Kişisel Verilerin Toplanması mı, Korunması mı?

Abone Ol
Kişisel veri; bireyin şahsi, mesleki ve ailevi özelliklerini gösteren, o bireyi diğer bireylerden ayırmaya ve niteliklerini ortaya koymaya elverişli her türlü bilgi anlamına gelmektedir.

Alt Komisyonda kabul edilen Kişisel Verilerin Korunması Kanunu Tasarısı’nın 3. maddesinin 1. fıkrasının (ç) bendinde, belirli veya kimliği belirlenebilir gerçek ve tüzel kişilere ilişkin tüm bilgiler kişisel veri olarak tanımlanmıştır.

Örneğin; bireyin yaşadığı sağlık sorunları, hekimi ile arasındaki münasebetleri, hastalığının ne olduğu, kullandığı ilaç, kendisine uygulanan tedavi, vücut özellikleri, tahlil ve sair tetkiklerin sonuçları “kişisel veri” kapsamına girer. Tasarının geniş tanımına göre; kişi ile ilgili her türlü bilgi, bu kapsamda kişinin telefon numarası, parmak izi, avuç içi taraması, biyometrik kimliği, ev veya iş adresi, T.C. kimlik numarası, hastane, banka, nüfus ve adli sicil kayıtları, alışveriş yaptığı yerler ve tercihleri, siyasi görüşü, dini inancı, siyasi parti ve sivil toplum örgütlerine üyeliği, sosyal faaliyetleri, aile yapısı, cinsel hayatı kişisel veri sayılmalıdır.

İlk bakışta, kişisel verilerin toplanması ve toplandıktan sonra korunmasının düzenlenmesi gerektiği, konuyu düzenleyen Anayasa m.20/3’den bu sonuca varıldığı ileri sürülebilir ki, bu düşünceye katılmak mümkün değildir. Kişisel verileri ve bu verilerin korunmasını “özel hayat hakkı” kapsamında güvence altına alan Anayasa m.20/3’de, kişisel verilerin nasıl toplanacağı veya toplanmasının meşruluğu yerine, işin doğası gereği toplanan veya bir kurum veya kuruluş tarafından öğrenilen kişisel bilgilerin korunmasından bahsedilmiştir.

Kanaatimce temel sorun, Anayasa m.20/3'ün nasıl anlaşılması ve uygulanması gerektiğinden kaynaklanmaktadır. Bu hüküm, kişinin temel hakkı olan kişisel verilerin korunmasını isteme hakkını düzenler. Bu hüküm, hangi maksatla olursa olsun kişisel verilerin toplanmasını, bir yerde depolanıp saklanması ve kullanılmasını kapsamaz.

20. maddenin 3. fıkrasında; "Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir." hükmüne yer verilmiştir. Bu hükümde, Anayasa m.13'de kişi hak ve hürriyetlerinin sınırlanması için aranan özel bir sebep de bulunmamaktadır. 20. maddenin 2. fıkrasında yer alan özel sınırlama sebepleri ise; kişinin üstünün, özel kağıtlarının ve eşyasının aranması ve bunlara istisnai olarak elkoyulması ile ilgili olup, kişisel verilerin toplanıp saklanması ve kullanılması konularında kişi aleyhine kıyas yapılmasına dayanak olamaz.

Bir sınırlama hükmü olarak gözükse de kişi hak ve hürriyetlerinin gözbebeği olana “Temel hak ve hürriyetlerin sınırlanması” başlıklı Anayasa m.13’e göre “Temel hak ve hürriyetler, özlerine dokunulmaksızın yalnızca Anayasanın ilgili maddelerinde belirtilen sebeplere bağlı olarak ve ancak kanunla sınırlanabilir. Bu sınırlamalar, Anayasanın sözüne ve ruhuna, demokratik toplum düzeninin ve laik Cumhuriyetin gereklerine ve ölçülülük ilkesine aykırı olamaz”.

Kişisel verilerin toplanması ile ilgili iki sorun vardır; ilki Anayasaya göre, bir özel hayat hakkı olan kişisel verilerin zorla, yani kişinin rızası hilafına kamu otoritesi tarafından toplanmasının hukuki dayanağı bulunmamaktadır. Aldığı mal veya hizmet nedeniyle kişi; örneğin hastaneye, mağazaya, bankaya, sigorta firmasına, vergi dairesine bazı kişisel bilgileri vermek zorunda kalabilir, ancak bu bilgiler mal ve hizmetin verilme gereğinden kaynaklanan zorunluluklarla sınırlı olup, işin niteliğine uygun düşmeyen bilgilerin verilmesi konusunda birey mecbur bırakılmaz. İşte Anayasa m.20/3’ün düzenlediği koruma, bu tür işlenen kişisel veriler ile kişinin rızası ile verdiği bilgilerin korunması ile sınırlıdır. Bunun dışında, m.20/3’ün kişisel verilerin toplanması için dayanak yapılması ve “Temel hak ve hürriyetlerin sınırlanması” başlıklı m.13’ün kişisel verilerin rıza hilafına toplanmasında kullanılması mümkün değildir. İster unutulmuş olsun isterse de eksik düzenleme sayılsın, mevcut Anayasa kişisel verilerin zorla, yani kişinin rızası hilafına toplanmasını, dolayısıyla bir kurum veya kuruluşta işin niteliği gereği toplanmış bilgilerin kamu otoritesi veya başka bir yerle paylaşılması zorunluluğunu öngörmez.

Anayasa m.20/3’de; herkesin kendisi ile ilgili kişisel verilerin korunmasını isteme hakkına sahip olduğundan söz edilirken, işin niteliği gereğipaylaşılan veya kişinin isteyerek verdiği kişisel verilerin korunması hakkı düzenlemiştir. Bu hak; gerçek veya tüzel kişinin kendisi ile ilgili kişisel verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi kapsar.

Anayasa m.20/3, işin niteliği gereği kişisel verilerin toplandığı yerde korunması ve buna ilişkin yasal düzenlemenin bir an önce yapılmasıgereğine işaret etmiştir. 3. fıkranın son cümlesinde net bir şekilde; “Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir."hükmüne yer verilerek, kişisel verilerin korunması hakkının yasal dayanaklarının oluşturulması zorunluluğuna vurgu yapılmıştır.

Anayasa m.20/3; 12 Eylül 2010 tarihinde yapılan halkoylaması ile yürürlüğe girdiği halde bugüne kadar kişisel verilerin korunması ile ilgili yasal düzenlemenin çıkarılmadığı görülmektedir. Oysa çıkarılacak kanunla; kişisel verilerin nasıl toplanacağı değil, işin niteliği gereği toplanan veya kişinin rızası ile verdiği bilgilerin nasıl depolanıp saklanacağı, bu bilgilerin kim tarafından ve ne şekilde kullanılacağı, kimlerle paylaşılabileceği, ne kadar süre saklanabileceği, ne zaman ve nasıl imha edileceği ve kişisel veri sahibinin hakları düzenlenmeli idi. Bu konuda çok geç kalındığı, birçok insanın çıkarılacak kanunu kişisel verilerin toplanması olarak anladığı, bu nedenle kanuna kayıtsız kaldığı, oysa bugüne kadar kişisel verilerin zaten toplandığı, bu toplamanın işin niteliğinden veya kişinin rızasından kaynaklandığı, hatta Anayasada dayanağı olmasa bile bazı kanun ve alt düzenlemelerle kişilerden rızaları hilafına veya işin niteliğine uygun düşmeyen bilgilerin alındığı, bu konuda kişi rızasının hiçe sayıldığı, “Anayasanın bağlayıcılığı ve üstünlüğü” başlıklı Anayasa m.11 ve bunun temeli olan “hukuk devleti” ilkesini düzenleyen Anayasa m.2’nin ihlal edildiği, bu tür ihlallerin de kamu hizmeti gereği veya üstün kamu yararı gibi mazeretlerle haklı gösterilmeye çalışıldığı, ancak bu tür yaklaşımların Anayasanın konu ile ilgili net hükümlerine aykırı olduğu, kişisel verileri toplamaya yönelik hukuk kurallarında Anayasa dayanağının ve hatta yasal dayanağının olmamasının yanında, yasal dayanak olanlarda da kişisel verilerin korunması ile hükme yer verilmeyip, yalnızca bilgi toplamadan ve özellikle de işlerinin gereği başkalarının kişisel verilerini toplayan gerçek veya tüzel kişilerin bu bilgileri kamu otoritesine iletmesinden, yani kamu otoritesi ile paylaşmak zorunda bırakılmasından bahsedildiği, tüm bu düzenleme ve uygulamaların normlar hiyerarşisinin tepesinde olan Anayasaya aykırı olduğu ve olacağı bir gerçektir.

Anayasa m.20/3’de yer alan “Kişisel veriler, ancak kanunda öngörülen hallerde …işlenebilir.” hükmünün, Anayasa m.13 bakımından özel sınırlama sebebi sayılması mümkün değildir. Kişisel veriler ve bunların korunması bir temel hak olduğuna ve bu hak Anayasa m.20/3’de “özel hayat hakkı” altında tanımlandığına göre, bu hakkın sınırlandırılabilmesi, yani kişinin rızası olmasa da kişisel verilerin toplanabilmesi için, ya Anayasa m.20/3’de veya Anayasanın bir başka maddesinde kişisel verilerin toplanması yönünde bir hukuki dayanak, yani milli güvenlik, kamu düzeni, suç işlenmesinin önlenmesi, genel sağlık ve ahlakın, başkalarının hak ve hürriyetlerinin veya iktisadi düzenin korunması gibi özel sınırlama nedeni olmalıdır. Aksi halde, kişisel verilerin zorla toplanması ve işin niteliği veya kişinin rızası ile bir yerde toplanan bilgilerin yasal dayanakla bile kamu otoritesine aktarılması kabul edilemez. Anayasa incelendiğinde, kişisel verilerin toplanması ile ilgili özel sınırlama nedenine yer verilmediği ve bu hususun bilerek veya bilmeyerek eksik bırakıldığı görülmektedir. Bu konuda, ya Anayasa değişikliğine gidilmeli veya yalnızca işin niteliği gereği toplanan bilgiler ile kişinin rızası ile toplanan kişisel verilerin nasıl korunup kollanacağına, elde edilme veya verilme amaçları dışında kullanılamayacaklarına, kamu otoritesine de verilemeyeceklerine dair yasal düzenleme çıkarılmakla yetinilmelidir. Yazılı hukuk sisteminde “normlar hiyerarşisi” ilkesi bir kenara bırakılmayacağı gibi, Anayasaya aykırı kanun da çıkarılmamalıdır. Bu anlayış belki kanuni olur, fakat hukuki sayılamaz ve “hukuk devleti” ilkesinde de karşılık bulamaz.



Kaynak: Haber7