6222 Sayılı Kanun Kapsamında Elektronik Bilet Sistemi ve Kişisel Verilerin Korunması

Giriş

Spor hukukunda elektronik bilet sistemi artık sadece turnikeden geçişi kolaylaştıran teknik bir uygulama değildir. Özellikle profesyonel futbol müsabakalarında bu sistem; güvenliğin sağlanması, seyircinin kimliklendirilmesi, yasaklı kişilerin tespiti, blok bazlı kontrol, kamera entegrasyonu ve kişisel verilerin işlenmesi gibi birçok hukukî sonucu aynı anda doğurmaktadır. Bu nedenle elektronik bilet uygulaması, yalnız spor organizasyonunun bir parçası değil, aynı zamanda spor güvenliği hukuku ile kişisel verilerin korunması hukukunun kesişim noktasında yer alan özel bir rejimdir.

6222 sayılı Sporda Şiddet ve Düzensizliğin Önlenmesine Dair Kanun, elektronik kart ve elektronik bilet sistemini doğrudan kanun düzeyinde düzenlemiş; kulüplere, federasyonlara ve bazı kamu kurumlarına bu sistem üzerinden yetki ve sorumluluk yüklemiştir. Buna karşılık 6698 sayılı Kişisel Verilerin Korunması Kanunu, sistem içinde işlenen kimlik, fotoğraf, giriş-çıkış ve benzeri verilerin hangi sınırlar içinde kullanılabileceğini belirlemektedir.

Dolayısıyla elektronik bilet sistemi iki temel eksende incelenmelidir. Birinci eksen, spor alanlarında güvenliğin sağlanması ve kamu düzeninin korunmasıdır. İkinci eksen ise taraftarların kişisel verilerinin hukuka uygun biçimde işlenmesi, korunması ve gerektiğinde düzeltilmesi veya silinmesidir. Sağlıklı bir hukukî değerlendirme ancak bu iki boyut birlikte ele alındığında mümkündür.

Elektronik Bilet Sisteminin Kanuni Dayanağı

6222 sayılı Kanun’un 5. maddesi, futbolda en üst lig ile bir altındaki ligde seyir alanlarına girişte kullanılacak biletlerin elektronik sistem üzerinden oluşturulacağını düzenlemektedir. Kanuna göre bilet satın almak isteyen kişiler için üzerinde adı, soyadı, T.C. kimlik numarası ve fotoğrafı bulunan bir elektronik kart oluşturulur. Yabancı kişiler bakımından ise T.C. kimlik numarası yerine uyruğu olduğu devletin adı ve Türkiye’ye giriş yaptığı pasaportun seri numarası esas alınır.

Bu düzenleme, spor alanına girişin anonim olmaktan çıkarıldığını göstermektedir. Kanun koyucu artık bilet sahibi ile seyirci arasında açık bir kimlik bağı kurulmasını istemektedir. Böylece stadyuma giren kişinin kim olduğu, hangi blokta yer aldığı ve gerektiğinde hangi disiplin veya güvenlik tedbirlerine tabi olduğu daha kolay tespit edilebilmektedir.

Elektronik kart sistemi, aynı zamanda kişiye özgü bir giriş modeli kurar. Kural olarak kişi, adına düzenlenen elektronik kart ile müsabakaya izleyici olarak girebilir. Bu nedenle sistem, sadece bilet satışı değil, seyirci kimliğinin denetimi ve stadyuma erişim yetkisinin sınırlandırılması açısından da önem taşımaktadır.

Elektronik Bilet Sisteminde Kulüplerin ve Federasyonların Rolü

Elektronik bilet sistemi sadece federasyonun yönettiği merkezi bir teknoloji altyapısı değildir. 6222 sayılı Kanun, spor müsabakasına izleyici olarak girecek kişilerin kontrolünü ev sahibi kulübe yüklemektedir. Ev sahibi olmayan müsabakalarda ise bu yükümlülük müsabakaya katılan iki kulüp tarafından birlikte yerine getirilir. Millî müsabakalarda ise sorumluluk ilgili federasyondadır.

Bu hüküm, kulüplerin yalnız organizasyon yapan pasif aktörler olmadığını gösterir. Kulüpler, elektronik kartın gerçekten kart sahibine ait olup olmadığını, seyir alanına girişin mevzuata uygun yapılıp yapılmadığını ve yasaklı kişilerin sisteme sızıp sızmadığını denetlemekle yükümlüdür. Dolayısıyla elektronik bilet sistemi kulüplerin güvenlik ve organizasyon sorumluluğunun doğrudan bir parçasıdır.

Federasyonlar ise sistemin merkezî denetim ve veri yönetimi ayağında yer alır. Kanuna göre bilet organizasyonu ve seyircilerin giriş-çıkışına ilişkin kontrol ve denetim yetkisi federasyonlara aittir. Bu amaçla federasyon bünyesinde merkezi kontrol sistemi kurulur. Böylece elektronik bilet sistemi, yerel kulüp uygulamaları ile merkezi federasyon denetimini birleştiren hibrit bir model halinde işlemektedir.

Merkezi Veri Tabanı ve Elektronik Kart Rejimi

Elektronik kart sistemi yalnız kart üretmekle sınırlı değildir. 6222 sayılı Kanun, elektronik kart oluşturmak amacıyla alınan kişisel bilgilerin federasyon bünyesindeki merkezi veri tabanında tutulacağını düzenlemektedir. Bu veri tabanı, güvenlik ve denetim amacıyla bazı kamu kurumlarının erişimine de açık tutulmaktadır.

Bu sistemin hukukî önemi büyüktür. Çünkü artık taraftar bilgileri dağınık kulüp kayıtlarında değil, merkezi ve izlenebilir bir veri altyapısında toplanmaktadır. Böylece seyirden yasaklanan kişilerin tespiti, blok bazlı denetim, elektronik kart iptali, giriş yasağı veya güvenlik soruşturması gibi işlemler çok daha hızlı ve sistematik biçimde yapılabilmektedir.

Ancak bu merkezileşme aynı zamanda veri koruma riskini de artırmaktadır. Merkezî veri tabanında yer alan bilgilerin kapsamı, erişim sınırları, güncelliği ve saklama süresi çok dikkatli yönetilmelidir. Aksi halde güvenlik amacıyla kurulan sistem, hukuka aykırı veri işleme ve kişilik haklarına müdahale sorunlarına yol açabilir.

Elektronik Bilet Sistemi ile Kamera ve Kontrol Odası Entegrasyonu

6222 sayılı Kanun, elektronik bilet rejimini kamera ve teknik takip sisteminden bağımsız düzenlememiştir. Kanun, müsabaka ve seyir alanlarında güvenliğin sağlanması ve Kanuna aykırı davrananların tespiti amacıyla gerekli teknik donanımın kurulmasını zorunlu tutmaktadır. Bu kapsamda güvenlik kameraları, kontrol odaları ve teknik izleme altyapısı spor alanlarında önemli bir yere sahiptir.

Özellikle profesyonel futbol liglerinde kontrol odalarının oluşturulması ve kamera kayıtlarının saklanması, elektronik bilet sistemiyle birlikte düşünüldüğünde çok daha büyük anlam taşır. Çünkü kart sahibinin kimliği ile stadyum içindeki hareketliliği, blok bilgisi ve kamera görüntüleri gerektiğinde birlikte değerlendirilebilir. Bu durum güvenlik bakımından güçlü bir sistem kurarken, kişisel veri hukuku açısından daha dikkatli olunmasını da zorunlu kılar.

Bu noktada önemli olan, güvenlik sisteminin ölçülü ve amaçla bağlantılı biçimde işletilmesidir. Kamera sistemi ile elektronik bilet verilerinin bir araya gelmesi, taraftarın yalnız giriş anının değil, müsabaka süresindeki hareketlerinin de dolaylı olarak izlenebilir hale gelmesine yol açar. Bu nedenle aydınlatma yükümlülüğü, veri güvenliği ve veri işleme amacı daha büyük önem kazanır.

Elektronik Bilet Sisteminde İşlenen Kişisel Veriler Nelerdir?

Elektronik bilet sistemi içinde işlenen kişisel veriler, sıradan isim-soyisim bilgisinden ibaret değildir. Sistem kapsamında ad, soyad, T.C. kimlik numarası, yabancılar için pasaport bilgisi, fotoğraf, giriş-çıkış verileri, blok bilgisi, bilet satın alma kayıtları ve yasaklama kararları gibi çok sayıda veri işlenebilir.

Bu verilerin bir kısmı doğrudan kimlik belirleyici niteliktedir. Bir kısmı ise kişinin stadyumdaki hareketlerini, hangi maçlara gittiğini, hangi tribünde yer aldığını ve güvenlik açısından risk taşıyıp taşımadığını ortaya koyabilecek dolaylı verilerdir. Bu nedenle elektronik bilet sistemi basit bir satış verisi değil, kapsamlı bir kişisel veri işleme rejimidir.

Burada önem taşıyan husus, işlenen verilerin kapsamının sistemin amacıyla sınırlı tutulmasıdır. Güvenliği sağlamak için gerekli olandan fazla veri toplanması, ileride işime yarar düşüncesiyle veri biriktirilmesi veya amaç dışı veri kullanımı kişisel verilerin korunması hukukuna aykırılık oluşturabilir.

KVKK Bakımından Hukuki Dayanak

6222 sayılı Kanun, elektronik kart almak amacıyla verilen bilgilerin bu Kanun kapsamındaki faaliyet alanıyla sınırlı olarak işlenebileceğini ve paylaşılan bilgilerin 6698 sayılı Kişisel Verilerin Korunması Kanunu’na aykırı biçimde kullanılamayacağını açıkça belirtmektedir. Bu hüküm, elektronik bilet sisteminin kişisel veri hukuku dışında olmadığını açık biçimde ortaya koymaktadır.

Burada veri işlemenin hukukî dayanağı çoğu durumda yalnız açık rıza değildir. Çünkü 6222 sayılı Kanun, elektronik kart ve veri tabanı sistemini açıkça düzenlemekte, yani veri işleme faaliyetine kanuni zemin hazırlamaktadır. Ancak kanuni dayanak bulunması, veri sorumlusunun KVKK’daki temel ilkelere uymaktan kurtulduğu anlamına gelmez.

Dolayısıyla federasyonlar ve kulüpler, veri işlemenin kanuni dayanağına sahip olsalar bile; verileri belirli, açık ve meşru amaçlarla işlemek, amaçla bağlantılı ve ölçülü davranmak, doğru ve güncel veri tutmak ve gerekli süreden fazla saklamamak zorundadır. Elektronik bilet sisteminin en kritik hukukî dengesi tam burada kurulmaktadır.

Aydınlatma Yükümlülüğü ve Taraftarın Bilgilendirilmesi

Elektronik bilet sistemi bakımından en çok ihmal edilen yükümlülüklerden biri aydınlatmadır. Kişisel verilerin işlenmesi hukuka uygun bir sebebe dayanıyor olsa bile, ilgili kişi yani taraftar, verilerinin hangi amaçla işlendiği konusunda açık şekilde bilgilendirilmelidir.

Aydınlatma yükümlülüğü kapsamında veri sorumlusunun kim olduğu, hangi verilerin hangi amaçla işlendiği, verilerin kimlerle paylaşılabileceği, veri toplama yöntemi ve hukuki sebebi ile ilgili kişinin hakları açıklanmalıdır. Elektronik bilet sisteminde bu yükümlülük özellikle önemlidir; çünkü taraftar çoğu zaman sisteme güvenlik gerekçesiyle veri vermekte, fakat bu verilerin pratikte nasıl dolaştığını tam olarak bilmemektedir.

Bu nedenle kulüpler ve federasyonlar, elektronik kart başvurusu, bilet satın alma, mobil uygulama kullanımı ve stadyuma giriş süreçlerinde açık, sade ve erişilebilir aydınlatma metinleri sunmak zorundadır. Aydınlatma yapılmadan yürütülen veri işleme faaliyeti, sistemin güvenlik amacına rağmen hukukî tartışma yaratabilir.

Taraftarın KVKK Kapsamındaki Hakları

Elektronik bilet sistemi içinde veri sahibi olan taraftar, KVKK anlamında ilgili kişidir ve çeşitli haklara sahiptir. Taraftar, kişisel verilerinin işlenip işlenmediğini öğrenme, işlenmişse buna ilişkin bilgi talep etme, işlenme amacını ve amaca uygun kullanılıp kullanılmadığını öğrenme, verilerinin aktarıldığı üçüncü kişileri bilme, yanlış veya eksik verilerin düzeltilmesini isteme ve şartları varsa verilerinin silinmesini veya yok edilmesini talep etme hakkına sahiptir.

Bu haklar elektronik bilet sistemi bakımından çok somuttur. Örneğin kişi yanlış kimlik bilgisiyle sisteme kaydedilmiş olabilir, fotoğrafı eski olabilir, hakkında süresi dolmuş bir yasak kaydı sistemde kalmış olabilir ya da yanlış blok bilgisi işlenmiş olabilir. Bu gibi durumlarda ilgili kişi, veri sorumlusuna başvurarak düzeltme veya silme talebinde bulunabilir.

Dolayısıyla taraftar, elektronik bilet sistemi karşısında pasif bir kullanıcı değil; veri haklarına sahip aktif bir hukuk süjesidir. Bu hakların kullanılabilir hale getirilmesi, sistemin meşruiyeti açısından zorunludur.

Veri Güvenliği Yükümlülüğü

Elektronik bilet sistemi gibi büyük veri işleme rejimlerinde veri güvenliği, hukukî yapının en kritik unsurudur. Veri sorumlusu, kişisel verilere hukuka aykırı erişimi önlemek, verilerin yetkisiz kişilerce ele geçirilmesini engellemek ve muhafazasını sağlamak için gerekli teknik ve idari tedbirleri almak zorundadır.

Bu çerçevede federasyon, kulüp ve sisteme teknik hizmet veren üçüncü kişiler arasındaki görev dağılımının net olması gerekir. Kim hangi veriye erişecek, hangi personel hangi düzeyde yetkilendirilecek, log kayıtları tutulacak mı, veri sızıntısı halinde kimin ne yapacağı önceden belirlenmelidir. Özellikle merkezi veri tabanı ve e-bilet sistemi büyük sayıda kişisel veri içerdiği için, güvenlik açığı halinde doğacak risk de çok büyüktür.

Bu nedenle elektronik bilet sistemi yalnız spor güvenliği sistemi değil, aynı zamanda güçlü bir siber güvenlik ve veri güvenliği sistemi olmak zorundadır. Aksi halde fiziksel güvenlik amaçlı kurulan yapı, dijital güvenlik zaafı nedeniyle hukukî ihlale dönüşebilir.

Yasaklı Kişilerin Tespiti ve E-Bilet Sistemi

Elektronik bilet sisteminin en önemli işlevlerinden biri, seyirden yasaklanan kişilerin tespit edilmesi ve stadyuma girişlerinin engellenmesidir. 6222 sayılı Kanun, seyirden yasaklı kişilere ilişkin bilgilerin elektronik bilgi bankasına kaydedileceğini ve bu sisteme kulüpler ile federasyonların erişebileceğini düzenlemektedir.

Bu sayede bir kişi hakkında güvenlik tedbiri veya koruma tedbiri olarak seyirden yasaklama kararı bulunuyorsa, e-bilet sistemi bu kişinin stadyuma girişini teknik olarak engelleyebilir. Böylece güvenlik tedbiri, sadece kağıt üzerinde kalan bir karar olmaktan çıkar ve fiilen uygulanabilir hale gelir.

Ancak bu alanda en büyük hukukî risk, yanlış veya güncel olmayan kayıtların sistemde tutulmasıdır. Hakkında beraat kararı verilmiş, kovuşturmaya yer olmadığı kararı çıkmış veya yasağının süresi dolmuş bir kişinin sistemde hâlâ yasaklı görünmesi, ciddi hak ihlaline yol açabilir. Bu nedenle veri güncelliği elektronik bilet sisteminin en kritik hukukî şartlarından biridir.

Ticari Kullanım Riski ve Amaç Dışı Veri İşleme Sorunu

Elektronik bilet sistemi, aynı zamanda büyük bir taraftar veri havuzu oluşturduğu için ticari kullanım riski de taşır. Oysa 6222 sayılı Kanun, kulüpler adına veri paylaşımına imkân tanırken bunun yalnız Kanun kapsamındaki faaliyet alanıyla sınırlı olduğunu açıkça belirtmektedir. Yani güvenlik ve müsabaka organizasyonu için toplanan verilerin, ilgisiz ticari amaçlarla sınırsız kullanılması hukuken tartışmalıdır.

Elbette kulüplerin ve federasyonların taraftarla iletişim kurması, bilgilendirme yapması veya belirli meşru faaliyetleri yürütmesi mümkündür. Ancak bu faaliyetlerin güvenlik amacıyla toplanan verileri ölçüsüz şekilde pazarlama aracına dönüştürmesi, açık hukuki dayanak ve gerekli veri koruma güvenceleri olmaksızın meşru kabul edilemez.

Bu nedenle elektronik bilet sistemi içinde toplanan verilerin hangi amaçla, hangi hukuki sebebe dayanarak ve hangi sınırlar içinde kullanılacağının netleştirilmesi gerekir. Aksi halde sistem, güvenlik amacıyla kurulan meşru bir altyapıdan çıkarak geniş ölçekli ticari veri işleme mekanizmasına dönüşebilir.

Sonuç

6222 Sayılı Kanun kapsamında elektronik bilet sistemi ve kişisel verilerin korunması, birbirinden ayrı iki alan değil; aynı hukukî yapının iki temel unsurudur. Elektronik bilet sistemi, spor alanlarında güvenliğin sağlanması, yasaklı kişilerin tespiti, giriş-çıkış denetimi ve kamu düzeninin korunması bakımından güçlü bir araçtır. Ancak bu sistemin güçlü olması, kişisel verilerin sınırsız biçimde işlenebileceği anlamına gelmez.

Kanun koyucu açık biçimde, elektronik kart ve merkezi veri tabanı sistemini kurarken aynı anda KVKK’ya uygunluk şartını da getirmiştir. Bu nedenle federasyonlar ve kulüpler, veri işleme faaliyetlerini kanuni dayanak, ölçülülük, aydınlatma, veri güvenliği ve ilgili kişi hakları ilkeleri içinde yürütmek zorundadır.

Sonuç olarak elektronik bilet sistemi ancak şu denge korunursa hukukî meşruiyetini sürdürebilir: güvenlik için gerekli veri işlenebilir, ancak bu veri yalnız gerekli olduğu kadar, belirli amaçla, şeffaf biçimde ve güvenli şekilde işlenmelidir. Elektronik bilet sisteminin gerçek hukukî sınırı ve güvencesi tam olarak burada yer almaktadır.