Makale
Kişisel veri hukuku, teknolojinin ilerlemesiyle hayatımızın merkezine yerleşmiştir. Bu makalede, veri, kişisel veri, özel nitelikli veri, veri sorumlusu ve işleyen gibi temel KVKK kavramlarının hukuki niteliklerini ve bu alanın ulusal ve uluslararası boyuttaki tarihsel ve hukuksal gelişim sürecini bir avukat perspektifiyle inceliyoruz.
Kişisel Verilerin Korunması: Temel Kavramlar ve Hukuksal Gelişim
Teknolojinin eşi görülmemiş bir hızla ilerlemesi ve dijitalleşmenin sınır tanımayan doğası, bireylerin mahremiyetini ve kişisel verilerin korunması hukukunu her zamankinden daha hayati bir konuma taşımıştır. Günümüzde bilgi güvenliği yalnızca teknik bir mesele olmaktan çıkmış, doğrudan temel insan hakları ve özgürlükleri ile bağlantılı, derin hukuki analizler gerektiren bir alana dönüşmüştür. Bir KVKK uzmanı olarak belirtmek gerekir ki, verinin bizzat ekonomik bir değere dönüşmesi ve sınır aşan devasa veri akışları, kanun koyucuları ve uluslararası regülatörleri harekete geçirmiştir. Bu dinamik süreçte hukuk sistemleri, bireyin haklarını korumak ile veri temelli ekonominin işleyişi arasında hassas bir denge kurmak zorunda kalmıştır. Nitekim, kişisel verilerin korunması sadece teknik bir uyum süreci değil, aynı zamanda anayasal güvence altına alınmış temel bir haktır. Bu makalede, veri koruma hukukunun temel yapıtaşlarını oluşturan kişi, veri, veri sorumlusu gibi asli kavramları hukuki bir perspektifle ele alacak ve bu kavramların hem uluslararası arenada hem de ulusal mevzuatımızdaki tarihsel gelişim serüvenini detaylıca analiz edeceğiz.
Kişisel Veri Hukukunun Yapıtaşları: Temel Kavramlar
Hukuki manada kişi kavramı, hak ehliyetini haiz olan, hak sahibi olabilen varlıkları ifade eder. Bilişim ve veri koruma hukuku bağlamında Avrupa Birliği mevzuatı ve ulusal düzenlemelerimiz incelendiğinde, bu korumadan yalnızca gerçek kişilerin faydalanabileceği, tüzel kişilerin ise koruma kapsamının dışında tutulduğu görülmektedir. Bilginin en küçük yapıtaşı olarak tanımladığımız veri kavramı ise, bireyler arasındaki hukuki ilişkileri düzenleyen ve sürekli güncellenen bir temeldir. Herhangi bir bilgi veya veri kümesi, ait olduğu gerçek kişiyi belirli veya belirlenebilir kıldığı ölçüde kişiselleşerek kişisel veri niteliğini kazanır. Söz konusu bilgi parçacığına kişinin aidiyetinin sinmesi ve veriyi elinde bulunduranı doğrudan o şahsa götüren belirleyicilik durumu, hukuki korumanın da ana tetikleyicisidir. Hukuk uygulamalarında bir verinin kişisel veri sayılması, o bilginin korunmasına dair yasal yaptırımların işletilmesi için mutlak ön koşuldur.
Özel Nitelikli Kişisel Veriler ve Veri İşleme Süreci
İnsani özelliklerin sınıflandırılmasında, muhafazası veya silinmesi durumunda fevkalade hukuki ihtimam gösterilmesi gereken verilere özel nitelikli kişisel veri denilmektedir. Bireylerin ırkı, etnik kökeni, siyasi düşüncesi, genetik ve biyometrik verileri gibi hassas bilgilerin ihlali, telafisi imkansız zararlar doğurma potansiyeli taşıdığından yasalarca çok daha katı bir şekilde korunur. 6698 sayılı yasa ile Türk Ceza Kanunu bu verileri titizlikle sınıflandırmıştır. Bununla bağlantılı olarak kişisel verilerin işlenmesi, verilerin elde edilmesi, kaydedilmesi, depolanması veya üzerinde değişiklik yapılması gibi her türlü etkileşimi kapsar. Bu hukuki ekosistemde iki önemli aktör devreye girer: Veri sorumlusu ve veri işleyen. Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminden asli olarak sorumlu olan gerçek veya tüzel kişidir. Veri işleyen ise veri sorumlusunun verdiği yasal yetkiye dayanarak sadece onun adına emir ve talimatla bu verileri işleyen kişidir.
Kişisel Verilerin Korunmasının Uluslararası Hukuksal Gelişimi
Teknolojinin getirdiği sınır ötesi etkileşimler ve verinin limitsiz dolaşımı, veri koruma alanında modern devletleri ortak hareket etmeye ve bağlayıcı uluslararası regülasyonlar oluşturmaya itmiştir. Hukuk tarihi incelendiğinde, temel uluslararası veri koruma adımlarının şu şekilde sıralandığını görüyoruz:
- OECD İlkeleri (1980): Özel hayatın gizliliği ve uluslararası sınır ötesi veri akışına dair genel prensipleri belirleyen rehber metin niteliğindeki önemli bir sözleşmedir.
- 108 Sayılı Sözleşme (1981): Avrupa Konseyi tarafından kabul edilen, kişisel verilerin otomatik yollarla işlenmesine karşı bireyleri koruyan ve uluslararası bağlayıcılığı olan ilk hukuki belgedir.
- BM Regülasyonları: Evrensel İnsan Hakları Beyannamesi'nin özel hayata ilişkin ihlalleri önleme gayesinden doğan, 1990 yılındaki bilgisayarlarla işlenen kişisel verilere dair yönlendirici ilkeler bütünüdür.
- GDPR (2018): Avrupa Birliği içerisinde ve dışında kişisel verilerin korunması ve ticari maksatlı işlenmesi konusunda yeni çağın en kapsamlı ve katı yasal altyapısıdır.
Belirtilen bu uluslararası düzenlemeler, sadece birer tavsiye niteliğinde olmaktan çıkıp, küresel veri ticaretini şekillendiren güçlü hukuki normlar haline gelmiş ve Türk hukuku dahil ulusal mevzuatlara doğrudan ilham kaynağı olmuştur.
Ulusal Mevzuatımızda Kişisel Verilerin Hukuksal Konumu
Türk hukuk sisteminde kişisel verilerin korunması hakkı, en üst norm olan anayasal düzeyde kesin bir teminat altına alınmıştır. 1982 Anayasası'nın 20. maddesinde genel çerçevede düzenlenen özel hayatın gizliliği hakkına, 2010 yılında yapılan bir anayasa değişikliği ile kişisel verilerin korunmasını isteme hakkı açıkça müstakil bir fıkra olarak eklenmiştir. Bu yasal düzenleme, veri korumasını doğrudan bir insan hakkı mertebesine yükseltmiştir. Anayasal temelin yanı sıra, 2005 yılında yürürlüğe giren Türk Ceza Kanunu ile özel hayata ve hayatın gizli alanına karşı suçlar başlığı altında her türlü veri ihlali ciddi cezai müeyyidelere bağlanmıştır. Ancak asıl devrim niteliğindeki hukuki adım, uluslararası standartlara uyum sağlama ve modern bir altyapı kurma amacıyla 2016 yılında 6698 sayılı Kişisel Verilerin Korunması Kanunu yürürlüğe girmesiyle atılmıştır. Bu özel kanun, verilerin toplanmasından imhasına kadar tüm idari süreçleri hukuki bir zemine oturtmuştur.