Kişisel Verileri Koruma Kurulu’nun Re'sen ve Yerinde İnceleme Yetkisi

GİRİŞ

Kişisel Verileri Koruma Kurulu (“Kurul”), 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“Kanun” veya “KVKK”) öngördüğü üzere, Kişisel Verileri Koruma Kurumu’nun karar organı olup, kişisel verilerin korunmasına yönelik denetim ve düzenleme faaliyetlerini yürütmekle yetkili ve görevli mercidir.

Kurul, Kanun’un kendisine tanıdığı yetki çerçevesinde kişisel verilerin işlenmesinde hukuka uygunluğun sağlanması, ihlallerin önlenmesi ve ihlalin tespiti halinde gerekli idari yaptırımların uygulanması amacıyla çeşitli inceleme mekanizmalarına sahiptir. Bu kapsamda Kurul’un denetim yetkisini kullanabileceği başlıca iki yol bulunmaktadır:

• Şikâyet Üzerine İnceleme: Kişisel verilerinin hukuka aykırı olarak işlendiğini düşünen “ilgili kişiler”in (veri sahiplerinin) Kurul’a başvuruda bulunması suretiyle başlatılan incelemelerdir.

• Re’sen İnceleme: Herhangi bir başvuru veya şikâyet bulunmaksızın, Kurul’un kendiliğinden harekete geçerek bir olayı veya uygulamayı inceleme konusu yapmasıdır.

Bunun yanı sıra, Kanun’un 15. maddesi Kurul’a, gerekli görmesi halinde ilgili veri sorumlusu nezdinde yerinde inceleme yapma yetkisini de tanımaktadır. Bu yetki, Kurul’un denetim faaliyetlerini yalnızca beyan ve belgeler üzerinden değil, doğrudan teknik, idari ve fiziki ortamda yürütmesine olanak tanır. Böylelikle somut tespitlere dayanan, daha kapsamlı ve etkin bir denetim süreci gerçekleştirilebilmektedir.

Bu çalışmada, Kurul’un re’sen inceleme ve yerinde inceleme yetkilerinin hukuki dayanakları, uygulama alanları ve Kurul kararları ışığında bu yetkilerin kullanım biçimleri ele alınmaktadır.

A. RE’SEN İNCELEME YETKİSİ

Yetkinin Hukuki Dayanağı ve Kapsamı

Kanun uyarınca Kurul, kişisel verilerin korunması alanında görev alanına giren konularda, şikâyet üzerine veya ihlâl iddiasını öğrenmesi halinde re’sen gerekli incelemeyi yapma yetkisine sahiptir. Bu çerçevede Kurul, yalnızca başvuruya dayalı durumlarla sınırlı olmaksızın, bir veri ihlalini herhangi bir yolla öğrenmesi halinde kendiliğinden inceleme başlatabilmektedir.

Nitekim Kanun’un 15. maddesinde bu husus açıkça düzenlenmiş olup, “Kurul, şikâyet üzerine veya ihlâl iddiasını öğrenmesi durumunda re’sen, görev alanına giren konularda gerekli incelemeyi yapar.” şeklindedir. Görüleceği üzere, hüküm Kurul’un re’sen inceleme yetkisini belirli bir konu veya koşulla sınırlandırmamış; “görev alanına giren konularda” ihlâl iddiasını öğrenmesi halinde inceleme yapılabileceğini düzenlemiştir.

Re’sen İnceleme Yetkisinin Kullanım Alanı

Kurul’un re’sen inceleme yetkisi, yalnızca başvuruya dayalı olmayan durumlarda da kişisel verilerin korunması alanında etkin bir denetim yürütmesine olanak tanımaktadır. Bu kapsamda, Kurul’un kendi inisiyatifiyle harekete geçmesi belirli koşullara bağlıdır.

Bu çerçevede, veri ihlaline ilişkin şikâyet, ihbar, haber, bildirim veya duyum gibi her türlü bilgi Kurul’un re’sen inceleme yetkisini harekete geçirebilir. Her ne kadar uygulamada Kurul çoğunlukla şikâyet üzerine işlem başlatmakta ise de şikâyet dışı ihlallerde de re’sen inceleme yetkisini etkin biçimde kullandığı görülmektedir.

Kurul’un bu yetkisini kullanabilmesi, ihlâl iddiasını öğrenmiş olmasına bağlıdır. Bu öğrenme, Kurul’un kendi bilgi kaynakları aracılığıyla olabileceği gibi; üçüncü kişilerden gelen ihbarlar, medyada yer alan haberler, sosyal medya paylaşımları veya belirli bir kurum hakkında yinelenen şikâyet ve bildirimler üzerinden de gerçekleşebilir.

Uygulamada Re’sen İnceleme Örnekleri

Ø 27/04/2021 tarihli ve 2021/426 sayılı Karar: “Bir e-ticaret sitesindeki partner firmaya, e-ticaret sitesinin hizmet aldığı yardım masası panelinde yapılan toplu yetkilendirme çalışması esnasında, yanlış yetki verilmesi sonucunda üçüncü taraf diğer firmaların yardım masasında açtıkları bildirimlere erişim sağlamasıyla gerçekleşen veri ihlalinin, partner firma tarafından Kurulumuza bildirilmesi neticesinde Kişisel Verileri Koruma Kurulu tarafından re’sen inceleme başlatılmıştır.”

Kurul, bir e-ticaret platformunda meydana gelen toplu yetkilendirme hatası sonucu üçüncü taraf firmaların birbirlerinin yardım masası kayıtlarına erişebilmesi üzerine, konunun partner firma tarafından yapılan bildirimle kendisine ulaşması sonucu re’sen inceleme başlatmıştır.

Ø 17/08/2023 tarihli ve 2023/1430 sayılı Karar: “Kurula intikal eden ihbarda, yemek kartı hizmeti sunan veri sorumlusuna ait mobil uygulamayı kullanmak için kayıt olurken kişilerin T.C. kimlik numarası bilgilerinin istendiğinin belirtilmesi üzerine konu hakkında Kişisel Verileri Koruma Kurulu (Kurul) tarafından re’sen inceleme başlatılmıştır. Mobil uygulama üzerinde yapılan incelemede, mobil uygulamaya kayıt olurken isim, soy isim, telefon numarası, doğum tarihi ve e-posta bilgilerinin talep edildiği; kişi profiline yemek kartı tanımlanmak istendiğinde ise girilen bilgilerin T.C. kimlik numarası ile karşılaştırılacağının belirtildiği tespit edilmiştir.”

Bir yemek kartı uygulamasına ilişkin olarak, kullanıcı kayıt sürecinde T.C. kimlik numarası bilgisinin talep edildiğine yönelik ihbar üzerine, Kurul herhangi bir doğrudan şikâyet bulunmaksızın re’sen inceleme başlatmıştır. İnceleme neticesinde mobil uygulamada talep edilen kişisel veri türleri ve T.C. kimlik numarasıyla yapılan eşleştirmelere ilişkin teknik tespitler yapılmıştır.

Bu karar, ihlâlden doğrudan etkilenmeyen üçüncü kişilerin başvurularının da “ihbar” niteliğinde değerlendirilebileceğini ve Kurul’un bunları re’sen inceleme sürecine konu edebileceğini göstermektedir.

Ø TikTok Pte. Ltd. (“TikTok”) Hakkında 2023/134 sayılı Karar: “İnternet ve sosyal medya platformlarında TikTok uygulaması ile ilgili olarak açık rızanın 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında usulüne uygun alınmadığı, kişisel verilerin elde edilmesi ve saklanması hususunda hukuka aykırılıkların bulunduğu ve yazılıma ait birçok güvenlik açığı olduğuna yönelik muhtelif haber ve şikâyetlerden hareketle Kişisel Verileri Koruma Kurulu tarafından 6698 sayılı Kanun’un 15’inci maddesinin (1) numaralı fıkrası kapsamında re’sen inceleme başlatılmasına karar verilmiştir. Konuya ilişkin veri sorumlusundan alınan savunma yazıları ve bununla bağlantılı olarak Gizlilik Politikası ve Hizmet Koşullarının incelenmesi neticesinde, Kişisel Verileri Koruma Kurulu’nun 2023/134 sayılı Kararı ile;”

Kurul, çeşitli medya kaynaklarında ve sosyal platformlarda yer alan haber ve iddialar üzerine, TikTok uygulamasında açık rızanın usulüne uygun alınmadığı ve kişisel verilerin işlenmesine ilişkin güvenlik açıklarının bulunduğu yönündeki bilgilerden hareketle, herhangi bir şikâyet ya da ihbar bulunmaksızın re’sen inceleme başlatmıştır.

Bu karar, Kurul’un yalnızca bireysel başvurulara dayanmadığını; kamuya yansıyan bilgi ve iddialar çerçevesinde de 6698 sayılı Kanun’un 15. maddesine dayanarak kendiliğinden harekete geçebildiğini göstermektedir.

Anılan kararlar birlikte değerlendirildiğinde, re’sen incelemelerin çoğunlukla üçüncü kişilerden gelen ihbarlar üzerine başlatıldığı görülmekteyse de bu yetki yalnızca ihbarlara özgülenmiş değildir. Kurul gerek kamuoyuna yansıyan bilgiler gerekse kendi tespitleri doğrultusunda da inceleme başlatabilmekte; böylelikle kişisel verilerin korunması alanında proaktif bir denetim fonksiyonu üstlenmektedir.

B. YERİNDE İNCELEME YETKİSİ

Kurul, re’sen veya şikâyet üzerine başlattığı denetim süreçlerini çoğunlukla yazılı bilgi ve belge talepleri aracılığıyla yürütmektedir. Ancak Kanun, gerekli görülen hâllerde Kurul’a, ihlâl iddialarını doğrudan yerinde ve somut biçimde tespit edebilmesi amacıyla yerinde inceleme yetkisi de tanımaktadır. Bu yetki, Kurul’un inceleme konusunu doğrudan veri sorumlusunun fizikî mekânında, veri işleme ortamında ve teknik altyapısında değerlendirmesine imkân tanır. Dolayısıyla, Kurul’un gerekli gördüğü durumlarda yerinde inceleme yapılması yalnızca bir yetki değil; veri sorumlusunun iş birliği yükümlülüğünü de doğuran zorunlu bir süreçtir.

Yetkinin Hukuki Dayanağı ve Kapsamı

Kanun’un 15/3. fıkrası uyarınca: “Devlet sırrı niteliğindeki bilgi ve belgeler hariç; veri sorumlusu, Kurul’un inceleme konusuyla ilgili istemiş olduğu bilgi ve belgeleri on beş gün içinde göndermek ve gerektiğinde yerinde inceleme yapılmasına imkân sağlamak zorundadır.”

Bu hüküm uyarınca veri sorumluları, Kurul’un talep ettiği bilgi ve belgeleri belirlenen süre içinde sunmak ve Kurul uzmanlarına yerinde inceleme olanağı sağlamakla yükümlüdür. Dolayısıyla Kurul’un gerekli görmesi halinde yerinde inceleme yapılması, yalnızca bir yetki değil, aynı zamanda veri sorumlusunun iş birliği yükümlülüğünü doğuran zorunlu bir süreç niteliğindedir.

Uygulama Koşulları ve Kurul’un Takdir Yetkisi

Her ne kadar Kanun Kurul’a bu yetkiyi tanımış olsa da yerinde incelemenin hangi aşamalarda devreye gireceği, sınırları ve usulü kanunda açıkça düzenlenmemiştir. Bu nedenle, yerinde inceleme yapılmasına karar verilmesi hususu Kurul’un takdirine bağlıdır. Uygulamada yerinde inceleme,

(i) Yazılı bilgi ve belgelerin yeterli bulunmaması,

(ii) Teknik karmaşıklığın yalnızca sahada tespit edilebilmesi,

(iii) Güvenlik tedbirlerinin fiilen gözlemlenmesi gerekliliği,

(iv) Taraf beyanlarının doğruluğunun kontrol edilmesi,

(v) Delil bütünlüğünün sağlanması

durumlarında tamamlayıcı bir yöntem olarak tercih edilmektedir.

Kurul Kararları ve Uygulama Örnekleri

Ø 28.09.2023 tarihli ve 2023/1645 sayılı Karar: “Söz konusu cevap metninden, veri sorumlusu tarafından ilgili kişinin kişisel verisi niteliğindeki e-posta adresi ve IP adresinin yurtdışına aktarımının yapılıp yapılmadığı hususunda kesin bir kanaate varılamadığından, veri sorumlusunun ofisi ve hizmet aldığı bir diğer firmanın merkezinin ziyaret edilmesi suretiyle yerinde inceleme gerçekleştirilmiştir.”

Kurul, veri sorumlusu tarafından sunulan bilgi ve belgelerin kişisel verilerin yurt dışına aktarımı konusunda kesin kanaat oluşturmaya elverişli bulunmaması üzerine, veri sorumlusunun ofisi ile hizmet sağlayıcı firmanın merkezinde yerinde inceleme yapılmasına karar vermiştir.

Bu karar, yerinde incelemenin yalnızca ihlâl tespitine değil, aynı zamanda eksik veya çelişkili delillerin tamamlanmasına yönelik bir araç olarak kullanıldığını göstermektedir.

Ø 03.02.2021 tarihli ve 2021/78 sayılı Karar: “Şikayetçinin veri sorumlusu bünyesinde çalıştığı sırada kişisel verilerin korunması konusunda uyarılmasına rağmen şirketi suçlayıcı ve gerçeğe aykırı beyanlarda bulunduğu, şikayetçinin dürüstlük kuralına, hukuka ve hakkaniyete aykırı davrandığı, iddiaların asılsız olduğunun yapılacak yerinde inceleme ile kolayca anlaşılabileceği, ilgili telekomünikasyon şirketi tarafından veri sorumlusunun 9000 işleminin incelendiği ve hiçbir usulsüz işleme rastlanılmadığı, ayrıca şikayetçinin müşteri verilerini sisteme doğru işlememesinden kaynaklı cezaların veri sorumlusuna rücu edildiği”

Bu kararda veri sorumlusu, kendisine yöneltilen iddiaların asılsız olduğunu kanıtlayabilmek amacıyla yerinde inceleme talebinde bulunmuştur.

Kurul, veri sorumlusunun savunmasının doğrulanması için yerinde inceleme yapılmasını uygun görmüş; bu da söz konusu incelemenin yalnızca Kurul’un re’sen başlattığı bir süreç değil, taraf beyanları doğrultusunda da gündeme gelebileceğini göstermektedir.

Ø 27.04.2021 tarihli ve 2021/426 sayılı Karar: “Yardım masası paneli hizmeti veren veri sorumlusu nezdinde yapılan yerinde inceleme ve konuya ilişkin ifadelerin yer aldığı tutanakta;

• Veri ihlalinin, veri sorumlusunun kendi yardım masası üzerinde yapılan toplu yetkilendirme çalışması esnasında, veri tabanı katmanında çalıştırılan SQL Script kodundaki bir hata sonucu oluştuğu,

• Yapılan hata sonucu partner firmanın yer aldığı gruba yanlış yetki verilmesiyle, partner firmanın kendi yardım masası bildirimleri haricinde grup içerisinde yer alan diğer firmaların da yardım masası bildirimlerine ulaşabildiği,

• Veri sorumlusu tarafından yapılan analiz çalışması sonucunda yalnızca söz konusu partner firmanın diğer yardım masası bildirimlerine erişim sağladığının tespit edildiği,

• Durumun tespit edilmesinin ardından partner firmaya ait yardım masası yetkisinin derhal kaldırılarak erişimin engellendiği,

• Partner firma tarafından veri sorumlusuna gönderilen e-postada, diğer firmalara ait bilgileri görebildikleri, kendileriyle iletişime geçilmemesi halinde ihbarda bulunacaklarının bildirildiği, veri sorumlusu avukatınca ise partner firmaya yasal hatırlatma yapılarak erişilen verilerin silinmesinin talep edildiği,

• Veri ihlalinden 13 farklı veri sorumlusu niteliği taşıyan firmanın etkilendiği ve ihlalden etkilenen veri sorumlularına olayın e-posta yoluyla bildirildiği,

• Yazılım üzerindeki özelliklerin tüm veri sorumluları için standart olduğu, bu standardın belirlenmesinde yardım masası paneli hizmeti veren veri sorumlusunun karar verici konumda bulunduğu, ancak gelen kullanıcı geri bildirimleri doğrultusunda ürün özelliklerinin versiyon planı dâhilinde değerlendirildiği ve kullanıcıların esnek form ve iş akışları tasarlayabildikleri, böylelikle kendilerine özel ekranlar oluşturabildikleri”

Yardım masası paneli hizmeti veren bir veri sorumlusu nezdinde gerçekleştirilen yerinde inceleme sonucunda;

(i)    veri ihlalinin, veri tabanında çalıştırılan hatalı bir SQL Script nedeniyle meydana geldiği,

(ii)    bu hata sonucunda yetki dışı erişimlerin mümkün hâle geldiği,

(iii)   ihlalin fark edilmesinin ardından yetkinin derhal kaldırıldığı,

(iv)   yazılım altyapısının ve versiyon planlamasının tüm kullanıcılar için standart biçimde

işlendiği tespit edilmiştir.

Bu tür tespitlerin yalnızca yazılı beyanlarla değil, yerinde teknik inceleme yoluyla yapılabileceği açıktır. Bu nedenle Kurul, teknik altyapının ve yetkilendirme süreçlerinin doğrudan incelenebilmesi amacıyla yerinde inceleme kararı vermiştir.

Kurul kararları bir bütün olarak değerlendirildiğinde, yerinde inceleme yetkisinin yalnızca bir ihlâli doğrulama aracı değil; aynı zamanda teknik tespit, sistem analizi ve delil bütünlüğünün sağlanması amacına hizmet eden tamamlayıcı bir denetim yöntemi olduğu görülmektedir. Yerinde inceleme hem Kurul’un re’sen başlattığı denetimlerde hem de şikâyet veya taraf beyanları üzerine yürütülen süreçlerde uygulanabilmektedir. Özellikle teknik altyapı, yazılım sistemleri ve güvenlik mekanizmalarının işleyişinin yerinde değerlendirilmesini gerektiren hâllerde, bu yöntem gerçeğe ulaşmanın en etkili aracı olarak öne çıkmaktadır.

SONUÇ

Sonuç itibarıyla, yerinde inceleme Kurul açısından hem denetim hem de doğrulama işlevi gören, idari inceleme sürecinin en etkin araçlarından biridir. Kurul, bu yetkisini kullanırken yalnızca belge ve beyanlarla yetinmemekte; gerektiğinde teknik sistemlere, veri tabanlarına ve fiziksel ortamlara doğrudan erişim sağlayarak incelemeyi sahada gerçekleştirmektedir.

6698 sayılı Kanun’un 15/3. maddesi uyarınca, “devlet sırrı” kapsamındaki bilgiler hariç olmak üzere yerinde inceleme bakımından herhangi bir sınırlama öngörülmemiştir. Bu düzenleme, Kurul’a geniş bir takdir alanı tanımakta; aynı zamanda veri sorumlularına da bu inceleme sürecinde iş birliği yükümlülüğü getirmektedir. Bununla birlikte, yerinde inceleme yetkisinin kullanımı, ölçülülük ilkesi, amaçla sınırlı olma ve veri güvenliğini gözetme esaslarıyla dengelenmelidir.

Yerinde inceleme uygulaması, özellikle teknik nitelikli veri ihlallerinde, yalnızca ihlalin doğrulanması değil; ihlal kapsamının tespiti, delil bütünlüğünün korunması ve sistem zafiyetlerinin belirlenmesi açısından da kritik bir rol üstlenmektedir. Bu yönüyle yerinde inceleme, Kurul’un karar alma süreçlerinde soyut beyanlardan ziyade nesnel teknik tespitlere dayalı bir değerlendirme yapabilmesini sağlamaktadır.

Sonuç olarak, yerinde incelemenin usul ve esaslarına ilişkin ayrıntılı bir ikincil düzenlemenin henüz bulunmaması, uygulamanın somut olayın özelliklerine göre şekillenmesine olanak tanımaktadır. Ancak, Kurul kararlarında yerleşmeye başlayan bu uygulama pratiği, ilerleyen dönemde yerinde incelemenin kapsamı, yöntemi ve sınırlarının daha belirgin hale gelmesine katkı sağlayacaktır.