Makale
Kişisel verilerin korunması, Avrupa normları çerçevesinde Türk hukukunda yasal zemine kavuşmuştur. Türk yargısı, Avrupa içtihatlarını baz alarak unutulma hakkı gibi kavramları kararlarına yansıtmış, ancak kanunumuzun güncel Avrupa standartlarına tam uyumu için kapsamlı yasal reform ihtiyacı devam etmektedir.
Avrupa Normlarının Türk Veri Koruma Hukuku ve Yargısına Etkisi
Türkiye'de bilişim hukuku ve kişisel verilerin korunması alanı, büyük ölçüde Avrupa Birliği uyum yasaları ve uluslararası sözleşmelerin doğrudan etkisiyle şekillenmiştir. Yarım asırlık bir geçmişe sahip Avrupa veri koruma sisteminin Türk anayasal sistemine ilk belirgin yansıması, 2010 yılında gerçekleştirilen anayasa değişikliği ile özel hayatın gizliliği kapsamında kişisel verilerin korunmasını isteme hakkının bağımsız bir anayasal hak olarak tanınmasıyla olmuştur. Bu anayasal güvencenin ardından, Avrupa standartlarına entegrasyon, ekonomik uyum ve Avrupa Konseyi taahhütlerinin yerine getirilmesi amacıyla 2016 yılında 6698 sayılı Kişisel Verilerin Korunması Kanunu yürürlüğe girmiştir. Bir bilişim hukuku uzmanı perspektifiyle incelendiğinde, bu yasal dönüşüm, Türk hukuk sisteminde verinin bir şahsiyet değeri olarak hukuki güvence altına alınması sürecinde atılmış en kritik adımdır.
Türk Veri Koruma Mevzuatının Avrupa Normları ile Şekillenmesi
Türk hukukunda kişisel verilere ilişkin müstakil bir kanun ihtiyacı, Avrupa normlarına, özellikle Schengen Bölgesi standartlarına ve Avrupa Birliği'ne adaylık sürecine uyum sağlama gerekliliğinden doğmuştur. 6698 sayılı Kişisel Verilerin Korunması Kanunu, Avrupa Birliği'nin 1995 tarihli ve 95/46/AT sayılı Direktifini büyük ölçüde kopyalayarak iç hukukumuza aktarmıştır. Ancak, bu kanunlaşma süreci Avrupa'da veri koruma alanındaki en büyük reform dönemi ile aynı zamana denk gelmiş, bu durum Türk mevzuatının doğduğu andan itibaren güncel Avrupa standartlarının bir adım gerisinde kalmasına yol açmıştır. Mevzuatımız, Avrupa'nın eski direktifini temel aldığından, günümüzdeki sınır ötesi veri aktarımı, dijital pazarlama ve büyük veri işleme gibi konularda Avrupa normlarındaki modern koruma mekanizmalarını tam olarak karşılayamamaktadır.
Türk Yargı Kararlarında Avrupa İçtihatlarının Yansımaları
Avrupa normlarının Türk hukukuna etkisi sadece yasal metinlerle sınırlı kalmamış, aynı zamanda yüksek mahkeme içtihatları aracılığıyla yargısal alanda da kendini güçlü biçimde hissettirmiştir. Özellikle Avrupa İnsan Hakları Mahkemesi ve Avrupa Adalet Divanı kararları, Türk yargısının kişisel verilerle ilgili uyuşmazlıklara bakış açısını şekillendiren temel referans noktaları olmuştur. Bunun en çarpıcı örneği, Adalet Divanı'nın ünlü arama motoru kararı ile literatüre giren AYM Perspektifiyle)">AYM Perspektifiyle)">unutulma hakkı kavramının Türk yargısı tarafından benimsenmesidir. Mevzuatta açık bir düzenleme olmamasına rağmen, Yargıtay Hukuk Genel Kurulu ve Anayasa Mahkemesi, şeref ve itibarın korunması bağlamında unutulma hakkını içtihatlarıyla Türk hukukuna kazandırmış, dijital hafızadaki güncelliğini yitirmiş içeriklere erişimin engellenmesine hükmetmiştir.
Anayasa Mahkemesi İçtihatlarında Temel Hak Güvenceleri
Türk anayasa yargısında, idarenin veri işleme faaliyetlerinin sınırlandırılması hususunda Avrupa standartlarındaki ölçülülük ve kanunilik ilkeleri oldukça sıkı bir şekilde uygulanmaktadır. Anayasa Mahkemesi, kamu kurumlarının veya emniyet güçlerinin istihbari ya da idari amaçlarla vatandaşların kişisel verilerini toplamasına imkan tanıyan yasal düzenlemeleri titizlikle denetlemektedir. İptal kararlarında, veri toplamanın amacı, süresi, üçüncü kişilerle paylaşımı ve silinmesi gibi unsurların kanunda şeffaf ve öngörülebilir şekilde yer almaması durumunda, bunun özel hayatın gizliliğine ve kişisel verilerin korunması hakkına orantısız bir müdahale olduğu vurgulanmaktadır. Avrupa normlarında temel bir güvence olan, bireyin idare karşısındaki şeffaflık beklentisi, yüksek mahkemenin kanunilik şartı analizlerinde doğrudan vücut bulmaktadır.
KVKK ve Avrupa Standartları Arasındaki Temel Farklar
Türk veri koruma sisteminin temelini oluşturan mevcut yasa ile güncel Avrupa normları arasında, bilişim hukuku uygulamalarını doğrudan etkileyen önemli ayrılıklar bulunmaktadır. Türk kanun koyucusu, eski tarihli direktifi baz alarak özgün bir yasal çerçeve oluşturmuş olsa da, Avrupa yargısının sağladığı yenilikçi koruma tedbirleri iç hukukumuzda henüz yasal karşılık bulamamıştır. Bu eksiklikler, özellikle uluslararası veri transferlerinde ve çok uluslu şirketlerin uyum süreçlerinde hukuki belirsizlikler doğurabilmektedir. Hukuk uygulamaları açısından önem arz eden ve güncel Avrupa normlarında yer alıp Türk mevzuatında eksik olan temel hususlar şunlardır:
- Veri taşınabilirliği hakkının mevzuatımızda açıkça yer almaması.
- Kurumlar için zorunlu veri koruma görevlisi atama müessesesinin bulunmayışı.
- Yüksek riskli faaliyetler öncesinde veri koruma etki değerlendirmesi zorunluluğunun olmaması.
- Tasarımla ve varsayılan ayarlarla veri koruma gibi önleyici veri koruma yollarının eksikliği.