Arabuluculuk Sürecinde Kişisel Veri

Alternatif bir uyuşmazlık çözme yöntemi olan arabuluculuk, bilindiği üzere hukukumuzda birtakım hukuk yargılamalarının dava şartıdır. 6325 s. K kapsamında düzenlenen arabuluculuk prosedürüne dahil edilen dava çeşitliliğinin artırılması ile dava konusu olacak birçok uyuşmazlığın henüz mahkeme önüne gelmeden üçüncü kişilerle paylaşılması söz konusudur. Bu nedenle arabuluculuk faaliyeti yürüten kişi ve kurumların kişisel veri bağlamındaki sorumlulukları da giderek artmaktadır. Bu yazımızda, arabuluculuk sürecindeki kişisel verileri ve arabulucuların bu verilere ilişkin yükümlülüklerini inceleyeceğiz.

Dava şartı olsun olmasın, bir arabuluculuk sürecinin yürütülebilmesi için birtakım bilgilerin arabulucuya sunulması elzemdir. Bu bilgiler en asgari düzeyde dahi başvurucu ve karşı tarafın ad-soyadı, kimlik numaraları ve adresleri, iletişim numaraları ile uyuşmazlık konusu vaka ve talepler olarak karşımıza çıkmaktadır ve tutanağa geçirilmek suretiyle işlenmektedir.

Her ne kadar Kişisel Verileri Koruma Kurumu’nun 05.07.2018 tarih ve 2018/75 sayılı kararı gereği arabulucuların VERBİS’e kaydolma zorunluluğu bulunmasa da yukarıdaki verileri kaydetmek suretiyle işleyen ve saklama yükümlülüğü çerçevesinde depolayan arabulucuların “veri işleyen” ve “veri sorumlusu” sıfatlarını haiz oldukları tartışmasızdır.

6325 s.K m.4’te düzenlenmiş olan gizlilik ilkesi gereğince“Taraflarca aksi kararlaştırılmadıkça arabulucu, arabuluculuk faaliyeti çerçevesinde kendisine sunulan veya diğer bir şekilde elde ettiği bilgi ve belgeler ile diğer kayıtları gizli tutmakla yükümlüdür.”

Ancak bilindiği üzere KVKK kapsamında veri işleyen ve veri sorumlusunun yükümlülükleri veriyi gizli tutmakla bitmemektedir. Kişisel veriyi işleyen ve depolayan arabulucunun veriyi koruma görevinin yanısıra verinin alınış amacı hakkında veri sahibini açık ve net bir şekilde aydınlatma yükümlülüğü de mevcuttur.

Avrupa Birliğinin kişisel verilere ilişkin genel düzenlemesi olan GDPR metninde; arabuluculuğun ihtiyari olması halinde m.6/b ve dava şartı olması halinde m.6/e gereğince bu faaliyet esnasında veri işlemenin hukuka uygunluk karinesinden yararlanması gerekmektedir. Ancak KVKK mevzuatı dahilinde bir hukuka uygunluk karinesinden bahsedilememektedir. KVKK M.5/(c) ve (ç) bentlerinde, yalnızca, işlenen kişisel veri hakkında açık rıza aranmayacağı kanun hükmü altına alındığından, bentlerin kapsamı dahilinde kalan arabuluculuk faaliyetinin genel bir hukuka uygunluk karinesinden yararlanamadığı görülmektedir.

Kişisel verilerin korunmasına ilişkin yasal düzenlemelerin amacı, kişisel verinin gerektiği yerde yalnızca gerektiği kadar kullanılması ve elde edilen daha sonra başka amaçla kullanılamaması olduğundan verinin imhası veya anonimleştirilmesi hususunun da çok önemli olduğu açıktır.

Verinin silinmesi, imhası veya anonimleştirilmesi, saklama süresinin dolmasından sonra veri sorumlusunun sorumluluğunu sona erdiren bir faaliyettir. Hukuk Uyuşmazlıklarında Arabuluculuk Kanunu Yönetmeliği m.20/4’te düzenlendiği üzere “Arabuluculuk ermesi hâlinde, arabulucu, bu faaliyete ilişkin kendisine yapılan bildirimi, tevdi edilen ve elinde bulunan belgeleri, ikinci fıkraya göre düzenlenen tutanağı beş yıl süre ile saklamak zorundadır.” Veri sorumlusu sıfatını taşıyan arabulucu, elindeki kişisel verileri saklama yükümlülüğünü yerine getirirken de oldukça özenli olmalıdır. Nitekim veri sorumlusu, KVKK m.12/1 kapsamında “kişisel muhafazasını sağlamak verilerin amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak” zorundadır.

Muhafaza yükümlülüğünün üçüncü bir kişiye veya kuruma bırakılması halinde veri sorumlusu kendiliğinden sorumluluktan kurtulamamaktadır. Beş yılın sonunda saklama yükümlülüğünün dolması ile başkaca bir amaca hizmet etmesi kararlaştırılmamış kişisel verilerin yok edilmesi gerekir. Bu yok etme işlemi silme, imha veya anonimleştirme yoluyla olabilir. Saklama süresinin dolması suretiyle hukuka uygun veri işleme nedenini yitiren veri sorumlusu arabulucu, yok etme aşamasına geçmediği takdirde de sorumlulukla karşı karşıyadır. Bu nedenle verinin elde edilişi, işlenişi ve depolanışı kadar imhasına yönelik sürecin de özenle takip edilmesi gerekmektedir. Hukuk Uyuşmazlıklarında Arabuluculuk Kanunu Yönetmeliği m.11’de belirtildiği üzere silme, imha veya anonimleştirme yöntemiyle kişisel verinin yok edilmesi işlemi, yok etme yükümlülüğünün doğduğu andan itibaren azami altı ay içinde tamamlanmalıdır.