Türkiye Cumhuriyeti Anayasası’nın 38. maddesi uyarınca, kanuna aykırı olarak elde edilmiş bulguların delil olarak kabul edilemeyeceği düzenlenmiştir. Herhangi bir uyuşmazlıkta kişisel verilerin delil olarak kullanılması durumunda, kişisel verilerin hukuka uygun şekilde elde edilip edilmediğinin değerlendirilmesi gerekmektedir. Hukuka aykırı olarak elde edilen delillerin yargılamalar sırasında dinlenmemesi asıldır.
Hukuka Aykırı Elde Edilen Kişisel Verilerin Delil Olarak Kullanılması Hakkında Güncel Gelişmeler
Bilindiği üzere, kişisel verilerin korunması alanındaki temel düzenleme 6698 sayılı Kişisel Verilerin Korunması Kanunu’dur (“KVKK”). Dolayısıyla bir kişisel verinin hukuka uygun şekilde elde edilip edilmediğinin öncelikle KVKK kapsamında değerlendirilmesi gerekmektedir. KVKK’nın 28. maddesi uyarınca kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesinin KVKK’dan istisnadır. Dolayısıyla, KVKK hükümleri yargı makamları veya infaz mercileri açısından delillerin elde edilmesi bakımından uygulanmayacaktır.
KVKK’nın kişisel verilerin korunması alanını bütünüyle yeniden düzenlemeyi amaçlayan temel bir kanun olması nedeniyle, KVKK’da düzenlenen istisnaların dar şekilde yorumlanması gerekmektedir. Dolayısıyla, taraf delillerinde ve taraflarca ya da ilgili üçüncü kişilerce soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak ilgili dosyaya sunulan delillerde yer alabilecek kişisel verilerin hukuka uygun şekilde elde edilip edilmediğinin KVKK’dan istisna olduğunu söylemek mümkün olmamalıdır. KVKK’ya uygun şekilde elde edilmeyen kişisel verilerin delil olarak devam eden bir uyuşmazlık dosyasına sunulmasının hukuka aykırı veri aktarımı ve hukuka aykırı veri işleme olarak değerlendirilmesi mümkündür. Öte yandan, KVKK’da yer alan bazı yükümlülüklerin kişisel veri içeren delilleri iddialarını ispatlamak açısından kullanmak isteyen veri sorumluları açısından yargılama aşamasında çeşitli zorlukları da beraberinde getirdiği açıktır.
Her ne kadar KVKK perspektifinden olmasa da konu Anayasa Mahkemesi’nin 3 Şubat 2022 tarihli ve 2019/20473 başvuru numaralı kararında da[1] Türk Ceza Kanunu’nda (“TCK”) kişisel verilerin korunması ile bağlantılı suçlar bakımından değerlendirilmiştir. Kişisel Verileri Koruma Kurulu’nun (“Kurul”) da konu hakkında farklı yorumlara neden olan bazı kararları bulunmaktadır.
Anayasa Mahkemesi Kararı’nın Değerlendirilmesi
Anayasa Mahkemesi’nin 3 Şubat 2022 tarihli ve 2019/20473 başvuru numaralı kararında bir bireysel başvuru incelenmiş ve özetle hukuka aykırı elde edilen kişisel verilerin delil olarak kullanılmasının kişisel verilerin korunması bakımından bir suç teşkil edip etmediğinin TCK bakımından etkin şekilde soruşturulması ve kovuşturulması gerektiği vurgulanmıştır.
Somut olayda başvurucu, eşi ile arasında devam eden boşanma davasında evlendikten sonra migren ataklarının arttığını ve bu durumun eşinden kaynaklandığını iddia etmiştir. Başvurucunun Anayasa Mahkemesi kararına konu başvurusunda iddia ettiği üzere, başvurucunun eşi boşanma davasındaki iddiaların aksini ispatlamak amacıyla yaptığı araştırma sonucunda başvurucunun evlenmeden önce de migren ve psikolojik rahatsızlıkları olduğunu tespit etmiş, bu kapsamda doktor olmasının sağladığı nüfuzu ve mesleki imtiyazlarını kullanarak başvurucuya ait daha önceki rapor ve tedavi bilgilerine erişmiştir.
Başvurucu, sağlık verilerinin eşi tarafından ele geçirilip delil olarak mahkemeye sunulması nedeniyle görevi kötüye kullanma, özel hayatın gizliliğini ihlal, kişisel verilerin hukuka aykırı olarak ele geçirilmesi ve paylaşılması suçlarını işlediği iddialarıyla eşinden şikâyetçi olmuştur. Şikâyet dilekçesinde, başvurucunun sağlık bilgilerinin özel hayatın gizliliği ve kişisel verilerin korunması haklarına, Türk Ceza Kanunu’na ve Hasta Hakları Yönetmeliği’ne aykırı olarak ele geçirilip mahkeme dosyasına sunulduğu vurgulanmıştır.
Ne var ki, Cumhuriyet Başsavcılığı soruşturma neticesinde kovuşturmaya yer olmadığına karar vermiştir. Kararın gerekçesinde eşin diğer eşin birinci dereceden yakını olması nedeniyle kişisel ve sağlık bilgilerine ulaşma hakkı bulunduğu vurgulanmıştır. Bu nedenle, şüphelinin eyleminin mahremiyetin ve özel hayatın ihlali olarak değerlendirilemeyeceği ve taraflar arasında devam eden dava kapsamında iddia ve delilleri sunmanın iddia ve savunma dokunulmazlığı kapsamında değerlendirilmesi gerektiğini belirtmiştir.
Öte yandan, etkin bir soruşturma ve kovuşturma yürütülmemesi sebebiyle başvurucunun adil yargılanma hakkı ile özel hayata saygı ile kişisel verilerin korunması haklarının ihlal edildiğinden hareketle Anayasa Mahkemesi’ne yaptığı başvuru kabul edilmiştir.
Anayasa Mahkemesi, öncelikle başvurucunun eşi tarafından uyuşmazlıkta delil olarak kullanılan sağlık verilerinin kişisel veri olarak kabul edilmesi gerektiğini, bu kapsamda anılan bilgilerin ele geçirilmesinin, bunların kullanılmasının ve işlenmesinin kişisel verilerin korunması hakkı kapsamında olduğu değerlendirilmiştir. Anayasa Mahkemesi, başvurucunun evlenmeden önceki tedavisiyle ilgili bilgileri eşine daha önce açıklamadığı, kişisel veri mahiyetindeki bu bilgilerin eşi dahil üçüncü kişilere verilmesi yönünde açık bir rızasının da olmadığını da vurgulamıştır. Dolayısıyla, Cumhuriyet Başsavcılığı’nın gerekçelerinin yeterli olmaması sebebiyle soruşturmanın etkili ve özenli şekilde yürütülmesi konusunda kamusal makamlarca üstlenilmesi gereken pozitif yükümlülüğün somut olayda yerine getirilmediği belirtilmiş ve başvurucunun kişisel verilerin korunmasını isteme hakkının ihlal edildiği tespit edilmiştir.
Anayasa Mahkemesi’nin bu kararı, hukuka aykırı olarak delil olarak sunulan kişisel verilerin hukuka aykırı bir veri aktarımı olarak değerlendirilebileceği, TCK kapsamında “verileri hukuka aykırı olarak verme veya ele geçirme” suçu kapsamında soruşturulup kovuşturulabileceği hakkında bir tespit içermektedir.
Kurul Kararlarının Değerlendirilmesi
Anayasa Mahkemesi kararında KVKK’yı ayrıca değerlendirmemekle birlikte 7 Nisan 2016 tarihinden itibaren görevleri gereği yargı makamları veya infaz mercileri tarafından elde edilenler hariç kişisel verilerin hukuka uygun şekilde elde edilip edilmediğine ilişkin değerlendirmenin KVKK kapsamında yapılması gerekmektedir. Öte yandan Kurul’un buna ilişkin kararları uygulamada bazı belirsizlikleri beraberinde getirmektedir.
Kurul’un 11 Mart 2021 tarihli ve 2021/230 sayılı kararında[2] bir ilgili kişinin kişisel verisinin kamu kurumu personeli olarak görev yapan eski eşi tarafından sorgulanarak elde edilmesi ve adli makamlar ile paylaşılması değerlendirilmiştir. Bu kararda Kurul, Anayasa Mahkemesi tarafından yapılan tespitlere paralel olarak KVKK açısından da konunun değerlendirilebileceği ve ilgili kişinin kişisel verisinin kendisi tarafından talep edilmeksizin kamu personeli olarak görev yapan eski eşi tarafından sorgulanarak elde edilmesinin ve söz konusu kişisel verilerin mahkeme ile paylaşılmasının veri güvenliğine ilişkin yükümlülüklere uygun olmadığı sonucuna varmıştır. Bu kapsamda, ilgili kişinin kişisel verisinin veri sorumlusu bünyesinde çalışan bir personel tarafından tanımlanmış hizmetlerin ve yasal mükellefiyetlerin yerine getirilmesi dışında başka bir amaçla kullanılması suretiyle işlenmesinin KVKK’ya aykırı olduğu değerlendirilmiştir. KVKK’da düzenlenen hukuki nedenlerden birine dayanmayan bu işleme faaliyeti açısından delili hukuka aykırı elde eden kişinin çalıştığı kurumun veri sorumluluğu özel olarak vurgulanmıştır. Ayrıca, veri sorumlusu bünyesinde görev yapan söz konusu kişi hakkında disiplin hükümlerine göre işlem yapılması gerektiği de özel olarak belirtilmiştir. Veri sorumlusu olan kurum ise kişisel verilere erişim yetkisi bulunan personelin söz konusu verilere amacı dışında erişmesinin önlenmesi hususunda gerekli tedbirlerin alınması hususlarında talimatlandırılmıştır. Veri sorumlusunun kamu kurumu olması sebebiyle ayrı bir idari para cezası verilmemiştir.
Öte yandan, Kurul’un 18 Şubat 2020 tarihli ve 2020/138 sayılı kararında[3] ise KVKK açısından eleştirilen bazı değerlendirmeler yapılmıştır. İlgili karara konu olayda veri sorumlusu işveren, işçilerinden biri ile iş sözleşmesini tek taraflı olarak feshetmiş ve açılan işe iade davasında ise işçinin özlük dosyasında yer alan sağlık raporunu delil olarak kullanmak istemiştir. İşçi, özel nitelikli kişisel verilerinin mahkemenin talebi olmadığı hâlde dava dosyasına sunulduğu da ifade ederek KVKK uyarınca hukuka aykırı bir veri işlemenin gerçekleştiğini iddia etmiştir. Kurul tarafından yapılan inceleme sonucu, somut olayda mahkemenin davaya ilişkin olarak yazmış olduğu müzekkerede davalı veri sorumlusundan davacıya ait özlük dosyasının tüm içeriğinin tasdikli bir suretinin gönderilmesini istediği görüldüğünden, KVKK’nın 28. maddesi uyarınca ilgili bilgilerin paylaşılmasının KVKK’dan istisna olduğu değerlendirilmiştir. Bu kapsamda işveren açısından Kurul tarafından tesis edilecek bir işlem bulunmadığına karar verilmiştir. İlgili mahkemenin bir talebi olmasaydı Kurul’un farklı bir değerlendirme yapacağı düşünülmektedir. Yine de Kurul, burada işçiye yeterli bir aydınlatma yapılıp yapılmadığını ve verinin ilk etapta özlük dosyasına eklenmesi sırasında hukuka uygun şekilde elde edilip edilmediğini değerlendirmemiştir.
Sonuç ve Görüşler
Yukarıdaki açıklamalarımız ışığında, KVKK’ya aykırı şekilde elde edilen ya da KVKK’ya aykırı şekilde avukatlar veya yargı mercilerince paylaşılan kişisel verilerin uyuşmazlıklarda delil olarak sunulması halinde hem veri sorumluları açısından idari yaptırımlar hem de gerçek kişiler ve tüzel kişi veri sorumlularının yetkilileri hakkında cezai soruşturmaların gündeme gelebileceği açıktır.
Örneğin, hukuka uygun şekilde elde etmediği kişisel verileri bir uyuşmazlıkta delil olarak kullanan, hukuka uygun şekilde elde etmiş olmasına rağmen iddialarını ispat amacıyla dava konusu ile ilgisiz kişisel verileri paylaşan ya da özellikle özel nitelikli kişisel veriler açısından bu verileri dava ile ilgili olsalar dahi yargı mercileri tarafından talep edilmeden ve ilgili kişilerin açık rızaları olmadan mahkeme dosyalarına sunan veri sorumlularının bu işleme faaliyetlerinin KVKK ve TCK kapsamında değerlendirilebileceği açıktır. Suçun şahsiliği ilkesi ve tüzel kişiler hakkında ceza yaptırımının uygulanamayacağı ilkelerinden hareketle TCK sorumluluğu veri sorumluları bünyesindeki yetkililer ya da ilgili personel açısından gündeme gelebilir ve tüzel kişi veri sorumluları hakkında güvenlik tedbirleri de uygulanabilir.
Verilerin KVKK kapsamında hukuka uygun şekilde elde edilmesi ve verilerin elde edilmesi sırasında yapılan aydınlatmalarda uyuşmazlık halinde hakların kullanılması ve korunması için bu verilerin delil olarak kullanılabileceği hususunda ilgililerin aydınlatılması çok önemlidir.
Özel nitelikli kişisel veriler açısından başta sağlık ve cinsel hayatla ilgili veriler açısından hukuki nedenlerin kapsamının dar olduğu ve bu verilerin delil olarak kullanılması için de açık rızanın gerekebileceği unutulmamalıdır. Mevcut bir veri kayıt sistemindeki veriler açısından süreç daha yönetilebilir olmakla birlikte veri sorumlularının özellikle bir uyuşmazlık halinde yaptıkları araştırmalar sırasında ve uyuşmazlık devam ederken elde ettiği veriler açısından KVKK uyumunu sağlaması güç olabilmektedir. KVKK’nın 28. maddesindeki istisnanın ancak yargı mercilerinin sunulmasını talep ettiği deliller ve bizzat araştıracağı deliller bakımından geçerli olduğu açıktır. Dolayısıyla uyuşmazlık sırasında hangi kişisel verilerin delil olarak kullanılabileceğinin ve KVKK ile uyum açısından yol haritasının ne olması gerektiğinin her somut olay özelinde değerlendirilmesi gerekmektedir.
[1] 18 Mart 2022 tarihli ve 31782 sayılı Resmî Gazete’de yayımlanmıştır.
[2] Karar özeti için: https://www.kvkk.gov.tr/Icerik/7119/2021-230
[3] Karar özeti için: https://www.kvkk.gov.tr/Icerik/6887/2020-138
-----
Kişisel Verilerin Korunması ve Gizlilik ve Uyuşmazlık Yönetimi
Begüm Yavuzdoğan Okumuş, Yalçın Umut Talay ve Kardelen Özden