SOSYAL MEDYADA ALENİ PAYLAŞIMLAR VE KİŞİSEL VERİLERİN KORUNMASI
Türk Hukuku’nda kişisel veri “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” şeklinde tanımlanmaktadır. Kişisel veriler 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) kapsamında korunmaktadır. Kanun; verilerin işlenmesinde yöntem bakımından bir sınırlama getirmemiştir. Bu nedenle veri işleme kavramı; kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi kapsamaktadır.
Teknolojinin gelişmesiyle birlikte kişisel verilerin işlenmesi yöntemleri farklılaşmış ve veri mahremiyetini ihlal eden durumlar artmıştır. Özellikle sosyal medya platformlarında yapılan şahsi paylaşımların, sonrasında başka kişilerce izinsiz paylaşılması oldukça yaygındır.
Sosyal Medya Paylaşımlarında Kişisel Verilerin İhlali
Yargı pratiğinde, kapalı sosyal medya hesaplarında kişisel veri içeren paylaşımların sonraki süreçte üçüncü kişiler tarafından ele geçirilmesi, paylaşılması veya alenileştirilmesi halinde Kanun’un ihlal edildiği kabul edilmektedir. Ancak sosyal medyadaki açık hesaplardan kişisel verinin paylaşılması halinde veya kişinin kişisel verisini bizzat alenileştirdiği durumlarla kişisel veriler korunacak mıdır?
Kanun’un 5. maddesinin d bendi uyarınca; kişinin kendisi tarafından alenileştirilmesi halinde kişisel verinin işlenmesinde açık rıza aranmamaktadır. Bu durumda kişinin kendi verisini alenileştirmesi karşısında kendi verisini korumaya değer görmediği için sonucuna katlanması mantığı mevcuttur. Kanun’un bu perspektifi m. 4’te yer alan veri işleme ilkeleriyle birlikte ele alınmalıdır. Örneğin; hesabını gizli tutmayan bir sosyal medya kullanıcısı, kamuya açık alanda çekildiği fotoğrafını paylaşımı, Yargıtay’ın 12. Ceza Dairesi’si 2022/4834 E. 2024/8047 K. 24.12.2024 tarihli kararına konu olmuştur. Uyuşmazlığın odak noktası; başka bir kullanıcının bu fotoğrafı kendi hesabında paylaşmasıdır. Bu durumda ilk derece mahkemesi, verileri hukuka aykırı olarak verme ve ele geçirme eylemleri nedeniyle sanığın cezalandırılmasına karar vermiştir. Ancak istinaf aşamasında, ilk derece mahkemesince verilen mahkumiyet kararı kaldırılarak sanığın beraatine karar verilmiştir. Yargıtay ise vermiş olduğu emsal kararında, kişisel veriyi koruyucu bir yaklaşım sergilemiştir.
Yargıtay; Türk Ceza Kanunu’nun kişisel verilerin “herkes tarafından bilinen ve/veya kolaylıkla ulaşılması ve bilinmesi mümkün olan kişisel bilgiler” bakımından bir ayrım yapılmaksızın korunması gerektiğini vurgulamıştır. Kişinin gerek kamuya açık alanda fotoğraf çekilmiş olması gerek kişisel veri niteliğindeki resimlerini kendi Instagram adlı sosyal medya hesabında yayımlamasının, bu fotoğrafların kişisel veri olma özelliğini değiştirmeyeceğini belirtmiştir. Ayrıca üçüncü kişilerce bu verilerin, kişinin rızası dışında yayınlama hakkı da tanınmayacağını ifade etmiştir. Dolayısıyla Yargıtay beraate ilişkin Bölge Adliye Mahkemesi’nin kararını bozmuştur.
Yargıtay’ın bu kararı, Kişisel Verileri Koruma Kurulu’nun (“Kurul”) kararlarına paraleldir. Zira Kurul 7.11.2019 tarihli kararında, benzer şekilde kişinin sitede halka açık şekilde telefon numarasını paylaşma amacının, bu siteye irtibat amacı dışındaki amaçlar olmadığını belirtmiştir. Bu noktada, kişisel verinin amaca uygun şekilde sitede paylaşıldığını vurgulayan Kurul, pazarlama amacıyla yapılan arama nedeniyle kişisel verinin ihlal edildiğine karar vermiştir.
Avrupa Birliği bakımından; Generel Data Protection Regulation’da (Avrupa Veri Koruma Tüzüğü, “GDPR”) Kanun’da olduğu gibi genel bir alenileştirme istisnasını düzenleyen kural bulunmamaktadır. Ancak m. 9/2(e)’de kişiye ait hassas verilerin veri sahibi tarafından açıkça kamuya açıklanması halinde işlenebileceği belirtilmiştir. Benzer şekilde GDPR m. 14/2(f)’de veri sahibinin kamuya açık kaynaklardan elde edilen verileri işleyebileceği, dolaylı olarak ifade edilmiştir.
Sonuç olarak sosyal medya platformlarında başkasının kişisel verilerini içeren her türlü işleme eylemlerinden kaçınılması gerekmektedir. Her sosyal medya kullanıcısı başkasının veri mahremiyet konusunda özen göstermeye dikkat etmelidir.