6698 SAYILI KİŞİSEL VERİLERİN KORUNMASI KANUNU ÜZERİNE GENEL BİR DEĞERLENDİRME

Abone Ol
  • Av. Kadir Can ÖZEL[1]
 
GİRİŞ
 
            Bilindiği üzere, ülkemizde Kişisel Verilerin Korunması Kanunu Tasarısı; geçtiğimiz günlerde, TBMM Genel Kurulu’nun 24.03.2016 tarihli oturumunda, meclis içindekilerin, meclis dışındaki hukukçuların, sivil toplum örgütlerinin yoğun tartışmaları arasında yasalaştı, 07.04.2016 tarihli Resmi Gazete’de yayımlandı ve bazı maddeler hariç (Kanunun 32. maddesine göre; 8., 9., 11., 13., 14., 15., 16., 17., 18. maddeler kanunun yayım tarihinden altı ay sonra yürürlüğe girecektir) yürürlüğe girdi. Söz konusu tartışmalar şu anda dahi sürmekte ve sürecek gibi de duruyor.
 
Tartışmaların odağını oluşturan noktayı 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 3. maddesinin gerekçesinde bulabiliriz. KVKK’nın 3. maddesinin gerekçesine baktığımız zaman, “Kişisel Veri”den nelerin anlaşılması gerektiği tek tek sayılmıştır. Bu bağlamda; “Kişisel Veri”, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi (fiziki bilgiler, ailevi bilgiler, kültürel bilgiler, dini bilgiler, mezhepsel bilgiler, sosyal ve ekonomik bilgiler vs.) ifade ettiğinden ve bu sebeple kişisel verilerin korunması yurttaşlar açısından çok önemli bir rol oynadığından; kişisel verilerin korunması sadece verinin kendisinin değil, aynı zamanda bireyin temel hak ve özgürlüklerinin, bilhassa özel alanının korunması anlamına geldiğinden[2] kanun tasarısına yönelik yasalaşma öncesi, sırası ve sonrasında devam eden tartışmaların, birbirinden sert eleştirilerin nedenini anlamak mümkün. Mevcut durum bu şekildeyken; çalışmamızda yeni kanunun olgunlaşma sürecini ve gereklilik nedenlerini ele alıp, üzerinde tartışmaların da sürdüğü hükümler ile ilgili genel bir değerlendirme yapmaya çalıştık.
 
Değerlendirmelerimizin yer aldığı dört bölümden oluşan çalışmamız “Giriş” bölümü olan bu bölüm ile başlayacak olup, “Çerçeve Kanuna İhtiyaç Duyulması ve Kişisel Verilerin Korunması Kanunu’nun Ortaya Çıkışı” başlıklı ikinci bölümle devam edecektir. İkinci bölümde, Türkiye’deki Kişisel Verilerin Korunması Kanunu’na olan ihtiyacı ve kanunun ortaya çıkışına neden olan olayları, süreci irdelemeye çalıştık. “Kişisel Verilerin Korunması Kanunu’nun Bazı Hükümlerinin Değerlendirilmesi” başlıklı üçüncü bölümde ise kişisel verilerin işlenmesindeki açık rızaya; kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine; kişisel verilerin üçüncü kişilere aktarılmasına; kişisel verilerin yurt dışına aktarılmasına; veri sahibinin haklarına; veri sorumlusunun veri güvenliğine ilişkin yükümlülüklerine; veri sorumlusuna başvuru ve Kişisel Verileri Koruma Kurulu’na şikayete; Veri Sorumluları Sicili ve Sicilin aleniyetine; Kişisel Verileri Koruma Kurumu’na; Kanunun uygulanmadığı istisnalara değindik. Nihayetinde, “Sonuç” kısmıyla çalışmamızı bitirdik.

 
  1. ÇERÇEVE KANUNA İHTİYAÇ DUYULMASI VE
KİŞİSEL VERİLERİN KORUMASI KANUNU’NUN ORTAYA ÇIKIŞI
 
6698 sayılı Kişisel Verilerin Koruması Kanunu yürürlüğe girene kadar, kişisel verilerin korunması yeterli olmamakla birlikte, kişisel verilerin korunması ulusal mevzuatımızda çeşitli kanunlarda doğrudan veya dolaylı olarak güvence altına alınmıştır. Ülkemizde kişisel verilerin korunması hukukunda başta Anayasa olmak üzere, Türk Ceza Kanunu, Ceza Muhakemeleri Kanunu, Polis Vazife ve Selahiyet Kanunu, Elektronik Haberleşme Kanunu, Elektronik Ticaret Kanunu, Türk Medeni Kanunu, İş Kanunu ve Bankacılık Kanunu’nda kişisel verilerin korunmasına ilişkin hükümler halihazırda mevcuttur.
 
Anılan kanunlarda kişisel verilerin korunmasına ilişkin birçok hüküm bulunmasına rağmen, KVKK’yı Türk hukuk mevzuatı içerisine katma, çeşitli nedenlerle çıkarma gerekliliği doğmuştur. Bunlara kısaca değinecek olursak şunlar söylenebilir:
 
1990’lı yılların ikinci yarısından itibaren internetin yaygınlaşması ve son dönemde mobil teknolojilerin hızlı bir şekilde gelişmesi; günümüzde kişisel verilerin toplanmasını, saklanmasını, paylaşılmasını ve analizini bir hayli kolaylaştırmıştır[3]. Günümüzde bir yandan kişisel verilere ihtiyaç duyulurken, diğer yandan kişilerin özel yaşamlarına saldırılar artmakta[4] ve bu saldırıların önlenmesi için kişisel verilerin korunması alanındaki mevzuat eksikliğinin giderilmesi gerekmektedir.
 
Türkiye, kişisel verilerin korunması alanındaki ilk uluslararası sözleşme olan Avrupa Konseyi’nin 28 Ocak 1981 tarihinde Strazburg’da imzaya açtığı “108 No’lu Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi”ni imzalamıştı; ancak onay sürecini işletmemişti. Sözleşmenin tarafların yükümlülüklerini düzenlendiği 4. maddede; tarafların kendi iç hukuklarında, kişisel verilerin korunmasına ilişkin temel ilkelere işlerlik kazandırmak amacıyla gerekli önlemleri almaları gerektiği ve bu önlemlerin sözleşmenin tarafı bakımından, en geç, sözleşmenin kendisi bakımından yürürlüğe girdiği tarihe kadar alınmasının zorunlu olduğu belirtilmiştir. Bu açıdan en önemli önlem, kişisel verilerin korunması alanını düzenleyen çerçeve bir kanuna sahip olunmasıdır[5].
 
Yine Avrupa Birliği’nin 1995 tarihli “Kişisel Verilerin Korunmasına İlişkin 95/46/AT Yönergesi”ne göre kişisel verileri korumayan ülkelere veri transferinin yapılmaması da bir çerçeve kanunun çıkarılmasını zorunlu kılmıştır[6].
 
Sonuç olarak, Türkiye’de kişisel verilerin korunması alanında düzenleme yapılması ihtiyacı daha çok uluslararası etkenlerden kaynaklanmıştır. Bu uluslararası etkenler de Avrupa Birliği’ne uyum sürecinde, Avrupa Birliği Komisyonu’nun İlerleme Raporları aracılığıyla sıklıkla dile getirilmiştir[7]. Açıklanan nedenlerle, iç hukukumuzda yukarıda sayılan mevzuatın çerçeve kanunu sayılabilecek 6698 sayılı Kişisel Verilerin Koruması Kanunu yürürlüğe girmiştir.

 
  1. KİŞİSEL VERİLERİN KORUNMASI KANUNU’NUN BAZI HÜKÜMLERİNİN DEĞERLENDİRİLMESİ
 
  1. Kişisel Verilerin İşlenmesinde Açık Rıza
 
Kanunun “Kişisel Verilerin İşlenme Şartları” başlığını taşıyan 5. maddesinin 1. fıkrasına göre kişisel veriler ilgili kişilerin açık rızası olmaksızın işlenemez. “Açık Rıza’”nın aranması yerinde bir düzenleme olmakla beraber, bunun sınırları çizilseydi daha isabetli olurdu. Aynı maddenin 2. fıkrasında ise, “Açık Rıza”nın aranmadığı haller düzenlenmiş ve bunlardan herhangi birinin mevcut olması durumunda kişisel verilerin işlenmesi mümkün kılınmıştır.
 
Kanunun “Özel Nitelikli Kişisel Verilerin İşlenme Şartları” başlığını taşıyan 6. maddesinin 1. fıkrasında “Özel Nitelikli Kişisel Veriler (Hassas Veriler)” düzenlenmiştir. Bunlar; Irk, etnik köken, siyasi düşünce, felsefi inanç, dini, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler, biyometrik ve genetik verilerdir. Sayılan hassas verilerin; ancak Kişisel Verileri Koruma Kurulu tarafından alınacak önlemlerle işlenebilecek olması olumlu bir düzenlemedir.
 
Bunun dışında KVKK md. 6/3’te “Hassas Veriler”in ilgilinin açık rızasının aranmadan işlenmesini düzenleyen hüküm de kanunun tartışılan yanlarından biridir. Bu konuda hassas verilerin istisnai durumlarda dahi işlenemeyeceğini ve bunun Avrupa Birliği düzenlemelerine göre de böyle olması gerektiğini dile getirenler varken, kanundaki düzenlemeyi yerinde bulanlar da vardır.

 
  1. Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi
 
Kanunun “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi” başlığını taşıyan 7. maddesinin yerinde bir düzenleme olduğu söylenebilir. Zira bu maddenin Avrupa Birliği’nin gayretleriyle gündeme gelen ve Yargıtay Hukuk Genel Kurulu’nun 17.06.2015 tarihli kararında belirtilen  “Unutulma Hakkı”yla paralellik gösterdiği söylenebilir (Unutulma Hakkı: Bu hak Avrupa Birliği (Özellikle Fransa) ve Arjantin tarafından gündeme getirilen ve sonrasında hayata geçirilen bir konsepttir. Bu konsept bir bireyin geçmişte yapmış olduğu belirli bir eylemin bir sonucu olarak sürekli ve periyodik olarak damgalanmış bir şekilde hayatının devamını geçirmek istememe özgürlüğünden çıkmıştır. Söz konusu hakkı, "dijital hafızada yer alan bireye ait fotoğraf, kimlik bilgisi, adres ve diğer kişisel içeriğin, yine bireyin kendi talebi üzerine bir daha geri getirilemeyecek biçimde ortadan kaldırılması biçiminde tanımlamak mümkündür.")[8].

 
  1. Kişisel Verilerin Üçüncü Kişilere Aktarılması
 
Kanunun “Kişisel Verilerin Aktarılması” başlığını taşıyan 8. maddesinin 1. fıkrasında, kişisel verilerin üçüncü kişilere aktarılmasında ilgili kişinin açık rızası aranmaktadır. Maddenin bu kısmı yerinde olmuştur; ancak 8. maddenin 2. fıkrasında şartların oluşması ve Kişisel Verileri Koruma Kurulu’nun önlem alması halinde ilgili kişinin açık rızası aranmadan kişisel verilerin üçüncü kişilere aktarılabileceği düzenlenmiştir. Şu halde, idarenin yurttaşların kişisel verilerini korumasından ziyade, bu verileri üçüncü kişilere ücret karşılığı devredebileceği ihtimalinin bulunması endişe yaratan bir durumdur.

 
  1. Kişisel Verilerin Yurt Dışına Aktarılması
 
Kanunun “Kişisel Verilerin Yurt Dışına Aktarılması” başlığını taşıyan 9. maddesinin olumlu bir düzenleme olduğu söylenebilirse de, bu maddenin kanunun tasarı metnine belirli kişi/kişileri koruma kalkanı olarak koyulduğunu dile getirenler de vardır. Maddenin 1. fıkrasına göre kişisel verilerin yurt dışına aktarılmasında ilgili kişinin açık rızası aranmaktadır. Maddenin 5. fıkrasında “Kişisel veriler, uluslararası sözleşme hükümleri saklı kalmak üzere, Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, ancak ilgili kamu kurum veya kuruluşunun görüşü alınarak Kurulun izniyle yurt dışına aktarılabilir.” denilmek suretiyle belirli durumlarda kişisel verilerin yurt dışına aktarılması Kişisel Verileri Koruma Kurulu’nun iznine tabi tutulmuştur.

 
  1. Kişisel Verileri İşlenen Kişinin (Veri Sahibinin) Hakları
 
Kanunun “İlgili Kişinin Hakları” başlığını taşıyan 11. maddesinin kişisel verilerin işlenmesi sürecinde idarenin şeffaflığını ve bireyin bilgi edinme hakkını düzenlemesinden dolayı maddenin yerinde bir hüküm olduğunu dile getirmek gerekir. Zira bu maddeye göre herkes; veri sorumlusuna başvurarak kendisiyle ilgili; kişisel veri işlenip işlenmediğini öğrenme, kişisel verileri işlenmişse buna ilişkin bilgi talep etme, kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme, şartları varsa kişisel verilerin silinmesini veya yok edilmesini isteme, bazı işlemlerin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, işlenen veriler kişinin aleyhine bir sonuç ortaya çıkarmışsa buna itiraz etme, kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme haklarına sahiptir.

 
  1. Veri Sorumlusunun Veri Güvenliğine İlişkin Yükümlülükleri
 
Kanunun “Veri Güvenliğine İlişkin Yükümlülükler” başlığını taşıyan 12. maddesinin 1. fıkrasına göre veri sorumlusu (md. 3/1-h’ye göre bu kişi; kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder); kişisel verilerin hukuka aykırı olarak işlenmesini ve bunlara erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.

 
  1. Veri Sorumlusuna Başvuru ve Kişisel Verileri Koruma Kurulu’na Şikayet
 
Kanunun “Veri Sorumlusuna Başvuru” başlığını taşıyan 13. ve “Kurula Şikayet” başlığını taşıyan 14. maddeleri birlikte değerlendirildiğinde; kişisel verilerin işlenmesiyle ve kanunun uygulamasıyla ilgili yapılacak idari başvurularda iki aşamalı idari başvuru yolunun düzenlendiği görülmektedir. Yani ilgili kişi ilk önce veri sorumlusuna başvuruda bulunacak, buradan istediği sonucu alamadığı takdirde kurula şikayette bulunacaktır. Veri sorumlusuna başvuru yolu tüketilmeden şikayet yoluna başvurulması kanunun 14. maddesinin 2.  fıkrasına aykırılık oluşturacaktır. Ayrıca kanunun 14. maddesinin 3. fıkrasında, kişisel hakları ihlal edilenlerin, genel hükümlere göre tazminat yoluna başvurabilecekleri de düzenlenmiştir.

 
  1. Veri Sorumluları Sicili ve Sicilin Aleniyeti
 
KVKK’nın 16. maddesinin 1. fıkrasında “Veri Sorumluları Sicili” düzenlenmiştir. Fıkraya göre Veri Sorumluları Sicili; Kurulun gözetiminde, Başkanlık tarafından kamuya açık olarak tutulur. Aynı maddenin 2. fıkrasında ise “Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır.” denilmiştir. İlk fıkranın Sicilin kamuya açık olarak tutulacağını düzenlemesi ve ikinci fıkranın gerçek ve tüzel kişilerin, veri işlenmesinden önce Sicile kaydolma zorunluluklarının getirilmesi; aleniyeti sağladığı için olumlu düzenlemelerdir.
 
I.         Kişisel Verileri Koruma Kurumu
           (Kişisel Verileri Koruma Kurulu ve Başkanlık)
 
6698 sayılı Kişisel Verilerin Korunması Kanunu ile Kişisel Verileri Koruma Kurumu ihdas edilmiştir. Kanunun 19. maddesinin 1. fıkrasına göre Kurum, idari ve mali özerkliğe sahip, kamu tüzel kişisidir. 2. fıkraya göre ise Kurum, Kurul ve Başkanlıktan oluşur. Kanuna ilişkin üzerinde en yoğun tartışmaların bulunduğu alan da, Kişisel Verileri Koruma Kurumu’nun Başkanlıktan ve Kişisel Verileri Koruma Kurulu’ndan oluşan söz konusu ikili yapısındaki üyelerin ve başkanın seçimini yapan organların yasama ve yürütme olmasıdır.
 
Kişisel Verileri Koruma Kurulu, kanunun “Kişisel Verileri Koruma Kurulu” başlığını taşıyan 21. maddesinde düzenlenmiştir. Söz konusu maddenin 1. fıkrasına göre Kurul, görev ve yetkilerini bağımsız olarak yerine getirmeli; görev alanına giren konularla ilgili hiçbir organ, makam, merci veya kişiden emir ve talimat almamalı, kimse kurula tavsiye veya telkinde bulunmamalıdır. Maddenin 2. fıkrasına göre de dokuz üyeden oluşan kurulun beş üyesi Türkiye Büyük Millet Meclisi, iki üyesi Cumhurbaşkanı, iki üyesi Bakanlar Kurulu tarafından seçilir. Her iki fıkra birlikte değerlendirildiğinde, bağımsız idari otorite niteliğinde olan Kurulun üyelerinin seçiminde rol oynayan TBMM ve Cumhurbaşkanı’nın, üyeleri 21. maddenin 3. fıkrasındaki şartları taşıyan kişilerden seçecekleri görülür. Seçilen üyelerin de görevlerini yerine getirirken ve yetkilerini kullanırken bağımsız davranmaları gerekir. Nitekim, tartışmaların sürdüğü bu noktada Kurulun seçildikleri organlara karşı bağımsız olamayacaklarını dile getirenler olduğu gibi, bunun Kurulun işleyişini etkilemeyeceğini savunanlar da vardır. Benzer şeyleri Başkanlığın oluşumu ve Başkanın seçimi için de dile getirmek mümkündür.
 
            Kanaatimizce üzerinde durulması gereken bir başka nokta da, Kurula seçilecek üye kontenjanlarında belirli sayıda hukukçunun seçilmesi zorunluluğunun bulunmamasıdır. Kanunun 1. maddesinde belirtildiği gibi, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerinin korunması ile ilgili kanunun yüklediği görevleri yerine getiren Kurul’un belli sayıda kontenjanı hukuk fakültesinde yükseköğrenim görmüş kişilere ayrılmalıydı.

 
  1. Kanun Hükümlerinin Uygulanmadığı İstisnalar
 
KVKK’nın “İstisnalar” başlıklı 28. maddesi; Kanunun uygulanmadığı halleri düzenleyen, genel istisnai bir hüküm niteliğinde olan ve üzerinde eleştirilerin bulunduğu bir maddedir. Örneğin Kanunun 28/1-ç bendinde “Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi.” durumunda KVKK’nın uygulanmayacağı hüküm altına alınmıştır. Şu halde, kişisel verilerin idare tarafından işlenmesinin; bireyin açık rızasına dayanmayacağı veya kişisel verilerin işlenmesinde herhangi bir denetimin olmayacağı bir şekilde meşru sayılması ve bu konuda idareye geniş bir takdir yetkisi verilmesi söz konusudur. Bu durum da eğer suistimal edilirse bireyi, idare karşısında savunmasız bir hale getirecektir.
 
SONUÇ
 
            Çalışmamızda; Türkiye’de kişisel verilerin korunması hukukunda çerçeve bir kanuna olan ihtiyacı ve Kişisel Verilerin Korunması Kanunu’nun ortaya çıkışını irdelemeye; ardından 07.04.2016 tarihinde Resmi Gazete’de yayımlanarak kısmen yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun önemli, tartışmalı, eleştirilere konu olan hükümlerini değerlendirmeye, bunlarla ilgili görüşlerimizi belirtmeye çalıştık.
 
            Kişisel verilerin korunması hukukunda iç hukukumuzdaki çeşitli kanunlardaki hükümlere ek olarak, çerçeve bir kanun olan Kişisel Verilerin Korunması Kanunu’nun uygulanması insan hakları esasına dayanmalıdır. Dolayısıyla hukuk devleti ilkesi de ancak bu şekilde teminat altına alınmış olacaktır.
 
            Kanunun sözüyle ve özüyle temel hak ve özgürlükleri temel alacak bir şekilde uygulanması temennisiyle…


-----------------------------------
 
[1] İzmir Barosu Üyesi, Dokuz Eylül Üniversitesi S.B.E. Kamu Hukuku A.B.D. Tezli Yüksek Lisans Öğrencisi; avukat@kadircanozel.com
[2] ŞİMŞEK, Oğuz; Anayasa Hukukunda Kişisel Verilerin Korunması, Beta Yayınları, İstanbul 2008, s. 4.
[3] KESER, Leyla/ KAYA, Mehmet Bedii/ KINIKOĞLU, Batu; Türkiye’de Kişisel Verilerin Korunmasının Hukuki ve Ekonomik Analizi, İstanbul Bilgi Üniversitesi Yayınları, İstanbul 2014, s. 2.
[4] KÜZECİ, Elif; Kişisel Verilerin Korunması, Turhan Kitabevi Yayınları, Ankara 2010, s. 259.
[5] AKILLIOĞLU, Tekin; İdari Usul ve Kişisel Verilerin Korunması, Erişim: http://www.idare.gen.tr/akillioglu-idariusul.htm, Erişim Tarihi: 23.04.2016.
[6] KOCA, Raşit Can; Kişisel Verilerin Korunması Kanunu Tasarısı Üzerine Prof. Dr. Savaş Bozbel ile Röportaj, Erişim: http://blog.statjus.com/2015/01/kisisel-verilerin-korunmasi-kanunu-tasarisi-uzerine-prof-dr-savas-bozbel-ile-roportaj/, Erişim Tarihi: 23.04.2016.
[7] YÜKSEL CİVELEK, Dilek; Kişisel Verilerin Korunması ve Bir Kurumsal Yapılanma Önerisi (Uzmanlık Tezi), T.C. Başbakanlık Devlet Planlama Teşkilatı Müsteşarlığı Bilgi Toplumu Dairesi Başkanlığı Yayınları, Ankara 2011, s. 128.
[8] GÜLENER, Serdar; Dijital Hafızadan Silinmeyi İstemek: Temel Bir İnsan Hakkı Olarak “Unutulma Hakkı”, Türkiye Barolar Birliği Dergisi, S. 102, Ankara 2012, s. 226.