Makale
Kişisel verilerin korunması hukuku, ulusal ve uluslararası mevzuatla şekillenen dinamik bir yapıya sahiptir. Bu makalede, AİHS, GDPR, Anayasa ve KVKK gibi temel hukuki düzenlemeler ile kişisel veri, veri sorumlusu, veri işleyen ve aydınlatma yükümlülüğü gibi kavramların yasal sınırları uzman bir hukuki perspektifle detaylıca incelenmektedir.
Kişisel Verilerin Korunması: Ulusal ve Uluslararası Hukuki Çerçeve ile Temel Kavramlar
Teknolojinin hızla gelişmesi ve verinin ekonomik bir değere dönüşmesi, kişisel verilerin korunması hukukunu çağımızın en önemli hukuki disiplinlerinden biri haline getirmiştir. Hem bireylerin mahremiyetini korumak hem de veri akışının güvenliğini sağlamak amacıyla ulusal ve uluslararası alanda kapsamlı hukuki düzenlemeler inşa edilmiştir. Türkiye'de özellikle 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ile somutlaşan bu yapı, temelini Avrupa İnsan Hakları Sözleşmesi (AİHS), 108 sayılı Sözleşme ve Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) gibi uluslararası metinlerden almaktadır. Bu düzenlemeler, sadece bireylerin verilerinin keyfi olarak kullanılmasını engellemekle kalmaz, aynı zamanda veri sorumlusu ve veri işleyen gibi süjelere katı hukuki yükümlülükler yükler. Dolayısıyla, kurumların hukuki sorumluluklarını yerine getirebilmesi için mevzuatın çizdiği genel çerçeveyi ve bu çerçevenin üzerine inşa edildiği kavramsal altyapıyı bütünüyle kavraması hukuki bir zorunluluktur.
Uluslararası Hukukta Kişisel Verilerin Korunması
Kişisel verilerin korunmasına ilişkin uluslararası adımlar ilk olarak Ekonomik İşbirliği ve Kalkınma Örgütü (OECD) ile atılmış olsa da, asıl bağlayıcı yapı taşları Avrupa Konseyi ve Avrupa Birliği nezdinde atılmıştır. Avrupa İnsan Hakları Sözleşmesi'nin (AİHS) sekizinci maddesinde düzenlenen özel hayata ve aile hayatına saygı hakkı, kişisel verilerin korunmasının insan hakları temelini oluşturur. Bunun ardından, uluslararası bağlayıcılığı olan ilk belge sıfatını taşıyan 108 sayılı Sözleşme yürürlüğe girmiş ve otomatik işleme tabi tutulan veriler karşısında bireyler güvence altına alınmıştır. Avrupa Birliği cephesinde ise uzun yıllar boyunca 95/46/EC sayılı Direktif ve elektronik haberleşme sektöründe mahremiyeti sağlayan e-Gizlilik Direktifi uygulanmıştır. Günümüzde ise bu metinlerin yerini alarak tüm üye devletlerde doğrudan uygulanabilir nitelik kazanan Genel Veri Koruma Tüzüğü (GDPR), küresel çapta en kapsamlı veri koruma standartlarını belirleyen yegane metin konumundadır.
Ulusal Mevzuatta Kişisel Verilerin Yasal Çerçevesi
Türk hukukunda kişisel verilerin korunması, 2010 yılında yapılan Anayasa değişikliği ile en üst düzeyde güvence altına alınmış olup, Anayasa'nın yirminci maddesi uyarınca herkes kendisiyle ilgili kişisel verilerin korunmasını isteme anayasal hakkına sahiptir. Özel kanun niteliğindeki 6698 sayılı KVKK yürürlüğe girene dek, 5237 sayılı Türk Ceza Kanunu (TCK) kapsamında verilerin hukuka aykırı olarak kaydedilmesi, verilmesi veya ele geçirilmesi suç olarak düzenlenerek cezai yaptırımlara bağlanmıştır. Ayrıca, kişisel verilerin hukuka aykırı işlenmesinden doğan zararların tazmini noktasında Türk Borçlar Kanunu (TBK) ve kişilik haklarının mutlak korunması bağlamında Türk Medeni Kanunu (TMK) devreye girmektedir. Sektörel bazda ise elektronik ticareti ve haberleşmeyi düzenleyen Elektronik Ticaretin Düzenlenmesi Hakkında Kanun (ETHK) ile Elektronik Haberleşme Kanunu (EHK) gibi özel kanunlar, ticari iletiler ve trafik verilerinin gizliliği gibi konularda kişisel verilerin işlenmesine dair spesifik sınırlar çizmektedir.
KVKK Kapsamında Temel Kavramların Yasal Sınırları
Veri koruma mevzuatını doğru tatbik edebilmek ve hukuki uyuşmazlıkların önüne geçebilmek için öncelikle temel kavramların yasal sınırlarının net bir biçimde kavranması şarttır. Bu kapsamda, kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade ederken; ırk, etnik köken, siyasi düşünce, felsefi inanç, sağlık, cinsel hayat ve biyometrik veriler gibi kişilerin ayrımcılığa uğramasına neden olabilecek nitelikteki hassas bilgiler özel nitelikli kişisel veri olarak çok daha sıkı bir yasal korumaya tabi tutulmuştur. Bu verilerin öznesi olan gerçek kişiler mevzuatta ilgili kişi olarak tanımlanmaktadır. Bu noktada, veri işleme faaliyetlerinin organizasyonu ve hukuki sorumluluğu bakımından en önemli aktör, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen veri sorumlusu statüsündeki gerçek veya tüzel kişilerdir. Veri sorumlusunun verdiği yetkiye dayanarak, onun adına veri işleme faaliyetini icra eden taraf ise veri işleyen olarak nitelendirilmektedir.
Aydınlatma Yükümlülüğü ve Veri Sorumlusunun Sorumlulukları
KVKK'nın getirdiği en temel kurallardan biri olan aydınlatma yükümlülüğü, veri sorumlusunun veri sahibine karşı yerine getirmesi gereken şeffaflık ve dürüstlük görevinin yasal bir yansımasıdır. Kanunun onuncu maddesi uyarınca veri sorumlusu veya yetkilendirdiği veri işleyen, kişisel verilerin elde edildiği esnada veri sahibine; kendi kimliği, kişisel verilerin işlenme amacı, bu verilerin kimlere ve hangi yasal amaçlarla aktarılabileceği, veri toplama yöntemi ile hukuki sebepleri hakkında açık ve anlaşılır bir şekilde bilgi vermek zorundadır. Bu yükümlülük, hukuki sürecin temelini oluşturan yasal bir zorunluluktur.
| KVKK Temel Kavramı | Hukuki Kapsamı ve Yasal Sınırı |
|---|---|
| Kişisel Veri | Kimliği belirli veya belirlenebilir gerçek kişiye ait her türlü bilgidir. (Ad, IP adresi, vb.) |
| Özel Nitelikli Veri | Irk, sağlık, siyasi düşünce, cinsel hayat, genetik ve biyometrik veriler gibi hassas nitelikli bilgilerdir. |
| Veri Sorumlusu | Veri işleme amaçlarını ve vasıtalarını belirleyen, sistemin yönetiminden hukuken sorumlu olan kişidir. |
| Veri İşleyen | Veri sorumlusunun yetkilendirmesi ve talimatlarıyla onun adına kişisel veri işleyen taraftır. |
| İlgili Kişi | Kişisel verileri işlenen, verilerin asıl sahibi olan ve yasal hakları korunan gerçek kişidir. |
Tabloda da özetlendiği üzere, bu kavramlar hukuki süreçlerin altyapısını oluşturur. Kanun koyucu, aydınlatma yükümlülüğünün yerine getirilmesi aşamasında şeffaflık ilkesinin ihlal edilmemesi adına, bu aydınlatma işleminin kişisel verilerin toplanması aşamasında ve veri işleme faaliyetine başlanmadan önce eksiksiz olarak gerçekleştirilmesini emretmektedir. Herhangi bir şekil şartına tabi olmasa da aydınlatmanın yapıldığını ispat külfeti bizzat veri sorumlusu üzerinde bırakılmıştır. Süreçlerin mevzuata uygun şekilde yürütülmemesi, yasalara aykırı eylemler nedeniyle şirketlere idari yaptırımların uygulanması sonucunu doğurur. Dolayısıyla, bu kavramların ve yükümlülüklerin doğru tespit edilmesi, veri güvenliğinin en önemli hukuki kalkanıdır.