Yerinde İncelemelerde Dijital Verilerin İncelenmesine İlişkin Kılavuz: Dijital veriler tamam da, ya kişisel veriler?

Haziran ayında yürürlüğe giren 7246 sayılı Rekabetin Korunması Hakkında Kanunda Değişiklik Yapılmasına Dair Kanun ile 4054 sayılı Rekabetin Korunması Hakkında Kanun’da çeşitli değişiklikler yapılmış, bizde bu değişiklikleri yine buradan değerlendirmiştik. Hatırlanacağı üzere 7246 sayılı Kanun; muafiyet, de minimis, birleşme ve devralma testi, davranışsal ve yapısal tedbirler ile taahhüt ve uzlaşma mekanizmaları olmak üzere bazı değişiklikler öngörmüştü. Aynı zamanda, bu değişikliklerin bir kısmına ilişkin yönetmelik, tebliğ gibi ikincil mevzuatı hazırlamak konusunda da Rekabet Kurulu’na (Kurul) görev yüklemişti. 7246 sayılı Kanun sonucu Kurul, de minimis ve taahhüt mekanizmasına ilişkin tebliğ, uzlaşma mekanizmasına ilişkin ise yönetmelik yayınlayacaktı. Bu doğrultuda Kurul, işe de minimis ile başlamış ve 23 Ekim tarihinde de minimis’e ilişkin bir tebliğ taslağı hazırlayarak kamuoyuyla paylaşmıştır. Öte yandan, bu taslaktan iki hafta önce ise Kurul, yerinde inceleme yetkisi kapsamında elde edeceği dijital verilere ilişkin 8 Ekim tarihli bir kılavuz yayınladı. O halde biz de ilk önce kılavuzu ele alalım, de minimis’i ise başka bir yazımıza bırakalım.

Bilişim teknolojilerinde yaşanan gelişmeler sonucu ticari defterler ve muhasebe kayıtları elektronik ortama taşınmaya başlamış, güvenli e-imza ile sözleşmeler elektronik ortamda yapılır hale gelmiş, genel olarak belgelerin elektronik ortamda tutulması yaygınlaşmıştır. Bu gelişim ile paralel olarak rekabet ihlalinin varlığını gösteren delillere şirket bilgisayarlarında, e-maillerde, WhatsApp sohbetlerinde vs. rastlanır hale gelmiştir. Böyle olunca da teşebbüslere ait bilgisayarların, serverların, bulut servislerinin, hatta teşebbüslerin yönetici veya çalışanlarının kullandığı akıllı telefonların rekabet otoritelerince incelenmesi zaruri hale gelmiştir. Bu gerçeğe uygun olarak, 7246 sayılı Kanun ile Kurul’a elektronik ortamda tutulan verileri (dijital veri) inceleme ve bunların örneğini alma yetkisi verilmiştir. Bu değişikliğin ardından Kurul da, yerinde inceleme yetkisi kapsamında teşebbüslerden talep edilebilecek dijital verilere ilişkin usulleri içeren “Yerinde İncelemelerde Dijital Verilerin İncelenmesine İlişkin Kılavuz”u (Kılavuz) yayınlamıştır.

Kılavuzda raportörlerin (görevli meslek personelinin) yerinde incelemeler sırasında dijital verilere nasıl erişeceğine, bu verileri nasıl kopyalayacağına, nerede inceleyeceğine ve nasıl saklayacağına ilişkin açıklamalar yer almaktadır. Kılavuz ağırlıklı olarak raportörler için hükümler içerse de, teşebbüslere de birtakım yükümlülükler yüklemektedir (prg.5), örneğin inceleme yapabilmek için raportörlere sistem yöneticisi yetkilerini sağlamak, çalışanların e-maillerine uzaktan erişim hakkı tanımak, bilgisayar ve sunucuları ağ ortamından izole etmek vs. Kılavuzda belirtilmemişse de yükümlülüklerin ihlali durumunda, yerinde incelemenin engellenmesi nedeniyle teşebbüse cirosunun binde beşi oranında idari para cezası; yerinde incelemenin engellendiği her gün için de nispi (süreli) idari para cezası verilebilecektir. Kılavuzda yerinde incelemelerde adli bilişim araçlarından (forensic IT tools) yararlanılabileceği ortaya koyulmuştur. Buna ek olarak, elde edilen delillerin teşebbüsün ticari sırlarını içermesi halinde 2010/3 sayılı Tebliğ kapsamında işlem yapılacağı (prg.11), avukat-müvekkil yazışmalarının gizliliğine de saygı duyulacağı (prg.12) belirtilmiştir.

Kılavuz uyarınca raportörler, sadece teşebbüse ait bilgisayarları veya diğer cihazları değil, aynı zamanda teşebbüs yönetici ve çalışanlarının akıllı telefon, tablet gibi cihazlarını da inceleyebilecektir. Bu bağlamda bu cihazlarda yer alan WhatsApp gibi mesajlaşma uygulamalarındaki sohbetler incelenebilecektir. Aslında Kılavuz öncesi Kurul kararlarında da WhatsApp yazışmalarının delil olarak değerlendirildiğine rastlanmaktaydı. Genellikle WhatsApp yazışmaları, şirket hatlarını (SIM kartlarını) kullanan telefonlardan veya çalışanların bilgisayarlarından WhatsApp Web üzerinden elde edilmişti. Ancak Kurul bir kararında, mehaz AB rekabet hukuku uygulamasına atıfta bulunarak teşebbüsün faaliyetlerini yürütmek amacıyla kullanılması koşuluyla, teşebbüs yönetici ve çalışanlarının telefonlarının da incelenebileceğini belirtmekten de geri durmamıştı. Kılavuz ile birlikte şahsi hatları kullanan telefonlardan elde edilen teşebbüse ait bilgilerin de açıkça delil olarak kabul edilmesinin önü açılmıştır. Zaten Kılavuzun en çok tartışılan düzenlemesi de “taşınabilir iletişim araçları”nın incelenmesidir (prg.4).

Taşınabilir iletişim araçlarının incelenmesi kapsamında Kılavuz, “teşebbüse ait dijital veri içerdiği tespit edilen cihazlar” ile “tümüyle şahsi kullanıma özgü olduğu tespit edilen cihazlar” şeklinde bir ayrım yapmaktadır. Buna göre teşebbüse ait dijital veri içerdiği tespit edilen cihazlar incelenebilecekken, tümüyle şahsi kullanıma özgü olduğu tespit edilen cihazlar inceleme konusu yapılmayacaktır. Bu incelemenin nasıl hayata geçirileceği noktasında ise Kılavuz, “hızlı gözden geçirme” şeklinde bir kritere gönderme yapmaktadır. Bu kriter, ABD rekabet hukukunda bir anlaşmanın makul olmayan sınırlamalar içerip içermediğini tespit etmek amacıyla başvurulan “quick look” analiziyle ismen benzerlik taşısa da, ondan çok farklı bir işlev görmektedir. Kılavuzdaki düzenleme sonucu raportörler, telefonların ya da hatların mülkiyetinin kime ait olduğuna dair itirazlarla bağlı olmaksızın, doğrudan içeriğin şahsi olup olmadığına bakacaktır. Kılavuzdan anlaşıldığı kadarıyla bu saptama raportörlerin takdirine bırakılmıştır. Yani hangi verinin şahsi olup olmadığına bizzat raportörler karar verecektir.

Aslında “hızlı gözden geçirme”, ilk bakışta kendi içerisinde belli bir mantığa dayanan makul bir kritere benzemektedir. Raportörler telefondaki bilgilere “hızlıca”, yani detaylı ve uzun süreli olmayacak şekilde göz atacak, bunun sonucunda şahsi bilgileri bir kenara bırakarak bir daha onlara geri dönmeyecektir. Örneğin yöneticilerin aile üyeleri veya arkadaşları ile yazışmaları veya sosyal medya hesaplarından paylaştıkları, muhtemelen şahsi nitelik taşıyacağından yerinde incelemenin konusunu oluşturmayacaktır. Buna karşın yöneticilerin, diğer yöneticiler veya çalışanlarla olan yazışmaları veya oluşturdukları sohbet grupları ise muhtemelen şahsi olmaktan ziyade teşebbüse ait veriler içerecektir. Burada “hızlıca gözden geçirilen” bilgilerin yukarıdaki tasnife tabi tutulması çok da zor olmayacaktır. Yöneticilerin aile üyeleri veya arkadaşları ile olan yazışmalarında şirketi ilgilendiren bilgilere yer verilmesi (yani “business” konuşulması) düşük bir ihtimaldir. Bu nedenle esas incelenecek olanın, şahsi bir telefonda bulunan ancak şahsi olmayan, yani teşebbüse ait olma ihtimali yüksek, kurum içi yazışmalar olacağı ortadadır –ki Kurul da yaptığı bir basın açıklamasında bunun altını çizmiştir.

Burada esas sorun, bu tasnifin yapılmaya çalışılması sırasında kişisel verilerin raportörlerin erişimine açılmak durumunda kalmasıdır. En nihayetinde bir verinin şahsi olup olmadığını tespit edebilmek için raportörlerin o veriye, “hızlıca” da olsa, bakması gerekmektedir. Bu da bu kriterin en zayıf tarafını oluşturmaktadır. Bir kez bakıldıktan sonra, verinin şahsi olup olmaması yöneticiler veya çalışanlar açısından önem taşımamaktadır. Bu nedenle kişisel verilerin korunması bağlamında “hızlı gözden geçirme” hususunun sorun oluşturabileceğini söylemek mümkündür. Kişisel veri içerebileceği gerekçesiyle şahsi telefonların hiçbir suretle rekabet soruşturmalarında incelenemeye-ceğini savunmak şahsi telefonlara bağışıklık tanımak anlamına geleceğinden, rekabet ihlallerinin bu telefonlar üzerinde koordine edilmesine zemin hazırlayacaktır. Öte yandan, rekabet ihlaline dair delil bulmak adına raportörlerin, günümüzde belki de en mahrem bilgilerimizi sakladığımız akıllı telefonlarımızın altından girip üstünden çıkması da raportörlere sınırsız (ve gereksiz) bir hareket alanı verecektir. Burada bir dengenin sağlanması gerektiği açıktır. Kılavuzun bunu başarıp başarmadığı ise tartışmalıdır.

Kurul adına yerinde inceleme yapan raportörlere tanınan “hızlı gözden geçirme” yetkisine ilişkin Kılavuzda herhangi bir sınırlamaya yer verilmemiştir. Örneğin raportörler acaba telefonlardaki sosyal ağları ve bu ağlar üzerinden yapılan paylaşımları veya mesajlaşmaları hızlıca gözden geçirebilecek midir? Notlara ya da takvime de erişebilecek midir? Mesela 2004 sayılı İcra ve İflas Kanunu uyarınca borçluya ait tüm mallar takip konusu yapılamamakta olup, borçlunun hangi mallarının haczedilemeyeceğine dair kurallar bulunmaktadır (m.82-83). Benzer bir sınırlamanın, telefonlardaki hangi içeriğin yerinde inceleme kapsamında incelenemeyeceğine dair de öngörülmesi faydalı olacaktır. Teşebbüslere hukuki belirlilik sağlamak amacıyla hazırlanması gereken bir kılavuzda, tam tersine belirsizliğe yol açabilecek bir düzenlemeye yer verilmesi isabetli değildir. Özel bir sınırlama öngörülmediği için buradaki sınırlama ceza hukukunun genel hükümlerine tabi olacaktır. Örneğin yöneticinin, eşinden boşanmakta olduğuna dair bir yazışmayla karşılaşan bir raportörün bu haberi tweet atması halinde, söz konusu yönetici 5237 sayılı Türk Ceza Kanunu’ndaki kişisel verilerin hukuka aykırı olarak ele geçirilmesi suçu uyarınca failler hakkında suç duyurusunda bulunabilecektir (m.136-137).

Peki, ne yapılabilir? Öncelikle konu, hazır 7246 sayılı Kanun yasalaşırken düzenlenebilirdi. Ancak adı geçen kanunda yer verilmemiş olması sonucu, Kurul’un ikincil mevzuatta meseleyi ele almaya çalışması anlaşılabilir olsa da, hukuk tekniği açısından sorunludur. 4054 sayılı Rekabetin Korunması Hakkında Kanun nasıl rekabeti koruyorsa, 6698 sayılı Kişisel Verilerin Korunması Kanunu da adı üzerinde kişisel verileri korumaktadır. Kılavuzla birlikte, hukuken kanun düzeyinde korunan bu iki değerin birbirleriyle çatışma riski doğmuştur. Konunun Rekabetin Korunması Hakkında Kanun ile Kişisel Verilerin Korunması Kanunu arasındaki genel-özel kanun ilişkisine göre çözülmesi gerekirken, kişisel veriler açısından sorunlu bir kritere bir kılavuzda yer verilmesi normlar hiyerarşisine de aykırılık oluşturmaktadır. Bu kritere dayanılarak şahsi kullanıma özgü telefonlardan toplanan teşebbüse ait verilerin hükme dayanak oluşturduğu Kurul kararlarının, idari yargıda iptal edilme riski olduğu söylenebilir. Meseleyi çözüme kavuşturabilecek bir yasa değişikliğinin olmaması halinde, son tahlilde Danıştay içtihadının nasıl şekilleneceğini beklemek gerekecektir.