Sena Gül Avukat | Abdullah S. Köşgeroğlu Stajyer Avukat |
ÖZET
16 Haziran 2020 tarihli ve 7246 sayılı Rekabetin Korunması Hakkında Kanunda Değişiklik Yapılmasına Dair Kanun ile 4054 sayılı Rekabetin Korunması Hakkında Kanun’un yerinde incelemeye ilişkin 15’inci maddesi kapsamında Rekabet Kurulu’na teşebbüslerin veya teşebbüs birliklerinin defterlerinin, fiziki ve elektronik ortam ile bilişim sistemlerinde tutulan her türlü verilerinin ve belgelerinin kopyalarını ve fiziki örneklerini alabilmesi yönünde yetki verilmiş olup söz konusu hükümde yer alan “…bunların kopyalarını ve fiziki örneklerini alabilir…” ibaresi, kişisel verilerin korunmasını isteme hakkı başta olmak üzere Anayasa’nın ilgili maddelerine aykırı olduğu öne sürülerek Anayasa Mahkemesi nezdinde iptal davasına konu edilmiştir. Anayasa Mahkemesi gerçekleştirmiş olduğu norm denetimi neticesinde ilgili ibarenin Anayasa’nın 20’nci maddesinde düzenlenen kişisel verilerin korunmasını isteme hakkını ihlâl etmediğine oy çokluğuyla karar vermiştir. Anayasa Mahkemesi’nin anılan karar kapsamındaki değerlendirmeleri ile kararın karşı oy gerekçelerinde yer alan değerlendirmeler, kişisel verilerin korunması hukuku bakımından önemli tespitler içermekte olup işbu çalışmada söz konusu Anayasa Mahkemesi kararındaki ilgili kısımlar karşı oy gerekçelerinde öne sürülen farklı yaklaşımlarla birlikte ele alınmıştır.
Anahtar Kelimeler: Anayasa Mahkemesi, Kişisel Verilerin Korunmasını İsteme Hakkı, Yerinde İnceleme Yetkisi, 6698 Sayılı Kişisel Verilerin Korunması Kanunu, 4054 Sayılı Rekabetin Korunması Hakkında Kanun.
GİRİŞ
Rekabet Kurulu (“Kurul”), serbest piyasada rekabet ortamının sağlıklı bir biçimde devamı ve doğrudan veya dolaylı olarak rekabeti sınırlayıcı anlaşma, uyumlu eylem ve kararların tespiti ve engellenmesi amacıyla 4054 sayılı Rekabetin Korunması Hakkında Kanun’un (“4054 sayılı Kanun”) 15’inci maddesi uyarınca gerekli gördüğü hâllerde yerinde incelemeler gerçekleştirmektedir. 16 Haziran 2020 tarihli ve 7246 sayılı Rekabetin Korunması Hakkında Kanunda Değişiklik Yapılmasına Dair Kanun ile söz konusu hüküm “…(d)efterlerini, fiziki ve elektronik ortam ile bilişim sistemlerinde tutulan her türlü verilerini ve belgelerini inceleyebilir, bunların kopyalarını ve fiziki örneklerini alabilir…” şeklinde değiştirilmiş veKurul’un yerinde inceleme yetkisinin kapsamı elektronik ortamları da içerecek şekilde genişletilmiştir[1].
Bu durum, hükmün değişiklik öncesi hâli bakımından da mevcut olan kişisel verilerin korunmasına ilişkin endişeleri[2] yeniden gündeme getirmiştir. Nitekim 4054 sayılı Kanun’un 15’inci maddesinin birinci fıkrasının (a) bendinde yer alan “…bunların kopyalarını ve fiziki örneklerini alabilir,…” ifadesi Türkiye Büyük Millet Meclisi milletvekilleri tarafından (i) teşebbüslerin veya teşebbüs birliklerinin her türlü bilgilerinin ve belgelerinin herhangi bir sınırlama olmaksızın kopyalanmasını ve fiziki örneklerinin alınmasını mümkün kılması, (ii) söz konusu işlemler sırasında ilgili teşebbüslerin veya teşebbüs birliklerinin temsilcilerinin hazır bulunmasına ilişkin herhangi bir şarta yer vermemesi ve (iii) teşebbüslerin veya teşebbüs birliklerinin ticari sırlarına ve müşteri çevresine ilişkin verilerine Kurul tarafından erişim yetkisi tanımasına karşılık kişisel verilerin elde edilmesi ve işlenmesi konusunda herhangi bir güvence içermemesi nedenleriyle hukuki belirlilik ilkesiyle bağdaşmadığı, orantılı olmadığı ve bu kapsamda Anayasa’nın 2’nci, 13’üncü, 20’nci, 35’inci ve 90’ıncı maddelerine aykırı olduğu ileri sürülerek Anayasa Mahkemesi’nde (“AYM”) iptal davasına konu edilmiştir.
AYM’nin 4054 sayılı Kanun’un yerinde incelemeye ilişkin 15’inci maddesinde yer alan “…bunların kopyalarını ve fiziki örneklerini alabilir…” ibaresi ile çeşitli maddelerinin Anayasa’ya aykırılığı iddiasıyla açılan iptal davasına ilişkin 9 Kasım 2022 tarih ve 2022/139 sayılı kararı (“Karar”) 30 Mart 2023 tarihli ve 32148 sayılı Resmî Gazete’de yayımlanmıştır[3]. Buna göre AYM ilgili hükme ilişkin gerçekleştirdiği denetim neticesinde (i) kişisel verilerin korunmasını isteme hakkının düzenlendiği Anayasa’nın 20’nci maddesinin 3’üncü fıkrasında kişisel veriler ile ilgili “herkes” ibaresinin kullanılması nedeniyle tüzel kişilere ilişkin verilerin de madde kapsamında değerlendirildiğini, (ii) dava konusu kuralın gerçek veya tüzel kişi fark etmeksizin teşebbüslerin veya teşebbüs birliklerinin kişisel verilerin korunmasını isteme hakkını sınırlandırdığını, (iii) ancak bu sınırlandırmanın meşru bir amacının bulunduğunu, demokratik toplum düzeninin gerekliliklerine, kanunilik ile ölçülülük ilkelerine uygun olduğunu ve orantısız bir müdahaleye neden olmadığını belirterek anılan madde hükmünün Anayasa’ya aykırı olmadığına oy çokluğu ile karar vermiştir.
İşbu çalışmada 4054 sayılı Kanun’un yerinde incelemeye ilişkin 15’inci maddesinin birinci fıkrasının (a) bendinde yer alan iptale konu ifade bakımından AYM’nin özellikle Anayasa’nın temel hak ve hürriyetlerin sınırlanmasını düzenleyen 13’üncü ve kişisel verilerin korunmasını isteme hakkını düzenleyen 20’nci maddesinin 3’üncü fıkrası bakımından gerçekleştirdiği değerlendirmeler ve buna ilişkin karşı oy görüşleri incelemeye konu edilmektedir.
1. KİŞİSEL VERİLERİN KORUNMASINI İSTEME HAKKININ TÜZEL KİŞİLERE İLİŞKİN VERİLERİ DE KAPSADIĞI YÖNÜNDEKİ DEĞERLENDİRME
AYM, Anayasa’nın 20’nci maddesinin 3’üncü fıkrasında yer alan “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir.” hükmünün kişi bakımından korunma alanının tüzel kişileri de içine alıp almadığının açık olmadığını belirterek hükümdeki “herkes” ifadesinden hareketle tüzel kişilere ilişkin verilerin de madde kapsamında değerlendirilmesi gerektiği yönünde bir tespitte bulunmuştur. Karar’da 95/46/EC sayılı Avrupa Birliği Veri Koruma Direktifi’nde[4] (“95/46/EC sayılı Direktif”) tüzel kişilere ilişkin verilerin kapsam dışı bırakılmış olduğu belirtilmiş olmasına karşılık söz konusu yaklaşımı desteklemek amacıyla 12/7/2002 tarihli ve 2002/58/EC sayılı Gizlilik ve Elektronik İletişime İlişkin Direktif’te[5] (“E-Gizlilik Direktifi”) ve son yıllarda kabul edilen bazı ülke kanunlarında tüzel kişilerin de kişisel verilerin koruması alanına dâhil edildiği ve uluslararası gelişmelerin tüzel kişilerin de kişisel verilerin korunması kapsamında yer alması gerektiğini gösterdiği ifade edilmektedir.
Anayasa’nın 20’nci maddesinin 3’üncü fıkrasında kişisel verilerin korunmasına ilişkin esas ve usullerin kanunla düzenleneceği hükmü yer almakta olup bu doğrultuda 7 Nisan 2016 tarihinde yürürlüğe giren ve kişisel verilerin işlenmesine ilişkin yasal çerçeveyi belirleyen 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“6698 sayılı Kanun”) 2’nci maddesinde söz konusu kanun hükümlerinin kişisel verileri işlenen gerçek kişileri kapsadığı açıkça düzenlenmekte ve 3’üncü maddesinde kişisel veri kavramı “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” olarak tanımlanmaktadır. Nitekim hem 6698 sayılı Kanun hazırlanırken esas alınan 95/46/EC sayılı Direktif’te hem de Avrupa Birliği’nde kişisel verilerin korunmasına ilişkin başlıca düzenleme olan 2016/679 sayılı Avrupa Birliği Genel Veri Koruma Tüzüğü’nde[6] (“GDPR”) yer alan tanımlar incelendiğinde, kişisel veri öznesinin ancak gerçek kişiler olabileceği anlaşılmaktadır. Bu noktada 6698 sayılı Kanun’un yürürlüğe girdiği 2016 yılından bu yana tüzel kişilere ilişkin verilerin kişisel veri olarak addedilemeyeceği ve 6698 sayılı Kanun’un kapsamı dışında kalacağı hususlarında herhangi bir tereddüt bulunmadığı söylenebilecektir[7].
Bununla birlikte Karar’da da atıf yapılan E-Gizlilik Direktifi incelendiğinde tüzel kişilerin veri sahibi olarak nitelendirilmesinden ziyade meşru menfaatlerinin korunacağına ilişkin düzenlemeler olduğu görülmektedir. Ayrıca kullanıcıların veya abonelerin E-Gizlilik Direktifi kapsamında verecekleri onayların, abonelerin gerçek kişi yahut tüzel kişi olmasından bağımsız şekilde, GDPR’nin mülga ettiği 95/46/EC sayılı Direktif’te yer alan rıza ile aynı anlama gelmesi gerektiğinin düzenlendiği anlaşılmaktadır[8]. Keza E-Gizlilik Direktifi’nin yerini almak üzere hazırlanan fakat henüz teklif aşamasında olan Gizlilik ve Elektronik İletişime İlişkin Tüzük Taslağı’nın[9] (“E-Gizlilik Tüzük Taslağı”) 10 Şubat 2021 tarihli son versiyonunda kişi bakımından konu hükmünde gerçek kişiler ve tüzel kişiler ayrı fıkralarda düzenlenmekte ve gerçek kişiler bakımından kişisel verilerin korunmasından bahsedilirken tüzel kişiler bakımından yalnızca haberleşmeye saygı hakkı özelinde temel hak ve özgürlüklerinin korunmasından bahsedilmektedir[10].
Açıklanan nedenlerle, İsviçre[11] gibi ender rastlanan örnekler saklı kalmak kaydıyla, Türkiye ile Avrupa ülkelerindeki veri koruma mevzuatları incelendiğinde, AYM’nin bu yöndeki tespitinin aksine, tüzel kişilerin gittikçe kişisel verilerin korunmasına ilişkin düzenlemelerin öznesi olmaya başladığını gösteren bir yönelimden söz edilemeyeceği kanaatindeyiz. Bununla birlikte Karar’da kişisel verilerin korunmasını isteme hakkının gerçek kişilere ait verilerle sınırlı olduğu kabul edilseydi dahi diğer bir ifadeyle Anayasa’nın 20’nci maddesinin (3) numaralı fıkrasının tüzel kişilere ilişkin verileri kapsamadığı tespit edilseydi dahi (i) yerinde incelemenin gerçekleştirildiği teşebbüsün veya teşebbüs birliğinin gerçek kişi hukuki niteliğinde olabileceği ve (ii) yerinde incelemenin gerçekleştirildiği teşebbüsün veya teşebbüs birliğinin hukuki niteliğinden bağımsız olarak incelemeye konu evraklar arasında her hâlükârda gerçek kişilere ait veriler yer alabileceği göz önünde bulundurulduğunda iptale konu madde hükmünün kişisel verilerin korunmasını isteme hakkını ihlâl ederek Anayasa’ya aykırılık teşkil ettiği iddiası AYM tarafından esas bakımından incelenebilir bulunabilecekti. Nitekim Karar’da karşı oy kullanan AYM üyesi Zühtü ARSLAN da karşı oy gerekçesinde, her ne kadar AYM’nin tüzel kişilere ilişkin verilere dair yapmış olduğu tespite ilişkin açıkça bir eleştiride bulunmasa da iptale konu kural kapsamında Kurul uzmanları eliyle yürütülecek yerinde incelemelerde kopyaları ve fiziki örnekleri alınabilen defterlerin, verilerin ve belgelerin kişisel veri ihtiva edebileceğini ve gerçek kişi de olabilen teşebbüslerin veya teşebbüs birliklerinin fiziki ve elektronik ortam ile bilişim sistemlerinde tutulan her türlü verilerinin bu anlamda işlenebileceğini belirterek bahse konu kuralın kişisel verilerin korunmasını isteme hakkına getirilen bir sınırlandırma olduğunu ifade etmiştir.
2. KİŞİSEL VERİLERİN KORUNMASINI İSTEME HAKKININ İHLÂL EDİLMEDİĞİ YÖNÜNDEKİ DEĞERLENDİRME
AYM Karar kapsamında 4054 sayılı Kanun’un 15’inci maddesiyle Kurul’a verilen yerinde inceleme yetkisinin kişisel verilerin korunmasını isteme hakkına yönelik ölçüsüz bir müdahale teşkil edip etmediği hususunu da değerlendirmiş olup itiraz konusu kuralın (i) Kurul’a tanınan yetkinin konusu, kapsamı ve sınırları ile kullanılacağı hâllerin açık ve net olarak belirlediği gözetildiğinde belirli, ulaşılabilir ve öngörülebilir nitelikte olduğunu belirterek kanunilik şartını sağladığını, (ii) rekabetin korunmasına yönelik olması nedeniyle meşru bir amacının bulunduğunu ve (iii) zorunlu bir ihtiyaçtan kaynaklanması nedeniyle demokratik toplum düzeninin gereklilikleriyle bağdaştığını tespit ederek kişisel verilerin korunmasını isteme hakkının Anayasa’nın 13’üncü maddesine uygun biçimde sınırlandırıldığı sonucuna ulaşmıştır.[12] Bu noktada AYM’nin kanunilik şartı ile ölçülülük ilkesine ilişkin değerlendirmeleri kişisel verilerin korunması hukuku bakımından kritik tespitler içerdiğinden aşağıda ayrıca incelenecektir.
Yukarıda belirtildiği üzere AYM, 4054 sayılı Kanun’un 15’inci maddesiyle Kurul’a verilen yerinde inceleme yetkisinin kişisel verilerin korunmasını isteme hakkını sınırlandırdığını kabul etmektedir. Bununla birlikte temel hak ve özgürlükler mutlak olmayıp Anayasa’nın 13’üncü maddesi uyarınca sınırlandırılabilmeleri mümkündür. Bu doğrultuda AYM tarafından kişisel verilerin korunmasını isteme hakkına ilişkin sınırlandırılma, 13’üncü madde uyarınca kanunilik şartı ve ölçülülük ilkesi çerçevesinde ele alınmıştır.
2.1. Kanunilik Şartı Bakımından
Anayasa’nın 13’üncü maddesi uyarınca temel hak ve özgürlükler yalnızca Anayasa’nın ilgili maddelerinde belirtilen sebeplere bağlı olarak ve kanunla sınırlandırılabilir. Bu noktada Karar kapsamında AYM (i) Anayasa’nın 20’nci maddesinin üçüncü fıkrasında kişisel verilerin ancak kanunda öngörülen hâllerde veya kişinin açık rızasıyla işlenebileceğinin belirtildiğini ve anılan fıkranın dördüncü cümlesinde ise kişisel verilerin korunmasına ilişkin esas ve usullerin kanunla düzenleneceğinin hüküm altına alındığını, (ii) 6698 sayılı Kanunu’nun 2’nci 3’üncü ve 18’inci maddeleri incelendiğinde Kurul’un 6698 sayılı Kanun’daki yükümlülüklere tabi olduğunun anlaşıldığını, (iii) iptale konu kuralın özel nitelikli kişisel verilerin kaydedilmesini ve kullanılmasını içermediğini ve (iv) 6698 sayılı Kanun’un 7 ila 14’üncü maddeleri arasında ve 16 ile 17’nci maddelerinde yer alan hükümlerin iptale konu kural bakımından kişisel verilerin korunmasına ilişkin olarak bilgilendirme hakkı, erişim hakkı, verilerin amaçları doğrultusunda kullanılıp kullanılmadığını öğrenme hakkı, verilerin güvenliğinin sağlanması gibi gerekli güvenceleri karşıladığını değerlendirmiştir. Bu kapsamda Kurul’a tanınan yetkinin konusu, kapsamı ve sınırları ile kullanılacağı hâllerin açık ve net olarak belirlendiği gözetildiğinde AYM iptale konu kuralın belirli, ulaşılabilir ve öngörülebilir nitelikte olduğuna ve kanunilik şartını sağladığına kanaat getirmiştir.
Bununla birlikte AYM söz konusu kararı oy çokluğuyla almış olup bu karara katılmayan Zühtü ARSLAN’a ait karşı oy gerekçesinde ise kanunilik ilkesinin aynı zamanda hukuk devletinin vazgeçilmez unsurları arasında yer aldığı ve hukuk devletinde kanuni düzenlemelerin açık, net, anlaşılır olması ve kamu otoritelerinin keyfî uygulamalarına karşı koruyucu önlem içermesi gerektiği ifade edilmiştir. Bu doğrultuda söz konusu karşı oy gerekçesinde (i) iptale konu kural uyarınca gerçek kişi de olabilen teşebbüslerin veya teşebbüs birliklerinin fiziki ve elektronik ortam ile bilişim sistemlerinde tutulan her türlü verilerinin alınabileceğinin düzenlenmesine karşılık söz konusu verilerin nasıl ve ne kadar süreyle kaydedileceğine, belli bir süreden sonra silinip silinmeyeceğine, fiziki örneklerin iade edilip edilmeyeceğine ilişkin herhangi bir düzenlemeye veya atfa yer verilmediğini, (ii) AYM’nin oy çokluğuyla aldığı kararda bu hususlara ilişkin güvencelerin 6698 sayılı Kanun’da yer aldığı ve Kurul’un da bu Kanun’a uymakla yükümlü olduğu belirtilse dahi iptale konu kuralda yer alan “…her türlü verini…” ibaresinin keyfiliğe izin vermeyecek şekilde belirli ve öngörülebilir nitelikte olmadığını ve (iii) ne iptale konu kuralda ne de kuralın içinde yer aldığı 4054 sayılı Kanun’da Kurul tarafından alınabilecek veriler arasında özel nitelikli verilerin yer almaması gerektiğine yönelik herhangi bir tedbirin bulunmadığını ve dolayısıyla, “…her türlü verini…” ifadesinin 6698 sayılı Kanun’da daha sıkı koruma şartlarına tabi özel nitelikli kişisel verileri de ihtiva edebileceğini belirterek iptale konu kuralın kanunilik şartını sağlamadığı yönünde görüş bildirmiştir.
Hasan Tahsin Gökcan’ın karşı oy gerekçesinde de iptale konu kuralda yerinde inceleme esnasında kişisel veri niteliğindeki bilgi ve belgelerin ne şekilde kullanılacağına, bu bilgilerin ne suretle ve ne kadar süre ile saklanacağına, ilgililerin söz konusu bilgilere itiraz etme imkânının olup olmadığına, bilgilerin bir müddet sonra silinip silinmeyeceğine, silinecekse bu sırada izlenecek usulün ne olduğuna, yetkinin kötüye kullanımını önlemeye yönelik nasıl bir denetim yapılacağına ilişkin düzenlemelere yer verilmediği dolayısıyla Anayasa’nın 13’üncü ve 20’nci maddelerine aykırılık nedeniyle iptal edilmesi gerektiği belirtilmiştir.
Kanaatimizce de belirlilik ve hukuki güvenlik ilkeleri gereği kanuni düzenlemelerin ‘içeriğinde’ keyfiliği önleyici unsurların bulunması gerekmektedir. Dolayısıyla itiraz konusu kuralın hukuk devletinden beklenen öngörülebilirliği sağlamakta yetersiz kaldığı değerlendirilebilecektir. Zira Zühtü ARSLAN’a ait karşı oy gerekçesinde de işaret edildiği üzere, bir an için 6698 sayılı Kanun’un itiraza konu kural kapsamında gerekli güvenceleri sağladığı kabul edilse dahi söz konusu kuralda Kurul’a verilen yetki kapsamında toplanabilecek verilere ilişkin hiçbir sınırlama getirilmemesi özel nitelikli kişisel veriler dâhil birçok verinin hiçbir sınırlama olmadan işlenmesine neden olabilecek ve bu durum hem 6698 sayılı Kanun’un 4’üncü maddesinde düzenlenen genel ilkeler arasında yer alan ‘amaçla bağlantılı, sınırlı ve ölçülü olma’ ilkesine aykırılık teşkil edebilecek[13] hem de özel nitelikli kişisel veri işleme şartının eksikliği nedeniyle işleme faaliyetinin hukuka aykırı olarak değerlendirilmesine neden olabilecektir.
Nitekim 6698 sayılı Kanun uyarınca (i) sağlık ve cinsel hayata ilişkin kişisel veriler dışındaki özel nitelikli kişisel veriler yalnızca kanunlarda öngörülen hâllerde, (ii) sağlık ve cinsel hayata ilişkin veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgili kişinin açık rızası olmaksızın işlenebilmektedir. Buna karşın, itiraz konusu kuralda veya 4054 sayılı Kanun’da ne Kurul tarafından elde edilebilecek veriler arasında özel nitelikli kişisel verilerin bulunmamasının temine yönelik herhangi bir tedbire ne de yerinde inceleme esnasında hangi özel nitelikli kişisel verilerin hangi şartlarla işlenebileceğine ilişkin bir düzenlemeye yer verilmiştir. Hâl böyle olunca özel nitelikli kişisel verilerin işlenebilmesi ilgili kişilerin açık rızasını gerektirecek olup Kurul tarafından yerinde inceleme esnasında ilgili kişilerin açık rızalarının temini pratikte mümkün olamayacağından yahut söz konusu rızanın özgür irade ile verilme unsurunu karşılamadığı gerekçesiyle geçerliliği sorgulanabileceğinden, 6698 sayılı Kanun uygulansa dahi yerinde inceleme esnasında işlenebilecek özel nitelikli kişisel verilerin hukuka uygun olarak işlenmesine ilişkin bir belirsizlik doğabilecektir.
2.2. Ölçülülük İlkesi Bakımından
Anayasa’nın 13’üncü maddesi uyarınca temel hak ve özgürlüklere getirilen sınırlandırmalar demokratik toplum düzenine ve ölçülülük ilkesine aykırı olamazlar. Karar kapsamında AYM, devletin rekabet ortamının korunması suretiyle piyasaların sağlıklı ve düzenli şekilde işlemesini sağlamak için rekabet ihlâllerinin tespit edilebilmesi amacıyla iptale konu kural ile getirilen sınırlamanın zorunlu bir toplumsal ihtiyaçtan kaynaklandığını ve dolayısıyla kuralın demokratik toplum düzeninin gerekleriyle bağdaşmayan bir yönünün bulunmadığını ifade etmiştir.
Bununla birlikte temel hak ve özgürlüklerin sınırlandırılması için meşru bir amacın varlığı tek başına yeterli olmayıp AYM’nin gerçekleştirdiği denetimlerde amaç ve sınırlama arasında bir denge olup olmadığının ölçülülük ilkesi ve onun alt ilkeleri olan elverişlilik, gereklilik ve orantılılık ilkeleri ile ortaya konması gerekmektedir[14]. Bu kapsamda AYM, iptale konu kural ile Kurul’un görevlerini yerine getirirken gerekli gördüğü hâllerde teşebbüslerin veya teşebbüs birliklerinin bilgi, defter, belge ve verilerinin kopyalarını ve fiziki örneklerini alabileceğinin öngörülmesini rekabete aykırı davranış ya da işlemlerin tespit edilmesini kolaylaştıracağı gözetildiğinde ilgili kuralın özel teşebbüslerin güvenli ve serbest piyasa içinde çalışmasını sağlama ve piyasalarda fiilî şekilde veya anlaşmayla doğacak tekel ve kartelleşmeyi engelleme amacına ulaşma bakımından elverişli bulmuştur.
AYM iletişim, veri depolama, üretim, pazarlama ve benzeri alanlardaki teknolojik gelişim ve dönüşüm gözetildiğinde rekabet ihlâllerinin teşebbüslerin iç yapıları ve piyasa gücü gibi veriler üzerinde uzman incelemesi yapılmaksızın ortaya çıkarılması mümkün olmadığını, bu durumun teşebbüsler bünyesinde bulunan defter, kayıt, belge ve elektronik verilerin elde edilmesini ve değiştirilemeyecek ya da ortadan kaldırılamayacak şekilde saklanmasını gerektirdiğini ve dolayısıyla kuralla öngörülen sınırlamanın anılan amaca ulaşma bakımından gerekli olma kriterinin sağlandığını değerlendirmiştir. Ek olarak çoğu zaman teşebbüslerin kayıtları ve verileri dışında rekabet ihlâllerinin ortaya çıkarılması açısından elde edilebilecek gerçeğe uygun, delil zinciri korunmuş başkaca delil bulma imkânı mevcut olmayabildiğini ve bu kapsamda inceleme sırasında elde edilen defterler, fiziki ve elektronik ortam ile bilişim sistemlerinde bulunan her türlü verilerin ve belgelerin kopyalarının ve fiziki örneklerinin alınabilmesinin gerekebileceğini belirtmiştir.
AYM iptale konu kuralda bahsi geçen yerinde incelemenin 4054 sayılı Kanun’un 15’inci maddesinin ikinci fıkrası uyarınca Kurul emrinde çalışan uzmanlar eliyle ve incelemenin konusu ile amacını gösteren bir yetki belgesi ibrazı suretiyle yapılacağını, yine anılan maddenin üçüncü fıkrasına göre yerinde incelemenin engellenmesi veya engelleme olasılığının doğması hâlinde yerinde incelemenin ancak sulh ceza hâkiminin kararı ile mümkün olacağını ve Kurul’un kendiliğinden zor kullanma yetkisinin bulunmadığını ayrıca 4054 sayılı Kanun’un 44’üncü maddesi uyarınca haklarında soruşturma başladığı bildirilen tarafların sözlü savunma hakkını kullanma taleplerine kadar Rekabet Kurumu bünyesinde kendileri ile ilgili düzenlenmiş her türlü evrakın ve mümkünse elde edilmiş olan her türlü delilin bir örneğinin kendilerine verilmesini talep edebileceklerinin ve Kurul’un tarafları bilgilendirmediği ve taraflara savunma hakkı vermediği konuları kararlarına dayanak yapamayacağının düzenlendiğini belirtmekte ve dolayısıyla orantısızlığa ilişkin bir tespitte bulunmamaktadır. Bu bağlamda itiraz konusu kuralın rekabetin korunmasına yönelik olması nedeniyle meşru bir amacının bulunduğu, amaç ve sınırlama arasındaki dengenin ölçülülük ilkesine uygun olduğu ve kuralın zorunlu bir ihtiyaçtan kaynaklanması nedeniyle demokratik toplum düzeninin gerekleriyle bağdaştığı sonucuna varılmış olup ilgili kuralın Anayasa’nın 13’üncü maddesine ve 20’nci maddesine ölçüsüz bir müdahale teşkil etmediğine karar verilmiştir.
Bununla birlikte iptale konu hükmün, 6698 sayılı Kanun’da düzenlenen ve tüm kişisel veri işleme faaliyetlerinin[15] özünde bulunması gereken genel ilkeler arasında yer alan amaçla bağlantılı, sınırlı ve ölçülü olma ilkesi çerçevesinde ele alınması yerinde olabilecektir. Amaçla bağlantılı, sınırlı ve ölçülü olma ilkesi uyarınca işlenen verilerin belirlenen amaçların gerçekleştirilebilmesine elverişli olması, amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılması ve sonradan ortaya çıkması muhtemel ihtiyaçların karşılanmasına yönelik olarak veri işlenmesi yoluna gidilmemesi gerekmektedir. İptale konu hükümde yer alan “…her türlü verilerini…” ibaresinin işlenebilecek verilerin kapsamı bakımından bir belirsizlik oluşturması ve herhangi bir sınırlama getirmemesi nedenleriyle amaçla bağlantılı, sınırlı ve ölçülü olma ilkesine ve bu ilkenin bir alt kırılımı olan veri minimizasyonu prensibine aykırılık teşkil edebileceği şeklinde eleştirilere konu olabileceği kanaatindeyiz.
SONUÇ
AYM tarafından -diğerlerinin yanı sıra- 4054 sayılı Kanun’un yerinde incelemeye yönelik 15’inci maddesinde yer alan “…bunların kopyalarını ve fiziki örneklerini alabilir,” ibaresi üzerinde gerçekleştirilen norm denetimi neticesinde ilgili kuralın temel hak ve özgürlükler arasında yer alan kişisel verilerin korunmasını isteme hakkını sınırlandırdığı, bununla birlikte bu sınırlandırmanın Anayasa’nın 13’üncü maddesine uygun olduğu yönünde oy çokluğu ile karar verilmiştir. Söz konusu Karar verilirken çoğunluk görüşüne katılmayan AYM üyeleri tarafından Karar’a yönelik pek çok karşı oy gerekçesi kaleme alınmış olup özellikle Zühtü ARSLAN’ın karşı oy gerekçesinde kuralın kanunilik, belirlilik ve öngörülebilirlik şartlarını taşımadığı ve Anayasa’nın 13’üncü ve 20’nci maddelerine aykırı olduğu belirtilmiştir.
Karar kapsamında AYM’nin gerçekleştirdiği incelemeler neticesinde tüzel kişilere ilişkin verilerin de kişisel verilerin korunmasını isteme hakkının kapsamına dâhil edilmesi ve iptale konu kuralda yer alan “…her türlü verilerini…” ibaresinin dahi ölçülülük ilkesine uygun bulunmasına ilişkin tespitler önem arz etmekte olup söz konusu tespitlere yönelik Kişisel Verileri Koruma Kurumu’nun yaklaşımın ne yönde olacağı bundan sonraki süreçte yakından takip edilmelidir.
[1] Hükmün değişiklikten önceki hâli ise “…(d)efterlerini, her türlü evrak ve belgelerini inceleyebilir ve gerekirse suretlerini alabilir…” şeklindeydi.
[2] Esasen 4054 sayılı Kanun’un 15’inci maddesinin değişiklikten önceki hâli kapsamında da Kurul teşebbüslerin veya teşebbüs birliklerinin defterlerini, her türlü evrak ve belgelerini inceleyebilmekte ve gerekirse suretlerini alabilmekteydi. Dolayısıyla ilgili değişiklik öncesinde geçmiş dönemdeki hüküm de kişisel verilerin korunması hukuku bakımından çekinceler doğurmaktaydı. Bununla birlikte anılan değişiklik ile elektronik ortamların da inceleme kapsamına alınması ve Kurul’un 8 Ekim 2020 tarihli ve 20-45/617 sayılı kararı ile yayımlanan Yerinde İncelemelerde Dijital Verilerin İncelenmesine İlişkin Kılavuz, konu hakkındaki özel hayatın gizliliğine ve kişisel verilerin korunmasına ilişkin kaygıları bir kez daha gün yüzüne çıkmıştır. Söz konusu değişiklik sonrasında Kurul’un yerinde inceleme yetkisinin kişisel verilerin korunması hukuku ekseninde değerlendirilmesine ilişkin detaylı incelemeler için bkz. Metin PEKTAŞ, Ülkü SOLAK ve diğerleri, “Rekabet Kurumu’nun Yerinde İnceleme Yetkisinin Kişisel Verilerin Korunması Hukuku Ekseninde Değerlendirilmesi”, NAZALI Gündem Şubat 2021, Son Erişim Tarihi: 20 Nisan 2023, http://nazaligundem.com/tr/yayinlar/rekabet-kurumunun-yerinde-inceleme-yetkisinin–kisisel-verilerin-korunmasi-hukuku-ekseninde-degerlendirilmesi?onlyTm=&tm=.
[3] AYM’nin 09/11/2022 tarih ve E.2020/67, K.2022/139 sayılı kararı, Son Erişim Tarihi: 20 Nisan 2023, https://www.resmigazete.gov.tr/eskiler/2023/03/20230330-5.pdf
[4] Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data, OJ L 281, 23.11.1995, p. 31–50, Son Erişim Tarihi: 20 Nisan 2023, EUR-Lex – 31995L0046 – EN (europa.eu).
[5] Directive 2002/58/EC of The European Parliament And of the Council of 12 July 2002 concerning the processing of personal data and the protection of privacy in the electronic communications sector (Directive on privacy and electronic communications), Son Erişim Tarihi: 20 Nisan 2023, https://edps.europa.eu/sites/edp/files/publication/dir_2002_58_en.pdf.
[6] Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the Protection of Natural Persons with Regard to the Processing of Personal Data and on the free movement of such data, and repealing directive 95/46/EC (General Data Protection Regulation), OJ 2016 L 119/1, Son Erişim Tarihi: 20 Nisan 2023, https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32016R0679.
[7] Her ne kadar AYM’nin E.2013/84 ve K.2014/183 sayılı kararında tüzel kişilere ilişkin verilerin de 20’nci madde kapsamında değerlendirilmesi gerektiği belirtilmiş olsa da söz konusu karar henüz 6698 sayılı Kanun yürürlüğe girmeden önce verilmiştir. Dolayısıyla mevcut durumda yalnızca AYM’nin anılan kararı esas alınarak yürürlükteki kanun, Kişisel Verileri Koruma Kurumu Rehberleri ve Kişisel Verileri Koruma Kurulu kararları göz önünde bulundurulmaksızın benzer bir değerlendirme yapılmasının hatalı sonuçlara sebebiyet verebileceğini değerlendirmekteyiz. Nitekim 6698 sayılı Kanun’un yayımlanmasını takiben Kişisel Verileri Koruma Kurumu tarafından yayımlanan “6698 sayılı Kanunda Yer Alan Temel Kavramlar” başlıklı rehber kapsamında da “…burada korunan menfaat tüzel kişiye değil, düzenlemenin temellendirdiği öncelik gereği belirlenen ya da belirlenebilecek gerçek kişiye ait olacaktır. Çünkü Kanun, tüzel kişilere ait verilerin korunmasını hiçbir şekilde düzenlememektedir…” ifadelerine açıkça yer verilmektedir.
[8] Bkz. E-Gizlilik Direktifi’nin 7’nci ve 12’nci paragrafları, 1’inci maddesinin (2) numaralı fıkrası ve 12’nci maddesi.
[9] Proposal for a Regulation of the European Parliament and of the Council concerning the respect for private life and the protection of personal data in electronic communications and repealing Directive 2002/58/EC (Regulation on Privacy and Electronic Communications), Son Erişim Tarihi: 20 Nisan 2023, https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CONSIL:ST_6087_2021_INIT&from=EN.
[10] Bkz. E- Gizlilik Tüzük Taslağı’nın 1’inci maddesinin (1) ve (1a) numaralı fıkraları.
[11] İsviçre’de yürürlükte bulunan Federal Veri Koruma Kanunu’nun 2’nci maddesine göre tüzel kişilere ait veriler de koruma altına almakla beraber 1 Eylül 2023’ten itibaren yürürlüğe girecek yasal değişikliğin ardından tüzel kişiler kapsamdan çıkarılmış olacaktır.
[12] Avrupa İnsan Hakları Mahkemesi tarafından geliştirilen, AYM tarafından da sıkça başvurulan ve literatürde “Üç Aşamalı Test” olarak da adlandırılan bu yöntemle temel hak ve özgürlüklere yönelik müdahalelerin hukukiliği değerlendirilmektedir.
[13] Bu husus hk. incelemeler için bkz. ‘2.2. Ölçülülük İlkesi Bakımından’ başlığı 5. para.
[14] Avrupa İnsan Hakları Mahkemesi tarafından geliştirilen, AYM tarafından da sıkça başvurulan ve literatürde “Üç Aşamalı Test” olarak da adlandırılan bu yöntemle temel hak ve özgürlüklere yönelik müdahalelerin hukukiliği değerlendirilmektedir.
[15] Tüm kişisel veri işleme faaliyetleri genel ilkelere uygun olarak gerçekleştirilmelidir. O kadar ki çeşitli faaliyetler bazında 6698 sayılı Kanun’dan tam ve kısmi istisnalar sağlansa da, bu istisnalar çerçevesinde dahi