Makale
Kişisel verilerin korunması hukukunda sertifikasyon mekanizmaları, veri sorumlularına şeffaflık ve hukuki güvenlik sağlamaktadır. Ancak bu durumun, veri öznelerinin anayasal hakkı olan kişisel verilerin korunması hakkı ile çatışması muhtemeldir. Bu makalede, söz konusu anayasal normların hiyerarşisi hukuki bir perspektifle incelenmektedir.
KVKK'da Sertifikasyon Sisteminin Hukuki Güvenlik İlkesiyle Çatışması
Hukuk devleti ilkesinin en temel unsurlarından biri olan hukuki güvenlik ilkesi, kuralların belirli, istikrarlı ve öngörülebilir olmasını gerektirmektedir. Kişisel verilerin korunması alanında akreditasyon ve sertifikasyon sistemleri, veri sorumlularına idarenin veya ilgili kişilerin keyfi eylemlerine karşı bir koruma kalkanı sunarak bu güvenliği tesis etmeyi amaçlar. Ancak veri sorumlusu sıfatını taşıyan tüzel kişilerin bu sistemlere dahil olarak elde ettikleri hukuki güvenlik, anayasal bir temel hak olan kişisel verilerin korunması hakkı ile karşı karşıya gelebilmektedir. Örneğin, bir veri ihlali sonucunda zarara uğrayan ilgili kişiye karşı, veri sorumlusunun salt elindeki uygunluk sertifikasına dayanarak sorumluluktan kurtulmaya çalışması, hakların yarışması sorununu doğurur. Bu noktada, veri koruma otoritelerinin yetkileri ile bireylerin temel hakları arasında nasıl bir hukuki denge kurulacağı, mevzuatımızın Avrupa Birliği standartlarına entegrasyonu açısından hayati bir önem taşımaktadır.
Sertifikasyonun Veri Sorumlularına Sağladığı Hukuki Güvenlik
Bir hukuk sisteminde belirlilik, istikrar ve öngörülebilirlik unsurlarının tam anlamıyla sağlanması, hukuki güvenlik ilkesinin varlığına işaret eder. Kişisel verilerin işlenmesi gibi risk barındıran faaliyetlerde, veri sorumlularının ve veri işleyenlerin rasyonel ticari kararlar alabilmesi bu öngörülebilirliğe bağlıdır. Akreditasyon ve sertifikasyon sistemine dahil olmak, veri sorumlularına sadece itibar kazandırmaz; aynı zamanda iş süreçlerinin, kullanılan yazılımların ve yöntemlerin mevcut hukuki düzenlemelerle uyumlu olduğunun bağımsız bir otorite tarafından tevsik edilmesini sağlar. Bu durum, veri sorumlularını düzenleyici otoritelerin ve kişisel verileri işlenen kişilerin öngörülemeyen veya keyfi nitelikteki hukuki ve idari yaptırımlarından koruyan ciddi bir güvence mekanizması oluşturur. Ticari işletmeler, aldıkları bu sertifikalar sayesinde cezai yaptırım veya tazminat davaları riskini minimize ettiklerine inanarak uzun vadeli yatırım planlarını güven içinde hayata geçirme imkanına kavuşurlar.
Anayasal Hakların Çatışması ve Normlar Hiyerarşisi
Sertifikasyonun sağladığı bu koruma zırhı, uygulamada anayasal normların çatışması sorununu gündeme getirmektedir. Kişisel verilerin korunması hakkı, temelinde insan onuru ve bireysel özerklik yatan, anayasa seviyesinde güvence altına alınmış sert çekirdekli bir temel hak niteliğindedir. Diğer yanda ise tüzel kişilerin de yararlanabileceği ve hukuk devletinin vazgeçilmez bir parçası olan hukuki güvenlik ilkesi bulunmaktadır. Olası bir veri ihlali vakasında, yetkisiz üçüncü şahısların eline geçen veriler nedeniyle zarara uğrayan bir gerçek kişi uyuşmazlık yarattığında, veri sorumlusunun iş süreçlerinin akredite edilmiş bir kuruluş tarafından onaylandığını ileri sürerek sorumluluktan kaçınmaya çalışması kuvvetle muhtemeldir. Bu tür bir senaryoda, anayasal düzeyde korunan iki farklı değer yarışma haline girmektedir. Hukuk uygulamaları bağlamında, bu çatışmanın çözümünde normlar arasında mutlak bir altlık üstlük ilişkisi olmasa dahi, hangi hakkın daha baskın bir koruma gerektirdiği titizlikle değerlendirilmelidir.
Hakların Yarışmasında Üstünlük Kriteri
Hukuki güvenlik ilkesi, genellikle içtihatlara ve anayasanın genel ruhuna dayanan bir yapıya sahipken; kişisel verilerin korunması, doğrudan doğruya kişilik haklarını ve insanın maddi-manevi varlığını koruyan oldukça spesifik ve sui generis bir nitelik taşır. Uzman bir hukuki değerlendirme ile bakıldığında, aynı seviyedeki iki anayasal hakkın yarışması durumunda, doğrudan gerçek kişiyi ve onun insan onurunu korumayı hedefleyen sert çekirdekli haklara öncelik tanınması gerektiği açıktır. Dolayısıyla, salt uygunluk sertifikasına sahip olmak, veri sorumlularını kişisel verilerin hukuka aykırı işlenmesinden doğacak hukuki yaptırımlardan mutlak surette muaf tutamaz. Sertifikasyon, Avrupa Birliği uygulamalarında da görüldüğü üzere, uyumluluğun güçlü bir göstergesi ve idari yaptırımların belirlenmesinde hafifletici bir unsur olarak işlev görebilir ancak asli anayasal hakların ihlalini meşrulaştıran bir dokunulmazlık zırhı olarak kullanılamaz.
Sertifikasyon Sisteminin Hukuki Sınırları ve Beklentiler
Türkiye'de Avrupa Birliği standartlarına tam uyum sağlamak amacıyla KVKK mevzuatının güncellenmesi süreci devam etmekle birlikte, doğrudan veri işleme faaliyetlerine yönelik bir akreditasyon mekanizması henüz tam anlamıyla hayata geçirilmemiştir. Avrupa Birliği'nde devreye alınan Europrivacy sertifikasyonu gibi sistemlerin Türkiye'de de kurulması, hukuki güvenliğin tesisi açısından elzemdir. Böylesi bir sistemin ülkemizde inşası durumunda dikkat edilmesi gereken başlıca hukuki temel hususlar şunlardır:
- TÜRKAK veya benzeri bir üst kurulun, sertifikasyon firmalarını denetleyecek nesnel akreditasyon kriterlerini belirlemesi.
- Sertifikaların, veri sorumlusunun hukuki yükümlülüklerini tamamen ortadan kaldıran bir araç değil, uyumluluk karinesi olarak değerlendirilmesi.
- Sertifikasyon süreçlerinin, kişilerin anayasal güvencelerini kısıtlamayacak şekilde tam bir şeffaflıkla yürütülmesi.
- İdarenin keyfi yaptırımlarının önüne geçilmesi adına sertifikasyonun bir hafifletici unsur sayılabilmesi.