Makale

Günümüzde teknolojinin hızla gelişmesi, kişisel verilerin sınır tanımaksızın devasa boyutlarda işlenmesine olanak sağlamaktadır. Bu durum, bireylerin özel hayatın gizliliği ve temel haklarının uluslararası boyutta korunması ihtiyacını doğurmuştur. Modern hukuk sistemlerinde, kişilerin kendi verileri üzerindeki denetimini ifade eden kişisel verilerin korunması hakkı, evrensel bir insan hakkı normu olarak kabul edilmektedir. Uluslararası alanda atılan ilk adımlar bağlamında, Avrupa Konseyi, OECD ve Birleşmiş Milletler tarafından çeşitli sözleşmeler ve rehber ilkeler yayınlanmıştır. Özellikle Avrupa Birliği (AB) hukuku, kişisel verilerin korunmasında yeknesak ve yüksek bir standart oluşturmayı hedefleyerek, temel hak ve özgürlükleri güvence altına alan kapsamlı mekanizmalar geliştirmiştir. Bir bilişim hukuku avukatı perspektifiyle incelendiğinde, bu uluslararası belgelerin yalnızca verilerin hukuka aykırı kullanımını engellemekle kalmayıp, aynı zamanda sınır aşan veri aktarımı süreçlerinde de hukuki bir zemin ve güvenli bir alan yarattığı görülmektedir.

Uluslararası Hukukta İlk Düzenlemeler ve Avrupa Konseyi

Uluslararası alanda kişisel verilerin korunması ihtiyacı, ilk kez 1970'li yıllarda belirgin bir şekilde ortaya çıkmış ve Avrupa Konseyi tarafından hazırlanan tavsiye kararları ile hukuki metinlere dökülmeye başlanmıştır. Bilişim sistemlerinin gelişmesiyle birlikte otomasyona dayalı veri işleme faaliyetlerinin artması, uluslararası bağlayıcılığı olan yasal düzenlemeleri zorunlu kılmıştır. Bu gereksinim üzerine, 1981 yılında kabul edilen 108 sayılı Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Şahısların Korunmasına Dair Sözleşme, bu alanda hazırlanan ilk uluslararası sözleşme olma niteliğini taşır. Sözleşme, taraf devletlere asgari koruma standartları getirerek, kişisel verilerin belirli ve meşru amaçlar için işlenmesi gerektiğini, ayrıca verilerin hukuka ve dürüstlük kurallarına uygun olarak toplanmasını zorunlu kılmıştır. Bu sözleşme sayesinde, yalnızca ulusal düzeyde değil, taraf ülkeler arasındaki uluslararası ilişkilerde de veri koruma standartlarının temeli atılmıştır.

OECD ve Birleşmiş Milletler Rehber İlkeleri

Avrupa Konseyi'nin insan hakları odaklı yaklaşımının yanı sıra, ticari ve ekonomik işbirliğini önceleyen OECD, 1980 yılında uluslararası veri akışındaki engelleri ortadan kaldırmak amacıyla Özel Hayatın Korunması ve Kişisel Verilerin Sınırötesi Dolaşımında Rehber İlkeler isimli bir belge yayınlamıştır. Bu belgenin temel amacı, veri koruma standartlarındaki farklılıkların ekonomik karışıklıklara yol açmasını önlemektir. Rehber İlkeler, verilerin sınırlı olarak toplanması, amacın belirli olması ve şeffaflık gibi kavramları uluslararası ticari faaliyetlere entegre etmiştir. Benzer şekilde, Birleşmiş Milletler Genel Kurulu da 1990 yılında kabul ettiği yönlendirici ilkeler ile, bilgisayarlarla işlenen kişisel veri dosyaları hakkında tüm üye ülkeler için geçerli olacak yasallık, doğruluk, ilgili kişilerin erişme hakkı ve ayrımcılıktan kaçınma gibi temel hukuki prensipleri belirleyerek küresel bir standart oluşturmayı hedeflemiştir.

Avrupa Birliği Veri Koruma Hukuku ve 95/46 Sayılı Yönerge

Avrupa Birliği, veri koruma hukuku alanındaki en önemli ve yapısal adımını 1995 yılında 95/46 sayılı Kişisel Verilerin İşlenmesinde Gerçek Kişilerin Korunması ve Bu Verilerin Serbest Dolaşımı Yönergesi ile atmıştır. Birlik, üye devletler arasında serbest pazarın gerekliliklerini sağlarken, aynı zamanda temel hak ve özgürlüklerin korunması arasında hassas bir denge kurmayı amaçlamıştır. Yönerge, AB içinde yeknesak bir veri koruma hukuku yaratmış ve verilerin işlenmesi usullerini ayrıntılı bir şekilde düzenlemiştir. Düzenleme yalnızca teknolojik olarak otomatik yöntemlerle işlenen verileri değil, herhangi bir kişisel veri dosyalama sistemi aracılığıyla fiziksel veya manuel olarak işlenen verileri de kapsamına alarak koruma alanını oldukça geniş tutmuştur. Bu bağlamda, verilerin işlenme şartları belirlenirken kişilik haklarına yönelik olası saldırılara karşı önleyici bir nitelik benimsenmiştir.

Yönerge Kapsamında Temel Haklar ve İlkeler

AB Yönergesi uyarınca kişisel verilerin yasal ve hukuka uygun işlenebilmesi için belirli temel veri işleme ilkelerine mutlak suretle uyulması zorunludur. Hukuki açıdan geçerli bir veri işleme faaliyeti ancak ilgili kişinin, tereddüde yer bırakmayacak biçimde ve açıkça alınmış bir rızası ile mümkündür. Ayrıca hukuki yükümlülüklerin yerine getirilmesi, kamu görevinin ifası veya veri sorumlusunun meşru çıkarları gibi hukuka uygunluk sebepleri de mevcuttur. Bu çerçevede, veri işleme sürecinde hukuki korumanın sağlanabilmesi için uygulanması gereken temel ilkeler şunlardır:

• Verilerin hukuka ve dürüstlük kurallarına uygun olarak ve şeffaf bir biçimde işlenmesi.
• Kişisel verilerin mutlaka belirli, açık ve meşru amaçlar için toplanması.
• İşlenen bilgilerin veri toplama amacıyla yeterli, ilgili ve ölçülü düzeyde tutulması.
• Verilerin daima doğru ve güncel tutulması için gerekli teknik tedbirlerin alınması.
• Kişisel verilerin yalnızca işlenme amacı için gerekli olan makul süre boyunca saklanması.

Hassas Veriler, Sınır Aşan Aktarım ve Denetim Mekanizmaları

Avrupa Birliği hukukunda ayrımcılık riski taşıyan; kişilerin ırk, etnik köken, siyasi görüş, dini inanç, sağlık veya cinsel yaşamına ilişkin bilgileri özel nitelikte (hassas) kişisel veri olarak kategorize edilmiş ve bunların işlenmesine kural olarak kesin bir yasak getirilmiştir. Bu kural ancak kişinin açık rızası, hayati bir çıkarın korunması veya sağlık hizmetlerinin yürütülmesi gibi son derece katı istisnalar dâhilinde aşılabilmektedir. Diğer yandan, küreselleşen dünyada ticari faaliyetlerin ayrılmaz bir parçası olan sınır aşan veri aktarımı konusu da Yönerge ile sıkı kurallara bağlanmıştır. Kural olarak, kişisel veriler Avrupa Birliği sınırları dışındaki üçüncü ülkelere, ancak o ülkede yeterli seviyede bir koruma bulunması koşuluyla aktarılabilir. Son olarak, hukuki standartların uygulanabilirliğini güvence altına almak için tam bağımsız hareket eden denetleyici veri koruma otoriteleri kurularak, sistemin şeffaf ve güvenli işlemesi sağlanmıştır.