Güncel Kararlar Işığında Rekabet Kurumu Yerinde İncelemeleri Sırasında Veri Silinmesinin Değerlendirilmesi

Kurul’un Yerinde İncelemelere İlişkin Yerleşik Yaklaşımına Örnekler

Kurul, tarihsel olarak yerinde incelemelerin etkin şekilde yürütülmesini engelleyebilecek veya uzmanlar açısından zorluk yaratabilecek her türlü davranışa karşı son derece katı bir yaptırım yaklaşımı benimsemektedir. Kurul, bu tür vakaları büyük bir hassasiyetle ele almakta ve çoğu durumda yaptırım uygulamaktadır. Bu kapsamda, Kurul’un belirli fiilleri ihlal olarak nitelendirdiği bazı kararlar aşağıda örnekleyici nitelikte sunulmaktadır.

Kurul’un Balparmak Kararı[1], teşebbüs çalışanlarının yerinde inceleme başladıktan sonra bazı e-postaları sildiği tespitine ilişkindir. Silinen verilerin bir kısmı sonradan geri getirilerek incelenmiş olsa da Kurul, bu durumun söz konusu davranışın incelemeyi engelleyici veya zorlaştırıcı niteliğini ortadan kaldırmadığını değerlendirmiştir. Kurul, aksi yöndeki bir yaklaşımın, silme işleminin tespit edilemediği durumlarda teşebbüslerin ödüllendirilmesi sonucunu doğuracağını belirtmiştir.

Benzer şekilde, Tahsildaroğlu Kararı[2] kapsamında, çalışanların yerinde incelemenin başlamasının ardından veri sildiği belirlenmiştir. Silinen verilerin bir kısmı geri getirilmiş olmasına rağmen Kurul, bu silme işlemini delil gizleme niyetiyle gerçekleştirildiğini değerlendirmiş ve verilerin geri getirilebilmiş olmasının incelemenin engellenmesi veya zorlaştırılması sonucunu ortadan kaldırmadığına hükmetmiştir.

Birbirine benzer nitelikteki bu iki kararda da Kurul, ilgili teşebbüsler hakkında idari para cezası uygulamıştır. Anılan kararlar, Kurul’un yerinde incelemeler sırasında veri silinmesine ilişkin genel yaklaşımını ve yerleşik uygulamasını açık biçimde ortaya koymaktadır.

Samsung ve Balsu Kararları

Kurul’un yerleşik uygulamasının aksine, Balsu Kararı[3] ve Samsung Kararı[4] kararlarında farklı bir yaklaşım benimsediği görülmektedir. Yukarıda belirtildiği üzere, Kurul’un geleneksel yaklaşımı, veri silinmesini, niyet veya içerikten bağımsız olarak, başlı başına engelleyici bir davranış olarak kabul etmektedir. Ancak bu iki karar, söz konusu yaklaşım çizgisinden ayrılmaktadır.

Balsu Kararı’nda, yerinde incelemenin başlamasından sonra yaklaşık 1.500 e-posta teşebbüs çalışanları tarafından silinmiştir. Uzmanlar silinen verileri tespit ederek geri getirmiş, e-postaları incelemiş ve herhangi bir ihlal bulgusuna rastlamamıştır. 

Kurul, silinen e-postaların geri getirilebilmesi suretiyle veri bütünlüğünün korunduğunu ve yerinde incelemenin herhangi bir veri kaybı olmaksızın tamamlandığını vurgulamıştır. Ayrıca, geri getirilen verilerde ihlale ilişkin herhangi bir bulguya rastlanmamış olmasının, silme işleminin incelemeyi engelleyici veya zorlaştırıcı olarak değerlendirilmemesi gerektiği belirtilmiştir. Bu gerekçelerle, Balsu hakkında herhangi bir idari para cezası uygulanmamıştır.

Benzer bir gerekçelendirme Samsung Kararı’nda da benimsenmiştir. Bu kararda, yerinde inceleme başladıktan sonra çalışanlar tarafından kullanılan “Knox Teams” adlı şirket içi mesajlaşma uygulamasındaki bazı mesajların silindiği tespit edilmiştir. Teşebbüs, mesajların sohbet gruplarından çıkılması hâlinde otomatik olarak silindiğini ve gruptan çıkan çalışanların yerinde incelemeden haberdar olmadığını ileri sürmüştür. Önemli olarak, silinen mesajların diğer çalışanların cihazları üzerinden erişilebilir olduğu ve raportörler tarafından incelendiği anlaşılmıştır.

Kurul, sohbet gruplarından çıkılması sonucunda gerçekleşen otomatik silme işleminin veri silme kastını ortaya koymadığını değerlendirmiştir. Ayrıca, mesajlara erişimin ve incelemenin mümkün olması ile içerikte herhangi bir ihlal bulgusunun bulunmaması birlikte değerlendirildiğinde, söz konusu davranışın yerinde incelemeyi engelleyici veya zorlaştırıcı olarak nitelendirilemeyeceği sonucuna varmıştır. Bu doğrultuda ve Balsu Kararı ile uyumlu şekilde, idari para cezası uygulanmamıştır.

Bu yönüyle Balsu ve Samsung kararları, Kurul’un belirli ve istisnai durumlarda, veri silinmesinin her hâlükârda ihlal teşkil ettiği yönündeki katı yaklaşımından ayrılabildiğini; veri bütünlüğünün korunması, veriye erişilebilirlik ve silinen içeriklerde ihlale ilişkin bulgu bulunmaması gibi unsurları dikkate alabildiğini göstermektedir. Bu bağlamda, Kurul’un söz konusu kararlarında daha analiz temelli bir yaklaşım benimsediği söylenebilir.

Coca-Cola Kararı

Kurul’un güncel tarihli Coca-Cola Kararı[5], yerinde incelemenin başlamasından sonra çalışanlar tarafından WhatsApp mesajlarının silindiğini tespit etmiştir. Ayrıca bir çalışanın, “P.G.” olarak kayıtlı bir kişiyle yaptığı WhatsApp yazışmasında gönderdiği bir mesajı sildiği ve hemen ardından karşı tarafa, “Bu mesajı sildiğin görünüyor mu?” şeklinde soru yönelttiği; karşı tarafın ise “Evet, görünüyor” yanıtını vererek silme işlemini teyit ettiği belirlenmiştir.

Coca-Cola, silinen WhatsApp gruplarının aile üyeleri arasındaki özel yazışmalardan oluştuğunu ileri sürmüş ve inceleme sırasında bazı gruplara ait örnek mesajlar sunmuştur. Ancak ne çalışanlar ne de teşebbüs, silinen verileri veri bütünlüğünü koruyacak şekilde silinen verilerin tümünün geri getirilmesini sağlayamamıştır.

Yerinde incelemenin ardından Coca-Cola, Kurum’a sunduğu yazılı savunmasında, WhatsApp ve benzeri mesajlaşma uygulamalarının bilgi güvenliği politikaları kapsamında iş amaçlı kullanımının yasak olduğunu ve yapılan iç denetimlerde çoğu cihazda işle ilgili WhatsApp yazışmasına rastlanmadığını ileri sürmüştür. Silinen mesajların tamamen kişisel nitelikte olduğunu, grup isimlerinin de bu durumu yansıttığını ve “P.G.”nin Coca-Cola çalışanı olmadığını savunmuştur. Ayrıca, dört WhatsApp grubuna ve P.G. ile yapılan yazışmaya ilişkin olarak, diğer katılımcıların cihazlarından “sohbeti dışa aktar” fonksiyonu aracılığıyla elde edildiği iddia edilen kayıtların, arşivden geri getirilmesi yoluyla Kurul’a sunmuştur.

Kurul, sunulan yazışmaların özel hayata ilişkin olduğu izlenimi verdiğini kabul etmekle birlikte, bu materyallerin silinen sohbetlerin tamamını veri bütünlüğünü koruyacak şekilde ortaya koymadığını vurgulamıştır. Yerinde inceleme sırasında, Coca-Cola’nın sonradan sunduğu belgelerde yer almayan ek WhatsApp gruplarının tespit edildiği belirtilmiştir.

Bu nedenle Kurul, teşebbüsün silinen verilerin tamamını eksiksiz şekilde sunamadığı, yalnızca belirli gruplara ilişkin kısmi örnekler ibraz ettiği sonucuna varmıştır. Ayrıca, inceleme sırasında ve sonrasında, silinen verilerin yalnızca grup sohbetlerinden mi yoksa bireysel yazışmalardan mı oluştuğunun tespit edilemediğini belirtmiştir. Dolayısıyla, silinen verilerin münhasıran özel yazışmalardan ibaret olduğu kesin olarak ortaya konulamamıştır.

Bu gerekçelerle Kurul, veri silme işleminin yerinde incelemeyi engellediği veya zorlaştırdığına hükmetmiş ve Coca-Cola hakkında idari para cezası uygulamıştır.

Sonuç

Kurul’un yerinde incelemeler sırasında veri silinmesine ilişkin karar pratiği, gelişmekle birlikte temkinli bir yaklaşımı yansıtmaktadır. Önceki içtihatlarda, incelemenin başlamasından sonra gerçekleştirilen her türlü veri silme işlemi, niyet, içerik veya geri getirilebilirlikten bağımsız olarak, başlı başına engelleyici bir davranış olarak kabul edilmiştir. Buna karşılık, Balsu ve Samsung kararları, veri bütünlüğünün korunması, veriye erişilebilirlik ve ihlale ilişkin bulgu bulunmaması gibi unsurların sınırlı ölçüde dikkate alınabildiğini göstermiş olsa da Coca-Cola Kararı, bu değerlendirmelerin oldukça dar bir çerçevede kaldığını teyit etmektedir.

Silinen verilerin veri bütünlüğünü koruyacak şekilde tam olarak geri getirilemediği veya silme işleminin münhasıran özel yazışmalara ilişkin olduğunun kesin biçimde ortaya konulamadığı durumlarda, Kurul katı yaklaşımını sürdürmekte ve yüksek tutarlı idari para cezaları uygulamaya devam etmektedir. Bu kararlar birlikte değerlendirildiğinde, Kurul’un yalnızca istisnai ve açıkça doğrulanabilir hâllerde esneklik gösterdiği; teşebbüsler ve çalışanların ise yerinde inceleme sırasında gerçekleştirilen her türlü veri silme işleminin yüksek bir risk taşıdığının farkında hareket etmeleri gerektiği sonucuna ulaşılmaktadır.