10.12.2021

Yazarlar: Berfu Yalçın, Oğuz Çerçi, Serdarhan Güler

Geçtiğimiz günlerde, YemekSepeti’nin hacklenmiş olduğu ve milyonlarca müşterisinin kişisel verilerinin çalındığı iddia edilmişti. İlgili verileri ele geçirdiğini iddia eden kişiler, bu verilerin sızdırılmaması karşılığında para talep etmiş, bu talepleri reddedilince de 20 bin kişinin kişisel verilerini internetten paylaşmıştı. Bu hususta KVKK re’sen soruşturma başlattığını kamuoyuna duyurdu. KVKK daha önce 29 Mart 2021’de de YemekSepeti hakkında inceleme başlatmıştı. Bu soruşturmalar neticesinde, ihlal tespit edilmesi halinde, 6698 sayılı Kanun’da öngörülen idari cezaların verilmesi söz konusu olacaktır. Ancak bu cezalar ile verileri ihlal edilen mağdurların mağduriyeti giderilememektedir. Bu nedenle, yazımızda veri ihlali mağdurlarının mağduriyetlerinin giderilmesi için kullanılabilecek bir hukuki kurum olan tazminat hakkını hem Türk Hukuku bakımından hem de diğer ülkelerin konuya ilişkin hukuki düzenlemeleri ve yargı kararları bakımından inceleyeceğiz.

Kişisel veri hukuku ve mevzuatının son yıllarda hem ülkemiz hem dünyada gelişmesiyle birlikte bu disiplinin norm ve yaptırımları da hukuk dünyasında irdelenmeye ve sıklıkla uyuşmazlıklara konu olmaya başladı. Kişisel verilerin işlenmesine ilişkin başlıca düzenlemeler, uyulması gereken veri işleme şartlarını düzenlediği gibi, hukuka aykırı veri işleme hallerinde zararın telafi edilmesine ilişkin hükümler de barındırmaktadır. Ülkemizde ise bilindiği üzere, kişisel verilerin korunmasına ilişkin başlıca düzenleme, 6698 sayılı Kişisel Verilerin Korunması Kanunu olarak karşımıza çıkmaktadır. Bununla birlikte 5237 sayılı Türk Ceza Kanunu (m.135-140) ve Anayasanın da (m.20) kişisel verilere ilişkin koruma sağladığını belirtmek gerekir.

Uluslararası düzlemde çeşitli düzenlemeler mevcut olmakla birlikte AB bakımından başlıca kaynak yürürlükte olan GDPR yani 2016/679 AB Genel Veri Koruma Tüzüğüdür. Tüm Avrupa Birliği ve Avrupa Ekonomik Alanı içerisinde yer alan bireyler için veri koruma ve gizliliğine ilişkin bir düzenleme olan GDPR’a göre, veri sorumlusu kuruluşlarca toplanan kişisel verilerin, olası ihlallerin engellenmesi amacıyla, güvence altına alınması gerekmektedir. Herhangi bir veri ihlalinin tespiti halinde ise veri sorumlularının, 72 saat içerisinde yetkin denetim makamını ve gecikmeksizin veri ihlali mağdurlarını bilgilendirmesi gerekmektedir (GDPR madde 33-34). Kuruluşlar, veri ihlali mağdurlarını gereği gibi bilgilendirmemeleri halinde, ciddi cezalarla karşı karşıya kalacaklardır.

Ülkemizde kişisel verilerin korunmasına ilişkin temel düzenleme olan 6698 sayılı Kanun bakımından, 11. ve 14. Madde önem arz etmektedir. 11. Madde uyarınca, kişisel verilerin Kanun’a aykırı olarak işlenmesi sebebiyle zarara uğrayan ilgili kişi, zararın giderilmesini talep edebilecektir. 14. Maddeye göre ise kişilik hakları ihlal edilen kişinin genel hükümlere göre tazminat hakkı saklıdır. Bu çerçevede, Kanun’a aykırılık dolayısıyla, maddi veya manevi zarara uğrayan ilgili kişi veri sorumlusundan bu zararın giderilmesini talep edebilir. Veri sorumlusu tarafından bu talebi kabul görmeyen İlgili, Kanun’un 14. Maddesi uyarınca Kurul’a şikâyet yoluna gidebileceği gibi maddi manevi zararının tazmini için genel hükümlerden faydalanarak yargı yoluna da başvurabilir. Burada önem arz eden husus, Kurul’a şikâyet yolu için veri sorumlusuna başvurma bir ön şart iken ilgilinin genel hükümler doğrultusunda yargı yoluna başvurması için böyle bir şart söz konusu değildir.

Genel hükümler çerçevesinde Yargı yoluna başvurulmasının mahiyeti bakımından doktrinde tartışma bulunmaktadır. Ağırlıklı görüşe göre, Kanun lafzından, Kurul incelemesi ile genel hükümlere dayanarak yargı yoluna başvurmanın bağımsız hak arayışları olduğunu anlaşılmaktadır. Ancak Kurul’un bunun aksi yönünde kararları mevcuttur. Gerçekten de “İlgili Kişiye Ait Verilerin Veri Sorumlusu Bir Banka Tarafından Rızası Olmaksızın Babası İle Paylaşılması Karşısında Kişinin Bankadan Tazminat Talep Etmesi” ve “İlgili Kişinin Kişisel Verilerinin Hukuka Aykırı İşlendiği İddiası Kapsamında Veri Sorumlusu Bankadan Talep Ettiği Tazminat Talebinin Karşılanmaması” kararlarında Kurul, ilgili kişilerin tazminat taleplerinin genel mahkemelere yöneltilmesi gerektiğini ve bir işlem tesis etmeye lüzum olmadığını karara bağlamıştır. Hâlbuki yargı yoluna başvurunun, Kurul’un tazminata hükmetme yetkisini elinden almadığı ve ek bir müessese olduğu, mevzuat da dikkate alındığında, hâkim görüştür.

Bu çerçevede dayanılacak genel hükümler, başlıca Türk Medeni Kanunu ve Türk Borçlar Kanunu’dur. TMK m. 25/3 uyarınca “Davacının, maddî ve manevî tazminat istemleri ile hukuka aykırı saldırı dolayısıyla elde edilmiş olan kazancın vekâletsiz iş görme hükümlerine göre kendisine verilmesine ilişkin istemde bulunma hakkı saklıdır.” Maddi tazminata ilişki istemler haksız fiil yahut borca aykırılık hükümlerine dayanabilir. Kişisel verilerin ihlali dolayısıyla maddi tazminat taleplerinde, veri sorumlusunun sorumluluk türünün ne olduğu tartışmalıdır. Maddi tazminat istemlerinde veri sorumlusunun kusurunun aranacağı görüşü doktrinde hâkim olsa da kusursuz sorumluluk hallerinin de bu kapsama alınması gerektiği yönünde bir görüş de mevcuttur. Manevi tazminat bakımından ise TMK m.25/3 ve özel belirlenmiş manevi tazminat davalarından ( TMK m.26/2 ve TBK m.56 gibi) ayrılan TBK m.58 önem taşıyan düzenlemelerdir.

Kişisel veri ihlallerine ilişkin tazminat istemleri hususunda uluslararası düzlemde de henüz teamül oluşmuş değildir. Farklı direktif, anlaşma ve tüzüklerle şekillenen ve son dönemlerde yerleşik hale gelen kişisel veri mevzuatının yanı sıra Avrupa ve Amerika’da çeşitli yargı makamları ve denetim organlarının mevcut olması, konuya ilişkin farklı yaklaşımların ortaya çıkması sonucunu beraberinde getirmektedir.

AB bağlamında, GDPR madde 82 uyarınca, kişisel verilerin ihlal edilmesi halinde, ilgili kişinin bu veri ihlaline neden olan kuruluştan tazminat talep etme hakkı bulunmaktadır. Bu bağlamda, ilgili kişinin hem “maddi” hem de “manevi” tazminat talep edebilmesi mümkündür. Örneğin geçtiğimiz günlerde YemekSepetinde meydana geldiği iddia edilen duruma benzer bir olayın GDPR’ın yürürlükte olduğu bir ülkede gerçekleştiği varsayımında, kişiye ait kredi kartı bilgilerinin çalınması ve kullanılması halinde, ilgili kişinin uğradığı zarar somut olarak tespit edilebilir olacaktır. Bu halde, verileri işlerken yeterli güvenlik sağlanmaması neticesinde GDPR madde 32 ve sair maddeler ihlal edildiği için, veri ihlali mağduru, veri sorumlusundan uğradığı maddi zarar için tazminat talep edebilecektir.

Aynı örnekte bu kişi mali bir kayba uğramamış olsaydı dahi, başkalarının bu şekilde bilgileri çalınarak çeşitli zararlara uğratıldığını öğrendiği için aşırı derecede endişeli olabilirdi. Bu durumda, gerçek bir maddi zararı olmasa bile manevi tazminata sebep olacak bir durumun oluştuğunu ifade edebiliriz. Zira bu durumun mağdura verdiği rahatsızlık, sıkıntı ve kişisel verileri bakımından oluşan kontrol kaybı için mağdurun manevi tazminat talebinde bulunması mümkündür (Vidal-Hall and others v Google Inc. Kararı). Konuya ilişkin “Data Protection Act 1998” çerçevesinde verilen yakın tarihli bir kararda (Lloyd v. Google LLC) veri sahibinin tazminata hak kazanabilmesi için veri sorumlusunun kanun dışı bir fiille ihlalde bulunması ve bunun sonucunda ilgilinin ispatlanabilir ve ihlale bağlı bir zarara uğraması gerektiğini ifade edilmiştir.

Hukukumuz bakımından ise yakın tarihli, benzer olaylar hakkındaki iki Yargıtay kararı[1] önem taşımaktadır. Her iki kararın konusu da davacıya ait kimlik ve fatura bilgilerinin davacının izni olmaksızın kullanılması ve bu suretle bir iletişim şirketinden davacı adına hat çıkarılmasına ilişkindir. İlgili hattın faturalarının ödenmemesi dolayısıyla davacı hakkında icra takibi başlatılmış ve davacı avukat tutarak menfi tespit davası açmak zorunda kalmıştır. Davacı avukata ücret ödediğini belirterek, maddi ve manevi tazminat isteminde bulunmuştur. Söz konusu tazminat davasında husumet yöneltilen davalılar iletişim şirketi ile davacı bilgilerini kullanarak hat çıkaran gerçek kişidir. Yargıtay’a göre iletişim şirketi “bayisini iyi seçmek ve onu yeterince eğitip denetlemekle yükümlü olduğundan bayisinin işlemleri sonucu oluşan zararlardan sorumlu tutulmalıdır”. Bu çerçevede, davalı iletişim şirketi davacının kimlik bilgilerinin kullanılması suretiyle hat çıkarılması işleminde bayi olarak gereken dikkat ve özeni göstermediğinden haksız fiil faili diğer davalı ile birlikte zarardan sorumludur. Ayrıca “davacının kimlik bilgilerinin rızası dışında kullanılması sebebiyle davacının kişisel verilerinin haksız olarak ele geçirildiği ve kullanıldığı sabit olup davalının eyleminin davacının kişilik haklarına saldırı teşkil ettiği dikkate alınarak uygun bir miktar manevi tazminata hükmedilmesi” gerekmektedir. Manevi tazminat bakımından da her iki davalı birlikte sorumlu tutulacaktır.

İlgili Yargıtay kararları, kişisel verilerin korunmasının ihlal edilmesi halinde maddi ve manevi tazminat taleplerinin değerlendirilmesinde yol gösterici niteliği haiz olmakla birlikte, son tahlilde kişisel verilerin korunması disiplininin uygulamada yeterli olgunluğa ulaşmadığını ve sürecin takip edilmesi gerektiğini söylemek gerekmektedir. Bu doğrultuda, en azından AB düzleminde, Avrupa Adalet Divanı’na farklı üye devlet mahkemeleri tarafından yöneltilen “herhangi bir maddi zarara uğranılmasa dahi, GDPR kapsamında ilgili kişinin tazminata hak kazanıp kazanmayacağı”[2] ön hukuki karar sorusuna verilecek cevap büyük önemi haizdir.

SONUÇ

Ø Doktrinde tartışmalı olmakla birlikte Kurul’un güncel kararlarındaki tutumu; ilgilinin maddi ve manevi tazminat talebinin genel hükümlere göre yargı yoluyla talep etmesi ve Kurul’un buna ilişkin bir işlem tesis etmesinin gerekmediği yönündedir.

Ø Mevzuata göre kişisel verisinin kanuna aykırı şekilde işlenmesi suretiyle zarar gören ilgili, Kanun’un 11. Maddesindeki hakkını kullanarak veri sorumlusuna zararının giderilmesi için başvurma hakkına sahiptir. Bu çerçevede Kurul’un tazminat talepleri hakkındaki tutumu değerlendirildiğinde, genel hükümler çerçevesinde dava ikame edilmesi ilgili kişilerin lehine olacaktır. Genel hükümler uyarınca dava yoluna başvuracakların ise ne Kanundan doğan ne de uygulamaya göre belirlenmiş böyle bir veri sorumlusuna başvuru zorunluluğu bulunmamaktadır.