Kişisel Verilerin Korunması Kanunu Tasarısı'nın ilk hali, kişisel verilerin korunması ve dokunulmazlığı hakkı yönünden daha olumsuz hükümler içermekte idi ki, Tasarının ilk halini daha önce inceleyip tartışmıştık. Bu yazımızda, Tasarının ilk hali ile son halini karşılaştırmalı incelemek yerine, kişisel verilerin korunması ve dokunulmazlığı hakkı bakımından son halini değerlendireceğiz. Çünkü bizim için önemli olan, Hükümet tarafından Türkiye Büyük Millet Meclisi'ne kanunlaştırılması amacıyla gönderilen Tasarının son halidir. Aşağıda, 26.12.2014 tarihinde Türkiye Büyük Millet Meclisi Başkanlığı’na sunulan Kişisel Verilerin Korunması Kanunu Tasarısı'nın son hali ile ilgili değerlendirmelere yer verilmiştir.
Kişisel veri; bireyin şahsi, mesleki ve ailevi özelliklerini gösteren, o bireyi diğer bireylerden ayırmaya ve niteliklerini ortaya koymaya elverişli her türlü bilgidir. Kişisel veriler, ortada bir hukuka uygunluk sebebinin var olması kaydıyla kayıt altına alınabilmektedir. Ancak esas olan, bireye ait bilgilerin herhangi bir ortamda kayıt altına alınmamasıdır. Aksi halde bu durum, 1982 Anayasası’nın 17. maddesi ile güvence altına alınan kişi dokunulmazlığı, kişinin maddi ve manevi varlığını koruma ve geliştirme hakkı ile Anayasanın 20 ve 22. maddelerinde düzenlenen özel hayatın gizliliği ve korunması hakkının ihlali anlamına gelecektir.
5982 sayılı Türkiye Cumhuriyet Anayasası’nın Bazı Maddelerinde Değişiklik Yapılması Hakkındaki Kanun’un 2. maddesi ile Anayasanın 20. maddesine son fıkra eklenmiştir. Kişisel veriler, “özel hayatın gizliliği ve korunması hakkı” kapsamında Anayasa güvencesine kavuşmuştur. Bu hükme göre, “Herkes, kendisi ile ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığı öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızası ile düzenlenir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir”.
Bu hükmün gerekçesine göre ise, “Anayasada kişisel verilerin korunmasına ilişkin dolaylı hükümler bulunmakla birlikte yeterli değildir. Mukayeseli hukukta ve tarafı olduğumuz uluslararası belgelerde de kişisel verilerin korunması önemle vurgulanmaktadır. Maddeyle, herkesin kendisi ile ilgili kişisel verilerin korunmasını isteme hakkı, anayasal bir hak olarak teminat altına alınmaktadır. Bu bağlamda, bireylerin kendilerini ilgilendiren kişisel veriler üzerinde hangi hak ve yetkilere sahip olduğu ve kişisel verilerin hangi hallerde işlenebileceği hükme bağlanırken, kişisel verilerin korunmasına ilişkin esas ve usullerin kanunla düzenleneceği öngörülmektedir”.
Kişi hak ve hürriyetlerini korumayı hedefleyen Türk Hukuku’nda, “kişisel verilerin korunması ve dokunulmazlığı hakkını nasıl sınırlayabilirim” değil, “kişisel verilerin korunması ve dokunulmazlığı hakkını yasal düzenleme ile nasıl daha fazla güvence altına alırım” mantık ve anlayışı ön plana çıkmalıdır. Aksi halde, bu çalışmamızda eleştirdiğimiz Kişisel Verilerin Korunması Kanunu Tasarısı’nın yasalaşması ile yukarıda bahsettiğimiz Anayasa m.17, 20/3, bu maddelerle birlikte dikkate alınması gereken m.2 ve 13’e aykırılıkların gündeme gelmesi kaçınılmazdır.
Kişisel verilerin elde edilmesinden ziyade gizliliğinin ve dokunulmazlığının korunması esas alınmalı, kişisel verilerin korunmasını isteme hakkına güvence sağlayan Anayasa hükümleri, kişisel verilerin korunması ve dokunulmazlığı hakkının kısıtlanmasına yönelik Tasarı hükümleri gözden geçirilmeli ve kişisel verilerin korunması lehine düzenleme yapılmalıdır. Tasarı içeriği ve kanunlaştığında tatbiki, bireyin kişisel verilerinin korunması hakkını gözetmelidir.
Anayasanın 17. ve 20. maddelerinde yer alan hükümlerinin kişisel verilerin korunması ve bu korumanın bir hak olarak tanınmasına anayasal dayanak oluşturmak bakımından yeterli olduğunu belirtmek isteriz. Bu nedenle, Tasarının kişisel verilerin toplanması suretiyle kişinin özel, aile ve mesleki yaşam alanlarına müdahale yetkisi tanıyan hükümlerinin Anayasaya aykırı olduğunu ifade etmek isteriz.
Kişisel verilerin dokunulmazlığı ve korunması hakkının sınırlanması, kısmen veya tamamen bu hakkın kullanımının durdurulmasında, Anayasanın 13 ve 15. maddelerinde gösterilen çerçevenin dışına çıkılamayacağını belirtmek isteriz. 13. maddeye göre, “Temel hak ve hürriyetler, özlerine dokunulmaksızın yalnızca Anayasanın ilgili maddelerinde belirtilen sebeplere bağlı olarak ve ancak kanunla sınırlanabilir. Bu sınırlamalar, Anayasanın sözüne ve ruhuna, demokratik toplum düzeninin ve laik Cumhuriyetin gereklerine ve ölçülülük ilkesine aykırı olamaz”. Görüleceği üzere madde; bir hak veya hürriyete ilişkin sınırlama getirilebilmesi için, o hak veya hürriyeti düzenleyen Anayasa hükmünde özel bir sınırlama sebebinin varlığını ön şart olarak aramaktadır. Bu olmadığı takdirde, temel hak veya hürriyetin kanunla sınırlandırılabilmesi de mümkün değildir.
Bu noktada, Anayasanın 17. maddesinde özel sınırlama nedeninin belirtilmediğini, 20. maddesinin ikinci fıkrasında ise, geniş sayılabilecek sınırlama sebeplerinin düzenlendiğini görmekteyiz. Dolayısıyla, bireyin özel, aile ve meslek hayat alanları kapsamına giren kişisel verileri, Anayasanın 13. maddesi çerçevesinde 20. maddesinin ikinci fıkrasına göre sınırlandırılabilecek, fakat bu hayat alanları dışında kalan kişisel veriler, Anayasanın 17. maddesinde özel sınırlama sebebi bulunmadığından, bu madde ile güvence altına alınan kişinin dokunulmazlığı, maddi ve manevi varlığını koruma ve geliştirme hakkı sınırlamaya konu edilemeyecektir.
Anayasanın 17. maddesinin son fıkrası, sadece yaşama hakkına getirilecek kısıtlama yönünden özel sınırlama sebebi öngördüğü halde, kişinin dokunulmazlığı, maddi ve manevi varlığını koruma ve geliştirme hakkına ilişkin herhangi bir sınırlama nedeni öngörmemiştir.
İlk bakışta, kişinin özel hayatı kapsamına girmeyen kişisel verisi olamayacağı gerekçe ve iddiasıyla, kanunla getirilecek sınırlamalar bakımından Anayasanın 17. maddesinin engel oluşturmayacağı ve Anayasaya aykırılık iddiası ile karşılaşılmayacağı, çünkü kişisel verilerin özel hayat hakkı kapsamında kabul edilmesi gerektiği, bu nedenle de 20. maddenin ikinci fıkrasında öngörülen özel sınırlama sebeplerinin kişisel veriler yönünden uygulama alanı bulacağı; bireyin maddi ve manevi varlığını koruma ve geliştirme hakkı ile özel hayat hakkının iç içe girdiği ve kişisel verilerin tümünün aynı zamanda özel hayat hakkı kapsamında ele alınması gerektiği, neticede Anayasanın 20. maddesinin ikinci fıkrası kapsamında kişisel verilerin dokunulmazlığı ve korunma hakkına sınırlama getirilebileceği savunulabilir.
Üstünde durulması gereken bir başka husus da, Anayasa m.20/3’de yer alan “kişinin açık rızası” nedeniyle getirilebilecek sınırlama sebebidir. Anayasa m.20/3, kişisel verilere nasıl müdahale edileceğini değil, kişisel verilerin mutlak korunmasını öngörmektedir. Hükümde, kişisel verilerin ancak bireyin açık rızası veya kanunda öngörülen hallerde işlenebileceği, yani kayıt altına alınabileceği, kişisel verilerin nasıl korunacağına ilişkin esas ve usullerin kanunla düzenleneceği ifade edilmiştir. Anayasa hükmünde, kanunla öngörülen hallerde kişisel verilerin işlenebileceği belirtilmesine rağmen, "sonuç" olan bu uygulamaya dayanak olabilecek özel sınırlama sebeplerine yer verilmediği görülmektedir.
Anayasa m.11, 13 ve 20/3’e rağmen, kişisel verilerin korunmasına ilişkin usul ve esasları düzenleyen kanunun olmadığı bir durumda, kişisel verilerin kayıt altına alınmasını sağlamaya yönelik uygulamanın hukuka aykırılığı tartışmasızdır. Bu tür bir aykırılığın sonuçlarının olumsuz etkisi, sadece kişisel verileri bireylerin açık izni olmaksızın toplayan kamu görevlilerine ait olmaz. Bu sorumluluk aynı zamanda kişisel verileri veren ve verilmesine aracılık edenlere de ait olur.
Anayasa m.20/3'e göre, sadece "kişinin açık rızasıyla" kişisel verilerin işlenmesinin mümkün olabileceği ileri sürülebilir. Bu görüş eleştiriye açıktır. Çünkü yukarıda ifade ettiğimiz gibi kişi hak ve hürriyetleri, Anayasa m.13 gereğince yalnızca kanunla sınırlandırılabilirler. Şu an itibariyle kişisel verilerin korunmasına ilişkin bir kanun yürürlükte olmadığından, bireyin onayı olsa dahi, kişisel verilerinin işlenmesi hukuka aykırı olacaktır. Hatta Anayasa hükümlerine göre, hangi gerekçe ile olursa olsun bireyin açık rızası olmaksızın kişisel verilerin kaydedilmesi kanunla bile mümkün gözükmemektedir.
Kişinin açık rızasında bile kanuna ihtiyaç olduğu, Anayasa m.13'ü esas alarak yazılmış bir düşüncedir. Anayasada "Genel Hükümler" üst başlığı altında yer alan ve başlığı "Temel hak ve hürriyetlerin sınırlanması" olan Anayasa m.13, temel hak ve hürriyetlerin sadece kanunla sınırlandırılabileceğini ifade etmiştir. Buna göre, kişisel veri sahibinin rızası da olsa bu hukuka uygunluğun kanunla düzenlenmesi gerekir. Ancak Anayasa m.20/3'de "kişinin açık rızası" kavramına yer verildiğinden bahisle ayrı bir yasal düzenlemeye ihtiyaç olmadığı, normlar hiyerarşisinin tepesinde yer alan Anayasa m.20/3'ün kanun yerine geçecek şekilde kural öngördüğü fikri de savunulabilir.
Anayasa m.90/5’de; iç hukukumuzda bağlayıcı uluslararası sözleşmelerin esas alınması, Anayasaya aykırılıklarının dahi iddia edilememesi, kanun ile kişi hak ve hürriyetlerine ilişkin bir uluslararası sözleşmenin aynı konuda farklı hükümler içermesi halinde uluslararası sözleşme hükmüne öncelik verilmesi kabul edildiğinden, bu statüye giren İnsan Hakları Avrupa Sözleşmesi’nin “Özel ve aile hayatına saygı hakkı” başlıklı 8. maddesinin 2. fıkrasının dayanak alınıp, bu hükümden hareketle kişisel verilerin işlenebileceği ileri sürülebilir.
Hatta “kişisel verilerin korunması” kavramı “Özel hayatın gizliliği” başlıklı Anayasa m.20’de düzenlendiğinden, Anayasa m.20/2’de öngörülen özel sınırlama sebeplerinin kişisel verilerin sınırlanmasında da uygulanabileceği savunulabilir. Buna göre kişisel veriler ancak; milli güvenlik, kamu düzeni, suç işlenmesinin önlenmesi, genel sağlık, genel ahlak veya başkalarının hak ve özgürlüklerinin korunması sebeplerinden birisi veya birkaçına bağlı olarak hakim kararına veya yine bu sebeplerle gecikmesinde sakınca bulunan hallerde kanunla yetkili kılınan merciin yazılı emri ile kayıt altına alınabilir veya kullanılabilir. Bu sınırlama sebepleri, “Özel ve aile hayatına saygı hakkı” başlıklı İHAS m.8/2’de gösterilen müdahale nedenleri ile benzerlik taşımaktadır. Hatta İHAS m.8/2, sınırlama nedenleri bakımından Anayasa m.20/2’ye göre daha geniştir. Kanaatimizce, yalnızca Anayasa m.20/2-3’de yer alan nedenler kişisel verilerin korunması ve dokunulmazlığı hakkının kısıtlanmasında dikkate alınabilir.
Anayasanın 15. maddesinin birinci fıkrasına göre, “Savaş, seferberlik, sıkıyönetim veya olağanüstü hallerde, milletlerarası hukuktan doğan yükümlülükler ihlal edilmemek kaydıyla, durumun gerektirdiği ölçüde temel hak ve hürriyetlerin kullanılması kısmen veya tamamen durdurulabilir veya bunlar için Anayasada öngörülen güvencelere aykırı tedbirler alınabilir”. İstisnai durum için öngörülen bu hükümle, kişisel verilerin korunması ve dokunulmazlığı hakkının kısmen veya tümü ile kısıtlanabilmesi öngörülmüştür.
Kişilik hakları ve insan hakları kavramlarının her geçen gün daha da önem kazandığı günümüzde, kişisel verilen korunması da bu hakların gelişimine paralel olarak önemini artırmaktadır. Nitekim bireylere ait kişisel verilerin amaçları dışında kullanılmasının ve kayda alınmasının önlenmesi maksadıyla 5237 sayılı Türk Ceza Kanunu’nun 135. maddesinde, hukuka aykırı olarak kişisel verilerin kaydedilmesi fiili suç olarak düzenlenmiş ve yaptırım altına alınmıştır.
Mevzuatta yer alan farklı düzenlemelerin tek bir yasa çatısı altında toplanması amacıyla Adalet Bakanlığı tarafından “Kişisel Verilen Korunması Kanunu” adı altında bir yasa tasarısı taslağı hazırlanmıştır.
II- Tasarı Hükümlerinin Değerlendirilmesi
A- Tasarının Amacı
Kişisel Verilerin Korunması Kanunu Tasarısı’nın 1. maddesinde Kanunun amacı; kişisel verilerin işlenmesinde kişinin dokunulmazlığı, maddi ve manevi varlığı ile temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin uyacakları usul ve esasları düzenlemek olarak ifade edilmiştir. Maddeye göre, “Bu Kanunun amacı, kişisel verilerin işlenmesinde kişinin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin uyacakları esas ve usulleri düzenlemektir”.
Görüleceği üzere Tasarı, kişisel verilerin toplanması ve başkalarının kullanımına verilmesi için değil, kişisel verilerin işlenmesinde kişinin dokunulmazlığı, maddi ve manevi varlığı ile temel hak ve özgürlüklerini korumak maksadıyla hazırlanmıştır. Kişisel verileri işleyen gerçek ve tüzel kişiler, diledikleri bilgileri toplayamayacaklar, kendileri veya üçüncü şahıslar lehine istedikleri zaman bu bilgileri kullanamayacak ve kullandıramayacaklardır.
Ancak Tasarı, kişisel verilerin toplanması ve/veya kullanılması ve kullandırılmasında aşırıya gitmiş, muğlak ifadeler yoluyla kişi hak ve hürriyetine müdahale noktasında net bir çizgi çizememiş, en önemlisi kişisel verilerin toplanması ve başkaları tarafından kullanımında, bu düzenleme ile amaçlananın kişi hak ve hürriyetlerinin korunması olduğu fikrini gözardı edip, somut koruyucu kurallar getirmemiştir.
B- Tasarının Kapsamı
Tasarının kapsamını gösteren 2. maddenin ikinci fıkrası ilginç bir düzenlemeye işaret etmektedir. Hükme göre, “Bu Kanun hükümleri, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen, otomatik olan veya olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır”. Bilindiği üzere, kişisel veriler zaten birçok müessese tarafından çeşitli sebeplerle toplandığından, bunların kontrolü, bir merkezde toplanmasının sağlanması, kötüye ve amacı dışında kullanılmasının önüne geçilmesi düşünülerek, bu Tasarı hazırlanmıştır. Bu anlamda Tasarı, kamu hizmeti alan, herhangi bir nedenle mal ve hizmet alımında bulunan, günlük ihtiyaçlarını karşılayan ve yaşam faaliyetlerini sürdüren bireylerden, istekleri dahilinde veya zorunlu olarak toplanan kişisel verilerle ilgili kuralları içermekte olup, kişisel verilerin toplanmasının sınırlarını, toplanan kişisel verilerin korunmasını, bu sırada uyulacak ilke ve esasları düzenlemektedir.
C- Kişisel Veri Tanımı
Kişisel veri; Tasarı m.3/1-ç’de, belirli veya kimliği belirlenebilir gerçek ve tüzel kişilere ilişkin tüm bilgiler olarak tanımlanmış, bu yolla korunması hedeflenen “kişisel veri” kavramının kapsamı geniş tutulmuştur. Dolayısıyla, bireyi tanımlayan, ait olan, birey tarafından kullanılan, bireye işaret eden, vücut bütünlüğü dahil her şey “kişisel veri” sayılmalıdır. Bireyin vücut ölçüleri, göz, ten rengi, kan gurubu, kan tahlili sonuçları, kullandığı telefon numaraları, iş ve ev adresleri, mensubu olduğu dernek ve vakıflar dahil olmak üzere kişi hakkında bilgi veren tüm unsurları “kişisel veri” olarak değerlendirmek gerekir.
Teknik gelişmekte ve bu yolla kişi hayatına birçok kolaylık sağlanmakla birlikte, kişi hak ve hürriyetleri bakımından birtakım olumsuz sonuçlar da doğabilmektedir. Örneğin, internet arama motorları (google, yandex, msn gibi) üzerinden birçok kişisel bilgi ve verinin toplanabilmesi mümkün olabilir. İnternet arama motorları vasıtasıyla yapılan bu bilgi ve veri toplama, isimlendirilmeden, yani kimlik tespiti yapılmadan, kişiler hakkında genel istatistik çıkarmak suretiyle elde edilmişse bu durum, Tasarı ve TCK m.135 ile m.136 kapsamında dikkate alınmamalıdır. Ancak genel olarak değil de, kimliği belirlenebilir bireylerin neyi tercih ettiği, zevklerinin ne olduğu, ne okuduğu, inanç ve görüşlerinin tespiti amacıyla internet arama motoru sonuçlarının kaydedilmesi ve kullanılması, elbette konusu suç teşkil eden fiiller olarak değerlendirilebilir.
Kişisel verilerin toplanması, kullanılması fiillerinin yararlı amaçlarla kullanılması, toplama ve kullanmanın hukuka aykırı olması durumunda, ortada bir hukuka uygunluk sebebi olmadıkça suç kapsamına girebilecektir.
Tasarı ile kişisel verilerin işlenmesinde, kişilerin özel hayatlarının ve kişi dokunulmazlıklarının korunması arasında bir denge sağlanmasının öngörüldüğü düşünülebilir. Çünkü asıl olan, kişi hak ve hürriyetlerinin korunması, istisnası ise demokratik toplumda duyulan somut zorunluluklar uyarınca kanunla hak ve hürriyetlere belirli, anlaşılabilir ve özüne dokunmayan sınırlamalar getirilmesidir. Ancak Tasarı, kişisel verilerin korunmasından ziyade, toplanması ve sonrasında da istenildiğinde kamu otoritesi tarafından kullanılabilmesine imkan sağlayacak şekilde kaleme alınmıştır. Önemli olan, kişisel verilerin mümkün olduğu kadar elde edilmesinin, saklanmasının, bir yerde toplanmasının ve kullanıma açılmasının önüne geçmektir.
Oysa Tasarı, banka ve kredi kurumları, sigorta şirketleri, sağlık kuruluşları gibi çeşitli kişi, kurum ve kuruluşlar tarafından elde bulundurulmakta ve saklanmakta olan tüm kişisel verilerin Kanun uyarınca oluşturulacak Kurul tarafından denetlenmesi, bu Kurula her türlü bilgiye erişim imkanı sağlanması, bu yolla temel hak ve özgürlüklerin sınırlandırılmasının önünü açmaktadır. Bu bakımdan, her ne kadar Kanunun adı “Kişisel Verilerin Korunması Kanunu” olarak öngörülmüş ise de, kanaatimizce kanun koyucu tarafından amaçlanan, kişisel verilere Kurul tarafından kolayca ulaşılması, bu bilgilerin denetlenmesi ve saklanmasıdır. Bu nedenle, bize göre Tasarının adı “Kişisel Verilerin Toplanması” olarak kabul edilebilir.
1982 Anayasası’nın 17. maddesine göre herkes; yaşama, maddi ve manevi varlığını koruma ve geliştirme hakkına sahiptir ve yine 1982 Anayasası’nın 20. maddesine göre, özel hayatın ve aile hayatının gizliliğine dokunulamaz. Bireyin rızası ile verdiği bilgilerinin kaydedilmesinde ve saklanmasında veya işin gereği olarak, bireyin bilgisi dahilinde veri tespiti ve kaydı yapılmasında elbette bir hukuka aykırılık sözkonusu olmayacaktır. Bu bilgiler, verilme sebepleri ile sınırlı olarak kullanılmalı ve sonrasında ortadan kaldırılmalı, kim olursa olsun kullanamamalı ve başkalarının kullanımına da sunamamalıdır. Aksi halde, kişiler hakkındaki her türlü bilgilerin kaydetme yoluyla saklanması beraberinde kişilerin fişlenmelerine ve bu yolla mağdur edilmelerini yol açacaktır.
D- Tasarının Tüzel Kişiler Yönünden Değerlendirilmesi
Tasarının “Tanımlar” başlıklı 3. maddesinin birinci fıkrasının (ç) bendinde, “kişisel veri” tanımı yapılmış, kimliği belirli veya belirlenebilir gerçek ve tüzel kişilere ilişkin bütün bilgiler kişisel veri olarak tanımlanmıştır. Türk Ceza Kanunu’nun “Kişisel verilerin kaydedilmesi” başlıklı 135. maddesinde, “kişisel veriler” kavramından ne anlaşılması gerektiği ortaya koyulmamıştır. Madde gerekçesinde, gerçek kişi ile ilgili her türlü bilginin kişisel veri olarak kabul edilmesi gerektiği belirtilmiştir. Böylece, madde metni kısıtlama getirmemekle birlikte gerekçesi, sadece gerçek kişilerin bu suçun mağduru olabileceklerine işaret ederek, madde metnini ve amacını aşan bir ibareye yer vermiştir. Oysa korunması gereken kişisel veri, sadece gerçek kişilere değil, tüzel kişilere de ait olabilir. Gerçek kişilerden ayrı bir hukuki varlıkları ve kimlikleri bulunan tüzel kişilerin de kendi yapılarına özgü kişisel verilerinin olacağı tartışmasızdır.
Kanun koyucu, “kişi” ve “kişisel” kavramları ile yalnızca gerçek kişilere güvence sağlamayı hedeflememiştir. Belki TCK m.135/2’den hareketle bu sonuca ulaşılabilir, ancak suçun tanımını gösteren 135. maddenin birinci fıkrası, korunan hukuki yararın mağduru olabilecek kişiler bakımından gerçek kişi-tüzel kişi ayırımı yapmamıştır. Bu nedenle, tüzel kişiye ait verilerin korunması yönünden TCK m.135 ile 136’nın uygulama alanı bulabileceğini ifade etmek isteriz. Bununla birlikte, TCK m.2’de düzenlenen “suçta ve cezada kanunilik” ilkesine dayalı itirazla karşılaşılmaması için, özellikle TCK m.135’de tüzel kişilere ait verilerin korunmasını hedefleyen yasal değişiklik veya ekleme yapılmasında yarar olacağını düşünmekteyiz.
TCK m.239’da düzenlenen “Ticari sır, bankacılık sırrı veya müşteri sırrı niteliğindeki bilgi veya belgelerin açıklanması” suçu ile korunan hukuki yararın farklı olduğunu, bu madde ile ekonomi, sanayi ve ticarete dair hukuki yararların korunduğunu, oysa TCK m.135’in özel hayat ve hayatın gizli alanına ilişkin hukuki yarar kapsamına girdiğini, elbette gerçek kişiler kadar olmasa bile tüzel kişilerin de özel hayat kapsamında ele alınabilecek ticari hayatlarının bulunduğunu dikkate almak gerekir.
Tasarının 3. maddesinin gerekçesinde, kişisel verilere örnek olarak kişilerin telefon numarası, pasaport numarası, özgeçmişi, parmak izleri, genetik bilgileri, psikolojik, fiziki, kültürel ve sosyal özellikleri sayılmıştır.
Tasarının 2. maddesine göre, “Bu Kanun hükümleri, kişisel verileri işlenen gerçek ve tüzel kişiler ile bu verileri tamamen veya kısmen, otomatik olan veya olmayan yollarla herhangi bir veri kütüğüne dahil olacak şekilde işleyen gerçek ve tüzel kişiler hakkında uygulanır”. Tüzel kişilere ait verilerin düzenleme kapsamına dahil edilmesi açısından Tasarının isabetli olduğunu, Türk Ceza Kanunu ile ilgili yukarıda değindiğimiz muğlaklığın bulunmadığını belirtmek isteriz.
Tasarıda, kişisel verilerin korunması ve dokunulmazlığı hakkına getirilecek sınırlamalarla ilgili “kanunilik” ilkesine yer verilmemesi, normlar hiyerarşisinin tepesinde yer alan Anayasanın 13. maddesinin gözardı edilebileceği anlamını taşımaz. Temel hak ve hürriyetlerin sadece yasalarla sınırlanabileceğine dair zorunluluk, Anayasamız yanında, İnsan Hakları Avrupa Sözleşmesi ile de dayanağını bulmaktadır. Sözleşmeye göre, kişi hak ve hürriyetlerine sadece yasalarla sınırlama getirilebilir (bkz. İHAS m.8/2).
E- Özel Nitelikli Kişisel Veriler
Tasarının “Özel niteliği olan kişisel verilerin işlenme şartları” başlıklı 6. maddesinin birinci fıkrasında, “Kişilerin ırk, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançları, dernek, vakıf veya sendika üyeliği, sağlık ve özel yaşamları ve her türlü mahkumiyetleri ile ilgili kişisel veriler işlenemez.” hükmüne yer verilmiştir.
Tasarının 6. maddesi ile Türk Ceza Kanunu’nun 135. maddesi arasında kapsam bakımından farklılık mevcuttur. TCK m.135/2’de, kişilerin ahlaki eğilimlerine ve cinsel yaşamlarına ilişkin bilgileri kişisel veri olarak kaydeden kimsenin cezalandırılacağı öngörülmüştür. Tasarı m.6/1’de bireyin sağlık ve özel yaşamı ile ilgili kişisel verilerin işlenemeyeceği ifade edildiği halde, TCK m.135/2’de özel hayattan bahsetmeksizin bireyin ahlaki eğilimi, cinsel yaşamı ve sağlık durumu ile ilgili bilgilerin kişisel veri olarak kaydedilemeyeceği ifade edilmiştir.
Tasarı m.6/1; bireyin korunmasını daha geniş ele aldığı, bu çerçevede “özel hayat” kavramına yer verdiği halde, TCK m.135/1’in bu koruma alanını daralttığı görülmektedir. Ancak Tasarının 6/1. maddesi hükmü, her ne kadar bireyin özel hayatının geniş bir şekilde korunacağını ortaya koysa da, hemen maddenin ikinci fıkrasında, Tasarının 1. maddesinde öngörülen amaçla ters düşen bir anlayışa yer verildiği anlaşılmaktadır.
6. maddenin 2. fıkrasına göre, “Birinci fıkrada belirtilen kişisel verilerin, özel hayatın ve aile hayatının gizliliğinin korunmasını sağlayacak yeterli önlemlerin alınması şartıyla, aşağıda sayılan hallerde işlenmesi mümkündür:…”. Bu fıkra altında yer alan bendlerde; kişinin açık rızası, kanunlarda açıkça öngörülmesi, siyasi parti, vakıf, dernek veya sendika gibi kar amacı gütmeyen kuruluş ya da oluşumların tabi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla kendi üyelerine ve mensuplarına yönelik verilerin işlenmesi, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlenmesinin zorunlu olması, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin yönetimi ve finansmanı amacıyla, sır saklama yükümlülüğü altında bulunan kişiler tarafından özel nitelik taşıyan kişisel verilerinin işlenebileceği görülmektedir.
Böylece Tasarı, her ne kadar özel hayatın ve aile hayatının gizliliğinin korunması esasından bahsetmiş ise de, bireyin özel ve aile hayatına müdahale ederek, 6. maddenin 1. fıkrasında yer alan özel hayat alanına ilişkin kişisel verilerin işlenmesine imkan tanımış ve bu yolla TCK m.24 kapsamına giren “kanun hükmünü icra”, TCK m.26/1’de düzenlenen “hakkın kullanılması” ve m.26/2’de düzenlenen “mağdurun rızası” adlı hukuka uygunluk sebeplerinin varlığını kabul etmiştir.
Tasarı, bir taraftan bireyin özel hayat hakkını korumakta gibi gözükse de, diğer taraftan esasında özel hayatın sınırlanması yolunu seçmiş, önce özel hayata ilişkin verilerin işlenmesine imkan tanımış ve 8. maddesinde de bu verilerin üçüncü kişilere aktarılmasına izin vermiştir.
“Özel hayat” kavramını, bireyin kişiliğini geliştirme ve manevi değerlerine güvence sağlamak için, başkaları tarafından bilinmesini istemediği hususun oluşturduğu ve korunması hukuken gerekli görülen hayatı üzerindeki hakkı olarak tanımlayabiliriz. Kanaatimizce, 1982 Anayasası’nın 20, 21 ve 22. maddelerinde düzenlenen özel hayat hakkının mümkün olduğunca geniş korunması, gerek verilerin işlenmesinde ve gerekse kullanılmasında öngörülecek sınırlamaların net, anlaşılabilir ve istisnai olması hedeflenmelidir.
TCK m.135 ile Kişisel Verilerin Korunması Kanunu Tasarısı’nın 7. maddesi birbiri ile ilgili olduğundan, 135. madde hakkında kısa açıklama yapılması gerektiğini düşünmekteyiz.
Türk Ceza Kanunu’nun 135. maddesinin ikinci fıkrası ve gerekçesi arasında çelişki mevcuttur. Maddenin gerekçesinde, “…kişilerin ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin bilgilerin kayda alınmasına kanunlarda özellikle suçlulukla mücadele bağlamında, suç ve suçluların ortaya çıkarılmasını sağlamak amacıyla belli ölçüde izin verilebilir. Bu durumlarda sözkonusu suç oluşmayacaktır.” ifadelerine yer verilmiştir. Böylece, sayılan bu hallerle ilgili yapılan kişisel veri tespiti fiilleri suç sayılmayacaktır.
Oysa TCK m.135/2’de, gerekçede belirtilen, kişilerin ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin bilgilerin kayda alınması suç olarak düzenlenmiştir. TCK m.135/2 ile gerekçesi bu noktada çelişmekte ve maddeden iki farklı anlam çıkmaktadır. Bu madde hükmüne göre, kişilerin siyasi, felsefi, dini görüşleri ile ırki kökenleri kesinlikle kayda alınamaz, bunun yanında ahlaki eğilimleri, cinsel yaşamları, sağlık durumları veya sendikal bağlantıları, bu konulara ilişkin verileri kaydetme işlemi hukuka aykırı olmadığı müddetçe kayda alınabilir. Ancak belirtmek isteriz ki, “hukuka aykırılık” kavramı tüm hukuk kurallarının dikkate alınmasını gerekli kılmaktadır. Bu sebeple, kanun hükmünden kaynaklanan hukuka uygunluk sebebinin varlığı halinde, suçun diğer unsurları tamam olsa bile ortada hukuka uygunluk sebebi olacağından, TCK m.135/2’de düzenlenen suç gerçekleşmeyecektir.
Tasarının 6. maddesinin 1. fıkrasında, “Kişilerin ırkı, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, dernek, vakıf ya da sendika üyeliği, sağlığı veya cinsel hayatı ile ilgili verileri, özel nitelikli kişisel veriler olup bunların işlenmesi yasaktır.” hükmüne yer verilmiştir. Ancak 6. maddenin 2. fıkrasında, özel hayatın ve aile hayatının gizliliğinin korunmasını sağlayacak yeterli önlemlerin alınması şartıyla bazı hallerde özel niteliği olan kişisel verilerin işlenmesine olanak sağlandığından yukarıda bahsetmiştik. Kanaatimizce, kişilerin ırk, siyasi düşünce, felsefi inanç, özel yaşam gibi bilgileri kayıt altına alınmak suretiyle saklanmamalıdır. Aksine bir durum keyfi uygulamaları beraberinde getirebileceği gibi, kişi güvenliğini ve özel yaşamını ciddi ölçüde tehlike altına sokacaktır.
Bununla birlikte, Anayasanın 20. maddesinin ikinci fıkrasında özel hayata yönelik sınırlama sebeplerinin gösterildiği, aynı sebeplerin İHAS m.8/2’de yer aldığı, dolayısıyla Anayasanın 13. maddesine uyulmak kaydıyla kişisel verilerin işlenmesi ve kullanılması anlamında özel hayata birtakım somut sınırlamalar getirilebileceği ileri sürülebilir. Elbette olmamasını istediğimiz bu uygulama, maalesef pozitif hukuk kurallarının varlığı karşısında imkansız gözükmekte, yani bireyin rızası dışında özel hayata müdahale edilemeyeceği fikrinin istisnasız tatbiki mümkün gözükmemektedir. Bu durumda Tasarı tarafından, özel hayata yönelik sınırlamaların daha net, az ve her yönü ile bireyi korumayı hedefleyen anlayışla düzenlenmesi gerektiğine işaret etmek isteriz.
Demokratik hukuk devletinde kişilerin siyasi düşünceleri, felsefi ve dini inançları, ahlaki eğilimlerine yönelik herhangi bir müdahale, tümüyle kişi dokunulmazlıklarının ihlali anlamına gelecektir. Hukuk devletinden beklenen, temel hak ve özgürlüklere ancak mutlak zorunluluk hallerinde sınırlama getirmektir. Bu zorunluluk hallerinin sınırları soyut, belirsiz ifadelerle çizilmemeli, ilgili yasa ile hangi hallerde temel hak ve özgürlüklere müdahale edilebileceği açık şekilde belirtilmelidir. Kanaatimizce olması gereken, vatandaşların siyasi düşünce, dini inanç ve özel yaşamlarına hiçbir şekilde müdahale etmemektir.
Hukuka uygunluk sebebi olarak 6. maddede düzenlenen kişinin açık rızasının alınması, failin o verileri istediği gibi kullanabileceği veya ifşa edebileceği anlamına gelmeyecektir. Sadece kişisel verilerin kayıt altına alınmasına ve kaydeden tarafından rıza gösteren, fakat herhangi bir şekilde kullanılmasını veya başkalarını aktarılmasını istemeyen mağdurdan rızası dahilinde öğrenilen bilgiler izinsiz olarak başkalarına aktarılmışsa, bu durumda TCK m.136’da düzenlenen kişisel verileri hukuka aykırı olarak verme, yayma veya ele geçirme suçu işlenmiş sayılacaktır. Ancak Tasarının 8. maddesinde, TCK m.136 hükmünde öngörülen sınırlar genişletilmek suretiyle kişisel verilerin maddede sayılan hallerin gerçekleşmesi durumunda üçüncü kişilere aktarılması mümkün hale getirilmiştir.
F- Kişisel Verilerin Anonim Hale Getirilmesi ve Üçüncü Kişilere Aktarma
Tasarının 7. ve 8. maddeleri, kişisel verilerin anonim hale getirilmesi ve verilerin araştırma, planlama, istatistik amacıyla kullanılmasına ilişkin hükümleri düzenlemiştir. 7. maddenin birinci fıkrası, ihtiyaç duyulmayan kişisel verilerin, koruma tedbiri veya ispat amacıyla muhafazasının gerekli olmaması halinde anonim hale, yani kime ait olduğunun bilinmesinin mümkün olamayacağı hale getirilmesini veya ortadan kaldırılmasını öngörmüştür.
9. ve 10. maddelerde yetkili olan kişi, müessese ve kurul gösterilmemiş olmakla beraber, Tasarının 18. maddesinde Kişisel Verileri Koruma Kurulu’nun görev ve yetkileri arasında bu hükümler açık bir şekilde gösterilmediğinden, hükümlerle ilgili veri kütüğü sahiplerinin yetkili olduğunu, bu konuda hukuka aykırılık olup da şikayetin yapılması kaydıyla Kişisel Verileri Koruma Kurulu’nun yetkili hale geleceğini belirtmek isteriz.
Türk Ceza Kanunu’nun 136. maddesinde, kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan ve ele geçiren kişinin cezalandırılacağı ifade edilmiştir. Bu madde hükmü ile hukuka uygun olarak kaydedilmiş olsun veya olmasın, kişisel verileri hukuka aykırı olarak başkalarına vermek, yaymak veya ele geçirmek bağımsız bir suç olarak tanımlanmıştır. Kanun gereği, mağdurun rızası veya meslek icabı kayıt altına alınan veri, hangi hukuka uygun amaçla tespit edilmişse sadece o amaç çerçevesinde kullanılabilecektir. Bunun dışında, hangi nedenle olursa olsun veriyi bir başkasına veren, yayan veya kayıt altında bulunan veriyi hukuka aykırı olarak ele geçiren kişi 136. maddede tanımlanan suçu işlemiş sayılacaktır.
Tasarının 11. maddesinin 1. fıkrasında, “Veri sorumlusu; a) verilerin hukuka aykırı olarak işlenmesini önlemek, b) verilere hukuka aykırı olarak erişilmesini önlemek, c) verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini sağlamaya yönelik gerekli tedbirleri almak zorundadır.” hükmüne yer verilmiştir. Tasarı m.17/1,b’ye göre, “11 inci maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 10.000 Türk Lirasından 1.000.000 Türk Lirasına kadar, idari para cezası verilir”.
Birim, kurum veya kuruluşlarda veri kayıt sisteminin kurulmasından veya yönetilmesinden sorumlu olan gerçek veya tüzel kişi veri sorumlusu hakkında, suç işleme kastının varlığı halinde Türk Ceza Kanunu’nun 136. maddesinin tatbiki saklı olacaktır. Elbette bu madde, tüzel kişi veri sorumlusu yönünden yetkilisi olan gerçek kişi hakkında uygulanacaktır (TCK m.20/2). 136. maddede düzenlenen fiil ile Tasarının 11. maddesinde yer alan fiil farklılık göstermektedir. Her ikisinin birden uygulanma ihtimali, “ne bis in idem” ilkesi olarak bilinen “bir suçtan iki ceza verilemez” prensibini zedelemeyecektir.
Tasarı m.8/1’e göre, ilgilinin rızası olmaksızın kişisel verilerin üçüncü kişilere ve yurtdışına aktarılması yasaktır. 8. maddenin 2. fıkrasında, bu yasağın istisnaları gösterilmiştir.
Tasarı m.5 yönünden; kanunlarda açık hüküm olması, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin veya bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasına ilişkin olması kaydıyla sözleşme taraflarına ait kişisel verilerin işlenmesinin gerekliliği, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili tarafından kişisel verilerin alenileştirilmesi, bir hakkın tesisi, kullanılması veya korunması için veri işleme zorunluluğunun varlığı ve m.6 yönünden kanunlarda açık hüküm olması, ilgilinin kişisel verileri alenileştirmesi, bir hakkın tesisi, kullanılması veya korunması için veri işleme zorunluluğunun varlığı, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin yönetimi ve finansmanı için özel nitelikli kişisel verilerin işlenmesi hallerinde, kişisel veriler ile Tasarı m.6/1’de “özel nitelikli kişisel veriler” olarak adlandırılan kişinin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini mezhebi veya diğer inançları, dernek vakıf veya sendika üyeliği, sağlığı veya cinsel hayatı ile ilgili verileri ilgili kişinin açık rızası aranmaksızın üçüncü kişilere veya ilgili yabancı ülkede yeterli korumanın bulunması şartıyla yurtdışına aktarılması mümkün olabilecektir.
Kişisel verilerin aktarılacağı yabancı ülkede yeterli koruma bulunmaması halinde kişisel veriler ancak; ilgilinin açık rızası, Türkiye’de ve kişisel verilerin aktarılacağı ülkede bulunan veri sorumlularının yeterli korumanın sağlanacağına dair yazılı taahhütleri ve Kurulun izninin bulunması kaydıyla yurtdışına aktarılabilirler.
Tasarı m.6/2-c’de; siyasi parti, vakıf, sendika gibi kar amacı gütmeyen kuruluş veya oluşumlarca, tabi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanı kapsamına girmek ve başkalarına açıklanmamak kaydıyla kendi üyelerine ve mensuplarına yönelik verileri işleyebilmeleri öngörülmüştür. Tasarı m.8/4’e göre bu kişisel veriler ancak; kanunlarda açık hüküm olması, ilgilinin açık rızası ve Kurulun izninin varlığı kaydıyla üçüncü kişilere yeterli koruma bulunması halinde de yurtdışına aktarılabilirler.
Veri sorumlusu tarafından, ilgilinin rızası veya en azından Kurulun izni olmaksızın yurtdışına aktarılan kişisel verilerde sakınca olması veya veri aktarımının mevzuata aykırılığı halinde, kişisel veriler zaten yurtdışına aktarılıp, bu halde kişiler hakkında tüm bilgiler öğrenileceğinden, telafisi güç ve hatta imkansız zararların doğmasının önüne geçilemeyecektir. Bu durumda, veri sorumlusu tarafından yurtdışına aktarılan kişisel veriler geri de alınamayacağından, kişilerin özel yaşamlarına, siyasi ve felsefi düşüncelerine, dini inançlarına veya sağlık bilgilerine ilişkin tüm veriler hukuka aykırı şekilde başkalarının, özellikle de yabancı ülke ve örgütlerin eline geçebilecektir.
Tasarının 15. maddesine göre, Kurul tarafından bir veri sorumluları sicili tutulmakta ve kişisel verileri işleyen gerçek ve tüzel kişilerin, veri kütüğü kurmadan önce Sicile kaydolmaları gerekmektedir.
“Veri Sorumluları Sicili” başlıklı Tasarı m.15/2’de, kişisel verileri işleyen gerçek ve tüzel kişilerin, veri işlemeye başlamadan önce sicile kaydolmaları zorunluluğu öngörülmüştür. Ancak hükmün devamında, Kurulun takdir ve değerlendirmesine bağlı olarak bu zorunluluğun kaldırılabileceği ifade edilmiştir ki, bizce veri sorumlusunu denetimden kaçırmaya yönelik bu tür genişlikte ve keyfi kullanılmaya elverişli bir yetkinin Kurula tanınmaması gerekir.
Kanaatimizce Tasarının kanunlaştırılması sırasında, kişisel verilerin saklanma süresinin açıkça belirtilmesi, bu süreleri belirleme yetkisinin de Kurula bırakılmaması yönünde bir hükme yer verilmelidir. Kişisel verilerin korunması ve dokunulmazlığı hakkı esas olup, buna müdahale istisna olduğundan, hem bu istisnaların takibi hem de kişisel verilere müdahale, yani kaydedilip saklanma süre ve şartlarının kanunla tanımlanması, bu hususların yürütme organı ve idarenin takdir yetkisine bırakılmaması isabetli olacaktır.
G- Kişisel Verileri Koruma Kurulu
Tasarı m.18 ve devamında, Kişisel Verileri Koruma Kurulu’nun kurulması, görevleri, kurulun oluşumu ve üyelerine ilişkin hükümler, çalışma esasları, Genel Sekreterliğin oluşum ve görevleri ile personeline ilişkin hükümlere yer verildiği görülmektedir.
Tasarı uyarınca Kurul, yetkilerini bağımsız olarak kullanmakta ve hiçbir organ, makam, merci ve kişi Kurulun kararını etkilemek amacıyla emir ve talimat verememektedir. Tasarının 18. maddesinde belirtildiği üzere Kurul, Kanunla kendisine verilen görevleri yerine getirmek amacıyla oluşturulmuştur. Bu amaç, veri kütüğü sahipleri tarafından toplanan kişisel verilerin korunması, bu konudaki hukuka aykırılıkların önüne geçilmesi ve kişisel verilerin istisnai olarak başkaları tarafından kullanılmasına ihtiyaç duyulması halinde, bu taleplerin hukuka uygun olup olmadığının takibi olarak tespit edilmiştir.
Ayrıca 20. maddede Kurulun, Bakanlar Kurulu tarafından seçilen yedi üyeden oluşacağı öngörülmüş, ancak seçilen adayların nasıl belirleneceğine ilişkin herhangi bir düzenlemeye Tasarıda yer verilmemiştir. Böylece, bağımsız ve tarafsız olması gereken Kurul tümü ile yürütmenin etki ve tasarrufuna bırakılmıştır.
Görüleceği üzere, Anayasa m.20/3 ile güvence altına alınan kişisel verilerin korunması ve dokunulmazlığı hakkının gözetilmesi konusunda yetkili kılınan Kişisel Verileri Koruma Kurulu üyelerinin seçilmesi tümü ile yürütme organına, yani Bakanlar Kurulu’na bırakılmıştır. Bu tercih doğru değildir. Bu Kurul, yasama organı olan Türkiye Büyük Millet Meclisi tarafından veya kanun koyucunun belirleyeceği kurum veya kuruluşların göndereceği üyelerden oluşmalıdır. Bu yolla, Kurulun tarafsızlığı, tüm üyelerinin Hükümetin kontrolünde olmasının önüne geçilebilir. Burada amaç, kişisel verilerin korunması ve dokunulmazlığı hakkının gözetilmesini en üst seviyede tesis etmektir. Çünkü Kurulun ilişkili olduğu bakanlık, yürütme organının bir mensubu olan Adalet Bakanlığı’dır.
Tasarının 19. maddesinde Kurulun görev ve yetkileri düzenlenmiştir. Buna göre Kurul, kişilik hakları ihlal edilenlerin başvuruları hakkında karar vermeye, ilgili kişi bakımından telafisi güç ve imkansız bir zararın doğması ihtimalinin bulunması halinde geçici önlemler almaya, kişisel verilerin işlenmesine ilişkin konularda düzenleyici işlemleri hazırlamaya, yabancı ülkelere veri aktarımı konusunda tereddüt bulunması halinde karar vermeye, Başkanın sunduğu önerileri karara bağlamaya, Kurul faaliyetleri hakkında yıllık rapor hazırlamaya, sicilin tutulmasını sağlamaya, yurtiçi ve yurtdışında verilerin korunması makamları ile işbirliği yapmaya, veri koruma hukuku alanındaki gelişmeleri takip etmeye ve bunların uygulanması için gerekli önlemleri almaya, ihtiyaç duyulan alanlarda ulusal ve uluslararası kurum ve kuruluşlarla işbirliği içinde araştırma ve teknik yardım projeleri hazırlamaya, geliştirmeye ve yürütmeye, kanunlarda verilen diğer görevleri yerine getirmeye görevli ve yetkilidir.
Belirtmeliyiz ki, kişilerin temel hak ve özgürlükleri ile doğrudan ilişkili bir görev yürütecek olan bir kurulun üyelerinin tek bir makam tarafından seçilmesi, kadrolaşmalara sebebiyet verebilecektir. Bu nedenle, Kurula üye seçimi ve aday gösterilmesi farklı makamlar tarafından yapılmalıdır.
Tasarının görev sürelerini düzenleyen 20. maddesinin beşinci fıkrasında, Kurul üyelerinin görev süreleri iki yıl olarak belirtilmiş, seçilmeleri için gerekli şartları taşımadığı veya sonradan kaybettiği anlaşılan, görevleri ile ilgili olarak işledikleri suçlardan dolayı haklarında verilen mahkumiyet kararı kesinleşen, görevlerini yerine getiremeyecekleri sağlık kurulu raporu ile kesin olarak anlaşılan veya görevlerine izinsiz, mazeretsiz ve kesintisiz olarak 15 gün ya da bir yılda toplam otuz gün süreyle devam etmeyen üyelerin görevinin Kurul kararı ile sona ereceği düzenlenmiştir.
Tasarının 13. maddesinin birinci fıkrası, şikayet başvurularının Kurul tarafından sonuçlandırılacağını öngörmektedir. Ancak 2 ve 3. fıkralarda, veri sorumlusuna başvuru yolu tüketilmeden Kurula şikayette bulunulamayacağı, şikayetten itibaren dört aylık bekleme süresinin olduğu ifade edilmiştir.
SONUÇ
Tasarının ilk hali, kişisel verilerin korunması ve dokunulmazlığı hakkı yönünden oldukça olumsuz hükümler içermekte idi. Tasarının bu halinde bazı olumsuzlukların giderildiği görülmektedir. Ancak yine de Tasarı hükümlerinin gözden geçirilip, kişisel verilerin korunması ve dokunulmazlığı hakkının gözetilmesi esasından hareketle değiştirilmesi, getirilecek sınırlamaların da belirli, yani net, Anayasa m.2, 13, 17 ve 20’ye uygun hale getirilmesi isabetli olacaktır.
Tasarıya ilişkin yukarıda izah ettiğimiz değerlendirmeler neticesinde, Tasarının kişisel verileri korumaktan ziyade, kişileri fişleme amacına hizmet ettiğini söylemek mümkün olabilir. Kişisel verilerle ilgili bu özel düzenleme yanında, Milli İstihbarat Teşkilatı, Polis Teşkilatı, Jandarma Teşkilatı, birçok kamu kurum veya kuruluşu ile ilgili yasal düzenlemelerde yer alan hüküm ve yetkiler dikkate alındığında, kırılgan durumda olan, bilgi kaydının, saklanmasının ve aktarılmasının çok ilerlediği, bilim-tekniğin durdurulamaz noktalara geldiği boyutta, gerek meşru ve gerekse gayrimeşru faaliyetlere karşı bireyin dokunulmaz alanı olan kişisel verilerine azami şekilde koruma getirilmesi gerektiği, bunun Ülkenin iç ve dış güvenliği açısından da önemli olduğu, ancak evleviyetle "hukuk devleti” ilkesinin bir yansıması olarak bireyin huzuru ve güvenliği için şart olduğu tartışmasız bir gerçektir.
Tasarı; kişisel verilerin toplanması, dağıtılması ve bu yolla bireylerin fişlenmesi Tasarısı haline dönüştürülmemeli, kişi hak ve hürriyetleri bakımından mutlak bir zorunluluk olan kişisel verilerin korunması amacı ikinci planda kalmamalıdır. Öncelikli amaç, kişisel verilerin korunması, bunların çok istisnai hallerde toplanması, kontrolünün yapılması, bu yolla kişi hak ve hürriyetlerinin ihlal edilmesinin önüne geçilmesi olmalıdır.
Özellikle kişisel verilerin kayda alınmasında ve bunların üçüncü kişilere aktarımında yetki sahibi olan veri sorumlusunun, doğması muhtemel suistimallere karşı bir sistem dahilinde kontrol edilmesi zorunludur. Tasarı, bir kontrol sistemi getirmiş gibi görünmekle birlikte, Başbakan ve dolayısıyla yürütme organını devreye sokulması sonucunda, bağımsız ve tarafsız denetim mekanizması ortaya koyma yönü ile ciddi eleştirilerin muhatabı olacaktır.
Öncelikle, veri toplamanın düzenlenmesi, gerekli olmadığı halde kişilere ait verilerin toplanmasının önüne geçilmesi, toplananların korunması, elbette istisnai olarak ve yukarıda izah ettiğimiz Anayasanın 13. maddesinde öngörülen şartlar çerçevesinde toplanan kişisel verilerin bazı özel durumlarda üçüncü kişi ve makamların kullanımına verilmesi mümkün olabilir. Ancak bu hususun bir istisna olduğu, esas olanın kişisel verilerin dokunulmazlığı ve korunmasının sağlanması gerektiği, bu amaçla yasal düzenlemeye gidilmesinin isabetli olacağı gözden uzak tutulmamalıdır.
Öncelikle hukuka aykırılıkların önüne geçmek amacıyla bir denge sağlanmalı, her somut olayın özelliklerine ilişkin bir değerlendirme yapılmalı ve açık kurallar belirlenmek suretiyle somut olayın özellikleri dikkate alınmalıdır. Bu noktada, Kanunun sınırlarının net bir şekilde belirlenmesi ve bu sınırın dışına çıkılmaması önem arz etmektedir.
Kanaatimizce, Türk Ceza Kanunu’nun 135. ve 136. maddelerinde düzenlenen kişisel verilerin kayda alınması ve hukuka aykırı olarak bir başkasına verilmesi ya da ele geçirilmesi suçlarına ilişkin belirlenen ceza sorumluluğunu artırmak, Kişisel Verileri Koruma Kanunu’na duyulan ihtiyacı da ortadan kaldırabilir. Bu noktada Türk Ceza Kanunu’nda yer alan hükümler kuvvetlendirilmeli ve bu yolla mevcut Tasarının yasallaşması neticesinde ortaya çıkabilecek suistimal ve hukuka aykırılıkların önüne geçilmelidir. Bununla birlikte, veri sorumlusu toplanan kişisel verilerin kontrolü, güvenliğinin sağlanması, Anayasa ve yasalar çerçevesinde istisnai olarak bu verilerin üçüncü kişilere kullandırılmasına dair usul ve esasların belirlenmesinde yasal düzenlemeye ihtiyaç olduğunu da söylemek isteriz.
Elbette esas olan, kişisel verilerin kayda alınmaması, bunların veri havuzlarında toplanmaması ve istisnai haller dışında kullanılmamasıdır. Kişilerin maddi ve manevi varlığının bütünlüğünü oluşturan kişisel verilerin bir yerde toplanması, bu verilerin soyut gerekçelerle keyfi biçimde kullanılması, Anayasa ile güvence altına alınan temel hak ve hürriyetlerin ve özellikle bireylerin özel hayatlarının gizliliğinin ihlali anlamına gelecektir. Bu nedenle, Tasarının bireyi koruma amaçlı kanunlaştırılması, özel hayatın gizliliği ve korunması hakkı kapsamına giren kişisel verilerin korunması ve dokunulmazlığı hakkının kırılganlığının gözetilmesi, bu hakka zorunlu ve meşru hallerde müdahalenin geniş, keyfi, esnek veya belirsiz tutulmaması, sınırlama hükümlerinin net olması, veri toplayıp kaydeden veri sorumlularının denetimlerinin yapılması, sorumluluklarının ağırlaştırılması, veri toplama, saklama, kullanıma sunma ve aktarmada vuku bulan ihlaller hakkında, gerek ceza ve gerekse hukuki sorumluluğun ağırlaştırılması gerekir.
(Bu köşe yazısı, sayın Prof. Dr. Ersan ŞEN tarafından <
