Türkiye Ve Avrupa’da Kişisel Verilerin Korunması

Giriş ve Genel Hukuki Çerçeve

Kişisel verilerin korunması kavramının önemi özellikle son on yılda olmak üzere, 20. yüzyılın ikinci yarısından itibaren giderek artmıştır. Avrupa’da söz konusu koruma, ikili bir sistem üzerinden sağlanır. Sistemlerden ilki, Avrupa Konseyi (“Konsey”) düzleminde, diğeri ise Avrupa Birliği (“AB”) acquis communautaire’i kapsamında sağlanır. Konsey düzeyinde kişisel verilerin korunması bir taraftan İnsan Hakları Avrupa Sözleşmesi (“İHAS”), md. 8, diğer taraftan ise Kişisel Verilerin Otomatik İşleme Tabi Tutulma Sürecinde Bireylerin Korunmasına İlişkin Sözleşme (“108 sayılı Sözleşme”) içeriğinde düzenlenir. Türkiye Konsey’e üye 47 Devletten biri olarak, İHAS’a taraf olsa da; bu makale tarihinde, 28.01.1981 tarihinde imzalamış olduğu 108 sayılı Sözleşme’ye henüz taraf olmamıştır. AB çerçevesinde, 1985 tarihli 95/46/EC sayılı Yönerge (“Yönerge”) kişisel verilerin korunması hususundaki temel mevzuattır.[1] Ancak, sosyal medya ve bulut bilişim gibi Yönerge sonrası ortaya çıkan teknolojik gelişmeleri de içerecek bir Genel Veri Koruması Tüzüğü (“Tüzük”) de hazırlık aşamasındadır[2].

Türk hukukunda kişisel verilerin korunması Anayasa’ya 12.09.2010 tarihinde eklenen md. 20’nin son fıkrasında temellenir: “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.” Anayasa koyucu tarafından son cümlede öngörülen kanun Türk yasama gündeminde uzun yıllardır yer alır. Yönerge esas alınarak hazırlanan Kişisel Verilerin Korunması Kanunu Tasarısı’nın (“Tasarı”) dördüncü taslağı 2014 yılında hazırlanmıştır ve bu taslağın 2016 yılında kanunlaşması öngörülmektedir[3].

Elektronik ticari iletişim kapsamında kişisel verilerin korunması 05.11.2014 tarihli be 29166 sayılı Remi Gazete’de yayımlanmış ve 01.05.2015 tarihinde yürürlüğe girmiş olan 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun’da (“E-Ticaret Kanunu”) düzenlenir. Bu makalede E-Ticaret Kanunu’nun kapsamında olmayan kişisel verilerin korunması kavramı incelenecek; mümkün ve gerekli oldukça AB mevzuatıyla karşılaştırmalı bir yöntem izlenecektir[4].

Tanım

Yönerge md. 2(a)’ya göre kişisel veri “Kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkili her tür veri; kimliği belirlenebilir kişi ise doğrudan veya dolaylı olarak özellikle bir kimlik numarasının veya kişinin fiziksel, fizyolojik, akli, ekonomik, kültürel veya sosyal kimliğine ait bir veya birden fazla spesifik faktörün referansına dayanılarak teşhis edilebilir olan kişidir” şeklinde tanımlanır. Görüldüğü üzere, korumanın kapsamını geniş tutmak amacıyla, kişisel veri geniş tanımlanır.

Tasarı’nın 3. maddesinde kişisel veriler neredeyse aynı şekilde tanımlanmakla birlikte, madde gerekçesi bu tanımı, kişinin adı, soyadı, doğum tarihi ve yeri, fiziksel özellikleri, ailevi, ekonomik, sosyal ve psikolojik özellikleri, sosyal güvenlik numarası, özgeçmişi, ses ve görüntü izleri, genetik verileri, IP adresi, e-posta adresi, hobileri, tercihleri ve üyeliklerini de içerecek şekilde somutlaştırır. Kişinin tıbbi bilgileri ile dini ve politik görüşleri de yukarıda sayılanlara eklenebilir.

Tasarı’daki md. 6’nın esin kaynağı olan Yönerge md. 8 ise kişisel verilerin bir alt kategorisini tanımlar. Buna göre, etnik kimlik, orjin, politik, dini ve felsefi görüşler, üyelikler, sağlık ve cinsel hayata dair bilgiler özel kişisel bilgilerdir. Bu bilgilere ilişkin koruma, bu bilgilerin işlenmesinin ancak belli bazı özel şartların yerine gelmesiyle mümkün olur. Bu şartlar Yönerge ve Tasarı’nın ilgili maddelerinde belirtilir. 108 sayılı Sözleşme ayrıca ceza mahkumiyetlerini de kişisel veri olarak değerlendirir[5].

Korumanın Kapsamı

Türk Hukuku’nda Anayasa’da öngörüldüğü üzere kişisel verilerin korunmasına ilişkin bir kanun yürürlükte olmasa da, bu kanunun yokluğunda ve E-Ticaret Kanunu haricinde, bu koruma Anayasa, 4721 sayılı Türk Medeni Kanunu ve 5237 sayılı Türk Ceza Kanunu ile sağlanır. Türk Medeni Kanunu md. 23 vd. kişisel hakların korunmasını ve bu korunmayı sağlayacak davaların hangileri olduğunu gösterir. Buna ek olarak, Türk Ceza Kanunu md. 135 kişisel verilerin hukuka aykırı olarak kaydedilmesini, md. 136 bu verileri hukuka aykırı olarak verme veya ele geçirmeyi, md. 138 ise kişisel verileri yok etmemeyi suç olarak tanımlar.

Tasarı ve Yönerge’de belirtilen kişisel verilerin korunma yöntemleri benzerlik gösterir. İlk olarak, Tasarı md. 4 kişisel verilerin işlenmesine ilişkin Genel İlkeler ortaya koyar; bunlar, hukuka ve dürüstlük kurallarına uygunluk, doğruluk ve güncellik, belirli, açık ve meşru amaçlar için işlenmek, bağlantılı, sınırlı ve ölçülü olmak ve verilerin işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesidir. Bir karşılaştırma yapıldığında, Yönerge md. 5’in aynı ilkeleri düzenlediği görülür, tek fark burada ilkelerin biraz daha detaylı açıklanmasıdır.

Tasarı’nın 6. maddesi uyarınca, özel nitelikli, başka bir deyişle, hassas veriler ancak istisnai şartların varlığı halinde işlenebilir. Bu bağlamda, Tasarı 7. madde uyarınca ise kişisel veriler hukuka uygun olarak işlenmiş olsalar dahi, işlenmelerini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler re’sen veya ilgili kişinin talebi üzerine silinir, yok edilir veya anonim hale getirilirler. Ayrıca, 8. madde kişisel verilerin transferine ilişkin sınırlamalar getirir ve onları aynı hüküm tarafından ortaya konan birtakım şartların varlığına bağlı kılar. Buna ek olarak, 10. madde ise kişisel verilerin korunmasında önemli bir boşluğu doldurarak kişisel veri sahibi ilgili kişinin haklarını düzenler; bu haklar arasında kişisel veri işlenip işlenmediğini öğrenmek, buna ilişkin bilgi talep etmek, kişisel verilerinin işlenme amacını ve bu amaca uygun kullanıp kullanılmadığını öğrenmek, bunların aktarıldığı üçüncü kişileri bilmek, varsa yanlışlıkların düzeltilmesini istemek sayılabilir. Bu hüküm aynı zamanda, kişisel verilerin kanuna aykırı olarak işlenmesi sonucu ortaya çıkacak zararların giderilmesinin ilgili kişi tarafından talep edilebileceğini de düzenler.

Tasarı’nın Dördüncü Bölüm’ünde Tasarı’nın uygulamasını denetleyecek bir Kişisel Veri Koruma Kurulu (“Kurul”) öngörülür. Buna ek olarak, md. 15 uyarınca bir veri sorumluları sicili tutulacak ve kişisel verileri işleyen gerçek ve tüzel kişiler bu sicile kaydolacaktır. AB uygulamasında söz konusu denetim Avrupa Veri Koruma Denetçisi (“EDPS”) adı verilen bağımsız bir denetleyici kuruluş tarafından yürütülür[6].

Bunlara ek olarak, Tasarı’nın 16. maddesi Türk Ceza Kanunu’na atıfta bulunarak birtakım suçları düzenlerken, 17. maddesi Tasarı’ya aykırılıktan doğan kabahatleri ve bunların yaptırımlarını ortaya koyar. Buna karşılık Yönerge’nin 24. maddesi söz konusu bir aykırılık sonucu meydana gelebilecek suç ve kabahatler için Üye Devletleri işaret eder ve bunların Üye Devletlerin iç hukukları tarafından düzenlenmesi öngörür.

Sonuç

Kişisel veri koruması hem Türk hem de AB sisteminde hala gelişme evresindedir. AB mevcut korumasını şu anki mevzuatını, bir başka hukuki araca (yönerge yerine tüzük ile) devşirmek ve modern iletişim ve veri depolama sistemlerine adapte etmek yolunu seçerken; Tasarı’nın henüz kanunlaşmadığı bu koruma Türkiye’de daha geri düzeydedir. Yönerge’den fazlasıyla esinlenen Tasarı’nın kanunlaşmasıyla, Türkiye’deki kişisel veri koruması AB’deki dengine yakın bir hal alacaktır.



[1] 95/46/EC sayılı Yönerge’nin tam metni için bkz: http://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:31995L0046&from=EN (erişim tarihi: 30.12.2015).

[2] The New European General Data Protection Regulation, http://www.mondaq.com/x/452870/Data+Protection+Privacy/The+New+European+General+Data+Protection+Regulation (erişim tarihi: 30.12.2015).

[3] Güncel bir not olarak belirtilmelidir ki, tasarı Aralık 2015 tarihinde Türkiye Büyük Millet Meclisi Başkanlığı’na sunulmuştur.

[4] E-ticaret alanında kişisel verilerin korunması için bkz http://www.erdem-erdem.com/articles/elektronik-ticaretin-duzenlenmesi-hakkinda-kanun-ve-getirdigi-yenilikler/ (erişim tarihi: 30.12.2015).

[5] Handbook on European Data Protection Law, European Union Agency for Fundamental Rights, Council of Europe, 2014, s. 44.

[6] EDPS hakkında daha fazla bilgi için bkz: https://secure.edps.europa.eu/EDPSWEB/edps/EDPS (erişim tarihi: 30.12.2015).