Pandemi Boyunca Gündemden Düşmeyen Hukuki Konumuz: Kişisel Verilerin Korunması I - Mevzuatların Gelişimi ve Temel Felsefesi
2016 senesinden itibaren her geçen gün etkinliğini arttıran bir mevzuatımız var: Kişisel Verilerin Korunması(“KVK”). Sizlerle buluşurkenki ilk yazımıKVK hakkında yazmayı tercih etme sebebim, özellikle pandemi sürecinde dijitale kayan uygulamalarla birlikte bu hukuki alanın daha da hızla
ivme kazanması ve bu alanın ticari şirketlerin faaliyet serbestisi ile bireylerin temel hak ve özgürlüklerin güvence altına alınması arasındaki dengenin kurulmasında önemli bir araç olarak gözetilmesidir.
Av. Ece Sarıca
Bu yazıda ilk olarak KVK mevzuatlarının temel felsefesi ve küresel gelişim sürecini ele alıp, ardından bölgesel gelişmeler ve de kendi mevzuatımıza kısaca bakacağız. Sonraki yazılarımda ise mevzuatımızın detaylarına ineceğiz. İleride de aralıklarla alınan yeni kararlar vasıtasıyla uygulamada getirilen önemli değişiklik ve düzenlemeleri ele almayıplanlamaktayım.
KVK Temel Felsefesi ile Küresel Süreç
Birleşmiş Milletler verileri uyarınca dünya genelinde %64 oranında ve toplam 107 ülkeye tekabül eden ülkede spesifik Veri Koruma ve Gizlilik mevzuatı bulunmaktadır; bu ülkeler içerisinde ekonomik açıdan belki de en büyük önemi teşkil eden 66 gelişmekte olan ülke de yer almaktadır. Dolayısıyla Veri Koruma mevzuatlarının tüm dünya genelinde artık norm haline geldiği söylenebilir.
Kaynak: BirleşmişMilletler, 18/02/2020
64%ülkede mevzuat Var
8% ülkedetaslak mevzuat Var
18% ülkede mevzuat yok
11% ülke hakkında bilgi bulunmamakta*
Bu noktaya gelinmesi ise önemli bir sürecin olgunlaşması ile gerçekleşebildi. Veri koruma alanındaki ilk uluslararası normlar, Birleşmiş Milletler tarafından 1948 yılında yayınlanan Evrensel İnsan Hakları Bildirgesi’nde yer almaktaydı. Özel ve aile hayatının gizliliğine ilişkin Madde 12 ile ilk defa bireylerin diğerlerine ve özellikle devlete karşı, özel alanını koruma hakkının ileri sürebileceği belirtilmiş oldu.
Ancak bu Bildirge’de yer alan normların imzalayıcı devletler üzerinde bağlayıcı niteliği yoktu; daha ziyade bir niyet beyanı şeklinde değerlendirilebilir diyebiliriz.
Hemen sonrasında 1953 senesinde Avrupa İnsan Hakları Sözleşmesi ile birtakım düzenlemeler getirildi. Madde 8 uyarınca devletin, bireylerin özel ve aile hayatının ihlal etmekten kaçınması(negatif yükümlülük)
ve de ayrıca aktif olarak bunlara saygı duyulmasına ilişkin aksiyonlar almasına ilişkin (pozitif yükümlülük) düzenlemeler sorumluluklar getirilmekteydi. Bu küresel gelişmeler bölgesel uygulamaların önünü açmış oldu.
Avrupa bölgesine baktığımızda;Veri Koruma alanında bağlayıcı nitelikteki ilk uluslararası sözleşmenin 108 sayılıAvrupa Konseyi Sözleşmesi (“108 s. Sözleşme”)olarak çıkartıldığını görüyoruz. 108 s. Sözleşme,
hem bireylerin korunması hem de sınırlararası veri transferine ilişkin konuları düzenlemeyi amaçlamaktaydı. Ayrıca, bu günkü KVK mevzuatlarının temelini teşkil etmektedir. Zira oldukça önemli iki temel ilke olarak kişisel verilerin uygun şekilde toplanması ve de belirli ana prensipler doğrultusunda işlenmesigerektiği belirtilerek bugünkü çerçeve genel olarak çizdi.
Buna göre, doğru ve hukuka uygun şekilde toplama ve meşru sebebe istinaden işleme dahil olmak üzerekişisel veri işlemenin belirtilen ana prensipleri gündeme gelmiş oldu. Akabinde 95/46/EC sayılı Veri Koruma Direktifi(“Direktif”) çıkartıldı. Bu Direktif de 108 s. Sözleşme’yi yansıtmakla birlikte daha modern düzenlemeler getirmekteydi. Direktif 1995’ten 2018 Mayıs’ına dek Avrupa’daki temek geçerli KVK mevzuatı olarak kaldı.
KVK mevzuatlarının en popüleri ise, 2016 senesinde düzenlenen ve 2 senelik geçiş süresi sonrasında 2018 Mayıs’ında yürürlüğe giren General Data Protection Regulation- Genel Veri Koruma Regülasyonu (“GDPR”) olmuştur. Hem alanında öncü nitelikte ciddi çapta ve hemen hemen her kuruma uygulanacak nitelikte geniş, kapsayıcı coğrafyada uygulanacak düzenlemeler getirmesi; hem de önemli nitelikte para cezaları getirmesi ile GDPR kısa sürede yalnız hukukçular değil; genel olarak kişisel verilerle iş yapan herkesin iyi kötü kulak dolgunluğu olduğu bir konu haline gelmiş oldu. GDPR, alanının öncüsü olarak da, pek çok coğrafyada çıkartılan mevzuatlara esin kaynağı olmuştur.
Türk Mevzuatı ile Gelişimi
Bizim mevzuatımızın da temel esin kaynağı Avrupa KVK mevzuatıdır. Temel kanunumuz 7/4/2016 sayılı Resmi Gazete’de yayımlanarak büyük ölçüde hükümleri yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Hakkında Kanun (“KVKK”)’dır.
Hem kısaca değindiğimiz Avrupa Birliği düzenlemeleri hembizim KVKK’mıza baktığımızda,temel hak ve özgürlüklerin korunması vekişisel verileri işleyen gerçek ya da tüzel kişilerin uyacakları usul ve esasların düzenlenmesinin arasındaki dengenin kurulmasının amaçlandığı görülmektedir. Her iki düzenleme de, çerçeve niteliğinde ilkeleri belirlemektedir. Detaylar ise uygulama ile şekillenmektedir.
KVK mevzuatlarının amacı, kişiselverilerinişlenmesininyasaklanmasıdeğil,
çeşitlikurallarabağlanmasıdır. Bu amacınaltındayatanfelsefeise, her
Birbireyin kişisel verilerinin korunmasının bireysel hak ve özgürlük olarak değerlendirilmesidir.
Türk mevzuatına giren ilk KVK düzenlemesinin Anayasamız ile olması ise bu felsefenin en temel göstergesidir. Nitekim, 2010 senesinde Anayasamıza getirilen “özel hayatın gizliliği vekorunması hakkı”hükümlerine istinaden her bireyin kişisel verisinin kullanılmasını talep etmesi hakkı anayasal hak olarak korunmaktadır. Anayasa, Md. 20/3 uyarınca “Herkes, kendisiyleilgili kişisel verilerin korunmasını isteme hakkına sahiptir.Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkındabilgilendirilme, bu verilere erişme, bunların düzeltilmesiniveya silinmesini talep etme ve amaçları doğrultusundakullanılıp kullanılmadığını öğrenmeyi de kapsar.
Kişiselveriler, ancak kanunda öngörülen hallerde veya kişininaçık rızasıyla işlenebilir. Kişisel verilerin korunmasınailişkin esas ve usuller kanunla düzenlenir.” hükmüne yerverilmiştir. Böylelikle hukuk sistemimizin en üst normu olan Anayasamızda KVK mevzuatımızın çerçevesi çizilmiş ve anayasal güvenceye kavuşmuştur.
Anayasa’daki düzenlemelerden sonra ise Türk Ceza Kanunu (“TCK”) bağlamında düzenlemelerle kişisel verilerin birtakım hukuka aykırı kullanımları suç olarak düzenlenmiştir. Özel hayata ve hayatın gizli alanına ilişkin suçlar altında yer alan başlıca KVK ile ilgili suçlar şunladır: Kişisel verilerin hukuka aykırı olarak kaydedilmesi (TCK, Md.135), hukuka aykırı olarak verilmesi veya kaydedilmesi (TCK, Md.136), yok edilmemesi (TCK, Md.138). Belirtilen suçların niteliksiz hallerinde cezaları 1 yıldan 4 yıla kadar hapis cezası şeklinde yaptırıma tabi olabilmektedir. Bu suçlar, tüzel kişiler tarafından da işlenebilmektedir (TCK, Md. 140).
Kamu Hukuku alanındaki bu düzenlemelerden sonra özel hukuk alanındaki temel düzenlememiz olan KVKK’nın çıkartılmasının ardında aslında oldukça yoğun ve uzun bir çalışma süreci bulunmaktadır.
1989 senesinde TBMM’debaşlayan çalışmalar, en nihayetinde 2016’de KVKK’nın kabulü ile neticelenmiştir.
2017 ise mevzuatın uygulanmasından sorumlu ana idari kurumKişisel Verilerin Korunması Kurumu kurulmuştur.
Kurum, faaliyetlerini Kişisel Verilerin Korunması Kurulu aracılığıyla gerçekleştirmektedir
ve denetimler gerçekleştirmekte, ikincil düzenlemeler getirmekte ve kararlar vermektedir; böylelikle uygulamadaki gri alanlar netleştirilmektedir. Dolayısıyla uygulamada pek çok konu Kurul kararlarıyla şekillenmekte olduğundan, kararların yakından takibi oldukça önem arz etmektedir.
Bir sonraki yazımızda, KVKK kapsamında düzenlenen ilkelere daha eğileceğiz ve teknik konuları basitleştirerek ele alacağız. Görüşmek dileğiyle.
KVK mevzuatlarının amacı, kişiselverilerinişlenmesininyasaklanmasıdeğil,
çeşitlikurallarabağlanmasıdır. Bu amacınaltındayatanfelsefeise, her
Birbireyin kişisel verilerinin korunmasının bireysel hak ve özgürlük olarak değerlendirilmesidir.
Türk mevzuatına giren ilk KVK düzenlemesinin Anayasamız ile olması ise bu felsefenin en temel göstergesidir. Nitekim, 2010 senesinde Anayasamıza getirilen “özel hayatın gizliliği vekorunması hakkı”hükümlerine istinaden her bireyin kişisel verisinin kullanılmasını talep etmesi hakkı anayasal hak olarak korunmaktadır. Anayasa, Md. 20/3 uyarınca “Herkes, kendisiyleilgili kişisel verilerin korunmasını isteme hakkına sahiptir.Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkındabilgilendirilme, bu verilere erişme, bunların düzeltilmesiniveya silinmesini talep etme ve amaçları doğrultusundakullanılıp kullanılmadığını öğrenmeyi de kapsar.
Kişiselveriler, ancak kanunda öngörülen hallerde veya kişininaçık rızasıyla işlenebilir. Kişisel verilerin korunmasınailişkin esas ve usuller kanunla düzenlenir.” hükmüne yerverilmiştir. Böylelikle hukuk sistemimizin en üst normu olan Anayasamızda KVK mevzuatımızın çerçevesi çizilmiş ve anayasal güvenceye kavuşmuştur.
Anayasa’daki düzenlemelerden sonra ise Türk Ceza Kanunu (“TCK”) bağlamında düzenlemelerle kişisel verilerin birtakım hukuka aykırı kullanımları suç olarak düzenlenmiştir. Özel hayata ve hayatın gizli alanına ilişkin suçlar altında yer alan başlıca KVK ile ilgili suçlar şunladır: Kişisel verilerin hukuka aykırı olarak kaydedilmesi (TCK, Md.135), hukuka aykırı olarak verilmesi veya kaydedilmesi (TCK, Md.136), yok edilmemesi (TCK, Md.138). Belirtilen suçların niteliksiz hallerinde cezaları 1 yıldan 4 yıla kadar hapis cezası şeklinde yaptırıma tabi olabilmektedir. Bu suçlar, tüzel kişiler tarafından da işlenebilmektedir (TCK, Md. 140).
Kamu Hukuku alanındaki bu düzenlemelerden sonra özel hukuk alanındaki temel düzenlememiz olan KVKK’nın çıkartılmasının ardında aslında oldukça yoğun ve uzun bir çalışma süreci bulunmaktadır.
1989 senesinde TBMM’debaşlayan çalışmalar, en nihayetinde 2016’de KVKK’nın kabulü ile neticelenmiştir.
2017 ise mevzuatın uygulanmasından sorumlu ana idari kurumKişisel Verilerin Korunması Kurumu kurulmuştur.
Kurum, faaliyetlerini Kişisel Verilerin Korunması Kurulu aracılığıyla gerçekleştirmektedir
ve denetimler gerçekleştirmekte, ikincil düzenlemeler getirmekte ve kararlar vermektedir; böylelikle uygulamadaki gri alanlar netleştirilmektedir. Dolayısıyla uygulamada pek çok konu Kurul kararlarıyla şekillenmekte olduğundan, kararların yakından takibi oldukça önem arz etmektedir.
Bir sonraki yazımızda, KVKK kapsamında düzenlenen ilkelere daha eğileceğiz ve teknik konuları basitleştirerek ele alacağız. Görüşmek dileğiyle.