Makale
Arabuluculuk sürecinde işlenen kişisel verilerin hukuki niteliği ve arabulucunun veri sorumlusu sıfatı incelenmektedir. Veri kavramının unsurları açıklanarak, arabulucunun VERBİS kayıt istisnası ve KVKK yükümlülüklerinin devamlılığı değerlendirilmiştir.
Veri Kavramı ve Arabulucunun KVKK Kapsamındaki Statüsü
Alternatif uyuşmazlık çözüm yöntemleri arasında en sık tercih edilen arabuluculuk müessesesi, doğası gereği tarafların yoğun bir şekilde bilgi paylaşımında bulunduğu bir süreçtir. Bu süreçte uyuşmazlığın tarafları, menfaat temelli ve kalıcı bir çözüme ulaşmak amacıyla hareket ederken, süreci yöneten tarafsız ve bağımsız üçüncü kişi konumundaki arabulucuya pek çok bilgi aktarır. Aktarılan bu bilgilerin büyük bir kısmı yasal düzenlemeler kapsamında korunması gereken değerler olarak karşımıza çıkar. Dolayısıyla, bu süreçte elde edilen bilgilerin hukuki niteliğinin doğru tespit edilmesi ve süreci yürüten kişinin yasal konumunun net bir şekilde belirlenmesi büyük önem taşır. Bu bağlamda, arabuluculuk faaliyetinin sağlıklı ve hukuka uygun bir biçimde yürütülebilmesi için öncelikle kişisel veri kavramının yasal sınırlarının çizilmesi ve arabulucunun Kişisel Verilerin Korunması Kanunu çerçevesindeki hukuki statüsünün şüpheye mahal bırakmayacak şekilde açıklığa kavuşturulması gerekmektedir.
Kişisel Veri Kavramı ve Hukuki Temelleri
Hukuk sistemimizde verilerin korunmasına ilişkin temel düzenlemelerde, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi kişisel veri olarak tanımlanmaktadır. Bir verinin bu kapsamda değerlendirilebilmesi için üç temel unsurun bir arada bulunması şarttır: Ortada anlamlı bir bilgi olması, bu bilginin bir gerçek kişiye ait olması ve kişiyi diğer bireylerden ayırt ederek belirlenebilir kılması. Örneğin; tarafların adı, soyadı, T. C. kimlik numarası, doğum yeri, telefon numarası, adresi, banka hesap bilgileri, ses ve görüntü kayıtları, ekonomik ve ailevi yaşantısına dair bilgiler bu tanım içerisinde yer alır. Kişiyi bir grup insan arasından dolaylı da olsa ayırt etmeye yarayan her türlü veri, ister fiziksel ister sanal ortamda saklansın, yasal koruma şemsiyesi altındadır. Üstelik bu bilgilerin gizli olup olmaması veya kamuya açık alanda bulunması, onların veri niteliğini ve korunma gerekliliğini ortadan kaldırmamaktadır.
Özel Nitelikli Kişisel Veriler ve Önemi
Kanun koyucu, bazı verilerin öğrenilmesi hâlinde ilgili kişinin toplum içinde dışlanmasına veya ayrımcılığa maruz kalmasına yol açabileceğini öngörerek bu verileri özel nitelikli kişisel veriler (hassas veriler) olarak adlandırmış ve kural olarak işlenmelerini daha sıkı koşullara tabi tutmuştur. Sınırlı sayıda olan bu veriler şunlardır:
- Kişilerin ırkı ve etnik kökeni
- Siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları
- Kılık ve kıyafeti
- Dernek, vakıf ya da sendika üyeliği
- Sağlık durumu ve cinsel hayatı
- Ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri
- Biyometrik ve genetik verileri
Bu kategori dışında kalan, kişiyi tanımlayan diğer tüm bilgiler ise genel nitelikli kişisel veriler olarak kabul edilir. Arabuluculuk görüşmelerinde özellikle uyuşmazlığın temeline inildiği özel oturumlar sırasında tarafların sağlık bilgileri veya sendika üyelikleri gibi hassas verilerinin ortaya çıkması kuvvetle muhtemeldir ve bu verilerin yasal statüsü son derece büyük hassasiyet gerektirir.
KVKK Kapsamında Arabulucunun Hukuki Statüsü
Kişisel verilerin işlenmesi süreçlerinde hukuki muhatabın kim olduğunun belirlenmesi, yasal sınırlar çerçevesinde sorumlulukların tesisi açısından kritik bir aşamadır. Mevzuat uyarınca, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiye veri sorumlusu denilmektedir. Arabuluculuk sürecine bakıldığında; hangi verilerin toplanacağına, bu verilerin hangi yöntemlerle elde edileceğine, kimlerle hangi şartlarda paylaşılacağına ve ne kadar süreyle muhafaza edileceğine bizzat arabulucunun karar verdiği görülmektedir. Arabulucu, tarafların kişisel verileri üzerinde doğrudan kontrol ve takdir yetkisine sahip olduğundan, açıkça veri sorumlusu statüsündedir. Arabulucunun süreci bir şirket veya avukatlık ortaklığı çatısı altında yürütmesi dahi, kanundan doğan şahsi arabuluculuk yetkisini kullanması sebebiyle onun bu bağımsız veri sorumlusu kimliğini ortadan kaldırmamaktadır.
Arabulucunun VERBİS Kayıt Yükümlülüğü ve Muafiyet
Veri sorumlularının, kural olarak kişisel veri işlemeye başlamadan önce Veri Sorumluları Siciline (VERBİS) kayıt olmaları kanuni bir zorunluluktur. Ancak Kişisel Verileri Koruma Kurulu, objektif kriterler çerçevesinde bu yükümlülüğe istisna getirme yetkisine sahiptir. Bu kapsamda alınan karar neticesinde, arabulucular VERBİS'e kayıt yükümlülüğünden muaf tutulmuştur. Ne var ki, uygulamada sıklıkla yanılgıya düşüldüğü üzere; sicile kayıt zorunluluğunun bulunmaması, arabulucunun kanundan doğan diğer yükümlülüklerden kurtulduğu anlamına kesinlikle gelmemektedir. Arabulucu, veri sorumlusu olarak aydınlatma yükümlülüğünü yerine getirmek, veri güvenliğini sağlamaya yönelik tüm teknik ve idari tedbirleri almak, kişisel verileri hukuka uygun şekilde işlemek ve süre bitiminde imha etmek zorundadır. Aksi hâlde, kayıt muafiyetine sığınılarak hukuki yükümlülüklerden kaçınılması mümkün değildir.