Giriş
Teknolojinin gelişmesiyle birlikte bilişimden uzak kalmanın kaçınılmaz olduğu bir dünyada kişilerin özel yaşamı, mahremiyeti ve çeşitli hakları açısından riskler de bu teknolojik gelişmenin sonucu olarak çoğalmaktadır. Kişilerin, bu mahremiyet alanlarının korunmasına yönelik olarak başvurması gereken bir hukuki mekanizmanın varlığı temel hak ve hürriyetler açısından gerekli bir hale gelmiştir. Bu gereklilik ve zorunluluklardan dolayı dünyada kişisel verilerin korunmasına yönelik kanuni düzenlemeler yapılmaya başlamıştır.
Kişisel veriler kapsamında önemli bir husus olan ve başkaları tarafından öğrenildiği takdirde ilgili kişinin mağdur olabilmesine veya ayrımcılığa maruz kalabilmesine sebep olabilecek nitelikteki özel nitelikli kişisel veriler gerek 6698 sayılı Kişisel Verilerin Korunması Kanunu gerek Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) ayrıca düzenlenmiştir.
Ben de öncelikle kişisel verilere ilişkin Avrupa’da ve Ülkemizde yapılan kanuni düzenlemelerden bahsedip ardından özel nitelikli kişisel veriler kavramını ve bu veriler bakımından Avrupa Veri Koruma Kurulu ve Ülkemizde kurulmuş olan Kişisel Verileri Koruma Kurulu’nca verilen kararları elimden geldiğince açıklamaya çalışacağım.
Kanuni Düzenlemeler
Ulusal anlamda ilk veri koruma kanunu 1970 tarihli Almanya’nın Hessen Eyaleti Veri Koruma Kanunu’dur. Bu kanunun yapılış amacı, bilişim sistemlerini kullanarak tapu kayıtlarına erişenler karşısında verilerin korunmasına yönelik usul ve esasları belirlemektir. Federal düzeyde Almanya’da ilk Federal Veri Koruma Kanunu taslağı 1971 yılında hazırlanmış ve hazırlanan The German Bundesdatenschutzgesetz (Almanya Federal Veri Koruma Kanunu) 1 Ocak 1978 yılında yürürlüğe girmiştir.[1] Fransa’da 6 Ocak 1978 tarihli Veri İşleme ve Hürriyetler Kanunu[2], İngiltere’de ise 1998 yılında Veri Koruma Kanunu[3] yürürlüğe girmiştir.
Her ne kadar Avrupa ülkeleri kendi ulusal hukukları bakımından kişisel verilerin korunmasına ilişkin düzenlemeler yapmış olsa bile Avrupa Birliği düzeyinde de kişisel verilerin korunması alanında farklı düzenlemeler yapılmıştır. Bunların ilki, Avrupa Konseyi tarafından hazırlanarak 28 Ocak 1981 tarihinde imzaya açılan ve 1 Ekim 1985 tarihinde yürürlüğe giren Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi’dir.[4] Bu sözleşme, üye devletler ve üye olmayan devletlerin katılımı için imzaya açılmıştır. Türkiye söz konusu sözleşmeyi 28 Ocak 1981 tarihinde imzalamış olmasına rağmen sözleşmenin uygun bulunmasına ilişkin kanun ancak 18.02.2016 tarihinde Resmi Gazete’de yayınlanmıştır.
Türk Hukuku bağlamında kişisel verilerin korunmasına ilişkin kanuni düzenlemelerin Avrupa’daki gibi uzun bir geçmişe sahip olmadığını söyleyebiliriz.[5] 07.05.2010 tarihli 5982 sayılı Kanunun ikinci maddesiyle Anayasa’nın 20. Maddesine yeni bir fıkra eklenmiştir. Bu fıkraya göre “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir”. Bu kanun değişikliğiyle birlikte kişisel verilerin korunması anayasal bir temel hak niteliği kazanmıştır. 07.04.2016 tarihinde de kanun koyucu, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nu yasalaştırmıştır.
Kişisel Veri
6698 sayılı kanun madde 3/1-d’ye göre kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir. Yani ilgili kanunun kapsamına yalnızca gerçek kişiler dahildir. Tüzel kişiler, bu kanun kapsamında korunmaya dahil edilmemişlerdir.
Üstünde durulması gereken bir diğer önemli husus ise kişinin kimliğini belirlenebilir kılan her türlü bilgi kavramıdır. Bir gerçek kişinin adı, soyadı o kişinin kişisel verisidir ve o kişiyi belirlenebilir kılar fakat ad, soyad bu kişiyi belirlemek için yeterli olmayabilir ve bunun yanında ek bilgilere ihtiyaç duyulabilir.
Bazen bir kişinin adı ve soyadı belirtilmeden bile o kişinin belirlenebilmesi mümkün olabilmektedir. Örneğin A şirketinin İnsan Kaynakları Departmanı’nda üç kadın ve iki erkek çalışıyor olsun. Eğer “A şirketinin İnsan Kaynakları Departmanı’nda çalışan beyaz renkli arabası olan uzun boylu bir erkek” ifadesi kullanıldığı vakit bu açıklamaya uyan tek bir kişi olması durumunda bu ifade kişinin belirlenebilir olması hasebiyle kişisel veridir. Fakat yine de bu bilgilerin ait olduğu gerçek kişinin belirlenebilir olması her somut olaya göre farklı değerlendirilir.
Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) Madde 4(1) göre kişisel veri, tanımlanmış veya tanımlanabilir gerçek kişiye ilişkin her türlü bilgi olarak açıklanmıştır. Tanımlanabilir bir gerçek kişi, doğrudan veya dolaylı olarak, özellikle bir isim, kimlik numarası, lokasyon bilgisi, çevrimiçi tanımlayıcı veya o kişinin fiziksel, fizyolojik, genetik, zihinsel, ekonomik, kültürel veya sosyal kimliğine özgü bir ya da daha fazla faktöre atıfta bulunarak tespit edilen kişidir.
Özel Nitelikli Kişisel Veri
Özel Nitelikli Kişisel Veri kavramı 6698 sayılı Kanun’un 6. Maddesinde şu şekilde tanımlanmıştır; Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini mezhebi veya diğer inançlar, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.
6698 sayılı kanunun gerekçesine bakıldığı zaman bu verilerin, başkaları tarafından öğrenildiği takdirde ilgili kişinin mağdur olabilmesine veya ayrımcılığa maruz kalabilmesine neden olabilecek nitelikte veriler olmaları dikkate alınmakta, bu sebeple bu tür veriler özel nitelikli (hassas) veri olarak kabul edilmektedir.[6]
GDPR Madde 9(1) göre ırk veya etnik köken, siyasi görüş, dini veya felsefi inanç, sendika üyeliğini ortaya koyan kişisel verilerin işlenmesi ve bir kişinin benzersiz olarak tanımlanması amacıyla genetik verilerin, biyometrik verilerin işlenmesi, bir kişinin cinsel yaşamı veya cinsel yönelimi ile ilgili sağlık veya verilere ilişkin verilerin işlenmesi yasaktır. İlgili madde devamında ise özel nitelikli kişisel verilerin işlenmesinin istisnaları yer almaktadır.
i. Özel Nitelikli Kişisel Verilerin İşlenmesi
6698 sayılı kanun bakımından kural olarak Özel Nitelikli Kişisel Verilerin işlenmesi için açık rıza alınması zorunlu bir husustur. Ayrıca Kurul tarafından belirlenen yeterli önlemler alınmaz ise özel nitelikli verilerin işlenememesi öngörülmektedir.
Fakat bazı durumlarda ilgili kişinin açık rızasının alınmamış olmasına rağmen özel nitelikli kişisel verilerin işlenebilmesi mümkündür. Kanunlarda öngörülen haller doğrultusunda açık rıza alınmasa da bu veriler işlenebilir fakat bu ilgili kişinin, açık rızası olmadan bu verilerin işlenebileceği durumlar sağlık ve cinsel hayata ilişkin veriler ile diğer özel nitelikli kişisel veriler bakımından bir ayrıma tabi tutulmuştur. KVKK Madde 6/3 ikinci cümlesine göre sağlık ve cinsel hayata ilişkin kişisel veriler ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.
Örneğin, bir kişi A hastanesinde tansiyon tedavisi görmüş, aynı kişi B hastanesinde de kalp rahatsızlığı tedavisi görüyorsa ve ayrıca bu kalp rahatsızlığı sebebiyle ameliyat olması gerekliyse bu iki hastane doktoru sağlık verilerini birbirlerine aktarabilecektir.
Kişisel Verileri Koruma Kurulu 31/01/2018 tarihinde 2018/10 sayılı "Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler" [7] bir karar yayınlamıştır. Bu karara göre özel nitelikli kişisel veri işleyen veri sorumluları tarafından alınması gereken yeterli önlemler belirlenmiştir.
Kişisel Verileri Koruma Kurulu bir kararında spor salonlarına giden kişilerin kulüp hizmetlerinden yararlanmasına ilişkin olarak alternatif yollar olmasına rağmen salonlara giriş ve çıkış işlemlerinin parmak izi, avuç içi izi verisi gibi biyometrik verilerinin işlenerek ve bunlarla giriş çıkış işlemini yapmalarını 6698 sayılı Kanunun 4. Madde (2) numaralı fıkrasında yer alan işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkesiyle bağdaşmadığından ilgili spor salonuna idari para cezası uygulamıştır. [8]
Özel nitelikli kişisel verilerin işlenmesine yönelik Polonya Veri Koruma Kurulu’nun yakın bir zamanda Gdansk şehrinde bulunan bir ilkokula uyguladığı para cezası önem arz etmektedir. Söz konusu okulda 680 öğrencinin parmak izinin alınmasıyla kantin alışverişi yapabilmesi sağlanıyordu. Kurul, ilgili okulun söz konusu işlemi çocukların parmak izini işlemeden yapabilmesinin başka seçeneklerinin de olmasını göz önünde bulundurarak, okulun özel nitelikli kişisel veri (biyometrik veri) olan parmak izinin alınması ve bunun herhangi bir yasal dayanağının bulunmamasını dile getirmiştir. Kurul ayrıca söz konusu veri sorumlusuna, işlenen özel nitelikli veri olan parmak izlerinin silinmesi gerektiğini söylemiştir. İlgili veri işleme faaliyetiyle kişisel verileri elde eden okul bu verileri toplarken ailelerin ve yasal temsilcilerin yazılı rızalarını almasına dayandırmıştır. Bunun üzerine kurul, çocukların özel hayatına vurgu yaparak söz konusu faaliyetin yani kantinden yemek alma faaliyetinin başka şekilde alternatiflerinin bulunması (elektronik kart, isimlendirme, sözleşme numarası vs..) sebebiyle parmak iziyle kantin alışverişi yapılmasının uygun ve ölçülü olmadığını vurgulayarak, bu biyometrik veri kullanımının, veri işlemesi amacının önemli ölçüde orantısız olduğuna ve çocukların kişisel verilerinin korunmasının üzerinde özellikle durduklarına dikkat çekmiştir. Biyometrik verinin eşsiz, daimi yani kalıcı olması ve zamanla değişmeyecek olması sebebiyle bu verilerin kullanımında çok daha dikkatli olunmasını vurgulamıştır. [9]
Sonuç
Ülkemizde ise 2010 yılında yapılan Anayasa değişikliğiyle kişisel verilerin korunması hakkı, anayasal bir hak olarak düzenlemiştir. Fakat Türkiye’de bu alana ilişkin yapılan ilk yasal düzenleme 6698 sayılı Kişisel Verilerin Korunması Kanunu olmuştur. Ülkemizde ilgili yasal düzenleme bakımından geç kalındığı çok bariz bir şekilde görülmektedir ve bu yüzden veri sorumluları veya ilgili kişiler uygulamada ilgili düzenlemeye çok yabancı kalmaktadırlar. Özellikle eczaneler, diş sağlığı poliklinikleri, özel hastaneler, fizik tedavi merkezleri gibi ana faaliyeti özel nitelikli kişisel veri işleme olan ve sağlık verisi işleyen veri sorumlularının çok daha dikkatli davranması gerekmektedir.
Kurul’un vermiş olduğu kararlar dikkate alındığında kişisel veriler konusunda veri sorumlularının hukuka uygun bir şekilde hareket etmesi gerekmektedir aksi takdirde idari para cezaları ve Türk Ceza Kanunu kapsamında cezai müeyyidelerle karşılaşmak kaçınılmaz olacaktır.
Stj. Av. Ozan YILDIRIM
Kaynakça
1. Mesut Serdar Çekin, Avrupa Birliği Hukukuyla Mukayeseli Olarak 6698 Sayılı Kişisel Verilerin Korunması Kanunu
2. Oğuz, Habip, Elektronik Ortamda Kişisel Verilerin Korunması, Bazı Ülke Uygulamaları ve Ülkemizdeki Durum, Uyuşmazlık Mahkemesi Dergisi, Sayı 3, Haziran 2014
3. Kişisel Verilerin Korunması Kanunu Tasarısı (1/541) ve Adalet Komisyonu Raporu, Mayıs 2020
4. Bundesdatenschutzgesetz, https://en.wikipedia.org/wiki/Bundesdatenschutzgesetz , Mayıs 2020
5. Loi informatique et libertés, https://fr.wikipedia.org/wiki/Loi_informatique_et_libert%C3%A9s , Mayıs 2020
6. Data Protection Act 1998, https://en.wikipedia.org/wiki/Data_Protection_Act_1998 , Mayıs 2020
7. 108 Nolu Sözleşme metni için bknz. https://www.coe.int/en/web/conventions/full-list/-/conventions/treaty/108 , Mayıs 2020
8. https://www.kvkk.gov.tr/Icerik/4110/2018-10 , Mayıs 2020
9. Kişisel Verileri Koruma Kurulunun 25/03/2019 Tarihli ve 2019/81 Sayılı Karar ve 31/05/2019 Tarihli ve 2019/165 sayılı Karar Özeti
10. Fine for processing students’ fingerprints imposed on a school https://edpb.europa.eu/news/national-news/2020/fine-processing-students-fingerprints-imposed-school_en , Mayıs 2020
-----------------------------------------
[1] Bundesdatenschutzgesetz, https://en.wikipedia.org/wiki/Bundesdatenschutzgesetz [Erişim: Nisan 2020]
[2] Loi informatique et libertés, https://fr.wikipedia.org/wiki/Loi_informatique_et_libert%C3%A9s [Erişim: Nisan 2020]
[3] Data Protection Act 1998, https://en.wikipedia.org/wiki/Data_Protection_Act_1998 [Erişim: Nisan 2020]
[4] Sözleşme metni için bknz. https://www.coe.int/en/web/conventions/full-list/-/conventions/treaty/108 [Erişim: Nisan 2020]
[5] Mesut Serdar Çekin, Avrupa Birliği Hukukuyla Mukayeseli Olarak 6698 Sayılı Kişisel Verilerin Korunması Kanunu
[6] Bkz. Kanun Tasarısı S.9
[7] https://www.kvkk.gov.tr/Icerik/4110/2018-10
[8] Kişisel Verileri Koruma Kurulunun 25/03/2019 Tarihli ve 2019/81 Sayılı Karar ve 31/05/2019 Tarihli ve 2019/165 sayılı Karar Özeti
[9] Fine for processing students’ fingerprints imposed on a school https://edpb.europa.eu/news/national-news/2020/fine-processing-students-fingerprints-imposed-school_en [Erişim: Nisan 2020]