Makale

Günümüzde dijital platformlar, kullanıcılarına geniş bir yelpazede hizmet sunarken devasa boyutlarda kişisel veri toplamaktadır. Bu verilerin hukuka uygun bir şekilde işlenmesi, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) çerçevesinde katı kurallara bağlanmıştır. Bir dijital platformun hukuki sorumluluklarını belirleyebilmek için öncelikle veri işleme faaliyetlerindeki kontrol düzeyinin tespit edilmesi ve hukuki statüsünün netleştirilmesi gerekmektedir. İnternet üzerinden mal ve hizmet sunan e-ticaret siteleri, sosyal medya ağları veya içerik sağlayıcılar, sundukları hizmetin yapısına göre farklı yükümlülüklere tabi tutulmaktadır. Hukuki süreçlerin sağlıklı yürütülmesi, yüksek idari para cezalarından kaçınılması ve kullanıcılar nezdinde şeffaflık ilkesinin zedelenmemesi adına, platformların KVKK uyarınca belirlenen kişisel veri işleme ilke ve şartlarına tam uyum sağlaması hukuki bir zorunluluktur. Bu makalede, söz konusu platformların KVKK karşısındaki konumu ve verileri hangi hukuki sebeplere dayanarak işleyebileceği uzman bir bakış açısıyla ele alınmaktadır.

Dijital Platformların KVKK Kapsamındaki Hukuki Statüsü

Dijital platformların KVKK kapsamındaki yükümlülüklerini saptamak için öncelikle veri sorumlusu mu yoksa veri işleyen mi olduklarının tespit edilmesi şarttır. Kanun uyarınca kişisel verilerin işlenme amaçlarını ve araçlarını belirleyen, veri kayıt sisteminin kurulmasından sorumlu olan taraf veri sorumlusu olarak kabul edilmektedir. Buna karşın, sadece veri sorumlusunun verdiği talimatlar doğrultusunda hareket eden taraf veri işleyen statüsündedir. Kişisel Verileri Koruma Kurulu’nun emsal niteliğindeki kararları ışığında; platformların hangi verilerin toplanacağına, veri işleme faaliyetinin temel unsurlarına ve kimlerin verisinin alınacağına karar verme yetkisi bulunuyorsa, bu platformlar veri sorumlusu olarak nitelendirilmektedir. Örneğin, müşterilerin alışveriş tercihlerini analiz ederek ürün önerileri sunan e-ticaret siteleri, anket platformları veya içerik denetleme yetkisine sahip sosyal medya ağları, yürüttükleri bu faaliyetler sebebiyle veri sorumlusu olarak kabul edilirler ve hukuki sorumluluğun merkezinde yer alırlar.

Aydınlatma Yükümlülüğü ve Hukuka Uygunluk İlkeleri

Veri sorumlusu statüsündeki dijital platformların en temel yükümlülüklerinden biri aydınlatma yükümlülüğüdür. KVKK'nın 10. maddesi uyarınca, kullanıcıların kişisel verilerinin hangi amaçlarla işleneceği, kimlere aktarılabileceği ve hukuki sebeplerin neler olduğu açık ve sade bir dil ile bildirilmelidir. Kurul’un Amazon Turkey kararı bu noktada son derece belirleyicidir; platformların aydınlatma metninin okunmasını açık rıza ile birleştiren battaniye rıza uygulamaları hukuka aykırı bulunmuştur. Platformlar, aydınlatma ve açık rıza alma süreçlerini birbirinden bağımsız olarak yürütmek zorundadır. Bununla birlikte, tüm kişisel veri işleme süreçlerinin hukuka ve dürüstlük kurallarına uygunluk, doğru ve güncel olma, belirli, açık ve meşru amaçlar gütme ilkelerine uyması gerekmektedir. Ayrıca, işlenen veriler amaçla bağlantılı, sınırlı ve ölçülü olmalı, yasal mevzuatta öngörülen veya işlenme amacının gerektirdiği süre kadar muhafaza edilmelidir. Dijital platformların beyan ettikleri amaç dışına çıkarak gereğinden fazla veri toplaması, kanunun temel ilkelerine doğrudan aykırılık teşkil edecektir.

Genel Nitelikli Kişisel Verilerin İşlenme Şartları

KVKK uyarınca kişisel verilerin işlenebilmesi için kural olarak ilgili kişinin açık rızası aranmaktadır. Kurul kararlarına göre dijital platformlarda bu rızanın, kullanıcı tarafından önceden işaretlenmiş kutucuklar (opt-out) ile değil, kullanıcının aktif bir eylemiyle (opt-in) verilmesi yasal bir gerekliliktir. Ancak KVKK'nın 5. maddesinin ikinci fıkrasında, açık rıza aranmaksızın kişisel veri işlenmesine imkân tanıyan bazı istisnai hukuki sebepler sınırlı olarak sayılmıştır. Dijital platformların sıklıkla dayandığı bu istisnai veri işleme şartları şunlardır:

• Kanunlarda açıkça öngörülmesi durumu (Örneğin, vergi mevzuatı gereği fatura bilgilerinin saklanması).
• Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması (Sipariş teslimi için adres bilgilerinin işlenmesi).
• Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
• İlgili kişinin kendisi tarafından alenileştirilmiş olması (İş arama platformlarındaki profil bilgileri).
• Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
• İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlemenin zorunlu olması (Bu durumlarda mutlaka denge testi yapılmalıdır).

Özel Nitelikli Kişisel Verilerin İşlenmesindeki Katı Kurallar

Kişilerin ırkı, etnik kökeni, sağlık durumu veya biyometrik verileri gibi bilgiler özel nitelikli kişisel veri statüsündedir ve bu verilerin işlenmesi KVKK'nın 6. maddesi kapsamında çok daha sıkı şartlara bağlanmıştır. 12 Mart 2024 tarihinde yürürlüğe giren yasal değişikliklerle birlikte, bu nitelikteki verilerin işlenme şartları yeniden düzenlenmiş ve daha sistemli bir yapıya kavuşturulmuştur. Kural olarak bu verilerin işlenmesi ilgili kişinin açık rızasına tabidir. Ancak kanunlarda açıkça öngörülmesi, fiili imkânsızlık halleri, ilgili kişi tarafından alenileştirme iradesiyle kamuya açıklanması veya istihdam ile iş sağlığı ve güvenliği kapsamındaki hukuki yükümlülüklerin yerine getirilmesi gibi yasal istisnaların varlığı halinde açık rıza aranmaksızın işlem yapılabilmektedir. Dijital platformlar, sundukları hizmet gereği biyometrik doğrulama veya sağlık verisi talep ediyorsa, bu yasal şartlardan birine kati surette dayanmak zorundadır. Aksi halde bu tür hassas verilerin hukuka aykırı işlenmesi, platformlar açısından son derece ağır hukuki ve idari yaptırımları beraberinde getirecektir.