|
Metin PEKTAŞ Ortak, Rekabet Hukuku ve Uyum, Rekabet Kurumu Eski Başuzmanı
|
Ayşe Ülkü SOLAK Ortak, Avukat, Şirketler Hukuku-Birleşme ve Devralmalar, Kişisel Veriler ve Fikri Mülkiyet |
|
Derviş Boran BEYSÜLEN Stj. Avukat |
Tuğçe GELİR Avukat |
ÖZET
Dijitalleşme ve teknolojik gelişmelerle birlikte kişisel veri işleme faaliyetleri çok daha yaygın hale gelmiş ve bireylerin mahremiyet kaygıları da bu doğrultuda artmıştır. Söz konusu endişelerin önüne geçilmesi amacıyla, özel hayatın gizliliği başta olmak üzere, bireylerin kişisel verilerinin korunmasıyla ilgili temel hak ve özgürlüklerinin güvence altına alınmasını teminen AB düzenlemeleri ışığında 6698 sayılı Kişisel Verilerin Korunması Kanunu ve kişisel verilerin korunmasına ilişkin alt düzenlemeler yürürlüğe alınmıştır. Öte yandan, Türkiye’de piyasalardaki rekabetin sağlanması, korunması ve geliştirilmesinden sorumlu yetkili idari otorite olan Rekabet Kurumu, 4054 sayılı Rekabetin Korunması Hakkında Kanun’un 15. maddesi uyarınca, kendisine verilen görevleri yerine getirirken, gerekli gördüğü hallerde, teşebbüs ve teşebbüs birliklerinde “yerinde inceleme” yapma yetkisine sahiptir. Rekabet Kurumu bu yetki kapsamında, teşebbüslerin defterlerini, fiziki ve elektronik ortam ile bilişim sistemlerinde tutulan verilerini ve belgelerini inceleyebilmekte, bunların kopyalarını alabilmekte ve söz konusu kayıtların kişisel verileri de içermesi durumunda ilgili mevzuat uyarınca kişisel veri işleme faaliyetleri gerçekleştirmektedir. Bu çerçevede, Rekabet Kurumu’nun yerinde inceleme yetkisinin kullanımının kişisel verilerin korunması hukuku bakımından değerlendirilmesi önemli bir zorunluluk halini almıştır.
Anahtar Kelimeler: Rekabet Hukuku, Kişisel Verilerin Korunması Kanunu, Rekabet Kurumu, Yerinde İnceleme Yetkisi.
GİRİŞ
Dijitalleşen dünya ile birlikte veri temelli ekonomiye geçiş yapılmış ve bu kapsamda ‘veri’, ekonomik faaliyetlerin neredeyse en değerli girdisi haline gelmiştir. Büyük bir hızla gelişmekte olan yenilikçi teknolojilerin temelinde yer alan verinin etkin kullanımı aktörlere, müşteri ve pazar dinamiklerini daha iyi anlayarak rekabet avantajı ve böylece ekonomik fayda sağlamaktadır. Bununla birlikte, özellikle verilere kimlik kazandırmaya yönelik teknolojilerin hızlı gelişimi nedeniyle söz konusu süreçler kapsamında işlenen verilerin büyük bir kısmını ‘kişisel veriler’ oluşturmaktadır. Buna bağlı olarak bireylerin mahremiyet kaygıları ortaya çıkmakta ve kişisel verilerin korunmasına ilişkin hukuki çerçeve ihtiyacı ve önemi artmaktadır. Nitekim Avrupa Birliği (“AB”)’nde, üye ülkelerdeki kişisel verilerin korunmasına ilişkin düzenlemelerin uyumlaştırılması amacıyla çerçeve bir mevzuat olarak yürürlükte bulunan 95/46/AT sayılı Kişisel Verilerin İşlenmesi ve Serbest Dolaşımı Bakımından Bireylerin Korunmasına İlişkin Direktif’in (“Direktif”) yerini, bireylere kişisel verileri üzerinde daha fazla kontrol hakkı sağlanması ve aynı zamanda kişisel verilerin korunması ile veri temelli ekonomi arasındaki dengenin tesis edilmesi amaçlarıyla 14 Nisan 2016 tarihinde Avrupa Parlamentosu tarafından onaylanarak kabul edilen AB Genel Veri Koruma Tüzüğü (“GDPR”)[1] almıştır. Türkiye’de ise, temel olarak Direktif hükümleri esas alınarak hazırlanan 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”)[2], 7 Nisan 2016 tarihinde yürürlüğe girmiştir.
Öte yandan, 4054 sayılı Rekabetin Korunması Hakkında Kanun’da (“Rekabet Kanunu”)[3] yapılan son değişiklikler[4] ile birlikte Rekabet Kurumu tarafından gerçekleştirilen yerinde incelemelerde, teşebbüslerin ve teşebbüs birliklerinin kişisel verilerinin de yer aldığı her türlü bilgi ve belgelerine erişim sağlanmasının ve bu belgelerin kopyalarının alınabilmesinin halihazırda mevcut olan hukuki alt yapısı netleşmiştir. Bu nedenle rekabet otoritesi tarafından Rekabet Kanunu’nda düzenlenmiş olan yerinde inceleme yetkisinin kullanılması halinde, incelenen ve/veya kopyalanan bilgi ve belgeler arasında kişisel verilerin de bulunması kaçınılmaz olup; Rekabet Kurumu’nun KVKK kapsamında ‘kişisel veri işleme’[5] faaliyetleri gerçekleştirdiği açıktır. Bu çerçevede, Rekabet Kurumu’nun yerinde inceleme yetkisinin kullanımının kişisel verilerin korunması hukuku bakımından da değerlendirilmesi önemli bir zorunluluk halini almıştır. Bu çalışmada, Rekabet Kurumu’nun yerinde inceleme yetkisi, KVKK ve ilgili sair mevzuat düzenlemeleri ile yakın dönemde Rekabet Kurulu kararları çerçevesinde kişisel verilerin korunması ve rekabet hukuku bakımından değerlendirilecektir.
Kişisel verilerin korunması düzenlenmelerinin temel amacı, özel hayatın gizliliği başta olmak üzere bireylerin kişisel verilerinin korunmasıyla ilgili temel hak ve özgürlüklerinin güvence altına alınmasıdır. Nitekim, son yıllarda veri temelli ekonomiye geçişin kaçınılmaz bir sonucu olarak kişisel veri işleme faaliyetleri çok daha yaygın hale gelmiş ve bu doğrultuda kişisel verilerin korunması ile veri temelli ekonomi arasındaki dengenin sağlanması ve sürdürülebilir kılınması çok daha büyük bir önem kazanmıştır. 7 Nisan 2016 tarihinde yürürlüğe giren KVKK ile ülkemizde de bu dengenin tesis edilmesi hedeflenmiş ve bu kapsamda hem gerçek kişilerin mahremiyet haklarının hem de gelişen teknolojilerin sağladığı ekonomik fırsatları kısıtlamayan ve inovasyona fırsat tanıyan veri temelli rekabet ekonomisinin korunmasını hedefleyen uzlaşmacı bir yaklaşım benimsenmeye çalışılmıştır.
Dijital dönüşüm sürecinde kilit rol oynayan ve kişisel verilerin korunmasını alanında Türkiye’deki esas düzenleme olan KVKK kapsamında, uluslararası belgelerde kabul görmüş ve pek çok ülke uygulamasına yansımış olan kişisel verilerin işlenmesine ilişkin temel ilkelere yer verilmiştir. Buna göre, tüm kişisel veri işleme faaliyetleri mutlaka; (i) hukuka ve dürüstlük kurallarına uygun olma, (ii) doğru ve gerektiğinde güncel olma, (iii) belirli, açık ve meşru amaçlar için işlenme, (iv) işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ve (v) ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine uyumlu şekilde gerçekleştirilmelidir. Ayrıca kişisel veriler, KVKK’nın 5. ve 6. maddelerinde düzenlenen kişisel veri işleme şartlarından en az birinin mevcut olması halinde işlenebilmektedir. Kişisel verilerin işlenme şartları her bir kişisel veri işleme faaliyetinin KVKK bakımından hukuki dayanağını oluşturmaktadır.[6][7]
Bununla birlikte, KVKK’nın 28. maddesinde ise, KVKK’nın kısmen veya tamamen uygulanmayacağı bazı istisnai haller hükme bağlanmıştır. Bu noktada unutulmamalıdır ki, kişisel verilerin işlenmesine ilişkin ilkeler, tüm kişisel veri işleme faaliyetlerinin özünde bulunmalı ve tüm kişisel veri işleme faaliyetleri bu ilkelere uygun olarak gerçekleştirilmelidir. Dolayısıyla, her ne kadar çeşitli faaliyetler bazında KVKK’dan tam ve kısmi muafiyet sağlansa da, kişisel veriler ancak temel ilkelere uygun ve orantılı olmak kaydıyla işlenmelidir.[8]
Öte yandan, Türkiye’de piyasalardaki rekabetin sağlanması, korunması ve geliştirilmesinden sorumlu yetkili idari otorite olan Rekabet Kurumu, Rekabet Kanunu’nun 15. maddesi uyarınca, ilgili mevzuatta kendisine verilen görevleri yerine getirirken, gerekli gördüğü hallerde, teşebbüs ve teşebbüs birliklerinde “yerinde inceleme” yapma yetkisine sahiptir. İlgili madde hükmünde, 7246 sayılı Rekabetin Korunması Hakkında Kanunda Değişiklik Yapılmasına Dair Kanun[9] ile getirilen son değişiklikler kapsamında özellikle kartellerin ortaya çıkarılmasında hayati önemi haiz olan yerinde inceleme yetkisinin kapsamı daha da belirginleştirilmiş ve bu bağlamda Rekabet Kurumu’nun, yerinde incelemelerde, defterlerin, fiziki ve elektronik ortam ile bilişim sistemlerinde tutulan verilerin ve belgelerin incelenebilmesi, bunların kopyalarının ve çıktılarının alınabilmesi yetkisi açık hale getirilmiştir.[10] Böylece, halihazırda Rekabet Kurumu’nun yerinde inceleme yetkisini kullanırken dijital ortamlar üzerinde yaptığı incelemelerin hukuki altyapısı netleştirilmiştir.[11] Bu doğrultuda Rekabet Kurumu, yerinde inceleme gerçekleştirdiği teşebbüs ve teşebbüs birliklerinin; defter, evrak, belge, şirket bilgisayarları, şirket telefonları, Whatsapp yazışmaları, şirket kasaları ve şirket araçları da dahil fiziki ve elektronik ortam ile bilişim sistemlerinde tutulan her türlü verilerini ve belgelerini inceleyebilmekte ve bunların kopyalarını ve fiziki örneklerini alabilmektedir.
Teşebbüs ve teşebbüs birliklerinin yerinde incelemeyi engellediği veya zorlaştırdığı durumlarda ise, Rekabet Kurumu tarafından teşebbüs ve teşebbüs birliğinin bir önceki mali yılın sonunda oluşan cirosunun %0.5’i oranında ve engellemenin/zorlaştırmanın devam ettiği süre boyunca günlük olarak işlenen %0.05 oranında para cezası uygulanabilmektedir.[12] Rekabet Kurumu’nun geçmişten günümüze aldığı kararlar incelendiğinde, birçok teşebbüse ve teşebbüs birliğine yerinde incelemenin engellenmesi/zorlaştırılması nedeniyle idari para cezası uygulandığı gözlemlenmektedir.
Yukarıda detaylı şekilde açıklandığı üzere, Rekabet Kurumu yerinde incelemelerde, teşebbüslerin ve teşebbüs birliklerinin hissedarlarının ve çalışanlarının ve ayrıca müşterilerinin, tedarikçilerinin, iş ortaklarının ve bunların çalışanlarının ve hissedarlarının kişisel verilerini içeren her türlü bilgi ve belgeyi inceleyebilmekte ve gerekli gördüğü hallerde söz konusu kayıtların kopyalarını alabilmektedir. Bu noktada, Rekabet Kanunu’nda düzenlenmiş olan yerinde inceleme yetkisinin kullanıldığı durumlarda, incelenen ve/veya kopyalanan bilgi ve belgeler arasında kişisel verilerin de bulunması kaçınılmaz olup; Rekabet Kurumu’nun KVKK kapsamında “kişisel veri işleme” faaliyetleri gerçekleştirdiği açıktır. Bu çerçevede, Rekabet Kurumu’nun yerinde inceleme yetkisinin kullanımının kişisel verilerin korunması hukuku bakımından da değerlendirilmesi önemli bir zorunluluk halini almıştır.
Öncelikle, KVKK’nın kapsamı incelediğinde, her ne kadar GDPR’da düzenlendiği şekilde coğrafi kapsama açıkça yer verilmemiş olsa da, bu düzenlemenin Türkiye sınırları içerisinde kişisel veri işleyen tüm gerçek ve tüzel kişileri kapsadığı açıktır. Öte yandan, KVKK hükümlerinin tam veya kısmi olarak uygulanmayacağı haller KVKK’nın 28. maddesinde[14] düzenlenmektedir. Ancak, Rekabet Kurumu’nun yerinde inceleme yetkisini kullanırken işlediği kişisel veriler bakımından tam istisna hallerinin düzenlendiği KVKK’nın 28. maddenin 1. fıkrasının (ç) bendinde yer alan “Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi.” hükmünün[15] mü yoksa kısmi istisna hallerinin düzenlendiği 28. maddenin 2. fıkrasının (c) bendinde yer alan “Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması” hükmünün[16] mü uygulanacağı tespit edilmelidir. Konu henüz belirsizliğini korumakla birlikte, kanaatimiz, bağımsız bir idari otorite olan Rekabet Kurumu’nun görev ve yetkileriyle örtüşme noktasında, “düzenleme ve denetleme görevlerinin yürütülmesi” ifadesini barındıran 2. fıkranın (c) bendinin bu konuda daha uygulanabilir bir düzenleme olduğu yönündedir.
Buna göre, kural olarak bu fıkrada sayılan hallerde KVKK’ya uyum yükümlülüğü bulunmakla birlikte, yalnızca belirli hükümler bakımından, bunların ilgili işleme hallerinde uygulanmayacağı yönünde bir istisna öngörülmektedir. Diğer bir ifade ile bu fıkra kapsamında, veri sorumlusunun aydınlatma yükümlülüğünü düzenleyen KVKK’nın 10. maddesi, zararın giderilmesini talep etme hakkı hariç olmak üzere ilgili kişinin haklarını düzenleyen KVKK’nın 11. maddesi ve Veri Sorumluları Sicili’ne kayıt yükümlülüğünü düzenleyen KVKK’nın 16. maddesinin sayılan durumlarda uygulanmayacağı belirtilmiştir. Burada yalnızca belirli durumlarda ve belirli madde hükümlerinin uygulanmamasına ilişkin istisna öngörülmüş olup; bu maddeler ve sayılan durumlar dışında her halükârda KVKK düzenlemelerine ve ilgili mevzuata uyulması gerekmektedir. Dolayısıyla, veri sorumlusu olarak Rekabet Kurumu’nun, bu sayılan istisna kapsamındaki özel haller dışında KVKK’dan ve sair ilgili mevzuattan kaynaklanan yükümlülükleri devam etmektedir.
Bu çerçevede, Rekabet Kurumu tarafından yerinde inceleme yetkisinin kullanılması halinde, her ne kadar yukarıda belirtilen madde hükümleri uygulanmayacak olsa da, yerinde inceleme süreçleri kapsamındaki kişisel veri işleme faaliyetlerinin, KVKK’nın 5. ve 6. maddelerinde düzenlenen kişisel veri işlemenin hukuki şartları bakımından değerlendirilmesi gerekmektedir. Özel nitelikli kişisel veriler[17] dışında kalan kişisel verilerin işlenmesi bakımından her bir işleme faaliyeti için farklılık gösterebilecek olsa da genel olarak Rekabet Kurumu tarafında KVKK’nın 5. maddesinin 2. fıkrasının (a) ve (ç) bentlerinde yer alan ‘kanunlarda açıkça öngörülmesi’ ile ‘veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için veri işlemenin zorunlu olması’ hukuki şartlarına dayanılarak ilgili kişilerin açık rızaları temin edilmeksizin söz konusu veri işleme faaliyetleri gerçekleştirilebilecektir. Dolayısıyla, KVKK’da düzenlenen temel ilkelere uygun olması ve gerekli her türlü idari ve teknik tedbirin alınması şartlarıyla, Rekabet Kurumu tarafından söz konusu kişisel veri işleme faaliyetlerinin, KVKK’nın 28. maddesindeki istisnai haller ile de birlikte değerlendirildiğinde, genel itibarıyla aydınlatma ve konuya ilişkin açık rıza temin etme yükümlülükleri yerine getirilmeksizin gerçekleştirilmesi bakımından herhangi bir engel olmadığı kanaatindeyiz.
Veri sorumlusu olan teşebbüsler bakımından ise, teşebbüsler Rekabet Kurumu’na (i) kişisel veri de içeren bilgi sağlama yükümlülüğü altında ise, her bir işleme faaliyeti için farklılık gösterebilecek olsa da, özellikle KVKK’nın 5. maddesinin 2. fıkrasının (a) bendinde yer alan ‘kanunlarda açıkça öngörülmesi’[18] ile (ç) bendinde yer alan ‘veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için veri işlemenin zorunlu olması’ hukuki şartları ve (ii) kişisel verileri de içeren bilgileri ihtiyari olarak sağlıyorlar ise, işbu işleme veri sorumlusunun KVKK’nın 5. maddesinin 2. fıkrasının (f) bendinde yer alan ‘ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması’ hukuki şartı kapsamında gerçekleştirildiği değerlendirmesi yapılabilecektir.
Bununla birlikte, yerinde inceleme kapsamında KVKK’nın 6. maddesinde sınırlı sayıda listelenen özel nitelikli kişisel veriler bakımından ayrı bir değerlendirme yapılması gerekmektedir. Zira, KVKK’nın 6. maddesinin 2. fıkrası uyarınca, ‘sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hallerde ilgili kişinin açık rızası aranmaksızın işlenebilecek olup; sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından’ ilgilinin açık rızası aranmaksızın işlenebilir.
Rekabet Kurumu’nun yerinde inceleme yetkisi ve Rekabet Kurumu incelemesine konu veri sorumlusu teşebbüslerin inceleme kapsamında Rekabet Kurumu’na her türlü bilgi ve belge aktarımı ile incelemeye engel olmama yükümlülükleri Rekabet Kanunu’nda açıkça düzenlenmiş olduğundan, Rekabet Kurumu’nun sağlık ve cinsel hayat verileri dışında özel nitelikli kişisel verileri inceleme kapsamında işlemesi ve veri sorumlusu teşebbüslerin de bu bilgi ve belgeleri Rekabet Kurumu ile paylaşmaları, KVKK’nın 6. maddesinin 2. fıkrasındaki ‘sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hallerde ilgili kişinin açık rızası aranmaksızın işlenebilecektir’ işleme şartına dayandırılabilecektir. Burada ayrıca belirtilmesi gerekir ki, özel nitelikli kişisel verilerin veri sorumlusu teşebbüsler tarafından Rekabet Kanunu’nda düzenlenen yerinde inceleme yetkisi kapsamında Rekabet Kurumu’na aktarılmasının hukuki sebebi KVKK’nın 6. maddesinin 2. fıkrasındaki ‘sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hallerde ilgili kişinin açık rızası aranmaksızın işlenebilecektir’ işleme şartı olsa da, bu durum söz konusu teşebbüslerin ilgili kişisel verileri toplama ve sair ikincil işlemeler bakımından uymakla yükümlü oldukları KVKK’dan ve ilgili ikincil mevzuattan kaynaklı yükümlülüklerini ortadan kaldırmamaktadır. Diğer bir ifadeyle, veri sorumlusu teşebbüsler, yerinde inceleme kapsamında Rekabet Kurumu’na kişisel verileri aktarmadan önce ilgili verileri, veri sahiplerinin aydınlatılması, açık rızalarının temin edilmesi ile ek güvenlik tedbirlerinin alınması gibi yükümlülüklerini yerine getirerek hukuka uygun bir şekilde toplamış ve işlemiş olmalıdırlar. Örneğin, teşebbüsler tarafından Rekabet Kurumu’na aktarılması gereken veriler arasında eski kimlik fotokopilerinin de bulunması durumunda, kimlik kopyası üzerinde yer alan din ve kan grubu hanelerinin karartılarak toplanması yahut toplamaya ve aktarıma ilişkin açık rıza alınması ilgili teşebbüslerin sorumluluğunda olup; bu veriler hukuka uygun şekilde toplanarak Rekabet Kurumu’na aktarılmalıdır. Burada yapılan değerlendirme ise, halihazırda hukuka uygun şekilde incelemeye konu veri sorumlusu teşebbüsler tarafından ilgili kişiden toplanan özel nitelikli kişisel verileri inceleme yetkisini kullanan Rekabet Kurumu’na aktarımına yöneliktir.
Bununla birlikte, sağlık ve cinsel hayata ilişkin veriler bakımından ise, hem Rekabet Kurumu hem de veri sorumlusu teşebbüsler tarafından sağlık ve cinsel hayata ilişkin verilerin işlenmesi, mevcut halde inceleme yetkisi kapsamında olsa dahi, KVKK’nın 6. maddesinin 2. fıkrasında düzenlenen sağlık ve cinsel hayata ilişkin veriler bakımından belirlenen özellikli işleme şartını karşılamadığından, hem Rekabet Kurumu hem de Rekabet Kurumu’na sağlık ve cinsel hayat verilerini aktaracak veri sorumlusu teşebbüsler tarafından öncelikle ilgili kişilerin açık rızaları temin edilmelidir. Bu kapsamda sağlık ve cinsel hayata ilişkin verilerin, olası bir Rekabet Kurumu incelemesine konu olması da esasen KVKK’nın 4. maddesi kapsamında ‘işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma’ ilkesi ile de bağdaşmayacağından burada kanaatimiz, Rekabet Kurumu’nun sağlık ve cinsel hayata ilişkin verileri içerebilecek iş yeri hekimi dosyalarını ve sair bilgi ve belgeleri inceleme kapsamı dışında tutmasının daha isabetli olacağı yönündedir. Elbette bu durumda, incelemeye konu veri sorumlusu teşebbüslerin de sağlık ve cinsel hayata ilişkin verilerin olduğu bilgi ve belgeleri ek idari ve teknik tedbirlerle[19] diğer bilgi ve belgelerden ayrıştırması ve bunlara erişimi KVKK’nın 6. maddesinin 2. fıkrası kapsamında belirtilen kişi ve amaçlarla sınırlı tutması yükümlülüklerini daha da önemli hale getirmektedir.
Tüm bu önlemler alınmasına rağmen, Rekabet Kurumu’nun yerinde incelemelerdeki esas amacı, piyasalardaki rekabetin sağlanmasını ve korunmasını temin kapsamında riskli addedilebilecek hususları tespit edebilmek olsa da, uygulamada bu kapsamda erişilebilen kayıtlar arasında yine de sağlık ve cinsel hayat verileri yer alabilecektir. Örneğin, Rekabet Kurumu tarafından yerinde inceleme yetkisinin bir hastane bünyesinde gerçekleştirilmesi halinde, hasta bilgi kayıt sistemine giriş yapılması ile sağlık, cinsel hayat, genetik veri gibi pek çok hassas veriye erişim sağlanmış olacaktır. Dolayısıyla, özellikle bu gibi incelemelerde Kişisel Verileri Koruma Kurumu ve Sağlık Bakanlığı’nın da görüşü alınarak ilerlenmesi yerinde olacaktır.
AB mevzuatı kapsamında ise, Avrupa Komisyonu (European Commission), kendisinin rekabete ilişkin soruşturma ve yürütme faaliyetleri kapsamında kişisel verileri, Avrupa Parlamentosu ve Konseyi’nin (AT) 45/2001 sayılı Tüzük’ü ve 1247/2002/AT sayılı kararını yürürlükten kaldıran, 23 Ekim 2018 tarihli ve (AB) 2018/1725 sayılı Birlik Kurumları, Organları, Ofisleri ve Ajansları Tarafından İşlenen Kişisel Veriler Bakımından Gerçek Kişilerin Korunmasına ve Bu Verilerin Serbest Dolaşımına İlişkin Tüzük[20] (“Tüzük”) uyarınca işlemektedir. Tüzük, AB kurumları tarafından kişisel verilerin işlenmesinin yasal dayanağı olup; üye devletlerin iç hukuklarında doğrudan uygulanan GDPR ile uyumlu şekilde AB kurumları için geçerli olan yasal rejimi sağlamıştır. Nitekim, GDPR’ın 2. maddesinde de açıkça AB kurumları, organları, ofisleri ve ajansları tarafından kişisel verilerin işlenmesine yönelik olarak (AT) 45/2001 sayılı Tüzük’ün uygulanacağı ve AB’nin diğer yasal düzenlemelerinin de GDPR’ın ilkelerine ve kurallarına göre uyarlanması gerektiği düzenlenmiştir. Böylece, AB kurumları Tüzük uyarınca yüksek standartlar ile verilerin korumasını gözetmekten sorumlu tutulmuştur.
Bu doğrultuda, Tüzük kapsamında AB kurumları bakımından veri sahiplerine belirli bilgilerin sağlanması ve GDPR’daki hesap verilebilirlik ilkesi ile uyumlu şekilde, veri ihlâli halinde veri sahiplerine bilgi verilmesi hususlarında yükümlülükler öngörülmüştür. Söz konusu yükümlülüklerin yerine getirilmesi amacıyla Avrupa Komisyonu, Tüzük ve GDPR ile uyumlu şekilde birleşme, tekelin önlenmesi ve devlet desteği soruşturmalarına ilişkin veri işlemenin amaçlarını, veri toplama, işleme ve koruma yöntemleri, bu bilgilerin nasıl kullanıldığı ve veri sahiplerinin haklarını nasıl kullanabileceği hakkında şeffaf ve uyumlu şekilde ayrı ayrı aydınlatma metinleri yayımlamıştır.[21]
Öte yandan, söz konusu şeffaflığa ilişkin yükümlülüklerin mutlak şekilde uygulanması ise, Avrupa Komisyonu’nun soruşturma ve yürütme faaliyetleri bakımından muhtemel tehlike yaratmaktadır. Örneğin, bir teşebbüsün pişmanlık başvurusu kapsamında sağladığı veriler arasında genellikle diğer kartel üyelerinin temsilcilerine ilişkin bilgiler de yer almaktadır. Avrupa Komisyonu’nun Tüzük’te düzenlendiği şekilde ilgili kartel üyelerinin temsilcilerini bir ay içinde bilgilendirdiği bir senaryo, pişmanlık müessesesinin amaç ve işleyişine aykırı olacağı gibi delillerin karartılması riskini de beraberinde getirecektir. Bu risk bakımından Avrupa Komisyonu, 5 Aralık 2018 tarihinde Tüzük uyarınca, veri sahiplerinin hakları ile rekabet soruşturmalarının işlevselliği arasındaki dengeyi temin amacıyla bir karar[22] almıştır.[23] Karar kapsamında, rekabet alanındaki kişisel veri işleme faaliyetleri hakkında veri sahiplerine bilgi verilmesinin sağlanması ve belirli haklar bakımından kısıtlamaya gidilmesine ilişkin dahili kurallar belirlenmiştir. Böylece Avrupa Komisyonu tarafından Tüzük’te yer alan (i) veri sahibinin haklarının kullanımına ilişkin şeffaf bilgilendirme, bildirim ve yöntemlere, (ii) veri sahibinden kişisel verilerin toplandığı hallerde sağlanacak bilgilere, (iii) veri sahibinden kişisel verilerin toplanmadığı hallerde sağlanacak bilgilere, (iv) veri sahibinin erişim hakkına, (v) veri sahibinin unutulma hakkına, (vi) veri işlemenin kısıtlanmasını isteme hakkına, (vii) veri ihlâlinin veri sahibine bildirilmesine ve (viii) uygun olduğu ölçüde kişisel veri işlemenin şartlarına ilişkin hük ümlerin uygulanması tam veya kısmi olarak kısıtlanabilecektir. Bununla birlikte Avrupa Komisyonu, herhangi bir kısıtlamanın uygulanması halinde kısıtlamanın nedenlerini (ölçülülük ve gereklilik değerlendirmesi de dahil) kayıt altına almalıdır.
Ayrıca, yetkili AB veri koruma otoritesi olan EDPS (European Data Protection Supervisor), GDPR’ın AB kurumlarının rekabet de dahil soruşturma faaliyetleri üzerinde etkilerini açıklayan bir metin[24] yayımlamıştır. Söz konusu açıklama kapsamında, yetkili AB rekabet otoritelerinin soruşturma faaliyetlerini yürütmeleri bakımından yetkiye ilişkin yasal dayanaklar açıklanmıştır. İlgili açıklamada, soruşturmalar kapsamında AB kurumları tarafından verilerin toplanması ve ikincil amaçlarla işlenmesinin hukuki sebebinin yukarıda açıklanan düzenlemeler uyarınca GDPR’ın 6(1)(e) madde hükmüyle uyumlu şekilde Tüzük’ün 5(1)(a) maddesindeki kamu yararına gerçekleştirilen bir görevin yerine getirilmesi veya Birlik kurumuna veya organlarına verilen resmi bir yetkinin uygulanması hususunda veri işleme faaliyetinin gerekli olması olduğu belirtilmiştir. Bu noktada, veri sorumlusu olan teşebbüsler bakımından ise, ilgili teşebbüsler, AB kurumlarına (i) kişisel veri de içeren bilgi sağlama yükümlülüğü altında olması durumunda, bu yükümlülüğün yerine getirilmesi için ifşanın zorunlu olması halinde işbu işleme veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için veri işlemenin zorunlu olması[25] hukuki şartı ve (ii) kişisel veri de içeren bilgileri AB kurumlarının kamu yararına görevlerine yerine getirebilmeleri amacıyla ihtiyari olarak sağlıyorlar ise, işbu işlemenin veri sorumlusunun meşru menfaati[26] hukuki şartı kapsamında değerlendirilebileceği belirtilmektedir. AB kurumları bakımından ikincil işleme faaliyetleri ise, yine GDPR’ın 6(1)(e) madde hükmüyle uyumlu şekilde Tüzük’ün 5(1)(a) maddesindeki kamu yararına gerçekleştirilen bir görevin yerine getirilmesi veya AB kurumuna veya organlarına verilen resmi bir yetkinin uygulanması hususunda veri işleme faaliyetinin gerekli olması hukuki şartına dayandırılmıştır.
Yukarıda açıklanan nedenlerle AB rekabet düzenlemelerine konu teşebbüsler, soruşturmalar kapsamında veri sahiplerinin konuya ilişkin bilgilendirilmediği yahut veri sahiplerinin konuya ilişkin rızalarının bulunmadığı gerekçeleriyle yetkili rekabet otoritelerinin talep ettiği kişisel verileri de içerir bilgileri paylaşmaktan imtina edemezler.
Yukarıdaki açıklamalara paralel şekilde, yerinde incelemeler kapsamında GDPR kaynaklı itirazlar gerekçe gösterilerek çeşitli belgelere erişimin reddedilmesi, Rekabet Kurulu’nun aşağıdaki yakın tarihli kararlarında ‘yerinde incelemenin engellenmesi’ olarak değerlendirmiştir.
Rekabet Kurumu uzmanları, yerinde inceleme kapsamında anahtar sözcükler ve tarihler kullanarak genel bir tarama yapılabilmesi için şirket çalışanlarından Office 365 uygulamasının bir özelliği olan e-Discovery’e erişim sağlanmasını talep etmiştir. E-Discovery özelliği ile yalnızca Türkiye değil global bir arama yapılabilmesi nedeniyle şirket çalışanları, böyle bir yetkilendirmenin tanınabilmesi için Unilever Global’den izin alınması gerektiğini belirtmiştir. Unilever Global ile yapılan görüşmeler sonucunda, Türkiye verilerinin global veriler ile ayrıştırılamadığı ve global verilere erişim için yetkili olmadıkları gerekçesiyle uzmanların talebi reddedilmiştir. Bu sürecin sonunda aynı günün akşamında şirket yetkilileri, gerekli izinlerin alındığını ve e-Discovery üzerinden inceleme yapılabileceğini söylemişlerdir. Ancak durumu değerlendiren Rekabet Kurulu, yerinde incelemenin 40 dakika geciktirilmesinin dahi delillerin ortadan kaldırılması için yeterli olduğunu değerlendirilen Danıştay kararına[28] da atıfta bulunarak, Unilever'deki gecikmeyi yerinde incelemenin engellenmesi olarak kabul etmiş ve yerinde incelemenin engellendiği gerekçesiyle Unilever’e idari para cezası uygulamıştır. Sonuç olarak, teşebbüs yetkililerinin GDPR hükümleri çerçevesinde öne sürdüğü hususların, Rekabet Kurumu tarafından kabul edilmediği tespit edilmiştir.
Rekabet Kurumu tarafından Siemens Healthcare’de yapılan yerinde incelemede, Rekabet Kurumu uzmanları, Siemens Healthcare çalışanlarının tamamını kapsayacak şekilde belirli tarihler ve anahtar sözcükler ile inceleme yapmak için e-Discovery özelliğini kullanmak istediklerini belirtmişlerdir. Teşebbüs yetkilileri ise, e-Discovery erişimi için Siemens Global’den izin alınması gerektiğini ifade etmiştir. Ancak Siemens Global, e-Discovery özelliği kapsamında yapılacak bir yerinde incelemenin yalnızca Siemens Healthcare çalışanlarının değil, AB’de mukim tüm çalışanların da bilgilerine erişim anlamına geldiği ve bu durumun başka yargı alanlarında farklı riskler yaratma ihtimâline neden olduğu gerekçesiyle erişim talebini reddetmiştir. Siemens Global böylesi bir erişimin, Avrupa, ABD ve dünyanın her yerindeki veri koruma yasalarının ihlâli anlamına geleceğini ayrıca belirtmişlerdir.
Daha sonraki süreçte Siemens Healthcare, bilgilere erişimin yapılacağı bilgisayarın sağlanması, hukuki zapt (legal hold) gerçekleştirilerek herhangi bir verinin yok olmasının önlenmesi, veri bütünlüğünün korunduğuna ilişkin teknik ispatların sağlanması önerileri çerçevesinde yerinde inceleme yapılabileceğini bildirmiş ve bu çerçevede Rekabet Kurulu, 12 gün gecikmeli olarak yerinde inceleme gerçekleştirmiştir. Tüm bu çalışma Microsoft'un güvenlik protokolleri kapsamında ve şirket çalışanlarının desteğiyle gerçekleştirileceğinden hem Rekabet Kurumu hem de şirketin tüm diğer kanunları ihlâl iddialarına karşı koruma altında olacağı ve Rekabet Kurumu’nun teyidi halinde şirketin erişim prosedürünü derhal başlatmaya hazır olduğu ifade edilmiştir. Gecikmeli olarak yapılan yerinde incelemenin sonucunda Rekabet Kurulu; (i) yerinde incelemenin teşebbüsün istediği zaman değil haber verilmeksizin, ansızın, süratli ve kesintisiz biçimde gerçekleştirilmesi gerektiği, (ii) her ne kadar 30 gün geçmişe ait verilere ulaşılabiliyor olsa da 15.10.2019 tarihinde gerçekleştirilen incelemenin 02.10.2019 tarihinde gerçekleştirilenden daha kısıtlı bir süreye ilişkin olabileceği ve (iii) hangi anahtar kelimelerin aranacağına ilişkin teşebbüsün fikri olduğu ve geçen sürede e-Discovery üzerinden bunlara ilişkin arama yapma şansının bulunduğu gerekçeleriyle yerinde incelemenin zorlaştırıldığı/geciktirildiği sonucuna ulaşmış ve 12 gün için gün başına hesaplanmak üzere süreli para cezası ile birlikte geciktirme eyleminden kaynaklı maktu para cezası verilmesine karar vermiştir. Sonuç olarak, Rekabet Kurumu bu kararda da, teşebbüs tarafından GDPR kapsamında öne sürülen yetkisizlik argümanlarını kabul etmemiştir.
Rekabet Kurumu tarafından Groupe SEB’de yapılan yerinde inceleme kapsamında, halihazırda farklı bir ülkede yönetici pozisyonunda çalışmakta olan eski Türkiye yöneticisinin o döneme ait e-postalarına erişim talep edilmiştir. Ancak bu talep, eski yöneticinin posta kutusundaki verilerin ilgili yerel mevzuat ve GDPR kapsamında korunduğu gerekçesiyle teşebbüs yetkilileri tarafından reddedilmiştir. Yerinde incelemenin ertesi günü, teşebbüs tarafından e-postalara uzaktan erişim sağlanarak inceleme yapılmak üzere yetkililer davet edilmiş ve inceleme tamamlanmıştır. Rekabet Kurulu tarafından yapılan değerlendirme sonucunda, (i) uzmanlar tarafından özellikle uyarı yapılmasına rağmen bahsi geçen çalışanların uyarıdan sonra binayı terk etmeleri ve bu nedenle bilgisayarlar yerine yalnızca uzaktan erişim yoluyla e-postaların incelenebilmesi, (ii) yerinde incelemenin ilk günü ön araştırma kapsamında önem arz eden eski bir yöneticinin e-postalarına uzaktan erişim talebine olumsuz yanıt verilmesi ve (iii) incelemenin ancak ertesi gün gerçekleştirilebilmesi nedenleriyle yerinde incelemenin engellendiğine karar verilmiş ve idari para cezasına hükmedilmiştir. Bu kararda da Kurum, GDPR kaynaklı itirazları haklı bulmamıştır.
SONUÇ
Rekabet Kurumu’nun yerinde inceleme yetkisi kapsamında teşebbüslerin bilgi ve belgelerini incelerken erişebileceği kişisel veriler bakımından, veri sahiplerinin temel hak ve özgürlüklerinin güvence altına alınması ile Rekabet Kurumu’nun yerinde inceleme faaliyetlerini etkin şekilde yürütebilmesi arasında bir uzlaşının sağlanması gerektiği açıktır. Her ne kadar Rekabet Kurumu’nun söz konusu faaliyetleri KVKK’da düzenlenen tam yahut kısmi istisna hükümleri kapsamında değerlendirilebilecek olsa da, kısmi istisna halinde yalnızca aydınlatma yükümlülüğüne, Veri Sorumluları Sicili’ne kayıt yükümlülüğüne ve zararın giderilmesini talep etme hakkı hariç olmak üzere ilgili kişinin haklarına dair madde hükümleri uygulanmayacaktır. Bu durumda, özellikle AB düzenlemelerinden farklı olarak KVKK’da çok katı bir şekilde koruma altına alınan sağlık ve cinsel hayata ilişkin verilerin işlenmesinin ‘işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma’ ilkesi ile uyumlu olup olmadığı ve açık rıza yükümlülüğünün nasıl yerine getirileceği hususları belirsizliğini korumaktadır.
Her halükârda Rekabet Kurumu, inceleme kapsamındaki veri işleme faaliyetleri bakımından KVKK’da yer alan temel ilkelere kati suretle uygun şekilde hareket etmelidir. Rekabet Kurumu bu konuda yetkililerini de düzenli aralıklarla eğitimlere / sınavlara tabi tutarak hem kurum içi farkındalık ve bilgi düzeyini en yüksek seviyeye çıkarmalı hem de sahada meydana gelebilecek hukuka aykırı veri işlemenin önüne geçmelidir. Ayrıca Rekabet Kurumu şüphesiz ki, konu hakkında gerekli her türlü teknik ve idari tedbirin alınmasını da temin etmelidir.
Elbette bu noktada, teşebbüslerin de kişisel verilerin toplanması aşamasından itibaren tüm işleme faaliyetleri bakımından KVKK ve ilgili sair mevzuata uyumlu hareket etmeleri, çalışanlarını / yetkililerini konu hakkında eğitmeleri ve teşebbüsler tarafından çalışanlarına / yetkililerine teslim edilen cihazlara veya erişim sağlanan sair sistemlere şahsi bilgilerin girilmemesi hususlarında gerekli uyarıları yapmaları ve teknik ve idari tedbirleri almaları gerektiği tartışmasızdır. Son olarak, yetkili kurumlar arasında sağlanacak etkin iletişim ile uygulamada meydana gelebilecek belirsizliklerin giderilmesi ayrıca önem arz etmektedir.
[1]“AB Genel Veri Koruma Tüzüğü (Generel Data Protection Regulation)”, Erişim Tarihi:12 Temmuz 2020
https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=OJ:L:2016:119:FULL
[2] “7 Nisan 2016 tarihli ve 29677 sayılı Resmi Gazete’de yayımlanan 6698 sayılı Kişisel Verilerin Korunması Kanunu”, Erişim Tarihi: 12 Temmuz 2020
https://www.mevzuat.gov.tr/mevzuat?MevzuatNo=6698&MevzuatTur=1&MevzuatTertip=5
[3] “13 Aralık 1994 tarihli ve 22140 sayılı Resmi Gazete’de yayımlanan 4054 sayılı Rekabetin Korunması Hakkında Kanun”, Erişim Tarihi: 12 Temmuz 2020
https://www.mevzuat.gov.tr/mevzuat?MevzuatNo=4054&MevzuatTur=1&MevzuatTertip=5
[4] “24 Haziran 2020 tarihli ve 31165 sayılı Resmi Gazete’de yayımlanan 7246 sayılı Rekabetin Korunması Hakkında Kanunda Değişiklik Yapılmasına Dair Kanun”, Erişim Tarihi: 12 Temmuz 2020
https://www.resmigazete.gov.tr/eskiler/2020/06/20200624-1.htm
[5] KVKK’nın 3. maddesinin 1. fıkrasının (e) bendi uyarınca ‘kişisel verilerin işlenmesi’, kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade etmektedir.
[6] Kişisel Verileri Koruma Kurumu, “Kişisel Verilerin İşlenme Şartları”, s.3, Erişim Tarihi: 12 Temmuz 2020 https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/8c90423f-97ea-4d81-a7c1-ace74295c2b8.pdf
[7] KVKK’da düzenlenen yükümlülükleri yerine getirmeyen veri sorumluları hakkında, Kişisel Verileri Koruma Kurulu tarafından KVKK’da öngörülen idari para cezalarının uygulanmasına karar verilebilmektedir. Ayrıca, genel olarak kişisel verilerin hukuka aykırı olarak kaydedilmesi, ele geçirilmesi, bir başkasına verilmesi, yayılması ve yok edilmemesi eylemlerinin 5237 sayılı Türk Ceza Kanunu kapsamında suç teşkil etmesi halinde, ilgili kişiler bakımından hapis cezasına hükmolunması da söz konusudur. GDPR’a aykırılık halinde ise her ne kadar hapis cezası öngörülmemiş olsa da, ihlâle sebebiyet verenin bir önceki mali yıla ait global cirosunun %4’ü veya 20,000,000 Avro’dan hangisi yüksek ise o tutar olacak şekilde çok ağır idari para cezası yaptırımları düzenlenmiştir.
[8] Kişisel Verileri Koruma Kurumu, “Örneklerle Kişisel Verilerin Korunması”, s.50, Erişim Tarihi: 12 Temmuz 2020 https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/a23bfe08-9b3a-4c2f-8a97-a259dcc0e667.PDF
[9] “24 Haziran 2020 tarihli ve 31165 sayılı Resmi Gazete’de yayımlanan 7246 sayılı Rekabetin Korunması Hakkında Kanunda Değişiklik Yapılmasına Dair Kanun”, Erişim Tarihi: 12 Temmuz 2020
https://www.resmigazete.gov.tr/eskiler/2020/06/20200624-1.htm
[10] TBMM, “Rekabetin Korunması Hakkında Kanunda Değişiklik Yapılmasına Dair Kanun Teklifi (2/2875) ve Sanayi, Ticaret, Enerji, Tabii Kaynaklar, Bilgi ve Teknoloji Komisyonu Raporu”, s.10, Erişim Tarihi: 12 Temmuz 2020
[11] Kanunun teklifi hakkındaki TBMM Komisyon görüşmelerinde, milletvekilleri tarafından Rekabet Kurumu’na böylesine kapsamlı bir yetki verilirken hem kişisel veriler hem de ticari sırlar için ilave güvencelerin sağlanması gerektiği ve bu kapsamda veri güvenliği, gizlilik ve kişisel verilerin yeterli düzeyde korunabilmesi ve hukuki güvenliğin sağlanabilmesi için ilgili Rekabet Kurumu personeli hakkında kullandıkları yetkinin ağırlığı ile orantılı yaptırımlar öngörülmesinin isabetli olacağı belirtilmiştir. “Malatya Milletvekili Bülent Tüfenkci ve 110 Milletvekilinin Rekabetin Korunması Hakkında Kanunda Değişiklik Yapılmasına Dair Kanun Teklifi (2/2875) ve Sanayi, Ticaret, Enerji, Tabii Kaynaklar, Bilgi ve Teknoloji Komisyonu Raporu”, Erişim Tarihi: 12 Temmuz 2020
[12] Rekabetin Kanunu’nun ‘İdari Para Cezası’ başlıklı 16. maddesi ve ‘Nispi İdari Para Cezası’ başlıklı 17. maddesi uyarınca, Erişim Tarihi: 12 Temmuz 2020
https://www.rekabet.gov.tr/tr/Sayfa/Mevzuat/4054-sayili-kanun
[13] İşbu çalışmanın konusu Rekabet Kurumu’nun yerinde inceleme yetkisinin KVKK ve alt düzenlemeleri bakımından değerlendirilmesi ile sınırlı olup; uygun olduğu ölçüde yalnızca KVKK ile birlikte değerlendirme yapabilmek amacıyla GDPR ve sair AB düzenlemelerine de yer verilmiştir.
[14] KVKK’nın 28. maddesi uyarınca, Erişim Tarihi: 12 Temmuz 2020
[15] Örneğin, suç gelirlerinin aklanması, terörizmin finansmanının önlenmesi ve mali suçların araştırılması konusunda yetkili birimlerce veri toplamak, mali istihbarat elde etmek, şüpheli işlem bildirimleri almak ve analiz ederek ilgili kurumlarla paylaşmak amacıyla yürütülen faaliyetler kapsamında işlenen veriler KVKK kapsamı dışındadır.
[16] Örneğin, Bankacılık Düzenleme ve Denetleme Kurumu (BDDK) ile Radyo ve Televizyon Üst Kurulu (RTÜK) gibi düzenleyici denetleyici kurumların; kanunun verdiği yetkiye dayanılarak denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması durumlarında, sadece bu görevleri kapsamında işlediği kişisel verilerle sınırlı olmak üzere KVKK’nın 10., 11. ve 16. madde hükümlerinin uygulanması zorunlu değildir.
[17] KVKK’nın 6. maddesi uyarınca kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.
[18] Rekabetin Kanunu’nun 15. maddesi uyarınca Rekabet Kurumu’na tanınmış yerinde inceleme yapma yetkisi örnek olarak gösterilebilir.
[19]Özel nitelikli kişisel verilerin işlenmesi bakımından Kişisel Verileri Koruma Kurulu’nun 31.01.2018 tarihli ve 2018/10 sayılı "Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler"
başlıklı kararına uygun hareket edilmelidir.
[20]Kişisel Veriler Bakımından Gerçek Kişilerin Korunmasına ve Bu Verilerin Serbest Dolaşımına İlişkin Tüzük, Erişim Tarihi: 12 Temmuz 2020 https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32018R1725
[21]European Commission Competition Directorate-General, “Antitrust Correspondence Privacy Statement”, Erişim Tarihi: 12 Temmuz 2020 https://ec.europa.eu/competition/general/privacy_statement_antitrust_en.pdf
European Commission Competition Directorate-General, “Mergers Privacy Statement”, Erişim Tarihi: 12 Temmuz 2020 https://ec.europa.eu/competition/general/privacy_statement_mergers_en.pdf
European Commission Competition Directorate-General, “State-aid correspondence Privacy Statement”, Erişim Tarihi: 12 Temmuz 2020 https://ec.europa.eu/competition/general/privacy_statement_state_aid_en.pdf
[22]Karar, AB veri koruma otoritesi olan EDPS’nin (European Data Protection Supervisor) de görüşü alınarak oluşturulmuştur. Bkz. European Commission, “Commission Decision (EU) 2018/1927 of 5 December 2018 laying down internal rules concerning the processing of personal data by the European Commission in the field of competition in relation to the provision of information to data subjects and the restriction of certain rights, Recital 20”, Erişim Tarihi: 12 Temmuz 2020
https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32018D1927&from=EN
[23]European Commission, “Commission Decision (EU) 2018/1927 of 5 December 2018 laying down internal rules concerning the processing of personal data by the European Commission in the field of competition in relation to the provision of information to data subjects and the restriction of certain rights,Erişim Tarihi: 12 Temmuz 2020 https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32018D1927&from=EN
[24] Wojciech Rafał Wiewiórowski, “Investigative activities of EU institutions and GDPR”, Erişim Tarihi: 12 Temmuz 2020 https://edps.europa.eu/sites/edp/files/publication/18-10-30_letter_investigative_activities_eui_gdpr_en.pdf
[25] Bkz. GDPR’nin 6. maddesinin 1. fıkrasının (c) bendi
[26] Bkz. GDPR’nin 6. maddesinin 1. fıkrasının (f) bendi
[27] Rekabet Kurulu’nun 07.11.2019 tarih ve 19-38/584-250 sayılı kararı
[28] Danıştay 13. Dairesi’nin 22.03.2016 tarih ve E. 2011/2660, K. 2016/775 sayılı kararı
[29] Rekabet Kurulu’nun 07.11.2019 tarih ve 19-38/581-247 sayılı kararı
[30] Rekabet Kurulu’nun 09.01.2020 tarih ve 20-03/31-14 sayılı kararı