Kişisel verilerin korunması alanına dair esas düzenleme olan 6698 sayılı Kişisel Verilerin Korunması Kanunu, 7 Nisan 2016 tarihinde yürürlüğe girdi. Bu konuda daha önce de yasalaştırma çalışmaları yapılmış ancak uzun yıllar özellikle politik ve idari nedenlerle bu çalışmalar olumlu bir sonuca ulaşamamıştı. Nihayet AB’ye uyum çerçevesinde 95/46/EC sayılı Direktifin de büyük ölçüde esas alınmasıyla Kanun çıkarılmış ancak çeşitli yönlerden eleştiriye uğramıştır. Kanun’un çıkarıldığı sırada Avrupa Parlamentosu’nun Direktifi değiştirerek tüzük için onay vermiş olması ve Kanun’un hem eski Direktife göre hazırlanması hem de bu Direktife tam uyum sağlayamaması temel eleştiri noktalarıdır. Bununla birlikte kişisel verilerin korunmasına ilişkin temel bir düzenlemenin yapılmamış olması büyük bir eksiklikti. Bu nedenle, her ne kadar ben de Kanun’u çeşitli yönlerden eleştirsem de; Kanun’un kişisel verilerle ilgili en açık ve en somut adım olması ve kişisel verilerin korunması hukukunun oluşmasında ilk ve temel basamak olmasından dolayı, yayınlanmasını olumlu bir gelişme olarak değerlendiriyorum. Nitekim devam eden süreçte, Kanun’da detaylı bir biçimde açıklanmayan konular hakkında çeşitli yönetmelikler çıkarılmış ve konunun daha iyi anlaşılması sağlanmaya çalışılmıştır.
Bu çalışmamda TBMM’nin bazı üyeleri tarafından 6698 sayılı Kanun’un çeşitli hükümlerinin hukuka aykırı olduğu iddiası ve bu hükümlerin iptali istemiyle Anayasa Mahkemesi’ne yapılan iptal başvurusunu ve başvuru üzerine Anayasa Mahkemesi’nin vermiş olduğu 28.9.2017 tarihli, 2016/125 E., 2017/143 K. sayılı kararını ele alacağım. İptali istenen hükümleri başlıklar halinde açıklayıp, bu hükümlerin iptal isteminin gerekçesini, Anayasa Mahkemesi’nin hükümlere ilişkin verdiği karar ile karar gerekçesini ve son olarak da kendi görüşümü belirteceğim[1].
İptal Davasına Konu Olan Hükümler
- Kanun’un 4. maddesinin 2. fıkrasının (d) bendinde yer alan “…veya işlendikleri amaç için gerekli olan…” ibaresi
Kişisel verilerin işlenmesinde uyulması gereken temel ilkelerin belirtildiği maddede bulunan söz konusu ibarenin, kişisel verilerin temel güvencesi olan verilerin muhafaza süresinde belirsizliğe neden olduğu ve sübjektif, geniş ve yorumlayana göre değişebilecek nitelik taşıdığı gerekçesiyle iptali istenmiştir.
Anayasa Mahkemesi, Anayasa’nın 2. maddesine atıf yaparak hukuk devleti ilkesinde belirlilik ilkesinin egemen olduğu noktasında fikir birliği içerisinde olmuş ve bu ilkenin bireye hukuksal güvenlik sağladığını ve bu ilke gereği bireyin hangi somut eylem ve olguya, hangi hukuksal yaptırımın veya sonucun uygulanacağını bilmeyi sağladığını açıklamıştır. Bununla birlikte iptali istenen hükmün belirlilik ilkesine aykırı olmadığı, çünkü buna göre veri sorumlularının ilgili mevzuatta verilerin saklanması için öngörülen bir süre varsa, bu süreye uyacağı yoksa verileri ancak işlendikleri amaç için gerekli olan süre kadar muhafaza edebileceği ve en son verinin saklanmasında bir sebep kalmamış olması halinde de bu verilerin artık saklanamayacağı öngörülmüştür.
İptali istenen ilkenin kişisel veriler için esasen önemli bir ilke olduğu, verilerin belirlenen amaç dahilinde kullanılabileceği ve bu amacın ortadan kalkması halinde o verinin kullanılmasını yasakladığı ve dolayısıyla kişilere verilerin süresiz olarak muhafaza edilemeyeceği güvencesini vermeyi amaçladığı açıklanmıştır. Diğer taraftan kişilerin öngörülen şartlar çerçevesinde kişisel verilerinin silinmesini, yok edilmesini veya anonim hale getirilmesini isteyebileceği hususundan bahsedilmiştir. Bu nedenlerle Mahkeme, iptali istenen maddenin Anayasaya aykırı olmadığına kanaat getirmiş ve iptal talebini reddetmiştir.
Öncelikle Anayasa Mahkemesi’nin kararına katıldığımı söylemeliyim. Bu noktada ilk olarak kişisel verilerin işlenmesinin belirli bir amaca yönelik olması ve belirlenen amaca göre işlenmesi gerektiği bilinmektedir. Bu amaç için mevzuatta öngörülmüş olan süre varsa veri sorumlusu söz konusu veriyi o süre kadar işleyebilecek ve muhafaza edebilecektir. Ancak ilgili kanunlarda herhangi bir süre öngörülmemiş olması da mümkündür. Zira kişisel veriler çok geniş kapsamlı bir konu olup; her somut olaya göre önceden belli bir sürenin belirtilmiş olması mümkün değildir. Böyle durumlar için de verilerin işlendikleri amaç için gerekli olan süre kadar muhafaza edilip; ardından silinmesi, yok edilmesi veya anonimleştirilmesi çözümü yerinde ve mecburidir. Kaldı ki, veri sorumluları Kanun’un 16. maddesi gereğince, işledikleri verilerinin işledikleri amaç için gerekli olan süreyi Veri Sorumluları Sicil kayıt başvurusunda belirtmelidir. Dolayısıyla sürenin belirsiz olduğu düşünülse de aslında bu süre her somut duruma göre belirlenecektir. Ayrıca kişilerin Kanun’un 11. maddesi kapsamında veri sorumlusuna verilerinin hangi amaçlarla işlendiğine dair başvuru hakkı da düzenlenmiştir. Bunların yanı sıra hem ilgili yönetmeliklerde belirtildiği hem de uygulamada yapıla geldiği üzere veri sorumluları tarafından oluşturulan Kişisel Veri Envanterinde hangi veri kümesinin hangi nedenle ne kadar süre tutulacağı ve işleneceği belirlenmektedir. Bu da verileri kaydedilen ve işlenen kişiler açışından ayrı bir güvence oluşturmaktadır. Kişisel verilerin kaydedileceği ve işleneceği sürelerin ne kadar olacağının bu Kanun ile tek tek belirlenmesi mümkün olmayıp, bu konunun doğasına aykırıdır. Dolayısıyla iptali istenin ibarenin, başvuru gerekçelerinin aksine verilerin süresiz bir biçimde işlenemeyeceğine dair güvence verdiğini düşünüyorum. Açıkladığım nedenlerle hükmün belirlilik ilkesine aykırı ve sübjektif niteliğine sahip olmadığı kanaatinde olup, Anayasa Mahkemesi’nin vermiş olduğu red kararına katılmaktayım.
- Kanun’un 5. maddesinin 2. fıkrasının (c), (ç), (e) ve (f) bentleri
İptali istenen bentlerin yer aldığı Kanun’un 5. maddesinin 2. fıkrası kişisel verilerin işlenme şartlarının istisnalarına ilişkindir. İptal talebi ise; istisnaların sınırları belirlenmiş bir şekilde sayılması gerektiği ancak bu kurallarla istisnaların esas düzenleme haline getirildiği ve açık rıza istenmesine neredeyse gerek kalmadığı, bu hükümlerin açık ve anlaşılabilir olmadığı ve özellikle hükümler içerisinde yer alan “meşru menfaat” kavramından ne anlaşılması gerektiğinin belli olmadığı dolayısıyla da bu bentlerin hakkın özüne zarar verip; kamu yararı ve hakkaniyet ilkelerine aykırılık oluşturduğu gerekçelerine dayanmaktadır.
Anayasa Mahkemesi ilk olarak kamu yararı kavramını açıklamıştır. Buna göre, kamu yararı özel çıkarlardan ayrı ve bunlara üstün olan toplumsal yararı ifade eder. Devlet kamu yararını gözeterek çeşitli kurallar koyabilmekle birlikte kamu yararı düşüncesi olmaksızın özel çıkarlar gözetilerek konulan kurallar bu ilkeye aykırılık oluşturur. Ayrıca temel hak ve özgürlüklerin yalnızca Anayasada öngörülen şartlar çerçevesinde sınırlandırılabileceği, hakkın özüne zarar verecek ve kullanılmasını güçleştirecek sınırlamaların mümkün olmadığı belirtilmiştir. Mahkeme, dava konusu kuralların kişisel verilerin korunmasına yönelik sınırlama getirdiğinin açık olduğunu ancak bu sınırlamanın kişinin her türlü verisine ilişkin olmayıp; yalnızca dava konusu kurallarda belirtilen şartların varlığı halinde söz konusu olabileceği ve dolayısıyla istisnaların esas düzenleme haline getirildiği gibi bir durumun olmadığını düşünmektedir. Bu kuralların hak ve menfaat kayıplarını önlemek amacıyla getirildiği belirtilmiş; bunun ihlali ve kötü kullanımı halinde şikâyet ve başvuru yollarının açık olduğunun altı çizmiştir. Mahkeme ayrıca dava dilekçesinde özellikle belirtilen meşru menfaat kavramını açıklamış ve bu kavramdan veri sorumlusu ile ilgili kişinin menfaat dengesinin gözetilmesi çerçevesinde değerlendirilmesi gerekli olan bir dengenin anlaşılması gerektiğini açıklığa kavuşturmuştur. Bütün bu nedenlerle Anayasaya aykırı olduğu iddia edilen bentlerin herhangi bir aykırılık oluşturmadığı ve bu nedenle de bu talebin reddi kanaati ve sonucuna ulaşmıştır.
Öncelikle iptali istenen istisnaya ilişkin hükümler sırasıyla aşağıdaki gibidir:
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
- Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
- Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
- İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
Kişisel verilerin işlenmesinde esas olan ilgili kişinin yani veri sahibinin açık rızasının alınmasıdır. Açık rıza kavramı Kanun, içtihat ve 95/46/EC sayılı Direktif birlikte dikkate alındığında, veri sahibinin açık beyan veya açıkça onay anlamına gelecek bir eylemle verinin işlenebileceğine ilişkin o veriye özgü ve bilinçli bir onay verme işlemidir. Ancak bazı hallerde bu rıza alınmadan verilerin işlenebileceği kişisel verilerin korunmasına ilişkin ulusal ve uluslararası tüm mevzuatlarda öngörülmüştür.
Anayasaya aykırı olduğu iddia edilen ilk istisna, kişisel verinin sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması haline ilişkindir. Buna örnek olarak hizmet sözleşmesiyle iş görenin para alacaklısı konumuna gelmesi halinde, bu kişinin hesap numarasının hizmet veren tarafından hizmet bedelinin ödenmesi amacıyla alınabilmesi gösterilebilir. Burada yalnızca veriyi kullananın değil, o verinin sahibinin de menfaatine olan bir istisna halinin mevcut olduğunu görüyoruz.
İkinci olarak veri sorumlusunun hukuki yükümlülüklerini yerine getirebilmesi için zorunlu olması hali, veri sahibinin açık rızası olmaksızın, verinin işlenme istisnaları arasında sayılmıştır. Burada ise veri sorumlusunun yükümlülüklerini yerine getirmesini zorlaştırmama amacı güdülmüştür. Günümüzde veri sorumlularının faaliyetlerini etkin bir şekilde yürütebilmesi için sürekli olarak açık rıza almak durumunda kalmaları uygulamada problem yaratacaktır. Bu nedenle bu halde de açık rızaya ihtiyaç olmadığına dair hüküm getirilmiştir.
Diğer iptali istenen istisna hali bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olmasıdır. Buna en güzel ve uygulamada en çok karşımıza çıkan örnek işverenlerin işçilerine ait verileri, işçi çıktıktan sonra dahi bir süre tutabileceğidir. Bunun nedeni ise işçinin işverene karşı dava açması halinde bu verilerin ispat aracı olarak kullanılmasıdır. Bu istisna halinin veri işlenmeden hakkın tesisi, kullanılması veya korunmasının hiçbir şekilde sağlanamayacağı zorunlu durumlarda kullanılması halinde, her iki tarafın da menfaatleri gözetildiğinden hakkaniyete uygun bir düzenleme olduğu söylenebilir. Ancak bent amacından daha geniş yorumlanmamalıdır. Aksi takdirde veri sahibi açısından ihlaller oluşacaktır.
Veri sorumlusunun meşru bir menfaati bulunduğu takdirde de veri sahibinin temel hak ve özgürlüklerine zarar vermemek şartıyla kişinin verileri açık rızası olmadan işlenebilecektir. Burada veri sahibinin özgürlüklerine zarar vermeden veri sorumlusunun da menfaati gözetilmek istenmiştir. Meşru menfaat kavramının geniş bir şekilde yorumlanma tehlikesi söz konusu olmakla beraber, ilgili Kanun ve diğer düzenlemeler birlikte değerlendirildiğinde bu ibarenin geniş bir biçimde yorumlanmaması gerektiği açıktır. Kaldı ki ilgili kişinin haklarına zarar geldiği takdirde meşru menfaatin bir önemi olmaz. Bunun ihlali halinde başvuru ve şikâyet yolları da açıktır. Nitekim Anayasa Mahkemesi, kararında meşru menfaat kavramından ne anlaşılması gerektiğini açıklamış, veri sorumlusu ile ilgili kişinin menfaat dengesine ilişkin olduğunu belirtmiştir. Kavramların belirsiz olması halinde bunun içtihatlarla açıklanması mümkündür. Zira Kanunda metinde geçen bütün ibarelerin tek tek açıklanması mümkün değildir. Böylece meşru menfaate ilişkin anlam karmaşası önlenmiştir.
Anılan istisnaların, istisna olmaktan çıkarılarak esas düzenleme haline getirildiği gerekçesiyle iptali istenen bentlerin Anayasaya aykırılık teşkil ettiğini düşünmüyorum. Yukarıda tek tek açıkladığım üzere bu istisna halleri gereklilik ve zorunluluk halleri için geçerli olup, ihtiyaçları karşılamak üzere öngörülmüştür. Aksi takdirde gündelik yaşamın devam etmesi ve ekonomik faaliyetlerin yürütülmesi imkânsız hale gelir. Bu yüzden kişisel veri sahibinin haklarını ihlal etmeden ve hakkını kullanmasını zorlaştırmadan mecburi hallerde açık rıza şartının esnetilmesi gerekli ve yerindedir. Kaldı ki bu istisnalar yalnızca veri işleyeni değil, somut duruma göre veri sahibini de korumaya yöneliktir. Dolayısıyla Anayasa Mahkemesinin istisnalara ilişkin bentlerin iptali istemini reddetmiş olmasını haklı buluyorum.
- Kanun’un 6. maddesinin 1. fıkrasında yer alan “mezhebi” ve “kılık kıyafeti” ibareleri ile aynı maddenin fıkrası
Anayasaya aykırı olduğu iddia edilen ibarelerin yer aldığı 6. madde özel nitelikli verilere ilişkin olup, bu verilerin işlenme şartlarını belirtmektedir. Bu kavramların OECD Rehber İlkeleri, Direktif ve ilgili uluslararası sözleşmelerle bağdaşmadığı, eşitlik ilkesine aykırılık teşkil ettiği ve din ve vicdan özgürlüğü ile düşünce özgürlüğü haklarına zarar verecek nitelikte olduğu ileri sürülerek iptali istenmiştir.
Anayasa Mahkemesi bu iptal istemini, ibarelerin özel nitelikli kişisel veriler arasında sayıldığını ve iddia edilenin aksine kişilerin bu hakları üzerinde daha sıkı bir koruma sağladığı gerekçeleriyle reddetmiştir. Bununla beraber kişilerin mezhep ve kılık kıyafetine ilişkin verilerin işlenebileceğine dair düzenlemelerin Anayasada öngörülen hakların özüne dokunmaması gerektiğinin altını çizmiştir. Ancak kanun koyucunun salt kişilerin mezhebi ve kılık kıyafeti ile ilgili verileri özel nitelikli kişisel veri olarak kabul etmesinde Anayasaya aykırılığın söz konusu olamayacağını belirtmiştir.
Dava konusu hükümle kişinin mezhebi ve kılık kıyafeti özel nitelikli veriler arasında sayılmıştır. Bu nitelikte verilerin koruma alanı daha geniş olup; işlenmesi de daha özel şartlara bağlanmıştır. Öyleyse iptali istenen ibareler esasen bu verilerin işlenmesini kolaylaştırma amacında değildir; tam aksine bu verileri, hassas niteliklerinden dolayı özel olarak koruma altına almaktadır. Dolayısıyla bu noktada Anayasaya aykırı bir düzenlemenin olduğu söylenemez.
Aynı maddenin açık rıza olmaksızın özel nitelikli kişisel verilerin işlenme şartlarını düzenleyen 3. fıkrası da iptal davasına konu olmuştur. Buna göre sağlık ve cinsel hayata ilişkin kişisel veriler, ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilecektir. Bu fıkranın, kişilerin sağlık hakkına erişmelerine engel olacağı, insan haklarına saygılı devlet olma ilkesiyle bağdaşmadığı ve etkin bir koruma sağlamaktan uzak olduğu iptal isteminin gerekçesi olarak gösterilmiştir.
Anayasa Mahkemesi, sağlık ve cinsel hayata ilişkin verilerin söz konusu durumlarda ilgilinin açık rızası aranmaksızın işlenebileceğini düzenleyen kuralla özel hayatın gizliliği ve kişisel verilerin korunması haklarına bir müdahale olduğunu kabul etmiştir. Ancak kuralla kişisel verilerin işlenmesinin amaç bakımından sınırlandığı dikkate alındığında, getirilen sınırlamanın hakkın kullanımını son derece zorlaştıran veya onu kullanılamaz duruma düşüren kayıtlara bağlandığını söylenemeyeceğini belirtmiş ve hakkın özüne dokunulmadığından iptali istenen fıkraların Anayasaya aykırı olmadığına kanaat getirmiştir.
Kişisel verilerin işlenmesinde açık rıza esas ise de; açık rıza olmaksızın bu verilerin işlenebileceği istisnalar da kabul edilmiştir. Bununla birlikte özel nitelikli veriler açısından durum biraz daha farklıdır. Bu veriler, ihlal edilmesi halinde sahibi açısından daha büyük mağduriyetlere yol açabilecek ve ayrımcılığa neden olabilecek nitelikte olduğundan açık rıza olmaksızın işlenebileceği istisna halleri konusunda oldukça dikkatli olunması gerekir. Aksi takdirde kişisel verilerin korunması hakkının kişilere verileri üzerinde güvence sağlama amacının sağlanabilmesi mümkün değildir.
Kişisel Verilerin Korunması Kanunu hazırlanırken büyük ölçüde dikkate alınan Direktif ve diğer uluslararası mevzuatta da istisnai hallerde özel nitelikli kişisel verilerin, veri sahibinin açık rızası olmadan işlenebileceği kabul edilmiştir. Çünkü salt açık rızanın aranması ve hiçbir istisnaya yer verilmemesi kişileri korumayı sağlamayacağı gibi bu kişilerin menfaatlerinin zarar görmesine neden olur. Dolayısıyla istisna hallerinin öngörülmesi bir gerekliliktir. Ancak bu istisnalar, kişilerin özellikle sağlık bilgileri ve cinsel hayatına ilişkin olduğundan temel hak ve özgürlüklerin sınırlandırılması niteliğinde olup; bu özgürlükleri zedeleme ihtimalini barındırır. Bu nedenle sınırlandırma yapılırken Anayasanın temel hak ve özgürlüklerin sınırlandırılması başlıklı 13. maddesinde öngörülen demokratik toplum düzeninin gerekleri ve ölçülülük ilkesi ihlal edilmemelidir. Aksi bir düzenleme Anayasaya aykırı bir sınırlandırma olur.
Kanun’un 6. maddesinin 3. fıkrasında öngörülmüş olan istisnalara baktığımızda bu istisnaların büyük ölçüde kamu sağlığının korunması amacına yönelik olduğunu görüyoruz. Maddede sayılan verilerin açık rıza olmadan işlenebilmesi için fıkrada sayılan faaliyetlerin gerçekleştirilmesi için bu verilerin işlenmesinin zorunlu olması ve bu veriler olmaksızın kamu sağlığının korunmasının mümkün olmaması gerekir. Bu amaç açık rıza olmadan işlenebilmesi için haklı bir amaç gibi görünse de bu konuda oldukça dikkatli olunmalıdır. Kanun’un ruhundan ve özünden anlaşılan, amacın dışında ve bu amacı aşacak biçimde kullanılmamasının gerektiğidir. İptali talep edilen fıkra, Anayasaya aykırılık taşımasa da; bu hükmün belirttiğim şekilde yorumlanması ve amacını aşmaması gerekliliği Kurul tarafından veya diğer mahkemeler tarafından verilecek kararlarla net bir şekilde ortaya konulmalıdır.
- Kanun’un 7. maddesinin 2. fıkrası, 8. maddesinin 3. fıkrası ve 9. maddenin 6. fıkrası
Anayasaya aykırı olduğu iddiasıyla iptali istenen bu üç fıkrayı düzenleme konusu aynı olduğundan tek başlık altında ele alacağım. Söz konusu fıkralar şunlardır:
- m.7/2: “Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin diğer kanunlarda yer alan hükümler saklıdır.”
- m.8/3: “Kişisel verilerin aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.”
- m.9/6: “Kişisel verilerin yurt dışına aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.”
Bu fıkralar kişisel verilerin silinmesi yok edilmesi, anonim hale getirilmesi ve yurtiçi ve yurtdışına aktarılmasına ilişkin diğer kanunlarda yer alan hükümleri saklı tutmuştur.
Kişisel Verilerin Korunması Kanunu’nun ilgi alanına giren konularda bu Kanun’un esas alınması gerekirken; diğer kanunlarda yer alan hükümlerin saklı tutulması gibi bir kuralın çok geniş kapsamlı olduğu, bireylerin bu hususlara ilişkin hangi kanun ve düzenlemelere göre hareket edeceklerinin belirsizleşmesi ve dolayısıyla kamu yararı ve ölçülülük ilkelerinin gözetilmediği nedeniyle söz konusu hükümlerin Anayasaya aykırı olduğu iddia edilmiştir.
Buna karşılık Anayasa Mahkemesi her özel durumun Kanun’da belirtilmesinin mümkün olmadığını ve her özel durum karşısında ona ilişkin Kanun’a bakılmasında herhangi bir belirsizlik olmadığını belirtmiştir. Ayrıca takdir yetkisi içerisinde düzenlenen bu kuralların elverişlilik, gereklilik ve oranlılık ilkelerine uygun olduğu kanaatine varıldığından bu hükümlere ilişkin iptal talebini reddetmiştir.
Kişisel Verilerin Korunması Kanunu kişisel verilerin korunması hakkına ilişkin esas düzenleme olmakla birlikte her hukuk dalına özgü konulara ayrı ayrı yer vermesi mümkün değildir, aksi halde yasa yapma tekniği açısından hatalı olan kazuistik bir yöntem izlenmiş olur. Kanundan beklenmesi gereken kişisel verilerin korunması hakkını genel hatlarıyla düzenlemesi, konunun çerçevesini belirlemesidir. Özel bir hukuk dalıyla ilişkilendirilen somut olaylarda o konuya ilişkin mevzuata bakılacak ancak 6698 sayılı Kanun’un belirlediği usul ve esaslara uygun hareket edilecektir. İşçi işveren ilişkisi içerisinde işçinin kişisel verilerinin silinmesi için İş Hukuku ve Borçlar Hukuku; ticari ilişkilerden dolayı kişisel verilerin yurtiçi veya yurtdışına aktarılması için Ticaret Hukuku; genel sözleşmelerden dolayı kişisel verilerin işlenmesi için Borçlar Hukuku ve dolayısıyla bu hukuk disiplinlerine ilişkin yasa ve diğer hukuk kaynakları esas alınacaktır. Bunun gibi örnekler çoğaltılabilir. Kişisel Verilerin Korunması Kanunu’nun bütün bu hukuk disiplinlerine tek tek yer vermesi mümkün olmayıp; yapılması gereken bu Kanun hükümlerine atıf yapmaktır. Dolayısıyla Anayasa Mahkemesi’nin bu hükümlere ilişkin red kararına katılmaktayım.
- Kanun’un 13. maddesinin 2. fıkrasının ikinci cümlesi
Kanun’un veri sorumlusuna başvuru usul ve esaslarını düzenleyen 13. maddesinin iptali istenen cümlesi, başvurunun ayrıca bir işlemi gerektirmesi halinde ilgili kişiden Kurulca belirlenen tarifedeki ücretin alınabileceğini öngörmektedir. Başvurucular tarafından bu ücret alımının kişinin temel haklarından olan özel hayatın gizliliği hakkından etkin bir biçimde yararlanmasını engelleyeceği ve bu hakkı sosyal hukuk devleti ve adalet ilkeleriyle bağdaşmayacak şekilde sınırlayacağı iddia edilmiştir.
Anayasa Mahkemesi dava konusu kuralla kişisel verilerin korunması hakkına sınırlandırma getirildiğini kabul etmekle beraber bu sınırlandırmanın sadece işlemin ayrıca bir maliyet gerektirmesi halinde söz konusu olmasından dolayı hakkın özüne zarar vermediğini dolayısıyla Anayasa’nın 13. maddesine aykırılık olmadığını düşünmektedir. Veri sorumlusunun bu maliyetten sorumlu tutulmasının hakkaniyete uygun düşmeyeceği ayrıca bu ücretin belirsiz değil; Kurulca belirlenecek olması nedeniyle Anayasada belirlenen temel insan haklarına aykırılık oluşmadığından kanaatle ilgili cümlenin iptal talebi Mahkemece reddedilmiştir.
İlgili kişinin veri sorumlusuna başvuru noktasında ücret alınıp alınmayacağı veya bu ücretin gerekli olup olmadığı, hangi durumlarda gerekli olacağı büyük bir soru işaretidir. Kanun ve Anayasa Mahkemesi kararı gerekçesinden anlaşılan, işlemin yalnızca ayrıca bir maliyet gerektirmesi halinde bu maliyetin veri sorumlusuna yükletilmesi haksız olacağından ilgili kişinin bu ücrete katlanmasıdır. Bunun tek istisnası, veri sorumlusunun hatasından kaynaklanan bir başvuru olması halinde bu ücretin ilgili kişiye iade edilmesidir.
İlgili kişinin veri sorumlusuna başvurmak için belli bir bedel ödemesini şu noktada haklı ve gerekli bulmaktayım: Kişisel Verilerin Korunması Kanunu’nun temel amacı her ne kadar bireyi kişisel verileri üzerinde olası hukuka aykırı ihlalleri karşı korumak ise de veri sorumlusunun da menfaatini tamamen hiçe saymak gibi bir amaç gözetilmemiştir. Bu nedenle veri sorumlusu açısından hakkaniyet ilkesiyle bağdaşmayacak fiillerin ilgili kişinin menfaatlerinin korumak adına hukuka uygun olarak değerlendirilmesi kabul edilmemelidir. Buradan hareketle veri sorumlusuna başvuru hakkının da çeşitli noktalarda sınırlandırılması gerektiği sonucuna varıyoruz. Aksi takdirde bu başvuru hakkının ilgili kişi tarafından, kişisel verisiyle ilgili gerçekten bilgi almak istemediği halde veya bu bilgiyi almasında herhangi bir menfaati olmadığı halde sırf hakkı olduğundan hareketle suiistimal edilmesi gibi bir tehlike doğmaktadır. Böyle bir tehlike esasen Kanun’un da amacına aykırıdır. Bu nedenle veri sorumlusuna başvuru karşılığında ayrıca bir işlem gerektirmese dahi asgari bir ücret alınması mümkündür. Bununla beraber veri sorumlusunun bu başvuruya cevap vermesinden sonra; ilgili kişinin bu başvuruyu yapması haklı bir gerekçeye dayandığı anlaşılıyorsa bu ücret iade edilebilir. Bu noktada veri sorumlusunun kusurunun olup olmaması da tartışılmalıdır.
- Kanun’un 15. maddesinin 3. fıkrasında yer alan “devlet sırrı niteliğindeki bilgi ve belgeler” hariç ibaresi
Anayasaya aykırı olduğu iddia edilen ibarenin yer aldığı 15. maddede Kişisel Verileri Koruma Kurulu tarafından yapılacak incelemenin usul ve esasları düzenlenmiştir. Buna göre veri sorumlusu devlet sırrı niteliğindeki bilgi ve belgeleri Kurul’a gönderemez ve bunlar üzerinde inceleme yaptıramaz. Bu düzenlemenin belirli ve ölçülü olmadığı ve idarenin keyfi uygulamalarına sebep verecek nitelikte olduğu gerekçeleriyle hukuka aykırı olduğu ileri sürülmüştür.
Anayasa Mahkemesi, temel hak ve özgürlüklerin mutlak anlamda sınırlı olmayıp; o özgürlüğün doğasından kaynaklanan bazı sınırları bulunduğunu kabul etmiştir. Devlet sırrı niteliğindeki bilgi ve belgelerden anlaşılması gereken devletin iç ve dış güvenliği ile milli savunmasını sağlamaya ve anayasal düzenini korumayı sağlayan bilgi ve belgelerdir. Bu nedenlerden ötürü yapılan sınırlandırmanın da Anayasanın 13. maddesine uygun bir sınırlandırma olduğunu kabul eden mahkeme, söz konusu ibarenin iptali talebini reddetmiştir.
Devlet sırrı kavramı CMK’nın 47. maddesinde; açıklanması, Devletin dış ilişkilerine, milli savunmasına ve milli güvenliğine zarar verebilecek; anayasal düzeni ve dış ilişkilerinde tehlike yaratabilecek nitelikteki bilgiler şeklinde tanımlanmıştır. Kişisel Verilerin Korunması Kanunu bu anlama gelecek bilgi ve belgelerin Kurul tarafından incelenemeyeceğini hüküm altına alınmıştır. Bu hükümle, Kurul’a şikâyet yoluyla başvuran ilgili kişinin kişisel verisinin ihlal edilip edilmediği hususunun, bu nitelikteki bilgi ve belgelerin incelenmesini gerekli kılması noktasında kişisel verilerin korunması hakkının sınırlandırıldığı açıktır. Ancak bu sınırlandırma devletin güvenliği ve kamu düzeninin sağlanması ile suç işlenmesinin önlenmesi gerekçelerine dayanmaktadır. Dolayısıyla Anayasa’nın 13. maddesinde belirtilen şartlara uygun bir sınırlandırmanın mevcut olduğunu söylemek mümkündür. Nitekim 108 sayılı sözleşmenin 9. maddesinde de devlet ve kamu güvenliği ve devletin menfaatlerinin korunması gibi nedenlerden olayı kişisel verilerin korunması hakkına sınırlama getirilebileceğini belirmiştir.
Devlet sırrı niteliğindeki belgeler CMK’nın 125. maddesi gereğince Mahkeme’ye karşı gizli tutulamasa da; bu madde hükmü hapis cezasının alt sınırı beş yıl veya daha fazla olan suçlarda uygulama alanı bulur. Buna karşın kişisel verilere ilişkin düzenlenmiş bulunan suçlar için öngörülen hapis cezası daha kısa sürelidir. Öyleyse kişisel verilerin ihlaline ilişkin bir suç oluşup oluşmadığının tespiti; devlet sırrı niteliğindeki bilgi ve belgelerin incelenmesini gerekli kılıyorsa, bu mümkün olamayacaktır. Bu da kişinin verilerinin korunması hakkının ölçüsüzce sınırlandırılması anlamına gelir. Zira bu halde kişinin hakkı kullanılamaz hale getirilmiş ve hakkın özüne zarar verilmiştir. Bu nedenle bu nitelikteki belgelerin Kurulca incelenememesi noktasında Anayasa Mahkemesi ile aynı fikirde olup, söz konusu iptal talebinin reddini yerinde bulsam da; Mahkemelerin kişisel verilerin ihlalinin bir suça konu olup olmadığının tespiti amacıyla bu bilgi ve belgeleri inceleyebilmesi gerekir. Ancak bu değişiklik 6698 sayılı KVKK’da değil, CMK’nın 125. maddesinde yapılmalıdır.
- Kanun’un 16. maddesinin 2. fıkrasının ikinci cümlesi;
Kanun’un veri sorumluları sicili başlıklı 16. maddesinde veri işleyen gerçek ve tüzel kişilerin veri işlemeye başlamadan önce veri sorumluları siciline kaydolmak zorunda olduğu öngörülmüştür. İptali istenen cümlede ise bu kayıt yükümlülüğüne Kurul tarafından çeşitli objektif kriterler esas alınarak istisna getirilebileceği belirtilmiştir. Ancak Kurula tanınan bu takdir yetkisi başvurucular tarafından veri sahibini korumasız hale getireceği ve hukuk devleti ilkesiyle bağdaşmadığı gerekçeleriyle iptal davasına konu edilmiştir.
Buna karşılık Mahkeme, Kurul’un işlenen verilerle ilgili farklılıkları dikkate alarak vereceği kararla, gerekli görmediği hallerde kayıt yükümlülüğüne istisna getirebileceği hususunu amaç ve araç arasında orantı bulunduğundan Anayasaya uygun bulmuştur. Ayrıca istisna kapsamında olan veri sorumlularının da Kanun ile belirlenen yükümlülükleri yerine getirmesi gerektiğini belirtmiştir.
Veri sorumluları siciline kaydolması gereken veri sorumlularına çeşitli hallerde istisna getirilmiş olup, bu istisnalar Kanun’un 28. maddesinde tek tek sayılmıştır. Ayrıca Kanun’un ardından yayınlanan Veri Sorumluları Sicil Yönetmeliği’nin 15. maddesinde de bu haller belirtilmiştir. Bu haller dışında Kurul’a tanınan bir de takdir yetkisi söz konusudur. Buna göre Kurul, veriye ilişkin esasları dikkate alarak veri sorumlularına kayıt yükümlülüğü konusunda istisna getirilebilecektir. Bu noktada altı çizilmesi gereken husus bu istisnanın sadece veri sorumluları siciline ilişkin olup, Kanun’un veri sorumlusunun yükümlülüklerini düzenleyen 12. maddesi ile ilgili olmamasıdır. Bunun anlamı, sicile kayıt zorunluluğu olmayan veri sorumlularının da Kanun’da kendisine verilen görevleri yerine getirmek zorunda olduğudur. 95/46/EC sayılı Direktif de belirlenen diğer yükümlülüklerin ortadan kalkmadığını belirterek, ulusal veri koruma otoritelerinin bildirim yükümlülüğünü kaldırıp basitleştirebileceğini öngörmüştür.
Kanun’da kayıt yükümlülüğüne istisna getirilecek haller ayrıca tek tek sayılsa da kayıt olmayı gerektirmeyen bütün hallerin Kanun tarafından önceden öngörülmesi mümkün değildir. Bu nedenle Kurula bu noktada takdir yetkisi tanınması yerindedir. Ancak bu takdir yetkisinin denetim ve gözetim altında olup; bu yetkiye karşı başvuru veya şikâyet gibi yargı yollarının açık olması gerekir. Aksi bir durum idarenin keyfi uygulamalarına yol açabilecek niteliktedir.
- Kanun’un 24. maddesinin 3. fıkrasının b bendinde yer alan “Kurulca gerekli olanların” ibaresi
Kişisel Verileri Koruma Kurulu Başkanı’nın görevlerini belirten 24. maddenin ilgili ibaresi, başvurucular tarafından Kurul’a başvuran kişi ve kamuoyu bakımından belirsizlik yarattığı, Kurula yapılan başvurular arasında ayrım yapılıp; bu ayrımın kriterlerinin belirlenmediği gerekçesiyle dava konusu edilmiştir.
Mahkeme, kuralın belirsiz olmadığı, Kurul’un çalışma usul ve esaslarının belirlenmesiyle objektif kriterlerin anlaşılabileceği ve söz konusu kuralın takdir yetkisi çerçevesinde olduğundan bahisle ilgili ibareyi Anayasaya aykırı bulmayarak iptal istemini reddetmişse de bu kararını net bir biçimde gerekçelendiremeyip; yeterli bir açıklama yapamamıştır.
Kişisel Verileri Koruma Kurulu kişisel verilerinin ihlal edildiğine dair kendisine yapılan şikayetleri karara bağlamalıdır. Verilen bu kararlardan gerekli gördüğünü kamuoyuna bildirme konusunda Kanun’un kendisine tanıdığı takdir yetkisine sahiptir. Bu gerekli görmenin ise neye göre olacağı açıklanmamıştır. Konu türü, veri niteliği ve büyüklüğü veya ihlalin derecesi gibi hususlardan hangisi veya hangilerinin kamuoyuna duyurmada esas alınacağı noktasında belirsizlik vardır. Kanaatimce burada ihlalin derecesinin esas alınması doğru olacaktır. Küçük çaplı ilk ihlalde bunun yayınlanması gerekmezken; büyük ihlallerden kamuoyunun bilgilendirilmesinde kamu yararının olduğunu düşünüyorum. Ayrıca Kurulun kararları kişisel verilerin korunması hukuku bakımından içtihat ve yol gösterici nitelikte olduğundan küçük çaplı ihlallerde dahi şikâyet edenin ve veri sorumlusunun ad ve/veya unvanları gizlenerek yayınlanmalıdır.
Hukuk devletinin gereklerinden olan belirlilik ilkesi elbette her şeyin yalnızca Kanun ile belirli olması anlamına gelmez. Bu ilke kanuni belirlilik değil; hukuki bir belirlilik aramaktadır. Öyleyse Kanun’un genel çerçeve çizdiği bir hususun içtihat veya düzenleyici işlemlerle de açıklanması ve belirlenmesi mümkündür. Buna karşın konuya ilişkin herhangi bir düzenleme yapılmış değildir. Bu nedenle verilen kararlardan Kurulca gerekli görülenlerin kamuoyuna sunulması Kurulun takdir yetkisine bırakılmış olsa da, bu yetkinin nasıl kullanılacağının belirlenmesi ve kararların sunulmasının gerekli olup olmadığının hangi kriterlere göre tespit edileceği hukuki güvenlik ve öngörülebilirliğin sağlanması için zorunludur. Bu bakımdan yapılan başvuruyu haklı buluyorum.
- Kanun’un 28. maddesinin 1. fıkrasının (a) ve (ç) bentleri;
Kanun’un istisnalar başlıklı 28. maddesinde hükümlerinin uygulanmayacağı haller sayılmıştır. İptal davasına konu olan (a) bendi; “Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi” şeklindedir. Bu halde Kanun hükümleri uygulanmayacaktır.
Başvurucular, sadece aynı konutta yaşamanın kişisel alana müdahale edilebileceği anlamına gelmediği ve kişisel özerkliğin önemli bir ilke olduğu gerekçeleriyle Anayasaya aykırılık iddiasında bulunmuştur. Mahkeme ise dava konusu kuralla birlikte yaşamanın kolaylaştırılmasının amaçlandığı ve bu hakkı kullanılamaz duruma getirmediği dolayısıyla da hakkın özüne dokunmadığı düşüncesindedir. Getirilen bu istisnanın ölçülülük ilkesine uygun olduğu kanaatine varan Mahkeme, iptal talebini reddetmiştir.
Kişisel verilerin tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyet kapsamında işlenmesini Kanun dışında tutan hüküm ile ilgili olarak Anayasa Mahkemesi’nin karar ve gerekçesine katılmaktayım. Zira bu istisna hem veri sahibini hem de veri işleyen kişinin menfaatlerini gözetmektedir. Ayrıca bu durum aynı evde birlikte yaşamanın doğal bir sonucudur. Gündelik yaşam içerisinde aynı konutta yaşayan aile fertlerinin faaliyetlerini yerine getirebilmesi için diğer fertlere ilişkin verileri işlemesi gerekebilir. Her gereklilikte açık rıza zorunluluğunun olması gündelik yaşamı zorlaştıracağı gibi veri sahibi açısından da herhangi bir kolaylık sağlamayacaktır. Mahkemenin de kararında belirttiği gibi bu husus tamamen veri işleme prosedürünü kolaylaştırmaya yöneliktir. Kaldı ki bu verilerin işlenmesi her ne kadar Kanun kapsamı dışında tutulsa da; madde metninde verilerin üçüncü kişilere verilmesi yasaklanmış ve veri güvenliğine ilişkin yükümlülüklere uyulması gerektiğinin altı çizilmiştir. Dolayısıyla Kanun koyucu tarafından gündelik yaşamı kolaylaştırmak amacıyla makul bir denge gözetilerek düzenlenen hükmün Anayasaya aykırı herhangi bir yönünün olduğunu düşünmüyorum.
Aynı maddenin Anayasaya aykırı olduğu iddia edilen (ç) bendine göre; “Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi” halinde Kanun hükümleri uygulanmayacaktır.
Başvurucular kuralın belirlilik ilkesine aykırı olduğu ve idarenin keyfi uygulamalarına yol açabilecek nitelik taşıdığı iddiasında bulunmuştur. Mahkeme bu hükümle kişisel verilerin korunması hakkının sınırlandırıldığını kabul etmekle beraber; bu sınırlandırmanın haklı gerekçelere dayanıp ölçülülük ilkesiyle bağdaştığı sonucuna ulaşmıştır. Mahkemeye göre ulusal güvenlik temel hak ve özgürlüklerin sınırlandırılabilmesi için haklı bir gerekçedir.
Kanun hükümlerinin uygulanmayacağı diğer bir istisna hali “milli savunma”, “milli güvenlik”, “kamu güvenliği”, “kamu düzeni” ve “ekonomik güvenlik” amaçları ile kamu kurum ve kuruluşlar tarafından yürütülen “önleyici, koruyu ve istihbari faaliyetler” olarak öngörülmüştür. Kişisel verilerin bu kapsamda işlenmesi 6698 sayılı Kanuna tabi olmayacaktır.
Temel hak ve özgürlükler mutlak ve sınırsız olmayıp ya Kanun’dan ya da hakkın doğasından kaynaklanan birtakım sınırlamaları mevcuttur. Ancak bu sınırlar demokratik toplum düzeni ve hukuk devleti ilkeleriyle bağdaşmalıdır. Temel hak ve özgürlüklere milli güvenlik ve kamu düzeninin sağlanması ile suç işlenmesinin önlenmesi amaçları gözetilerek getirilen sınırlamalar uluslararası mevzuatlarda da yaygındır. Özellikle AİHM kararlarında istihbari faaliyetler kapsamında özel hayatın gizliliği ve kişisel verilerin korunması gibi haklara yapılan müdahalelerin hukuka uygun kabul edildiğini görüyoruz. Çünkü bu müdahalenin olmaması halinde kamu düzeni ve milli güvenlik açısından daha kötü sonuçların doğması muhtemeldir. İşte bu noktada kişinin verilerinin işlenmesi ile kamu ve milli güvenlik arasında makul bir menfaat dengesi gözetilmelidir. Dava konusu kuralın makul bir denge gözettiğini düşünmekle beraber, hükümde yer alan kavramlardan ne anlaşılması gerektiğinin belirlenmesinin faydalı olacağını ve bu kavramların geniş yorumlanması halinde ihlallerin hukuka aykırılık oluşturacağını belirtmeliyim.
10. Kanun’un 30. maddesinin 7. fıkrası ile değiştirilen 663 sayılı KHK’nın 47. maddesi
İptal davasına konu olan hükmün yer aldığı 663 sayılı KHK Sağlık Bakanlığı ve bağlı kuruluşlarının teşkilat, görev, yetki ve sorumluluklarını düzenlemektedir. Bilgi toplama, işleme ve paylaşma yetkisi başlıklı 47. maddesinde;
- Bakanlık ve bağlı kuruluşların kanun ile belirlenen görevlerini yerine getirebilmek için bütün kamu ve özel sağlık kurum ve kuruluşlarından; sağlık hizmeti alanların, aldıkları sağlık hizmetinin gereği olarak ilgili sağlık kurum ve kuruluşuna vermek zorunda oldukları kişisel bilgileri ve bu kimselere verilen hizmete ilişkin bilgileri her türlü vasıtayla toplamaya, işlemeye ve paylaşmaya yetkili olduğu,
- Bakanlık ve bağlı kuruluşların, işlediği kişisel sağlık verilerini ilgili üçüncü kişiler ve kamu kurum ve kuruluşları ile ancak bu kişi ve kurumların bu verilere erişebileceği hususunda kanunen yetkili olması halinde ve görevlerini yapmalarına yetecek derecede paylaşabileceği,
- Bakanlık ve bağlı kuruluşların, kanun ile belirlenen görevleri yerine getirebilmek için gereken bilgileri, kamu ve özel ilgili bütün kişi ve kuruluşlardan istemeye yetkili olduğu,
hüküm altına alınmıştır.
Başvurucular bu maddenin sağlık ve yaşam hakkına müdahale niteliğinde olduğunu, kişilerin sağlıkla ilgili bilgilerinin kamu yararı sayılan bazı durumlar dışında devletten dahi gizli tutulmasını isteme hakkı bulunduğunu ancak kuralda sayılan amaçların kamu yararını aşacak kadar geniş düzenlendiğini iddia ederek ilgili maddenin iptalini talep etmiştir.
Mahkeme, hükmün sağlık hizmetlerinin yerine getirilmesi, hasta takip sisteminin iyi bir şekilde işleyebilmesi ve hastaların sağlık hizmetlerinden en iyi biçimde yararlanabilmesi amacı taşıdığını ve Anayasanın 5. maddesine göre insanın maddi ve manevi şartlarının gelişmesi için Devletin gerekli şartları sağlamakla görevli olduğunu gerekçe göstererek bu iptal talebini de reddetmiştir.
Dava konusu kuralla Sağlık Bakanlığı ve bağlı kuruluşlara özel nitelikli veri sayılan sağlık verilerinin işlenmesi için geniş bir yetki verildiği son derece açıktır. İlk olarak kuralın amacı kamu sağlığının geliştirilmesi olsa da bu kadar geniş bir yetkinin KHK ile düzenlenmesini doğru bulmadığımı söylemeliyim. 6698 sayılı Kanun ile özel nitelikli verilerin işlenme şartları; kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi olarak belirlenmişken, KHK ile bu şartlar oldukça genişletilmiştir. Oysa Anayasa ve yasalarda yer alan bir hükmü geçersiz kılmak mümkün olmadığı gibi; burada olmayan yeni hükümler ve yeni düzenlemeler getirilmesi de hukuken mümkün değildir. Bu açıdan bakıldığı zaman dava konusu kuralın içerik ve niteliğini incelemeye geçmeden önce; Kanun ile öngörülmemiş hususları öngörmesi bakımından düzenleniş biçimiyle hukuka aykırı olduğu görülmelidir. Nitekim böylesine bir tutum Anayasanın 91. maddesiyle de bağdaşmaz. Buna göre; Anayasanın ikinci kısmının birinci ve ikinci bölümlerinde yer alan temel haklar, kişi hakları ve ödevlerinin olağan dönem KHK’ları ile düzenlenebilmeleri mümkün değildir. Öyleyse Anayasanın 20. maddesinin 2010 yılında yapılan değişiklikle eklenen kişisel verilerin korunmasına ilişkin 3. fıkrası da KHK ile düzenlenemeyecektir. Kuralın Anayasaya aykırı yönü açıkça ortadadır.
Sağlık bakanlığı ve bağlı kuruluşlarına tanınan bu geniş yetki olağan dönem KHK’sı ile değil de Kanun ile düzenlenmiş bulunsaydı da, içerik bakımından hukuka aykırılık oluşturacağını düşünüyorum. Zira denetim yolunun açık olup olmadığı, açıksa nasıl olacağı gibi hususların belirlenmediği bir konuda böylesine ucu açık bir yetkinin idarenin keyfi uygulamalarına yol açmasından kaçınılamaz. Bu nedenle Mahkemenin söz konusu hükmün iptal talebini red kararına ilişkin gerekçelerini yeterli bulmayıp; hükmün Anayasaya aykırı olduğu kanaatindeyim.
Sonuç
6698 sayılı Kişisel Verilerin Korunması Kanunu’nun çeşitli madde, fıkra ve ibarelerinin Anayasaya aykırılığı iddiasıyla Anayasa Mahkemesi’nde açılmış olan iptal davasını; iptal talebinin gerekçesi, Anayasa Mahkemesinin karar ve gerekçesi ve son olarak kendi görüş ve değerlendirmemi yukarıda detaylı bir biçimde açıkladım.
İptal davasının konusunu genellikle kişisel verilerin korunması hakkını sınırlandıran veya sınırlandırma ihtimali bulunan hükümlerin oluşturduğunu görüyoruz. Zira kişisel verilerin korunması kişinin temel hak ve özgürlüklerinden olup; bu hakka ilişkin yapılan sınırlandırmalar konusunda dikkatli olunması gerekir. Bu nedenle söz konusu Anayasa Mahkemesi kararını kişisel verilerin korunması hukukunun gelişmesi açısından önemli görüyorum.
Kişisel verilerin korunması bilincinin henüz tam anlamıyla yerleşmemiş olması ve konuyla ilgili düzenlemelerin çok yeni olması nedeniyle bu düzenlemelerin eleştirilmesi, eksi ve artılarının tespit edilmesi veya bazı noktalarda eksik bulunması doğaldır. Burada önemli olan yapılan eleştirileri veya başvuruların dikkate alınıp; mevzuatı geliştirmeye çalışmaktır. Zira hukuk, her zaman kendini yenilemeli ve gelişen dünyaya ayak uydurmalıdır. Hele ki teknolojiyle bu kadar sıkı bir ilişki içerisinde olan kişisel verilerin korunmasına ilişkin düzenlemelerin yenilenmesi kaçınılmazdır.
Dava konusu yapılan hükümlerin uygulamadaki yansımasının, yalnızca bireyler üzerinde değil; çeşitli sektörlerdeki veri sorumlularına etkisinin de nasıl olacağı değerlendirilmelidir. Her türlü kişisel verinin işlenmesinin açık rızanın varlığı şartına bağlanması ya da bu konuda hiçbir istisnanın düzenlenmemesi, günümüzün tamamen dijitalleşmiş dünyasında gerçekçi bir yaklaşım değildir. Ekonominin, güvenliğin, sağlığın, eğitimin ve hatta adaletin dijitalleştiği ve kişisel verilerin yoğun biçimde kaydedildiği, işlendiği ve paylaşıldığı bir dünyada aşırı kısıtlayıcı hükümler getirmek ve bunu kanun yoluyla yapmaya çalışmak gerçekçi olmadığı gibi akıntıyı tersine çevirmekle eş anlamlıdır. Oysa akıntı tersine çevrilemez, akıntıya uymak ama nehirde sağa sola çarpmadan düzgün yol almak gerekir. Üzerinde bulunduğumuz teknenin akıntıyla birlikte düzgün yol alması ise 6698 sayılı Yasadan çok, bireyler, veri sorumluları, Kurul ve mahkemelerin görevidir.
Doç. Dr. Murat Volkan Dülger*
(Bu köşe yazısı, sayın Doç. Dr. Murat Volkan DÜLGER tarafından www.hukukihaber.net sitesinde yayınlanması için kaleme alınmıştır. Kaynak gösterilse dahi köşe yazısının tamamı özel izin alınmadan kullanılamaz. Ancak alıntılanan köşe yazısının bir bölümü, aktif link verilerek kullanılabilir. Yazarı ve kaynağı gösterilmeden kısmen ya da tamamen yayınlanması şahsi haklara ve fikri haklara aykırılık teşkil eder.)
---------------------------------------