Kanun’un 14. Maddesinde ise, ilgili kişinin şikayet hakkını veri sorumlusunun başvuruyu reddetmesi verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde kullanabileceği öngörülmektedir. Kanun koyucu işbu düzenlemeler ile veri sorumlusunun hareketsizliğini veya keyfiliğini de sonuca bağlamış ve ilgili kişinin hakkını korumak amacıyla hareket etmiştir.

Hak arama yöntemleri ise, Kanun’un “Veri Sorumlusuna Başvuru” başlıklı 13. Maddesinin birinci fıkrasında “İlgili kişi, bu Kanunun uygulanmasıyla ilgili taleplerini yazılı olarak veya Kurulun belirleyeceği diğer yöntemlerle veri sorumlusuna iletir.” hükmü altında düzenlenmiştir. Bu çerçevede bahse konu maddeye dayanılarak hazırlanan, Veri Sorumlularına Başvuru Usul ve Esasları Hakkında Tebliğin “Başvuru Usulü” başlıklı 5. Maddesinde “İlgili kişi, Kanunun 11 inci maddesinde belirtilen hakları kapsamında taleplerini, yazılı olarak veya kayıtlı elektronik posta (KEP) adresi, güvenli elektronik imza, mobil imza ya da ilgili kişi tarafından veri sorumlusuna daha önce bildirilen ve veri sorumlusunun sisteminde kayıtlı bulunan elektronik posta adresini kullanmak suretiyle veya başvuru amacına yönelik geliştirilmiş bir yazılım ya da uygulama vasıtasıyla veri sorumlusuna iletir.” hükmüne yer verilmiştir.

İlgili kişi yazılı taleplerini güvenli elektronik imzalı veya mobil imzalı doküman ile kayıtlı elektronik posta adresinden, daha önce bildirdiği elektronik posta adresinden imzasız veya ıslak imzalı kayıtlı adrese tebligat yolunu kullanarak iletebilmektedir.  Bu sebeple, veri sorumlusu ilgili kişinin haklarını talep etmesi amacıyla “Veri Sorumlusuna Başvuru Formu” olarak adlandırılan doküman ile başvuru kanallarını ilgili kişilere bildirmektedir.

Yine, veri sorumluları siciline kayıt zorunluluğu ile veri sorumlusuna başvuru kanalları umuma açık hale getirildiğinden, sicilde yapılacak arama ile ilgili kişinin başvuru kanalını tespit etmesi de mümkündür.

Kanun’un 16. Maddesi ile “Kurulun gözetiminde, Başkanlık tarafından kamuya açık olarak Veri Sorumluları Sicili tutulur.  Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır.” Hükmü düzenlenmiştir. Bu çerçevede bahse konu maddeye dayanılarak hazırlanan, Veri Sorumluları Sicili Hakkında Yönetmelik ile Türkiye’de yerleşik olmayan veri sorumlularının, veri işlemeye başlamadan önce veri sorumlusu temsilcisi marifetiyle Sicile kaydolmak zorunda olduğu belirtilmiştir.

Kurul tarafından “Sorularla Veri Sorumluları Sicili Bilgi Sistemi (VERBİS)” adlı rehberde ise yurtdışında yerleşik gerçek veya tüzel kişi veri sorumlularının sisteme kayıt olma sürecinde, öncelikle “veri sorumlusu temsilcisi” atanması ve bu atamaya ilişkin onaylı belgeyi ıslak imzalı şekilde iletilmesi gerektiği belirtilmiştir. Atanacak veri sorumlusu temsilcisi Türkiye’de yerleşik bir tüzel kişi veya Türkiye Cumhuriyeti vatandaşı bir gerçek kişi olmalıdır.” hükmü ile temsilci atama yükümlülüğü düzenlenmiştir.

Kanun’da öngörüldüğü üzere; veri sorumlusu, varsa veri sorumlusu temsilcisi ile irtibat kişisine ait kimlik ve adres bilgilerine ilişkin Kurul tarafından belirlenecek başvuru formunda yer alan bilgilerin girişinin gerekliliği yine ilgili rehberlerde tekrarlanmıştır.

Yurtdışında yerleşik gerçek veya tüzel kişinin de veri işleme faaliyetini gözetim altında tutmak ve veri sahibinin hakları temin etmek amacıyla irtibat kişisini zorunlu tutulmaktadır. Bu noktada kanunun uygulanabilirliğini temin etmek için gerekli bir düzenleme olduğu açıktır.

Yukarıdaki açıklamalarımız neticesinde, işbu incelememde ilgili kişi olarak yurtdışında yerleşik tüzel kişiye kanun kapsamında yaptığım başvuruyu değerlendirmekteyim. 

Bilindiği üzere, Kanun’un “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12. maddesinin (5) numaralı fıkrası “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” hükmünü düzenlemektedir.  

İşbu hüküm uyarınca Kurul’un resmi internet sitesinde kamuoyu duyurusu olarak yayınlanan veri ihlal bildirimine ilişkin, ihlal gerçekleştiren veri sorumlusunun hizmetin ifası amacıyla kişisel verilerimi işlemesi sebebiyle, veri sorumlusuna başvuru ihtiyacı doğmuştur.

Veri sorumlusu yurtdışında yerleşik tüzel kişi olarak, isim, soyisim, doğum tarihi, banka/kredi kartı bilgileri, konum bilgileri gibi kişisel verileri hizmetin ifası kapsamında işlemekte ve saklamaktadır.

Kurum tarafından yapılan kamuoyu açıklamasında tüzel kişinin veri ihlaline ilişkin destek sayfasının linkini (dil: İngilizce) ve ilgili kişilerin başvuru yapma hakkını kullanması için iletişim bilgileri (elektronik posta) paylaşılmıştır.

İlgili kişi sıfatına haiz kişi olarak Kanun’un 11. Maddesinde sayılan haklarımı kullanmak amacıyla bildirilen elektronik posta adresine ve destek sayfasında yer verilen elektronik posta adresine yazılı bildirim yapılmıştır. Yapılan bildirim neticesinde, elektronik posta kutuma “e-posta adresi bulunamadığından veya e-posta alamadığından iletiniz teslim edilemedi” bildirimi ulaşmıştır.  

Veri sorumlusu, Türkiye’de faaliyetlerini sona erdirmiş bulunmakta ve veri işleme faaliyeti olmadığında veri sorumluları siciline kayıt ile yükümlü değildir. Veri sorumlusunun irtibat kişisi bilgileri de sitesinde yer almamaktadır.

Konuya ilişkin olarak, tarafımca Kurum’a bildirim yapılarak; başvuru yapıldığı bildirilmiş ve şikayet hakkımı kullanma talebim iletilmiştir. Kurum tarafından verilen cevabi yazıda işbu iletişim bilgilerinin kullanılabildiği (!), Kanun’daki şikayet hakkımın kullanılması için veri sorumlusuna başvuru yapmamın ön koşul olduğu ve ön koşul yerine getirilmediğinden, tarafımın şikayet hakkını kullanamayacağı bildirilmiştir. Bu cevaba binaen, tarafımca farklı elektronik posta adresleri ve internet ağları kullanılarak, yeniden deneme yapılmışsa da sadece Kurul’un ulaşabildiği (!) bu elektronik posta adreslerine bildirim yapılamamıştır.

Kanunda başvuru yolunun tüketilmesi tahdidi olarak sayılmış ve sayılanlar kapsamında kalmayan  durumlarda, örnek vermek gerekirse veri sorumlusuna başvuru yolunun fiili imkansızlık sebebiyle tüketilememesine ilişkin durumlarda şikayet hakkının nasıl kullanılacağı düzenlenmemiştir. 

Peki, ilgili kişi olarak,  Türkiye’de faaliyetlerine son veren, Kanun’a uyma ve veri sorumluları siciline kayıt yükümlülüğü sona eren, başvuru kanallarına erişilemeyen bir tüzel kişiye başvuru yolu nasıl tüketilecektir? Kanun’da tahdidi olarak sayılanlar haricinde başvuru yolunun tüketilmiş olarak öngörülmemesi, ilgili kişinin hakkını kullanamayacağı anlamına mı gelecektir? Kanun koyucunun amacıyla bağdaşmayan bu uygulama devam ettirilecek midir?

Avrupa Birliği’nde uygulanmakta olan Genel Veri Koruma Tüzüğü (GDPR) ilgili kişinin şikayet hakkını ön koşula bağlamamakta ve herhangi bir makam veya otoriteye başvurunun, düzenleyici otoritelere başvuru hakkını tüketmeyeceğini vurgulamaktadır.

Kanımca, Kurul’un başvuru yolunun tüketilmesini ön koşul olarak görmesi ve kanunda sayılmayan (fiili imkansızlık hali gibi) hallerde şikayet hakkını kullanmamın önüne geçilmesi, Kanunun ruhu ile bağdaşmamaktadır. Başvuru yapıldığının ispatı ile emsal olaydaki gibi başvuru cevabının pek açık halde gelmeyeceği durumlarda, 30 günlük süre beklenmeden şikayet hakkının kullanılması ve başvuru yolunun tüketildiğinin varsayılması gerekmektedir. Aksi halde, Kanun koyucunun ilgili kişinin haklarını temin etmek amacıyla düzenlemeyi kanunun ruhu ile bağdaşır hale getirmesi gerekliliği ortadadır.

Avukat Didem TENEKECİOĞLU