Kişisel Verilerin Seçim Çalışmaları Kapsamında İşlenmesi

Av. Nur Banu Kaylan Deligöz

Kişisel veriler kavramının gerek KVKK[1] gerek ise GDPR’da[2] gerçek kişilere dair pekçok bilgiyi kapsayacak şekilde düzenlenmiş olması kişisel verilerin birçok alanda çeşitli sebepler ile işlenmesi ve muhafaza edilmesini kaçınılmaz kılmıştır. Söz konusu veri işleme faaliyetleri, KVKK ve GDPR gibi düzenlemelerin etkilerini göstermeleri ile kanuni bir dayanak olmadan yapılamaz hale gelmiştir. Ancak, yine de bazı durumlarda kişisel ve hatta özel nitelikli kişisel verilerin siyasi ve ticari amaçlarla hukuka uygun olmayan şekilde veri işleme faaliyetlerine konu olduğu görülmektedir.

 

Kişisel ve/veya özel nitelikli kişisel verilerin çoğunlukla herhangi bir hukuka uygunluk şartı barındırmaksızın işlendiği durumların başında seçim çalışmaları gelmektedir. Seçim çalışmaları yapılırken birçok aday; çeşitli yollarla edindikleri kişisel verileri -başta iletişim ve ev adresi gelmektektedir- daha geniş kitlelere ulaşabilmek ve böylelikle kitlelerin vaatlerinden haberdar olmalarını sağlamak amacıyla kullanmaktadır. Bu durum, seçim ve propaganda sürecinin getirdiği bir zorunluluk olmakla beraber söz konusu faaliyetlerin hukuka uygun olarak yürütülmesi de mümkündür.

 

Ülkemizde de özellikle mahalli idare seçiminin yaklaştığı bugünlerde yaşanan hatalı uygulamalara örnek olarak; KVKK Madde 5 ve 6’ya aykırı şekilde edinilen iletişim ve adres bilgilerinin kullanılması yolu ile vatandaşlara kendi bölgelerindeki adayların propaganda mesajlarının gönderilmesi gösterilebilecektir. Yanlış uygulamaların bir diğer örneği de internetin ticari amaçlar ile kullanımının artması ile kişilere ait tüketim alışkanlıkları, siyasi düşünce, ruhsal durum gibi kişisel ve özel nitelikli birçok veriye ulaşımın kolaylaşması sonucu ortaya çıkmıştır. Kısaca, kişinin internet üzerindeki hareketlerinin (hangi sayfaya girdiğinden, sayfanın hangi kısmında daha çok zaman geçirdiğine kadar) incelenmesi ile kişiye dair kapsamlı bir analiz yapılması olarak tanımlanabilecek profilleme işlemi kullanılarak kişilere dair birçok sonuca rahatlıkla ulaşılabilmektedir. Bu yöntem, adaylar için seçim çalışmalarını zirveye çıkarabilecek, doğrudan hedef kitlesini tespite yarayacak bir metottur. Ayrıca, bu usulleri ticari idealler ile siyasi partilere veri kaynağı oluşturması için kullanan birçok veri komisyoncusu, analiz şirketi ve reklamcılık firması da bulunmaktadır. Söz konusu aracılar vasıtası ile kişisel verilerin elde edilmesi; zaten KVKK’ya uygun ilerlemeyen sürece ek olarak kişisel veri aktarımlarının da hukuka uygun olmayan şekilde yapıldığı anlamına gelecektir. Hiç kuşku yok ki bu gibi yöntemler Cambridge Analytca skandalında[3] da görüldüğü üzere yalnızca kişisel verilerin korunması temel hakkı değil düşünce özgürlüğü gibi temel haklara da zarar verebilecek tehlikeli usullerdir.

 

İsim-soy isim, adres bilgileri, siyasi düşünce başta olmak üzere birçok kişisel veri ve özel nitelikli kişisel veri, bahsi geçen yanlış uygulamalar kapsamında ihlale konu olabilecektir. Kanun koyucu ve AB Komisyonunun da iradesi bilhassa özel nitelikli kişisel veriler için yüksek düzeyde koruma önlemleri alınması iken siyasi düşünce gibi ihlali halinde ciddi zararlara yol açabilecek bir özel nitelikli kişisel verinin bu şekilde işleniyor olması demokratik hukuk devletinin gereklerine de aykırılık barındırmaktadır. Bu kapsamda; henüz Kişisel Verileri Koruma Kurulunca yayımlanmış herhangi bir rehber veya karar bulunmazken AB Veri Koruma Kurulunca 13.03.2019 tarihinde yayımlanan rapor ile seçimlerin demokratik, adil ve insan haklarına saygılı şekilde yürütülebilmesi için bu süreçte kişisel verilerin nasıl işlenmesi gerektiği açıklanmıştır. İşbu makalenin bundan sonraki kısmında söz konusu tedbirlere Veri Koruma mevzuatımız ile bağlantılı şekilde kısaca değinilecektir;

 

  • Dürüst, Şeffaf ve Hukuka Uygun Aydınlatma: Seçim çalışmalarına kaynak oluşturacak olan analizlere konu kişisel veri sahiplerinin öncelikle; hiçbir şüpheye yer bırakmayacak şekilde verilerinin kullanım amacını ve şeklini ortaya koyan açıklamalar ile aydınlatılmaları gerekmektedir. Özellikle profilleme gibi veri işlemenin doğrudan olmayan yollarla yapıldığı durumlarda ilgili kişilerin verilerinin hangi yöntemlerle işleneceği, nerede muhafaza edileceği, ne şekilde kullanılacağı hakkında bilgi sahibi olması önem taşımaktadır[4]. Burada dikkat edilmesi gereken bir diğer nokta ise ilgili kişinin kendi iradesi ile kişisel verisini alenileştirmiş olması halinde dahi kişinin şeffaf bir şekilde aydınlatılması gerekliliğidir. Zira alenileştirme özel nitelikli kişisel veriler açısından hukuka uygun bir işleme sebebi teşkil etmeyecektir. Örneğin; kişinin sosyal medya hesaplarından siyasi ideolojisine dair paylaşımlar yapıyor olması o kişinin söz konusu özel nitelikli kişisel verisinin işlenebileceği konusunda rıza gösterdiğini ifade etmeyecek, verinin işlenebilmesi yine aydınlatmaya ve açık rızasının alınmasına bağlı olacaktır.

İlgili kişiye iletilecek aydınlatma metni; veri sorumlusunun kimliği, veri işlemenin amacı, veri toplamanın yöntemi ve hukuki sebebi, verilerin kimlere aktarılabileceği ve ilgili kişinin Kanunda sayılan haklarına ilişkin tüm bilgileri içeriyor olmalıdır[5]. KVKK’da Madde 11’de sayılan ilgili kişinin hakları özellikle yukarıda bahsi geçen profilleme gibi işlemler sonucu elde edilen kişisel verilerin kişinin aleyhine bir sonuç doğurması halinde öne çıkacaktır. 11.Maddenin (g) bendinde ifade edildiği üzere böyle bir durumda ilgili kişi kendi aleyhine bir sonuç doğması halinde itirazda bulunabilecektir. Avrupa Veri Koruma Otoritesince yayımlanan raporda; verilerinin işlenmesi sonucu kişiler üzerinden iki çeşit olumsuz etki doğabileceğinden bahsedilmiştir. Bunlar; hukuki etkiler ve GDPR Madde 22’de yer verilen ifadesi ile “similarly significant affects” [6]yani hukuki olmayan ancak yine de kişi bakımından ciddi olumsuzluklara yol açan durumlardır. Hukuki etkiye örnek olarak; yapılan veri analizleri sonucu kişinin geçmişinde bulunan güvenlik açıkları gereği ekstra hukuksal süreçlere, kontrollere tabi tutulması gösterilebilir. “Similarly significant affects” olarak ifade edilen ve dilimize “Benzer Etkiler/Zararlar” olarak aktarılabilecek olan hususa örnek olarak ise düzenli olarak kredi kartı borçlarını ödemekte olan bir vatandaşın yaşadığı çevrenin ekonomik düzeyi üzerinden değerlendirilerek kredibilitesinin düşürülmesi gösterilebilir. Söz konusu kişi ile hiçbir bağlantısı olmadığı halde böyle bir sonuçla karşılaşması da hukuka uygun veya hukuka aykırı veri işlemenin kişi üzerinde ne gibi sonuçlar doğurabileceğini göstermektedir. Dolayısıyla, her gerçek kişi doğrudan ya da dolaylı olarak hakkında hangi verilerin hangi yollarla işlendiğinden haberdar olmalı ve böylelikle kişisel verilerini koruyabilmek adına haklarını kullanabilmelidir.

 

  • Açık Rıza: Seçimler gibi çok fazla siyasi fikir alışverişinin yürütüldüğü süreçlerde siyasi düşünce gibi özel nitelikli kişisel verilerin işlenmesine durumun hassassiyeti gereği ekstra özen gösterilmelidir. Bu kapsamda kural olarak açık rıza olmaksızın işlenemeyecek olan özel nitelikli kişisel verilerin işlenmesinde; KVKK Madde 3 Fıkra 1/a’da yer verilen tanımına göre “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” alınmalı, alınamadığı hallerde o veri işlenmemelidir.

 

Veri işleme faaliyetinin tamamen otomatik yollar ile yapılıyor olması halinde açık rızanın alınmış olması ayrıca önem taşımaktadır. Tamamen otomatik yollarla veri işlenmesi, GDPR Madde 22’de de yer verildiği üzere kısaca; hiçbir insan müdahalesi olmaksızın işleme sürecinin yürütülmesi ve sonuçların yine hiçbir insanın düşüncesi/kararına bağlı olmaksızın oluşması anlamına gelmektedir. Örneğin; kişilerin kitap alışverişlerini çerezler yolu ile takip eden bir sistemin, elde ettiği sonuçlara bağlı olarak uygun olan kişilere ilgili adaya dair mesajlar göndermesi. Netice itibariyle, bir insan iradesi ile bu işleme başvurulmuş olsa dahi işlem tamamen makineler, sistemler aracılığıyla yürütülmektedir. Bu düzende ilgili kişiden açık rızasının alınmasının otomatik olmayan yollarla veri işleme faaliyetlerine nazaran daha kritik olmasının sebebi; kişinin verisinin işlendiği konusunda hiçbir bilgisi olmadan dahi bunun yapılmasının mümkün olması ve bunun doğrudan GDPR ve KVKK’nın ihlali anlamına gelecek olmasıdır.

 

Sonuç olarak; seçimlerin zorlu süreci dahi veri sorumluları için ulusal ve uluslararası Veri Koruma mevzuatlarından doğan yükümlülüklerin bertaraf edilmesi için bir sebep oluşturmayacaktır. Normal düzene nazaran çok daha fazla ihlale sebebiyet verebilecek olan bu dönemin en az zararla atlatılması gerek adayların gerekse araştırma şirketleri gibi aracıların temel bir insan hakkı olan kişisel verilerin korunması hakkına saygılı olmasına bağlıdır. Bu süreçte gerçekleşecek ihlallerin yalnızca kişilerin gizliliğine değil aynı zamanda demokrasi ve adil seçim düzenine de ciddi zararlar verebileceği unutulmamalıdır. 

 

 

KAYNAKÇA

  1. 07.04.2016 tarihli Resmi Gazetede yayımlanarak yürürlüğe giren 6698 Sayılı Kişisel Verilerin Korunması Kanunu

  2. AB General Data Protection Regulation

  3. http://www.europarl.europa.eu/news/en/headlines/eu-affairs/20190227STO28983/european-elections-abuse-of-data-to-be-penalised

  4. European Data Protection Board’s Statement dated 13th of March, 2019 regardin the use of Personal Data in The Course of Political Campaigns- https://edpb.europa.eu/our-work-tools/our-documents/other/statement-22019-use-personal-data-course-political-campaigns_en

  5. 10 Mart 2018 Tarihli ve 30356 Sayılı Resmi Gazete’de yayımlanan “Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ”

  6. General Data Protection Regulation Recital 71

 

[1] 07.04.2016 tarihli Resmi Gazetede yayımlanarak yürürlüğe giren 6698 Sayılı Kişisel Verilerin Korunması Kanunu

[2] AB General Data Protection Regulation

[3] http://www.europarl.europa.eu/news/en/headlines/eu-affairs/20190227STO28983/european-elections-abuse-of-data-to-be-penalised

[4] European Data Protection Board’s Statement dated 13th of March, 2019 regarding the use of Personal Data in The Course of Political Campaigns- https://edpb.europa.eu/our-work-tools/our-documents/other/statement-22019-use-personal-data-course-political-campaigns_en

[5] 10 Mart 2018 Tarihli ve 30356 Sayılı Resmi Gazete’de yayımlanan “Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ”

[6] GDPR Recital 71; “…which produces legal effects concerning him or her or similarly significantly affects him or her, such as automatic refusal of an online credit application or e-recruiting practices without any human intervention.”