1. GİRİŞ

Türkiye'de, çeşitli kurumlar ve işletmeler tarafından, özellikle alışveriş merkezleri, siteler ve plazalarda güvenlik amaçlarıyla kimlik kartı bilgilerinin toplanması ve işlenmesi yaygın bir uygulamadır. Hatta bazı yerlerde, gelen kişiden kimlik alınıp karşılığında giriş kartı verildiği ve hatta kimlik bilgisinin kaydedildiği deftere imzasının alındığı da görülmektedir. Ancak, hukuka aykırı bir şekilde gerçekleştirilen bu uygulamanın kişisel verilerin korunması açısından değerlendirilmesi önem taşımaktadır. İşbu makalemiz ile site, konut veya plaza girişlerinde özel güvenlik görevlileri tarafından Türkiye Cumhuriyeti kimlik kartı verilerinin işlenmesinin hukuka uygunluğu incelenecek ve değerlendirilecektir.

2. ÖZEL GÜVENLİK GÖREVLİLERİNİN BİLGİ ALMA YETKİSİ

Türkiye Cumhuriyeti kimlik kartı, Türk vatandaşlarının kimliklerini belirten resmi bir belgedir ve üzerinde bir dizi kişisel bilgi bulunmaktadır. Bu bilgiler arasında ad, soyad, kimlik numarası, doğum tarihi gibi önemli veriler yer almaktadır. Güvenlik görevlileri veya diğer yetkililer tarafından, giriş yapılan yerlerde bu kimlik kartı bilgilerinin toplanması ve kayıt altına alınması uygulaması, kişisel verilerin korunması açısından dikkatle ele alınması gereken bir konudur. 

Özel Güvenlik görevlilerinin bilgi alma yetkisi 5188 sayılı Özel Güvenlik Hizmetlerine Dair Kanun'un "Özel güvenlik görevlilerinin yetkileri" başlıklı 7. Maddesinde tanımlanmıştır. Güvenlik görevlileri, işlerinin doğası gereği gelen kişinin kim olduğunu ve ziyaret amacını öğrenmek durumundadır. Ancak, kanuni olarak kimlik sorma, ziyaret amacını öğrenme veya araç plakasını kaydetme gibi yetkilere sahip değillerdir. Dolayısıyla, bu bilgileri kaydetmeleri halinde dahi bu kaydın yasal bir dayanağı bulunmamaktadır. Güvenlik görevlileri, giriş ve çıkışlarda kişilerin kimlik bilgilerini alıp kaydetme yetkisine sahip olmamalarına rağmen, günlük hayatta sıkça karşılaşılan bu durumda güvenlik hizmeti ile kişisel verilerin iç içe geçtiği bir hukuki karmaşa ortaya çıkmaktadır.

3. KİMLİK KARTI VERİLERİNİN İŞLENMESİNİN HUKUKA UYGUNLUĞU 

Kişisel veri kavramı, 6698 sayılı Kanun’un 3’üncü maddesinin (d) bendinde "kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi" olarak tanımlanmıştır. Kişinin kimliğini belirli kılan kimlik veya vatandaşlık numarası da kişisel veriler arasında yer almaktadır. 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında, kişilerin Türkiye Cumhuriyeti Kimlik Numarası bilgisi özel nitelikli kişisel veriler kategorisinde değil, genel nitelikte kişisel veri kategorisinde, kimlik verileri kapsamında değerlendirilmektedir.

Plaza girişlerinde özel güvenliklerce alınan kişinin adı-soyadı, TC kimlik numarası, kime gelindiği bilgisi ile kullanılan aracın plakası gibi bilgilerin hukuka uygun şekilde kayıt altına alınabilmesi için, 6698 sayılı Kanun’a uygun hareket edilmesi gerekmektedir. Kişisel verilerin işlenmesi Kanunun 5. maddesinde sayılan hallerden en az birinin bulunması durumunda mümkündür.

6698 sayılı Kanun’da kişisel verilerin işlenmesinde sayılan genel ilkeler;

• Hukuka ve dürüstlük kurallarına uygun olma, 

• Doğru ve gerektiğinde güncel olma,

• Belirli, açık ve meşru amaçlar için işleme,

• İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,

• İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmedir

Kişisel verilerin işlenmesi ancak ve ancak bu ilkelere uygun davranıldığı takdirde hukuka uykun olacaktır.

Güvenlik görevlilerinin kimlik bilgilerinin kaydedilmesi, temelde kurumların güvenliğini sağlama amacını taşımaktadır. Ancak, bu süreçte toplanan kişisel verilerin korunması ve işlenmesi konusunda dikkatli olunması gerekmektedir. KVKK, kişisel verilerin hukuka aykırı olarak işlenmesini ve bu verilere yetkisiz erişimi önlemeyi amaçlamaktadır.

4. AYDINLATMA YÜKÜMLÜLÜĞÜ

    Her ne kadar, kişisel verilerin işlenmesinde kişilerin açık rızasının alınması bir hukuka uygunluk sebebi olsa da her somut duruma göre kişinin açık rızasının alınması gerekip gerekmediği Kanunlar ve Kurul kararları nezdinde dikkate alınarak değerlendirilmelidir. 

Aydınlatma Yükümlülüğü’nün yerine getirilmesi ise işbu makaleye konu uygulamalar için önemli bir yer tutmaktadır.  Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul Ve Esaslar Hakkında Tebliğ’in 5. Maddesine göre ilgili kişinin açık rızasına veya Kanundaki diğer işleme şartlarına bağlı olarak kişisel veri işlendiği her durumda aydınlatma yükümlülüğü yerine getirilmelidir.  6698 sayılı Kanun’un 10. Maddesinde düzenlenen Aydınlatma yükümlülüğü kişisel verilerin elde edilmesi sırasında veri sorumluları veya yetkilendirdiği kişilerce, ilgili kişilerin bilgilendirilmesidir. 

Bu yükümlülük yerine getirilirken veri sorumluları veya yetkilendirdiği kişilerce yapılacak bilgilendirmenin asgari olarak aşağıdaki konuları içermesi gerekmektedir:

1. Veri sorumlusunun ve varsa temsilcisinin kimliği,

2. Kişisel verilerin hangi amaçla işleneceği,

3. Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,

4. Kişisel veri toplamanın yöntemi ve hukuki sebebi,

5. İlgili kişinin Kanunun 11 inci maddesinde sayılan diğer hakları.

Bu bilgilendirme veri işleme faaliyetine başlamadan önce veya en geç veri işleme faaliyetine başlandığında yapılmalıdır.

Tüm bu açıklamalardan anlaşılacağı üzere site, konut veya plaza girişlerinde güvenlik görevlilerince kişilere ait kişisel verilerin işlenmesi sürecinde açık rızanın alınmasına gerek olmasa da  veri sorumlusuna ait yükümlülükler arasında yer alan aydınlatma yükümlülüğünün  yerine getirilmesi şarttır. Aksi takdirde Kanun’un 18. Maddesinin a bendinde düzenlenen  “a) 10 uncu maddesinde öngörülen aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar” şeklindeki cezai yaptırım uygulanabilecektir.

5. KİŞİSEL VERİLERİN İŞLENMESİDE ÖLÇÜLÜLÜK

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 4’üncü maddesinde, kişisel verilerin ancak Kanun’da ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işleneceği hükme bağlanarak kişisel verilerin işlenmesinde uyulması zorunlu olan genel ilkelere yer verilmiştir. Dolayısıyla, kişisel verilerin hem Kanun’da belirlenen işlem şartlarına hem de genel ilkelere uygun bir biçimde işlenmesi gerekmektedir.

Kişisel Verilerin İşlenmesi 

MADDE 4- (1) Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir. 

(2) Kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması zorunludur: 

a) Hukuka ve dürüstlük kurallarına uygun olma.

b) Doğru ve gerektiğinde güncel olma.

c) Belirli, açık ve meşru amaçlar için işlenme. 

ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma. 

d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.

6698 sayılı Kanun’un amacı, özellikle özel hayatın gizliliği başta olmak üzere kişilerin temel hak ve özgürlüklerini korumaktır. Kanun kişisel verilerin işlenmesini yasaklamamakla birlikte, kişilerin temel hak ve özgürlüklerine öncelik verdiğinden veri sorumlularının ilgili kişilerin temel hak ve özgürlüklerine en az müdahale edecek şekilde kişisel veri işlemesi gerekmektedir.

Kanun’un 4. Maddesinde düzenlenmiş genel ilkelerinden birisi olan “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkesi”, kişisel veri işlemenin amacını gerçekleştirecek ölçüde olmasına işaret etmektedir. Kişisel veri işleme faaliyetinin ulaşılmak istenen amaca erişmek için uygun olması (uygunluk), kişisel veri işlemenin ulaşılmak istenen amaca göre gerekliliği (gereklilik) ve kişisel veri işlemenin ulaşılmak istenilen amaca orantılı olması (orantılılık) kriterlerini kümülatif olarak sağlaması gerekmektedir.

T.C. kimlik numarası ve genel anlamda kimlik kartı bilgilerinin işlenmesinde ilgili kişilerin kişisel verilerinin korunması hakkına daha az müdahale eden yöntemlerin mümkün olup olmadığı gözetilerek varsa bu yöntemlerin tercih edilmesi ve Kanun’a uygun bir biçimde kişisel veri işleme faaliyetinin gerçekleştirilmesi konusunda veri sorumluları tarafından gerekli teknik ve idari tedbirlerin alınması önem arz etmektedir. Kanun’un 12. Maddesi kapsamında veri sorumlusu kişisel verilerin hukuka aykırı olarak işlenmesini önlemekle yükümlüdür.

Kişisel Verileri Koruma Kurulunun 17/08/2023 tarihli ve 2023/1430 Sayılı Kararında;

Kuruma intikal eden ihbarda, yemek kartı hizmeti sunan veri sorumlusuna ait mobil uygulamayı kullanmak için kayıt olurken kişilerin T.C. kimlik numarası bilgilerinin istendiğinin belirtilmesi üzerine konu hakkında Kişisel Verileri Koruma Kurulu (Kurul) tarafından resen inceleme başlatılmıştır. Mobil uygulama üzerinde yapılan incelemede, mobil uygulamaya kayıt olurken isim, soy isim, telefon numarası, doğum tarihi, e-posta bilgilerinin talep edildiği; kişi profiline yemek kartı tanımlanmak istediğinde ise girilen bilgilerin T.C. kimlik numarası ile karşılaştırılacağının belirtildiği tespit edilmiştir.

Fiziksel yemek kartlarının mobil uygulamada kayıt altına alınması halinde kartın doğrulanması işleminin kişilerin T.C. kimlik numarası bilgisi işlenmeden, işveren aracılığıyla kart ve telefon numarası bilgisi işlenmesi gibi ilgili kişileri daha çok koruyacak yollarla yapılması mümkün olduğundan, Kanun’un 12’nci maddesinin birinci fıkrasında yer alan yükümlülüklerini yerine getirmediği değerlendirilen veri sorumlusu hakkında 200.000 TL idari para cezası uygulanmasına karar verilmiştir. 

Makale kapsamında değerlendirildiğinde site, konut veya plaza girişlerinde TC Kimlik numarasının yazılı olduğu herhangi bir kartın verilmesinin zorunlu tutulmasının uygulamanın gerçekleştirmek istediği amaca, kimlik kartı yerine kartvizit alınması veya kişinin ziyarete gelmiş olduğu kişi ile iletişim kurularak doğruluğunun teyit edilmesi gibi kişisel verilere daha az müdahale eden başkaca yöntemlerle de ulaşılabileceği göz önünde bulundurulduğunda tc kimlik kartı ya da ehliyet gibi kişisel verilerin yer aldığı kartların muhafaza edilerek giriş kartı verilmesi uygulamasının hukuka aykırı olduğu açıktır.

6. KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ

Kişisel verilerin 6698 sayılı Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinmeli, yok edilmeli veya anonim hâle getirilmelidir. Kanun’un 7. Maddesinde düzenlenen bu husus veri sorumlusunun yükümlülüklerindendir. Kişisel veriler yalnızca gerekli olan süre kadar muhafaza edilmelilerdir.

İşlenen kişisel verilerin gerekliliğini yitirdiği durumlarda dahi silinmemesi, yok edilmemesi veya anonim hale getirilmemesi halinde, 6698 sayılı Kanun'un ihlal edilmiş olacaktır. Verilerin silinmemesi, yok edilmemesi veya anonim hale getirilmemesinin 6698 sayıla aykırılık teşkil etmesi bir yana güvenlik görevlilerince kişisel verilerin kopyalanması ve hukuka aykırı şekilde çoğaltılması TCK kapsamında da suç sayılacaktır.

7. SONUÇ 

6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında kişisel verilerin işlenmesi ancak belirli şartlara uygun olduğunda hukuka uygun sayılmaktadır. Bu şartlar arasında kişisel verilerin işlenmesinin hukuka, dürüstlük kurallarına uygun olması, belirli, açık ve meşru amaçlar için işlenmesi, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ve sadece gerekli olan süre kadar muhafaza edilmesi yer almaktadır.

Aydınlatma yükümlülüğü, kişisel verilerin işlenmesi sırasında veri sorumluları veya yetkilendirilmiş kişilerce yerine getirilmesi gereken önemli bir yükümlülüktür. Bu yükümlülüğe göre, kişisel verilerin işlenmesi için ilgili kişilerin açık rızası alınmasının yanı sıra bu kişilere verilerin nasıl işleneceği hakkında gerekli bilgilendirmelerin yapılması zorunludur.

Kişisel verilerin işlenmesinde ölçülülük ilkesi, veri sorumlusunun ilgili kişilerin temel hak ve özgürlüklerine en az müdahale edecek şekilde hareket etmesini gerektirmektedir. Kişisel Verileri Koruma Kurulu’nun kararları, uygulamada dikkat edilmesi gereken önemli noktaları ortaya koymakta ve veri sorumlularının yükümlülüklerini hatırlatmaktadır.

Öte yandan, kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması durumunda, bu verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi zorunludur. Bu husus, veri sorumlusunun yükümlülükleri arasında yer almakta olup, kanunun ihlal edilmesi durumunda yaptırımlarla karşılaşılması söz konusu olacaktır.

Sonuç olarak gündelik hayatımızda karşılaştığımız özel güvenlik görevlilerinin site, konut veya plaza girişlerinde kimlik kartı verilerini toplaması, muhafaza etmesi ve işlemesi uygulamalarının hukuka aykırı nitelikte olduğu ortadadır. Ölçülülük ilkesine tamamen aykırı şekilde yerine getirilen uygulamaların yerine basit bir şekilde TC Kimlik Kartı yerine kişilere ait kartvizitlerin ya da salt iletişim numaralarının alınması yöntemi uygulandığında herhangi bir sorunla karşılaşılması durumunda kişinin telefon numarasına da kolayca ulaşım sağlanabileceğinden mağduriyetler daha hızlı giderilebilecektir. Aksine ölçülük ilkesine aykırı bir şekilde Aydınlatma metnin dahi kullanılmadan TC Kimlik Kartı veya Ehliyet gibi önemli belgelerin teslim alınarak muhafaza edilmesi bilgi güvenliğinin ihlaline yol açacağından Kişisel Verileri Koruma Kurulu’na da şikayet sebebini oluşturmaktadır. Kişisel verilerin korunması ve işlenmesi süreçlerinde dikkatli olunması, ilgili mevzuata uygun hareket edilmesi ve kişisel veri sahiplerinin haklarının gözetilmesi gerekmektedir. Verilerin korunması, bireylerin mahremiyetinin sağlanması ve güvenlik hizmetlerinin etkin bir şekilde yürütülmesi açısından tc kimlik numarası gibi herkese özgülenmiş bir verinin öylece muhafaza altına alınması hukuka açıkça aykırı olup, anılan uygulamanın değiştirilerek salt iletişim verisi ile hareket edilmesi hem hukuka uygunluk hem de kişilerin güvenliği için oldukça önemlidir.

Stj. Av. Aleyna Nur Acır