Kişisel Verilerin Korunması Kanunu ve Ticari Sır, Banka Sırrı ve Müşteri Sırrı Hakkında Kanun halen Türkiye Büyük Millet Meclisinde (“TBMM”) tasarı aşamasında olduğundan, kişisel veriler ve ticari sırların kaydedilmesi, toplanması ve işlenmesinin sınırlarını çizerken, Avrupa Birliği (AB) mevzuatı bize yol göstermektedir. Bu açıdan konunun Türk Hukuku yanında, AB hukuku açısından incelenmesi gerekmektedir.

Ticaret Sicil Gazetesinde Yayınlanan Bilgilerin “Kişisel Veri” Niteliği

6102 sayılı Türk Ticaret Kanunu’nun (“TTK”) 35. maddesinin 3. fıkrasında “Tescil edilen hususlar, kanun veya Kanunun 26. maddesine göre çıkarılacak yönetmelikte aksine bir hüküm bulunmadıkça ilan olunur” hükmü yer almaktadır. Yine TTK’da yer alan düzenlemeye göre bu ilanlar, Türkiye genelinde sicil kayıtlarının ilanına özgü Ticaret Sicil Gazetesi (“TSG”) ile yapılır. TSG’de yayınlanan bilgiler, şirketlerin ve şirket ortaklarının kanunen yayınlanması zorunlu bilgileridir. TSG bu görevi yerine getirirken, şirketlerin ve ortakların yayınlanması zorunlu ticari ve kişisel verilerini kamuya duyurmaktadır.

TSG’de yayınlanan gerçek şahıslara ilişkin ortaklık, adres vb. özel bilgilerin “kişisel veri” olduğu konusunda bir tartışma yoktur. Peki, bu kişisel verilerin, bir başka yere kaydedilip, işlenmesi mümkün müdür?

Kişisel verilerin hukuka aykırı olarak kaydedilmesi ve işlenmesi Türk Ceza Kanunu 135. Maddesine göre mümkün değildir. TSG’deki kişisel verilerin kaydedilmesi, işlenmesi hususunun bu madde kapsamına girip girmeyeceğinde anahtar kelime maddede bulunan “hukuka uygunluk” kriteridir. TSG’de ilan edilen ve gizlilik niteliğini yitiren bilgilerin kaydedilmesinin “hukuka uygun” olduğu tartışılmazdır. Nitekim Yüksek Mahkememizin kararlarına göre herkesin erişebileceği bilgilerin her zaman “kişisel veri” olarak anlaşılmayıp, herkesin erişebileceği aleni duruma gelmiş kişisel verilerin alınıp kaydedilmesinin “hukuka uygunluk” nedeni olarak kabul edileceğini söylemek mümkündür.

Ancak, kanunda sadece kaydetme tabirinin geçmesi, işleme teriminin kullanılmaması farklı yorumların yapılmasına imkan verebilmektedir. Bu açıdan Mevzuatımızda, çeşitli sicillerin aleni bilgilerinin “hangi amaca göre” işlenebileceğine ilişkin açık bir hüküm bulunmaması nedeniyle “kişisel verileri işlerken” kişilerin “ticaret sicile ilan için verdikleri bilgilerin verilme amacı” ile sınırlı tutulması önem arz etmektedir. Aksi halde ciddi hukuki ihtilaflar ile karşılaşılması mümkündür.

Halen TBMM’de olan Kişisel Verilerin Korunması Kanunu Tasarısı, bu konuyu ayrıntılı olarak düzenlemiştir. Tasarı, kişisel verilerin işlenmesini tanımlamış ve kural olarak “işlenme”nin kişisel veri sahibinin iznine tabi olduğunu belirtmiştir. Tasarının 6 (ç) bendi ise ilgili kişiler tarafından açıklanmış olması veya açık sicillerde mevcut bilgiler olması sebebiyle herkesçe bilinen kişisel verilerin işlenmesini hukuka uygunluk sebebi olarak kabul etmiştir.

Yine Ticari Sır, Banka Sırrı ve Müşteri Sırrı Hakkında Kanun Tasarısının 3. maddesinde, ticaret sicil bilgilerinin “ticari sır” kapsamına girmeyeceğini açıkça belirtmiştir. Bilgi ve belgelerin açıklanması, kullanılması, verilmesi ve aktarılması ibareleri kullanılmasına rağmen, “işleme” ibaresi bu kanunda yoktur. İşleme konusu bu Kanuna göre biraz müphem olmakla birlikte, aleni bilgilerin işlenmesinin Kanunun 3. bendindeki muafiyetten yararlanması hususu ayrıca değerlendirilmelidir.

Türk Hukukunda Henüz Yerleşmiş Bir Uygulamanın Bulunmaması Nedeniyle, AB Mevzuatı Bize Yorum Noktasında Yol Göstermektedir.

AB mevzuatında, kişisel verilerin toplanması, işlenmesi ve kontrolü; “Kişisel Verilerin İşlenmesi ve Bu Tür Verilerin Serbest Dolaşımına Dair 95/46/EC sayılı AB Direktifinde” (“AB Veri Koruma Direktifi”) düzenlenmektedir. AB Veri Koruma Direktifine göre; “fiziksel, fizyolojik, zihinsel, ekonomik, kültürel veya sosyal kimliğine özel bir veya daha fazla faktöre veya bir kimlik numarasına atıf başta olmak üzere dolaylı olarak veya doğrudan tespit edilmiş veya tespit edilebilir gerçek kişiye (“veri öznesi”) ilişkin her türlü bilgi” kişisel veri olarak kabul edilir.

Bu tanım ışığında yorum yapıldığında, ticaret sicilinde ilan edilen bilgiler kişilerin T.C. kimlik numarası, ad-soyad ve adres gibi bilgileri içermesi halinde, Kişisel Veri olarak kabul edilmelidir. AB Veri Koruma Direktifi uyarınca kişisel verilerin; “adil ve hukuka uygun şekilde işlenmesi” ve “belirli, açık ve meşru amaçlar için toplanması ve bu amaçların ötesinde başka bir amaçla işlenmemesi”; ayrıca “toplama ve işleme amaçları kapsamında yeterli, ilgili ve kapsam bakımından aşırı/fazla olmayan veriler” olması gerekir. Amaç sınırlandırması prensibi, kişisel verilerin toplanması ve işlenmesiyle ilgili en önemli ve hassas konudur. AB Mevzuat ve içtihatlarında yer alan temel kriterler üzerinden her bir olay için ayrıca değerlendirilmesi gerekir.

AB Kişisel Veriler mevzuatındaki bir diğer önemli kavram; “Açık Veri (Open Data)” kavramıdır. Açık veriye ilişkin önemli kaynaklardan biri; 2013 yılında değiştirilen “2003/98/EC sayılı Kamu Sektörü Bilgilerinin Yeniden Kullanımına ilişkin AB Direktifi”dir. (“PSI Direktifi”) PSI Direktifi uyarınca, kamu sektöründeki kurumların ellerinde bulundurdukları kamu bilgilerinin ticari amaçlı veya ticari bir amaç gütmeden yeniden kullanımına izin vermeleri gerektiği belirtilmekle beraber, bu bilgilerin kişisel veri içermesi halinde; yeniden kullanımı gerçekleştirecek kişi, kurum veya şirketlerin, kişisel verilerin korunmasına ilişkin mevzuata uygun davranmaları gerektiğinin üzerinde durulmaktadır. Bu doğrultuda kamuya ifşa edilen kişisel verilerin yeniden kullanımı çeşitli kurallarla sınırlandırılmaktadır.

Neticeten, tüm bu ilkeler ışığında; kamu kurumlarına verilen bilginin, şahıslara ait T.C. kimlik numarası, adres ve sair kişisel bilgileri içermesi halinde, bu tip kişisel verilerin farklı amaçlarca işlenmesi ve paylaşılması noktasında konunun çok hassas değerlendirilmesi, kullanım sınırlarının hukuka uygun biçimde tespit edilmesi gerektiği açıktır. Bahse konu kanun tasarıları yürürlüğe girdiğinde, bu kanunların yorumu AB Hukukundaki uygulamalar ışığında yapılmalıdır.

Av. Beril Çelebi Cem