, işverenler, işçiler, işletmeler ve kuruluşlar (işletme güvenliği komiteleri gibi) için pratik yönergeler ortaya koymaktadır. Bunlar yasal olarak bağlayıcı belgeler değildir ve ulusal yasa veya düzenlemelerin hükümlerinin veya kabul edilen standartların yerine geçmeyi amaçlamazlar. Uy- gulama Kuralları belirli ekonomik sektörlere odaklanabilir veya belirli konuları, tehlikeleri veya sağlık ve güvenlik önlemlerini ele alabilir. Farklı konularda hazırlanan ILO Uygulama Kurallarından biri de “Çalışanların Kişisel Verilerinin Korunması” başlıklı olandır. Bkz. https://www.ilo.org/empent/areas/business-helpdesk/codes-of-practices/lang--en/index.htm, erişim tari- hi 02.11.2023. 9 Protection of Workers’ Personal Data, An ILO code of practice Geneva, International Labour Office, 1997, c hrome-exten- sion://efaidnbmnnnibpcajpcglclefindmkaj/https://www.ilo.org/wcmsp5/groups/public/---ed_protect/---protrav/---safework/ documents/normativeinstrument/wcms_107797.pdf,s.16, erişim tarihi 02.11.2023.. 10 İngiltere’de yapılan bir araştırmada, kanun koyucunun özel nitelikli veri algısı ile bireylerinkinin farklı olduğunu hatta sen- lfiisntKaennİsinaŞlİsvoSenrEi,sLısraağVlalımEk avIRse.ırİnUiLsdiLaEkUsiRşaidSsİeeLlcKeiAleOktRaişRtAiımlUımRvMcAeırliAaSlreIırnKi i%lOk3sN3ı’rüGaltaRarrdaEafıSbnuİdlaunnmhaasksatasdvıerr(iKoa1lya2ar-a13k42K1al)ag.sıılman2d0ı2ğ1ı dika üyeliğine ilişkin verinin tespit edilmiştir. Aynı ankette 133 Bilgi Çağında İlgili Kişinin Bilgi Alma Hakkı ve ÖZER ; Sendikalar ve Kişisel Veri Mahremiyeti lehine propaganda yapılması, bildiri dağıtılması, yasal greve katılma (Sur 55)11, basın toplantısına katılma12 hatta sendika üyesi olmayan bir işçi tarafından henüz kurulmamış bir sendikanın örgütlenmesi için organizasyon düzenlemek dahi sendikal faaliyet olarak kabul edilmelidir (Boydak 498). Gerek toplu iş hukuku gerekse bireysel iş hukuku düzenlemelerimizde sendikal güvence kapsamında sendika üyeliğinin yanı sıra, sendikal faaliyetlere katılmanın da korunduğu görülmektedir. Örneğin İş Kanunu m. 18/3’de, sendika üyeliğinin yanı sıra sendikal faaliyetlere katılmak da iş sözleşmesinin işverence geçerli feshi olarak kabul edilmemektedir. Hatta sendikal güvencenin ceza hukuku boyutuyla sağlandığı TCK m.118’de, “bir kimseye karşı bir sendikaya üye olmaya veya olmamaya, sendikanın faaliyetlerine katılmaya veya katılmamaya, sendikadan veya sendika yönetimindeki görevinden ayrılmaya zorlamak amacıyla, cebir veya tehdit kullanan kişinin altı aydan iki yıla kadar hapis cezasıyla cezalandırılacağı” hükmüne yer verilmiştir. Görüldüğü üzere, sendikal güvenceye yönelik düzenlemeler sendika üyeliğinin yanı sıra, sendikal faaliyeti de kapsamaktadır. Bu durumda kanaatimizce, ilgili kişinin sadece sendika üyesi olup olmadığı değil, sendikal faaliyette bulunup bulunmadığına ilişkin veri de ayrımcılığa sebebiyet vereceğinden (Şekerbay 105), özel nitelikli kişisel veri olarak kabul edilmelidir. Veri koruma mevzuatında ise sadece sendika üyeliğinin özel nitelikli kişisel veri olarak kabul edilmesinin gerekçesini ise sendika faaliyete ilişkin bilginin içinde sendika üyesi olup olmamayı da barındırdığı şeklinde yorumlanabilir. Nitekim bu konuda, “sendika üyeliğini ortaya koyan veri” teriminden, sadece doğası gereği hassas bilgi içeren bir veriyi değil, aynı zamanda kişiye ilişkin hassas bilgilerin de çıkarılabileceği verileri anlamak gerektiği görüşü yaygınlaşmaktadır. Bu konuda ayrıca belirtmek gerekir ki, İsviçre Federal Veri Koruma Kanunu'nda sendika üyeliği ifadesi değil, “sendika ile bağlantılı görüş ve faaliyetler” ifadesi kullanılmıştır (Art. 5-c-1)13. Yeni tarihli Çin Veri Koruma Kanunu’nda ise, hassas veriler arasında sendika üyeliği ya da sendikal aidiyet gibi bir düzenleme bulunmamaktadır14. III. Sendikal Verinin İşveren Tarafından İşlenmesi 1.Genel Olarak Özel nitelikli verilerin daha temkinli bir şekilde işlenmesi gerektiği, hem KVKK hem de diğer uluslararası düzenlemelerde kabul edilmiştir. Bu bağlamda örneğin 95/46 sayılı AB Yönergesi m.8/2’de, hassas verilerin işlenebilmesi için gereken istisnalara yer verilmiştir15. Bu istisnalardan ikisi inceleme konumuzla bağlantılıdır. İlki, veri 11 Sendikanı düzenlediği pikniğe katılma ile ilgili olarak bkz. Yar. 9. HD. 27.02.1995, 17383/5947, lexpera.com. 12 Yar. 9. H. D. , 25.06.1998, 9290/10962, lexpera.com. 13 Bundesgesetz über den Datenschutz, vom 25. September 2020 (Stand am 1. September 2023), https://www.fedlex.admin.ch/ eli/cc/2022/491/de, erişim tarihi, 10.11.2023. 14 Personal Information Protection Law of the People’s Republic of China – Effective Nov. 1, 2021 Art. 28, https://digichina.stanford.edu/work/translation-personal-information-protection-law-of-the-peoples-republic-of-c- hina-effective-nov-1-2021/, erişim tarihi 10.11.2023. 15 Buna göre, ilgili kişinin açık rızasının bulunması, istihdam kanunu alanında, denetleyicinin yükümlülüklerini ve özel hakla- rını yerine getirme amacı için gerekli olduğunda, veri öznesinin rızasını vermesinin fiziksel veya yasal olarak elverişsiz olduğu durumda, diğer bir kişinin veya veri öznesinin hayati menfaatlerini korumak için gerekliyse, işleme; ilgili kişi rızası olmaksızın verilerin üçüncü şahıslara açıklanmadığı ve işlemenin yalnızca amaçlarıyla bağlantılı olarak düzenli iletişimde oldukları kişileri veya kuruluş mensuplarını ilgilendirmesi koşuluyla bir vakıf, dernek veya siyasi, felsefi, dini veya ticaret birliği amaçlı başka bir kar amacı gütmeyen kuruluş tarafından uygun teminatlı meşru faaliyetler esnasında yapılırsa, ilgili kişi tarafından açıkça halka duyurulan verilere ilişkinse ya da kanuni hakların tesisi, yerine getirilmesi veya savunulması için gerekliyse, özel nitelikli 134 12-14 Kasım 2021 KİŞİSEL VERİLERİ KORUMA KONGRESİ I. ULUSLARARASI Bilgi Çağında İlgili Kişinin Bilgi Alma Hakkı ve K.V.K.K. 2. ULUSLARARASI KİŞİSEL VERİLERİ KORUMA KONGRESİ işlemenin, istihdam kanunu alanında, denetleyicinin yükümlülüklerini ve özel haklarını yerine getirme amacı için gerekli olduğu durumdur. Sendikalar hukuku mevzuatında da işverenlere tam da bu yönde yasal bir yükümlülük getirilmiştir. İkinci istisna ise, ilgili kişilerin rızası olmaksızın verilerin üçüncü şahıslara açıklanmadığı ve işlemenin yalnızca amaçlarıyla bağlantılı olarak düzenli iletişimde oldukları kişileri veya kuruluş mensuplarını ilgilendirmesi koşuluyla bir vakıf, dernek veya siyasi, felsefi, dini veya ticaret birliği amaçlı başka bir kar amacı gütmeyen kuruluş tarafından uygun teminatlı meşru faaliyetler esnasında yapılması durumudur16. Bu istisna, işveren için olmasa da sendika için uygulama alanı bulacak ve yukarıda incelediğimiz sendika veya dayanışma aidatı ödemeye ilişkin verinin toplanması ve işverene aktarılması durumunda kullanılacaktır. GVKT’ye bakıldığında ise, yukarıda incelediğimiz Yönerge’deki düzenlemelere benzer bir şekilde, “ilgili kişilerin temel hakları ve menfaatlerine yönelik uygun güvencelerin sağlandığı bir toplu sözleşme çerçevesinde izin verildiği sürece, kontrolörün veya ilgili kişilerin istihdam ve sosyal güvenlik ve sosyal hukuku koruma alanındaki yükümlülüklerinin gerçekleştirilmesi ve spesifik haklarının kullanılması amacıyla işleme faaliyetinin gerekmesi” durumu yasağa istisna tutulmuştur. Böylece işverene sadece kanunlarla getirilen zorunlulukla sınırlı olmayıp, toplu iş sözleşmesiyle de getirilen yükümlülüklerinin gerçekleştirilmesi için de işverence sendikal veri işlenebilecektir. Öte yandan, GVKT’de, özel nitelikli verilerle ilgili olarak bir yenilik mahiyetinde Gizlilik Etki Değerlendirmesi yapılması zorunluluğundan bahsedilebilir17. Sonuç olarak, veri koruma mevzuatlarının ortak kabulü, özel nitelikli veri olsa da sendika üyeliğine ilişkin verilerin işveren tarafından işlenmesinin tamamen yasaklanamayacağı, bu tür veri işlemenin çalışanların istihdam ilişkisindeki daha zayıf konumlarını dengelemek için belirli ilkelere saygı gösterilmesini gerektirdiği yönündedir18. Dolayısıyla sendika üyeliğine yönelik veri, işveren tarafından gerekli olduğu durumlarda işlenebilecektir. Bu noktada sendika üyeliğine dair verinin iş ilişkisinde işveren tarafından işlenmesinin neden gerekli olduğu sorusunun yanıtlanması gerekir. Aşağıda bu durumlar ayrı başlıklar altında ele alınmıştır. 2. Aidat Kesintisi Yapma Yükümlülüğü Sendika üyeliğine dair verinin iş ilişkisinde işveren tarafından işlenmesi açısından akla gelen ilk gereklilik, işverenlerin sendika üyesi olan işçilerine ait sendika üyelik aidatlarını keserek, ilgili sendikaya ödeme yükümlülüğünden kaynaklanmaktadır (Uncular 51). Dolayısıyla işverenin işçisinin sendika üyesi olup olmadığı hususundaki bilgiye ihtiyacı vardır. Diğer bir deyişle, işverenin, KVKK m.5/2-ç’de yer alan veri işleme şartlarından olan, “Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması” şartına dayanarak kişisel veriyi işlemesi mümkündür. Ancak 5. maddede sayılan veri işleme şartları özel nitelikli olmayan verilere özgü olduğundan, özel nitelikli veri olarak kabul edilen sendika üyeliğine ilişkin bilginin KVKK. m.6’daki veri işleme şartlarına göre işlenmesi gerekmektedir. KVKK m.6/3’e göre, “Birinci fıkrada sayılan sağlık ve verinin işlenme yasağı uygulanmayacaktır. 16 Belirtmek gerekir ki, aynı düzenlemeye GVKT. m.9/2-d’de de yer verilmiştir. 17 GVKT.m.35/3-b’de, “…özel kategorilerdeki verilerin veya 10. maddede atıfta bulunulan mahkumiyet kararları ve ceza ge- rt18uektPutrilrmoetnuecşsttuuioçrn.laAoryafrWiılnioştıkrkiiçneirnks’ibşPkisezer.slKovnüeKazriellcDİeirŞai2ntİ8aS9,b)Esü..1yLü6.kVçEapIRlı. İoULlaLEraURk SiİşLlKeAnOmReRAsiUnRdMeA”ASveIrKi kOorNumGaReEtkSi İdeğerlendirmesi yapmak zorunlu 12-14 Kasım 2021 135 Bilgi Çağında İlgili Kişinin Bilgi Alma Hakkı ve ÖZER ; Sendikalar ve Kişisel Veri Mahremiyeti cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir.” O halde işverenin sendika aidatını ödeme yükümlülüğü, “kanunlarda öngörülen hâllerde”n biri olduğundan, işverence ilgili kişi işçinin açık rızasına gerek olmaksızın işlenebilecektir. STİSK. m.18/2’ye göre, “Üyelik ve dayanışma aidatları, yetkili işçi sendikasının işverene yazılı başvurusu üzerine, işçinin ücretinden kesilmek suretiyle ilgili sendikaya ödenir.” Bu yükümlülüğün işveren nezdinde geçerli olabilmesi için işçi sendikasının işyerinde yetkili sendika olması ve ayrıca işçi sendikasının üye listesini işverene vermiş olması gerekir. O halde, aslında işverenin işçisinin sendika üyesi olduğu bilgisini doğrudan işçiden değil, işçi sendikasından alması gerekir. Bu durumda işçinin kişisel verisi, veriyi işleyen sendikasından işverene aktarılmış olmaktadır. Uygulamada bazen işyerinde yetkili olmayan sendikanın aidatlarını da işverence kesip sendikaya göndermeyi üstlendiği örneklere rastlanılmaktadır (Ekmekçi 145). Bu durum, kanunlarda öngörülen hallerden olmadığından, işçinin açık rızasının alınması isabetli olacaktır. Sendikal aidat ödenmesi hususunda bir başka örnek de, 4688 sayılı Kamu Görevlileri Sendikaları ve Toplu Sözleşme Kanunu uyarınca sendika aidatı ödenmesi durumudur. Anılan Kanun’un 25/1. maddesinde şu hüküm bulunmaktadır; “Kamu görevlileri sendikasına, kamu görevlisinin ödeyeceği üyelik ödentileri, 14 üncü madde çerçevesinde doldurulan üyelik başvuru formuna ve sendika tüzüğünde belirtilen aylık ödenti tutarına göre kamu işverenince aylığından kesilerek beş gün içinde sendikaların banka hesaplarına yatırılır ve ödenti listesinin bir örneği ilgili sendikaya gönderilir. Kamu işvereni, sendikaya üye olan ve üyelik ödentisi kesilen kamu görevlilerinin listesini her ayın son haftasında, işyerinde herkesin görebileceği yerde ve kurumsal düzeyde duyurulabilecek diğer araçlarla ilan eder.” Görüldüğü üzere, işçilerin sendikal örgütlenmelerindekine benzer bir şekilde kamu görevlilerinin sendikal örgütlenmelerinde de işverene aidat kesme yükümlülüğü getirildiğinden, kamu işvereninin de personelinin sendika üyesi olup olmadığı hakkında veriye kanunlardaki düzenlemeler gereği ihtiyacı vardır. İşçi sendikalarından farklı olarak kamu görevlisi sendikalarında, işverenin aidat kesme yükümlülüğü hizmet kolunda yetkili sendika olma şartına bağlı değildir (arıcı 205). Kamu görevlilerine ilişkin mevzuat hükmünde işçi sendikalarından farklı bir düzenleme bulunmaktadır. 25. maddenin devamında yer alan, “Kamu işvereni, sendikaya üye olan ve üyelik ödentisi kesilen kamu görevlilerinin listesini her ayın son haftasında, işyerinde herkesin görebileceği yerde ve kurumsal düzeyde duyurulabilecek diğer araçlarla ilan eder.” hükmü kamu görevlisinin sendika üyeliğine yönelik verisinin işverence işlenmesinin ilginç bir örneğini oluşturmaktadır. İlgili maddeye 2004 yılında eklenen hüküm (24/6/2004-5198/4 md.) daha sonra tekrar değiştirilmiş ve 4/4/2012 tarihli ve 6289 sayılı Kanun’un 17. maddesiyle, bu fıkraya “işyerinde herkesin görebileceği yerde” ibaresinden sonra gelmek üzere “ve kurumsal düzeyde duyurulabilecek diğer araçlarla” ibaresi eklenmiştir. Kamu işvereninin sendika üyelik aidatı kesme yükümlülüğü kanunlarda öngörülmüş olmakla birlikte, işverenin sendikaya üye olan ve üyelik ödentisi kesilen kamu görevlilerinin listesini herkesin görebileceği yerde ilan etmesi kişisel verilerin işlenme ilkeleriyle bağdaşmamaktadır. Hatta daha sonraki tarihte, yapılan ekleme ile kurumsal düzeyde duyurulabilecek diğer araçlarla da ilan etme yükümlülüğünün getirilmesi, kişisel verinin otomatik yollarla işlenmesini daha etkin hale getirmiş olmaktadır. Bu nedenle kanaatimizce, bu düzenlemenin mevzuatımızdan çıkarılması isabetli olacaktır. 136 12-14 Kasım 2021 KİŞİSEL VERİLERİ KORUMA KONGRESİ I. ULUSLARARASI Bilgi Çağında İlgili Kişinin Bilgi Alma Hakkı ve K.V.K.K. 2. ULUSLARARASI KİŞİSEL VERİLERİ KORUMA KONGRESİ Dayanışma aidatı ödemek suretiyle toplu iş sözleşmesinden yararlanma hakkı, işyerinde çalışan ve sendika üyesi olmayan işçiler için STİSK m.39 ile getirilmiş bir haktır. Bu hakkın kullanılabilmesi için STİSK m.39/4 uyarınca işçinin işveren ya da sendikanın onayına ihtiyacı bulunmamaktadır. İşçinin işverene başvurusu yeterlidir (Şahlanan 448). Bu nedenle, işverenin dayanışma aidatı talebinde bulunanların isimlerini sendikaya verme yükümlülüğü bulunmamakta, sendikanın sadece dayanışma aidatı ödeyerek yararlanan işçi sayısını bilmesi onun için yeterli olmaktadır. O halde, işverenin dayanışma aidatı ödeyerek toplu iş sözleşmesinden yararlananların isimlerini sendikaya aktarması veri ihlali olarak nitelendirilmelidir. Bunun olmaması için işverenin aydınlatma yükümlülüğünü yerine getirmesi ve işçilerinin açık rızasını alması gerekir (Şekerbay 178). 3. Üye Olamayacakların Tespiti İşveren açısından çalışanın sendika üyesi olup olmadığı bilgisine ihtiyaç duyulan bir başka durum da, sendika üyesi olamayacakların belirlenmesi ile ilgilidir. 4688 sayılı Kanun’da yer alan 15. maddede, bazı kamu görevlilerinin sendika üyesi olamayacağı kabul edilmiştir19. Sendikal örgütlenme özgürlüğü bakımından eleştiriye açık olan bu düzenlemede, tarihsel süreçte yasak kapsamındaki kamu görevlilerinin sayısının gittikçe azaltıldığı20 görülmektedir. Bu hüküm kapsamında olan kamu görevlilerini çalıştıran işverenlerin maddede sayılan kişilerin üyelikleri hakkında bilgi sahibi olmaları da kanunlarda kendileri için öngörülen bir yükümlülük olduğundan, kamu işvereninin bu veriyi işlemesi ilgili kişinin açık rızasını gerektirmeksizin mümkün olacaktır. 4. İşverenin Veri İşlemesinin Sonuçları Yukarıda sendika üyeliğine ilişkin verilerin işverence işlendiği bazı durumlara değinildi. Sendika üyeliğine ilişkin bilginin işverence işlenmesinin veri ihlali olup olmadığının değerlendirildiği bir yabancı mahkeme kararına değinmek gerekirse, Esch-Leonhardt davasında CFI, Avrupa Merkez Bankası’nın bir çalışanının sendika bilgilerinin e-posta yoluyla iletilmesine ilişkin mektupların bu tür e-postaları gönderen görevlilerin kişisel 19 Bu Kanuna göre kurulan sendikalara; a) (Değişik: 2/7/2018-KHK-703/197 md.) Cumhurbaşkanlığı merkez teşkilatında, bağlı kurullarında ve Diyanet İşleri Başkan- lığı, Savunma Sanayi Başkanlığı ile İletişim Başkanlığı hariç olmak üzere bağlı kuruluşlarında, Millî Güvenlik Kurulu Genel Sekreterliğinde çalışan kamu görevlileri, b) Yüksek yargı organlarının başkan ve üyeleri, hâkimler, savcılar ve bu meslekten sayılanlar, c) Bakanlar, bakan yardımcıları, bu Kanun kapsamında bulunan kurum ve kuruluşların başkanları, genel müdürleri, (…) ve bunların yardımcıları, yönetim kurulu üyeleri, merkez teşkilâtlarının denetim birimleri yöneticileri ve kurul başkanları, hukuk müşavirleri, bölge, il ve ilçe teşkilâtlarının en üst amirleri ile bunlara eşit veya daha üst düzeyde olan kamu görevlileri, (…) be- lediye başkanları ve yardımcıları, d) Yükseköğretim Kurulu Başkan ve üyeleri ile Yükseköğretim Denetleme Kurulu Başkan ve üyeleri, üniversite ve yüksek tek- noloji enstitüsü rektörleri, (…) e) Mülkî idare amirleri, f) Silahlı Kuvvetler mensupları, g) (İptal: Anayasa Mahkemesi’nin 10/4/2013 tarihli ve E.: 2013/21, K.: 2013/57 sayılı Kararı ile.) h) Millî İstihbarat Teşkilâtı mensupları, ı) Bu Kanun kapsamında bulunan kurum ve kuruluşların merkezi denetim elemanları, j) Emniyet hizmetleri sınıfı (…) (…) , k) Ceza infaz kurumlarında çalışan kamu görevlileri, l) (Ek: 2/1/2017-KHK-682/36 md.; Aynen kabul: 31/1/2018-7068/36 md.) Jandarma Genel Komutanlığı ve Sahil Güvenlik Ko- mutanlığında görevli subay, sözleşmeli subay, astsubay, sözleşmeli astsubay, uzman jandarma, uzman erbaş, sözleşmeli erbaş ve sözleşmeli erler, üye olamazlar ve sendika kuramazlar. “20…Hfaaktütaltseodneokalanrlaakr,ı,AennastyiatüsavMe yaüKhkkİseeŞmkİeoSskiEnuilLnlar1Vı3n/E9m/IR2ü.0dİU2üL3rLElteaUrRriiShiİllLeiKbvAueOnRElR.aA:rU2ıRn0M2Ay3a/ASr9d2Iı;KmKcO.ı:la2Nr0ıG2,”3iR/b1a5Er6eSssiİaiypıtlaı lKeadrialmrı iişletirb.u1f2ı-k1r4adKaasyıemr 2a0la2n1 137 Bilgi Çağında İlgili Kişinin Bilgi Alma Hakkı ve ÖZER ; Sendikalar ve Kişisel Veri Mahremiyeti dosyasına dahil edilmesini 45/2001 sayılı Direktifin 5/c maddesine istinaden “gerekli” olarak görmüştür. Mahkeme bunun 45/2001 sayılı Direktifin 10/1 maddesi kapsamındaki sendika üyeliğini ortaya koyan bilgilerin işlenmesine ilişkin yasağı ihlal etmediğini zira bu durumun kişinin 10/d maddesi kapsamındaki istisna anlamında açıkça kamuya açıkladığı verilerle ilgili olduğunu tespit etmiştir21. İşverenin işçiye ait sendika üyeliğine ilişkin veriyi yukarıda sayılan durumlar ve koşullarda işlememesi ise, kuşkusuz veri sorumlusunun hukuki, idari ve cezai sorumluluğunu gerektirecektir. Hukuki sorumluluğunun hem STİSK uyarınca sendikal özgürlüğe aykırılık22 boyutu hem de KVKK, TBK ve TMK mevzuatları boyutu bulunmaktadır (İşverenin bu yönde ortaya çıkan sorumluluklarına ilişkin olarak bkz. Özer Deniz 373). IV. Sendikanın İşlediği Kişisel Veriyi Koruması 1. Sendikaların KVKK Bakımından Nitelikleri Sendikaların veri koruma hukukundaki hak ve yükümlülüklerini belirleyebilmek için öncelikle yapılması gereken, sendikanın KVKK’nın temel kavramları açısından yerini tespit etmek olacaktır. Bu durumda, sendikanın, veri sorumlusu, veri işleyen ve ilgili kişi olup olmadığı değerlendirilmelidir. Bu belirlemeyi yaparken, bir kişi ya da kurumun hem veri sorumlusu hem de veri işleyen sıfatına sahip olabileceği unutulmamalıdır. Bu nedenle, bir sendikanın, veri sorumlusu mu yoksa veri işleyen mi olarak kabul edileceği, sendikanın yaptığı veri işleme faaliyetinin amacı, veri işleme faaliyetinin ne zaman ve kim tarafından gerçekleştirileceği, veri işleme süresi gibi kararları kimin aldığı sorularının yanıtlanmasını gerektirmektir. Özel nitelikli veri olan sendika üyeliğine ilişkin verinin korunmasından kimin sorumlu olacağı bu veri işlemede veri sorumlusunun kim olduğu sorusunun yanıtlanmasını gerektirir. Veri sorumlusu, KVKK m.3'te, “Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi” olarak tanımlanmıştır. Çalışanların sendika üyeliğine yönelik verilerin işlenmesi ise, sadece sendikaların işlediği bir veri değildir. Şöyle ki, ilk olarak Çalışma ve Sosyal Güvenlik Bakanlığı’nın sendika üyeliği bilgilerini kaydettiğini söyleyebiliriz. Sendika üyeliğinin kazanılması prosedürü, üye olmak isteyen kişinin e-devlet sistemi üzerinden başvuruda bulunması ve bu başvurunun ilgili sendikaya ve ÇSGB’ye iletilmesi şeklindedir. İkinci olarak sendikanın veri sorumlusu olarak bu veriyi işlediği görülmektedir. Sendikanın bu veriyi işlemesi sürecinde verinin işverene aktarılması da gerçekleşmekte ve işveren de bir diğer veri sorumlusu olarak karşımıza çıkmaktadır. Nihayet, sendika üye sayısının hukuki uyuşmazlığa yol açtığı bazı durumlarda, mahkemeler de bu verileri işleyen bir başka veri sorumlusu olmaktadır (Sendika üyeliği verisinin işlenmesinde dörtlü ayrıma yönelik detaylı bilgi için bkz. Şekerbay 152-172). Aynı verinin dört farklı veri sorumlusu tarafından işlenmesi durumu ise, akla “ortak veri sorumlusu” kavramını getirmektedir. KVKK’da açıkça düzenlenmemiş olan ortak veri sorumlusu kavramı, tek bir veri kayıt sistemi ve bu sistem çerçevesindeki veri işleme faaliyetinde amaç ve vasıtaların birden fazla kişi tarafından müştereken belirlenmesi 21 Case T-320/02, Esch-Leonhardt, https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:62002TJ0320&from=EN, erişim tarihi, 08.11.2023. 22 İşverenin sendikal ayrımcılık yapması ve sonuçlarını inceleme konumuz dışında tuttuğumuzdan, buna yönelik açıklamalar yapılmayacaktır. 138 12-14 Kasım 2021 KİŞİSEL VERİLERİ KORUMA KONGRESİ I. ULUSLARARASI Bilgi Çağında İlgili Kişinin Bilgi Alma Hakkı ve K.V.K.K. 2. ULUSLARARASI KİŞİSEL VERİLERİ KORUMA KONGRESİ olarak tanımlanmaktadır23 (Dülger 196). Ancak yukarıda sayılan veri sorumlularının her biri ortak amaçla ve ortak veri işleme aracını kullanmadıklarından, anılan veri sorumlularının ortak veri sorumlusu olmadığını kabul etmek gerekir. Sonuç olarak, tüzel kişiliği haiz olan sendikaların işlediği üyeliğe ilişkin veri ile ilgili olarak bir ayrıma gidilerek, öğretide Şekerbay tarafından şu belirleme yapılmıştır; Şayet sendika, e-devlet sistemi üzerinden Bakanlıkça kendisine açılan pencerede gördüğü üyelik verilerini 6356 sayılı Kanun’da belirlenen amaçlar dışında kullanmak üzere kendi bünyesinde oluşturduğu bir veri kayıt sistemi aracılığıyla kaydediyor ya da kendi belirlediği başkaca amaçlar için ayrıca üyelerinin ek bilgilerini talep ederek işliyor ise bu veri işleme faaliyetleri açısından veri sorumlusu olarak kabul edilebilecektir (Şekerbay 175). Uygulamada sendikaların üyeleriyle ilgili farklı bilgileri de topladığı, kendine özgü bir veri kayıt sistemi oluşturduğu örneklere daha sık rastlanıldığından, kanaatimizce sendikaların veri sorumlusu olma olasılıkları daha fazladır. Örneğin sendikaların üyelerine ilişkin cep telefonu numaralarını işleyerek, doğum günlerinde üyelerine tebrik mesajı göndermesi, genel kurula katılacak delegelere bildirim yapılması için24 e-posta adreslerinin alınması ya da mesleki amaçlı eğitim düzenlemek25 için üyelerinin mezuniyet, kıdem bilgilerinin işlenmesi gibi. Nihayet sendikalar kendi çalışanları ve hatta kendilerine bağlı olarak faaliyet yürüten işletmelerin çalışanları bakımından da veri sorumlusu olarak kabul edilmelidir. Böylece sendika, anılan veri işleme bakımından veri sorumlusunun KVKK kapsamında yerine getirmesi gereken yükümlülüklerden sorumlu olacaktır. Bu noktada ortaya çıkacak veri ihlali durumunda ilgili düzenlemelerde belirtilen hukuki sorumluluk tüzel kişinin şahsında doğacaktır. Bu konuda kamu hukuku tüzel kişileri ve özel hukuk tüzel kişileri bakımından bir farklılık gözetilmemiştir26. Veri sorumlusunun sorumluluğuna ilişkin olarak, Veri Sorumluları Sicili Hakkında Yönetmelik m.11’de ayrıca, “Türkiye’de yerleşik olan tüzel kişilerin Kanun kapsamındaki veri sorumlusu yükümlülükleri, ilgili mevzuat hükümlerine göre tüzel kişiliği temsil ve ilzama yetkili organ veya ilgili mevzuatta belirtilen kişi veya kişiler marifetiyle yerine getirilir. Tüzel kişiliği temsile yetkili organ, Kanunun uygulanması bakımından yerine getirilecek yükümlülükler ile ilgili olarak bir veya birden fazla kişiyi görevlendirebilir. Bu görevlendirme Kanun hükümleri uyarınca tüzel kişiliğin sorumluluğunu ortadan kaldırmaz.” hükmüne yer verilmiştir. Bu başlık altında ele alınması gereken bir başka husus ise, sendikaların KVKK. kapsamında veri işleyen olup olmadıklarıdır. Veri işleyen, “Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi” olarak tanımlanmıştır (KVKK m.3/1-ğ). Veri işleyen olabilmek için aranan temel koşul, bir veri sorumlusu adına hareket etmek ve veri işleme nedeniyle doğrudan bir 23 Ortak veri sorumlusu kavramı ortak kontrolör olarak dilimize çevrilmiş olup,, GVKT. m.26’da, “İki ya da daha fazla sayıda kontrolörün işleme amaçları ve yöntemlerini ortak bir şekilde belirlediği hallerde, bu kontrolörler ortak kontrolörlerdir” şek- linde tanımlamış olup, benzer bir tanımın 95/46 EC. m.2’de de yer aldığını ifade etmek mümkündür. 24 STİSK. m.12/3’e göre, sendikanın “İki genel kurul toplantısı arasındaki döneme ait faaliyet ve hesap raporu, yeminli mali müşavir raporu, denetleme kurulu raporu ve gelecek döneme ait bütçe teklifi toplantı tarihinden on beş gün önce genel kurula katılacaklara gönderme” yükümlülüğü bulunmaktadır. 25 STİSK. m.26/9, da sendikaların faaliyetleri arasında mesleki eğitimin de yer aldığı görülmektedir. “Kuruluşlar elde ettikleri gelirleri üyeleri ve mensupları arasında dağıtamaz. Ancak sendikaların grev ve lokavt süresince tüzüklerine göre üyelerine yapacakları yardımlar ile kuruluşların eğitim amaçlı yardımları bu hükmün dışındadır.” k26vkKk.VgoKvK.tr/RSehhabreedriF-oVldeerriSSerovreurm/KCluMİsŞuSFİvSileeEsV/L3e1ridV9İEşcl4eIR4y.4eİU-nL2,L7EcaUh5Rr-So4İmaLK7eA5-O-e9Rx5RtAbenU1R-s1MioAcnaAS:9/b/IedKfbaO8id1nNebaG5m.pnRdnfEn, isSb.1pİ,cearjipşcimglctlaerfiihnid0m5k1.12a1-j/1.2h40tKt2p3ass.:ı/m/w2w02w1. 139 Bilgi Çağında İlgili Kişinin Bilgi Alma Hakkı ve ÖZER ; Sendikalar ve Kişisel Veri Mahremiyeti yarar sağlamamaktır (Dülger 209). Sendikaların üyeliğe ilişkin bilgilerle ilgili olarak şayet yapabileceği sadece e-devlet sisteminden kendileri için açılan pencereden elde ettikleri üyelik bilgilerini sadece 6356 sayılı Kanun ile öngörülen iş ve işlemler için kullanmaları, üyelerden ek bilgi istememeleri ve kendi sorumluluğunda bir veri kayıt sistemi oluşturmamaları şeklinde ise, sendikaların veri işleyen olarak kabul edilmelerini gerektirecektir (Şekerbay 175). Örneğin sendika üyelik bilgilerini yalnızca yetki tespit başvurusu, kaynaktan kesinti amacıyla işverene aktarma, sendikal ayrımcılığın tespiti amacıyla mahkemelere bilgi olarak sunmaya yönelik kullandığında, veri işleyen olarak hareket etmiş olacaktır (Şekerbay 175). Son olarak, sendikaların KVKK kapsamında ilgili kişi olup olamayacakları ele alındığında, kanunumuzun ilgili kişi tanımında, “kişisel verisi işlenen gerçek kişi” (m.3/1-ç) ifadelerine yer verilmiştir (Küzeci 362-363). Benzer bir yönde, GVKT m.4’de de, “kişisel veri’ tanımlanmış veya tanımlanabilir bir gerçek kişiye ilişkin her türlü bilgi” olarak tanımlanmak suretiyle ilgili kişinin gerçek kişi olması gerektiği kabul edilmiştir. Dolayısıyla genel kabule göre temelde bir insan hakkı olarak görülen kişisel verilerin korunması hakkından, veri koruma hukuku açısından tüzel kişi niteliğindeki sendikaların ya da tüzel kişilikleri olmayan sendika şubelerinin ilgili kişi olarak yararlanması mümkün değildir. Avrupa Çalışma Grubu27 görüşü 4/2007›ye göre de veri koruma hukuku yalnızca bir insana koruma sağlanmaktadır28. Öte yandan, ILO tarafından hazırlatılan “Çalışanların Kişisel Verilerinin Korunması Hakkında Temel Kurallar Başlıklı Çalışma”da, bir kuruluş veya işletme de dahil olmak üzere tüzel kişilerin de, örneğin toplu pazarlık hakkı veya iş yapma özgürlüğü gibi temel haklardan yararlanabileceği ifade edilmiştir. Dolayısıyla bu görüşe göre, veri koruma hakkı, örneğin bir tüzel kişinin gizli bilgilerinin işlenmesine ilişkin korumayı da kapsayabilmeli ve aynı zamanda prensipte sendikalar kişisel verilerin korunması hakkından yararlanabilmelidir (Hendrickx 8). Bu görüşü destekleyecek nitelikte bir düzenleme ise Direktif 108+’in Açıklayıcı Raporu’nda şu şekilde yer almaktadır; “Sözleşme gerçek kişilere ilişkin verilerin işlenmesiyle ilgili olmakla birlikte, Taraflar meşru menfaatlerini korumak amacıyla iç hukuklarındaki korumayı tüzel kişilere ilişkin verileri de kapsayacak şekilde genişletebilirler”29. Sonuç olarak belirtmek gerekir ki, gerçek kişi dışındakilerin verilerinin korunmasını veri koruma hukuku kapsamına dahil etmemenin baskın görüş olması nedeniyle sendikaların verilerinin KVKK kapsamında değerlendirilmesi ve bu kuruluşların ilgili kişi sayılması mümkün görünmemektedir. 27 Avrupa Çalışma Grubu, 95/46/EC sayılı Direktifin 29. maddesi uyarınca kurulmuştur. Veri koruma ve gizlilik konusunda bağımsız bir Avrupa danışma organıdır. Görevleri 95/46/EC sayılı Direktifin 30. maddesinde ve 2002/58/EC sayılı Direktifin 15. maddesinde tanımlanmıştır. 28 Article 29 Working Party (2007), Opinion 4/2007 on the concept of personal data, WP 136, 20 June 2007, p. 22-23, chro- me-extension://efaidnbmnnnibpcajpcglclefindmkaj/https://www.clinicalstudydatarequest.com/Documents/Privacy-Europe- an-guidance.pdf, erişim tarihi 08.11.2023.. 29 Açıklayıcı Rapor, chrome-extension://efaidnbmnnnibpcajpcglclefindmkaj/https://rm.coe.int/convention-108-conventi- on-for-the-protection-of-individuals-with-regar/16808b36f1, s.18, paragraf 30. 140 12-14 Kasım 2021 KİŞİSEL VERİLERİ KORUMA KONGRESİ I. ULUSLARARASI Bilgi Çağında İlgili Kişinin Bilgi Alma Hakkı ve K.V.K.K. 2. ULUSLARARASI KİŞİSEL VERİLERİ KORUMA KONGRESİ 2. Sendikaların İşlediği Diğer Kişisel Veriler Sendikaların kişisel veri işleme amaçlarını, sendikanın kendi çalışanları, mensupları ve bağışçılarına ait verilerin kayıt altına alınması olarak belirlemek mümkündür. Dolayısıyla sadece sendika üyeliğine ilişkin özel nitelikli kişisel veri işleme dışında başka veri işleme durumları da söz konusu olabilmektedir. Öte yandan, sendika üyelerinin üyeliğe ilişkin verileri dışında kalan özel nitelikli olan-olmayan verilerinin de sendika tarafından işlenmesi mümkün olacaktır. İsim, adres, telefon bilgisi gibi özel nitelikli olmayan kişisel verileri işlemek durumunda kalan sendikalar, KVKK m.5’deki veri işleme kurallarına uygun bir şekilde işleme yapma yükümlülüğü altındadır. 3. Sendikanın Veri İşlemedeki Yükümlülükleri Sendikalar mensuplarına ait verileri işlerken veri sorumlusu sıfatını haiz olduklarından, KVKK kapsamında veri sorumlusu için getirilmiş yükümlülüklere uymalıdırlar. Bunlar; aydınlatma yükümlülüğü30 (m.10), veri güvenliğine ilişkin yükümlülükleri (m.12), veri sorumluları siciline kaydolmak ve ilgili kişiler tarafından yapılan başvuruların cevaplanması ve Kurul kararlarının yerine getirilmesi, kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi31 gibi yükümlülüklerdir. Bu başlık altında sendikaların veri işlemedeki tüm yükümlülükleri değil, kapsamı genişletmemek adına önemli gördüklerimize değinmekle yetinilecektir. KVKK’da spesifik olarak işçi-işveren ilişkilerine özgü bir düzenleme bulunmamakla birlikte, GVKT m.88’de, İş bağlamındaki veri işlemeye yönelik özel düzenleme bulunmaktadır. Söz konusu maddede, “Üye devletler özellikle işe alım, kanunla ya da toplu sözleşmeler yoluyla belirtilen yükümlülüklerin yerine getirilmesi de dahil olmak üzere iş sözleşmesinin yürütülmesi, çalışma, iş yerinde eşitlik ve çeşitlilik, iş sağlığı ve güvenliğinin yönetimi, planlanması ve düzenlenmesi, işverenin veya müşterinin mallarının korunması ile ilgili amaçlar ve istihdam ile ilgili haklar ve menfaatlerin münferit ya da toplu olarak kullanımı ve bunlardan yararlanılmasına ilişkin amaçlar ve iş ilişkisinin sona erdirilmesine ilişkin amaçlar doğrultusunda çalışanların kişisel verilerinin iş bağlamında işlenmesine yönelik hakların ve özgürlüklerin korunmasının sağlanması amacıyla kanun veya toplu sözleşmeler çerçevesinde daha spesifik kurallar belirleyebilir.” hükmüne yer verilmiştir. Maddede geçen “toplu sözleşme yapmak suretiyle çalışanların kişisel verilerinin iş bağlamında işlenmesine yönelik hakların ve özgürlüklerin korunmasının sağlanması” ifadesi inceleme konumuz açısından önem arz etmektir. Şöyle ki, bu düzenleme, veri korumaya yönelik tedbirlerin sadece işverence alınmayıp, sendikaların da bu konuda rol üstlenmeleri gerektiğinin göstergesidir. O halde, toplu iş sözleşmesine konulabilecek hükümler arasına kişisel verilerin korunmasına ilişkin olanları da dahil etmek mümkün olacaktır (Gürsel 2016). Örneğin Belçika’da, çalışanların mahremiyeti ve verilerinin korunmasıyla ilgili olarak Ulusal 30 Uygulamada sendikalarının üyelerine yönelik olarak, kişisel verilerinin işleneceği hususunda aydınlatma yaptıkları görül- mektedir. Örnek aydınlatma metinleri için bkz. Türk Harb İş Sendikası 6698 Sayılı Kişisel Verilerin Korunması Kanunu Kapsa- mında Aydınlatma Metni, https://harb-is.org.tr/wp-content/uploads/2020/01/Aydinlatma-Metni.pdf; BEM-BİR-SEN Gizlilik Politikası, https://bembirsen.org.tr/bembirsen-privacy-policy, Öz-Finans-İş Sendikası Gizlilik Politikası, https://ozfinansis. org.tr/page/view/gizlilik-politikasi, erişim tarihi, 27.12.2023. 31 Sendika ve Konfederasyonların Denetim Esasları ve Tutacakları Defterler İle Toplu İş Sözleşmesi Sicili Hakkında Yönetme- lik,(RG.28833, 26.11.2013)’e istinaden, “Sendika ve konfederasyonlar bütün defter ve belgeler ile bunların dayanak ve eklerini binasında bulundurur ve ilgili oldukları yıIlı.iUzleLyeUnStaLkvAimRAyılRınAdaSnIbaşlayarak on yıl hizmet 10 yılın sonunda sendika KişlİedŞiİğSi kEişLiseVl vEerRileİrLi sEilmReİyKükOümRlUülüMğüAalKtınOdaNdıGr. RESİ süreyle saklar.”(1m2.-1114/K7)asıhmük2m02ü1 gereği, 141 Bilgi Çağında İlgili Kişinin Bilgi Alma Hakkı ve ÖZER ; Sendikalar ve Kişisel Veri Mahremiyeti Çalışma Konseyi’nde ulusal toplu sözleşmeler kabul edilmiş olup, işçilerin kamera ile gözetlenmesine ve işyerindeki elektronik iletişimin izlenmesine yönelik garantiler toplu iş sözleşmeleriyle sağlanmaktadır (26 Nisan 2002 tarihli Ulusal Toplu Sözleşme, no:81 (CA 81), Hendrickx, 41). Alman Federal Veri Koruma Yasası (BDSG) ise, çalışan verilerinin toplu sözleşmeler ve iş konseyi sözleşmeleri temelinde işlenmesine açıkça izin vermektedir. Böyle bir anlaşma sadece işçi haklarını değil, aynı zamanda işçilerin yükümlülüklerini de yaratabilir (ILO Uzman Yanıtı- Almanya, Hendrickx, 42). a.Veri Sorumluları Siciline Kayıt Sendikaların veri sorumlusu olarak kabul edildiği durumlarda, KVKK’nın veri sorumluları için getirilen yükümlülüklerinden biri olan “Veri Sorumluları Siciline Kayıt” yükümlüleri arasında olup olmadıklarının değerlendirilmesi gerekmektedir. Tüm veri sorumluları için getirilmeyen bu yükümlülük, kanunda sayılan bazı koşulları sağlayanlar için ve ayrıca Kurumun belirlediği istisna kapsamında olanlar için söz konusu değildir. Bu bağlamda, Kurul’un bazı kararları bulunmaktadır. Bunlardan ilki, “Dernek, Vakıf ve Sendikaların Veri Sorumluları Siciline Kayıt Yükümlülüğü İstisnası Hakkında” 26/11/2019 tarihli ve 2019/353 sayılı karardır32. Kararda; “04/11/2004 tarihli ve 5253 sayılı Dernekler Kanunu’na göre kurulmuş derneklerden, 20/02/2008 tarihli ve 5737 sayılı Vakıflar Kanunu’na göre kurulmuş vakıflardan ve 18/10/2012 tarihli 6356 sayılı STİSK’e göre kurulmuş sendikalardan yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı ve sadece kendi çalışanlarına, üyelerine, mensuplarına ve bağışçılarına yönelik kişisel veri işleyenler” sicile kayıt zorunluluğundan muaf tutulmuştur. Ancak daha sonra Kurul’un 22/04/2020 tarihli ve 2020/315 sayılı Kararı ile muaf tutulacaklarda değişiklik yapılarak, “yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı olmak üzere kişisel veri işleyen Türkiye’de yerleşik dernek, vakıf ve sendikalar” olarak düzenlenmiş, ardından muaf tutulanlara ilişkin belirleme üçüncü kez, 09.06.2021 tarihli ve 2021/571 sayılı Kararı ile “yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı olmak üzere kişisel veri işleyen Türkiye’de yerleşik dernek, vakıf ve sendikalardan kendisine bağlı herhangi bir iktisadi işletmesi bulunmayanlar” olarak değiştirilmiştir33. Görüldüğü üzere sicile kayıt yükümlülüğünden muaf olan sendikaların kapsamının daraltıldığı anlaşılmaktadır. Özellikle de kayıt yaptırması gereken sendikaların sanayi ve ticaret faaliyetinde34 bulunmaları durumunun istisna dışı bırakılması isabetli bir düzenleme olmuştur. Bu durumda, “yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı olmak üzere kişisel veri işleyen Türkiye’de yerleşik dernek, vakıf ve sendikalardan kendisine bağlı herhangi bir iktisadi işletmesi bulunanlar” Sicile kayıt olacak ve Sicile kayıt esnasında yalnızca iktisadi işletmelerin faaliyetlerine ilişkin bilgi girişi yapacaklardır. Önemle belirtmek gerekir ki, Sicile kaydolma gerekliliği düzenlenen bu sendikalar bakımından da 2021/238 sayılı Kurul Kararında35 yer alan yıllık çalışan 32 Karar için bkz. https://www.kvkk.gov.tr/Icerik/6628/2019-353, erişim tarihi 08.11.2023. 33 Karar için bkz. https://www.kvkk.gov.tr/Icerik/6986/2021-571, erişim tarihi 08.11.2023. 34 STİSK. m.26/8’de, “Kuruluşlar ticaretle uğraşamaz. Ancak, kuruluşlar genel kurul kararıyla nakit mevcudunun yüzde kır- kından fazla olmamak kaydıyla sanayi ve ticaret kuruluşlarına yatırımda bulunabilir.” Bu tür bir kısıtlamanın getirilmesinin gerekçesi, bir ticari şirketin sendika görünümü arkasında TTK yükümlülüklerinden kurtulmasını ve üyelerinin aidatlarını ticari spekülasyonlara bağlamasını önlemek olarak ifade edilmiştir (Işık, 165). 35 “Veri Sorumluları Siciline Kayıt Tarihlerinin Uzatılması İle İlgili Kişisel Verileri Koruma Kurulunun 11/03/2021 Tarihli ve 2021/238 Sayılı Karar metni için bkz. https://www.kvkk.gov.tr/Icerik/6905/2021-238, erişim tarihi 09.11.2023. Anılan karara göre, “Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri so- rumluları ile yurtdışında yerleşik gerçek ve tüzel kişi veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için 142 12-14 Kasım 2021 KİŞİSEL VERİLERİ KORUMA KONGRESİ I. ULUSLARARASI Bilgi Çağında İlgili Kişinin Bilgi Alma Hakkı ve K.V.K.K. 2. ULUSLARARASI KİŞİSEL VERİLERİ KORUMA KONGRESİ sayısı36, yıllık mali bilanço ve ana faaliyeti kapsamında özel nitelikli kişisel veri işleme kriterleri açısından değerlendirme yapılarak bu kriterleri taşıyanlar için bağlı olduğu sendika adına Sicile kayıt oluşturulması ve yalnızca bu iktisadi işletmelerin kişisel veri işleme süreçlerine ilişkin bilgi girişi yapılması gerekmektedir. Son olarak, “yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı olmak üzere kişisel veri işleyen Türkiye’de yerleşik vakıf, sendika veya derneklere ait iktisadi işletmelerden” Kanun’un 3’üncü maddesinde yer alan veri sorumlusu tanımındaki kriterleri haiz olanlar ayrı veri sorumlusu olarak kabul edileceğinden, bu durumda olan iktisadi işletmeler bakımından öncelikle 2021/238 sayılı Kurul kararında yer alan yıllık çalışan sayısı, yıllık mali bilançosu ve ana faaliyeti kapsamında özel nitelikli kişisel veri işleme kriterleri değerlendirilerek bu kriterleri taşıyanların sendika değil kendi adlarına Sicile kayıt ve bildirimde bulunmaları gerekecektir. “Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olan gerçek veya tüzel kişi veri sorumlularından ana faaliyet konusu özel nitelikli kişisel veri işleme olmayanlar” kriterini sendikalar bakımından ele aldığımızda, sendikaların ana faaliyet konusunun kişisel veri işleme olmadığı zira bu belirlemede veri sorumlusunun en çok katma değer ürettiği faaliyetleri veya yürüttükleri temel iş ve görevlerinin bir gereği olarak özel nitelikli kişisel veri işlenip işlenmediğine bakılacaktır. Bu durumda, veri sorumlusunun işlediği özel nitelikli kişisel verilerin işverenlikçe yürütülen işlerin kapsamında olup olmadığı önemlidir. O halde bir sendikanın iktisadi işletmesinin yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az ve ana faaliyet konusu özel nitelikli kişisel veri işleme değil ise Sicile kayıt ve bildirim yükümlülüğü bulunmamakta; ancak sendikanın yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den fazla ise ya da yıllık çalışan sayısı ve mali bilanço toplamından bağımsız olarak ana faaliyet konusu özel nitelikli kişisel veri işlenmesi ise Sicile kayıt ve bildirim yükümlülüğü bulunmaktadır (Şekerbay 181-182). Sonuç olarak belirtmek gerekir ki, sendikaların ticari faaliyet yapmasına ilişkin hüküm 6356 sayılı Kanun’un sıklıkla uygulanan bir hükmü olmadığından, uygulamadaki pek sendikanın iktisadi işletmesi olmayan ve dolayısıyla VERBİS’e kayıt yükümlüsü olmayan veri sorumluları olduğu söylenebilir. b. Veri Aktarımı Sendikaların işledikleri verilerin aktarımı ile ilgili olarak en önemli sorunlar sendika üyeliğine dair verinin işverene aktarılması durumudur. Sendikaların üyelerinin işveren tarafından ayrımcılığa maruz kalmamaları için dikkat ettikleri bir durum da, üyeliğe ilişkin veri aktarımını işverene yetki belgesini aldıktan hemen sonra vermeyip, toplu iş sözleşmesi imzalandıktan sonraki bir ay (TİS’den sonraki ilk bordronun hazırlanması için) içinde yapmalarıdır. belirlenen sürenin 31.12.2021 tarihine, Yıllık çalışan sayısı 50’den az ve yıllık mali bilançosu 25 milyon TL’ den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 31.12.2021 tarihine, Kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşu veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 31.12.2021 tarihine kadar uzatılmasına karar verilmiştir. 36 KVKK’nın “Veri Sorumluları Siciline Kayıt Yükümlülüğünden İstisna Tutulacak Veri Sorumluları” ile ilgili Kişisel Verileri Koruma Kurulunun 19/07/2018 Tarihli ve 2018/87 Sayılı Kararı’nda ise, kanunun 16. maddesindeki istisna belirlemesi şu şe- tvkueiltrduielsaoycraaupkmıtlımrl.u”ılşatrırın; d“YaınllıaknçaaflaışaalinyesKtaykİıosŞnıİu5S0su’EdeöLnzeaVlznEviteIRe.yliİıkUlLllıiLkEkUmiRşiaSsİleiLlKbvAielOarRniRçAişoUleRtmMoApelASaomIlmKı a2Oy5aNnmlaiGlryıRonnESTicSLi’lİdeeknaayzıtoylüankügmerlçüel1ük2ğ-v1üe4nydKaeatnüsızmieslt2iks0ni2ş1ai 143 Bilgi Çağında İlgili Kişinin Bilgi Alma Hakkı ve ÖZER ; Sendikalar ve Kişisel Veri Mahremiyeti Bunun dışında sendikalar üyelerine ilişkin verileri yurt içinde veya yurtdışında işveren dışındakilere de aktarabilmektedir. Örneğin, BEM-BİR-SEN, veri işleme politikasında, verilerin aktarımına yönelik olarak şu şekilde bir düzenleme yapmıştır; “Üyelere ait kişisel veriler, üyelik ödentisinin başlatılması ve takibi, sendika seçimleri döneminde oy verme işlemlerinin yönetimi gibi BEMBİRSEN’in 4688 sayılı Kanundan kaynaklanan bildirim zorunluluğu gibi görevleri nedeniyle, Büyükşehir Belediyeleri, Belediyeler ve bunlara bağlı işletme müessese ve idareler, Yerel Yönetim Birlikleri ile İl Özel İdareleri ve bunlara bağlı işletme, müessese ve idareler ile paylaşılabilir.”Ayrıca “Çalışanlarımız, üyelerimiz, tedarikçilerimiz ve diğer üçüncü kişilerle etkili iletişim ve dayanışma için ve faaliyetlerimizi yürütebilmek amacıyla uzaktan ve hızlı iletişim kurabilmek, toplantı ve etkinlikler düzenleyebilmek için günümüzün yaygın ve kaçınılmaz iletişim araçları olan yurt dışı menşeli uygulamalar kullanmaktayız. Bu kapsamda, Video konferanslar için kullandığımız ABD menşeli Zoom, Anlık mesajlaşma için kullandığımız ABD menşeli Facebook’a ait Whatsapp platformlarında kimlik, görsel ve işitsel kayıtlar gibi genel nitelikli verilerinizi paylaşıyoruz.” Şeklinde yurt dışı veri aktarımı politikası belirlemiştir37. 4.Toplu İş Sözleşmesine Konulacak Hükümlerle Kişisel Verilerin Korunması Toplu iş sözleşmeleri, normatif ve borç doğurucu kısımlardan oluşmaktadır. STİSK m.33/1de, “Toplu iş sözleşmesi, iş sözleşmesinin yapılması, içeriği ve sona ermesine ilişkin hükümleri içerir.” denilmek suretiyle toplu iş sözleşmelerinde bulunması gereken normatif hükümlerin içeriği tespit edilmiştir. Kişisel verilerin korunmasıyla ilgili tedbirler somut duruma göre, toplu iş sözleşmesinin normatif hükümlerinin tümüne konu olabilecek niteliktedir. Önemle belirtmek gerekir ki, bu hükümler nitelik itibariyle işyerindeki tüm çalışanlara uygulanacak türden kabul edilmelidir38. Ancak “rıza” hükümleri olarak anılan ve temelde işçinin bazı konularda onayının alınmasının amaçlandığı hükümler arasına örneğin işçinin açık rızasının alınması yönünde hüküm konulamaması gerektiği kanaatindeyiz39. Öte yandan, işveren ile sendika arasında temsilcilerin ya da üyelerin kişisel verilerinin korunmasıyla ilgili “tarafların hak ve borçlarını ilişkin kısımda” borç doğurucu nitelikte hükümler de toplu iş sözleşmesine konulabilir. Çerçeve sözleşmelere kişisel verilerin korunmasına ilişkin hüküm konulması ile ilgili olarak ise şu şekilde bir yorum yapılabilir. STİSK m. 33/3’te, “Çerçeve sözleşme, sözleşmenin tarafı olan işçi ve işveren sendikasının üyeleri hakkında uygulanır ve meslekî eğitim, iş sağlığı ve güvenliği, sosyal sorumluluk ve istihdam politikalarına ilişkin düzenlemeleri içerebilir.” biçiminde yapılan düzenleme, sınırlı bir belirleme yapmadığından, kanaatimizce çerçeve sözleşmelere kişisel verilerin korunmasına 37 4688 sayılı Kamu Görevlileri Sendikaları ve Toplu Sözleşme Kanunu kapsamında faaliyet yürüten, Belediye ve Özel İdare Ça- lışanları Birliği Sendikası (BEM-BİR-SEN) Gizlilik Politika Belgesi, https://bembirsen.org.tr/bembirsen-privacy-policy, erişim tarihi 27.12.2023. 38 STİSK. m.25/2’de yer alan hükme göre, “İşveren, bir sendikaya üye olan işçilerle sendika üyesi olmayan işçiler veya ayrı sendikalara üye olan işçiler arasında, çalışma şartları veya çalıştırmaya son verilmesi bakımından herhangi bir ayrım yapamaz. Ücret, ikramiye, prim ve paraya ilişkin sosyal yardım konularında toplu iş sözleşmesi hükümleri saklıdır.” Bu düzenlemenin mefhumu muhalifinden, ücret, ikramiye, prim ve paraya ilişkin sosyal yardım konuları dışında kalan hükümlerin sendikalı olan-olmayan işyerindeki tüm işçilere uygulanması gerektiğidir (Ekmekçi 404). 39 Rıza hükümlerine örnek olarak, işçinin fazla çalışma yapması ya da işyerinde denkleştirme yapılmasına yönelik olarak peşi- nen rıza gösterdiklerine yönelik toplu iş sözleşmesi hükümleri verilebilir, (Tuncay/Savaş Kutsal, 211). 144 12-14 Kasım 2021 KİŞİSEL VERİLERİ KORUMA KONGRESİ I. ULUSLARARASI Bilgi Çağında İlgili Kişinin Bilgi Alma Hakkı ve K.V.K.K. 2. ULUSLARARASI KİŞİSEL VERİLERİ KORUMA KONGRESİ yönelik hüküm konulmasına engel değildir40. Özellikle çok uluslu şirketlerde ortak bir veri koruma politikası sağlayabilmek adına bu tür hükümler konulması faydalı olacaktır. 5.Sendikanın Temsil Yetkisini Kullanma Sürecinde Kişisel Verilerin Korunması Sendikaların faaliyet alanlarından biri de yargılama alanındaki faaliyetleridir. Bunu düzenleyen STİSK m.26/2’de sendikaların iki farklı temsil yetkisi olduğu kabul edilmiştir. Bunlar kollektif ve bireysel nitelikli olarak karşımıza çıkmaktadır (Tuncay ve Savaş Kutsal 143). İlgili hükmün ilk kısmında açıklanan kollektif nitelikli davalarda, “Kuruluşlar, çalışma hayatından, mevzuattan, örf ve adetten doğan uyuşmazlıklarda işçi ve işverenleri temsilen” hareket edebilecekleri düzenlenmiştir. Bu düzenlemede çalışanların kolektif yararına dava açma hakkı tanındığı için kişisel veri işleme durumu muhtemelen gerçekleşmeyecektir. Çalışmamız açısından önemli olan maddenin ikinci kısmında yer alan, “sendikalar, yazılı başvuruları üzerine iş sözleşmesinden ve çalışma ilişkisinden doğan hakları ile sosyal güvenlik haklarında üyelerini ve mirasçılarını temsilen dava açmak ve bu nedenle açılmış davada davayı takip yetkisine sahiptir.” kısmıdır. Zira burada sendikanın üyesinin kişisel verilerini kullanmak suretiyle ona ilişkin bir davayı takip süreci söz konusudur. Uygulamada bu yetki bir hizmet41 mahiyetinde olmak üzere genellikle işçi sendikaları tarafından çok kullanılmaktadır (Ekmekçi 243). Sendikaların adına dava açabileceği kişiler, sadece üyeleri ile sınırlı olmayıp, onların ölümü halinde mirasçıları da olabilmektedir. Ayrıca belirtmek gerekir ki, bu temsil yetkisi, dava şartı arabuluculuğa ilişkin düzenlemelerden sonra, sendikaların mahkemeler gibi arabuluculuk42 oturumlarında da karşımıza çıkacağından ve işlenecek veriler özel nitelikli olan-olmayan kategoride olabileceğinden, veri sorumlusu sendikanın yargılama sürecinde işleyeceği verilere ilişkin üzerine düşen yükümlülükleri yerine getirmesi şarttır. Öte yandan, sendikanın açabileceği davalar arasında çalışanın işverence kişisel verisinin yasaya aykırı şekilde işlenmesinden kaynaklanan davaların da olduğunu kabul etmek gerekir. Nitekim yakın tarihli bir Anayasa Mahkemesi kararında, bu husus ele alınmıştır. Söz konusu kararda, yüz tanıma sistemi ile mesai takibi yapılan bir işyerinde çalışan memur adına, üyesi olduğu memur sendikası tarafından dava açılıp açılamayacağı tartışılmıştır. Anılan kararda, Anayasa Mahkemesi, yüz tanıma sistemi ile mesai takibi yapılması nedeniyle, üyesi olan memurların özel hayata saygı kapsamındaki kişisel verilerinin ihlal edildiği iddiasına dayanarak sendikanın üyesi adına bireysel başvuru yapıp yapamayacağı hususunu incelemiştir43. Anayasa Mahkemesi konuyu başvurucunun yetkisi özelinde ele aldığından, 40 Öğretide çerçeve sözleşmeye konulacak hükümlerin maddede sayılanlarla sınırlı olduğu görüşü de bulunmakla birlikte kanaatimizce özellikle çok uluslu şirketlerde kişisel veri aktarımına yönelik hükümler de bu sözleşmelerle düzenlenebilmelidir. (Çerçeve sözleşme ile ilgili bkz. Kılıç 248 vd.). 41 Bu maddeye göre üyeler sendikaya temsil yetkisi vermek zorunda olmadıkları gibi sendikanın da üyelerini yargılama süre- cinde temsil etme gibi bir yasal zorunluluğu bulunmamaktadır. Bu konuda, bkz. Narmanlıoğlu 256, Ekmekçi 244. Veri işleme şartlarına uyma noktasında sendikaların bu ayrıntıya dikkat etmeleri gerekir. 42 İş Mahkemeleri K.m.3/1’de, “Kanuna, bireysel veya toplu iş sözleşmesine dayanan işçi veya işveren alacağı ve tazminatı ile işe iade talebiyle açılan davalarda, arabulucuya başvurulmuş olması dava şartıdır.” hükmüne istinaden ortaya çıkan uyuşmazlıklarda arabuluculuk dava şartıdır. Aynı maddenin 18. fıkrasında ise, “ Arabuluculuk görüşmelerine taraflar bizzat, kanuni temsilcileri veya avukatları aracılığıyla katılabilirler. İşverenin yazılı belgeyle yetkilendirdiği çalışanı da görüşmelerde işvereni temsil edebilir ve son tutanağı imzalayabilir.” hükmü yer almaktadır. Buna göre, sendikaları da üye veya mirasçılarının kanuni temsilcileri ola- rak kabul edip, sendikaların arabuluculuk görüşmeIl.erUinLdeUbSulLunAmRasAı mRüAmSkIün görülmelidir. Aynı yönde, Köme Akpulat, 384). Burada dikkat Eed.2il0m23e/s9i 2g,eKre.k2e0n23hK/u1s5İu6Şs,,İRHSGME. LK02..Vm11.E7.24R0’e2İ3isL,t3iEn2a3Rd5e7İn.K, seOndRikUayMa aAçıkKçaOyeNtkGi vRerEilmSiİş olmasıdır. 12-14 Kasım 2021 43 13.09.2023, 145 Bilgi Çağında İlgili Kişinin Bilgi Alma Hakkı ve ÖZER ; Sendikalar ve Kişisel Veri Mahremiyeti kabul edilemez olduğuna karar vermiştir44. STİSK m.26 uyarınca kendisine temsil yetkisi verilen sendikanın kendi adına değil de üyesi adına yargılama sürecinde bulunma hakkı olduğuna göre, bu hakkın bireysel başvuruyu da kapsaması gerektiği kanaatindeyiz. V. Sonuç Çalışanların kişisel verilerinin korunmasının toplu iş hukuku bağlamında ele alındığı çalışmamızda, öncelikle vardığımız sonuç, toplu iş ilişkisi açısından konunun uygulamada yeterince tartışma konusu yapılmamış olduğudur. Çalışanların temel haklarından olan sendika üyesi olma, işyerinde sıklıkla işveren tarafından olumsuz karşılanmakta ve işçinin sendika üyesi olduğu bilgisini edinen işveren, işçiye karşı ayrımcı muameleler sergileyebilmektedir. Bu durumun önüne geçmek için sendikal özgürlüklerin korunması amaçlı düzenlemeler iş hukuku mevzuatında yer almaktadır. Kişisel verileri koruma mevzuatı açısından da, “sendika üyeliği ”ne ilişkin verinin özel nitelikli veri olarak kabul edilmesi ve gerek işverenin gerekse bu veriyi işleyen sendika ve diğer kuruluşların özel nitelikli bu veriyi işlemeye yönelik esaslara uygun hareket etmeleri gerekmektedir. Hatta çalışmamızda vardığımız sonuç, bu korumanın sadece üyeliğe özgülenmeyip sendikal bağlantı olarak geniş yorumlanması yönündedir. Sendikalar, üyeleri ve çalışanlarına ilişkin verileri işleyen veri sorumluları olarak karşımıza çıkmaktadırlar. Bu nedenle veri işleme hususunda veri sorumlusu için KVKK’da düzenlenmiş olan pek çok yükümlülük sendikalar için de geçerlidir. Veri sorumluları sicili(VERBİS)’e kayıt açısından, Kişisel Verileri Koruma Kurulu tarafından bazı veri sorumluları istisna tutulmuş olup, bunlardan birinin de sendikalar olduğu görülmektedir. Ancak önemle belirtmek gerekir ki tüm sendikalar istisna kapsamında olmadığından, “yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı olmak üzere kişisel veri işleyen Türkiye’de yerleşik dernek, vakıf ve sendikalardan kendisine bağlı herhangi bir iktisadi işletmesi bulunanlar” Sicile kayıt olacak ve Sicile kayıt esnasında yalnızca iktisadi işletmelerin faaliyetlerine ilişkin bilgi girişi yapacaklardır. Sendikaların üyelerinin kişisel verilerini korumak adına yapacakları faaliyetlerden biri de toplu iş sözleşmesinde veri korumayı daha aktif hale getirecek hükümler belirleme noktasında işvereni ikna etmek olacaktır. Zira toplu iş sözleşmesine konulacak hükümler, çalışanların sadece ücret ve diğer parasal hakları iyileştirmeden ibaret olmamalıdır. Ayrıca sendikaların çalışma ilişkilerini etkileyen güçlü sivil toplum kuruluşları olmaları, üyelerini ve işverenleri kişisel verileri koruma hususunda eğitmeleri ve veri ihlalini önleme hususunda farkındalık yaratmayı sağlayacak kaynaklara sahip oldukları da unutulmamalıdır. Bunu yaparken kendi bünyelerinde kişisel verileri koruma uzmanları istihdam etmeleri de kuşkusuz isabetli olacaktır. 44 “Bireysel başvuru ancak ihlale yol açtığı ileri sürülen işlem, eylem ya da ihmal edilen güncel ve kişisel bir hakkı doğrudan etkile- nenler tarafından yapılabilir” (6216, m.45).“Başvurunun kabul edilmesi için başvurucunun sadece mağdur olduğunu ileri sürmesi yeterli olmayıp ihlalden doğrudan etkilendiğini yani mağdur olduğunu göstermesi veya mağdur olduğu konusunda Anayasa Mah- kemesini ikna etmesi gerekir. Bu itibarla, mağdur olduğu zannı veya şüphesi de mağdurluk statüsünün varlığı için yeterli değildir” “...başvurucu sendika tüzel kişiliğinin haklarını doğrudan etkileyen somut bir olgu ileri sürmemiştir. Dolayısıyla tüzel kişi başvurucunun ihlale konu edilen işlem nedeniyle güncel ve kişisel bir hakkının doğrudan etkilendiği söylenemez. Buna göre başvurunun tüzel kişi başvurucu yönünden KİŞİ BAKIMINDAN YETKİSİZLİK nedeniyle kabul edilemez olduğuna karar verilmesi gerekir” 146 12-14 Kasım 2021 KİŞİSEL VERİLERİ KORUMA KONGRESİ I. ULUSLARARASI Bilgi Çağında İlgili Kişinin Bilgi Alma Hakkı ve K.V.K.K. 2. ULUSLARARASI KİŞİSEL VERİLERİ KORUMA KONGRESİ KAYNAKÇA Baskan, Esra. İş Sözleşmesinin Sendikal Nedenle Feshi, Ankara: Turhan Kitabevi, 2013. Boydak, Alptekin, Burak. “Sendikal Ayrımcılık İddiasına Dayalı Davalar Bakımından Sendikal Faaliyet Kavramı ve Sınırları”, Marmara Üniversitesi Hukuk Fakültesi Hukuk araştırmaları Dergisi, Y.2016, C.22, S.3, 493-502. Dülger, Murat Volkan. Kişisel Verilerin Korunması Hukuku, Ankara: Hukuk Akademisi, 2020. Ekmekçi, Ömer. Toplu İş Hukuku Dersleri, İstanbul: Onikilevha Yayınları, 2022. Arıcı, Kadir. Türk İş Hukuku-II Toplu İş İlişkileri Hukuku, Ankara: Gazi Yayınevi, 2022. Georgieva, Ludmina/Kuner, Christopher. The EU General Data Protection Regulation (GDPR) A Commentar, Edited By Kuner, Christopher/Bygrave, Lee A./ Docksey, Christopher, Oxford University Press, 2020. Gürsel, İlke. “Kişisel Verilerin Korunması Hakkının İşçi ve İşveren İlişkisine Etkileri” Legal İş Hukuku ve Sosyal Güvenlik Hukuku Dergisi, Y.2016, C.13, S.50 Gürsel, İlke. İşçinin Kişisel Verilerinin Korunması Hakkı, Ankara: Adalet Yayınevi, 2016. Hekimler, Alpay. “Kişisel Verilerin Korunmasının İş Hukukundaki Yansımaları”, Muhtelif Yönleriyle Kişisel Verilerin Korunması Hukuku, Editör: Kemal Şenocak, Ankara 2022. Hendrickx, Frank. “Protection Of Workers’ Personal Data: General Principles”, ILO Working Paper 62, May 2022. Işık, Rüçhan. İşçi Sendikalarının Faaliyetlerinin Hukuksal Çerçevesi, Ankara: Önder Matbaası, 1977. Kaya, Cemil. “Avrupa Birliği Veri Koruma Direktifi Ekseninde Hassas (Kişisel) Veriler ve İşlenmesi”, İstanbul Üniversitesi Hukuk Fakültesi Mecmuası, C. LXIX, S.l -2, 317-334, Y.2011. Kılıç, Şebnem. Türk Hukukunda Grup Toplu İş Sözleşmeleri ve Çerçeve Sözleşmeler, İstanbul: Beta Yayınevi, 2019. Köme Akpulat, Ayşe. İş Mahkemelerinde Yargılamanın Özellikleri, İstanbul: Onikilevha Yayınevi, 2018. Küzeci, Elif. Kişisel Verilerin Korunması, İstanbul: Onikilevha Yayınevi, 2021. Narmanlıoğlu, Ünal. İş Hukuku-II Toplu İş İlişkileri, İstanbul 2016. Ocak, Saim/Duman, Barış/Yılmaz, Dursun. Yargı Kararları Işığında Sendikal Nedenle Feshin İspatı ve Sendikal Fesih Karineleri, Ankara: Seçkin Yayınevi, 2021. Özer Deniz, Miray. “İşçilerin Özel Nitelikli Kişisel Verilerinin Korunması ve Bundan Doğan Sorumluluk”, Türkiye Adalet Akademisi Dergisi, Y. 12, S.45 (Ocak 2021). Sur, Melda. İş Hukuku Toplu İş İlişIk.iUleLriU, SALnAkRaAraR: ATuSIrhan Kitabevi, 2019. 12-14 Kasım 2021 KİŞİSEL VERİLERİ KORUMA KONGRESİ 147 Bilgi Çağında İlgili Kişinin Bilgi Alma Hakkı ve ÖZER ; Sendikalar ve Kişisel Veri Mahremiyeti Şekerbay, Hakkı. Özel Nitelikli Kişisel Veri Olarak Sendika Üyeliği ve Türkiye’de Sendikal Ayrımcılık, Yayınlanmamış Doktora Tezi, Gazi Üniversitesi Sosyal Bilimler Enstitüsü, Ankara 2022. Şenocak, Kemal. “Kişisel Veri Kavramının Kapsamı ve Unsurları”, Muhtelif Yönleriyle Kişisel Verilerin Korunması Hukuku, Editör: Kemal Şenocak, Ankara 2022. Tuncay, Aziz Can/Savaş Kutsal, Burcu, Toplu İş Hukuku, İstanbul: Beta Yayınevi, 2019. Uncular, Selen. İş İlişkisinde İşçinin Kişisel Verilerinin Korunması, Ankara: Seçkin Yayınevi, 2014. Yamakoğlu, Efe. “İşçiye Ait Özel Nitelikli Kişisel Verilerin Korunması”, Muhtelif Yönleriyle Kişisel Verilerin Korunması Hukuku, Editör: Kemal Şenocak, Ankara: Onikilevha Yayınevi, 2022. 148 12-14 Kasım 2021 KİŞİSEL VERİLERİ KORUMA KONGRESİ I. ULUSLARARASI Bilgi Çağında İlgili Kişinin Bilgi Alma Hakkı ve 2I.. UULLUUSLARARASI 16 1-21-174KKaassımım 2200231 KİŞİSEL VERİLERİ KORUMA KONGRESİ BilgBilielgrinÇGağelıencdeağiİnlgiiBlieKlirişleinmine HBialkgikAınlımnaİşHçiankinkıKvieşisel Verileri BTakicıamrıinSdıarnÇDateığşmeralesnı dirilmesi KŞeühbrriabaDnEİMpeİkRA* şıkoğlu* ÖZET KGiüşnisüeml üvezrdielearkinıllkı ocrihuanzmlaar,sıbühyaükkıvneınri,tneemsneleilnedrienyinerteranlaenti,hüaçkblaoryduatnlubyiarizsıicı“lbari,lgyialeprainy gzelkeâcevğeinbiubluetlitrelekmnoelohjailkekriı”dilıer.teBtilkglielenreinn dgöerledcüenğciünisabnealiyrliedmeevrhimakiküır-eintifmordmeantitoünkaeltismelef dteedtearmikizniantcioirninginenheelrkaişşailmikashıankdkaınetıkni dgöasbteirmpeakrçteadsıiro. lBaruaektkkiaibleulheızdlialmgeelkiştednitre. kBnuolhoajik, çgeertçiremveişsinodldeuğişuçi;biklgişiisvele haalgyaı tiıleileinislagnilliarbıilggeilreirdien baıçrıakklamnamktaadzıar.mGaneırnçaekvteenbdilegilbeirligni iççaeğrıinğdinainbükyaüpksamveırniahkaacriamr,vherızmveehaçkekşiıtnliaksaöhziepltliikr.leriyle anılmakta ve dev bir bellek İollkadraekfaç1a9lı8ş3ırykıelınn;daayAnılmzaamnaAnndaayianssaaMn ahhakyeamtıneısni thaerrafnınodktaansıvnedrialeentkbiisrinkiargaörsdtaerkmulelkanteıdlainr. bBuilghia,kb; eklilşeikselvveeraillgeır,ininksoanrulınğmınasvıanralığilıinşkdiannhiatizbıralraennanhegrerzeakmualnusillagriarçaeskı igceirebkirukluosnaul dolümzeunşlteumr. eİlenrsiandlıeğıentkbileelmlekiştiür.zeSriönze kaonnlaumsulanhdaıkrmöazüçnadbealabriıresyülerererkekniş,isteelknvoelroiljeinriinn kyoarrautnmmışasoınldıutğaulepbuetdmeve hbaekllkeığninı vçearlmışmekatepdrire.nBsiubi,çasloışnmuça vçeerçveevreisüinredtemiesesibsitlegmileinriinn ganeleacşeılğminaisbı iesleirvleemriesihişalkeknıennınilgişiçli kvieşilşevreerebnirihliaşkioslianrdaekgteösriüsneüdmilmü ieşlteira. lKınişaicsaekltvıre.rilerin korunması alanında bireylere tesis edilmiş haklar ve veri sorumlularına getirilmiş olan skbİsbvİiyohvşşşüoeiiulüeelvçlşuerrrlrkkgieiiueimşnnsriüulrtcmlelemeiumkeeeinrlnnrnklamieulmvniddtüsnbueseeieiilaunudnryrükiiinigdhklşlrtbheamulae[lkae1ireadnk]rogete.rrktımlkr,esırKautezu.itıbakğrneniainniriBısşuseırşimminiıelniinsnmgmrybueaeeıelanlyisyreyşhdğıaavçrlüalevneoieieıtknyknardklsreüaarkeiııokmllnrnmtıaeıl.iltğainşearkaalBıniimnlüalynsaabuvıpeldmenrüvikeslılımeykbgnanovdvramillardeıaeielauşğlearrvtıenkrimnniyarolinimiadeinsrşlaireraaiiabiiaosnnyşnsiirenlglrıündlelüikehakcmgmsutnvnoaeiüeiğkeemrcdlelmueuevrelaeaincandzkçlmlirüeseeımudoe,kığlbreandüiiiaiitknluiğlşsıgüraeivgisıüışkizcuezelieaaeesirvatbndlpreekidaeerdikilnstnnlıeliiaaieriirıdcşvlr.nmnn[gieele2myed]ikrİkı.rlkmenşaitieiıiçikzdnşrkeivkia.işianfiesonlşateierbheniBanımilynimttailreiivlkgeoşgekgekitilllieielreüslışaeçieesümillersindemrçsirieesreşenallaitçecivtnrlfidiıiüahnavşğigmmmaaheiliieşnmklralliaaçiekekiylinakmkencşıkellt,reiımtaıaokşişiğvnrndinmlâieıesdaniıninesrnrnnaaıiıiil. kKaipşissaeml vınedrialeerilne haulıknuakcai kbokyountuulkairşdialink hbairkiskiıd, imr.üAlkyinyıetzavme fainkdriamçüallkışimyeatdtaeotreimlereil aoltlaınrdaka itşaçrtinışiınlırkkieşnis[e3]l; vveerriilieşrlienmine kmoertuontlmaraısvıneıbtualaelpanedtamgeesliişbtairkiılmmiışndoalannnaelggoirbitimhaalkalrairsıevtaircdaırri hsoaryuastutanöanieşmililşikbiisrinreinkatbüemt asrüarceıçolelarriaakçıdseınğderalnencdeivrailpmaerkantemdiar.yYa eçnailıeşıkloacnaokmtıirn. in yapı taşı oAlnaanhvtaerridKeenliemneoleprt:imBiallgidleürzienydgeeleycaerğairnlianbmelairalemmaeçlhı aykokğıu, nişyçaintıirnımkliaşirsınelyvaeprıillderıği,ı dkiişjiitsaell dveürnilyeardina,işalelngomreitsmi. aların ve veri işleme metotlarının korunması, tacirler bakımından büyük önem taşımaktadır. Bu kapsamda da kişisel verisi işlenen kişinin özellikle otomatik karar mekanizmalarının çalışma prensibine ilişkin bilgi alma hakkı ile veri sorumlusunun fikri mülkiyet hakları ve ticari sırlarının korunması arasındaki dengenin sağlanması bir problem olarak karşımıza çıkmaktadır. Teknolojik gelişmeler ışığında kanun koyucuların artan şeffaflık beklentisine tezat bir şekilde veri sorumluları, büyük veri uygulamalarının çalışma prensiplerine ilişkin *Şehriban İpek Aşıkoğlu, Araştırma Görevlisi İstanbul Üniversitesi Hukuk Fakültesi, Avrupa Birliği Hukuku Anabilim Dalı, İstanbul Üniversitesi Sosyal Bilimler Enstitüsü Özel Hukuk Doktora Programı Öğrencisi [1] Mesut Çekin, Avrupa Birliği Hukukuyla Mukayeseli Olarak 6698 Sayılı Kişisel Verilerin Korunması Kanunu, Ocak 2018, s. 88 [2] Bilgi alma hakkının erişim hakkından ayrı olduğuna ilişkin bkz. Sandra Wachter, Brent Mittelstadt, Luciano Floridi, “Why a Right to Explanation of Automated Decision-Making Does Not Exist in the General Data Protection Regulation”, International Data Privacy Law, 2017, s. 16-19. *H[3Dü]soİeklygtoiinrliÖCtağarrnetıtAşimmkasÜolayyer,siKi,çSiişnivisabesklCzVKu.emErİihlŞlieufİrrSiKinyEeüKtLzÜeocnrViui,vEneKmrIRsi.aişİtUiseLsıse,LiElAHURVnueSkkİruLaiKkrlAeaFOr,RaiÇnkRAüaKUkltRmeoMsrAiau,kASknomYIzKa@aysOcııun,NmeAvGhniu,kRr2aiy0Erea1tS,.0eİT,dusu.r.th8r,a50n.00K0i-t0a0b0e2v-1i22,0-127430-K158a0s,8ım5s.260221; 14291 Bilgi Çağında İlgili Kişinin Bilgi Alma Hakkı ve DEMİR ; Bilgilerin Geleceğini Belirleme Hakkının İşçinin Kişisel Verileri Bakımından Değerlendirilmesi Evaluation Of The Right To Informational Self Determination In Terms Of The Personal Data Of The Employee One of the rights underlying the right to protection of personal data is the “right to informational-self determination.” Informational self-determination is also recognized as part of the general right to personality. Within the framework of this right, the employee has the right to decide on the timing of the disclosure of information about his/her personal life and the scope of the content of the information. This right, which was used for the first time in a decision by the German Constitutional Court in 1983, has also affected both international and national regulations on the protection of personal data. In essence, this right gives individuals the right to demand the protection of personal data. Within the framework of this study, the appearance of the right to informational-self determination in the employee and employer relationship will be discussed. The employer’s interest in processing business data conflicts with the employee’s right to the protection of personal data. The real utilization of this right by the employee depends on being informed about the personal data processing process. This situation will ultimately bring up certain obligations of the employer in the process of processing personal data. One of the reflections of the right to informational self determination is explicit consent. The existence of the consent of the employee in the processing of personal data or the validity of this consent is one of the issues to be addressed within the scope of the study. At the same time, the study will try to answer the question of what rights the employee has in terms of requesting the protection of personal data in terms of all processes of the employment relationship. Keywords: Informational - self determination, personal data of the employee, processing of personal data 150 12-14 Kasım 2021 KİŞİSEL VERİLERİ KORUMA KONGRESİ I. ULUSLARARASI Bilgi Çağında İlgili Kişinin Bilgi Alma Hakkı ve K.V.K.K. 2. ULUSLARARASI KİŞİSEL VERİLERİ KORUMA KONGRESİ GİRİŞ Hukuki bir kavram olarak kişisel verilerin korunması düşüncesinin tarihi çok eski değildir. Bilişim teknolojilerinde meydana gelen gelişmelere paralel olarak ilerleyen kişisel verileri koruma ihtiyacının temelinde “mahremiyet” kavramının olduğunu söylemek yanlış bir ifade olmaz. Kişisel veriler kavramının teoride arka planını oluşturan mahremiyet kavramının hukuki alanda tanımlanması, korunması gereken değerlerin ne olması gerektiği noktasında önemlidir (Balkan 13, 14). Teknoloji ilerledikçe bireylerin mahremiyetinin korunması gerekliliği büyük önem kazanmaktadır. Her sektöre hizmet veren kuruluşlar, faaliyet gösterdikleri bölgeye ve bireylerin kökenlerine göre ilgili düzenleyici kurallara uygunluk göstererek işledikleri kişisel verilere saygı göstermelidir. Bununla birlikte, mahremiyetin korunması kavramı, uygulandığı özel bağlama göre farklı şekilde ele alınmaktadır. Bilgi teknolojileri sektörü gibi hukuk sektörü de kişisel verilerin korunması kavramının tanımlanması ve ele alınması sorunuyla uğraşmak zorundadır. Küresel manzara adım adım değişmekte ve önemli ölçüde artan teknolojik ilerlemelerle uyumlu düzenleyici çerçeveler geliştirmektedir. Anılan kapsamda 2016 yılında hazırlanmış olan Avrupa Genel Veri Koruma Tüzüğü (GDPR)2 (Diamantopoulou et al. 427) küresel olarak veri koruma hukukunda “altın standart” olarak değerlendirilmekte, dünya çapında çeşitli ülkeler GDPR ile ortak bir dizi temel ilkeye dayalı olarak veri koruma ve gizlilik alanlarında yerel mevzuatı uygulamakta veya değiştirmektedir (Diamantopoulou et al. 428). GDPR, bilgi ve iletişim teknolojileri ile bilgi akışları ve hizmetlerin küreselleşmesinin oluşturduğu dünyaya yeni yükümlülükler ve yeni haklar getiren yeni bir tüzüktür. Tüzüğün yönelimi, kişisel verilerin güvenliğini desteklemek ve böylece vatandaşların haklarını destekleyebilmektir. Tüzük, kişisel verilerin işlenmesi ve bu verilerin serbest dolaşımına ilişkin olarak bireylerin korunmasına yönelik gereklilikleri ortaya koymaktadır. Avrupa vatandaşlarının kişisel verilerini yöneten kamu ve özel kuruluşlar için zorunludur. Amaç, Avrupa Birliği’ndeki (AB) vatandaşların kişisel verileri üzerinde (daha fazla) kontrol sahibi olmalarıdır (Diamantopoulou et al. 430). Söz konusu kontrol ise bilgilerin geleceğini belirleme hakkı ile doğrudan ilişkili bir durumdur. Bilgilerin geleceğini belirleme hakkı ise temelini mahremiyet kavramından alır. Mahremiyet konusu “Bilgi Toplumu” için yeni bir endişe konusu olmadığı gibi, benzersiz de değildir. Sosyal çevreyle; onun büyüklüğü, yapısı ve doğasıyla; yeni sosyal alanların ve insanların faaliyet alanlarının ortaya çıkmasıyla ilgilidir (Diamantopoulou et al. 428). Kişisel verileri koruma hukuku sınırları oldukça geniş olan bir hukuk dalıdır. Bilgilerin geleceğini belirleme hakkını açıklamaya çalışırken söz konusu hukuk dalının özellikle bu hakka hizmet eden yönüne değinilmeye çalışılacak ve bu kapsamda açıklamalar yapılacaktır. Çalışma kapsamında ilk olarak bilgilerin geleceğini belirleme hakkının temelini oluşturan mahremiyet kavramı ve mahremiyet hakkından kısaca bahsedilecek devamında ise bilgilerin geleceğini belirleme hakkı ve bu hakkın işçinin kişisel verileri kapsamında değerlendirilmesi incelenecektir. 2 GDPR, AB vatandaşlarının kişisel verilerinin korunmasına yönelik daha somut bir çerçeve oluşturmak üzere yürürlüğe gir- miştir. Bu düzenlemenin etkisi iki şekilde AB sınırlarının ötesine geçmektedir. İlk olarak, GDPR, AB vatandaşlarıyla iş yapmak ve etkileşimde bulunmak isteyen AB üyesi olmayaIn. iUşleLtmUeSleLr AiçiRn AbirRkAolSayIlaştırıcı görevi görmektedir. İkinci olarak, GDPR, gmeanliaşruı yiçgiunlabniratbeimlirelilğvievielhgaemnelkliağyKinnaİeğŞdıİeoSnlaiEyralLek, dkViuğElelarRnüıİllkaLbeliEelirrRi.nİkeKnOdi RveUri MkorAumKa OyöNneGtmRelEikSleİrini ve yasal çerçe1v2e-l1e4riKnai soımluş2t0u2r1- 151 Bilgi Çağında İlgili Kişinin Bilgi Alma Hakkı ve DEMİR ; Bilgilerin Geleceğini Belirleme Hakkının İşçinin Kişisel Verileri Bakımından Değerlendirilmesi 1. Mahremiyet Kavramı Bireylerin başkaları açısından ne ölçüde tanınıp bilinir olduğu, bireylerin birbirine fiziki anlamda hangi ölçüde ulaşabilir oldukları ile yakından ilişkili olan mahremiyet kavramı içeriğindeki belirsizlik ve çok anlamlılık nedeniyle tanımlaması oldukça zor olan bir kavramdır (Yüksel 277). Öğretide de mahremiyet kavramının karmaşık ve çok yönlü bir yapıya sahip olmasının onun tek bir teori ya da çerçeve ile tanımlanmasını imkânsız kıldığı ifade edilmiştir (Wisnievski and Page 15). Arapça bir kelime olan mahremiyet kavramı sözlük anlamı itibarıyla incelendiğinde “bir kişiye ya da topluluğa mahsus olan bilgi ve özellik” olarak ifade edilebilir. Türk Dil Kurumunda (TDK) ise mahremiyet kavramı “gizlilik” olarak ifade edilmiştir (www. sozluk.gov.tr ET: 3.11.2023). Mahremiyet kavramı üzerine yapılmış pek çok tanım bulunmaktadır, bir kimsenin kendisine ya da grubuna ulaşma çabası üzerindeki seçici kontrol olarak ifade edilen tanımda kavramın ayırt edici niteliği ortaya koyulmakta ve tema olarak bireylerin kendileri hakkındaki bilgi ve sosyal etkileşim üzerindeki hakimiyetine ilişkin noktayı vurgulamaktadır. Üstelik yapılan tanımda mahremiyetin diğer boyutları da dışlanmamaktadır (Yüksel 278). Mahremiyet kavramının işlevsel bir kavram halini alması için bir yandan ayrılıkları barındıran diğer yandan tutarlı ve bütünleşik bir durumu temsil eden kavram haline getirilmesi gerekir. Buna göre kavramın üç farklı bağlamda tutarlılığı sağlaması gerekir. Bunlardan ilki; kavramın yansız bir içeriğe sahip olması gerekliliğidir. Bu gereklilik hem bireysel hem toplumsal alanda ortaya çıkabilecek mahremiyet kayıplarını sağlama açısından önemlidir. İkincisi değer olarak ele alındığında mahremiyet kavramının tutarlı ya da düzenli bir bütünlük ifade etmesi gerekir. Anılan tutarlılık sayesinde mahremiyet kavramı ile neyin istenip istenmediği, nasıl bir hukuki düzenlemenin uygun olacağı noktasında kanaate varılabilecektir. Son olarak mahremiyet kavramı ancak hukuki bağlamda kullanışlı bir kavram olabildiği takdirde, hukuki koruma gerektiren durumların ya da olayların tespit edilebilmesi mümkün olabilecektir (Yüksel 277). Mahremiyet kaygısı, bireylerin kişisel verilerini ortaya çıkarmaya dair kararlarında kilit faktör olarak incelenmiştir. Bireyler kişisel bilgilerinin ifşa edilmesinin ortaya çıkaracağı zarara karşılık bir gizlilik hesabı yapmaktadırlar. Bununla beraber “mahremiyet paradoksu” araştırması; bireylerin mahremiyet endişesi ile kendilerine ait bilgilerini ifşa etme davranışı arasında genellikle bir kopukluk olduğunu göstermiştir (Wisnievski and Page 16). Mahremiyet özellikle bilgi sistemleri alanında genellikle “bireylerin kendileri hakkındaki bilgilerin başkalarına ne zaman, ne ölçüde ve nasıl iletileceğini kontrol etme yeteneği” olarak tanımlanır (Ellison et al. 19, 32). Mahremiyetin farklı alanlarda kavramsallaştırılmasına rağmen, pek çok alan arasındaki ortak nokta kişisel bilgilerin ortaya çıkarılması ile ilgili olarak kavrama yapılan tek taraflı vurgudur. Mahremiyeti kişinin kendine ait verileri üzerindeki kontrolü olarak görmenin, mahremiyeti özel ve kamusal bilgi ifşaları arasında ikilemli olarak ele alma sonucu doğuracağı ifade edilmiştir (Wisnievski and Page 16, 17). Mahremiyet kişinin kendine ait verileri üzerindeki kontrolü olarak ifade edilse de mahremiyet her zaman başkaları tarafından saldırıya uğramaz, bahsedilen gizlilik aynı zamanda kişinin kendisi tarafından da ihlal edilebilir (Yüksel “Mahremiyet Hakkı” 185). 152 12-14 Kasım 2021 KİŞİSEL VERİLERİ KORUMA KONGRESİ I. ULUSLARARASI Bilgi Çağında İlgili Kişinin Bilgi Alma Hakkı ve K.V.K.K. 2. ULUSLARARASI KİŞİSEL VERİLERİ KORUMA KONGRESİ Mahremiyet kavramının tanımı üzerine inşa edilen mahremiyet hakkı “Right to Privacy” ise; bireyin yalnızca özel ve aile hayatının korunmasını kapsamaz aynı zamanda bireyin kendisine ait bilgileri üzerinde denetim ya da egemenlik hakkını da içerir. Anılan açıdan mahremiyet hakkı; içeriğinde hem bir şey yapma ya da etme anlamında pozitif yükümlülükleri hem de bir şeyi yapmaktan kaçınma anlamında negatif yükümlülükleri barındırır (Yüksel 279). Mahremiyet hakkının hukuk terminolojisine dahil edilmesi, kavramın bilimsel olarak incelenmesi ile mümkün olmuştur. Hakkın ortaya çıkışı 1890 yılında Amerika Birleşik Devletleri’nde yayımlanan Samuel D. Warren ve Louis Brandeis adlı iki genç hukukçunun beraber çalıştıkları “The Right To Privacy” adlı makale ile gerçekleşmiştir (Balkan 15).3 Avrupa İnsan Hakları Sözleşmesi’nin (AİHS) denetim organları tarafından verilen kararlarda mahremiyet kavramının çekirdeğini oluşturduğu özel hayata saygının kapsamı belirlenirken “bireyin kişiliğini geliştirmesi ve kendini gerçekleştirmesi” kavramı temel alınmıştır. Ancak özel hayatın korunması kavramının yalnızca mahremiyet hakkına indirgenemeyeceği gerçeği göz önüne alındığında kişiliğin serbestçe gelişmesi ile uyumlu birçok hukuksal çıkar söz konusu hakkın kapsamına dahil edilmiştir (AYM, 13:10,2016, E: 2014/16701, K: 13:10:2016, parag. 41. https://www.sahinpolat.com/ozel- hayatin-gizliliginin-ihlali-hakkinda-anayasa-mahkemesi-karari,2,20399 (Erişim Tarihi: 8.11.2023). Bilgilerin geleceğini belirleme hakkı da bu hukukî çıkarlardan biridir. Çalışma kapsamında bilgilerin geleceğini belirleme hakkı işçinin kişisel verileri açısından ele alınacağından mahremiyet hakkı üzerinde daha fazla ayrıntılı bilgi verilmeyecektir. Ancak özetle denilebilir ki mahremiyet kavramı hem mahremiyet hakkının hem de kişisel verilerin korunması hakkının tarihsel gelişim sürecinde temel kriter olmuş ve her iki hakkın belirlenmesinde çıkış nokta “mahremiyet” olmuştur (Balkan 16). Kişilerin rızası dışında onların kişisel bilgilerine ve fiziksel mahremiyetine yapılan saldırıdan korunma durumu olarak ele alınabilecek bu kavramın (Bok 14) bilgilerin geleceğini belirleme hakkı ile doğrudan bağlantılı olduğunu ifade etmek yanlış olmayacaktır. Dijital ortamda, özellikle de internette, bireylerle ilgili çok büyük miktarlarda bilgi işlenmektedir: bilgiler ifşa edilmekte, yayılmakta, paylaşılmakta; seçilebilmekte, indirilebilmekte, kaydedilebilmekte ve her türlü şekilde kullanılabilmektedir. Bilgilerimizi kime açıkladığınızın kontrolü oldukça hassas bir konudur. Günümüzde “Google” gibi arama motorları çeşitli bağlamlardan gelen bilgileri bir araya getirmektedir. Bunu yaparak, verileri ilk çevrelerinden çıkarmakta ve bilgileri kime ifşa ettiğimizi kontrol etmeyi oldukça zorlaştırmaktadırlar. Diğer zorluk ise ifşanın gerçekleştiği anla ilgilidir. Hayatımızın bir aşamasında ifşa ettiğimiz şeyin sürekli olarak erişilebilir olmasını istemeyiz. Bu aşamada kişinin bilgilerinin geleceğini belirleme hakkının yanında kişilere unutulma hakkının tanınıp tanınmayacağı sorusu gündeme gelmektedir (Terwagne 5, 6). Söz konusu noktaya odaklanmadan önce, kesinleştirilmesi gereken bir terim kalmaktadır. Kişisel bilgi ya da kişisel veri kavramı, ‘klasik’ mahremiyet yaklaşımında olduğu gibi mahremiyet fikri ile ilişkilendirilmemesi gerektiği için çok geniş bir şekilde ele alınmalıdır (Terwagne 6). Bilgilerin geleceğini belirleme hakkının unutulma hakkı ib3 lAeelnectbaakalobğnude”çaabşlaıtşşmılırğaııdlamalntınaödnsacıenmdıaenh1rKe8tm8eİ8iŞmyyeİıtlSeıhnEladiknLakTdıVnheıoEemlIiReal.aesİUltLMmiLEşı.şCiUtRmıorSİo(LSlKeotyAeyOhskRaaRlnkA3sUo5ıRz6lMfo)Ai.ijlASlielIreKireiOlenaNdldGeığRımkEiteaSbyİıdndaan“ayalngıez lbeırna1k2ıgl-m1e4alKihşaamskımkeı”2,l0“e2tro1 153 Bilgi Çağında İlgili Kişinin Bilgi Alma Hakkı ve DEMİR ; Bilgilerin Geleceğini Belirleme Hakkının İşçinin Kişisel Verileri Bakımından Değerlendirilmesi neticesince bilginin her zamankinden çok daha kolay kaydedilebilmesi, depolanabilmesi ve yayılması bulunmaktadır. İnternet tarafından bilginin sınırsız bir şekilde depolanması özellikle sosyal medyalar aracılığı ile kişiye ait en ufak ayrıntıların saklanabilmesi ile kişiler kendilerine ait bilgiler üzerinde kontrolünü yitirmektedir. Bu açıdan bireyin kendisine ait bilgileri üzerinde bilginin geleceğini belirleme hakkından bahsedilmesi oldukça doğal karşılanmalıdır (Soysal 347). Kavramın ele alınış şekli ile bireylerin hangi bilgileri üzerinde kontrol yetkisinin olup olmadığı yani bilgilerinin geleceğini belirleme hakkının çerçevesi daha iyi anlaşılacaktır. 2. Bilgilerin Geleceğini Belirleme Hakkı Bilgilerin geleceğini belirleme hakkı (Informational-Self Detemination-Informationelle Selbst-bestimmung)4 ilk olarak 1983 yılında Alman Anayasa Mahkemesi tarafından verilen Cencus Act - Volkszählungsgesetz-VolkszählungsG kararında gündeme gelmiştir. Söz konusu hakka göre kişi, kendisi hakkında işlenen bilgilerin işlenme şartları konusunda ve üçüncü kişilerin veri işlemesi hususunda tasarruf etme hakkına sahiptir. Öğretide söz konusu hak; kişisel verilerin korunması hakkının münferit bir kişilik hakkı olduğu kabul edildiğinde anılan hakkın korunmasına hizmet etmesi amacıyla türetildiği ifade edilmiştir. Kişisel veriler üzerindeki hak; niteliği ele alındığında kişilik hakkının bir görünümü olan bilginin geleceğini belirleme hakkıdır. Kişisel verilerin korunması hakkı içeriğinde mülkiyet hakkı, fikri mülkiyet hakkı ve özel hayatın gizliliği kurumlarının özelliğini barındırmaktaysa da bu hakların hiçbirisi kişisel verilerin sui generis yanını karşılayamamaktadır (Tepe 43). Alman Anayasa Mahkemesi tarafından verilen karar döneminde kişisel verilerin korunmasına ilişkin özel düzenlemeler olmadığından kişisel verilerin korunmasına Alman Anayasa Mahkemesi’nin kararları yön veriyordu (Soysal 342). Bilginin özerkliği olarak da ifade edilen bu hak, kişinin kendisiyle ilgili bilgilerin kontrolüne sahip olması ve bu bilgilerin kimlerle, ne ölçüde ve ne amaçla paylaşılabileceğine karar verilebilmesi olarak tanımlanabilir. Bilginin kişi tarafından kontrol edilebilmesi yalnızca bilginin kullanımı ile sınırlı şekilde düşünülmemeli aynı zamanda kişi bilginin akıbetini takip edebilmeli ve belirleyebilecek şekilde müdahalede de bulunabilmelidir (Soysal 345). Başka bir deyişle kontrol kavramı ile aynı zamanda kişinin verilerinin kullanımına karar verme olasılığı kadar olmasa da, en azından bunların akıbetinden haberdar olma, kimin sizin hakkınızda ne bildiği ve ne yapacağı konusunda bilgi sahibi olma hakkı anlamına da gelebilir (Terwagne 5). Bilgilerin geleceğini belirleme hakkı ve unutulma hakkı, anılan açıdan birbirleriyle doğrudan bağlantılıdır. Unutulma hakkının özünde bir zaman sonra kişilerin kendilerine ait bilgilerin farklı bağlamda kullanılmasına karşı çıkma hakkı yer almaktadır. Kişiye ait geçmişte yer alan bilgi, gerçekleştiği tarihte kişiyi rahatsız etmese bile ilerleyen süreçte özellikle teknolojinin kullanımı söz konusu olduğunda bilgilerin işlenmesi kişiler açısından farklı sonuçlar doğurabilir. Bu açıdan unutulma hakkı; kişinin tasavvurlarını değiştirebilme ya da söz konusu bilgilerden pişman olabilme hakkını barındırır. Anılan açıdan unutulma hakkının kişiye, kontrolünü kaybettiği bilgiler üzerinde yeniden kontrol sağlama imkânı veren bir araç olduğu ifade edilebilir (Soysal 348). 4 Kavramın tam olarak karşılığının “enfermasyonel kendi kaderini tayin hakkı” olduğu ancak Türkçe’de anlamını daha iyi nite- lediği düşünüldüğü için bilgilerin geleceğini belirleme hakkı şeklinde çevrildiği ifade edilmiştir (Küzeci 53). 154 12-14 Kasım 2021 KİŞİSEL VERİLERİ KORUMA KONGRESİ I. ULUSLARARASI Bilgi Çağında İlgili Kişinin Bilgi Alma Hakkı ve K.V.K.K. 2. ULUSLARARASI KİŞİSEL VERİLERİ KORUMA KONGRESİ “Census Act” kararının verilmesinden sonra Avrupa Konseyi parlamenterler Meclisi 428/1970 sayılı kitle İletişim Medyası ve İnsan Hakları Deklerasyonu metninde “bir kimsenin en az müdahale ile kendi hayatını yaşama hakkı” tanımı ile mahremiyet hakkını tanımlamış, sözü edilen Deklerasyondan 30 yıl sonra 1165/1998 sayılı Deklerasyon’da gelişen teknoloji ile beraber yeni iletişim teknolojilerinin kişisel verilerin depolanması ve kullanımını mümkün hale getirdiği belirtilerek, “kişinin kendi bilgilerini kontrol hakkı”nın bu tanıma eklendiği belirtilmiştir (Terwagne 5). Bilginin geleceğini belirleme hakkının hukukî niteliğine değinmeden önce Alman Anayasa Mahkemesi tarafından verilen karara kısaca değinilecektir. 2.1. Alman Anayasa Mahkemesi’nin 1983 Tarihli Census Act Kararı’nın Özeti Almanya’nın hem Nazi iktidarı döneminde Yahudileri hedef alarak gerçekleştirdiği soykırım (holocoust), hem de soğuk savaş döneminde inşa edilen (1961) Berlin Duvarı ile Doğu ve Batı Almanya şeklinde gerçekleştirilen ikiye bölünmüşlük olgusu, ülkenin hem nüfus sayım noktasında hem de kişisel verilerin toplanmasına ilişkin özel bir hassasiyet sergilemelerine neden olmuştur. Ülkenin siyasi tarihi nedeniyle nüfus sayımı konusunda yaşanan aksaklıklar neticesinde öncelikle nüfus sayımı konusunda münferit bir kanun hazırlığına girişilmiş ve nihayetinde 1982 yılında Alman Nüfus Sayımı Kanunu ((Volkszählungsgesetz-VolkszählungsG/Census Act) Parlamento’da kabul edilmiştir. Kanunda yer alan düzenlemeye göre Almanya’da gerçekleştirilecek nüfus sayımında ülke vatandaşlarının kimlik bilgileri, medeni durumları, işleri ve çalışma zamanları, eğitim bilgileri nüfus sayımı esnasında sorulacak anket sorularıyla cevaplandırılacak ve tüm bu bilgiler Alman İstatistik Kurumu tarafından derlenebilecekti. Sayım esnasında kişilerin bilgilerine yönelik soruların cevaplanması ise zorunluydu. Aslında istatistik biliminin özünde kişilerin bu tür bilgilerinin istatistik kurumları tarafından derlenmesi ve değerlendirilmesi bulunmaktadır. Ancak nüfus sayım esnasında toplanan bilgilerin anonim özelliği taşımaması ve bu noktada cevaplamaya dair getirilen zorunluluk kamuoyu nezdinde endişelere neden olmuştu (Soysal 342). Alman Nüfus Sayım Yasası uyarınca istatistiksel bilgiler; gerek bölgesel planlama gerek seçim bölgelerini yeniden belirleme, çevre düzenlemeleri gibi amaçlarla yerel yönetimlere aktarılmaya elverişli haldeydi. Bu durum ise hem merkezi planlamaya karşı şüpheci yaklaşımların artmasına hem de esas olarak kişisel verilerin korunması ile ilgili kaygıların ortaya çıkmasına neden olmuştur (Küzeci 55). Alman Anayasa Mahkemesi tarafından verilen kararda Nüfus Sayım Kanununun genel amacı Anayasa’ya aykırı bulunmamış ancak yasanın vatandaşların temel hak ve özgürlüklerini koruma noktasında gereken güvenceleri barındırmadığına değinilmiş ve ilk defa “bilgilerin geleceğini belirleme hakkı” kavramından söz edilmiştir (Küzeci 55; Soysal 344). Alman Anayasa Mahkemesine göre: “Modern veri işleme bağlamı dikkate alındığında, bireylerin kişisel verilerinin sınırsız bir şekilde toplanması, depolanması, kullanılması ve aktarılmasına karşı korunması genel kişilik hakkı çerçevesinde ele alınmıştır. Bu açıdan genel kişilik hakları; kişisel verilerin ifşası ve kullanımı konusunda kendi kararlarını garIa.nUtLi UalStıLnAaRaAlıRr.A‘BSIilgisel kendi verme yetkisini prensip olarak kaderini ta12y-1in4 Khasaımk2k0ı2-1 VERİLERİ KORUMA KONGRESİ KİŞİSEL 155 Bilgi Çağında İlgili Kişinin Bilgi Alma Hakkı ve DEMİR ; Bilgilerin Geleceğini Belirleme Hakkının İşçinin Kişisel Verileri Bakımından Değerlendirilmesi bilgilerin geleceğini belirleme hakkı’nın kısıtlanması yalnızca kamu yararının öncelikli olması durumunda mümkündür. Bu tür kısıtlamalar hukukun üstünlüğü gözetilerek hukuki belirlilik şartını sağlayarak anayasal bir temele sahip olmalıdır. Yasama organı bu açıdan kanuni düzenlemelerin orantılılık ilkesine saygı göstermesini sağlamalıdır ve kişilik haklarının ihlali tehdidini engelleyen örgütsel ve prosedürel önlemler için de hüküm vermelidir. 1983 Nüfus Sayım Yasası kapsamında getirilen anket programı, insan onuruna uygun olmayacak şekilde kişisel verilerin kaydedilmesini ve sınıflandırmasını gerektirmemelidir; bu nedenle hukukî belirlilik ve orantılılık ilkesi gereklerini de kapsamalıdır. Bu açıdan bilginin kendi kaderini tayin hakkını (bilginin geleceğini belirleme) korumak için bu tür verilerin toplanması ve düzenlenmesi hususunda prosedürel önlemlerin alınması gerekir (BVerfG, 15.12.1983 tarihli karar- 1 BvR 209/83, 1 BvR 269/83, 1 BvR 362/83, 1 BvR 420/83, 1 BvR 440/83, 1 BvR 484/83. https:// freiheitsfoo.de/census-act/ (ET:5.11.2023).5 Alman Anayasa Mahkemesi tarafından verilen karar hem Federal Veri Koruma Yasası’nda yer alan güvencelerin, anayasal gereklilikler çerçevesinde güçlendirilmesini sağlamış hem de Avusturya, Norveç, Finlandiya, Hollanda gibi ülkelerde gerçekleştirilen yeni düzenlemeleri de etkilemiştir. Kararda, parlamentoda oybirliği ile kabul edilen ancak devletin “veri açlığı”nı ortaya koyan tutumu gerekçesiyle ciddi toplumsal tepki ile karşılanan hükümler anayasaya aykırı bulunarak iptal edilmiştir. Mahkeme tarafından geliştirilen yorum; gözetim ve denetimin daha da karmaşıklaştığı ve kişisel verilerin korunmaya daha muhtaç hale geldiği bugün hala güncelliğini korumaktadır. Bu anlamda Alman Anayasa Mahkemesinin döneminin çok ötesinde bir karar verdiğini ifade etmek yanlış olmayacaktır. Kararın veri koruma alanında bir mihenk taşı olduğu söylenebilir (Küzeci 54). 2.2. Bilgilerin Geleceğini Belirleme Hakkının Hukukî Niteliği Bilgilerin geleceğini belirleme hakkı (bilgisel özerklik), mahremiyet hakkından türetilmiştir, ancak ‘mahremiyet’ kelimesinin ‘gizli olma’ veya ‘gizlilik’ olarak okunan klasik anlamında değildir. Daha ziyade mahremiyetin başka bir boyutuna, yani bireysel özerkliğe, seçim yapma, bilinçli kararlar alma kapasitesine, başka bir deyişle kişinin hayatının belirli yönleri üzerinde kontrol sahibi olmasına atıfta bulunur. Kişisel bilgilerle ilgili olarak, sözü edilen bireysel özerklik, ilk kez Alman Anayasa Mahkemesinin 1983’teki önemli kararında belirttiği gibi, bilgisel özerklik veya ‘bilgisel kendi kendini belirleme’ anlamına gelmektedir (Terwagne 5). Avrupa’da “bilgisel özerklik” bir hak, yani kişisel verilerin korunması hakkı olarak tanınmış ve korunmuştur. Avrupa İnsan Hakları Mahkemesi (AİHM), mahremiyetin bu yeni boyutunu AİHS’nin 8. maddesinden türetmiştir. Avrupa Konseyi 108 sayılı Sözleşmesi, 1981 yılından bu yana kişisel verilerin otomatik olarak işlenmesine ilişkin koruma hakkını tesis etmiştir. Avrupa Birliği Temel Haklar Şartı; veri koruma hakkından özerk bir hak olarak bahseden ve bu şekilde korunan ilk genel uluslararası temel özgürlükler ve haklar kataloğudur. Madde 8/1’de “Herkes kendisiyle ilgili kişisel verilerin korunması hakkına sahiptir” ifadesi yer almaktadır. AB mevzuatında kişisel verilerin işlenmesi ve bu verilerin serbest dolaşımıyla ilgili olarak bireylerin korunmasına ilişkin 95/46 sayılı AB direktifi, kişisel verilerin korunması noktasında çok ayrıntılı bir 5 Kararın Almanca orijinal metni için bknz: https://openjur.de/u/268440.html. (Erişim Tarihi: 5.11.2023). 156 12-14 Kasım 2021 KİŞİSEL VERİLERİ KORUMA KONGRESİ I. ULUSLARARASI Bilgi Çağında İlgili Kişinin Bilgi Alma Hakkı ve K.V.K.K. 2. ULUSLARARASI KİŞİSEL VERİLERİ KORUMA KONGRESİ yasal rejim sunmaktadır (Terwagne 5). Kişisel veri alanında ilk önemli düzenleme olan Direktif 20 yıl yürürlükte kaldıktan sonra, 2016 yılında kabul edilen Avrupa Genel Veri Koruma Tüzüğü ile yürürlükten kalkmıştır. Bu Tüzük ise 2018 yılından itibaren uygulanmaya başlamıştır. Tüzükler ve Direktiflerin Avrupa Birliği (AB) üyesi devletler üzerinde uygulama etkilerinin birbirinden farklı olması ve Tüzüklerin genel kapsama sahip olarak üye devletler üzerinde doğrudan doğruya uygulama kabiliyeti içermesi nedeniyle söz konusu Tüzük, kişisel verilerin korunması adına oldukça önemli bir düzenlemedir. GDPR, Direktiften farklı olarak Tüzük şeklinde yürürlüğe girmiştir ve Resmi Gazete’de yayımlandıktan sonra tüm AB ülkeleri için bağlayıcı metin halini alır (Soysal 359). Avrupa Genel Veri Koruma Tüzüğü, 95/46 sayılı Direktife kıyasen bireyi daha fazla merkeze alan bir anlayış sergilemiş, kırtasiyecilik ve bürokrasiden uzaklaşarak daha fazla sonuç almaya yönelik düzenlemeleri ve uygulama açısından daha geniş coğrafi alanı kapsaması nedeniyle veri koruma alanında Kopernik Devrimi benzeri bir etki yaratacağı ifade edilmiştir. Direktif yerine getirilecek düzenleme konusunda yeni aracın bir direktif mi yoksa bir tüzük mü olması gerektiği konusunda büyük tartışmalar yaşanmıştır. Bir tüzük genel uygulamaya sahiptir ve doğrudan uygulanabilir (yani, üye devletler tarafından uygulanmasını gerektirmez), oysa bir direktif elde edilecek sonuçları ortaya koyar, ancak bunlara ulaşma yollarını büyük ölçüde üye devletler tarafından ulusal hukuka uygulanmasına bırakır. 95/46 sayılı Direktif ile ilgili en önemli şikayetlerden biri, direktif statüsü ile mümkün kılınan uyumlaştırma eksikliği olmuştur (Kuner 3). AİHM kararlarında “bilgilerin geleceğini belirleme hakkı” kavramına ilk defa 1984 yılında verilen bir kararda6 karşı oy yazısında yer verilmiş sonraki süreçlerde yine bu hakka karşı oy yazılarında yer verilmişse de ilk defa açıkça 2018 yılında verilen “Benedik v. Slovenya” kararında anılan haktan açıkça bahsedilmiştir. Sözleşme’nin 8. maddesinde yer alan özel hayatın gizliliğini koruma hakkının bir nevi bilgisel kendi kaderini tayin hakkını sağladığı ifade edilmiştir. 7 6 Karar antika satıcısının yapmış olduğu telefon görüşmelerini kimlerle gerçekleştirdiği bu görüşmelerin süresi ve zamanının kaydedilmesinin kişisel verilerin korunması hakkına aykırı olduğuna ilişkindi. Başvuran kişi esasen bir başka suç ile ilgili yürütülen soruşturma kapsamında kendi ev telefonunun kanunlara aykırı olarak dinlendiğini iddia etmektedir. Avrupa İnsan Hakları Mahkemesi ise hırsızlık ve malı elinde bulundurma suçundan yürütülen bir soruşturma kapsamında Mahkemeye baş- vuranın ev telefonlarında kanuni bir dayanak olmadan dinlenme yapıldığını tespit ederek başvuran kişinin özel hayatına say- gıyı düzenleyen sözleşmenin sekizinci maddesinin ihlal edildiğine karar vermiştir bu karar da karara katılan yargıç tarafından verilen mutabık görüş yazısında teknolojinin gelişmesiyle beraber bilgisayarlaşma sürecinde veri işlenme yönteminin arttığını Alman Anayasa Mahkemesi tarafından verilen Census kararında kişinin kendisine ait bilgileri ne dereceye kadar kamuya ifşa edeceğini belirleme hakkı olan bilgilerin geleceğini belirleme hakkında bahsetmiştir. Kararda “İşin içine bilgisayarlaşma girdiği andan itibaren veri işlemenin doğası ve sonuçları tamamen farklılaşmaktadır. Karlsruhe Anayasa Mahkemesi hakkı olarak “bilgisel özerklik” kavramını, yani bireyin özel hayatına ilişkin kararları hangi sınırlar içerisinde ifşa edebileceğine karar verme ve kendisini giderek artan bir şekilde “kamu malı” haline getirme eğilimine karşı koruma hakkını tanımlamıştır” ifadeleri ile çalışma konusu hakkın önemi ifade edilmiştir. Case of Malone v. The United Kingdom, Application No. 8691/79, 2 August 1984. https://www.bailii.org/eu/cases/ECHR/1984/10.html (Erişim Tarihi: 11.11.2023). 7 “…Ayrıca, yerleşik içtihada göre, belirli bir bireye ilişkin verilerin derlenmesi, kişisel verilerin işlenmesi veya kullanılması veya ilgili materyalin normalde öngörülebilir olanın ötesinde bir şekilde veya derecede yayınlanması durumunda, özel hayata ilişkin hususlar ortaya çıkmaktadır. Dolayısıyla, Sözleşme’nin 8. maddesi, bir tür bilgisel kendi kaderini tayin hakkı sağlayarak, bireylerin, tarafsız olsa da, toplu olarak ve 8. madde haklarının devreye girebileceği bir biçimde veya şekilde toplanan, işlenen ve yayılan verilerle ilgili olarak özel hayatın gizliliIğ.i UhaLklUarSınLa AdaRyaAnmRaAlaSrıIna izin vermektedir.” Application No: 62357/14, 24.04.K20İ1Ş8,İpSaEraLg. V10E3.RİLERİ KORUMA KONGRESİ Case of Ben1e2d-i1k4vK. aSslıomve2n0i2a1, 157 Bilgi Çağında İlgili Kişinin Bilgi Alma Hakkı ve DEMİR ; Bilgilerin Geleceğini Belirleme Hakkının İşçinin Kişisel Verileri Bakımından Değerlendirilmesi Alman Anayasa Mahkemesine göre bilgilerin geleceğini belirleme hakkı; hem insan onurunu (md. 1/I) hem de kişiliği serbestçe geliştirme hakkının (md.2/II) bir gereğidir.8 İçerisinde bilgilerin sınırsız bir şekilde toplanmasını, kaydedilmesini, kullanılmasını ve aktarılmasını engellemeye yönelik tedbirleri barındıran hakkın, insan onuru ile doğrudan ilişkili olduğu ifade edilmiştir. Anayasal düzenin temelinde toplumun özgür bir üyesi olan insanın onuru olduğu ve hakkında hangi bilgilerin edinildiğini, bu bilgilerin kimler tarafından hangi amaçlarla ve ne kadar süre kullanıldığını bilmeyen kişinin ise karar verme özgürlüğünün önemli ölçüde zarar göreceği belirtilmiştir. Alman Anayasa Mahkemesi anılan açıdan bilginin geleceğini belirleme hakkını; özel yaşamın gizliliği ya da mülkiyet hakkı gibi değerlerden öte insan haklarının belirleyici kavramları olan insan onuru ve bireysel özerklik ile temellendirmiştir. Söz konusu açıdan kişisel verilerin işlenmesi hususunda hukuki korumanın temelinin Alman yaklaşımında özel hayatın gizliliği ilkesine dayandırılamayacağı söylenebilecektir (Küzeci 56). Kişisel verilerin korunmasının temelinde bilgilerin geleceğini belirleme hakkının bulunduğu ileri sürülen Alman Hukuk sisteminde bu hakkın genel kişilik hakkının bir parçası olduğu kabul edilmektedir (Bozkurt Gümrükçüoğlu 30). Alman Anayasa Mahkemesinin kararını takiben birçok noktada bilgilerin geleceğini belirleme hakkının kendi başına temel bir hak olduğu dahi savunulmuştur. Söz konusu yaklaşım İsviçre Federal Yüksek Mahkemesi tarafından da benimsenmiştir (Thouvenin parag. 5) Elbette bilgilerin geleceğini belirleme hakkı mutlak değildir. Ağır basan kamu menfaatleri veya özel menfaatler göz önünde bulundurulmalı ve bu da veriler üzerindeki bireysel kontrolde olası istisnalar veya sınırlamalarla sonuçlanmalıdır (Terwagne 5). Bilginin geleceğini belirleme hakkının kişisel verilerin korunması hakkına dayanak teşkil ettiği göz önüne alındığında kişisel verilerin korunması hakkı da mutlak bir hak alanı değildir. Bu konuyla ilgili düzenlemelerin temel amacı: hızla gelişen bilim teknolojilerinin getirdiği fırsatlar ile temel hak ve özgürlükler arasında denge kurmaktır. Dolayısıyla kamu çıkarının baskın olduğu durumlarda bu hakka sınırlama getirilebilir. Ancak getirilecek sınırlamanın orantılı olması gerekir. Bu doğrultuda yapılacak müdahale yalnızca uygun, gerekli ve makulse orantılı olduğundan söz edilebilir (Küzeci 67). Bilgilerin geleceğini belirleme hakkının özel yaşamın gizliliği kavramı içerisinde değerlendirildiğini savunan görüşler de bulunmaktadır. Kişilerin kendi verilerinin geleceğine ilişkin tasarruf hakkının özel yaşamın gizliliği kavramının önemli bir parçası olduğu ifade edilmiştir. Hatta bu tasarruf üzerindeki kontrolü en iyi sağlayabilecek mekanizmanın ise unutulma hakkı9 ile mümkün olabileceği ifade edilmiştir (Tekin 44). Unutulma hakkının genel olarak beraber ele alındığı kişisel verilerin korunması 8 “İnsan onuru dokunulmazdır. Ona saygı göstermek ve onu korumak tüm devlet otoritelerinin görevidir.” (md.I/I)., Her- kesin yaşama ve beden bütünlüğünü koruma hakkı vardır. Kişinin özgürlüğü dokunulmazdır ve bu haklara ancak Kanunla müdahale edilebilir (md.2/II). (Gurndgesetz für die Bun- desrepublik Deutschland) https://www.gesetze-im-internet.de/gg/ BJNR000010949.html (Erişim Tarihi: 5.11.2023) 9 Unutulma hakkı ile gerçekten neyin kastedildiğini doğru anlamak önemlidir. Buradaki fikir, bir kimsenin geçmişi yeniden yazmasına ve dünyada geçirdiği zamanın (hoş olmayan) izlerini silmesine izin vermemektir. Buradaki fikir, bir kimsenin bu- gününün geçmişi tarafından darmadağın edilmemesini sağlamaktır. Geçmiş geçmişte kalmıştır ve tekrar tekrar su yüzüne çık- mamalıdır. Değişim ve olgunlaşma insan doğasının bir parçasıdır. Bireyler geçmişlerine indirgenmemelidir. Unutulma hakkı, bilginin silinmesi anlamına gelmez. Daha ziyade geçmişten gelen verilerin geri getirilmesinin durdurulması anlamına gelir. Bu, unutulma hakkına ilişkin ilk anlayıştır. Bu hak, geçen zamana bağlıdır ve kamuya (yeniden) açık hale getirilen bilgilerle ilgilidir. Unutulma hakkı hakkında daha ayrıntılı bilgi (Terwagne 1). 158 12-14 Kasım 2021 KİŞİSEL VERİLERİ KORUMA KONGRESİ I. ULUSLARARASI Bilgi Çağında İlgili Kişinin Bilgi Alma Hakkı ve K.V.K.K. 2. ULUSLARARASI KİŞİSEL VERİLERİ KORUMA KONGRESİ konusu açısından temel alınan Census Act kararı döneminden önce kişisel verilerin korunmasına ait özel bir düzenleme olmadığından kişisel verilere ilişkin temel hususlar özel hayatın korunması hakkı çerçevesince ele alınmaktaydı (Tamer 342). Bilgilerin geleceğini belirleme hakkı çerçevesinde kişisel veriler aynı zamanda unutulma hakkının da konusunu oluşturabilir. Bu açıdan kişisel verilerin korunması çerçevesinde şekillenen unutulma hakkının aynı şekilde veri koruma hukuku açısından önemli bir hak olan ve kişilik hakları kapsamında değerlendirilen bilgilerin geleceğinin belirleme hakkının uzantısı olduğu söylenebilir (Emir 37). Bilgilerin geleceğini belirleme hakkının iki boyutu bulunmaktadır. Sözü edilen hak kapsamında korunan değerlerinden birisi; kişinin dışarıdan gelecek müdahalelerden korunaklı ve kendisini güvenli alanda hissettiği bir özel yaşamdır. Anılan boyutu itibariyle bilgilerin geleceğini belirleme hakkının “yalnız bırakılma hakkı”na benzetildiği ifade edilmiştir. Ancak bilgisel özerklik bahsedilen boyuttan başka bir açıdan daha gereklidir. Kişinin verileri açısından korunabilir olduğunu bilmesi onun topluma katılması açısından önemli bir unsurdur. Bu durumda bireyin demokratik siyasal süreçlere özgürce katılabilmesi için gereklidir (Küzeci 58). Sürekli izlenen, kendisine ait kişisel verileri kaydedilen, tüm bunlarla beraber adeta şeffaflaşan birey kişiliğini serbestçe geliştiremeyecektir. Ayrıca böyle bir durumda kişi kendisinden beklenen davranış kalıplarına göre hareket edecektir. Bu noktada çalışmaya konu olan hak; kişiyi basit bir veri nesnesi olmaktan korumaktadır (Küzeci 59). Özgürlükçü hukuk devletinde insan onurunun ve özel yaşamın gizliliğinin zorunlu bir getirisi olarak bireylerin kişisel verilerinin akıbetini belirleme hakları bulunmaktadır. Söz konusu hakkın kaynağını yalnızca tek bir değer belirleyemez. Hukuk devleti ilkesi, özel yaşamın gizliliği hakkı, kişiliği serbestçe geliştirme hakkı ve insan onuru bütünüyle anılan hakkın kaynağını oluşturmaktadır. Özel hukukta bireyler arasındaki ilişkilerde kişisel veriler, kişilik hakkı aracılığıyla korunmaktaysa da kişisel verilerin kamusal organlar karşısında korunması söz konusu olduğunda özel hukuktaki kişilik hakkının yetersiz kaldığı savunulmuştur. Bu kapsamda anayasal temellere ihtiyaç duyulmaktadır. Özgürlükçü hukuk devletinde şeffaf olması gereken taraf birey değil devlettir. Devletin bireyden şeffaf olmasını beklemesi ve onun tüm özellikleriyle kamusal organların denetim ve gözetimine açık olmasını istemesi anayasal koruma altında olan insanın onuru ve özel yaşamının gizliliği ile bağdaşmaz (Şimşek 198, 201). Nihai olarak bilgilerin geleceğini belirleme hakkı; bireylerin kişilik hakkının korunması ile hem kamusal makamların hem de özel teşebbüslerin bilgilendirilmesi arasında denge öğesidir denilebilir. Hangi tarafa öncelik verilmesi gerektiği sorusu ise menfaatlerin dengelenmesi ile cevaplanacaktır. Orantılılık ilkesinin göz önünde bulundurulması gereken bu durumlarda bilgilerin geleceğini belirleme hakkının ihlali ancak baskın kamusal yararın daha üstün olduğu durumlarda kabul edilecektir (Küzeci 59). Tüm bunların yanında doktrinde GDPR’nin bilgilerin geleceğini belirleme hakkına tam anlamıyla hizmet etmediği de savunulmaktadır. Avrupa yasa koyucusu her ne kadar bireylere kendi kişisel verilerinin kontrolünü verme niyetindeyse de GDPR’de bilgilerin geleceğini belirleme hakkının gerçek anlamda uygulanmadığı dolayısıyla söz konusu kAanvcraakmbınahsuiyggeuçleannaoblgiluKirslİaiŞğlİibSuEklLognuVunEsuIRun. nİULGdLEaDURPSdİLRaKA’nOcRiiRnAdUdbRMiiAlgASşiüIleKprhOineNlgeGerRleuEcySeağİnindiırbdeılğirılebme1l2ei-r1h4tiaKlkmaskımiışn2t0ıi2nr1. 159 Bilgi Çağında İlgili Kişinin Bilgi Alma Hakkı ve DEMİR ; Bilgilerin Geleceğini Belirleme Hakkının İşçinin Kişisel Verileri Bakımından Değerlendirilmesi uygulanması açısından tekrar revize edilmesi gerçeğini engellemeyeceği de ifade edilmiştir (Thouvenin parag. 18) Bilgilerin geleceğini belirleme hakkının eleştirildiği görüşte şu ifadelere yer verilmiştir. Enformasyonel kendi kaderini tayin fikri ilk başta kulağa çok ikna edici geliyor. Sonuçta, özgürlük, haysiyet, özerklik veya kişisel özgürlük, yani her bireyin yasaların sınırları dahilinde kendi hayatı hakkında karar verme hakkı, çoğu batı toplumu tarafından paylaşılan temel değerlerdir ve Avrupa’daki çoğu anayasa tarafından garanti altına alınan temel haklardır. Özel aktörler arasındaki ilişkide, bu temel değerler özel özerklik ilkesinde yansıtılmaktadır. Bu açıdan bakıldığında, bilgisel kendi kaderini tayin hakkı mantıklı, neredeyse kaçınılmaz bir sonuç ve hatta genel kendi kaderini tayin hakkının bir parçası gibi görünmektedir. Buna göre, bilgisel kendi kaderini tayin fikrine atıfta bulunan akademisyenler ve mahkemeler, böyle bir hakkın neden var olması gerektiğine dair neredeyse hiç açıklama yapmamaktadır. Bu durum özellikle gerçek kişilerin kendileri hakkındaki kişisel veriler üzerinde neden kontrol sahibi olmaları gerektiğine dair herhangi bir açıklama getirmeyen GDPR’nin 7. maddesi için geçerlidir. Bilgiye dayalı kendi kaderini tayin etme fikri ve kavramının önemi ve etkisi göz önüne alındığında, bu durum şaşırtıcıdır. Görünüşe göre kanun koyucular, mahkemeler ve çoğu akademisyen güzel bir terminolojinin ikna edici gücüne kapılmışlardır. Şüphesiz, daha yakın bir analize ihtiyaç vardır (Thouvenin parag. 18, 19). Bu analiz, bireyler ve devlet arasındaki ilişki ile bireyler ve diğer özel aktörler, yani işletmeler arasındaki ilişkiyi birbirinden ayırmalıdır. Bireyler ve devlet arasındaki ilişki öncelikle bir dizi temel hak ve devlet kurumlarının faaliyetlerini tanımlayan ve sınırlayan bir dizi kanun tarafından belirlenir. Dolayısıyla, bilgi edinme konusunda kendi kaderini tayin etme temel hakkının kabul edilmesi, sadece devletin vatandaşlardan kendileri hakkında bilgi vermelerini talep edemeyeceği ve devlet kurumlarının bu bilgileri sağlam bir yasal dayanak olmadan kullanamayacağı anlamına gelir. Ancak özel aktörler için durum farklıdır. Özel özerklik ilkesine göre, özel aktörler uygun gördükleri tüm faaliyetleri yürütmekte özgürdür ve sınırlamaların getirilmesi gerekçelendirmeyi gerektirir. Bu durum kişisel verilerin toplanması ve kullanılması için de geçerlidir. Enformasyonel özerklik fikri desteklenirken bu temel sorun çoğunlukla göz ardı edilmektedir. Yine de bireylere kendileri hakkındaki kişisel verilerin kullanımını kontrol etme hakkı verilmesinin kaçınılmaz olarak tüm özel aktörlerin bu tür verileri toplama ve kullanmalarına sınırlama getirilmesine yol açacağı açıktır. İlginç bir şekilde, böyle bir sınırlama, hukukun özel aktörler arasındaki ilişkiyi yönetmek için geliştirdiği geniş hak türlerine pek entegre edilemez. Özel hukuk, özel aktörlerin diğer özel aktörlerin özgürlüğünü kısıtlamasına izin veren üç temel hak türünü bilir: mülkiyet hakları, haksız fiil hukuku ve sözleşmeler. Elbette bu kategorizasyon büyük bir basitleştirmedir ve gerekli ayrımları yapmak için çok daha detaylı bir analize ihtiyaç duyulacaktır. Ancak yine de bu çok geniş kategorilere bakıldığında, özel aktörlerin kişisel verilerin diğer özel aktörler tarafından işlenmesini kontrol etme hakkının hukuk sistemimize entegre edilmesinin zor olduğu ortaya çıkmaktadır. Her halükarda ve bilgisel self-determinasyon kavramının ima ettiğinin aksine, özel aktörler arasındaki ilişkide bilgisel self-determinasyon hakkı kendiliğinden mevcut değildir ve böyle bir hak sadece bilgisel self-determinasyon temel hakkının özel aktörler arasındaki ilişkiye uygulanması gerektiğini ifade ederek gerekçelendirilemez (Thouvenin parag. 20). Bunun yerine, özel aktörler arasındaki ilişkide bilgisel kendi kaderini tayin hakkı çağrısında bulunmak ikna edici bir gerekçe gerektirir. Böyle bir gerekçe aranırken üç husus göz önünde bulundurulmalıdır. İlk olarak, 160 12-14 Kasım 2021 KİŞİSEL VERİLERİ KORUMA KONGRESİ I. ULUSLARARASI Bilgi Çağında İlgili Kişinin Bilgi Alma Hakkı ve K.V.K.K. 2. ULUSLARARASI KİŞİSEL VERİLERİ KORUMA KONGRESİ tüm insan etkileşimi kişisel verilerin işlenmesine dayanmaktadır. Beynimizde sürekli olarak başkaları hakkında önemli miktarda veri işliyoruz. Ancak hiç kimse başkalarının bizim hakkımızda ne düşündüğünü belirleme hakkına sahip olmamız gerektiğini düşünmez. İkinci olarak, bilgisel kendi kaderini tayin kavramı ancak bireyler kendileri hakkındaki kişisel verilerin toplanmasını ve kullanılmasını önemsiyorsa anlamlıdır. Başka bir deyişle, bireylere kişisel verilerinin kullanımı üzerinde kontrol verilmesi, ancak bu kontrolü gerçekten kullandıkları takdirde anlamlıdır. Ancak durum pek de böyle değildir. Veri sahiplerinin çok azı GDPR tarafından tanınan hakları kullanmaktadır ve birçok araştırma gizlilik politikalarının neredeyse hiç okunmadığını göstermektedir. Üçüncü olarak, veri bir kamu malıdır. Bu tür malların iki özelliği vardır: bir kişinin kullanımı diğerinin kullanımını etkilemeden sınırsız sayıda kişi tarafından aynı anda kullanılabilirler (rakipsiz kullanım) ve hiç kimse diğerlerini bu malların kullanımından dışlayamaz (dışlanamaz kullanım). Rekabetçi olmayan kullanım göz önüne alındığında, bir kamu malının toplum için faydası, herkes tarafından kullanılabiliyorsa en yüksek seviyededir. Buna göre, bir bireyin bu tür malların kullanımını kısıtlamasına izin veren yasal araçlar, ancak diğer önemli politika hedeflerine ulaşmak için bu tür kısıtlamalara ihtiyaç duyulması halinde tanınmalıdır. Özel aktörlerle ilgili olarak iki husus kilit önem taşımaktadır. İlk olarak, bireyleri başkalarının neden olduğu zararlardan korumak için yasal bir müdahale gereklidir; ikinci olarak, piyasa başarısızlığı durumunda, örneğin üretici yarattığı faydalardan yararlanamıyorsa toplum için değerli bir mal üretilmeyecekse bir müdahale gereklidir. İkinci müdahale ihtiyacı, bir tür “veri mülkiyeti” oluşturulması talebiyle bağlantılı olarak tartışılmıştır. Ancak günümüzde, kişisel verilerin üretilmesinde herhangi bir piyasa başarısızlığı olmadığı ve yasa koyucuların ne topladıkları veriler için işletmelere ne de kendileri hakkındaki verilerle ilgili olarak bireylere veriler üzerinde herhangi bir mülkiyet hakkı vermemesi gerektiği yaygın olarak kabul edilmektedir (Thouvenin parag. 18, 19, 20, 21). Bu fikri savunan görüşe göre; yukarıdaki analiz, bilgisel self-determinasyon fikri ve kavramının, kişisel verilerin özel aktörler tarafından işlenmesinin her şeyi kapsayacak şekilde düzenlenmesi için ikna edici bir gerekçe oluşturamayacağını göstermiştir. Özel aktörlerle ilgili olarak, bilgisel kendi kaderini tayin hakkı GDPR’de gerektiği gibi uygulanmamaktadır ve bunun böyle olması için ikna edici nedenler bulunmamaktadır. Sonuç olarak, bilgisel kendi kaderini tayin fikri ve kavramı terk edilmelidir (Thouvenin parag. 25). Bu durum, hem veri koruma kanununun mantığına hem de bu mantığın alternatif bir düzenleyici çerçevede uygulanmasına ilişkin potansiyel alternatifler sorusunu gündeme getirmektedir. Bu görüşe göre ilgili çalışmada bu tür alternatifler geliştirilemese de, alternatif bir yaklaşımın en önemli hedeflerini belirlemek mümkün görünmektedir. İlk olarak, yasa tüm bireylerin bilgi mahremiyetini korumalı ve ikinci olarak, hiç kimsenin kendileriyle ilgili kişisel verilerin işlenmesinden zarar görmemesini sağlamalıdır. Buna

yayınlarla ilgili olarak içeriğin çıkarılmasına ve/veya erişimin engellenmesine karar verilir: a) 26/9/2004 tarihli ve 5237 sayılı Türk Ceza Kanununda yer alan; 1) İntihara yönlendirme (madde 84), 2) Çocukların cinsel istismarı (madde 103, birinci fıkra), 3) Uyuşturucu veya uyarıcı madde kullanılmasını kolaylaştırma (madde 190), 4) Sağlık için tehlikeli madde temini (madde 194), 5) Müstehcenlik (madde 226), 6) Fuhuş (madde 227), 7) Kumar oynanması için yer ve imkân sağlama (madde 228), suçları. b) 25/7/1951 tarihli ve 5816 sayılı Atatürk Aleyhine İşlenen Suçlar Hakkında Kanunda yer alan suçlar. c) (Ek:25/3/2020-7226/32 md.) 29/4/1959 tarihli ve 7258 sayılı Futbol ve Diğer Spor Müsabakalarında Bahis ve Şans Oyunları Düzenlenmesi Hakkında Kanunda yer alan suçlar. ç) (Ek:13/10/2022-7418/32 md.) 1/11/1983 tarihli ve 2937 sayılı Devlet İstihbarat Hizmetleri ve Milli İstihbarat Teşkilatı Kanu- nunun 27 nci maddesinin birinci ve ikinci fıkrasında yer alan suçlar. (2) İçeriğin çıkarılması ve/veya erişimin engellenmesi kararı, soruşturma evresinde hâkim, kovuşturma evresinde ise mahkeme tarafından verilir. Soruşturma evresinde, gecikmesinde sakınca bulunan hallerde Cumhuriyet savcısı tarafından da içeriğin çıkarılmasına ve/veya erişimin engellenmesine karar verilebilir. Bu durumda Cumhuriyet savcısı kararını yirmidört saat içinde hâkimin onayına sunar ve hâkim, kararını en geç yirmidört saat içinde verir. Bu süre içinde kararın onaylanmaması halinde tedbir, Cumhuriyet savcısı tarafından derhal kaldırılır. (Ek cümle: 6/2/2014-6518/92 md.) Erişimin engellenmesi kararı, amacı gerçekleştirecek nitelikte görülürse belirli bir süreyle sınırlı olarak da verilebilir. Koruma tedbiri olarak verilen içeriğin çıkarıl- masına ve/veya erişimin engellenmesine ilişkin karara 4/12/2004 tarihli ve 5271 sayılı Ceza Muhakemesi Kanunu hükümlerine göre itiraz edilebilir. (3) Hâkim, mahkeme veya Cumhuriyet savcısı tarafından verilen içeriğin çıkarılması ve/veya erişimin engellenmesi kararının birer örneği, gereği yapılmak üzere Kuruma gönderilir. (4) İçeriği birinci fıkrada belirtilen suçları oluşturan yayınlara ilişkin olarak içeriğin çıkarılması ve/veya erişimin engellenmesi kararı re’sen Başkan tarafından verilir. (Değişik cümle:29/7/2020-7253/4 md.) Bu karar, ilgili içerik ve yer sağlayıcılar ile erişim sağlayıcısına bildirilerek gereğinin yerine getirilmesi istenir. (5) İçeriğin çıkarılması ve/veya erişimin engellenmesi kararının gereği, derhal ve en geç kararın bildirilmesi anından itibaren dört saat içinde yerine getirilir. (6) Başkan tarafından verilen içeriğin çıkarılması ve/veya erişimin engellenmesi kararının konusunu oluşturan yayını yapanla- rın kimliklerinin belirlenmesi halinde, Başkan tarafından, Cumhuriyet başsavcılığına suç duyurusunda bulunulur. (7) Soruşturma sonucunda kovuşturmaya yer olmadığı kararı verilmesi halinde, içeriğin çıkarılması ve/veya erişimin engel- lenmesi kararı kendiliğinden hükümsüz kalır. Bu durumda Cumhuriyet savcısı, hükümsüz kalan içeriğin çıkarılması ve/veya erişimin engellenmesi kararına konu internet adresini belirtmek suretiyle, kovuşturmaya yer olmadığı kararının bir örneğini Kuruma gönderir. (8) Kovuşturma evresinde beraat kararı verilmesi halinde, içeriğin çıkarılması ve/veya erişimin engellenmesi kararı kendili- ğinden hükümsüz kalır. Bu durumda mahkemece hükümsüz kalan içeriğin çıkarılması ve/veya erişimin engellenmesi kararına konu internet adresini belirtmek suretiyle, beraat kararının bir örneği Kuruma gönderilir. (9) Konusu birinci fıkrada sayılan suçları oluşturan içeriğin yayından çıkarılması halinde; erişimin engellenmesi kararı, soruş- turma evresinde Cumhuriyet savcısı, kovuşturma evresinde mahkeme tarafından kaldırılır. (10) Koruma tedbiri olarak verilen içeriğin çıkarılması ve/veya erişimin engellenmesi kararının gereğini yerine getirmeyen içerik, yer veya erişim sağlayıcılarının sorumluları, fiil daha ağır cezayı gerektiren başka bir suç oluşturmadığı takdirde, beş yüz günden üç bin güne kadar adli para cezası ile cezalandırılır. 228 12-14 Kasım 2021 KİŞİSEL VERİLERİ KORUMA KONGRESİ I. ULUSLARARASI Bilgi Çağında İlgili Kişinin Bilgi Alma Hakkı ve K.V.K.K. 2. ULUSLARARASI KİŞİSEL VERİLERİ KORUMA KONGRESİ sakınca7 (tehlike) olan hâllerdeki usul 8/A maddesinde8, içeriğin yayından çıkarılmasıyla erişimin engellenmesi 9. maddede9 ve nihayet, özel hayatın gizliliği sebebiyle içeriklere (11) İdarî tedbir olarak verilen içeriğin çıkarılması ve/veya erişimin engellenmesi kararının yerine getirilmemesi halinde, Baş- kan tarafından ilgili içerik, yer ve erişim sağlayıcısına, onbin Yeni Türk Lirasından yüzbin Yeni Türk Lirasına kadar idarî para cezası verilir. İdarî para cezasının verildiği andan itibaren yirmidört saat içinde erişim sağlayıcı tarafından kararın yerine geti- rilmemesi halinde (…) Kurum tarafından yetkilendirmenin iptaline karar verilebilir. (12) Bu Kanunda tanımlanan kabahatler dolayısıyla (…) Kurum tarafından verilen idarî para cezalarına ilişkin kararlara karşı, 6/1/1982 tarihli ve 2577 sayılı İdarî Yargılama Usulü Kanunu hükümlerine göre kanun yoluna başvurulabilir. (13) (Ek: 5/11/2008-5809/67 md.) İşlemlerin yürütülmesi için Kuruma gönderilen hakim ve mahkeme kararlarına 4/12/2004 tarihli ve 5271 sayılı Ceza Muhakemesi Kanunu hükümlerine göre Kurum tarafından itiraz edilebilir. (14) (Ek: 12/7/2013-6495/47 md.) 14/3/2007 tarihli ve 5602 sayılı Şans Oyunları Hasılatından Alınan Vergi, Fon ve Payların Düzenlenmesi Hakkında Kanunun 3üncü maddesinin birinci fıkrasının (ç) bendinde tanımlanan kurum ve kuruluşlar, kendi görev alanına giren suçların internet ortamında işlendiğini tespit etmeleri hâlinde, bu yayınlarla ilgili olarak erişimin engellen- mesi kararı alabilirler. Erişimin engellenmesi kararları uygulanmak üzere Kuruma gönderilir. (15) (Ek: 26/2/2014-6527/17 md.) Bu maddeye göre soruşturma aşamasında verilen hâkim kararı ile 9 uncu ve 9/A maddesine göre verilen hâkim kararı birden fazla sulh ceza mahkemesi bulunan yerlerde Hâkimler ve Savcılar Yüksek Kurulu tarafından belirlenen sulh ceza mahkemeleri tarafından verilir. (16) (Ek: 10/9/2014-6552/127 md.; İptal: Anayasa Mahkemesinin 2/10/2014 tarihli ve E.: 2014/149, K.: 2014/151 sayılı Kararı ile.) (17) (Ek:17/10/2019-7188/36 md.) Bu maddenin ikinci, dördüncü ve ondördüncü fıkraları kapsamında verilen erişimin en- gellenmesi kararları, ihlalin gerçekleştiği yayın, kısım, bölüm ile ilgili olarak (URL vb. şeklinde) içeriğe erişimin engellenmesi yöntemiyle verilir. Ancak, teknik olarak ihlale ilişkin içeriğe erişimin engellenmesi yapılamadığı veya ilgili içeriğe erişimin engellenmesi yoluyla ihlalin önlenemediği durumlarda, internet sitesinin tümüne yönelik olarak erişimin engellenmesi kararı verilebilir.” 7 “Gecikmede tehlike” (periculum in mora) kavramının daha isabetli olduğu hakkında bkz. Orhan, Uğur. Ceza Muhakemesi Hukukunda Arama ve Elkoyma. Ankara: Yetkin Yayınları, 2019, s. 4, dn. 12. 8 “GECİKMESİNDE SAKINCA BULUNAN HÂLLERDE İÇERİĞİN ÇIKARILMASI VE/VEYA ERİŞİMİN ENGELLENMESİ

(1) Yaşam hakkı ile kişilerin can ve mal güvenliğinin korunması, millî güvenlik ve kamu düzeninin korunması, suç işlenmesi- nin önlenmesi veya genel sağlığın korunması sebeplerinden bir veya bir kaçına bağlı olarak hâkim veya gecikmesinde sakınca bulunan hâllerde, Cumhurbaşkanlığı veya millî güvenlik ve kamu düzeninin korunması, suç işlenmesinin önlenmesi veya ge- nel sağlığın korunması ile ilgili bakanlıkların talebi üzerine Başkan tarafından internet ortamında yer alan yayınla ilgili olarak içeriğin çıkarılması ve/veya erişimin engellenmesi kararı verilebilir. Karar, Başkan tarafından derhâl erişim sağlayıcılara ve ilgili içerik ve yer sağlayıcılara bildirilir. İçerik çıkartılması ve/veya erişimin engellenmesi kararının gereği, derhâl ve en geç kararın bildirilmesi anından itibaren dört saat içinde yerine getirilir. (2) Cumhurbaşkanlığı veya ilgili Bakanlıkların talebi üzerine Başkan tarafından verilen içeriğin çıkarılması ve/veya erişimin engellenmesi kararı, Başkan tarafından, yirmi dört saat içinde sulh ceza hâkiminin onayına sunulur. Hâkim, kararını kırk sekiz saat içinde açıklar; aksi hâlde, karar kendiliğinden kalkar. (3) Bu madde kapsamında verilen erişimin engellenmesi kararları, ihlalin gerçekleştiği yayın, kısım, bölüm ile ilgili olarak (URL, vb. şeklinde) içeriğe erişimin engellenmesi yöntemiyle verilir. Ancak, teknik olarak ihlale ilişkin içeriğe erişimin en- gellenmesi yapılamadığı veya ilgili içeriğe erişimin engellenmesi yoluyla ihlalin önlenemediği durumlarda, internet sitesinin tümüne yönelik olarak erişimin engellenmesi kararı verilebilir. (4) Bu madde kapsamındaki suça konu internet içeriklerini oluşturan ve yayanlar hakkında Başkan tarafından, Cumhuriyet Başsavcılığına suç duyurusunda bulunulur. Bu suçların faillerine ulaşmak için gerekli olan bilgiler içerik, yer ve erişim sağlayı- cılar tarafından hâkim kararı üzerine adli mercilere verilir. Bu bilgileri vermeyen içerik, yer ve erişim sağlayıcıların sorumlu- ları, fiil daha ağır cezayı gerektiren başka bir suç oluşturmadığı takdirde, üç bin günden on bin güne kadar adli para cezası ile cezalandırılır. (5) Bu madde uyarınca verilen içeriğin çıkarılması ve/veya erişimin engellenmesi kararının gereğini yerine getirmeyen erişim sağlayıcılar ile ilgili içerik ve yer sağlayıcılara Başkan tarafından elli bin Türk lirasından beş yüz bin Türk lirasına kadar idari para cezası verilir.” 9 “İÇERİĞİN YAYINDAN ÇIKARILMASI VE ERİŞİMİN ENGELLENMESİ

(1) İnternet ortamında yapılan yayın içeriği nedeniyle kişilik haklarının ihlal edildiğini iddia eden gerçek ve tüzel kişiler ile kurum ve kuruluşlar, içerik sağlayıcısına, buna ulaşamaması hâlinde yer sağlayıcısına başvurarak uyarı yöntemi ile içeriğin yayından çıkarılmasını isteyebileceği gibi doğrudan sulh ceza hâkimine başvurarak içeriğin çıkarılmasını ve/veya erişimin engellenmesini de isteyebilir. (2) İnternet ortamında yapılan yayın içeriği nedeniyle kişilik haklarının ihlal edildiğini iddia eden kişilerin talepleri, içerik ve/ veya yer sağlayıcısı tarafından en geç yirmi dört saat içinde cevaplandırılır. (3) İnternet ortamında yapılan yayın içeriği nedeniyle kişilik hakları ihlal edilenlerin talepleri doğrultusunda hâkim bu mad- dede belirtilen kapsamda içeriğin çıkarılmasına ve/veya erişimin engellenmesine karar verebilir. (4) Hâkim, bu madde kapsamında vereceği erişimin engellenmesi kararlarını esas olarak, yalnızca kişilik hakkının ihlalinin ksiıtseımsin, dbeölyüampKılialİenŞilyİgaSiylEiınoLılnarVatükEm(IRUü.nRİUeLL,LyEövUnbR.eSlİşieLkKkAleiOrnRidşRieAm)UiRinçMeAerniASğgeIeKlelreiOnşimmNeiGsnineRenEgkeaSlrlaeİrnmveersiileymönezte.mAinycl1ea2k-v1,e4rhiKâr.kaZismıomrUu20nR2lLu1 gerçekleştiği yayın, olmadıkça internet 229 Bilgi Çağında İlgili Kişinin Bilgi Alma Hakkı ve ORHAN ; Kişisel Veri Niteliğindeki İçeriklerin İnternetten Kaldırılması ve Erişimin Engellenmesi erişimin engellenmesi ise Kanun’un 9/A maddesinde10 düzenlenmiştir. İçeriğin kaldırılması veya erişimin engellenmesi usullerine geçmeden önce konu bakımından önem taşıyan “içerik sağlayıcı” ve “yer sağlayıcı” kavramlarını kısaca açıklamak gerekmektedir. B. İçerik Sağlayıcı Kullanıcılara internet ortamı aracılığıyla sunulan her türlü bilgi ya da veriyi üreten, değiştiren, sağlayan kişiler 5651 sayılı Kanun kapsamında içerik sağlayıcısıdır (md. 2/I- f). Kanun, içerik sağlayıcısının gerçek veya tüzel kişi olabileceğini açıkça belirtmiştir. Aynı tanıma “İnternet Ortamında Yapılan Yayınların Düzenlenmesine Dair Usul ve Esaslar Hakkında Yönetmelik”te11 de yer verilmiştir (md. 3/I-ı). Görüldüğü üzere, en yaygın örneklerden hareketle, YouTube, X (önceki adıyla twitter) ve benzeri internet sitelerinde paylaşımlar yapan, bir diğer ifadeyle içerik ve veri üreten bütün gerçek veya tüzel kişiler “içerik sağlayıcı”dır. adresi belirtilerek içeriğe erişimin engellenmesi yöntemiyle ihlalin engellenemeyeceğine kanaat getirmesi hâlinde, gerekçesini de belirtmek kaydıyla, internet sitesindeki tüm yayına yönelik olarak erişimin engellenmesine de karar verebilir. (5) Hâkimin bu madde kapsamında verdiği içeriğin çıkarılması ve/veya erişimin engellenmesi kararları doğrudan Birliğe gön- derilir. (6) Hâkim bu madde kapsamında yapılan başvuruyu en geç yirmi dört saat içinde duruşma yapmaksızın karara bağlar. Bu karara karşı 4/12/2004 tarihli ve 5271 sayılı Ceza Muhakemesi Kanunu hükümlerine göre itiraz yoluna gidilebilir. (7) Erişimin engellenmesine konu içeriğin yayından çıkarılmış olması durumunda hâkim kararı kendiliğinden hükümsüz kalır. (8) (Değişik:29/7/2020-7253/5 md.) Birlik tarafından ilgili içerik ve yer sağlayıcılar ile erişim sağlayıcıya gönderilen içeriğin çı- karılması ve/veya erişimin engellenmesi kararının gereği derhâl, en geç dört saat içinde ilgili içerik ve yer sağlayıcılar ile erişim sağlayıcı tarafından yerine getirilir. (9) Bu madde kapsamında hâkimin verdiği içeriğin çıkarılması ve/veya erişimin engellenmesi kararına konu kişilik hakkının ihlaline ilişkin yayının (…) başka internet adreslerinde de yayınlanması durumunda ilgili kişi tarafından Birliğe müracaat edilmesi hâlinde mevcut karar bu adresler için de uygulanır. (Ek cümleler:13/10/2022-7418/33 md.) Müracaatın Birlik tara- fından kabulüne karşı itiraz, kararı veren hâkimliğe yapılır. İnternet sitesindeki yayının tümüne yönelik erişimin engellenmesi kararlarında bu fıkra hükmü uygulanmaz. (10) (Ek:29/7/2020-7253/5 md.) İnternet ortamında yapılan yayın içeriği nedeniyle kişilik hakları ihlal edilenlerin talep etmesi durumunda hâkim tarafından, başvuranın adının bu madde kapsamındaki karara konu internet adresleri ile ilişkilendirilme- mesine karar verilebilir. Kararda, Birlik tarafından hangi arama motorlarına bildirim yapılacağı gösterilir. (11) Sulh ceza hâkiminin kararını bu maddede belirtilen şartlara uygun olarak ve süresinde yerine getirmeyen içerik, yer ve erişim sağlayıcıların sorumluları, beş yüz günden üç bin güne kadar adli para cezası ile cezalandırılır.” 10 “ÖZEL HAYATIN GİZLİLİĞİ NEDENİYLE İÇERİĞE ERİŞİMİN ENGELLENMESİ

(1) İnternet ortamında yapılan yayın içeriği nedeniyle özel hayatının gizliliğinin ihlal edildiğini iddia eden kişiler, Kuruma doğrudan başvurarak içeriğe erişimin engellenmesi tedbirinin uygulanmasını isteyebilir. (2) Yapılan bu istekte; hakkın ihlaline neden olan yayının tam adresi (URL), hangi açılardan hakkın ihlal edildiğine ilişkin açıklama ve kimlik bilgilerini ispatlayacak bilgilere yer verilir. Bu bilgilerde eksiklik olması hâlinde talep işleme konulmaz. (3) Başkan, kendisine gelen bu talebi uygulanmak üzere derhâl Birliğe bildirir, erişim sağlayıcılar bu tedbir talebini derhâl, en geç dört saat içinde yerine getirir. (4) Erişimin engellenmesi, özel hayatın gizliliğini ihlal eden yayın, kısım, bölüm, resim, video ile ilgili olarak (URL şeklinde) içeriğe erişimin engellenmesi yoluyla uygulanır. (5) Erişimin engellenmesini talep eden kişiler, internet ortamında yapılan yayın içeriği nedeniyle özel hayatın gizliliğinin ihlal edildiğinden bahisle erişimin engellenmesi talebini talepte bulunduğu saatten itibaren yirmi dört saat içinde sulh ceza hâkimi- nin kararına sunar. Hâkim, internet ortamında yapılan yayın içeriği nedeniyle özel hayatın gizliliğinin ihlal edilip edilmediğini değerlendirerek vereceği kararını en geç kırk sekiz saat içinde açıklar ve doğrudan Kuruma gönderir; aksi hâlde, erişimin engellenmesi tedbiri kendiliğinden kalkar. (6) Hâkim tarafından verilen bu karara karşı Başkan tarafından 5271 sayılı Kanun hükümlerine göre itiraz yoluna gidilebilir. (7) Erişimin engellenmesine konu içeriğin yayından çıkarılmış olması durumunda hâkim kararı kendiliğinden hükümsüz kalır. (8) Özel hayatın gizliliğinin ihlaline bağlı olarak gecikmesinde sakınca bulunan hâllerde doğrudan Başkanın emri üzerine erişimin engellenmesi Kurum tarafından yapılır. (Mülga cümle: 26/2/2014-6527/18 md.) (9) (Ek: 26/2/2014-6527/18 md.) Bu maddenin sekizinci fıkrası kapsamında Başkan tarafından verilen erişimin engellenmesi kararı, (…) yirmi dört saat içinde sulh ceza hâkiminin onayına sunulur. Hâkim, kararını kırk sekiz saat içinde açıklar.” 11 30.11.2007 tarihli ve 26716 sayılı Resmî Gazete. 230 12-14 Kasım 2021 KİŞİSEL VERİLERİ KORUMA KONGRESİ I. ULUSLARARASI Bilgi Çağında İlgili Kişinin Bilgi Alma Hakkı ve K.V.K.K. 2. ULUSLARARASI KİŞİSEL VERİLERİ KORUMA KONGRESİ İçerik sağlayıcıları, 5651 sayılı Kanun kapsamında ve genel olarak hukuka aykırı içeriklerinden sorumludurlar. Bunun bir sonucu da bu kimselerin ürettikleri içeriklerle ilgili içeriğin kaldırılması veya erişimin engellenmesi kararı verilebilmesidir. C. Yer Sağlayıcı Hizmet veya içerikleri barındıran sistemleri işleten ya da sağlayan kişiler ise “yer sağlayıcı” olarak adlandırılır (5651 s. Kn. md. 2/I-m; aynı şekilde anılan Yönetmelik md. 3/I-s). İçerik sağlayıcılar bakımından olduğu gibi yer sağlayıcıların da gerçek veya tüzel kişi olması mümkündür. Yer sağlayıcılar, içerik sağlayıcılara kıyasla daha “kurumsal” bir yapıdadırlar. Örneğin, bunların faaliyet belgesi alması12 veya Bilgi Teknolojileri ve İletişim Kurumu’na (BTK) yer sağlayıcılık bildiriminde bulunmaları (5651 s. Kn. md. 5) gerekmektedir. Bilgi Teknolojileri ve İletişim Kurumu da yer sağlayıcıların listesini kamuyla paylaşmaktadır. İçerik sağlayıcı bakımından verilen örnekten devam edilecek olursa, X (Twitter) bir yer sağlayıcı, bu sitede içerik üretenler ise içerik sağlayıcıdır. Son olarak, içerik ve yer sağlayıcı kavramları gibi “erişim sağlayıcı” kavramını da belirtmek gerekir. Kullanıcılara, kablolu veya kablosuz olarak internet ortamına erişim imkânı sunan, örneğin Superonline, Turkcell vs. gibi tüzel veya gerçek kişiler 5651 sayılı Kanun kapsamında erişim sağlayıcıdır (md. 2/I-e). II. İNTERNETTEN İÇERİK KALDIRMA VEYA ERİŞİMİN ENGELLENMESİ İnternet ortamında yayınlanan haber, yazı, görüntü, video vs. ile bazı suçların işlenmesi ya da başkalarının kişilik haklarının veya özel hayatlarının gizliliğinin ihlal edilmesi mümkündür. Bu durumların varlığı hâlinde, hukuka aykırı olarak nitelendirilen içeriklerin, yer veya içerik sağlayıcı kişiler tarafından kaldırılması ya da silinmesi “içerik kaldırma”yı; bu içeriklerin yer aldığı internet sitesine erişim engeli getirilmesi ise “erişim engellenmesi”ni ifade eder. Yayından çıkarılan içerik bütün ülkeler bakımından sonuç doğururken; erişimin engellenmesi sadece Türkiye bakımından sonuç doğurur ve söz konusu web sayfasına sadece Türkiye’den erişilemez13. Bu açıdan ele alındığında içerik kaldırmanın daha ağır bir tedbir olduğu kuşkusuzdur. 12 Bkz. 24.10.2007 tarihli ve 26680 sayılı Resmî Gazete’de yer alan “Telekomünikasyon Kurumu Tarafından Erişim Sağlayıcılara ve Yer Sağlayıcılara Faaliyet Belgesi Verilmesine İlişkin Usul ve Esaslar Hakkında Yönetmelik” 13 Özbek, Veli Özer. Polis Hukuku, İnternet HukukIu. vUe LCeUzaSMLuAhRakAemReAsi SHIukukunda Temel Haklara Aykırı Müdahalelere Karşı KorunKmİaŞÇİaSrEeleLri V(ÖEnRlemİLe EveRKİorKumOaRTeUdbMirlAeriK). AOnNkaGraR: SEeçSkİin, 2023, Müdaha1l2e-l1e4r KveasHımuk2u0k21a s. 152. 231 Bilgi Çağında İlgili Kişinin Bilgi Alma Hakkı ve ORHAN ; Kişisel Veri Niteliğindeki İçeriklerin İnternetten Kaldırılması ve Erişimin Engellenmesi A. Kişilik Haklarının İhlali Nedeniyle 5651 sayılı Kanun’un 9. maddesi uyarınca internet ortamında yapılan yayın içeriği nedeniyle kişilik haklarının ihlal edildiğini iddia eden gerçek veya tüzel kişiler ile kurum ya da kuruluşlar, içerik sağlayıcısına, buna ulaşamaması hâlinde yer sağlayıcısına başvurarak, uyarı yöntemiyle, içeriğin yayından çıkarılmasını isteyebileceği gibi doğrudan sulh ceza hâkimine başvurarak içeriğin çıkarılmasını ve/veya erişimin engellenmesini de isteyebilir. Anılan maddenin ikinci fıkrasında, internet ortamında yapılan yayın içeriği nedeniyle kişilik haklarının ihlal edildiğini iddia eden kişilerin taleplerinin, içerik ve/veya yer sağlayıcısı tarafından en geç yirmi dört saat içinde cevaplandırılacağı düzenlenmiştir. Buna karşılık uygulamada çoğunlukla, yirmi dört saatlik cevap verme süresi içinde dönüş yapılmamaktadır. Verilen cevaplarda da içeriğin kaldırılmasını isteyen kişilerden bu yönde bir mahkeme kararı sunmaları istenmekte; aksi hâlde içerik kaldırılmamaktadır. Hem YouTube, Google gibi büyük ve kurumsal yer sağlayıcılar hem de küçük kabul edilebilecek yerel platformlar benzer bir tutumdadırlar. Bu nedenle çoğu zaman, 9.

gerekmektedir. Sulh ceza hâkimliğince verilecek erişimin engellenmesi kararları, sadece kişilik hakkının ihlal edildiği yayın, kısım veya bölümle ilgili olarak, içeriğe erişimin engellenmesi şeklinde verilir. Zorunlu olmadıkça, internet sitesinde yapılan yayının tamamına yönelik erişimin engellenmesi kararı verilemez (5651 s. Kn. md. 9/IV). Bu kararlar, hâkimliğe yapılan başvurudan itibaren yirmi dört saat içerisinde, duruşma yapılmaksızın, dosya üzerinden verilir (5651 s. Kn. md. 9/VI). B. Özel Hayatın Gizliliği Nedeniyle İnternet ortamında yapılan yayınlarla özel hayatın gizliliğinin de ihlal edilmesi mümkündür. Kanun, bu durumda içeriğe erişimin engellenmesini 9/A maddesinde düzenlemiştir. Buna göre internet ortamında yapılan yayın içeriğiyle özel hayatının gizliliği ihlal edilenler, doğrudan Bilgi Teknolojileri ve İletişim Kurumu’na başvurarak, içeriğe erişimin engellenmesi tedbirinin uygulanmasını isteyebilirler. DEĞERLENDİRMELER Gerek kişilik haklarının14 gerekse özel hayatın gizliliğinin ihlal edildiği içeriklerin çoğunda, başvuranlara ait kişisel veri15 niteliğinde bilgiler bulunmaktadır. Örneğin, bir kimsenin paragöz olduğu şeklinde kişilik haklarını ihlal edici nitelikteki içeriklerde bu kişinin adı soyadı, mesleği, yaşı gibi kişisel verilere yer verilmektedir. Kişinin cinsel hayatıyla ilgili bir görüntünün, müstehcen fotoğrafının yer aldığı içeriklerde de durum farklı değildir. Bu bağlamda, içeriğin kaldırılması veya erişimin engellenmesi kararlarının dolaylı bir sonucu içerikte bulunan kişisel verilerin korunması olmaktadır. 14 Kişilik haklarının neler olduğu bu çalışmanın kapsamı dışındaysa da gerçeğe aykırı olarak yapılan yayınlarda kişilik hakkının ihlal edilebileceğini kabul etmek gerekir Apayadın, Cengiz. Basın, Televizyon ve Radyo Yayınlarında Cevap ve Düzeltme Hakkı – İnternette Erişimin Engellenmesi – Unutulma Hakkı. Ankara: Seçkin, 2020, s. 154. 15 Kişisel veri kavramı, kısaca, belirli veya kimliği belirlenebilir olmak şartıyla bir kişiye ait tüm bilgileri ifade eder. Bir kim- senin kimliği, etnik kökeni, fiziksel özellikleri, sağlık, eğitim durumu vs. bunlara örnek gösterilebilir. Detaylı açıklamalar için bkz. Aksoy, Hüseyin Can. Medeni Hukuk ve Özellikle Kişilik Hakkı Yönünden Kişisel Verilerin Korunması. Ankara: Çakmak Yayınevi, 2010, s. 1 vd. 232 12-14 Kasım 2021 KİŞİSEL VERİLERİ KORUMA KONGRESİ I. ULUSLARARASI Bilgi Çağında İlgili Kişinin Bilgi Alma Hakkı ve K.V.K.K. 2. ULUSLARARASI KİŞİSEL VERİLERİ KORUMA KONGRESİ Her ne kadar müstehcen görüntülerin doğrudan içerik veya yer sağlayıcılara başvurularak kaldırtılması daha kolaysa da diğer hipotezlerde sulh ceza hakimliğinden erişimin engellenmesi yönünde karar alınması gerekmektedir. Bu durum, 5651 sayılı Kanun’un 9. maddesinin işletilmesi bakımından sulh ceza hakimliklerinin konuya yaklaşımını önemli hâle getirmektedir. Uygulamada bazı sulh ceza hakimliği kararlarında, istikrarlı olarak, Anayasa Mahkemesi’nin iki bireysel başvuru kararındaki değerlendirmelerinin esas alındığı bilinmektedir. Anayasa Mahkemesi, 2014 tarihli Ali Kıdık Başvurusu16 ve buna benzer yöndeki 2015 tarihli Miyase İlknur ve Diğerleri Başvurusunda17, sulh ceza hakimliklerinin verdiği erişimin engellenmesi kararları üzerine değerlendirmeler yapmış ve 9. maddenin uygulanma hâllerine ilişkin tespitlerde bulunmuştur. Bu başvurularda ortak olan ve sulh ceza hakimliği kararlarında sıklıkla yer verilen tespit şu şekildedir: “İnternet yayınına erişimin engellenmesi tedbirinin alınmasının haklılığı ancak bir görünüşte haklılık veya ilk bakışta ‘prima facie’ haklılık olarak nitelendirilebilir…” ve kişilik haklarının apaçık bir şekilde ihlal edildiğinin daha ilk bakışta anlaşıldığı durumlarda işletilebilir. “Bir kimsenin çıplak resimlerinin veya video görüntülerinin yayımlanması gibi kişilik haklarının ihlal edildiğinin daha ileri bir inceleme yapılmaya gerek olmaksızın ilk bakışta anlaşılabildiği hâllerde 5651 sayılı Kanun’un 9. Maddesinde öngörülmüş olan istisnai usul işletilebilir.” (Ali Kıdık Başvurusu §62, Miyase İlknur ve Diğerleri Başvurusu §34) Mahkemenin, kamuyu ilgilendiren olaylarla ilgili haber niteliği taşıyan içeriklere erişim engeli getirilmesi üzerinden yaptığı ve bu bağlamda isabetli olan saptamalar18; kamuyu ilgilendirmeyen ve haber niteliği taşımayan, gerçek kişilerin kişilik haklarının veya özel hayatlarının gizliliğinin ihlal edildiği içeriklerle ilgili de aynen kabul edilmektedir. Öyle ki, kişilik haklarını veya özel hayatın gizliliğini ihlal eden, aynı zamanda hukuka aykırı olarak kişisel verilerin de yer aldığı içeriklerde ilk bakışta “prima facie” ihlal19 öğretisinden hareketle “çıplak fotoğraf veya video görüntü” yoksa erişimin engellenmesi veya içeriğin çıkarılması kararı verilmemektedir. Bir diğer anlatımla, hem kişilik hakkı hem de özel hayatın gizliliği ihlalleri doğrudan cinsellikle ilgili olmadığı sürece bu yol işletilememektedir. Kanun’un 9. maddesinde yer alan usulün, böyle bir başvuru olduğundan haberdar edilmeyen, dolayısıyla dinlenilmeyen içerik veya yer sağlayıcısını, bunların ifade özgürlüğünü, haber verme hakkını koruduğunda şüphe yoktur. Buna karşılık, kişilik hakkı veya özel yaşamın gizliliğinin ihlali için sadece “cinsellik” ekseninde değerlendirme yapılması, bu içeriklerle ihlal edilen kişilik haklarının ve özellikle kişisel verilerin korunamaması sonucunu doğurmaktadır. 16 Başvuru No: 2014/5552, 14/12/2017 tarihli ve 30270 sayılı Resmî Gazete. 17 Başvuru No: 2015/15242, 25/09/2018 tarihli ve 30546 sayılı Resmî Gazete. 18 Ayrıca bkz. Anayasa Mahkemesi’nin 2018/14884 numaralı ve 27/10/2021 tarihli “Keskin Kalem Yayıncılık ve Ticaret A.Ş. ve Diğerleri Başvurusu”, Şen, Ersan ve Berra Berçik. “Erişimin Engellenmesi Hakkında AYM Pilot Kararı”, Yorumluyorum – I. ULUSLARARASI XXVI. Ankara: Seçkin, 2022, s. 47 vd. 12-14 Kasım 2021 19 Bu konuda detaylı açıklamalarKiçiİnŞGİSözEleLr, sV. 1E07R1İvLd.ERİ KORUMA KONGRESİ 233 Bilgi Çağında İlgili Kişinin Bilgi Alma Hakkı ve ORHAN ; Kişisel Veri Niteliğindeki İçeriklerin İnternetten Kaldırılması ve Erişimin Engellenmesi İçerik değerlendirmesi yapılırken, açıkça ve ilk bakışta “prima facie” ihlal aranmasının akla gelen ilk nedeni hâkimin kararını yirmi dört saat gibi kısa bir süre içerisinde vermek zorunda olmasıdır. Hâkimliklerin mevcut iş yükü düşünüldüğünde, hâkimin bir başvuruyu incelemeye en iyimser tahminle sadece birkaç dakika ayırabilmesi muhtemeldir. Bunun doğal sonucu, Anayasa Mahkemesi’nin anılan kararlarında örnek kabilinden verdiği “çıplak fotoğraf veya video” gibi tartışmasız saldırıların bulunmaması hâlinde başvurunun reddi olmaktadır. Oysa, beş on dakikalık dikkatli bir değerlendirmeyle kolayca anlaşılabilecek, cinsellikle ilgisi bulunmayan fakat kişilik haklarını, özel hayatın gizliliğini ve kişisel verileri ihlal eden içerikler bakımından da bu usulün işletilebilmesi yerinde olacaktır. Sonuç olarak, 5651 sayılı Kanun’un 9. maddesinin uygulamasında görülen eğilim, kişilik hakkı veya özel hayatın gizliliğinin doğrudan “cinsellik” çevresinde ele alınması şeklindedir. Her ne kadar kişilik hakkı veya özel hayatının gizliliği ihlal edilen kimseler, Medeni Kanun’un 24 ve 25. maddeleri uyarınca hukuk davası açabilir veya koşulları oluşmuşsa 5237 sayılı Türk Ceza Kanunu’nun ilgili maddelerinden (md. 125, 134, 136 gibi) hareketle suç duyurusunda bulunabilseler de bu süre boyunca kişilik haklarını, özel hayatlarının gizliliğini ihlal eden ve çoğunlukla kişisel verilerinin yer aldığı içerikler internet ortamında kalmaya devam etmektedir. 234 12-14 Kasım 2021 KİŞİSEL VERİLERİ KORUMA KONGRESİ I. ULUSLARARASI Bilgi Çağında İlgili Kişinin Bilgi Alma Hakkı ve K.V.K.K. 2. ULUSLARARASI KİŞİSEL VERİLERİ KORUMA KONGRESİ KAYNAKÇA “Number of Internet and Social Media Users Worldwide as of October 2023”, https:// www.statista.com/statistics/617136/digital-population-worldwide/ “Türkiye, Google’dan En Fazla İçerik Kaldırılmasını Talep Eden Dördüncü Ülke”, https:// tr.euronews.com/2023/11/24/googledan-en-fazla-icerik-kaldirilmasini-talep-eden- ulkeler-arasinda-turkiye-kacinci-sirad Aksoy, Hüseyin Can. Medeni Hukuk ve Özellikle Kişilik Hakkı Yönünden Kişisel Verilerin Korunması. Ankara: Çakmak Yayınevi, 2010. Apayadın, Cengiz. Basın, Televizyon ve Radyo Yayınlarında Cevap ve Düzeltme Hakkı – İnternette Erişimin Engellenmesi – Unutulma Hakkı. Ankara: Seçkin, 2020. Gözler, Kemal. “Kişilik Haklarını İhlal Eden İnternet Yayınlarının Kaldırılması Usûlü ve İfade Hürriyeti: 5651 Sayılı Kanun’un 9’uncu Maddesinin İfade Hürriyeti Açısından Değerlendirilmesi”. Rona Aybay’a Armağan (Legal Hukuk Dergisi, Özel Sayı). Aralık 2014: 1059-1120. Orhan, Uğur. Ceza Muhakemesi Hukukunda Arama ve Elkoyma. Ankara: Yetkin Yayınları, 2019. Özbek, Veli Özer. Polis Hukuku, İnternet Hukuku ve Ceza Muhakemesi Hukukunda Temel Haklara Müdahaleler ve Hukuka Aykırı Müdahalelere Karşı Korunma Çareleri (Önleme ve Koruma Tedbirleri). Ankara: Seçkin, 2023. Pollicino, Oreste, Marco Bassini ve Giovanni De Gregorio. Internet Law and Protection of Fundamental Rights. Milan: Bocconi University Press, 2022. Şen, Ersan ve Berra Berçik. “Erişimin Engellenmesi Hakkında AYM Pilot Kararı”, Yorumluyorum – XXVI. Ankara: Seçkin, 2022. s. 47-60. I. ULUSLARARASI 12-14 Kasım 2021 KİŞİSEL VERİLERİ KORUMA KONGRESİ 235 Bilgi Çağında İlgili Kişinin Bilgi Alma Hakkı ve Bilgi Çağında İlgili Kişinin Bilgi Alma Hakkı ve 236 KİŞİSEL VERİLERİ KORUMA KONGRESİ 12-14 Kasım 2021 I. ULUSLARARASI 2I.. UULLUUSLARARASI 16 1-21-174KKaassımım 2200231 KİŞİSEL VERİLERİ KORUMA KONGRESİ İşeBAillgımi ÇdağYınapdayİZlgeikliâKKiuşilnlainıBmilıgniınAKlmişaisHelaVkekrıilveerin KorunmasıTBicaakrıimSıınrdÇaantıEştmkiavsıe Sonuçları YŞeelhizribBaOnZİKpeUkRATşıGkoÜğMluR*ÜKÇÜOĞLU* ÖZ “İnsan ve genel olarak her akıl sahibi varlık, şu veya bu isteme için rastgele Günümüzde akıllı cihazlar, büyük veri, nesnkeullelarinnılianctaekrnseırtfi,büirç abroayçuotllauryaakzdıceğılial,r,kyenapdaisyi zekâ ve bulut teknolojileri ile tetiklenen daömrdaüçnoclüarsaaknvaayriddıre.”v“riHmeir üdreefatismınddeanintüskaentliımğae, tedarik zincirinin her aşamasında etki göstermkeeknteddiikr.işBinudeetkolidiuleğuhıkzaladgaerlbişaeşnkatehkenrokleosjini, getirmiş olduğu bilgi ve algı ile insankliaşrisıingdeeride, sbıırrfaakrmaçakotladraırk. dGeeğirlç,eakytneınzadme abnildgai çağında büyük veri hacim, hız ve çeşaimtliakç öozlaerlalikkldearviyralenaacnaıklmbaiçkitma dveeeydleevmdbeirbbuelullne”k. olarak çalışırken; aynı zamanda insan hayatının her noktasında etkisiniIgmömstearnmuekl tKeadnirt. ÖBiZlgEi,Tbellek ve algı, insanlığın varlığından itibaren her zaman ilgi çekici bir konu “yiyayokAşnöeolalmnellrnrgaamuieuoştntmışlrimlehtmimuıtruşmairiank.snsoiıuekıİylakndibailsişsupaaeyağnşaenvpvuyırnleruiıorzdğbryiebauısuöknlilnebaâidmişebbrealtieeelivllemyegnlrlcolebeieiernn”kerkielotilmlaleügtoaleğzaairrslientaliniaarkslkriyanıiçaearşeadddtialllaiıeaçlranşmnrıanmkefbdliımaaşbinırrmidahiırplsaadlahrıankenenanlnkaiadiysşşreoıeivrbrlvyemaaiioern,lreaılaemvnskoegiçanrtnseaçeiüutbmysisrçaiöroesailnçrlavkemulerteedtmıareiidmlivslsmdiuıeü,rilyr.irraçşi.eeartGtriAıülkkrnırü.şileaesgKmnnitogmü,ikarşemaieitttipsielmüreisskişzlailinkdsmvkmoiteeleileırşmoynirişjlaidoiieynpnnlaredaaiiikrnnnnyeii zyeükkâümsisltüelmüklleerri,nbinireişyelearliınmksişüirseeçllevreirnildeeriknuklloarnuınmmıagsiıdaelraenkınadrtaakni tbeimr seelyeinrsitzrlüemmaenkltaerdıinrı. Yolaupşatyurzmekaâkytaaddıra.yBaliıresiyslteerme letarninınimşeışaloımlanaşhaamkalasrı,ndilagikliulklaişniıymeınveınriaiyşrlıemmceılıfkaaylaiysaektilnairnı vheukeutikkabuoyyguutunliulğeuenleuadlıennmetalesmıneı gveerekkimşiseekltevdeirri.leArni cüazkerbinudseikstiekmolnetrrionlübüdyeüvkammiikmtakrâdnaı vveerrimiehktityeadciır[1o].laKnişviesevlevrierişilleeyriennkyoarpuınlamrıasgıemreeğvinzcuea,tıkkişaispeslavmeırnildearibnilkgoiraulnmma ahsaıkhkuı,kvuekrui saoçırsuımndluansudneağgeerlteirnildmiriişlmolealnerai yvdeınylaastaml asınyüırklaümmalülalrüağütavbei tiulgtuillimkaişsiıydeatebsüisyüekdiölmneişmoalarnz kedişeirs.eBluvaemrilaeçrlea teerbişliimğimhaizkdkeı, kişaepaslaımmısnüdreaçilnecrienledneeybaipleacyezketkiâr[2t]e.knolojilerinin kullanımını hmçuKtaaayirelyuştıvışialşscamtıeutclalıaatrvsğökmıeınezgreen.ievml[Ar3ez]er;luykiivrnaebıetncihrrvaiuserikıieşnşkuklvıeakaremrlbiraşebeıernlt,oamiaeyşnlrtueeaıattrcaoumdıltaıkloanayillarşıaıınirrhlavaikukkkeikşhbrduieaueskgkeğaütlkeallıarvka,lnesiemrydndioaüldüenligzrkreeiiiinhlnlymietelşieteytemikavrriciteelşeımlifdemüiriikzrşii.reodiYvrlimieeanknnvükdielaeakertldekiigyuoioaeşnrrlltauieottrmlmmeaaockeairansliiikailnnertacırçiyreis.ıalaesepılmnttıiıdcnteaaadyşrnaeıi oAlnaanhvtaeriKdenlimeneloerp:tyimapaalydüzezkeây,dieşçyiaardaarlyaın, imşeaaalmıma,çklıişyisoeğl uvneryilaetrıirnımkolarruınmyapsı,ldaılğgoı rdiitjmitiakl dişüyneryiaydöan, eatilmgoiritmaların ve veri işleme metotlarının korunması, tacirler bakımından büyük önem taşımaktadır. Bu kapsamda da kişisel verisi işlenen kişinin özellikle otomatik karar mekanizmalarının çalışma prensibine ilişkin bilgi alma hakkı ile veri sorumlusunun fikri mülkiyet hakları ve ticari sırlarının korunması arasındaki dengenin sağlanması bir problem olarak karşımıza çıkmaktadır. Teknolojik gelişmeler ışığında kanun koyucuların artan şeffaflık beklentisine tezat bir şekilde veri sorumluları, büyük veri uygulamalarının çalışma prensiplerine ilişkin *Şehriban İpek Aşıkoğlu, Araştırma Görevlisi İstanbul Üniversitesi Hukuk Fakültesi, Avrupa Birliği Hukuku Anabilim ğlu1∗ Dalı, İstanbul Üniversitesi Sosyal Bilimler Enstitüsü Özel Hukuk Doktora Programı Öğrencisi [1] Mesut Çekin, Avrupa Birliği Hukukuyla Mukayeseli Olarak 6698 Sayılı Kişisel Verilerin Korunması Kanunu, Ocak 2018, s. 88 [2] Bilgi alma hakkının erişim hakkından ayrı olduğuna ilişkin bkz. Sandra Wachter, Brent Mittelstadt, Luciano Floridi, “Why a Right to Explanation of Automated Decision-Making Does Not Exist in the General Data Protection Regulation”, International Data Privacy Law, 2017, s. 16-19. c*H[3uDü]osogİeçlluy.g@Diinliirh.Ctu,aa.İerbntdnıuAşmH.tkraa,sloOldayuRr,nCiKçÜIiDişnni:isv0bee0klr0szV0iK.te-e0Ersİ0iilŞl0iHef3İru-SiK2knE5uüK8kLz9eoF-cr0Vaiu3k,E0nüK5mlIRt.ei.aşsİUisiL,sıe,İLEşlAUHRVnueSkİrkLaiuKrlAkeaOur,RiÇnvReAaKUkSRomoMsrAayuakASnl mYIGKaaüyvsOııen,nNeAlivGkni,kHR2au0Erka1uS,0kİT,uusA.rh8na5an.BiKlimitaDbeavlı1,i2,-y12e40liK1z.8ags,uımms.2r6u022k1-; 23271 Bilgi Çağında İlgili Kişinin Bilgi Alma Hakkı ve BOZKURT GÜMRÜKÇÜOĞLU ; İşe Alımda Yapay Zekâ Kullanımının Kişisel Verilerin Korunması Bakımından Etki ve Sonuçları ABSTRACT The implementation of “algorithmic workplace management”, where artificial intelligence algorithms carry out tasks under the employer’s management authority, gives rise to novel legal issues in labor relations. Recruitment procedures are one of the domains where algorithmic workplace management may be used. Currently, there is a growing trend in utilizing artificial intelligence technologies for recruiting procedures. It is necessary to consider discriminatory restrictions and ethical factors when using artificial intelligence-based technologies in the recruiting process. Nevertheless, it is crucial to assess these systems in accordance with the principles of personal data protection legislation and impose legal restrictions on them due to their data processing frameworks that necessitate substantial data volumes. In this communiqué, we will analyze the utilization of artificial intelligence technology in recruiting procedures, while considering the existing rules and regulations in comparative law. Furthermore, the discussion will cover the restrictions on the employer’s ability to access the candidate’s personal data and the processing of such data, highlighting the necessity for regulation. Key words: artificial intelligence, job applicant, recruitment process, data privacy, algorithmic workplace supervision 238 12-14 Kasım 2021 KİŞİSEL VERİLERİ KORUMA KONGRESİ I. ULUSLARARASI Bilgi Çağında İlgili Kişinin Bilgi Alma Hakkı ve K.V.K.K. 2. ULUSLARARASI KİŞİSEL VERİLERİ KORUMA KONGRESİ I. GİRİŞ Tebliğimizde, işe alım aşamasında yapay zekânın kullanımının kişisel verilerin korunmasına etki ve sonuçları değerlendirilecektir. Öncelikle belirtmek gerekir ki, yapay zekâdan uzak kalabilmek artık mümkün görünmemekle birlikte, hukuki açıdan gerekli sınırların çizilmemesi, bireyin ve iş hukuku özelinde de işçinin kişilik hakları açısından önemli riskler taşımaktadır. Gelinen noktada bireyin kişisel verilerinin korunması ve mahremiyet hakkı ile teknolojik gelişim ve küresel rekabet ortamının gerekleri arasında bir sıkışmışlık durumu ile karşı karşıyayız. Bu çalışmadaki amacımız, özellikle işe alım aşamasında yapay zekâ araçlarının kullanımının ortaya çıkartabileceği riskler ve bunlara karşı mevcut hukuki güvenceleri ele alarak, değerlendirmelerde bulunmaktır. İnsan kaynakları süreçlerinde yapay zekâ kullanımı hızla artmaktadır1. “Algoritmik işyeri yönetimi” ya da kısaca “algoritmik yönetim” olarak adlandırılan işverenin yönetim yetkisi kapsamındaki işlemlerin yapay zekâ algoritmaları tarafından yerine getirilmesi, iş ilişkilerinde yeni hukuki problemlerin ortaya çıkmasına yol açmaktadır2. Algoritmik işyeri yönetimine başvurulabilecek alanlardan biri ve belki de en sık başvurulanı işe alım süreçleridir3. Ülkemizde de özellikle Covid 19 Pandemisi sonrasında yapay zekâ teknolojilerinin bu amaçla kullanımı giderek yaygınlaşmaktadır4. Yapay zekâ kavramını tanımlayabilmek mümkün olmamakla birlikte5, özellikle mantıksal düşünme, belirsizlik altında karar verme, planlama, öğrenme ve doğal dilde iletişim alanlarında, zekâ gerektiren görevleri yerine getiren makine sistemlerini ifade ettiği söylenebilir. Belirtelim ki, tanıma ilişkin muğlaklığı nedeniyle yasa koyucular tarafından bu terimin kullanılmaması gerektiği ileri sürülmektedir6. Tebliğimizde bu terimi makine öğrenmesi ve derin öğrenme vb. alt başlıkları da kapsar şekilde kullanacağız. Makine öğrenimi, bir modelin verilerden veya geri bildirimlerden öğrenildiği ve problemleri çözmek için kullanıldığı bilgisayar programları oluşturma veya geliştirme yöntemleri 1 Joachim Holthausen, “Einsatz künstlicher Intelligenz im HR-Bereich und Anforderungen an die „schöne neue Arbeitswelt X.0“” Recht der Arbeit. 6 (2023): 362; Henni Parviainen, “Can algorithmic recruitment systems lawfully utilise automated decision-making in the EU?” European Labour Law Journal. 13.2 (2022): 225-248. Yapay zekânın insan kaynakları yönetimi açısından “yeni bir çağ” olarak tanımlanması gerektiği dahi ifade edilmektedir. Zhisheng Chen, “Ethics and discrimination in artificial intelligence-enabled recruitment practices” Humanities and Social Sciences Communications. 10.1 (2023): 5. 2 Algoritmik yönetim kavramına ilişkin ayrıca bkz. Ali Güzel, Deniz Ugan Çatalkaya ve Hande Heper, “İş Hukukunun Yapay Zeka ile Buluşması: İşverenin Algoritmik Yönetimi” Hukuk ve Adalet Eleştirel Hukuk Dergisi. 15. Özel Sayı (2023): 25-111; Alexandra Mateescu ve Aiha Nguyen, “Explainer: workplace monitoring and surveillance” Data and Society APO: Analysis & Policy Observatory. (2019): 3 vd.; Sara Baiocco vd., The Algorithmic Management of Work And Its Implications In Different Contexts (JRC Working Papers Series on Labour, Education and Technology, 2022): 8 vd.; Holthausen, “Einsatz künstlicher Intelligenz”, 19; Michael Witteler ve Lucas Moll, “Künstliche Intelligenz am Arbeitsplatz – Datenschutz und Rechte des Betrieb- srats” Neue Zeitschrift für Arbeitsrecht. (2023): 328 vd.; Nicoli Bernhardt, Big Data und künstliche Intelligenz (KI) im Marke- ting: Chancen und Herausforderungen für kleine und mittlere Unternehmen, 1. bs (GRIN Verlag, 2021): 1 vd. 3 Henni Parviainen, 225-248; Stefan Kramer, IT-Arbeitsrecht: Digitalisierte Unternehmen: Herausforderungen und Lösungen (München: C.H.Beck, 2019): Rn. 42; Uwe Meyer, “Künstliche Intelligenz im Personalmanagement und Arbeitsrecht” Neue Juristische Wochenschrift. 26 (2023): 1843. 4 Murat Engin ve Başak Ozan Özparlak, “İşe Girişte Yapay Zekâ ve Ayrımcılık” içinde Hukuk Perspektifinden Yapay Zeka. Ed. Erdem Büyüksağış, (İstanbul: Onikilevha Yayıncılık, 2022): 227-280. 5 Friederike Malorny, “Datenschutz als Grenze KI-basierter Auswahlentscheidungen im Arbeitsrecht” Recht der Arbeit. 3(2022): 172. Yapay zekâ tanımına ilişkin olarak bkz. Mesut Serdar Çekin, Yapay Zekâ Teknolojilerinin Hukuki İşlem Teorisine Etkileri, (İstanbul: Onikilevha Yayıncılık, 2021): 41 vd.; Şebnem Akipek Öcal, “Yapay Zekâ ve Hukuki Niteliği” içinde Hukuk Perspektifinden Yapay Zekâ. Ed. Erdem Büyüksağış, (İstanbul: Onikilevha Yayıncılık, 2022): 9 vd.; Zeynep Öğretmen Kotil, Kişisel Verilerin Korunması Çerçevesinde Yapay Zeka, (İstanbul: Onikilevha Yayıncılık, 2022): 7 vd.; Tuğçe Oral, Otonom ve Otomatik İnsansız Hava Aracı (İHA) Sistemlerinin Sebep Olduğu Zararlardan Kaynaklanan Sözleşme Dışı Sorumluluk, (An- I. ULUSLARARASI kara: Yetkin Yayınevi, 2023): 89 vd. 12-14 Kasım 2021 (2023): 441-442. 6 Daniel Busche, “Einführung in KdieİŞRİecShEtsLfraVgeEn RdeİrLküEnRstlİicKheOn IRntUellMigeAnzK” JuOriNstiGscRheEASrbİeitsblätter. 6 239 Bilgi Çağında İlgili Kişinin Bilgi Alma Hakkı ve BOZKURT GÜMRÜKÇÜOĞLU ; İşe Alımda Yapay Zekâ Kullanımının Kişisel Verilerin Korunması Bakımından Etki ve Sonuçları için kullanılan üst bir kavramdır7. Derin öğrenme yapay sinir ağlarından oluşan ve insan beyninin bilgi işleme şeklini taklit etmeye çalışan algoritmaları içeren, genellikle büyük miktarda veri gerektiren daha karmaşık görevlerde (özellikle görüntü ve ses tanıma, doğal dil işleme ve oyun oynama vb.) kullanılan alt dalı ifade etmektedir. İşe alım sürecinin yapay zekâ aracılığıyla yürütümü işveren açısından daha verimli olmasını sağlamaktadır. Zira böylece maliyetin azaltılması, zaman tasarrufu sağlanması ve iş yükünün azaltılması mümkün olacaktır8. Bireyin kişisel verilerini algoritmik bir süreçten geçirerek, otomatik karar sistemleri aracılığıyla iş başvurusunun kabulü ya da reddine bu yolla karar verilebilir9. Ancak bu sistemler önemli ölçüde veriye ihtiyaç duymaktadır. Genel olarak veri işlemedeki artış karşısında kişisel verilerin korunması daha önemli hale gelmiştir. Zira aksi halde bireyin bir veri nesnesine dönüşmesi, mahremiyetin yitirilmesi riski söz konusudur10. İşe alım aşamasında kullanılan yapay zekâ tabanlı uygulamalar da büyük miktarda kişisel veri işlemektedir. Bir yandan yapay zekâyı eğitmek için mevcut çalışanların kişisel verilerinin diğer yandan başvuru sahiplerinin verilerinin işlenmesi söz konusudur11. Ayrıca iş başvurusunda bulunmayan kişilere ait verilerin de pasif adayların tespiti için işlenmesi gündeme gelebilmektedir. İş ilişkisinin kurulması aşamasında işçi adayı ile işverenin çatışan bazı menfaatleri söz konusudur. İşçi adayı açısından çoğunlukla işe kabul önem taşırken, işveren iş ilişkisinin kişisel ilişki doğuran yönleri çerçevesinde işe en uygun adayı seçmeye, aynı zamanda bu amaçla harcanan zaman, iş gücü ve maliyetten tasarruf etmeye çalışmaktadır. İşveren iş sözleşmesinin kurulması aşamasında işçinin objektif niteliklerinin yanı sıra sübjektif niteliklerini de dikkate almaktadır. Bu kapsamda işçi adayının kişisel özellikleri (mizacı, ahlaki değerleri, davranışları, alışkanlıkları vb.) ve işyerine uyumuna ilişkin bilgi edinmekte işverenin menfaati söz konusudur12. İşverenler artık bu bilgileri, sosyal ağlar veya yapay zekâ teknolojileri aracılığıyla adayın bilgisi dışında da kolayca edinebilmektedir. Ancak işverenin bu menfaatinin korunması için edinebileceği bilginin hukuki bazı sınırları mevcuttur. Bu sınırların bir kısmı ayrımcılık yasakları bir kısmı da kişisel verilerin korunması hukuku ile çizilmiştir13. Tebliğimizde, işe alım süreçlerinde yapay zekâ teknolojilerinin kullanımı Kişisel Verilerin Korunması Kanunu ve karşılaştırmalı hukuktaki düzenlemeler dikkate alınarak incelenmeye çalışılacaktır. 7 Busche, 442. 8 Holthausen, “Einsatz künstlicher Intelligenz”, 363; Chen, 4. 9 Alina Köchling ve Marius Claus Wehner, “Discriminated by an algorithm: a systematic review of discrimination and fairness by algorithmic decision-making in the context of HR recruitment and HR development” Business Research. 13.3 (2020): 795- 848. 10 Benjamin Blum, People Analytics: Eine Datenschutzrechtliche Betrachtung Moderner Einsatzszenarien Für Automatisierte, Datenbasierte Entscheidungen (Baden-Baden: Nomos, 2021): 33. 11 Flavia Lang ve Hubertus Reinbach, “Künstliche Intelligenz im Arbeitsrecht” Neue Zeitschrift für Arbeitsrecht. 20 (2023): 1274. 12 Ayrıca bkz. Yeliz Bozkurt Gümrükçüoğlu, “Deneme süreli iş sözleşmeleri” İstanbul Kültür Üniversitesi Hukuk Fakültesi Dergisi. 11.2 (2012): 47-84. 13 Tebliğimizde konu kişisel verilerin korunması ile sınırlı olarak ele alınacaktır. İşe alımda algoritmik ayrımcılığa ilişkin ayrın- tılı bilgi için bkz. Gülsevil Alpagut ve Aybüke Karaca Yağcı, “İşyerinde Yapay Zeka Uygulaması ve Ayrımcılık” Sicil İş Hukuku Dergisi. 2.49 (2023): 11-44. 240 12-14 Kasım 2021 KİŞİSEL VERİLERİ KORUMA KONGRESİ I. ULUSLARARASI Bilgi Çağında İlgili Kişinin Bilgi Alma Hakkı ve K.V.K.K. 2. ULUSLARARASI KİŞİSEL VERİLERİ KORUMA KONGRESİ II. YAPAY ZEK ARAÇLARININ İŞE ALIMDA KULLANIMI Tebliğ konumuzun anlaşılabilmesi için yapay zekâ araçlarının işe alımın hangi aşamalarında, nasıl ve hangi amaçlarla kullanıldığına kısaca değinmek yararlı olacaktır. Yapay zekâ sistemleri, işe alım ilanının kimlere gösterileceğini seçme, özgeçmiş taraması yapma, adayla çevrim içi/ video mülakat gerçekleştirip elde ettiği veriyi yüz ifadeleri, ses tonu ve davranışlar açısından analiz etme, bireyin verilerini sosyal medya veya farklı veri noktalarından çekerek kullanma, bilişsel ya da duygusal özelliklerini algoritmik değerlendirmeye tabi tutma amacına hizmet edebilir14. Burada belirtilen kullanım amaçlarının tamamı kişisel verilerin işlenmesi ile yakından ilişkilidir. İşverenin başvuru sahibinin işe alım konusu pozisyonla ilgisi olmayan özelliklerini öğrenmekte meşru bir menfaati olduğu kabul edilemez. Bu nedenle kullanılan tüm analiz prosedürleri başvuru sahibinin ilgili pozisyona ilişkin özellikleri ile sınırlı olmalıdır15. Önemle belirtelim ki, yapılan analizin iş ilişkisinin kurulmasına ilişkin karar için gerekli olması gerekir16. İşe alım, adayların bulunması (aday havuzu oluşturma) ve personelin seçiminden oluşan iki aşamalı bir süreç olarak nitelendirilebilir17. Yapay zekâ, işe alım sürecinin tüm aşamalarında kullanılabilir18. İşe alım süreci çoğunlukla ilan aşaması ile başlamakla birlikte, ilanlara başvuran adayların yanı sıra pasif adayların da sürece dahil edilmesi amaçlanabilir. Aşağıda yapay zekânın işe alım süreçlerindeki kullanım alanları; pasif adayların tespiti, ilan aşaması, başvuruların elenmesi ve mülakat ile adayların seçimi açısından kısaca ele alınacaktır. Pasif adayların sürece dahil edilmesi nitelikli iş gücüne ulaşmak açısından önemlidir. Bu adayları bularak, işletmeye çekmek işverenler açısından daha zordur. Zira pasif adaylar, iş ilanlarına başvurmayan, iş arama sitelerinde profillerini güncellemeyen ve genellikle mevcut işinden memnun olan adaylardır. İlgili sektörde başarılı pasif adayları kariyer hedefleriyle uyumlu ve cazip fırsatlar sunarak, işletmeye çekmek ve böylece nitelikli iş gücüne ulaşmak mümkün olabilir. Pasif adayların tespitinde, yapay zekâ tabanlı araçlardan yararlanılması mümkündür. Ancak bunun için çoğunlukla iş arayışında olmayan kişilerin sosyal medya hesaplarından işe alım amaçlı veri toplanması söz konusu olur. Sosyal medya platformları, profesyonel ağlar (örneğin LinkedIn), bloglar ve diğer çevrim içi yayınlardan adayla ilgili veriler kazıma (scraping) olarak adlandırılan bir yöntemle toplanabilmektedir. Kişiye ilişkin verilerin aydınlatma yapılmaksızın internetten edinilmesi yapay zekâ aracılığıyla eskisine nazaran çok daha kolaydır19. Ancak bu durum kişisel verilerin korunması açısından mahremiyet sorunlarına yol açacaktır. Zira her ne kadar veri ilgili kişinin kendisi tarafından kamuoyuna açık paylaşılmış olsa da işe alım amaçlı kullanılacağından bilgisi yoktur. Bu halde çoğunlukla aydınlatma yapılmaksızın toplanan veriler söz konusudur. Bireyin verisinin nasıl kullanıldığını ve nasıl toplandığını bilme, erişme ya da silinmesini isteme imkânı olmamaktadır. Belirtilen nedenlerle pasif adayların verilerinin bu şekilde toplanması ve kullanımı etik ve hukuki problemlere yol açmaktadır. 14 Emre Kazim vd., “Systematizing Audit in Algorithmic Recruitment” Journal of Intelligence. 9.3 (2021); Yeqing Kong ve Hui- ling Ding, “Tools, Potential, and Pitfalls of Social Media Screening: Social Profiling in the Era of AI-Assisted Recruiting” Jour- nal of Business and Technical Communication. 38.1 (2024): 33-65; Pauline Kim, Artificial Intelligence, Big Data, Algorithmic Management, and Labor Law, SSRN Scholarly Paper, Haziran 2023 860; Engin ve Ozan Özparlak, 236; Güzel, Ugan Çatalkaya ve Heper, 51; Alpagut ve Karaca Yağcı, 14; Blum, 34. 15 Nicolas John, “29.4. KI im Arbeitsrecht”, içinde Handbuch Multimedia-Recht: Rechtsfragen des elektronischen Geschäftsver- kehrs. Ed. Thomas Hoeren, Ulrich Sieber, ve Bernd Holznagel, 59. bs (München: C.H.Beck, 2023) Rn. 26. 16 John, Rn. 27. 17 Başak Sayın, “İnsan Kaynakları Yönetiminde Yetenek Döngüsü” Çalışma İlişkileri Dergisi. 14.2 (2023): 111. 18 Alpagut ve Karaca Yağcı, 14-15; Lang ve Reinbach, 1275. Ayrıca bkz. Yeliz Bozkurt Gümrükçüoğlu ve Gülnihal Ahter Yaka- Süreçlerinde KullanIım. Uı vLe AUlgSoLriAtmRikAARyrAımScIılık” Ankara Hukuk cak, “Yapay Zekânın İşe Alım KİŞİSEL VERİLERİ KORUMA KONGRESİ Fakültesi Der1g2is-1i 472K.4as(ım2022032)1. 19 Öğretmen Kotil, 129. 241 Bilgi Çağında İlgili Kişinin Bilgi Alma Hakkı ve BOZKURT GÜMRÜKÇÜOĞLU ; İşe Alımda Yapay Zekâ Kullanımının Kişisel Verilerin Korunması Bakımından Etki ve Sonuçları İlanın yayınlanması aşamasında, işverenin tercih ettiği özelliklere sahip adaylara ilanın gösterilmesi yapay zekâ ile sağlanabilir. İşverenin tercihlerine göre adayların belirlenmesi, bireyin kişisel verileri ve hassas nitelikli kişisel verilerinin esas alınmasını gerektirir. Örneğin, işveren belirli bir cinsiyet ve belirli bir yaş aralığındaki adaylara ilanın gösterilmesini tercih ettiğinde bireyin cinsiyet ve yaşına ilişkin kişisel veriler dikkate alınarak ilanın kimlere gösterileceği belirlenecektir. Bu halde ayrımcılık riski de söz konusudur. Başvuruların elenmesi yahut sıralanması amacıyla yapay zekânın kullanımı söz konusu olabilir. Adaya ilişkin veriler toplanarak, çeşitli analizlere tabi tutulur. Bu aşamada otomatik belge analizleri, el yazısı ve dil analizleri, otomatik iş görüşmeleri ve hatta tam yetenek ve kişilik analizleri yapılması mümkündür. Toplanan veriler daha iyi sonuçlar elde etmek için örnek çalışanların verileri ile karşılaştırılarak, başvurular sıralanabilir. Dil analizlerinin hukuka uygunluğu tartışmalıdır. Kişiliğin bir parçası olması nedeniyle kabul edilemez olduğu yönünde görüşler mevcuttur. Bir başka görüşe göre ise ilgili pozisyona ilişkin özellikleri analiz ettiği takdirde dil analizine izin verilebilir20. Yapay zekâ aracılığıyla mülakat sürecinin otomatik olarak planlanması, mülakata katılan katılımcıların ifade tepkilerinin analizi de mümkündür21. Böylece adayın sorulara verdiği yanıtların ötesinde, mimikleri, vücut dili, ses tonu, dakikada kaç kez nefes alıp verdiği, kaç defa göz kırptığı, kullandığı dil, kelime dağarcığı gibi birçok özelliği analiz edilebilmektedir. Yüz tanıma ve ses ya da konuşma analizi teknolojileri vasıtasıyla adayın duygusal durumu ve kişilik özelliklerinin değerlendirilmesi mümkündür. Oysa kişinin duygusal durumu, kişisel sağlık verisi niteliğinden ötürü hassas veridir. Mülakat dışında da bu gibi yöntemlere başvurulması mümkündür. Başvuru sahibinin bir konuşması kayda alınıp sonradan yapay zekâ tarafından konuşma analizine tabi tutulabileceği gibi konuşma analizi yapan otonom bir yapay zekâ ile konuşması da sağlanabilir. Ayrıca belirtelim ki, yüz ve ses analizleri kişiyi belirli veya belirlenebilir kılması durumunda biyometrik veri olarak nitelendirilmektedir22. Oyun tabanlı testler aracılığıyla adayların problem çözme, karar verme ve stratejik düşünme gibi becerileri, bilişsel yetenekleri ve işle ilgili becerileri ölçülebilmektedir23. Sosyal medya ve işe alım platformları üzerinden NLP teknikleri kullanılarak adayın paylaşımları değerlendirilebilir ve iş tanımı ile adayların profilleri arasında semantik eşleştirmeler yapılabilir. Böylece adaylar, otomatik olarak puanlandırılarak en uygun adaylar sıralanır24. Bu şekilde oluşturulan kişilik profilleri bakımından da işverenin meşru menfaati ile çalışanın kişilik hakkı arasındaki dengenin gözetilmesi gerekmektedir25. İşe alım süreçlerinde işverenlerce sosyal medya üzerinden çeşitli taramalar yapılmaktadır. Örneğin, sosyal ağlar üzerinden adayın arkadaşları, sosyal ve mesleki çevresi, ne tür paylaşımlar yaptığı, hangi paylaşımları beğendiği, seyahat ve eğlence anlayışı, tüketim alışkanlıklarına ilişkin verilerin toplanması mümkündür26. Ancak adayların sosyal medya hesaplarının incelenmesi veya sosyal medya hesabı olmayan kişilerin istihdam 20 Malorny, 176. 21 Chen, 10. 22 Öğretmen Kotil, 89-90. 23 https://www.hirevue.com/. (E.T. 31 Aralık 2023). 24 Chen, 10; Maya C. Jackson, “Artificial Intelligence & Algorithmic Bias: The Issues With Technology Reflecting History & Humans” Journal of Business & Technology Law. 16.2 (2021): 310. 25 Malorny, 176. 26 Güzel, Ugan Çatalkaya ve Heper, 55. 242 12-14 Kasım 2021 KİŞİSEL VERİLERİ KORUMA KONGRESİ I. ULUSLARARASI Bilgi Çağında İlgili Kişinin Bilgi Alma Hakkı ve K.V.K.K. 2. ULUSLARARASI KİŞİSEL VERİLERİ KORUMA KONGRESİ sürecinin dışına itilmesi, kişilik haklarına müdahale teşkil eder. Bu süreçte yapay zekâ kullanımı, özellikle cinsiyet, etnik köken gibi hassas verilerin işlenmesi durumunda ayrımcılık riski de taşıyabilir. Potansiyel adayın verilerinin toplandığı kaynaklar arasında ayrım yapılmalıdır. Kariyer portallarındaki veriler ile bir sosyal ağ ya da forumda özel yüklemelerde ilgili kişinin menfaatleri farklılık arz eder. Teknik olarak erişilebilir olsa da açıkça özel bir kitlenin erişimine sunulması amaçlanan veriler işverence toplanamaz. Eğer verinin toplanması hukuka aykırı nitelik taşıyorsa, işlenmesi de aykırı olacaktır27. Eğer bir sosyal ağ platformu kullanım koşullarında işverenlerin kullanıcıların kişisel verilerine erişimini yasaklamışsa, aday, platformda yayınlanan kişisel verilerinin işe alım amacıyla otomatik olarak toplanmayacağını ve işlenmeyeceğini varsayacaktır28. Adayın toplanan verileri ile yapay zekâ tarafından kişilik profilleri oluşturulması GDPR m. 22 anlamında profil oluşturma olarak değerlendirilir29. III. ADAYIN KİŞİSEL VERİLERİNİN KORUNMASI A. GENEL OLARAK Yapay zekânın yukarıdaki kullanım alanlarını dikkate alarak, hukuki düzenlemeleri ele almaya çalışacak olursak, Kişisel Verilerin Korunması Kanunu (KVKK) ve Türk Borçlar Kanunu’nun işçinin kişisel verilerine ilişkin düzenlemelerine değinmek gerekir. Belirtelim ki, iş ilişkilerine ilişkin olarak kişisel verilerin korunmasına ilişkin konularda mevzuatımız yeterli düzeyde ayrıntılı düzenlemeye yer vermemiştir. Bu nedenle mevzuatımızdaki düzenlemeleri karşılaştırmalı hukuktan yararlanarak Avrupa Birliği Hukuku ve Alman Hukuku ile kıyaslayarak değerlendirmeye çalışacağız. Avrupa Birliği açısından General Data Protection Regulation (EU GDPR- AB Genel Veri Koruma Tüzüğü) esas alınarak açıklamalarda bulunacağız. Ancak belirtelim ki, GDPR 88. maddesi ve Resital 155 de, istihdam bağlamında çalışanların verilerinin korunması ve veri işleme konusunda “daha spesifik” ulusal düzenlemelere izin vermektedir. Alman Hukuku’nda BDSG (Bundesdatenschutzgesetz-Federal Veri Koruma Kanunu) § 26 hükmü ile getirilen özel düzenleme bu kapsamdadır30. Belirtelim ki, kişisel verilerin toplanması ve yapay zekânın eğitimi için kullanılması henüz istihdamla ilişkili olmadığından bu safhada GDPR m. 6 ve m. 9 da düzenlenen koşulların varlığına bağlı olarak veri işlemenin mümkün olduğu kabul edilmektedir31. Ancak belirli bir adayın seçimine ilişkin veri toplanması durumunda uygulanacaktır. Hukukumuz açısından da, TBK m. 419 hükmünün uygulama alanı bulabilmesi, belirli bir adayın seçinin söz konusu olmasına bağlıdır. Türk Borçlar Kanunu’nun 419. maddesinin 1. fıkrasına göre, “İşveren, işçiye ait kişisel verileri, ancak işçinin işe yatkınlığıyla ilgili veya hizmet sözleşmesinin ifası için zorunlu olduğu ölçüde kullanabilir”. Bu düzenleme işçinin kişisel verilerinin korunması söz konusu olduğunda KVKK karşısında özel hüküm niteliğindedir32. Bu çerçevede iş 27 John, Rn. 19. 28 John, Rn. 20. 29 John, Rn. 21. 30 Malorny, 173. 31 Bu safhada BDSG § 26 hükmünün uygulanmayacağı ifade edilmektedir. Malorny, 174. 32 Ahmet Sevimli, “Veri Koruma Hukuku İlkeleri Işığında Türk Borçlar Kanunu Madde 419” Sicil. 24 (2011): 134; Yeliz Bozkurt VeriIle.riUniLnUKoSrLunAmRasAınRa İAlişSkIin Sorunlar ve Kişisel Gümrükçüoğlu, “İş İlişkisinde İşçinin Kişisel V20E17R: 3İ5L. ERİ KORUMA KONGRESİ Verilerin K1o2r-u1n4mKaassıımKa2n02u1- nu”, İş Hukukunda Yeni YaklaşımKlaİr,ŞİsİtSanEbLul 243 Bilgi Çağında İlgili Kişinin Bilgi Alma Hakkı ve BOZKURT GÜMRÜKÇÜOĞLU ; İşe Alımda Yapay Zekâ Kullanımının Kişisel Verilerin Korunması Bakımından Etki ve Sonuçları ilişkisine ilişkin olmayan verilerin işlenmesi, başka hukuka uygunluk sebeplerinin varlığı halinde dahi mümkün değildir33. Alman Hukuku’nda da BDSG § 26 ya göre, çalışanların kişisel verilerinin işe alım kararları veya işe alımdan sonra iş sözleşmesinin yürütülmesi veya sona erdirilmesi için ya da yasalar veya toplu sözleşmeler yahut işveren ile işyeri temsilciliği arasındaki diğer anlaşmalar tarafından belirlenen çalışan temsilciliğinin hak ve yükümlülüklerini kullanmak veya yerine getirmek için gerekli olduğunda istihdamla ilgili amaçlar için işlenebilir. Çalışan ifadesinin kapsamına iş başvurusunda bulunan adaylar da girmektedir. Alman Hukuku’nda BDSG § 26/VIII ile işçi adayları da “çalışan” kavramı kapsamında değerlendirilmektedir. GDPR m. 88 çerçevesinde de işçi adayları çalışan kabul edilmektedir34. Kanaatimizce, TBK m. 419’un kapsamının da adayları da içerir şekilde anlaşılması gerekmektedir. Alman Hukuku’nda, veri işlemenin istihdam ilişkisinin amaçları doğrultusunda ve gerekli olması aynı zamanda meşru bir amaçla gerçekleştirilmesi gerekmektedir35. Örneğin, adil, objektif kararlar verebilmek ve seçim sürecini daha verimli hale getirmek için yapay zekâ sisteminin kullanılması durumunda meşru bir amaç söz konusu olacaktır. Ancak GDPR m. 22 ile yasaklanan bir karar sürecini hazırlamak için kişisel verilerin toplanması uygunsuz olacağından gerekli olduğu kabul edilmeyecektir36. Kanaatimizce hukukumuz açısından da aynı esasların benimsenmesi mümkündür. İşverenin meşru amacına ulaşması için veri toplamanın gerekli olması da gerekmektedir. Seçim kararı için veri toplanması durumunda çatışan menfaatler uygun şekilde dengelenmelidir37. Bu çerçevede, hangi çalışanın belirli bir görevde özellikle iyi olduğunu tahmin etmekle ilgisi olmayan bilgilerin edinilmesinde işverenin meşru bir çıkarı olmadığı kabul edilir. Kapsamlı zekâ testleri veya genom analizi bu dengeden yoksun kabul edilmektedir38. Kişisel verilerin işlenme şartları KVKK’nun 5. maddesinde genel, 6. maddesinde ise özel nitelikli kişisel veriler bakımından düzenlenmiştir. Kişisel verilerin işlenmesini mümkün kılan ilk durum ilgilinin açık rızasıdır. Her iki düzenlemede de kişisel verilerin açık rıza ile işlenebileceği kabul edilmiş, açık rıza olmaksızın kişisel verilerin işlenmesine imkân tanınan haller ayrıca belirlenmiştir. İş sözleşmesinin kurulması aşamasında, başvuru sahibinin açık rızasına dayanıldığı takdirde, rızanın özgür iradeyle verildiğinin kabulü güç olacaktır39. Zira rızanın gönüllü olarak verildiğinin kabulü için kişinin gerçekten seçim hakkına sahip olduğunun, bir başka deyişle bir dezavantajla karşılaşmaksızın rıza vermeyi reddedebilir konumda olduğunun kabulü gerekmektedir40. Açık rıza, “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı” ifade etmektedir (KVKK m. 3)41. İşçi adayının başvuru aşamasında işe kabul edilebilmek adına vereceği rızanın bu nitelikte değerlendirilmesi kanaatimizce uygun olmayacaktır42. GDPR m. 7/IV hükmünde ise bir sözleşmesinin imzalanmasına bağlanan rıza açıkça 33 Sevimli, 135; Bozkurt Gümrükçüoğlu, 36. 34 Blum, 136. 35 Malorny, 175. 36 Malorny, 175. 37 Malorny, 175. 38 Malorny, 175. 39 Blum, 112. 40 Blum, 112. 41 Sözü geçen Kanun’un 3. maddesinin gerekçesine göre, “açık rıza ilgili kişinin kendisiyle ilgili veri işlenmesine, özgürce, ko- nuyla ilgili yeterli bilgi sahibi olarak, tereddüde yer bırakmayacak açıklıkta ve sadece o işlemle sınırlı olarak verdiği onay beyanı şeklinde anlaşılmalıdır”. 42 Sevimli, 126; Bozkurt Gümrükçüoğlu, 56; Malorny, 176. 244 12-14 Kasım 2021 KİŞİSEL VERİLERİ KORUMA KONGRESİ I. ULUSLARARASI Bilgi Çağında İlgili Kişinin Bilgi Alma Hakkı ve K.V.K.K. 2. ULUSLARARASI KİŞİSEL VERİLERİ KORUMA KONGRESİ yasaklanmıştır43. Bu hükme göre, “Rızanın özgür bir şekilde verilip verilmediği değerlendirilirken, her şeyden önce, bir hizmetin sağlanması da dahil olmak üzere bir sözleşmenin ifasının söz konusu sözleşmenin ifası için gerekmeyen kişisel verilerin işlenmesine yönelik bir rızaya bağlı olup olmadığına azami özen gösterilir”. Bu husus GDPR’ın Resital kısmında da açık bir dille ifade edilmiştir44. İlgili kişi ile veri sorumlusu arasında açık bir dengesizlik olması ve rızanın özgürce verilmiş olma ihtimalinin düşük olması halinde rızanın geçerli bir yasal dayanak oluşturmaması gerektiğini belirtilmiştir. İşe alımda olduğu gibi devam eden iş ilişkilerinde de rızaya temkinli yaklaşılmalıdır. Ancak bazı hallerde istisnai olarak rızanın geçerli olduğu kabul edilir. Örneğin, başvurusu reddedilen adaydan ilerde açılacak başka pozisyonlar için kişisel verilerinin saklanmasına ilişkin rıza alınması durumunda rıza geçerli kabul edilir45. Kanaatimizce hukukumuzda da böyle açık bir düzenlemeye yer verilmesi isabetli olacaktır. Ancak mevcut mevzuat çerçevesinde de aynı sonuca varılmalıdır. Adayın açık rızası dışında kişisel veri işlemenin hukuka uygunluk taşıdığı hallere dayanılması da mümkün olabilir. Genel nitelikli kişisel veriler açısından KVKK m. 5/ II-b hükmünde yer alan “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” durumunda ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür. GDPR m. 6/I-b çerçevesinde de iş sözleşmesi ile ilgili olduğu ölçüde sözleşme ilişkisi bağlamında (doğrudan sözleşmeyle ilişkili) kesinlikle gerekli olan kişisel verilerin ilgili kişinin rızası olmaksızın işlenebilmesi mümkündür46. Ancak potansiyel adayların tespiti için yapay zekâ yardımı ile yapılacak analizler bu kapsamda değerlendirilmemektedir47. Bir başka hukuka uygunluk sebebi olarak KVKK m. 5/II-f gereğince, “ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması”na dayanarak kişisel verilerin işlenmesi mümkün olmakla birlikte, bunun için de koşulların varlığı aranmaktadır. GDPR m. 6/I-f hükmünde benzer bir düzenlemeye yer verilmiş olup, üç kümülatif koşulun varlığı halinde ilgilinin açık rızası olmaksızın kişisel verilerin işlenmesi hukuka uygun kabul edilmektedir. Buna göre, veri sorumlusu veya üçüncü bir tarafça meşru bir menfaat gözetilmesi, kişisel verilerin işlenmesinin meşru menfaatin gerçekleştirilmesi için gerekli olması ve verileri korunacak olan kişinin menfaatleri veya temel hak ve özgürlüklerinin ihlal edilmemesi gerekmektedir48. 43 Lang ve Reinbach, 1275. 44 Resital’e göre, “Rızanın özgürce verilmesini sağlamak amacıyla, ilgili kişi ile kontrolör arasında açık bir dengesizliğin bulun- duğu belirli durumlarda, özellikle de kontrolörün bir kamu makamı olduğu ve bu nedenle belirli bir vakanın tüm koşulları göz önünde bulundurulduğunda rızanın özgürce verilmiş olmasının muhtemel olmadığı durumlarda, rıza geçerli bir yasal dayanak sağlamamalıdır. Münferit durumda uygun olmasına rağmen kişisel verilerin farklı işleme faaliyetleri için ayrı ayrı rıza verile- miyorsa veya bir hizmetin sağlanması da dahil olmak üzere bir sözleşmenin yerine getirilmesi rızaya bağlıysa, ancak bu rızanın yerine getirilmesi için gerekli değilse, rızanın gönüllü olarak verildiği kabul edilmez.” (43). 45 Blum, 112. 46 Daniel Sandvoß ve Hans-Hermann Schild, “Neue Entwicklungen des Beschäftigtendatenschutzes im Lichte der Rechtsprec- hung des EuGH vom 30.3.2023” NJOZ. 35 (2023): 1059-1060. I. ULUSLARARASI 47 Lang ve Reinbach, 1275. 12-14 Kasım 2021 48 Sandvoß ve Schild, 1060. KİŞİSEL VERİLERİ KORUMA KONGRESİ 245 Bilgi Çağında İlgili Kişinin Bilgi Alma Hakkı ve BOZKURT GÜMRÜKÇÜOĞLU ; İşe Alımda Yapay Zekâ Kullanımının Kişisel Verilerin Korunması Bakımından Etki ve Sonuçları Kişisel verilerin işlenebilmesi için hukuka uygunluk koşullarının varlığı durumunda da diğer veri koruma ilke ve esaslarına uyum sağlanması gerekir. Veri işleme ilkelerini göz önünde bulundurduğumuzda yapay zekânın uyumu bakımından sorunlar olduğu açıktır. Zira kişisel veriler, yasal bir temele dayanarak, adil ve şeffaf bir şekilde işlenmeli, açıkça tanımlanmış, meşru ve önceden belirlenmiş amaçlar için toplanmalı ve bu amaçların dışında kullanılmamalıdır. Toplanan kişisel veriler, işlenen amaçlar için gerekli olanlarla sınırlı olmalıdır. Yapay zekâ teknolojileri ise çoğunlukla kişisel verilerin yeni bir amaçla işlenmesine yol açmaktadır. Bu halde yeniden açık rıza alınması gerekir. Bilgilendirmeye dayalı açık rıza temel esaslardan olmasına rağmen yapay zekâ sistemlerindeki karmaşıklıklar, gerekli bilgilendirmenin sağlanmasını güçleştirir. Fazla veri toplamaktan kaçınılmalıdır. Kişisel verilerin doğru ve gerektiğinde güncel tutulması önemlidir. Kişisel veriler, belirlenen amaçlar için gerekli olan süre boyunca saklanmalı ve bu sürenin sonunda silinmeli veya anonim hale getirilmelidir. Güvenlik önlemleri atılmalı ve hesap verebilir olmak gerekmektedir. GDPR çerçevesinde m. 5 de düzenlenen ilkeler, m. 35 çerçevesinde veri koruma etki değerlendirmesi, yazılım sağlayıcılarla m. 28 kapsamında veri işleme anlaşması yapılması ile hassas veriler söz konusu olduğunda m. 9 da düzenlenen özel gerekliliklere uyulması gerektiği de ifade edilmektedir49. GDPR’ın 35. maddesine50 göre, işleme faaliyetinin niteliği, kapsamı, bağlamı ve amaçları dikkate alındığında gerçek kişilerin hak ve özgürlüklerine yönelik yüksek bir riske yol açacak nitelikte yeni teknolojileri kullanan veri işleme faaliyetlerinden önce Veri Koruma Etki Değerlendirmesi (DPIA) yapılmalıdır51. Böylece potansiyel gizlilik risklerini belirlemeyi, değerlendirmeyi ve azaltmayı, veri işleme faaliyetlerinin veri koruma düzenlemelerine uygun olmasını sağlamayı ve bireylerin gizlilik haklarını korumayı amaçlamaktadır52. İşe alım aşamasında kullanılan yapay zekâ araçları çoğunlukla profillemeye yöneliktir. Profilleme, genellikle veri analizi ve yapay zekâ teknolojileri kullanılarak bireylerin davranışlarını, tercihlerini ve tahmini özelliklerini otomatik olarak değerlendirme sürecidir53. Profilleme süreci, genellikle bireylerin çevrim içi davranışları, alışveriş alışkanlıkları, sosyal medya etkinlikleri, coğrafi konum bilgileri gibi çeşitli kaynaklardan toplanan verilerle başlar. Toplanan veriler, bireylerin davranışlarını, tercihlerini ve potansiyel eğilimlerini anlamak için analiz edilir. Gelecek davranışlara yönelik tahmini çıkarımlarda bulunabilir. İnsan analitiği (People Analytics), bireysel çalışanlarla ilgili yargılarda veya tahminlerde bulunduğu takdirde bir profilleme biçimidir54. Belirtelim ki, iş için gerekli olmayan kişisel analizler söz konusu olduğunda, çalışanın ya da adayın kişiliğinin korunması önceliklidir55. 49 Lang ve Reinbach, 1276. 50 Ayrıca bkz. Güzel, Ugan Çatalkaya ve Heper, 88. 51 Salimeh Dashti ve Silvio Ranise, “Tool-Assisted Risk Analysis for Data Protection Impact Assessment” Ed. Michael Frie- dewald vd., IFIP Advances in Information and Communication Technology (Cham: Springer International Publishing, 2020), 310. 52 Joshua Coles, Shamal Faily, ve Duncan Ki-Aries, “Tool-Supporting Data Protection Impact Assessments with CAIRIS” içinde 2018 IEEE 5th International Workshop on Evolving Security & Privacy Requirements Engineering (ESPRE). 2018, 22. 53 Profilleme, bir gerçek kişiyle ilgili belirli kişisel hususları değerlendirmek, özellikle de iş performansı, ekonomik durumu, sağlığı, kişisel tercihleri, ilgi alanları, güvenilirliği, davranışı, konumu veya hareketleriyle ilgili hususları analiz etmek veya tah- min etmek için kullanılan kişisel verilerin her türlü otomatik işlenmesi olarak tanımlanabilir (GDPR m. 4 No. 4). Ayrıca bkz. Blum, 148 vd. 54 Joachim Holthausen, “Big Data, People Analytics, KI und Gestaltung von Betriebsvereinbarungen – Grund-, arbeits- und datenschutzrechtliche An- und Herausforderungen” Recht der Arbeit. 1 (2021): 26. 55 Alman Hukuku’nda BDSG § 26 hükmü çerçevesinde, çalışanların meşru menfaatleri zarar görmeksizin, işverenin meşru menfaatlerine hizmet eden veri işleme için çalışanın rızası aranmaksızın izin verilebileceği ifade edilmektedir. John, Rn. 39. 246 12-14 Kasım 2021 KİŞİSEL VERİLERİ KORUMA KONGRESİ I. ULUSLARARASI Bilgi Çağında İlgili Kişinin Bilgi Alma Hakkı ve K.V.K.K. 2. ULUSLARARASI KİŞİSEL VERİLERİ KORUMA KONGRESİ B. OTOMATİK KARARLARA TABİ TUTULMAMA HAKKI İlgili kişi, kendisi ile ilgili kararların tek başına otomatik sistemler aracılığı ile alınmaması hakkına sahip olmalıdır. Kural olarak bireyin bir makinanın kararına tabi tutulamaması, bireyin nesneleştirilmemesi ve veriye dönüştürülmemesini güvence altına alan insan onuru ile yakından ilişkili bir haktır56. Nihai karar verme yetkisinin daima insanda olması esastır. Hukukumuzda bu hakka ve algoritmik karar vermeye ilişkin tek bir özel düzenlemeye yer verilmiştir. KVKK’nun ilgili kişinin hakları kenar başlıklı 11. maddesine göre, “İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme” hakkı söz konusudur (m. 11/I-g). Bu kapsamda kararın insan denetiminden geçmesi istenebilir. Düzenlemenin gerekçesine göre, “Maddenin birinci fıkrasının (g) bendinde, işlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhe bir sonucun ortaya çıkmasına itiraz hakkı düzenlenmektedir. Örneğin, bir çalışanın performansının, onun tarafından yapılan işlerin, otomatik bir sisteme işlenip analiz edilerek, analiz sonucuna göre değerlendirilmesine, çalışanın itiraz edebilmesi bu kapsamda değerlendirilecektir”. GDPR ise bireyin profillemeye dayalı otomatik kararlara tabi tutulmamasını güvence altına alan çeşitli düzenlemeler içermektedir. Bu konudaki temel düzenleme, GDPR m. 22 hükmünde yer almakta olup, düzenleme Tüzüğün yürürlüğünden önceki dönemde yürürlükte olan Veri Koruma Direktifi’nin 15. maddesinde de benzer bir düzenleme yer almaktaydı57. GDPR m. 22 temelde bir yasak getirmektedir. Hükmün uygulanabilmesi için üç kümülatif koşulun varlığı aranır. Bunlardan birincisi, bir karar olması; ikincisi, bu kararın profil çıkarma da dahil olmak üzere yalnızca otomatik işlemeye dayalı olması; üçüncüsü, ilgili taraf üzerinde yasal etkiler yaratması veya benzer şekilde onu önemli ölçüde etkilemesidir. Ancak yasağa getirilen istisnaların varlığı halinde yasak geçerli olmayacaktır58. Sözü geçen düzenlemeye göre, “İlgili kişi, yalnızca otomatik işleme, dahil olmak üzere profil oluşturmaya dayalı, kendisini şekilde önemli ölçüde etkileyen veya benzer hukuki sonuçlar doğuran bir karara tabi tutulmama hakkına sahiptir”. Bununla birlikte, veri sahibi ile veri sorumlusu arasında bir sözleşmenin kurulması veya ifası için gerekli olduğunda (örn. sözleşmenin imzası için otomasyon gerekliyse) ya da veri sorumlusunun tabi olduğu Birlik veya Üye Devlet hukuku tarafından yetkilendirilmiş olduğu ve uygun önlemleri içerdiği hallerde bu hüküm uygulanmaz59. GDPR’nin 22. maddesinin 2. fıkrasının c bendine göre, otomatik karar ilgili kişinin açık rızası ile alınmışsa bu yasak geçerli olmayacaktır60. Ancak işe alım aşamasında alınan rıza daha önce değindiğimiz üzere, gönüllülük unsuru açısından açık rızanın gereklerini taşımayacaktır. 56 Malorny, 176. GDPR m. 22 ye ilişkin bkz. Ulrich Baumgartner, Jonas H. Brunnbauer ve Samuel Cross, “Anforderungen der DS-GVO an den Einsatz von Künstlicher Intelligenz Welche Regelungen gelten für Anbieter und Anwender?” MMR. 8 (2023): 546; Anne Lauscher ve Sarah Legner, “Künstliche Intelligenz und Diskriminierung” ZfDR. 4 (2022): 381-382. 57 Bu iki düzenlemeye ilişkin ayrıntılı bilgi için bkz. Isak Mendoza ve Lee A. Bygrave, “The Right Not to be Subject to Automated Decisions Based on Profiling” içinde EU Internet Law: Regulation and Enforcement. Ed. Tatiana-Eleni Synodinou vd. (Cham: Springer International Publishing, 2017) 77 vd. 58 Malorny, 177. 59 Holthausen, “Einsatz künstlicher Intelligenz”, 369; Justus Frank ve Maurice Heine, “Das KI-basierte Arbeitsverhältnis” NZA. 15 (2023): 936; Lang ve Reinbach, 1276. 60 Holthausen, “Einsatz künstlicher Intelligenz”, 369. ilgili kişi haklarına daha az müdahale eden ve meşru amaca etkili bir şe- kilde hizmet eden otomatik kararların istisna teşkil edebileceği ifade edilmektedir. Örneğin, sadece işverenin değil çalışanın da molaernafkaaatyleırkil,arnemsmasiıgneıreiçkelrileibkilleerciebkKilteİeŞkkanİriSşkıElbamLir açVyöazEnüIRm(ö.,İrUnLİKeLEğdiUnReSpbİaiLrrKtüAmOnRaivnRAeırnUsRıintMeAçdoASikpIlKsoamyOıadNsaınGbınaRştvaEumrSuamİilleanbmaşaesdı)ebmaeşvduiğr1iu2h-la1ar4lılnKeraodsteıommk2aa0bt2uik1l edilebilir değerlendirilmektedir. Frank ve Heine, 938. 247 Bilgi Çağında İlgili Kişinin Bilgi Alma Hakkı ve BOZKURT GÜMRÜKÇÜOĞLU ; İşe Alımda Yapay Zekâ Kullanımının Kişisel Verilerin Korunması Bakımından Etki ve Sonuçları GDPR m. 22 bireylerin profil oluşturma dahil otomatik kararlara tabi tutulmaması hakkını içerir. Bu tür kararlar, birey üzerinde hukuki etkiler yaratır veya benzer şekilde önemli ölçüde etkilerse, bireyin bu tür kararlara tabi tutulmama hakkı vardır. Bir başka deyişle düzenlemenin uygulama alanı bulabilmesi, kararın kişi üzerinde hukuki sonuçlar doğurması veya benzer şekilde önemli ölçüde etkilemesidir. Bu koşulların varlığı halinde profil oluşturma da dahil yalnızca otomatik işlemeye dayalı bir karara tabi tutulmama hakkı güvence altına alınmıştır61. Gerek iş ilişkisinin kurulması gerekse işten çıkarma ya da terfi kararlarının bireyin çalışma hakkı üzerinde hukuki etki ve sonuç doğuran, iş ilişkisinin temelini etkileyen hususlar olması sebebiyle bu kapsamda olduğu kabul edilmektedir62. Örneğin, bir başvuru sahibinin işe alınmamasına ilişkin karar bu koşulları sağlayacaktır63. Resitalin 71. maddesinde de çevrim içi işe alım örnek olarak gösterilmiştir64. Bu düzenleme işe alım süreci açısından, insan etkisi olmaksızın gerçekleşen başvuru red veya kabulüne izin verilmediği anlamına gelmektedir65. Nihai karar yetkisi insanlarda olduğu sürece, yapay zekâ tabanlı destek araçlarının kullanımı ise yasaklanmamıştır. Karar yetkisinin insanda olduğunun kabul edilebilmesi için insan karar vericinin yapay zekânın tavsiyelerini kendi kararları ile değiştirebilir durumda olduğunun kabulü gerekmektedir66. Otomatik süreç bir tavsiye niteliği taşıyıp, bir insan nihai kararı vermeden önce diğer faktörleri de dikkate alıyorsa (nihai karar hakkı), karar “yalnızca” otomatik işleme dayalı sayılmamaktadır67. Bir yapay zekâ işe alım sistemi tarafından başvuru belgelerinin yalnızca ön filtrelenmesi, başvuru hakkındaki kararın nihayetinde gerçek bir kişi tarafından verilmesi durumunda bu hükmün uygulama alanı bulmayacağı düşünülebilir68. Ancak kanaatimizce profilleme neticesinde oluşan sıralama ya da puanlama ilgili kişi önemli ölçüde etkileyecekse, uygulanması mümkün olacaktır69. Düzenleme otomatik karar alma ve profil oluşturma süreçlerinde bireylerin haklarını korumayı amaçlamaktadır. Bireylerin, kendileri üzerinde önemli etkileri olabilecek kararların alınmasında insan müdahalesi olmasını talep etme hakkına sahip olmaları anlamına gelir. Belirtelim ki, düzenlemenin profilleme sürecini mi yoksa profillemeye dayalı kararları mı önlemeyi amaçladığı tartışmalıdır70. Mevzuatımızdan farklı olarak, GDPR 22. maddesinin yanı sıra 13, 14 ve 15. maddelerinde de özel düzenlemelere yer vermiştir. 13. madde ilgili kişiden kişisel verilerin temin edildiği hallerde sağlanması gereken bilgiler, 14. madde kişisel verilerin ilgili kişiden alınmadığı hallerde sağlanacak bilgiler, 15. madde ise ilgili kişiden erişim hakkını düzenlemektedir. 21. maddesinde ise GDPR itiraz hakkını düzenlemektedir. Bu düzenlemelere göre, ilgili kişiden profil çıkarma da dahil olmak üzere 22(1) ve (4) maddelerinde atıfta bulunulan otomatik karar vermenin varlığı ve, en azından bu hallerde, yürütülen mantığa ilişkin anlamlı bilgilerin yanı sıra söz konusu işleme faaliyetinin ilgili kişi açısından önemi 61 Holthausen, “Einsatz künstlicher Intelligenz”, 369; Frank ve Heine, 936. 62 Holthausen, “Einsatz künstlicher Intelligenz”, 369.; Frank ve Heine, 937. 63 Holthausen, “Big Data, People Analytics,” 25. 64 Baumgartner, Brunnbauer ve Cross, 546. 65 Lang ve Reinbach, 1276. 66 Malorny, 177. 67 Holthausen, “Big Data, People Analytics” 25. 68 Baumgartner, Brunnbauer ve Cross, 937. 69 ABAD’ın 7.12.2023 tarihli ön kararı için bkz. C‑634/21, https://curia.europa.eu/juris/document/document.jsf;jsessionid=- 8462639D3A6FECC66F703B65E6EDC96D?text=&docid=280426&pageIndex=0&doclang=en&mode=lst&dir=&occ=first&- part=1&cid=490032 (E.T. 19 Aralık 2023). 70 Profillemenin tek başına bu hüküm kapsamında değerlendirilip değerlendirilemeyeceğine ilişkin görüş ve değerlendirmeler için ayrıca bkz. Blum, 148. 248 12-14 Kasım 2021 KİŞİSEL VERİLERİ KORUMA KONGRESİ I. ULUSLARARASI Bilgi Çağında İlgili Kişinin Bilgi Alma Hakkı ve K.V.K.K. 2. ULUSLARARASI KİŞİSEL VERİLERİ KORUMA KONGRESİ ve öngörülen sonuçları hakkında bilgi edinme ve erişim hakkı vardır. Kural olarak işveren başvuru sahibini yapay zekâ kullanımına ilişkin bilgilendirmekle yükümlü değildir. Ancak otomatik karar verme söz konusu olduğunda bilgilendirme gereklidir71. Belirtelim ki, GDPR’ın yaklaşımı algoritmik karar alma süreçlerinde şeffaflık ve hesap verebilirliğin sağlanması ile uyumludur72. GDPR, veri işleyenlerin bireylere otomatik karar alma süreçleri hakkında şeffaf bilgi sağlamalarını gerektirmektedir. Ancak derin öğrenme (deep learning) ve diğer karmaşık yapay zekâ (AI) sistemlerinin kullanımı, GDPR kapsamında şeffaflık ve anlaşılabilirlik gereklilikleri bakımından bazı güçlüklere yol açmaktadır. Bununla birlikte, açıklanabilir AI (Explainable AI, XAI) alanında yapılan çalışmalar, AI modellerinin karar verme süreçlerini daha şeffaf ve anlaşılabilir hale getirmeyi amaçlamaktadır. SONUÇ Çalışmamızda ele alınan kullanım alanları ve amaçları ile giderek yaygınlaştığı göz önünde bulundurulduğunda, yapay zekânın işe alımda kullanıldığı hallerde, kişisel verilerin korunmasının önemi açıktır. Ancak çalışan verilerinin korunmasına ilişkin TBK m. 419 hükmü dışında mevzuatımızda özel düzenlemelere yer verilmemiş olup, KVKK’da yer alan düzenlemeler de GDPR ile kıyaslandığında yetersiz görünmektedir. Özellikle Avrupa Birliği’nden farklı olarak, kişisel verilerin korunmasına ilişkin mevzuatımızda da profilleme ve otomatik karar alma sistemlerine ilişkin özel düzenlemeler bakımından mevzuatın yeterli olmadığı söylenebilir. Zira Kişisel Verilerin Korunması Kanunu’nda yalnızca “işlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme” hakkına ilişkin açık ve özel bir hükme yer verilmiştir. Kanaatimizce hukukumuzda da konuya ilişkin ayrıntılı düzenlemelere yer verilmesi, yapay zekâ araçlarının kullanımının giderek arttığı dikkate alınacak olursa isabetli olacaktır. Ayrıca belirtelim ki, yapay zekâ sistemlerine ilişkin regülasyon ihtiyacı da söz konusudur. Tebliğ konumuzun sınırlarını aşmamak adına bu alandaki gelişmelere değinilmemiş olmakla birlikte, önemli gelişmeler söz konusudur. Avrupa Birliği Komisyonu, 21 Nisan 2021 tarihinde risk temelli bir düzenleme yaklaşımını benimseyen Yapay Zekâ Yasa Taslağını sunmuş, 9 Aralık 2023’te Konsey Başkanlığı ve Avrupa Parlamentosu müzakerecileri, yapay zekâya ilişkin uyumlaştırılmış kurallara ilişkin teklif üzerinde geçici bir anlaşmaya varmıştır73. Yasa Avrupa pazarına sunulan ve AB’de kullanılan yapay zekâ sistemlerinin güvenli, temel haklara ve AB değerlerine saygılı olmasını sağlamayı amaçlamaktadır. Yasanın odak noktasında yüksek riskli sistemler yer almakta olup, “İstihdam, Personel Yönetimi ve Bağımsız Çalışmaya Erişim” yüksek riskli yapay zekâ sistemlerindendir (Ek III m. 4). Teklifin 10. maddesi ile ön yargısız eğitim verileri kullanılması ve veri setleri için kalite gereklilikleri düzenlenmiştir. Ayrıca GDPR anlamında hassas verilerin yüksek riskli sistemler ile bağlantılı olarak ön yargıların gözlemlenmesi, tespiti ve düzeltilmesi için kesinlikle gerekli olduğu sürece istisna yoluyla işlenebileceği belirtilmiştir. Yapay zekâ sistemlerinde süreçlerinin belgelenmesi 71 Lang ve Reinbach, 1276. 72 Bryce Goodman ve Seth Flaxman, “European Union regulations on algorithmic decision-making and a ‘right to explanation’” AI Magazine. 38.3 (2017): 50. 73 https://www.consilium.europa.eu/en/press/press-releases/2023/12/09/artificial-intelligence-act-council-and-parliament-strike -a-deal-on-the-first-worldwide-rules-for-ai/ 6 AraIl.ıkU2L02U2’dSeLKAonRseAy,RbuAtSekIlif üzerinde müzakere yetkisi mış ve Haziran 2023’ün ortalarınKdaİAŞvİrSuEpaLPaVrlEamReİnLtoEsuRilİe kKurOumRlUarMaraAsı KgöOrüNşmGelRereEbSaİşlamıştır. için12a-n1l4aşKmasaıyma 2v0a2r1- 249 Bilgi Çağında İlgili Kişinin Bilgi Alma Hakkı ve BOZKURT GÜMRÜKÇÜOĞLU ; İşe Alımda Yapay Zekâ Kullanımının Kişisel Verilerin Korunması Bakımından Etki ve Sonuçları ve kaydedilmesi, sonuçlarının izlenebilir hale getirilmesi, şeffaflık, güvenlik ve denetime ilişkin düzenlemeler öngörülmüştür. Bunun yanı sıra nihai karar verme yetkisinin insanlarda olması gerektiği kabul edilmiştir. Kanaatimizce, karşılaştırmalı hukuktaki gelişmeleri takip ederek, ihtiyaçların analizi çerçevesinde iş hukukunun özel ilke ve gereksinimleri dikkate alınarak düzenlemeler getirilmesi gerekmektedir. 250 12-14 Kasım 2021 KİŞİSEL VERİLERİ KORUMA KONGRESİ I. ULUSLARARASI Bilgi Çağında İlgili Kişinin Bilgi Alma Hakkı ve K.V.K.K. 2. ULUSLARARASI KİŞİSEL VERİLERİ KORUMA KONGRESİ Kaynakça: Alpagut, Gülsevil ve Aybüke Karaca Yağcı. “İşyerinde Yapay Zeka Uygulaması ve Ayrımcılık”. Sicil İş Hukuku Dergisi 2.49 (2023): 11-44. Baiocco, Sara vd. The Algorithmic Management Of Work And Its Implications In Different Contexts. JRC Working Papers Series on Labour, Education and Technology, 2022. Baumgartner, Ulrich, Jonas H. Brunnbauer ve Samuel Cross. “Anforderungen der DS- GVO an den Einsatz von Künstlicher Intelligenz Welche Regelungen gelten für Anbieter und Anwender?” MMR 8 (2023). Bernhardt, Nicoli. Big Data und künstliche Intelligenz (KI) im Marketing: Chancen und Herausforderungen für kleine und mittlere Unternehmen. 1. bs. GRIN Verlag, 2021. Blum, Benjamin. People Analytics: Eine Datenschutzrechtliche Betrachtung Moderner Einsatzszenarien Fur Automatisierte, Datenbasierte Entscheidungen. Baden-Baden: Nomos, 2021. Bozkurt Gümrükçüoğlu, Yeliz. “Deneme süreli iş sözleşmeleri” İstanbul Kültür Üniversitesi Hukuk Fakültesi Dergisi 11.2 (2012): 47-84. Bozkurt Gümrükçüoğlu, Yeliz. “İş İlişkisinde İşçinin Kişisel Verilerinin Korunmasına İlişkin Sorunlar ve Kişisel Verilerin Korunması Kanunu”. İçinde İş Hukukunda Yeni Yaklaşımlar, Ed. Kübra Doğan Yenisey ve Seda Ergüneş Emrağ, İstanbul: Beta, 2017, 19-103. Bozkurt Gümrükçüoğlu, Yeliz ve Gülnihal Ahter Yakacak. “Yapay Zekânın İşe Alım Süreçlerinde Kullanımı ve Algoritmik Ayrımcılık” Ankara Hukuk Fakültesi Dergisi 72.4 (2023). Busche, Daniel. “Einführung in die Rechtsfragen der künstlichen Intelligenz” Juristische Arbeitsblätter. 6 (2023). Chen, Zhisheng. “Ethics and discrimination in artificial intelligence-enabled recruitment practices”. Humanities and Social Sciences Communications 10.1 (2023): 1-12. Coles, Joshua, Shamal Faily ve Duncan Ki-Aries. “Tool-Supporting Data Protection Impact Assessments with CAIRIS”. İçinde 2018 IEEE 5th International Workshop on Evolving Security & Privacy Requirements Engineering (ESPRE). 21-27, 2018. Çekin, Mesut Serdar. Yapay Zekâ Teknolojilerinin Hukuki İşlem Teorisine Etkileri, (İstanbul: Onikilevha Yayıncılık, 2021) Dashti, Salimeh ve Silvio Ranise. “Tool-Assisted Risk Analysis for Data Protection Impact Assessment”. Ed. Michael Friedewald vd., 308-324. IFIP Advances in Information and Communication Technology. Cham: Springer International Publishing, 2020. Engin, Murat ve Başak Ozan Özparlak. “İşe Girişte Yapay Zekâ ve Ayrımcılık”. İçinde Hukuk Perspektifinden Yapay Zekâ. Ed. Erdem Büyüksağiş, İstanbul: Onikilevha I. ULUSLARARASI Yayıncılık, 2022, 227-280. 12-14 Kasım 2021 KİŞİSEL VERİLERİ KORUMA KONGRESİ 251 Bilgi Çağında İlgili Kişinin Bilgi Alma Hakkı ve BOZKURT GÜMRÜKÇÜOĞLU ; İşe Alımda Yapay Zekâ Kullanımının Kişisel Verilerin Korunması Bakımından Etki ve Sonuçları Frank, Justus ve Maurice Heine. “Das KI-basierte Arbeitsverhältnis”. Neue Zeitschrift für Arbeitsrecht 15 (2023). Goodman, Bryce ve Seth Flaxman. “European Union regulations on algorithmic decision-making and a ‘right to explanation’”. AI Magazine 38.3 (2017): 50-57. Güzel, Ali, Deniz Ugan Çatalkaya ve Hande Heper. “İş Hukukunun Yapay Zeka ile Buluşması: İşverenin Algoritmik Yönetimi”. Hukuk ve Adalet Eleştirel Hukuk Dergisi 15. Özel Sayı (2023): 25-111. Hoeren, Thomas, Ulrich Sieber ve Bernd Holznagel. Handbuch Multimedia-Recht: Rechtsfragen des elektronischen Geschäftsverkehrs. 59. bs. München: C.H.Beck, 2023. Holthausen, Joachim. “Big Data, People Analytics, KI und Gestaltung von Betriebsvereinbarungen – Grund-, arbeits- und datenschutzrechtliche An- und Herausforderungen”. Recht der Arbeit 1 (2021). Holthausen, Joachim. “Einsatz künstlicher Intelligenz im HR-Bereich und Anforderungen an die „schöne neue Arbeitswelt X.0“”. Recht der Arbeit 6 (2023): 321-384. Jackson, Maya C. “Artificial Intelligence & Algorithmic Bias: The Issues With Technology Reflecting History & Humans”. Journal of Business & Technology Law 16.2 (2021): 299- 316. John, Nicolas. “29.4. KI im Arbeitsrecht”, içinde Handbuch Multimedia-Recht: Rechtsfragen des elektronischen Geschäftsverkehrs. Ed. Thomas Hoeren, Ulrich Sieber, ve Bernd Holznagel, 59. bs, München: C.H.Beck, 2023. Kazim, Emre vd. “Systematizing Audit in Algorithmic Recruitment”. Journal of Intelligence 9.3 (2021). Çevrimiçi. Internet. 1 Ara. 2023. . Available: https://doi. org/10.3390/jintelligence9030046. Kim, Pauline. Artificial Intelligence, Big Data, Algorithmic Management, and Labor Law. SSRN Scholarly Paper, Haziran 2023. Kong, Yeqing ve Huiling Ding. “Tools, Potential, and Pitfalls of Social Media Screening: Social Profiling in the Era of AI-Assisted Recruiting”. Journal of Business and Technical Communication 38.1 (2024): 33-65. Köchling, Alina ve Marius Claus Wehner. “Discriminated by an algorithm: a systematic review of discrimination and fairness by algorithmic decision-making in the context of HR recruitment and HR development”. Business Research 13.3 (2020): 795-848. Kramer, Stefan. IT-Arbeitsrecht: Digitalisierte Unternehmen: Herausforderungen und Lösungen. München: C.H.Beck, 2019. Lang, Flavia ve Hubertus Reinbach. “Künstliche Intelligenz im Arbeitsrecht” Neue Zeitschrift für Arbeitsrecht 20 (2023). Lauscher, Anne, ve Sarah Legner. “Künstliche Intelligenz und Diskriminierung”. ZfDR 4 (2022): 313-420. 252 12-14 Kasım 2021 KİŞİSEL VERİLERİ KORUMA KONGRESİ I. ULUSLARARASI Bilgi Çağında İlgili Kişinin Bilgi Alma Hakkı ve K.V.K.K. 2. ULUSLARARASI KİŞİSEL VERİLERİ KORUMA KONGRESİ Malorny, Friederike. “Datenschutz als Grenze KI-basierter Auswahlentscheidungen im Arbeitsrecht” Recht der Arbeit 3 (2022): 172. Mateescu, Alexandra ve Aiha Nguyen. “Explainer: workplace monitoring and surveillance”. Data and Society APO: Analysis & Policy Observatory (2019). Mendoza, Isak ve Lee A. Bygrave. “The Right Not to be Subject to Automated Decisions Based on Profiling”. Içinde EU Internet Law: Regulation and Enforcement. Ed. Tatiana- Eleni Synodinou vd., 77-98. Cham: Springer International Publishing, 2017. Meyer, Uwe. “Künstliche Intelligenz im Personalmanagement und Arbeitsrecht”. Neue Juristische Wochenschrift 26 (2023): 1841-1847. Oral,Tuğçe. Otonom ve Otomatik İnsansız Hava Aracı (İHA) Sistemlerinin Sebep Olduğu Zararlardan Kaynaklanan Sözleşme Dışı Sorumluluk, Ankara: Yetkin Yayınevi, 2023. Öcal Akipek, Şebnem. “Yapay Zekâ ve Hukuki Niteliği” içinde Hukuk Perspektifinden Yapay Zekâ. Ed. Erdem Büyüksağış, (İstanbul: Onikilevha Yayıncılık, 2022). Öğretmen Kotil, Zeynep. Kişisel Verilerin Korunması Çerçevesinde Yapay Zeka, İstanbul, Onikilevha Yayıncılık, 2022. Parviainen, Henni. “Can algorithmic recruitment systems lawfully utilise automated decision-making in the EU?” European Labour Law Journal 13.2 (2022): 225-248. Sandvoß, Daniel ve Hans-Hermann Schild. “Neue Entwicklungen des Beschäftigtendatenschutzes im Lichte der Rechtsprechung des EuGH vom 30.3.2023”. NJOZ 35 (2023). Sevimli, Ahmet, “Veri Koruma Hukuku İlkeleri Işığında Türk Borçlar Kanunu Madde 419” Sicil. 24, 2011. Sayın, Başak. “İnsan Kaynakları Yönetiminde Yetenek Döngüsü” Çalışma İlişkileri Dergisi. 14.2 (2023). Witteler, Michael ve Lucas Moll. “Künstliche Intelligenz am Arbeitsplatz – Datenschutz und Rechte des Betriebsrats”. Neue Zeitschrift für Arbeitsrecht (2023). I. ULUSLARARASI 12-14 Kasım 2021 KİŞİSEL VERİLERİ KORUMA KONGRESİ 253 Bilgi Çağında İlgili Kişinin Bilgi Alma Hakkı ve Bilgi Çağında İlgili Kişinin Bilgi Alma Hakkı ve 254 KİŞİSEL VERİLERİ KORUMA KONGRESİ 12-14 Kasım 2021 I. ULUSLARARASI 2I.. UULLUUSLARARASI 16 1-21-174KKaassımım 2200231 KİŞİSEL VERİLERİ KORUMA KONGRESİ Bilgi ÇağıÖnldüamİdlgeinli SKoinşirnainMBahilrgeimAilymeta: Hakkı ve Vefat ETdiceanriinSTıremÇsaitlıişimleaİslıetişim AŞeyhbriikbeaTn UİpNekÇA* şıkoğlu* ÖZET SGeüvndüikmleürzidnei akkayılblıecdiehnalzelrairn, bteükynüoklovjeiyrii, knuelslnaenlaerraink ionntelarnrleativ, eüfçatblaoryınutdluanyasozıncrıalayr,eynaidpeany izleektiâşivme kbuurlaubt itlemkensoi,lobjuilgeürinieledteektiykalelnnıezncadböirldimünkcuürgsuannauyni idlgeivrailmaniınüraegtiimrmdeişntitrü. kBeutgimüne itseedatreikknzoinlocjiirninininihleerrleamşaemsiassıonnduaceutk, ivgeöfastteermdeenktebdiriirn. iBnuteetmkisiilleiyhleızlyaegneidlieşnenettekkinleoşliomjie, ggeeçtimrmekişmoüldmuğkuünbihlaglievgeelmalgişıtiirl.eİliknskaenzla2r0ı 1g6eryiıdlıendbaırabkirmkaakdtaındıyr.azGıleımrçecık,teçnokdseevbdiligğii açrakğaınddaaşınbıünyvüekfavtıenrıinhaarcdiımnd, ahnızarvkeadçaeşşıintlıinkaöilzeeüllyieklleerriinydleenanvıelmarakkatdaaşvleardınedvanbiyrabkelallşeıkk 8o.l0a0ra0ksaçtaılrılşııkrkmeent;inaytonpı lzaammıaşnvdeabiunmsaentihnalyeradtıennınyohlearçnıkoakrtaaksı,nydaapaeytkzieskinai(gYöZs)tearrmaceıklıtğeıdyilra. bakByoriılairzmkrlıgaaunutidym,ışangtbşuuısşıerlna.alnoılmneİlakndalüsug2savğe0lneuur2lçbı0aeğbulkyıugnnlııila,kdınbtueiednevyklasgliabeuGtnkeenüllmılnğyeüseıağzniynielniırKyvtilnoaçeverraeYlelrı’ıdğeZaşneınmnalgdaabreamairrcpnçlıreualeıiknyğtnligdıesbyuıişarlbtlamraiier,meaintlsmkaohçingliaeeşeubrşvlçaiiemzşltaavbiermeriırmgaavesnineçüşmrntriiielerger.nüskiAriieneçsrnt,eadm,6kğıneliytacedaniskşaimınnbsnotiıderbşlamotekıjnöriio.nnlzneeiinunnr Öanllmaşüışlmbairsıkiisşeiyvlerihsailiaşlielneteinşiimlgdilei kiaşlialbeirlembeirk,haykasoslaürraekcitevseiskeidşiillemriinştipr.siKkoişliosjeislivyelerilielgrilni okoldruğnumkaasıdalraönlıenndakibşirneiynlevreeytaessaisl mediirlamsçişılahraıknlıanryvaesavlehriaksolarruımyllaudlaarıinlgailgideitri.riZlmiriaşvoelfaant eydüeknümkilşüinlüiknlberi,r bteirmeysilleinriinnkoilşuişsteulrvuelraibleilrmineksioirçuinmYaZsıaraalacnılınğıdyalkaiiştleemnenl evnesrtirlüerminanblüayrıünkı çooluğşutnurlumğauk,takdişıirs. eBl ivreryilenrietetlaiğniınndmeılşerodliar.nBhuaknloark,taildgailiakkliaşigyeelevneriilkişsloemrue, sföaazlikyoentiunsiun uhuygkulkaamuaylagruınlvueğfuant ueddeennientlmemaherevme ikyieştiisneel svaelrdiılreıriniützeleirğiintdaeşkıyiıpkotanştrımolaüddığeıvhaumsuimsukdâunrı. Hveurkmuekkutemduirz[1d].aKAinşiasyealsvaemrilde.ri2n0khoürkumnmüaisleı mkoervuzmuaatıakltaınpasaamlınınadnambialhgireamlmiyaeht ahkakkık,ıv, eerni sgoenrueml alunslaumnaıyglaetkiriişlimniinş okleanndaiyhdaıynalatıtnmıabyaşükkaülamrlıüyllaüğnüe vöelçiülgdielipkaiyşliayşeatceasğiısneıdkielmndişisoinlainn kbieşliisrleelyveebriillmereesienriişiifmadehaekdkeır.kDaposlaaymısınıydlaa hinecrehlaenngeibbiliercşeekytiinr[2m]. ahremiyet hakkından söz eKdieşbisielml veemriilzeriiçninhuokşuekyiinbohyuuktuukkeinşilkiikşihoalkmkıa,smı züolrkuiynelut vdeurf.ikKriişmiliükl,köilyüemt tleeosroilnerbiualldtıunğdua itçairntışaılrıtrıkkenv[e3]f;avt eerdi ieşnlembieremyientomtlaarhırveembiuyeatlahnadkakgıneldişatnirislömzişeodleabnilamlgeomriitzmdalearmisüemtikcüarni hdaeyğialtdtair.önemli bir rekabet aracı olarak değerlendirilmektedir. Yeni ekonominin yapı taşı oVleafnatveedriednein eYnZoaprtaimcılaılğdıyülzaebyidreteymarsailrilnainnmoaluaşmtuarçulılayboiğlmunesyi aiçtıirnımkulalrlaınnıylanpıgldöırğüındtiüjiltearl, dseüsnkyaydıat,laarılgyoaridtma anlaırıdnefvteeriv, egrüinilşülkemgeibimmetaotetlrayraınllıenr kMoKrunmmda. s6ı5, 3tahcüirklemrübanklıammınınddana böüzeylüaknıönniteemliğitataşşımımaakktataddırı.r vBeumkiraapssınamkodnaudsuankaidşaisheilldvire.rViseifaitşeledneennhakyiaştitnaiynkeönzeklilşiiksleel ovetorimnaitiekliğkiatraaşrıymanekbaunvizemrilaelra,raırntıınk kçaişliılşimktaenpsröenzseidbilneemieliyşekcienğibiiçligni kailşmisaelhvaekriknı iitleelivğienri skoaryubmedluesruvneunalfeilkardiemvüelrkiiyneitehliağkilakraızvaenıtri.caArlieslaırdlaerıvneırnilkero,ruünzmerainsıdaerahsuıknudkaki ihdaeknimgeinyient skauğrlualnambialesnı ,bierkpornoobmleimk odleağrearke khaarişzımvıezakiçşıiklimk ankittaedliığr.i taşımayan şeyler oldukları için hukuken eşya niteliğindedirler. Dolayısıyla vefat edenin yazışmaları, görüntüleri, ses Tkaeykıntloalroıjgikibigveleirşimleerlkeur llıaşnığıılanrdaak kYaZnuanrackıolıyğuıyclualabriırnteamrtsainlinşienffoalfulışkturbuelkalbeinlmtiseisniehatekzkaıt, byairlnşıezkcialdvee vyearlni ıszocrauymalsuallamrı,irbaüsyçıülakrıvneariauitybgiurlhamakatlıar.rıBnuınnuçnallıaşmbiarlipkrteenmsiuplreisriinneüiçlüişnkciün kişilerle yapmış olduğu özel yazışmaların mirasa dahil edilmesinin hukuka uygun oD*Şlaemlıh,raİisbdtaanınğbİıpuelhkÜuAnisşvıukerossğuitleusd,iAaSroagsşytöıarzlmBdaieGlinmörleekvralEiçsnimsİtsittaaümnsübuaÖllzÜıednl ıiHvr.eurkZsuitkiersDai oHkmutokuruakrPiFrsaoikgnüraltmhesıai,ÖyAğavrtretunapcyaiskBi eirnliğiüHçuüknukcuüAnkaibşiliilmerle yapmış olduğu özel yazışmaları bir başkası ile paylaşması, TCK md. 132 gereğince s[1u]çMteesşukt Çilekeidn,eArvkreunpa; Bsıirrlfiğki iHşuikvukeufyalta eMtutikğaiyeisçeilni Oblaurakya6z69ış8mSaaylıalırKınişimseliVrearsiçleırlianrKlaorpunamyalasışıKlamnuansuı,, yOacazkış2m01a8l,asr.ı8n8 hayatta kalan tarafının mahremiyet ve haberleşme hürriyeti haklarının i[2h]laBliilgai nallmaamhıankakıngıneleirri.şiDmohlaakykıınsdıyanlaayvreı foaldtueğduneaniilnişktinembkszi.lSi aondluraştWuarcuhlteurr, kBerenntüMçiüttnelcstüadtk, iLşuilceiarnleo yFPrlaooprtietdcıitğ,ioı“nyWaRhzeyıgşuamlaRtaioilgnah”rt,dItnoateEkrxnupalltlaiaonnnaatıilloaDncaaotkaf sPAaru,itvmoamcuyattLelaadwkD,a2eK0ci1sV7io,Kns.-KM16am-k1i9.n5.ghDüokems Nüoat nElxaimst ıinn dthaeyGaeznışemralaDnaıtna ok*H[3raüg]D/rs0İeşrl0.ygı0Öii0tnlğia-0Crrt.0aaaÜ0rnf1tyıı-Aşen5ms8kiı,3ans7Aola-yna9r,k1çiKa7çır0kiiaşniHrsbeıakzlczıVaK.eBsErıaİinylŞlirefıİarnSmiKnEüaVKLzleıeolnicrViuÜm,EnnKmIRaivi.asşeİUirsıLssıegi,LtElAeeUsRVrnieSekİHrkLaiuKrlmAkeaOur,RikeÇnRkAaFKUktaRekmoMüdrAalutikAeSnrs.mYIiKaaayysObıın,iNkeAevG.ntiu,kRn2ac0Er@a1S,h0İTb, vus..erhd8ua5n..trKOirtacibdevI1Di2,:-12h​​40ttK1p8ass:,/ım/so.r2c60i22d1;. 25251 Bilgi Çağında İlgili Kişinin Bilgi Alma Hakkı ve TUNÇ ; Ölümden Sonra Mahremiyet: Vefat Edenin Temsili ile İletişim Vefat edenin YZ aracılığıyla bir temsilinin oluşturulması ihtimalinde vefat edenin mahremiyetinden söz edilemeyeceği için mahremiyet hakkına bir saldırıdan da söz edilebilmesi mümkün değildir. Vefat edenin temsili oluşturulurken kullanılacak olan veriler, artık eşya niteliği taşıdığı ve mülkiyeti yasal mirasçılara ait olduğu için söz konusu temsilin oluşturulmasını talep hakkı münhasıran yasal mirasçılara aittir. Bununla birlikte söz konusu temsil oluşturulurken özel yazışmalar kullanılacaksa yazışmanın karşı tarafının mahremiyet hakkı göz ardı edilmemeli ve eğer hayattaysa kişisel verilerinin işlenmesi için açık rızası; değilse yasal mirasçılarının mülkiyetlerindeki verinin kullanımı için onayları mutlaka alınmalıdır. Anahtar Kelimeler: Mahremiyet Hakkı, Kişisel Veri Güvenliği, Yapay Zeka 256 12-14 Kasım 2021 KİŞİSEL VERİLERİ KORUMA KONGRESİ I. ULUSLARARASI Bilgi Çağında İlgili Kişinin Bilgi Alma Hakkı ve K.V.K.K. 2. ULUSLARARASI KİŞİSEL VERİLERİ KORUMA KONGRESİ Privacy After Death: Communication with the Representation of the Dead Aybike TUNÇ*2 Until now, the idea of using technology to reconnect with loved ones who have passed away was only of interest in science fiction. For the first time, in 2016, a female coder collected approximately 8,000 lines of text from family members and friends of her beloved friend following his death, and based on these texts, she developed an app that responded in the friend’s style through artificial intelligence (AI). Subsequently, a similar application was developed in South Korea in 2020, in which a mother could interact with a virtual reality representation of her daughter, who died at the age of 6 years, through AI. Keeping in touch with the dead is as much about the bereavement process and the psychology of individuals as it is about the legal rights of the dead and their legal heirs. The vast majority of the data processed through AI to create a representation of the dead is personal data. The first question that comes to mind is whether these apps constitute an invasion of the dead’s privacy. The right to privacy, protected by Article 20 of the Turkish Constitution, in the most general sense, refers to the right to determine the extent to which one can share one’s life with others. Therefore, to talk about the right to privacy of anything, that thing must bear a legal personhood. Since personhood ends with death, the dead no longer have the right to privacy. Images, recordings, or materials such as scrapbooks, diaries, etc., used to create a representation of the dead through AI have the characteristics of private memorial things within the meaning of Article 653 of the Turkish Civil Code and are included in the subject matter of the inheritance. These data, tagged as personal data while the dead were alive, no longer qualify as personal data since there is no longer a personhood, and they become ordinary data. Ordinary data is conferred legal status as goods due to its amenability to legal oversight, economic utility and absence of inherent personhood value. Therefore, the right to create a representation of the dead through AI by using data such as text, images, sound recordings, etc., is a right that belongs only and exclusively to their legal heirs. However, it should be noted that including the private messages of the dead with third parties in the inheritance is not under the law. While sharing the private messages of the dead with third parties while they were alive constitutes a crime according to Article 132 of the Turkish Criminal Code, sharing these correspondences with the heirs just because the person has passed away means the violation of the rights of privacy and freedom of communication of the surviving party of the conversation. Therefore, if the dead’s private messages with third parties are to be used in creating the representation of the dead, it is necessary to obtain the other party’s prior consent to the correspondence within the meaning of Article 6 of the Turkish Code on the Protection of Personal Data. * Dr. Öğr. Üyesi, Ankara Hacı Bayram Veli ÜniIv.erUsiLtesUi SHLukAuRk AFaRküAlteSsIi aybike.tunc@hbv.edu.tr Orcid I1D2:-1h​4​ ttKpass:/ım/or2c0i2d1. org/0000-0001-5837-9170 KİŞİSEL VERİLERİ KORUMA KONGRESİ 257 Bilgi Çağında İlgili Kişinin Bilgi Alma Hakkı ve TUNÇ ; Ölümden Sonra Mahremiyet: Vefat Edenin Temsili ile İletişim In the possibility of creating a representation of the dead through AI, it is impossible to speak of an invasion of the right to privacy, as the dead’s privacy cannot be mentioned. Since the data to create the representation is like the residual goods and its ownership belongs to the legal heirs, the right to request the creation of the representation belongs exclusively to the legal heirs. However, if private messages are to be used in the creation of such representation, the right to privacy of the other party to the conversation must not be ignored, and if they are alive, they must give their explicit consent to the processing of their personal data; if not legal inheritance consent must be obtained for the use of data in their possession. Keywords: Right to Privacy, Personal Data Security, Artificial Intelligence 258 12-14 Kasım 2021 KİŞİSEL VERİLERİ KORUMA KONGRESİ I. ULUSLARARASI Bilgi Çağında İlgili Kişinin Bilgi Alma Hakkı ve 2I.. UULLUUSLARARASI 16 1-21-174KKaassımım 2200231 KİŞİSEL VERİLERİ KORUMA KONGRESİ Re-TBhiilngikÇinagğPınrdivaacİlyginli tKhieşiAngine oBfilAgirtAiflimciaalHInatkekllıigvence: Comparative ReviewTiicnarthi eSıPreÇrsapteışcmtivaesıof EU General Data ŞePhrriboatneİpcetkiAoşınkoğRlue*gulation (GDPR) and Turkish Personal Data ÖZ Protection Law (KVKK) BGoürnisüPm. PüAzAdLe*ak–ıBllaırcışihCa. zClAarN, TbÜüyRüKk**veri, nesnelerin interneti, üç boyutlu yazıcılar, yapay Iznenkâovvaetiobnulsutintektnecohlonjoileorgiyi,leestepteikcilaelnlyenadrötirfdicüinalcüinstaenllaiygei ndceevr(im“AiI”ü)r,ethimavdeenadtüvkaentcimede, pteodpaurilkarzisinecdi,riannind hseprraeşaadmlaosgıanrdiathemtkiicgaöllsyteirnmnekeaterdlyir.aBllusetcktoi rilse ahnızdladgaeilyişehnutmekannolloifjei,. Pgetrisromniaşl doaldtauğcuonbsitligtuitevseaavligtıalileeleminesanntloafrıthgiesrciodleosbsıarlaaknmdakcotamdıprl.exGsetrrçueckttuerne.dBeesbiidlegsi içtasğuınnddaenbiüabylüekanvedrilifhea-ceinmh,anhcızingveadçveaşnittlaikgeösz, eplrloikcleesrsiiynlge paenrıslmonaakltadavtea bdyevAIbicrobnetallienks coolanrsaikdeçraalbışlıerkdeann;gaeyrsnıazsawmealln.dIanitnhsiasnchoanyteaxtıtn, ıtnheheprrnootekcttaisoınndoaf eptekrisoinniagl ödsattearmhaesktbeedeinr. sBtiiplguil,atbeedlluenkdveer naoltgoı,nilynssaunplrıağ-ınnavtiaornlıağlılnedgaisnlatiitoibnasr1enbuhtearlsozanmatainonialgl cioçnesktiitcuitiboinr sk2 aonndu osulmbjueşcttu-/rs. eİcntosar-nslpığeıcnificberlelgeuklaütizoenrisn3e. Hanenlacme,laitnidsırnmecaesçsaabryalatorıres-ütrheirnkkenth, eteakpnpolilcoajtiinoinn aynardatimntıeşrporledtuağtiuonbouf dpeevrsobnelalledğaintaçparloıştmecatiopnreannsdibpi,risvoancuyçpovleicvieesriinüorerdtmeretosiestsetambilnisihn aannlaaşdıelmquaastıeisaenvdehriusimişalne-nceennitlrgeidli fkriaşmileerweobrikr hfoakr othlaeradkevteelsoispemdeilnmt iaşntidr. iKmişpilseeml veenrtialteiroinn okforAuIntmecahsınaollaongıineds.a bireylere tesis edilmiş haklar ve veri sorumlularına getirilmiş olan Tyühkisümpalüpleürklaeirm, bsirteoylaesrsiensskişbiaslealnvceinriglerfuinnkdoamruennmtaalsıhaulamnaınndarkigihttesmaenl denAstIr,ümfraonmlartıhneı poleurşstpuercmtiavketoadf ıirt.s Badirveaynlteargeestaannındmthışreoatlas,nuhnadkelratr,heilgexiliistkinişgiylegavlerei giişmleem. eSufcahalaiymetuinltiin- lhauykeurekda rueyvgieuwnltuhğrueantuendsetnoetelxecmeedvtehekilşimiseitlsvoefrtihleirsipüazpeerri;ntdheuksi, wkoenptraortlüicudleavralymfoicmuksâonnı tvheermleegkatlebdairs[i1s].oKf iAşiIs-eblavserdilperionceksosriunngmofaspıemrseovnzauladtıatkaaupsnadmerınAdratibcilleg6i aalnmdaAhratkicklıe, v9eorfi GsoernuemralulsDuantaagPertoirtielcmtiioşnoRlaenguayladtıinolnatEmUa2y0ü1k6ü/m67l9ül(ü“ğGüDvPeRi”lg) ialni dkitşhiyeiertceosrisreesdpiolmndişinoglain LkiaşwiseNlov:e6r6il9e8reTeurrikşimshhPaekrksoı nkalpDsaamtaınPdraotienccteiolennLebaiwle(c“eKkVtirK[2K]. ”). IKnişpisuerlsuvietriolfertihnaht upkuurkpiobsoe,ywuteufkirişsitlipkrohcaekekdı,wmiüthlkaiybertivefe ifniktroi dmuücltkioiynetatbeoouritlethrieabltaınsidcas otafrtAışIı,lıprekresno[3n];avl edraitiaş,leamnde mpreivtoatclyariınveadbduitailoanndtoa gtheleişftuirnildmamişeonlatanlsalogfobriotmtharlaerguisleattiiocnarsi. Thahyeant,taAörtniecmlel6i boifrGreDkPabRerteagraarcdı ionlgartahkedlaewğefurllennedsisriolfmdeakttaepdriro.cYeesnsiinegkwonilolmbeinainnaylyaspeıdtaişnı tohlaencovnertiedxetnoefnAoI-pbtiamseadl dsyüszteeymdse. yPaarratriclaunlamrlay,amweaçelxıaymoğinuentyhaetılraıwmflualrnınesysaopfılpdrıoğcı edsisjiintagl udünndyeardtah,e alelggoarligtmroaulnardıns ovfecovnesrei nitş,lecmonetrmacett,oatnladrılneıgnitikmorautenminatseır,esttacinirltehrebpaekrısmpeınctdiavne obfüyAüIk. Föunrtehmermtaoşırme,arket-apduırr.poBsuingkaopfsdaamtaduasadgae kwiişlilsaellsovebreisiissuişelden. en kişinin özellikle Iontopmaraatilklelkwaritahr tmheeskeancoiznmsiadlearraıntiıonnçs,aslıeşnmsiativperednastiab,isnteipiulilşakteind ubnildgeiraAlmrtaichleak9koıf iGleDvPeRri, hsoarvuemtolubsueneuvnalfuikatreidmaüslkaiypertechiaokulsarcıovnesttiitcuaerni tsıorlfaArıInıdnaktaorsuentsm. Raseı-iadraensıtnifdiaabkiilidteynignenthine csaoğnltaenxmt oafsısbenirspitriovebldemataoalanrdakitksacroşırmreılzaatioçınkmwiatkhtandoınr.-sensitive data will be discussed. ocHTbonieornklwyşcneuetokovrloierplerjdr,inkeoitttlvyegi.ecseOrtliwipvşsoemeorrrrsteauhollemln,erawlmulıeşdlpaıiahğrntıaıat,nsebibdnsüuaidnyt tkgüaoakltsnshohvuaeatntorraiekmluoloyauoyxgrfuiucmctlhuoaielnmsasesreaiıidnltiaessrrsabıuanretetıinansonenafçsiraştesaleınfcşifnhmdaaftrallhıelkeepcnoraebgmgneeemdskoilpeeuflnnnAetdrdiIisa.enitrneioeKinlVistşeKnkzoiaKntt K*DŞaeelıyh,rwİisbtoaannrbdİpusel:kÜGAniDşvıkeProsğRitleu,s,iAASrroatsşiytcıarllmeBa6iGli,möArleervrtlEiiscnilsİetsitt9aüns,übTuÖluzÜrenlkiHivseuhrksuiPtkeesDiroHskoutoknruaaklPFrDaokgaüralttmaesıiP,ÖArğovrretunepccaitsBiioirnliğLi Hawuk,uPkurAivnaabciyli.m *[1P]roMf.eDsru.tBÇoreiksiPna,aAl,vMru.pJuar.B(iOrlxifğoirdH)u, FkuulkluPyrloafeMssourkafoyreCseivliilOLlaawraankd6I6n9f8orSmaaytıiolınKLiaşwis,eDl aVtearainledriMneKdioarLuanwm&asDı Kireacntuornuof, OthceaIkns2ti0tu1t8e,fosr. M88edia and Data Law and Digitalization, Law Faculty of Leipzig University; boris.paal@uni-leipzig.de; ORCID: [020]00B-0il0g0i3a-1lm60a4-h0a9k9k0.ının erişim hakkından ayrı olduğuna ilişkin bkz. Sandra Wachter, Brent Mittelstadt, Luciano F**lBoarridışi,C“. WCAhNyTaÜRRKig, hLtL.tMo .,EDxopklatonraatniodn, Loafw AFauctuolmtyaotefdLeDipezcigisUionniv-Mersaitkyin&g ADttooernseNy aott LEaxwi,sItstiannbtuhleBGareAnessroacliaDtiaotna; Pbarroitse_ctiihoan.Rcaengtuelarkti@ounn”i,-Ilenitpezring.adtei;oOnaRlCDIDa:ta00P00ri-v0a00c2y-L35a7w5,-32407107. , s. 16-19. 2[HU13AAnü]rrisottİeiinlccygll(eiei“nl2C8i 0CFEtaoRaurfn”rto)tıA.hşpmeekaCasnoloaCynr,sotiKniçtviuişentinisotbeinkolnozVKf.oetEnrhİileŞlHiefRİurSeiKmnpEüauKnLzbeolRiccrViiugo,EhnfKtmTIRsi.üa(şİr“UiskLEsıie,LCyElAeHU.RVnReSkİ”rLa)iK,rlAAeaOr,rRitÇniRcAalKUekRm8oMrAoaufkASnthmYIeKaaCysOhıın,aNeArtvGenir,kRo2af0ErFa1uS,0nİT,dusa.rmh8ae5nn.taKl Ritiagbhetsv1io2,f-12th40eK1E8aus,ırmso.p26e0a22n1; 3 General Data Protection Regulation EU 2016/679 (“GDPR”), Law No: 6698 Turkish Personal Data Protection Law (“KVKK”). 25291 Bilgi Çağında İlgili Kişinin Bilgi Alma Hakkı ve Bilgi Çağında İlgili Kişinin Bilgi Alma Hakkı ve 260 KİŞİSEL VERİLERİ KORUMA KONGRESİ 12-14 Kasım 2021 I. ULUSLARARASI 2I.. UULLUUSLARARASI 16 1-21-174KKaassımım 2200231 KİŞİSEL VERİLERİ KORUMA KONGRESİ KişiseBliVlgeirÇilearğiınnKdaorİulgnimli aKsiışnidnainFBailigni ADlimleamHmaaksık:ıSvueç mu? TicaKriabSaırhÇatamtışi?ması EŞeşrherfibBaanrıİşpBekÖARşEıKkoÇğİl*u* ÖZET KGiüşnisüeml vüezrdileeraiknılkloı rcuihnamzlaasrı, ablüaynüınkdvaehriu,knueksanealyekrıirnı ibnitrefrinilektia,rüşçısıbnodyauftalurkylaı zhıuckıluakr,dyaalplaaryı çzeşkiâtliverebauklsuiyt otenklanrolgoöjislteerrimileektetdikirl.enBeun rdeöarkdsüiynocnülasraınnayeindeavğrıirmlariıüriseetimkadmenutühkuektuimkue ateltdıanrdika zcienzcairihnuinkuhkeru,aşkaambashıantdlearethkuikguöksutervmeekbtuediikri. Baulaentıkni imleuhhızalkaegmeelişheunktueknuonldoajni, kgaeytinrmakilşanomldaukğtuadbıril.gHi uvkeuaklgdıoiglemiantisğainnlianrı agneılraidne ablaırnalkarmınaaktatadbıri. oGlaenrçehkutkeunkdaeaybkilıgriı bçaöğyılnesdiabbirüyfiüilke vbearğilahnaacnimso, nhuızçlavre isçeeşfiatillikaçöızsıenlldikanlereikyolenoamnıilkmvaek/tvaeyvae mdeavnebviir abçeıdllaenk dolearreackelçeanldışiırrikleebni;leanynsoı nzuamçlaarnadyaoilnasçamn hakatyaadtıınr.ıBnuhesor nnuoçkltaarsıanrdaasınetdkaisbiinritgüörshteiyrmereakrştiedsöirz. kBoilngui,subdeullre.k ve algı, insanlığın varlığından itibaren her zaman ilgi çekici bir konu Soolmnuçaştruero. lmİnas(a“nullıtğimınabraetliloe”k)ilükzeesriigneereağninlacmecleaznadhırumkaukçuanbuanlayraırastütırğeırekkeonn, otmekinkovleo/jvienyina myaarnatemviışsoonluduçlğaurınbukadbeavhabtelelrlehğuinkuçkaulınşamgaörperednashibaia, ğsıornoulmç avseı bveekrileünrmetemketedsiisr.teNmeinvainr kani,lbaşuılbmekasleınisteinvienrgiseiriçşelkenheanyialtgtialickerişeiylearneebdiirpheatkmoeladriağki ştüespihseeldidilimr. iAştnira.yKasişaisMelavhekreimlereisni tkaorraufnınmdasnı yaalaknınındzambairnedyaleirpetatelseids ielednilmhüişkmhaüknlaarçvıeklvanermi saosırnuımnlguelarriıbnıaragkeıtlimrilamsıi,şhoalpains cyeüzkaüsmınlıünlüekrtlelre, nbmireeysilevrbin. hkuişkiuseklivkeurriluemrinlakr;ouruznumn assüıraelnanyıanrdgaılkaimteamlaerlveenasdtrlüimceaznallaarrıınnı ionlufaşztuınrmdaakkitealdvıerr. işBsirzeliyklearselıntadnaıfnamilıüşzoerlainndhea-kliaşirs,eillvgeilriilkerişiniykeovruernimişalseımözeelfianadliey-eettiknilni bhiurkruekaaksuiyognuunnluğgeurnçuekdlenşieptlgeemrçeevkeleşkmişeisdeilğivneroikletraisıünzdearisnodreukişkaorenttiroluüşdtuervmamakitmadkıâr1nı. Bveurnmaekkaterşdıilrık[1].KKişiişsiesleVl vereirlielreiriKnokrourmunamKausrıummeuv’nzuantıvkeardpisğaimidınadriapbairlgaicaelzmalaarhıakakbı,avhearti isşoleruymenluüszuenraingdeetisroilnmdieşroelcaeneatkyidliınollatbmilamyeükkteüdmirl.üHlüağliüylveebiulgdiulirkuimşiyheutkeuskisdeodgilmmaitşiğoilialne hkiuşkisuekl sviesrtielmerienedreiştiemcrühabkekeıdkilaepnslaemr aınradsaınindcaekleonpeubkilluecğeakytoirl[2a].çabilmektedir. ÇKaişlıişsmelavmerıizlderainahnuılkaunkikboopyuuktluukğiuşnilikmhuahktkeıv,amsıünlıkioyrettavyea fikkoryiambüillmkieyketatdeoınrialerbiirabltiırnindae btaerntızşeılrırfkiielnle[3r]e; vceerziaişhleumkuekmuevtoetlkaarıbvaehabtulearlahnudkaugkeulikştaiyrinlmakilşıoslüarneaçllegrodreitmnaaslaılr sisoentuicçlaarri hbaayğlaatntaaöcanğeım, bliubsirorneukçalbareıtnareakcoınoolamraikk dvee/ğveeryleanmdiarnilemveikbtoeyduirt.lYareınniınekkoanroşımlaişntiınrılymapaısıtavşeı obulankavreşrıliadşetnıremnaonpıntimsoanl dçaürzeeoyldme aysaırialkrleasniymlea eatmkialeçşlıimyoinğeunodyaaktılraınmıllaacrıanktyıar.pıldığı dijital dAünnayhatadra,Kaellgimoreiltemr:aHlaurıknukvepovleitriikaişsıl,emkieşismelevteortillaerrıinnıncekzoaruhnumkuaksuı,yltaackiorlreurnmbaaksıım, kınişdisaenl bveüryilüekrinönkaembahtatşlıemr ahkutkaudkıru.yBlaukokraupnsmamasdı,asodna çakrişeioselml aveilrkiseisi,işhlueknuekni ökliçşüinleibniliörzliekllikle otomatik karar mekanizmalarının çalışma prensibine ilişkin bilgi alma hakkı ile veri sorumlusunun fikri mülkiyet hakları ve ticari sırlarının korunması arasındaki dengenin sağlanması bir problem olarak karşımıza çıkmaktadır. Teknolojik gelişmeler ışığında kanun koyucuların artan şeffaflık beklentisine tezat bir şekilde veri sorumluları, büyük veri uygulamalarının çalışma prensiplerine ilişkin *Şehriban İpek Aşıkoğlu, Araştırma Görevlisi İstanbul Üniversitesi Hukuk Fakültesi, Avrupa Birliği Hukuku Anabilim Dalı, İstanbul Üniversitesi Sosyal Bilimler Enstitüsü Özel Hukuk Doktora Programı Öğrencisi [1] Mesut Çekin, Avrupa Birliği Hukukuyla Mukayeseli Olarak 6698 Sayılı Kişisel Verilerin Korunması Kanunu, Ocak 2018, s. 88 [2] Bilgi alma hakkının erişim hakkından ayrı olduğuna ilişkin bkz. Sandra Wachter, Brent Mittelstadt, Luciano Floridi, “Why a Right to Explanation of Automated Decision-Making Does Not Exist in the General Data Protection Regulation”, International Data Privacy Law, 2017, s. 16-19. 01*H[30AAü]0rns1aİea6şlyygt6aıi0irsnlm9ai-CMa1ta7aGra5nth9öıAşkrmeekmvaslieolsasiyi,r,,YEiKeç:dii2şni0ties2bpe2kel/z1VÜK2.e0nErİ,iivlŞKlieefİ:rrs2SiKin0tEe2üKs3Lzi/eo1HcrV0uiu7,Ekn,KumTIRki:.aş1İFUis.Lsa6ıe,Lk.E2lAüU0RlVn2teeS3kİsr,Laii,KRrlAbeaGOra,:RriÇn3iRsA2a.bK2UkRo6moMr6rAe/auk1kAScn.8imYI@.2Kaay0yes2Oıdı3n,i.NteAİepvpGntiea,k.Rle2iadn0Erua1y.S,üt0rİTr,,üuOsr.rlRüh8Cğa5ünI.DiKl:erhiittattpabrsei:vh/1/eio2,r-b12cı4ri0daK1.ko8aırls,mgım/sı0.ş02t6ı00r220. 1-; 2621 Bilgi Çağında İlgili Kişinin Bilgi Alma Hakkı ve BÖREKÇİ ; Kişisel Verilerin Korunmasında Failin Dilemması: Suç mu? Kabahat mi? The Dilemma of the Perpetrator in Data Protection: Crime or Misdemeanor? Eşref Barış BÖREKÇİ* ABSTRACT In the area of data protection, various law disciplines respond differently to unlawful acts. The most severe of these responses comes from criminal law, misdemeanor law, and the procedural law of these two disciplines under public law. The consequences related to such an unlawful act, as considered within legal dogmatics, lead to results that can be assessed from both economic and psychological perspectives for the perpetrator. There is a hierarchy among these results. In accordance with the principle of “ultima ratio,” it is expected that the economic and/ or psychological consequences caused by criminal law will be more severe than those under misdemeanor law. However, whether this expectation plays out in real life is questionable. The deferment of the announcement of the verdict (recently annulled by the Constitutional Court1 ), the suspension of imprisonment sentences, and other legal institutions raise doubts about whether an effective reaction occurs on the perpetrator regarding long running legal proceedings and the ineffective enforcement of criminal sentences. In contrast, administrative fines imposed by the Turkish Data Protection Authority can be highly effective on the perpetrator. Therefore, this situation can create a disconnect between legal dogmatics and the experiences within the legal system. To identify the essence of such disconnect, this academic study will focus on how similar acts are concluded in criminal law and misdemeanor law processes, the comparison of the economic and/or psychological dimensions of these outcomes, and their interaction with the principle of ultima ratio. Keywords: Legal policy, data protection with criminal law, data protection with misdemeanor law, principle of ultima ratio, legal measurability * Research Assistant, Law Faculty of Yeditepe University, baris.borekci@yeditepe.edu.tr, ORCID: https://orcid.org/0000- 00016609-1759 1 The Constitutional Court, E: 2022/120, K: 2023/107, T: 1.6.2023, RG: 32266/1.8.2023. The effective date of the annulment is postponed to a later date. 262 12-14 Kasım 2021 KİŞİSEL VERİLERİ KORUMA KONGRESİ I. ULUSLARARASI Bilgi Çağında İlgili Kişinin Bilgi Alma Hakkı ve 2I.. UULLUUSLARARASI 16 1-21-174KKaassımım 2200231 KİŞİSEL VERİLERİ KORUMA KONGRESİ WhaBtiDlgoi eÇsatğhıendFautİulgreiliHKolişdinfoinr UBsil?gDi Airlemcta-tHo-aCkoknı svuemer Genetic TestinTg iacnadriESuıroÇpaetaınşmHaesaılth Data Space FŞaethmriabaSnümİpeeykrAa şDıkOoĞğlAu*N* AÖBZSTRACT TGhüenühmumüzadneuarkgıelltıocikhnaozwlara,sbmüyuückhvaesrip,onsessibnleelearbinouinttoenrneesteil,füaçppbeoayruetdluinyadziıfcfeılraern, tywapaayys tzherkoâuvgeh bmuululttiptelekxneodlodjiirleecrti-itloe-cteotniksulemneenr(dDöTrdCü)ngceünestaincacyoimdpeavnriiemsiopüreertaitmindgewnotrülkdewtiimdee. Wtedhairliektzhiinsciinrdinivinidhuearlanşeaemdacsaınndbaeeutknidgeörssttearnmdeakbtleed, pirr.iBvauceytkcoi nilceehrınzslawgheilcihşecnotmekenaolloonjig, wgeittihrmthişesoelcdounğturabcitlsgciavnenoatlgbıeieleasiinlysasnol.aGrıengeerraidleDbatıraaPkmroatekctatidoınr. RGeegruçleaktitoenn (dGeDbPilRg)i as‘uacoyBoçfulcdarllaniaameqğbrlddsrgaeujısiaueenltitiiymk,rşicfrdoitteagabeuçındşsimearcavb.lloaleoglıaüesnşnİecltyıkndttona,rüersuknenearkavğextdcnaeinuoptcivnlt;flıheaiiağbadocatrllıuyhgiinaysntntıesssh,aadiıesanbtceizvocunoedvoaeinlsnfmmrmliabdeatnanra,akleefarlinolcrhıncelodğreüıtsttmzmaığauzhniiielsieenpvntnrdveliposselnaçaarpcfxçeraownoeitleltcıhncıfşihğaeşueiisiaıanmsstselnlsyllnpifidpaaakinctrmarrt’.oagoıpsnönTtltcrceazlgıeheyeignneedtnesoildansushblrlrıiieeerariikibtenesvmrrliiis.eece,nntanIlrhoognsdioyoekfhçafftlntrtaehAepcaoaubrosaemrçaaıtmratznnls.nsaavdtoıp9idhrmletanlmı.ueeaaPseavxaoslenttrieküklbitodlroytriiilicaseainlngiegitrügn,nsavakirtsciteeethiiçrwghnnoteeedmö,enghakedssieigtoivtlaecneeseftsitskrfanbomoiwnbsibebsrrotihterumterilikaebcbmoniantkejjngedetiiolidnniitlcaonnnheiiittnruknn’ggaes. caonnlasşeınlmt atosıgiseettvinegrishiiisş/lheenrengeinlgeitliickdişaitlaerperboicrehsaskedolaanradkctoensitsraecdtiulmalişctoirn.sKeniştisaerlevtearnilgelreidn tkoorounnemaansıotahlaenr.ınTdhaubs,irtehyeledreiscteussissioendilomf i‘şifhcaoknlasrenvte ivsearipsroercuomnlduiltaiorınnaogf epteirriflomrimş aonlacne oyfükaücmonlütlrüakcltecr,obuilrdeyitlebreinckoinşsisideel rveedrialesrfinrekeloyrugnivmena’sıfianldansıintdsapkliacteemheelreeninstrcüomnannelcatriıonnı woliuthştuArrmt.a7k(t4a)doırf. tBheirGeyDlePrRe .tWanhınilme ıtşheodlaenbahtaekwlaitrh, iinlgtihlie kGişDiyPeRvsperhieirşelecmonetifnauaelisyaectrinoisns mhuuklutikpaleudyigmuennlusiğounnsu, adneontehtelermunedveerlykiinşigsealspveecrtiliesrwi üozrtehrimndeenktiioknoinntgr.oIltüisdnevoasmecriemtkthânatı hveeramltheckatereditre[1c]h. Knoişloisgeilesvegrrialveirtiantekotoruwnamrdasspı emrseovnzualaitzıekdampseadmicıinndea(bPiMlg)i aanlmdagehnaektkicı, dvaetrai sisoarukmelyucsoumnapgoenteirnitlmtoişaochlainevaeytdhınelgaotmalas iynükthüims lrüelgüağrüd.v(Ne ailrgdiilni ikeiştiayle.)tSetsuisdeydciolmndişuoctleadn konişi3s0elDvTerCilegreeneertiişcimteshtiankgkıcokmappsanmiıensddaisipnlcaeylednetbhieleirceinktteirn[2t]i.on to use the genetic data toSKtaopfirapşttıihceşseerıe(lsilıErorvkHnceeaurDnlisl[etS3eol])r;emipcvntreerohrroispunikoişinusclaekhrlmieewbseaeaolmtasyhriuecndtthtouarttoaklaacdifrştuoıiivlcrviieksetdieehbclsauao.k(snaLtkdlyaıaa,eenrmasdytraaü,udslgstkieaeuitlypsiieşnuettgirtvrpoiaelonlm.fse)ieikoşsTr.fho(iiPlmetasrnoEüapluiakmorligosysoapetlreotifattoimenmroaaHrpliRarleeoraervilgisteuhaealltatcDiıtccniaeaodtsrnaasi hofaythatetaEöunreompelianbirPraerkliaabmeet nartaacnı doloarfatkhdeeCğeorulnencdiliroinlmtehketeEduirr.oYpeenaineHkoenaoltmh iDniantayaSppıatcaeş)ı oTlhaenpvreorpidoesnalemn eonpttiiomnaslgdeünzeetyicdedaytaarawrhlainlemdaefaimniançglıthyoeğ‘puenrsyoantıarlımelleacrtırnoynaicpıhldeıağltıhddijaittaal’ dwüitnhyiandAa,rta.lg2o(2ri)t(ma)alaadrdınitivoenavlelyr,i ‘hişulemmaen mgeentoettlicardınaıtna’ kisorsutantmedasiın, tAacrti.rl3e3r (b1a)(keı)muınnddaenr bthüeyülikst oöfndematatcaaştıemgaokriteasdıfro.r Bseucoknadpasraymudsae. dTahekiinşitseerlprveetartisioi nişolfentheendkeifşininitinionözoefl‘ldikatlea ohtoolmdeart’iekmkbarraacrems DekTaCnigzemnaeltaicrıtneısntinçaglcışommappanreienssiabcicnoerdiliinşgkitno Abirlgt.i2a(2lm)(ay)h. aHkeknıciel,eDvTeCri steosrtuinmglucsoumnpunanfiieksrithmaüt lokpiyeerat theaiknlatrhıevEeUticwarililsbırelaorbınliıgnedkotrounshmaaresıtahreaisrınddataakiwditehnignenthine sEaHğlDanSmseacsoınbdirarpyroubsleemfraomlaerwakorkka.rHşımowıztahçisıksmituakatiaodnır.will affect the ongoing discussion bTabbyieroktşunhetoiksltoihnljdeeikewDvTlgeeeCgrliiisgşslmeaontreiueoltemnirc,luatıeşrlaesığtrtiıınh,negbdüakcyeokyümakrpnevuasneenraiierkcsuohayyngquduucleuhaslmotaiwroaınnldasraaıetnraxtıpansnluoçbraşjeleedıcfşftmiasn’falrtıikhpgirhsebtsnestskuwildpeilylnel.trbiisenineaefifleitcşektzeiadnt In this paper, I aim to discuss the potential threatening factors of the secondary use of WgD*Şeaelnhıh,reiİilsbtetiaacnndbİdpouelaikÜntAangişvıoskeborosğ,titlaeursi,eniAlSeeroadvsşytaıarvnlmitBaaipGliDmröorlTeevvrCilEissniigsoİtseinttnaüsnseübotuÖiflczÜEentlHeiHvseuDtrkssuiStkeinsDwi oHitkleutlokrrucmakoPFsnraotkogrürfialbtmedusıait,ÖteAağvrtrepounpcraitoshBiteeirclidtğiieoHbnuaktaueknuedAvnepanrbtiilvuimaacllyy. w[1]hMateskuitnÇdekoinf,fAuvtruuprae BaiwrliağiitsHuuksukinuyltahMe ufukatyuerseeliwOillalrbake6t6h9e8 tSoapyıilcı KoişfistehliVsesritluerdiny.Korunması Kanunu, K[O2ce]ayBkwi2lgo0i1rad8l,mss:a.G8h8eaknkeıtniıcn deraiştiam, hseakckoınnddaanrayyruı soeld, uEğHunDa Silişkin bkz. Sandra Wachter, Brent Mittelstadt, Luciano Floridi, “Why a Right to Explanation of Automated Decision-Making Does Not Exist in the General Data Protection Regulation”, International Data Privacy Law, 2017, s. 16-19. *[H3Pü]hsİDelygRiinleisCetaaarrnctıhAşemrk,asJaolagyri,eilKlçoiinşniisabenklUzVK.neiErvİileŞlirefİsriSiKtnyE,üKfLzaeotmcrViua,En.sKmuIRi.maşİUiseLsıye,LrElAaU.RVdneSokİrgLaiKarlAneaOr@,RiÇnuRAja.KeUkRdmoMurAa.upkASnl,mYIOKaaRysOCıın,INDeAv:Gni0,k0R2a00Er0a1−S,00İT0, 0us2.r−h86a57n.74K−i0ta2b2e8vB1i2i,b-12li40oKg1r8aas,pımhs.y260221; 26231 Bilgi Çağında İlgili Kişinin Bilgi Alma Hakkı ve DOĞAN ; What does the future hold for us? Direct-to-Consumer Genetic Testing and European Health Data Space KAYNAKÇA Laestadius, Linnea I., et al. ‘All Your Data (Effectively) Belong to Us: Data Practices among Direct-to-Consumer Genetic Testing Firms’. Genetics in Medicine, vol. 19, no. 5, 5, May 2017, pp. 513–20. www.nature.com, https://doi.org/10.1038/gim.2016.136. Nardini, Christine, et al. ‘The Evolution of Personalized Healthcare and the Pivotal Role of European Regions in Its Implementation’. Personalized Medicine, vol. 18, no. 3, May 2021, pp. 283–94. futuremedicine.com (Atypon), https://doi.org/10.2217/pme-2020- 0115. Proposal for a Regulation of the European Parliament and of the Council on the European Health Data Space. 2022, https://eur-lex.europa.eu/legal- content/EN/TXT/?uri=CELEX%3A52022PC019 264 12-14 Kasım 2021 KİŞİSEL VERİLERİ KORUMA KONGRESİ I. ULUSLARARASI Bilgi Çağında İlgili Kişinin Bilgi Alma Hakkı ve 2I.. UULLUUSLARARASI 16 1-21-174KKaassımım 2200231 KİŞİSEL VERİLERİ KORUMA KONGRESİ NöBroiltgeikÇnaoğloınjidvaeİKlgiişliiseKliVşienriinleBriinlgKi AorlumnamHaasıkSkoırvuenu Gökçe ÇOBANSOY HIZEL* Ticari Sır Çatışması ÖŞeZhrEibTan İpek Aşıkoğlu* DÖüZnya Sağlık Örgütü verilerine göre nörolojik koşullar yılda yaklaşık 9 milyon ölüme AgsvtzGeeeeenüdbrknacçeânaerüböikkvmikryleoedezüşttbiizeeğnvudknecelenriurrdoeatyiennlkatoğeinıinjlikkidlşınihiamnacoenlcirlahoihvnaasjeeşiııznlarrledamadtrödrüia,anarisbkülyıteüinşeayüökdşteülmanaütnkoiemkalbtvonlkieenjriirnekgigyed,öeangnelsneinetşddlesimiödranşmrmnieedrlleeeüevekrdrnteiitecnkebiündouieinslsrnndata.edeunnBrdiğlanşaueuyerenleitgelitied,rikçbieüdiiinvvçienlreebsiöumooihrmnnyoıiszubudaültiatnörlleuingmvtheeiyaammlaavikştzdedleıaeecentrneıtınltmknaetönüarkre,okonkiylelbotoiateşilijpldkoimidamijinriyee,. sgoertiurlmariış doladubğeurabbielrgiindvee aglegtıirmileekitnesdainr.larHı agttearidöeylbeırkaikmçoağkutadzıar.mGanerçneökrteontekdneobloiljgiki gçaelğiışnmdealebrüeyhüaks voelarirahkacyiemn,i hhıazklvaerınçeşgietrliekklöi zoellulipkloelrmiyaledığanı ıulmluasklatraarvaesıdienvsabnirhbaeklllaerkı doloakrtarkinçianldışeırtkaerntı;şaılyırnıhzaalemganeldmaiişntisra.nYheanyi ahtıankınghereerknliolikktlaesrıindidadeitaksiısibniir gaöçsıdtearnmemketevdcuirt. dBüilzgein, lbemelleelekrivnemaelgvıc,uitntseaknnloığloınjilverarklaığrşınısdınandaiktiibyaerteenrsihzelirğiznaemialinşkiilngiençdeikşieclierbiigridkeornsue dolemduişğteurr.açİındsaannlhığaıkn ebnefllalesykonüuznerainyeolaançlaarmaklanmdeırvmcuat hçaabkalalarırnı estükriesrikneind,eteazkanlotalobjiilnmine ryiasrkaitnmi ıdşeohldauizğuolabruakdedveğbeerlelenğdiinrilçeabliılşemceaktpire. nBsuibki,apsosanmuçdavedaveyreinüi rbeitrmheaksistteesmisinin ganerlaekşıllimoaluspı ioselmveardiısğiıinşılnenoenntiollgoijlikkaişnitlerorepobilor jhiatkemolealrlai kintseasnisheadkilmariışbtiirl.gKisişçiseerçl evveersilienrdine ekloeruanlımnmasaısaılvaenıknodnaubyilraeyilgeirlei tpeosizsiteifdihlumkiuşkhankolramr vlaerıvneırni skoorruumyulucluarmınaekgaentizrimlmaliaşroınlaın dyüeğkeürmlelnüdlüirkilemr,ebsiireeylzlemrin gköişriüsenlmveekritleedrirn. kBourunçmalıaşsmı aldaanınddaaköintceemlieklleennstörrüomteaknnlaorlıonjıi bolauğşltaumrmınadkatamdıer.vcBuitregyeleişrme etalenrıinnminışsaonlahnakhlaakrlıabr,iligligsiilivekiöşizyeellivkelerimişalhermeme ifyaeatlivyetöinzienl huaykautkına guiyzlgiulinğliuhğauknkuı çdeerçneevtleesminedevelekaişlıinseml avseırvieletreikünzoelroijnikdegkeilişkmonetlreorilnü idnesvaanmhaikmlakrâını ivhelraml etkmteedriris[1k].inKiibşiesretlarvaefrieldeeribnilkmoerkuniçminasaıtımlmevazsıugaetırekkaepnsaamdımndlarbınilgniealelrmoalahbaiklekcıe, ğvienrei syoörnuemlikludsueğnearlgeentdiriirlmmieşleorlaonrtaayyadıknolantumlma aysüıkhüemdleüflleünğmü evketeildgiirl.i kişiye tesis edilmiş olan kAinşaishetlavrerKileelirme eelreirş:imnöhraoktkekı nkoalposjia,meıtnikd,a iinncsaenlenheabkilleacrıe,ktiinrs[2a].n onuru, kişisel verilerin kKoirşuisneml vaesır,ilmerainhrheumkiuyketi boyutu kişilik hakkı, mülkiyet ve fikri mülkiyet teorileri altında tartışılırken[3]; veri işleme metotları ve bu alanda geliştirilmiş olan algoritmalar ise ticari hayatta önemli bir rekabet aracı olarak değerlendirilmektedir. Yeni ekonominin yapı taşı olan veriden en optimal düzeyde yararlanma amaçlı yoğun yatırımların yapıldığı dijital dünyada, algoritmaların ve veri işleme metotlarının korunması, tacirler bakımından büyük önem taşımaktadır. Bu kapsamda da kişisel verisi işlenen kişinin özellikle otomatik karar mekanizmalarının çalışma prensibine ilişkin bilgi alma hakkı ile veri sorumlusunun fikri mülkiyet hakları ve ticari sırlarının korunması arasındaki dengenin sağlanması bir problem olarak karşımıza çıkmaktadır. Teknolojik gelişmeler ışığında kanun koyucuların artan şeffaflık beklentisine tezat bir şekilde veri sorumluları, büyük veri uygulamalarının çalışma prensiplerine ilişkin *Şehriban İpek Aşıkoğlu, Araştırma Görevlisi İstanbul Üniversitesi Hukuk Fakültesi, Avrupa Birliği Hukuku Anabilim Dalı, İstanbul Üniversitesi Sosyal Bilimler Enstitüsü Özel Hukuk Doktora Programı Öğrencisi [1] Mesut Çekin, Avrupa Birliği Hukukuyla Mukayeseli Olarak 6698 Sayılı Kişisel Verilerin Korunması Kanunu, Ocak 2018, s. 88 [2] Bilgi alma hakkının erişim hakkından ayrı olduğuna ilişkin bkz. Sandra Wachter, Brent Mittelstadt, Luciano Floridi, “Why a Right to Explanation of Automated Decision-Making Does Not Exist in the General Data Protection Regulation”, International Data Privacy Law, 2017, s. 16-19. *[HO3HRü]aCsİceIleygDtitinelIipDCet:aa0Ürn0tnı0Aşi0vm-ke0rass0oli0atye2r,s-iiK7,ç5Sii7şno6iss-bye6akl4lz8VBK.7eiErlİiimlŞliefİlreSiKrnEEüKnLzseotcrVitiuü,EnsKümIR,i.aşİİUinsLsıse,LaElAnURVnHeSkİarLakiKrllAeaaOr,rRıiÇnRAAanKUkRamoMBrAauiklASnimmYIKaaDysOaıınl,ıNeADvGnoi,kkR2tao0Erra1aS,0ÖİT, uğsr.reh8na5cn.isiK, gitcaobbeavn1is2,o-1y24@0K1gm8as,ıamsil..2c60o22m1; 26251 Bilgi Çağında İlgili Kişinin Bilgi Alma Hakkı ve ÇOBANSOY HIZEL ; Nöroteknoloji ve Kişisel Verilerin Korunması Sorunu Neurotechnologıcal Advancements And The Challenge Of Personal Data Protectıon Gökçe ÇOBANSOY HIZEL* ABSTRACT Per the data disseminated by the World Health Organization, neurological conditions rank as the penultimate causative factor for mortality, accounting for an approximate 9 million fatalities annually. Consequently, the contemporary advancements in the domains of neuroscience and neurotechnology are perceived as harboring significant potential for human betterment. Nonetheless, akin to the multifaceted implications of technological progressions, the evolutions within neuroscientific and technological spheres concurrently usher in a plethora of ethical dilemmas and quandaries pertaining to human rights. Such is the magnitude of these concerns that the discourse within international human rights paradigms has been engrossed in deliberations over the exigency for rights tailored specifically to the nuances of neurotechnological progressions. While the postulation advocating the inception of novel rights might assuage apprehensions regarding the insufficiency of extant regulations vis-à-vis burgeoning technologies, it concurrently poses the peril of engendering a rights inflation, potentially attenuating the efficacy of established rights. Within this ambit, it becomes imperative to scrutinize the necessity of instituting a novel right through the lens of ontological anthropology-centric human rights epistemology and to critically assess the protective apparatus of the prevailing legal norms pertinent to the subject matter. This scholarly endeavor endeavors to elucidate the ramifications of emergent neurotechnological innovations within the purview of human rights epistemology, with a particular emphasis on the sanctity of privacy and the inviolability of personal life, whilst proffering analytical insights into potential measures to obviate the risks associated with technological infringements upon human rights. Keywords: neurotechnology, ethics, human rights, human dignity, protection of personal data, privacy. * Hacettepe Üniversitesi, Sosyal Bilimler Enstitüsü, İnsan Hakları Ana Bilim Dalı Doktora Öğrencisi, gcobansoy@gmail.com ORCID ID: 0000-0002-7576-6487 266 12-14 Kasım 2021 KİŞİSEL VERİLERİ KORUMA KONGRESİ I. ULUSLARARASI Bilgi Çağında İlgili Kişinin Bilgi Alma Hakkı ve 2I.. UULLUUSLARARASI 16 1-21-174KKaassımım 2200231 KİŞİSEL VERİLERİ KORUMA KONGRESİ Bilgi ÇUanğuıtnudlamİalgHilaikKkiışvineiBnaBsıinlgÖi AzglmüralüHğaükkı ve Hasan Ali GÜÇLÜ* Ticari Sır Çatışması ÖŞeZhrEibTan İpek Aşıkoğlu* UÖnZutulma hakkı, internetin çok yaygın bir şekilde kullanılmasıyla gündeme gelmiş ivçztGceeeeaüdvktnaryâriüeomivdmkğeiduzülmınbizşnuıdecbluediuirneratinunktşteiıuneldklklıenhmicoelvdiarlhaoeahrajşizatlaolakemalrrkdrti,aıuışisbdğlııeüleunmyydtibeüaamtikyileakiitvnlkkeembiurnagilee,lşökanlnsanteetmdıesylömrndımrşeidta.lıeüekrİk.rntniatcnetdüedUıirirnsnnr.ta.euenBtrtanuudyelımeitşitıd,kaneüidvçihalraebkimkoihkyıiuzıunnültaırulneugttueiyhmllamieşzdneaıecünnıhzltaaetüirkkn,kknyteıoeatrliiponçmaijeniyet, Ugentuirtmulimş aolhdaukğkuınbıinlgki ovneusaulgnıu ikleişisneslavnelarrilıergeorliudşetubrıurra.kGmüankütamdıür.zdGeebrçireekytleenrindekibşilsgeil vçaerğiılnedriaçboükyyüakygvıenribihraşceimki,ldheızinvternçetşiotlritkamözıneldliaklyeerriyalleır.aKnıilşmilearktbauvveerdielevribnirbbileilnleçlki yoaladraakbçilailnışçısrikzeşne;kailydneıpzaaymlaaşnmdaışionlsaabnilhira.yKaitşınisıenl hveerrinleorkütaçsüınndcüa ektikşiilseirncieghöustkeurmkaeuktyegduinr. vBeiylgaih, ubkeullkeakuvyeguanlgoı,lminasyaannlıyğoınllavrlaarlpıağyınladşaılnmiıtşiboalarebnilirh.eKr işziasmelavneriillgeri üççeüknicciübkiirşikleorncue holumkuuşktauur.ygİunsnaonllaığraınk işbleelnlesekbüilzee, briunnelaarnınlaimntlearnndeıtrmvaar oçlambaaylaı rsıürsdüürremrkeesni,hutekkunkoaloayjiknıirnı byiarradtumruışmoyldaurağtuabbiluir.dKeivşisbeellvleeğriinlerçinalıinşmtearnpertetenvsiabri,olsmonayuıçsüvredüvremrieüsiregtemreekssiizstbeimr hinailne ganellmaşiışlmdaesoı liasbeivlier.riYsiinişeleknieşinseillgvileirkisiişiilnetreerbnierthteakvaorlaorlamkateysıissüerddiülmreinştikri.şKi ibşuisedluvreurmiledrainn uirkyosaoülntuhekruşuayütttenuumsbmlırmzilmlüaioarsla.üsılkaıkatUbhalleiadnalrniıku,rrık..tbnuıSiBdnrlömaeıizrykbealakyierporlheeisnynarauelkrek.skruitıeşa,inistçekıenesilrşmivisiknıeeşlirednirolieillnmkraiinnişişniskhtheeoaalrkrknulvlaenaertmrr, iovliaerlesgtrıaiivnlmaeiliraıkinnsisdiışloniadyrdniuearmektvbailemiutlremliaammreiışenellveaneemngkesebatturlifdüraiımalbrmlıiiallymignşeilaltaoeisrnlrııanininnnıı Uhunkuutkualmuayghuanklukğı,ungeuçdmeinşetetlehmuekuvkeakiuşyisgeulnveorlialerariküyzaeyriınndlaenkaink,onantrcoalkü dzeavmaamn imiçiknâdneı hvearkmkıenkdteadihr[a1b].eKr işyiaspelılvanerilkeirşinyikoraruhnamtsıazsıemdenvzubailtgı iknaipnsaimntıenrdnaetbtielngi gaelmriadhöanküklıe, mveerzi sboiçriummdluesuknaaldgıreıtlimrialmsıişhoalkaknıdaıyrd. ıBnliartmhabyeürküumnulütulülmğüa vheaiklgkiılniakidşiayyeanteıslaisraekdilymayişınodlan kaişlidsıerlılvdeığriılnedrea earsilşınimdahbakaskıınköazpgsüamrlüınğdüaneindcelbenirembiüledcaehkatilre[2o].luşturur. Unutulma hakkı ile basın özgürlüğünün çatıştığı birçok durum söz konusu olabilir. Unutulma hakkı kKöitşüisyeel kvuelrlialenrıilndıhğuı ktaukkdi ibrodyeubtauskınişailkikarhşıakbkirı,smanüslükriyneittevlieğfiinkdrei mdeülokliaybeiltitre. orileri altında tartışılırken[3]; veri işleme metotları ve bu alanda geliştirilmiş olan algoritmalar ise ticari hBauytaetbtaliöğnielemulinbuitrurlemkaabheat karkaıciıleolbaarasıkndöezğgeürlrelnüdğiürnilümnekçtaetdışitrı.ğYı ehnuiseuksolanromeleinainlınyaacpaıktatışrı. oUlnauntvuelmridaehnaeknkıonpıtnimnealodldüuzeğyud, eneyaarnalralmanamgaeladmiğaiçalçııykolağnuancaykattıırr.ımların yapıldığı dijital dAünnayhatadra,Kaellgimoreiltemr:aUlanrıuntuvlme aveHriakişklıe, mBeasmınetÖotzlgaürırnlüınğük, oÇrıuknamr açasıt,ıştmacaisrıl,eKr ibşiaskelımVıenrdilaern, bİnütyeürnketöOnertmamtıaşımaktadır. Bu kapsamda da kişisel verisi işlenen kişinin özellikle otomatik karar mekanizmalarının çalışma prensibine ilişkin bilgi alma hakkı ile veri sorumlusunun fikri mülkiyet hakları ve ticari sırlarının korunması arasındaki dengenin sağlanması bir problem olarak karşımıza çıkmaktadır. Teknolojik gelişmeler ışığında kanun koyucuların artan şeffaflık beklentisine tezat bir şekilde veri sorumluları, büyük veri uygulamalarının çalışma prensiplerine ilişkin *Şehriban İpek Aşıkoğlu, Araştırma Görevlisi İstanbul Üniversitesi Hukuk Fakültesi, Avrupa Birliği Hukuku Anabilim Dalı, İstanbul Üniversitesi Sosyal Bilimler Enstitüsü Özel Hukuk Doktora Programı Öğrencisi [1] Mesut Çekin, Avrupa Birliği Hukukuyla Mukayeseli Olarak 6698 Sayılı Kişisel Verilerin Korunması Kanunu, Ocak 2018, s. 88 [2] Bilgi alma hakkının erişim hakkından ayrı olduğuna ilişkin bkz. Sandra Wachter, Brent Mittelstadt, Luciano Floridi, “Why a Right to Explanation of Automated Decision-Making Does Not Exist in the General Data Protection Regulation”, International Data Privacy Law, 2017, s. 16-19. [3] İlgili tartışmalar iKçiişnisbekl zV.eErilliefriKnüKzeocriu,nKmIi.aşUissıe,LlAUVneSkrLairlAear,RiÇnAaKkRmorAaukSnmYI aaysıın, eAvni,k2a0ra1,0T, us.rh8a5n. Kitabevi, 2018, s. 62; Hüseyin Can Aksoy, * Araştırma Görevlisi, Ufuk ÜnivKerİsiŞteİsSi HEuLkuVkEFaRküİlLteEsi,RhİasKanOaliRguUcluM93A@gKmOailN.cGomR, OERSCİİD ID: 12-14 Kasım 2021 0000-0003-0501-7912 26271 Bilgi Çağında İlgili Kişinin Bilgi Alma Hakkı ve GÜÇLÜ ; Unutulma Hakkı ve Basın Özgürlüğü The Right To Be Forgotten And Freedom Of The Press ABSTRACT The right to be forgotten has come to the fore with the widespread use of the internet and has begun to be discussed intensively. It was known that the right to be forgotten existed even before the internet was invented. The term “right to be forgotten offline” is used for the right to be forgotten offline. The subject of the right to be forgotten is personal data. Nowadays, individuals’ personal data is widely available on the internet. People may have shared this data consciously or unconsciously. Personal data may have been shared by third parties through legal or unlawful means. Even if personal data is processed lawfully by third parties, its continued existence on the internet may create an unlawful situation. It may have become unnecessary for personal data to continue to exist on the internet. Again, the person whose personal data continues to exist on the internet may be disturbed by this situation. It may request that the content in question be completely removed from the internet. The right to be forgotten includes the right to have one’s personal data deleted and to have this information forgotten. The right to be forgotten is the right to irrevocably remove from the Internet information that was published lawfully in the past, but that disturbs the person about whom it was reported over time. When a news is removed from publication based on the right to be forgotten, it actually constitutes an intervention in press freedom. There may be many situations where the right to be forgotten and freedom of the press conflict. If the right to be forgotten is abused, it can also be a form of censorship against the press. In this study, the issues in which the right to be forgotten and the freedom of the press conflict will be discussed. What the right to be forgotten is and what it means will be explained. Keywords: Right to be Forgotten, Freedom of the Press, Conflict of Interest, Personal Data, Internet Environment 268 12-14 Kasım 2021 KİŞİSEL VERİLERİ KORUMA KONGRESİ I. ULUSLARARASI Bilgi Çağında İlgili Kişinin Bilgi Alma Hakkı ve 2I.. UULLUUSLARARASI 16 1-21-174KKaassımım 2200231 KİŞİSEL VERİLERİ KORUMA KONGRESİ MBahilrgeimÇiayğeıtnKdaavİrlagmiliınKınişiBniibnliByoilmgieAtrlmikaYHakalkaşkıımveİle Ticaİrni cSeılrenÇmateısşiması HŞeahzrailbOanĞİUpeZkSAAşRıkIoKğAluY*A* ÖZET MGüanhüremmüizydeet kaakvılrlaımciıh, dazisliapr,libnüleyrüakravseıryiö, nüesinleeflaerrkinlıianlatenrlnaerdtia, üçaçlıbşomyauytlaupyılamzıacsıılnaar,oylanpayk szaeğklâamveakbtualduıtr.teKkanvorlaomji,lebriilgilieveteitliektlieşnimençdaöğırnddüancöüzeslalinkalyeikdişeivserilmvei rüilreertibmadğelanmtüınkdeatimele atelıdnamrikakztiandcıirr.inBinilghierteakşnamoloasjiılnedrianeintkihgızölsateirlmerelekdteiğdiirg. üBnuüemtküizidlee,hımzlahgreelmişieyneteikhnloalloejrii, igleetikrmişiilşikolhdaukğluarıbizlgariavregöalrgeıbiillme eikntseanvlearımguehrtiedme eblırzaakrmaraıketandgıerl.leGmeerkçekadteınnad, ekibşiillgiki hçaağkılnardıanıbnübyiürkpvaerçriashıaocliamn,khişızisevleveçreişlietrliink eölzeekltlrioknleirkiyolretaamnıdlma aişklteanmveesdievve bpiaryblaeşlılmekı noloakrtaaksıçnadlıaşıbrkireçno;kaydnüızeznamlemanedayaipnsılamnahkatyaadtıırn. ıBnuhebranğloakmtadsaınkdoaneutkniusninsiogsöysatlerbmileimktleedriinr. fBairlkgliı,ablaenllleakrınvdeaaellgeı,aliınnsmanalsıığsıönzvkaornlıuğsıundduanr. itibaren her zaman ilgi çekici bir konu Çolamlıuşmştuarn.ınİnasmanaclıığ, çınokbbeollyeuktluümzearihnreemainyleatmklaavnrdaımrmı iale içlagbilailTaürırksiyüer’edrek2e0n1, 2t-e2k0n2o3loyıjlilnairnı ayraarsaıtnmdıaş yoalydıunğlaunmbuışdmevakbaelellleerğiinbaçzaı ldışemğiaşkpenrelenrseibgiö, rseoinnucçelevme evkevrie übrüettümnecüslisbtiermbainkiınş açnılsaışyıllamçaaslıışismeavleariısni ieşğleilnimeninilegiyliöknieşliilkerme beivrchuatkdoulrauramkutetseispeidt ielmtmişetkirt.irK. iBşisbelilyvoemrieletrink akroarşutnırmmaaslıaar,laincınedleanbenireiylglielrieytıellsairsaerdaillımğıinşdhaakki,lakrovneuvveeriaslaonruınmbluilliamrısneal geltiişriimlmsişeyorlianni oyrütkaüyma çlüıklüakrmlear,sıbbiraekyılmerıindkainşiösenlevmertialeşırminakotardunırmlaar.sı alanındaki temel enstrümanlarını ksüÇUgkohvoöuileunalşurrrakliliulmşevıksuaştmeebunmkedrlirklaısamumlvaitağtueseneıaudkrylvlkıineaiagemlrtrnepaua[1Dr,sadn]gev.ahıaleeemrKuetrr.tağrgaiiıcrriBşşiunşiiptiklnniidısmamreruseaermliliikyyşmhdbvaelaeevoeateknrleylrşleeakerielörlınitrıeknilt,tearktayaikemnavynabmrıpezdenaikysatıinmenaoa,rvlrmlrsaeyılauşaaeratınnkyrımnznoimıiaadsşldahraıaıia,aşstnyssyıaieğıünatralhaıykcmznrvaıesüaaldkeeölramnevrallzraainazılclr,rüneeuiü,ınlbrynaküi8iciatlğluı2eygüeküln0kıizceınlvaesemivmlmaprkaeiknestnnaıiiailnkradşlamy[ginade2rya]ilıkı.alpee,ndiiyıdeal“kvkaaamrnizeongşaarbniaiilrylihtiçellrzeaigarroşr,elitellııemeüçdşnasmmaliiidbmllysmıeaeaşeaevğıtifld”sşlahaaıotimnaailobnrmkll.uiuadkiyiYlmcluşıuea,uıktnlnokivnllnallâaaeadarninrrrnnaaıiı,, mKiaşhisreelmvieyreitleeriilnişhkuinkuçakliışbmoyaulatruınkieşriklieknhdaöknkıe,mmdüelksoiyseytovloejif,ikferlismefeülvkeiyteeot ltoejoirvileearikaalbtiınnddae htaurktıuşıklırakleann[ı3n];dvaeryi oişğluemnleaşmırekteontlazraımveanbulaalialentdişaimgelvişetirbiillmgiiştoelkannoalolgjiolerirtimaallaanrıinsdeaticialgrii huayyanatdtaırödnığeım, 2l0i 2b0iryrıelıkvaebesot narraacsıınodlaarnakicdeleiğkeserlleançdıdirainlmceidkdteidbiirr. Yaretnışigeöksotneordmiğini,iinleytaişpimı tavşeı oplaaznarvlaemridaeanlaennınodpatikmi çaalldışümzeayladreınyaamraprliarnikmoaldaumğauçtleısypoitğeudnilymaitşırtiırm. Blaurıçnalyışampıaldnıığnı kdiişjiistaell bodçvgaeötüüolrsynıimtşyülemekaarredtaiicnaölkea,nkğrkeaıoinamlrdgruüakonroştramüinmtşnmuıameülsaakılalmrabaıknnraetıikaıknzndıtmme,ıvrdia.eıçilneraB.dvrriıeuaknnrıikvnmieaşçpalşaeshelamrkımeşiemmldamaaiçyıeepsdttrıaonektndalkasvaiirnrşbıainismbnıeneelılnikirvalloieeyşrrnköuimsinnnimeelibsiaşikilnslegıgd,nieeeltaeanalccrmeiakrkaşlitetşeıihrrnhambikanaazkkcııörııllmziaaleenrılanalvidckyeaaolrnkeil sAonrauhmtalurskuenliumnefleikr:rimmaühlrkeimyeiyteht,akilşairsıelvveetriiclearrinsıkrolarurınnmınaksıo,rbuinbmliyaosmı aertariskındaki dengenin sağlanması bir problem olarak karşımıza çıkmaktadır. Teknolojik gelişmeler ışığında kanun koyucuların artan şeffaflık beklentisine tezat bir şekilde veri sorumluları, büyük veri uygulamalarının çalışma prensiplerine ilişkin *Şehriban İpek Aşıkoğlu, Araştırma Görevlisi İstanbul Üniversitesi Hukuk Fakültesi, Avrupa Birliği Hukuku Anabilim Dalı, İstanbul Üniversitesi Sosyal Bilimler Enstitüsü Özel Hukuk Doktora Programı Öğrencisi [1] Mesut Çekin, Avrupa Birliği Hukukuyla Mukayeseli Olarak 6698 Sayılı Kişisel Verilerin Korunması Kanunu, Ocak 2018, s. 88 [2] Bilgi alma hakkının erişim hakkından ayrı olduğuna ilişkin bkz. Sandra Wachter, Brent Mittelstadt, Luciano Floridi, “Why a Right to Explanation of Automated Decision-Making Does Not Exist in the General Data Protection Regulation”, International Data Privacy Law, 2017, s. 16-19. g*H[3uTü]zischİea@lrygegiitnmliACattiaala.şrcnetoısAşmi,mk,TasO.ColRay.rC,MiKIçeDilibşnIiuDsbre:nkl0zBV0K.0aeş0Erİk-ilŞl0oief0nİr0sSiKo2nE-lüo4KLzs9leo0ucrV1ğiu-u,0En,K3mDIR8i.a7oşİUiskLsıte,LoElArUaRVnÖeSkİrLğaiKrrlAeeanOr, RicÇniRsAaiK,UkRAmoMnrAaukkASnarmYIaKaaÜysOnıın,iNveAevGrnis,kiRt2ae0Ersai1S,H0İT,alusk.rlha8a5İnl.işKkilietar bveev1Ti2a, -n12ı4t0ıK1m8a,s,hımsa.z2a60l22o1-; 26291 Bilgi Çağında İlgili Kişinin Bilgi Alma Hakkı ve OĞUZ SARIKAYA ; Mahremiyet Kavramının Bibliyometrik Yaklaşım İle İncelenmesi The Analysis Of Concept Of Privacy With Bibliometric Approach ABSTRACT The concept of privacy enables studies in different fields with its interdisciplinary aspect. In the age of information and communication, the phenomenon is especially addressed in the context of personal data. In today’s world where information technologies are rapidly advancing, privacy violations and personal rights may be damaged and in order to prevent possible harm, various regulations are made on the processing and sharing of personal data, which is a part of personal rights, in electronic environment. In this context, the issue is addressed in different genres of social sciences. The aim of the study is to examine the articles published in Turkey between 2012 and 2023 on privacy, the multidimensional concept, according to some variables and to determine the current situation regarding the trend of studies from a holistic perspective. Bibliometric studies are important in terms of revealing the course of scientific development of the subject and field in the relevant years. Within the scope of the study, 820 articles with “privacy” in the title or keyword section, scanned in Ulakbim and Dergipark databases were analyzed. As a result of the study, which was examined in the light of the criteria of distribution by years, research method, number of authors, journals published, fields of study, keywords used, number of authors, titles of the authors, universities to which the authors are affiliated, and gender of the authors, it was concluded that studies on privacy are important in the early period of sociology, philosophy and theology and then law in the early period, they aroused interest in the field of communication and information technologies over time, there was a significant quantitative increase in 2020 and after, and the studies in the field of communication and marketing were empirical. It is thought that this study will guide researchers in determining the subjects, content and form of future studies on the concept of privacy in terms of the protection of personal data. Keywords: privacy, personal data protection, bibliometrics 270 12-14 Kasım 2021 KİŞİSEL VERİLERİ KORUMA KONGRESİ I. ULUSLARARASI Bilgi Çağında İlgili Kişinin Bilgi Alma Hakkı ve 2I.. UULLUUSLARARASI 16 1-21-174KKaassımım 2200231 KİŞİSEL VERİLERİ KORUMA KONGRESİ TürBkilygei’dÇeaÇğoıncduaklİalrgıinli“KEiğşitnimin VBeilrgiileAril”mnai KHiamkkKıovnetrol Ticari ESdıriyÇoar?tışması HŞeehdriiybeatnulİlpaehkAAYşDıkEoNğlIuZ** ÖGZIRIŞ Gaüzneütme,ürzaddeyoa,ksılilnıecmihaazvleart,ebleüvyiüzykovneurni, neğeistnimelearrinaciınotelranreatki,küuçllbaonyılumtlausıyailzeıcmıleasrl,eykaipbaiyr azleaknâ ovlearbauklumt teedkynaonlıonjilbeiri oilkeutletoilkalreankengödröürldmüensciünesavneayeiğidtiemvrismoriuümreltuimludğeunotlüdkueğtuimnea itleidşkairnikmziondceirrinlienşhmeer ataşarimhiamsıinzdina ebtakşilagnögstıecrınmdeakntebduir.yBanuaetvkairiolleahnızbliar gyealkişlaeşnımtedkannolosöjiz, egdetiilermbiilşir.oTldeourğiuk vbeilpgriavtiek ablogyıuitlleariınylsaanmlaerdıygayearidyeükbleırnaeknmaankltaamdıırn. öGteesrçinedketegneldişetirbiillegni hçaeğrıtnüdralübtüeykünkikvceirhiahzıancivme,içheızriğvien çeeğşitiitmlik-ööğzreeltliimklesrüiyrelecinadnıelmkualklatanıvlaebidlemvesbii,r“ebğeiltliemk toelkanraokloçjailleışrıi”rkbeanş;lıağyınaıltzıanmdaanddeağeirnlseanndhirailyeabtiılnirı.nBhuerçenroçketvaesdınedMa eiltlkî iEsğinitiimgösBtaekrmanelkığteındıinr. 2B0il1g9i, ybıelılnledka vyeayaılmgıl,adinığsıanblıiğrınçavlıaşrtlaıyğınrdapanoruitnibdaarenbuhneurnzagmenaenl içlgeriççeevkeiscii dbaihr akonneut goölmrüulşetbuirl.ir.İnÖsağnrelınğcıin içbienlleökğreünzmereinearaacnılavme löanğdreırtmmaençaiçbianladrıe söüğrreertkimen,artaeçk-ngoelroejçilneirni eayogaakyoytrğnaeloaülkauarrllrkraraicedaşuülarıştcteınuımmkmıoir,ml,rilme“ılmmancşüağhrıiaslaiaonydsütoıkkpdiıeklmatgdeüiirallssriseuladdtedetrğinkıee,refvruıxia.rbknteödtiauirBd”lğbrepmilaresuiglleeraiyaeibtennibrlsdmyişeıiiiıre”lmrlleeevaeaii(yknnçcrrYgielaeabinekeçEçnkerriitlĞelşnaaei“dllienrceİgestç,ğiTeığeainsisglilmlEtlimniıiiavsşKbkmeymıeiiçedş,tşrabdtasyiipeloll.iilaıeekrrlal3şmeorrarnm7oieyjnynoie)ksaşbülkeusokhirhtlarrpjoaöüyaöiyhrkrlrtkığeaeuaüülllrnzmarknlaieaürsgmr,otaıririşiblrblvkmiatıaailğıiees,grrsıınma.ıgivsnlakKeçkoeieldraritinakekttelainulılaçiseeşsbışçnlimoneiisiiilylrrldzveegaeuieamt,editlmiskaidşivşaarlivielimyeımlmuetnraraelsrriiaramaşi,,akrtripiriaıüşeianrnatrlğlrç.aetoçaeılKeepmlragtarngllmrirınareşseıkaırneeittnmısriftı,vüred,ansilkelmbaaıilarsmovlniöiytiallelgeyiuğnnmerşmiermğilsatlaeioaikiieşttrsnnyltriiıuavmmaiiiinrnnnnezrı. Ahunkcuakkaduijyitgaullneşlumğeunilue bdiernliekttleeemnefovremkaisşyiosenl, ivleetriişliemri vüezeeğriintidmektiekknoonltorojillüerdineivnaumygimulkamânaı avlearnmlaerkıtneddair[1o].rtKayişaiseçılkvaenrilbeirrinbkaoşrkuanmolagsuı moelavrzaukatöı ğkraepnscaim, ıvnedlia, böiğlgrietamlmena hvaekkeığ, ivtiemri skourruummlluasruınnıangkeatirrşiılmkiaşrşoılyaankaaylddıınğlıaytmenai ybüikr ümmelyüdlüağnüovkeuimlgailiiskeişşiiymedtieyseiskeaddialmr isşadoelacne kkaişmisuelkvuerruilmerleareınriışnimelihnadkekoı lkaanpvseammıantdbauionlcaerlaekneeğbiitliemcekkutirru[2m]. larının arşivlerinde yazılı oKliaşriaskeltvueturillaenriönğhruenkucikleirbionykuitşuiskelişvielirkilheraiknkinı, imşlüenlkmiyeesti,vkeofriuknrimmaüslık, siyileint mteoesriilveeriüaçlütınncdüa obdohtyodötaaertülüakurraetnyuynrtaanıiuaüyrybfşl,tvlaakıbiatmdlzdaeirkıairrlraoöunöatki,imyndşlnehpedeevaeniyaeumnelm[yyig3eğcç]dleğo;luaöiin,ativrşztatbiinıeaiüzotşlimmrrmlırpmoeiimhrtaykiaielksşalimeuskeauclkıremlriaarktümımvbaulnoaredemdeienrtıokvüturamlial.uezaslasrmıeerluraBnlvıytaacdneoeuddknıuyıtraenlıoeriçacke.lyçoıraviMtaaıaşokcrepllvrauilıeesasaşkeedkaimrnmğimllbydlaiaeöeaıuterndşiğğmıimtammanlrıeelreecarae.neddiliGntlelğayacogedneimiaitrtalldllkeiioieaamnigriTknrrçşieıiuüenliinllşıvsrkmriıoeyeşyknsvtleraleoieiuiyzklrkğlvmaveietioule’reşernmrlslndriyıeuiuniğiainmsynrşziıi.dnammkoelYiteaitjlıiaşoeirvkarştlsinırdlniaemıealidel,nenammerlnoeltmankgalınmeryaolcoıedeslnneiraskşıyrilyoimleieyta,eşlmmğrnaakireiinpıaniotodnnbiiılrinmlleainaeudunnrktnışüaköeiğyıasmylmzizıabaesieepdnmiiaırltnlnıisılieijindnicıdtcnikaateddaevialşrnnnkeaeeıli ositloinmmateiski sküarreaçrlemrienkiaknaipzsmayaalanrıvneırni yçöanlıeştmima iporlegnussiubionretaiyliaşkçıiknmbıişlgtıir.aDlmijiatahllaekşkmıeinleinvheırzi skoarzuamnmluassuınnudna,fiekğriitimmütlekkiyneotlohjaiklelrairnıivnevteicbairliişsiımrlainrıneığnitkimorduenmkualslaı naırlamsıansdınakdiadzeonrglaeynıicnı svaeğhlaıznlmanadsıırbıciır oplraonbCleOmVoIlDar-a1k9kpaarnşıdmemızaisiçıdkemöanketmadlıire. tkenlerden biri olmuştur. TEeğkitniomlojTikekgneolilşomjielleerri vışeığYıenndai NkeansiulnEğkiotyimucuTleakrınnoalrotjainlerşief:faAflpıklikbaeskyloenntliasirne tezat bir şekilde veri sorumluları, büyük veri uygulamalarının çalışma prensiplerine ilişkin COVID-19 pandemisi döneminde eğitimin dijital uygulamalar üzerinden uzaktan y*ŞüerhüribtüanlmİpeeksAinşıiknoğdlue, Abriarştısromna uGcöruevolilsai İrsataknbMul iÜcnriovesrosiftetsTi HeuakmuksF, aGküoltoesgi,lAevCrulpaasBsirroliğoimHukvuekuZAonoabmilimgibi ADaBlı,Dİstamnbeurl kÜenizvleirsbiteüsyi SüoksyatleBkinlimolleorjEinfsitirtümsüaÖlazerlınHıunkukkDuollkatonraılPmroagrsaımMı ÖEğrBenceis-iOkul Yönetim Bilgi Sistemi kamu kurumlarının dışında eğitim verilerinin şirketlerin elinde toplanmasına yO[1oc]alMk e2as0çu1mt8Ç,ıesş.kt8iınr8., AvPraunpadBeimrliiği HduöknuekumylianMinukaiyhetsieyliaOçllaarraık 6d6o98ğrSuaylıtluı KsuişnisdelaVerTilüerrikniKyeo’rduenkmiasıyKaaznıulınmu, ş[2ir] kBeiltgliearlimnainhagkeklıinşıntirerdişiiğmi ohakkukıln, dvaenlia,yörığorldeutmğuneanilvişekiönğbrkezn. ScainadrraasWınacdhateri,leBtrieşnitmMiitstaelğstlaadyt,aLnuycieannoi nFleosriidli,te“kWnhoyloajiRkigçhöt ztoümExlpelranüatrioenteonf aApultoikmaasteydonDleacrisidona-Meğaiktiinmg dDeoeks uNlloatnEıxlmistaiynathbeaGşleannermalışDtaıtra. BP[H3rüu]ostnİeelycglaitiinlroidCntaaaRrnnteıAşgbmukalasaozltaiyırol,aniKç”rii,ışnIişnsbuetkelnrzVn.leaaErtrilildioefnrıiKarnl:üKDzeoacrtiua,nPKmIri.aişvUissaıe,LclAyUVnLeSkarLawirl,Aear2,Ri0Çn1Aa7KkR,mosrA.auk1Sn6mYI-a1ay9sıı.n, eAvni,k2a0ra1,0T, us.rh8a5n. Kitabevi, 2018, s. 62; * Doç. Dr., Marmara ÜniversitesiKİlİeŞtişİiSmEFLaküVltEesRi, hİLayEdeRniİz@KmOarRmUarMa.eAdu.Ktr.ONGRESİ 12-14 Kasım 2021 2721 Bilgi Çağında İlgili Kişinin Bilgi Alma Hakkı ve AYDENIZ ; Türkiye’de Çocukların “Eğitim Verileri”ni Kim Kontrol Ediyor? https://iokul.com, https://www.okulcep.com, https://www.cocugumyanimda. com, https://www.mobilkres.com, https://e-kres.com.tr/#, https://abc.net.tr/veli- bilgilendirme-sistemi/, https://www.mobildiri.com/neden-mobildiri.html, https:// www.classdojo.com/tr-tr/, https://okul.k12net.com/Login.aspx, https://www.mebre. com.tr. Okul yönetiminin ve sınıf öğretmenlerinin yönlendirmesiyle ücretsiz ve ücretli ikili uygulama ile velilerin oturum/hesap açmasıyla kullanılması teşvik edilen bu yeni nesil iletişim teknolojileri, okul, veli, öğretmen ve öğrenci arasında iletişimi sağlama iddiasını taşımaktadır. Okul yönetimi veya öğretmenler tarafından bu öğrencilerin okulu, adı, soyadı, aldığı dersleri, sınav notları, ödevleri, ebeveyne davetler ve notlar bu uygulamalara işlenmektedir. Eğitim verisi, örgün eğitimde olan çocukların başta eğitim ve öğretimle ilgili olmak üzere tüm verilerini kapsamaktadır. Okul bilgisi, aldığı dersler, notlar, devam-devamsızlık durumu, disiplin, kültürel etkinliklere katılım vb. amaç ve tür ayrımına gitmeksizin eğitim-öğretim, sınav ve değerlendirme amacıyla öğretmenler, okul yöneticileri veya okul aile birliklerinin veri işleme pratiklerinin ve amaçlarının tespiti ve analizinin, mevcut sorunların tespiti ve çözüm önerilerinin geliştirilmesi açısından temel bir ihtiyaç olduğu değerlendirilmektedir. Devlet okulları ve özel okullar bakımından Türk eğitim sisteminin tabii olduğu yasal ve kurumsal yapıda bir farklılık olmamasına rağmen eğitim teknolojilerinin kullanımında devlet okullarındaki uygulamalar ile özel okullardaki uygulamaların farklılığı da ayrı değerlendirilmesi ve üzerinde durulması gereken özelliklere sahiptir. Özel sektörün geliştirdiği ve okullar tarafından kullanılan eğitim teknolojilerinin özellikle de web tabanlı ve mobil cihazlarda kullanılmak üzere geliştirilen aplikasyonların kullanımı ve bu uygulamalar üzerinden çocukların eğitim hayatına ilişkin verilerinin işlenmesi, eğitim teknolojilerini geliştiren şirketlerin politikaları ve verileri üçüncü taraflarla paylaşma pratikleri çalışmanın önemli bir boyutunu oluşturmaktadır. Bu şirketlerin de tabi olduğu KVKK veri yönetimi rejimi dikkate alındığında NVİ verilerine erişim ile MEB e-Okul Yönetim Sistemi’nde yer alan ve her aşamada güncellenerek işlenen verilerin şirketler tarafından erişilmesi ve üçüncü taraflarla da paylaşılması, eğitim bağlamında çocuklardan elde edilen verilerin nasıl yönetildiği ve bunun çocukların yararına olup olmadığı hususlarını sorgulamak ve sorunsallaştırmak, hem akademik hem de uygulama boyutuyla temel bir ihtiyaç haline gelmiştir. Kişisel Verilerin Korunması ve Eğitim Verilerinin Mevzuattaki Yeri Kişisel verilerin korunması, 2010 yılında yapılan anayasa değişikliği ile Türk hukuk sistemine girmiş ve 2016 yılında yürürlüğe giren Kişisel Verilerin Korunması Kanunu ile yasal bir çerçeveye kavuşmuştur. Yasanın yürürlüğe girmesinden iki yıl önce 2014 yılında Millî Eğitim Bakanlığının yayımladığı Kişisel Verilerin Korunması Genelgesi’nde, kişisel veriler “kimliği belirli veya belirlenebilir bir gerçek kişiyle ilgili her türlü bilgi” olarak tanımlanmıştır. Kişisel verilerin korunması hakkının “temel insan hak ve özgürlükleri arasında” olduğu ve bu verilerin korunmasının da “insanın şahsiyetinin korunması açısından hayati öneme sahip” olduğu vurgusu Genelge’de öne çıkarken örgün ve yaygın eğitim kurumlarınca kişisel verilerin korunmasına ilişkin ivedi alınması gereken önlemlerden ilkinin “kurum internet sayfalarında İdareci, öğretmen, öğrenci, 272 12-14 Kasım 2021 KİŞİSEL VERİLERİ KORUMA KONGRESİ I. ULUSLARARASI Bilgi Çağında İlgili Kişinin Bilgi Alma Hakkı ve K.V.K.K. 2. ULUSLARARASI KİŞİSEL VERİLERİ KORUMA KONGRESİ veli vb. kişilerin üçünü taraflarca görülmemesi gereken kişisel verilerinin (T.C. kimlik numarası, anne-baba adı, iletişim bilgileri, vb.) yayınlanmaması”, olarak belirtilmesi dikkate değerdir. “Bu bağlamda da adı, soyadı, doğum tarihi ve doğum yeri gibi bireyin sadece kimliğini ortaya koyan bilgiler değil; telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, genetik bilgiler, IP adresi, e-posta adresi, cihaz kimlikleri, hobiler, tercihler, aile bilgileri gibi kişiyi doğrudan veya dolaylı olarak belirlenebilir kılan tüm verileri kişisel veriler kapsamındadır.” 2016 yılında TBMM’de kabul edilerek yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda kişisel veri ve özel nitelikli kişisel veri tanımı yer almaktadır. Kişisel veriler “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” olarak tanımlanırken özel nitelikli kişisel veriler ise “kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik veriler” olarak tanımlanmıştır. 2017 yılında Okullarda Sosyal Medya Kullanılması Genelgesi’ni yayımlayan MEB, Anayasa, yasalara ve uluslararası düzenlemeye de referans vererek “il, ilçe, okul ve kurum yöneticileri tarafından, okul veya kurumlarında görev yapan tüm personel ile öğrenim gören öğrencilerin, kişilerle ilgili her türlü ses, yazı, görüntü ve video kayıtlarının internette veya farklı dijital ya da basılı ortamda hukuka aykırı şekilde paylaşılmasının Anayasaya, uluslararası sözleşmelere ve 1739 sayılı Kanununa aykırı olduğu; bu fiillerin Türk Ceza Kanununda suç olarak düzenlenmiş olduğu hususunda bilgilendirilmesi sağlanacak ve bu durumların önüne geçilmesi için gerekli önlemler alınacaktır. Ayrıca, kişilerin psikolojik ve sosyal yönlerine olumsuz etki yapacak her türlü ses, görüntü ve video kayıtlarının genel ağ ortamlarına yüklediği ve paylaştığı tespit edilenler hakkında ilgili mevzuatı çerçevesinde gerekli yasal işlemler başlatılacak ve sonucundan Bakanlığa bilgi verilecektir” ifadelerine yer vermiştir. 21 Ağustos 2023 tarihinde “2023-2024 Eğitim Öğretim Tedbirlerine İlişkin Tedbirler” başlığıyla yayımlanan Genelge’de dijital bağımlılık ve dijital ortamlar dışında vakit geçirme ve dijital bağımlılıkla mücadele vurgusu yapılmış olup ayrıca, “e-Okul Yönetim Bilgi Sistemi”nin kullanımına değinmekle birlikte kişisel veriler ve eğitim verilerine ilişkin herhangi bir detay ve uygulama kriteri belirtilmemiştir. Yasal düzenlemede “eğitimi verisi” kavramına ve tanımına yer verilmemiştir. Kişisel veri ve özel nitelikli kişisel verilerin kapsamı sayılırken de eğitim verisine yer verilmemiştir. Veri tanımı, veri türleri, verilerin işlenmesi, korunması ve silinmesine ilişkin sistemi ifade etmek üzere “veri rejimi kavramı” kullanıldığında Türkiye’nin veri rejiminde eğitim verilerinin konumu, buna ilişkin mevzuat (anayasa, yasa, yönetmelik, yönerge ve genelgeler) dikkate alındığında eğitim verilerine ilişkin nasıl bir yaklaşımın olduğunun; eğitimin amaç ve hedefleri açısından eğitim kurumlarının ve çocukların yararı birlikte dikkate alındığına ise yasal ve toplumsal açıdan bir durum analizine ihtiyaç olduğu görülmektedir. I. ULUSLARARASI 12-14 Kasım 2021 KİŞİSEL VERİLERİ KORUMA KONGRESİ 273 Bilgi Çağında İlgili Kişinin Bilgi Alma Hakkı ve AYDENIZ ; Türkiye’de Çocukların “Eğitim Verileri”ni Kim Kontrol Ediyor? Eğitim Teknolojileri ve Eğitim Verilerinin Türkiye’deki Akademik Çalışmalara Konu Olması Eğitim verileri ve eğitim teknolojilerinin akademik çalışmalara konu olmasıyla ilgili olarak Türkiye’deki durumun tespit edilebilmesi için YÖK ve ULAKBİM veritabanları taranarak kavramsal çerçevenin ve konuya ilişkin akademik ilgilinin tespitine çalışılmıştır. “Eğitim teknolojileri” anahtar kelimesinin tez.yok.gov.tr sitesinde tez başlığında taraması yapıldığında toplamda 59 adet yüksek lisans ve doktora tezinin olduğu ortaya çıkmıştır. İlk tezin 1999 tarihli “Uzaktan Eğitim Teknolojilerinin Araştırılması ve Örnek Bir Uygulama” başlığını taşıdığı; “yeni eğitim teknolojileri” kavramının tez adında kullanılarak hazırlanan ilk tezin ise 2002 tarihli “İlköğretimde eğitim durumlarının düzenlenmesinde yeni eğitim teknolojilerine ilişkin öğretmen görüşleri” başlıklı yüksek lisans tezleri olduğu görülmektedir. “Eğitim verileri”nin tez başlığında kullanımına ilişkin yapılan taramada ise sadece 5 adet yüksek lisans tezinin kayıtlarda yer aldığı görülmüştür. Bu tezler arasında eğitim bilimleri alanında hazırlanan tez sayısı ise sadece birdir ve o da 2022 tarihli “Eğitim Verileri Üzerinde Temel Bileşenler Analizi Ve Regresyon Analizinin R Programı Üzerinde Uygulanması ve Yorumlanması” başlıklı Nefin Yaşar’ın Akdeniz Üniversitesi Eğitim Bilimleri Enstitüsü Eğitim Bilimleri Ana Bilim Dalı Eğitimde Ölçme ve Değerlendirme bilim dalında hazırladığı tezdir. Türkiye’nin akademik makale veritabanı olarak kabul edilen dergipark.org.tr adresinde “eğitim verileri” anahtar kelimesi ile yapılan taramada 41 makale kaydına ulaşılmış ve bu makaleler arasında kişisel veriler ile eğitim verilerinin ilişkilendirildiği bir makale bulunmuştur. 2022 yılında yayımlanan Eğitimcilerin Öğrencilerin Kişisel Verilerinin Korunması Konusundaki Görüşleri başlıklı bu makalede eğitim verileri tanımı yer almazken, araştırmacılar eğitimcilerin öğrencilerin korunması gereken kişisel verileri arasında “sınav, karne ve not bilgileri, (…), ilgi ve yetenek bilgileri, okul dışı faaliyet kayıtları, okula geliş ve gidiş zamanı, okul servisi bilgisi, seçmeli ders bilgisi olarak sıraladıkları sonucuna ulaşmışlardır.” (Bayar ve Korkmaz, s.145). Her ne kadar eğitim verisi tanımı üzerinden bir araştırma tasarımı olmasa da araştırma konusu olan öğretmenlerin kişisel veriler arasında saydıkları bazı veriler, bu makalede eğitim verileri kategorisinde ele alındığında dikkate değerdir. Yöntem ve Araştırma Soruları Nitel araştırma yönetmelerinin birikiminden yararlanarak durum çalışması deseni (case study) ile kişisel verilere ilişkin Türkiye’deki hukuki ve idari yapı dikkate alınarak eğitim verilerinin yönetimine ilişkin anlayışı ve uygulamayı tespit ederek ve buradan hareketle eğitim verilerinin işlenmesine ilişkin hukuki ve etik sorun alanlarının tespitini odağına alan bir çalışma yürütülecektir. Bunun için öncelikle Resmi Gazete ve Milli Eğitim Bakanlığı’nın genelge, yönerge ve idari kararlarını içeren kurumsal arşivinin kullanımı ile eğitim verilerine ilişkin yasal düzenlemelerin ve eğitim dokümanlarının tespiti yoluna gidilecektir. Buradan hareketle de “eğitim verileri”nin dükümanlardaki yerinin analizi ve değerlendirilmesi ile yeni nesil eğitim teknolojileri olarak eğitim kurumlarınca kullanılmaya başlanılan aplikasyonların hizmet sözleşmelerinin “kişisel verilerin korunması” ve “çocukların mahremiyeti” açısından karşılaştırılmalı analizi 274 12-14 Kasım 2021 KİŞİSEL VERİLERİ KORUMA KONGRESİ I. ULUSLARARASI Bilgi Çağında İlgili Kişinin Bilgi Alma Hakkı ve K.V.K.K. 2. ULUSLARARASI KİŞİSEL VERİLERİ KORUMA KONGRESİ ve değerlendirilmesi yoluna gidilecektir. Türkiye’de, Covid-19 pandemisi sonrasında geliştirilen ve son beş yıllık süreçte yaygın kullanılmaya başlanılan okul, veli, öğretmen ve öğrenci arasında iletişimi sağlamak amacıyla kullanılan ve yeni nesil teknolojik çözümler olarak nitelendirilen eğitim aplikasyonlarının hukuki, idari, pedagojik ve etik boyutlarının analizi ile sorunların tespiti ve çözüm önerilerini ortaya koyabilecek bir çalışmanın yapılması amaçlanmıştır. Çalışmanın araştırma soruları şu şekilde formüle edilmiştir: • Okul, veli, öğretmen ve öğrenci arasında iletişimi sağlayan yeni nesil teknolojik çözümler olarak değerlendirilen, ilk ve ortaokullarda ve liselerde öğretmenlerin ve okul yönetimlerinin kullandığı e-bilgi sistemlerinin Türkiye’deki kullanım durumları nelerdir? • İlk ve orta öğretim süreçlerinin yönetiminde kullanılan aplikasyonların kullanım şartları ve işleyişleri ile sundukları hizmetler nelerdir? • MEB e-Okul Yönetim Bilgi Sistemi dışındaki platform ve aplikasyonlara çocukların eğitim verilerinin işlenmesi konusundaki yasal düzenleme ve idari uygulamalar nelerdir? • Türk hukuk sisteminde yer alan “kişisel veriler” ve “özel nitelikli kişisel veriler” tanımı, eğitim teknolojilerinin kullanımı ve dijital dünyanın sağladığı imkanlar dikkate alındığında “eğitim verileri”ni de kapsayacak şekilde bir veri yönetimi rejiminin çerçevesini ortaya koymakta mıdır? • Kişisel Verilerin Korunması Kanunu ve Kişisel Verileri Koruma Kurumu (KVKK) kararları çerçevesinde MEB e-Okul Yönetim Bilgi Sistemi dışındaki platform ve aplikasyonlara çocukların eğitim verilerinin işlenmesinin hukuki, pedagojik ve etik sorunları ile ilgili neler söylenebilir? • Çocukların yararını gözeten bir eğitim veri yönetiminin idari, hukuki ve etik ana unsurları neler olabilir? • Hem veri yönetimi açısından hem de medya okuryazarlığı eğitimi açısından uygulanabilir eğitim verileri yönetimine ilişkin neler söylenebilir? I. ULUSLARARASI 12-14 Kasım 2021 KİŞİSEL VERİLERİ KORUMA KONGRESİ 275 Bilgi Çağında İlgili Kişinin Bilgi Alma Hakkı ve Bilgi Çağında İlgili Kişinin Bilgi Alma Hakkı ve 276 KİŞİSEL VERİLERİ KORUMA KONGRESİ 12-14 Kasım 2021 I. ULUSLARARASI 2I.. UULLUUSLARARASI 16 1-21-174KKaassımım 2200231 KİŞİSEL VERİLERİ KORUMA KONGRESİ ÇocBuiğluginÇKaiğşiısnedlaVİelrgiilleirKiniişninÖinzeBliOlgliaAralmk Ka oHrauknkmı avseının TicarGi eSrıerkÇlialitğışiması İŞmehgreibHaanzİapleYkIALMşıkAoZğlTu*EKİN* KÖiZşisel verilerin korunması teknolojinin bu kadar ilerlediği günümüzde oldukça önemli ve dikkat çekicidir. Ancak bu önem ve dikkat çekicilik, her zaman geleceğimiz olarak iGfaüdneümedüizldene açkoılcluı ckilharazlbaark, ıbmüyınüdkavne,rik, ennedsnileelreinriin kinotreurnmeatil,aürıçnbınoymutülumykaüznıcıolalrm, yaampaasyı szeebkeâbviyelebudlauht atefkanzolaloöjinlerpilailneateçtıikkmleanketnaddıör.rdÖüzneclülikslaenaayilieldeervinriimn ioünrleatriamidlieşnkitnükseotsimyael mtedeadryiak zpianycliarşiınminlahreı,r çaoşacmukalsaırnıdnaçeotkikgüöçsütekrmyaeşkttaedinirt.eBrnueettokritialemhııyzllaatgaenlıişmenatlaerkın, oalrotjıik, çgoectiurmkliaşrıonldouyğuuncbailkglai rvıneınalgbıileileçoinğsuanzlamrı agneriindteerbnıertakemriaşkimtaldiıro. lmGearsçıegkitbeni hduesubsilagri dçaikğkınadtea ablıünydüıkğınvderai çhoaccuimkl,arhınızkvişeisçeelşvietlriikleörizneilnlikkloerruiynlme asnıınlmınaökntaemvei gdöervülbmirekbteeldleirk. Boluanraakkçaarlşıışnır,kTeünr;kayhnuıkzuakmuannddaa kinişsiasnelhvaeyraitlıenrıinn hkeorrnuonkmtaassıınndaa ielitşkkisininitegmösetlernmiteklitketdeikri. 6B6il9g8i, sbaeylıleı kKvişeisaelgVı,eirnilsearninlığKınorvuanrlmığaısnıdaKnanituibnaur’nendah1 eçrozcaumklaanrınilgkiişçieskelicivebrirlerkionninu koolmruunşmtura.sıİnnasailnişlkığinınözbeelldleükzeünzlemrineebualnulnamlaamndakırtmadaır.çBabuadlaurrıumsürçeorckueknl,artıenknvoelkoijşiinsienl vyearialtemriınşinolkdourğuunmbuaddığevı abnelallmeğınina gçealmışmeza. Zpirrean6s6ib9i8, saoynıulıçKvişeisvelerVieürirleetrmineKsoisrtuenmminaisnı Kanalnauşınlmu absaışitsaeovlmeraiski üişzlernee,n47il2g1ilsiakyişıliıleTrüerbkiMr headkeonliaKraakntuensuis2evdei6lm09iş8tisra.yKıliışTisüerlkvBeroilreçrlainr kKoarnuunnmua3skı aaplasnamınıdnadbairdeaylkeorerutemsias veedizlmariaşrlhaarkınlargivdeervielmriessoirguümnlduelamrıenagegleetbiriliilrm. iAşnoclaakn eyrügkiünmbliür lbüikreleyrd,ebnirheeymlerfiinzikkisşeilsevlevpesriikloerloinjikkoarçuıdnamnadsıahalaanzaınydıfahkeimtemdeelheennsützrübmenalnilğairnıinnı goelulişştiumrmsüakretacdinırd. eBoilrmeyalseıresetbaenbıinymleışfaorklalın ohlaanklçaor,cuilkgibliakkıimşiyınedvaenriözişelledmüezefnalaelmiyeelteinriinn vhaurkluığkıahueymguçnolcuuğkulnaur adçeınseıntldeamnehveemkidşeiseylasvaelrislüerrieçülzeerdrienkdiebkei lkirosniztlriokllüerdinevgaimderimilmkâensıi avçeırsmınedkatnedyiar[r1a].rKlı ioşliascealkvteırr.ilAevrirnupkaorGunenmealsVıemrieKvozuruatmı kaaTpüszaümğıün,düastbüinlgyi aarlamrıaghöazkektiıl,mveesrii ksçgdooeiüşrrcziueusekmenğelullneuvnmseçuorekincllieeauşrriksgelebeaeltarrirrivbışienlaimrmkdiılıimerşhrmaoıinnklaakdesn,ııaynkalbaayuvpdenTsırlünaialmlrreakırtınimnnhdaiuiaşşklyleieuünnnkkcmmueülmeeeassnlçiiünenıslbddüıineeğledüvcaaeelvnıkönetzaöiierblrl[gni2ll]ii.eeklikcleekkoidşleiaöybrneıizllitearem.ksioÇlsenareueldı,sşiumlçmnoadicmşauoıöğzlzudaennal kKiişşiisseell verilerinihnukişulekni mboeysuintudekişriılziaknhınakköız,emlliüklkviyeetövneemfikrairmz üeldkeiynetnteookrtiallearriınalatınydear vtaerrtiılşeırlıerkk,eçno[3c];uvğeurni ikşilşeimseel vmeeritloetrlianrıinvekobruuanlmanadsaıngdealiöştzierilldmüizşeonllaenmaelgleorriintmbualaurnimseatsiıcnaırni hgearyeakttlialiöğnineimolritbaiyrarekkoaybmeat karaamcıaoçllarnamk adketğaedrılre.ndirilmektedir. Yeni ekonominin yapı taşı oAlnaanhvtaerriKdeenlimeneloerp:tiÇmoacul dğuünzeKyidşeiseylaVraerrlialenrmi,aKaişmisaeçl lVı eyroilğeurinnyKaotırruımnmlaarısnı, yRaıpzaıldığı dijital dünyada, algoritmaların ve veri işleme metotlarının korunması, tacirler bakımından büyük önem taşımaktadır. Bu kapsamda da kişisel verisi işlenen kişinin özellikle otomatik karar mekanizmalarının çalışma prensibine ilişkin bilgi alma hakkı ile veri sorumlusunun fikri mülkiyet hakları ve ticari sırlarının korunması arasındaki dengenin sağlanması bir problem olarak karşımıza çıkmaktadır. Teknolojik gelişmeler ışığında kanun koyucuların artan şeffaflık beklentisine tezat bir şekilde veri sorumluları, büyük veri uygulamalarının çalışma prensiplerine ilişkin *Şehriban İpek Aşıkoğlu, Araştırma Görevlisi İstanbul Üniversitesi Hukuk Fakültesi, Avrupa Birliği Hukuku Anabilim Dalı, İstanbul Üniversitesi Sosyal Bilimler Enstitüsü Özel Hukuk Doktora Programı Öğrencisi [1] Mesut Çekin, Avrupa Birliği Hukukuyla Mukayeseli Olarak 6698 Sayılı Kişisel Verilerin Korunması Kanunu, Ocak 2018, s. 88 [2] Bilgi alma hakkının erişim hakkından ayrı olduğuna ilişkin bkz. Sandra Wachter, Brent Mittelstadt, Luciano *FDloorkidtoi,r A“Wraşhtıyrmaa RGiögrhevtlitsoi, HEaxcpeltatenpaetiÜonnivoerfsiAteusitoHmukautekdFaDküelcteisioMne-dMenaikHinugkuDkoAensabNiloimt EDxaliıs,timingehthaezalGyielmnearza@lhDacaetta- tPerpoet.edctui.otrn, ORReCguIDla:t0io0n00”-,0I0n0t1e-r7n8a9t0io-9n6a5l0D. ata Privacy Law, 2017, s. 16-19. 12[H3RRü]GGsİe,,lyTTgiaainlrriiihhCt::aa00rnt87ı..Aş10m42k..a22sol00a10yr61, ,,iKçSSiiaaşnyyiııs::be22kl94zV66.07eE77ri..lliefriKnüKzeocriu,nKmIi.aşUissıe,LlAUVneSkrLairlAear,RiÇnAaKkRmorAaukSnmYI aaysıın, eAvni,k2a0ra1,0T, us.rh8a5n. Kitabevi, 2018, s. 62; 3 RG, Tarih: 04.02.2011, Sayı: 278K36İ.ŞİSEL VERİLERİ KORUMA KONGRESİ 12-14 Kasım 2021 27271 Bilgi Çağında İlgili Kişinin Bilgi Alma Hakkı ve YILMAZ TEKİN ; Çocuğun Kişisel Verilerinin Özel Olarak Korunmasının Gerekliliği Necessity Of Special Protection Of The Child’s Personal Data The protection of personal data is very important and remarkable in today’s technologically advanced world. However, this importance and remarkability comes to the forefront even more for children, who are always referred to as our future, due to the fact that it is not possible for them to protect themselves. Especially when issues such as their parents’ social media posts about them, children being introduced to the internet at a very early age, and the fact that even children’s toys now often have internet access, the importance of protecting children’s personal data is seen. On the other hand, in Turkish law, there is no specific provisions on the protection of children’s personal data on the Personal Data Protection Law No. 6698, which is the basic law on the protection of personal data. This does not mean that children and their personal data are not protected. In fact, the Protection of Personal Data Law No. 6698, as well as the Turkish Civil Code No. 4721 and the Turkish Code of Obligations No. 6098, may also provide for protection and compensation of damages. However, it would be better to have special provisions for children, who are physically and psychologically weaker than an adult and whose personality is still in the process of development, in order to both protect children and to eliminate uncertainties in legal processes. The European General Data Protection Regulation may be an example for Turkish law because it contains special provisions for children, whose best interests must be protected, in the processing of data, and in particular on consent. In this study, it is aimed to reveal the necessity of special provisions in the protection of the personal data of the child by giving place to the personal data of the child, the measures that can be taken in their processing, the characteristics and important points of consent in the processing of the personal data of the child. Keywords: Personal Data of Child, Protection of Personal Data, Consent 278 12-14 Kasım 2021 KİŞİSEL VERİLERİ KORUMA KONGRESİ I. ULUSLARARASI Bilgi Çağında İlgili Kişinin Bilgi Alma Hakkı ve 2I.. UULLUUSLARARASI 16 1-21-174KKaassımım 2200231 KİŞİSEL VERİLERİ KORUMA KONGRESİ EB-DilgeivÇleattğeınKdişaisİelgl iVlieKrilieşirnininKBoirlguinAmlmasaı: HRiaskkkleırvvee TicarGiüSvıernÇcaelteışrması KŞeahmriibleanTÜİpRekKAOşĞıkLoUğlÜu*STÜN* ÖZET İGdüanreünminüzvdaetaankdıallşılac,ihtüazelalrk, ibşüilyerülke verdi,iğneersindealreerihnuiknutekrunestüi,jeülçerbiyolyeuotlaunyializşıkciıslainr,inyavpeaiyş szüekreâçlveeribnuinlubtiltgeikvneoilloejtiilşeirmi itleektneotilkoljeilneerinydaördrdımünıyclüa sealenkatyroi ndiekvorirmtaimüdreatgimerdçenklteüşkmeetisminei itfeaddaerikedzeinceir-idneinvlhete,r baişraçmokasüınlkdeadeetkiidgaöresnteirnmieşkletyeidşirn.dBeuveatzkgieilçeilhmızelza kgoenliuşemnateskanhoiplotjiri,. Ege-dtiermvleişt ohldemuğuvbatialgnidavşe-iadlagrıe ilieleitnişsiamnilnariın gehreimde bdıerakidmaarkelteardiınr. Gkeenrdçei ktieçninddeekbi ilvgei bçairğbıinrdlearibyüleyüoklavneriilhişakciilemr,inhinız veelekçterşointliikk öozretlalmikdleariygleerçaenkıllemşmaketasinvie sdaeğvlabmirakbtealdleırk. Eol-adreavkleçtalbışirırkyeann;daaynnıidzaarmi aişnldeyaiişni shaınzlhaanydaıtrıınpınbhaesirtlneoştkitrairskınednaveetkhisaitntiagvöasttaenrmdaeşk-tieddairre. iBliişlkgiis,inbieilyleilkeşvtieriraklgeın,; idnisğaenrlyığaınndavnardlıeğvılnedtatnaraitfiıbnadraenn işhleerneznamkiaşniseillgvierçielekriicni mbiirktkaorınnuı voelmkuapştsuarm. ıİnnısdaanlaırğtıtnırmbealkletakveüzdeorlianyeısıaynlalagmözlaentidmırmtoapluçmabualoalrmı asürirsekrikneina,rttteırkmnoalkotjaidnıirn. bvİdvsoyyakdaneeülüoaiujğalrkryivnaraşltuüüeaaeeşttnurmmmklınkimlrlolimaüılmaenşürapkrğatslaistüasüonıfkaamıakldkmatdsiaallsaı,aeuladrderikvr.ğnyışa,evlrAeuııa.brsnietyndıiirBdnbrrmiagaaeısudircülriyaeaabeavildsln,yişeeeıereblı,rlrnee-nveuikdyalnnrıiarnveleğebyekaveniedrsitrlelagşaıeieilliçlentiedgsetlıneığeheisrinlsiltıiilimşinnmniizllvskmdeieeıeğiçbeşaslşrieaediiniil,tlkolliilıveeilpftelşlmerrairemrziekontiniiniunaşbekmikhlliiihnilkrpoaanioahrknrgovdrkeualieırtelnablknatraarsaimimr,bolibmimbşilvuaialalildeesel,egrkucıamasivısenliakygoeniğlldaeürtnaidkeusirvnuseliisrseaoınşçidonbnisrdyudrdueveiuaeğnaaçledmahuhkiiivnrmaliavlımeduetvfsakreealreieikoamşiznrtllrtiluiaaiıeüşealrntyelnlgr.uetareeKgeemlittlunenhgemmirpekşsedçeitteiktsrediftkuüreakasuititplmalilçeuresmvlsedaştialaermeykiminmmrrşme.iliaetladoıZeiiedsrnnlkariiııavnrriiinğtnnnnaeeeıiı (hounkeu-ksatoupyGguonvleurğnumneundt)enveetlteemk esevfeerlkikişiksaeylıtve(orinlelyri-oünzceer)ingdiebki iilkkoelnetrr,ohlüemdebvüatmünimkakmânuı ivdearrmeleekrtiendinir[1e].leKkitşriosneilkvebriillgeir-ibneklgoeruynömnaestiımmesvisztueamtılekrainpsinambıinrdbairibnilegieanltmegarehaoklkmı,avsıenriı sgoerruekmtilrumsuenkategheteimrilmdeişkoişlailnerayhdaıknklıantmdaa byiürkküemz lsüilsüteğmü evegiirliglielni kbiişligyieletreinsis(iesdimilm, dişoğoulamn ktairşiihsei,l vaedrrielesregiebrii)şimveyhaakbkeı lkgaeplesraimn ıniddaareinncineleenleebktilreocneikktirs[i2s].teminde saklanmasını ve yKeinşiisdeelnvekruilllearninılahbuiklmukeisbinoiygueturekkitşirilmikehkatekdkiır,. mBüulkdiuyreutmveifsiekrkiişmisüellkviyeeritleteroinrilgeörri üanlteınndina hodbbaökvvtateeiataüülrıraernyfyntçdnsiıauüyoişyointvşnkaıkatlllddaeapuıerşreaöımnöikitl,d,ndmıneieğuaeeaednırayfmnlm[aiagk3gir]zaeo;lueflihlntvrenailabiayeneaoitşnimenmrliırpitmimmylrtkaieieedşialamertnkalekyniier,aiaatdmıK6balncoki6deaadelabu9tınğvünrmi8aşıu.ezlutrgeiensunaBsivayturctuoyseudim’ınisntıreslolniuaaıtklyaekrKnakiaimıaştrapialvrah2şpesiadkei8anasmsrıl.amldebdrlaem.elmueendrVH,ğıiammaabeneeldrüaraedrddlihntyleıaaoneeşedünmıstrmeakndliikannakiagivrrçddşaeıKielinliedlçısmğoikııaeşyneskrartlearouiarkyrkiğmrnvkidtımoulelemaamamrndrnrauşiaieiuısakynrşski.nktaıtmoaYalbtKiadlsıraşeiaruararılsnındrenfrmı.aiı,enauanğetlelÇtnaidykganyirueaçoacolır’inelnninrknırişoaalgiytdgmeşlmmeaeateirannrnpaaikbçnidbiılşnaelihaiaadnykorütkıdluöliğykıeessemtzıüşaa-eudetdpdmıdililtnmerıilliajdiiclvdtilkeaaabitlearğealşsrnuneetıliıi outyogmulaatmikaklaarrıanrınmveekailngiizlimmaleavrzınuıantınçaklıişşmiseal pvreernilseirbiinnekoirliuşnkimnabsıilagçiısaılnmdaanhabkakrıınidleırvdeığriı sriosrkulmerliunsuonrtuanyafikkroinmmüalskıiyaemt ahçalkanlamrıavketatdicıar.riBsuırlkaarpınsıanmkdoaruTnümrkashı uakrauskınudnadkaikdi emngeevncuint skaağnluannimgaüsvıebnicrepleroribnl,eimdaorleanriankekleakrştrımonızika oçrıktammadkataedliınr.de bulundurduğu kişisel verilerin Tgüekvennollioğjiikveggelizişlimlieğlienri sışaığğlıanmdaa kkoannuusnunkdoayuyceutelarrliıngüavrteannceşesfafğalfalyıkıpbseakğlleanytaimsinaedığteızvaet bkairrşşıelakşitlıdremvaelırihusokruukmtalubluarkı,obnüuydüaknveegriibui ydgüuzelanmleamlaerlıenrınyaçpaıllıdşımğıaaprarşetnırsıilpalcearkintıer.ilişkin Anahtar Kelimeler: E-devlet, tek seferlik kayıt (only-once) ilkesi, tek durak idare (one-stop GD*Şaoelıhv,rİeisbrtaannnmbİpueel kÜnAnt)işvıkielroksğietleuss,iiASroasşytıarlmBaiGlimörleevr lEisnisİtsittaünsübuÖl zÜenl iHveurksuitkesDi oHkutokruakPFraokgüraltmesıi,ÖAğvrreunpcaisBi irliği Hukuku Anabilim [1] Mesut Çekin, Avrupa Birliği Hukukuyla Mukayeseli Olarak 6698 Sayılı Kişisel Verilerin Korunması Kanunu, Ocak 2018, s. 88 [2] Bilgi alma hakkının erişim hakkından ayrı olduğuna ilişkin bkz. Sandra Wachter, Brent Mittelstadt, Luciano Floridi, “Why a Right to Explanation of Automated Decision-Making Does Not Exist in the General Data Protection Regulation”, International Data Privacy Law, 2017, s. 16-19. *eH[3düD]us.rİte.rlygÖiiOğnlirR.CtÜCaarIyntDeısAş:im,hkAtastpnolaskyr:a,//riKoaçriiHcşniiadsbc.eoıklrBzgVKa./ey0Errİ0ialŞ0lime0fİr-SiK0Vn0Eeü0lKiLz2Üeo-2crVn9iui,3vEn3eKmIRr-is5.aşiİ8tUiseL2sısXe,LiElA.HURVnueSkİkrLauiKrlkAeaOFr,RiaÇnRkAaüKUklRtmoeMsrAaiukİASndmYIaKraaeysOHıın,uNeAkvGunik,kRu2a0ErAa1nS,0aİT,buisl.rimh8a5Dn. aKlı,itkaabmeivl1ei2,.t-u12r40kK1o8ags,lıums@.2h60b22v1;. 27291 Bilgi Çağında İlgili Kişinin Bilgi Alma Hakkı ve TÜRKOĞLU ÜSTÜN ; E-Devlette Kişisel Verilerin Korunması: Riskler ve Güvenceler Personal Data Protection in E-Government: Risks and Safeguards Kamile Türkoğlu Üstün* ABSTRACT E-government, which refers to the realization of the state’s relations and procedures with citizens, legal entities and other subjects of administrative law in electronic environment with the help of information and communication technologies, has an indispensable position in the functioning of the administration in many countries. E-government enables both citizen-administration communication and relations within and between administrations to be realized electronically. While e-government speeds up and simplifies administrative functioning and even improves the citizen-administration relationship, it also increases the amount and scope of personal data processed by the state, thus increasing the risk of becoming a surveillance society. Considering the breadth of the field of activity of the administration and the scope and size of the data it holds, it raises the question of whether these data are kept securely in electronic media and to what extent they can be transmitted and used between administrations. Indeed, the digital environment poses more threats in terms of data security than the physical environment and makes it easier to store, record and transmit data. Moreover, the principles of one-stop government and only-once principles adopted in the provision of e-government services require both the integration of the electronic data management systems of all public administrations and the storage and reuse of information (such as name, date of birth, address) or documents about individuals that have been entered into the system once in the electronic system of the administration. This creates the impression that personal data are stored and circulated in a large and complex network within the administration’s own information system. Although all data processing activities carried out by the administration are subject to the Law No. 6698 on the Protection of Personal Data, the exceptional cases to which this law does not apply are broadened both by referring to the provisions of other laws and by enumerating them in Article 28 of the Law, which excludes many administrative activities from the scope of the law. In this study, it is aimed to reveal the risks that e-government applications and the relevant legislation harbor in terms of the protection of personal data. In this respect, it will be investigated whether the existing legal safeguards in Turkish law provide sufficient assurances to ensure the security and confidentiality of personal data held by the administration in electronic environment and which arrangements are made in this regard in comparative law. Keywords: E-government, only-once principle, one-stop Government principle * Dr. Lecturer, Ankara Hacı Bayram Veli University Faculty of Law Administrative Law, kamile.turkoglu@hbv.edu.tr ORCID: https://orcid.org/0000-0002-2933-582X. 280 12-14 Kasım 2021 KİŞİSEL VERİLERİ KORUMA KONGRESİ I. ULUSLARARASI Bilgi Çağında İlgili Kişinin Bilgi Alma Hakkı ve 2I.. UULLUUSLARARASI 16 1-21-174KKaassımım 2200231 KİŞİSEL VERİLERİ KORUMA KONGRESİ BloBkilZginÇcairğiınnddeaMİlaghilrieKmiişyinetien İBliişlkginAGlmüancHelaSkokrıuvnelar Nihan GÜNELİ* Ticari Sır Çatışması ÖŞeZhrEibTan İpek Aşıkoğlu* BÖlZok zinciri teknolojisinin ortaya çıkışı, çeşitli sektörlerde verilerin depolanması, zctpGtzeeiaeanküdzkynnaciâlpiraüorişvbmlkiıoneilrzmüjiibisznnfaeudiicsçnnleıiueariantvinşnkeetlseeiıktnlmkyalhıönnhlacnoeelitrirlehenodtaadijeeşlizamlagglermeaeiretrklisi,airişisbzmlmıkeüinnoiyidtşşcneütaigitukrrieüi.lktvaBvlkyreeeuiıörnnnnginel,döuiennkasnte,itdlmebsşaörneibimrrfendfilarpeeüelfkarinlkkıirtckneataüedddvi,inieasbrgtar.lvemonBerçkanarueyiezşmeditiiitnted,llkciiğeüiliiivurçişkliriyenbkivgmoilhauniyağıilzttuiaüenlmetamrledeugaiteyyeliylamoolanrilrşzdietıaboeecnçalnlımmikltkaetıaüılrmkeş,skntrıyııe,ionratbo.ldipollmBoaaajnnuiyke, şgeeftfiarfmlıkişvoelddeuğğiuşmbeizlgliik,vgeizalillgikı hilaeklianrsıannınlavrıe bguerçidereçebvıeradkemmaakhtaredmır.iyGeteirnçkeokrteunnmdeasbınildgai bçaağzıınzdoarlubkülyaürkyavreartimhaakctiamd,ır.hBızuvme açkeaşlietdliek, bölzoekllizkinlecriiryileveagniızllmiliakktaaravseınddeavkibkiarrbmeallşeıkk iolliaşkrainkinçalkışaıprksaemn;laı ybniırzaamnaalnizdia isnusnaunlmhaaykattaı,nımn hevecruntokytaassaınl ddaüezteknisleinmi eglöesr,tertmekenkotleodjiirk. gBeilligşim, ebleelrlevke pvoetaanlgsiıy, eilnçsöaznülımğılnervaarralşığtıırnıdlmanakittaibdaırr.eBnlohkerziznacmirai,nkiimlgliikçleekriicbiilbinirmkeoynenu toalrmafulşatruar.raİsnınsadnalıgğüıvnenbleilvleekveürizmerliinieşleamnllaermi lkaonldaıyrlmaşatırçmabaaplaortıanssüiyreerlikneen,satheikpngoelloijşimniinş vyeariattmabışanolladruığoulabruakdedveğbeerlelenğdiinrilçmaleıkşmteadirp.reBnlsoikbi,zisnocniruiçninvegvüevreinülirğeitnmi edesisstteekmleiynein eanlaöşnılemmalsiı iusnesvuerr,isşieifşflaefnlıeğnıdiılrg:ilbi lkoikşilezirnecbiirrinheakeorlişairmaki teoslaisnedbilrmeyişletirr,. Kblioşkisezlivnecririlienrdine gkeorrçuenkmleaşstiırailleannınişdleambilereryinlergeeçtemsişsinedi ilgmörişünhtaüklleayrevbeilivr.erBi usoşreufmfalfulılkarıhneasagpetivreilrmebiişliorliağni ayrütkırüımrkleünlü, kölzeerl,libkilreeyklieşriisnelkvişeirsielelrvinersilöezrinkoknoursuunmoladsuı ğaulandıunrduamkilatredmaegl ieznlisltiğrüimteahnlliakreıyneı aotlaubşitlumrmekatketdaidrı.r.MBaihrreeymleiryeettahnaınkmkııştüomlandühnaykaldara, tialgniılni akniştieyme evlebririşinlesmane hfaaklkiyıdeıtrinvine bhulokkukzainucyirgiudneludğauhniul doelmneatklemüzeerveehkeirşistüelrlvüerteilkenrioülozjeikrinildeerkleimkeodnetrokloürudnevmaamsı ibmükyâünkı övneremmektaeşdıimr[1a].kKtaidşıirs.elMvearhirlerminiykeotruvnemşaesfıfamfleıkvzuaaratısıknadpasamhaısnsdaas bbiligri adlemnagehakukrı,mvaekri, sdoijriutaml lçuasğudnaa bgierteiyrillemriinş omlaanhraeymdıinyelattmhaakylaürkınüamslaüylügğı ügövseteirlgiriklieknişbilyoektezsinisceirdinilimnişçeoşliatlni kaliaşnislealrdvaereitlekrien ebriirşşimekihladkekkıukllaapnsıalambıinlmdaesininciesleanğleabmilaekceikçtiinr[ç2]o. k önemlidir. Dijital çağda gizliliğin artan önemi ışığında, bu makalede blok zinciri teknolojisi ile ilgili gelişen hKuişkiusekli vçeerriçleevrien ihnuckeuleknimboeykutet,ubklioşkilizkinhcaikrkinı,dme üvlekriiyesot rvuemfilkursiumnüulnkityeestptietiorvieleirligaillitınkdişai htaarktılşaırlınrkınenk[3u];llvaenrıimişılneamielimşkeitnotdlaerğıevrleebnudiarlmanedleargyealpişıtlimrialmktiaş ovleanblaolkgozriintmcirailatrekisneotliocjaisri hilaeymatatharöenmemiyelitibniruryeukmableutbairracşeı koilladreakbüdteüğnelreleştnirdiilrmilmesei ksatevduinr.uYlmenaiketkaodnıro. minin yapı taşı obdKAülünVanyanKüyhvKaktade,rraöGi,ndKeeeanemnllegilmeoVntreaielotşermıpirm:tKaialbmoaklrroatuıkalnmddzıvüarin.ezTecBüivyrzeudiü,reiğmkyüiaaşa,plrhGesaramrDemlmaePndRimmya.eaetd,taaokmtilkşaaiirsçşıelinlısıeynvleorkğviouleernrrui,synikamitşiıaşirslsıeemıl,nlevtaanerrcıiniklreliyreşaiirnnpbiıknladokıröğıumzınedımlniljidaiktasalınel, otomatik karar mekanizmalarının çalışma prensibine ilişkin bilgi alma hakkı ile veri sorumlusunun fikri mülkiyet hakları ve ticari sırlarının korunması arasındaki dengenin sağlanması bir problem olarak karşımıza çıkmaktadır. Teknolojik gelişmeler ışığında kanun koyucuların artan şeffaflık beklentisine tezat bir şekilde veri sorumluları, büyük veri uygulamalarının çalışma prensiplerine ilişkin *Şehriban İpek Aşıkoğlu, Araştırma Görevlisi İstanbul Üniversitesi Hukuk Fakültesi, Avrupa Birliği Hukuku Anabilim Dalı, İstanbul Üniversitesi Sosyal Bilimler Enstitüsü Özel Hukuk Doktora Programı Öğrencisi [1] Mesut Çekin, Avrupa Birliği Hukukuyla Mukayeseli Olarak 6698 Sayılı Kişisel Verilerin Korunması Kanunu, Ocak 2018, s. 88 [2] Bilgi alma hakkının erişim hakkından ayrı olduğuna ilişkin bkz. Sandra Wachter, Brent Mittelstadt, Luciano Floridi, “Why a Right to Explanation of Automated Decision-Making Does Not Exist in the General Data Protection Regulation”, International Data Privacy Law, 2017, s. 16-19. *8[H32Aü]8vs8İue;lkygnaiigntlu,i nİCtseatalarinnt@ıbAşgumuklnasBeoliallyigrh,iuiKÜçkiinuşnkiivs.beceroklsmziVtK.e)esErİiilŞÖliefİzrSeiKnlEHüKLzueokcrVuiuk,EnDKmIRoi.aşkİUisLtsıoe,LrElAaURVPneSrkİorLaigKrlrAeaaOr,mRiÇnRıAaÖKUkRğmoMrrAeaunkASncimYIsKiaa, yOsOıınR,NeCAvGIniD,kR2an0Eroa1.:S,0hİT,ttusp.rsh8:/a5/no. rcKidit.oarbge/v01i02,0-1294-00K108a0s,7ım-s4.826022251-; 2821 Bilgi Çağında İlgili Kişinin Bilgi Alma Hakkı ve GÜNELİ ; Blok Zincirinde Mahremiyete İlişkin Güncel Sorunlar Current Issues Of Privacy In The Block Chain ABSTRACT The emergence of blockchain technology has led to a paradigm shift in how data is stored, shared and managed across various industries. The promise of enhanced security, transparency and efficiency in transactions has made blockchain an attractive option for applications ranging from finance to supply chain management. However, transparency and immutability, which are the key attributes of blockchain, pose some challenges in protecting privacy rights and, in this context, privacy. This article provides a comprehensive analysis of the complex relationship between blockchain and privacy, exploring existing legal regulations, technological developments and potential solutions. Blockchain is considered as advanced databases that have the potential to facilitate secure and efficient transactions between unknown parties. The most important element supporting the security of the blockchain is its transparency: individuals with access to the blockchain can view the history of transactions performed on the blockchain. While this transparency increases accountability, it can compromise privacy, especially where personal data is involved. The right to privacy is a fundamental human right recognized around the world and its protection is crucial in any technological advancement, including blockchain. Striking a delicate balance between privacy and transparency is crucial to ensure that blockchain can be used effectively in various fields while respecting the privacy rights of individuals in the digital age. In light of the increasing importance of privacy in the digital age, this article examines the evolving legal framework regarding blockchain technology, assesses the identification of data controllers and the exercise of data subject rights in blockchain, and argues for a harmonious integration of blockchain technology and privacy. Keywords: blokchain, privacy, personal data, personal data protection, KVKK, General Data Protection Regulation, GDPR. 282 12-14 Kasım 2021 KİŞİSEL VERİLERİ KORUMA KONGRESİ I. ULUSLARARASI Bilgi Çağında İlgili Kişinin Bilgi Alma Hakkı ve 2I.. UULLUUSLARARASI 16 1-21-174KKaassımım 2200231 KİŞİSEL VERİLERİ KORUMA KONGRESİ BilİgsipÇatağHınakdkaıİvlgeiKliiKşisişeilnVinerBilielrgiinAKlmorauHnmakaksı ve Nilüfer BORAN GÜNEYSU* Ticari Sır Çatışması ÖŞeZhrEibTan İpek Aşıkoğlu* İÖspZat hakkı, yargısal temel haklardan biridir (İspat hakkına ilişkin ayrıntılı bilgi için yb3iztGdeea6küddkr.znagiâ.marüıAlisvmakaıtenhdazümaldbizankeudyacks,leiiuıhPrnativaendktkekeiıakcnlkAklaıınhinvvccoerıeaitrluheoiaapzazjdşibazlaUaliemarlİrsenrdiû,taseelisba,llıeiüneCnlriydtn.iHeüşaIetikIaimel,kdktvslkleee.haiern1ragidıe5,köin8nkSlsm7eıötdesziveörnllsedmreeidş.lby;emüeaaÇkrnhğeiticnelsufüatditiinnin,isritkstan.ıea.lnBırm3d6anu1yı.eereist.vmitiddİ,kisale.üip)edvç.iabdlrİtebuiesmohpshniyaaıuinztkunüdlkthareldıeuag,itkdkeisykmükolaiıazmşz,dteeıAeeucnnnaıntlltelaaebıtnnüryki,erkmannysevoaaatal’iaspnomkıdanıjıniiyeaıl, tgaelteiprmhiaşkoklıdouğlaurabkiltgainıvme laanlgmı aikletaidnısran(Tlaorrıamgearnid, es.b1ır4a9k3m).aİkstpaadtır.haGkekrıç, eHktueknukdeUbsiulglüi Mçauğıhnadkaembüeyleürki Kvaenriunhaucdimön, ehmızinvdeeçbeişliintleikn öbzirelkliakvlrearmiyleolmanaılkmlaakbtiarlivketedielkv dbeifra,be6l1l0ek0 soalayrılaıkHçuaklıuşıkrkMenu;haaykneımzealmerainKdaaninusnaun ihleayaaçtııknçıan dhüerzennolketmaseınadltaıneatkaislıinnmi gıöştsıtre. rKmaenkutend’uinr. “Bİislpgai,t Hbealklekkı” vbeaşalılğgıın, ıitnasşaıynalınğı1n89v.amrlıağdıdnedsainneitgiböarere; ntarhaeflrarz,akmananunidlgaibçeelikritcilienbisrükreonvue uolsmulueşutuyrg. uİnnsoalnalrıağkınispbaetllhekakküıznearinsaehiapntliar.mİllganildi ımrmaaddçeanbinaladreıvasmürıenrdkaeni,sptaetknhoaklokjıinnıinn iysatirsantmalıaşrıolgdöusğteuriblmu idşteivr. bHelulekğuiknî çdailnışlmenailmpreenhsiabkik, ısnoanuilçişvkeinve2r7i. ümreatmddeensisntemikinicni faınklraaşsıılnmınas(ıbi)sebevnedriisdi eişillegnileilnerilignihliukkişuikleîrdeinbliernhialmk oelhaarakkkıtnesınisbeidriulmnsiuştriur.oKlaişriaske,lavçeıkrillaemrina vkeoriusnpmatahsıakalkaınnıandsahbiipreoylldeurekltaersıinsıedüilzmenişlehmakelkatredvier.vAerni asyoarsuamMlualahrkıneamgeesitir0i7lm.0i9ş.2o0l2an1 tyaürkihüimndlüelüvkelredri,ğbiibreiryelyesrienl bkiaşşivsuelruvekrailrearriınndkoa,ruknumllansıdaığlaı ncıenpdateklietfeomnuenl aenesştirütamrafnılnadrıannı yoülukşlteunremnackatsaudsıry. aBzıilrıemylaeraecıtlaınğınylma ıtşümolaknişihsaekl vlaerr,ilielrgiinlinkeişleiygeeçvierirlimişelseimveekfualalalinyıelmtinaisnı hualkinukdae ukyişgisuenlluveğruinleuridneknoertluenmmeavseı hkaişkiksıenlıvneirhillearlieüdzieldriğnidneekikakroanrtrvoelrümdişetviram(Biamşvkuârnuı Nveor.m2e0k1t8e/d3i0r[21]9.6K, 0iş7is.0e9l.v2e0r2i1le,rRinGk, o1r4u.1n0m.2a0s2ı 1m, eSv. 3zu16at2ı8k)a. pKsiaşimseılnVdaerbilielgri KalomruamhakKkuı,rvueluri, s2oKruamsılmusu2n0a21gettairriilhmliişkoarlaanrınayddaıntalantımğıanyrüeksümmî lbüelülgğeüdveesialhgtielicikliişkiyseuçteusnisdaendilmmaihş koûlamn kedişiilsdeilğivebriillgeirseineeridşiimlekhçaekskinıdkeapysearmvıenrdilaminescienlie,nteabniılğeıcnekktiişr[i2s]e. l verilerinin ihlali olarak değerlendirmiş ve avukatı 75 bin lira idarî para cezasına mahkûm etmiştir. Bu iki karar, kKiişşiisseellvveerriilleerriinn hkuokruunkmi baosyı uhtuakkkiışiilliek hisapkaktı,hmaküklkı iayreatsvınedfaikrdiemngüelkniiynetntaesoılrilkeurriuallatıcnadğaı ktaorntıuşısluırnkdean[t3a];rvtıeşrmi iaşllaermı beemraebteortlinardıevgeebtuirmalaenkdteadgire.liştirilmiş olan algoritmalar ise ticari hayatta önemli bir rekabet aracı olarak değerlendirilmektedir. Yeni ekonominin yapı taşı odAkolünarnanuyhnvatmaderraai,dsKıeaenllgiemonreilotemprt:ailmİasrpaılantdvühezaekvykedıre,i hyuarkaurklaîndminaleanmilamçleı yhoağkukın, ykaiştiısrıeml lvaerrıin, ykaişpisıledlığveı rdiilejirtianl işleme metotlarının korunması, tacirler bakımından büyük önem taşımaktadır. Bu kapsamda da kişisel verisi işlenen kişinin özellikle otomatik karar mekanizmalarının çalışma prensibine ilişkin bilgi alma hakkı ile veri sorumlusunun fikri mülkiyet hakları ve ticari sırlarının korunması arasındaki dengenin sağlanması bir problem olarak karşımıza çıkmaktadır. Teknolojik gelişmeler ışığında kanun koyucuların artan şeffaflık beklentisine tezat bir şekilde veri sorumluları, büyük veri uygulamalarının çalışma prensiplerine ilişkin *Şehriban İpek Aşıkoğlu, Araştırma Görevlisi İstanbul Üniversitesi Hukuk Fakültesi, Avrupa Birliği Hukuku Anabilim Dalı, İstanbul Üniversitesi Sosyal Bilimler Enstitüsü Özel Hukuk Doktora Programı Öğrencisi [1] Mesut Çekin, Avrupa Birliği Hukukuyla Mukayeseli Olarak 6698 Sayılı Kişisel Verilerin Korunması Kanunu, Ocak 2018, s. 88 [2] Bilgi alma hakkının erişim hakkından ayrı olduğuna ilişkin bkz. Sandra Wachter, Brent Mittelstadt, Luciano Floridi, “Why a Right to Explanation of Automated Decision-Making Does Not Exist in the General Data Protection Regulation”, International Data Privacy Law, 2017, s. 16-19. *O[H3Drü]csoiİedçly.gIiDdinl:irh.C,ttaAtaprnntsıa:Aş/d/mokoralsucoliadyÜr.,oniKriçvgiie/şn0riss0bie0tkel0sz-ViK0.eH0Erİ0uilŞ2lkie-fİu3rSkiK2n6EFü8KaLz-k3eoü3crVl3iut,e1Ens.KmiIRMi.aşİUiseLsıde,LEelAnURVîneSUkİrLasiKûrlAealOr,vRiÇenRAİacKUkrRmaoM-rAİaufklASnâsmYIKHaayusOııkn,uNeAkvGuni,kAR2an0Eraa1bS,0iİlT,imus.rhD8a5anl.ı,Knbitoarbaenv@1i2,a-n12a40dK1o8alus,ı.mesd.2u60.22tr1;. 28231 Bilgi Çağında İlgili Kişinin Bilgi Alma Hakkı ve BORAN GÜNEYSU ; İspat Hakkı ve Kişisel Verilerin Korunması Right Of Proof And Protection Of Personal Data ABSTRACT The right of proof is one of the fundamental judicial rights (For detailed information on the right of proof, see Atalay, Pekcanıtez Usûl, C. II, p. 1587 et seq.; Çifti, p. 31 et seq.). The right of proof is closely linked to the right to a fair trial and the right to access to justice as set out in Article 36 of the Constitution and Article 6 of the European Convention on Human Rights. The right of proof is defined as the right to obtain or substitute admissible evidence of a concrete factual claim and to demand that it be taken into account (Toraman, p. 1493). Although the right of proof was a well-known concept during the Code of Civil Procedure, it was explicitly regulated for the first time under the Code of Civil Procedure No. 6100. According to Article 189 of the Law titled “Right of Proof ”, the parties have the right of proof in accordance with the time and procedure specified in the law. In the continuation of the article, exceptions to the right of proof are indicated. Paragraph (b) of the second paragraph of Article 27 on the right to be heard regulates that those concerned have the right to explanation and proof as an element of the right to be heard. In its individual application decision dated 07.09.2021, the Constitutional Court ruled that the right to protection of personal data was violated, when all personal data was obtained and used through spyware installed on the mobile phone used by the spouse (Application No. 2018/30296, 07.09.2021, OG, 14.10.2021, S. 31628). In the decision dated November 2, 2021, the Personal Data Protection Board considered the inclusion of the information that the witness was convicted of forgery of official documents in the petition as a violation of the personal data of the witness and sentenced the lawyer to an administrative fine of 75 thousand Turkish Liras. These two decisions bring about discussions on how to establish a balance between the right to protection of personal data and the right of proof. Keywords: Right of proof, right to be heard, personal data, personal data protection. 284 12-14 Kasım 2021 KİŞİSEL VERİLERİ KORUMA KONGRESİ I. ULUSLARARASI Bilgi Çağında İlgili Kişinin Bilgi Alma Hakkı ve K.V.K.K. 2. ULUSLARARASI KİŞİSEL VERİLERİ KORUMA KONGRESİ KAYNAKÇA Atalay, Oğuz. Pekcanıtez Usûl Medenî Usûl Hukuku.15. Baskı. İstanbul: On İki levha Yayıncılık 2017. Bolayır, N. Hukuk Yargılamasında Delillerin Toplanmasında Tarafların ve Hakimin Rolü. İstanbul: Vedat Yayıncılık 2014. Konuralp, H. İspat Kurallarının Zorlanan Sınırları. 2. Bası, Ankara: Yetkin Yayınevi 2009. Çiftçi, Pınar. Medeni Yargılama Hukukunda İspat Hakkı ve Sınırlamaları. Ankara: Adalet Yayınevi 2018. Toraman, Barış. Medeni Usul Hukukunda İspat Hakkına Dair Bazı Tespit Ve Değerlendirmeler. Prof. Dr. Hakan PEKCANITEZ’e Armağan. Dokuz Eylül Üniversitesi Hukuk Fakültesi Dergisi, C. 16, Özel Sayı 2014, s. 1483-1523. I. ULUSLARARASI 12-14 Kasım 2021 KİŞİSEL VERİLERİ KORUMA KONGRESİ 285 Bilgi Çağında İlgili Kişinin Bilgi Alma Hakkı ve Bilgi Çağında İlgili Kişinin Bilgi Alma Hakkı ve 286 KİŞİSEL VERİLERİ KORUMA KONGRESİ 12-14 Kasım 2021 I. ULUSLARARASI 2I.. UULLUUSLARARASI 16 1-21-174KKaassımım 2200231 KİŞİSEL VERİLERİ KORUMA KONGRESİ SiberBSuilçgliaÇr aveğıKnidşaisİellgVileirKilieşriinKinorBuilmgiaA: SlmorauşHtuarkmkıavvee Adli STüriceaçlreirSdıerkÇi Zatoırşlmukaslaır NŞeuhrrtiebnanÖİZpTekÜARşKık*oğlu* ÖZET TGeüknnüomloüjizkdevaekbılilıimcishealzglaerl,işbmüyelüekr vinersia,nnehsanyealetırnina ionltuemrnleuti,püeçkbçooykutkluatykaıdzaıcıblaurl,uynampauyş ozelmkâakvlea bbuirlluitkte,khnuokloujkiledrüi zileenitnetdikeldeneeynendiölirkdüvnecdüesğaişniakylikdleervirbimeriaübreertiinmddeegnetüirkmetiişmtire. Cteedzaarihkuzkinuckiurinbianğhlaemr aınşadma ayseınnidsaueçtktüi grlöesrtienrimn eokrtteadyiar.çBıkumeatksıinilaevheızkllaagsieklisşuenç teipklneorilnoijni, bgieltiişrimmiş soisltdeumğulerbiilgairavceılıağlıgylıailedainsiaşnlelnarmı egseinriedenbeıdraeknmaoklmtaudşırt.urG. erAçyerkıtcean dsueçlbairlıgni sçoarğuınştduarublümyaüskı vveerkiohvaucşitmur,uhlmızavsıenaçedşaitelitkkiölezreilolilkmlearkiytaledıra.nBılamşkaaktbairviefaddeevylebiyrebneilsluekç toülarlrearkinçianlıyşaırnkıennd;aasyonrıuzşatumramnadaveinksoavnuhşatuyramtınaıanşhameransoınkdtaaskınudllaanetıklainsinyiengiöystöenrtmemeklteerddire. oBritlagyi,a bçıekllmekakvtaedaırl.gı, insanlığın varlığından itibaren her zaman ilgi çekici bir konu Bolimlişuimşturs.istİenmsalnelrıiğnıen kbaerlşlıekveyüazebriinlieşimanlsaimstelamnldeırrimaaraçcaılbığaılyalraı isşülerenreknens,uçtleakrn1 olooljairnaink ytaanraımtmlaışnaonldsiubğeur sbuuçladreıvn sboeslyleağl ivne eçkaolınşmoma ikpreetnksiliebrii,nsionnyuaçnıvnedavienrsiaünrhetamklearsıiislteekmişiinsienl avnerlailşeırlimnaksoı risuenvmearissıi, imşlaehnreenmiligyielti khiuşsiulesruenbdirahdaakoolluamraskutzebsiaszeıdeitlkmilieşrtiro. lKmişaikstealdvıer.riSliebreinr ksuoçrluanrmlaamsıüacladnıenledaiçbinireüyllkeerelertesuilsuesadlildmüizşehnalkemlarelveer vyearpimsoarkutmadlıur.laÜrınlkaemgeitzidrielmTiCş oKl’dana ybiülkişüimlsüulüçlkalreırg, ibbiiresuyçlelarirnınkyişainsıenldvaerkillaesriiknbkaozrıusnumçlaasrıınaldaanıbnidliaşkimi tyeomluelyleanisştlreünmmaensliahrıanlıi onliuteşltiukrlmi haakltaodlaır.akBdirüezyelenrlentmaniışntimr.ıÜş loklealnerhaarkalsaırs,ınilıgrillairıkkişailydeıravnersiibişelremsueçlfaaraalilyanetıinndina huuluksulakraaruaysgı uinş lubğirulinğui denöetnlemçeıkvmeakitşaidsıerl. vBeurilkearpi süazmerdinadTeükirkkioyne’tnrionlüddeevoanmayliamdkığâın2ı AvevrrmupekatKedoinr[s1e].yKi iSşiibserl vSuerçilSeöriznlekşomruesnim(BasuıdmapeevşztueaStıökzlaepşsmamesıin) döanebmilgli balirmbaehlgaekdkiır,. vSeörzi ksoornuumsuluSsuönzlaeşgmetei’rdielmkiişşioselalnvearyidleırnilnatkmoaruynümküamsılühluüsğuüsuvnedialgcileizkaimşiyuehatekseims eedsinlme iişlioşklain dkiüşziseenllevmereilleerrebeurliuşnimmahkatkakdıırk.apsamında incelenebilecektir[2]. KKiişşiisseell vveerriilleerriinn hkourkuunkmi baosyı uhtuuskuisşuilnikdahaAknkaıy, amsüa,lkKiyişeitsevleVfiekrriliemriünlkKioyreut ntemoraislıerKi aanltuınndua, TtaCrtKışıvlıerkCeMn[K3];’dvaedriüizşelenmleemmeleetroytlaaprıılmveışbtuır.aAlaynrdıcaagiefalidşetireidlmilmişeolildaniraklig,okrliatsmikalsaorriusşetutircmarai hveaykaotvtauşötnuermmlaiibşliermrelkearbi seitbaerrascuıçolalarrıankmduehğaekrleemndeisriinlmdeeyketetedrisri.zYkeanlimeakkotnaobmuinneindeynalpeıyteanşıi oölzaenl bvaezrıidueynguelnamopatliamrıanl dgeülzişetyirdielmyeasrai rglearnemkma aekmteadçliır.yAonğucankybautırdıumrluamrınday,aspibıledrığsıudçliajirtıanl dbosislaoüütioşkrynkumlüyaişnaknatudtmhiarökuua,nsslkeaumıamlsygralaaaosrrtırdaivsmtşaomeımerskaukiolalaniavknnrutomıianzşldatmeurıvsrarai.ekuliaBllvkemrıeuanhrarıiişsknzııimamaşçplşıaeesaztlammaımşseçmaadığskmaaılmnaepyddatıraaockeıtentllaklaasddirirşbeııivnrise.neıednelaildkievllocieişerrkmukisinnkaimkişibaaşiimslsleegı,lnliavetraeanlrcamiriklraealisreşıiihrnnnadbikknaaokkkrıöiıumziinlleeiımlşnlkvidakieayslrnıeei, sSoibruermlsuusçulnaurınnfiksorirumşütulkruiylmetahsaıklvaerı vkeovtuicşaturirsuılrmlaarısnınındakorkuişnimsealsıvaerrailseırnidnakkiodreunngmenaisnı shauğsluasnumnadsaı böinrepmrobarlezmedoelanrahkuksuarsşıdmelıizlaleçriınkmealektgaedçıri.rilmesi, kullanılması, saklanması ThCaeMlklneKro’inldoıinjri.kfaBrgukellınihşomükkteaüldemraleıkşraıiğnrışdnımedkaızişakisaeknlouvrneurmkiloearyeuteiclduişblkairirnlıenrdiüazçrteıaknnmleaşmekeftfalaedfrılrıok.lmBbaaeşkkkllaaenbbtiirisrliiknitfeeadsteiebzyealert bsuirçlşaerkınildkeovvuerşitusrourulmmalsuılnadrıa, böüzyelülikklveeröinueygçuıklaacmaaklakrıonrıunmçaalıtşemdbairplererni sbipillgeirsianyearillaişrkdian, dbD*Şiaüellgızh,reiİissbntaaalnynebaİypureel knÜpAnr1işovı3kegro4srği.atleumms,iAaSlraodasrşdytııanrelm,dBaiailGliemövtrlieeeşvrilmkEisnüisiİttnsiüttaüktnseüblesuÖprl ziÜientnlidiH,veeudrksiyuintkaelspDeinıoHlkmautoknrueaksaPiFrraovakgemüraltkmaesa,ıiy,ÖkAdğovrarepunapycailasıBilnaimrmliğaaisHıvnuekıukdeulüAzkneoanbyillmeimyaeynı 135. madde, teknik araçlarla izlemenin düzenlendiği 140. maddedir. Ayrıca örgütlü suçu s[1o]rMueşstuutrÇmekaikn, aAmvruapcaıyBliarlidğüi Hzeuknulkeunylma Mişugkaizyleisesloi Orulaşrtaukr6m69a8cSıakyoılırKuimşisaeltVeedrbileirriindKeorbuunmkaaspı Ksaamnudnua, 12*nPOF[2SohlrDc]ooöztatrtrztBp.ukeildÖserci:2şkli/tğgm,/i@0rwoi.1“eenawÜ,W8rl2z,Rwymi0ehns.e0usa.ycg1ina,8huoynEa8alıd.BlaekıcRtdYnk.ioudoÜiıgr.nantghrHı”k/.ntd,auobIetknucoruulitkşemeEirdFmxneialnpakmthltüsaiia/loşntdktenaiaksratt.iıialTnCo-üDdanenrazakdnaoti-yafvaaeenyPASaCrröulıyeiztvozsloeiaalsmşdc/MmtuyaoğuetcL’ehuytadaian/w1ka1D0e,0mi2K.elCi0ecaşysis1kbisı7miiHeno,rucn2sbrk.0-kiMu1m1zk06.eaut-.kSap1Ariad9ninnhf.g,adi0nbr7Didal.ie0omW9Se.t2sDar0acazN2hlb3ıto,ue. Otrr,grE’dBcixadriei-smintdtz:iaMn0la0mi0tth0tıee-ş0ltsı0Grt.0a2e1d2n-t5/e,45rL/0a20ul0-c14Di42aa5ntta0oa-, rttH[ee3ih’rdü]clesiüİeyvmlygaeyiei6nlıein5dC3ltaia3alnernsmtnaıAşyıSşmıötklıızasrKl.oleaaşyrnm, uiKeçn,iilçşnaeiskobeinknlazcVyeK.lelaeErnİrilmŞlviefİearSsiKbnıEeüuyKLyzageonucrlVaniur,EnbiKmluIRei.laşu8İUisnLsTıae,LeEnlAmURvVnmeeSkİurrLaeizKrlsAea2mOr,0Rii1ÇnRo4Aal’KtaUkeRrmoaoMrAknauak“ASnySmYIlaaKnanaaymsOlııOn,ıNşeArvvtGeanim,kbR2uad0Eraka1aSİ,0şrİlTa,eruns9.rehn8Aa5Sğn.uuçsKltaoirstaS2bö0ez1vl41ei’ş2t,me-12Re40seK1is”8maşs,eıîmksG.l2ian60zd22e1e-; 28271 Bilgi Çağında İlgili Kişinin Bilgi Alma Hakkı ve ÖZTÜRK ; Siber Suçlar ve Kişisel Verileri Koruma: Soruşturma ve Adli Süreçlerdeki Zorluklar karşımıza çıkmaktadır. Bu koruma tedbirleriyle delil elde edilirken kişisel veriler ve mahremiyete ilişkin nasıl bir tutum sergileneceği, kişisel verilerin nasıl kullanılacağı ve saklanacağı çalışma kapsamında ele alınacaktır. Söz konusu düzenlemeler bakımından sorunlu hususlar da ayrıca incelenecektir. Son olarak siber suçların uluslararası niteliği gereği bu kapsamda yapılacak adli iş birliği durumunda kişisel verilerin korunması ve mahremiyetin nasıl korunacağı hususu tartışılacaktır. Anahtar Kelimeler: kişisel veri, ceza muhakemesi, koruma tedbiri, delil, siber suç 288 12-14 Kasım 2021 KİŞİSEL VERİLERİ KORUMA KONGRESİ I. ULUSLARARASI Bilgi Çağında İlgili Kişinin Bilgi Alma Hakkı ve K.V.K.K. 2. ULUSLARARASI KİŞİSEL VERİLERİ KORUMA KONGRESİ Cybercrime and Personal Data Protection: Challenges In Investigation and Judicial Processes Nurten ÖZTÜRK* ABSTRACT As technological and scientific developments have many positive contributions to human life, they also bring innovation and change in the legal order. In the context of criminal law, it has enabled new types of crimes to emerge and classical crime types to be committed through information systems. It also has effects on the investigation and prosecution of crimes. In other words, in addition to new types of crimes, new methods used in the investigation and prosecution phase are also emerging. Cybercrimes, which are defined as crimes committed against or through information systems1 , have negative effects on human rights, protection of personal data and privacy as well as social and economic effects. Countries make national regulations to combat cybercrimes. In our country, in the Turkish Penal Code, in addition to crimes such as IT crimes, the commission of some classical crimes through IT is regulated as a qualified case. International cooperation also stands out in the field of cybercrime, which removes the borders between countries. In this context, the Council of Europe Convention on Cybercrime (Budapest Convention), which Turkey has also ratified2 , is an important document. The Convention in question contains provisions on criminal procedure regarding the protection of personal data. Regulations on the protection of personal data have been made in the Constitution, the Law on the Protection of Personal Data, the Turkish Penal Code and the Criminal Procedure Code. It should also be noted that classical investigation and prosecution procedures are insufficient in the prosecution of cybercrimes, and therefore, some new special practices need to be developed. However, the protection, storage or deletion of personal data to be obtained during the investigation and prosecution of cybercrimes and the issues regarding the relationship between service providers and judicial authorities appear as a problem. The important issue regarding the protection of personal data in the investigation and prosecution of cybercrimes is the seizure, use and storage of evidence. At this point, we encounter protection measures. In other words, although there are regulations on personal data in different provisions of the Criminal Procedure Code, the protection measures that will especially stand out in the prosecution of cybercrimes are Article 134 regulating the search of computers, computer programs and transcripts, copying and provisional seizure, Article 135 regulating the location, listening and recording of correspondence, and Article 140 regulating surveillance with technical means. * Asst. Prof. Dr., EBYU Faculty of Law Department of Criminal and Criminal Procedure Law, Orcid-id: 0000-0001-5500-4250, nozturk@erzincan.edu.tr. 1 https://www.unodc.org/documents/data-and-analysis/tocta/10.Cybercrime.pdf, 07.09.2023. 2 The Convention was adopted in 2001. Turkey signed the Convention in Strasbourg on 10 November 2010. The Convention, which was approved for ratification by Law No. 65I3.3UdaLteUd S22L/4A/2R01A4,RwAasSraItified with reservations 2014 and this decision was publisKheİdŞiİnStEheLOVffiEciaRl GİLazEetRteİonK9OARugUusMt 2A014K. ONGRESİ and decla1r2a-t1io4nKsaosnım82J0u2ly1 289 Bilgi Çağında İlgili Kişinin Bilgi Alma Hakkı ve ÖZTÜRK ; Siber Suçlar ve Kişisel Verileri Koruma: Soruşturma Ve Adli Süreçlerdeki Zorluklar In addition, the appointing of the undercover investigator protection measure, which is regulated to investigate organized crime, also appears within this scope. While obtaining evidence with these protection measures, how personal data and privacy will be handled, how personal data will be used and stored will be discussed within the scope of the study. Problematic issues in terms of these regulations will also be examined. Finally, due to the international nature of cybercrimes, the issue of how to protect personal data and privacy in the event of judicial cooperation in this context will be discussed. Keywords: personal data, criminal procedure, protection measure, evidence, cybercrime 290 12-14 Kasım 2021 KİŞİSEL VERİLERİ KORUMA KONGRESİ I. ULUSLARARASI Bilgi Çağında İlgili Kişinin Bilgi Alma Hakkı ve 2I.. UULLUUSLARARASI 16 1-21-174KKaassımım 2200231 KİŞİSEL VERİLERİ KORUMA KONGRESİ CoBuilngtieÇrianğgınDdaarkİlPgialtitKerinşsinTinhrBoiulgihAElnmhaanHcaekmkeınvteof TransparencyTiacnadriDSaırtaÇPartoıştemcatisoın by Design1 SŞeenharibKaOnNİpTeOk ĞALşıUko*ğlu* AÖBZSTRACT TGhüendümigiützadl reeaaklmıllıocftiehnazmlairr,rboürsytühkevinertir,icnaecsineesloefrihnuimntaenrnienttie,rüaçctbiooynu, ttlhuoyuagzhıcsıhlaierl,dyeadpbayy azevkeâil voef abnuolnuyt mteiktnyoalnodjialeprileitlheotreatiokflepneersnudaösirvdeüdnecsüigsnanstaryaitedgeivesr.imAimüornegtimthdeesensttürkateetgimiees itsedtahreikdzeipnlcoiryimniennhteor faş“admaraksıpnadtateertnksi”g:öisnteterrmfaecketseddier.siBguneedtkitoilechoınzsliadgeeralibşleyn dteisktnoorltoojir, igmetpiramir,işonolpduuğrpuobseilgoir vine eaflfgecı t,ilteheinasbainllitayrıogf eIrnitdeernbeıtrauksmeraskttoadmıra. kGeesreçlef-kdteirnecdteedbainlgdi drGiisrooyçaBsneuianllaegieamgfğrnlrlcohnarguraeıoaurotnşetilpsmkm,aışrudstlttatmitnabuçiıevhlaoşeaddrenaDrb.nlliosolıdpüncsaeşıİularyhgıtkndigraatlsüosuokotchekhiavPğneutcnveiernureeccvolese;sheıeearlctğbaseeieroledıs.uygsgicnnriTainıtthsi,uirdhdışolkabrpaeileizncesenetvocpaiginlssioRnmmalusatebetnuienlnt,akoeadgedlnltntihırualyalodğenüsırglrzr.aıcğakzsginyotl.iAeeiivinAnnrpotsvskeiistcnannnaiçratetşçeraaghtn(neileetl“lıexetıdeşrhğGaşragniraEaıanmtmeDinrslyteuliek,daabsaPkirsmna,itopRprıpnoaiöpnrl”athrtnoazıe)teiaiinntevoatnstwkeildinnhshbrldcioıiieneatrroikbUlhnmrursDaflie,iegn,crnEnaniraaiiogsUiaokatyoikglhçhntltntaaLaetleeiaeoumlsbsrassgtSçaawirıreuszaneenlixaaltvrpdedrıarmlveedaoeefmımvirirsfcaelavetasmienetotmaenküksoxilrietrriswiieAşiaselestwtgtitar.ciühnhivkrirtonr.aiedeeer(Kçgtgns“ktleadmöDe,iakrlşegstnaoeiSitvhtasgcdebeAleoiaskrub”lduipmin)bsnsivigrtrotisaeseohercltndkbrpmooittidkeosjleghuiieolusdnnitlerrtnehceisriiiahdruknnneeel. korunması alanında bireylere tesis edilmiş haklar ve veri sorumlularına getirilmiş olan TyühkeüDmSlAülüemkler,gbesiraesyltehreinfikrsişt iisnelEvUerlielgerisinlatkiornubnymdaissıtainlacntlıyndaekfiintienmg edlaernksptraütmtearnslaarnındı iomlupşotusrinmgakatapdrıorh. iBbiitrieoynleoren ttahneıinrmemışpololaynmheanktlwari,thiligniliinkteişrmiyeedviaerryi isşelrevmiceesf.aaHlioyweetivneirn, ahnukeuxkcaeputyiognunhlausğbueneundceanrevteldemouetvien kthişeisteexl tv, eerxicleluridüinzgerpinradcetkicieksocnotvroerlüeddbeyvatmheiGmDkâPnRı fvreormmetkhteedpirro[1]h.iKbiitşiiosne.l vTehriislesreienmkionrgulnymleaasvı emsepvrzaucatticı eksapwsiatmhiınndthaebislcgoipaelmoaf hthaekkGı,DvPeRri svourlunmerlaubsluentaogdeatrirkilpmaitşteorlnasn. aYyedt ıannlaetmxaamyiünkaütimonlüolüfğtühevGe iDlgPiRli kreişvieyaelstetshiast,edailtlhmoiuş gohlaint kdioşeissenlovteerixlperreesesrlyişirmefehraeknkcıekdaaprskampaıtntderanisn,cfeolremnesbailcercueckitairl[2p].art of the legal framework regulating these manipulative practices, through many of its provisions. This study dKeilşvieseslivnetoriltehreinphouteknutkiai lbofyuthtue kGişDilPikR’hsapkrkinı,cmipülelks ioyfetrvaenfsipkarriemncüylkaiynedt dteaotarilperoi taelctıtniodna btayrtdışeısliıgrkne, na[m3];ovnegritihşelepmroevmiseiotontslarreıgvuelabtuinaglatnhdeaugseloişftidrailrmk ipşaotltaenrnaslgwoirtihtmreaglar disteotidcaatrai hparoycaettsasiönnge,maslipblairurseibklaebreetmareadciıeos ltaorathkeddeeğsetrrluecntdivireilamspekectetsdiorf. Ydaernki epkaottneornmsi.nIitncaylalspıfotarşaı obrlaonadveerriudnedneernstoanptdiminaglodfützreayndspeayraernacrylaannmdaaammpalçifliıeydouğsuenoyfadtıartıamplarorıtnecytaiopnıldbıyğıddesijiigtnal. dTühneysatudday, ailmgosrtiotmfoaslaterrına nvueavnecreidiuşlnedmeerstmanetdoitnlagroınf ıtnhekfoorcuunsmedasleı,gitsalcatiriolenr sbuarkroımunınddinang bdüarykükpaöttneernms wtaişthıminakthtaedEırU. ’sBgurokwaipnsgamdidgaitadlalegkaişl ilsaenldsvcearpisei. işlenen kişinin özellikle oKteoymwaotridks:kDaraarrkmpaetktaernnizsm, traalanrsıpnaınrençacylı,şdmaatapprreontseicbtiinone bilyişdkeisnigbni,lgGiDaPlmR,aDhSaAkk. ı ile veri sorumlusunun fikri mülkiyet hakları ve ticari sırlarının korunması arasındaki dengenin sağlanması bir problem olarak karşımıza çıkmaktadır. Teknolojik gelişmeler ışığında kanun koyucuların artan şeffaflık beklentisine tezat bir şekilde veri sorumluları, büyük veri uygulamalarının çalışma prensiplerine ilişkin *Şehriban İpek Aşıkoğlu, Araştırma Görevlisi İstanbul Üniversitesi Hukuk Fakültesi, Avrupa Birliği Hukuku Anabilim Dalı, İstanbul Üniversitesi Sosyal Bilimler Enstitüsü Özel Hukuk Doktora Programı Öğrencisi [1] Mesut Çekin, Avrupa Birliği Hukukuyla Mukayeseli Olarak 6698 Sayılı Kişisel Verilerin Korunması Kanunu, Ocak 2018, s. 88 [2] Bilgi alma hakkının erişim hakkından ayrı olduğuna ilişkin bkz. Sandra Wachter, Brent Mittelstadt, Luciano Floridi, “Why a Right to Explanation of Automated Decision-Making Does Not Exist in the General Data *PrTohtiescstiuodny Risecgounldauticotend”,wIinthtetrhneastuipopnoarltDofaTtaÜPBİrTivAaKcy22L1a4w-A, .2017, s. 16-19. Vt1[Hr3R.iüs]OeistsİeRielnygCagiriInlcRDihCe:tsAa0aer0snats0rıiAcş0shmt-ka0enas0r,tol0,aUy2Sr-,no4iKicv1çiei4iaşnr4lis-sSib0tecy6kli4ezoVn9K.fe.cOEreİisslŞllieUofİr,SniKNniEvüoeKLrzrweosicreVtiygu,iEnoaKmnfIRi.AaRşİUisneLsıske,LeEalAarUrRaVnc,eShkİFrLaaCiKrlcAeeaunOr,lRittÇneyRrAaoKUfkfoRmoLrMrAaCauwkAoSn,mmYIDKpaaeuypsOtııaen,rNretAsmvGanien,knRd2at0ErLoa1afS,w0IİTn., Efusom.rrh8maa5ianl.:tisKoennitaaa.nkbodenvT1tioe2,cg-12hlu4n0@Ko1la8aoss,gbımysu..L2e60da22wu1;.. 2921 Bilgi Çağında İlgili Kişinin Bilgi Alma Hakkı ve Bilgi Çağında İlgili Kişinin Bilgi Alma Hakkı ve 292 KİŞİSEL VERİLERİ KORUMA KONGRESİ 12-14 Kasım 2021 I. ULUSLARARASI 2I.. UULLUUSLARARASI 16 1-21-174KKaassımım 2200231 KİŞİSEL VERİLERİ KORUMA KONGRESİ BilgYi üÇzaTğıanndıma İalgTielki nKoişloinjiilnerBi ivlegiMAalmhraemHiaykekt ı ve Sertel ŞIRACI* Ticari Sır Çatışması ÖŞeZhrEibTan İpek Aşıkoğlu* GÖeZçmişte sinema filmlerine konu olup içselleştirdiğimiz kullanımlar, bugün gerçek erdhtzGeedeeaüdhkyiynacbâaüirüetitvzbmrkaeeityzüaugobinznöymudıgcrmleeuiuertaatlbirankittimreikeınlkkklaöınnhiyzşcoeoaeiirslllhoogelaiajlejkşiizçvllalleeieemarrrrrriiiii,ladnmiosbiliırreünin.tşyadKttbeüiyariitakşy.ieikoMçstvlkmeıeekliarneaVhgietr,örertnneiırsklemitdmlesenörinraymrieitldeıelKetüelvikironneğitrcneibueüdhuniminasrötiaç.aezznoBrKeoaknululyleakieritkbieutd,liksmeleüiimrşvçiuitleriienbiğslmeuoiihyniıktiçzeuiiü2lkmntar0lneul2gioitl1ğegiylmo’liidailjtşziediaelıkeynecninraıışldmtyiaetneıürkmlni,aknnynleobaaamtlidipyormıaıaijğrsilyetıiı, vgeeytiarmdioşğoruldlaunğmu ablıidlgıri. vYeüzalgtaıniılme aintseaknnlaorlıojgiseirniddee eblıdraekemdailketnadiınr.saGneryçüezkütengödrüenbtüilsgüi üçazğerıninddaebçüeyşiütkli nvoekritahlaarcıimin,cehlıezr vvee eçledşeiteldikileönzevlelirkilleerrdiyelnebainlgıilsmayaakrtayavzeılıdmevlarbıiarrbaceılllıeğkı iollearbaikr şçaablılşoınrkoelnu;şatuyrnuılzuarm. Ealnddeaeidnislaenn hkaaylıaptıdnaınvheerri ntaobkatnasınınddaakietkkiişsiilneriegöaisttebrimyoemkteetdriirk. şBaiblgloi,nlbaerllileekkvareşıalalgştıı,rıilnasraanklıbğiırneşvleaşrmlığeınadraannıri.tibaren her zaman ilgi çekici bir konu olmuştur. İnsanlığın bellek üzerine anlamlandırma çabaları sürerken, teknolojinin Gyaürvaetnmliıkş toelddbuiğrlueribnuindeenv übsetlsleeğviiynedçealoışldmuağuprheanvsaibliim, asnolnaurçınavegirvieşrvieüçrıektımş eişlseimstleemrinindien, caenzlaaşılimnfaaszı iskeuvreurmisliairşılneanengiirlgişilleirkdieş,ilecreepbirşhuabkeolbaarankkatecsıliısğeınddilamişmtiür.şKteirşiiseklimvelriiğlienriinn tkaonrıumnmlanasmı aaslaınndınad, açabliırşeaynllearreıntemsiseseadiitlmakiişbhinadkela, rkvaemvuesrail saolraunmdalurlaekrılnaamgegtöirsitlemriimş ionldane bakkkvyohluooielüuarurnlkklnalmşmüuuaytıunmkealgoarkaırilmlşltktmümtmueeiladkytüaukaiiçgkknsşrteuatıt[l1ahuednva].drırıerl,r.rKuıts.rbbmAğıliuizBaşurpalriensaipsk.ryirueÖtlseılealtyeaedzdvrlhymeeeıieılrannrrlr.ikeieitnUkklkteeliltsıkteşearnümiirmnansdraıkeeeyaenkkklınmloylvvliaiıçrüeıe-iuştirlRrnengkiüloulimieketlşlsüfiuraiyoaiklslnnasenleiaınşllskhnaimanvoarFdvdikeeraıanuğvralcşainızeıelyrnsemuIl,üiiDrdansziiattalisıegütndaıamkizasnlaaaeivkellıprtaaemikkıssrnnniaaılaıdşdedmnidertayadeikaırenonkaipkuldntvmkeieyaoeoksgtlarbpenouçsiimitjıolltriaigssiokşenmieilllngbedüaaeiümeelnndmbnngesekic,eatyvueHlrfliüalhaelşlogmmtaaakileklnrluialakiiyiınlcmnşmıleimla,dltaknıeivarnenârıı’edymıininrnnnaeıiı skDyoüiaşrzinustımeaşltnlauvıymseıurnainlteaöernkgeüneetnorieriloşilijgmmiesiilnşehniaokklpakuneıllkkaanayçpıdomsıknaımlndadtıomnasdyyaaaoydilünagkcöeyüslemteernlrleüeişclbiiükibğleiüicrçevtdikeahtviairalt[gd2]io.ılrli.ukMşiuşerisykaeeintte,askKiisbişieidskeiollnmVuiseşuroinlledarnai KKoişriusemlaveKruilreurilnu hduaksuokni btüokyeuttiucikyeişihliizkmhaetkkvıe,rmenülişklieytemt evleerfiakçrıismınüdlakniymetetşerourikleurlilaanltıımndına staınrtıırşlıalrırınkeı nb[e3]l;irvleemri iişştlierm. Feamkaettioltglialriıtevkenbouloajliannidnakguelllaişntıimrilmaliaşnoı loankaadlgaorrgietmniaşltairr kisieottiecladrei hmaüyşattetraiömneemmlinbuinriryeektianbdeetnaramcıaorklaertatek dfıerğsaetrleünrdüinrilömneekrtmedeiyre. Ykeandi aerkohneormgiünnin yyeanpiı tbaşirı oulyagnuvlaemriadeanlaennı oolpatriamkakladrüşızmeyızdaeçyıkarmaralkatnamdıar.aBmuagçildı eyroeğkuanrtyaantıkruımllalanrıımn yoarpanılıdnığaıpdairjaitlaell odsbusİoleoüütlygaobrgnyirumenuüyambçlkakaiadbyltmtiualiöekers,manuşgkleaneaeeamlkrullgriinahşolmtdrtarfiaiekreimtşkimvaılvrmemzşieakuıralmeaöaaıkkntzrküttıgiaeolnkzükdnrmairuıvpyrvlamü.esealaktazBavmlgrhceıeueaınrırçekyıiikdnallbaimaıkşşirçplllııeaiaesnnkvlşamdıçıtemşmealemidtdilvkimaacareaa.byeplrdmaatiraozesbatenılsiknraslıliiinrandşbıraineçiısnınseanrieılnzanğokimvlkmnoieoşürirekmuridnusinaninvmhgmeibaeaşrilallisleiesgıiş,nşıotiliearetraaanrmilcacnmisieıklrıealdinserşüdadihrrnaeaaebikkkrcnaitikimkdoıötıeelamzianrlkeneeıgtlndlaebvidddnkaeaüıilzrrnnetiı. sBaeğnlzaenrmuaysgı ubliarmpraolabrldema boilraeryalkerkinarşfıimzikızsaelçınkimtelaiktlaedriınr.i kullanmak suretiyle uygulanan biyometrik yöntemlerde makul amaç ile orantılı ve ölçülü bir şekilde davranılması Tgeerkenkomloejkiktedgier.lişÖmzeelledre ıişlıgğilıindkaişiknainnubnirkeoyyseulcufalyadrıansıavrteayna şgeefnfaeflldıke kbaemkluensatilsifnaeydtaenzıant bsöirz şkeokniludseuvoelrmi saodrıuğmı dluulraurım, blaürydüak, kviemriliukykgaurltaımilaelakriımnılnikçadloışğmrualapmreansgiipbliereisnkei iklilşaksiikn vy*DŞöeaelnıöh,rtzİiesbetmaalnnliblİkepuellrekÜirnAniişnvuıkeiyronsgğitlvueues,liAarSinroatmsşaytıbaralmasBnaıiGlısinmuöralreeevrgltEiiisrnyiisİlltsemitt,aünsebübmiuÖrleezÜeysnliliHevveruerkisniuiştkelöseDiznoHekmultoknreuakmitPFereaolksigküiraltdtmeeasıioh,ÖAlağavrunreunypcbgaisiuBiyinorlmioğileuHtpurk,ikutkeuvmeArenilalbheilraiimknvine özgürlükleri korunması adına daha isabetli bir yol olacaktır. Yüz tanıma verileri doğrudan k[1i]şMineisnut öÇzekeiln,hAavyruaptıanBıirvlieği bHiurkeuykuoyllamMauknaiyteesleilği iOnlairiafka6d6e98eStatiyğıliı KiçişiinselkVeeyriflie,riön lKçoürsuünmz,asgıeKraenkusniuz, bOicyaokm20e1t8r,isk. 8u8 ygulamalar ile müdahale edilmesine hukuk düzeni izin vermemektedir. Bs[FP2arli]ooğyrtBleiodacimlitng,ioime“naWtlarRmhisekayıghuvvaaleaekRtrkiioikıglnneohı”nrtr, uIyetnornaitşesEmiramxnlapaahltsraiaıodnknakgaatıinilnobDdnkiaanaogtayfaenyPArrearuıikktvooalllmidacuynahğtLaeuaadnnlwlaeDz,iro2eldi0crşi1keus7iinno,inlslbgu.-kM1izlv6.ia-ekS1kia9knin.gaşdimrnDaiuoWnessaacrNhğıztoleaıtrğ,sEıBı,xrdkiesnaıtştmiıMnnuidtthtgaeelüsGvtvaeeedynnte,alrLiağudl ciiDniğaaientnora 0*H[30Aü]0vs2.İ,e-l1yBg5iainl6hi0çC-tea5şar4enth4ıA6şirmkÜasnolaiyvr,eriKçsiiitşneissbiekBl ziVlK.ieşEirİmilŞliefİHrSiKunEküuKLzkeoucrViuY,EnüKmkIRsi.aşeİUiksLsıe,LLElAiUsRVanneSkİsrLaiKPrlAearOro,RigÇnRrAaaKUmkRmoıMrAÖaukASğnrmYIeKtaaiymsOıın,GNeAövGnrie,kRv2al0iErsa1iS,,0sİT,eurst.reh8l.a5sni.raKcii@tasbche-v1lie2,g-a12l40.cK1o8ams,ı,ms0.026002201-; 29231 Bilgi Çağında İlgili Kişinin Bilgi Alma Hakkı ve ŞIRACI ; Yüz Tanıma Teknolojileri ve Mahremiyet hallerde açık rıza ile işlenmesinden sonra, verilerin saklanması ve kontrol edilmesi açısından kişilerin zarara uğramaması, özel hayatlarına müdahale edilmemesinin temin edilmesi yükümlülüğü tamamen veri sorumlularının üzerindedir. Uygulama geliştiricileri açısından ilgili kişiler verilerin bireye ait kullanım alanında bırakılması da ticari kullanımlar açısından bir çözümdür. Yine özellikle ticari kullanımlarda anonim veri kavramının netleştirilmesi gereklidir. Veri sorumluları kişisel verilerin korunması hukuku kurallarına ne kadar yüksek seviyede uygun davranırlarsa, o oranda hak ihlali görülme ve kişisel - kamusal zarara uğrama ihtimali azalacaktır. Diğer yandan tasarımdan itibaren mahremiyet ilkelerinin uygulanması bireylere karşı ihtimalleri engellerken veri sorumlusu tarafında daha başlangıçta mali kayıpların önüne geçilmiş olacaktır. Anahtar Sözcükler: Kişisel Veri, Özel Nitelikli Kişisel Veri, Biyometrik Veri, Yüz Tanıma, Açık Rıza 294 12-14 Kasım 2021 KİŞİSEL VERİLERİ KORUMA KONGRESİ I. ULUSLARARASI Bilgi Çağında İlgili Kişinin Bilgi Alma Hakkı ve K.V.K.K. 2. ULUSLARARASI KİŞİSEL VERİLERİ KORUMA KONGRESİ Face Recognition Technologies and Privacy ABSTRACT The uses that we have internalized as the subject of movies in the past have been put into practice in real life today. One of the technologies where privacy intersects the most is facial recognition technologies. According to the guidance published by the Personal Data Protection Authority in 2021, in order for personal data to have biometric features, the distinctive biometric features of the relevant person must be revealed and his/her identity must be identified or verified with these features. In facial recognition technology, various points are examined on the human face image obtained and a template is created from the obtained data through computer software. The resulting pattern is compared with the biometric templates of people in the database and a match is sought. They are used for entry and exit transactions at airports where security measures are at the highest level, for entrances to penal institutions, for customer identification in mobile branch banking, for monitoring employees’ working hours, and for advertising in public spaces. Its usage area is increasing, especially as the use of facial recognition technology in smartphones has become easier and this system is always at the disposal of the relevant person. It has been the subject of many current developments, from the detection of soldiers in the Ukraine-Russia war to the system used by a supermarket in the Netherlands to identify thieves. The FaceID case against Apple is also a guiding case in the use of facial recognition technology by application developers. While there is established jurisprudence in many files brought before the Council of State regarding overtime tracking, the KVK Board has also determined the limits of legitimate use for businesses serving the end consumer. However, the usage area of the relevant technology is so wide that it emerges as a new application area every day, from customer satisfaction in hotels to offering special offers in supermarkets. In parallel with this increasing usage rate, the rate of conscious or unconscious interference with fundamental rights and freedoms is also increasing. Interestingly, although some applications with an overly protective approach and sometimes an anonymous data processing process are outside the scope of the legislation, their development is abandoned due to hesitation on the part of the developers. In similar applications, biometric methods applied by using the physical characteristics of individuals must be acted in a proportionate and proportionate manner with a reasonable purpose. In cases where the individual benefit of the person concerned in particular or the public benefit in general is not in question, the private biometric data and characteristics of individuals should not be entered into the database and processed by applying old classical methods such as identity verification with an ID card. Since facial recognition data directly expresses the person’s private life and his/her nature of being an individual, the legal order does not allow intervention with arbitrary, excessive and unnecessary biometric applications. After biometric data is processed without the consent of the relevant person in cases where it is required by law and necessary to ensure and protect public health and public security, or in other cases with express consent, the obligation to ensure that people are not harmed and their private lives are not interfered with in terms of storing and contIr.oUllLinUgSLthAeRdAaRtAa SisI entirely the responsibility of the 12-14 Kasım 2021 KİŞİSEL VERİLERİ KORUMA KONGRESİ 295 Bilgi Çağında İlgili Kişinin Bilgi Alma Hakkı ve ŞIRACI ; Yüz Tanıma Teknolojileri ve Mahremiyet data controllers. For application developers, leaving the data under the control of the individual is also a solution for commercial uses. Again, the concept of anonymous data needs to be clarified, especially in commercial uses. The more data controllers comply with the rules of personal data protection law, the less likely there will be a violation of rights and the possibility of personal or public harm. On the other hand, while applying privacy principles from design will prevent possible risks against individuals, financial losses on the part of the data controller will be prevented from the very beginning. Keywords: Personal Data, Sensitive Personal Data, Biometric Data, Face Recognition, Explicit Consent 296 12-14 Kasım 2021 KİŞİSEL VERİLERİ KORUMA KONGRESİ I. ULUSLARARASI Bilgi Çağında İlgili Kişinin Bilgi Alma Hakkı ve 2I.. UULLUUSLARARASI 16 1-21-174KKaassımım 2200231 KİŞİSEL VERİLERİ KORUMA KONGRESİ KişiBseillgVieÇriaİğşılnemdae İFlgaialliiyKeitşlienrin dBeilRgisAklTmeamHelalikYkaı kvleaşım TÜizcearriinSeıDr Çüşaütnışcmelaesrı ŞŞuehrariNbaunr İPpEekLIATş*ıkoğlu* KÖiZşisel verilerin işlenmesi faaliyetlerinin temel hak ve özgürlüklere müdahale niteliğinde olması, hukukun bu faaliyetlere ilişkin olarak meşru sınırı çizmesini gerektirir. Bu sınırın çGizüinlmümesüizsdueraetkiıyllleı ckihişaiszelal rv, ebrüiyiüşlkemveerif,anaelisyneetlleerriin, hinutkerunkeati,uüyçgubnoyyuatlduayahzuıkcıulkara, yaaypkaıryı ozelakrâakvenibteulleuntdteirkilnior.loBjiirlekriişisleltveetirkilieşnleemn edöfaradlüiynectüinsiannhauyki udkeavruimygiuünrestaiymıldaebnilmtüekseitiçmine itlegdialirihkuzkiunkcirdiünzinenhiertaarşaafmınadsaındeasaestkailgınöasctearkmkerkiterd,ivr.eBriuişeltekmi ieleişhleızvliatgeemlieşleindtekçnaolılşoajni, vgetidrimjitiaşlloelşdmueğnuinbiglgetiirvdeiğai lygeıniileteiknnsoanloljairlıerginervidaerlıbğıraiçkimn aökntaedmır.taGşıemrçaekktatednır.dÇe übnilkgüi sçöazğınkdoanubsüuyükkrivteerrinhabceilmir,lehnımz evseinçdeeşitklaiknuönzelkloikyluecriuyllaer atnaırlamfıankdtanvekidşiesvelbivrerbielellreink koolarruankmçalsıışıhrkaeknk;ınayınnıöznacmealenndma einsisavnehamyahtırneımn ihyeertinozketdaeslıenydeanetmkiüsdinaihgaöleslteerremeykötneedlirk. yBaislgaki,labyeılclıekbirveteraclighıt,einbsualunlnıuğılmn avsaır,lsığöıznkdoanuistuibayreenni theekrnozalomjialenriinlgiişlçeevksiizcikablimr aksoınua yoolml uaçştaurrk.enİn, skarnitlıeğrıin vbeerlileikşleüyzeenrlienrebanklıammınladnadnırdmaahaçaebsnaleakrıbisrürşeerkkieldne, bteeklinrolelnomjineisni dyaeravtemriışsaohldipulğeurinbiun dkeevndbielkleişğisinel çvaelırşilmerai pürzeenrsinibdie, ksionhuaçkimveiyveetlreiriünrietemnegeslilsetyeemninbiinr eatnklai şdılomğuasrıaicsaekvtıerr.iBsiuişnleendeennillegsilöizkikşoilneuresubifrahaalikyeotllaerraekyteösniesleikdihlmukişutkiri. Kdüişziesnellevmereilleerriinn tkeokrnuonlmojaiksı aglealnişımndealebriireeynlgeerleletyeisciis ebdirilmniitşehliağkelabrüvreünvmerei dseonrumkilşuislaerlınvaergietsiarhilimplieşroinlainn myüakhürmemlüilyüektlaelra,nbıinreıykloerruinmkaişfiosnekl svieyroinleurninukyoerruinnemgaestıiramlaensıingdearkeiktier.mel enstrümanlarını Toleukşntuorlomjiakktgaedliışr.mBeliererlyeletreemtsainl ıendmilıeşnoflaayndahailkelabri,reilygiinlimkaişhiryeemvieyreit iaşllaenmı ekofnaaulsiuynetdinaikni mhueknufkaaatiuayrgausnınludğaukni udednegnee,tkleamnuenvkeokyiuşcisuellarvtearrilaefrıni düaznerkinişdiesekli vkeorni tirşolelmü edefavaalmiyeitmlekriânneı yvöernmeleiktdedüizre[1n].leKmişeilseerlinvesröizlekrionnkuosruufnamalaiysıetmleervinzuteamtı eklahpsaakmvıenödazgbüirlglüikallemr abahkaıkmkı,nvdearni sooluruştmurludsuuğnuatgehetlirkielm/risşkoinlatnemayedlıanllıantmasyı üsuküremtilyülleügğöüzveteilimlgeilyiekçiaşilıyşeılmtesaikstaedıirlm. Aişvroulpana kBişrilsiğeil GveernileelreVerişKimorhuamkkaıTküazpüsğamü’nınddeayienrcealleannevbeileTcüerkktçire[2]l.iteratürde de “risk temelli TytKtaeaairmksştlıileaşaslığeşlıılıh’mrnvkad”ekeraniolv[3ledea]r;arivanöbekzhregiuliüifikraşrlulldeüeknemkimlbeeedoirmşyitlaiueerçntt.ıousVtıbklneauidrrşiıiaölvniilkşeçlütehbamtauş,kıeadskloııafğ,nanımadloraiüiylslagekkretiaeilynkieşgdttöAievrrvieeylrmüfudikpikeşüarğoimelmBralliüneürlnllüaikdğlkigiiylroeeiYrrltamiitntpmeeaosbayriulialZberfueraiiksaaeaalliltytaiYıencnataddisrnaaai hyaapyıaltatna öynaesmallidbüizrernelkeambeeltearrdaecıkoalbaural keddeilğeenrlöelnçdüitrihlmaleinketedgierl.mYeeknlieekboirnliokmteinriinskyianpnı taasşııl otalnanımvlearnidaecnağeın, foarpktilmı raislkdügzrueypdlaerıynaırnarkliamnmtaaraafmınadçalınyhoağnugni ykartiıtreırmlelraerıgnöyreapbıelldiırğleındeicjietğali dmüensyealedlae,riaalgyodrınitlmataıllmarıanyıvbeekvleeryieinşlseomreulamrıetooltulaşrtıunrımn akkotarudnırm. aBsuı, çtaalcışirmlear, briaskkımteımndeallni byaükylüakşımöneomlartaakşımisaimktlaednıdr.irBileun kvaepsaymasdaa kdoayukciuşilsaerl tvaerraifsıindişalnenedna kbieşniniminseönzeenllikblue odtüozmenalteikmkeaörlaçrütmüenkeaenleizşmtiraellabrıinrıgnöçzalelıbşmakamparyeınösnibeirnmeeiklitşekdiinr. bilgi alma hakkı ile veri sorumlusunun fikri mülkiyet hakları ve ticari sırlarının korunması arasındaki dengenin sAanğalahntamraKseılbimireplerro:bklieşmiseol lvaerraikişkleamrşeımfaıazlaiyçeıtki,mriaskkt,amdıar.hremiyet Teknolojik gelişmeler ışığında kanun koyucuların artan şeffaflık beklentisine tezat bir şekilde veri sorumluları, büyük veri uygulamalarının çalışma prensiplerine ilişkin *Şehriban İpek Aşıkoğlu, Araştırma Görevlisi İstanbul Üniversitesi Hukuk Fakültesi, Avrupa Birliği Hukuku Anabilim Dalı, İstanbul Üniversitesi Sosyal Bilimler Enstitüsü Özel Hukuk Doktora Programı Öğrencisi [1] Mesut Çekin, Avrupa Birliği Hukukuyla Mukayeseli Olarak 6698 Sayılı Kişisel Verilerin Korunması Kanunu, Ocak 2018, s. 88 [2] Bilgi alma hakkının erişim hakkından ayrı olduğuna ilişkin bkz. Sandra Wachter, Brent Mittelstadt, Luciano Floridi, “Why a Right to Explanation of Automated Decision-Making Does Not Exist in the General Data Protection Regulation”, International Data Privacy Law, 2017, s. 16-19. 4*H[37Aü]8rs8aİe-şl3ytgı9iirnl4miXCataaGrntöıAşremkvlasiolsaiy,r,İsiKtçaiinşnibsubelklMzVK.eeEdrİielŞlniefİirySiKenEtüKÜLzeoncirVviue,EnrKsmIRiti.aeşİUsisLsiıe,LHElAuURVnkeSukİrkLaiKrlFAeaaOr,kRiÇnüRAaltKUkeRsmoMi,rAauskuASnrmYIaKnaauysOrıı.n,pNeAevlGinti@,kR2am0Erae1Sd,0eİT,nusiy.reh8ta5.en.duK.tirt,aObeRvC1i2I,D-12:400K108a0s,0ım-s0.026002231-; 29271 Bilgi Çağında İlgili Kişinin Bilgi Alma Hakkı ve PELIT ; Kişisel Veri İşleme Faaliyetlerinde Risk Temelli Yaklaşım Üzerine Düşünceler KAYNAKÇA1 ANDERSON Michael, ANDERSON Susan Leigh, Machine Ethics, Cambridge, 2011 BECK Susanne, KUSCHE Carsten, VALERIUS Brian, Digitalisierung, Automatisierung, KI und Recht, Nomos, 2020 BINDING Karl, Die Normen und ihre Übertragung, die Fahrlässigkeit, Band 4, Leipzig, 1919 GLESS Sabine, WEIGEND Thomas, Intelligente Agenten und das Strafrecht, ZStW 2014 BORGES Georg, SORGE Christoph, Law and Technology in a Global Digital Society, Autonomous Systems, Big Data, IT Security and Legal Tech, Springer, 2022 CUSTERS Bart, VILLARONGA Eduard Fosch, Law and Artificial Intelligence, Regulating AI and Applying AI in Legal Practice, Springer, 2022 DUTTGE Gunnar, The Law in the Information and Risk Society, Göttingen, 2011 GERRIT Hornung, Rechtsfragen der Industrie 4.0, Dateneinheit, Verantwortlichkeit, Rechtliche Grenzen der Vernetzung, Nomos, 2018 GURNEY Jeffry K. Driving into the Unknown: Examining the Crossroads of Criminal Law and Autonomus Vehicles, 5 Wake Forest J.L. & Poly, 2015 HILGENDORF Eric, KUSCHE Carsten, VALERIUS Brian, Computer- und Internetstrafrecht, Berlin: Springer, 2022 HOYER Andreas, Erlaubtes Risiko und technologische Entwicklung, ZStW 2009 KINDHÄUSER Urs, Analytische Strafrechtswissenschaft, Nomos, 2021 PASQUALE Frank, The Black Box Society, Harvard, 2015 ÜNVER Yener, Ceza Hukukunda İzin Verilen Risk, İstanbul Beta, 1997 WEBB K.C., Products Liability and Autonomous Vehicles: Who’s Driving Whom, 23 Rich. J.L. & Tech, 2017 WEICHBOLD Markus, Haftung und Versicherung bei Unfällen Automatisierter Fahrzeuge, Manz, 2022 WIGGER Dominika, Automatisiertes Fahren und Strafrechtliche Verantwortlichkeit wegen Fahrlässigkeit, Köln: Nomos, 2020 WINFRIED Hassemer, Produktverantwortung im Modernen Strafrecht, Heidelberg, 1996 1 Bildiri özeti metnine kaynak olarak faydalanılan eserlerin bir kısmı alınmış olup, bu eserlerin tümüne tam metinde yer verilecektir. 298 12-14 Kasım 2021 KİŞİSEL VERİLERİ KORUMA KONGRESİ I. ULUSLARARASI Bilgi Çağında İlgili Kişinin Bilgi Alma Hakkı ve 2I.. UULLUUSLARARASI 16 1-21-174KKaassımım 2200231 KİŞİSEL VERİLERİ KORUMA KONGRESİ BiKlgişiiÇsealğVınerdianiİnlgKiloi rKuinşimniansıBnialgYiöAnlemliak HGiazklikliıkve SözleşmesTiincdaeriMSaırnÇevaitTışamzmasiınat Kaydı TŞuehbraibBaInRİIpNeCk IAUşıZkUoğNlu** ÖZET KGiüşnisüeml üvezrdie, akkimılllıiğcihbaezlliarrl,i bvüeyyüakbveelirril,enneesbnielilrergineriçnetkernkeiştiy, eüçilbişokyiuntlhueyraztüıcrılülarb, iylgapidaiyr (zKekVâKvKe mbudl.u3t /tde)k.nKolioşijsielelrvieirlienitnetilkkleunnesnurduöbrdilügnidciür.sKainşaisyeil vderviryiimoiluüşrteutriamndbeinlgtiü; kieştiinmine bteodyaur,ikkzilionscuir,inyainşıhveer agşöazmraesnıgnidagiebtikisogmösutetrvmeeokbtejedkirt.ifBnuiteetlkiki tieleohlıazblailegceelğişiegnibteikknioşilnoijni, dgeütşiürmncişe voeldiunğaunçblailrgı igivbei saolgyıutilveeisnusbanjelkatriıf gneitreidliektbeıdraekomlaabkitlaidr.ırB. ilGgie,rçgeizkltieonladbeilebcielgğii gçaibğiınaldeanibdüeyüoklabvielirri1.hDacijiimta,llehşımz evyeleçbeşiritlilkikteöbzielglliiykeleerriiyşilme aonldılumkaçkatakovlaeydheavlebgierlmbeilşlteirk. Aolnarcaakk çbaillıgşiıyrekekno;laayyneırizşaimm,angdizaliinksaalmn ahsaıygaetırneıknenhebrinlgoikletrasyıönndüanedtkeinsibniirgröissktetrirm. eGkitzeldiliirk. sBöizlgleiş,mbeesllieykle vtaeraafllgarı,biunsraisnklıiğbınertvaarralfığeıtnmdeayni aitmibaaçrleanrlahre.rGzizalmiliaknsöilzglieşçmekeisciyi lebitrarkaoflnaur soölmzleuşşmtuer.kİonnsuasnulığbıinlginbeinllegkizlüi zoeldriunğeu avnelabmu lbainlgdiınrminaüççüabnaclüarkıişsilüerrelerkpeany,latşeıklmnoalyoajcinaiğnı pnaynaaorlykaaltşatamışslmmıınşaadmsoaıladiassunıeğklvauoeşşrıburisullaiuridy2şle.laevBnkuebanreşslilıölegtzğaillireinaşkfmaiçşaegiylliıezlşerlmei, babgiiilrzpglhriiyeaenkbseioilrgbliaiişy,rimiaskoaitnçmeıuskkçilsâavnyeeadınitlvamnekriıirşiş3ti.iü,rr.üeKçtmüişneisceüslisvkteeirşmiillieenrriilnne Gkoizrulinlimk assöızalelaşmnınesdianibniriehyllaelriektieşsiliiskehdailkmlairşınhakslalrdvıreı vteşrki isloerudmebliulilra.rı6n6a98gestairyiıllmı iKşioşilsaenl VyüekriülemrilnülKükolreurn, mbiraesyı Klearinnukniuş’insuelnv1e4r.ilmeraidndkeosriuunymaraınsıcal,a“nKıinşdilaikkihatekmlaerlı iehnlsatlreüdmilaenlaerıinı, goelunşetluhrmükaükmtaldeırre. Bgöireytlaezrme itnaantınhmaıkşkıolsaanklıhdaıkr”la. r6, 0i9lg8ilsiakyiışlıiyTeürvkerBi oişrlçelmareKfanaulinyuet’ninuin 5h8u.kumkadudyegsiunndlueğduen,u“dKeişnielitklemhaekkvıenıknişziseedlelveenrmilersinüdzeenrinzdareakri kgöornetnro, luüğdraevdaığmı mimaknâenvıi zvaeramreaktkeadrişrı[l1ı]k. Kmişainselvivetraizlemrinaktoraudnımaaltsıınmdaevbziuratmı ikkatpasrampaırnadaöbdielngmi aelsminai hisatkekyeı,bvileirr”i sdoernuimlmlueksutendairg.eGtirizilmiliikş osölaznleaşmydeılnelraitnmdae,ysüökzülemşmlüelünğinü vihelaillgi ihliakliinşidyee ötedseinseecdeiklmmişaonleavni ktaizşimseinl avteariilleişrkeienrihşüimkühmaklekrıekdaepysaemr vınerdialminecketleednier.bSilöezcleekşmtire[2s].el yükümlülüklerin borçlu tarafından ihlal edilmesi halinde, alacaklının uğradığı zararın giderilmesine yönelik oKliaşriaskel vbeorriçlelurintahruakfıunkdiabnoyöudtuenkeişcielkik htaazkmkıi,nmatüınlk, iyteartavfelafrickari ömnüclekdiyeent tbeeolriirlleernimaletısnindae gtaörtüışrıülırtkaeznm[3i]n; vaterdieinşlier4m. eGmöteütroütlatarızmveinbautıanlaknadraarglealşitşıtriırlidlmığiışişolleamn ealigsoergitömtüarlaürtiaszemtiicnaarti hanaylaaştmtaaösnı edmenliirb5i.rGreizklailbiketsaörzalceışomlaersainkddeeğyerleanladnirmilmaneekvtei dtairz.mYeinaitekoayndoımdianibniryagpöıtütarşüı otalzamn vineartidean leanşmopastiımdıar.l dAünzecaykdemyaarnaervlainmtaazmaminaaçtlıaylaocğauğnınyaatıirliışmklianrıngöytaüprıüldıtğaızmdijiintatl danülnayşamdas,ı aylagpoırliıptmyaalpaırlıanmvaeyavcearğiı itşalretmışme amlıedtıor.tlGariıznlıinlikksoörzulnemşmaseıs,intadceiryler ablankımıanndeavni btaüzymüiknaötnkeamydıtnaşınımgaekçetardliılri.ğiBdue mkapnseavmi tdaazmdianaktiışnisheulkvuekriisniiteişlilğeinveen işklieşviinilne söözzellelşimkle oötzogmüraltüikğüköazraerllimklekdaenikzimşilailğairnınkıonruçanlmışamsıaypörneünnsidbeineiniclieşlkeinnmbeiligdiira.lma hakkı ile veri sskMaooğarnunluamesnvulmiudsautusarın.zubBmniurinnfpilakratorrıibınnlmebmnüailştkoeliıllyciağaeriltanakhriaık;kvatlaeratşrmıımişvilnıeezvgatiiöncçriaıükrşimaüsça,ıırkckletlaaazrmdaınıgraı.önyraküoşyüröuvnneemltieaklsaıfçaiergşaöistrılüni şdügadöküriürd.şeMlenrgaensneöivnzi Ttaezkmnoinloatjıink tgeelalifşimişelelevri dışiıkğkıantdeaalkınanduığnınkdoay, umcualnaervıni taarztmaninşaetaffailfilşıkkinbegkölteünrtüisitnaezmteinzaatt banirlaşşemkialsdıe yvaeprıilasboirluecmelğuilakraı,bublüyeüdkilmveerkiteudyigru6.laAmnaclaarkıngınizlçilailkışmsöazlperşemnessipinledreinyeeirliaşklainn manevi tazminat kaydının miktar yönünden tazminat alacağını sınırlaması halinde, b*Şuehrkibaayndİpıenk Asşoıkrouğlmu, sAurazşltuırmka Ganörleavşlimsi İastsaınbnuliÜtenliivğeirsitteasişHıyuakbukilFeackeüğlteisid, Aevruupna uBtirulilğmi HaumkukaulıAdnıarb.iliKmişi, mDaalı,lvİsatarnlbığulıÜdneivğeersritleesriiSoüszyealrBinilidmelekr EunrsatiltüosülaÖrzaekl HsuekrubkeDsotkçteorataPsroagrrraumfı Öeğdreenbciisliir ve uğradığı maddi *[1D]oMç.eDsur.t, AÇkedkeinni,zAÜvnriuvperasiBteisriliHğuikHuukkFuakkuüyltleasiMMuekdaeynei sHeulikuOklaArnaakbi6li6m98DSalaıyÖılğırKetiimşisÜelyeVsei,rtibleirriinnciKuozurnu@nmakadseınKiza.enduun.tur,, OORcaCkID2-0I1D8: ,0s0.080-80002-0185-0619. 1[2A]kBsoiylg1i4a. lma hakkının erişim hakkından ayrı olduğuna ilişkin bkz. Sandra Wachter, Brent Mittelstadt, Luciano 2FGloirtmidei,z 6“4W1.hy a Right to Explanation of Automated Decision-Making Does Not Exist in the General Data 3PGroitmecetzio6n41R-6e4g2u.lation”, International Data Privacy Law, 2017, s. 16-19. 45H[3OBü]iesrİreilntyglciiiinNlUi.Czt2aua0rnn;tıM6Aş8mck.Casoolaryrm, iKçcikişni1s0be3kl;zVB.erEirgilhlieftrmiKnaünKz2eo7cr7iu;,nBKmeIni.aşjUiassmıe,LliAnUVn4eSk9rLa;irlKAeaar,pRiÇnaAnaKckRımo6rA5au6kSn-6mYI5aa7ys;ııEn,reAdvenim,k2a90r8a1.,0T, us.rh8a5n. Kitabevi, 2018, s. 62; 6 Hess 118 vd. (Oertli N.286 dn.4K26İ)Ş. İSEL VERİLERİ KORUMA KONGRESİ 12-14 Kasım 2021 29291 Bilgi Çağında İlgili Kişinin Bilgi Alma Hakkı ve BIRINCI UZUN ; Kişisel Verinin Korunmasına Yönelik Gizlilik Sözleşmesinde Manevi Tazminat Kaydı zarara katlanabilir7. Ancak kişilik hakkını oluşturan değerler üzerinde serbestçe tasarruf edilemez. Aksi takdirde sözleşme özgürlüğünün sınırlarını aştığı için böyle bir anlaşma geçersiz olur. Önemle belirtmek gerekir ki bütün götürü tazminat anlaşmaları aynı zamanda sorumsuzluk anlaşması niteliği taşımaz. O halde gizlilik sözleşmesinde yer alan manevi tazminat kaydının baştan geçersiz olduğunu söylemek de uygun bir çözüm yolu değildir. Bu durumda, gizlilik sözleşmesinde yer alan manevi tazminat kaydını kesin hükümsüz saymak yerine, yalnızca anlaşmada belirtilen üst sınırı geçersiz saymak ve tazminat alacaklısına, uğramış olduğu manevi zararın sözleşmede belirtilen miktarı aştığını ispat etme ve aşan kısmı da borçludan talep etme imkânının tanınması yerinde olur8. Anahtar Kelimeler: Gizlilik sözleşmesi, kişisel veri, manevi tazminat, götürü tazminat anlaşması. 7 Akman 115; Başalp 294. 8 Aynı görüşte bkz. KAPANCI 668. 300 12-14 Kasım 2021 KİŞİSEL VERİLERİ KORUMA KONGRESİ I. ULUSLARARASI Bilgi Çağında İlgili Kişinin Bilgi Alma Hakkı ve K.V.K.K. 2. ULUSLARARASI KİŞİSEL VERİLERİ KORUMA KONGRESİ Moral Compensation Clause In Confidentiality Agreement For The Protection Of Personal Data ABSTRACT Personal data is any information relating to an identified or identifiable natural person (Art. 3 /d of Personal Data Protection Law). The first element of personal data is information. The information constituting personal data may be concrete and objective, such as the height, weight, age and eye colour of the person, or abstract and subjective, such as the thoughts and beliefs of the person. Information may be confidential or public. With digitalisation, access to information has become quite easy. However, easy access to information is a risk for information that should remain confidential. With a confidentiality agreement, the parties aim to eliminate this risk. With a confidentiality agreement, the parties agree that the information subject to the contract is confidential and this information will not be shared with third parties. With this agreement, the person who discloses the confidential information authorises the other party to access the confidential information, provided that it is not shared with third parties. Violation of the confidentiality agreement may constitute an attack on personal rights. In accordance with article 14 of the Personal Data Protection Law No. 6698, “The right to compensation, under the general provisions, of those whose personal rights are violated, is reserved”. Article 58 of the Turkish Code of Obligations No. 6098 states that “The person who suffers from the damage to his right of personality may request that a certain amount of money be paid under the name of moral compensation for the moral damage he has suffered”. Confidentiality agreements also include provisions regarding moral damages to be paid in case of breach of the agreement. Liquidated damages are the pre- determination by the parties of the compensation to be paid by the debtor to compensate for the damage suffered by the creditor in case of breach of contractual obligations by the debtor. The transaction in which liquidated damages are agreed upon is called liquidated damages agreement. The moral compensation clause in the confidentiality agreement is also a liquidated damages agreement. However, it is controversial whether a liquidated damages agreement can be made regarding the moral compensation. The validity of the moral compensation clause in the confidentiality agreement should also be examined in terms of the legal nature and function of moral compensation, and the freedom of contract especially the protection of personality. There are several views to explain the legal nature and function of moral compensation. The main ones are the satisfaction view, the penalty view and the restitution view. Taking into consideration the restorative function of moral compensation, it is accepted that a liquidated damages compensation agreement can be made regarding moral compensation. However, it should be kept in mind that if the moral compensation clause in the confidentiality agreement limits the amount of compensation to be received, this clause may constitute a non-liability agreement. As a rule, a person can freely dispose of his/her assets and bear the financial losses he/she suffers. However, the values that constitute personal rights cannot be freely disposed of. Otherwise, such an agreement will be invalid because it exceeds the limits of freedom of contract. It is important to VagErIRe. İeULmLEeURnSİtLsKAaOrReRAnURoMAt ASnIoKnO-lNiaGbRiliEtySİagreements1a2t-1t4hKeassımam202e1 note that all liquidated damages KİŞİSEL 301 Bilgi Çağında İlgili Kişinin Bilgi Alma Hakkı ve BIRINCI UZUN ; Kişisel Verinin Korunmasına Yönelik Gizlilik Sözleşmesinde Manevi Tazminat Kaydı time. Therefore, it is not an appropriate solution to say that the moral compensation clause in the confidentiality agreement is completely invalid. Instead of declaring the moral compensation clause in the confidentiality agreement null and void, it would be appropriate to declare only the upper limit specified in the agreement as invalid and to give the compensation creditor the opportunity to prove that the moral damage suffered exceeds the amount specified in the agreement and to claim the excess amount from the debtor. Keywords: confidentiality agreement, personal data, compensation for non-material damage, liquidated damages clause. 302 12-14 Kasım 2021 KİŞİSEL VERİLERİ KORUMA KONGRESİ I. ULUSLARARASI Bilgi Çağında İlgili Kişinin Bilgi Alma Hakkı ve K.V.K.K. 2. ULUSLARARASI KİŞİSEL VERİLERİ KORUMA KONGRESİ KAYNAKÇA Akman, Galip Sermet. Sorumsuzluk Anlaşması. İstanbul, Sulhi Garan Matbaası, 1976. Aksoy, Hüseyin Can. Kişisel Verilerin Korunması. Ankara, Çakmak, 2010. Başalp, Nilgün. Sorumsuzluk Anlaşmaları, İstanbul, On İki Levha, 2011. Benjamin, Peter. “Penalties, Liquiated Damages and Penal Clauses in Commercial Contracts: A Comparative Study of English and Continental Law”. International and Comaparative Law Quarterly, vol. 9, no. 4, 1960, pp. 600-627. Birinci Uzun, Tuba. Götürü Tazminat. Ankara, Yetkin, 2015. Brightman, Alvin C. “Liquidated Damages”. Columbia Law Review, vol. 25, no. 3, 1925, pp. 277-304. Erdem, Mehmet. “Tazminatın Götürü Olarak Belirlenmesi”. Gazi Üniversitesi Sorumluluk ve Tazminat Hukuku Sempozyumu (28-29 Mayıs 2009), Ankara, 2009, ss. 97-123. Gitmez, Emin. “Bulut Bilişimde Gizlilik Sözleşmesi”. Selçuk Üniversitesi Hukuk Fakültesi Dergisi, c. 31, s. 2, 2023, ss. 629-663. Hess, Claus. Die Vertragsstrafe, Ein unbekanntes Mittel privater Genugtuung, Berlin, Duncker und Humblot, 1993. Kapancı, Berk. “Götürü Tazminat Anlaşması ve Bunun Ceza Koşulundan Ayırt Edilmesi”. Prof. Dr. Mustafa Dural’a Armağan, Filiz, İstanbul, 2013, ss. 655-683. McCormick, Charles T. “Liquidated Damages”. Virginia Law Review, vol. 17, no. 2, 1930, pp. 103-128. Oertli, Theres. Der vertraglich pauschalierte Schadenersatz: unter Berücksichtigung der Abgrenzung zur Konventionalstrafe. Luzern, Diss, 2004. I. ULUSLARARASI 12-14 Kasım 2021 KİŞİSEL VERİLERİ KORUMA KONGRESİ 303 Bilgi Çağında İlgili Kişinin Bilgi Alma Hakkı ve Bilgi Çağında İlgili Kişinin Bilgi Alma Hakkı ve 304 KİŞİSEL VERİLERİ KORUMA KONGRESİ 12-14 Kasım 2021 I. ULUSLARARASI 2I.. UULLUUSLARARASI 16 1-21-174KKaassımım 2200231 KİŞİSEL VERİLERİ KORUMA KONGRESİ KişiBseilgVieÇrialeğrıinndKa oİlrguinlimKaisşıinBiankBımilgıni dAalmn Ka aHreakkokdı lvueÇek Ufuk TEKİN1* Ticari Sır Çatışması ÖŞeZhrEibTan İpek Aşıkoğlu* YÖaZtırım Ortamının İyileştirilmesi Amacıyla Bazı Kanunlarda Değişiklik Yapılmasına u7gDtzGeee8nüdark0sinaeâur.krürimKvtmkliaeğaazürindbaiznuidudfecnaleekiu’dsuratiieonnnktldeeiıa(nldkerl6ıanih7ldkcome2ierl8hboiğaşaajisştişznailairleykkma4rı.alrili,aıİğitsblelKaaıeünrvaygadetniefütadıuetknieinnkldtve,)lkaer1eainerny7giken,0vö,nnı.esçermthdeeisüölkrnaekmridenndmldeüeskeesrnesiötcrneieziyüdkilnilnekserutao.nTemnBnerüanunuaryeskreiu2tait.Tds,kıhfeüiiıcüviçkilalrkererbiaümeokhmtiyaıilzKreudületaaeçrklneuegoötukediynnmluaaiguşzl3döa’eınedrccnnuüaıaltnklaeteiül2rçknı,kle(nayTreodramtTıliipnoğmeKaıjesniyer)i, egleletirrimndişe obludluuğnuanbçilegki ivlee çaelkgıheilseabiınssaahnilbarinı egevreidbeu bçeırkaikdmüazketnaldeıyre. nGleerreçeilkiştkenindveerbilielrgei kçaağreınkdoad abrüaycüılkığıvyelariehriaşcimims,ahğlıazyvabeilçeecşeiğtliibkelöizrteillleirkelke,rikyalreekaondılmileaçketak hveesadbeıvsabhiirbibyealldeka coilraarnaktaçnaınlışrıırzkaesnı a;raaynnmı zaakmsızaınndüaçiünnsacnü khiaşyilaetrıinnınerhieşirmnionketasusınnudlaaceatkkivseinriilgerössıtrearlmanemkteışdtıirr.. YBiinlgei,aybneıllheükkvmeeaelkglıe,niennsa3n.lfıığkırnadvaarbliırğıönndcaenkiitfiıbkarraedna shöezrüzeadmilaenn ivlegriilçeerekiucliaşbıilrmkaosınnuı soalmğlauyşatucra.k İknasraenkloığdınokbuetmlleakveübzielrgiinpeayalnalşaımmlsainsdteımrminae,ç4a.bfaılkarraıdasüirseerkkaerne,kotedkunnotloanjiınminı vyeariaçtemriıkşleorlidiuleğububmu addedvenbienlleuğyignulçaanlmışmasaınparielnişskibini,ussounluvçe veseasvleariınüTreitcmareetsBisatekmaninlıiğnı ialnelHaşaızlminaesMı isüestveeşrairsliığişılneınnemn iülşgtielirekkişeinleçrıekbarirachağkıotelabrlaiğkletebseislierldeinlmecieşğtiirn. eKyişeirsveel rvielmrilieştrirn. BkourudnümzeanslıemalaenleırnldeaKbainreuynl’uerneytüesriüsrelüdğilemgiişrmhaeksilnardevne kvıesrai süoreumönlucleakriındaöngemtirdilemiihştioylaarni byiürkşüemkillüdleüukylegru, lbainreaygelelerinnkkairşeikseoldv, eçreikleinrinzokrournulnumuanssıuarlarnıınnddankibtiermi healliennestgreütmirailnmlaişrıvneı 1o.l1u2şt.2u0rm16aktataridhıirn. dBeinresyolnerrea btaannıknamlaışrcoalçaenkhhaekslaabrı, sialghiilpi lekriişniyeekavreerkioidşlevme seerfiaanluiymeatirnaisnı ihçuekrmukeayeunygçuenklyuağpurnauğıdveenreitlleemmeeyevceeğkii,ş3is1e.l12v.e2r0il1e6ritaürziehriinnddeenkiöknocnetbroalsüıladnevçaemkleirmdekâisneı bvuerumneskutreldairrı[n1].aKrainşimsealyvaecraiğleırhinükkmoreubnmağalasnı meışvtzıru(abtıkkz.apTsTaKm’ıynad6a7b2i8lgsi. aKlmanauhnamkk.ı7, 2veilrei esokrleunmelnusGuneçaicgietMirialdmdieş o11la)n. Kayadnıunnla’utmn abayşülıkğüınmalüvleüğgüenveel iglgeirleikkçieşsiiyneetebsaiksıelddıiğlmınidşao, lbaun dkieşğiisşeilkvliekrlielreirne yearitşırimımhoarktkaımkıanpısiaymileınştdiraminecsei,leknaerşbıillıekcseızktçier[k2].sayısındaki artış sebebiyle çeklere karşı azalan güvenin artırılması ile karşılıksız çeklerin engellenmesi amaçlarına hKiizşmiseetl evtetriğiliearninlahşuılkmuakkitbaodyıru5t.uGkeirşçielikktehna,kçkeık, müzüelrkiinydeet yveerfaiklmriamsıüglekrieykeetntekoarrielekroida,ltTınTdKa mtar.t7ış8ı0lı/r3k’eten[b3]a;hvseirgi eişçleenmseismteemtoetloakrıuvtuelbduğaulannddaabgueliişşlteimrilimgieşrçoelkanleaştligroernitkmişail,açreiksehteiscaabriı hsaahyiabtitavöenbeumçleikbiirdrüezkeanbletyaerialcişıkoilnarbaikrtdaekğımerlveenrdilierirlemeerkiştmedeikr. Ysuerneitieykloenboumkiinşinleyrianpımtaaşlıi odluarnuvmeurihdaeknkeındoapftikmirasladhüizbeiyodlaebyilaercaerklatinrm. Bauaumygauçlaı myoağnuın,ykaatrışrılmıklsaırzınçeykaleprıildeınğgıedlliejimtael damünaycaında, hailzgmoreittmedaelacreığni vaeçıkvteır.i Bişulenmunelambeitroltilkatreı,nıTnTkKormun.m78as0ı/,2’tdaecisrlaeyrılabnakvımerıinledrain bçeükyühkesöanbeı msahtaibşiımyakdtaadıcr.iraBnutankaınps“armızdaası daarankimşiaskeslızvıenr”isüi çiüşnlecnüenkişkiilşeirninin eörizşeilmliiknle osutonmulaatcikakkoalrmarasmı,ebkuanviezrmilearlianrıönzınellçikalıeşgmearçpekreknisşiibleinree6 ialitşkoilnmabsiılgihi taimlmaalinhdake,kkı oinleunvuerni skoişriusmellvuesruilneurninfkikorriumnmülkasiyı hetuhkaukkluarbıavkeımticınadriasnırdlareılneınalkınomruansmınaısgıearreakstıinrmdaekkiteddeinrg7.eİnşitne çsaağlılşamnmamasızıdbairTpTroKb’dleam67o2la8raskaykılaırşKımanıuzan’çlaıkymapakıltaandıdr.eğişiklikler hakkında kısaca bilgi verildikten sonra karekodlu çek uygulaması hakkında gerekli açıklamalar yapılacak ve T* Deokçn. Dorl.o, Ejsikkişeghier lOişsmmaneglaezri ÜınşivığerısnitedsiaHukkaunk uFankülkteosiyTuiccaruetlaHruıknukuarAtnaanbilişmeDffaalıf,luıtkekinb@eokultelonokti.csoimn.etr, 0t0e0z0a- t b00i0r1-ş7e82k3i-l1d45e6.veri sorumluları, büyük veri uygulamalarının çalışma prensiplerine ilişkin 1 RG, 9.8.2016, S. 29796. 2 RG, 14.2.2011, S. 27846. 3S*DöŞBazelilıhlü,irşkİiisbm“taaK,nnaybİrapueykelıkomÜdAcn”ı,işlv1ııkke.1,ros0eği.ğtl2eui0ts,i2imA3S.roavİsnşbytg.ıariallmilzBaacnieGlldaimröedkrleaeivrkvlEaiesrrnişisılİletsıirğttiaüınnsQübguuiÖzilclzeÜkennlRdiHievğseuiprkoksuinatkreseesDiv(oHHekyuıtazoklrıudakCikPeFdrvaöoakrgptür)galetsmenösızibc,ÖiüAçğkivrmlreeunrinpicndaiisenBi sibirmalişğghiea,HrTfulDekruKiknudGeAünnnocaelbulişlTiamünrQkçRe Code olan bu Türkçe karşılık, hem fonetik olarak “QR” kısaltmasıyla hem de kodların “kare” şekli sebebiyle oldukça isabetlidir. 4[1Ç]aMlışemsaumt Çızıenkkino,nAusvurusepbaebBiiyrlleiğhiükHmuekuekklueynleanMseuriknauymesaerlaisOınlaairliaşkkin66k9ıs8ımSabyilıilnıçKliioşliasrealkVkearpisleamrindıKşıonrduanbmıraaskıılKmaışntıur.nu, 5B6iTO[FPl2eiüYrlBşc]okotakuaçirttBinkeıeinvrd,ciKıe2lUimTtrg,oi0ifToilmu1“OenKakWr8irlis:,Rntmmy“ahsKoemba..yngii85şıurhuni4a8saltRıeaünkvlRatzdkiVpİeoi.yıolegninhrrlkhıei”üun”itş,şk,tKiTIüietyrnoamerBivitlmMşearlEeiairmterMxmnisopnaiılhDenltAmai,aıoömnnatknniaskcTaıeatacıiimhlnrcıoyiaaDd:nlrlsa2aieaın6nrtoBtdr,ŞafaıaYenizryaPAıkkskrKroeauıoitrmatvrlouoenuaalmrmudnciYnuamyBaılğltaaKLaıeu:krsiadd1ıınşmnwa,iasaSD,eıDnıil2ireleldaiVi0cğşşaSei1kiknsşrai7iiiinyDnkol,eılsnüsdirbık.i-şü:knMü14Yzzne06Ka.and4p-okS,ül1ırelisar9mumn.dn.n7gaüedm;slkreıkDlanareeesarzoWıiaeDy,KaÇsbaaahkcainNurzhnu.ttKkone6gaat7rueyn,2’naEnuB8eaÜnxlrsinge.hTsöKinütavrtsakeeianrüMnrsdumıisentitıetğlhetsm(ieeril1,elH./sh7G7gtua2a0öekk8’drinus)netıke,izoglrLeFearlmaeruPlkekclaküaaDilçnblaıtdaeenevsıttsoraieei,. bD7H[3uKeü]lres2gnİe0ildsyg2iii,i3gnlC,eilsC.et.5an2a,r,9ntSA4ı.Aş,b1mpuk,.Nzas6eoli3arsy/5ra,K.niKıçr2cii0şna2i,s0bİe,sklmsz.VaK.3ei1lEr:İ3ilKŞl6ie.fıİrySiKmnEüeKtLzleiocErViuv,ErnaKmIRki.aşHİUisLsuıe,LkElAuURVknueSkİ,rLaiGKrlAeaeOr,nRiÇenRlAaEKUksRmoaMsrAaluakASrn,mYIKKaaaymsOıın,bNeiAyvGoni,kSR2ean0Erae1St,0leİT,rusi,.rOh8an5ni.kiKLietavbhaevY1ia2,y-12ın40cK1ıl8aıks,ı,msİ.s2t60an221-; 30251 Bilgi Çağında İlgili Kişinin Bilgi Alma Hakkı ve TEKİN ; Kişisel Verilerin Korunması Bakımından Karekodlu Çek bu çeklerdeki karekodun okutulmasıyla başkalarının paylaşımına açılan verilerin kişisel verilerin korunması hukuku karşısında durumu değerlendirilecektir. Anahtar Kelimeler: Çek, Karekod, Kişisel Verilerin Korunması. 306 12-14 Kasım 2021 KİŞİSEL VERİLERİ KORUMA KONGRESİ I. ULUSLARARASI Bilgi Çağında İlgili Kişinin Bilgi Alma Hakkı ve K.V.K.K. 2. ULUSLARARASI KİŞİSEL VERİLERİ KORUMA KONGRESİ Cheque With QR Code In Terms Of Protection Of Personal Data ABSTRACT Article 780 of the Turkish Commercial Code (TCC) was amended by Article 70 of the Code Amending Certain Codes to Improve the Investment Environment (No. 6728), stating that the cheque must contain the serial number and QR code supplied by the bank in addition to the other elements stipulated in the art. 780 of TCC. Furthermore, with paragraph 2 added to the same provision, it is stated that the cheque creditors may access the data regarding the cheque in their possession, the cheque account holder and the issuers of this cheque through the QR code, and the data to be made available to third parties through the QR code without the consent of the cheque account holder or endorser are listed. Paragraph 3 added to the same provision stipulates that the QR code scanning and information sharing system that will enable access to the data mentioned in the previous paragraph, and paragraph 4 states that the definition and content of the QR code and the procedures and principles regarding the implementation of this article will be determined by the communiqué to be issued jointly by the Ministry of Trade and the Undersecretariat of Treasury. With these regulations, the QR code, which was applied on a voluntary basis shortly before the entry into force of the Code, has been made one of the mandatory elements of the cheque, and it has been regulated that after 1.12.2016, banks shall not provide cheque account holders with cheque sheets that do not contain the QR code and serial number elements, and that these elements shall not be required for cheques issued before 31.12.2016 (see Provisional Article 11 added to the TCC by Article 72 of Code No. 6728). Considering the title and general preamble of the Code, it is understood that these amendments serve the purposes of improving the investment environment, increasing the confidence in cheques due to the increase in the number of bounced cheques, and preventing bounced cheques. Indeed, when the QR code on the cheque is scanned into the system mentioned in Article 780/3 of the TCC, the person who performs this transaction will be able to have an idea about the financial status of the cheque account holder and the issuer of the cheque by accessing certain data. Considering the title and general preamble of the Code, it is understood that these amendments serve the purposes of improving the investment environment, increasing the confidence in cheques due to the increase in the number of bounced cheques, and preventing bounced cheques . Indeed, when the QR code on the cheque is scanned into the system mentioned in Article 780/3 of the TCC, the person who performs this transaction will be able to have an idea about the financial status of the cheque account holder and the issuer of the cheque by accessing certain data. It is clear that this practice will serve the purpose of preventing bounced cheques. However, the fact that the data listed in Article 780/2 of the TCC will be made available to third parties “without seeking the consent” of the cheque account holder or endorser requires the issue to be addressed in terms of personal data protection law, especially in the possibility that these data belong to natural persons. In this study, after providing brief information on the amendments made to the TCC by Code No. 6728, necessary explanations will be made about the application of cheques with QR code, and the status of the data made available to others by scanning the QR code on these cheques will be evaluated against the law on the protection of personal data. I. ULUSLARARASI 12-14 Kasım 2021 Keywords: Cheque, QRKCİoŞdİSe,EPLeVrsEoRnaİLl DERatİaKPOrRotUecMtiAonK. ONGRESİ 307 Bilgi Çağında İlgili Kişinin Bilgi Alma Hakkı ve Bilgi Çağında İlgili Kişinin Bilgi Alma Hakkı ve TEKİN ; Kişisel Verilerin Korunması Bakımından Karekodlu ÇekKİŞİSEL VERİLERİ KORUMA KONGRESİ12-14 Kasım 2021 I. ULUSLARARASI 308 I. ULUSLARARASI 12-14 Kasım 2021 KİŞİSEL VERİLERİ KORUMA KONGRESİ 309 Bilgi Çağında İlgili Kişinin Bilgi Alma Hakkı ve Bilgi Çağında İlgili Kişinin Bilgi Alma Hakkı ve 310 KİŞİSEL VERİLERİ KORUMA KONGRESİ 12-14 Kasım 2021 I. ULUSLARARASI