Makale
Bu makale, kişisel verilerin korunması hukukunun tarihsel süreçteki gelişimini ve bu alandaki temel süjeler olan ilgili kişi, veri sorumlusu ve veri işleyen kavramlarını hukuki bir perspektifle ele almaktadır. İnsan hakları temelinde başlayan bu sürecin günümüz dijital dünyasına uzanan evrimi, uluslararası sözleşmeler ışığında incelenmiştir.
Hukuki Süjeler ve Kişisel Veri Hukukunun Tarihsel Gelişimi
Teknolojik gelişmelerin hız kazanmasıyla birlikte kişisel verilerin korunması, insan haklarıyla uyumlu bir yaşamın vazgeçilmez bir unsuru olarak karşımıza çıkmaktadır. Tarihsel olarak bakıldığında, kişisel veriler insanın varoluşundan beri onu tanımlayan bilgiler olsa da geçmişte korunması gereken bağımsız bir hukuki değer olarak kabul edilmemiştir. Ancak bilişim teknolojilerindeki muazzam ilerlemeler, özel hayatın gizliliği ve bireylerin mahremiyetine yönelik ciddi tehditler oluşturmaya başladığında, hukukun bu alana müdahalesi kaçınılmaz hale gelmiştir. Temelini insan onuru ve kişiliği serbestçe geliştirme hakkından alan bu koruma ihtiyacı, zamanla ulusal ve uluslararası arenada bağlayıcı yasal metinlerin ortaya çıkmasını sağlamıştır. Günümüzde kişisel veri hukuku, sadece veriyi değil, bizzat o verinin ilişkili olduğu gerçek kişileri korumayı amaçlayan, sınırları net bir şekilde çizilmiş hak ve yükümlülükler rejimine dönüşmüştür. Bu sürecin doğru anlaşılabilmesi için öncelikle hukukun gelişim aşamalarına ve verinin etrafında şekillenen hukuki süjelerin statülerine hâkim olmak büyük önem taşımaktadır.
Kişisel Verilerin Korunması Hukukunun Tarihsel Gelişimi
Kişisel verilerin korunmasına dair ilk hukuki adımlar, doğrudan veri koruma kavramı üzerinden değil, insan hakları bağlamında atılmıştır. Avrupa Konseyi tarafından bin dokuz yüz elli yılında hazırlanan Avrupa İnsan Hakları Sözleşmesi, sekizinci maddesinde düzenlenen özel ve aile hayatına saygı hakkı ile bu alanın temel taşlarını oluşturmuştur. Ardından bin dokuz yüz seksen yılında kabul edilen OECD rehber ilkeleri, sınırlı veri toplama ve hesap verilebilirlik gibi standartları getirerek uluslararası bir zemin hazırlamıştır. Ancak bu alandaki ilk bağlayıcı uluslararası sözleşme, Yüz Sekiz No'lu Sözleşme olmuştur. Otomatik yollarla işlenen kişisel verileri kapsayan bu sözleşme, üye devletlere iç hukuklarında asgari koruma standartlarını sağlama yükümlülüğü getirmiştir. Avrupa Birliği nezdinde ise, üye devletler arasındaki farklılıkları gidermek amacıyla ilgili direktif kabul edilerek yeknesak bir uygulama hedeflenmiş, dijital çağın hızlanmasıyla birlikte ise günümüzün en güçlü hukuki metni olan Genel Veri Koruma Tüzüğü yürürlüğe girmiştir. Türk hukukunda da Anayasa'nın ilgili maddesine eklenen fıkra ile kişisel verilerin korunması anayasal bir teminata kavuşturulmuş ve akabinde Kişisel Verilerin Korunması Kanunu hayatımıza girmiştir.
Kişisel Veri Hukukunda Temel Süjeler
Hukuki düzenlemelerin uygulama alanını ve tarafların sorumluluk sınırlarını belirleyebilmek için kişisel veri süjelerinin doğru tespit edilmesi şarttır. Kanun, temel olarak üç ana süje tanımlamaktadır: ilgili kişi, veri sorumlusu ve veri işleyen. Kanunun temel amacı, bireylerin anayasal hak ve özgürlüklerini güvence altına almak olduğundan, yalnızca gerçek kişiler ilgili kişi sıfatını haizdir; tüzel kişilerin verileri bu kanun kapsamında doğrudan bir kişisel veri korumasına tabi tutulmamaktadır. Süjeler arasındaki ilişki, verinin hangi amaçla ve hangi araçlarla işleneceğine kimin karar verdiğine göre şekillenmektedir. Bu ayrım, özellikle dijitalleşen dünyada karmaşıklaşan veri işleme faaliyetlerinde, doğabilecek hukuki uyuşmazlıkların çözümünde ve kanuni yükümlülüklerin tespitinde birincil referans noktasıdır. Hukuka aykırı eylemlerde yaptırımların muhatabı, üstlendikleri rollere göre bu süjeler arasından belirlenmektedir.
Süjelerin Rolleri ve Hukuki Statüleri
Veri işleme süreçlerindeki aktörlerin rollerini daha net anlayabilmek adına kanundaki yasal tanımların ve bu tanımların uygulamadaki karşılıklarının detaylandırılması gerekir. Bir kişinin veri sorumlusu mu yoksa veri işleyen mi olduğunu belirlemek için verilerin neden ve nasıl işleneceğine kimin karar verdiği sorusuna yanıt aranmalıdır. Karar alma yetkisini elinde bulunduran taraf asıl sorumlu olurken, sadece talimatları uygulayan taraf ikincil konumda yer almaktadır. Bazı karmaşık süreçlerde ise kararların birden fazla tarafça ortaklaşa alınması, ortak veri sorumluluğu müessesesini gündeme getirmektedir. Süjelerin rolleri ve hukuki statüleri kanun ışığında hukuki incelemeye tabi tutulduğunda şu şekilde özetlenebilir:
- İlgili Kişi: Kişisel verisi işlenen gerçek kişiyi ifade eder. Tüzel kişiler bu tanımın dışında kalıp, koruma kalkanı yalnızca bireylere yöneliktir.
- Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetiminden sorumlu olan asıl karar alıcı gerçek veya tüzel kişidir.
- Veri İşleyen: Veri sorumlusunun kendisine verdiği yetkiye dayanarak, onun adına hareket eden ve sadece verilen talimatlar çerçevesinde verileri işleyen gerçek veya tüzel kişidir. Bağımsız karar alma yetkisi yoktur.
- Ortak Veri Sorumluları: Birden fazla kişinin, kişisel verilerin işlenme amaçlarını ve yöntemlerini müştereken belirlediği, hukuki yükümlülüklere birlikte tabi oldukları yapıdır.