Makale
Kişisel verilerin gelişen teknolojiyle artan önemi, bu verilerin hukuki niteliğini ve koruma çerçevesini belirlemeyi zorunlu kılmıştır. Bu makalede, kişisel veri tanımı, unsurları, özel nitelikli veriler ve kişisel verilerin ulusal ile uluslararası mevzuattaki hukuki koruma kalkanı detaylı bir biçimde hukuki perspektifle incelenmektedir.
Kişisel Veri Kavramı ve Hukuki Koruma Çerçevesi
Günümüzde dijitalleşmenin her geçen gün hızla artması, kişisel verilerin toplanmasını ve işlenmesini hayatın vazgeçilmez bir parçası haline getirmiştir. Tarihsel süreçte devletlerin nüfus sayımı veya vergilendirme amacıyla başvurduğu veri toplama faaliyetleri, günümüzde teknolojinin ve internetin gelişmesiyle nitelik ve nicelik olarak devasa boyutlara ulaşmıştır. Bu devasa bilgi akışı, bireylerin mahremiyet ve güvenlik endişelerini de beraberinde getirmiş, böylece kişisel verilerin korunması modern hukuk sistemlerinin en temel odak noktalarından biri olmuştur. Hukuki açıdan bakıldığında, kişisel verilerin korunması yalnızca bir veri güvenliği meselesi değil, doğrudan doğruya bireyin temel hak ve özgürlüklerinin, insan onurunun ve özel hayatın gizliliğinin teminat altına alınmasıdır. Bu bağlamda, verinin hukuki statüsünün doğru tespit edilmesi ve ulusal ile uluslararası normlar hiyerarşisinde nasıl korunduğunun anlaşılması, uygulamada yaşanabilecek hak ihlallerinin önlenmesi açısından hayati bir önem taşımaktadır.
Kişisel Verinin Tanımı ve Temel Unsurları
Hukukumuzda temel yasal dayanak olan 6698 Sayılı Kanun uyarınca kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak tanımlanmaktadır. Benzer şekilde uluslararası arenada Avrupa Birliği Genel Veri Koruma Tüzüğü de tanımlanmış veya tanımlanabilir bir gerçek kişiye ilişkin her türlü bilgiyi kişisel veri olarak kabul eder. Bir verinin bu kapsama girebilmesi için hukuken üç temel unsuru bünyesinde barındırması gerekir. Öncelikle ortada bilişim sistemleri tarafından işlenebilen, yapılandırılmış bir bilgi veya veri bulunmalıdır. İkinci olarak bu veri, bir gerçek kişiyi doğrudan veya dolaylı olarak belirli veya belirlenebilir kılmalıdır; örneğin kişinin adı, konumu, IP adresi veya biyometrik özellikleri bu işlevi görür. Son olarak, verinin doğrudan doğruya gerçek bir kişiye ilişkin olması, yani içerik, amaç veya sonuç bakımından o kişiyi etkileme potansiyeli taşıması gerekmektedir.
Özel Nitelikli (Hassas) Kişisel Veriler
Mevzuatımızda kişisel veriler, içerdikleri risk potansiyeline göre genel ve özel nitelikli olmak üzere ikili bir sınıflandırmaya tabi tutulmuştur. Özel nitelikli kişisel veriler, kişilerin temel hak ve özgürlükleriyle doğrudan bağlantılı olan ve ifşa edilmeleri halinde ayrımcılığa veya ağır mağduriyetlere yol açabilecek hassas bilgilerdir. Hukuk uygulamasında bu verilerin işlenmesi, çok daha katı kurallara ve istisnalar haricinde ilgilinin açık rızasına bağlanmıştır. İlgili yasal düzenlemeler kapsamında; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri bu kapsamda tahdidi olarak sayılmıştır. Bu sayımın kıyas yoluyla genişletilmesi hukuken mümkün olmasa da, işleme amacına göre bazı genel verilerin hassas veri koruması altına girebileceği uzmanlarca da ifade edilmektedir.
Ulusal ve Uluslararası Hukukta Koruma Çerçevesi
Kişisel verilerin korunması, uluslararası alanda birçok bildirge ve sözleşmeye konu olmuş, zamanla gelişerek modern hukukta bağımsız bir temel insan hakkı statüsüne kavuşmuştur. Özellikle Avrupa Konseyi bünyesinde hazırlanan ve kişisel verilerin otomatik işleme tabi tutulması karşısında bireylerin korunmasını sağlayan 108 Sayılı Sözleşme, bu alandaki ilk bağlayıcı uluslararası metindir. İlerleyen süreçte Avrupa Birliği çapında yeknesaklığı sağlamak adına Avrupa Birliği Direktifi ve ardından daha modern bir koruma kalkanı sunan Genel Veri Koruma Tüzüğü yürürlüğe girerek küresel veri koruma standartlarını belirlemiştir. Bu düzenlemeler, devletlere ve veri işleyen taraflara mahremiyetin korunması ve veri güvenliğinin sağlanması yönünde pozitif yükümlülükler yüklemektedir. Avrupa İnsan Hakları Mahkemesi de kararlarında, veri korumayı Avrupa İnsan Hakları Sözleşmesi kapsamında, özel hayata saygı hakkı temelinde dinamik bir şekilde yorumlayarak koruma alanını modern çağın gereksinimlerine göre her geçen gün genişletmektedir.
Ulusal hukukumuzda ise kişisel verilerin korunması, 2010 yılında anayasaya eklenen fıkra ile en üst norm düzeyinde güvence altına alınmış, herkesin kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahip olduğu güçlü bir anayasal teminata bağlanmıştır. Anayasal düzenlemenin ardından kabul edilen Kişisel Verilerin Korunması Kanunu, bu alanın temel çerçevesini çizerek bağımsız bir koruma rejimi ihdas etmiştir. Sadece idari bir düzenleme olmayan bu rejim, aynı zamanda özel hukuk ve ceza hukuku normlarıyla da sağlamlaştırılmaktadır. Kişilik haklarına yapılan hukuka aykırı saldırılara karşı koruma sağlayan medeni hukuk kuralları, işçi verilerinin gizliliğini gözeten iş hukuku prensipleri ve verilerin hukuka aykırı ele geçirilmesini ağır yaptırımlara bağlayan ceza hukuku müeyyideleri, bu hukuki kalkanın ayrılmaz parçalarıdır. Hukuk ve ceza mevzuatımızda kişisel verilerin ihlaline karşı sağlanan genel hukuki koruma dayanakları aşağıdaki tabloda özetlenmiştir.
| Hukuki Düzenleme | Koruma Kapsamı ve Niteliği |
|---|---|
| Anayasa (Madde 20) | Kişisel verilerin korunmasını isteme hakkının temel insan hakkı olarak anayasal güvencesi. |
| Türk Medeni Kanunu (Madde 24) | Kişisel verilerin ifşası ve hukuka aykırı işlenmesi suretiyle kişilik haklarına yapılan saldırıların önlenmesi. |
| Türk Ceza Kanunu (Madde 135 vd.) | Kişisel verilerin kaydedilmesi, verileri hukuka aykırı olarak verme veya ele geçirme eylemlerine yönelik cezai yaptırımlar. |
| Türk Borçlar Kanunu | Hukuka aykırı veri işleme faaliyetlerinden doğan ve kişiyi mağdur eden durumlar için tazminat sorumluluğu. |