Makale
Modern hukukta kişisel verilerin korunması, bireyin bilgi özerkliğini güvence altına alan temel bir kişilik hakkıdır. Bu makalede, kişisel veri kavramının teorik temelleri, uluslararası hukuktaki gelişimi, veri işleme ilkeleri ve hassas verilerin hukuki rejimine dair kapsamlı ve güncel bir hukuki analiz sunulmaktadır.
Modern Hukukta Kişisel Verilerin Korunması Rejimi ve Temel İlkeler
Bilişim teknolojilerindeki hızlı gelişmeler, bireylerin özel yaşamlarına ilişkin verilerin eşi benzeri görülmemiş bir ölçekte toplanmasına ve işlenmesine olanak tanımıştır. Bu durum, hukukun kişisel verilerin korunması alanında yeni ve güçlü mekanizmalar üretmesini zorunlu kılmıştır. Kıta Avrupası hukuk sisteminde temel bir insan hakkı ve kişilik hakkı olarak kabul edilen bu koruma rejimi, bireyin salt insan olmasından kaynaklanan ve devredilemeyen haklarını güvence altına almayı hedefler. Geleneksel mahremiyet anlayışından bağımsızlaşarak kendi başına bir disiplin haline gelen veri koruma hukuku, bireyin kendi verisinin geleceğini tayin etme yetkisini merkeze almaktadır. Günümüzde, hem uluslararası sözleşmeler hem de ulusal mevzuatlar aracılığıyla, bireylerin veri işleyen kurumlar ve şirketler karşısındaki zayıf konumu dengelenmeye çalışılmaktadır. Bu kapsamda oluşturulan hukuki çerçeve, verilerin ekonomik bir meta olarak sınır ötesi dolaşımı ile temel hak ve özgürlüklerin korunması arasındaki hassas dengeyi tesis etmeyi amaçlayan dinamik bir yapıya sahiptir.
Kişisel Veri Kavramı ve Hukuki Niteliği
Uluslararası ve ulusal hukuki düzenlemelerde kişisel veri, kimliği belirli veya belirlenebilir nitelikteki bir gerçek kişiye ilişkin her türlü bilgi olarak tanımlanmaktadır. Bu kavram, kişinin yalnızca adı veya kimlik numarası gibi doğrudan tanımlayıcı unsurlarını değil; aynı zamanda ekonomik, mesleki, fiziki ve iletişim bilgilerini de kapsayan geniş bir çerçeveye sahiptir. Bir bilginin kişisel veri sayılabilmesi için, veri ile kişi arasında içerik veya sonuç bakımından doğrudan ya da dolaylı bir bağ bulunması ve bu bağın kişiyi belirlenebilir kılması yeterlidir. Bilginin nesnel, öznel, doğru veya yanlış olması, koruma rejimi açısından bir farklılık yaratmaz. Hukuki niteliği bakımından Anglo-Amerikan sisteminde mülkiyet hakkı ekseninde ekonomik bir değer olarak ele alınan kişisel veriler, Kıta Avrupası hukuk sisteminde bireyin manevi bütünlüğünü koruyan ayrılmaz bir kişilik hakkı olarak kategorize edilmektedir.
Özel Nitelikli (Hassas) Kişisel Veriler
Kişisel veriler içinde bazı veri türleri, doğaları gereği bireylerin temel hak ve özgürlüklerine yönelik daha büyük riskler barındırdıkları için özel nitelikli kişisel veri veya hassas veri olarak ayrı bir koruma rejimine tabi tutulmuştur. Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, dini, felsefi inancı, sağlığı, cinsel hayatı, biyometrik ve genetik verileri bu kategoriye girmektedir. Bu tür verilerin hukuka aykırı olarak işlenmesi, doğrudan doğruya ayrımcılık ve dışlanma gibi telafisi güç zararlara yol açabileceği için uluslararası sözleşmelerde ve kanunlarda daha sıkı şartlara bağlanmıştır. Kural olarak, iç hukukta yeterli ve etkili güvenceler sağlanmadığı müddetçe bu verilerin otomatik işlemeye tabi tutulması hukuka aykırı kabul edilmekte ve genel kamu yararının bulunmadığı durumlarda bu tür verilerin işlenmesine ancak çok katı istisnalar altında izin verilmektedir.
Kişisel Verilerin İşlenmesinde Hâkim İlkeler
Kişisel verilerin işlenmesi; verilerin tamamen veya kısmen otomatik yollarla ya da bir veri kayıt sisteminin parçası olmak kaydıyla elde edilmesi, kaydedilmesi, depolanması, değiştirilmesi, aktarılması veya yok edilmesi gibi oldukça geniş bir yelpazedeki tüm faaliyetleri kapsar. Modern veri koruma rejiminin temel taşı olan Genel Veri Koruma Tüzüğü ve ulusal mevzuatlar, veri işleme faaliyetlerinin hukuka uygunluğunu sağlamak için bir dizi temel ilke öngörmüştür. Veri işleme süreçlerinin mutlak surette hukuka ve dürüstlük kurallarına uygun olması, veri sahibinin makul beklentilerinin zedelenmemesi adına en temel gerekliliktir. İlgili ilkeler; veri güvenliğini temin etmek ve bireyin kendi verisi üzerindeki mutlak kontrolünü muhafaza etmek amacıyla birbiriyle ayrılmaz bir bütünlük içindedir.
- Hukuka ve dürüstlük kurallarına uygun olma: Veri işleme faaliyetinin şeffaf ve yasal bir dayanağa sahip olması zorunludur.
- Belirli, açık ve meşru amaçlar için işlenme: Verilerin toplanma amacının muğlak ifadelerden uzak, kesin ve hukuka uygun bir temele dayanması gerekir.
- Amaçla bağlantılı, sınırlı ve ölçülü olma: Yalnızca hedeflenen amaca ulaşmak için mutlak surette gerekli olan en az miktardaki verinin işlenmesi kuralıdır.
- Doğru ve gerektiğinde güncel olma: Bireyin haklarının ihlal edilmemesi adına hatalı verilerin düzeltilmesi yükümlülüğünü içerir.
- İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme: İşleme amacı ortadan kalkan verilerin anonimleştirilmesi, silinmesi veya kalıcı olarak imha edilmesi zorunluluğudur.
Açık Rıza ve Geçerlilik Şartları
Kişisel verilerin işlenmesini hukuka uygun kılan temel dayanaklardan biri de veri sahibinin açık rıza beyanıdır. Modern hukukta açık rıza; belirli bir konuya ilişkin, önceden aydınlatma yükümlülüğü yerine getirilerek tamamen özgür iradeyle açıklanan onay olarak tanımlanmaktadır. Bu bağlamda, kullanıcının susması veya hareketsiz kalması gibi durumlara bağlanan zımni onaylar ya da birden fazla işlemin tek bir onaya bağlandığı battaniye rıza uygulamaları kesinlikle geçersizdir. Veri Koruma Kurullarının ve yargı mercilerinin güncel kararlarında da belirtildiği üzere, hizmetin sunulmasının rıza şartına bağlandığı sözleşmelerde irade sakatlığı söz konusu olacağından, rızanın şeffaf ve hiçbir tereddüde yer bırakmayacak aktif bir eylemle, veri işleme faaliyeti başlamadan önce alınmış olması hukuki bir zorunluluktur.
Uluslararası Hukukta Koruma Rejiminin Gelişimi
Kişisel verilerin korunmasına yönelik uluslararası regülasyonlar, 1980 yılında kabul edilen OECD Rehber İlkeleri ile ivme kazanmış, ardından 1981 tarihli ve 108 Sayılı Avrupa Konseyi Sözleşmesi ile ilk kez uluslararası düzeyde bağlayıcı bir niteliğe kavuşmuştur. Sözleşme 108, kişilerin otomatik işleme faaliyetlerine karşı korunmasını merkeze alarak sınır ötesi veri akışının önündeki hukuki sınırları çizen öncü bir belgedir. Sonrasında 95/46/AT sayılı Direktif, Avrupa Birliği pazarında veri güvenliğini harmonize etmeyi amaçlamıştır. Bu alandaki en kapsamlı dönüşüm ise 2016 yılında yürürlüğe giren Genel Veri Koruma Tüzüğü ile yaşanmıştır. İlgili tüzük, AYM Perspektifiyle)">AYM Perspektifiyle)">unutulma hakkı, tasarımla veri koruma ve mahremiyet etki analizi gibi yenilikçi mekanizmalar ihdas ederek veri sorumlularına çok daha ağır hesap verilebilirlik yükümlülükleri getirmiştir. Günümüzde veri koruma hukuku; Avrupa Veri Yasası ve Yapay Zekâ Yasası gibi tamamlayıcı düzenlemelerle birlikte, bireylerin dijital dünyadaki temel hak ve özgürlüklerini güvence altına alan çok katmanlı ve evrensel bir rejim hâline gelmiştir.