Konu: Alenileştirme Hakkında Kamuoyu Duyurusu
Tarih: 18/12/2020
Kişisel Verileri Koruma Kurulu (“Kurul”), 16.12.2020 tarihli Alenileştirme Hakkında Kamuoyu Duyurusu (‘’Duyuru’’) ile 07.04.2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (‘’KVKK’’) 5. maddesinde düzenlenen kişisel verilerin işleme şartlarından birisi olan ‘’ilgili kişinin kendisi tarafından alenileştirilmiş olması’’ şartını incelemiştir.
- GİRİŞ
KVKK’nın 5. maddesi, kişisel verilerin ilgili kişilerin açık rızası alınmadan işlenemeyeceğini kuralını düzenlemektedir. Maddenin 2. fıkrasında, madde de sıralanan bazı hallerde ilgili kişiden açık rıza alınmadan da kişisel verileri işlenebilmektedir. Bu hallerden birisi ise kişisel verilerin ilgili kişi tarafından alenileştirilmiş olmasıdır.
- KURUL’UN ALENİLEŞTİRME HUSUSUNDA ARADIĞI ŞARTLAR
Kurul, Duyuru ile aslında alenileştirme kavramından ne anlaşılması gerektiği hususuna açıklık getirmiştir. KVKK kapsamında alenileştirme daha dar yorumlanıp, ilgili kişinin kendisi tarafından kişisel verilerinin kamuoyuna duyurmasının yanında ilgili kişinin iradesi ve bu alenileştirme ile amacı da değerlendirilmelidir. Kurul’a göre KVKK’nın 5. Maddesinin 2. fıkrasının d bendi kapsamında alenileştirmenin kabul edilebilmesi için iki şart aramaktadır. Bunlardan ilki, kişisel verisinin aleni kılınmasını isteyen ilgili kişinin bu yönde açık bir iradesinin bulunmasıdır. Kurul burada, kişisel verinin herkesin erişime açık olması veya herkesin görebileceği bir yerde bulunmasını alenileştirme için yeterli görmeyip, bunun yanında kişisel verisini alenileştiren kişinin bu yöndeki irade beyanı ile bunu doğrulaması gerektiğini vurgulamaktadır.
İkinci şart ise, ilgili kişinin söz konusu kişisel verilerini hangi amaç kapsamında alenileştirdiğinin belirlenmesidir. Kurul, ilgili kişinin kişisel verilerini alenileştirmiş yani kamuoyu ile paylaşmış olması halinde veri sorumlularının sonsuz bir yetkiye sahip olmadıklarını, ilgili kişinin alenileştirme amacından farklı veya bu amacı aşacak bir şekilde kişisel verilerinin işlenmesini KVKK kapsamında ihlal olarak değerlendirmektedir. Kurul’un bu konuya ilişkin olarak, 07/11/2019 Tarihli ve 2019/331 Sayılı Karar’ında da belirttiği üzere; veri sorumlularının, kişilerin sosyal medyaları üzerinden elde ettikleri ad-soyad, e-posta, telefon numarası gibi kişisel verilerini reklam amacıyla işlemelerinin KVKK’nın 5. maddesinin 2. fıkrasının d bendine aykırılık teşkil edeceğine değinmiştir. Bunlara ek olarak, hukuka aykırı bir şekilde elde edilen verilere ilişkin olarak 5237 sayılı Türk Ceza Kanunu uyarınca cezai sorumlulukta gündeme gelmektedir.
General Data Protection Regulation (‘’GDPR’’) kapsamında ise kişisel verisi işlenen ilgili kişi tarafından yapılacak bir alenileştirme işleme şartı olarak düzenlenmemektedir. Ancak GDPR’ın sistematiğine bakıldığında, bazı maddelerde ilgili kişinin kendisi tarafından alenileştirme yapılabileceği düzenlenmektedir. Örneğin, GDPR’ın özel kategorilerdeki kişisel verilerin işlenmesine ilişkin olan 9. maddesinin 2. fıkrasının e bendi uyarınca; veri sahibi tarafından açıkça kamuya açıklanan kişisel verilerin işlenmesi yasak değildir.
- SONUÇ
Kurul, KVKK kapsamında alenileştirme kavramının ilgili kişinin kişisel verilerini kamuoyu ile paylaşmasından daha dar bir kavram olduğunu, ilgili kişinin iradesini ve alenileştirme amacının dışında veya alenileştirme amacını aşan bir şekilde veri sorumlusu tarafından işlenen kişisel verilerin KVKK’nın 5. maddesine aykırılık teşkil edeceğini belirtmiştir.
İşbu Bilgilendirme Notu, ele aldığı konuların genel bir bakışı olarak hazırlanmıştır. Burada sağlanan bilgiler yayınlandığı gün itibariyle doğrudur. Narter & Partners Hukuk Bürosu, bu yayının dayanarak alınan herhangi bir eylemden dolayı sorumlu tutulamaz.
Saygılarımla,
Av. Cenk NARTER