Son günlerde Türk futbol dünyasının finansörü rolüne bürünen Aktif Bank‘ın Passolig uygulaması, haberlere göre hem vaadettiği karaborsayı bitiremedi hem de tribünlerin boşalmasına sebep oldu. Tribün kapatma cezasını kaldıracağı ileri sürülen Passolig son sürat toplu cezalandırmanın bir aracı olarak tribündeki herkes hakkında yaptırım uygulanmasına olanak sağladı.
Uygulama taraftarların kişisel bilgilerinin etrafa saçılmasına (sponsorlar, Çalık Holding’in yabancı iştirakli şirketleri, İçişleri Bakanlığı, Maliye Bakanlığı, kulüpler, TFF, Bankalararası Kart Merkezi, MasterCard vb…) olanak sağlayacak şekilde kurgulandı ve uygulanmakta. 7 yaşındaki çocukların dahi rızaları alınarak (!?) dahil olduğu bu sistem hakkında Doç. Dr. Burak Gemalmaz ve Arş. Gör. Doğukan Bora Savaş’ın birlikte hazırladıkları Kişisel Verilerin Korunması Bağlamında E-Bilet ve Passolig başlıklı tebliğe aşağıdan erişebilirsiniz.
KİŞİSEL VERİLERİN KORUNMASI BAĞLAMINDA E-BİLET ve PASSOLİG
Doç. Dr. H. Burak GEMALMAZ-Araş. Gör. Doğukan Bora SAVAŞ*
E-bilet hukukumuzda, en azından şu anda gündemde olduğu şekliyle artık her spor olayında, her spor hukuku çalışmasında duyduğumuz 31.03.2011 tarih ve 6222 sayılı Sporda Şiddet ve Düzensizliğin Önlenmesine Dair Kanun[1] ile birlikte ihdas edildi. Kanunun 5. maddesinin 4. fıkrası doğrudan spor müsabakalarına giriş için elektronik sistem üzerinden oluşturulmuş bilet alımını zorunlu kılarken, aynı madde bu biletlerin kişiye özel oluşturulmuş bir elektronik karta yükleneceği şeklinde bir düzenleme içermektedir.[2] E-biletin tabi olacağı rejimin ayrıntıları ise 22 Aralık 2012 tarihli RG’de yayımlanan 2012/4018 sayılı Sporda Şiddet ve Düzensizliğin Önlenmesine Dair Kanunun Uygulanmasına İlişkin Yönetmelikte (bundan böyle Yönetmelik) düzenlenmektedir.
Söz konusu düzenlemelere göre, e-bilet niteliğindeki kart üzerinde kişinin adı soyadı, Türkiye Cumhuriyeti kimlik numarası ve fotoğrafı bulunacaktır. Gerçi Yönetmelik md.21 (3) (a) e-bilet üzerinde hemen yukarıda sayılan bilgiler dışında bulunacak diğer bilgileri belirleme yetkisini ilgili federasyona (uygulamada şimdilik sadece TFF) bırakmıştır ancak bu yetkiyi kişisel veriler dışında kalan bilgiler olarak anlamak zorunludur. Zira Kanun’da Federasyona böyle bir yetki verilmediği gibi kişisel verilere ilişkin yetkilerin yönetmelikle tanınması zaten hukuken mümkün ve geçerli değildir.
Burada özellikle bir noktanın da altını çizmek gerekiyor. Her ne kadar Kanun her türlü spor müsabakasına girişi e-bilet sistemi içine almış gibi gözükse de, Kanun tasarı olarak sunulduğu halinde 5. maddesinin 6. fıkrasına ilişkin gerekçede
“Altıncı fıkrada, dördüncü ve beşinci fıkralardaki sistemle ilgili teknik donanımların kurulmasının futbol için en üst lig ve bir altındaki lig ile basketbol, voleybol ve hentbol dalları için ise en üst ligde bulunan kulüplerin kendi sahalarındaki müsabakalar açısından zorunlu olduğu düzenlenerek; düzenlemenin mefhumu muhalifiyle fıkrada belirtilmeyen yerlerde yapılacak müsabakalarda söz konusu sistemin uygulanmasının zorunlu olmadığı belirtilmiştir.”
denilerek uygulamanın sadece futbol, basketbol, voleybol ve hentbol için geçerli olacağı kabul edilmiştir. Daha sonrasında ise Adalet Komisyonu’nun da yapılan görüşmelerde futbol dışında sayılan spor dallarında da e-bilet uygulaması fıkradaki değişiklikle[3] kaldırılmıştır. Bu durumda açıkça elektronik bilet uygulamasının sadece futbol için geçerli olduğunu, doğal olarak diğer spor alanlarında yaşanan “şiddet ve düzensizliğin” çözümünde elektronik bilet uygulamasının düşünülmediğini tespit edebiliriz.[4]
Kanun koyucunun gerçekleştirdiği düzenlemenin şu haliyle tüketici hukukundan insan haklarına büyük problemler ortaya çıkardığı/çıkaracağı rahatlıkla görülmektedir. Üstelik e-biletin fiilen uygulanması niteliğindeki Passolig e-biletin de ötesine geçen etik ve hukuki sorunlar doğurmaktadır. Bu tebliğde konuya ilişkin alt mevzuatı ve uygulamayı birlikte ele alarak kurgulanan ve uygulanan e-bilet sisteminin kişisel verilerin korunması bakımından yarattığı büyük sakıncalara işaret edilecektir.
Passolig markası[5] altında kurgulanan elektronik kart aslında banka kartıdır. Ödeme aracı olarak Aktif Bank Yatırım Bankası A.Ş. debit kart (Passolig Cüzdan), banka kartı (Passolig Banka Kartı) ve kredi kartı (Passolig Kredi Kartı) sistemine entegre edilmiş ek bir hizmet olan elektronik kart ve e-bilet uygulaması söz konusudur. Sistem doğrudan bilgilerin banka tarafından bankacılık hukukuna göre toplanmasını öngörmektedir.[6] Bunun doğal sonucu olarak da elektronik bilet sistemini sağlayan banka yukarıda bahsedilen bilgilerin yanında, nüfus cüzdanı örneğinizi, kredi limitlerinizi, bilet alımında kullanılan yöntemi (havale, nakit, kredi kartı), alışveriş alışkanlıklarınızı izleyebilmektedir. Kısacası, bir futbol maçı izlemek için özel bir bankaya ait kartın alınması, uygulamada fiilen zorunlu hale getirilmiştir.
İlginç bir örnek olarak Passolig’in bir sadakat-loyalty projesi olarak da kurgulandığını görebilirsiniz. Alınan her kartta belirli bir takımın logosunu seçmeniz size öncelikli bilet almak veyahut doğrudan maça girip giremeyeceğiniz konusunda bir ayrıcalık sağlamakta. Böylelikle, hangi takımın taraftarı olduğunuzun bilgisi, bu bilgilerin toplanması, saklanması ve kullanılması için kurulan veri bankasında depolanmaktadır. Fakat ne uygulama yönetmeliğinde ne de Kanun’da kişilerin taraftarlık bilgisinin kayıt altına alınacağına dair bir hüküm bulunmaktadır.[7]
Sisteme giriş için belirli bir rıza göstermeniz gerekiyor. E-bilet sistemindeki rıza çeşitli aşamalarda problem içeriyor. Bunlardan birincisi rızanızı 6222’ye göre değil de bankacılık hukukuna göre veriyor olmanız. Bankacılık hukuku mali suçlara ilişkin kapsamlı önlemler içerdiği için daha sert bir mevzuat. Aslında 6222 ilk başta bu kadar sert olmamasına rağmen sistemin bir banka üzerinden kurgulanmış olması doğal olarak sizi bu sert mevzuata tabii kılıyor. Nitekim Passolig kartınızı almadan önce sizinle bir bankacılık sözleşmesi imzalanıyor. Yani banka müşterisi olmadan futbol maçı izlemek pratikte imkânsız hale gelmiştir.
Bahse konu bankacılık sözleşmelerinin ilk hallerinde sizin kişisel verilerinizin TFF ve kulüp sponsorları ve Aktif Bank’ın yaklaşık 25 şirketi ile paylaşılabileceğine dair madde bulunmaktaydı. Ankara 16. Tüketici Mahkemesi 2014/383 Esas sayılı dosyasından görülen topluluk davasında[8] Taraf-Der avukatlarının talebi doğrultusunda verilen ihtiyati tedbir kararının gerekçelerinden birisi de müşteriyle banka arasındaki sözleşmelerde yer alan bu tip hükümlerdi. Daha sonra davalı Banka tarafından eski sözleşmelerde baki kalmak kaydıyla yeni sözleşmelerde bu maddenin çıkartıldığı beyan edildiği için söz konusu tedbir kararı kaldırıldı. Bankanın müşterilerle yaptığı sözleşmelerde kişisel verilerin üçüncü şirketlerle paylaşmasının önüne geçilmesi bile, taraftarların haklarının korunması için yapılan hukuki mücadelenin önemini göstermeye yetmektedir sanıyoruz.
Yönetmeliğin 21. maddesinin 3. fıkrasının (c) bendinde[9] ise bu düzenleme olduğu gibi duruyor.[10] Metne baktığınızda tarafınızdan kişisel bilgilerinizin paylaşımına rıza gösterme zorunluluğunuzun bulunduğunu hemen anlayacaksınız. Oysa rıza bildiğiniz üzere zorunluluğa bağlanamayan bir hukuki kurumdur. Hukukta bir rızanın geçerli olabilmesi için kişisel verisi alınan kişinin hiçbir baskı altında kalmadan onay vermesi, verdiği rızanın amacı ve sonuçları hakkında yeterli şekilde bilgilendirilmiş olması ve rızanın kapsamının belirgin olması gerekmektedir.[11] 1982 Anayasasının 20. Maddesi de kişisel verilerin ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebileceğini hükme bağlamıştır.
Mevcut düzenlemeye göre eğer kişisel verilerinizin toplanması ve üçüncü şirketlere/sponsorlara verilmesine/satılmasına rıza göstermezseniz, e-bilet alamazsınız ve dolayısıyla futbol müsabakası izleyemezsiniz. Bir spor müsabakasına girmek için sponsorlarla kişisel bilgilerinizi paylaşmaya rıza göstermeniz aksi halde sisteme dâhil olmamanız kişisel veriler hukuku bakımından mümkün değildir. Zira hem söz konusu paylaşım zorunluluğu kanunda öngörülmeyen bir paylaşımdır hem de seyirciye/taraftara hangi bilgisini paylaşıp paylaşmayacağı hususunda seçim şansı verilmemiştir.
Günümüzün internet dünyasında, e-ticaret ve e-pazarlama sektörlerinin durumunu Passolig özelinde değerlendirirseniz, spor müsabakalarına ilişkin her davranışınızın depolanıp paylaşılması halinde hiç tanımadığınız aktörlerle muhatap olma tehlikeniz artacaktır. Günde 3-4 kere gerek arama gerekse SMS yoluyla reklam ve teklif bombardımanına tutulan tüketiciler, şimdi özelleşmiş bir alanda daha spesifik şekilde tacizlere/saldırılara açık hale gelecektir. Daha önemlisi, bunu o kişinin isteyip istemediğinin bir öneminin olmamasıdır.
Ayrıca değinilmesi gereken diğer bir konu da çocukların sisteme dâhil olmasıdır. Çocukların rızası zaten hukukta genel olarak tartışmalı meseledir; e-bilet/passolig özelinde ise çok daha büyük bir problem teşkil etmektedir. Mevcut sistemde çocuklar henüz reşit olmadan banka sistemi içerisine dâhil edilmektedir. TFF tarafından ihale öncesinde şartnameye ilişkin alınan sorulara verilen Konsolide Cevaplar’da[12] bir ihale katılımcısının “Çocukların durumu? Bankalar veya finansal kurumların kart vermesi konusunda yaş sınırlamalarının kontrol edilmesini tavsiye ediyoruz.” şeklindeki sorusuna TFF “Dikkate alınmıştır, girdiler değerlendirilecektir.” şeklinde cevap vermişse de, şu anda bir yetişkin ile çocuğun elektronik kart alma sürecinde herhangi bir fark bulunmamaktadır. Bugün bankaların hesap açmada aradığı en küçük yaş 12 iken Passolig uygulamasında bu sınır sadece 7’dir.[13] Belirlenen bu 7 yaşın herhangi bir mevzuatta karşılığının bulunup bulunmadığı hususu da şüphelidir. Kaldı ki Kanun’un 5. maddesinin 2. fıkrasının (ç) bendi herhangi bir kısıtlamaya gitmeksizin seyircilerin hepsinin biletli olmasını düzenlemektedir.
Önemli bir sorun olarak ortaya çıkan bir durum ise toplanan kişisel verilen kimin tarafından ve ne şekilde tutulacağıdır. Normalde 6222 sayılı Kanun’un 5. maddesinin 11. fıkrasının (a) bendi bu konuda açık bir düzenleme içermektedir: “Elektronik kart oluşturulmak amacıyla alınacak kişisel bilgiler federasyon bünyesinde oluşturulan merkezi veri tabanında tutulur. Bu veri tabanı Maliye Bakanlığı ve İçişleri Bakanlığı erişimine açıktır.”
Fakat yukarıda bahsettiğimiz Ankara 16. Tüketici Mahkemesi nezdindeki 2014/383 sayılı dosyaya ilişkin duruşmada banka avukatları tarafından yapılan savunmadan öğrendiğimiz kadarıyla, sistem yani serverlar/sunucular tamamen Bankanın elinde bulunmaktadır. Normalde TFF’nin elinde bulunup, bankaya erişime izin verilmesi gerekirken[14], şimdi Bankanın elinde tutulup TFF’nin erişimine izin verilmektedir. Bu durumda bankanın verileri işleme, saklama, kopyalama, dağıtma ve hatta silmeme gibi tasarrufları denetlenememektedir.
Ankara 16. Tüketici Mahkemesi nezdindeki 2014/383 sayılı davanın 18.11.2014 tarihli duruşmasında davacılar, Beşiktaş Kulübü’nden kombine bilet alan kişilerin T.C. kimlik numaralarının Passolig internet sitesinden açıkça görülmesine yol açan “bug”ın (bilgisayar programındaki hata/açık) varlığını ve dolayısıyla kişisel verilerin güvenliğinin söz konusu olmadığını ortaya koymuşlardır. Davalı banka avukatı ise savunmasında
“Yine internet sitesinde yaşandığı iddia edilen güvenlik açığı ile ilgili beyanları da sayın mahkeme tarafından müvekkil bankaya sorulması ve gerektiğinde tespit yaptırılması suretiyle somutlaştırılması gerekmektedir. Örnek vermek gerekirse geçtiğimiz hafta Türkiye’de faaliyet gösteren büyük bir bankanın milyonlarca müşterisini etkileyen kart bilgilerini içeren güvenlik açığı ile ilgili olarak yetkili BDDK gerekli gördüğü takdirde bir inceleme başlatmaya yetkili olup bu gibi teknik hatalar bankaların kart çıkarma yetkisini elinden almamakta ve aksine bankanın gerekli sorumluluğu üstlenerek daha güvenli bir şekilde bilgilerin saklanması sağlayıcı bir etki yaratmaktadır.”
ifadelerine yer vermiştir. Görüldüğü üzere kişisel veriler aslında güvenlik açıklarını makul gören ve daha vahimi batılı emsal göstererek hukuken savunmaya/meşrulaştırmaya çalışan bir özel şirket elinde toplanmaktadır.
Kişisel verilerin toplanmasından sonra bu verilere kimin erişeceği ayrı bir problemdir. Hemen bir paragraf önce gösterdiğimiz garabeti bir an için yok sayarsak, TFF’nin erişimi hâlihazırda veriyi elinde tutması gereken kurum olarak bir zorunluluk. Aktif Bank zaten sistemi kuran ve işleten kişi olarak verilere erişebiliyor. Bir banka kartı kullanıldığı için Bankalararası Kart Merkezi, Passolig banka kartı altyapısını çalıştıran MasterCard, İçişleri Bakanlığı, Maliye Bakanlığı, kulüpler ve sponsorlar (hem kulüplerin hem TFF’nin) kişisel verilere hiçbir sınırlama ve kayıtlama olmaksızın erişebilmektedir. Bu durum kişisel verilerin korunması rejimine uygun olmadığı gibi 6222 sayılı Kanuna bile aykırıdır. Zira anılan 6222. Sayılı Kanunun 5. maddesinin 11. fıkrası (a) bendiyle kişisel verilere erişim için sadece TFF, kulüpler ve İçişleri ile Maliye Bakanlıkları yetkili kılınmıştır.
Seyirden men yasağı ise buna özel olarak oluşturulan ayrı bir bilgi bankasında kayıt altında tutulmakta olup TFF ile kulüplerin doğrudan erişimi bulunmamaktadır.[15] Fakat şu anda neredeyse kamu tüzel kişilerinden, tüm bankacılık aktörlerine oradan tüm spor sponsorlarından kulüplere kişisel bilgiler elden ele dolaşmaktadır. Bu kişisel verilere erişenlerin, kişisel veriyi bir kez elde ettikten sonra korunması için ne gibi bir güvenlik sağladığı ise bilinmemektedir; denetimden tamamen bağışıktır.
Üstelik kişisel verilerin/bilgilerin sponsorlara verilmesi demek, aslında bunların özel şirketlere mali çıkar karşılığı satılması demek. Kişisel verilerini toplayan ve depolayan veri tabanını kontrol eden şirket veya TFF, bunu başka şirketlere veri sahibinin rızası, onayı hatta bilgisi dahi olmaksızın satabilecektir/satmaktadır[16]. Veriyi alan şirket, seyircilerin/taraftarların davranışlarını, alışveriş alışkanlıklarını, seyahat alışkanlıklarını, hafta sonunu nasıl geçirdiğini vb. her şeyi çözümleyecek ve ona göre bir pazarlama stratejisi geliştirecek. Buna rıza verebilirsiniz normalde, bu sizin tercihinizdir. Ama bu örnekte rıza zaten baştan yok. Dolayısıyla verilerin üçüncü kişilere serbestçe paylaşılmasına ilişkin bu düzenleme ve uygulama kişisel verilerin korunması hukukunun temel ilkelerine en baştan aykırı.
Galatasaray Spor Kulübü 6222 sayılı Kanun’un Uygulama Yönetmeliğine Danıştay nezdinde dava açmıştır. Anılan iptal davasında Galatasaray Spor Kulübü hem kişisel verilerin korunması ilkesine aykırılık hem de kulüplerin aslında bu işten para kazanacakken bilet basım vs. gibi imkânlardan da belli ölçülerde yoksun kalmasından ötürü mülkiyet hakkı ihlallerini ileri sürmüştü (E.2013/5296). Danıştay’ın dosya sorgulama sitesindeki bilgilere göre, 24/10/2015 tarihi itibariyle Kulübün yaptığı yürütmeyi durdurma talebi reddedilmiş olup dosya savcı düşüncesini almak üzere sırasını beklemektedir.
Bu arada, TFF, 28/11/2013 tarihinde Emniyet Genel Müdürlüğünün 26/09/2013 tarihli Genelgesine istinaden bütün futbol kulüplerinden resmi bir yazıyla taraftarlarına ilişkin kişisel verileri talep etmiş ve bunların bir Excel dosyasıyla iletilmesini istemiştir.[17]
Yönetmeliğin çeşitli maddelerine ilişkin iptal davası Danıştay önünde derdest iken, Ankara Tüketici Mahkemesi nezdinde yürüyen tüketici hukuku temelli davada hâkim, 15/12/2014 tarihinde, 6222 sayılı Kanunun 5. Maddesinin 4. Fıkrasının 2, 3, 4 ve 5. cümlelerinin ve 5. Maddesinin 11. Fıkrasının iptali Anayasa Mahkemesine itiraz yoluyla başvurmuştur.[18] Anayasa Mahkemesi bu talebi esastan görüşme kararı almakla birlikte halen karar vermiş değildir. Ankara Tüketici Mahkemesi Anayasaya aykırılık iddiasını sadece 1982 Anayasası’nın 3, 17, 20 ve 59. maddelerine dayandırmakla kalmayıp aynı zamanda Evrensel İnsan Hakları Bildirisinin[19] 3, 6, 12, 22, 24, 27/1 ve 28. Maddeleri ile Avrupa İnsan Hakları Sözleşmesinin[20] 1, 8 ve 17. Maddelerine de dayandırdı.[21]
Bilindiği üzere, 1982 Anayasasının 20. maddesine 2010 referandumu ile ek bir fıkra getirildi. Fıkra şu şekilde: “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.”
AİHS’in 8. maddesi de AY’nin bu 20. Madde hükmünü tamamlar bir kapsama sahip. Nitekim AİHM kişisel verilerin korunması meselesine hassasiyetle yaklaşmakta ve birçok kararında AİHM kişisel verilen korunmasının önemini vurgulamaktadır. Kişisel veriler hukukuna hakim olan ilkeler AİHM tarafından benimsenerek her bir hak özelinde (özellikle AİHS md. 8) içtihat hukukuna entegre edilmiştir. Bu ilkeler arasında verilerin
toplanma amacının belirli ve açık olması,
bu amacın meşru olması,
verilerin daha sonra işlenme amaçlarının toplanma amacı ile uyumlu olması,
işlenmenin aşırı olmaması ve amacın gerektirdiğinden daha uzun tutulmaması
başta gelenlerdir. Ayrıca hakkında veri toplananların bu verilerin toplanmasına ve işlenmesine katılımı, gerekiyorsa düzeltme ve itiraz hakları, mevzuatın uymak zorunda olduğu standartlar arasındadır.[22]
Kişisel verilerin korunması bağlamında Avrupa Konseyinin 1981 tarihli Kişisel Verilerin Otomatik Olarak İşlenmesi Bağlamında Bireylerin Korunması Sözleşmesi[23] ile Avrupa Birliğinin Yönergesini de hatırda tutmak gereklidir. Nitekim AİHM 1981 tarihli sözleşmeyi içtihatlarında kullanarak muhakemesine dâhil ediyor.
Türkiye’de ise Kişisel Verilen Korunması Kanunu Tasarısı mevcut olmakla birlikte uzun yıllardır bu kanunun çıkarılması mümkün olmamıştır.[24] Dolayısıyla, AY md. 20 hükmünün ulusal mevzuata aktarılması işi henüz tamamlanmadığından yargısal kararlarla ortaya çıkartılan standartlar kişisel verilerin korunması için elzem niteliktedir.
AYM önünde derdest olan e-bilet ve Passolig davasında çözmesi gereken problemlerden biri kişisel verilerin özel şirket eliyle tutulup işlenmesidir. Bu konuda AYM Bilgi Teknolojileri ve İletişim Kurumunun kişisel verilerin işlenmesine yönelik usul ve esasları belirleyebileceğine ilişkin 05.11.2008 tarih ve 5809 sayılı Elektronik Haberleşme Kanunu’nun 51. Maddesini yasama yetkisinin devredilmezliği ilkesine aykırılıktan iptal ederken şu değerlendirmeyi yapmıştır:
“Bilişim teknolojilerindeki gelişmeler sonucunda, geleneksel yöntemlerle mümkün olmayan çok sayıda verinin toplanabilmesi; daha önce birbirinden ilişkisiz şekilde tutulan pek çok verinin merkezi olarak bir araya getirilebilmesi; verilerin, veri eşleştirme ve veri madenciliği gibi ileri teknolojik imkânlarla analize tabi tutulmak suretiyle, veriden yeni veriler üretme kapasitesinin artması; verilere erişim ve veri transferinin kolaylaşması; kişisel verilerin ticari işletmeler için kıymetli bir varlık niteliği kazanması neticesinde, özel sektör unsurlarınca yaratılan risklerin daha yaygın ve önemli boyutlara ulaşması ve terör ve suç örgütlerinin kişisel verileri ele geçirme yönündeki faaliyetlerinin artması gibi etkenler, günümüzde kişisel verilerin en üst seviyede korunmasını zorunlu kılmaktadır.”[25]
Görüleceği üzere AYM burada özel şirketlerin veri toplama hırsına önem atfetmiştir.
Ancak burada özellikle değinmemiz gereken bir husus Anayasa Mahkemesi’nin kişisel verilerin toplanmasında özel hukuk kişilerinin rolünü dışlamadığıdır. Hem normal kişisel verilerin (ikametgah, kimlik vb.) hem de sağlık verilerinin (tanı, muayene, tahlil vb.) özel hukuk kişileri tarafından toplanılmasına ilişkin 31.5.2006 tarihli ve 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu’nun 78. maddesinin 1. fıkrasını[26] incelediği kararında Mahkeme özel şirketlerin veri toplamasında bir hukuka aykırılık bulmamıştır.[27] Bu maddeye göre verilen özel sağlık kuruluşları tarafından toplanmakta ve fakat veriler Sosyal Güvenlik Kurumu tarafından depolanmakta ve işlenmektedir.
Bu yönüyle AYM’nin hemen üstte anılan kararının e-bilet ve Passolig bakımından emsal niteliğinde olmayacağı anlaşılmaktadır. Zira mevcut uygulamada kişisel veriler Aktif Bank’ta tutulmakta ve işlenmekte olup üçüncü kişilere sınırsız şekilde satılabilmektedir. AYM’nin bir kararına göre kamu kurumu niteliğindeki[28] TFF ise sadece erişme imkânına sahiptir. Dahası, yukarıda açıklandığı üzere Passolig özünde bir banka kartı olduğu için, kişisel veriler 6222 sayılı Sporda Şiddet ve Düzensizliğin Önlenmesine Dair Kanunun öngörmediği şekilde bankacılık sistemi içinde farklı depolanma ve işlenmelere açıktır.
Kaldı ki AYM’nin E.2014/74 sayılı kararı, kendi içinde de hatalıdır. AYM söz konusu kararında “itiraz konusu kural ile Kuruma verilen sağlık bilgisi toplama yetkisinin çerçevesi, Kurumun kuruluş amacı ve faaliyet alanı ile belirlenmiş ve bu şekilde kamu yararı ile özel hayatın gizliliği hakkı arasında adil bir denge kurulmuştur” gerekçesiyle müdahaleyi ölçülü saymıştır. Oysa AYM’nin bu muhakemesi mantıki neden-sonuç ilişkisinden yoksundur; zira itiraz konusu kuralla Kurumun yetkilerinin belirlenmiş olması kendiliğinden kamu yararı ile özel hayatın gizliliği arasında adil bir denge kurulduğu anlamına gelmez. Bu iki çatışan değer arasında kurulacak adil denge, usuli güvenceler ve verilerin tabi tutulması gereken koruma rejimi mevzuatının (hakkında veri toplananların bu verilerin toplanmasına ve işlenmesine katılımı, gerekiyorsa düzeltme, sildirme ve itiraz hakları gibi) ihdas edilmiş olması gibi başka faktörlere bağlıdır. AYM kararında bunları tartışmamış ve hatta değinmemiştir.
Diğer yandan kişisel verilerin korunması özelinde AYM’nin başka sorunlu kararları da bulunmaktadır. Örneğin AYM kamu yararının gerekliliği halinde kişisel verilen toplanması hususunda kategorik olarak bir problem görmemektedir. Nitekim biyometrik verilerle kimlik tanımlamasına ilişkin 31.5.2006 tarih ve 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu’nun 67. maddesinin üçüncü fıkrasına, 1.3.2012 tarihli ve 6283 sayılı Kanun’un 1. maddesiyle eklenen “.biyometrik yöntemlerle kimlik doğrulamasının yapılması ve/veya.” ibaresinin Anayasa’ya aykırı olmadığına karar verilmiştir. Bu kararda AYM usuli güvenceler bağlamında TCK’nın kişisel verilerin korunmasına ilişkin hükümlerine de atıf yapmıştır.[29]
Anayasa Mahkemesi’nin hemen yukarıda belirttiğimiz biyometrik kimlik tanımaya ilişkin kararında hukuki belirlilik konusunda 6222 sayılı Kanuna ve dolayısıyla e-bilete uygulanabilecek bazı yol gösterici unsurlar bulunmaktadır. AYM düzenlemeyi hukuka uygun bulurken özellikle şu hususu belirtmiştir:
“Öte yandan itiraz konusu kuralla öngörülen yöntemin sadece sağlık sektöründe bu hizmetten yararlanma amacıyla kullanılabileceği, bu nedenle elde edilen verilerin sadece bu amaçla sınırlı olarak ve hizmetin devamı için zorunlu olduğu müddetle sınırlı olmak üzere tutulabileceği dikkate alındığında, bu verilerin neden ve hangi gerekçeyle temin edileceğine ilişkin olarak konu, amaç ve kapsamı ile ne şekilde ve hangi süreyle kullanılacaklarına dair bir belirsizlik olduğu söylenemez.”
Görüldüğü üzere AYM burada hem kişisel verilerin korunmasındaki özene, hem de verilerin toplanma amacı ile kullanma amacına büyük önem atfediyor. 6222 sayılı Kanunda e-biletin amacı sporda şiddetin önlenmesi olarak belirlenmekle kişisel verilerin toplamasında kamu yararı ölçütünü karşıladığı düşünülebilir. Ancak 6222 sayılı Kanun ve bunun pratikteki görünümü Passolig açısından toplanma ve kullanma amaçları arasında bir uçurum olduğu için kişisel verilerin toplanma amacı ile ilgili kullanma zorunluluğu hususunda önemli çelişkiler ve problemler olduğunu belirleyebiliriz. Toplanma amacı şiddeti önlemek gibi görünürken gerçek kullanma amacı ise sadakat programı ve ürün pazarlamak. Bu durumda AYM’nin iptal kararı vermediği davalardaki yaklaşımının e-bilet ve Passoligi meşrulaştırmak için kullanılamayacağı ortaya çıkmaktadır.
6222 sayılı Kanunda toplanacak kişisel verilerin korunmasına ilişkin bir düzenlemenin olmaması da büyük eksikliktir. Kişisel veriler konusunda genel bir koruma kanunu (Kişisel Verilerin Korunması Kanunu) olmadığı için, verilerin toplamasına cevaz veren spesifik mevzuatta güvence olmaması durumun vahametini arttırmaktadır. Verilerin bu kapsamda paylaşımı meselesi de AYM önüne gelmiştir. Özellikle SGK’nın sağlık verilerini paylaşmasına ilişkin 663 sayılı Sağlık Bakanlığı ve Bağlı Kuruluşlarının Teşkilat Ve Görevleri Hakkında Kanun Hükmünde Kararname’nin 47. maddesi[30] ile getirilen düzenleme
“kuralda söz konusu kişisel bilgilerin ‘her türlü vasıtayla’ toplanmasına, işlenmesine ve paylaşılmasına izin verilmesi, sınırlamayı, öngörülme amacının ötesinde kişisel bilgilerin gizliliğinin keyfi şekilde ihlal edilmesi sonucunu doğurabilecek bir araca dönüştürmektedir. Bu ise sınırlama aracıyla sınırlama amacı arasında bulunması gereken makul dengeyi bozmakta, özel hayatın ve kişisel verilerin korunmasını isteme haklarına kuralda belirtilen sınırlama amacı dışında ölçüsüz bir şekilde müdahale edilebilmesine imkân tanımaktadır.”
gerekçesiyle iptal edilmiştir.[31]
AYM’nın bu kararında belirlediği keyfilik ölçütü açısından bakıldığında e-bilet düzenlemesinin iptal edileceğini öngörmek mümkündür. Kişisel verilerin resmi makamlarca toplanarak arşivlenmesinde hukuki belirsizlik ve öngörülebilirliliğin olmaması Anayasal güvencelerin ihlali niteliğindedir. Buna ek olarak, toplanan verilerin toplanma amacı dışında kullanılması, uzun süre arşivlenmesi ve güvencesiz bir şekilde silinmemesi vs. gibi unsurlar da anayasaya aykırılık noktalarıdır. AYM sadece kanunun metnine bağlı kalıp uygulamanın şu anki durumunu göz önüne almasa bile, hukuki belirlilik ve öngörülebilirlik sağlanmadığı ve usuli güvencelerin hiçbiri Kanunda zaten yer almadığı için her halükarda iptal kararı vermesi beklenmektedir.
Bu kadar hassas bir konudaki kanunun belirli bir kaliteyi/niteliği (yetkinliği) taşıması gerekir. 6222 sayılı Kanunun e-bilete ilişkin düzenlemelerinin bu kalite eşiğine ulaştığını söylemek pek mümkün değildir. İlgili mevzuattaki yetkiler, kişisel verilerin korunması hukukuna hakim olan verilerin toplanma amacının belirli ve açık olması, bu amacın meşru olması, verilerin daha sonra işlenme amaçlarının toplanma amacı ile uyumlu olması, işlenmenin aşırı olmaması ve amacın gerektirdiğinden daha uzun tutulmaması ilkeleriyle uyumlu değildir. Tekrar belirtelim ki Kanunda kişisel verilerin toplanmasına ilgililerin katılımı, ne zaman silineceği, ne zaman kullanılacağı, içeriğindeki bilgilerin başka bilgilere eklenip eklenmeyeceği belirsiz olduğu gibi birden fazla güvenliği garanti edilmemiş (kulüpler ve sponsorlar gibi) üçüncü kişilerin erişimi mümkündür.
Diğer yandan AYM’nin 6222 sayılı Kanun çerçevesinde e-bileti değerlendirirken Passolig uygulamasını dikkate alması halinde yukarıdaki mülahazaların da ötesinde hukuki sorunlar bulunduğundan kategorik bir ihlal durumu açıkça ortadadır. Her halükarda, AYM soyut bazda 6222 sayılı Kanunun kişisel verilerle ilgili düzenlemeleri için iptal kararı vermese dahi somut uyuşmazlıklar bireysel başvuru yoluyla uygulama özelinde AYM önüne yeniden gelebilecektir.
* Artı Hukuk Topluluğu tarafından 10 Mart 2015 tarihinde Marmara Üniversitesi Hukuk Fakültesinde düzenlenen Spor Hukukunda Sorunlar ve Çözüm Yolları Konferansı’nda sunulan tebliğ deşifresinin gözden geçirilmiş halidir. Tebliğ Doç. Dr. H. Burak Gemalmaz tarafından sunulmuştur.
[1] RG, 14.04.2011, s.27905.
[2] İlgili fıkranın tam metni şu şekildedir:
Spor alanlarının güvenlik ve düzenine ilişkin tedbirler
MADDE 5 – (4) Spor müsabakalarının yapıldığı alanlara girişi sağlayacak biletler, elektronik sistem üzerinden oluşturulur. Bilet satın almak isteyen kişilerle ilgili olarak, üzerinde adı, soyadı, Türkiye Cumhuriyeti kimlik numarası ve fotoğrafı olan bir elektronik kart oluşturulur. Kişinin yabancı olması halinde kart üzerinde Türkiye Cumhuriyeti kimlik numarası yerine uyruğu olduğu devletin adı ile Türkiye’ye giriş yaptığı pasaportun seri numarası kaydedilir. Bilet satışları kişilere özgü elektronik kart üzerinden yapılabilir. Spor müsabakalarına, kişi ancak adına düzenlenen elektronik kart ile izleyici olarak girebilir. Spor müsabakasına izleyici olarak girecek kişilerin kontrolünü ev sahibi kulüp yapmakla yükümlüdür. Bu yükümlülük ev sahibi olmayan müsabakalarda, müsabakaya katılan her iki kulüp; milli müsabakalarda ise, ilgili federasyon tarafından yerine getirilir.
[3] Değişiklik metni şu şekildedir “Elektronik karta ilişkin hükümler hariç olmak üzere aynı yükümlülükler, basketbol, voleybol ve hentbol dallarındaki en üst ligde bulunan kulüplerin kendi kullanımındaki spor alanları bakımından da geçerlidir.”
[4] Bununla birlikte basketbol müsabaka pratiğinde Trabzonspor Medical Park Basketbol Kulübü’nün uygulaması e-biletin özgün şekilde kullanabileceğine örnektir. Trabzonspor Medical Park Basketbol Kulübü’nün ev sahibi olduğu maçlarda Passolig altyapısı kullanılmaktadır. Fakat kişilere kendilerine özgü bir kart değil herhangi bir kişisel veri içermeyen tek kullanımlık “PassCard” denilen ayrı bir kart verilmekte, her maç için bu ayrı kartlar banka sistemine dahil olunmadan basılmaktadır.
[5] Markanın tescilli ismi “Passo lig” dir. Fakat kullanımı Passolig şeklindedir. “Passo lig” markası Aktif Bank Yatırım Bankası A.Ş. adına tescillidir. Aktif Bank ve TFF markanın “Passo” kısmının Aktif Bank’a “lig” kısmının ise TFF üzerinde olacak şekilde tescilini TPE’den talep etmişse de bir markanın ancak bütün olarak tescil edilebileceği gerekçesi ile bu başvuru reddedilmiştir. Hatta Aktif Bank “Passo TFF” isimli bir markaya dahi sahiptir (TPE Tescil No: 2013 67378).
[6] 5411 sayılı Bankacılık Kanunu ile 5464 sayılı Banka ve Kredi Kartları Hakkında Kanununa bkz.
[7] Bu uygulama sorunlu bir kurum olan deplasman yasağının da fiziki ortamını sağlamaktadır. Örneğin bir Galatasaray-Fenerbahçe derbisinde İl Spor Güvenlik Kurulu’nun alacağı deplasman yasağı kararı uyarınca sistemden Fenerbahçe logolu kartlar bloke edilmekte ve bu kartlara elektronik bilet yüklemesi yapılamamaktadır. Uygulamada taraftarlar bu sorunu çeşitli kulüplere ait farklı Passolig kartları alarak çözmektedir. Sistem birden fazla elektronik kart alımına cevaz verdiği için, örneğin İstanbul’da yaşayan ve her maça gitmek isteyen bir kişi 4 farklı Passolig kartı almaktadır.
[8] 6100 sayılı HMK md.113.
[9] Kabul Tarihi 28.11.2012; RG, 22.12.2012, s. 28505
[10] Yönetmeliğin ilgili maddesi şu şekildedir:
Biletlerin basılması ve satışa sunulması
MADDE 21 – (1)-c) Kulüpler, kişisel bilgilerin kullanılmasına ilişkin olarak seyircilerden elektronik ortamda veya yazılı muvafakatlerini alırlar. Muvafakatin içeriğinde kişisel bilgiler ile bağlı bulunulan federasyon ve kulüplere ilişkin bilgilerin bulunmasının yanısıra bu bilgilerin Kanunda belirtilen görev ve yetkilerini yerine getirmesi amacıyla, federasyonun sponsorları ve anlaşma yaptığı kurumların reklam ve diğer hizmetleri için kullanılabileceği ve saklanabileceği hususları yer alır.
[11] Avrupa Birliği hukukundaki geçerli ilkelerden uyarlanarak. Bkz. Handbook on European Data Protection Law, European Union Agency for Fundamental Rights and Council of Europea, 2013 sf:57.
[12] Konsolide Cevapların tam metni için bkz. https://www.tff.org/Resources/TFF/Documents/000013 /TFF/GENEL/e-bilet/Konsolide-Cevaplar-TR-vF.pdf
[13] Passolig Sık Sorulan Sorular “Maçlara ailemle gidiyorum, tek bir Passolig Kart ile tüm ailemi maçlara götürebilir miyim? Maça girecek herkesin bir Passolig Kart’ı olması ve bu karta tanımlanmış bir bileti olması gerekmektedir. 7 yaşını doldurmamış çocuklar için Passolig Kartı gerekmemektedir.” bkz. https://www.passo.com.tr/tr/common/test/faq.aspx
[14] İlgili fıkranın tam metni şu şekildedir:
Spor alanlarının güvenlik ve düzenine ilişkin tedbirler
MADDE 5 – (11) (c) Spor Elektronik kart bilgilerinin kulüpler adına reklam ve pazarlamasında ilgili federasyonlar yetkilidir. Merkezi pazarlama ve bilet satışından elde edilecek gelirler kulüplere ait olup federasyon ya da yetki verdiği üçüncü kişiler nezdinde oluşacak bu gelirler kamu kurum ve kuruluşlara ilişkin alacaklar hariç olmak üzere haczedilemez, devir ve temlik edilemez. Federasyonlar bu fıkra kapsamında belirtilen yetkilerini kısmen veya tamamen üçüncü kişilere devredebilir.
[15] Seyirden yasaklanma
MADDE 18 – (4) Koruma tedbiri olarak uygulanan ve güvenlik tedbiri olarak hükmedilen spor müsabakalarını seyirden yasaklama tedbirine ilişkin bilgiler Emniyet Genel Müdürlüğü bünyesinde tutulan bu amaca özgü elektronik bilgi bankasına derhal kaydedilir. Bu bilgi bankasına spor kulüplerinin ve federasyonların erişimi sağlanır. Yasaklanan kişilere ilişkin bilgiler, ilgili spor kulüplerine ve yurt dışında yapılacak müsabaka öncesinde müsabakanın yapılacağı ülkenin yetkili mercilerine bildirilir.
[16] Doğukan Bora Savaş tarafından kişisel bilgilerinin satımına izin veren sözleşme hükümlerinin iptaline yönelik Trabzon 3. Asliye Hukuk Mahkemesi’nde açılan 2014/384 Esas sayılı davada, davalı banka tarafından ilk başta Passolig sisteminin kişileri banka müşterisi haline getirmediği belirtilmiş fakat daha sonrasında kişisel bilgilerin Bankacılık Kanunu’nun 76. maddesi kapsamında müşteri sırrı olması nedeniyle paylaşılmadığını beyan edilmiştir. Bu durumda ortaya çıkan problem 76. madde kapsamındaki bilgilerin paylaşımına müşterinin izin verdiğine dair bir beyan alınması (sözleşmede yer alan rıza maddesi) geçerli kabul edilebilecek midir? Davada bu husus tartışılamadan idari yargının görevli olduğuna dair karar verilmiş olup Yargıtay safhasındaki inceleme devam etmektedir.
[17] TFF Genel Sekreterliği, Sayı: 2013/02_25791.
[18] Davayı yürüten önceki hakim Atilla Pınar’ın AYM’ye gönderdiği itiraz dilekçesi Ankara 16. Tüketici Mahkemesi nezdindeki 2014/383 sayılı dosyada mevcuttur. Ayrıca hâkim Atilla Pınar’ın AYM’ye gönderdiği dilekçe 25 sayfa olup SPOR; ORTAK DİLDİR, KÜLTÜRDÜR, EVRENSEL HAKTIR başlığı altında adalet.org sitesinde yayımlanmıştır. Bkz. http://www.adalet.org/forum2/goster.php?konu=Spor;%20ortak%20dildir,%20k%FClt%FCrd%FCr,%20evrensel%20hakt%FDr.&isaret=630788&fid=630788&oturumno=cd760b20618766b&alan=Mesleki%20Konular&k=h&yazan=Atilla%20PINAR&yazannox= (bu siteye erişim sadece hakim ve savcılara mahsustur).
[19] Evrensel İnsan Hakları Bildirisinin metni için bkz. https://burakgemalmaz.tr/wp-content/uploads/2015/05/a-1-1948-dec-10-eihb.pdf
[20] AİHS metni için bkz. https://burakgemalmaz.tr/wp-content/uploads/2015/05/a-1-1950-nov-04-aihs-p-no-11-ile-dec49fic59fik.pdf
[21] Bu Anayasa aykırılık itirazındaki bazı değerlendirmeler teknik insan hakları hukuku açısından doğru olmamakla birlikte, ileri sürülen iddia bakımından bir sorun bulunmamaktadır.
[22] Bu ilkeler hakkında bkz. Elif Küzeci, Kişisel Verilerin Korunması, Turhan Kitabevi, Ankara, 2010, sf:195-220.
[23] Semih Gemalmaz, İnsan Hakları Hukuku Belgeleri, I. Cilt – Bölgesel Sistemler, Legal Yayınları, İstanbul, 2009, sf:581-595.
[24] En son olarak Kişisel Verilerin Korunması Kanunu Tasarısı 26/12/2014 tarihinde Başbakanlık tarafından TBMM Başkanlığına sunulmuştur.
[25] Anayasa Mahkemesi E. 2013/122, K. 2014/74, T. 09.04.2015.
[26] Sağlık hizmeti sunucularının kayıt ve bildirim zorunluluğu ve kontrol yetkisi
MADDE 78- Kurum ile sözleşmesi olan, tüm sağlık hizmeti sunucuları, sağlık hizmeti sunduğu tüm kişilere ait sözleşme hükümlerinde yer verilen bilgileri, belirlenen yöntemlere ve süreye uygun biçimde elektronik ortamda veya yazılı olarak Kuruma göndermek zorundadır. Bu bilgiler gönderilmeksizin talep edilen sağlık hizmeti bedelleri, bilgiler gönderilinceye kadar ödenmez.
[27] Anayasa Mahkemesi E. 2014/74, K. 2014/201, T. 25.12.2014.
[28] Anayasa Mahkemesi E.2010/61; K.2011/7, T. 06/01/2011 (AYM’nin E.2006/118, K.2009/107, T. 2.7.2009 kararı da spor federasyonlarının hukuki niteliğine ilişkindir).
[29] Anayasa Mahkemesi E. 2014/180, K. 2015/30, T.19.03.2015. AYM’nin gerekçesi şu şekildedir: “Biyometrik yöntemlerle kimlik doğrulama, kişinin kendi özelliklerini esas alması nedeniyle izinsiz kullanımlara karşı güvenli, kamu kuruluşlarına yönelik yolsuzluk ve bunların neden olduğu zararlara karşı etkili ve sosyal güvenliği olan kişiler bakımından da güvenli hizmet alınmasını sağlayan bir yöntemdir. İtiraz konusu kuralla öngörülen yöntemin sağlık sektöründeki suiistimallerin engellenmesi ve bu konudaki sahteciliğin önlenmesi maksadıyla önemli bir güvenlik önlemi olduğunda şüphe yoktur. Nitekim itiraz konusu kuralın gerekçesinde sağlık hizmetlerinin elektronik ortamda güvenilir altyapılar üzerinden sağlanması ve hizmetten yararlananların kimliklerinin saptanmasında geleneksel yöntemlerin eksiklikleri nedeniyle ortaya çıkan kötüye kullanımların önlenmesinin amaçlandığı belirtilmiştir. Dolayısıyla kuralla öngörülen yöntemin etkin bir şekilde kullanılmasının, Sosyal Güvenlik Kurumundan haksız menfaat temin edilmesini engellemeye yönelik olduğu ve kuralda kamu yararı bulunduğu açıktır.” (italik eklenmiştir).
Bu karara eklenen 5 üyenin imzasını taşıyan muhalefet şerhinde hem AYM’nin konuya ilişkin önceki kararları özetlenmiş hem de veri koruma hukuku ilkeleri değerlendirilerek AYM çoğunluğunun gerekçesi eleştirilmiştir.
[30] Bilgi toplama, işleme ve paylaşma yetkisi
Madde 47 – (2) Bakanlık ve bağlı kuruluşları işlediği kişisel sağlık verilerini ilgili üçüncü kişiler ve kamu kurum ve kuruluşları ile ancak bu kişi ve kurumların bu verilere erişebileceği hususunda kanunen yetkili olması hâlinde görevlerini yapmalarına yetecek derecede paylaşabilir.
[31] Anayasa Mahkemesi E. 2013/114, K. 2014/184, T. 04.12.2014.
