KİŞİSEL VERİLERİN KORUNMASI HAKKINDA
KiÅŸisel veri, bireylerin kimliklerini belirli hale getirmeye elveriÅŸli her türlü bilgi olarak tanımlanabilir. Bu baÄŸlamda kiÅŸinin kimlik, iletiÅŸim, saÄŸlık ve mali bilgileri ile özel hayatına, dini inancına ve siyasi görüÅŸüne iliÅŸkin bilgiler, kiÅŸisel veri olarak nitelendirilmektedir. ÖrneÄŸin; ad, soyad, doÄŸum tarihi, cep telefonu numarası, e-posta, cinsiyet, adres, meslek, eÄŸitim, alışveriÅŸ noktası ve zamanı, ne kadar ödeme yaptığı, hangi kampanyadan faydalandığı, aldığı indirim tutarı, alışveriÅŸindeki ürün bilgileri, uygulama üzerindeki gezinme ve tıklama bilgileri, uygulamayı açtığı lokasyon bilgileri, vs.
Günümüzde bu veriler, gerek özel sektör ve gerekse kamu sektörü tarafından biliÅŸim sistemleri üzerinden otomatik yollarla sıkça kullanılmaktadır. Bu bilgilerin kullanılması bireyler ile mal ve hizmet sunanlar bakımından bazı kolaylıklar veya avantajlar saÄŸlasa da, bu durum söz konusu bilgilerin istismar edilme riskini de beraberinde getirmektedir. Bu verilerin yetkisiz kiÅŸiler tarafından elde edilmesi, kullanılması ve ifÅŸa edilmesi gerek taraf olduÄŸumuz sözleÅŸmeler ve gerekse Anayasamızda koruma altına alınan temel hakların ihlali olarak karşımıza çıkmaktadır. Bu iki menfaat arasında makul bir dengenin oluÅŸturulması gerekmektedir. KiÅŸisel verilerin iÅŸlenebilmesi hususunda özel bir kanun ve etkin bir denetim mekanizmasının bulunmaması toplumumuzda olumsuz bir algının oluÅŸmasına sebebiyet vermektedir. OluÅŸan bu algının ortadan kaldırılması için kiÅŸisel verilerin belli ÅŸartlar dahilinde iÅŸlenmesine, muhafaza edilmesine ve kontrolüne iliÅŸkin esasların belirlenmesi gerekmektedir.
Çağımızda insan haklarının korunması bilincinin geliÅŸmesine paralel olarak, kiÅŸisel verilerin korunmasının da önemi her geçen gün artmaktadır. Bu nedenle günümüzde geliÅŸmiÅŸ ülkelerde kiÅŸisel verilerin korunması alanında detaylı kanuni düzenlemelerin uygulanmakta olduÄŸu görülmektedir.
Buna karşın ülkemizde, kiÅŸisel verilerin korunmasına iliÅŸkin alanı bütüncül olarak düzenleyen bir kanun bulunmamakta, bu konuya iliÅŸkin hükümler farklı kanunlarda yer almaktadır. Ayrıca ülkemizde kiÅŸisel verilerin iÅŸlenmesi sürecini kontrol edecek ve denetleyecek bir kurum da bulunmamaktadır. Bunun bir sonucu olarak, halen kiÅŸisel veriler yeterli düzenleme ve denetime tabi olmaksızın, birçok kiÅŸi veya kurum tarafından kullanılabilmekte ve bu durum bazı hak ihlallerinin yaÅŸanmasına sebep olabilmektedir.
Ülkemizde kiÅŸisel verilerin korunmasını saÄŸlayacak bir kanunun yürürlüÄŸe girmesini gerektiren deÄŸiÅŸik sebepler bulunmaktadır. Öncelikle, 5237 sayılı Türk Ceza Kanununun 135 ve devamı maddelerinde, kiÅŸisel verilerin hukuka aykırı olarak elde edilmesi, kaydedilmesi veya ifÅŸa edilmesi fiilleri suç olarak düzenlenmiÅŸ ve yaptırıma baÄŸlanmıştır. Bununla birlikte, kiÅŸisel verilerin iÅŸlenmesine yönelik özel bir kanunun bulunmaması sebebiyle, bu fillerin ne zaman hukuka aykırı, ne zaman hukuka uygun olduÄŸunun belirlenmesinde tereddütlerin yaÅŸandığı görülmektedir.
Öte yandan 12 Eylül 2010 tarihinde yapılan halkoylaması sonucu kabul edilen 5982 sayılı Kanunla Anayasanın 20 nci maddesinde yapılan düzenlemeyle, kiÅŸisel verilerin korunması temel bir insan hakkı olarak güvence altına alınmış ve detayların kanunla düzenlenmesi öngörülmüÅŸtür.
Yine ülkemizle ilgili olarak devam etmekte olan Avrupa BirliÄŸi tam üyelik sürecinde, müzakere fasıllarından dördü, doÄŸrudan kiÅŸisel verilerle ilgilidir. Bu fasıllarla ilgili sürecin ilerleyebilmesi için ülkemizde kiÅŸisel verilerin korunmasına iliÅŸkin temel bir kanunun yürürlüÄŸe girmesi gerekmektedir.
KiÅŸisel verilerin korunması konusu 1980’li yıllardan itibaren uluslararası belgelerde yer almaya baÅŸlamıştır. Ä°lk olarak, ülkemizin de üyesi bulunduÄŸu, Ä°ktisadi Ä°ÅŸbirliÄŸi ve Kalkınma TeÅŸkilatı (OECD) tarafından 23/9/1980 tarihinde “KiÅŸisel Alanın ve Sınır AÅŸan KiÅŸisel Bilgi TrafiÄŸinin Korunmasına Ä°liÅŸkin Rehber Ä°lkeler” kabul edilmiÅŸtir. Avrupa Konseyi tarafından, tüm üye ülkelerde kiÅŸisel verilerin aynı standartlarda korunması ve sınır ötesi veri akışı ilkelerinin belirlenmesi amacıyla hazırlanan 108 sayılı “KiÅŸisel Verilerin Otomatik Ä°ÅŸleme Tabi Tutulması Karşısında Bireylerin Korunması SözleÅŸmesi”, 28 Ocak 1981 tarihinde imzaya açılmış ve ülkemiz tarafından da imzalanmıştır.
Avrupa Konseyi ayrıca, kiÅŸisel verilerin korunmasına yönelik, tıbbi veri bankaları, bilimsel araÅŸtırma ve istatistik, doÄŸrudan pazarlama, sosyal güvenlik, sigorta, polis kayıtları, istihdam, elektronik ödeme, telekomünikasyon ve internet gibi çeÅŸitli sektörlerde uygulanacak ilkeleri belirleyen tavsiye kararları da kabul etmiÅŸtir. Tasarının hazırlanması sırasında, söz konusu tavsiye kararları gözönüne alınmakla beraber, Tasarının “çerçeve tasarı” niteliÄŸi korunmuÅŸtur. Tüm sektörlerle ilgili düzenlemelere yer verilmesi halinde, Tasarının hacminin çok geniÅŸleyeceÄŸi düÅŸünülerek, söz konusu tavsiye kararları Tasarıya alınmamıştır. Bu tavsiye kararlarında yer alan ilkelere, ilerleyen süreçte, deÄŸiÅŸik sektörlerle ilgili yapılacak düzenlemelerde yer verilebileceÄŸi deÄŸerlendirilmiÅŸtir.
Öte yandan, Avrupa BirliÄŸi, üye ülkelerin kiÅŸisel verilerin korunmasına iliÅŸkin mevzuatı arasında uyum saÄŸlamak üzere, 24/10/1995 tarihinde “KiÅŸisel Verilerin Ä°ÅŸlenmesi Sırasında Gerçek KiÅŸilerin Korunması ve Serbest Veri TrafiÄŸi Direktifi”ni (95/46/EC) yürürlüÄŸe koymuÅŸtur. Bu Direktifle, üye ülkelerdeki bireylerin kiÅŸisel verilerinin üst düzeyde korunması ve kiÅŸisel verilerin Avrupa BirliÄŸi içerisinde özgür dolaşımını saÄŸlayacak açık ve kalıcı bir düzenleme yapılması amaçlanmıştır. KiÅŸisel verilerin korunmasına yönelik uluslararası belgeler göz önüne alındığında; bu konuya iliÅŸkin hazırlanacak kanunda, kiÅŸisel verilerin iÅŸlenme ÅŸartlarının, bireylerin aydınlatılmasının, bu alanı denetleyecek ve düzenleyecek bir otoritenin oluÅŸturulmasının, veri güvenliÄŸine iliÅŸkin gerekli tedbirlerin alınmasının temel ilkeler olarak kabul edildiÄŸi görülmektedir.
Söz konusu VKD ve öncesi antlaÅŸma ve direktiflerin güncel olaylar karşısında yetersiz kalması ve ülkeden ülkeye imzalanan antlaÅŸma ve direktiflerin farklılık göstermesi karşısında tüm AB’yi kapsayacak bir reform üzerinde 15 Aralık 2011’de uzlaÅŸmaya varılmıştır. Bu kapsamda 2012 yılında hazırlanan GDPR, 14 Nisan 2016 tarihinde AB Parlamentosu tarafından kabul edilmiÅŸtir. GDPR 94.madde 95/46 VKD’yi yürürlükten kaldırırken 2002/58/ EC Elektronik Veri Koruma Direktifi’nin uygulama alanını geniÅŸletmiÅŸtir.
2010 yılında 5982 sayılı Kanun’la yapılan Anayasa deÄŸiÅŸikliÄŸi ile Anayasa’nın 20. maddesine ilave bir fıkra eklenmiÅŸtir. Söz konusu fıkrada; “Herkes, kendisiyle ilgili kiÅŸisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kiÅŸinin kendisiyle ilgili kiÅŸisel veriler hakkında bilgilendirilme, bu verilere eriÅŸme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doÄŸrultusunda kullanılıp kullanılmadığını öÄŸrenmeyi de kapsar. KiÅŸisel veriler, ancak kanunda öngörülen hallerde veya kiÅŸinin açık rızasıyla iÅŸlenebilir. KiÅŸisel verilerin korunmasına iliÅŸkin esas ve usuller kanunla düzenlenir.” hükmüne yer verilmiÅŸtir.
Anayasada da, kiÅŸisel verilerin korunmasıyla ilgili detaylı düzenlemelerin kanunla yapılacağı belirtilmektedir. Bu kapsamda 26 Aralık 2014 tarihinde “KiÅŸisel Verilerin Korunması Kanunu Tasarısı” TBMM BaÅŸkanlığına sunulmuÅŸtur. Tasarı, 24 Mart 2016 tarihinde kanunlaÅŸmış ve 6698 sayılı KiÅŸisel Verilerin Korunması Kanunu 7 Nisan 2016 tarih ve 29677 sayılı Resmi Gazetede yayımlanarak yürürlüÄŸe girmiÅŸtir.
Uluslararası belgeler, mukayeseli hukuk uygulamaları ve ülkemiz ihtiyaçları göz önüne alınmak suretiyle hazırlanan Tasarıyla, kiÅŸisel verilerin çaÄŸdaÅŸ standartlarda iÅŸlenmesi ve koruma altına alınması amaçlanmaktadır.