Uluslararası düzenlemeler ve ulusal düzenlemeler ile birlikte kiÅŸisel verinin tanımı, kiÅŸisel verilerin iÅŸlenmesi ve kiÅŸisel verilerin korunması düzenlenmiÅŸtir. Böylelikle yasal düzenlemeler ile birlikte kiÅŸisel verilerin korunması hakkı da gündeme gelecektir. Teknolojik geliÅŸmeler bu hakkın kullanımını zorlasa da geliÅŸimine katkıda bulunmuÅŸtur. YaÅŸadığımız teknoloji çağı içerisinde kiÅŸisel verilerin her yerde olduÄŸu gerçeÄŸi göz önünde bulundurulmalıdır. Bu nedenle bu hakkın korunması ve kullanılması doÄŸabilecek zararlar açısından çok önemlidir. Ayrıca kiÅŸisel verilerin içeriÄŸine dair tanım yapılmış olsa da varlıklarına dair tanım henüz yapılmamıştır. Teknolojinin geliÅŸmesi, kiÅŸisel veriler için farklı bir mülkiyet görünümü kazandırabilecektir. KiÅŸisel verileri korumak Devletin görevi olup gerekli önlemleri alarak bu görevini yerine getirir. Devlet, koruyucu önlemleri alarak bu görevini yerine getirir. Ayrıca kiÅŸiler arasındaki sorumluluk konusunda da Türk Hukukunda genel hükümlere atıf yapılarak kiÅŸiler arasındaki sorumluluk düzenlemesi yapılmıştır.
Anahtar Sözcükler: KiÅŸilik Hakkı, KiÅŸisel Veri, KiÅŸisel Verilerin Korunması Hakkı, Teknolojik GeliÅŸmeler
Ä°stanbul Bilgi Üniversitesi Hukuk Fakültesi Hukuk Bölümü ÖÄŸrencisi
21. yüzyıl ile insanlık, bulunduÄŸu çağı deÄŸiÅŸtirerek bir baÅŸka boyut kazanmıştır. Bu boyut, geçmiÅŸlerindeki kazanımlarının bir sonucu olsa da epeyce yol kat edilmiÅŸ ve insanın, yeniçaÄŸda kendisine dair daha fazla koruma alanı ortaya çıkmasına sebebiyet vermiÅŸtir. 1880 yılında telefon, 1945 yılında ENIAC ile tanışan insanlık, 1961 tarihinde Leonard Kleinrock tarafından kaleme alınan “Information Flow In Large Communication Nets” 1 isimli
makalesindeki internet fikri ile tanışmıştır. Bu tanışmalar nihayetinde 18. Yüzyılda baÅŸlamış olan sanayi devrimi baÅŸka bir görünüm halinde karşımıza çıkarak Endüstri 4.0’ ı oluÅŸturacaktır.
Her dönemin deÄŸiÅŸen koÅŸullarında insan kendi kiÅŸiliÄŸini bulmaya ve benliÄŸini
1https://www.lk.cs.ucla.edu/data/files/Kleinrock/Information%20Flow%20in%20Large%20Communication%20 Nets.pdf, EriÅŸim Tarihi 01.10.2018
toplumsal gerçeklik içinde kanıtlamaya çaba göstermiÅŸtir. 2 Bu çaba dönemsel farklılıklar içerisinde muhtelif metotları karşımıza çıkarmaktadır. Tek amaç çevresinde toplanan metotların organik bağını ise insanın varlığı oluÅŸturmaktadır. Varlığı ile birlikte insan, kendisini, dış dünyadan koruma eÄŸilimindedir. Bu eÄŸilimin yansıması ise dış dünyaya pozitif ve negatif yükümlülükler getirerek insan varlığı korunmaya muktedir kılınmıştır. Her hukuki hak, pozitif hukukun ürünüdür; hak, pozitif hukuk tarafından yüklenen ilgili ödeve ve hakların yerleÅŸik olduÄŸu kiÅŸi veya kiÅŸilerin dışındaki kiÅŸi ve kiÅŸiler üzerindeki ödevlere karşılık gelir.3
KiÅŸilik hakkının tezahürü niteliÄŸindeki kiÅŸisel verilerin kullanıldığı alanlar ise belirsizlik göstererek hayatın her alanını teÅŸmil etmektedir. Bu düÅŸünceyle, kiÅŸinin var olduÄŸu; baÅŸta Medeni Hukuk, Borçlar Hukuku, Ä°ÅŸ Hukuku, Tüketici Hukuku gibi alanlar ile süjesi veya konusu insan olan her alanda kendisine yer bulan kiÅŸisel verilerden bahsetmek mümkündür. Bu nedenledir ki kiÅŸisel verilerin korunması herhangi bir hukuk alanı ile kısıtlı kalmamaktadır. Günümüzde, bu hakkın korunması için Milletlerarası SözleÅŸmeler düzenlenmiÅŸ olup devletlerin yetki sahası içerisi içinde de bu sözleÅŸmelere uyumlu olarak Anayasal ve yasal düzenlemeler yapılmıştır. Hakkın tayini ve hakkın kiÅŸiye saÄŸladığı güvencenin getirisi olan korumanın icrası aÅŸamasında ilgili düzenlemeler doÄŸrultusunda idari yükümlülüklerden de bahsedilmelidir. Bu bahisle kiÅŸisel verilerin korunması hakkı kapsamında Ä°dare Hukuku da hakkın var olduÄŸu alanlar içerisine girmektedir.
KİŞİLİK HAKKI VE KİŞİSEL VERİ KAVRAMLARI
1.1. KİŞİLİK HAKKI KAVRAMI
Hukuki anlamıyla kiÅŸi, haklara ve borçlara sahip olma iktidarı bulunan varlık4 olarak tanımlanmaktadır. KiÅŸinin varlığı, genel itibari ile haklarını kullanması ve borçlanma iÅŸlemlerini gerçekleÅŸtirmesi ile kendini göstermektedir. KiÅŸinin, varlığı hukuken kabul edildiÄŸi anda, kiÅŸi olması ile birlikte kazandığı haklar çerçevesinde maddi ve manevi menfaatler ve bu menfaatlerin korunmasında sahip olduÄŸu hakların bütünü ile kiÅŸiliÄŸini oluÅŸturmaktadır. Bu durum bize kiÅŸinin sadece kiÅŸi olarak var olması ile hâlihazırda iktisap
2. Prof. Dr. Anıl ÇEÇEN, Ä°nsan Hakları, SavaÅŸ Yayınevi, Ankara 2000, SunuÅŸ s. 2
3. John AUSTIN, Hukukun Belirlenmiş Alanı, Tekin Yayınevi, 2014, s. 186
4. AKÄ°PEK / AKINTÜRK / KARAMAN, KiÅŸiler Hukuku, Beta Yayınevi, Ä°stanbul 2014, s. 339
ettiÄŸi hakları göstermektedir.
Åžahsiyete baÄŸlı haklar, kiÅŸi ile sıkı sıkıya baÄŸlı olması ile kiÅŸinin (bazı istisnalar haricinde) iktidarında bulunan haklardandır. Bu itibar ile kiÅŸiyi de teÅŸmil eden kiÅŸilik (ÅŸahsiyet) kavramının korunmasında kiÅŸinin iktidarını aÅŸan durumlar da söz konusu olabilmektedir. Dikkat buyurunuz ki kiÅŸiliÄŸin dışarıya veya üçüncü kiÅŸilere karşı korunmasının yanında “kiÅŸiliÄŸin içe karşı korunması ilkesi” ile birlikte deÄŸerlendirmemiz gerekecektir. Böylelikle kiÅŸilik; kiÅŸinin, üçüncü kiÅŸilere karşı korunmasının yanında kendi iktidarı ile yapacağı ve kiÅŸiliÄŸini tehlikeye sokacak hareketlere de koruma getirerek mutlaklığını fark göz etmeksizin göstermektedir. Yasalar tarafından belirtilmiÅŸ, gösterilmiÅŸ olsun ya da olmasın, kiÅŸilik haklarının korunmasının temelindeki “hürriyet ve eÅŸitlik ilkesi” devletlerin, bireyler ile aralarındaki iliÅŸkideki elzem kaynağı oluÅŸturmaktadır.
KiÅŸilik hakkına iliÅŸkin Türk Hukukunda evleviyetle Anayasa’ nın; 17. Maddesi ile kiÅŸinin varlığı ile kazandığı “yaÅŸama, maddi ve manevi varlığını koruma ve geliÅŸtirme hakkı”, 19. Maddesinde düzenlenen “kiÅŸi hürriyeti ve güvenliÄŸi hakkı” ve 20. Maddesinde düzenlenen “özel hayatın gizliliÄŸini ve korunmasını isteme hakkı” temel düzenlemeleri oluÅŸturmaktadır. KiÅŸilik hakkının diÄŸer yasal düzenlemesine geçtiÄŸimizde ise Ä°sviçre ve Türk Hukukunda kapsam ve deÄŸer açısından ortak düzenleme olduÄŸunu, Alman Hukukunda 5 ise kiÅŸilik hakkının genel bir norm ile korunması yoluna gidildiÄŸi söylenebilir. Aynı zamanda 6098 s. Türk Borçlar Kanunu’ nun 58. Maddesinde kiÅŸilik hakkının korunduÄŸunu görmekteyiz. Ä°lgili düzenleme neticesinde manevi zarar, malvarlığında bir azalmayı deÄŸil, kiÅŸilik hakkına tecavüz dolayısı ile bir kimsenin duyduÄŸu cismani ve manevi acı ve ızdırabı, elemi ve böylece yaÅŸama zevkindekinde bir azalmayı ifade eder.6
1.2. KİŞİSEL VERİ KAVRAMI
“Efradını cami, aÄŸyarını mani” tanımının yapılamadığı kiÅŸilik hakkının içeriÄŸine baktığımızda ise kiÅŸiyi ve dolayısıyla kiÅŸisel veriyi görmekteyiz. Tanımlanmış ya da tanımlanabilir bir gerçek kiÅŸiye iliÅŸkin her türlü bilgi, kiÅŸisel veri olarak tanımlanmaktadır.7
5. Alman Medeni Kanunu (BGB) md. 823
6. OÄžUZMAN / ÖZ, Borçlar Hukuku Genel Hükümler, 13. Bası, Vedat Yayınları, Ä°stanbul 2015, C. 1 s. 388
7. Avrupa BirliÄŸi Genel Veri Koruma TüzüÄŸü (GDPR) md. 4 f. 1
Tanımdan da anlaşılacağı üzere kiÅŸisel veri, kiÅŸinin her zerresi ile alakalı olup taşıdığı yükten (kiÅŸiye iliÅŸkin herhangi bilgi) ziyade kiÅŸiyi iÅŸaret etmesi ile alakalıdır. KiÅŸilik hakkı ve kiÅŸisel veri arasındaki bu baÄŸ birbirlerinin mütemmim cüzü ÅŸeklinde devam edecektir ve kiÅŸisel veri, her nerede kendini gösterirse iÅŸaret etmiÅŸ olduÄŸu kiÅŸinin kiÅŸilik hakkı da en azından kendisini koruyabilmesi açısından onunla beraber olacaktır.
KiÅŸiliÄŸin korunması konusundaki gereklilik nedeni olarak gösterilen; hürriyet ve eÅŸitlik ilkesi, akit serbestisi konularını kiÅŸisel verilerin korunmasında da tartışabileceÄŸiz ancak kiÅŸiliÄŸin bizatihi korunmasının yanında kiÅŸisel verilerin korunmasının “hassas ve kaygan” bir zeminde olduÄŸunu, bu nedenle de korunmasının öneminin kiÅŸiliÄŸin korunmasıyla aynı amacı taşımasına raÄŸmen farklı perspektifler olduÄŸunu söylemeliyiz. KiÅŸilik hakkının ihlal edildiÄŸinin belirlenmesinde muhtelif hareketler ve durumların tespiti, kiÅŸisel verinin rıza dışında elde edilmesi veya yayılması durumunda ortaya çıkaracağı zararların tespitinden daha doÄŸrudandır. Böylelikle, kiÅŸilik hakkının ihlal edildiÄŸi hareketler ve durumlar için üretilen tedbir niteliÄŸindeki çözümler, kiÅŸisel verilerin korunmasının yasal olarak düzenlenmesinden önceki zaman içerisinde kalmış olup kiÅŸisel verilerin kiÅŸi ve kiÅŸilik ile olan baÄŸlantısının neticesinde kesinkes koruma gerektirdiÄŸi ve korunduÄŸu düzenlenmiÅŸtir.
Türk Hukukunda 12.09.2010 tarihinde yapılan deÄŸiÅŸiklik ile Anayasa’ nın 20. Maddesine
3. Fıkra eklenerek kiÅŸisel verilerin korunması Anayasal koruma altına alınmıştır. Bu korumanın yanı sıra Anayasa’ nın 90. Maddesinin 5. Fıkrasındaki atıf ile kiÅŸisel verilerin korunmasında, usulüne uygun olarak yürürlüÄŸe koyulmuÅŸ olan milletlerarası sözleÅŸmelerin kanun hükmünde olduÄŸu, temel hak ve özgürlüklere iliÅŸkin kanun hükmü ile çatışan hükümlerde ise milletlerarası sözleÅŸme hükümlerine öncelik verildiÄŸi için bu alandaki milletlerarası sözleÅŸmeler mühimdir. Bu açıdan milletlerarası düzenlemelere baktığımızda
03.09.1953 tarihli Ä°nsan Hakları ve Özgürlüklerinin Korunmasına Ä°liÅŸkin Avrupa SözleÅŸmesi’ nin konuya iliÅŸkin ilk düzenleme olduÄŸunu görmekteyiz. Müteakiben; 28 Ocak 1981 tarihinde Strazburg’da imzaya açılan “KiÅŸisel Verilerin Otomatik Ä°ÅŸleme Tabi Tutulması Karşısında Bireylerin Korunması SözleÅŸmesi” 1 Ekim 1985 tarihinde yürürlüÄŸe girmiÅŸ ve Türkiye 1981 tarihinde imzalayan ilk devletlerden biri olmasına raÄŸmen 17 Mart 2016 tarih ve 29656 sayılı Resmi Gazete’de yayımlanarak iç hukuka dâhil edilmiÅŸtir. Bu sözleÅŸmenin önemi, kiÅŸisel veri kavramının bazı iÅŸlemlerin yapılmasında zorunlu olarak kayda geçirilmesi karşısında daha sonradan alıcı veya veri sorumlusu diyeceÄŸimiz kiÅŸilere karşı kiÅŸinin korunmasına atfettiÄŸi itibardır. Avrupa BirliÄŸi düzenlemelerine baktığımızda ise 1995 yılında “Avrupa Parlamentosu ve Avrupa Konseyi KiÅŸisel Verilerin Ä°ÅŸlenmesi ve Serbest Dolaşımı Bakımından Bireylerin Korunmasına Ä°liÅŸkin Direktif ve 2012 yılında çalışmasına baÅŸlanılan GDPR (General Data Protection Regulation) 2016 yılında kabul edildi ve 25.05.2018 tarihinde yürürlüÄŸe girdi.
2. KİŞİSEL VERİNİN MAHİYETİ VE KORUNMASI
2.1. GENEL OLARAK
KiÅŸilik hakkı ve kiÅŸisel veri kavramları arasındaki baÄŸlantının üzerine kiÅŸisel verinin içeriÄŸine ve korunmasına iliÅŸkin inceleme yapmamız gerekmektedir. Bu incelemeye de kiÅŸisel verilerin iÅŸlenmesi ile yakından ilgili kiÅŸisel deÄŸerlerini inceleyerek baÅŸlamamız gerekmektedir. KiÅŸisel verinin içeriÄŸi; kiÅŸinin ÅŸeref ve onuru, kiÅŸinin hayat alanı, kiÅŸinin resmi ve sesi ile kiÅŸiye ait hassas veri olarak kategorize edilerek incelenmesi, içeriÄŸinin ve verinin tespitinde faydalı olacaktır.
KiÅŸinin ÅŸerefi ve onuru, kiÅŸiye toplum tarafından çeÅŸitli ahlaki niteliklere sahip olduÄŸu için verilen, atfedilen deÄŸerlerdir.8 Bu deÄŸer öyle bir deÄŸerdir ki Roma Hukuku kavramı olarak karşımıza çıkan infamia, kiÅŸinin toplum içinde saygıdeÄŸerliÄŸini yitirme durumu 9 olarak tanımlanmaktadır. KiÅŸisel verilerin ihlal edilmesi durumunda, kiÅŸinin üçüncü kiÅŸilerden sakladığı verilerin açığa çıkması sosyal infamia durumuna zemin hazırlayabilir. Åžerefin ve haysiyetin ya da onurun korunması da pek tabi önem arz edecektir. KiÅŸisel verilerin ihlali durumunda kiÅŸinin ÅŸeref ve haysiyetine halel gelmesi kabul edilebilecek bir durum oluÅŸturmayacaktır. Bu nedenle de kiÅŸinin ÅŸeref ve onurunun korunması kuvvetlendirilmiÅŸ bir korumayı hak etmektedir. Günümüzde sosyal medyanın kullanılma çokluÄŸu ve sıklığı (Türkiye’ de nüfusun; %67 internet kullanıcılığı, %51 sosyal medya kullanıcılığı) 10 göz önünde bulundurulduÄŸunda kiÅŸisel verilerin üçüncü kiÅŸinin hukuka aykırı olarak ele geçirmesi, saklaması veya aktarımı 11 ÅŸeklinde ortaya çıkacak ihlaller, telafisi mümkün olmayan zararlara yol açacaktır. KiÅŸisel verinin taşıdığı bilgi olarak yapılan tasnifin
8. Ergun ÖZSUNAY, Gerçek KiÅŸilerin Hukuki Durumu, 4. Bası, Ä°stanbul 1979, s. 166
9. Özcan Karadeniz ÇELEBÄ°CAN, Roma Hukuku, 17. Bası, Ankara 2014, s. 173
10. “Digital in 2018 in Western Asia” Raporu
11. Kemal ATASOY, Kişilik Hakkı Kapsamında Sosyal Medyada Kişisel Verilerin Korunması ve Veri Sahibinin Rızası,
Marmara Üniversitesi Hukuk Fakültesi Hukuk AraÅŸtırmaları Dergisi, Cevdet Yavuz’ a ArmaÄŸan Özel Sayısı, Ä°stanbul 2016, s. 297
sonucunda hangi ayrıma gidilirse gidilsin zararın mutlak olarak kiÅŸinin ÅŸeref ve onuruna iliÅŸkin olacağı sonucuna ulaşılabilir. Åžeref ve onur konusu ile baÄŸlantılı olan kiÅŸisel verinin zarar doÄŸurmaya elveriÅŸliliÄŸi konusunda parantez açmak gerekir. Nitekim kiÅŸisel verinin sorumlusu veya iÅŸleyicinin fiilleri çoÄŸu zaman ilgili zararın ortaya çıkmasında doÄŸrudan ve tek baÅŸlarına elveriÅŸli deÄŸillerdir. Zararın ortaya çıkması ilgili ihlalin yapılması ile birlikte 3. KiÅŸinin hareketi ile ortaya çıkacaktır. KiÅŸinin yaÅŸamını devam ettirmesi, geliÅŸtirmesi açısından bu denli büyük zarara yol açabilecek sorumluluk süjesinin hareketlerinin fiile baÄŸlı sorumluluk ile sınırlı kalması yerine 6098 s. Türk Borçlar Kanunu 71. Maddesinde düzenlenen “tehlike sorumluluÄŸu” ile baÄŸlı olması daha yararlı olacaktır. Tehlike sorumluluÄŸunun kiÅŸiler arasındaki özel hukuk iÅŸlemlerinde sorunlar ortaya çıkarmaması için de bu gri alan için özel bir sorumluluk halinin düzenlenmesi hukuka uygunluk halleri ile birlikte deÄŸerlendirilmesi yasal düzenlemelerin amacına daha saÄŸlıklı hizmet edecektir.
KiÅŸinin ÅŸeref ve haysiyetine iliÅŸkin olarak kitle iletiÅŸim araçlarının kullanılarak gerçekleÅŸtirilen saldırılar gündemde fazlasıyla yer almaktadır. KiÅŸinin ÅŸeref ve haysiyeti ile alakalı olarak “kiÅŸinin yararı” ile çatışan “toplum yararı” Anayasa’ nın 28. Maddesi ile sansür yasağı altında inceleme bulacaksa da esasen burada dikkat edilmesi gereken nokta basının, toplumu bilgilendirmesi için yaptığı araÅŸtırmalardır. Hukuka aykırı olarak elde edilen kiÅŸisel verilerin topluma kazandırılması konusunda toplum yararından ziyade kiÅŸinin zararı daha elzemdir. KiÅŸisel verilerin korunması hakkı da bu konuda tam manası ile koruyucu ve önleyici nitelikte olmaktadır. Elbet bu durum tüm insanlar için Anayasal hak olarak kullanılabilecektir ve tedbir niteliÄŸindeki önlemlerin alınmasında büyük rol oynayacaktır.
KiÅŸinin hayat alanı konusunda ise “üç alan teorisi”12 ile kiÅŸinin hayat alanı; özel, kamuya açık ve gizli hayat olarak tasnif edilmektedir. Bu açıdan Anayasa’ nın 20. Maddesi ile özel ve gizli hayatın korunacağı öngörülmektedir. KiÅŸisel veri alanında yapılacak deÄŸerlendirmede ise kiÅŸinin kendi rızası ile dış dünya ile paylaÅŸtığı hayatına dair bilgiler artık kamuya mal olmuÅŸ olarak deÄŸerlendirilerek kamuya açık hayatı için kiÅŸisel verilerin korunması gündeme gelmeyecektir. Dikkat edilmesi gereken husus kiÅŸinin rızası konusudur. Avrupa BirliÄŸi Genel Veri Koruma TüzüÄŸü 6 ve 7. Maddesi ile birlikte KVKK 5. Maddesinin 1. Fıkrası ile kesin hüküm içeren, kiÅŸisel verinin rıza dışında iÅŸlenememesi konusu gündeme gelecektir. Rıza
12. Serap HELVACI, Gerçek KiÅŸiler, 5. Bası, Ä°stanbul 2013, s. 124
Günümüzde internet ortamı ile yapılan borçlanma iÅŸlemlerinde özel hayata iliÅŸkin bilgilerin alındığı ve iÅŸlendiÄŸi söylenebilmektedir. Özellikle banka iÅŸlemelerinde kayıt aÅŸamasında kiÅŸinin kamuya açıklamadığı bilgileri vermek zorunda kaldığı görülmektedir. Bu durumun incelemesi yapılırken GDPR 7/4’ te düzenleme bulan “sözleÅŸmenin ifası için gerekmeyen kiÅŸisel verilerin iÅŸlenmesine yönelik bir rızaya baÄŸlı olup olmadığına azami özen gösterilmesi” ilkesel olarak kullanılmalıdır. Bu durumda kiÅŸinin ilgili iÅŸlemleri yapması açısından gerekmeyen özel hayatına iliÅŸkin kiÅŸisel verileri vermesi aÅŸamasında ilgili verilerin korunmasına yönelik ayrı bir üst düzey korumanın ve korunamaması durumunda da ayrı bir sorumluluk atfının yapılması gerekmektedir.
Özel bir incelemeyi gerektirecek husus ise Ä°ÅŸ Hukuku kapsamında ele alınacak iÅŸçinin kiÅŸisel verileridir. Günümüz iÅŸ sözleÅŸmelerinde aranan bağımlılık unsurunun deÄŸiÅŸkenliÄŸine istinaden iÅŸçinin iÅŸyeri ve süre ile baÄŸlantılı olmaması sonucunda iÅŸçinin özel hayatının korunmasında güncel sorunlar oluÅŸacaktır. Ä°ÅŸçinin iÅŸyeri ve iÅŸ süresi kavramlarından uzaklaÅŸması iÅŸverenin iÅŸlediÄŸi kiÅŸisel verilerinden de uzaklaÅŸması sonucunu ortaya çıkaracaktır. Bu konuda iÅŸ iliÅŸkisinin bağımlılık kavramının mutlak deÄŸil “göreceli” nitelik taşıması13 sonucunda her iÅŸ iliÅŸkisinin kendi bağımlılığı kendi içerisinde tartışılmalı ve bu bağımlılık ile orantılı olarak iÅŸçinin verilerinin korunmasına önem gösterilmelidir. Bu konudaki korkunun temel kaynağı, iÅŸçinin iÅŸyeri ve iÅŸverenden uzaklaÅŸarak çalışma ortamında olmasıdır. Bu durum karşımıza iÅŸçinin rızası konusunda da sorun yaratacaktır zira KVKK mucibince tanımlanan açık rıza kavramı ile sürdürülmesi gereken iÅŸ iliÅŸkisinin tarafı olan iÅŸçinin bu rızayı sosyal zorunluluk olarak göstermesidir. Bu konuda Ä°ÅŸ Kanunu ve Ä°ÅŸ SaÄŸlığı ve GüvenliÄŸi Kanunu uyarınca gözetim sorumluluÄŸu veri sorumlusu olan iÅŸverene yüklenen sorumluluktur. Ancak hemen belirtmek gerekir ki iÅŸ iliÅŸkisi kapsamında kiÅŸisel verilerin korunmasındaki düzenlemelerin yeterli olmadığı, koruma ve önleme açısından yeterli dolgunluÄŸa ulaÅŸmadığı söylenmelidir. Özlük dosyasının tutulmasının zorunluluÄŸunun olduÄŸu iliÅŸkinin içerisinde yaÅŸamı için zaruri olan iÅŸe baÄŸlı olan iÅŸçinin korunabilmesi genel ilkelere göre kiÅŸisel veri açısından kendi ilkeleriyle var olan Ä°ÅŸ Hukuku için elzem niteliktedir.
KiÅŸinin resmi ve sesi ile iliÅŸkin olarak kiÅŸisel veri kapsamında özel hayatın gizliliÄŸi hususu
13. Sarper SÜZEK, Ä°ÅŸ Hukuku, 14. Bası, Ä°stanbul 2017, s. 239
KiÅŸinin sesi, adli amaçlı iletiÅŸimin denetlenmesine konu olabilecektir. Suçla mücadele edilirken teknolojiden yararlanmak pek mühimdir ancak kiÅŸinin temel hak ve özgürlüklerine halel gelmemesi gerekmektedir. Bu açıdan iletiÅŸimin denetlenmesi tedbirinin uygulama alanının ve ÅŸartlarının net bir ÅŸekilde ortaya koyulması gerekir.14 Ceza muhakemesi alanına ait ilgili tedbirin uygulanması aÅŸamasında yapılan kayıtlar, kiÅŸinin sesi ile birlikte özel hayatına yapılan müdahalelerdir. Bu kayıtların gizliliÄŸi, saklanması ve yok edilmesi aÅŸamasında da sorumluluk atıflarının 5271 s. Ceza Muhakemesi Kanunu 135. Maddenin 3 ve 6.Fıkrasına göre eksik düzenlendiÄŸi vurgulanmalıdır. Ä°lgili fıkralarca derhal imha edilme düzenlenmiÅŸ olsa da imha edecek kiÅŸinin belirtilmediÄŸi açıktır. Aynı maddenin 7. Fıkrasına göre alınan dinleme kararı ve iÅŸlemleri tedbir süresince gizli tutulduÄŸu için ve devamı için alınan karar neticesinde ilgili kaydın akıbetinin belirsizliÄŸi GDPR 5/1-a bendinde gösterilen “ÅŸeffaflık” ilkesi ile örtüÅŸmemektedir.
14. Asuman AYTEKÄ°N Ä°NCEOÄžLU, Türk Hukukunda Adli Amaçlı Ä°letiÅŸimin Denetlenmesi, UÄŸur ALACAKAPTAN’ A
ArmaÄŸan, c. 1, Ä°stanbul, 2018, s. 102
Hassas veri hususunda ise KVKK 6. Maddesi ile “KiÅŸilerin ırkı, etnik kökeni, siyasi düÅŸüncesi, felsefi inancı, dini, mezhebi veya diÄŸer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliÄŸi, saÄŸlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kiÅŸisel veridir.” düzenleme yapılmıştır. Yukarıda kiÅŸisel verinin, kiÅŸi ile baÄŸlantılı olduÄŸu alanlar ve uygulama alanları üzerine yapılan incelemelerde kiÅŸinin özel nitelikli (hassas) verilerinin tespiti için ayrı bir inceleme yapılarak tespit edilmesi önemlidir. Bu konuda kanun koyucunun haklı olarak iÅŸaret ettiÄŸi husus, kiÅŸinin verilerinin kademeli oluÅŸu ve korunma açısından da farklılık oluÅŸturduÄŸudur. Bu konuya iliÅŸkin yakın bir uygulamayı Ceza Hukuku açısından da görmekteyiz. TCK’ nun 122. Maddesinde düzenleme bulan Nefret ve Ayırımcılık suçunun iÅŸlenmesinde kiÅŸiyi suç iÅŸlemeye iten sebep olan güdünün, “…dil, ırk, milliyet, renk, cinsiyet, engellilik, siyasi düÅŸünce, felsefi inanç, din veya mezhep farklılığından kaynaklanan nefret nedeniyle…” oluÅŸması aranmaktadır. Suçun kast unsurunun oluÅŸmasına götüren sebep olan saik ya da güdünün kiÅŸinin hassas verileri ile baÄŸlantılı olduÄŸunu görmekteyiz. Bu konu açısından Ceza Hukuku kapsamında suç iÅŸlemeye elveriÅŸli ortamın saÄŸlanamaması için kiÅŸinin, dış dünya ile paylaÅŸmadığı özel nitelikli kiÅŸisel verilerinin korunması aÅŸamasında farklı bir önemin atfedilmesi gerekecektir. Nitekim korunan hukuki yarar açısından toplumda bireyler arasında olması gereken eÅŸitlik idealidir.15 Bu açıdan, kiÅŸinin hangi iÅŸlemi yaptığının ya da hangi taraf ile ne iÅŸlemi yaptığının önemi olmaksızın bu verilerinin korunması gerekecektir. KiÅŸisel verilerin korunması kapsamında hukuka uygunluk sebeplerinin “kamu yararı” veya “kamunun esenliÄŸi, birliÄŸi ve güvenliÄŸi” gibi durumlarda da kiÅŸinin özel nitelikli verilerinin korunması, telafi edilemeyecek zararların doÄŸmaması için elzemdir.
2.2. KİŞİSEL VERÄ°NÄ°N ÖZERKLİĞİ
KiÅŸisel verinin, kiÅŸinin özelliÄŸine ait tasnifinde ve kiÅŸiliÄŸine ait özelliÄŸine iliÅŸkin atıflarda bulunulmasına raÄŸmen kiÅŸisel verinin kendisine ait özel yapısına dair belirleme konusunda halen açıklık bulunmamaktadır. KiÅŸilik hakkı ile çok baÄŸlantılı olmasına raÄŸmen herhangi bir kiÅŸisel verinin mülkiyeti ya da sahipliÄŸi konusunda da fikir birliÄŸi bulunmamaktadır. Bu konuda, geliÅŸmekte olan teknolojinin kiÅŸisel veri kavramına yön vereceÄŸi ve yapısına dair özel düzenlemeleri beraberinde getireceÄŸi kaçınılmaz bir gerçektir. KiÅŸinin açık rızası dahilinde iÅŸlenilmesine müsaade edilmesine raÄŸmen kiÅŸiselveri için bir mülkiyet tabiri
15. Ä°NCEOÄžLU, Nefret ve Ayırımcılık Suçu, Özel Ceza Hukuku, c. 3, Hürriyete, Åžerefe, Özel Hayata, Hayatın Gizli
Alanına Karşı Suçlar, On Ä°ki Levha Yayıncılık, Ä°stanbul, 2018, s. 354
bulunmamaktadır. Bu konuda kiÅŸinin açık rızası ile sahipliÄŸini tekelinden çıkarabilmesi durumunu göz önünde tuttuÄŸumuzda, kiÅŸisel verilerin özel yapıda birer mülkiyet olduÄŸuna varmamız kaçınılmaz olacaktır. Uygulamada bir deÄŸere karşılık olan kiÅŸisel verilerin, veri tümleÅŸtirme faaliyeti ile birlikte “data factory” hizmetine sunulduÄŸu görülmektedir. Yakın gelecek için fazlasıyla karşılaÅŸacağımız bu kavramlar bu belirsizliÄŸi de ortadan kaldıracaktır.
KiÅŸisel verilerin ihlali konusunda yapılan uluslar arası yargılamalarda da karşımıza çıkan esas mesele, verilerin belirli bir para karşılığında veri sahibinin izni olmaksızın paylaşılmasıdır. Veri sahibinin açık rızası olduÄŸu durumda belirli bir para karşılığı paylaşılması hukukun cevaz vereceÄŸi alana iÅŸaret etmektedir. Bu durumda kiÅŸilerin açık rızası ile verilerinin paylaşılması durumunda verilerinin tümleÅŸtirilmesi faaliyeti de mülkiyet konusu olarak ayrım yapılmasını gerektirecektir. Avrupa BirliÄŸi düzenlemesi ile böylesine bir mülkiyet konumlandırılmasına müsaade edilmese de her devletin mülkiyet rejimini belirleme hakkı bulunmaktadır. Bu durumla beraber mülkiyet konusuna geliÅŸen teknoloji ile birlikte tekdüze yaklaÅŸmanın da sakıncalı olduÄŸu aÅŸikârdır.
3. KİŞİSEL VERİNİN KORUNMASINA DAİR SORUMLULUKLAR
KiÅŸisel verilerin korunmasına dair ilkelere baktığımızda ÅŸeffaflık ilkesinin büyük önem taşıdığını görmekteyiz. Veri iÅŸleyicisinin ÅŸeffaflık ilkesine ve haliyle de hukuka uygun, adil davranma yükümlülüÄŸü bu ikili iliÅŸki için güven itibarıdır. Bu konu ile baÄŸlantılı olarak hem aydınlatma yükümlülüÄŸünün hem de muhafaza yükümlülüÄŸünün ÅŸeffaflık ilkesi ile sıkı baÄŸ içerisinde olması gerekir. Verinin iÅŸlenmesindeki açık rıza konusunda da hukuka uygunluÄŸu belirterek ÅŸeffaflık ilkesine gerekli önemin gösterilmesi gerektiÄŸine dikkat çekmeliyiz. Aynı zamanda sadece iÅŸleme faaliyeti esnasında deÄŸil daha sonrasında da veri sahibinin eriÅŸim hakkı kapsamında ilgili ÅŸeffaflığın saÄŸlanması gerekir. Taraflar arasındaki güvenin korunması için bu ÅŸeffaflığın geçerli olması gerekecektir. Veri sahibine karşı, veri sorumlusunun her bilgilendirmesinde bu ilkenin büyük rol oynayacağı barizdir.
Veri sahibinin göstereceÄŸi rıza çerçevesinde iÅŸlenmesi hukuka uygun bulunan ilgili kiÅŸisel verilerin, veri sahibinin rızası ile var olduÄŸu gerçeÄŸi unutulmamalıdır. Ä°lgili rızanın hangi iÅŸlemler için geçerli olduÄŸu da önemlidir zira veri taşınabilirliÄŸi ve kısıtı iÅŸleme konularında rıza açısından inceleme yapmamız gerekecektir. Bu açıdan tekrar ÅŸeffaflık ilkesine ve hukuka uygun davranma ilkesine atıf yapmak gerekir. Unutulma hakkı çerçevesinde kiÅŸinin
16. https://core.ac.uk/download/pdf/45678038.pdf, son eriÅŸim tarihi 15.10.2018
verilerinin silinmesi gerekecektir. Dolayısıyla taraflar arasındaki iliÅŸkinin güvene dayandığı ancak veri sahibinin mutlak korunduÄŸunu göz önünde bulundurmalıyız.
Veri sahibinin kiÅŸisel veri üzerindeki kontrolünü kaybetmesine ve buna baÄŸlı olarak zarar görmesine sebebiyet veren davranışların idari, cezai ve hukuki sorumluluk doÄŸuracağı söylenebilir. Hukuki sorumluluÄŸun çerçevesi KVKK ile ayrıca düzenlenmeyip genel hükümlere atıf yapılmaktadır.
KiÅŸisel verileri koruma yükümlülüÄŸünün bir süjesi devlettir. Anayasa’ nın 20. Maddesindeki korumayı saÄŸlamak üzere KVKK 22. Maddesindeki görevleri yapmak amacıyla kurulan, idari ve mali özerkliÄŸe sahip olan kamu tüzel kiÅŸiliÄŸini haiz KiÅŸisel Verileri Koruma Kurumu kurulmuÅŸtur. Veri sahibinin sahip olduÄŸu haklar açısından kurula ÅŸikayet hakkının KVKK 16. Maddesi ile düzenlenen veri sorumluları sicili baÄŸlantısı ile birlikte okumamız gerekir. Bu açıdan veri sorumlusu niteliÄŸini haiz kiÅŸilerin bu sicile kaydolma zorunluluÄŸu vardır. Bu hüküm, veri iÅŸlenmesinden önce pozitif bir yükümlülük getirerek ilgili sicilin veri sahipleri açısından güvence oluÅŸturmasını saÄŸlamıştır.
KVKK 3. Maddesinde belirtilen “veri sorumluları” ve “veri iÅŸleyenleri” de sorumluluÄŸun bir tarafıdır. Devlet her ne kadar kiÅŸiler arasındaki eÅŸitlik idealini korumaya elveriÅŸli olsa da kiÅŸilerin fiillerinin neticesinde tamamı ile devleti sorumlu tutmak da hukukun cevaz vereceÄŸi bir alanı oluÅŸturmayacaktır. Bu açıdan bakıldığında suçun ÅŸahsiliÄŸi ilkesinin etkin bir rol aldığını göreceÄŸiz. Aynı zamanda KVKK 17. Maddesindeki atıf ile Türk Ceza Kanunu’ nun 135-140. Maddelerinde düzenlenen suçları oluÅŸturan eylemleri iÅŸleyenlerin “yükümlülük ihlalinin yaptırımı” olarak karşımıza çıkan sorumluluÄŸa tabi olduÄŸunu söylememiz gerekir.
Hukuki sorumluluk hususunda Avrupa BirliÄŸi düzenlemesi ve Alman Veri Koruma Yasasından farklı olarak kiÅŸisel verilerin hukuka aykırı olarak iÅŸlenmesinden kaynaklanan zararlar için özel bir norm düzenlemesine gidilmemiÅŸtir. KVKK 14/3’ teki düzenleme göstermektedir ki kiÅŸiler kurula ÅŸikayet etmelerine raÄŸmen genel hükümler vasıtası ile tazminat hükümlerine de baÅŸvurabileceklerdir. Böylelikle Türk Medeni Kanunu 24-25. Maddeleri ile Türk Borçlar Kanunu 53,54,56 ve 58. Maddeleri bu konuda iÅŸlevsellik kazanabilecektir. Burada haksız fiil deÄŸerlendirmesi ile yoksun kalınan kar istemi de gündeme getirilebilir. Böylelikle kiÅŸinin uÄŸramış olduÄŸu zararın genel bir norm ile deÄŸil farklı konuları ihtiva eden kanunlar ve hükümleri vasıtası ile çözümlenmesi amaçlanmıştır. Bu nedenle hukuki sorumluluk konusunda Ä°sviçre ile benzer ÅŸekilde düzenlememiz kiÅŸisel verilerin korunması hakkına halel getirmemekle beraber korunamamasından kaynaklanan zararın da etkili yollar ile giderilmesi taraftarıdır.
EÅŸ zamanlı olarak veri sorumlularının kamu idareleri olması durumunda da idarenin sorumluluÄŸu ile hizmet kusuru tartışması yapılabilecektir. Memurun kusurunun olması zararın devlet tarafından giderileceÄŸi gerçeÄŸini deÄŸiÅŸtirmeyecektir. Yukarıda bahsedildiÄŸi üzere sorumluluk atfının yapıldığı durumlar için sorumlunun zarara uÄŸramama garantisi ile birlikte TBK 71. Maddesindeki “tehlike sorumluluÄŸu” tartışması yapılabilecektir. Ancak hemen belirtilmelidir ki veri sahibinin tam koruma altında olabilmesi için bu sorumluluk türünün de bu özel alan için farklı bir ÅŸekilde ele alınıp düzenlenmesi gerekecektir.
Veri sorumlusu ile veri sahibi arasındaki muhtelif iliÅŸkilerin nitelendirilmesi veri sorumluluÄŸuna halel getirmemektedir. Bu açıdan veri sorumlusu ile veri sahibi arasında sigorta sözleÅŸmesi kurulması imkan dahilindedir. Hatta bu alanda zorunlu mali sorumluluk sigortası bile öngörülebilir. 17 Böylesine bir sorumluluk sözleÅŸmesi neticesinde öncelikli olarak veri sahibinin zarara uÄŸraması karşısında tazmin yollarını daha etkin ÅŸekilde kullanabileceÄŸi ve hatta belirlilik konusunda daha net bilgi sahibi olacağı açıktır. Ä°nternet sitelerinin kiÅŸisel verilerin korunmasına dair veri sahibi/kullanıcılar ile yaptıkları sözleÅŸme doÄŸrultusunda hem bilgilendirme yükümlülükleri hem de açık rıza almaları söz konusudur. Ancak bu uygulama ile kiÅŸilerin ne kadar bilgilendirildiÄŸi veya bilgilendiÄŸi soru iÅŸaretleri içermektedir. Bu nedenle zorunlu mali sorumluluk sigortası ile veri sahiplerinin bilgilenmesi daha isabetli olabilecektir. Bu durumun özellikle Tüketici Hukuku alanı içerisinde tüketicinin, kiÅŸisel verilerini bir siteye kullanıcı olma aÅŸamasında vermesinde ve devamında borçlandırıcı iÅŸlemlerin gerçekleÅŸmesi sonrasında görebileceÄŸiz. KiÅŸinin sipariÅŸi vermesi ile birlikte ilgi alanı, özel hayatında kullandığı araç gereçler ve adresi gibi verileri de ilgili siteye verilmiÅŸ olacaktır. Bu durumda kiÅŸinin yapacağı her iÅŸlemde farklı bir kiÅŸisel verinin gündeme geleceÄŸi ve kiÅŸinin bu durumlar için de ayrıca açık rıza göstermesini gerektirecek durumların oluÅŸabileceÄŸi tartışılmalıdır. Ayrıca uygulamada tartışılması gereken baÅŸka bir husus ise iÅŸletmelerin tüketicilerden aldığı kiÅŸisel verilerin paylaşılması hususunda ilgili kiÅŸisel verilerin kiÅŸi tarafından kamuya açıklanmış olması halinde koruma talep edilip edilemeyeceÄŸidir.
17 Damla GÜRPINAR, KiÅŸisel Verilerin Korunamamasından DoÄŸan Hukuki Sorumluluk, D.E.Ü. Hukuk Fakültesi
Dergisi, Prof. Dr. Åžeref ERTAÅž’ a ArmaÄŸan, C.19, Özel Sayı, 2017, s. 694
SONUÇ
KiÅŸilik hakkı ile birlikte düÅŸünüldüÄŸünde Anayasal hak olan kiÅŸisel verilerin korunması hakkı, günümüzde insanların mahremiyetine iliÅŸkin en önemli savunma ve korunma haklarından biridir. Teknolojinin geliÅŸmesi, elektronik ortamlarda saklanan kiÅŸisel verilerin güvenliÄŸinin saÄŸlanması adına her geçen gün endiÅŸe yaratmaktadır. Güvenlik sorunları nedeni ile ifÅŸalar gün yüzüne çıkmaktadır. Bilgi güvenliÄŸi baÅŸlığı altında; hukuki, idari ve teknik anlamda geliÅŸmeler saÄŸlanarak kiÅŸilerin bilgileri korunmaya çalışılmaktadır. Bu baÄŸlamda sorumluluk atıflarının eksikliÄŸi, verilerin korunmasında kendisini göstererek yeterli seviyede özen gösterilmesindeki en büyük etkendir.
KiÅŸisel verinin korunması hakkı kapsamında kiÅŸisel verilerin içeriÄŸinin ne olduÄŸu tanımlanabilmektedir. Ancak kiÅŸisel verilerin mülkiyet konusu olup olmadığı tartışmalıdır. Bu konunun geliÅŸen teknoloji ile birlikte belirginlik kazanacağını söylemek mümkündür. KiÅŸinin sahip olduÄŸu, bağımsız deÄŸiÅŸkenleri bulunan bir mülkiyet tesis edilmesi, kiÅŸilerin yararına olabilecektir. Hemen belirtmek gerekir ki kiÅŸilik hakkının konusu ile sıkı bir bağı bulunan kiÅŸisel veri konusunda mülkiyet tesis edilmesi elbet mülkiyetin de farklı bir görünümü ile mümkün olabilecektir. Bu konuda tümleÅŸtirme faaliyetleri ve “data factory” çalışmaları geleceÄŸe yön verecektir ve bu tartışma için de belirleyici olacak bir sektörün öncüleridir.
KiÅŸisel verilerin korunamaması dâhilinde ise Türkiye nezdinde kamu tüze kiÅŸiliÄŸini haiz idari bir otorite bulunmaktadır. Bu otorite göstermektedir ki kiÅŸilerin verilerinin korunmasını isteme hakkına halel gelmesi durumunda devletin sorumluluÄŸu bulunacaktır. Ä°lgili kurumun iÅŸlevselliÄŸi ise devlet sorumluluÄŸundan ziyade idari bir otoritenin sorumluluk tespitinde bulunması ve icra etmesinden kaynaklanmaktadır. Burada belirtmekte fayda vardır ki bilginin güvenliÄŸi konusunda internetin, e-ticaretin kullanım kazanması insanlığın yararınadır ancak geliÅŸen teknolojinin tek tabanlı olmadığı aynı zamanda koruma tabanı için de geliÅŸmesi gerektiÄŸi ve ancak böylelikle bilgi korumasının saÄŸlanabileceÄŸi söylenmelidir.
KiÅŸisel verilerin korunması hakkı, kiÅŸilerin; kiÅŸilikleri, yaÅŸamları, geliÅŸimleri için fevkalade önemli bir haktır. Bu hakkın etkinliÄŸi, icrası ve korunması da bizatihi önem teÅŸkil eder. Bu nedenle hakkın korunmasında ilgili kurumun denetmenliÄŸi önem taşımaktadır. Farlı hukuki iÅŸlemlerin neticesinde iÅŸlenen kiÅŸisel verilerin korunması konusunda ise evleviyetle kiÅŸisel verilerin ilgili iÅŸlem için gerekliliÄŸi sorgulanmalıdır. Bu konuda asgari iÅŸleme yapılması gerekmektedir.