Makale
Kişisel verilerin korunması hukuku, bireylerin dijital dünyadaki mahremiyetini ve güvenliğini korumak amacıyla gelişmiştir. Bu hukuk dalı, kişisel verileri sadece ekonomik bir değer olarak değil, bağımsız bir temel hak olarak ele almaktadır. Makalemizde, veri hukukunun gelişimi ve uygulamaya yön veren temel kavramlar incelenmektedir.
Kişisel Verilerin Korunması Hukukunun Temelleri ve Kavramlar
Günümüzde teknolojinin ve dijitalleşmenin hızla ilerlemesi, kişisel verilerin korunması konusunu küresel çapta en önemli hukuki meselelerden biri haline getirmiştir. Bilişim teknolojilerindeki gelişmelerle birlikte, bireylere ait verilerin toplanması, işlenmesi ve depolanması süreçleri eşi benzeri görülmemiş bir boyuta ulaşmıştır. Bu durum, veri sahiplerinin mahremiyetlerinin ve kişilik haklarının ihlal edilme riskini artırmış, hukuki bir koruma kalkanı oluşturulmasını zorunlu kılmıştır. Kişisel verilerin korunması hukuku, özünde bireyin verileri üzerindeki kontrolünü kaybetmesi halinde bu denetim hakkını yeniden tesis etmeyi amaçlayan bir hukuk dalıdır. Modern devletin ve kapitalist işletmelerin bilgiye duyduğu sınırsız ihtiyaç, verilerin korunması ihtiyacını doğuran temel etkenler arasındadır. Hukuk büromuzun uzmanlık alanlarından biri olan veri hukuku uygulamalarında, yasal mevzuata uyumun sağlanabilmesi için bu alanın temel felsefesinin ve temel kavramlarının doğru bir şekilde anlaşılması şarttır. Bu makalede, veri koruma hukukunun nasıl doğduğu, hukuk dünyasındaki niteliği ve uygulamada karşımıza çıkan asli kavramlar hukuki bir perspektifle detaylı olarak ele alınmaktadır.
Kişisel Verilerin Korunması Hukukunun Doğuşu ve Niteliği
Hukuk tarihinde kişisel verilerin korunması hukuku, merkezi yönetimlerin ve özel sektör aktörlerinin artan veri toplama faaliyetlerine karşı bir tepki olarak doğmuştur. Bilgisayarların ve otomatik veri işleme teknolojilerinin gelişmesiyle, bireylerin bilgilerinin izinsiz toplanması ve merkezi veri bankalarında saklanması büyük bir tehlike olarak algılanmaya başlanmıştır. İlk olarak bin dokuz yüz yetmiş yılında Almanya'nın Hessen eyaletinde kabul edilen yasal düzenleme ile filizlenen bu alan, sonrasında Ekonomik İşbirliği ve Kalkınma Örgütü, Avrupa Konseyi ve Avrupa Birliği nezdindeki çalışmalarla evrensel bir boyut kazanmıştır. Özellikle yüz sekiz sayılı Avrupa Konseyi Sözleşmesi ve sonrasında yürürlüğe giren Genel Veri Koruma Tüzüğü, modern veri koruma hukukunun mihenk taşlarını oluşturmuştur. Ülkemizde ise iki bin on yılında Anayasanın yirminci maddesine eklenen fıkra ile anayasal güvenceye kavuşan bu hak, altı bin altı yüz doksan sekiz sayılı kanunun kabulü ile somut bir yasal zemine oturtulmuştur. Hukuki niteliği bakımından ise bu hakkın sadece ekonomik bir hak veya dar anlamda özel hayatın gizliliği hakkı olarak görülmesi günümüzde yetersiz kalmaktadır.
Kişisel verilerin hukuki niteliği doktrinde tartışmalı olmakla birlikte, ağırlıklı ve modern görüş bu hakkın bağımsız bir temel hak olarak kabul edilmesi gerektiği yönündedir. Amerikan hukukunda veriler daha çok mülkiyet veya fikri mülkiyet kapsamında ekonomik bir değer olarak görülürken, Kıta Avrupası hukuk sistemi konuya insan hakkı perspektifinden yaklaşmaktadır. Verilerin salt ekonomik bir meta olarak değerlendirilmesi, bireyin veri üzerindeki öznel bağını ve insan onurunu göz ardı etmektedir. Diğer yandan, kişisel verilerin korunmasını yalnızca klasik kişilik hakkı ve özel hayatın gizliliği ile sınırlamak da dijital çağın ihtiyaçlarını karşılamamaktadır. Çünkü alenileştirilmiş veya kamusal alanda paylaşılan verilerin de korunması gerekmektedir. Bu nedenle, bireyin dijital varlığını, özerkliğini ve bilişim ortamında iz bırakmadan hareket edebilme özgürlüğünü teminat altına alan veri koruma hukuku, çağımızda kendine has özellikleri olan, bağımsız ve özgün bir temel insan hakkı olarak hukuki korumadan yararlanmaktadır.
Veri Hukukunda Uygulamaya Yön Veren Temel Kavramlar
Uygulamada yasal yükümlülüklerin sınırlarını çizen en önemli unsur, kişisel veri kavramının doğru tespit edilmesidir. Kanun kapsamında kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ait her türlü bilgiyi ifade etmektedir. Burada belirleyici olan, verinin doğrudan veya dolaylı yollarla belirli bir gerçek kişiyle ilişkilendirilebilmesidir. İsim, kimlik numarası, IP adresi, ses ve görüntü kayıtları gibi bilgilerin tamamı bu kapsamda değerlendirilir. Verinin doğru, yanlış, nesnel veya öznel olması onun kişisel veri niteliğini değiştirmez. Bunun yanı sıra kanun koyucu, işlenmesi halinde kişilerin ayrımcılığa uğrama veya mağdur olma riskinin yüksek olduğu verileri özel nitelikli kişisel veri olarak ayrıca sınıflandırmıştır. Irk, etnik köken, siyasi düşünce, felsefi inanç, sağlık bilgileri, cinsel hayat, ceza mahkumiyeti ile biyometrik ve genetik veriler bu kategoriye girmektedir. Kanunda tahdidi olarak sayılan bu verilerin korunması ve işlenmesi, genel nitelikli verilere kıyasla çok daha sıkı hukuki şartlara bağlanmıştır.
Bir diğer kritik kavram ise kişisel verilerin işlenmesi eylemidir. Verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, değiştirilmesi, aktarılması veya erişilebilir hale getirilmesi gibi her türlü faaliyet veri işleme kabul edilmektedir. Burada kanun koyucu, işlemlerin niteliğini sınırlı sayıda saymayarak geniş bir koruma alanı oluşturmuştur. Ancak otomatik olmayan yollarla yapılan işlemlerin kanun kapsamında sayılabilmesi için verilerin belirli kriterlere göre yapılandırıldığı bir kayıt sisteminin parçası olması şarttır. Bu bağlamda, verilerin rastlantısal olmayan, erişimi ve yönetimi kolaylaştıracak şekilde düzenli bir sistematik içerisinde tutulduğu fiziki veya elektronik arşivler veri kayıt sistemi olarak nitelendirilir. İşlemlerin merkezinde yer alan ve verisi işlenen gerçek kişiler ise mevzuatta ilgili kişi olarak adlandırılmakta olup, tüzel kişilere ait veriler kanunun koruma şemsiyesi dışında bırakılmıştır.
Veri Sorumlusu, Veri İşleyen ve Açık Rıza
Hukuki sorumluluğun belirlenmesinde veri sorumlusu ve veri işleyen statülerinin ayrımı hayati bir önem taşımaktadır. Veri sorumlusu, kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. Veri işleme faaliyetinin neden ve nasıl yapılacağına karar veren en üst düzeydeki karar verici konumundadır ve idari tedbirlerin alınması bakımından asli sorumludur. Buna karşılık veri işleyen, veri sorumlusunun verdiği yetkiye dayanarak ve tamamen onun talimatları doğrultusunda, onun adına kişisel verileri işleyen organizasyon dışındaki kişi veya kurumlardır. Bulut bilişim hizmeti sunan şirketler veya dışarıdan destek alınan organizasyonlar bu duruma örnek gösterilebilir. Her iki taraf arasındaki hukuki ilişki, yetki ve sorumluluk sınırlarının net bir şekilde çizildiği bir kişisel veri işleme sözleşmesi ile yazılı olarak güvence altına alınmalıdır.
Kişisel verilerin hukuka uygun şekilde işlenebilmesi için başvurulan temel hukuki dayanaklardan biri açık rıza müessesesidir. Açık rıza belirli bir konuya ilişkin, detaylı bir bilgilendirmeye dayanan ve kişinin tamamen özgür iradesiyle açıkladığı onay beyanıdır. Hukuken geçerli bir açık rızadan söz edilebilmesi için, ilgili kişinin hangi verilerinin, ne amaçla ve kimlerle paylaşılacağı konusunda önceden net bir şekilde bilgilendirilmesi gerekmektedir. İlgili kişinin iradesini sakatlayan hata, hile, korkutma gibi durumların varlığı veya rıza verilmesinin bir mal ya da hizmet sunumunun ön koşulu haline getirilmesi, alınan onayı geçersiz kılacaktır. Özellikle işveren ile işçi veya banka ile müşteri ilişkilerinde olduğu gibi taraflar arasında belirgin bir güç eşitsizliğinin bulunduğu durumlarda, rızanın özgürce verilip verilmediği hukuki denetimlerde titizlikle incelenmektedir. Açık rızanın usulüne uygun olarak alındığını ispat etme yükümlülüğü ise her zaman veri sorumlusunun üzerindedir.
Kişisel Verilerin İşlenmesine Hakim Olan Temel İlkeler
Bütün veri işleme faaliyetlerinin, kanunda belirtilen genel ilkelere mutlak surette uygun olarak gerçekleştirilmesi yasal bir zorunluluktur. Bu ilkeler birbiriyle ayrılmaz bir bütün olup, herhangi birinin ihlali veri işleme faaliyetini doğrudan hukuka aykırı hale getirmektedir. Kişisel verilerin işlenmesine hakim olan temel ilkeler şu şekilde sıralanmaktadır:
- Hukuka ve dürüstlük kurallarına uygun olma
- Doğru ve gerektiğinde güncel olma
- Belirli, açık ve meşru amaçlar için işlenme
- İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma
- Mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme
Sayılan bu evrensel kurallar, veri sorumlusunun işlemlerinde asgari veri işleme ve şeffaflık prensiplerini esas almasını sağlarken, veri sahibinin de temel hak ve özgürlüklerinin güvence altına alınmasına ve dijital ekosistemde hukuki güvenliğin tesis edilmesine doğrudan hizmet etmektedir.