Ersan Şen Hukuk ve Danışmanlık - Kişisel Verilerin Aksiyon Kameralarıyla İşlenmesinin GDPR ve KVKK Kapsamında Değerlendirilmesi

Berra Berçik

Kişisel Verilerin Aksiyon Kameralarıyla İşlenmesinin GDPR ve KVKK Kapsamında Değerlendirilmesi
24.03.2023 / Av. Berra Berçik, Stj. Av. Şevval Ergün

 

Aksiyon Kameralarının Kullanılmasının 3/2019 sayılı Kılavuz Bağlamında Değerlendirilmesi

Vücuda takılan kameralar gibi giyilebilir teknolojiler, mobil yapıları nedeniyle veri koruma açısından spesifik bir zorluk teşkil etmektedir. Vücuda takılan bir kamera, kullanıcıyı, yoldan geçenlerin kişisel verilerini yakalama olasılığı yüksek olan bir mobil gözetim sistemine dönüştürmektedir. Bu tür bir teknoloji, mikrofonlar ve/veya yüz tanıma teknolojisi ile birleştirildiğinde, veri koruma kaygısının artmasına neden olmaktadır. Ayrıca, video kaydı cihazın kendisinde veya bir harici diskte saklanıyorsa, kişisel verilerin kaybolması veya çalınması gibi ek bir risk de vardır.

Sonuç olarak, veri koruma mevzuatına uymak için vücuda takılan kameraların kullanımında belirli kriterlere uyulmak zorundadır. Dolayısıyla, bu yazımızda ilk önce Avrupa Veri Koruma Kurulu tarafından düzenlenen kişisel verilerin video cihazları aracılığıyla işlenmesine ilişkin 3/2019 sayılı Kılavuz (“Kılavuz”) incelenecektir. Sonrasında, aksiyon kameralarının kullanımı, 6698 sayılı Kişisel Verilerin Korunması Kanunu bağlamında değerlendirilecektir.

Kılavuz’a göre, vücuda takılan kameraları kullanmanın meşru ve adil olması; şeffaflık ilkesine uygun olması; kameraların yalnızca belirtilen amaç için gerekli olan minimum miktarda kişisel veri kaydetmesi; tüm kayıtların güvenli bir şekilde saklanması ve yalnızca gereken minimum süre boyunca tutulması; ve ilgili kişi taleplerine uygun şekilde yanıt verilmesi gerekmektedir.

 

Meşruluk

Avrupa Birliği Genel Veri Koruma Tüzüğü’nün görev alanına giren tüm kişisel verilerin işlenmesi meşru ve adil olmalıdır. Bu, esas olarak, GDPR Madde 6'nın gerektirdiği şekilde vücuda takılan kameraları (veya "aksiyon kameraları" gibi benzer teknolojileri) kullanmak için uygun bir "yasal dayanağa" veya gerekçeye sahip olmak gerektiği anlamına gelmektedir.

Bu tür kameralar kullanılarak kaydedilen her kişinin rızasının alınmasının mümkün veya pratik olmadığı durumlarda, rızanın uygun yasal dayanak olması muhtemel değildir. Vücuda takılan kameraların veya hareketli kameraların kullanıldığı çoğu durumda, etkilenen tüm bireylerin geçerli, bilgilendirilmiş ve özgürce verilmiş rızalarını almak çok zor olacaktır.

Vücuda takılan kameraların veya aksiyon kameralarının çoğu durumda kullanımına ilişkin en uygun yasal dayanak, kişinin kendisinin veya üçüncü bir şahsın “meşru çıkarını” sürdürmek için söz konusu cihazlar yoluyla veri işlemenin gerekli olduğunu göstermek olabilir (örneğin, bir kuruluş bunları bir emniyet veya güvenlik amacıyla kullanmayı teklif ederse, yalnızca kuruluşların çıkarları değil, müşterilerin veya diğerlerinin çıkarları da gözetilebilir). Veri sorumluları, vücuda takılan kameraları veya hareketli kameraları kullanmak için yasal bir dayanak olarak meşru menfaate dayanmak isterlerse, bu menfaati gerçekleştirmek için bu cihazlar ile veri işlemenin gerekli olup olmadığını ve ilgili bireylerin çıkarları, temel hakları veya özgürlükleri karşısında bu menfaatin ağır basıp basmadığını değerlendirmelidirler. Başka bir deyişle, bu işlemeyi gerçekleştirmede gerçek bir meşru çıkarları olduğunu, vücuda takılan kameraların işleme amaçlarına ulaşmak için gerekli ve orantılı olduğunu ve ilgili kişiler üzerinde orantısız bir etkiye sahip olmayacaklarını göstermelidirler.

 

Kaydedilen Kişisel Veri Miktarının En Aza İndirilmesi

Vücuda takılan kameralar tarafından kaydedilen tüm kişisel verilerin, belirtilen işleme amaçlarına ulaşmak için yeterli, ilgili ve gerekli olanla sınırlı olması sağlanmalıdır. Bir video gözetim sistemi kurmadan önce veri sorumlusu, bu önlemin öncelikle istenen amaca ulaşmak için uygun olup olmadığını ve ikinci olarak amaçları için yeterli ve gerekli olup olmadığını her zaman eleştirel bir şekilde incelemelidir. Güvenlik kamera sistemleri, yalnızca veri sahibinin temel hak ve özgürlüklerine daha az müdahale eden başka yollarla işleme amacının makul bir şekilde yerine getirilemediği durumlarda seçilmelidir. Veri sorumluları, sürekli ve aşırı kayıttan kaçınmak için vücuda takılan bir kamerayı ne zaman açmanın veya kapatmanın uygun olduğunu düşünmelidir. Kamerayı kullanan kişi, kayıt işlevini başlatmadan önce insanlara bir uyarı vermesi gerekir. Kameralar, kaydın meşru amacına ulaşmak için gerekli olduğu sürece yalnızca orantılı bir şekilde açılmalı ve kullanılmalıdır.

 

Şeffaflık İlkesi

Şeffaflık ilkesi, kamuya veya ilgili kişiye yönelik her türlü bilginin kısa, kolay erişilebilir ve kolay anlaşılır olmasını, açık ve sade bir dil kullanılmasını gerektirir.

Vücuda takılan kameralarla kişisel verileri kaydedilebilecek tüm kişilerin “işleme faaliyetinin varlığından ve amaçlarından” zamanında haberdar edildiğinden emin olunmalıdır. İşlemenin amaçları ve yasal dayanağının; işlemenin yasal dayanağı olduğu durumlarda izlenen meşru menfaate ilişkin bilgilerin; varsa kişisel verilerin alıcılarının; ve söz konusu kişisel verileri üçüncü bir ülkeye veya uluslararası bir kuruluşa aktarılıp aktarılmama hususunun teyit edilmesi gerekir.

Veri sahibine sağlanması gereken bilgilerin hacmi ışığında, şeffaflığı sağlamak için veri sorumluları tarafından katmanlı aydınlatma yolu izlenebilir. Veri sorumluları birinci katmanda ilgili bilgileri gösteren bir uyarı işareti kullanabilir. Bu tabela; kolayca görülebilen, anlaşılır ve net bir şekilde okunabilir olmalıdır ve ayrıca farkındalığı kolaylaştırmak adına bir simge de içerebilir. İkinci katmanda ise bilgiler, veri sahibinin izlenme alanına girmeden önce, gözetim koşullarını kolayca okuyabileceği bir yere yerleştirilebilir.

 

Kayıtların Saklanması

Kişisel verilerin işlenmesini en aza indirmeye yönelik bir başka strateji, verilerin saklandığı veya işlendiği sürelerin sınırlandırılmasıdır. Vücuda takılan kameralarla yapılan kayıtları, yalnızca belirtilenleri elde etmek için gereken minimum süre boyunca saklanması gerekir. Kanun belirli bir saklama süresi tanımlamamaktadır, bu nedenle kuruluşların işleme faaliyetleriyle ilgili açıkça gerekçelendirilebilir kriterlere dayalı olarak kendi saklama sürelerini belirlemeleri gerekir. GDPR madde 24/2 kapsamında veri sorumlularının, veri koruma politikalarına sahip olması gerekir ve bu, bir saklama politikası içermelidir. Bununla birlikte, kayıtların kopyalarının 'her ihtimale karşı' esasına göre saklanması kabul edilemez.

 

Kayıtların Güvenliğini ve Bütünlüğünü Koruma

Kameralar tarafından elde edilen tüm kişisel verilerin yasa dışı işlemeye, kazara kaybetmeye, hırsızlığa, imhaya veya hasara karşı korunmasını sağlamak için uygun teknik ve organizasyonel önlemlere sahip olunmalıdır. Vücuda takılan kameraların kullanılmasından kaynaklanan risk düzeyi değerlendirilmeli ve bu riskleri azaltan önlemler alınmalıdır. Bu önlemler, kişisel verilere uygun düzeyde güvenlik ve gizlilik sağlamalıdır.

 

Veri Konusu İsteklerine Yanıt Verme

Saklanan tüm kişisel verilerin doğru ve gerektiğinde güncel olduğundan emin olunmalıdır. Doğruluk ilkesiyle ilgili olarak GDPR madde 5/d'de belirtildiği gibi, hatalı verileri mümkün olan en kısa sürede düzeltmek veya silmek için gerekli her adım atılmalıdır. Bireyler, kişisel verilerini içeren kayıtlara erişme, bunları düzeltme ve bazı durumlarda silme hakkına sahiptir.

 

Aksiyon Kameraları İstisnaları

Bu teknolojiler, ticari bir bağlamda kullanılan vücuda takılan kameralara çok benzer şekilde çalışır; ancak, GDPR’ın aksiyon kameralarının kullanımına uygulanıp uygulanmaması, büyük ölçüde bu kameraların kullanım amacına ve doğasına bağlıdır. Kısacası, yalnızca kişisel eğlence amacıyla kullanıldıklarında genellikle GDPR geçerli olmayacaktır. Halka açık bir yerde aksiyon kameraları veya vücuda takılan kameralar kullanan veya kullanmayı planlayan kişiler, kaydın GDPR'dan "kişisel kullanım muafiyeti" veya "ev halkı muafiyeti" kapsamına girip girmediğini değerlendirmelidir. Bu muafiyet, GDPR'nin bir birey tarafından "tamamen kişisel veya evle ilgili bir faaliyet sırasında" verilerin işlenmesi (video kaydı gibi) için geçerli olmadığını belirtir. Kayıt bu kategoriye girmiyorsa, kaydı yapan kişinin yukarıda belirtildiği gibi GDPR kapsamında bir "veri sorumlusu" yükümlülüklerine sahip olması mümkündür.

Kaydın “kişisel kullanım muafiyeti” ya da “ev halkı muafiyeti” kapsamında olup olmadığını değerlendirirken kullanıcılar kendilerine aşağıdakiler gibi bir dizi soru sormalıdır:

  • Mesleki veya ticari bir faaliyetle herhangi bir bağlantısı var mı;
  • Kayda dahil olan veya kayda alınan kişiler kimlerdi - kaydı yapan kişi tarafından biliniyor muydu;
  • Kayıt hangi alanı kapsıyordu – kamusal alanları mı yoksa sadece özel alanları mı kapsıyordu?

Kaydedilen görüntülerin çevrimiçi olarak yayınlandığı durumlarda, kamuya sunulma derecesi de bunun "kişisel kullanım muafiyeti" olarak kabul edilip edilemeyeceğini etkileyebilir. Bu kameralar tarafından elde edilen kişisel verilerin çevrimiçi olarak yayınlanması, video kaydı yapılırken kişisel kullanım veya ev halkı muafiyeti kapsamına girse bile kişisel verilerin işlenmesi olarak kabul edilebilir. Avrupa Birliği Adalet Divanı (“ABAD”), bir bireyin, başkalarından elde ettiği kişisel verilerle ne yaptığına bağlı olarak, GDPR kapsamında bir veri sorumlusunun sorumluluğunu üstlenebileceğini belirtmiştir. Örneğin, Bodil Lindqvist (2003) kararında, ABAD, kişisel kullanım muafiyetinin, bir bireyin "belirsiz sayıda kişinin" erişebileceği çevrimiçi içerik yayınladığı durumlarda geçerli olmadığına karar vermiştir.

 

Aksiyon Kameralarının Kullanılmasının 6698 Sayılı Kanun Bağlamında Değerlendirilmesi

Bu inceleme kapsamında aksiyon kamerası aracılığı ile elde edilecek ses ve görüntü kayıtlarının KVKK bakımından değerlendirilmesi yapılacaktır. 

 

Meşru Menfaat İşleme Temeli Açısından İncelenmesi

6698 sayılı Kanun’un “tanımlar” kenar başlıklı 3. maddesine göre kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ait her türlü bilgiyi ifade etmektedir. Bu doğrultuda, ses ve görüntü kaydının bu kanun hükümleri uyarınca işlenmesi gerekmektedir.

Kanunun 5. Maddesi uyarınca kişisel veriler kişinin açık rızası olmaksızın işlenemez ancak aynı maddenin ikinci fıkrasında sayılan şartlardan birinin varlığı halinde açık rıza alınmaksızın kişisel verilerin işlenmesi gündeme gelebilecektir. Aksiyon kameraları kullanılarak kayıt alınması durumunda ilgilinin açık rızasının alınması hayatın olağan akışına uygun bir yöntem olmayacaktır. Bu sebeple kişisel verilerin işlenmesinde en uygun yasal dayanak veri sorumlusunun meşru menfaati için veri işlenmesinin zorunlu olması olduğundan incelememiz bu kapsamda değerlendirilecektir. Meşru menfaat kanunda sayılan şartlardan biri olduğu için, meşru menfaatin varlığı halinde açık rızanın alınmasına gerek yoktur. İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydı ile veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması durumunda, kişisel verilerinin işlenmesi mümkündür. KVKK açısından da meşru menfaatin uygulanabilmesi yapılacak değerlendirme, Kılavuz incelenirken belirtilen ilkelerle paraleldir.

 

Meşru menfaate dayalı veri işleme faaliyetlerinde dikkat edilmesi gereken gereklilikler Kişisel Verileri Koruma Kurulu’nun 2019/78 sayı ve 25.03.2019 tarihli kararında şu şekilde belirlenmiştir:

  • Kişisel verinin işlenmesi sonucunda elde edilecek menfaat ile ilgili kişinin temel hak ve hürriyetlerinin yarışabilir düzeyde olması,
  • Söz konusu menfaate ulaşılabilmesi bakımından kişisel veri işlenmesinin zorunluluk arz etmesi,
  • Meşru menfaatin halihazırda mevcut, belirli ve açık olması,
  • İlgili kişinin temel hak ve hürriyetleri ile yarışabilir nitelikte olan meşru menfaatin elde edilmesi halinde bir yarar sağlanacak olması ve kişisel veri işlenmeksizin başkaca bir yol ve yöntemle bu yararın ortaya çıkmasının mümkün olmaması,
  • Meşru menfaat belirlenirken söz konusu yararın çok sayıda kişiyi etkilemesi, yalnızca kâr elde edilmesi ya da ekonomik yararın sağlanması amacına yönelik olmaması, iş süreçlerini ya da bir işleyişi kolaylaştırması (örneğin bir birim ya da az sayıda personel nezdinde değil, kurumsal olarak geneli etkileyecek şekilde) gibi şeffaf ve hesap verilebilir nitelikleri haiz kriterlerin esas alınması,
  • Bu açıdan ilgili kişinin başta kişisel verilerinin korunması olmak üzere temel hak ve hürriyetlerinin zarar görmesini engellemek amacıyla öngörülebilir, açık ve yakın her türlü tehlikeden uzak tutulması,
  • Kişisel verilerin bir veri kayıt sisteminde amaçla sınırlı olarak hukuka uygun işleyişinin temini ile zararı ve ihlalleri engellemek için her türlü teknik ve idari tedbirin alınması,
  • Kişisel verilerin işlenmesinde genel ilkelere uygunluğun sağlanması,
  • Bu kapsamda, kişinin temel hak ve hürriyetleri ile veri sorumlusunun meşru menfaatinin karşılaştırılarak denge testinin yapılmasıdır.

 

Kaynakça;

An Coimisiún um Chosaint Sonraí - Data Protection Commission, “Guidance on the use of Body Worn Cameras or Action Cameras”. Erişim: Ocak 2020. https://www.dataprotection.ie/sites/default/files/uploads/2020 04/Guidance%20on%20Body%20Worn%20Cameras%20or%20Action%20Cameras_Jan20.pdf

European Data Protection Board, “Guidelines 3/2019 on processing of personal data through video devices”. Erişim: 10.07.2019. https://edpb.europa.eu/sites/default/files/consultation/edpb_guidelines_201903_videosurveillance.pdf

KVKP, “General Data Protection Regulation”. https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32016R0679&from=EN