Anasayfa/ Makale/ Uluslararası Hukukta Veri Koruma Rejimi ve Temel Düzenlemeler

Uluslararası Hukukta Veri Koruma Rejimi ve Temel Düzenlemeler

Kişisel verilerin korunması, teknolojik gelişmelerle birlikte uluslararası hukukun en önemli odak noktalarından biri haline gelmiştir. Avrupa Konseyi, Avrupa Birliği ve Birleşmiş Milletler gibi uluslararası örgütlerin düzenlemeleri, veri koruma rejiminin küresel standartlarını belirlemekte ve devletlerin iç hukuklarına yön vermektedir.
search
6 dk okuma Yayınlanma: Güncelleme:
KVKK GDPR (GENEL VERİ KORUMA TÜZÜĞÜ) UNUTULMA HAKKI

İkinci Dünya Savaşı sonrasında insan hakları ve özgürlüklerinin uluslararası hukukun temel bir parçası haline gelmesiyle birlikte, kişisel verilerin korunması ihtiyacı da küresel ölçekte artış göstermiştir. Gelişen bilişim teknolojileri ve sınır aşan veri akışları, bireylerin özel hayatlarının gizliliğini koruma gereksinimini daha da kritik bir boyuta taşımıştır. Bu kapsamda, uluslararası hukukta veri koruma rejimi, başlangıçta tavsiye niteliğindeki ilkelerle şekillenmiş, zamanla bağlayıcı uluslararası sözleşmeler ve tüzükler aracılığıyla sağlam bir hukuki zemine oturtulmuştur. Özellikle Kara Avrupası hukuk sisteminde kişisel verilerin korunması, temel bir insan hakkı olarak kabul edilmekte ve devletlerin bu hakka saygı göstermesi yönünde onlara pozitif yükümlülükler yüklenmektedir. Birleşmiş Milletler, Avrupa Konseyi, İktisadi İşbirliği ve Gelişme Teşkilatı ve Avrupa Birliği bünyesinde oluşturulan yasal çerçeveler, devletlerin ulusal mevzuatlarını uyumlaştırmasını zorunlu kılmış ve bağımsız denetim mekanizmalarının kurulmasını öngörmüştür. Bir bilişim hukuku avukatı perspektifiyle değerlendirildiğinde, bu uluslararası düzenlemelerin ve ilgili mahkeme içtihatlarının yakından takip edilmesi, sınır ötesi ticari ilişkiler ve hukuki uyuşmazlıkların çözümünde hayati bir önem arz etmektedir.

Birleşmiş Milletler ve OECD Kapsamında Veri Koruma İlkeleri

Uluslararası alanda kişisel verilerin korunmasına yönelik ilk adımlar, temel insan hakları belgeleri ve evrensel nitelikteki rehber ilkeler aracılığıyla atılmıştır. Bireylerin özel hayatına ve haberleşmesine müdahaleleri yasaklayan bu çerçeve, uluslararası veri koruma hukukunun temellerini inşa etmiştir. Bilişim hukuku alanında referans alınan bu evrensel kaynaklar temel olarak şunlardır:

  • İnsan Hakları Evrensel Beyannamesi: Özel hayatın ve haberleşmenin gizliliğini temel insan hakkı olarak tanımlar.
  • Medeni ve Siyasi Haklara İlişkin Uluslararası Sözleşme: Onur ve itibara hukuka aykırı saldırıları yasaklayarak koruma sağlar.
  • BM Bilgisayarla İşlenen Kişisel Veri Dosyaları Hakkında Rehber İlkeler: Sınır ötesi veri akışı ve bağımsız veri koruma kurulu tesisi için asgari kriterler sunar.
  • OECD Rehber İlkeleri: Küresel veri trafiğinin güvenli işleyişi ve ekonomik kalkınma için uluslararası standartları belirler.

Bu belgeler, doğrudan yaptırım gücünden yoksun olsalar da, devletlerin iç hukuk düzenlemelerinde asgari standartların yerleşmesinde yol gösterici ve uluslararası sözleşmelere zemin hazırlayıcı kurucu bir işlev üstlenmişlerdir.

Avrupa Konseyi Düzenlemeleri ve Avrupa İnsan Hakları Mahkemesi

Avrupa Konseyi, kişisel verilerin otomatik işleme tabi tutulması karşısında bireyleri korumak amacıyla 1981 yılında 108 sayılı Sözleşme'yi yürürlüğe koyarak, uluslararası hukukta bağlayıcı nitelikteki ilk belgeyi oluşturmuştur. Bu sözleşme ve sonrasında kabul edilen 181 sayılı Ek Protokol, taraf devletlere kişisel verilerin adil ve hukuka uygun işlenmesi yükümlülüğünü getirirken, aynı zamanda bağımsız denetleyici makamlar kurmalarını zorunlu kılmıştır. Ayrıca, günümüz teknolojik ihtiyaçlarına yanıt verebilmek için sözleşme modernize edilerek genetik ve biyometrik veriler gibi hassas veri kategorileri de koruma kapsamına dahil edilmiştir. Diğer taraftan, Avrupa İnsan Hakları Mahkemesi, kişisel verilerin korunmasını doğrudan Avrupa İnsan Hakları Sözleşmesi'nin 8. maddesi olan özel hayata saygı hakkı kapsamında değerlendirmektedir. Mahkeme, devletlerin veya kurumların veri işleme faaliyetlerinde ölçülülük, demokratik toplumda gereklilik ve kanunilik ilkelerine uymasını aramaktadır. Bilişim hukuku uygulamaları açısından, mahkemenin Leander, Von Hannover ve Khelili gibi davalarda verdiği ihlal kararları, veri sorumlularının takdir yetkilerinin sınırlarını çizen emsal niteliğinde içtihatlardır.

Avrupa Birliği Veri Koruma Rejimi ve Regülasyon (GDPR)

Avrupa Birliği bünyesinde kişisel verilerin korunması, en üst düzey yaptırım gücüne ve bağlayıcılığa sahip hukuki mekanizmalarla teminat altına alınmıştır. 1995 tarihli 95/46/AT sayılı Direktif, üye devletler arasında hukuki bir örnekleşme sağlama amacı gütmüş ve Türk hukukundaki yasal mevzuatın hazırlanmasına da temel bir kaynak oluşturmuştur. Ancak, internetin yaygınlaşması ve dijitalleşmenin hız kazanmasıyla birlikte, doğrudan ve eşzamanlı uygulanabilme niteliğine sahip olan Avrupa Birliği Genel Veri Koruma Tüzüğü 2018 yılında yürürlüğe girmiştir. Tüzük, ispat yükünü veri sorumlusuna yüklemesi, veri sahiplerine unutulma hakkı gibi yenilikçi haklar tanıması ve sınır aşan veri aktarımlarında oldukça sıkı güvenlik standartları araması yönüyle devrim niteliğinde bir metindir. Bir hukukçu gözüyle bu regülasyonun en kritik yönü, Avrupa Birliği dışında bulunan ancak birlik vatandaşlarının verilerini işleyen kurum ve şirketleri de kapsamı içine alarak, uluslararası ticari faaliyetleri doğrudan hukuki bir denetim altına sokmasıdır.

Avrupa Adalet Divanı Kararları ve Sınır Aşan Veri Aktarımı

Avrupa Birliği veri koruma hukukunun uygulanmasında ortaya çıkan ihtilaflar ve mevzuatın yorumlanması, Avrupa Birliği Adalet Divanı tarafından karara bağlanmaktadır. Mahkemenin verdiği emsal kararlar, veri koruma rejiminin küresel boyuttaki sınırlarını yeniden çizmektedir. Örneğin, Google kararı olarak bilinen uyuşmazlıkta, kişilerin arama motorlarında yer alan kendilerine ait bilgilerin silinmesini talep edebileceği unutulma hakkını açıkça tescil etmiştir. Ticari ve bilişim hukuku açısından sarsıcı bir etki yaratan diğer bir içtihat ise Schrems II kararıdır. Bu kararla, Avrupa Birliği'nden Amerika Birleşik Devletleri'ne veri aktarımının dayanağı olan anlaşma, Amerikan otoritelerinin kişisel verilere orantısız erişim sağlayabildiği gerekçesiyle iptal edilmiştir. Bu iptal kararı, uluslararası veri transferi gerçekleştiren şirketlerin, alıcı ülkedeki yasal mevzuatın Avrupa standartlarına eşdeğer bir koruma sağlayıp sağlamadığını denetleme sorumluluğunu son derece ağırlaştırmıştır. Standart sözleşme maddelerinin kullanımını bile riske sokabilen bu yargısal yaklaşım, şirketlerin hukuki danışmanlık almasını ve sıkı veri güvenliği politikaları oluşturmasını zorunlu kılmaktadır.

Arama motorlarında adım geçiyor, bu eski bilgileri sildirebilir miyim? expand_more
Evet, bu durum hukuken mümkündür ve uluslararası arenada güvence altına alınmıştır. Avrupa Adalet Divanı'nın emsal niteliğindeki Google kararı kapsamında, kişilerin arama motorlarında yer alan kendilerine ait bilgilerin silinmesini talep edebileceği "unutulma hakkı" açıkça tescil edilmiştir. Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) de veri sahiplerine bu yenilikçi hakkı açıkça tanımaktadır. Dolayısıyla, özel hayatınızın gizliliğini ihlal eden bu tür içerikler için hukuki yollara başvurarak verilerinizin arama motorlarından kaldırılmasını talep etme hakkına sahipsiniz.
Devlet veya kurumlar özel bilgilerimi kafasına göre toplayabilir mi? expand_more
Hayır, kişisel verilerinizin korunması Avrupa İnsan Hakları Sözleşmesi'nin 8. maddesi kapsamında özel hayata saygı hakkı olarak temel bir güvence altındadır. Devletlerin veya kurumların veri işleme faaliyetlerinde mutlaka ölçülülük, kanunilik ve demokratik toplumda gereklilik ilkelerine uyması şarttır. Avrupa İnsan Hakları Mahkemesi'nin Leander ve Von Hannover gibi yerleşik içtihatlarına göre, idarenin veri işlerken sahip olduğu takdir yetkilerinin kesin hukuki sınırları bulunmaktadır. Bu sınırlara uyulmaksızın yapılan veri toplama işlemleri açık bir hak ihlali teşkil eder ve hukuki yaptırımlara tabidir.
Şirketimin müşteri bilgilerini yurtdışındaki sunuculara kaydetmesi yasak mı? expand_more
Tamamen yasak olmamakla birlikte, sınır aşan veri aktarımları uluslararası hukukta oldukça sıkı güvenlik standartlarına ve şartlara tabidir. Avrupa Adalet Divanı'nın Schrems II kararında belirtildiği üzere, verilerin aktarıldığı alıcı ülkenin yasal mevzuatının Avrupa standartlarına eşdeğer düzeyde bir koruma sağlayıp sağlamadığı titizlikle incelenmektedir. Yabancı otoritelerin kişisel verilere orantısız erişim sağlayabildiği durumlarda bu veri transferleri hukuka aykırı bulunarak engellenebilmektedir. Ticari faaliyetlerinizde ağır yaptırımlarla karşılaşmamak adına, veri transferi yapan şirketinizin mutlaka sıkı veri güvenliği politikaları oluşturması zorunludur.
Sadece Türkiye'deyim ama Avrupalı müşterilerim var, kurallar beni bağlar mı? expand_more
Kesinlikle bağlar ve bu durum şirketiniz açısından uluslararası boyutta doğrudan hukuki sorumluluk doğurur. Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR), birlik sınırları dışında bulunan ancak AB vatandaşlarının kişisel verilerini işleyen tüm kurum ve şirketleri doğrudan kapsamı içine almaktadır. Bu durum, verilerin hukuka uygun işlendiğine dair ispat yükünü veri sorumlusu olarak tamamen size yüklemekte ve e-ticaret gibi faaliyetlerinizi hukuki bir denetime sokmaktadır. Dolayısıyla, sınır ötesi ticari ilişkilerinizde hukuki risk yaşamamak için işlemlerinizi uluslararası regülasyonlara tam uyumlu hale getirmeniz gerekmektedir.
Av. Hanifi Bayrı
Av. Hanifi Bayrı İstanbul 1 Nolu Barosu (Sicil: 40976)

Selçuk Üniversitesi Hukuk Fakültesi mezunudur. İş hukuku, mobbing, KVKK uyum süreçleri, bilişim hukuku, hasta ve çocuk hakları alanlarında uzmanlaşmış olup, 2012 yılından bu yana İstanbul merkezli hukuk bürosunda yüz yüze ve online hukuki danışmanlık ve avukatlık hizmeti sunmaktadır.

LinkedIn Profili badge BARO LEVHASI gavel TBB Avukat Arama
star star star star star

Bizi Değerlendirin

Hizmet kalitemizi artırabilmemiz için görüşleriniz bizim için çok değerlidir.

Google'da Değerlendir