Avukatlar Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında veri sorumlusu mu yoksa veri işleyen statüsünde midir? Avukatların KVKK çerçevesinde yükümlülükleri nelerdir?
Öncelikle veri sorumlusu ve veri işleyen kavramlarını kısaca tanımlayalım. Veri sorumlusu; kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. Veri işleyen ise veri sorumlusunun verdiği yetkiye dayanarak, veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi olarak tanımlanmıştır. Bu tanımlardan yola çıkarak, kişisel verilerin; işlenmesinde, toplanmasında, kullanım amaçlarının belirlenmesinde, saklanmasında ve imha edilmesinde karar merci veri sorumlusudur. Veri işleyenin bu anlamda bir karar verme gücü yoktur. Veri sorumlusu, veri işleyene verme yetkilerini devredebilir fakat bu durumda veri işleyen, veri sorumlusunun menfaatlerine bağlı kalmak zorundadır. Veri işleyen kendisi için belirlenen sorumluluk alanı dışına çıkamaz. Veri sorumlusu ve veri işleyen kavramları ile ilgili daha detaylı bilgi için ilgili yazımızı okuyabilirsiniz.
Avukatlar ile müvekkilleri arasında vekalet sözleşmesine dayanan bir hukuki ilişki bulunmaktadır. Avukatlar, müvekkillerinden bizzat elde ettikleri bilgilerin yanı sıra ilgili dosyanın seyri esnasında başka kişilere ilişkin kişisel veriler de elde etmektedir. Bu verilerin, kişisel veri olarak işlenip işlenemeyeceğine ve kullanım amaçlarına, avukatlar kendileri karar verecektir. Bu noktada sorulması gereken, KVKK açısından avukatların hangi yükümlülükleri olduğu sorusudur.
Kurul’un görüş ve kararlarını incelediğimizde; Kurul, avukatların “elde edilen kişisel verilerin nasıl işleneceğini kendisi belirleyecek olmasından“ dolayı veri sorumlusu olduğuna karar vermiştir. Bu nedenle avukatlar veri sorumlusunun yükümlülüklerini yerine getirmek zorundadırlar.
Veri sorumlusunun; Veri Sorumluları Sicil Bilgi Sistemi’ne (VERBİS) kayıt ve bildirimde bulunma yükümlülüğü, aydınlatma yükümlülüğü, ilgili kişiler tarafından yapılan başvurulara cevap verme yükümlülüğü, veri güvenliğinin sağlanması ile ilgili teknik yükümlülükler, mevzuat gereği hazırlanıp yayınlanması gerekli metinler (kişisel veri envanterine uygun olarak hazırlanmış aydınlatma metinleri, saklama ile imha politikası vs.) gibi yükümlülükleri bulunmaktadır. Diğer veri sorumlularından farklı olarak avukatlar VERBİS’e kayıt ve bildirim yükümlülüğünden Kanunla muaf tutulmuşlardır. Bunun dışındaki diğer yükümlülükleri yerine getirmekle sorumludurlar.
Son zamanlarda özellikle icra davalarına ilişkin olarak borçlu yakınlarının hukuk büroları tarafından telefonla arandığı veya bu kişilere SMS yolu ile mesaj atıldığına ilişkin şikâyete dayalı haberler karşımıza çıkmaktadır. Avukatlar hakkında bu tarz şikayetlerin artması nedeniyle Kurul, Türkiye Barolar Birliği’ne, aldığı karara ilişkin bilgilendirme yazısı göndermiş ve avukatların veri sorumlusu olduklarını belirten kararlarının varlığından bahsetmiştir.
Kurulun avukatlara ilişkin bazı kararları şu şekildedir:
- Kurul’un 31.05.2019 tarihli 2019/166 sayılı Kararı’nda; başvurucu, bir hukuk bürosu tarafından kısa mesaj yolu ile kendisine ait olmayan (yeğenine ait) kişisel verilerin bulunduğu bir mesajın gönderildiği, veri sorumlusu avukat tarafından mesajın yanlışlıkla atıldığının söylenmesine rağmen mesaj içeriğindeki bilgilerin ilgili kişinin yeğenine ait bilgiler olduğu ve numara hatası ile böyle bir yanlışlığın olamayacağını belirterek şikâyette bulunmuştur. Kurul başvurucuyu haklı görerek veri sorumlusu avukatın “kişisel verilerin hukuka aykırı işlenmesinin önlemesi” yükümlülüğünü yerine getirmediği gerekçesi ile avukata idari yaptırım uygulamıştır.
- Kurul’un 28.05.2020 tarihli ve 2020/429 sayılı Karar’ını incelediğimizde, şikâyete konu olan olayda ilgili kişinin borcundan dolayı banka avukatı tarafından icra işleminin başlatıldığı, buna ilişkin ilgili kişinin adı ve soyadı ile haciz talimatının yer aldığı kısa mesajın ilgili kişinin ağabeyi ile iş arkadaşlarına gönderildiği, bu sebeple ilgili kişinin avukat hakkında kişisel verilerini hukuka aykırı olarak işlemesi ve açıklamasından dolayı Kurul’a şikayette bulunduğu anlaşılmıştır. Kurul’un kararında işlenecek kişisel verilerin ilgili kişiye ait olması gerektiğini, bahse konu icra işlemi ile ilgisi olmayan kişi veya kişilerin kişisel verilerinin işlenmesi ve 3. şahıslara ifşa edilmesinin KVKK 5. md.2 fıkra kapsamında sayılan istisnai haller olamayacağı, işlemin hukuka aykırı olduğuna karar vermiş ve veri sorumlusu avukata idari yaptırım uygulamıştır.
- Kurul’un benzer bir kararında, (14.01.2020 tarihli ve 2020/26 sayılı Kararı), yine icra takibinden dolayı ilgili kişinin kardeşine, avukat tarafından SMS yoluyla ilgili kişiye ait bilgiler içeren haciz işlem bilgilerinin bildirilmesi olayında da veri sorumlusu olarak avukat sorumlu tutulmuştur.
- Ayrıca Türkiye Barolar Birliği Disiplin Kurulu 24.01.2014 tarihli 2014/50 Karar sayılı kararında avukat tarafından haksız yere üçüncü şahıslara haciz ihbarnamesi gönderilmesini disipline aykırı bularak kınama cezası vermiştir.
Kişisel verileri hukuka aykırı işlenen müvekkiller ya da üçüncü kişiler, zararlarının tazminini avukatlardan talep edebilecektir. Kurul sadece veri sorumlusuna idari yaptırım uygulayabilmekte, ilgili kişilerin zararlarının tazminine karar verememektedir. Müvekkiller ile avukatlar arasında avukatlık sözleşmesine dayanan bir ilişki olduğu için veri sorumlusu avukatların KVKK’ya aykırı davranışlarından dolayı müvekkiller hem KVKK hükümlerine dayanarak hem de Avukatlık Kanunu’na dayanarak maddi ve manevi zararlarını hukuki olarak talep etme hakkına sahiptirler.
Üçüncü şahısların ise, avukatların KVKK’ya aykırı davranışlarından dolayı zarara uğramaları halinde Türk Borçlar Kanunu’na ve KVKK hükümlerine dayanarak zararlarının tazmini talep etme hakları bulunmaktadır.
Avukatlık Kanunu’nu incelediğimizde sır saklama yükümlülüğü karşımıza çıkmaktadır. Kanunun 36. Md. bu husus düzenlenmiştir. “Avukatların kendilerine tevdi edilen veya gerek avukatlık görevi gerekse Türkiye Barolar Birliği ve baro organlarındaki görevleri dolayısıyla öğrendikleri hususları açığa vurmaları yasaktır” demektedir. Sır, kişisel veri kavramından daha dar kapsamlı bir kavramdır. Kişinin kişisel verilerine saldırı halinde otomatik olarak sır saklama yükümlülüğüne de aykırı davranış olarak kabul edilmektedir.
Türk Ceza Kanunu açısından ise kişisel verileri hukuka aykırı olarak kaydedilmesi ve hukuka aykırı olarak bir başkası ile paylaşılması durumlarında, Kanunun 135 ila 140 md. arasında yer alan cezai yaptırımlar uygulanmaktadır.
Yukarıda açıkladığımız birçok karar ve gerekçelerle sabit olduğu üzere, avukatlarımız KVKK kapsamında veri sorumlusu statüsündedirler ve kişisel veriler konusunda gerekli yükümlülükleri yerine getirmeleri gerekmektedir.