1. Maddenin Sistematiği ve Genel Açıklama
Bu madde, Kişisel Verileri Koruma Kurulu’nun (Kurul) egemenlik sınırlarını, yasal yetki alanını ve işlevsel enstrümanlarını belirleyen "Yetki ve Görev Beyannamesi" niteliğindedir. Kurul, sadece şikâyetleri inceleyen pasif bir merci değildir; aynı zamanda kural koyan (kural koyucu/düzenleyici), uygulayan (denetleyici) ve cezalandıran (yaptırım uygulayıcı) "üçüz yetki yapısı" (triple-hatted authority) ile donatılmıştır.
Bu madde kapsamında Kurul, hem idari teşkilat içinde ikincil düzenlemelerle (yönetmelik, tebliğ, ilke kararı) sektörel kuralları belirleme hem de somut ihlalleri çözüme kavuşturarak hak ihlallerini giderme gücünü kendisinde barındırır. Bu yönüyle Kurul, Amerikan idare hukukundaki "quasi-legislative" (yarı-yasama) ve "quasi-judicial" (yarı-yargısal) kurum tipolojisinin Türkiye’deki en somut örneklerinden biridir.
2. Maddedeki Kavramların Analizi
Şikâyet Üzerine veya Resen İnceleme Yetkisi (m. 22/1-b, c):
Kurul, veri sahiplerinin başvurularını (şikâyetlerini) incelemek ve karara bağlamakla yükümlüdür. Bunun yanında, basına yansıyan sızıntılar, kamuya açık ihlal bildirimleri veya duyumlar üzerine herhangi bir şikâyet olmaksızın doğrudan resen (ex officio) inceleme başlatma yetkisine sahiptir. Bu durum, veri koruma rejiminin kamu düzeni niteliğinde olduğunu tescil eder.
Geçici Önlem Alma Yetkisi (m. 22/1-c):
Kurul’un en dinamik ve güçlü yetkilerinden biridir. Yargılamadaki "ihtiyati tedbir" (injunction) müessesesine benzeyen bu yetkiyle Kurul, inceleme devam ederken telafisi imkânsız zararların doğmasını engellemek amacıyla; veri işleme faaliyetinin geçici olarak durdurulmasına, verilerin yurt dışına aktarımının askıya alınmasına veya sistemlerin mühürlenmesine karar verebilir. Bu kararlar idari açıdan derhal uygulanmak zorundadır, uyulmaması m. 18 kapsamında ayrıca cezalandırılır.
Özel Nitelikli Veriler İçin "Yeterli Önlemleri" Belirleme Yetkisi (m. 22/1-ç):
Sağlık, biyometri, din, mezhep, sendika gibi hassas verilerin işlenmesi yüksek risk barındırır. Kurul, m. 6 ile bağlantılı olarak bu verilerin işlenmesinde uyulması gereken asgari güvenlik standartlarını belirleme yetkisine sahiptir. Kurul bu yetkiye dayanarak 31/01/2018 tarihli ve 2018/10 sayılı "Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler" kararını yayımlamıştır. Bu karar, şifreleme standartlarından, erişim loglarının tutulmasına, personel sözleşmelerindeki gizlilik hükümlerine kadar uyulması zorunlu teknik bir anayasadır.
Kural Koyma / Düzenleyici İşlem Yapma Yetkisi (m. 22/1-e, f, g):
Kurul; veri güvenliği, veri sorumlusu temsilciliği, sicil (VERBİS) kuralları ve idari yaptırımların uygulanması gibi konularda genel düzenleyici işlemler (yönetmelikler, tebliğler) yapar. Bu düzenlemeler tüm veri sorumluları için bağlayıcıdır ve Resmi Gazete’de yayımlanarak yürürlüğe girer.
Yasama Taslakları Hakkında Görüş Bildirme Yetkisi (m. 22/1-h):
Diğer bakanlıklar veya kurumlar (örn: Sağlık Bakanlığı, BDDK, BTK) kendi alanlarında kişisel veri içeren yasa veya yönetmelik taslakları hazırladıklarında Kurul'un görüşünü almak zorundadır. Bu yetki, Türk mevzuat sisteminde kişisel veri koruma normlarının tutarlılığını ve parçalı/aykırı düzenlemelerin engellenmesini sağlayan bir "anayasal filtre" işlevi görür.
3. Sistematik İlişkiler
Madde 22; Kanunun temel ilkelerini düzenleyen 4. maddesiyle, özel nitelikli verileri düzenleyen 6. maddesiyle, veri güvenliğini düzenleyen 12. maddesiyle, şikayet ve inceleme usulünü düzenleyen 14 ve 15. maddeleriyle ve yaptırımları düzenleyen 18. maddesiyle organik bir bağ içindedir. Kurul'un tüm faaliyetleri 22. maddedeki bu yetki matrisine dayanır.
4. Uygulama: Kurul'un Düzenleyici ve Denetleyici Pratiği
- İlke Kararları: Kurul, bireysel şikâyetleri incelerken uyuşmazlığın yaygın karakterde olduğunu tespit ederse, tüm sektörü bağlayıcı "İlke Kararları" (general/precedential decisions) alır. Örn: "Bankacılık ve finans sektöründe SMS ile şifre gönderimi", "Kara listeye alma uygulamaları", "Çerezlerin (cookies) kullanımı" gibi konularda yayımlanan ilke kararları, somut olay adaletiyle genel regülasyon arasındaki köprüyü kurar.
- GDPR Karşılaştırması: GDPR m. 58'de düzenlenen denetim makamının yetkileri (soruşturma, düzeltme, izin verme yetkileri) ile KVKK m. 22 yetkileri büyük ölçüde örtüşmektedir. Ancak GDPR'da yer alan "veri koruma etki analizi" (DPIA) onaylama gibi bazı ileri düzey metodolojik onay yetkileri, Türk mevzuatında henüz Kurul'a açıkça ve detaylıca kodlanmamıştır.
5. Pratik Örnek Olaylar
Örnek 1 (Geçici Önlem Uygulaması):
Bir mobil uygulama, kullanıcıların rehber verilerini rızaları olmaksızın sunucularına yüklemekte ve bunu internette sorgulanabilir hale getirmektedir. Şikâyet üzerine Kurul inceleme başlatmıştır. İncelemenin aylar sürebileceği ve bu esnada milyonlarca kişinin rehber verisinin sızmaya devam edeceği anlaşıldığından, Kurul m. 22/1-c uyarınca "geçici önlem" kararı alarak ilgili uygulamanın veri işleme faaliyetini derhal durdurmasını, veri tabanına erişimin engellenmesini BTK aracılığıyla talep etmiştir. Uygulama, inceleme tamamlanana kadar bloke edilmiştir.
Örnek 2 (Yasa Taslağına Müdahale):
Ulaştırma alanında hazırlanan bir kanun teklifi taslağında, "tüm yolcuların seyahat geçmişlerinin ve biyometrik yüz verilerinin merkezi bir veritabanında süresiz olarak saklanacağı" hükmüne yer verilmiştir. Taslak görüş için Kurum’a gönderildiğinde, Kurul m. 22/1-h yetkisini kullanarak; bu düzenlemenin Anayasa’nın 20. maddesine, ölçülülük ilkesine ve KVKK m. 4'e aykırı olduğuna dair olumsuz akademik görüş bildirmiştir. Bu görüş doğrultusunda taslak metin değiştirilerek biyometrik verilerin süresiz saklanması hükmü tasarıdan çıkarılmıştır.
6. Pratik Uygulama Notları
- Özel Nitelikli Veri İşleyenlerin Dikkatine: 2018/10 sayılı Yeterli Önlemler Kararı'na aykırı olarak özel nitelikli kişisel veri işlemek (örn: çalışanların sağlık raporlarını şifresiz Excel dosyalarında veya kilitlenmeyen dolaplarda saklamak), veri sızıntısı olmasa dahi tek başına veri güvenliği ihlali (m. 12) kabul edilir ve m. 18/1-b uyarınca idari para cezası yaptırımına yol açar. Özel nitelikli veri işleyen her şirket, bu karardaki teknik ve idari kontrol listesini birebir uygulamalıdır.
- Görüş Talepleri: Şirketler, geliştirdikleri yeni ve karmaşık dijital iş modellerinde (örn: blockchain tabanlı veri saklama, biyometrik ödeme sistemleri) yasal uyum risklerini sıfırlamak adına Kurum'dan gayriresmi veya resmi görüş talep edebilirler. Kurul'un vereceği olumlu görüşler, ileride doğabilecek ceza risklerine karşı en güçlü hukuki kalkandır.
7. Eleştirel Değerlendirme
- Kararların Gerekçelendirilmesi Sorunu: Uygulamada ve akademik çevrelerde, Kurul kararlarının bazen çok kısa, dogmatik gerekçelerden yoksun ve soyut ifadelerle (örn: "veri güvenliği yükümlülüğünün ihlal edildiği anlaşıldığından...") yazıldığı eleştirilmektedir. Oysa Kurul’un bir quasi-judicial organ olarak, idari para cezası keserken veya hak ihlali kararı verirken, tarafların tüm hukuki savunmalarını tek tek tartışması, adil yargılanma ve şeffaflık ilkelerinin gereğidir. Yargı yolunun İdare Mahkemelerine geçmesiyle birlikte, yetersiz gerekçeli Kurul kararlarının mahkemelerce usulden iptal edilme sıklığı artacaktır. Bu durum Kurul'u daha doyurucu ve akademik kalitede kararlar yazmaya zorlayacaktır.
Metodolojik Not
Bu akademik yorum ve analiz; Kişisel Verileri Koruma Kurulu’nun yasa koyucu, denetleyici ve yaptırım uygulayıcı üçlü yetki matrisini, geçici önlem (ihtiyati tedbir benzeri) mekanizmasını, özel nitelikli verilerdeki teknik asgari standartları ve yasama taslakları üzerindeki anayasal filtre rolünü 6698 sayılı Kanun’un 22. maddesi çerçevesinde Av. Fethi Güzel'in veri koruma hukuku ve regülasyon mimarisi alanındaki kuramsal ve pratik tecrübesiyle ele almaktadır.
1. Maddenin Sistematiği ve Genel Açıklama
Bu madde, Kişisel Verileri Koruma Kurulu’nun (Kurul) egemenlik sınırlarını, yasal yetki alanını ve işlevsel enstrümanlarını belirleyen "Yetki ve Görev Beyannamesi" niteliğindedir. Kurul, sadece şikâyetleri inceleyen pasif bir merci değildir; aynı zamanda kural koyan (kural koyucu/düzenleyici), uygulayan (denetleyici) ve cezalandıran (yaptırım uygulayıcı) "üçüz yetki yapısı" (triple-hatted authority) ile donatılmıştır.
Bu madde kapsamında Kurul, hem idari teşkilat içinde ikincil düzenlemelerle (yönetmelik, tebliğ, ilke kararı) sektörel kuralları belirleme hem de somut ihlalleri çözüme kavuşturarak hak ihlallerini giderme gücünü kendisinde barındırır. Bu yönüyle Kurul, Amerikan idare hukukundaki "quasi-legislative" (yarı-yasama) ve "quasi-judicial" (yarı-yargısal) kurum tipolojisinin Türkiye’deki en somut örneklerinden biridir.
2. Maddedeki Kavramların Analizi
Şikâyet Üzerine veya Resen İnceleme Yetkisi (m. 22/1-b, c): Kurul, veri sahiplerinin başvurularını (şikâyetlerini) incelemek ve karara bağlamakla yükümlüdür. Bunun yanında, basına yansıyan sızıntılar, kamuya açık ihlal bildirimleri veya duyumlar üzerine herhangi bir şikâyet olmaksızın doğrudan resen (ex officio) inceleme başlatma yetkisine sahiptir. Bu durum, veri koruma rejiminin kamu düzeni niteliğinde olduğunu tescil eder.
Geçici Önlem Alma Yetkisi (m. 22/1-c): Kurul’un en dinamik ve güçlü yetkilerinden biridir. Yargılamadaki "ihtiyati tedbir" (injunction) müessesesine benzeyen bu yetkiyle Kurul, inceleme devam ederken telafisi imkânsız zararların doğmasını engellemek amacıyla; veri işleme faaliyetinin geçici olarak durdurulmasına, verilerin yurt dışına aktarımının askıya alınmasına veya sistemlerin mühürlenmesine karar verebilir. Bu kararlar idari açıdan derhal uygulanmak zorundadır, uyulmaması m. 18 kapsamında ayrıca cezalandırılır.
Özel Nitelikli Veriler İçin "Yeterli Önlemleri" Belirleme Yetkisi (m. 22/1-ç): Sağlık, biyometri, din, mezhep, sendika gibi hassas verilerin işlenmesi yüksek risk barındırır. Kurul, m. 6 ile bağlantılı olarak bu verilerin işlenmesinde uyulması gereken asgari güvenlik standartlarını belirleme yetkisine sahiptir. Kurul bu yetkiye dayanarak 31/01/2018 tarihli ve 2018/10 sayılı "Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler" kararını yayımlamıştır. Bu karar, şifreleme standartlarından, erişim loglarının tutulmasına, personel sözleşmelerindeki gizlilik hükümlerine kadar uyulması zorunlu teknik bir anayasadır.
Kural Koyma / Düzenleyici İşlem Yapma Yetkisi (m. 22/1-e, f, g): Kurul; veri güvenliği, veri sorumlusu temsilciliği, sicil (VERBİS) kuralları ve idari yaptırımların uygulanması gibi konularda genel düzenleyici işlemler (yönetmelikler, tebliğler) yapar. Bu düzenlemeler tüm veri sorumluları için bağlayıcıdır ve Resmi Gazete’de yayımlanarak yürürlüğe girer.
Yasama Taslakları Hakkında Görüş Bildirme Yetkisi (m. 22/1-h): Diğer bakanlıklar veya kurumlar (örn: Sağlık Bakanlığı, BDDK, BTK) kendi alanlarında kişisel veri içeren yasa veya yönetmelik taslakları hazırladıklarında Kurul'un görüşünü almak zorundadır. Bu yetki, Türk mevzuat sisteminde kişisel veri koruma normlarının tutarlılığını ve parçalı/aykırı düzenlemelerin engellenmesini sağlayan bir "anayasal filtre" işlevi görür.
3. Sistematik İlişkiler
Madde 22; Kanunun temel ilkelerini düzenleyen 4. maddesiyle, özel nitelikli verileri düzenleyen 6. maddesiyle, veri güvenliğini düzenleyen 12. maddesiyle, şikayet ve inceleme usulünü düzenleyen 14 ve 15. maddeleriyle ve yaptırımları düzenleyen 18. maddesiyle organik bir bağ içindedir. Kurul'un tüm faaliyetleri 22. maddedeki bu yetki matrisine dayanır.
4. Uygulama: Kurul'un Düzenleyici ve Denetleyici Pratiği
5. Pratik Örnek Olaylar
Örnek 1 (Geçici Önlem Uygulaması): Bir mobil uygulama, kullanıcıların rehber verilerini rızaları olmaksızın sunucularına yüklemekte ve bunu internette sorgulanabilir hale getirmektedir. Şikâyet üzerine Kurul inceleme başlatmıştır. İncelemenin aylar sürebileceği ve bu esnada milyonlarca kişinin rehber verisinin sızmaya devam edeceği anlaşıldığından, Kurul m. 22/1-c uyarınca "geçici önlem" kararı alarak ilgili uygulamanın veri işleme faaliyetini derhal durdurmasını, veri tabanına erişimin engellenmesini BTK aracılığıyla talep etmiştir. Uygulama, inceleme tamamlanana kadar bloke edilmiştir.
Örnek 2 (Yasa Taslağına Müdahale): Ulaştırma alanında hazırlanan bir kanun teklifi taslağında, "tüm yolcuların seyahat geçmişlerinin ve biyometrik yüz verilerinin merkezi bir veritabanında süresiz olarak saklanacağı" hükmüne yer verilmiştir. Taslak görüş için Kurum’a gönderildiğinde, Kurul m. 22/1-h yetkisini kullanarak; bu düzenlemenin Anayasa’nın 20. maddesine, ölçülülük ilkesine ve KVKK m. 4'e aykırı olduğuna dair olumsuz akademik görüş bildirmiştir. Bu görüş doğrultusunda taslak metin değiştirilerek biyometrik verilerin süresiz saklanması hükmü tasarıdan çıkarılmıştır.
6. Pratik Uygulama Notları
7. Eleştirel Değerlendirme
Metodolojik Not
Bu akademik yorum ve analiz; Kişisel Verileri Koruma Kurulu’nun yasa koyucu, denetleyici ve yaptırım uygulayıcı üçlü yetki matrisini, geçici önlem (ihtiyati tedbir benzeri) mekanizmasını, özel nitelikli verilerdeki teknik asgari standartları ve yasama taslakları üzerindeki anayasal filtre rolünü 6698 sayılı Kanun’un 22. maddesi çerçevesinde Av. Fethi Güzel'in veri koruma hukuku ve regülasyon mimarisi alanındaki kuramsal ve pratik tecrübesiyle ele almaktadır.