Bilişim teknolojilerinin hızla ilerlediği günümüzde, her gün pek çok bireyin kişisel verilerine erişim sağlanmakta, bu veriler işlenmekte veya aktarılmaktadır. İnternetin yaygınlaşması, iletişim kanallarının artması, iş modellerinin dijital ortamlara taşınması gibi birçok parametre kişisel veri işleme faaliyetlerinin artışına hiç şüphesiz katkı sağlamıştır.
Bu artış verilerin gerek dijital gerek de basılı ortamda işlenmesi ve aktarımını yoğunlaştırmış; bu yoğunlaşma ise verilerin olası tehlikelere karşı korunma ihtiyacını da beraberinde getirmiştir. Zira internet ve bilişim kanallarının önlenemez şekilde ilerlemesi, faydalarının yanı sıra verilere hukuka uygun veya aykırı şekilde erişilmesine zemin hazırlamakta bu da kişisel verilerin yetkisiz işlenmesi, yetkisiz kişilerin eline geçmesi veya olası veri ihlallerine konu olması gibi tehlikelerin temelini oluşturmaktadır.
Kişisel verilerin korunması, kişinin mahremiyetinin korunması kavramı ile bağlantılı olmakla birlikte; veri sahibi ilgili kişinin verilerinin üzerindeki hâkimiyetini de ifade etmektedir[1]. Bu sebeple kişisel verilerin korunması, temel bir insan hakkı olan özel hayatın gizliliği ile doğrudan bağlantılı olarak karşımıza çıkmaktadır.
Tüm bu sebeplerle, ülkeler kişisel verilerin korunmasını bir hak olarak düzenleme ihtiyacı hissetmiş ve bu hakkı yasalarla güvence altına almışlardır[2]. Kişisel verilerin korunması hakkını güvence altına alma ihtiyacı ilk olarak 1970’li yıllarda Avrupa’da ortaya çıkmışsa da günümüzde tüm dünyaya yayılmıştır[3].
Uluslararası düzeyde ilk olarak 23 Eylül 1980 tarihinde, Ekonomik İşbirliği ve Kalkınma Örgütü (OECD) tarafından “Özel Yaşamın Korunması ve Kişisel Verilerin Sınır Ötesi Akışına İlişkin Rehber İlkeleri” yayınlanmış; bu Rehber ile kişisel verilerin hukuka aykırı elde edilmesi veya yanlış tutulması, yetkisiz kişilerce kötüye kullanılması gibi tehlikeleri önlemekle birlikte kişisel veri akışının nasıl gerçekleştirilmesi gerektiğine ilişkin tavsiyelere de yer verilmiştir[4].
Akabinde Avrupa Konseyi düzenlemeleri kapsamında, “108 No’lu Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi” 28 Ocak 1981 tarihinde imzaya açılmış; 1 Ekim 1985 tarihinde yürürlüğe girmiştir. Türkiye bu sözleşmeyi imzalayan ilk ülkelerden birisi olmuş ve Sözleşme 17 Mart 2016 tarih ve 29656 sayılı Resmi Gazete’de yayımlanarak Türkiye için bağlayıcı hale gelmiştir[5]. 108 No’lu Sözleşme’nin amacı her üye ülkede, uyruğu veya ikametgâhı ne olursa olsun gerçek kişilerin, temel hak ve özgürlüklerini ve özellikle kendilerini ilgilendiren kişisel nitelikteki verilerin otomatik yollarla işleme tabi tutulması karşısında özel yaşam haklarını güvence altına almaktır[6].
Bilişim teknolojilerinin getirdiği yeniliklere “uyum” kapsamında 108 No’lu Sözleşme’de değişikliğe gidilmiş; daha güçlü ve daha sıkı şartları haiz veri koruma kuralları getirilerek “Convention 108 +” ismiyle yayınlanmıştır[7]. Türkiye, bu protokolü 8 Kasım 2001 tarihinde imzalamış, Protokol, 5 Mayıs 2016 tarihli 29703 sayılı Resmi Gazete’de yayımlanarak iç hukuka dâhil edilmiştir[8].
Avrupa Birliği düzenlemeleri kapsamında 1995 yılında 95/46/EC sayılı “Kişisel Verilerin İşlenmesi ve Serbest Dolaşımı Bakımından Bireylerin Korunmasına İlişkin Direktif” kabul edilmiştir. Direktifin başlıca amacı Avrupa Birliği üye ülkelerinde yer alan kişisel verilerin korunmasına dair olan düzenlemelerin uyumlaştırılması olmakla birlikte, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) da temel olarak bu Direktif esas alınarak hazırlanmıştır[9].
Son olarak gelişen ihtiyaçları karşılamak amacıyla 95/46/EC sayılı Direktif’inde yer alan uygulamaların düzenlenmesi amacıyla çalışmalar yürütülmüş 2016/679 Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) 25 Mayıs 2018 tarihinde 95/46/EC sayılı Direktif’i ilga ederek yürürlüğe girmiştir[10].
Ulusal düzlemde yer alan düzenlemeler bakımından ilk olarak, 2010 yılında 5982 sayılı Kanunla Anayasanın 20. maddesine eklenen fıkra ile, herkesin kendisiyle ilgili kişisel verilerin korunmasını isteme hakkı anayasal bir hak olarak teminat altına alınmıştır. Bu bağlamda, bireylerin kendilerini ilgilendiren kişisel veriler üzerinde hangi hak ve yetkilere sahip olduğu ve kişisel verilerin hangi hallerde işlenebileceği hükme bağlanırken, kişisel verilerin korunmasına ilişkin usul ve esasların Kanunla düzenleneceği öngörülmüştür[11].
Anayasa’da yer alan düzenleme ile bağlantılı biçimde, 26 Aralık 2014 tarihinde “Kişisel Verilerin Korunması Kanunu Tasarısı” TBMM Başkanlığına sunulmuş, tasarı, 24 Mart 2016 tarihinde kanunlaşmış ve 6698 sayılı Kişisel Verilerin Korunması Kanunu 7 Nisan 2016 tarih ve 29677 sayılı Resmi Gazete’de yayımlanarak yürürlüğe girmiştir[12].
Kanun’un 1.maddesinde de yer aldığı üzere Kanun’un amacı; “kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir”. Nitekim maddenin gerekçesinde de belirtildiği şekilde amaç; kişisel verilerin işlenmesinin disiplin altına alınması ve Anayasada öngörülen başta özel hayatın gizliliği olmak üzere temel hak ve özgürlüklerin korunmasıdır[13]. Yukarıda da bahsi geçtiği üzere bu amaç, kaynağını Anayasa’nın 20.maddesinden almaktadır.
Kişisel veri işleme faaliyetinin varlığından bahsedilebilmesi için elbet ortada bir verinin bulunması şarttır. Veri, bilişim sistemlerinin üzerinde işlem yapabildiği, bu işlemlere dayalı sonuçlar üretebildiği, saklayabildiği, sakladıklarını sonradan tekrar okuyup işleyebildiği ve diğer bilişim sistemlerine iletebildiği her türlü bilgi olarak açıklanabilir[14]. Bu nitelikleri haiz bir veri’nin varlığına ek olarak; bu verinin kişiyi belirlenebilir kılması, diğer bir anlatımla, kişiyi tanımlayabilme özelliğine sahip olması ve verinin gerçek kişiye ilişkin olması durumlarının birlikte varlığı hallerinde Kanun kapsamında öngörülen kişisel veri’nin varlığından söz edilebilecektir. Kanun nezdinde nelerin kişisel veri olarak kabul edileceği sınırlandırılmadığı için gerçek kişiyle ilişkilendirilebilecek ve kişiyi tanımlanabilir kılacak her türlü veri’nin kişisel veri kapsamında yer alacağı ve bu doğrultuda Kanun’un öngördüğü korumadan yararlanacağı açıktır. Hatta kişiyi belirlenebilir ve tanımlı kıldığı ölçüde; tanımlı kılan yanlış bilgi dahi kişisel veri olarak kabul edilecektir[15].
Kabul edilmelidir ki, kişisel verilerin korunması tek bir gün veya tek bir faaliyet’e özgülenemeyecek nitelikte olup; bireylerin süjesini oluşturduğu veri işleme faaliyetlerinin gerçekleştiği her an, verilerin korunmasına ve veri güvenliğinin sağlanmasına önem verilmelidir.
Bilişim teknolojilerin hakimiyetinde olduğumuz günümüzde, kamu veyahut özel kurum ayırt etmeksizin veri işlenmeden ya da veri aktarımı yapılmaksızın iş süreçlerinin yürütülmesi ve ekonomik faaliyetlerin devamı neredeyse olanaksız hale gelmiştir. Bu sebeple herhangi bir sınırlama olmamakla birlikte temelini bireylerin var oluşlarına bağlayan bu hak ile, bireyin olduğu her dönemde kişisel verilerin de var olduğunu söylemek mümkün olacaktır. Bu durumda veri işleme faaliyetlerin varlığı ve devamlılığını kabul ederek; iş modellerinde ve organizasyonel süreçlerde Kanun’a uygun ve genel ilkelere bağlı kalarak kişisel verilerin işlenmesine özen gösterilmeli, yetkisiz ve Kanun’a aykırı veri işlemenin önüne geçilmelidir.
Bu kapsamda yer alan tanımdan hareketle, “ Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi” konumdaki veri sorumluları veri işleme faaliyetine konu olan kişisel verileri işlerken, muhafazasını sağlarken ve veri aktarımında bulunurken Kanun’un kendisine öngördüğü yetki ve sorumluluklar dahilinde hareket etmeli, kişilerin temel hak ve özgürlüklerine saygı göstermeli, bünyelerinde Kanun’a uyum sürecini yürütmeli ve kişisel verilerin korunması kültürünü oluşturmalıdırlar.
Son olarak; kişisel verilerin Anayasa’da temel hak olarak güvence alındığı günümüzde, veri güvenliğinin sağlanması yönünde azami özen gösterilmeli, temel hak ve özgürlüklerin korunmasına duyarlı hareket edilmeli ve olası güvenlik ihlallerine karşı gerekli teknik ve idari tedbirler alınmalıdır. Bu kapsamda birey olarak da kişisel verilerimizin korunmasına ilişkin gerekli farkındalığı göstermeli, bilinçli hareket etmeli, temel hak ve özgürlüklerimize sahip çıkmalıyız.
Yazar: Birce AKSAKAL / Avukat
[1] DÜLGER, Murat Volkan, “Kişisel Verilerin Korunması Hukuku”, Hukuk Akademisi, 2. Baskı, s. 15.
[2] DÜLGER, a.g.e. s. 15.
[3] DÜLGER, s. 15.
[4] DÜLGER, s.25.
[5] DÜLGER, s.28.
[6] KVKK, “Kişisel Verilerin Korunması Alanında Uluslararası Ve Ulusal Düzenlemeler Rehberi”, s. 3.
[7] DÜLGER, s.29.
[8] “Kişisel Verilerin Korunması Alanında Uluslararası Ve Ulusal Düzenlemeler Rehberi”, s. 4.
[9] “Kişisel Verilerin Korunması Alanında Uluslararası Ve Ulusal Düzenlemeler Rehberi”, s. 6.
[10] DÜLGER, s.38; Kişisel Verilerin Korunması Alanında Uluslararası Ve Ulusal Düzenlemeler Rehberi”, s.7
[11] 6698 Sayılı Kişisel Verilerin Korunması Kanununun Amacı Ve Kapsamı Rehberi, s.1.
[12] Kişisel Verilerin Korunması Alanında Uluslararası Ve Ulusal Düzenlemeler Rehberi, s.13.
[13] KVKK, 6698 Sayılı Kişisel Verilerin Korunması Kanununun Amacı Ve Kapsamı Rehberi, (https://www.kvkk.gov.tr/), s.1.
[14] DÜLGER, s.86.
[15] DÜLGER, s. 89.
Bilişim teknolojilerinin hızla ilerlediği günümüzde, her gün pek çok bireyin kişisel verilerine erişim sağlanmakta, bu veriler işlenmekte veya aktarılmaktadır. İnternetin yaygınlaşması, iletişim kanallarının artması, iş modellerinin dijital ortamlara taşınması gibi birçok parametre kişisel veri işleme faaliyetlerinin artışına hiç şüphesiz katkı sağlamıştır.
Bu artış verilerin gerek dijital gerek de basılı ortamda işlenmesi ve aktarımını yoğunlaştırmış; bu yoğunlaşma ise verilerin olası tehlikelere karşı korunma ihtiyacını da beraberinde getirmiştir. Zira internet ve bilişim kanallarının önlenemez şekilde ilerlemesi, faydalarının yanı sıra verilere hukuka uygun veya aykırı şekilde erişilmesine zemin hazırlamakta bu da kişisel verilerin yetkisiz işlenmesi, yetkisiz kişilerin eline geçmesi veya olası veri ihlallerine konu olması gibi tehlikelerin temelini oluşturmaktadır.
Kişisel verilerin korunması, kişinin mahremiyetinin korunması kavramı ile bağlantılı olmakla birlikte; veri sahibi ilgili kişinin verilerinin üzerindeki hâkimiyetini de ifade etmektedir[1]. Bu sebeple kişisel verilerin korunması, temel bir insan hakkı olan özel hayatın gizliliği ile doğrudan bağlantılı olarak karşımıza çıkmaktadır.
Tüm bu sebeplerle, ülkeler kişisel verilerin korunmasını bir hak olarak düzenleme ihtiyacı hissetmiş ve bu hakkı yasalarla güvence altına almışlardır[2]. Kişisel verilerin korunması hakkını güvence altına alma ihtiyacı ilk olarak 1970’li yıllarda Avrupa’da ortaya çıkmışsa da günümüzde tüm dünyaya yayılmıştır[3].
Uluslararası düzeyde ilk olarak 23 Eylül 1980 tarihinde, Ekonomik İşbirliği ve Kalkınma Örgütü (OECD) tarafından “Özel Yaşamın Korunması ve Kişisel Verilerin Sınır Ötesi Akışına İlişkin Rehber İlkeleri” yayınlanmış; bu Rehber ile kişisel verilerin hukuka aykırı elde edilmesi veya yanlış tutulması, yetkisiz kişilerce kötüye kullanılması gibi tehlikeleri önlemekle birlikte kişisel veri akışının nasıl gerçekleştirilmesi gerektiğine ilişkin tavsiyelere de yer verilmiştir[4].
Akabinde Avrupa Konseyi düzenlemeleri kapsamında, “108 No’lu Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi” 28 Ocak 1981 tarihinde imzaya açılmış; 1 Ekim 1985 tarihinde yürürlüğe girmiştir. Türkiye bu sözleşmeyi imzalayan ilk ülkelerden birisi olmuş ve Sözleşme 17 Mart 2016 tarih ve 29656 sayılı Resmi Gazete’de yayımlanarak Türkiye için bağlayıcı hale gelmiştir[5]. 108 No’lu Sözleşme’nin amacı her üye ülkede, uyruğu veya ikametgâhı ne olursa olsun gerçek kişilerin, temel hak ve özgürlüklerini ve özellikle kendilerini ilgilendiren kişisel nitelikteki verilerin otomatik yollarla işleme tabi tutulması karşısında özel yaşam haklarını güvence altına almaktır[6].
Bilişim teknolojilerinin getirdiği yeniliklere “uyum” kapsamında 108 No’lu Sözleşme’de değişikliğe gidilmiş; daha güçlü ve daha sıkı şartları haiz veri koruma kuralları getirilerek “Convention 108 +” ismiyle yayınlanmıştır[7]. Türkiye, bu protokolü 8 Kasım 2001 tarihinde imzalamış, Protokol, 5 Mayıs 2016 tarihli 29703 sayılı Resmi Gazete’de yayımlanarak iç hukuka dâhil edilmiştir[8].
Avrupa Birliği düzenlemeleri kapsamında 1995 yılında 95/46/EC sayılı “Kişisel Verilerin İşlenmesi ve Serbest Dolaşımı Bakımından Bireylerin Korunmasına İlişkin Direktif” kabul edilmiştir. Direktifin başlıca amacı Avrupa Birliği üye ülkelerinde yer alan kişisel verilerin korunmasına dair olan düzenlemelerin uyumlaştırılması olmakla birlikte, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) da temel olarak bu Direktif esas alınarak hazırlanmıştır[9].
Son olarak gelişen ihtiyaçları karşılamak amacıyla 95/46/EC sayılı Direktif’inde yer alan uygulamaların düzenlenmesi amacıyla çalışmalar yürütülmüş 2016/679 Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) 25 Mayıs 2018 tarihinde 95/46/EC sayılı Direktif’i ilga ederek yürürlüğe girmiştir[10].
Ulusal düzlemde yer alan düzenlemeler bakımından ilk olarak, 2010 yılında 5982 sayılı Kanunla Anayasanın 20. maddesine eklenen fıkra ile, herkesin kendisiyle ilgili kişisel verilerin korunmasını isteme hakkı anayasal bir hak olarak teminat altına alınmıştır. Bu bağlamda, bireylerin kendilerini ilgilendiren kişisel veriler üzerinde hangi hak ve yetkilere sahip olduğu ve kişisel verilerin hangi hallerde işlenebileceği hükme bağlanırken, kişisel verilerin korunmasına ilişkin usul ve esasların Kanunla düzenleneceği öngörülmüştür[11].
Anayasa’da yer alan düzenleme ile bağlantılı biçimde, 26 Aralık 2014 tarihinde “Kişisel Verilerin Korunması Kanunu Tasarısı” TBMM Başkanlığına sunulmuş, tasarı, 24 Mart 2016 tarihinde kanunlaşmış ve 6698 sayılı Kişisel Verilerin Korunması Kanunu 7 Nisan 2016 tarih ve 29677 sayılı Resmi Gazete’de yayımlanarak yürürlüğe girmiştir[12].
Kanun’un 1.maddesinde de yer aldığı üzere Kanun’un amacı; “kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir”. Nitekim maddenin gerekçesinde de belirtildiği şekilde amaç; kişisel verilerin işlenmesinin disiplin altına alınması ve Anayasada öngörülen başta özel hayatın gizliliği olmak üzere temel hak ve özgürlüklerin korunmasıdır[13]. Yukarıda da bahsi geçtiği üzere bu amaç, kaynağını Anayasa’nın 20.maddesinden almaktadır.
Kişisel veri işleme faaliyetinin varlığından bahsedilebilmesi için elbet ortada bir verinin bulunması şarttır. Veri, bilişim sistemlerinin üzerinde işlem yapabildiği, bu işlemlere dayalı sonuçlar üretebildiği, saklayabildiği, sakladıklarını sonradan tekrar okuyup işleyebildiği ve diğer bilişim sistemlerine iletebildiği her türlü bilgi olarak açıklanabilir[14]. Bu nitelikleri haiz bir veri’nin varlığına ek olarak; bu verinin kişiyi belirlenebilir kılması, diğer bir anlatımla, kişiyi tanımlayabilme özelliğine sahip olması ve verinin gerçek kişiye ilişkin olması durumlarının birlikte varlığı hallerinde Kanun kapsamında öngörülen kişisel veri’nin varlığından söz edilebilecektir. Kanun nezdinde nelerin kişisel veri olarak kabul edileceği sınırlandırılmadığı için gerçek kişiyle ilişkilendirilebilecek ve kişiyi tanımlanabilir kılacak her türlü veri’nin kişisel veri kapsamında yer alacağı ve bu doğrultuda Kanun’un öngördüğü korumadan yararlanacağı açıktır. Hatta kişiyi belirlenebilir ve tanımlı kıldığı ölçüde; tanımlı kılan yanlış bilgi dahi kişisel veri olarak kabul edilecektir[15].
Kabul edilmelidir ki, kişisel verilerin korunması tek bir gün veya tek bir faaliyet’e özgülenemeyecek nitelikte olup; bireylerin süjesini oluşturduğu veri işleme faaliyetlerinin gerçekleştiği her an, verilerin korunmasına ve veri güvenliğinin sağlanmasına önem verilmelidir.
Bilişim teknolojilerin hakimiyetinde olduğumuz günümüzde, kamu veyahut özel kurum ayırt etmeksizin veri işlenmeden ya da veri aktarımı yapılmaksızın iş süreçlerinin yürütülmesi ve ekonomik faaliyetlerin devamı neredeyse olanaksız hale gelmiştir. Bu sebeple herhangi bir sınırlama olmamakla birlikte temelini bireylerin var oluşlarına bağlayan bu hak ile, bireyin olduğu her dönemde kişisel verilerin de var olduğunu söylemek mümkün olacaktır. Bu durumda veri işleme faaliyetlerin varlığı ve devamlılığını kabul ederek; iş modellerinde ve organizasyonel süreçlerde Kanun’a uygun ve genel ilkelere bağlı kalarak kişisel verilerin işlenmesine özen gösterilmeli, yetkisiz ve Kanun’a aykırı veri işlemenin önüne geçilmelidir.
Bu kapsamda yer alan tanımdan hareketle, “ Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi” konumdaki veri sorumluları veri işleme faaliyetine konu olan kişisel verileri işlerken, muhafazasını sağlarken ve veri aktarımında bulunurken Kanun’un kendisine öngördüğü yetki ve sorumluluklar dahilinde hareket etmeli, kişilerin temel hak ve özgürlüklerine saygı göstermeli, bünyelerinde Kanun’a uyum sürecini yürütmeli ve kişisel verilerin korunması kültürünü oluşturmalıdırlar.
Son olarak; kişisel verilerin Anayasa’da temel hak olarak güvence alındığı günümüzde, veri güvenliğinin sağlanması yönünde azami özen gösterilmeli, temel hak ve özgürlüklerin korunmasına duyarlı hareket edilmeli ve olası güvenlik ihlallerine karşı gerekli teknik ve idari tedbirler alınmalıdır. Bu kapsamda birey olarak da kişisel verilerimizin korunmasına ilişkin gerekli farkındalığı göstermeli, bilinçli hareket etmeli, temel hak ve özgürlüklerimize sahip çıkmalıyız.
Yazar: Birce AKSAKAL / Avukat
[1] DÜLGER, Murat Volkan, “Kişisel Verilerin Korunması Hukuku”, Hukuk Akademisi, 2. Baskı, s. 15.
[2] DÜLGER, a.g.e. s. 15.
[3] DÜLGER, s. 15.
[4] DÜLGER, s.25.
[5] DÜLGER, s.28.
[6] KVKK, “Kişisel Verilerin Korunması Alanında Uluslararası Ve Ulusal Düzenlemeler Rehberi”, s. 3.
[7] DÜLGER, s.29.
[8] “Kişisel Verilerin Korunması Alanında Uluslararası Ve Ulusal Düzenlemeler Rehberi”, s. 4.
[9] “Kişisel Verilerin Korunması Alanında Uluslararası Ve Ulusal Düzenlemeler Rehberi”, s. 6.
[10] DÜLGER, s.38; Kişisel Verilerin Korunması Alanında Uluslararası Ve Ulusal Düzenlemeler Rehberi”, s.7
[11] 6698 Sayılı Kişisel Verilerin Korunması Kanununun Amacı Ve Kapsamı Rehberi, s.1.
[12] Kişisel Verilerin Korunması Alanında Uluslararası Ve Ulusal Düzenlemeler Rehberi, s.13.
[13] KVKK, 6698 Sayılı Kişisel Verilerin Korunması Kanununun Amacı Ve Kapsamı Rehberi, (https://www.kvkk.gov.tr/), s.1.
[14] DÜLGER, s.86.
[15] DÜLGER, s. 89.