1. Giriş
Kişisel verilerin korunması, bireyin özel yaşamının gizliliği ve kişilik haklarının güvence altına alınması bakımından modern hukuk sistemlerinin temel unsurlarından biri haline gelmiştir. Dijitalleşmenin hız kazandığı ve bireylerin günlük yaşamlarının büyük ölçüde çevrim içi ortamlarda iz bırakır hale geldiği günümüzde, bu hakların kapsamı ve sınırları da giderek genişlemektedir. Türkiye’de 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) ile kişisel verilerin işlenmesi ve korunmasına yönelik yasal çerçeve oluşturulmuş, veri sorumluları ile ilgili kişilerin yükümlülük ve hakları belirlenmiştir.
Ancak kişisel verilerin korunmasına ilişkin düzenlemeler, veri sahibi gerçek kişinin yaşamıyla sınırlı kalmamakta olup kişinin ölümünden sonra da bazı verilerin mahremiyetinin korunmasına yönelik ihtiyaçlar öne çıkmaktadır. Özellikle sağlık verileri ile genetik ve biyometrik veriler gibi özel nitelikli kişisel verilerin mirasçılar, yakınlar veya üçüncü kişiler tarafından talep edilmesi, kişilik hakkının ölümle sona erip ermeyeceği ve veri koruma ilkelerinin ölüm sonrası uygulanabilirliği gibi çok boyutlu hukuki sorunları gündeme getirmektedir.
Bu kapsamda, Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından verilen 18.09.2019 tarihli ve 2019/273 sayılı karar ile 30.06.2020 tarihli ve 2020/507 sayılı karar, ölen kişilere ait kişisel verilerin korunması ve mirasçıların bu verilere erişim talepleri bakımından birtakım değerlendirmeler içermektedir.
Bu makalede, ölüm sonrası kişisel verilerin korunmasına ilişkin hukuki değerlendirmeler yapılacak olup kişisel verilerin ölümle birlikte hangi hukuki statüye tabi olacağı tartışılacak ve bu çerçevede Kurul’un konuya ilişkin kararları ışığında ortaya çıkan yaklaşım incelenecektir.
2. Kişilik Hakkının Sona Ermesi ve Kişisel Verilerin Hukuki Niteliği
Kişisel veriler, belirli ya da belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmekte olup bireyin mahremiyet alanının temel unsurlarından da birini teşkil etmektedir. KVKK, kişisel verilerin işlenmesini, muhafazasını ve aktarımını düzenleyerek bu verilerin güvenliğini temin etmeyi amaçlamaktadır. Kanun’un 3. maddesinde “kişisel veri”, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” olarak tanımlanmış olup “ilgili kişi” ise “kişisel verisi işlenen gerçek kişi” şeklinde ifade edilmiştir. Bu tanımlar doğrultusunda, KVKK’nın kapsamı yalnızca yaşayan gerçek kişilere ait verilerle sınırlı tutulmuştur.
Türk hukuk sisteminde gerçek kişiliğin başlangıcı ve sona ermesine ilişkin esaslar 4721 sayılı Türk Medeni Kanunu’nun (“TMK”) 28. maddesinde düzenlenmiş olup ilgili hükme göre kişilik, çocuğun sağ olarak doğmasıyla başlamakta ve ölümle sona ermektedir. Bu kural gereği, ölüm ile birlikte kişinin hukuki kişiliği ve dolayısıyla kişisel hakları da sona ermektedir. Başka bir ifadeyle, ölümle birlikte kişilik sona erdiğinden, kişiye sıkı sıkıya bağlı haklar da bu aşamadan itibaren sona ermektedir. Bu tür haklar devredilemez ve miras yoluyla mirasçılara geçemezken, kişiliğe bağlı olmayan malvarlığı hakları mirasçılara intikal etmektedir.
Kişisel verilerin hukuki niteliği ise, doğrudan kişinin kişiliğiyle bağlantılıdır. Bu nedenle, kişisel verilerin korunmasına yönelik hakların da ölümle birlikte sona erdiği baskın görüş olarak kabul görmektedir. Bununla birlikte, kişilik hakkının hukuki olarak sona ermesi, ölen kişinin verilerinin hiçbir şekilde korunmayacağı anlamına gelmemektedir. Nitekim, kişiliğin korunmasına ilişkin genel ilkeler ve özel düzenlemeler çerçevesinde, ölen kişinin kişisel verilerinin belirli durumlarda korunmaya devam etmesi gerektiği açıktır. Özellikle özel nitelikli veriler bakımından, bu korumanın etik, meslekî ve toplumsal sorumluluk çerçevesinde ele alınması gerekmektedir.
3. Kurul Kararları Çerçevesinde Ölümden Sonra Veri Korumasına Yaklaşım
Kurul, ölümden sonra kişisel verilerin hukuki durumu hakkında verdiği kararlarla, uygulamada karşılaşılan temel sorunlara ışık tutmakta ve bu alandaki yorum birliğini desteklemektedir. Kurul’un özellikle 18.09.2019 tarihli ve 2019/273 sayılı kararı ile 30.06.2020 tarihli ve 2020/507 sayılı kararı, ölen kişilere ait verilerin korunup korunamayacağı ve mirasçılar tarafından talep edilip edilemeyeceği konularında içtihat değeri taşımaktadır.
2019/273 Sayılı Kurul Kararı, vefat eden eşinin sağlık verilerine erişim talebinde bulunan bir başvurucuya ilişkindir. Kurul, başvuruyu değerlendirmiş ve ilgili kişinin hayatta olmaması nedeniyle KVKK kapsamında bir “ilgili kişi” sıfatının artık mevcut olmadığını belirtmiştir. Dolayısıyla Kurul, ölüm sonrası veri taleplerinin KVKK çerçevesinde ele alınamayacağını, başvurucunun bu anlamda KVKK’dan doğan bir hakkının bulunmadığını ifade etmiştir. Bu karar, KVKK’nın yalnızca yaşayan bireylere uygulanabileceğini açık şekilde ortaya koymuştur.
2020/507 Sayılı Kurul Kararı ise ölen babasının sağlık verilerini talep eden bir yasal mirasçının başvurusu üzerine değerlendirilmiştir. Başvurucu, veraset ilamı ile yasal mirasçı olduğunu belgeleyerek, murisine ait sağlık kayıtlarının tarafına iletilmesini talep etmiştir. Veri sorumlusu kurum ise bu talebi, KVKK’nın 8. maddesi uyarınca kişisel verilerin üçüncü kişilere açık rıza olmaksızın aktarılamayacağı gerekçesiyle reddetmiştir. Kurul, başvuruyu değerlendirirken iki önemli noktayı ayırarak (i) KVKK kapsamındaki “ilgili kişi” kavramının, yalnızca yaşayan gerçek kişilere uygulanabileceği (ii) Kişisel Sağlık Verileri Hakkında Yönetmelik’in 11. maddesi uyarınca, ölen kişilerin sağlık verilerine yasal mirasçılar tarafından erişim sağlanabileceği şeklinde değerlendirmelerde bulunmuştur. Kararda ayrıca, veri sorumlusunun yalnızca KVKK’yı değil, konuya ilişkin özel düzenlemeleri de dikkate alarak işlem yapması gerektiği vurgulanmıştır. Bu kapsamda Kurul, veri sorumlusunun yasal mirasçıya karşı Kişisel Sağlık Verileri Hakkında Yönetmelik’ten doğan yükümlülükleri çerçevesinde başvuruyu yeniden değerlendirmesi gerektiği sonucuna ulaşmıştır.
Her iki karar birlikte değerlendirildiğinde, Kurul’un ölüm sonrası kişisel verilere ilişkin talepleri KVKK hükümlerine göre değil, konuya özel düzenlemelere göre yorumladığı anlaşılmaktadır. Kurul’un yaklaşımı, kişisel veri koruma rejiminin ölümle sona erdiğini kabul etmekle birlikte, özel nitelikli verilerin, özellikle sağlık verilerinin, belirli koşullarda yasal mirasçılar tarafından talep edilebileceğini de açıkça ortaya koymaktadır. Böylece uygulamada hem KVKK kapsamı dışındaki düzenlemelere atıf yapılmakta hem de ölen kişilere ait verilerin mahremiyetinin korunması ile yakınlarının taleplerinin dengeli biçimde gözetilmesi amaçlanmaktadır.
4. Genel İlkeler Çerçevesinde Kişisel Verilerin Korunması
Önceki başlıklar altında da belirtildiği üzere, KVKK yalnızca yaşayan gerçek kişilerin verilerinin korunmasına yönelik bir düzenleme getirmektedir. Bu nedenle, ölüm sonrasında ölen kişiye ait verilerin korunmasına ilişkin olarak doğrudan KVKK hükümlerine dayanılması mümkün değildir. Ancak bu durum, ölen kişilerin verilerinin bütünüyle korumasız kaldığı anlamına gelmemektedir.
Kişilik hakkı, bireyin şeref ve haysiyetinin, özel yaşamının, manevi varlığının ve kişisel özgürlüklerinin güvence altına alınmasını ifade etmekte olup ölümden sonra kişisel verilerin korunması noktasında önem arz etmektedir. Zira, kişisel veriler, bireyin kimliğini ve özel hayatını doğrudan yansıtan unsurlar olduğundan, bu verilerin ölümden sonra hukuka aykırı biçimde açıklanması veya işlenmesi de ölenin hatırasına saldırı niteliği taşıyabilir. Örneğin, ölen bir kişinin özel yazışmalarının rızasız yayımlanması, fotoğraflarının ticari amaçla kullanılması ya da sağlık verilerinin üçüncü kişilerle paylaşılması, yalnızca KVKK bağlamında değil, kişiliğin korunmasına ilişkin genel hükümler çerçevesinde de değerlendirilmesi gereken fiillerdir.
TMK’nın 24 ve 25. maddeleri ile 6098 sayılı Türk Borçlar Kanunu’nun (“TBK”) 58. maddesi, kişiliğin korunmasına ilişkin genel hükümleri düzenlemekte ve ölen kişinin hatırasına yapılan saldırılara karşı yakınlarına hukuki başvuru imkânı tanımaktadır. Kişisel veriler, doğrudan bireyin kimliği ve özel hayatı ile bağlantılı olduğundan, ölüm sonrasında bu verilerin hukuka aykırı şekilde ifşası veya kullanılması da ölenin hatırasına saldırı niteliği taşıyabilir. Bu nedenle, KVKK uygulanmıyor olsa bile genel hükümler çerçevesinde ölenin verilerinin korunması mümkündür.
Buna ek olarak, bazı mevzuatlarda ölüm sonrası verilerin korunmasına dair açık düzenlemeler yer almaktadır. Özellikle Kişisel Sağlık Verileri Hakkında Yönetmelik, ölen kişilerin sağlık verilerinin en az yirmi yıl süreyle muhafaza edilmesini ve yalnızca yasal mirasçılar tarafından resmi başvuru üzerine erişilebilmesini öngörmektedir. Böylece, bir yandan ölenin mahremiyetine saygı gösterilmekte, diğer yandan yakınlarının bilgi edinme hakları da gözetilmektedir.
Ayrıca meslek mensuplarının sır saklama yükümlülükleri de ölümden sonra devam etmektedir. Özellikle hekimlerin, hastalarının ölümünden sonra da tıbbi verilerini açıklamama yükümlülüğü hem etik hem de hukuki sorumluluk kapsamında sürmektedir. Bu yükümlülük, kişisel verilerin yalnızca KVKK kapsamında değil, meslekî etik ve özel mevzuat çerçevesinde de ölüm sonrasında korunmaya devam ettiğini göstermektedir.
Sonuç olarak, KVKK hükümlerinin ölümden sonra uygulanmadığı kabul edilmekle birlikte, ölen kişilerin kişisel verilerinin korunması kişiliğin korunmasına ilişkin genel hükümler aracılığıyla sağlanmaktadır.
5. Sonuç
Kişisel verilerin korunması hakkı, bireyin mahremiyetinin ve kişilik değerlerinin korunmasına hizmet eden temel haklardan biridir. Ancak bu hak, KVKK’nın tanımı gereği yalnızca yaşayan gerçek kişilere uygulanabilmektedir. Ölümle birlikte kişilik hakkı sona erdiğinden, ölen kişilerin verilerinin KVKK kapsamında korunması mümkün görünmemektedir. Bununla birlikte, ölen kişilerin verilerinin tamamen veri sorumlusunun inisiyatifinde kaldığının söylenmesi de mümkün değildir.
TMK ve TBK’da yer alan genel hükümler, ölen kişinin hatırasına yapılan saldırılara karşı yakınlarına hukuki koruma imkânı tanımaktadır. Ayrıca Kişisel Sağlık Verileri Hakkında Yönetmelik gibi bazı mevzuatlarda ölüm sonrasında da belirli verilerin saklanması ve yalnızca yasal mirasçılar tarafından erişilebilmesi yönünde hükümler bulunmaktadır. Bunun yanı sıra, doktorluk mesleği mensuplarının sır saklama yükümlülüklerinin de ölümden sonra devam etmekte olduğu ve kişisel verilerin etik açıdan korunması gerektiği de unutulmamalıdır.
Kişisel Verileri Koruma Kurulu’nun 2019/273 ve 2020/507 sayılı kararları, uygulamada bu konunun nasıl ele alınması gerektiğine dair yol gösterici niteliktedir. Nitekim Kurul, KVKK hükümlerinin ölüm sonrası doğrudan uygulanamayacağını, ancak özel düzenlemeler çerçevesinde yasal mirasçıların ölen kişiye ait verilere belirli şartlar altında erişim sağlayabileceğini ortaya koymuştur.
Sonuç olarak, ölümden sonra kişisel verilerin korunması, KVKK’nın ötesinde farklı hukuki dayanaklar ve etik ilkelerle sağlanmaktadır. Bu yaklaşım, hem ölen kişinin mahremiyetine saygının sürdürülmesine hem de yakınlarının meşru menfaatlerinin gözetilmesine hizmet etmekte olup böylece kişisel verilerin korunması alanında ölüm sonrasına ilişkin dengeli bir çözüm sunmaktadır.
