Makale
Türk anayasal düzenlemeleri ve Avrupa İnsan Hakları Mahkemesi içtihatları ışığında kişisel verilerin korunması, özel hayatın gizliliği temelinde şekillenmektedir. Bu makale, ulusal mahkeme kararları ve AİHM'in güncel yaklaşımlarıyla kişisel verilerin hukuki niteliğini incelemektedir.
Türk Hukuku ve AİHM İçtihatlarında Kişisel Veri
Teknolojik gelişmelerin hız kazanmasıyla birlikte, kişisel verilerin korunması, modern hukuk sistemlerinin en önemli tartışma alanlarından biri haline gelmiştir. Türk hukuku, Anayasa'nın 20. maddesinde yapılan 2010 yılı değişikliği ile bireylerin kendileriyle ilgili kişisel verilerin korunmasını isteme hakkını anayasal bir güvenceye kavuşturmuştur. Bu anayasal zemin, Türk Ceza Kanunu kapsamında düzenlenen yaptırımlarla desteklenerek özel hayatın gizliliğinin korunmasını amaçlamaktadır. Aynı zamanda, Avrupa Konseyi sisteminin yargı organı olan Avrupa İnsan Hakları Mahkemesi (AİHM), kişisel verilerin korunmasını Avrupa İnsan Hakları Sözleşmesi'nin 8. maddesinde yer alan özel hayata saygı hakkı çerçevesinde değerlendirmekte ve içtihatlarıyla üye ülkelere yol göstermektedir. Bir bilişim hukuku avukatı perspektifiyle değerlendirildiğinde, ulusal mevzuatımızın ve yüksek mahkeme kararlarımızın AİHM standartlarıyla ne ölçüde uyumlu olduğu uygulamada büyük önem taşımaktadır. Bireylerin bu haklarını etkin bir şekilde kullanabilmeleri, ulusal ve uluslararası içtihatların doğru yorumlanmasına bağlıdır.
Anayasal Güvence ve Türk Ceza Kanunu Kapsamı
Türk hukukunda kişisel verilerin korunması, öncelikle Anayasa'nın 20. maddesiyle temel bir insan hakkı olarak düzenlenmiştir. Bireylerin; haklarında toplanan bilgilere erişme, bunları düzeltme, silme ve amacına uygun kullanılıp kullanılmadığını öğrenme hakları açıkça anayasal güvence altındadır. Bu güvencenin ihlali durumunda 5237 sayılı Türk Ceza Kanunu (TCK) devreye girmektedir. TCK'nın 135. maddesi kişisel verilerin hukuka aykırı olarak kaydedilmesini, 136. maddesi ise verileri hukuka aykırı olarak verme, yayma veya ele geçirmeyi suç olarak tanımlamaktadır. Mevzuatımızda kişisel verinin tanımı o dönem açıkça yapılmamış olsa da, TCK gerekçesinde "gerçek kişiyle ilgili her türlü bilgi" kişisel veri olarak kabul edilmiştir. Ayrıca verileri sistem içinde yok etmekle yükümlü olanların bu görevi yerine getirmemesi TCK 138. madde uyarınca cezalandırılmaktadır. Bir bilişim hukuku avukatı açısından, bu suçların maddi unsurlarının oluşup oluşmadığının tespiti, ihlal edilen hakkın sınırlarının doğru çizilmesini gerektirmektedir.
Yüksek Mahkeme Kararlarında Kişisel Veri Kavramı
Türk yargı makamları, kişisel veri kavramının sınırlarını somut uyuşmazlıklarda verdikleri kararlarla belirlemektedir. Anayasa Mahkemesi, bilgi toplama tekeline sahip idareye karşı bireyin korunması gerektiğine hükmederek, veri toplamada sınırların yasayla çizilmesini şart koşmuştur. Örneğin, istatistik birimlerinin sınırları belirsiz şekilde veri talep etmesini özel hayatın gizliliğine aykırı bularak iptal etmiştir. Yargıtay 12. Ceza Dairesi ise kişisel veriyi; yetkisiz üçüncü kişilere sunulmayan, kişinin kimliğini belirleyen veya belirlenebilir kılan her türlü bilgi olarak tanımlamaktadır.
Yargıtay içtihatlarına göre kişisel veri kategorileri şu şekildedir:
- Yaşam şekline ilişkin veriler: Dini inanç, etnik köken, siyasi eğilim ve suç geçmişi.
- Ekonomik ve finansal veriler: Mali varlık, banka hesapları ve kredi kartı bilgileri.
- Sağlık ve biyometrik veriler: İş güvenliği ve sigorta kapsamını etkileyen tıbbi kayıtlar, DNA ve parmak izi.
- Bilişim alanına ilişkin veriler: E-posta adresleri, şifreler ve internet ortamındaki iz kayıtları.
Bu tasnif, herkes tarafından kolaylıkla ulaşılamayan bilgilerin hukuk sistematiği içinde titizlikle korunması gerektiğine işaret etmektedir.
AİHM İçtihatlarında Özel Hayatın Gizliliği
Avrupa İnsan Hakları Mahkemesi (AİHM), kişisel verilerin korunmasını Avrupa İnsan Hakları Sözleşmesi'nin 8. maddesinde korunan özel hayatın gizliliği hakkı bağlamında ele almaktadır. Mahkeme, özel hayat kavramını sadece bireyin iç dünyasına hapsetmemekte; diğer insanlarla iletişim kurma ve dış dünyayla ilişki geliştirme hakkını da bu kapsama dâhil etmektedir. AİHM'in Amann v. İsviçre ve Rotaru v. Romanya gibi emsal kararlarında, kamuya açık bilgilerin dahi sistematik olarak toplanıp saklanmasının özel hayata bir müdahale oluşturduğu açıkça vurgulanmıştır. İdarenin bireyler hakkında yasal bir dayanaktan yoksun olarak bilgi saklaması, Sözleşme'nin ihlali olarak değerlendirilmektedir. Hukuk uygulamaları açısından bu durum, devletin veri toplama faaliyetlerinin öngörülebilir, kanuni bir temele dayanması ve demokratik toplumda zorunlu bir amaca hizmet etmesi gerektiği anlamına gelmektedir. Gerekli güvenlik duvarları oluşturulmadan işlenen veriler, bireylerin temel haklarını kullanmasını engelleyebilecek düzeyde ağır ihlaller doğurmaktadır.
Sağlık Verileri ve Biyometrik Kayıtların Korunması
Bireyin sağlık verileri ve biyometrik kayıtları, hem ulusal hukukta hem de AİHM nezdinde en hassas kişisel veri türleri arasında kabul edilmektedir. AİHM'in Z v. Finlandiya kararında, kişisel sağlık verilerinin gizliliği, kişinin toplumdaki yerini ve özel hayatını sarsacak boyutta tehlikelere karşı özel olarak korunmuştur. Mahkeme, tıbbi verilerin gizliliğinin sağlanmamasının, hastaların tedavi almaktan dahi kaçınmasına yol açabileceğini belirtmiştir. Benzer şekilde, Türk hukukunda Danıştay 10. Dairesi, tıbbi kayıtların doğru ve eksiksiz tutulmamasını hastanın doğruyu öğrenme hakkının ihlali ve hizmet kusuru saymıştır. Biyometrik veriler açısından AİHM'in S. Ve Marper v. Birleşik Krallık kararında; DNA profillerinin ve hücre örneklerinin ileride kullanılabileceği ihtimali göz önüne alındığında, belirsiz bir süre boyunca muhafaza edilmesi, Sözleşme'nin 8. maddesine ağır bir saldırı olarak nitelendirilmiştir. Bu bağlamda, toplanan hukuki verilerin amacına ulaşıldıktan sonra mutlaka silinmesi evrensel bir zorunluluktur.