Makale
Gelişen teknolojiyle birlikte kişisel verilerin korunması, temel bir insan hakkı olarak hem ulusal mevzuatımızda hem de uluslararası hukukta büyük önem kazanmıştır. Bu makalede, kişisel veri kavramının hukuki niteliği, KVKK ve Avrupa Birliği düzenlemelerindeki yeri incelenerek, veri koruma hukukunun temel esasları değerlendirilmektedir.
KVKK ve Uluslararası Hukukta Kişisel Veri Kavramı
Günümüz bilgi toplumunda, teknolojik gelişmelerin ve internetin hayatımızın ayrılmaz bir parçası haline gelmesiyle birlikte, kişisel verilerin korunması hukuku her geçen gün daha da önem kazanmaktadır. Bireylerin özel hayatının gizliliğini ve temel haklarını güvence altına almayı amaçlayan bu hukuk dalı, bilginin serbest dolaşımı ile mahremiyet arasında hassas bir denge kurmayı hedeflemektedir. Ulusal hukukumuzda 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ile çerçevesi çizilen bu alan, küresel çapta sınır aşan veri akışları nedeniyle uluslararası hukuk kurallarıyla da doğrudan bağlantılıdır. Kişisel verilerin korunmasındaki temel amaç, yalnızca bireylerin verilerini hukuka aykırı müdahalelere karşı korumak değil, aynı zamanda bu verilerin toplumsal ve ekonomik işleyişteki ihtiyacı karşılayacak biçimde, hukuka ve dürüstlük kurallarına uygun olarak işlenmesini sağlamaktır. Bu bağlamda, kişisel veri kavramının sınırlarının doğru tespit edilmesi ve uluslararası metinlerdeki yansımalarının anlaşılması, hem veri sorumluları hem de ilgili kişiler açısından hukuki güvenliğin sağlanması için kritik bir öneme sahiptir.
Kişisel Veri Kavramı ve Unsurları
Türk hukukunda kişisel veri, KVKK’nın 3. maddesinde kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak tanımlanmıştır. Bu tanım, Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) ve 108 sayılı Sözleşme gibi uluslararası düzenlemelerle tam bir uyum içermektedir. Bir bilginin hukuken kişisel veri niteliği taşıyabilmesi için üç temel unsurun bir arada bulunması gerekmektedir: Ortada bir bilginin bulunması, bu bilginin belirli veya belirlenebilir bir kişiye ait olması ve bilginin kişiyle ilişkilendirilebilir nitelik taşımasıdır. Kişiyi doğrudan belirleyen ad ve soyad gibi bilgilerin yanı sıra, e-posta adresi, araç plakası, ses kayıtları ve sosyal güvenlik numarası gibi kişiyi dolaylı olarak belirlenebilir kılan her türlü kayıt bu kapsamda koruma altındadır. Bilginin nesnel veya öznel olması, doğru ya da hatalı olması, aleni yahut gizli olması bu korumanın niteliğini değiştirmemektedir.
Özel Nitelikli Kişisel Veriler
Birtakım kişisel veriler, işlenmeleri halinde bireylerin temel hak ve özgürlüklerine yönelik daha yüksek risk barındırdıkları ve ayrımcılığa sebep olabilecekleri için mevzuatta özel bir korumaya tabi tutulmuştur. KVKK madde 6 uyarınca kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veri olarak kabul edilmektedir. Bu kategoriler kanunda sınırlı olarak sayılmıştır ve kıyas yoluyla genişletilmeleri mümkün değildir. Uluslararası hukukta da GDPR düzenlemeleri kapsamında benzer veriler hassas veri olarak nitelendirilerek özel koruma altına alınmış olup, bu tür verilerin kural olarak ilgili kişinin açık rızası bulunmaksızın işlenmesi hukuka aykırılık teşkil etmektedir.
Uluslararası Hukukta Kişisel Verilerin Korunması
Kişisel verilerin uluslararası boyutta korunmasına yönelik atılan ilk önemli adımlardan biri, Avrupa Konseyi tarafından 1981 yılında kabul edilen 108 sayılı Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi olmuştur. Bu sözleşme, uluslararası alanda bağlayıcılığı bulunan ilk belge olması yönüyle tarihi bir öneme sahiptir ve Türkiye de bu sözleşmenin tarafları arasındadır. Bunun yanı sıra, Avrupa Birliği bünyesinde kişisel verilerin korunması ve serbest dolaşımını yeknesaklaştırmak amacıyla önce 95/46/EC sayılı Direktif kabul edilmiş, teknolojinin gelişmesiyle yetersiz kalan bu direktifin yerini ise günümüzde küresel bir standart haline gelen Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) almıştır. Tüzük, yalnızca Birlik içindeki veri sorumlularını değil, Avrupa Birliği vatandaşlarına mal veya hizmet sunan ya da onların davranışlarını izleyen birlik dışındaki kuruluşları da kapsayacak şekilde oldukça geniş bir bölgesel uygulama alanı öngörmüştür.
- Uluslararası hukukta kişisel verilerin korunmasına yön veren başlıca düzenlemeler şu şekildedir:
- OECD Rehber İlkeleri: Veri koruma alanındaki ilk uluslararası metinlerden olup, sınır ötesi veri akışında asgari standartları belirleyen tavsiye niteliğinde kararlardır.
- 108 Sayılı Sözleşme: Avrupa Konseyi tarafından hazırlanan ve taraf devletler açısından bağlayıcı nitelik taşıyan ilk uluslararası veri koruma sözleşmesidir.
- GDPR: Avrupa Birliği genelinde yeknesaklık sağlayan, idari para cezaları ile caydırıcılığı olan ve sınır aşan geniş uygulama alanına sahip tüzüktür.
Kişisel Verilerin Hukuki Niteliğine Yönelik Yaklaşımlar
Kişisel verilerin korunması hakkının hukuki niteliği konusunda doktrinde ve uluslararası uygulamalarda farklı ekoller bulunmaktadır. Ekonomik hak yaklaşımı, kişisel verileri ticari bir meta ve mülkiyet hakkının konusu olarak görme eğilimindedir. Bu yaklaşım, verinin ekonomik değerini ön planda tutarak korumayı şirketlerin inisiyatifine bırakmayı savunur ve daha çok Anglo-Amerikan hukuk sisteminde tartışılmaktadır. Ancak Türk hukukunun da dahil olduğu Kıta Avrupası sisteminde hakim olan ve bizim de benimsediğimiz insan hakkı yaklaşımı, kişisel verilerin korunmasını doğrudan bireyin kişiliğiyle, özel hayatının gizliliğiyle ve insan onuruyla ayrılmaz bir bütün olarak değerlendirir. Nitekim Anayasamızın 20. maddesi ve Avrupa İnsan Hakları Sözleşmesi (AİHS) uygulamaları ışığında, kişisel verilerin hukuka aykırı şekilde işlenmesi, mülkiyet ihlalinden ziyade doğrudan temel bir insan hakkı ihlali olarak kabul edilmektedir.