Makale
Kişisel verilerin korunması, uluslararası metinlerde ve 6698 sayılı KVKK'da bireylerin temel hak ve özgürlüklerini güvence altına alan evrensel ilkelere dayanır. Bu makalede, uluslararası hukukun veri koruma rejimine etkileri ve Türk hukukunda benimsenen temel veri işleme ilkeleri hukuki bir perspektifle incelenmektedir.
Uluslararası Hukuk ve KVKK Kapsamında Kişisel Veri İlkeleri
Günümüzde teknolojik gelişmelerin ivme kazanmasıyla birlikte, kişisel verilerin korunması hukuku, ulusal ve uluslararası arenada bireylerin temel hak ve özgürlüklerinin güvence altına alınması adına kritik bir önem taşımaktadır. Başlangıçta özel hayatın gizliliği bağlamında bir özgürlük sorunu olarak ele alınan bu kavram, zamanla bağımsız bir insan hakkı statüsüne kavuşmuştur. Özellikle Kıta Avrupası hukuk sistemi, verilerin ekonomik bir meta olmasından ziyade, insan onuru ve mahremiyet çerçevesinde korunmasına öncelik vermektedir. Türkiye'de de 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), Avrupa İnsan Hakları Sözleşmesi, 108 sayılı Avrupa Konseyi Sözleşmesi ve Avrupa Birliği düzenlemeleri gibi uluslararası metinlerle uyumlu bir yapı inşa etmeyi amaçlamıştır. Bu uyum süreci, kişisel verilerin işlenmesinde keyfiliği önleyen, hukuki belirliliği sağlayan ve bireylerin verileri üzerindeki kontrolünü tesis eden evrensel nitelikteki temel ilkelerin benimsenmesi ile mümkün olmuştur. Uluslararası hukuktan süzülerek iç hukukumuza entegre olan bu evrensel ilkeler, veri işleme faaliyetlerinin meşruiyet zeminini oluşturmaktadır.
Uluslararası Hukukta Kişisel Verilerin Korunması
Uluslararası alanda kişisel verilerin korunmasına yönelik standartlar, farklı organizasyonların hazırladığı uluslararası sözleşmeler ve rehber ilkeler etrafında şekillenmiştir. Ekonomik Kalkınma ve İş Birliği Örgütü (OECD) tarafından yayımlanan Rehber İlkeler, veri toplamanın sınırlı olması, verinin kalitesi, amacın belirliliği ve güvenlik gibi temel standartları uluslararası platformda ilk kez sistematik hale getirmiştir. Avrupa Konseyi bünyesinde hazırlanan 108 sayılı Sözleşme, kişisel verilerin otomatik işleme tabi tutulması konusunda bireylerin korunmasını bağlayıcı bir temele oturtan ilk uluslararası antlaşma olma özelliğini taşır. Türkiye'nin de taraf olduğu bu Sözleşme, iç hukukumuzdaki veri koruma mevzuatının şekillenmesinde temel taşı oluşturmuştur. Aynı zamanda Avrupa İnsan Hakları Mahkemesi (AİHM), kişisel verilerin korunmasını Avrupa İnsan Hakları Sözleşmesi'nin özel hayatın gizliliğine saygı başlıklı maddesi kapsamında değerlendirerek, üye devletlere kapsamlı pozitif ve negatif yükümlülükler yüklemiştir.
Avrupa Birliği Düzenlemeleri ve Türk Hukukuna Etkileri
Türk veri koruma rejiminin mimarisini incelerken, Avrupa Birliği mevzuatının yönlendirici etkisini göz ardı etmek mümkün değildir. Türkiye'deki düzenlemelere ilham veren en önemli kaynak, mülga 95/46/AT sayılı Avrupa Birliği Veri Koruma Direktifi olmuştur. Bu Direktif, üye ülkeler arasında veri akışını sağlarken bireylerin temel haklarını korumayı hedefleyen asgari standartları belirlemiştir. Direktif'in ardından yürürlüğe giren Genel Veri Koruma Tüzüğü (GDPR) ise kişisel veri kavramını genişleterek, bireylerin haklarını modern bir yasal zemine kavuşturmuştur. Türk hukukunda yürürlüğe giren 6698 sayılı KVKK, bu uluslararası belgelerin ruhunu ve temel veri işleme prensiplerini iç hukukumuza entegre etmiştir. Kanun koyucu, uluslararası ticarette rekabet edebilirliği artırmak ve hukuki uyum sürecini tamamlamak adına, Avrupa standartlarında belirlenen ilkeleri Türk hukukunun emredici kuralları haline getirmiştir.
KVKK Kapsamında Kişisel Verilerin İşlenmesine Hâkim Olan Temel İlkeler
Kişisel verilerin hukuka uygun bir şekilde işlenmesi, ancak Kanun'un 4. maddesinde sayılan temel ilkelere sıkı sıkıya bağlı kalınması ile mümkündür. Bu ilkeler, veri işleme faaliyetlerinin adeta anayasası niteliğinde olup, her türlü veri işleme sürecinde kümülatif olarak uygulanmak zorundadır. Bir veri işleme faaliyetinin hukuka uygunluk şartlarından birine dayanması, tek başına yeterli değildir; işlemin aynı zamanda bu genel ilkelere de uygun olması gerekmektedir. İlgili ilkelerin ihlali, veri işleme faaliyetini baştan itibaren hukuka aykırı hale getirir. Bu bağlamda her somut olayda bu ilkelere riayet edilip edilmediği özenle denetlenmelidir. İlgili ilkeler, hem Kıta Avrupası yaklaşımının hem de evrensel hukuk standartlarının bir yansıması olarak, bireyin şahsiyet hakkının ve özel hayatın gizliliğinin korunmasında güçlü bir kalkan görevi görmektedir.
- Hukuka ve dürüstlük kurallarına uygun olma: Veri işleme faaliyetlerinde evrensel hukuk normlarına, Medeni Kanun sınırlarına ve şeffaflık beklentilerine uygun hareket edilmesi zorunluluğudur.
- Doğru ve gerektiğinde güncel olma: İlgili kişilerin eksik veya yanlış veriler nedeniyle mağduriyet yaşamasını engellemeyi amaçlayan, verilerin sürekli denetimini öngören güvencedir.
- Belirli, açık ve meşru amaçlar için işlenme: Verilerin hangi saikle toplanacağının tereddüde mahal vermeyecek açıklıkta baştan belirlenmesi ve muğlak ifadelerden kaçınılmasıdır.
- İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma: Yalnızca belirlenen amacın gerçekleştirilmesine yetecek asgari düzeyde kişisel verinin işlenmesini gerektiren, verilerin gereksiz toplanmasını engelleyen orantılılık kuralıdır.
- İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme: Verilerin sınırsız bir şekilde tutulmasını kati suretle yasaklayan, amacın gerçekleşmesiyle imha süreçlerinin işletilmesini emreden temel ilkedir.