14 Ocak 2012 Cumartesi

Kişisel Verilerin Korunması

1. Kişisel Veri Kavramı ve Kişisel Verilerin İşlenmesi

Kişisel veriler, ilk olarak devletin vatandaşları hakkındaki bilgileri çeşitli organları vasıtasıyla kayıt altına alması, ve bunları çeşitli amaçlar doğrultusunda kullanması şeklinde ortaya çıkmış bir kavramdır. Daha sonraları özel sektörün toplumsal hayatta daha etkin rol almaya başlamasını takiben, kişisel veriler gerçek kişiler ve özel hukuk tüzel kişileri tarafından da etkin bir şekilde işlenmeye başlamıştır. Özellikle günümüzde birçok işlemin etkin bir şekilde gerçekleştirildiği internet ortamı üzerindeki bilgi alışverişi kişisel verilerin çok daha büyük çapta ve hızlı bir şekilde aktarımına neden olmaktadır.

Kişisel veri, kişilere ait her türlü bilgiyi ifade eder. Kişilerin kimlik bilgileri, ırk, dil, din, köken, özel hayatına ilişkin diğer bilgiler, sağlık, cinsellik, tutum ve alışkanlıklar ve belirli bir sınırlama getirilmesi mümkün olmayan, akla gelebilecek her çeşit bilgi bu kavrama dahildir. Bu bilgilerden her biri tek başına düşünüldüğünde çok anlamlı ya da önemli olmayabilir. Ancak kitleler halinde olduğu düşünülürse, bu bilgiler belirli tasniflerle ve belirli amaçlara yönelik kullanıldığında değeri trilyon dolarla ölçülebilen bir katma değer meydana getirmektedir.

Kişisel verilerin işlenmesi, verilerin toplanması, elde edilmesi, kaydedilmesi, depolanması, düzenlenmesi, değiştirilmesi, değerlendirilmesi, kullanılması, aktarılması, açıklanması, yok edilmesi, silinmesi gibi kişisel bilgiler üzerinde yapılabilecek her türlü işlemi ifade etmektedir. Veriler, veri sahiplerinden çok çeşitli işlemler vasıtasıyla, kendi rızalarıyla elde edilebilmektedir. Günümüzde hemen her işlemde asgari, kimlik bilgileri ve iletişim bilgilerini işlemin karşı tarafına aktarıyoruz. İşin niteliğine göre işlemin karşı tarafı çok daha detaylı bilgilerinize ihtiyaç da duyuyor olabilir. Sonuç olarak gerçek ya da tüzel kişi fark etmeksizin hemen herkesin kayıtları bir şekilde bir yerlerde yer almaktadır.

Kişisel verilerin işlenmesine tipik örnek, özel sektörde yaygın olarak kullanılan “data mining” (veri madenciliği) kavramıdır. “Data mining”, kişilere ait bilgilerin belirli algoritmalar vasıtasıyla belirli bir amaç doğrultusunda tasnif edilerek katma değer meydana getirecek şekilde kullanılması, değerlendirilmesidir.

Kişisel verilerin işlenmesi kamusal alanda ve ticaret sektöründe hayati önem taşımaktadır. Kamu hizmetleri bakımından toplumun ihtiyaçları daha kolay takip edilebilmektedir. Özel sektördeki yatırımcılar ise yatırımlarını yine bu bilgiler doğrultusunda daha etkin ve karlı bir şekilde değerlendirebilmektedirler. Buna karşın bireylerin kişilik hakları bakımından ise bir menfaat çatışması söz konusu olmaktadır. Kişilerin özel hayatlarına ilişkin bilgiler üzerindeki tasarruf yetkisi hiçbir hukuk devletinde göz ardı edilmemesi gereken bir ilkedir. Bu sebeple kişisel verilerin korunmasına yönelik güvenli bir ortam oluşturma ihtiyacı ortaya çıkmaktadır.

2. Uluslararası Hukukta ve Türk Hukukunda Kişisel Verilerin Korunmasına İlişkin Düzenlemeler

2.1 Genel Olarak

Kişisel verilerin korunmasına yönelik ilk çalışma OECD (Ekonomik İşbirliği ve Kalkınma Teşkilatı) tarafından 1980 tarihinde yayınlanan kişisel verilerin korunmasına ilişkin kılavuz ilkeleri ihtiva eden bir “Konsey Tavsiyesi” şeklinde ortaya çıkmıştır[1]. Sanayileşmiş Avrupa ülkelerinin ve hatta Avrupa dışından Amerika, Kanada, Japonya, Yeni Zelanda gibi ülkelerin üye olduğu topluluk için bağlayıcı olmayan, tavsiye niteliğindeki bu ilkeler, üye ülkelerin iç hukukları bakımından bir kılavuz görevi görmüştür.1981 yılında ise bu alanda ilk bağlayıcı düzenleme olan Avrupa Konseyi’nin “Kişisel Verilerin Otomatik İşleme Tabi Tutulması Sırasında Gerçek Kişilerin Korunmasına İlişkin” 108 No’lu sözleşmesi imza altına alınmıştır. Türkiye’nin de bu sözleşmeye taraf olmasına rağmen sözleşmenin gerektirdiği şekilde iç hukukta bu alana yönelik bir düzenleme yapılmamıştır. Avrupa Birliği’nin 1995 yılında yayınlanan 95/46 sayılı yönergesi kişisel verilerin korunmasına ilişkin temel kavramları ortaya koymuştur. Bilindiği üzere AB yönergelerinin bağlayıcı niteliği olmamasına rağmen, Türkiye için en tetikleyici düzenleme bu olmuştur.

2.2 Avrupa Birliği’nin 95/46 Sayılı Direktifi ve

Mukayeseli Hukuka Etkisi

AB 95/46 sayılı direktifi ile üye devletlerin kişisel verilerin korunması ilişkin mevzuatlarında yeknesaklığı sağlamaları amacıyla kişisel verilerin korunmasına ilişkin temel ilkeleri ortaya koymaktadır.

Öncelikle kişisel verilerin korunmasının dayanağı olan hakların, kişilik hukukundan doğduğu düşüncesiyle bu düzenlemenin konusu sadece gerçek kişilerle sınırlı bırakılmıştır. Ancak tüzel kişilerin verilerinin korunmasına ilişkin düzenlemelerin üye devletlerin kendi iç hukuklarında yer verebileceği de belirtilmiştir. Tüzel kişilere ait verilerde hiç kuşkusuz gerçek kişilere ait veriler de mevcut olabilir. Bu durumda bu gerçek kişilere ait veriler yine bu düzenlemenin kapsamında değerlendirilecektir.

Yönergede kabul edilen önemli bir ayrım, kişisel veri-hassas kişisel veri (special categories of data, mad. 8) konusundadır. Etnik ve ırksal köken; politik, dini ve felsefi görüş; sendika üyeliği; sağlık ve cinsel yaşama ilişkin bilgiler hassas veriler olarak belirlenmiştir. Hassas verilerin işlenmesi kural olarak yasaklanmakta, ancak yine aynı maddede sayılan istisnai hallerde işlenmesi mümkün kılınmaktadır. Bu istisnalar; veri sahibinin açık rızası, veri işleyenin (controller) iş hukukundan doğan yükümlülüklerini yerine getirebilmesi için zorunlu olan haller; veri sahibinin veya bir 3. kişinin daha üstün nitelikli bir hakkının korunması için zorunlu olması, ticari amaca yönelmemiş, politik, felsefi dinsel veya sendikal nitelikteki kuruluşların üyelerine ilişkin verileri uygun garantileri vermek koşuluyla işlemesi; bilginin veri sahibi tarafından umuma ifşa edilmiş olması veya mahkemede iddia ve savunma için gerekli olması; mesleki bir zorunluluk olarak sır saklama yükümlülüğü altında olan tıb doktorları ya da diğer sağlık personellerinin tıbbi müdahale, tedavi ve diğe sağlık hizmetleri amacıyla verileri işlemeleri; ve suçla mücadele, mahkumiyet ve güvenlik tedbirlerine ilişkin konularda verilerin işlenmesi halleridir.

Yönerge de kabul diğer bazı ilkeler ise, veri sahibinin veri işlemesi konusunda bilgilendirilmesi, eksik ve hatalı verileri düzeltme hakkı, veri işlenmesini engellemesi ve itiraz edebilmesi, ve her halde verinin hukuka uygun yollarla elde edilmiş olmasıdır. Ayrıca yine bu düzenlemeye göre, veriler ancak yasal olan amaçlar doğrultusunda işlenebilir, ve toplanma amacını aşan mahiyette işlemlere konu olamaz, toplanma amacının gerektirdiği süreden daha uzun süre saklanamazlar.

Gerek 95/46 sayılı direktifin 18. ve 28. maddesinde gerekse Avrupa konseyi’nin 108 sayılı sözleşmesinde, veri işlemesini denetim altında tutmak üzere kurulacak bağımsız bir veri koruma otoritesinden (Supervisory Authority) bahsedilmektedir. AB üyesi ülkeler veri koruma otoritesi uygulamasını farklı biçimlerde uygulamaya koymuştur. İlk göze çarpan şekliyle Ombudsman ve Regülasyon modelleri Avrupa ülkelerinde faaliyet gösteren veri koruma otorittesi türleridir. Ombudsman modeli veri sahiplerinin şikeyetleri üzerine harekete geçen, bireyin kişisel verilerinin hukuksuz işleme maruz kalması halinde tecavüzün meni, refi ve tazmini için gerekli işlemleri yapan bir kuruluş şeklindedir. Bu tür otoriteler veri işleyenin (kontrolör) uygulamaları üzerinde genel bir denetim gerçekleştirmemekte daha çok şikeyetler üzerine vakıa bazlı çalışmaktadırlar.Regülasyon modelini uygulayan ülkelerde ise yine şikayet üzerine ya da oluşturulan raporlar doğrultusunda veri işleyenlerin davranışlarının hukuka uygunluğunu denetleyen ve hatta gerektiği yerde görülen eksiklikleri yasa koyucuya iletmekte bu konuda yeni düzenlemelere gidilmesini sağlamaktadırlar. Burada benimsenen model ne olursa olsun önemli olan veri koruma otoritesinin bağımsız ve özerk olmasıdır. Veri korumasının sadece özel hukuk kişilerine karşı değil bizzat devlete karşı da korunması gereken bir değer olduğundan bahisle, veri koruma otoritesinin özerk bir bütçeye sahip olması ve atamalarının daha önceden kanunla belirlenmiş yöntemlerle, siyasi otoritenin iradesinden uzak bir şekilde gerçekleştirilmesi gerekmektedir.

95/46 sayılı AB direktifinin 25. maddesi üye ülkelerden diğer ülkelere (third country) yapılacak veri transferlerini düzenlemektedir. Dolayısı ile yönergenin ülkemiz açısından, daha önce imza attığımız Avrupa Konseyi’nin 108 sayılı sözleşmesinden fiilen daha önemli konuma getiren hükmü bu maddedir. Keza söz konusu düzenleme, üye ülkeleri arasında yeknesak bir veri koruma mevzuatı oluşturmayı hedeflemekte, diğer ülkeler bakımından ise üye ülkelerle eşit düzeyde veri koruması sağlayan diğer bir deyişle ancak “güvenli” (secure) bir ülkeye veri transferi yapılabileceğini öngörmektedir. Ülkemiz ise bu konuda “güvensiz” (non-secure) ülke olarak nitelendirilmektedir. Çünkü ülkemizde veri korumasına lişkin bir çerçeve düzenleme bulunmamaktadır.

95/46 sayılı direktif bilindiği üzere tavsiye niteliğinde bir düzenleme olup, her nekadar üye ülkeler arasında yeknesak bir hukuk meydana getirmeyi hedeflemişse de üye devletlerin iç hukukları bakımından tam bir bütünlük meydana getirmemiştir. Gerek veri korumasına ilişkin temel kriterler açısından gerekse bağımsız veri koruma otoritesi uygulaması bakımından tam bir uyumluluk söz konusu değildir. Yönergede hassas veriler şeklinde nitelendirilen türdeki veriler de ülkelerin kendi gelenek ve adetleri yada toplumsal değer yargılarına göre faklılık arzetmektedir. Bu tür verilerin 3. ülkelere transferine izil verilmesi konusunda da ülkeden ülkeye değişen farklı prosedürler söz konusudur. Bu sebeple AB üyesi bir ülkeden veri transferine ilişkin bir durumla karşı karşıya kalındığında AB Hukuku’ndan çok üye ülkenin iç mevzuatı irdelenmelidir.

2.3 Türk Mevzuatında Kişisel Verilerin Korunmasına Yönelik Bir Çerçeve Kanun Bulunmamasının Sonuçları

Anayasa’nın 20. maddesinin ek 3. fıkrasında kişisel verilerin korunmasına ilişkin haklar kaleme alınmıştır. Anayasa’ya 12.9.2010 tarihinde eklenen fıkranın 1995 tarihli AB yönergesi ile paralel bir düzende olduğu görülmektedir. Ek 3. fıkrada veri sahibine kendisiyle ilgili kişisel veriler hakkında bilgilendirilme bu verilere erişme, bunların düzeltilmesini ve silinmesi talep etme ve alınma amaçları doğrultusunda kullanılıp kullanılmadığını öğrenme, amacını aşan kullanımları men etme hakkı tanımaktadır. Kişisel verilerin ancak veri sahibinin rızası yada kanunda düzenlenen istisnalar halinde işlenebileceği hükme bağlanmıştır. Aslında Anayasa’nın 13. maddesinin açık hükmü karşısında bu hükmün sistematik olarak yanlış kaleme alındığını belirtmek gerek. Çünkü 13. maddeye göre Anayasal hak ve özgürlükler yine ancak Anayasa’da belirtilen koşullarda ve hallerde kısıtlanabilir. Burada ise bu hakkın yasaca belirlenecek istisnalarla kısıtlanabileceği öngörülmektedir. Diğer bir yandan bu tür bir kısıtlamayı düzenleyecek bir kanun henüz çıkmamıştır. Ek 3. Fıkranın son cümlesi kişisel verilerin korunmasına ilişkin esas ve usullerin kanunla düzenleneceği belirtilmektedir. Bu hüküm Kişisel Verilerin Korunmasına İlişkin Kanun Taslağı’nın habercisi olmuştur. Veri korumasına ilişkin bir çerçeve kanun olmaması AB 95/46 sayılı direktifinin ve buna dayalı ülke mevzuatlarının 3. ülkelere veri transferi konusunda getirdiği kısıtlamalar doğrultusunda IT altyapıları ülkemizde bulunan şirketlere veri transferinin yapılamamasına sebep olmaktadır. Artık günümüzde Türk şirketler yabancı merkezli şirketleri devralmakta, buna dayalı olarak da devralınan şirketlere ait dataların merkezi Türkiye’de olan şirketlerin IT sistemlerine transferi gerekmektedir. Ancak ülkemizde veri korunmasına ilişkin bir yasa mevcut olmadığı için ülkemiz uluslararası düzeyde “güvensiz” veri korumasına sahip ülkeler arasında gösterilmektedir. Bu sebeple de veri transferleri gerçekleştirilememekte, bazı durumlarda Türk şirketler çok daha iyi ve kullanışlı olan kendi IT sistemleri yerine yurtdışındaki IT sistemleri vasıtasyla verileri yönetmek zorunda kalmaktadırlar.

Kaynakça:

1-Oğuz Şimşek, Anayasa Hukukunda Kişisel Verilerin Korunması,1. Baskı,Beta, İstanbul, 2008, s.12

2-http://www.dpt.gov.tr/DocObjects/View/12164/tez-ycivelek.pdf

3-http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:31995L0046:en:HTML



16 Aralık 2011 Cuma

KİŞİSEL VERİLERİN KORUNMASI KANUNU TASARISINA ELEŞTİREL BAKIŞ

Kişisel verilerin korunması sorununun kökeni günümüz bilgi toplumunun oluşum sürecine dayanmaktadır. Teknolojik gelişmeler, bir yandan küreselleşmeyi tetiklemiş, diğer yandan ise bilgi toplumuna geçiş sürecini hızlandırmıştır. Bilgi toplumunda bilgi, güç ile eşdeğer kabul edildiğinden küreselleşme nedeniyle sınırlar kalkmakta ve daha fazla bilginin ülkelerarası dolaşımı gündeme gelmektedir. Bu çerçevede bilgi çağı, birçok alanda önemli kolaylıklar sağlamakla birlikte, kişisel özgürlüklerin özel yaşamın gizliliği ilkesinin ihlal edilmesini de kapsayacak şekilde kısıtlanmasına sebep olmaktadır. Kişisel verilerin işlenmesi yoluyla daha kolay üretilebilen mal ve hizmetler, bireylere ucuz ve hızlı bir şekilde sunulabilmekte ve verilerin işlenmesi yoluyla sağlık, sosyal güvenlik, eğitim ve vergi gibi alanlarda da benzer yararlar elde edilebilmektedir. Diğer taraftan ise kişisel verileri elinde bulunduran kimseler (veri kütüğü sahibi) ile bu verilerin ilgili oldukları kimseler (veri sahibi) arasındaki menfaat dengesi veri sahipleri aleyhine bozulabilmekte ve kişilik haklarının ihlâli neticesinde maddi ve/veya manevi anlamda zararlar doğabilmektedir.

Özellikle bilişim alanındaki ilerlemeler sayesinde kişisel verilerin bilgisayar ortamında kolaylıkla işlenebilir duruma gelmesi, özel yaşama yapılan müdahalelerin elektronik ortam üzerinden de gerçekleşmesine imkan vermektedir. Dolayısıyla, yeni teknolojilerin yarattığı muhtemel saldırılara karşı bireylerin özel yaşamlarının korunmasını temin edecek düzenleme ve uygulamaların tespit edilerek gerekli önlemlerin alınması bir ihtiyaç olarak ortaya çıkmaktadır.

Temel hak ve hürriyetlerin güvence altına alınması ve bireyin özel yaşamının üçüncü kişilere karşı korunması hukukun temel amaçlarından birisidir. 5982 Sayılı “Türkiye Cumhuriyeti Anayasasının Bazı Maddelerinde Değişiklik Yapılması Hakkında Kanun”un 2. maddesi ile Anayasa’nın “Özel Hayatın Gizliliği” başlıklı 20. maddesine 3. fıkra olarak eklenen düzenleme ile “Haberleşme Hürriyeti” başlıklı 22. madde özel yaşamın korunmasıyla ilgili Anayasa ile koruma altına alınmış temel düzenlemelerdir. 24 Ekim 1995 tarih ve 95/46/EC sayılı Kişisel Verilerin İşlenmesi ve Serbest Dolaşımı Bakımından Bireylerin Korunmasına İlişkin Avrupa Parlamentosu ve Avrupa Konseyi Direktifi (“AB Veri Koruma Direktifi”) ile Avrupa Birliği’nde (“AB”) veri koruması alanında oldukça yüksek bir koruma sağlanmış olmakla birlikte, Türkiye maalesef bu alanda kaydedilen ilerlemeye ayak uyduramamıştır. Türkiye’nin sağlıklı bir veri koruması politikası oluşturması AB üyeliğinin olmazsa olmaz şartlarından birisi olarak kabul edildiğinden, bu amaçla Adalet Bakanlığı tarafından Kişisel Verilerin Korunması Kanunu Tasarısı (“KVKK Tasarısı”) hazırlanmış ve söz konusu KVKK Tasarısı Başbakanlık’ta bulunan kanun tasarıları arasında yerini almıştır.

Veri koruması hukuku, kişisel veri niteliği taşıyan bilgilerin toplanması, depolanması, işlenmesi, yok edilmesi, paylaşılması işlemlerinin, hangi amaç ve yöntemler çerçevesinde yapılabileceğinin tespiti ile bu çerçevenin sınırlarını aşan uygulamalar karşısında başvurulabilecek hukuki yolların düzenlenmesini ifade etmektedir. KVKK Tasarısı’nın gerekçesinde de ifade edildiği üzere, genel
nitelikli mevcut hükümler, kişisel verilerin korunmasına özgü düşünceden uzak olmaları sebebiyle veri koruması alanındaki artan ihtiyaca tam olarak cevap verememektedir. Ancak söz konusu ihtiyaç, mevcut genel düzenlemelerin başlı başına yetersiz olmasından ziyade, bu hükümlerin hukuk sisteminde yer almasının, kişisel verilerin korunması amacıyla değil, her bir hükmün ilgili olduğu sahada zamanın ihtiyaçlarını karşılamak amacıyla getirilmiş olmasından kaynaklanmaktadır. Veri korumasına dair ulusal düzeyde düzenlenmenin yapılmış olması ve söz konusu eksikliğin giderilmesinin amaçlanması son derece olumlu bir gelişme olmakla birlikte KVKK Tasarısı’nın kişisel verilerin korunması amacına ne derece hizmet edeceği tartışmaya açıktır.

Kişisel verilerin korunmasına ilişkin düzenlemelerin işlevsel olabilmesi, veri sahipleri ile veri işleyen kişiler arasındaki menfaat dengesinin sağlanabilmiş olmasını gerektirir. Veri korumaya ilişkin düzenlemeler bir yandan kişisel verilere erişimin ticari anlamını ve kamu yararı açısından önemini göz önünde tutarken, diğer yandan da veri sahiplerinin kendilerine ilişkin bilgilerin gizliliğinin korunmasını gözetmelidir. Dolayısıyla menfaat dengesinin bu şekilde sağlanması, yasa koyucunun her iki tarafa da eşit uzaklıkta olmasını gerektirir. KVKK Tasarısı’nın kişisel verileri korumaktan ziyade, bu verilerin özellikle kamu yararı amacıyla ve kamu kurum ve kuruluşlarınca kullanılabilmesinin yolunu açmayı hedeflediği göze çarpmaktadır. Diğer bir ifadeyle, KVKK Tasarısı’nda istisna olarak yer alan düzenlemelerin kapsamı o kadar geniştir ki, kişisel verilerin veri sahibinin izni ile işlenebileceği kuralı önemini yitirmiştir. Buna ilaveten idareye karşı bağımsızlığın ve tarafsızlığın sağlanması, kişisel verilerin korunmasıyla ilgili mevzuatı uygulamakla görevli olan bağımsız ve özerk nitelikteki kurumların kamu kurum ve kuruluşlarına karşı yaptırım gücüne sahip olmasının bir neticesi olarak ortaya çıkmaktadır. KVKK Tasarısı’nda oluşturulması amaçlanan Kişisel Verileri Koruma Kurulu’nun idareye karşı gerçek anlamda bir yaptırım gücüne sahip olmamasının, Devletin kişisel verilerin işlemesi konusunda denetlenmesini engelleyeceği son derece açıktır. Dolayısıyla AB Veri Koruma Direktifi’nin benimsedigi felsefe ile büyük bir tezat içerisinde olan KVKK Tasarısı’nın, bu haliyle yasalaştığı varsayıldığında, veri koruma yasalarından beklenen fayda ve işleve sahip olduğunu savunabilmek pek mümkün görünmemektedir.

Burcu Özsevinç


KAYNAKÇA

1.Elif KUZECİ: Kişisel Verilerin Korunması, 1. Bası, Turhan Kitabevi, Ankara, 2010

2.Hüseyin Can AKSOY: Medeni Hukuk ve Özellikle Kişilik Hakkı Yönünden Kişisel Verilerin Korunması, 1. Bası, Çakmak Yayınevi, Ankara, 2010

3.Nilgün BAŞALP: Kişisel Verilerin Korunması ve Saklanması, 1. Bası, Yetkin Yayınları, Ankara, 2004

4.Kişisel Verilerin Korunması Kanun Tasarısı
http://www.kgm.adalet.gov.tr/basbakanlik/kisiselveriler.pdf

5.Kişisel Verilerin Korunması Kanun Tasarısı Hakkında Türkiye Bilişim Vakfı Görüşü B.03.0.KGM.0.00.00.01-2202 sayı 17/07/2003 tarihli yazı, 18.08.2003
http://www.tbv.org.tr/TBV/Documents/BTHukuku/KisiselVerilerinKorunmasiKanunTasarisi-TBVGorus.pdf

12 Aralık 2011 Pazartesi

TÜRKİYE'DE YÜRÜLÜKTEKİ DÜZENLEMELER ÇERÇEVESİNDE KİŞİSEL VERİLERİN KORUNMASI

Türkiye’de kişisel veri korumasina ilişkin şu anda özel yasal bir düzenleme bulunmamakla beraber, kişisel veriler Anayasa, İnsan Haklari Evrensel Bildirgesi, Avrupa İnsan Haklari Sözleşmesi, Medeni Kanun çerçevesinde dolayli bir şekilde korunmakla beraber, Türk Ceza Kanunu, İş Kanunu, Elektronik İmza Kanunu, Bankalar Kanunu, Adli Sicil Kanunu, Nüfus Kanunu ve Telekomünikasyon Sektöründe Kişisel Bilgilerin İşlenmesi ve Gizliliğin Korunmasi Hakkinda Yönetmelik kişisel verilerin korunmasina ilişkin özel hükümler barındırmaktadır.

Anayasa’nın 20. Maddesi özel hayatin gizliliği, 22. Maddesi haberleşmenin gizliliği ve 40. Maddesi temel hak ve hürriyetlerin korunmasını talep hakkini güvence altına almaktadır.

Bunun yanında 1948 tarihli İnsan Hakları Evrensel Bildirgesi’nin 12. Maddesinde de “Kimsenin özel yaşamına, ailesine konutuna ya da haberleşmesine keyfi olarak karışılamaz, şeref ve adina saldirilamaz. Herkesin bu gibi karışma ve saldırılara karşi yasa tarafından korunmaya hakkı vardır.” İfadesi yer almaktadIr. Bu madde ile özel yaşam korunmakta olup, kişisel verilerin korunması dolaylı bir şekilde gerçekleşmektedir.

Ayrıca Türkiye’nin 1954 yılında onayladığı 1950 tarihli Avrupa İnsan Hakları Sözleşmesi’nin 8. Maddesinde de, herkesin özel ve aile hayatina, konutuna ve haberleşmesine saygı gösterilmesi hükme bağlanmıştır, fakat 2. Fıkrası, bu hakkın sınırsız olmadığını ve kamu otoritelerinin “ulusal güvenlik, kamu emniyeti, ülkenin ekonomik refahı, dirlik ve düzenin korunması, suç işlenmesinin önlenmesi, sağlığın veya ahlakın veya başkalarının hak ve özgürlüklerinin korunması için, demokratik bir toplumda, zorunlu olan ölçüde ve yasayla öngörülmüş olmak koşuluyla” bu hakkin kullanılmasına müdahalede bulunabileceklerini ifade etmektedir.

Medeni Kanun’un kişiliği koruyan hükümleri olan 23. 24. Ve 25. Maddeleri çerçevesinde de kişisel verilerin korunması mümkün olmaktadır. Medeni Kanun’un 23. Maddesi kisinin rızası ile yapılan saldırılara karşı korumayı, 24. Maddesi kisinin rızası dışında yapılan saldırılara karşı korumayı ve 25. Madde ise kişilik hakkı tecavüze uğrayan veya tecavüze uğrama tehlikesi bulunan kişinin açabileceği davaları düzenlemektedir.

5237 sayılı TCK’da özel hayata ve hayatın gizli alanı karşı suçlar başlıklı 9.bölümde 134 vd. maddelerde kişisel verilerin korunmasini konuları ele alınmaktadır. 5237 sayılı TCK’nin 135. Maddesinde kişisel verilerin kaydedilmesi, 136. Maddesinde verileri hukuka aykırı olarak verme veya ele geçirme, 138. Maddesinde verileri yok etmeme suçları düzenlenmiştir. Kanunun 137. Maddesinde ise kişisel verilerin kullanılmasına ilişkin 135. Ve 136. Maddelerde düzenlenen suçların kamu görevlisi tarafından ve görevinin verdiği yetkiyi kötüye kullanmak suretiyle ve belli bir meslek ve sanatın sağladığı kolaylıktan yararlanmak suretiyle işlenmesi halinde verilecek cezanın yarı oranında arttırılacağı öngörülmüştür.

4857 sayılı İş Kanunu’nun işçi özlük dosyası başlıklı 75. Maddesine göre çalıştırdığı her işçi için işçinin kimlik bilgilerinin de bulunduğu bir özlük dosyası düzenleme zorunluluğu altında olan işveren, işçi hakkinda edindiği bilgileri dürüstlük kurallarına ve hukuka uygun olarak kullanmakla ve gizli kalmasında işçinin haklı çıkarı bulunan bilgileri üçüncü kişilere açıklamamakla yükümlüdür.

5070 sayılı Elektronik İmza Kanunu’nun 12. Maddesinde de sertifika vermek için gerekli bilgiler dışında herhangi bir bilgi talep edemeyen ve bu bilgileri veri sahibi kişinin rızası dısında elde edemeyen elektronik sertifika hizmet sağlayıcısının, sertifika sahibinin izni olmaksızın sertifikayı üçüncü kişilerin ulaşabileceği ortamlarda bulunduramayacağı ve bu bilgileri üçüncü kişilere iletemeyeceği, başka amaçlarla kullanamayacağı ifade edilmektedir.

1512 sayılı Noterlik Kanunu 54. Maddesinde ise noter ve noter katiplerinin görevleri dolayısıyla öğrendikleri sırları kanunların emrettiği haller dışında açıklayamayacakları öngörülmüştür.

Bir diğer yasa da, 5411 sayılı Bankalar Kanunudur. Kanun’un 73. Maddesinde sırların saklanması baslığı altında kişisel verilerin korunmasına ilişkin düzenleme bulunmaktadır. Yine 5464 sayili Banka Kartları ve Kredi Kartları Kanunu’nun 23. Maddesinde kişisel verilerin korunması hususu düzenleme bulmaktadır. Bu madde uyarınca üye işyerleri, kartın kullanım sonucunda kart ve kart hamili ile ilgili edindikleri bilgileri kanunla yetkili kılınan kişi kurum ve kuruluşlar hariç olmak üzere kart hamilinin yazılı rızasını almadan başkasına açıklayamaz,saklayamaz ve kopyalayamazlar.

3682 sayılı Adli Sicil Kanunu’nun 11. Maddesi adli sicil ve arşiv bilgilerinin gizli olduğu ve görevlilerce aynı kanunun 10. Maddesinde belirtilen kişi, kurum ve kuruluşlar dışındaki kimselere açıklanamayacağı, bu bilgilerin kanun çerçevesinde verildiği kişi, kurum ve kuruluşlarca verilme amacı dışında kullanılamayacağını öngörmektedir.

Kişisel verilerin korunmasına ilişkin özel düzenleme içeren 1587 sayılı Nüfus Kanunu’nun 61. Maddesinde ise diğer nüfus dairelerinden, askerlik şubesi ve adalet mercilerinden istenilen bilgiler ve kopyaları onaylı olarak verme yükümlülüğü altında olan nüfus dairelerinin mahallin en büyük idari amirinin yazılı emri olmadıkça başka hiçbir daireye kopya, özet ve bilgi veremeyecekleri öngörülmüştür.

Bunlar dışında son bir düzenleme Telekomünikasyon Sektöründe Kişisel Bilgilerin İşlenmesi ve Gizliliğin Korunması Hakkında Yönetmeliktir. Yönetmelik telekomünikasyon sektöründe kişisel bilgilerin işlenmesi ve gizliliğin korunmasına ilişkin usul ve esasları belirlemek için çıkartılmıştır ve telekomünikasyon sektörunde hizmet veren gerçek ve tüzel kişileri kapsamaktadır.

KAYNAKÇA

Hüseyin Can Aksoy, Medeni Hukuk ve Özellikle Kişilik Hakkı Yönünden Kişisel Verilerin Korunması, Çakmak Yayınevi Ankara 2010 sf. 81-82-83-84-85-92-93-94-112-113-114-115

Dr. Muammer Ketizmen Türk Ceza Hukunda Bilişim Suçları Adalet Yayınevi Ocak 2008 sf. 191-203-204

Doç. Dr. Mustafa Topaloğlu Bilişim Hukuku Karahan Kitabevi Mayıs 2005 sf. 174-175-176-180

11 Aralık 2011 Pazar

KİŞİSEL VERİLERİ KORUMA KURULU

Avrupa Birliği Düzenlemeleri Bakımından:
Kişisel verilerin korunmasının gerek temel hak ve özgürlükler gerekse özel hayatın gizliliği bakımından taşıdığı önem, kişisel verilerin işlenmesi konusundaki denetimin önemini de beraberinde getirmektedir. Bu bağlamda Avrupa Birliği’nin 95/46 sayılı Kişisel Verilerin Korunmasına ilişkin yönergesinin 28. maddesinde, üye devletlerin, kişisel verilerin işlenmesine ilişkin ilkelerin uygulanmasını izlemek ve yönlendirmek üzere bir veya birkaç kamu kuruluşunu görevlendirmeleri ve bu kurumların bağımsız olmaları öngörülmektedir.
Veri koruma yasalarını iç hukuk düzenlerinin bir parçası haline getirmiş devletlerin büyük bir bölümü, bu yasaların uygulanmasını denetleyecek organlar kurmuştur. Bu direktif uyarınca AB üyesi ülkeler, bağımsız bir şekilde görev yapacak kurullar oluşturmuşlardır. Almanya’da Federal Verileri Koruma Görevlisi, Avusturya’da Verilerin Korunması Komisyonu, İngiltere’de Veri Koruma Komisyonu gibi kuruluşlar veri korumasına ilişkin ilkelerin uygulanmasını izleyen ve yönlendiren bağımsız nitelikte kuruluşlardır. (Küzeci, Kişisel Verilerin Korunması, 2010, sf.157; sf.250-255)
AB’ne üye devletlerin, kişisel verilerin işlenmesine dair birey hak ve özgürlüklerinin korunmasına ilişkin idari tedbir veya yönetmelikleri hazırlarken, bu denetim makamlarına danışılmasını sağlamaları gerekmektedir. Bu bağlamda, veri korumaya ilişkin kurumlar, kişisel verilerin korunması konusunda politikaların geliştirilmesinde de oldukça etkili olmaktadırlar.
AB sisteminde bu organların yetkileri, yönergenin 28. Maddesinde düzenlenmiştir. Buna göre;
-Denetim görevlerinin yerine getirilmesi için gerekli tüm bilgileri toplama ve işleme faaliyetlerinin konusunu oluşturan verilere erişim yetkileri gibi araştırma yetkileri
-Ulusal parlamentolar veya diğer siyasi kuruluşlara konuyu havale etme veya denetleyiciye ihtar verme veya uyarma, işleme üzerinde geçici veya kesin yasaklama koyma, verilerin yok edilmesini veya silinmesini, engellenmesini emretme, bu tür görüşlerin uygun şekilde yayınlanmasını sağlama işleme faaliyetlerinin yerine getirilmesinden önce görüş bildirme gibi etkin müdahale yetkileri
-Direktif uyarınca kabul edilen ulusal hükümlerin ihlal edilmesi durumunda dava ve şikayet yetkisi
Yönerge doğrultusunda, veri koruma denetçisi, AB kurum ve organları tarafından kişisel verilerin işlenmesini denetlemek ile sorumlu olup, kurumun etkisi bu temel görevi ile sınırlı değildir. Kişisel verilerin işlenmesine dair hak ve özgürlüklerin korunmasına ilişkin, kişi veya kişiyi temsil eden bir kurum tarafından arz edilen iddiaları ve veri işlemenin yasallığı hakkındaki iddiaları dinleme, kurul faaliyetlerine ilişkin olarak düzenli aralıklarla rapor hazırlama ve raporu kamuya açıklama kurulun diğer görevleri arasında yer almaktadır.
Veri koruma hukuku kapsamına giren pek çok olayın uluslararası nitelik taşıması, işbirliğinin benimsenmesini bir zorunluluk haline getirmekte olduğundan, yönergede denetim makamlarının yararlı bilgileri takas ederek, görevlerini yerine getirmek için gerekli ölçüde birbirleri ile iş birliği yapmaları öngörülmektedir.
Üye devletler, denetleme makamı personellerinin görevlerinin bitiminden sonra da geçerli olmak üzere, görevleri gereği eriştikleri gizli bilgilere ilişkin olarak, meslek sırrı yükümlülüğüne tabi olmalarını sağlamaları gerekliliği, yönergede düzenlenen bir diğer husustur.



Türkiye’deki Düzenlemeler Bakımından:

Türk hukukunda henüz yasalaşmamış olan kişisel verilerin korunması hususuna ilişkin tasarı m.26’da, kişisel verileri kontrol edenleri denetlemek ve bu kanunla verilen görevleri yapmak üzere, Kişisel Verileri Koruma Kurulu’nun kurulacağı ve kurulun yetkilerini bağımsız olarak kullanacağı öngörülmektedir. Madde gerekçesinde, diğer AB’ne üye ülkelerdeki bağımsız kuruluşlar örnek alınarak bu düzenlemenin yapıldığı belirtilmektedir.
Kurul, görevleri ile ilgili konularda tüm kamu kurum ve kuruluşları ile gerçek ve tüzel kişilerden her türlü bilgi ve belgeyi isteyebileceği ve ilgili kuruluşların söz konusu isteğe cevap vermek ve gereken kolaylığı sağlamakla yükümlü olduğu da tasarıda hükme bağlanmıştır.
Kurulun görev ve yetkileri m.31’de düzenlenmiştir. Buna göre kurula, kişilik hakları ihlal edilenlerin başvuruları hakkında karar verme yetkisi tanınmış, ilgili kişi bakımından telafisi güç veya imkânsız bir zararın doğması ihtimalinin bulunması halinde ise kurul tarafından geçici önlemler alınabileceği hüküm altına alınmıştır.
Tasarıya göre kurula verilen yetkiler şunlardır;

1- Kişisel verilerin işlenmesine ilişkin konularda düzenleyici işlemler tesis etmek,
2- Yabancı ülkelere veri aktarımı konusunda tereddüt bulunması halinde karar vermek,
3- Kurul Başkanının sunduğu önerileri karara bağlamak,
4- Kurul faaliyetleri hakkında rapor hazırlamak,
5- Sicilin tutulmasını sağlamak,
6- Yurtiçi ve yurtdışında verilerin korunması makamları ile işbirliği yapmak,
7- Veri koruma alanında gelişmeleri takip etmek, bunların uygulanması için gerekli önlemleri almak, ulusal ve uluslar arası alanlarda kurum ve kuruluşlarla işbirliği yapmak ve araştırma geliştirme ve teknik projeleri hazırlamak, kanunlarda verilen diğer görevleri yapmaktır.
Tasarı m.32’e göre şikayetler, şikâyet konusu işlemin yapıldığı yere ya da öğrenme tarihinden itibaren altmış gün içinde kurula yapılacaktır. Kurul kendisine yapılan şikayetleri 3 ay içerisinde inceleyip karara bağlamakla yükümlüdür. Bu süre hukuki veya fiili sebeplerin varlığı halinde 3 ay daha uzatılabilir. Kurulun vereceği kararlara karşı idare mahkemelerinde ilgili kişiler tarafından dava açılabilmesi mümkün olduğu gibi, kişilik hakları ihlal edilenler, genel hükümlere göre zararlarını tazmin ettirebilirler. (www.inet.tr.org,Türkiye’de Kişisel Verilerin Korunması, sf.10-11)



Kaynakça:
Dr. Elif Küzeci, Kişisel Verilerin Korunması, Turhan Kitapevi, Ankara 2010, sf.157; sf.250-255
www.inet.tr.org,Türkiye’de Kişisel Verilerin Korunması
http://eur-lex.europa.eu/
www.tbmm.gov.tr

7 Aralık 2011 Çarşamba

FSEK EK MADDE 4 KAPSAMINDA ERİŞİMİN ENGELLENMESİ

FSEK EK MADDE 4 KAPSAMINDA ERİŞİMİN ENGELLENMESİ
Anayasa’nın 12.maddesinde temel hak ve hürriyetlerin niteliğinin ne olduğu hususuna yer verilmiş ve 13. maddesinde de, temel hak ve hürriyetlerin, özlerine dokunulmaksızın yalnızca Anayasa’nın ilgili maddelerinde belirtilen sebeplere bağlı olarak ve ancak kanunla sınırlanabileceği belirtilmiştir.
Anayasa’nın 26.maddesi ile de herkesin düşünce kanaatlerini yayma hakkına sahip olduğu ifade edilmişe de 2.fıkrada bunun sınırı çizilmiştir. Belirtilen sınıra göre hürriyetlerin kullanılması milli güvenlik, kamu düzeni, kamu güvenliği, Cumhuriyetin temel nitelikleri ve Devletin ülkesi ve milleti ile bölünmez bütünlüğünün korunması, suçların önlenmesi, suçluların cezalandırılması, Devlet sırrı olarak usulünce belirtilmiş bilgilerin açıklanmaması, başkalarının şöhret veya haklarının, özel ve aile hayatlarının yahut kanunun öngördüğü meslek sırlarının korunması veya yargılama görevinin gereğine uygun olarak yerine getirilmesi amaçlarıyla sınırlanabilmektedir. Bu madde, internette yayınlanan içeriklerin erişiminin hangi hallerde engellenebileceğine dayanak oluşturmaktadır.
5846 sayılı Fikir ve Sanat Eserleri Kanunu’nun Ek Madde 4.maddesinde açıkça internet sitelerine kullanıcıların erişiminin engellenmesine dair kararın verilebileceği haller düzenlenmemiştir. FSEK Ek Madde 4/3 maddesi incelendiğinde; “Dijital iletim de dahil olmak üzere işaret, ses ve/veya görüntü nakline yarayan araçlarla servis ve bilgi içerik sağlayıcılar tarafından eser sahipleri ile bağlantılı hak sahiplerinin bu Kanunda tanınmış haklarının ihlâli halinde, hak sahiplerinin başvuruları üzerine ihlâle konu eserler içerikten çıkarılır. Bunun için hakları haleldar olan gerçek veya tüzel kişi öncelikle bilgi içerik sağlayıcısına başvurarak üç gün içinde ihlâlin durdurulmasını ister. İhlâlin devamı halinde bu defa, Cumhuriyet savcısına yapılan başvuru üzerine, üç gün içinde servis sağlayıcıdan ihlâle devam eden bilgi içerik sağlayıcısına verilen hizmetin durdurulması istenir. İhlâlin durdurulması halinde bilgi içerik sağlayıcısına yeniden servis sağlanır. Servis sağlayıcılar, bilgi içerik sağlayıcılarının isimlerini gösterir listeyi her ayın ilk iş günü Bakanlığa bildirir. Servis sağlayıcılar ile bilgi içerik sağlayıcıları, Bakanlıkça istendiği takdirde her türlü bilgi ve belgeyi vermekle yükümlüdür. Bu maddede belirtilen hususların uygulanmasına ilişkin usul ve esaslar Bakanlık tarafından çıkarılacak bir yönetmelikle belirlenir.” denmektedir. Ancak FSEK’ te servis sağlayıcı ve bilgi içerik sağlayıcı tanımının ne olduğu hususuna yer verilmemiştir.
İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi adlı Kanun’da içerik sağlayıcıların internet ortamı üzerinden kullanıcılara sunulan her türlü bilgi veya veriyi üreten, değiştiren ve sağlayan gerçek veya tüzel kişileri ifade ettiği belirtilmiştir. Çeşitli kaynaklarda ise servis sağlayıcısının kişilere, kurumlara internet servislerini tamamen ya da kısmen belirli bir ücret karşılığında sunan aracı kuruluşlara verilen ad olduğu ifade edilmektedir.
FSEK EK Madde/’ü daha ayrıntılı incelediğimizde de “…İhlâlin devamı halinde bu defa, Cumhuriyet savcısına yapılan başvuru üzerine, üç gün içinde servis sağlayıcıdan ihlâle devam eden bilgi içerik sağlayıcısına verilen hizmetin durdurulması istenir.” ifadesi dikkat çekmektedir. Zira mezkûr madde gereğince ihlalin devamı halinde hizmetin durdurulması Cumhuriyet Savcılığı’ndan talep edilmektedir. Bu maddeden, ortada bir mahkeme kararı olmadan internet sitesine erişimin engellenebileceği anlaşılmaktadır.
Oysa Kabahatlar Kanunu’nun 23.maddesine göre Cumhuriyet Savcısı Kanun’da açık hüküm bulunan hallerde ve bir kabahat dolayısıyla idari yaptırım karar vermeye yetkili kılınmıştır. Görüldüğü üzere Cumhuriyet Savcısı’nın vermiş olduğu karar idari nitelikte bir karardır.
Ancak her ne kadar Kanuna göre erişimin engellenmesi kararının Cumhuriyet Savcısı tarafından verilmesi gerekse de doktrinde ve uygulamada da yaygın olan görüşe göre erişimin engellenmesi kararı Savcılık tarafından değil mahkeme kararı ile verilmelidir. Keza uygulamada erişimin engellenmesi Savcılık’tan talep edilse de, Savcılık bu talebi Sulh Ceza Mahkemesi’ne göndermekte ve eğer gerekli görülürse bir mahkeme kararı ile erişimin engellenmesine kararı verilmektedir. Ancak yine de bu nitelikte kararların hala Savcılık tarafından da verilebildiği görülmektedir.
Görüldüğü üzere genel olarak Kanun’daki düzenlemenin dışında bir uygulama bulunmaktadır. Bu sebeple Yeni Kanun için sunulan yasa teklifinde EK madde 4 ayrıntılı olarak düzenlenmekte ve başvurunun Cumhuriyet Savcılığı’na yapılacağı ve Cumhuriyet Savcısı’nın da hâkim tarafından erişim sağlayıcının, içerik sağlayıcısına ve/veya yer sağlayıcısına verilen hizmetin durdurulması veya erişimin engellenmesi yönünde karar verilmesini talep edebileceği, Cumhuriyet Savcısı’nın ise ancak gecikmesinde sakınca bulunan hallerde hukuka aykırı içerik kaldırılıncaya kadar erişimin engellenmesine karar verebileceği, ancak bu durumda da Cumhuriyet Savcısı’nın vermiş olduğu kararı yirmi dört saat içinde hakimin onayına sunacağı ve hakimin de en geç yirmi dört saat içinde kararı vereceği, bu süre içinde kararın onaylanmaması halinde tedbirin Cumhuriyet Savcısı tarafından derhal kaldırılacağı hükme bağlanmak istenmektedir. Zira FSEK EK Madde 4’e göre erişimin engellenmesi kararı kişilik hakkının ihlal edilip edilmediği konusunda irdelenmesi gereken bir konu olduğundan FSEK Ek Madde 4’ün bu yönde değişmesi daha uygun olacaktır.