KVKKYönetim Danışmanlığı

KVK Uluslararası ve Türkiye Boyutu

Giriş

Son yıllarda artık tüm sektör ve çevrelerce -eğitimden sağlığa, üretimden tüketime-  gerçekliği kabul edilmiş bulunan teknolojinin gelişiminin yansımaları bireysel haklardan şirketlerin sorumluluk alanlarının genişlemesine kadar kendini fazlasıyla göstermektedir. Özellikle internetin neredeyse doğal bir kaynak kullanımı gibi yokluğu düşünülemeyen bir hal alması ve tüm alanlarda ve hayatın olağan akışı içerisinde her an kullanılması, veri üretiminin ve akışının kontrolden çıkması, dolayısıyla birçok hakkın ihlali risklerini de beraberinde getirmektedir. Bu vesileyle gerek bireylerin gerekse şirketlerin sorumlulukları genişlerken bu alanların sınırlarının net bir biçimde belirlenmesi ve sürdürülebilir, sorunsuz ve doğabilecek olası mağduriyetlerin önüne geçilebilmesinin sağlanması vazifesi de öncelikle hukuki düzenlemelere düşmektedir. Bu bağlamda uluslararası metinlerin, anayasal ve ceza hukukunun sağladığı güvencelerin yanı sıra doğrudan konuya işaret eden güncel düzenleme ve kararların iyi bir şekilde irdelenmesi, anlaşılması ve hayata geçirilmesi kaçınılmaz bir gerekliliktir. Kişisel verilerin korunması uluslararası boyutu itibariyle 1980’lere kadar uzanan bir geçmişe sahip olsa da özellikle hukuk sistemlerine entegrasyonu diğer bir deyişle iç hukuklarda yerini alması ve işlerlik kazandırılması anlamında oldukça yeni ve gelişime açık bir görünüme sahiptir. Bu korunma hakkının gerek kanun gerekse yönetmelik ve hatta kurul bünyesinde ortaya çıkan kararlar ışığında ele alınıp, hassasiyetle üzerinde durulması gereken bir konu olduğunu belirtmek gerekmektedir. Keza kişilerin hak ve yükümlülüklerinin, yapılması gerekenlerin neler olduğu ancak bu şekilde anlaşılabilecektir.

Kişisel verilerin korunmasında uluslararası ve ulusal düzenlemelerin neler olduğuna geçmeden önce ‘kişi’, ‘kişilik’ ve ‘veri’ kavramlarının genel olarak ne olduğunun üzerinde durulmasının ve sonrasında kişisel verinin ne olduğunun anlaşılmasının yerinde olduğunu düşünmekteyiz. Çalışmanın devamında kişisel veri korunması gereksinimi ve bu korumayı sağlayan enstrümanların önce uluslararası boyutu ve tarihsel gelişimi, sonrasında ise ülkemizdeki mevzuatın nelerden oluştuğunu ele alacağız.

 

Kavramlar
Kişi ve Kişilik

Her şeyden önce kişi denildiğinde sadece gerçek kişinin anlaşılmaması gerektiğini bu kavramın tüzel kişileri de kapsadığını belirtmek gerekir. Konumuz kapsamında şirketler yani tüzel kişilerin de olduğu düşünüldüğünde kavramın anlaşılması mevzuatın daha iyi anlaşılması bakımından önem arz etmektedir.

Özü itibariyle hukuki bir kavram olan kişinin, Medeni Hukuk’taki görünümü haklara ve borçlara sahip olabilen, haklardan yararlanabilen varlık şeklindedir. Varlığın kişi olarak kabul edilmesi hukuk düzenince ilgili varlığın kişi olarak kabulüne bağlıdır. Bunun manası belirlenen şartları taşımanın kişi olarak kabulde zaruri olduğudur. Bu hem gerçek hem de tüzel kişiler için geçerlidir.

Kişilik denildiğinde kavramın geniş ve dar olmak üzere iki anlamı üzerinden açıklandığı görülmektedir. Buna göre geniş anlamıyla kişilik medeni hakların kullanılması imkânını veren ehliyetlere sahip olunmasını ifade eder. Bu ehliyetler hak ve fiil ehliyeti olup Medeni Kanunun ‘Kişiler Hukuku’ başlıklı birinci kitabının birinci kısmında yer verilen ‘Gerçek Kişiler’ altında yer alan ‘Kişilik’ bölümünde (1. Bölüm) ele alınmaktadır (Madde 8 vd.). Kişiliğin başlangıcı ve sonu ‘kişilik, çocuğun sağ olarak tamamıyla doğduğu anda başlar ve ölümle sona erer. Çocuk hak ehliyetini, sağ doğmak koşuluyla, ana rahmine düştüğü andan başlayarak elde eder’.

Tüzel kişiler ile ilgili olarak ise birinci kitabın ikinci kısmında yer verilen tanım yol gösterici olmaktadır. Buna göre ‘başlı başına bir varlığı olmak üzere örgütlenmiş kişi toplulukları ve belli bir amaca özgülenmiş olan bağımsız mal toplulukları, kendileri ile ilgili özel hükümler uyarınca tüzel kişilik kazanırlar’ ve Amacı ‘hukuka veya ahlâka aykırı olan kişi ve mal toplulukları tüzel kişilik kazanamaz’ denilmek suretiyle hangi varlıkların bu kişiliği haiz olacakları ifade edilmektedir. Bu kısımda 48 ve devamındaki maddeler ile bahse konu kişiliğin ehliyetlerine yer verilir. Burada Medeni Kanun ve Ticaret Kanunu bakımından tüzel kişilerin kimler olduğunu da belirtmek yerinde olacaktır çünkü ilk kanunda dernekler ve vakıflar bu kapsamda ele alınırken, ikinci kanunda ticaret şirketleri ele alınmaktadır.

Kişisel durum ve kişilik hakkının anlaşılabilmesi için yukarıdaki kavramlara genel olarak değinmek gerektiğinden bahsetmiştik. Keza kişisel verilerin korunması denildiğinde korunacak değerlerin iyi anlaşılması gerekir. Nitekim bir kişinin bir başka kişi ya da kişilerden ayırt edilmesini sağlayan ve ayrıca buna hukuk düzenlerince sonuçların bağlandığı durum kişisel durumu ifade eder. Kişisel veri kısmında bunun manası daha iyi anlaşılacaktır. Maddi, manevi ve ekonomik bütünlük ve varlıklar üzerinde kişinin sahip olduğu mutlak hak ise kişilik hakkını ifade eder ki buna en temel örnekler olarak isim, resim, vücut bütünlüğü, onur, şeref, sağlık ve bunlara ilişkin bilgiler verilebilir.

Belirtilmesi gereken bir diğer önemli husus, kişiliğin korunması noktasında Medeni Kanun’da yer alan ilkesel yaklaşımdır. Buna göre ‘Hukuka aykırı olarak kişilik hakkına saldırılan kimse, hâkimden, saldırıda bulunanlara karşı korunmasını isteyebilir. Kişilik hakkı zedelenen kimsenin rızası, daha üstün nitelikte özel veya kamusal yarar ya da kanunun verdiği yetkinin kullanılması sebeplerinden biriyle haklı kılınmadıkça, kişilik haklarına yapılan her saldırı hukuka aykırıdır’ denilmek suretiyle saldırıya karşı ilkenin ne olduğu ortaya konulmaktadır.

  • Veri

Verinin ne olduğuna gelince, kelime anlamı itibariyle bilgiyi oluşturan parça ve bu parçanın ham diğer bir deyişle işlenmemiş olması ifade edilmektedir. Oldukça geniş bir kavram olan ‘veri’ konumuzla ilgili olması bakımından bilişim alanında ne ifade etmektedir diye sorduğumuzda; bu sorunun bilgisayardaki daha geniş ifadesiyle teknolojik her türlü araçta yer alan işlenmemiş her türlü bilgi parçacığı şeklinde cevaplanması mümkündür. Buradan çıkan sonuç bu parçacıkların yani verilerin işlenerek bilgiye dönüştürülmelerinin ve dolayısıyla bir amaç doğrultusunda kullanılmalarının mümkün olabileceğidir. Yalın yani ham haliyle bir anlamı olmamakla birlikte belli işlemlere tabi tutularak, bir araya getirilerek ve işlenerek anlam kazanmalarının sağlaması mümkündür. Verilerin toplanması, sınıflandırılması, yeniden düzenlenmesi, özetlenmesi, saklanması ve netice itibariyle işlenmesi iletilmesi diğer bir deyişle aktarılması mümkün bilgilerin ortaya çıkmasına sebep olabilmektedir. İnsanlığın her devrinde veri edinme ve bunları kullanma ihtiyacı düşünüldüğünde ve asrımızda elektronik ve bulut gibi her türden teknolojik gelişim ile oluşan veri boyutları göz önünde tutulduğunda tüm bunların yönetilmesi, bilinçli bir işlenme anlayışının yerleşmesi artık geri dönülmez bir gerçekliğin ifadesidir.

  • Kişisel Veri

Buraya kadar yaptığımız açıklamalardan sonra kişisel verinin ne olduğunun ortaya konulması gerek tarihsel gelişimin gerekse kavramın anlaşılması bakımından uygun görünmektedir. Kavramın tanımına ‘Kişisel Verilerin Korunması Kanunu (KVK)’ gerekçesinde rastlamaktayız. Buna göre ‘Kişisel veri, bireylerin kimliklerini belirli hale getirmeye elverişli her türlü bilgi olarak tanımlanabilir. Bu bağlamda kişinin kimlik, iletişim, sağlık ve mali bilgileri ile özel hayatına, dini inancına ve siyasi görüşüne ilişkin bilgiler, kişisel veri olarak nitelendirilmektedir’. Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir. Yani sadece belirli olması değil belirlenebilir nitelik gösteren bir verinin de kapsama dahil olduğunun anlaşılması önem arz etmektedir. Örneğin; isim, soy isim, doğum tarihi ve doğum yeri vb. kişinin ayırt edilmesi, belirlenmesi ya da tespitinin mümkün olmasını her türden ailevi, ekonomik, fiziki, sosyal vb. sağlayan verilerdir.. Nitekim kanunun 3. Maddesinin (d) bendinde de kişisel veri tanımı ‘kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi’ şeklinde yer bulmaktadır. Tanım incelendiğinde verinin süjesinin gerçek kişi olduğu görülmektedir. Veri türü olarak ise bu gerçek kişiyle ilişik her türden bilgi denilmek suretiyle oldukça geniş bir ifadeye yer verilmiştir. Kurul kararları da kavramdan ne anlaşılması gerektiği noktasında emsal kararlar ile yol gösterici olmaya başladığı görülmektedir. Bu sayede hangi verilerin bu kapsamda olduğu ele alınan uygulamalar üzerinden gerçekleştirilen açıklamalarda somutlaşma imkânı bulmaya devam edecektir.

Yine gerekçede bahse konu veriler uluslararası sözleşmeler ve Anayasamız bakımından temel haklardan kabul edilmektedir. Bu hakkın korumasına nasıl yaklaşılması gerektiğinin anlaşılması bakımından önem arz etmektedir.

  • Özel Nitelikli Kişisel Veri

Genel olarak kişisel verinin ne olduğuna değindikten sonra gerek uluslararası gerekse ulusal düzenlemelerde yer bulan bu kavramın ne olduğuna kısaca değinmek gerekmektedir. Bu kavram özü itibariyle ayrımcılığa işaret etmektedir. Keza bu veriler birazdan vereceğimiz örneklerden de anlaşılacağı üzere, öğrenilmesi durumunda ayrımcılık temelinde mağduriyetlerin doğmasına sebep olabilecek niteliktedir. Bu nitelikleri dolayısıyla işlenmeleri sıkı şartlara bağlanarak yalnızca açık rıza ya da kanunda sayılan hallerde mümkün kılınmış ve daha güçlü bir korumaya tabi tutulmuşlardır.

Kanunda tahdidi olarak sayılan özel nitelikli kişisel veriler aşağıdakilerdir. Tahdidi olmalarından kasıt bu veri türlerinin kıyas yoluyla genişletilmesinin mümkün olmamasıdır. Bu veriler;

  • Kişilerin ırkı
  • Etnik kökeni
  • Siyasi düşüncesi
  • Felsefi inancı
  • Dini, mezhebi ya da diğer inançları
  • Kılık ve kıyafeti
  • Dernek, vakıf ya da sendika üyeliği,
  • Sağlığı
  • Cinsel hayatı
  • Ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri
  • Biyometrik ve genetik veriler.

 

  1. maddenin devamında özel nitelikli kişisel veriler bakımından bir ayrıma gidildiği anlaşılmaktadır. Keza üçüncü fıkrada açık rıza dışında işlemeye ilişkin olarak sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, ancak kanunlarda öngörülen hallerde; sağlık ve cinsel hayata ilişkin veriler, ancak kamu sağlığının korunması, koruyucu hekimlik, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenebilmektedir.
Kişisel Verilerin Korunmasına İlişkin Uluslararası Düzenlemeler

Kişisel verilerin korunması konusunda gelişim sürecine bakarken insan haklarının gelişim sürecine bakılması yanlış olmayacaktır. Dolayısıyla ‘İnsan Hakları Evrensel Beyannamesi (İHEB)’, ‘Avrupa İnsan Hakları Sözleşmesi (İnsan Haklarının ve Ana Hürriyeti Korumaya Dair Sözleşme)’, ‘Amerikan İnsan Hakları Sözleşmesi’ ve ‘Afrika İnsan ve Halkların Hakları Sözleşmesi’ gibi gerek bütüncül gerekse bölgesel gelişmeler paralelinde ortaya çıkmış bulunan tüm metinlerin tarihçelerinin kişisel verilerin korunmasının da temel haklardan olduğu kabulünden temel teşkil ettiğini ifade etmek mümkündür. Nitekim bu hak ile korunan değerlerin neler olduğuna bakılması bu hususun anlaşılmasına imkân verecektir. Öyleyse kişisel verilerin korunmasının bağlantılı olduğu temel hakları belirtmek gerekir. Bilinmesi gereken öncelikle özel hayatın gizliliğinin kişinin temel haklarından birisi olduğudur ve bu hak uluslararası belgelerde istisnasız yer almaktadır. Yukarıda sayılan uluslararası belgelerin ulusal alanda hayat bulmasının yolunun anayasalar ve sonrasında yasalar olduğu düşünüldüğünde öncelikle anayasal bir hak olarak kişisel verilerin korunmasını ele almak gerekmektedir.

Anılan uluslararası belgelere bakıldığında İHEB 3. Maddesinde kişi güvenliğinin herkesin hakkı olduğu ifade edilmektedir. Elbette burada kişisel veriler bakımından doğrudan bir atıf yoktur ancak bu hükmün dahi kişinin güvenliğinin ihlaline sebep olacak bir kişisel veri korunmasının ihlali durumu bakımından değerlendirilmesi mümkün olabilecektir. Ayrıca 12. Maddede kimsenin özel yaşamına karışılamayacağı ve saldırıda bulunamayacağı ve bunun yasalarla korunması gerektiği de yine daha önce değindiğimiz Medeni Kanun’un ilkesel yaklaşımıyla örtüşmekte olup, kişisel veriler için de bu durum geçerli olmaktadır. Bunun yanı sıra 22. Maddede anılan sosyal güvenlik hakkı, onur ve kişiliğin serbestçe gelişimi için ekonomik, sosyal ve kültürel haklarının gerçekleştirilmesi ile dahi kişisel verilerin niteliği itibariyle bağlantısı bulunmaktadır. Keza burada sayılan niteliklerdeki kimi veriler dahi özel niteliği itibariyle korunma kapsamında dokunulamaz haklardandır. Özel nitelikli kişisel veriler kısmında bahsedildiği üzere 22. Maddedeki hakların kullanılabilmesi için özel nitelikli bu türden kişisel verilerin korunması bir gerekliliktir. 23. Maddede de yine kişisel verilerin korunmasının amaçlarıyla bağdaşan çalışma, işini serbestçe seçme, adaletli ve elverişli koşullarda çalışma, ayrım gözetilmemesi, sendika kurma veya üye olma gibi haklara yer verilmektedir. 25. Maddede sağlık, tıbbi bakım, medeni hal gibi konular ele alınmaktadır. 29. Maddede ise hakların ve özgürlüklerin kamu düzeni ve genel refahın gereklerinin karşılanması amacıyla yalnızca yasayla sınırlamaların mümkün olabileceği diğer bir deyişle koruma altında oldukları ifade edilmektedir.

Avrupa İnsan Hakları Sözleşmesi’nin 5. Maddesine bakıldığında ilk cümlede herkesin özgürlük ve güvenlik hakkında sahip olduğunun ifade edildiği görülmektedir. 8. Maddede ise özel hayata ve hatta yazışmasına saygı gösterilmesinin ve bu haklara müdahalenin belli şartlar ile sınırlanmasının mümkün olabileceği ve koruma altında olduğuna yer verilmektedir. Uluslararası belgelerde önemli bir yere sahip olan bu metinde de hemen her hükümde kişisel verilerin korunmasındaki hukuki yararlar ile bağdaşacak düzenlemeler temel kaynak niteliğindedir. Kişisel verilerin korunması bakımından Avrupa’daki asıl önemli gelişme GDPR (General Data Protection Regulation) olarak anılan ve 27 Nisan 2016’da Avrupa Birliği’nde kabul edilen ‘Genel Veri Koruma Yönetmeliği’dir. Bu düzenleme 25 Mayıs 2018’de Avrupa Birliği ve Avrupa Ekonomik Alanı’nda yürürlüğe girerek yürürlükte olan ulusal veri koruma yasalarının yerine geçmiştir. Ülkemizdeki düzenlemeler için de yol gösterici olan bu düzenleme, kişisel verilerin işlenmesi dolayısıyla ortaya çıkabilecek ihlallerin önüne geçilmesinde ne derece hassas olunduğunun anlaşılması bakımından oldukça önemlidir. Düzenleme 11 bölüm 15 kısım ve 99 maddeden oluşmakta olup konuya ilişkin kapsamı ve ilkeleri detaylı olarak ele almaktadır. GDPR hakkındaki detaylara bir başka çalışmamızda yer vereceğimiz için burada ana hatlarıyla değinmekle yetiniyoruz.

Amerika Birleşik Devletleri’ne baktığımızda temel hak ve özgürlükleri koruyan metin ve anayasanın bulunmasına karşına özel bir veri koruma düzenlemesi bulunmamaktadır. Kişisel verilerin korunması bakımından federal ve eyaletler seviyesinde birçok düzenlemenin yürürlükte olduğu bir işleyiş söz konusudur. Federal seviyede ‘Federal Ticaret Komisyonu Yasası’nın kapsamlı olarak Federal Ticaret Komisyonu’nu yetkilendirdiği görülür. Bununla tüketicilerin haksız ya da yanıltıcı şekilde aleyhlerine gerçekleştirilen uygulamalara karşı ve verilerinin korunması imkânı verilmektedir. Komisyon yanıltıcı uygulamalar adı altında firmalar tarafından gerçekleştirilen gizliliğin ihlali, kişisel bilgilerin korunmasında yeterli güvenliğin sağlanmaması gibi konularda yetkili olmaktadır. Sistemde genel bir federal düzenleme bulunmuyor olmasına rağmen sektör bazlı ya da bazı veriler bakımından, veriler özelinde kaleme alınmış düzenlemelerin olduğu görülmektedir. Buna örnek olarak Sürücülerin Gizliliğin Korunması Yasası (The Driver’s Privacy Protection Act of 1994 (DPPA))gösterilebilir. Bu yasa ile motorlu araçlara ilişkin toplanan bilgilerin gizlilikleri sağlanmaktadır. Fotoğrafları, sosyal güvenlik numaraları, telefon numaraları, sağlık bilgileri, malullük halleri, isim, adres, sürücü ehliyet numarası gibi. Bir diğer örnek ise ‘Çocukların Çevrimiçi Gizliliğinin Korunması Yasası (Children’s Online Privacy Protection Act (COPPA)) gösterilebilir. Bu düzenleme ile 13 yaş altı çocukların bilgilerinin toplanmasının yasaklanması söz konusudur. Diğer örnekler ‘Video Gizliliğinin Korunması Yasası (The Video Privacy Protection Act (VPPA)) ve Kablolu İletişim Politikası Yasası (The Cable Communications Policy Act of 1984)’dır.

Tüm bu temel insan hak ve özgürlüklerini düzenleyen kişisel veriler bakımından özel hayatın gizliliği kapsamında bahsi geçen metinlerin yanı sıra ilk olarak OECD tarafından 1980’de kabul edilen ‘Gizliliğin Korunması ve Sınır Ötesi Kişisel Veri Akışları Hakkında Rehber İlkeler’ den söz etmek gerekir. Bu rehber ilkeler çalışmasının temel amacı kişisel verilerin korunması konusunda devletlere yapacakları düzenlemeler bakımından fikir sunulması ve teşvik edici olunmasıdır. Elbette bahse konu belgenin bağlayıcılığı bulunmamaktadır. Bu sebeple Avrupa Konseyi bünyesinde 28 Ocak 1981 tarihinde Strazburg’da imzaya açılan ve 1 Ekim 1985 tarihinde de yürürlük kazanmış bulunan ‘Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi’nden de söz etmek gerekir. Hali hazırda konuya doğrudan işaret eden en temel uluslararası sözleşme bu sözleşmedir. Bu sözleşmenin temel amacı ise üye devletlerin kişisel verilerin korunmasını sağlarken buna ilişkin standardı sunan bir düzen kurulmasıdır. Sözleşme GDPR’a da ışık tutan bir yapıdadır. Nitekim bu sözleşmede de tanımlar yapılmış, kapsam belirlenmiş, korumaya ilişkin temel ilkelere değinilmiş, özel veri kategorileri ele alınmış, veri aktarımı ve iç hukuk uygulamalarına değinilmiş, taraf ülkeler verilerin korunması hakkındaki temel ilkelere işlerlik sağlayan iç hukuk kurallarının ihlaliyle ilgili uygun yaptırımlar ve başvuru yolları getirmekle yükümlü tutulmuştur. Türkiye ilgili sözleşmeye kimi bazı beyanlarda bulunmuştur. Bu beyanların neler olduğuna sonraki başlıkta değineceğiz.

Birleşmiş Milletler (BM) tarafından hazırlanmış bulunan ‘Bilgisayarla İşlenen Kişisel Veri Dosyaları Hakkında Rehber İlkeler’ de asgari düzeyde düzenleme içeriklerine yol gösterici nitelikte olan uluslararası bir başka metindir. BM bünyesinde ‘Uluslararası Kişisel ve Siyasal Haklar Sözleşmesi’ de doğrudan olmasa da genel kapsayıcı bir şekilde özel hayata ilişkin hükümlere yer vererek özellikle 17. Maddesinde kişisel verilerin korunması gerekliliğine dikkat çekmektedir.

Türkiye’de Kişisel Verilerin Korunması

Temel haklar kapsamında değerlendirildiğinden kişisel verilerin korunmasından söz ederken anayasal boyutunu ele almak gerekmektedir. Ancak anayasal boyutuna geçmeden önce kişisel verilerin korunmasıyla ilgili olarak Türkiye’nin yukarıda söz edilen 1981 tarihli kişisel verilerin korunmasına ilişkin uluslararası sözleşmeye taraf olunması ile konunun Türkiye gündemine girmiş olmasını da belirtmek gerekir. Sözleşmeye ek protokole de Türkiye tarafından imza koyulmuş ve bu protokol de 20.04.2016 tarihinde TBMM’de kabul edilen 6705 sayılı kanun ile 05.05.2016 tarihinde Resmi Gazete’de yayımlanmıştır. Türkiye bu sözleşmeye uluslararası hukuk bağlamında kimi bazı beyanlar koymuştur. Konumuzla alakalı olan beyanlar şu şekildedir:

‘Sözleşmenin 3 üncü maddesinin 2 inci alt paragrafı a bendi uyarınca, Türkiye Cumhuriyeti Sözleşmenin aşağıda belirtilen kişisel verilere uygulanmayacağını beyan eder:

  1. a) gerçek kişilerin tamamen kişisel veya aynı konutta yaşayanlarla ilgili faaliyetlerine ilişkin olarak işlenmesine,
  2. b) Kanun tarafından öngörülen kamu kayıtlarına,
  3. c) Kanuna uygun olarak kamu bilgisine sunulan bilgilere,
  4. d) devlet kurumlarınca milli güvenlik, savunma ile soruşturma ve suç önleme amacıyla işlenen kişisel verilere.

Sözleşmenin 3 üncü maddesinin 2 inci alt paragrafı c bendi uyarınca, Türkiye Cumhuriyeti bu sözleşmenin otomatik olmayan yollarla işlenen kişisel verilere de uygulayacağını beyan eder.’

Sözleşmenin 13 üncü maddesinin 2 inci alt paragrafı a bendi uyarınca, Türkiye Cumhuriyeti Kişisel Verileri Koruma Kurulu’nun yetkili makam olduğunu beyan eder.

Özel bir düzenleme yapılması yoluna ilk defa 1989 yılında girilerek bir komisyon oluşturulmuş fakat bu komisyon çalışmalarını tamamlayamadan dağılmıştır. Devam eden süreçte bir sonraki komisyon kurulması 2000 yılında gerçekleştirilmiş ve komisyon üç yıllık çalışma ile kanun tasarısını hazırlamıştır. Ancak bu tasarının kanunlaşması mümkün olmamıştır. Adalet Bakanlığı öncülüğünde 2008 ve 2014 yıllarında yeni bir tasarı hazırlanarak Meclis’e sunulmuş fakat bu tasarının kanunlaşması da yasama dönemi sonuna rastlaması nedeniyle gerçekleşmemiştir.

1982 Anayasası’nın 17. maddesinde kişi dokunulmazlığı, kişinin maddi ve manevi varlığını koruma ve geliştirme hakkının korunduğunu ve bununla birlikte Anayasanın 20 ve 22. maddelerinde düzenlenen özel hayatın gizliliği ve korunması kişisel verilerin hukuka aykırı olarak işlenmesinin de önünde engel teşkil etmektedir.

Anayasa’nın 20. Maddesine 2010 Anayasa değişikliğiyle ekleme yapılmıştır. Yapılan ekleme ile ‘özel hayatın gizliliği’ kapsamında kişisel verilere Anayasal bir güvence getirilmiştir. İlgili ekleme şu şekildedir; ‘Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir’.

Bu düzenlemenin sağladığı çıktılardan kısaca şu şekilde söz etmek gerekirse, düzenlemenin sağladığı haklar; koruma isteme hakkı, güvenlik tedbirlerinin alınmasını isteme hakkı, bilgilendirilme hakkı, düzeltme ya da silinmesini isteme hakkı, verinin rıza hilafına işlenmesinin önlenmesidir. Burada dikkat çeken husus Anayasada kişisel verilerin işlenmesinin kanun ile öngörülen hallerde mümkün olduğudur. Ancak özel sınırlama sebeplerinin neler olduğu Anayasa’da öngörülmemiştir.

Anayasal düzenlemelerin yanı sıra ceza hukuku kapsamında da kimi bazı düzenlemelere rastlamaktayız. Kişisel verilere ilişkin hükümlerden önce 134. Maddede ‘Özel Hayatın Gizliliğini İhlal’ kenar başlığıyla kişilerin özel hayatını ihlal eden kimse için hapis cezası öngörülmektedir. Düzenlemede gizliliğin ihlalinin görüntü ya da ses kaydı ile gerçekleştirilmesi durumunda cezada artırıma gidileceği ifade edilerek ağırlaştırıcı sebep olarak öngörülmüştür. Türk Ceza Kanunu’nun 135 ila 140. Maddeleri arasında kişisel verilere ilişkin doğrudan yer verilerek koruma sağlanmaktadır. Kanunda yer alan hükümler; madde 135-Kişisel verilerin kaydedilmesi; madde 136-Verileri hukuka aykırı olarak verme veya ele geçirme; madde 137-Nitelikli haller; madde 138-Verileri yok etmeme; madde 139-Şikâyet ve madde 140-Tüzel kişiler hakkında güvenlik tedbiri uygulanması şeklindedir. Tüm bu hükümler Türk Ceza Kanunu’nda ‘Özel Hayata ve Hayatın Gizli Alanına Karşı Suçlar’ başlıklı IV. Bölüm altında ele alınmaktadır.

Ceza Muhakemesi Kanunu’nda da kişisel verilerin korunması hususu ele alınmaktadır. Buna ilişkin hükümlere 75 ve devamı hükümlerde rastlamaktayız.

Kişisel verilerin korunması konusunda amaç, kapsam, tanımlar, ilkeler ve yaptırımlar itibariyle doğrudan gerçekleştirilen düzenleme ise ‘Kişisel Verilerin Korunması Kanunu’ dur. AB uyum süreci açısından da oldukça önem arz eden bu düzenleme 108 sayılı Avrupa Konseyi Sözleşmesi ile 95/46 sayılı AB Direktifinde de belirtildiği gibi iç hukuk düzenlemesi çıkarmaları gereksinimi ile örtüşmektedir. Kanunun yukarıda değindiğimiz OECD tarafından hazırlanan ‘Rehber İlkeler’ den oldukça yararlandığını da belirtmek gerekir. Kanunun temel amacı, kişisel verilerin işlenmesinde temel hak ve özgürlüklerin korunması ve kişi dokunulmazlığının sağlanmasıdır. Yani düzenleme ile kişisel verilerin korunması hakkının hukuk sistemimize insan hakları kavramı olarak dahil edildiği görülmektedir. 6698 sayılı kanun 24.03.2016 tarihinde kabul edilmiş ve 07.04.2016 tarihinde Resmi Gazete’ de yayımlanarak yürürlüğe girmiştir.

Kanun ilk maddesinde amacı açıklamakta ve şöyle demektedir; ‘bu kanunun amacı, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir’.

Sonuç

Teknolojideki, iletişim araçlarındaki, elektronik ve bulut gibi depolama sistemlerindeki gelişimler birçok ihtiyacın karşılanmasına hizmet etmekle birlikte beraberinde başkaca ihtiyaçların doğmasına da kaynaklık etmektedir. Bunlar arasında olası temel hak ve özgürlük ihlallerine binaen ne tür korumaların daha geliştirilmesi gerektiğinin saptanması gelmektedir. Bu saptamalardan biri de kişisel verilere ilişkindir. Nitekim gerek uluslararası gerekse uluslararası çalışmaların uzantıları olarak ulusal sistemlerde koruma yöntemlerinin inşası ya da geliştirilmesi günümüzde hız kazanmıştır.

Daha yüksek bir bilinç ile korumalara yönelik hukuki ve teknik tedbirlerin alınması henüz yeterli olgunluğa ulaşmış değilse de varılmak istenen nokta itibariyle çağın gereklerine uyumun sağlanabilmesi de mümkün görünmektedir. Bu manada BM’den AB’ye kadar ortaya konulan tüm çalışmalar etkilerini tüm dünyada daha fazla hissettirmekle birlikte, ülkemizde de özellikle kurul kararlarıyla bu yolda mesafe kat edilmesi beklenmektedir. Keza kurul kararları kanuni düzenlemeye yönelik bir bakıma düzenlemeyle ilgili olarak devletin gerçek ve tüzel kişileri ‘aydınlatma yükümlülüğü’ nün ifası niteliğinde değerlendirilebilir. Diğer bir deyişle konuya her anlamda ve tüm detaylarıyla hakimiyetin sağlanması, süreçlerin olgunlaşması ve gerçek manada sisteme adaptasyonun en üst seviyede sağlanabilmesinde kararlar aydınlatıcı bir vazife görecektir.

2016 yılına kadar konuyla alakalı derli toplu, doğrudan hükümlerin yer aldığı bir hukuk sistematiği ülkemizde bulunmuyor idiyse de günümüz itibariyle özellikle AB normları çerçevesinde uyum seviyesinde ilerleme olduğunu belirtmek mümkündür.