Makale
Kişisel verilerin korunması, teknolojik gelişmelerle birlikte uluslararası hukukun en önemli odak noktalarından biri haline gelmiştir. Avrupa Konseyi, Avrupa Birliği ve Birleşmiş Milletler gibi uluslararası örgütlerin düzenlemeleri, veri koruma rejiminin küresel standartlarını belirlemekte ve devletlerin iç hukuklarına yön vermektedir.
Uluslararası Hukukta Veri Koruma Rejimi ve Temel Düzenlemeler
İkinci Dünya Savaşı sonrasında insan hakları ve özgürlüklerinin uluslararası hukukun temel bir parçası haline gelmesiyle birlikte, kişisel verilerin korunması ihtiyacı da küresel ölçekte artış göstermiştir. Gelişen bilişim teknolojileri ve sınır aşan veri akışları, bireylerin özel hayatlarının gizliliğini koruma gereksinimini daha da kritik bir boyuta taşımıştır. Bu kapsamda, uluslararası hukukta veri koruma rejimi, başlangıçta tavsiye niteliğindeki ilkelerle şekillenmiş, zamanla bağlayıcı uluslararası sözleşmeler ve tüzükler aracılığıyla sağlam bir hukuki zemine oturtulmuştur. Özellikle Kara Avrupası hukuk sisteminde kişisel verilerin korunması, temel bir insan hakkı olarak kabul edilmekte ve devletlerin bu hakka saygı göstermesi yönünde onlara pozitif yükümlülükler yüklenmektedir. Birleşmiş Milletler, Avrupa Konseyi, İktisadi İşbirliği ve Gelişme Teşkilatı ve Avrupa Birliği bünyesinde oluşturulan yasal çerçeveler, devletlerin ulusal mevzuatlarını uyumlaştırmasını zorunlu kılmış ve bağımsız denetim mekanizmalarının kurulmasını öngörmüştür. Bir bilişim hukuku avukatı perspektifiyle değerlendirildiğinde, bu uluslararası düzenlemelerin ve ilgili mahkeme içtihatlarının yakından takip edilmesi, sınır ötesi ticari ilişkiler ve hukuki uyuşmazlıkların çözümünde hayati bir önem arz etmektedir.
Birleşmiş Milletler ve OECD Kapsamında Veri Koruma İlkeleri
Uluslararası alanda kişisel verilerin korunmasına yönelik ilk adımlar, temel insan hakları belgeleri ve evrensel nitelikteki rehber ilkeler aracılığıyla atılmıştır. Bireylerin özel hayatına ve haberleşmesine müdahaleleri yasaklayan bu çerçeve, uluslararası veri koruma hukukunun temellerini inşa etmiştir. Bilişim hukuku alanında referans alınan bu evrensel kaynaklar temel olarak şunlardır:
- İnsan Hakları Evrensel Beyannamesi: Özel hayatın ve haberleşmenin gizliliğini temel insan hakkı olarak tanımlar.
- Medeni ve Siyasi Haklara İlişkin Uluslararası Sözleşme: Onur ve itibara hukuka aykırı saldırıları yasaklayarak koruma sağlar.
- BM Bilgisayarla İşlenen Kişisel Veri Dosyaları Hakkında Rehber İlkeler: Sınır ötesi veri akışı ve bağımsız veri koruma kurulu tesisi için asgari kriterler sunar.
- OECD Rehber İlkeleri: Küresel veri trafiğinin güvenli işleyişi ve ekonomik kalkınma için uluslararası standartları belirler.
Bu belgeler, doğrudan yaptırım gücünden yoksun olsalar da, devletlerin iç hukuk düzenlemelerinde asgari standartların yerleşmesinde yol gösterici ve uluslararası sözleşmelere zemin hazırlayıcı kurucu bir işlev üstlenmişlerdir.
Avrupa Konseyi Düzenlemeleri ve Avrupa İnsan Hakları Mahkemesi
Avrupa Konseyi, kişisel verilerin otomatik işleme tabi tutulması karşısında bireyleri korumak amacıyla 1981 yılında 108 sayılı Sözleşme'yi yürürlüğe koyarak, uluslararası hukukta bağlayıcı nitelikteki ilk belgeyi oluşturmuştur. Bu sözleşme ve sonrasında kabul edilen 181 sayılı Ek Protokol, taraf devletlere kişisel verilerin adil ve hukuka uygun işlenmesi yükümlülüğünü getirirken, aynı zamanda bağımsız denetleyici makamlar kurmalarını zorunlu kılmıştır. Ayrıca, günümüz teknolojik ihtiyaçlarına yanıt verebilmek için sözleşme modernize edilerek genetik ve biyometrik veriler gibi hassas veri kategorileri de koruma kapsamına dahil edilmiştir. Diğer taraftan, Avrupa İnsan Hakları Mahkemesi, kişisel verilerin korunmasını doğrudan Avrupa İnsan Hakları Sözleşmesi'nin 8. maddesi olan özel hayata saygı hakkı kapsamında değerlendirmektedir. Mahkeme, devletlerin veya kurumların veri işleme faaliyetlerinde ölçülülük, demokratik toplumda gereklilik ve kanunilik ilkelerine uymasını aramaktadır. Bilişim hukuku uygulamaları açısından, mahkemenin Leander, Von Hannover ve Khelili gibi davalarda verdiği ihlal kararları, veri sorumlularının takdir yetkilerinin sınırlarını çizen emsal niteliğinde içtihatlardır.
Avrupa Birliği Veri Koruma Rejimi ve Regülasyon (GDPR)
Avrupa Birliği bünyesinde kişisel verilerin korunması, en üst düzey yaptırım gücüne ve bağlayıcılığa sahip hukuki mekanizmalarla teminat altına alınmıştır. 1995 tarihli 95/46/AT sayılı Direktif, üye devletler arasında hukuki bir örnekleşme sağlama amacı gütmüş ve Türk hukukundaki yasal mevzuatın hazırlanmasına da temel bir kaynak oluşturmuştur. Ancak, internetin yaygınlaşması ve dijitalleşmenin hız kazanmasıyla birlikte, doğrudan ve eşzamanlı uygulanabilme niteliğine sahip olan Avrupa Birliği Genel Veri Koruma Tüzüğü 2018 yılında yürürlüğe girmiştir. Tüzük, ispat yükünü veri sorumlusuna yüklemesi, veri sahiplerine AYM Perspektifiyle)">AYM Perspektifiyle)">unutulma hakkı gibi yenilikçi haklar tanıması ve sınır aşan veri aktarımlarında oldukça sıkı güvenlik standartları araması yönüyle devrim niteliğinde bir metindir. Bir hukukçu gözüyle bu regülasyonun en kritik yönü, Avrupa Birliği dışında bulunan ancak birlik vatandaşlarının verilerini işleyen kurum ve şirketleri de kapsamı içine alarak, uluslararası ticari faaliyetleri doğrudan hukuki bir denetim altına sokmasıdır.
Avrupa Adalet Divanı Kararları ve Sınır Aşan Veri Aktarımı
Avrupa Birliği veri koruma hukukunun uygulanmasında ortaya çıkan ihtilaflar ve mevzuatın yorumlanması, Avrupa Birliği Adalet Divanı tarafından karara bağlanmaktadır. Mahkemenin verdiği emsal kararlar, veri koruma rejiminin küresel boyuttaki sınırlarını yeniden çizmektedir. Örneğin, Google kararı olarak bilinen uyuşmazlıkta, kişilerin arama motorlarında yer alan kendilerine ait bilgilerin silinmesini talep edebileceği unutulma hakkını açıkça tescil etmiştir. Ticari ve bilişim hukuku açısından sarsıcı bir etki yaratan diğer bir içtihat ise Schrems II kararıdır. Bu kararla, Avrupa Birliği'nden Amerika Birleşik Devletleri'ne veri aktarımının dayanağı olan anlaşma, Amerikan otoritelerinin kişisel verilere orantısız erişim sağlayabildiği gerekçesiyle iptal edilmiştir. Bu iptal kararı, uluslararası veri transferi gerçekleştiren şirketlerin, alıcı ülkedeki yasal mevzuatın Avrupa standartlarına eşdeğer bir koruma sağlayıp sağlamadığını denetleme sorumluluğunu son derece ağırlaştırmıştır. Standart sözleşme maddelerinin kullanımını bile riske sokabilen bu yargısal yaklaşım, şirketlerin hukuki danışmanlık almasını ve sıkı veri güvenliği politikaları oluşturmasını zorunlu kılmaktadır.