İYSİleti Yönetim Sistemi ve Veri Tabanlarının Hukukumuzda Korunması

29/06/2021

Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik’te (“Yönetmelik”) 4 Ocak 2020 tarihinde yapılan değişiklik ile Ticari Elektronik İleti Yönetim Sistemi yani kısa adıyla İYS hayatımıza girdi. İYS sistemi vasıtasıyla vatandaşlar tek bir sistem kullanarak ticari elektronik ile alma konusundaki iradelerini ileti gönderenlere aktarabilecekler.

İleti gönderenlerin ellerinde bulunan onaylı ileti veri tabanlarını İYS’ye yüklemesi, sistemin işlevsel hale gelebilmesi için mutlak bir gereklilik. Bu nedenle veri tabanlarının İYS sistemine en geç 1 Haziran 2020 tarihine kadar yüklenmesi zorunlu hale getirildi. Ancak hem veri tabanlarının ticari değeri hem de neredeyse tamamen kişisel verilerden oluşmaları, çeşitli endişeler doğuruyor. Bunları giderebilmek amacıyla, İYS sistemine yüklenecek veri tabanlarının yararlanabileceği hukuki korumalar hakkında kısaca bilgi paylaşacağım.

Fikir ve Sanat Eserleri Kanunu Çerçevesinde Onaylı İleti Veri Tabanlarının Korunması

Fikir ve Sanat Eserleri Kanunu (“FSEK”), veri tabanlarını ikiye tipe ayırarak hukuki koruma sağlamaktadır. Orijinal veri tabanı olarak adlandırılan ilk kategori; belirli bir amaca göre ve özel bir plan dahilinde verilerin ve materyallerin seçilip derlenmesiyle ortaya çıkan veri tabanlarıdır. Bunlar FSEK kapsamında eser olarak koruma görmektedir. İkinci kategori ise kendine özgü korumaya sahip olan, içeriğinin seçilmesi veya düzenlenmesi yönünden yaratıcılık arz etmeyen veri tabanlarıdır.

Onaylı ileti veri tabanları da bu ikinci kategori altında hukuki korumaya sahip olarak değerlendirilebilir. İdari işlemler, söz konusu koruma kapsamına bir istisna olarak belirlendiği için onaylı ileti veri tabanlarının İYS’ye aktarılmasını hukuken engellemek mümkün değil. Ancak İYS’ye aktarılan onaylı ileti veri tabanları üzerinde; kanuni görevlerin yerine getirilmesi haricinde işlem yapılması halinde FSEK korumasının devreye girmesi mümkün. Onaylı ileti veri tabanlarına hukuka aykırı olarak erişilmesi halinde; sorumlulara karşı hem FSEK hükümlerine göre hem de genel hükümlere dayanarak çeşitli talepler (tazminat dahil) öne sürülebilir.

Kişisel Verilerin Korunması Kanunu Çerçevesinde Onaylı İleti Veri Tabanlarının Korunması

Onaylı ileti veri tabanlarının kişisel verilerden oluştuğu açık. Dolayısıyla Kişisel Verilerin Korunması Kanunu (“KVKK”) da İYS’ye uygulanacak. KVKK’ya ilişkin olarak veri sorumlusunun kim olduğuna, aydınlatma yükümlülüğünün nasıl yerine getirileceğine ve kişisel veri güvenliğinden sorumluluğun nasıl olacağına dair konuları inceleyeceğim.

İYS’ye aktarılan kişisel veriler açısından veri sorumlusunun kim olacağı dikkate değer bir soru. Mevzuat, Ticaret Bakanlığı’nı İYS’nin kurulumu konusunda yetkili kılıyor. Bakanlığın İYS’nin kurulumu için üçüncü kişileri yetkilendirmesi de mümkün. Nitekim, Yönetmelik yetkilendirilen bu kişiyi “Kuruluş” olarak tanımlıyor. Bu ikili yapı incelendiğinde, kanuni görevini yerine getirmekte olan Bakanlık’ın veri sorumlusu; Bakanlık’tan aldığı yetki ile İYS sistemini kuran Kuruluş’un veri işleyen statüsünde olacağı sonucuna varılabilir. Ancak Kuruluş tarafından İYS içerisinde bulunan kişisel veriler başka amaçlarla kullanılırsa, Kuruluş’un da veri sorumlusu sıfatına sahip olması söz konusu olabilir.

Veri sorumlusunun aydınlatma yükümlülüğü, KVKK m. 10’da yer alan bilgilerin veri sahiplerine (kanuni terim olarak ilgili kişiler) verilerin elde edilmesi sırasında sunulmasını gerektiriyor. Aydınlatma yükümlülüğünün nasıl yerine getirilmesi gerektiğini açıklayan tebliğde, doğrudan veri sahiplerinden toplanmayan kişisel veriler için aydınlatma yükümlülüğünün ne zaman yerine getirilmesi gerektiği sorusu da cevaplanıyor. Yüzbinlerce kişinin kişisel verilerini içerecek olan İYS kapsamında bu yükümlülüğün yerine getirilmesi de bir yandan şeffaflığın sağlanmasına imkân verecekken diğer yandan da Bakanlık için ciddi bir iş yükü teşkil edecek gibi görünüyor.

KVKK’ya göre İYS’de bulunan kişisel verilerin güvenliğinin sağlanması konusunda veri sorumlusu (Bakanlık) ile veri işleyenin (Kuruluş) müşterek sorumluluğu bulunuyor. Ancak Yönetmelik m. 12’ye göre veri güvenliğinin sağlanmasına ilişkin sorumluluk Kuruluş’a bırakılmış. Kanun ile getirilmiş bir sorumluluğun yönetmelik ile kaldırılamayacağı düşünüldüğünde, Yönetmelik m. 12’ye rağmen, Bakanlığın veri güvenliğinin sağlanamamasından dolayı veri sahiplerine karşı olan sorumluluğunun ortadan kalkmadığı sonucuna varmak mümkün.

https://uzunkeskin.com/wp-content/uploads/2021/10/cropped-uk_logo-04-e1634148990611.png
Esentepe Mah. Büyükdere Cad. No:13, River Plaza 34394 Şişli/İstanbul
0212 975 2643
info@uzunkeskin.com

Follow us:

Tüm hakları saklıdır. © Uzun & Keskin Hukuk Bürosu 2022