
İçindekiler
1.Ulusal Ve Uluslararası Düzenlemelerde Kişisel Verilerin Korunması Hukukunun Gelişimi
Bilişim teknolojilerinin hızla ilerlemesi, mal ve hizmetlerin sunulmasında veriye dayalı yönetim anlayışının benimsenmesi ve günlük yaşamın işleyişi içerisinde kişi, kurum ve kuruluşların önemli ölçüde veri işleme faaliyetinde bulunması, kişisel verilerin korunmasına yönelik ihtiyacı artırmıştır. (1)
Günümüzde mal ve hizmetlerin çevrimiçi ortamlara taşınmasıyla kişisel veriler uluslararası faaliyetlerin öznesi olmakta, bu nedenle hem ulusal hem de uluslararası hukuk düzenleri tarafından koruma altına alınmaktadır.
1.1.Kişisel Verilerin Korunması Hukukunda Uygulanan Uluslararası Düzenlemeler
1.1.1. Avrupa İnsan Hakları ve Özgürlüklerinin Korunmasına İlişkin Avrupa Sözleşmesi
Kişisel Verilerin Korunması Hukuku teknoloji çağıyla beraber hayatımıza giren bir alan gibi görünse de aslında temelleri İnsan Hakları ve Özgürlüklerinin Korunmasına İlişkin Avrupa Sözleşmesi’nin Özel ve Aile Hayatına Saygı başlıklı 8.maddesine dayanmaktadır. Sözleşmenin yapıldığı 1950 tarihinde kişisel verilerin korunmasına ilişkin bir ihtiyaç henüz mevcut olmadığından sözleşmede bu konuya ilişkin özel bir düzenleme yapılmamıştır. Zaman içinde teknoloji ve internetin hızla gelişmesi, hizmet sektörünün dijitalleşmesi, kişisel verilerin korunmasını talep etme hakkını temel bir hak statüsüne getirmiş ve bu hak sözleşmenin 8.maddesi kapsamında değerlendirilmeye başlanmıştır.
Aynı zamanda Avrupa İnsan Hakları Mahkemesi geliştirdiği içtihatlarıyla kişisel verileri; ifade özgürlüğü, unutulma hakkı, insan onuruna saygı, bilgi edinme hakkı gibi temel hak ve özgürlüklerle hukuken koruma altına almaktadır.
1.1.2.108 Sayılı Avrupa Konseyi Sözleşmesi (Konvansiyon 108)
Bilişim teknolojilerinin hızla gelişmesi, her gün milyarlarca kişisel verinin işlenerek verinin bir mal varlığı değeri haline gelmesi, gizliliğin hem bireysel hem de sosyal bir değer olarak korunması ihtiyacını doğurmuştur. Kişilerin kendi verilerinin kaderini belirleme özgürlüğüne sahip olmalarının yanında bu verilerin mahremiyetlerinin de sağlanması ihtiyacı beraberinde kişisel verilerin korunmasına yönelik özel bir düzenleme yapılması zorunluluğunu getirmiştir. (Schwartz 2004)
Bu ihtiyaç doğrultusunda uluslararası alanda Kişisel Verilerin Korunması Hukukuna dair atılan ilk somut adım Avrupa Konseyi tarafından hazırlanan 108 No’lu Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi’dir. Sözleşme kişisel verilerin korunmasına ilişkin ilk uluslararası belge niteliğinde olup, Türkiye sözleşmeyi 28 Ocak 1981’de imzalamıştır. Sözleşme çerçeve niteliğinde olduğundan bu sözleşmenin devletlerin iç hukukuna uygulanması devletlerin onay kanunu çıkarmasına bağlıdır. Bu nedenle Türkiye sözleşmeyi ilk imzalayan devletlerden olmasına rağmen iç hukuka dahil edilmesi 2016 senesine kadar gerçekleşmemiştir. Uygulama kanunun hazırlanmasıyla beraber sözleşme 17 Mart 2016 tarih ve 29656 sayılı Resmi Gazete’de yayımlanarak iç hukuka dâhil edilmiştir. Sözleşmenin amacı; uyruğu veya ikamet yeri ne olursa olsun kişisel verilerin işlenmesine ilişkin olarak her bireyin korunması ve bu şekilde, başta gizlilik hakkı olmak üzere bireylerin insan hakları ve temel özgürlüklerine gösterilecek saygıya katkıda bulunulmasıdır. (2) Sözleşme bugüne kadar 24.11.2022 tarihi itibari ile 55 ülkeye (3) kişisel verilerin korunması hukuku alanında yol gösterici olmuştur. Bu sözleşmeyle beraber hassas veri, verilerin otomatik işlenmesi, veri işleyen, veri sahibinin hakları, veri işlemedeki genel ilkeler gibi veri hukukuna ait temel kavramların sınırları çizilmiştir.
Sonraki yıllarda sözleşme gelişen teknoloji ile paralel ihtiyaçlar doğrultusunda modernize edilerek Konvansiyon 108+ olarak imzaya açılmıştır. Her ne kadar ulusal düzeyde kişisel veri ihlallerine ilişkin uyuşmazlıklar AB Genel Veri Koruma Tüzüğü ile çözülse de bu konvansiyonun yeni haline taraf olunması büyük önem arz etmektedir. Şöyle ki Avrupa Birliği dışında faaliyet gösteren kurum ve kuruluşlara da uygulanabilecek olan Genel Veri Koruma Tüzüğü’ne (GDPR) göre Avrupa Ekonomik Alanından üçüncü ülkelere yapılacak veri transferlerine ilişkin Avrupa Komisyonunca verilecek yeterlilik kararlarında ilgili ülkelerin konvansiyon 108+’ya taraf olup olmadığının bir değerlendirme unsuru olarak gözetilmektedir. (4)
1.1.3. Avrupa Genel Veri Koruma Tüzüğü
Kişisel Verileri Koruma Hukuku alanında en güncel ve kapsamlı düzenleme olan 2016/679 sayılı Avrupa Birliği Genel Veri Koruma Tüzüğü 14 Nisan 2016 tarihinde kabul edilmiş ve 25 Mayıs 2018 tarihinde yürürlüğe girmiştir. Öncesinde çeşitli uluslararası düzenlemelerle korunan kişisel veriler GDPR ile ihtiyaçlar doğrultusunda güncellenerek bir tüzük kapsamında düzenlenmiştir. Kişisel Verilerin Korunması alanındaki bu reformun ana sebeplerinden biri üye devletler tarafından mevcut düzenlemelerin farklı şekillerde uygulanması ve AB içerisinde tek düze bir veri koruma kuralları uygulamasının sağlanamamasıdır. Bu farklılığı ortadan kaldıran Tüzük üye devletlerin ayrıca bir yürürlüğe girme kararı almalarına gerek olmaksızın, doğrudan uygulanabilir nitelikte olduğundan AB sınırları içerisindeki kişiler için yeknesak bir kişisel veri koruması sağlamaktadır. Tüzük, gerçek ve tüzel kişiler yönünden, tüm üye devletlerde farklı düzenlemeler ile karşı karşıya kalmak yerine, AB sınırları içerisinde uygulanacak tek bir hukuk çerçevesinde hareket etme kolaylığını ifade eden “tek kıta tek hukuk ilkesini (one continent one law)” benimsemektedir. AB sınırları içerisinde kurulmuş ve sınır ötesi veri işleme faaliyeti gerçekleştiren organizasyonların merkez kuruluşun bulunduğu üye devlete bağlı tek bir otoriteye (Lead Supervisory Authority) tabi olması anlamına gelen “one-stop shop ilkesi” de yeknesaklığı sağlamak üzere atılan adımlar arasındadır.
Aynı zamanda Avrupa Birliği sınırları içerisindeki veri işleme faaliyetlerinin GDPR hükümlerine uygunluğunun denetlenmesi amacıyla belirli kriterleri sağlayan kuruluşlara Veri Koruma Görevlisi (DPO) ataması zorunluluğu getirilmiştir. (5)
1.2.Kişisel Verilerin Korunması Hukukunda Uygulanan Ulusal Düzenlemeler
1.2.1. 1982 Anayasası
Uzun bir süre boyunca Türk Hukukunda kişisel verilerin korunması özel bir düzenleme yapılmamış, kişisel veriler çeşitli mevzuatlar içerisinde genel hukuki düzenlemelerle korunmuştuır. Örneğin 5237 sayılı Türk Ceza Kanunu’nun 135-150.maddeleri arasında kişisel verilerin hukuka aykırı olarak kaydedilmesi, başkalarına verilmesi, yayılması, ele geçirilmesi ve yok edilmemesi suç olarak düzenlenmiştir. Aynı şekilde Türk Medeni Kanunu’nun “Kişiliğin Korunması” başlıklı hükümleri dolaylı olarak kişisel verilere uygulanmıştır.
Kişisel verilerin korunması hukuku alanında ülkemizdeki en önemli gelişmelerden biri ise 2010 yılında 5982 sayılı Kanunla yapılan Anayasa değişikliğidir. Bu değişiklik ile Anayasanın 20. maddesine bir fıkra eklenerek kişisel veriler, “özel hayatın gizliliği ve korunması hakkı” kapsamında anayasal güvence altına alınmıştır. Söz konusu fıkrada; “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.” hükmüne yer verilmiştir. Görüldüğü üzere bu fıkra ile kişilerin verilerinin kaderini tayin edebilme ve mahremiyetlerinin korunması anayasal hak olarak güvence altına alınmıştır. (6)
1.2.2.Kişisel Verilerin Korunması Kanunu
2010 yılındaki anayasa değişikliği ile temel hak statüsüne gelen kişisel verilerin korunması hakkı, anayasanın hem ilgili 20.maddesi hem de temel hakların sınırlandırılmasına ilişkin 13.maddesi uyarınca yalnızca kanun ile sınırlandırılabilecektir. Bu nedenle kişisel verilere uygulanacak usul ve esasları düzenleyen bir kanun tasarısı hazırlanarak 26 Aralık 2014’te Türkiye Büyük Millet Meclisi’ne sunulmuştur. Tasarı, 24 Mart 2016 tarihinde kanunlaşmış ve 6698 sayılı Kişisel Verilerin Korunması Kanunu 7 Nisan 2016 tarih ve 29677 sayılı Resmi Gazete’de yayımlanarak yürürlüğe girmiştir. Kanun mevcut uluslararası düzenlemeler çerçevesinde Türk hukukunda kişisel verileri işlenen gerçek kişiler ile kişisel verileri işleyen gerçek veya tüzel kişilere uygulanacak kuralları, özel hayatın gizliliği başta olmak üzere kişi temel hak ve hürriyetlerini korumayı sağlayan araçları düzenlemektedir.
2.Uygulama Alanı Bakımından GDPR ve KVKK
6698 Sayılı Kanun Türkiye’de kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanacaktır. Buna göre kişisel verilerin otomatik ya da kısmen otomatik olarak işlenmesi halinde Kişisel Verilerin Korunması Kanunu uygulanacaktır. Ancak otomatik olmayan yollarla işlenmese dahi bir veri kayıt sisteminin parçası olan kişisel veriler ; örneğin bir dosyalama sistemin parçası olarak kaydedilen ve işçilere ait kişisel bilgiler içeren elle doldurulmuş belgeler de kanunun uygulama kapsamına girecektir.
Her ne kadar ulusal düzeyde 6698 sayılı kanun ile kişisel verilere uygulanacak hukuk kuralları belirlenmiş ise de Türkiye’de yerleşik kurum ve kuruluşlar için Avrupa Birliği Genel Veri Koruma Tüzüğü’nün uygulama alanının değerlendirilmesi ayrıca önemlilik arz etmektedir. Çünkü Tüzük, kişisel verilerin korunmasını yer bakımından genişletici özelliğiyle Avrupa Birliği‘ne üye olmayan devletler için de uygulama alanına sahip bölge dışı (extra-territorial) bir düzenlemedir.
AB Genel Veri Koruma Tüzüğü’nün asıl amacı AB üyesi devletlerin vatandaşlarının mahremiyetini korumaktır. Bu nedenle tüzük AB sınırları içerisinde gerçekleşmemiş olsa bile belirtilen şartların varlığı halinde bölge dışı veri işleme faaliyetlerine de uygulanabilecektir. Tüzüğün kapsam başlıklı 3. Maddesine göre;
Türkiye’de kurulu şirketler, Avrupa Birliği içerisinde ikamet etmekte olan kişilere ürün ve hizmet satmak, çevrimiçi sistemler üzerinden AB kullanıcılarına ürün ve hizmet sağlamak, kişilerin tüketim alışkanlıklarını izlemek gibi yöntemler ile Avrupa Birliği içinde ikamet eden bir kişi ile herhangi bir şekilde iletişim kurmakta ise veya farklı başkaca yöntemler ile Avrupa Birliği içinde ikamet eden kişilerin verilerini işlemekte ise, Tüzüğe tabi olacaklardır. Yani AB sınırları içinde bulunmasa dahi yukarıda sayılan koşulları gerçekleştiren Türkiye’de kurulu şirketlerin Tüzük kapsamında da hukuki sorumluklukları doğabilecektir.
Benzer bir düzenleme de 6698 sayılı kanunun “Kişisel verilerin yurt dışına aktarılması” başlıklı 9.maddesinde de mevcuttur. Buna göre; kanun koyucu Türkiye Cumhuriyeti sınırları içerisinde toplanan verilerin KVKK hükümlerine aykırı olarak işlenmesi ve depolanmasına engel olmak amacıyla ikili bir koruma ortaya koymuştur. Buna göre yurt dışına aktarım yapılacak ülkenin kişisel veri mevzuatı KVKK’nın sağladığından daha kuvvetli bir hukuki koruma sağlıyorsa söz konusu ülkenin düzenlemelerine göre, verilerin işlenmesi ve depolanmasına ilişkin daha zayıf bir hukuki koruma sağlıyorsa ise bu kez en azından KVKK hükümlerine uygun önlemler alınması öngörülmüştür.
3.Uygulama Konusu Bakımından GDPR ve KVKK
GDPR ve KVKK hükümleri işlenen, depolanan, üçüncü kişilerle paylaşılan ve yurtdışına transfer edilen gerçek kişiye ait her türlü kişisel veriye uygulanmaktadır.
3.1. Kişisel Veri
6698 Sayılı Kişisel Verilerin Korunması Kanunu kişisel veri kavramını 3.maddesinde kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi kişisel veri olarak nitelendirmiştir.
GDPR’da ise kişisel veri “kimliği belirli veya belirlenebilir gerçek kişiyle ilgili her türlü bilgidir. Bu gerçek kişi, özellikle bir isim, kimlik numarası, konum verileri ya da bu gerçek kişinin fiziksel, fizyolojik, genetik, ruhsal, ekonomik, kültürel veya toplumsal kimliğine özgü bir ya da daha fazla sayıda faktöre atıfta bulunularak doğrudan veya dolaylı olarak kimliği belirlenebilen kişidir.” şeklinde tanımlanmıştır. (7)
GDPR ve KVKK düzenlemeleri beraber değerlendirildiğinde ortak bir kişisel veri tanımının yapıldığı ve tanımın ortak unsurları taşıdığı görülmektedir. Her iki alanda da yalnızca gerçek kişiye ait veriler kişisel veri olarak kabul edilmiş olup tüzel kişilikler koruma kapsamı dışında bırakılmıştır. Aynı zamanda bilginin niteliği bakımından bir sınır getirilmemiş olup gerçek kişiyi belirli ya da belirlenebilir kılan her türlü bilgi kişisel veri olarak nitelendirilmiştir.
Bu konuda göz önünde bulundurulması gereken önemli bir husus da kişisel verinin koruma kapsamına girmesi için doğru olması zorunluluğunun bulunmamasıdır. Bilgi yanlış olsa bile bir gerçek kişiyi belirlenebilir kılıyorsa kişisel veri olarak nitelendirilecektir. Hatta bu veriye ilişkin kişinin bilgi edinme hakkı ve bilginin düzeltilmesini veya silinmesini isteme haklarının kullanılabilmesi için kişisel veri olarak kabul edilmesi gerekmektedir.
3.2. Özel Nitelikli (Hassas) Kişisel Veri
6698 sayılı kanun ile özel nitelikli kişisel veriye ilişkin bir tanımı yapılmamış ancak bu kategoriye giren veriler sayma yoluyla açıklanmıştır.
Özel nitelikli kişisel veriler KVKK m. 6/1’de “Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri” olarak sayılmıştır.
GDPR içerisinde ise KVKK ile paralel bir tanımlama yapılmış ancak kılık kıyafet, dernek veya vakıf üyeliği ile mezhep ile diğer inanç bilgileri yer almamıştır. KVKK ise GDPR’dan farklı olarak cinsel hayatı düzenleme içinde sayarken cinsel eğilimde bahsetmemiştir. Kanunun koyucunun düzenlemenin içinde bu kavramı ayrıca belirtmekten kaçındığı ancak uygulamada Kurul tarafından hassas verilerin niteliği itibariyle “kişiyi ayrımcılığa maruz bırakacak veriler” olduğu belirtildiğinden oluşan bu boşluğun doldurulabileceği düşüncesindeyiz.
GDPR’ın hassas verilerin işlenebileceği halleri düzenleyen m.9/2 düzelemesine bakıldığında tüzüğün kişisel verilerin işlenmesine yönelik getirdiği sıkı rejimden uzaklaştığı görülmektedir. Bunun nedeni bazı koşullarda kişinin kendi ve kamu yararı, kamu sağlığı ve kamu düzeni için veri işleme faaliyetlerinin kaçınılmaz olması ve tüzüğün kişisel verilerin korunması hakkı kadar kişilerin kendi verileri üzerinde tasarruf yapma hakkına önem vermesidir.
GDPR m.2/1(a) hükmü üye devletlere kişisel verilerin korunması alanında yeknesak hukuk uygulaması ilkesine istisna getirmiş, kişisel verinin sahibinin rızası olsa dahi bu nitelikteki kişisel verilerin işlenemeyeceğine dair iç hukukta bir düzenleme yapma serbestisi tanımaktadır.
İki düzenlemede de görüldüğü üzere verilerin hassaslığı veri sahibi dışındaki kişilerin bilgi sahibi olması durumunda ilgili kişinin zarar görme, dışlanma ya da ayrımcılığa maruz kalma ihtimalinden kaynaklanmaktadır. Kişinin uçak bileti alırken belirttiği, dini inancını gösteren yemek seçimi bilgisi hassas veriye örnek olarak verilebilir. (9)
Kişisel verilerin bu şekilde kategorilendirilmesi, bu verilerin kötüye kullanılmasının diğer kişisel verilere kıyasla, bireylerin ayrımcılığa maruz kalma gibi daha ciddi hak ihlalleriyle karşılaşma ihtimallerinin olmasıdır.
Av. İrem Mutlu
Antalya Barosu
Kaynakça
1. Bilir, Prof.Dr. Faruk. Kişisel Verilerin Korunması Kişinin Kendisinin Korunmasıdır. [röp.] Sezen Yüce. basım yeri bilinmiyor : trtakademi, Ocak 2021.
2. Article 1. Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data. 1981.
3. Chart of signatures and ratifications of Treaty 108. Council Of Europe. [Çevrimiçi] 24 11 2022. [Alıntı Tarihi: 24 11 2022.] https://www.coe.int/en/web/conventions/full-list?module=signatures-by-treaty&treatynum=108.
4. Convention 108 and Protocols. Council Of Europe. [Çevrimiçi] https://rm.coe.int/convention-108-convention-for-the-protection-of-individuals-with-regar/16808b36f1.
5. Article 37. General Data Protection Regulation. 2016.
6. Kişisel Verilerin Korunması Kurumu. [Çevrimiçi] https://www.kvkk.gov.tr/Icerik/4183/Kisisel-Verilerin-Korunmasi-Alaninda-Uluslararasi-ve-Ulusal-Duzenlemeler.
7. Article 4 General Data Protection Regulation . 2016.
8. Article 9. General Data Protection Regulation. 2016.
9. Kaya, Cemil. Avrupa Birliği Veri Koruma Direktifi Ekseninde Hassas (Kişisel) Veriler ve İşlenmesi. İstanbul Üniversitesi Hukuk Fakültesi Mecmuası. 2011. Cilt 69, 1-2, s. 322.
10. Ulusal ve Uluslararası Düzenlemelerde Kişisel Verilerin Korunması Hukuku
Comments