Kişisel Verilerin Korunması

Kişisel Verilerin Korunması Genel Olarak:

Kişisel verilerin korunması hukuku, kişilere ait kişisel verilerin güvenli bir şekilde kanunda belirlenen usul ve esaslar çerçevesinde işlenmesini amaçlayan bir hukuk dalıdır. Kişisel verilerin korunması hukuku, kendine has bir terminolojisi olan, niteliği gereği diğer disiplinlerle yakın ilişkiler içerisinde olan yeni bir alandır. Kişisel verilerin bir hak olarak korunmasındaki asıl amaç ise verileri değil, kişileri korumaktır.

Bilişim, bilgi, iletişim, bilgisayar, veri işleme ve gözetim teknolojileri oldukça hızlı bir şekilde günden güne gelişmektedir. Günümüzde bilgi, güç ile eşit tutulmakta, veri artık yeni petrol olarak görülmektedir. Dünya dijitalleştikçe kişilerin paylaştığı veriler artmakta ve bu durum kişilerin mahremiyet alanlarının azalmasına, bu alanın daha kolay bir şekilde ihlal edilmesine yol açabilmektedir. Gelişen teknolojinin oluşturduğu tehditler karşısında bireylerin mahrem alanları, özel hayatları ve kişisel verilerinin korunması ihtiyacı doğmuştur. Dünya’nın dijitalleşmesi ile beraber her alanda küreselleşme de artmaktadır. Özellikle ekonominin ve ticaretin küreselleşmesi sonucunda şirketler ve çeşitli kurumlar tarafından çok ciddi sayıda veri işlenmektedir. Bütün bu gelişmelere bağlı olarak kurum, kuruluşlar ve kişiler tarafından farkında olmasak dahi sürekli bilgilerimiz toplanmakta ve bu bilgiler üzerinde çeşitli işlemler gerçekleştirilmektedir. Yapılan bu işlemler sonucunda kişilerin hakları gerek kamu gerek özel sektör tarafından ihlal edilebilmektedir. Bu ihlallerin önüne geçilmesi ihtiyacından hareketle bu ihlallere yönelik düzenlemeler yapılmaya başlanmıştır.

Avrupa ülkelerinde 1980’li yıllardan itibaren kişisel verilerin korunması ile ilgili çalışmalar yapılmaya başlanmıştır. Ülkemizde de kişisel verilerin korunması hakkı 2010 yılında Anayasa ile koruma altına alınmıştır. Bu korumanın nasıl olacağına ilişkin esas ve usuller ise 2016 yılında yürürlüğe giren 6698 s. Kişisel Verilerin Korunması Kanunu ile düzenlenmiştir. AY/m.20/3’e göre kişiler kendileri ile ilgili bilgilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Bu yazıda kişisel verilerin korunması 6698 s. Kişisel Verilerin Korunması Kanunu kapsamında incelenecektir.

Kişisel Veri ve Unsurları:

Kişisel veri nedir?

Kişisel veri, KVKK.m.3/d’ de, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak ifade edilmiştir.

Yargıtay, 15.01.2020’de verdiği bir kararda kişisel veri kavramından ne anlaşılmasını gerektiğini örneklerle açıklamıştır.

YARGITAY E:2019/12886, K:2020/513

…’kişisel veri’ kavramından, kişinin, yetkisiz üçüncü kişilerin bilgisine sunmadığı, istediğinde başka kişilere açıklayarak ancak sınırlı bir çevre ile paylaştığı nüfus bilgileri (T.C. kimlik numarası, adı, soyadı, doğum yeri ve tarihi, anne ve baba adı gibi), adli sicil kaydı, yerleşim yeri, eğitim durumu, mesleği, banka hesap bilgileri, telefon numarası, elektronik posta adresi, kan grubu, medeni hali, parmak izi, DNA’sı, saç, tükürük, tırnak gibi biyolojik örnekleri, cinsel ve ahlaki eğilimi, sağlık bilgileri, etnik kökeni, siyasi, felsefi ve dini görüşü, sendikal bağlantıları gibi kişinin kimliğini belirleyen veya belirlenebilir kılan, kişiyi toplumda yer alan diğer bireylerden ayıran ve onun niteliklerini ortaya koymaya elverişli, gerçek kişiye ait her türlü bilginin anlaşılması gerekir.”

E:2015/32, K:2015/102, 12.11.2015, AYM

…Anayasa Mahkemesinin kararlarında da belirtildiği üzere, “kişisel veri”, “belirli veya kimliği belirlenebilir olmak şartıyla, bir kişiye ilişkin bütün bilgileri ifade etmektedir. Bu bağlamda adı, soyadı, doğum tarihi ve doğum yeri gibi bireyin sadece kimliğini ortaya koyan bilgiler değil; telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, IP adresi, e-posta adresi, hobiler, tercihler, etkileşimde bulunulan kişiler, grup üyelikleri, aile bilgileri, sağlık bilgileri gibi kişiyi doğrudan veya dolaylı olarak belirlenebilir kılan tüm veriler” kişisel veri olarak kabul edilmektedir.

Kişisel Veri Unsurları:

Bu tanıma göre kişisel verinin 4 unsuru vardır.

1-Bilgi:

Bilgi, TDK’ da “Kurallardan yararlanarak kişinin veriye yönelttiği anlam.” olarak tanımlanmıştır. Buna göre, anlam ifade eden her türlü bilginin kişisel veri olacağı belirtilmiş, maddede hangi bilgilerin kişisel veri olacağı tek tek sayılmamıştır. Kişisel verileri oluşturan bilgiler nitelikleri gereği sınırlı bir şekilde saymaya elverişli değildir. Yargıtay Hukuk Genel Kurulu da 17.06.2015 tarihli ve E:2014/56, K:2015/1679 numaralı kararında, kişisel verilerin sayısal olarak sınırlandırılmasının mümkün olmayacağını belirtmiştir. Bir bilginin kişisel veri olarak nitelendirilebilmesi için doğru veya yanlış, güncel veya eski olmasının bir önemi yoktur. Önemli olan bu bilginin kimliği belirli veya belirlenebilir bir gerçek kişi ile ilişkilendirilebilmesidir. Bilginin gizli veya herkesçe ulaşılabilecek aleni bir bilgi olmasının da bir önemi yoktur. Yargıtay 9. Hukuk Dairesi, 10.01.2019 tarihinde verdiği bir kararda, bir çalışanın whatsapp konuşmalarının gizlilik içeren kişisel veri niteliğinde olduğunu belirtmiştir.

YARGITAY E:2018/10178, K:2019/559

…Whatsapp sistemi, telefon ve internet ortamında internet vasıtası ile iletişimi gerçekleştiren bir sistemdir. Burada kişi, kişiler ile iletişime geçtiği gibi gruplar kurarak grup içerisinde iletişim gerçekleştirilmektedir. Ancak bu sistem kendi içinde korunan ve 3. kişilere kapalı bir konumdadır. Dolayısı ile işçilerin iş akışını bozmadığı ve çalışmaların etkilemediği sürece bir grup kurmaları ve burada iletişim içinde olmaları yasak değildir. İşçilerin bu kapsamda burada iletişimlerinin kişisel veri olarak da korunması esastır.”  

2- Kimliğin Belirli veya Belirlenebilir Olması:

KVVK.m.3’ün gerekçesinde, bir kişinin belirli veya belirlenebilir olması, mevcut verilerin herhangi bir şekilde bir gerçek kişiyle ilişkilendirilmesi suretiyle, o kişinin tanımlanabilir hale getirilmesi olarak ifade edilmiştir. Yani verilerin; kişinin fiziksel, ekonomik, kültürel, sosyal veya psikolojik kimliğini ifade eden somut bir içerik taşıması veya kimlik, vergi, sigorta numarası gibi herhangi bir kayıtla ilişkilendirilmesi sonucunda kişinin belirlenmesini sağlayan tüm halleri kapsar. İsim, telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, genetik bilgiler gibi veriler dolaylı da olsa kişiyi belirlenebilir kılabilme özellikleri nedeniyle kişisel verilerdir. Madde gerekçesinde de açıklandığı üzere bir verinin kişiyi doğrudan belirlemesi gerekmez, dolaylı da olsa kişi belirlenebiliyorsa bir kişisel verinin varlığından söz edilebilir. O halde bir kişinin kim olduğu, belirli veya en azından belirlenebilir olmalıdır. Kişinin kim olduğu adı, soyadı, telefon numarası gibi bilgilerle doğrudan belirli olabilir. Bireyin fiziksel görünüşü, cinsiyeti, sınav sonucu gibi bilgiler de kişinin kimliğini dolaylı olarak belirleyebilecek nitelikte ise bu bilgiler de kişisel veridir. Kimliği belirli kavramından anlaşılması gereken, kişisel verinin ait olduğu gerçek kişinin ek bir bilgiye ihtiyaç duyulmadan, doğrudan anlaşılmasıdır. Ek bilgiye ihtiyaç duyulması halinde kimliğin belirlenebilmesinden söz edilir.

3- Gerçek Kişi:

Bu Kanun kapsamında kişisel verileri korunacak kişiler m.2 ve m.3/1/d’ de yapılan tanımlar uyarınca gerçek kişilerdir. Tüzel kişilerin, kişisel verileri bu Kanun kapsamına girmez. Tüzel kişilerin kişisel verileri, tabi oldukları mevzuat hükümleri uyarınca (TTK, TBK, Rekabet Kanunu vb.) korunur. Kişisel Verileri Koruma Kurulu, tüzel kişiliğe ait elektronik ortamda yer alan verilerin başka bir tüzel kişilik tarafından talep edilmesi hakkında verdiği bir kararda tüzel kişiliğe ait verilere erişilmesi yönündeki talebin Kanunun 2. maddesi gereğince Kanun kapsamında değerlendirilemeyeceğine karar vermiştir (19.11.2018 tarihli ve 2018/131 s. Karar).

4- İlişkin Olma:

Bir bilgi ancak bir gerçek kişi ile ilişkilendirildiği takdirde KVKK kapsamında bir anlam ifade edecektir. Bu bilgiler gerçek kişiyle doğrudan ilişkilendirilebileceği gibi dolaylı bir şekilde de ilişkilendirilebilir. Söz konusu bilgiler verilerin sahibine ait olabileceği gibi 3. kişilere ilişkin de olabilir. Kime ait olduğu belli olmayan bilgiler bu Kanun kapsamında korunamaz. Örneğin takma isimler ve lakaplar, bir gerçek kişi ile ilişkilendirilebiliyorsa bu bilgiler de kişisel veri sayılacaktır.

Kişisel Verilerin Türleri:

Korunan kişisel verilerin öğrenilmesi halinde yol açacağı zararlar göz önünde bulundurularak kişisel veriler, genel nitelikli kişisel veriler ve özel nitelikli kişisel veriler olarak ikiye ayrılır. Genel nitelikli kişisel veriler (hassas nitelikte olmayan kişisel veriler/adi nitelikte veriler), kanunda sayılan özel nitelikli verilerin dışında kalan diğer verilerdir.

Özel Nitelikli Kişisel Veriler:

Özel nitelikli kişisel veriler; ihlal edilmesi, ifşa edilmesi veya öğrenilmesi halinde kişilerin daha ciddi bir şekilde maddi veya manevi zarara uğrayabilme olasılığı bulunan, bu yüzden daha sıkı bir şekilde korunan verilerdir. Hassas nitelikli kişisel veriler olarak da adlandırılır. Özel nitelikli kişisel verilerin, genel nitelikli kişisel verilere göre daha sıkı bir korumaya layık görülmesinin sebebi, bu verilerin başkaları tarafından öğrenilmesi halinde kişinin yaşayacağı mağduriyetin daha fazla olmasıdır. Özel nitelikli veriler, ifşa edildiğinde veya öğrenildiğinde başkaları tarafından ayrımcılığa, ırkçılığa ve aşağılanmaya maruz kalabilir.

Özel nitelikli kişisel veriler Kanun’un 6. maddesinin 1. fıkrasında sınırlı sayıda (numerus clasus) belirtilmiştir. Özel nitelikli kişisel verilerin kıyas yoluyla genişletilmesi mümkün değildir. Bu maddeye göre, “Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.” Bu veriler nitelikleri gereği daha hassas olduğundan bu verilerin işlenmesi ve aktarılması da daha sıkı şartlara tabi tutulmuştur.

KVVK’nın Kapsamı ve Amacı:

Kişisel Verilerin Korunması Kanunun Amacı:

Kanunun amacı 1. maddede belirtilmiştir. Bu maddeye göre; Kişisel verilerin işlenmesinde,

— Başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak,

— Mahremiyet hakkını ve

— Veri güvenliğini korumak,

— Kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir. Maddenin gerekçesinde de belirtildiği üzere Kanunun amacı, kişisel verilerin işlenmesinin disiplin altına alınarak, kişisel verilerin hukuka aykırı bir şekilde işlenmesini engellemektir. Yani kişisel verilerin kimler tarafından nasıl işleneceğini belirlemektir.

Kanunun Kapsamı:

Kanunun 2. maddesinde Kanunun kapsamına giren durumlar düzenlenmiştir. Bu maddeye göre;

— Kişisel verileri işlenen gerçek kişiler ile

— Bu verileri tamamen veya kısmen otomatik olan yollarla işleyen gerçek veya tüzel kişiler ve

— Herhangi bir veri kayıt sisteminin parçası olmak şartıyla kişisel verileri otomatik olmayan yollarla işleyen gerçek veya tüzel kişiler hakkında,

Kanun hükümleri uygulanır. Verileri işleyecek kişiler arasında kamu ve özel ayrımı yapılmamıştır. Herhangi bir veri kayıt sisteminin parçası olmak kaydıyla (sistemli ve düzenli kaydedilen) verilerin otomatik yollarla ve fiziki yollarla işlenmesi arasında bir fark yoktur. 

Kişisel Verilerin Korunması Kanunun Kapsamına Girmeyen Haller:

—Kanunun 1 ve 3.maddesinde de belirtildiği üzere KVKK kapsamında gerçek kişilere ilişkin veriler korunurken, tüzel kişilere ait veriler,

—Bir veri kayıt sisteminin parçası olmayan ve otomatik olmayan yollarla kaydedilen kişisel veriler,

— KVKK.m.28’de sayılan tam ve kısmi istisnalar

bu Kanunun kapsamına girmez.

Otomatik yollar ile kastedilen, bilgisayar, telefon, saat gibi cihazlar aracılığıyla, teknik bir destekle, insan müdahalesi olmadan bilgi edinilmesidir. OECD tarafından otomatik yolların tanımı şu şekilde yapılmıştır: “İnsan müdahalesi ya da yardımı konusundaki ihtiyacı asgari seviyeye indiren, kendi aralarında bağlantılı ve etkileşimli elektrikli veya elektronik bir sistem tarafından gerçekleştirilen veri işleme faaliyeti” şeklindedir. 108 sayılı Avrupa Konseyi Sözleşmesinde ise “otomatik işleme” ifadesinden; verilerin kaydı, bu verilere mantıksal ve/veya aritmetik işlemlerin uygulanması, verilerin değiştirilmesi, silinmesi, geri elde edilmesi veya dağıtılması işlemlerinin otomatik veya kısmen otomatik yöntemlerle gerçekleştirilmesinin anlaşılacağı ifade edilmiştir. Otomatik olmayan yollar ile verilerin manuel (elle) bir şekilde kaydedilmesi kastedilmektedir.

Tam İstisna Halleri:

Tam istisna halleri m.28/1’ de tek tek sayılmıştır. Aşağıda sayılan bu haller tamamen kanunun kapsamı dışındadır, yani bu hallere kanun hükümleri uygulanmayacaktır.

a) Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi.

b) Kişisel verilerin resmi istatistik ile anonim hale getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.

c) Kişisel verilerin milli savunmayı, milli güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.

ç) Kişisel verilerin milli savunmayı, milli güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi.

d) Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.

Kişisel Verileri Koruma Kurulu, bilimsel amaçlarla kayıt altına alınan bilimsel veri niteliğindeki kan, serum ve doku örneklerinin tam istisna kapsamına girdiğine karar vermiştir.

YARGITAY 30/12/2019 tarihli ve 2019/316 sayılı Karar

…Hastalardan alınan kan, serum ve doku örneklerinin bilimsel amaçlarla kaydedildiği Kanunun 28 inci maddesi kapsamında bu verilerin işlenmesinin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmediği ya da suç teşkil etmediği değerlendirildiğinden şikâyet hakkında bu aşamada yapılacak bir işlem olmadığına karar verilmiştir.”

Kısmi istisna halleri:

Kısmi istisnalar, m.28/2’de sayılmıştır. Bu Kanunun amacına ve temel ilkelerine uygun ve orantılı olmak kaydıyla veri sorumlusunun aydınlatma yükümlülüğünü düzenleyen 10’ uncu, zararın giderilmesini talep etme hakkı hariç, ilgili kişinin haklarını düzenleyen 11’ inci ve Veri Sorumluları Siciline kayıt yükümlülüğünü düzenleyen 16’ ncı maddeleri aşağıdaki hallerde uygulanmaz:

a) Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.

b) İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.

c) Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.

ç) Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.

Kişisel Verilerin Hukuki Niteliği:

Kişisel verinin hukuki niteliğine ilişkin doktrinde çeşitli görüşler ve farklı sınıflandırmalar mevcuttur. Temel olarak kişisel verilerin ekonomik bir hak olduğuna dair bir görüş bulunmaktadır. Diğer bir görüş ise kişisel verileri, insan hakları ve kişilik hakları ile bağdaştırmaktadır.

a-) Ekonomik Hak Görüşü:

Bu görüş daha çok Amerika’ da geçerlidir. Bu görüşü savunanlar da kendi içerisinde 2’ ye ayrılmaktadır.

1- Mülkiyet Hakkı Görüşü:

Amerikan Hukuku’nda çoğunlukla kabul edilen görüştür. Temelde kişisel verilerin mülkiyet hakkının bir parçası olduğunu savunur. Verilerin ticari hayatta değeri olduğundan bahisle, kişisel veriler üzerinde mülkiyet hakkı kurulabileceğini savunur. Bu görüşe göre kişiler; kişisel verileri üzerinde kullanma, yararlanma, tasarruf etme hakkına sahiptirler.

2- Fikri Hak Görüşü:

Bu görüş de kişisel verileri telif haklarına benzeterek fikri mülkiyet hakları gibi değerlendirmektedir. Kişisel verilerin, telif haklarının aksine yaratıcılık ve özgünlük unsurlarını içermemesi sebebiyle eleştirilmektedir.

b-) İnsan Hakkı Görüşü:

Kıta Avrupa’sında hâkim olan görüştür. Bu görüşe göre, kişisel veriler, kişilik hakkının ayrılmaz bir parçasıdır.  Kişisel veri kavramı; insan onuru, özel hayatın gizliliği, bireysel özerklik gibi kavramlarla ilişkilendirilir. Bu bağlamda kişisel verinin temel bir insan hakkı olduğunu savunulur. AİHM, verdiği kararlarda sıklıkla kişisel verilerin özel hayatın gizliliği ile olan ilişkisine vurgu yapmaktadır. Anayasa Mahkemesi ve Yargıtay da kişisel verileri insan hakkı bağlamında değerlendirmektedir.

YARGITAY HGK, E: 2017/1340, K: 2018/1622, T: 06.11.2018

“…Kişisel verilerin korunması temel hak ve özgürlükler ile yakından ilişkilidir. Çünkü kişisel verilerin açıklanması öncelikle özel hayatın gizliliğini ihlal edilebileceği gibi başka bir takım bağlantılı hakları da zarara uğratabilir. Son yıllarda özellikle bilişim ve iletişim teknolojilerinin çok hızlı gelişmesi, kişisel verilerin daha da kolay toplanmasına, işlenmesine, paylaşılmasına ve depolanmasına imkân sağlamıştır. Bu durum kişisel verilerin korunması kavramının önemini her geçen gün daha da artırmaktadır. Kişisel verilerin korunması hakkının temel amacı, bireyin özel yaşamının gizliliğinin güvence altına alınması yoluyla kişiyi korumaktır. Bilgi toplumunda giderek önemli bir konu hâline gelen kişisel verilerin korunması hakkı, bireyin demokratik bir hukuk devletinde özgür iradesiyle kendi yaşamını bizzat düzenleyebilmesinin bir gereği olarak karşımıza çıkmaktadır. Diğer taraftan bireyin kişiliğini serbestçe geliştirmesi, kişiliğinin korunması ve özgür bireylerden oluşan bir toplum düzeninin oluşturulması, ancak bireyin kişisel verilerine ilişkin hakkının korunmasıyla mümkündür.”

Kişisel Verilerin Korunması İle İlgili Düzenlemeler:

Uluslararası Düzenlemeler:

Avrupa ülkeleri, 1970’li yıllardan itibaren iç hukuklarında kişisel verilerin korunmasına yönelik çalışmalar yapmaktadır. Kişisel verilerin korunmasına ilişkin ilk uluslararası sözleşme 28 Ocak 1981 tarihli ve 108 s. “Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Şahısların Korunmasına Dair Sözleşme”dir. Bu sözleşme 1 Ekim 1985’de yürürlüğe girmiştir. Bu sözleşme gerçek kişilerin, kişisel verilerinin otomatik yollarla işleme tabi tutulması karşısında kişilerin özel yaşam haklarını güvenceye almaktadır. Türkiye, 28 Ocak 1981 tarihinde 108 no’lu sözleşmeyi imzalayan ilk ülkelerden olmasına rağmen, bu sözleşme 35 yıl sonra, 17 Mart 2016 tarihinde yürürlüğe girmiştir. OECD ve BM kişisel verilerin korunmasına yönelik rehber ilkeler yayımlamıştır. 181 no’lu Protokol, bu alanda denetim mekanizması kurmayı amaçlamıştır. Türkiye 2001’de bu protokolü imzalamasına rağmen bu protokolün iç hukuka dahil edilmesi 2016 yılını bulmuştur.

AİHS, bağımsız bir başlık altında kişisel verilerin korunması hakkını düzenlememiştir. Ancak AİHM kişisel verilerin korunmasını, sözleşmenin “Özel ve Aile Hayatına Saygı Hakkı” başlıklı 8. maddesi kapsamında değerlendirmektedir. 1995 yılında kabul edilen 95/46/EC sayılı Direktif de AB üyesi ülkeler arasındaki mevzuatı uyumlulaştırmayı amaçlar. EU/2016/679 s. Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) 27.04.2016 tarihinde kabul edilmiştir. 95/46/EC s. Direktife göre daha kapsamlı bir düzenlemedir. 25 Mayıs 2018 tarihinde Direktif’i ilga ederek yürürlüğe girmiştir. GVKT’ nin uygulama alanı AB ülkeleri ile sınırlı değildir. GVKT, AB vatandaşının kişisel verilerini işleyen ve belirli kriterleri sağlayan şirketler ve firmalar Avrupa Birliği ülkelerinin sınırları içerisinde ticari bir varlığı olmasa dahi GVKT’ ya uymakla yükümlüdür Türkiye’ de 6698 s. K. kabul edildikten kısa bir süre sonra GVKT kabul edilmiştir. 6698 s. K. yapılırken 95/46/EC s. Direktif esas alınmıştır.

Türk Hukukunda Yapılan Düzenlemeler:

Ülkemizde ilk olarak 12 ekim 2004 yılında 5237 s. TCK (m.135-139) ile kişisel verilere karşı işlenen suçlar düzenlenmiştir. 2010 yılında 5982 s. K. ile Anayasa’nın “özel hayatın gizliliği” başlıklı 20. maddesine kişisel veriler ile ilgili bir fıkra eklenerek kişisel veriler anayasa ile koruma altına alınmıştır. “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.” (AY.m.20/3). Anayasa’ya eklenen bu fıkra ile beraber kişisel verilerin korunması hakkı ve güvenliği, özel hayatın gizliliği kapsamında açıkça anayasal bir güvenceye kavuşmuştur.

Kişisel verilerin korunması hakkı, ne kişisel verileri sıkı bir şekilde koruyan Avrupa ülkelerinde ne de Türk Hukukunda bağımsız bir başlık altında ayrı bir hak olarak düzenlenmemiştir. Bu hak genellikle özel hayatın gizliliği ve mahremiyet ile ilişkilendirilmiştir. Kişisel verilerle ilgili ilk defa açık ve net sayılabilecek şekilde yapılan düzenleme, 2012 Tarihli Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğinin Korunması Hakkında Yönetmeliktir. 108 s. Sözleşme uyarınca verilerin ülkeler arasında aktarılabilmesi için, her ülke tarafından verilerle ilgili yeterli düzeyde korunmasına gereksinim duyulması sonucu kanuni düzenleme yapılması yolunda çalışmalar başlandı. AB ile yürütülen üyelik müzakereleri sürecine uyum sağlanmaya çalışıldı. Başka bir deyişle bu Kanun’un çıkarılmasını etkileyen önemli sebeplerden birisi, yabancı ülkelerle veri transferine ilişkin yaşanan problemlerdi. Kişisel verilerin korunmasına yönelik hazırlanan 6698 s. KVKK 24.03.2016’da kabul edildi. 07.04.2016’da Resmi Gazete’ de yayımlanmıştır. KVKK çıkarılana kadar kişisel veriler çeşitli düzenlemelerdeki hükümlerle (TCKm.135-140, TMK.m.23-24-25, TBK.m.419, dağınık bir şekilde korunmaya çalışılıyordu, kişisel veri kavramı tam olarak tanımlanmamıştı ve kişisel verilerin nasıl korunacağı da belli değildi.


Kaynakça:

6698 sayılı Kişisel Verilerin Korunması Kanunu

T.C. Anayasası

Kişisel Verileri Koruma Kurulu Kararları/ kvkk.gov.tr

AKKURT, Sami Sinan (2020). “Kişisel Veri Kavramının Hukuki Niteliğine İlişkin Yaklaşımlara Mukayeseli Bir Bakış”. Kişisel Verileri Koruma Dergisi. Cilt:2, Sayı:1.

KORKMAZ, İbrahim (2016). “Kişisel Verilerin Korunması Kanunu Hakkında Bir Değerlendirme”. Türkiye Barolar Birliği Dergisi. 2016/124.

6698 Sayılı Kanunda Yer Alan Temel Kavramlar/ kvkk.gov.tr


Bir cevap yazın

Yorumunuza yalnızca isminizi eklemeniz yeterlidir.

Yorum yaptığınızda, isminiz bir dahaki sefere hatırlatılmak üzere tarayıcınıza kaydedilebilir. Detaylı bilgi için Kullanım Koşulları ile Gizlilik ve Çerez Politikamızı okuyabilirsiniz.