Makale
Bu makale, kişisel verilerin korunması hukukunun Avrupa Birliği ve Türk hukukundaki tarihsel gelişimini ve temel kaynaklarını ele almaktadır. Genel Veri Koruma Tüzüğü (GDPR) ile Kişisel Verilerin Korunması Kanunu'nun (KVKK) hukuki altyapısı, anayasal dayanakları ve uygulamaya yansıyan temel ilkeleri uzman bir perspektifle incelenmektedir.
Türk ve Avrupa Birliği Hukukunda Kişisel Verilerin Korunması
İnsan hakları ve hürriyetlerinin tarihsel gelişimiyle birlikte, özel hayatın gizliliği kavramı modern hukuk sistemlerinin merkezine yerleşmiştir. Tarihte ilk olarak mahremiyet şeklinde ortaya çıkan bu kavram, teknolojik gelişmelerin hız kazanması ve verilerin otomatik işlenmeye başlanmasıyla kişisel verilerin korunması hukuku adı altında bağımsız bir disipline dönüşmüştür. Avrupa İnsan Hakları Sözleşmesi'nde de güvence altına alınan özel hayata ve aile hayatına saygı hakkı, günümüzde verilerin korunmasına ilişkin uluslararası düzenlemelerin temelini oluşturur. Teknolojinin gelişimi ve verinin petrole benzetilecek kadar değerli hale gelmesi, devletleri ve devletler üstü kurumları veri koruma yasaları çıkarmaya itmiştir. Dünyada bu alandaki ilk düzenleme sayılan 1970 tarihli Hessen Eyaleti Veri Koruma Yasası'ndan bugüne, hem Avrupa Birliği hem de Türk hukukunda oldukça kapsamlı adımlar atılmıştır. Özellikle Avrupa Konseyi tarafından 1981 yılında imzaya açılan 108 Sayılı Sözleşme, uluslararası düzlemde veri koruma standartlarını belirleyen en önemli kilometre taşlarından biri kabul edilmektedir.
Avrupa Birliği Hukukunda Kişisel Verilerin Korunması
Avrupa Birliği, üye devletler arasında kişisel verilerin serbest ve güvenli dolaşımı ile bireylerin temel haklarının korunmasını sağlamak amacıyla çeşitli düzenlemeler hayata geçirmiştir. İlk büyük adım, 1995 yılında kabul edilen 95/46/AT sayılı Direktif olmuştur. Bu direktif, üye ülkelerin iç hukuklarını birbirine yaklaştırmayı hedeflese de doğrudan uygulanamaması nedeniyle tam bir yeknesaklık sağlayamamıştır. Teknolojinin değişen yapısına ayak uydurmak ve sınır ötesi veri akışında standartları yükseltmek amacıyla, Avrupa Birliği yasama organları daha güçlü bir metin arayışına girmiştir. Bunun sonucunda, tüm üye devletlerde doğrudan uygulanabilen Genel Veri Koruma Tüzüğü 2016 yılında kabul edilmiş ve 2018 yılında yürürlüğe girerek kişisel veri koruma standartlarında küresel bir referans haline gelmiştir.
GDPR'ın Getirdiği Temel Yenilikler
GDPR ile birlikte, kişisel verilerin korunması alanında bireylere kendi verileri üzerinde çok daha geniş bir hâkimiyet tanınmıştır. Tüzük, önceki düzenlemelere kıyasla birçok modern hukuki konsepti sisteme entegre etmiştir. GDPR'ın getirdiği en önemli yenilikler şunlardır:
- Bir kişinin kimliğini belirlemeye yarayan veriler arasına internet protokolleri ve çerezler gibi çevrimiçi tanımlayıcılar dâhil edilmiştir.
- Bireylerin, internet ortamında kendilerine ait içeriklerin arama motorlarında listelenmemesini talep edebilmelerine olanak tanıyan AYM Perspektifiyle)">AYM Perspektifiyle)">unutulma hakkı getirilmiştir.
- Sistemlerin ve süreçlerin en başından itibaren veri koruma kurallarına uygun tasarlanmasını şart koşan tasarımda gizlilik ve varsayılan gizlilik ilkeleri benimsenmiştir.
- Veri sorumlularının ve veri işleyenlerin, yürütülen tüm işlemlerde yasalara uygun hareket ettiklerini kanıtlamalarını gerektiren hesap verilebilirlik ilkesi ihdas edilmiştir.
Türk Hukukunda Kişisel Verilerin Korunmasının Gelişimi
Türk hukuk sisteminde kişisel verilerin korunması hakkı, 2010 yılında yapılan halkoylaması ile Anayasa'nın 20. maddesine eklenerek şüpheye mahal bırakmayacak şekilde anayasal bir hak statüsüne kavuşmuştur. Bu anayasal değişiklikten önce de kişisel veriler, temel olarak Türk Medeni Kanunu'nda düzenlenen kişilik hakları kapsamında ve Türk Ceza Kanunu'nda yer alan özel hayatın gizliliğine karşı suçlar çerçevesinde koruma görmekteydi. Ancak, 108 Sayılı Sözleşme'nin Türkiye tarafından iç hukuka aktarılma sürecinin tamamlanması ve anayasal gerekliliklerin yerine getirilmesi amacıyla özel bir kanun ihtiyacı doğmuştur. Bu doğrultuda, Avrupa Birliği mevzuatına uyum sürecinin de bir parçası olarak, Kişisel Verilerin Korunması Kanunu hazırlanmış ve 7 Nisan 2016 tarihinde yürürlüğe girerek Türkiye'de yepyeni bir hukuki dönemi başlatmıştır.
KVKK Çerçevesinde Temel Hak ve Yükümlülükler
KVKK'nin temel amacı, kişisel verilerin işlenmesini disiplin altına almak ve başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini güvence altına almaktır. Kanun, bu amaç doğrultusunda Kişisel Verileri Koruma Kurumu'nu ihdas ederek idari ve mali özerkliğe sahip bir denetim mekanizması kurmuştur. Kanun uyarınca, gerçek ve tüzel kişi veri sorumluları, kişisel verileri işlerken hukuka ve dürüstlük kurallarına uygun hareket etmek zorundadır. İlaveten, kişisel veriler ancak belirli, açık ve meşru amaçlar için işlenme ile işlendikleri amaçla bağlantılı ve ölçülü olma ilkelerine riayet edilerek kullanılabilir. Veri sorumlularının ayrıca ilgili kişileri aydınlatma yükümlülüğü bulunmakta olup, bu kurallara aykırı eylemler idari para cezaları ile yaptırıma bağlanarak veri işlemede şeffaflık sağlanmaktadır.