Türkiye’de Kişisel Verilerin Korunması

İnsan onuru, İnsanın ne durumda, hangi şartlar altında bulunursa bulunsun sırf insan oluşunun kazandırdığı değerin tanınmasını ve sayılmasını anlatır. Bu öyle bir davranış çizgisidir ki ondan aşağı düşünce, muamele ona muhatap olan insanı insan olmaktan çıkarır.

Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak, kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin
esas ve usuller kanunla düzenlenir.

2000’li yıllara gelinceye kadar Anayasa Mahkemesi konuya ilişkin üç önemli karar vermiştir. Bunlardan ilk ikisi nüfus cüzdanlarında din hanesinin bulunmasına ilişkindir. Anayasa Mahkemesi yaptığı her iki incelemede de aile kütüklerinde ve nüfus
cüzdanlarında din hanesinin bulunma zorunluluğunun Anayasaya aykırı olmadığına karar vermiştir.Anayasa Mahkemesi’nin bir diğer önemli kararı ise Kimlik Bildirme Kanunu’na eklenen bir hükme ilişkindir. İlgili hüküm uyarınca genel kolluk
kuvvetlerinin bilgisayarlarında otel motel, yurt, misafirhane gibi konaklama yerlerinde kalan kişilerin kişisel verilerinin toplanması zorunluluğu getirilmektedir. Ancak bu zorunluluk getirirken kolluk kuvvetlerinin uyacakları esaslar yasada belirlenmemiştir. Anayasa Mahkemesinin karardaki değerlendirmesinden kişisel verilerin korunmasını
özel yaşamın gizliliği hakkının bir parçası olarak kabul ettiği anlaşılsa da Anayasaya aykırılık iddiasının reddine karar vermesi düşündürücüdür.

Avrupa İnsan Hakları Sözleşmesi’nin (AİHS) konumu önemlidir. Türkiye AİHS’e taraf olan devletlerden biridir. Sözleşmede yer alan hükümlerin içeriğini belirleyen organ ise Avrupa İnsan Hakları Mahkemesidir (AİHM). Mahkemenin içtihadı, özel yaşamın gizliliği hakkını düzenleyen 8. madde çerçevesinde kişisel verilerin korunması hakkının tanınması yönündedir.

Bu hakkın kullanılmasına bir kamu otoritesinin müdahalesi, ancak ulusal güvenlik, kamu emniyeti, ülkenin ekonomik refahı, dirlik ve düzenin korunması, suç işlenmesinin önlenmesi, sağlığın veya ahlakın veya başkalarının hak ve özgürlüklerinin korunması için, demokratik bir toplumda gerekli olan ölçüde ve yasayla öngörülmüş olmak
koşuluyla söz konusu olabilir.

Bir örnek sokak ve meydanları izlemek üzere kurulan kapalı devre televizyon sistemlerine (CCTV, Close Circuit Television System) ilişkin olarak verilebilir.

Bireylere ilişkin kişisel bilgilerin resmi makamlarca toplanarak arşivlenmesi, telefon
görüşmelerine ilişkin kayıtları izleme, toplanan verilerin toplanma amacı dışında kullanılması, sağlık verilerinin gizliliği, emniyet güçleri tarafından parmak izi ve fotoğrafların alınması, kişisel verilere erişim hakkı, kişisel verilerin gerektiğinden uzun süre tutulması gibi konular Mahkemenin çeşitli kararlarında 8/1 hükmü kapsamında değerlendirilmiştir.

AİHS 8/2 hükmü uyarınca özel ve aile yaşamına müdahale, burada sınırlı sayımla belirtilmiş amaçlardan bir ya da bir kaçına yönelik;
• yasada öngörülmüş ve
• demokratik toplum için gerekli ve öngörülen
amaç ile orantılı olması durumunda meşrudur.

Ulusal güvenlik, kamu güvenliği, ülkenin ekonomik refahı, dirlik ve düzenin korunması, suç işlenmesinin önlenmesi, sağlığın veya ahlakın veya başkalarının haklarının korunması. Görüldüğü gibi meşru amaçlar oldukça geniş bir şekilde belirlenmiştir. O kadar ki herhangi bir müdahalenin burada belirlenen meşru amaçları karşılayamaması oldukça zordur. Ancak bir müdahalenin Sözleşme’de belirlenen ilkelere uygun olması için meşru bir amaca yönelik olması ve yasa ile öngörülmesi yeterli değildir. Bunların yanında ayrıca ve mutlaka demokratik bir toplum için gerekli ve orantılı olması da
gerekir. Bu, kişisel verilerin korunması ile hedeflenen denge yaklaşımı ile de uyumludur.

Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, iki yıldan dört yıla kadar hapis cezası ile cezalandırılır.

Medeni hukukta, kişisel verilerin korunması ile yakından ilişkili olan, kişinin onur ve saygınlığı, adı ve resmi üzerindeki hakları ile sır alanı kişilik haklarının alanı içerisinde değerlendirilmektedir. Bu doğrultuda konuya ilişkin hukuksal korumanın ise Türk Medeni Kanunu’nun (MK) 24. ve 25. maddelerinde getirildiği görülmektedir. Nitekim
MK’nin 24. maddesinde kişiliğe yönelik saldırılara karşı temel ilke, 25. maddede ise başvurulabilecek hukuksal yollar belirlenmiştir.

Yeni Borçlar Kanunu’nun 419. maddesi uyarınca “İşveren, işçiye ait kişisel verileri, ancak işçinin işe yatkınlığıyla ilgili veya hizmet sözleşmesinin ifası için zorunlu olduğu ölçüde kullanabilir”.

51. madde kapsamında öncelikle bir önceki bölümde üzerinde durulan verilerin kaliteli olması ilkesine işaret edildiği görülmektedir. Buna göre elektronik haberleşme alanında veri işleme süreçlerinde bu ilkenin bileşenlerine uyumlu hareket etmek bir zorunluluktur. Ayrıca elektronik haberleşmenin ve ilgili trafik verisinin gizliliği temel kural olarak benimsenmiştir. Bunun istisnası ilgili mevzuatın ve yargı kararlarının öngördüğü durumlardır. Bunun haricinde haberleşmeye taraf olanların
tamamının rızası olmaksızın haberleşmenin dinlenmesi, kaydedilmesi, saklanması, kesilmesi ve takip edilmesi yasaklanmıştır.

Çerez, kullanıcı bir İnternet sitesini ziyaret ettiğinde bağlantı kurduğu cihazın sabit diskine kaydedilen bir tür tanımlama dosyası olarak tarif edilebilir. Bu dosyalarda kişilerin ziyaret ettiği siteler gibi bazı bilgiler saklanabilmektedir.

“(1) Ticari elektronik iletiler, alıcılara ancak önceden onayları alınmak kaydıyla gönderilebilir. Bu onay, yazılı olarak veya her türlü elektronik iletişim araçlarıyla alınabilir. Kendisiyle iletişime geçilmesi amacıyla alıcının iletişim bilgilerini vermesi hâlinde, temin edilen mal veya hizmetlere ilişkin değişiklik, kullanım ve bakıma yönelik
ticari elektronik iletiler için ayrıca onay alınmaz. (2) Esnaf ve tacirlere önceden onay alınmaksızın ticari elektronik iletiler gönderilebilir.”

Türkiye’de kişisel verilerin korunmasına yönelik temel ilkeleri belirleyerek önleyici koruma sağlayacak Kişisel Verilerin Korunması Kanunu uzun zamandır beklenmektedir. Bu beklentiyi 1981 yılına kadar geriye götürmek olanaklıdır. Nitekim Türkiye, taraf devletlerin metinde yer alan ilkeleri mevzuatlarına yansıtmalarını zorunlu kılan Avrupa
Konseyi Kişisel Verilerin Korunması Sözleşmesi’ni 28 Ocak 1981’de imzalamıştır. Belirtmek gerekir ki bu gereklilik hâlen yerine getirilmediği için Türkiye, bugün 46 devletin taraf olduğu bu Sözleşme’yi imzalayıp onaylamayan Avrupa Konseyi üyesi tek
devlettir.

Kişisel Verilerin Korunması Kanunu 2016 yılında yasalaşmıştır.

Bu kanunun 1. maddesine göre Kanunun amacı “Bu Kanunun amacı, kişisel
verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir”. Bu, Anayasa’nın da bir gereğidir.

Örneğin, Kanun kapsamında kişilerin “ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika
üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri” özel nitelikli (hassas) kişisel veri olarak kabul edilmiş ve işlenmesi yasaklanmıştır (m.6/1).

Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin
açık rızası aranmaksızın işlenebilir.Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.