1. Kişisel Veri Kavramı ve Kişisel Verilerin İşlenmesi
Kişisel veriler, ilk olarak devletin vatandaşları hakkındaki bilgileri çeşitli organları vasıtasıyla kayıt altına alması, ve bunları çeşitli amaçlar doğrultusunda kullanması şeklinde ortaya çıkmış bir kavramdır. Daha sonraları özel sektörün toplumsal hayatta daha etkin rol almaya başlamasını takiben, kişisel veriler gerçek kişiler ve özel hukuk tüzel kişileri tarafından da etkin bir şekilde işlenmeye başlamıştır. Özellikle günümüzde birçok işlemin etkin bir şekilde gerçekleştirildiği internet ortamı üzerindeki bilgi alışverişi kişisel verilerin çok daha büyük çapta ve hızlı bir şekilde aktarımına neden olmaktadır.
Kişisel veri, kişilere ait her türlü bilgiyi ifade eder. Kişilerin kimlik bilgileri, ırk, dil, din, köken, özel hayatına ilişkin diğer bilgiler, sağlık, cinsellik, tutum ve alışkanlıklar ve belirli bir sınırlama getirilmesi mümkün olmayan, akla gelebilecek her çeşit bilgi bu kavrama dahildir. Bu bilgilerden her biri tek başına düşünüldüğünde çok anlamlı ya da önemli olmayabilir. Ancak kitleler halinde olduğu düşünülürse, bu bilgiler belirli tasniflerle ve belirli amaçlara yönelik kullanıldığında değeri trilyon dolarla ölçülebilen bir katma değer meydana getirmektedir.
Kişisel verilerin işlenmesi, verilerin toplanması, elde edilmesi, kaydedilmesi, depolanması, düzenlenmesi, değiştirilmesi, değerlendirilmesi, kullanılması, aktarılması, açıklanması, yok edilmesi, silinmesi gibi kişisel bilgiler üzerinde yapılabilecek her türlü işlemi ifade etmektedir. Veriler, veri sahiplerinden çok çeşitli işlemler vasıtasıyla, kendi rızalarıyla elde edilebilmektedir. Günümüzde hemen her işlemde asgari, kimlik bilgileri ve iletişim bilgilerini işlemin karşı tarafına aktarıyoruz. İşin niteliğine göre işlemin karşı tarafı çok daha detaylı bilgilerinize ihtiyaç da duyuyor olabilir. Sonuç olarak gerçek ya da tüzel kişi fark etmeksizin hemen herkesin kayıtları bir şekilde bir yerlerde yer almaktadır.
Kişisel verilerin işlenmesine tipik örnek, özel sektörde yaygın olarak kullanılan “data mining” (veri madenciliği) kavramıdır. “Data mining”, kişilere ait bilgilerin belirli algoritmalar vasıtasıyla belirli bir amaç doğrultusunda tasnif edilerek katma değer meydana getirecek şekilde kullanılması, değerlendirilmesidir.
Kişisel verilerin işlenmesi kamusal alanda ve ticaret sektöründe hayati önem taşımaktadır. Kamu hizmetleri bakımından toplumun ihtiyaçları daha kolay takip edilebilmektedir. Özel sektördeki yatırımcılar ise yatırımlarını yine bu bilgiler doğrultusunda daha etkin ve karlı bir şekilde değerlendirebilmektedirler. Buna karşın bireylerin kişilik hakları bakımından ise bir menfaat çatışması söz konusu olmaktadır. Kişilerin özel hayatlarına ilişkin bilgiler üzerindeki tasarruf yetkisi hiçbir hukuk devletinde göz ardı edilmemesi gereken bir ilkedir. Bu sebeple kişisel verilerin korunmasına yönelik güvenli bir ortam oluşturma ihtiyacı ortaya çıkmaktadır.
2. Uluslararası Hukukta ve Türk Hukukunda Kişisel Verilerin Korunmasına İlişkin Düzenlemeler
2.1 Genel Olarak
Kişisel verilerin korunmasına yönelik ilk çalışma OECD (Ekonomik İşbirliği ve Kalkınma Teşkilatı) tarafından 1980 tarihinde yayınlanan kişisel verilerin korunmasına ilişkin kılavuz ilkeleri ihtiva eden bir “Konsey Tavsiyesi” şeklinde ortaya çıkmıştır[1]. Sanayileşmiş Avrupa ülkelerinin ve hatta Avrupa dışından Amerika, Kanada, Japonya, Yeni Zelanda gibi ülkelerin üye olduğu topluluk için bağlayıcı olmayan, tavsiye niteliğindeki bu ilkeler, üye ülkelerin iç hukukları bakımından bir kılavuz görevi görmüştür.1981 yılında ise bu alanda ilk bağlayıcı düzenleme olan Avrupa Konseyi’nin “Kişisel Verilerin Otomatik İşleme Tabi Tutulması Sırasında Gerçek Kişilerin Korunmasına İlişkin” 108 No’lu sözleşmesi imza altına alınmıştır. Türkiye’nin de bu sözleşmeye taraf olmasına rağmen sözleşmenin gerektirdiği şekilde iç hukukta bu alana yönelik bir düzenleme yapılmamıştır. Avrupa Birliği’nin 1995 yılında yayınlanan 95/46 sayılı yönergesi kişisel verilerin korunmasına ilişkin temel kavramları ortaya koymuştur. Bilindiği üzere AB yönergelerinin bağlayıcı niteliği olmamasına rağmen, Türkiye için en tetikleyici düzenleme bu olmuştur.
2.2 Avrupa Birliği’nin 95/46 Sayılı Direktifi ve
Mukayeseli Hukuka Etkisi
AB 95/46 sayılı direktifi ile üye devletlerin kişisel verilerin korunması ilişkin mevzuatlarında yeknesaklığı sağlamaları amacıyla kişisel verilerin korunmasına ilişkin temel ilkeleri ortaya koymaktadır.
Öncelikle kişisel verilerin korunmasının dayanağı olan hakların, kişilik hukukundan doğduğu düşüncesiyle bu düzenlemenin konusu sadece gerçek kişilerle sınırlı bırakılmıştır. Ancak tüzel kişilerin verilerinin korunmasına ilişkin düzenlemelerin üye devletlerin kendi iç hukuklarında yer verebileceği de belirtilmiştir. Tüzel kişilere ait verilerde hiç kuşkusuz gerçek kişilere ait veriler de mevcut olabilir. Bu durumda bu gerçek kişilere ait veriler yine bu düzenlemenin kapsamında değerlendirilecektir.
Yönergede kabul edilen önemli bir ayrım, kişisel veri-hassas kişisel veri (special categories of data, mad. 8) konusundadır. Etnik ve ırksal köken; politik, dini ve felsefi görüş; sendika üyeliği; sağlık ve cinsel yaşama ilişkin bilgiler hassas veriler olarak belirlenmiştir. Hassas verilerin işlenmesi kural olarak yasaklanmakta, ancak yine aynı maddede sayılan istisnai hallerde işlenmesi mümkün kılınmaktadır. Bu istisnalar; veri sahibinin açık rızası, veri işleyenin (controller) iş hukukundan doğan yükümlülüklerini yerine getirebilmesi için zorunlu olan haller; veri sahibinin veya bir 3. kişinin daha üstün nitelikli bir hakkının korunması için zorunlu olması, ticari amaca yönelmemiş, politik, felsefi dinsel veya sendikal nitelikteki kuruluşların üyelerine ilişkin verileri uygun garantileri vermek koşuluyla işlemesi; bilginin veri sahibi tarafından umuma ifşa edilmiş olması veya mahkemede iddia ve savunma için gerekli olması; mesleki bir zorunluluk olarak sır saklama yükümlülüğü altında olan tıb doktorları ya da diğer sağlık personellerinin tıbbi müdahale, tedavi ve diğe sağlık hizmetleri amacıyla verileri işlemeleri; ve suçla mücadele, mahkumiyet ve güvenlik tedbirlerine ilişkin konularda verilerin işlenmesi halleridir.
Yönerge de kabul diğer bazı ilkeler ise, veri sahibinin veri işlemesi konusunda bilgilendirilmesi, eksik ve hatalı verileri düzeltme hakkı, veri işlenmesini engellemesi ve itiraz edebilmesi, ve her halde verinin hukuka uygun yollarla elde edilmiş olmasıdır. Ayrıca yine bu düzenlemeye göre, veriler ancak yasal olan amaçlar doğrultusunda işlenebilir, ve toplanma amacını aşan mahiyette işlemlere konu olamaz, toplanma amacının gerektirdiği süreden daha uzun süre saklanamazlar.
Gerek 95/46 sayılı direktifin 18. ve 28. maddesinde gerekse Avrupa konseyi’nin 108 sayılı sözleşmesinde, veri işlemesini denetim altında tutmak üzere kurulacak bağımsız bir veri koruma otoritesinden (Supervisory Authority) bahsedilmektedir. AB üyesi ülkeler veri koruma otoritesi uygulamasını farklı biçimlerde uygulamaya koymuştur. İlk göze çarpan şekliyle Ombudsman ve Regülasyon modelleri Avrupa ülkelerinde faaliyet gösteren veri koruma otorittesi türleridir. Ombudsman modeli veri sahiplerinin şikeyetleri üzerine harekete geçen, bireyin kişisel verilerinin hukuksuz işleme maruz kalması halinde tecavüzün meni, refi ve tazmini için gerekli işlemleri yapan bir kuruluş şeklindedir. Bu tür otoriteler veri işleyenin (kontrolör) uygulamaları üzerinde genel bir denetim gerçekleştirmemekte daha çok şikeyetler üzerine vakıa bazlı çalışmaktadırlar.Regülasyon modelini uygulayan ülkelerde ise yine şikayet üzerine ya da oluşturulan raporlar doğrultusunda veri işleyenlerin davranışlarının hukuka uygunluğunu denetleyen ve hatta gerektiği yerde görülen eksiklikleri yasa koyucuya iletmekte bu konuda yeni düzenlemelere gidilmesini sağlamaktadırlar. Burada benimsenen model ne olursa olsun önemli olan veri koruma otoritesinin bağımsız ve özerk olmasıdır. Veri korumasının sadece özel hukuk kişilerine karşı değil bizzat devlete karşı da korunması gereken bir değer olduğundan bahisle, veri koruma otoritesinin özerk bir bütçeye sahip olması ve atamalarının daha önceden kanunla belirlenmiş yöntemlerle, siyasi otoritenin iradesinden uzak bir şekilde gerçekleştirilmesi gerekmektedir.
95/46 sayılı AB direktifinin 25. maddesi üye ülkelerden diğer ülkelere (third country) yapılacak veri transferlerini düzenlemektedir. Dolayısı ile yönergenin ülkemiz açısından, daha önce imza attığımız Avrupa Konseyi’nin 108 sayılı sözleşmesinden fiilen daha önemli konuma getiren hükmü bu maddedir. Keza söz konusu düzenleme, üye ülkeleri arasında yeknesak bir veri koruma mevzuatı oluşturmayı hedeflemekte, diğer ülkeler bakımından ise üye ülkelerle eşit düzeyde veri koruması sağlayan diğer bir deyişle ancak “güvenli” (secure) bir ülkeye veri transferi yapılabileceğini öngörmektedir. Ülkemiz ise bu konuda “güvensiz” (non-secure) ülke olarak nitelendirilmektedir. Çünkü ülkemizde veri korumasına lişkin bir çerçeve düzenleme bulunmamaktadır.
95/46 sayılı direktif bilindiği üzere tavsiye niteliğinde bir düzenleme olup, her nekadar üye ülkeler arasında yeknesak bir hukuk meydana getirmeyi hedeflemişse de üye devletlerin iç hukukları bakımından tam bir bütünlük meydana getirmemiştir. Gerek veri korumasına ilişkin temel kriterler açısından gerekse bağımsız veri koruma otoritesi uygulaması bakımından tam bir uyumluluk söz konusu değildir. Yönergede hassas veriler şeklinde nitelendirilen türdeki veriler de ülkelerin kendi gelenek ve adetleri yada toplumsal değer yargılarına göre faklılık arzetmektedir. Bu tür verilerin 3. ülkelere transferine izil verilmesi konusunda da ülkeden ülkeye değişen farklı prosedürler söz konusudur. Bu sebeple AB üyesi bir ülkeden veri transferine ilişkin bir durumla karşı karşıya kalındığında AB Hukuku’ndan çok üye ülkenin iç mevzuatı irdelenmelidir.
2.3 Türk Mevzuatında Kişisel Verilerin Korunmasına Yönelik Bir Çerçeve Kanun Bulunmamasının Sonuçları
Anayasa’nın 20. maddesinin ek 3. fıkrasında kişisel verilerin korunmasına ilişkin haklar kaleme alınmıştır. Anayasa’ya 12.9.2010 tarihinde eklenen fıkranın 1995 tarihli AB yönergesi ile paralel bir düzende olduğu görülmektedir. Ek 3. fıkrada veri sahibine kendisiyle ilgili kişisel veriler hakkında bilgilendirilme bu verilere erişme, bunların düzeltilmesini ve silinmesi talep etme ve alınma amaçları doğrultusunda kullanılıp kullanılmadığını öğrenme, amacını aşan kullanımları men etme hakkı tanımaktadır. Kişisel verilerin ancak veri sahibinin rızası yada kanunda düzenlenen istisnalar halinde işlenebileceği hükme bağlanmıştır. Aslında Anayasa’nın 13. maddesinin açık hükmü karşısında bu hükmün sistematik olarak yanlış kaleme alındığını belirtmek gerek. Çünkü 13. maddeye göre Anayasal hak ve özgürlükler yine ancak Anayasa’da belirtilen koşullarda ve hallerde kısıtlanabilir. Burada ise bu hakkın yasaca belirlenecek istisnalarla kısıtlanabileceği öngörülmektedir. Diğer bir yandan bu tür bir kısıtlamayı düzenleyecek bir kanun henüz çıkmamıştır. Ek 3. Fıkranın son cümlesi kişisel verilerin korunmasına ilişkin esas ve usullerin kanunla düzenleneceği belirtilmektedir. Bu hüküm Kişisel Verilerin Korunmasına İlişkin Kanun Taslağı’nın habercisi olmuştur. Veri korumasına ilişkin bir çerçeve kanun olmaması AB 95/46 sayılı direktifinin ve buna dayalı ülke mevzuatlarının 3. ülkelere veri transferi konusunda getirdiği kısıtlamalar doğrultusunda IT altyapıları ülkemizde bulunan şirketlere veri transferinin yapılamamasına sebep olmaktadır. Artık günümüzde Türk şirketler yabancı merkezli şirketleri devralmakta, buna dayalı olarak da devralınan şirketlere ait dataların merkezi Türkiye’de olan şirketlerin IT sistemlerine transferi gerekmektedir. Ancak ülkemizde veri korunmasına ilişkin bir yasa mevcut olmadığı için ülkemiz uluslararası düzeyde “güvensiz” veri korumasına sahip ülkeler arasında gösterilmektedir. Bu sebeple de veri transferleri gerçekleştirilememekte, bazı durumlarda Türk şirketler çok daha iyi ve kullanışlı olan kendi IT sistemleri yerine yurtdışındaki IT sistemleri vasıtasyla verileri yönetmek zorunda kalmaktadırlar.
Kaynakça:
1-Oğuz Şimşek, Anayasa Hukukunda Kişisel Verilerin Korunması,1. Baskı,Beta, İstanbul, 2008, s.12
2-http://www.dpt.gov.tr/DocObjects/View/12164/tez-ycivelek.pdf
3-http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:31995L0046:en:HTML