Arabuluculukta KVKK’ya uyum, yalnızca matbu bir bilgilendirme metni veya imza süreci olarak görülmemelidir. Kişisel veri güvenliği; tarafların güvenini, sürecin meşruiyetini ve arabulucunun mesleki özen borcunu doğrudan ilgilendiren bağımsız bir sorumluluk alanıdır.
Arabuluculuk denildiğinde ilk akla gelen kavram çoğu zaman “gizlilik”tir. Taraflar, vekiller ve arabulucu bakımından bu ilke, sürecin güven içinde yürütülmesinin temel şartlarından biridir. Ancak bugünün arabuluculuk uygulamasında gizlilik, kişisel verilerin korunması bakımından tek başına yeterli değildir.
Çünkü arabuluculuk masasında yalnızca taraf beyanları bulunmaz. İletişim bilgileri, kimlik bilgileri, vekâlet ve temsil belgeleri, ticari kayıtlar, bordrolar, sağlık evrakı, banka hesap bilgileri, poliçe ve hasar dosyaları, hatta kimi zaman taraf olmayan üçüncü kişilere ait veriler de sürece dâhil olur. Bu yönüyle arabuluculuk, aynı zamanda yoğun bir kişisel veri işleme alanıdır.
Bu nedenle temel ayrımın baştan doğru kurulması gerekir: 6325 sayılı Hukuk Uyuşmazlıklarında Arabuluculuk Kanunu kapsamındaki gizlilik yükümlülüğü ile 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamındaki kişisel veri yükümlülükleri aynı şey değildir; ancak birlikte gözetilmelidir.
HUAK m. 4, arabulucunun arabuluculuk faaliyeti çerçevesinde kendisine sunulan veya başka şekilde elde ettiği bilgi ve belgeler ile diğer kayıtları, taraflarca aksi kararlaştırılmadıkça gizli tutmakla yükümlü olduğunu düzenler. Bu hüküm, arabuluculuğun güven esasına dayalı yapısı bakımından vazgeçilmezdir. Ancak gizlilik yükümlülüğü; KVKK’daki aydınlatma, veri güvenliği, sınırlı işleme, ölçülülük, saklama ve imha sorumluluklarını kendiliğinden karşılamaz.
Kişisel Verileri Koruma Kurumu’nun 13 Ocak 2025 tarihli “Arabuluculuk Faaliyetleri Kapsamında Aydınlatma Yükümlülüğünün Yerine Getirilmesine İlişkin Kamuoyu Duyurusu” da bu ayrımı açık biçimde ortaya koymuştur. Duyuruda, HUAK m. 11 uyarınca arabuluculuk sürecinin esasları, işleyişi ve sonuçları hakkında yapılan bilgilendirmenin, KVKK m. 10 anlamındaki aydınlatma yükümlülüğünün yerine getirildiği anlamına gelmediği belirtilmiştir. Kurum ayrıca arabulucuların 6698 sayılı Kanun’un uygulanması bakımından veri sorumlusu sıfatını haiz olduğunu ve veri sorumlusunun yükümlülüklerine tabi bulunduğunu ifade etmektedir. (KVKK)
Bu belirleme, arabuluculuk uygulaması açısından son derece önemlidir. Zira arabulucu, yalnızca sürecin tarafsız yürütücüsü değildir; aynı zamanda bu süreçte işlenen kişisel verilerin hukuka uygunluğu bakımından dikkat ve özen göstermesi gereken kişidir.
Arabulucunun her dosyada ilk sorması gereken soru şudur:
“Bu bilgi, arabuluculuk sürecinin yürütülmesi için gerçekten gerekli mi?”
Bu soru, teknik bir KVKK sorusu olmanın ötesinde, mesleki özen borcuyla doğrudan ilgilidir. Dosyaya alınan her belge, e-postaya eklenen her kayıt, tutanağa yazılan her kimlik bilgisi, yanlış kişiye gönderilen her toplantı linki ayrı bir risk alanı oluşturabilir. Arabuluculuk dosyasında “ne kadar çok bilgi, o kadar sağlam dosya” anlayışı isabetli değildir. Doğru yaklaşım, gerekli olan kadar verinin, gerekli olduğu süre boyunca ve gerekli kişilerle sınırlı şekilde işlenmesidir.
KVKK’nın genel ilkeleri de bu konuda açık bir çerçeve sunar. Kişisel veriler hukuka ve dürüstlük kurallarına uygun biçimde işlenmeli; belirli, açık ve meşru amaçlarla sınırlı tutulmalı; işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olmalı; doğru ve gerektiğinde güncel tutulmalı; ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmelidir.
Bu ilkeler, arabuluculukta soyut prensipler olarak bırakılmamalıdır. Davet mektubundan bilgilendirme tutanağına, çevrim içi toplantı linkinden son tutanağa, anlaşma belgesinden dosyanın saklanmasına kadar her aşamada dikkate alınması gerekir.
Özellikle son tutanak ve anlaşma belgesi bakımından veri minimizasyonu ayrı bir önem taşır. Bu belgeler, uyuşmazlığın bütün geçmişini ayrıntılı biçimde kayda geçiren metinler değildir. Esas olarak sürecin sonucunu, zorunlu kayıt bilgilerini ve tarafların üzerinde anlaştığı hususları göstermelidir.
Bu nedenle tutanak veya anlaşma belgesi imzalanmadan önce şu sorular ayrıca sorulmalıdır: Taraf olmayan üçüncü kişiye ait T.C. kimlik numarası, adres, telefon, e-posta veya benzeri kişisel veri metinde yer alıyor mu? Bu bilginin yazılması gerçekten zorunlu mu? Aynı anlatım rol bazlı veya maskelenmiş ifade ile kurulabilir mi?
Bir iş uyuşmazlığında tanığın açık kimliği, başka çalışanların bordro bilgileri veya işçinin aile bireylerine ait kimlik bilgileri çoğu zaman son tutanağın zorunlu unsuru değildir. Bir sağlık uyuşmazlığında hasta yakınının açık kimliği, bir sigorta dosyasında lehtar olmayan üçüncü kişinin iletişim bilgisi, bir ticari uyuşmazlıkta taraf dışı müşteri listesi de çoğu kez aynı şekilde gereksiz veri işleme riski doğurabilir.
Bu risk yalnızca teorik değildir. Kişisel verilerin işlenmesinde ölçülülük ilkesinin ihlali, Kurul kararlarında farklı uyuşmazlık türleri bakımından yaptırım konusu olabilmektedir. Arabuluculuk bakımından da özellikle taraf olmayan kişilere ait verilerin sonuç tutanağına veya anlaşma belgesine geçirilmesi, ileride veri güvenliği ve hukuka uygun işleme tartışmalarına yol açabilecek niteliktedir. Bu nedenle üçüncü kişilerden söz edilmesi gerekiyorsa “tanık”, “çalışan”, “hasta yakını”, “kefil”, “sigortalı/lehtar dışı üçüncü kişi” gibi rol bazlı ifadelerin kullanılması daha ölçülü bir yöntem olabilir.
Burada amaç, uyuşmazlığın içeriğini belirsizleştirmek değildir. Amaç, son tutanak ve anlaşma belgesinin işlevini aşan kişisel veri yükünü azaltmaktır. Arabuluculuk belgesi, tarafların iradesini ve varılan sonucu ortaya koymalıdır; taraf olmayan kişilere ait gereksiz kişisel verilerin kayda geçirildiği bir metne dönüşmemelidir.
Arabulucular bakımından uygulamada karşılaşılan önemli hatalardan biri de VERBİS istisnasının KVKK’dan muafiyet gibi yorumlanmasıdır. Kişisel Verileri Koruma Kurulu’nun 05.07.2018 tarihli ve 2018/75 sayılı kararı, arabulucuların Veri Sorumluları Siciline kayıt zorunluluğundan istisna tutulmasına ilişkindir. (KVKK) Ancak bu istisna, arabulucunun KVKK kapsamındaki tüm yükümlülüklerden muaf olduğu anlamına gelmez.
Başka bir ifadeyle, sicile kayıt istisnası; aydınlatma yükümlülüğünü, veri güvenliği tedbirlerini, ölçülü veri işleme ilkesini, saklama ve imha yükümlülüklerini ortadan kaldırmaz. VERBİS’e kayıt zorunluluğunun bulunmaması, kişisel veri sorumluluğunun sona erdiği şeklinde yorumlanmamalıdır.
Bu ayrım, özel nitelikli kişisel veriler bakımından daha da önemlidir. Sağlık bilgileri, genetik veriler, sendika üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler, biyometrik veriler ve benzeri bilgiler sıradan iletişim bilgileri gibi ele alınamaz. Bu veriler, kişinin özel hayatı, itibarı, çalışma hayatı ve sosyal ilişkileri üzerinde ağır sonuçlar doğurabilecek niteliktedir.
Sağlık, iş, sigorta ve banka-finans uyuşmazlıklarında arabulucunun belge dolaşımını ve tutanak dilini daha dikkatli kurması gerekir. Bir sağlık raporunun bütün ekleriyle paylaşılması zorunlu mudur? Bordro örneklerinde başka çalışanlara ait bilgiler maskelenmiş midir? Banka kayıtlarında uyuşmazlıkla ilgisiz açıklamalar kapatılmış mıdır? Sigorta dosyasında üçüncü kişilere ait iletişim bilgileri görünür halde midir? Bu sorular, süreci ağırlaştıran ayrıntılar değil; arabuluculuk faaliyetinin hukuka uygun ve güvenli yürütülmesi bakımından gerekli kontrol noktalarıdır.
Çevrim içi arabuluculuk ise kişisel veri güvenliği açısından ayrıca dikkat gerektirir. Toplantı linkinin yanlış kişiye gönderilmesi, e-posta alıcılarının görünür bırakılması, toplantıya taraf olmayan kişilerin katılması, ekran görüntüsü alınması, toplantının kaydedilmesi veya belgelerin kontrolsüz ortak klasörlerde paylaşılması veri güvenliği ihlali riski doğurabilir. Kullanılan dijital platformların teknik altyapısı ve veri aktarım süreçleri de, özellikle yurt dışına veri aktarımı ihtimali bakımından ayrıca değerlendirilmelidir.
Bu noktada KVKK m. 9’un çizdiği yurt dışına aktarım rejimi göz ardı edilmemelidir. Arabuluculuk toplantısının hangi platform üzerinden yapıldığı, belgelerin hangi bulut hizmetinde tutulduğu, erişim bağlantılarının kimlerle paylaşıldığı ve kayıtların hangi sunucularda işlendiği, artık yalnızca teknik tercih meselesi değildir. Bu tercihler, kişisel verilerin korunması hukuku bakımından sonuç doğurabilecek niteliktedir.
KVKK m. 12, veri sorumlusuna kişisel verilerin hukuka aykırı olarak işlenmesini ve erişilmesini önlemek, verilerin muhafazasını sağlamak için gerekli teknik ve idari tedbirleri alma yükümlülüğü yükler. Kişisel Veri Güvenliği Rehberi de kişisel verilerin işlenmesi sürecinde teknik ve idari tedbirlerin önemini ayrıntılı şekilde ele almaktadır.
Arabuluculuk uygulamasında bu yükümlülük, somut davranış kurallarıyla karşılık bulmalıdır. Davet e-postası gönderilmeden önce alıcılar kontrol edilmeli; toplu e-postalarda alıcı bilgileri açık bırakılmamalı; hassas belgeler mümkünse şifreli paylaşılmalı; toplantıya katılan kişilerin kimlik ve sıfatı teyit edilmeli; kayıt alınmaması gerektiği açıkça hatırlatılmalı; belgelere erişim yetkisi sınırlandırılmalı; dosyalar kişisel cihazlarda süresiz ve kontrolsüz biçimde saklanmamalıdır.
Aydınlatma yükümlülüğü de yalnızca imza alınacak bir metinden ibaret görülmemelidir. KVKK’ya göre aydınlatma yükümlülüğü, ilgili kişinin talebine bağlı olmayan ve kişisel veri işleme şartlarından bağımsız biçimde yerine getirilmesi gereken bir yükümlülüktür. Kurum’un 13 Ocak 2025 tarihli duyurusunda da aydınlatmanın içeriği bakımından veri sorumlusunun kimliği, veri işleme amacı, aktarım, veri toplama yöntemi, hukuki sebep ve ilgili kişinin hakları gibi unsurlara işaret edilmektedir. (KVKK)
Arabulucu, taraflara hangi kişisel verilerin hangi amaçla işlendiğini, hangi hukuki sebeplere dayanıldığını, bu verilerin kimlere ve hangi amaçla aktarılabileceğini, ne kadar süreyle saklanacağını ve ilgili kişilerin haklarını anlaşılır biçimde açıklamalıdır.
Elbette bu açıklama, arabuluculuk sürecinin niteliğiyle bağdaşmayan uzun ve karmaşık metinlere indirgenmemelidir. Tarafların anlayamayacağı ölçüde teknik, soyut ve matbu ifadeler gerçek anlamda aydınlatma işlevi görmeyebilir. Doğru yöntem; kısa, açık, dosyanın niteliğine uygun ve tarafların anlayabileceği bir bilgilendirme dilidir.
Burada denge önemlidir. Arabuluculuk hızlı, esnek ve güven esasına dayalı bir uyuşmazlık çözüm yoludur. KVKK yükümlülüklerinin süreci gereksiz evrak yüküyle ağırlaştırmaması gerekir. Ancak bu kaygı, kişisel veri güvenliği sorumluluklarının göz ardı edilmesini de haklı kılmaz.
Çözüm, arabuluculuğu ağır bir şekilcilik alanına dönüştürmek değildir. Çözüm, arabuluculuk faaliyetinin niteliğine uygun, sade, ölçülü ve uygulanabilir bir veri güvenliği düzeni kurmaktır. Çünkü güven, yalnızca tarafların beyanlarının gizli tutulmasıyla sağlanmaz. Verinin nerede saklandığı, kimlerle paylaşıldığı, hangi süreyle muhafaza edildiği, nasıl imha edildiği ve hangi tedbirlerle korunduğu da güven ilişkisinin parçasıdır.
Bu nedenle arabulucu her dosyada şu beş soruyu sormalıdır:
· Bu veriyi almak zorunda mıyım?
· Bu veriyi tutanağa yazmak zorunda mıyım?
· Bu veriyi kimlerle paylaşacağım?
· Bu veriyi ne kadar süre saklayacağım?
· Aynı amacı daha az veriyle gerçekleştirebilir miyim?
Bu beş soru, arabuluculukta KVKK uyumu bakımından sade ve uygulanabilir bir denetim ölçütü sunar. Uyum, yalnızca dosyaya eklenen standart bir form olarak görülürse şekli kalır. Buna karşılık veri işleme faaliyetinin her aşamasında dikkate alınırsa, hem tarafların güvenini hem arabulucunun mesleki özen yükümlülüğünü hem de arabuluculuk kurumunun itibarını güçlendirir.
Sonuç olarak arabuluculukta gizlilik ilkesi vazgeçilmezdir. Ancak günümüz koşullarında gizliliğin yanında veri minimizasyonu, aydınlatma yükümlülüğü, güvenli belge paylaşımı, erişim kontrolü, saklama ve imha tedbirleri de aynı ciddiyetle ele alınmalıdır.
Arabuluculuk masasında yalnızca uyuşmazlık çözülmez. Tarafların mahremiyeti, itibarı ve kişisel verileri de arabulucuya emanet edilir. Bu nedenle arabuluculukta KVKK’ya uyum, şekli bir yükümlülük değil; sürecin güvenilirliği ve mesleki özen standardı bakımından zorunlu bir gerekliliktir.
