Makale

Hızla gelişen teknoloji ve artan veri akışı, bireylerin özel hayatının gizliliği ile kişilik haklarının korunmasını her zamankinden daha önemli bir hukuki mesele hâline getirmiştir. Bu noktada devreye giren kişisel verilerin korunması hukuku, bireylerin insanlık onurunu ve mahremiyetini güvence altına alan pozitif statü hakları arasında yer almaktadır. Hukuk sistemimizde, kişilerin kendileriyle ilişkili tüm veriler üzerinde sahip olduğu kontrol mekanizması, 1982 Anayasası kapsamında temel bir anayasal hak olarak güvence altına alınmıştır. Özellikle dijital ve fiziksel ortamlarda gerçekleşen veri işleme faaliyetlerinin disipline edilmesi, devletin bireylere karşı koruma yükümlülüğünün bir gereğidir. Hem kamu kurumlarının hem de özel sektör aktörlerinin gerçekleştirdiği her türlü veri toplama, saklama ve aktarma işlemi, yasal mevzuatın belirlediği katı kurallara tabidir. Uzman bir hukuki yaklaşımla değerlendirildiğinde, bu alanın sadece ihlalleri cezalandıran değil, aynı zamanda ihlalleri önleyici nitelikteki yapısal mekanizmalardan oluştuğu görülmektedir. Temel hak ve özgürlüklerin güvencesi olan bu mekanizmanın doğru anlaşılması için kavramsal çerçevenin, işleme ilkelerinin ve yasal dayanakların bütüncül bir şekilde analiz edilmesi şarttır.

Kişisel Veri Hukukunun Temel Kavramları

Kişisel verilerin korunması hukukunun doğru bir şekilde yorumlanabilmesi için öncelikle bu alanın üzerine inşa edildiği temel kavramların hukuki niteliğinin saptanması gerekmektedir. En temel düzeyde veri kavramı, işlenmemiş ve soyut nitelikteki ham bilgileri ifade etmektedir. Hukuki korumanın merkezinde yer alan kişisel veri ise, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir. Bir verinin kişisel veri vasfı kazanabilmesi için gerçek bir kişiyle doğrudan veya dolaylı olarak ilişkilendirilebilmesi şarttır. Mevzuatımızda, kişinin temel hak ve özgürlüklerine yönelik potansiyel ihlal riskinin daha yüksek olduğu durumlarda ekstra koruma kalkanı sağlanan özel nitelikli kişisel veriler de bulunmaktadır. Sınırlı sayıda sayılan bu verilerin hukuka aykırı olarak işlenmesi, bireyin toplum içinde ayrımcılığa uğramasına ve ağır mağduriyetler yaşamasına neden olabileceğinden, işlenme şartları çok daha sıkı kurallara ve istisnai hallere bağlanmıştır:

• Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar.
• Kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği.
• Sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler.
• Kişinin kimliğini benzersiz şekilde tespit eden biyometrik ve genetik veriler.

Veri işleme süreçlerinin idaresi ve hukuki sorumluluğun tespiti aşamasında karşımıza çıkan en önemli iki süje, veri sorumlusu ve veri işleyen kavramlarıdır. Hukuki tanımıyla veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. Veri sorumlusu, kişisel verilerin toplanmasından imhasına kadar geçen tüm süreçte hukuki ve cezai sorumluluğu bizzat üstlenen ana aktördür. Veri sorumlusunun, hukuka uygunluk bağlamında aydınlatma yükümlülüğü ve veri güvenliğini sağlama zorunluluğu bulunmaktadır. Öte yandan veri işleyen, veri sorumlusunun verdiği yetkiye ve talimatlara dayanarak, onun adına bizzat organizasyon dışında veri işleme faaliyetlerini yürüten kişidir. Veri sorumlusu ve veri işleyen arasındaki bu görev ve yetki dağılımı, aralarında akdedilecek sözleşmelerle belirlenir. İlgili kişilerin hukuki haklarının korunması noktasında, veri sorumlusu ile birlikte veri işleyen de idari ve teknik her türlü güvenlik tedbirini almak hususunda müştereken ve müteselsilen hukuki sorumluluk altındadır.

Kişisel Verilerin İşlenmesine Hâkim Olan İlkeler

Herhangi bir yasal zeminde kişisel verilerin işlenmesinin hukuka uygun kabul edilebilmesi için, mevzuatın emredici nitelikteki genel ilkelerine harfiyen uyulması gerekmektedir. Bu kapsamda, veri işleme faaliyetinin temelini hukuka ve dürüstlük kurallarına uygun olma ilkesi oluşturur. Bu ilke, veri sorumlusunun veri sahibinin menfaatlerini gözetmesini, bilgisizliğinden yararlanmamasını ve veri toplama sürecinde tam bir şeffaflık sergilemesini zorunlu kılar. İkinci olarak, işlenen verilerin doğru ve gerektiğinde güncel olma zorunluluğu vardır; zira hatalı veya güncelliğini yitirmiş bir veri, ilgili kişinin şeref, itibar ve ticari hayatı üzerinde telafisi imkânsız zararlar doğurabilmektedir. Ayrıca, verilerin belirli, açık ve meşru amaçlar için işlenmesi yasal bir zorunluluktur. Veri sorumlusu, veri işleme sürecine başlamadan önce amacını kesin sınırlarla belirlemeli ve bu amacı hukuk düzeninin meşru kabul ettiği çerçevede gerçekleştirmelidir. İlgili amacın dışında gerçekleştirilen her türlü sonradan veri işleme, hukuka aykırı fiil teşkil edecektir.

Veri işleme süreçlerinde bireyin hakları ile veri işleyenin menfaatleri arasındaki dengeyi sağlayan en önemli standartlardan biri, verilerin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma zorunluluğudur. Hukuk terminolojisinde veri minimizasyonu ilkesi olarak da adlandırılan bu kural, yalnızca belirlenen amacın gerçekleştirilmesi için mutlak surette ihtiyaç duyulan verilerin toplanmasını gerektirir. İleride lazım olabileceği düşüncesiyle, varsayımlar üzerinden gereğinden fazla kişisel verinin işlenmesi ve saklanması hukuka açıkça aykırıdır. Bir diğer kural ise, kişisel verilerin yasal mevzuatta öngörülen veya işlendikleri amaç için gerekli olan makul süre kadar muhafaza edilmesi ilkesidir. İşleme amacının ortadan kalkması veya kanuni saklama sürelerinin dolması hâlinde, veri sorumlusu ilgili kişisel verileri re'sen veya veri sahibinin talebi üzerine derhal silmek, yok etmek ya da anonim hâle getirmekle yükümlüdür. Bu ilkeler, veri mahremiyetini sağlamanın vazgeçilmez temel yapı taşlarıdır.

Kişisel Verilerin Korunmasına İlişkin Yasal Mevzuat

Kişisel verilerin hukuki bir zeminde korunması ihtiyacı, ilk olarak Avrupa'da ortaya çıkmış ve uluslararası metinlerle evrensel bir boyut kazanmıştır. Tarihsel gelişim sürecinde Ekonomik İş Birliği ve Kalkınma Teşkilatı tarafından yayımlanan rehber ilkeler ve Avrupa Konseyi bünyesinde kabul edilen 108 sayılı Sözleşme, uluslararası alanda bağlayıcılığı olan ilk düzenlemelerdendir. Bu metinler, devletlere asgari koruma standartları getirerek iç hukuklarında gerekli düzenlemeleri yapma ödevini yüklemiştir. Sürecin en önemli kilometre taşlarından biri ise, Avrupa Birliği tarafından hayata geçirilen Genel Veri Koruma Tüzüğü (GDPR) olmuştur. Söz konusu regülasyon, sadece birlik üyesi devletleri değil, aynı zamanda birlik dışındaki ülkelerdeki gerçek ve tüzel kişileri de kapsayacak şekilde sınır ötesi veri trafiğini düzenleyerek küresel bir standart oluşturmuştur. Sözleşme hükümlerinin ve uluslararası direktiflerin ortak amacı; bireyin verilerinin izinsiz toplanmasını engellemek, ihlalleri idari yaptırımlara bağlamak ve uluslararası faaliyetlerde veri güvenliğini garanti altına alacak güçlü, caydırıcı bir yasal çerçeve tesis etmektir.

Türk hukuk sisteminde kişisel verilerin korunması, en üst norm olan anayasal güvence ile koruma altına alınmıştır. Bu bağlamda güncel anayasa metni, herkesin kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahip olduğunu açıkça düzenleyerek, durumu bir temel insan hakkı olarak tescil etmiştir. Anayasal hükümlerin somutlaştırıldığı ana düzenleme ise 6698 sayılı Kişisel Verilerin Korunması Kanunu olmuştur. Bu özel kanun, kişisel verilerin işlenme şartlarını, aktarım kurallarını, veri sorumlusunun hukuki yükümlülüklerini ve veri sahiplerinin haklarını detaylıca regüle etmektedir. Ayrıca kanunla kurulan Kişisel Verileri Koruma Kurumu, idari ve mali açıdan bağımsız bir denetleyici otorite olarak sistemin yürütülmesinden sorumludur. Sadece özel yasalarla değil; kişisel verilere yönelik haksız fiiller ve suçlar, Türk Medeni Kanunu bağlamında kişilik haklarının korunması mekanizmaları ve Türk Ceza Kanunu kapsamında öngörülen hapis ve adli para cezaları aracılığıyla da etkin bir şekilde yaptırıma bağlanarak geniş çaplı bir yargısal koruma şemsiyesi oluşturulmuştur.