Makale
Bilişim teknolojilerinin gelişmesiyle önem kazanan kişisel verilerin korunması ihtiyacı, uluslararası ve ulusal alanda köklü yasal düzenlemeleri beraberinde getirmiştir. Bu makale, kişisel veri hukukunun tarihsel gelişimini, anayasal dayanaklarını, temel hukuki kavramları ve hakkın hukuki niteliğini analiz etmektedir.
Kişisel Veri Hukukunun Temelleri ve Temel Kavramlar
Kişisel veri kavramı, insanlığın var oluşundan bu yana mevcut olmakla birlikte, bu verilerin hukuki bir zeminde korunması ihtiyacı özellikle bilişim teknolojilerinin gelişmesi ve dijitalleşmenin hız kazanmasıyla ortaya çıkmıştır. Bilginin küresel çapta çok hızlı ve pratik bir şekilde elde edilmesi, işlenmesi ve aktarılması, bireylerin mahremiyetini ve kişilik haklarını ihlal edebilecek büyük riskleri beraberinde getirmiştir. Geleneksel yöntemlerle saklanan bilgilerin devasa veri havuzlarında saniyeler içinde erişilebilir hale gelmesi, devletleri ve uluslararası örgütleri temel hak ve özgürlüklerin korunması amacıyla acil hukuki önlemler almaya sevk etmiştir. İnsan haklarının doğal bir uzantısı olan ve temelinde bireyin bizzat kendisini korumayı amaçlayan kişisel verilerin korunması hakkı, günümüzde artık hukuki bir zorunluluk halini almıştır. Bu doğrultuda, hem evrensel insan hakları metinleri hem de ulusal anayasal düzenlemeler, bireylerin kendi verileri üzerindeki hakimiyetini güvence altına alan sistemler inşa etmiştir.
Kişisel Verilerin Korunmasına İlişkin Uluslararası Gelişim
Kişisel veri hukukunun uluslararası alandaki temelleri, öncelikle Avrupa İnsan Hakları Sözleşmesi'nin özel ve aile hayatına saygı hakkını düzenleyen sekizinci maddesi ile atılmış ve dolaylı bir koruma mekanizması oluşturulmuştur. Ancak doğrudan kişisel verileri hedef alan ilk tanımlama ve uluslararası belge, Ekonomik İş Birliği ve Kalkınma Teşkilatı (OECD) tarafından yayımlanan rehber ilkelerdir. Uluslararası düzeyde bağlayıcılığı olan ilk sözleşme ise Türkiye'nin de taraf olduğu Avrupa Konseyi 108 No'lu Sözleşmesi olarak tarihe geçmiştir. Teknolojinin sınırları aşan yapısı karşısında, Avrupa Birliği bünyesinde önce 95/46/EC sayılı Direktif kabul edilmiş, ardından da tüm üye ülkeler için doğrudan bağlayıcı ve uygulama farklılıklarını giderici nitelikte olan Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) yürürlüğe girmiştir. GDPR, sadece Avrupa Birliği vatandaşları için değil, birliğe üye olmayan devletler ve uluslararası şirketler açısından da uygulanabilirliği olan, kişisel veri hukukunun evrensel standartlarını belirleyen en güncel ve kapsamlı uluslararası metin konumundadır.
Türk Hukukunda Kişisel Verilerin Korunmasının Dayanakları
Türk hukuk sisteminde kişisel verilerin korunması, uzun yıllar genel kanunlar ve anayasanın dolaylı hükümleri üzerinden sağlanmaya çalışılmıştır. Ancak milat niteliğindeki adım, 2010 yılında yapılan Anayasa değişikliği ile atılmıştır. Anayasamızın özel hayatın gizliliğini düzenleyen yirminci maddesine eklenen fıkra ile kişisel verilerin korunmasını isteme hakkı, anayasal bir temel hak olarak en üst düzeyde güvence altına alınmıştır. Bu anayasal zorunluluğun bir yansıması ve Avrupa Birliği müktesebatına uyum sürecinin bir gereği olarak, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) 2016 yılında kabul edilmiştir. Ayrıca, 5237 sayılı Türk Ceza Kanunu'nun ilgili maddelerinde kişisel verilerin hukuka aykırı olarak kaydedilmesi, ele geçirilmesi ve yok edilmemesi eylemleri suç olarak düzenlenerek konunun ceza hukuku boyutuyla koruma mekanizması güçlendirilmiştir. Böylece Türkiye, anayasal dayanağı olan, özel bir kanunla çerçevesi çizilen ve ceza normlarıyla desteklenen modern bir veri koruma rejimi inşa etmiştir.
Kişisel Veri Hukukunun Temel Kavramları
Kişisel veri hukukunun doğru anlaşılabilmesi ve uygulanabilmesi, bu alana özgü hukuki terminolojinin sınırlarının net bir şekilde çizilmesine bağlıdır. En temel kavram olan kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir. Kanun, tüzel kişileri bu korumanın dışında tutarak, hukuki korumanın merkezine doğrudan doğruya gerçek kişi olan ilgili kişiyi yerleştirmiştir. Veri koruma ekosisteminde yükümlülüklerin asıl muhatabı ise, kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan veri sorumlusu sıfatını haiz gerçek veya tüzel kişilerdir. Veri sorumlusunun verdiği yetki ve talimatlar doğrultusunda, onun adına kişisel verileri işleyen gerçek veya tüzel kişiler ise veri işleyen olarak tanımlanmaktadır. Kişisel veri hukukunda bireyin kendi verisi üzerindeki iradesini yansıtan en önemli unsur ise, belirli bir konuya ilişkin, tam bir bilgilendirmeye dayalı ve özgür iradeyle açıklanan açık rıza kavramıdır.
Veri Türleri ve Sınıflandırması
Bireyi doğrudan veya dolaylı olarak belirlenebilir kılan kişisel veriler, hukuki korunma ihtiyaçlarının ağırlığına göre kendi içerisinde sınıflandırılmaktadır. Kanun koyucu, öğrenilmesi halinde kişinin ayrımcılığa uğramasına veya mağduriyetine neden olabilecek mahiyetteki hassas bilgileri özel nitelikli kişisel veriler başlığı altında tahdidi olarak sıralamıştır. Bu verilerin hukuka aykırı ifşası, bireyin temel hak ve özgürlüklerinde telafisi güç zararlar doğurabileceğinden, korunmaları için kanunda çok daha katı kurallar öngörülmüştür. Kanunda özel olarak sayılmayan diğer tüm bilgiler ise genel nitelikli kişisel veriler sınıfını oluşturur. Kişisel veri hukukunda temel ayrım şu şekilde ifade edilmektedir:
- Genel Nitelikli Kişisel Veriler: Ad, soyad, kimlik numarası, iletişim bilgileri, adres, araç plakası veya banka hesap numarası gibi, bireyin doğrudan kimliğini veya ekonomik ve sosyal özelliklerini yansıtan standart nitelikteki tüm bilgilerdir.
- Özel Nitelikli Kişisel Veriler: Kişinin ırkı, etnik kökeni, siyasi ve felsefi düşüncesi, dini inancı, mezhebi, kılık kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileridir.
Kişisel Verilerin Korunmasının Hukuki Niteliği
Kişisel verilerin hukuki niteliği konusunda doktrinde birbirinden farklı çeşitli yaklaşımlar bulunmaktadır. Bu görüşlerden ilki, verilerin ticari ve ekonomik bir varlık olarak kabul edildiği, mülkiyet veya fikri mülkiyet haklarına dayanan ekonomik hak yaklaşımıdır. Ancak bu yaklaşım, kişisel verilerin devredilemez ve şahsa sıkı sıkıya bağlı doğasıyla çeliştiği gerekçesiyle ağır eleştiriler almıştır. Avrupa ve Türk hukuk sistemlerinde daha ağırlıklı olarak kabul gören görüş ise, kişisel verilerin bireyin onuru, şerefi ve özel hayatının ayrılmaz bir parçası olduğunu savunan kişilik hakkı yaklaşımıdır. Anayasa Mahkemesi içtihatlarında da vurgulandığı üzere, kişisel verilerin korunması, bireyin maddi ve manevi varlığını geliştirme hakkının özel bir görünümüdür. Günümüzde gelişen teknolojik tehditler karşısında ise, bu hakkın sadece özel hayatın gizliliği veya genel kişilik hakları çerçevesinde değerlendirilemeyeceği, anayasal temeli olan ve nev-i şahsına münhasır özellikler taşıyan bağımsız bir insan hakkı olduğu görüşü giderek daha fazla kabul görmektedir.