Kişisel Verilerin Korunmasından Doğan Hukuki Sorumluluk

×

Öncelikle belirtmek gerekir ki kişisel verileri koruma yükümlülüğünün süjesi Devlet’tir. Devlet, bu yükümlülüğünü, Anayasa’nın 20. maddesinde sözü edilen Kanunu hazırlayıp yürürlüğe koymak ve uygulamak yoluyla yerine getirmektedir. Söz konusu Kanun, 7 Nisan 2016 tarihli Resmî Gazete’de yayımlanarak çoğu maddesi yayımı tarihinde yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu’dur. Kanun’un amacı, 1. maddesinde, “kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek” olarak açıklanmıştır.

Kişisel Verilerin Korunması Kanunu ile verilen görevleri yerine getirmek üzere, idari ve mali özerkliğe sahip olan bir kamu tüzel kişiliği olan Kişisel Verileri Koruma Kurumu kurulmuştur. Bu kurumun karar organı ise, Kişisel Verileri Koruma Kuruludur. Kurulun görev ve yetkileri Kanun’un 22. maddesinde sayılmakla birlikte bazılarını şu şekilde sıralayabiliriz.

• Kişisel verilerin, temel hak ve özgürlüklere uygun şekilde işlenmesini sağlamak (m. 22.a)
• Kişisel verilerle ilgili haklarının ihlâl edildiğini ileri sürenlerin şikâyetlerini karara bağlamak (m. 22.b)
• Şikâyet üzerine veya ihlâl iddiasını öğrenmesi durumunda resen görev alanına giren konularda kişisel verilerin kanunlara uygun olarak işlenip işlenmediğini incelemek ve gerektiğinde bu konuda geçici önlemler almak (m. 22.c)
• Özel nitelikli kişisel verilerin işlenmesi için aranan yeterli önlemleri belirlemek (m. 22.ç)
• Veri güvenliğine ilişkin yükümlülükleri belirlemek amacıyla düzenleyici işlem yapmak (m. 22.f)
• Veri sorumlusunun ve veri sorumlusu temsilcisinin görev, yetki ve sorumluluklarına ilişkin düzenleyici işlem yapmak (m. 22.g)
• Kişisel Verilerin Korunması Kanunu’nda öngörülen idari yaptırımlara karar vermek (m. 22.ğ)

Kişisel verileri koruma yükümlülüğünün süjesi Devlet olsa da söz konusu verileri korumak ve yönetmekle yükümlü olan gerçek veya tüzel kişiler de mevcuttur. Bu kişiler, Kanun’un deyimiyle “veri sorumluları” ve “veri işleyenler”dir. Kişisel Verilerin Korunması Kanunu’nun 3. maddesinde veri sorumlusu ve veri işleyen tanımlanmıştır. Buna göre, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi veri sorumlusu; veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiye de veri işleyen denmektedir. Veri sorumluları ve veri işleyenler, kişisel verileri işlerken gerek Kişisel Verilerin Korunması Kanunu’nda gerekse diğer Kanunlarda öngörülen usul ve esaslara uygun davranmak zorundadırlar.

Yükümlülük İhlâlinin Yaptırımı

Veri sorumlularının ve veri işleyenlerin yükümlülüklerini ihlâl etmeleri veya yetkilerinin sınırlarını aşmaları durumunda fiilleri suç teşkil ediyorsa Türk Ceza Kanunu’nun 135-140. maddeleri uygulanmaktadır. (KVKK m. 17). Kişisel Verilerin Korunması Kanunu’nda öngörülen bazı yükümlülüklerin, veri sorumlusu olan gerçek kişiler ile özel hukuk tüzel kişileri tarafından ihlâli hâlinde, bu kişilere idari para cezası öngörülmüştür. Bu tür yükümlülük ihlâllerinin, kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları bünyesinde işlenmesi hâlinde, memurlar ve diğer kamu görevlileri ile kamu kurumu niteliğindeki meslek kuruluşlarında görev yapanlar hakkında disiplin hükümlerine göre işlem yapılmaktadır. (KVKK m. 18). Söz konusu yaptırımların, yükümlülük ihlâlinin kişisel verisinin işlenmesi sırasında gerçekleşmiş olduğu kişi bakımından çok da etkili bir sonuç doğurduğu ne yazık ki söylenemeyecektir. Kişisel verisinin işlenmesi ile ilgili bir yükümlülüğün ihlâlinden zarar gören kişinin, bu zarara sebep olanların hukuki sorumluluğuna başvurabilmesi, ilgili kişi açısından daha etkili olacaktır. İlgili kişinin zararını tazmin ettirebilmesinin hangi esasa dayanarak, hangi koşullar altında ve kapsamda mümkün olduğu aşağıda detaylı olarak irdelenmiştir.

II. Kişisel Verilerin Korunmasına İlişkin Hukuki Sorumluluk

A. Avrupa Birliği Düzenlemelerindeki Durum

Avrupa Birliği’nin 24 Ekim 1995 tarihli, Kişisel Verilerin İşlenmesi Bakımından Gerçek Kişilerin Korunmasına ve Serbest Veri Akışına İlişkin 95/46 numaralı Direktifi, “sorumluluk” başlıklı 23. maddesinde konuyu şu şekilde hükme bağlamıştır: “(1) Üye Devletler, hukuka aykırı bir işleme nedeniyle veya münferit Devletlerin bu direktifin uygulanmasına ilişkin olarak öngörmüş olduğu hükümlerle bağdaşmayan faaliyetler nedeniyle zarar gören kişilerin, veri işleme sorumlularından tazminat talep edebilme hakları bulunduğunu, hükme bağlarlar. (2) Veri işleme sorumlusu, zararı doğuran durumun kendisine yüklenemeyeceğini ispatlayabilirse, kısmen veya tamamen sorumluluktan kurtulabilir.”

Avrupa Parlamentosu işbu hususu 27 Nisan 2016 tarihinde kabul ettiği ve 4 Mayıs 2016 tarihinde Avrupa Birliğinin Resmî Gazetesinde yayımlanan bir tüzükle yeniden düzenlemiş bulunmaktadır. Kişisel Verilerin İşlenmesi Bakımından Gerçek Kişilerin Korunmasına, Serbest Veri Akışına ve 95/46 numaralı Direktifin Kaldırılmasına İlişkin Tüzük, Avrupa Birliğinin Veri Korumaya İlişkin Temel Düzenlemesi olarak da nitelendirilmektedir.

Tüzüğün 82. maddesi, “Sorumluluk ve Zararının Tazminini İsteme Hakkı” başlığını taşımaktadır. Altı fıkradan oluşan ve son fıkrası yetkili mahkemeye ilişkin bulunan bu hükmün ilk beş fıkrası aşağıda yer almaktadır:

1. Bu Tüzüğe aykırılık nedeniyle maddi veya manevi zarar gören herkes, veri sorumlularından veya vekâleten veri işleyenlerden zararlarının tazminini isteme hakkına sahiptir.
2. Bir veri işleme eylemine katılan her veri sorumlusu, bu Tüzüğe uygun olmayan işlemenin yol açtığı zarardan sorumludur. Vekâleten veri işleyen bir kişi, işlemenin yol açtığı bir zarardan ancak, özel olarak vekâleten veri işleyenlere bu Tüzükle getirilmiş olan bir yükümlülüğünü ihlâl etmiş ise veya veri sorumlusunun veri işleme için hukuka uygun olarak verdiği talimatlarına uygun davranmamış veya bu talimatlara aykırı hareket etmiş ise sorumlu olur.
3. Veri sorumlusu veya vekâleten veri işleyen kişi, 2. fıkra kapsamındaki sorumluluktan, zararı doğuran duruma hiçbir şekilde sebep olmadığını kanıtlayarak kurtulabilir.
4. Birden fazla veri sorumlusu veya birden fazla vekâleten veri işleyen ya da hem bir veri sorumlusu hem de bir vekâleten veri işleyen, aynı veri işleme eylemine katılmış ise ve 2. ve 3. fıkralar çerçevesinde işlemenin yol açtığı zarardan sorumlu ise, ilgili kişiye daha etkili bir tazminat talebi sağlanabilmesi amacıyla, her bir veri sorumlusu veya her bir vekâleten veri işleyen, tüm zarardan sorumlu tutulur.
5. Bir veri sorumlusu veya vekâleten veri işleyen, 4. fıkra çerçevesinde, uğranan zararın tümü için tazminat ödemiş ise, bu veri sorumlusu ya da veri işleyen, aynı veri işleme eylemine katılan veri işleme için diğer veri sorumlularından veya vekâleten veri işleyenlerden, tazminatın 2. fıkrada belirlenen koşullar çerçevesinde, zarardan sorumluluk bakımından kendilerine düşen paya uygun olan kısmını isteyebilir.”

B. Ülkemizdeki Durum

Kişisel Verilerin Korunması Kanunu’muzun, kişisel verilerin hukuka aykırı olarak işlenmesinden doğacak zararlardan sorumluluk bakımından özel bir madde içermemekle beraber gerek Avrupa Birliği düzenlemesinden gerek Alman Veri Koruma Yasasından farklı olduğu söylenebilir.

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun “Haklar ve Yükümlülükler” başlıklı üçüncü bölümünün “ilgili kişinin hakları” başlıklı 11. maddesinin son bendine göre, “herkes, veri sorumlusuna başvurarak kendisiyle ilgili kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme haklarına sahiptir”. Kanunun “Kurula şikâyet” başlıklı 14. maddesinin üçüncü fıkrasına göre de “kişilik hakları ihlâl edilenlerin, genel hükümlere göre tazminat hakkı saklıdır”. 14. maddede sözü edilen genel hükümler, 4721 sayılı Türk Medeni Kanunu’nun 24. ve 25. maddeleri ile 6098 sayılı Türk Borçlar Kanunu’nun 53, 54, 56 ve 58. maddeleridir.

Türk Medeni Kanunu’nun 24. maddesine göre, hukuka aykırı olarak kişilik hakkına saldırılan kimse, hâkimden, saldırıda bulunanlara karşı korunmasını isteyebilir. Bu koruma dava yoluyla istenebilecektir. Kişilik hakkına saldırı hâlinde açılabilecek davalar arasında, maddî ve manevî tazminat davaları da yer alır. (TMK m. 25)

Ölüm hâlinde tazmin edilmesi gereken maddi zarar kalemleri; cenaze giderleri, ölüm hemen gerçekleşmemişse tedavi giderleri ile çalışma gücünün azalmasından ya da yitirilmesinden doğan kayıplar, ölenin desteğinden yoksun kalan kişilerin bu sebeple uğradıkları kayıplardır (TBK m. 53). Bedensel zarar doğması hâlinde tazmin edilmesi gereken maddi zarar kalemleri ise; tedavi giderleri, kazanç kaybı, çalışma gücünün azalmasından ya da yitirilmesinden doğan kayıplar ve ekonomik geleceğin sarsılmasından doğan kayıplardır. (TBK m. 54)

Hâkim, bir kimsenin bedensel bütünlüğünün zedelenmesi durumunda, olayın özelliklerini göz önünde tutarak, zarar görene uygun bir miktar paranın manevi tazminat olarak ödenmesine karar verebilir. Ağır bedensel zarar veya ölüm hâlinde, zarar görenin veya ölenin yakınlarına da manevi tazminat olarak uygun bir miktar paranın ödenmesine karar verilebilir (TBK m. 56). Kişilik hakkının zedelenmesinden zarar gören, uğradığı manevi zarara karşılık manevi tazminat adı altında bir miktar para ödenmesini isteyebilir. Hâkim, bu tazminatın ödenmesi yerine, diğer bir giderim biçimi kararlaştırabilir veya bu tazminata ekleyebilir; özellikle saldırıyı kınayan bir karar verebilir ve bu kararın yayımlanmasına hükmedebilir (TBK m. 58). Ortaya çıkan zarar, ilgilinin kişisel değerlerinin değil de malvarlığına ilişkin değerlerinin eksilmesi biçiminde oluşmuşsa, zarar görenin mülkiyet veya zilyetlik gibi temel koruma normları tarafından korunan hukuki değerlerinden biri ihlâl edilmiş olmasa da maddi zararın tazmini mümkündür.

Zira Kişisel Verilerin Korunması Kanunu, zarar görenin malvarlığını da korumaya yönelik özel bir koruma normu olarak değerlendirilebilir. Dolayısıyla verilerinin hukuka aykırı olarak işlenmesi veya korunamaması nedeniyle müşteri kaybeden veya iş fırsatlarını kaçıran ilgi kişiler, yoksun kaldıkları zararlarının tazminini de isteyebilirler; nitekim söz konusu eylem Borçlar Kanunu’nun 49. maddesinin birinci fıkrası anlamında haksız fiil oluşturmaktadır. Mesele şu ki, Hukukumuzda haksız fiil sorumluluğu kural olarak failin kusuruna bağlanmış bulunmaktadır. Kişisel Verilerin Korunması Kanunu’nun sorumluluk konusunda özel hüküm öngörmemiş olması, bu alanda kusur sorumluluğu ile yetinilmesi gerektiği düşüncesini akla getirmektedir.

Veri sorumlularının kamusal otoriteler olması durumunda idarenin sorumluluğu da gündeme gelebilecektir çünkü bir hizmet kusurunun varlığından söz edilebilecektir. Zira veri işleme sırasında ortaya çıkan bir aksaklık, kamu hizmetinin yerine getirilmesinde hizmet kusuru sayılır ve idarenin sorumluluğunu doğurmaktadır. Söz konusu aksaklığa bizzat yol açan kamu görevlisinin kusuru olsa da olmasa da idare, doğan zararı tazmin etmek zorunda kalır ve ancak kusuru varsa kamu görevlisine rücu edebilecektir.

Veri sorumlularının özel kişiler olması durumunda ise hizmet kusuru kavramının varlığı ile yetinilmeyip veri sorumlusu veya veri işleyenin kasten veya ihmal ile zarara yol açmış olmasını aramak gerekir. Verilerin özellikle de dijital ortamda işlenmesi, çoğu zaman veri sorumlusunun kusuru dışında sızıntılara yol açabilecek, bazen de veri sorumlusunun kusurlu olduğu kanıtlanamayacaktır. Oysa veri sorumlusunun verileri işlemesinin zarara yol açtığı, yani nedensellik bağı, kolaylıkla kanıtlanabilecektir. Dijital ortamda çalışarak çok sayıda veriyi kolaylıkla toplama, saklama, analiz etme olanaklarına sahip olan veri sorumlularının, verileri bu ortamda uygun şekilde koruyamama riskini de üstlenmiş sayılmaları hakkaniyet ilkesinin bir gereğidir ancak Kişisel Verilerin Korunması Kanunu’nda bu yönde bir açıklık bulunmamaktadır.

Kusur sorumluluğuna ilişkin hükümlerin kişisel verilerin korunmasındaki yetersizliği hâllerinde tehlike sorumluluğuna ilişkin genel hükmün uygulanabileceği kabul edilse bile; dikkat edilmesi gereken bir başka husus daha vardır. O da veri sorumluları veya veri işleyenlerin fiillerinin, çoğu zaman zarar doğurmaya tek başına elverişli olmayacağı gerçeğidir. Kişisel verilerin deşifre olması, tek başına ölüme, bedensel bütünlüğün bozulmasına, başkaca bir kişisel değerin zedelenmesine ya da malvarlığına ilişkin bir kayba yol açmaz. Bu verilerin her biri sır olarak nitelendirilmeye de elverişli olmadıkları için bunların başlı başına ifşalarını, kişisel veri ihlâli olarak değerlendirmek isabetli olmayacaktır. Kişisel verilerin hukuka aykırı olarak işlenmeleri, çoğu zaman ancak bir başkasının davranışı ile birleşerek zarara yol açabilir. Örneğin, bir veri sorumlusunun tamamen alakasız 3. bir kişiyi sehven kredi alamayacak müşteriler listesine kaydetmesi ya da sisteminde oluşan bir arıza yüzünden yanlış listede görünmesi sonucu hiçbir bankadan kredi alamamamıza sebep olabileceği gibi ilgili kişinin bu yüzden uğradığı zarar, kusurlu ya da kusursuz tek başına veri sorumlusunun davranışından kaynaklanmaktadır.

III. Sonuç

Veri sorumlularının hukuki sorumluluğu, Kişisel Verilerin Korunması Kanunu’nun 11. maddesinin son bendinde ve 14. maddesinde, genel olarak hükme bağlanmıştır. Kanun’un 14. maddesi, kişilik hakkı ihlâlleri bakımından genel hükümlere atıf içermektedir. Ortaya çıkan zarar, ilgilinin kişisel değerlerinin değil de malvarlığı değerlerinin eksilmesi biçiminde oluşmuşsa, zarar görenin mülkiyet veya zilyetlik gibi temel koruma normları tarafından korunan hukuki değerlerinden biri ihlâl edilmiş olmasa da maddi zararın tazmini mümkündür.

Zira 6698 sayılı Kişisel Verilerin Korunması Kanunu, zarar görenin malvarlığını da korumaya yönelik özel bir koruma normu olarak değerlendirilebilir. Hukukumuzda haksız fiil sorumluluğu kural olarak failin kusuruna bağlanmış bulunmaktadır. Kişisel Verilerin Korunması Kanunu’nun sorumluluk konusunda özel hüküm öngörmemiş olması, bu alanda kusur sorumluluğu ile yetinilmesi gerektiği düşüncesini akla getirmektedir. Veri sorumlularının kamusal otoriteler olması durumunda idarenin sorumluluğu gündeme gelebilecektir ancak veri sorumlularının özel kişiler olması durumunda, idarenin sorumluluğu bakımından geçerli olan hizmet kusuru kavramının varlığı ile yetinilmeyip veri sorumlusu veya veri işleyenin kasten veya ihmal ile zarara yol açmış olmasını aramak gerekir.

Verilerin özellikle de dijital ortamda işlenmesi, çoğu zaman veri sorumlusunun kusuru dışında sızıntılara yol açabilecek, bazen de veri sorumlusunun kusurlu olduğu kanıtlanamayacaktır. Oysa veri sorumlusunun davranışı ile zarar arasındaki nedensellik bağı kolaylıkla kanıtlanabilecektir. Kişisel verilerin hukuka aykırı olarak işlenmeleri, çoğu zaman ancak bir başkasının davranışı ile birleşerek zarara yol açabilir. Bu da veri sorumlusu ile bu kişinin zarar görene karşı müteselsil olarak sorumlu tutulmalarını gerektirecek; ama çoğu zaman veri sorumlusunun bu kişiye rücu etme olanağı bulunabilecektir. Bu durum, sorumluluğun tehlike esasına dayandırılmasının veri sorumlularını ağır bir yük altına da sokmayacağına işarettir.

Kaldı ki, veri sorumlularının bu tür zararlardan doğabilecek sorumluluğa karşı sigorta sözleşmesi kurmaları da imkân dâhilindedir. Dolayısıyla gerek kamu otoritelerinin gerekse veri işleyen veri sorumlularının idari ve teknik tedbirleri alma noktasında azami özen göstermeleri önem arz etmektedir.

Ek bilgiye ihtiyaç duymanız hâlinde bizimle iletişime geçiniz.