Kişisel Verileri Koruma Kurumu (KVKK), iş ve trafik kazaları gibi olumsuz olayların mağdurlarının kişisel verilerinin hukuka aykırı şekilde ele geçirilerek "tazminat" vaadiyle aranılmasına ilişkin önemli bir ilke kararı aldı. Karar kapsamında, bu tür veri işleme faaliyetleri veri sorumlusunun meşru menfaati kapsamında değerlendirilemeyecek ve hukuka aykırı kabul edilecek.
Mağdurların verilerinin kötüye kullanımına son
KVKK'nın ilke kararı, özellikle son dönemde artan şikayetler üzerine gündeme geldi. Birçok vatandaş, geçirdikleri trafik kazası veya iş kazasının hemen ardından, kendilerini arayan kişilerin ellerinde ad, soyad, telefon numarası, adres ve kaza detayları gibi kişisel verilerin bulunduğunu ve bu verileri kullanarak tazminat alma vaadiyle hizmet teklif ettiklerini bildirmişti. Kurum, bu durumun mağdurların özel hayatının gizliliğini ihlal ettiğini ve kişisel verilerin korunması kanununa aykırı olduğunu belirtti.
Meşru menfaat istisnası daraltıldı
Kararda, veri sorumlularının sıklıkla başvurduğu "meşru menfaat" istisnasına da açıklık getirildi. KVKK, bir kaza mağdurunun kişisel verilerinin, mağdurun kendisinden başka bir kişi veya kurum tarafından ticari amaçla kullanılmasının, veri sahibinin temel hak ve özgürlüklerine zarar verebileceği gerekçesiyle meşru menfaat kapsamında değerlendirilemeyeceğini açıkladı. Ayrıca, kaza haberlerinin yayınlandığı haber sitelerinden veri toplama, kamuya açık kaynakların taranması gibi yöntemlerle elde edilen bilgilerin ticari amaçla kullanılması da hukuka aykırı bulundu.
Şeffaf ve bilgilendirilmiş onam şartı
KVKK, kaza mağdurlarına ait kişisel verilerin işlenmesi için öncelikle mağdurun açık rızasının alınması gerektiğini vurguladı. Ayrıca, veri işleme amacının şeffaf bir şekilde belirtilmesi ve mağdurun bilgilendirilmesi zorunluluğu getirildi. Karar, yalnızca veri sorumlularını değil, veri işleyenleri ve üçüncü tarafları da kapsıyor. Bu kapsamda, tazminat danışmanlığı yapan şirketler, avukatlar ve hatta kaza haberlerini toplayan platformlar da dahil olmak üzere tüm aktörlerin bu kurala uyması gerekiyor.
Yaptırımlar ve başvuru yolları
Karara aykırı davranan veri sorumluları hakkında, KVKK'nın 18. maddesi uyarınca idari para cezası uygulanabilecek. Mağdurlar, kişisel verilerinin hukuka aykırı işlendiğini düşünmeleri halinde doğrudan KVKK'ya şikayette bulunabiliyor. Kurum, bu tür şikayetleri öncelikli olarak değerlendireceğini duyurdu. Ayrıca, mağdurların kanunun 14. maddesi kapsamında zararlarının tazmini için adli yargı yoluna başvurma hakları da bulunuyor.
Genel değerlendirme
KVKK'nın bu ilke kararı, kişisel verilerin korunması alanında önemli bir adım olarak değerlendiriliyor. Özellikle hassas veri kategorisindeki kaza mağdurlarının korunması, veri ihlallerinin önlenmesi açısından kritik. Ancak kararın uygulamada ne kadar etkili olacağı, denetim mekanizmalarının işlerliğine bağlı. Öte yandan, bu tür veri toplama faaliyetlerinin tamamen durdurulması için hem kamuoyunun bilinçlenmesi hem de ilgili sektörlerin kendini düzenlemesi gerekiyor.