Akademik Veri Yönetim Sistemi
ERZURUM 2ND INTERNATIONAL CONFERENCE ON SOCIAL SCIENCES, Erzurum, Türkiye, 21 - 23 Kasım 2025, ss.766-767, (Özet Bildiri)
Kişisel Verilerin Koruma Kanunu (KVKK) değerlendirildiğinde kanunda hüküm süren yaklaşımın reaksiyoner değil, proaktif olduğu görülür. Bu tercih doğrudur da. Kişisel verilerin ihlali akla gelmeyen öyle zararlara sebep olabilir ki, tabiri caizse: “Şüyuu vukuundan beterdir”. Bu sebeple de kanun koyucu, vaka ortaya çıktıktan sonra sorunu çözmeye değil, vakanın ortaya çıkmamasını, böylelikle duyulmamasını sağlamaya çalışmıştır.
Kanunun geneline sirayet etmiş bu yaklaşımın sorumluluk bakımından da geçerli olduğunu düşünüyoruz. Taraflar arasındaki anonim güveni korumaya çalışan klasik kusur sorumluluğu hükümlerinin de bir yere kadar sorumluluğu önleyici işlev taşıdığı kabul edilebilir ancak baskın öge, reaktif yani sorun çözücülüktür. Bunun yanında KVKK’nın yapısı incelendiğinde veri sorumlusunun sorumluluğunun kusursuz sorumluluk olması gerektiği fark edilecektir. Buna karşılık, kusursuz sorumluluk hükümlerinin toptan proaktif bir yaklaşıma sahip olduğu da söylenemez. Tehlike sorumluluğu hükümleri, sorumluluğun süjesini her durumda sorumlu tutmaktadır. Buradaki esaslı yaklaşımın proaktif olduğu söylenemez, reaktif bir yaklaşım söz konusudur. Zira üzerinde tehlike sorumluluğu doğacak olan kişi, bir yerden sonra “önlem alsam da aynı, almasam da aynı” diyebilir. Bunun sebebi neredeyse hiçbir şekilde sorumluluktan kurtulamayacak olmasıdır.
Özen sorumluluğu hükümleri ise -pek çoğunda yer alan- kurtuluş kanıtı hükümleri ile birlikte değerlendirildiğinde KVKK’nın ruhuna uygun proaktif yaklaşımı temsil eder görünmektedir. Kanun koyucu tarafından belirlenmiş objektif özeni göstermiş veri sorumlusunun, sorumluluktan kurtulacak olması, veri sorumlusunu önlem almaya iter, tam da bu nokta proaktif yaklaşımın tebarüz ettiği yerdir.
Veri sorumlusunun sorumluluğunun özen sorumluluğu olarak belirlenmesiyle hem veri sorumlusu KVKK m.12/1’deki önlemleri aldığını ispatlayarak sorumluluktan kurtulma imkanına kavuşur hem de ilgili kişinin kişisel verileri proaktif yaklaşım sebebiyle daha iyi korunur. Bu sebeple proaktif yaklaşıma sahip veri sorumlusunun sorumluluğunun, her iki taraf bakımından da elverişli bir çözüm olan ve verileri koruyarak ilgili kişinin daha iyi korunmasına hizmet eden özen sorumluluğu başlığı altında değerlendirilmesi gerektiğini düşünüyorum.
An examination of the Law on the Protection of Personal Data (KVKK) reveals that the law adopts a predominantly proactive rather than reactive approach. This legislative preference is appropriate, as personal data breaches may result in unforeseeable and irreparable harm; indeed, in some cases, the rumour itself may prove more damaging than the actual incident. For this reason, the legislator has aimed not to address violations after they occur, but instead to prevent the occurrence of such violations altogether, thereby ensuring that they do not become known in the first place.
We consider that this overarching approach is equally evident in the provisions concerning liability. Although classical fault-based liability may serve a partially preventive function by safeguarding the implicit trust between parties, its essential nature is reactive, focused on resolving problems after they arise. Moreover, when the structural framework of the KVKK is examined, it becomes apparent that the liability of the data controller is designed to resemble strict liability. However, strict liability, particularly in the form of risk liability—which holds the liable party responsible under nearly all circumstances—cannot be characterised as entirely proactive. Its core rationale remains reactive, as it centres on addressing consequences post-violation. Further, a data controller subject to such liability may eventually conclude that “whether I take precautions or not, the outcome is the same,” given that avenues for escaping liability are severely limited.
When the exemption provisions are taken into account, the care liability model emerges as the approach most consistent with the proactive spirit of the KVKK. The fact that a data controller who demonstrates the objective standard of care prescribed by the legislator may be exempted from liability creates a concrete incentive to adopt preventive measures, thereby foregrounding the proactive dimension of the legal framework.
By characterizing the data controller’s liability as a care liability, the data controller is afforded the opportunity to avoid liability by demonstrating that it has implemented the safeguards required under Article 12/1 of the Personal Data Protection Law (KVKK). At the same time, the data subject’s personal data is better protected as a result of the proactive approach. For this reason, I contend that the liability of a data controller who adopts a proactive approach should be assessed under the heading of the care liability, which constitutes a mutually advantageous solution for both parties and serves to enhance the protection of the data subject through the safeguarding of personal data.