Kişisel Verilerin Korunması Hukuku Gelişim Süreci
Kişisel verilerin korunması hukuku uluslararası düzenlemeler ve ulusal düzenlemeler olarak 2 kısımda incelenir.
ULUSLARARASI DÜZENLEMELER
Tarih | Hukuki Düzenleme |
3 Eylül 1953 | İnsan Hakları ve Özgürlüklerinin Korunmasına İlişkin Avrupa Sözleşmesi |
23 Eylül 1980 | OECD’nin Özel Yaşamın Korunması ve Kişisel Verilerin Sınırötesi Akışına İlişkin Rehber İlkeleri |
28 Ocak 1981 | 108 No’lu Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi |
14 Aralık 1990 | BM’nin Bilgisayarla İşlenen Kişisel Veri Dosyalarına İlişkin Rehber İlkeleri |
25 Ekim 1998 | 95/46/EC Sayılı Kişisel Verilerin İşlenmesi ve Serbest Dolaşımı Bakımından Bireylerin Korunmasına İlişkin Avrupa Parlamentosu ve Avrupa Konseyi Direktif |
08 Kasım 2001 | 181 No’lu Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi’ne Ek Denetleyici Makamlar ve Sınıraşan Veri Akışına İlişkin Protokol |
2016 | 2016/679 Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) |
Kişisel verilerin korunması hukukunun gelişiminde Uluslararası ilk kilometre taşı olarak 3 Eylül 1953 Tarihinde yapılan Avrupa İnsan Hakları Sözleşmesine dayanır. Daha sonraki gelişmeler aşağıda yer almaktadır.
Günümüzde gerek devlet kurumları gerekse özel kuruluşlar, her gün binlerce kişiye ilişkin çeşitli bilgilere ulaşabilmektedir. Elde edilen bilgiler, bilişim teknolojilerinde yaşanan gelişmelerin de etkisiyle, kolaylıkla işlenebilmekte ve aktarılabilmektedir. Bu bilgiler arasında gittikçe artan bir ölçüde kişisel verilerin de yer alması, söz konusu verilerin korunması ihtiyacını gündeme getirmiştir. 1970’li yıllardan bu yana, ulusal ve uluslararası düzenlemeler yoluyla kişisel verilerin korunmasına yönelik çalışmalar yürütülmektedir.
Bu alanda ilk düzenleme 1970 tarihli Almanya’nın Hessen Eyaletinde kabul edilen veri koruma kanunudur. Bu kanun, bilişim sistemleri yardımıyla tapu kayıtlarına erişim sağlanabilmesi karşısında, verilerin elde edilmesi ve depolanmasına ilişkin usul ve esasları belirlemek amacıyla hazırlanmıştır.
Benzer şekilde, 1973 tarihli İsveç ve 1978 tarihli Fransa veri koruma kanunları da, devlet elinde bulunan çok sayıdaki verinin “kimlik numarası” benzeri bir sistemle kaydedilmesi ve entegre edilmesi sonucunda, etkin bir şekilde veri işlemenin mümkün hale gelmesi ve bu kapsamda muhtemel riskler karşısında hukuken korunmaya ihtiyaç bulunduğu düşüncesiyle hazırlanmıştır.
Uluslararası düzenleme olarak Avrupa Konseyinin 1973 ve 1974 yıllarında, özel ve kamu kesimindeki elektronik veri bankalarında tutulan kişisel verilerin korunmasında gerekli standartları belirlemek için kabul ettiği iki karar, kişisel verilerin korunması ile ilgili sonradan çıkarılan düzenlemelere kaynaklık etmiştir.
Kişisel verilerin korunmasına ilişkin geniş kapsamlı ilk uluslararası sözleşme ise, Avrupa Konseyi bünyesinde kabul edilen 1981 tarih ve 108 sayılı “Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Şahısların Korunmasına Dair Sözleşme” olmuştur. Ayrıca Avrupa Konseyi Bakanlar Komitesi 108 sayılı Sözleşmenin uygulanmasına yönelik usul ve esasları belirleyen toplam 13 tavsiye kararı çıkarmıştır.
Bu gelişmelerin ardından, Avrupa ülkelerinde ve Amerika Birleşik Devletleri’nde ulusal düzlemde mevzuat oluşturulurken Birleşmiş Milletler (BM), 3 Avrupa Konseyi, İktisadi İşbirliği ve Kalkınma Teşkilatı (OECD) ve Avrupa Birliği (AB) kapsamında da çeşitli yönerge, direktif ve uluslararası anlaşmalar hazırlanmıştır.
Ülkemizi kişisel verilerin korunmasına yönelik kanuni bir düzenleme hazırlamaya yönelten temel etkenler; insan haklarının etkin bir biçimde korunması, AB ile yürütülen üyelik müzakereleri ve uluslararası iş birliği ve ticaretin artırılması ihtiyacı şeklinde sıralanabilir.
Öncelikle; kişisel verilerin korunması, temel bir insan hakkı olan özel hayatın gizliliği ile doğrudan bağlantılıdır. Kişilerin, özel hayatının gizliliğini sağlayabilmek için üçüncü kişilerin eline geçmesinde sakınca bulunan verilerinin hukuken korunması gereklidir. Ayrıca; ülkemizle ilgili devam etmekte olan Avrupa Birliği tam üyelik sürecinde, müzakere fasıllarından 5 dördü doğrudan kişisel verilerin korunması ile ilgilidir. Avrupa Birliği, ülkemizle ilgili olarak hazırladığı ilerleme raporlarında kişisel verilerin korunmasına dair ulusal mevzuata olan ihtiyacı vurgulamıştır.
Son olarak; ülkemizde kişisel verilerin korunmasına ilişkin kanuni bir düzenleme olmaması nedeniyle, polis birimleri arasında etkin iş birliğini hayata geçiren EUROPOL ile güvenlik birimlerimiz arasında, EUROJUST ile de yargı makamlarımız arasında elektronik veri paylaşımı noktasında sıkıntılar yaşanmıştır. Ayrıca yabancı sermayenin ülkemizde yatırım yapması ve bu yatırımları ile başka ülkelerdeki yatırımlarını etkin bir şekilde yönetebilmesi için ihtiyaç duyduğu veri aktarımı, kanuni düzenleme bulunmaması sebebiyle zor koşullarda gerçekleştirilmiş ve bu durum yabancı sermayenin ülkemizde yatırım yapması bakımından caydırıcı bir unsur olarak değerlendirilmiştir.
Avrupa Konseyi tarafından, tüm üye ülkelerde kişisel verilerin aynı standartlarda korunması ve sınır ötesi veri akışı ilkelerinin belirlenmesi amacıyla hazırlanan “Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunmasına İlişkin 108 Sayılı Sözleşme” 28 Ocak 1981 tarihinde imzaya açılmış ve ülkemiz tarafından da imzalanmıştır.
Avrupa Konseyi Düzenlemeleri
108 No’lu Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi
Avrupa Konseyi, 1970’li yıllardan itibaren kişisel verilerin korunması alanında çalışmalar yapmıştır. Yapılan çalışmalar neticesinde 28 Ocak 1981 tarihinde Strazburg’da imzaya açılan “Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi” 1 Ekim 1985 tarihinde yürürlüğe girmiştir. Türkiye, 28 Ocak 1981 tarihinde bu sözleşmeyi imzalayan ilk ülkelerden birisi olmuş; bu Sözleşme, 17 Mart 2016 tarih ve 29656 sayılı Resmi Gazete’de yayımlanarak iç hukuka dâhil edilmiştir. Bugün 108 sayılı Sözleşme olarak da bilinen Sözleşmenin temel amacı; her üye ülkede, uyruğu veya ikametgâhı ne olursa olsun gerçek kişilerin, temel hak ve özgürlüklerini ve özellikle kendilerini ilgilendiren kişisel nitelikteki verilerin otomatik yollarla işleme tabi tutulması karşısında özel yaşam haklarını güvence altına almaktır. 108 sayılı Sözleşmenin 4. maddesi çerçevesinde, iç hukukta kişisel verilerin korunmasına yönelik yasal düzenleme yapılması gerekli hale gelmiştir.
181 No’lu Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi’ne Ek Denetleyici Makamlar ve Sınıraşan Veri Akışına İlişkin Protokol
Bu protokolde, taraf devletler ülkelerinde uygulanmak üzere kişisel verilerin korunması alanında görevlerini tam bağımsızlıkla yerine getirecek denetleyici makam kurmayı taahhüt etmiştir. Türkiye, bu protokolü 8 Kasım 2001 tarihinde imzalamıştır. Protokol, 5 Mayıs 2016 tarihli 29703 sayılı Resmi Gazete’de yayımlanarak iç hukuka dâhil edilmiştir.
Avrupa İnsan Hakları Sözleşmesinin İlgili Hükümleri
Ülkemizin de kurucu üyeleri arasında bulunduğu Avrupa Konseyi tarafından hazırlanan ve 4 Kasım 1950’de Roma’da imzalanıp 3 Eylül 1953’te yürürlüğe giren İnsan Hakları ve Özgürlüklerinin Korunmasına İlişkin Avrupa Sözleşmesi (AİHS), kişisel verilerin işlenmesi hakkında doğrudan bir düzenleme içermemekle birlikte Avrupa İnsan Hakları Mahkemesi, geliştirdiği içtihatlarıyla kişisel verileri koruma altına almıştır.
Diğer taraftan Sözleşme’nin “Özel ve Aile Hayatına Saygı Hakkı” başlıklı 8. maddesi “1. Herkes özel ve aile hayatına, konutuna ve yazışmasına saygı gösterilmesi hakkına sahiptir. 2. Bu hakkın kullanılmasına bir kamu makamının müdahalesi, ancak müdahalenin yasayla öngörülmüş ve demokratik bir toplumda ulusal güvenlik, kamu güvenliği, ülkenin ekonomik refahı, düzenin korunması, suç işlenmesinin önlenmesi, sağlığın veya ahlakın veya başkalarının hak ve özgürlüklerinin korunması için gerekli bir tedbir olması durumunda söz konusu olabilir” şeklindedir. Bu madde ile kişisel verilerin korunmasına doğrudan atıf yapılmamakla birlikte, esasen özel ve aile hayatına saygı hakkı kapsamında yer alan kişisel veriler hukuken koruma altına alınmıştır.
Avrupa Birliği Düzenlemeleri
95/46/EC Sayılı Kişisel Verilerin İşlenmesi ve Serbest Dolaşımı Bakımından Bireylerin Korunmasına İlişkin Avrupa Parlamentosu ve Avrupa Konseyi Direktifi
Avrupa Birliğinde kişisel verilerin korunmasına ilişkin 1990’lı yıllarda başlayan çalışmalar neticesinde 1995 yılında “Avrupa Parlamentosu ve Avrupa Konseyi Kişisel Verilerin İşlenmesi ve Serbest Dolaşımı Bakımından Bireylerin Korunmasına İlişkin Direktif”i kabul etmiştir. Direktifin temel amacı, Avrupa Birliği üye ülkelerindeki kişisel verilerin korunmasına ilişkin düzenlemelerin uyumlaştırılmasıdır. AB üyesi ülkeler, kişisel verilerin korunmasına ilişkin kanuni düzenlemelerini bu Direktifi esas alarak yapmışlardır. 6698 sayılı Kanun da temel olarak bu Direktif esas alınarak hazırlanmıştır. Diğer taraftan, Avrupa Birliği 95/46 sayılı Direktifi esas alarak sektörel bazlı düzenlemeler de yapmıştır. Bu düzenlemelerden en önemlisi, 2002/58/EC sayılı “Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Özel Hayatın Gizliliğinin Korunmasına İlişkin Direktif”tir.
2016/679 Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR)
Avrupa Birliği, kişisel verilerin korunması alanında ortaya çıkan ihtiyaçları karşılamak üzere 2012 yılında yeni bir tüzük çalışması başlatmıştır. Avrupa Parlamentosu, Avrupa Konseyi ve Avrupa Komisyonu tarafından yapılan tüzük 2016 yılında kabul edilmiş olup, 25 Mayıs 2018 tarihinde 95/46/EC sayılı Direktif’i ilga ederek yürürlüğe girecektir.
Diğer Düzenlemeler
Ayrıca kişisel verilerin korunmasına ilişkin uluslararası düzeyde, OECD’nin “Özel Yaşamın Korunması ve Kişisel Verilerin Sınır Ötesi Akışına İlişkin Rehber İlkeleri” (23 Eylül 1980) ve Birleşmiş Milletler’in “Bilgisayarla İşlenen Kişisel Veri Dosyalarına İlişkin Rehber İlkeleri” (14 Aralık 1990) bulunmaktadır.
ULUSAL DÜZENLEMELER
Tarih | Hukuki Düzenleme |
12 Ekim 2004 | 5237 sayılı Türk Ceza Kanunu |
12 Eylül 2010 | Kişisel Verilerin Korunması ile ilgili hükmün T.C. Anayasası’na dahil edilmesi |
17 Mart 2016 | 108 No’lu Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesinin Türk hukukuna dahil edilmesi |
7 Nisan 2016 | 6698 sayılı Kişisel Verilerin Korunması Kanununun 29677 sayılı Resmi Gazete’de yayımlanarak yürürlüğe girmesi |
05 Mayıs 2016 | 181 No’lu Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi’ne Ek Denetleyici Makamlar ve Sınıraşan Veri Akışına İlişkin Protokolün Türk hukukuna dahil edilmesi |
1982 Anayasası
1982 Anayasası Anayasanın ikinci kısmında kişinin temel hak ve ödevleri düzenlenmektedir. Özel hayatın gizliliği de kişinin temel haklarından biridir. Bu hak, Anayasa’nın 20. maddesinde güvence altına alınmıştır. Teknolojik gelişmelerin temel hak ve hürriyetlere müdahale edebilmeyi kolay hale getirmiş olması ve bu durumun hukuki bir sorun olarak kendini göstermesi bu konuda yasal düzenlemeler yapmayı gerekli kılmıştır. 2010 yılında 5982 sayılı Kanun’la yapılan Anayasa değişikliği ile Anayasa’nın 20. maddesine ilave bir fıkra eklenmiştir. Söz konusu fıkrada; “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.” hükmüne yer verilmiştir.
Anayasa’da yer verilen bu düzenleme ile; • Herkesin, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahip olduğu, • Bu hakkın; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsadığı, • Kişisel verilerin, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebileceği hükme bağlanmıştır.
Anayasanın ikinci kısmında kişinin temel hak ve ödevleri düzenlenmektedir. Özel hayatın gizliliği de kişinin temel haklarından biridir. Bu hak, Anayasanın 20. maddesinde güvence altına alınmıştır. Teknolojik gelişmelerin temel hak ve hürriyetlere müdahale edebilmeyi kolay hale getirmiş olması ve bu durumun hukuki bir sorun olarak kendini göstermesi bu konuda yasal düzenlemeler yapmayı gerekli kılmıştır. 1 2010 yılında 5982 sayılı Kanun’la yapılan Anayasa değişikliği ile Anayasanın 20. maddesine ilave bir fıkra eklenerek kişisel veriler, “özel hayatın gizliliği ve korunması hakkı” kapsamında Anayasal güvenceye kavuşmuştur. Söz konusu fıkrada; “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.” hükmüne yer verilmiştir. Bahse konu Anayasa hükmüne göre; • Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. • Bu anlamda bireyler temel olarak, kendileri ile ilgili kişisel verilerin ilgisiz üçüncü kişilerin eline geçmemesi konusunda gerekli tedbirlerin alınmasını isteme hakkına sahiptirler. 2 • Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Bu anlamda bireyler, hangi amaçla hangi kişisel verilerinin kullanıldığını öğrenme hakkına sahip olduğu gibi söz konusu kişisel verilerde herhangi bir yanlışlık bulunması halinde bu durumun düzeltilmesini ya da verilerinin silinmesini isteme hakkına da sahiptirler. 3 Tür • Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Yasal bir düzenleme bulunmaması ya da bireyin kendisine ait kişisel verilerin işlenmesi yönünde açık bir irade beyanının olmaması durumunda kişisel verilerin işlenebilmesi mümkün değildir. Bu maddeye ilişkin değişiklik teklifinin gerekçesinde; “Anayasada kişisel verilerin korunmasına yönelik dolaylı hükümler bulunmakla birlikte yeterli değildir. Mukayeseli hukukta ve tarafı olduğumuz uluslararası belgelerde de kişisel verilerin korunması önemle vurgulanmaktadır. Maddeyle, herkesin, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkı, anayasal bir hak olarak teminat altına alınmaktadır. Bu bağlamda, bireylerin kendilerini ilgilendiren kişisel veriler üzerinde hangi hak ve yetkilere sahip olduğu ve kişisel verilerin hangi hallerde işlenebileceği hükme bağlanırken, kişisel verilerin korunmasına ilişkin esas ve usullerin kanunla düzenleneceği öngörülmektedir.” ifadesine yer verilmiştir. 4 Anayasanın 20. maddesinin 3. fıkrasında kişisel verilerin korunması öngörülmektedir. Ayrıca kişisel verilerin hukuka aykırı olarak işlenmesi, Anayasanın 17. maddesi ile güvence altına alınan kişi dokunulmazlığı, kişinin maddi ve manevi varlığını koruma ve geliştirme hakkı ile Anayasanın 20 ve 22. maddelerinde düzenlenen özel hayatın gizliliği ve korunması hakkının ihlali anlamına da gelmektedir. Anayasanın 20. maddesinin 3. fıkrasında, kişisel verilerin ancak bireyin açık rızası veya kanunda öngörülen hallerde işlenebileceği, kişisel verilerin nasıl korunacağına ilişkin esas ve usullerin kanunla düzenleneceği ifade edilmiştir. Anayasa hükmünde, kanunla öngörülen hallerde kişisel verilerin işlenebileceği belirtilmesine rağmen, özel sınırlama sebeplerine yer verilmediği görülmektedir. Anayasada öngörülen hüküm gereğince 26 Aralık 2014 tarihinde “Kişisel Verilerin Korunması Kanunu Tasarısı” TBMM Başkanlığına sunulmuştur. Tasarı, 24 Mart 2016 tarihinde kanunlaşmış ve 6698 sayılı Kişisel Verilerin 5 Korunması Kanunu 7 Nisan 2016 tarih ve 29677 sayılı Resmi Gazete’de yayımlanarak yürürlüğe girmiş, böylece kişisel verilerin korunması için gerekli hukuksal altyapı tamamlanmıştır.
6698 sayılı Kişisel Verilerin Korunması Kanunu
Türkiye’de kişisel verilerin korunmasına ilişkin özel bir kanun çıkarmak için ilk kez 1989 yılında bir komisyon oluşturulmuştur. Bu komisyon henüz çalışmalarını tamamlayamadan dağılmıştır. 2000 yılında yeni bir komisyon oluşturulmuş ve bu komisyon üç yıllık bir çalışmasının neticesinde bir kanun tasarısı hazırlamıştır. Fakat hazırlanan tasarı çeşitli nedenlerle kanunlaşamamıştır. 2008 ve 2014 yıllarında, Adalet Bakanlığı öncülüğünde yeni bir tasarı hazırlanıp Türkiye Büyük Millet Meclisi’ne (TBMM) sunulmuşsa da yasama dönemi sona erdiği için ilgili kanun teklifleri kadük hale gelmiştir. Anayasada da, kişisel verilerin korunmasıyla ilgili detaylı düzenlemelerin kanunla yapılacağı belirtilmektedir. Bu kapsamda 26 Aralık 2014 tarihinde “Kişisel Verilerin Korunması Kanunu Tasarısı” TBMM Başkanlığına sunulmuştur. Tasarı, 24 Mart 2016 tarihinde kanunlaşmış ve 6698 sayılı Kişisel Verilerin Korunması Kanunu 7 Nisan 2016 tarih ve 29677 sayılı Resmi Gazete’de yayımlanarak yürürlüğe girmiştir.
5237 Sayılı Türk Ceza Kanunu
5237 sayılı Türk Ceza Kanununun 135. maddesinde, kişisel verilerin kaydedilmesi, 136. Maddesinde, verileri hukuka aykırı olarak verme veya ele geçirme, 138. maddesinde, verileri yok etmeme fiilleri suç olarak düzenlenmiştir. Ayrıca Kanunun 140. maddesinde bu suçlarla ilgili olarak tüzel kişiler hakkında güvenlik tedbiri uygulanacağı hüküm altına alınmıştır.
Anayasa Mahkemesinin 9 Nisan 2014 tarih ve E:2013/122, K:2014/74 sayılı kararı
“Kişisel verilerin korunması hakkı, kişinin insan onurunun korunmasının ve kişiliğini serbestçe geliştirebilmesi hakkının özel bir biçimi olarak, bireyin hak ve özgürlüklerini kişisel verilerin işlenmesi sırasında korumayı […]” amaçladığı tespit edilerek, “kişisel verilerin ticari işletmeler için kıymetli bir varlık niteliği kazanması neticesinde, özel sektör unsurlarınca yaratılan risklerin daha yaygın ve önemli boyutlara ulaşması ve terör ve suç örgütlerinin kişisel verileri ele geçirme yönündeki faaliyetlerinin artması gibi etkenler” sebebiyle kişisel verilerin geçmişte olduğundan çok daha fazla korunmaya muhtaç olduğu ifade edilmiştir.