6698 SAYILI KİŞİSEL VERİLERİN KORUNMASI HAKKINDA KANUN İNCELEMESİ


GİRİŞ

Hızla büyüyen, gelişen ve küreselleşen dünyamızı;  internet ağının kullanımının her geçen gün gelişmesi, insanların birbirlerine ve birbirlerinin bilgilerine ulaşımlarının daha da kolaylaşmasını sağlamış ve bu durum da aslında büyük dünyamızın sınırlarını daraltmış, iletişim ve ulaşılabilirliği arttırmıştır.

Günümüzde dünyada ve ülkemizde artık hemen hemen her işlem internet üzerinde şekillenmektedir. Yaptığımız bankacılık, e-devlet işlemlerinin yanı sıra; günlük hayatımızda sıkça kullandığımız internet alışverişleri, neredeyse bir bütün günümüzü aktardığımız sosyal medya hesaplarımız ve internet siteleri üzerinde kendi şahsi bilgilerimizi girdiğimiz pek çok portal mevcut. İşte söz konusu hususlarda kişilerin şahsi verilerini, tüm dünya vatandaşlarının görebileceği ya da başka kişilerin hukuka uygun olmayan birtakım yollarla o bilgileri rahatlıkla elde edebilecekleri platformlarda paylaşmaları yine hukuka uygun olmayan, haksız ve kişilerin kanuni haklarını zedeleyebilecek boyutlara ulaşan bazı problemleri meydana getirmektedir.

Ülkemizde ve dünyada sosyal medya sıklıkla kullanılmakta, bir kişinin birden fazla platformda hesabı bulunmakta ve bu hesaplarda kişilere ait pek çok kişisel bilgi yer almaktadır. Örneğin şu an sadece Facebook kullanıcı sayısı bile milyarla ifade edilmektedir. İnsanlar ise o mecraya güvenip kendi cinsel kimliklerini, siyasi görüşlerini, dini inanışlarını paylaşmakta ve rahat bir şekilde özel yazışmalarını gerçekleştirmektedir. Fakat buna dair 10.4.2018’de ABD’de gerçekleştirilen Facebook davası tüm bu paylaşımların aslında bir nebze sakınca doğurabileceğini ortaya çıkarmıştır. 10.4.2018 tarihinde Facebook kurucusu Mark Zuckerberg, Facebook üzerinden gerçekleştirilen insanların kişisel verilerinin alınıp hukuka uygun olmayan bir şekilde kullanılması iddiaları üzerine yargılanmıştır.

Tüm bu durumlar ise dünyada ve ülkemizde kişisel verilerin korunması üzerine yoğunlaşılmasını, kişisel verilerin tanımını, sınırlarını, hangi hallerde kullanılabileceğini belirleme zorunluluklarını ortaya çıkarmıştır. Bu kapsam ülkemizde yapılan çalışmalar sonucunda 26.12.2014’te Kişisel Verilerin Korunması Kanunu Tasarısı TBMM’ye sunulmuş ve bu tasarı 24.3.2016 tarihinde kanunlaşmıştır. 7.4.2016 tarihinde ise Resmi Gazete’de yayımlanmıştır[1].

Bu çalışmada kişisel veri tanımı, kişilerin bu kapsamdaki hakları ve bu hakların sınırları 6698 sayılı kişisel verilerin korunması kanunu kapsamında incelenecektir.

I. Genel olarak

A. -Kişisel Veri Kavramı  

Kişisel veri belli ya da belirlenebilir bir kişiye ait olan bilgidir[2]. Kimliği belirlenebilir, şahsı bilinen, o şahsa özgülenen tüm bilgiler kişisel veri kapsamındadır[3]. Bir kişinin belirlenebilir olması için o kişinin diğer kişilerden ayırt edici özellikleri olmalıdır. O kişiye atfedilen ayırt edici özellikler kişisel veri kapsamı içinde değerlendirilmektedir. Tam olarak o kişinin şahsı doğrudan doğruya gösterilmese de kendisinin tanınmasını sağlayacak herhangi bir niteleme yine onun kimliğini belirlemeye yardımcı olacaktır. Kişiye ait yalnızca ad- soyad bilgileri değil diğer nüfus bilgileri, cinsel yönelimi, dini görüşleri,  kredi kartı bilgileri, sosyal güvenlik numarası, siyasi düşüncesi de kişisel veriler kapsamında örnek olarak gösterilebilir. Kişisel verinin kişinin ancak istediği zamanda, kendi isteğiyle üçüncü kişilerle paylaştığı bilgiler kapsamında olduğunu bildiren Yargıtay kararına göre herkes tarafından rahatlıkla bilinebilen hususları kişisel veri kapsamına sokmak kişisel veri tanımını genişleterek belirsizliğe yol açacaktır[4]. Yine aynı Yargıtay kararına göre kişinin DNA’sı, saç, tükürük gibi kişiye ait biyolojik örnekler, e posta adresi gibi bilgiler de kişisel veri kapsamında değerlendirilecektir. Avrupa Birliği Adalet Divanı (ABAD) ise dinamik IP adresinin kişisel veri kapsamına sokulması gerektiği yönünde bir yargılama hükmüne varmıştır[5].

Kişiye ait maddi manevi bilgileri içeren, onunla ilgili olan bilgiler o kişinin kişisel verilerini oluşturacaktır. Ayrıca kişiye ait bu bilgilerin doğru ve eksiksiz olması gerekmez, kişinin bu yanlışları düzeltme hakkı saklıdır[6].

B. -Kişisel Verilerin Korunması

Kişisel veriler kişinin kimliğinin ve belirlenebilir olmasının bir parçası olması sebebiyle, kişinin hayatında oldukça önemli bir yer teşkil etmektedir. Kişilerin siyasi ya da dini görüşleri onların bir parçaları olmakla birlikte, toplumla paylaşıp paylaşmamaları yine onların tercihine bırakılmalıdır. Örneğin Yargıtay’ın bir kararından alınan örnekte kişinin fotoğraflarının izinsiz olarak sosyal medyada başkası tarafından paylaşılması kişinin haklarını zedeleyen bir olay olarak gösterilmiştir[7].

Kişiler kendilerine ait olan her türlü ekipmanı, bilgiyi yine kendi iradeleri doğrultusunda kullanma haklarına sahip olmalıdırlar. Bu hakka saldırı niteliği teşkil eden her türlü davranış onların kişisel verilerini kullanma yönündeki iradelerini zedelemektedir.

Türk pozitif hukukunda ise bu durum hem 6698 s. Kanunla hem de diğer kanun hükümleriyle koruma altına alınmaya çalışılmıştır.

C. Türk Pozitif Hukukunda Kişisel Verilerin Korunmasıyla İlgili Hükümler (Anayasa-TCK-TMK)

6698 s. Kanun 2016’da yürürlüğe girmiştir fakat 2016 öncesinde de kişisel verilerin korunmasına ihtiyaç duyulmuştur. Kişisel verilerinin korunması 6698 s. Kanun dışındaki kanun hükümleriyle sağlamaya çalışılmıştır. Ayrıca kişisel verilerin korunması kavramı diğer kanunlarda yer alan başka kavramlarla da iç içe geçmektedir. Bu başlıkta Anayasa ve TCK kapsamında kişisel verilerin korunması ile ilgili hükümler işlenecektir.

Kişisel verilerin korunması ve kişinin bunu talep edebilmesi hakkı esasen anayasal bir hak olarak da değerlendirilmelidir. Anayasa Md. 20’ye göre: “Herkes, özel hayatına ve aile hayatına saygı gösterilmesini isteme hakkına sahiptir. Özel hayatın ve aile hayatının gizliliğine dokunulamaz.” Kişisel veriler şahısların özel hayatlarıyla ilgilidir ve herkes kanun gereği özel hayatına saygı gösterilmesini talep edebilmelidir, bu durum kişilerin temel haklarından sayılmaktadır. Kişilerin kendilerine ait olan kişisel verilerinin izinsiz kullanılması da özel hayatın gizliliği ilkesinin ihlali niteliğinde olacaktır. Yine aynı maddenin 3.fıkrası hükmünce de kişilerin kişisel verilerinin korunmasını talep edebilecekleri, bunlar hakkında bilgi alabilecekleri, kişisel verileri üzerinde tasarruf edebilecekleri öngörülmüştür. Bu madde ile kişisel verilerin korunması anayasal olarak da kesin bir şekilde güvence altına alınmıştır.

Aynı zamanda Anayasa’nın 22. Maddesi gereği bireylerin haberleşme hürriyetleri vardır. Bireylerin kendi aralarında yaptıkları mesajlaşmalar, görüşmeler haberleşme kişisel veri kapsamına sokulacaktır ve yine bireylerin bu özgürlükleri anayasa çerçevesinde güvence altına alınmıştır. Haberleşmenin gizliliğinin esas olduğunu belirten Anayasa hükmü, kişisel verilerin korunması kapsamında bireylerin aralarında yaptıkları haberleşme metotlarını koruması altına almıştır. Haberleşmenin oluşturduğu bilgiler kişisel veri kapsamındadır ve haberleşme ise bir haktır.

Kişisel verilerin anayasal bir korunmaya alınmasının yanında 5237 s. Türk Ceza Kanun’u kapsamında da güvence altına alındığı görülmektedir. Özel hayatın gizliliği, kişisel verilerin kaydedilmesi gibi madde başlıkları altında söz konusu mevzu incelenmiştir.

Anayasal bir hak olarak da bahsettiğimiz haberleşmenin gizliliğini ihlal suçu TCK madde 132 kapsamında değerlendirilmiş ve kişisel bir veri ve aynı zamanda bir hak olarak tanınan bu hükmün ihlali durumunda ceza verilmesi öngörülmüştür.

TCK madde 134 kapsamında ise yine anayasal bir hak olarak da tanımlanan özel hayatın gizliliğini ihlal suçu ele alınmıştır. Kişiler özel hayatları gereği kendilerine ait, kimliklerini belirleyen pek çok kişisel veri elde ederler. Bu durumun ihlali aynı zamanda görüntü veya seslerin kayda alınması suretiyle işlenmesi halinde verilecek olan cezanın bir kat arttırılacağını öngörmüştür. Yine elde edilen bu bilgilerin ifşa edilmesi, basın yayın yoluyla yayılması durumunda da cezai bir sorumluluğun ortaya çıkacağı kanunun 2. fıkrasında açıkça belirtilmiştir.

TCK madde 135 değerlendirildiğinde suçun isminin kişisel verilerin kaydedilmesi olduğu görülmektedir. Kişisel verilerin hukuka aykırı olarak kaydedilmesi özel olarak bir suç tipi şeklinde öngörülmüştür. Bu da kişisel verilerin korunması yollarında önem teşkil etmektedir. Aynı maddenin 2. fıkrasında kişilerin siyasi, felsefi veya dini görüşlerine, ırki kökenlerine; hukuka aykırı olarak ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin olması durumunda suçun temel şeklinden verilecek olan cezanın arttırılması öngörülmüştür. Kanunda sayılan bu yolların hukuka aykırı olarak elde edilmesi daha özel bir muameleye tabi tutulmuştur.

TCK madde 136 ele alındığında ise yine kişisel verileri koruyan onları hukuka aykırı olarak ele verme veya geçirme şeklinde kişilerin bu hakkını ihlal eden kimselerin hapis cezasına mahkum edileceği açıkça belirtilmiştir. Hemen akabindeki 137. Maddede ise bu suçun kamu görevlisi tarafından görevi sayesinde işlenmesi veya belirli bir mesleğin ya da sanatın sağladığı kolaylıkla işlenmesi halinde nitelikli hal sayılacağı, cezanın temel şekline oranla arttırılacağı belirtilmiştir.

Mevcut verilerin kanunda belirtilen süre ve durumların bitimiyle yok edilmesi gerekir. Fakat bunu yerine getirmeyen yükümlüler olması ihtimali üzerine verileri yok etmeme başlıklı 138. Madde düzenlenmiştir. Bu suçun işlenmesi halinde de hapis yaptırımı öngörülmüştür.

5237 s. Türk Ceza Kanun’u ve Anayasa kapsamında kişisel veriler kavramının incelenmesi ve koruma altına alınmasının yanında özel hukuk kuralları çerçevesinde de birtakım düzenlenmeler yapıldığı görülmektedir. Örnek teşkil etmesi açısından Türk Medeni Kanun’u çerçevesinde inceleme yapılması gerektiği takdirde 24. Madde gereği kişilik haklarına hukuka aykırı olarak saldırılan herkesin hâkimden saldırana karşı haklarının korunmasını isteme hakkının var olduğu açıkça görülmektedir.

II. 6698 sayılı Kişisel Verilerin Korunması Kanunu

A. Kanunun Yapılmasındaki Amaç

Kişisel Verilerin Korunması Kanun’u yukarıdaki başlıklarda da bahsedildiği üzere; var olan kanun hükümlerinin yanında teknolojinin de günbegün gelişmesi sebebiyle ayrıntılı bir şekilde düzenlenme ihtiyacından doğmuştur. Bu kanunla kişisel veri kapsamının sınırları belirlenebilmiş ve kişisel verinin korunması yolları ayrıntılandırılmıştır. Aynı zamanda Anayasa madde 20’ye 2010 yılında yapılan değişiklikle eklenen : “Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.” hükmü bu konuyu düzenleyen yeni bir kanun çıkarılmasını kaçınılmaz kılmıştır[8].

Kanun çıkartılırken TBMM tarafından hazırlanan rapordaki genel gerekçede kişisel verilere dair bilgilerin kullanılması her ne kadar bireyler ile mal ve hizmet sunanlar bakımından kolaylıklar sağlasa da, bu bilgilerin kullanımının birtakım riskler doğurabileceği açıkça belirtilmiştir. Raporda bu bilgilerin kullanılmasında oluşan menfaatler ile kişilerin bilgilerinin istismar edilme riski karşı karşıya kaldığı, çatıştığı, bu ikisi arasında dengenin kurulması gerektiği fakat kanun bulunmadığı için de toplumda olumsuz bir algı oluşabileceği; bu sebeple bunlara ilişkin esaslar belirlenmesi gerektiğinden bahsedilmiştir[9]. Yine aynı raporda Kişisel Verilerin Korunması Kanunu’nun çıkartılması için geçerli sebepler sayılmıştır. Bunlardan biri 5237 s. Türk Ceza Kanunu’ndaki hükümlerin özel bir kanun bulunmaması sebebiyle işlenen fiillerin hukuka uygunluklarının tespitinde yaşanan tereddütler olarak gösterilmiştir. Bir diğer sebepse Avrupa Birliği tam üyelik sürecinde yaşanan müzakere süreçlerinin bu tip bir kanunu gerekli kıldığı yönündedir. Bunun da etkisiyle kanun hazırlanırken Avrupa Birliği’nin yayımlamış olduğu direktiflerden (özellikle 95/46 EC) yararlanılmıştır. Aynı zamanda kişilerin sağlık bilgilerinin yeterince korunmaması ve ifşaları, bu yüzden Avrupa İnsan Hakları Mahkemesince bu durumun özel hayatın gizliliğinin ihlali sayılması; yabancı sermayenin kişisel verileri koruyan bir kanun olmayışından dolayı ülkemizde yatırım yapmaya çekinmesi de kanunun gerçekleştirilmesi için açıklanan gerekçelerdendir[10]. Yani TBMM hukuki, ekonomik ve siyasi pek çok gerekçeye dayanarak kanunun gerekliliğine dikkat çekmiştir.

6698 s. Kanunun Amaç başlıklı 1. Maddesinde ise kanunun çıkarılma amacından bahsedilmiştir. Bu maddeye göre başta özel hayatın gizliliği olmak kaydıyla kişilerin temel hak ve hürriyetlerini koruma altına almak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülüklerini ve uyacakları usul kurallarını belirlemek kanunun amacıdır. Anayasal bir hak olan özel hayatın gizliliği kavramı ayrıyeten özel kanunun hakları güvence altına alırken en başta saydığı haktır. Hakikaten de kişisel verilerin korunması özel hayatın gizliliğinin korunmasıyla paralellik arz eder. Çünkü kişilerin kişisel verileri kanunda belirlenen haller dışında onların irade ve istekleriyle açığa çıkartılabilir. Bu da bir nevi özel hayatla alakalı bilgi niteliği taşımaktadır.

Kişisel verilere yönelik yapılan haksız ve hukuka aykırı davranışlara yönelik kanun, birtakım düzenlemeler getirmeyi amaçlamış; böylece kişisel verilerin korunmasındaki güvenliği artırmıştır.

Kişisel verilerin kayıtlarını, bu kayıtları işleyenleri, onların sorumluluğunu, işlenme şartlarını, kişisel verilerin yok edilmesi, anonim hale getirilmesi ve bunların usulünü açıklamak kastı yine kanunun amaçlarındandır. Aynı zamanda veri sorumlusu ve kişisel veri kurumu gibi teknik terimleri de açıklayıp bu terimlerin altında yatan hak ve yükümlülükleri de düzenleyerek bu kavramlara açıklık getirmiştir.

Netice olarak kanun kişilerin temel hak ve özgürlüklerini güvence altına almak, kişisel verileri koruma yolunda getirilen kurumların ve tanımlanan kişilerin sorumluluk ve haklarını düzenlemek, yasaya aykırı davranışlarda uygulanabilecek hükümler ortaya koymak ve en genel şekilde kişisel verilerin korunmasını amaçlamaktadır.

B-Genel Hatlarıyla 6698 sayılı Kişisel Verilerin Korunması Kanunu

1.Kapsam

Bir metnin kapsamı sınırları o kavramı sınırları içine neyin girip girmediği belirlemeye yarar. 6698 s. Kanun’un kapsamı ise 2. Maddesinde belirtilmiştir. “ Bu Kanun hükümleri, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır.” Burada verilen sınırlamalardan biri kanunun kişisel veriyi işleyen gerçek ve tüzel kişiler hakkında uygulanacağıdır. Aynı zamanda bu kanun kişisel verilerin veri kayıt sistemine otomatik olarak veya otomatik olmayan yollarla işlenmesini de kapsamı içine almıştır. Kanunda kamu ya da özel sektör ayrımı yapılmamıştır bundan dolayı her ikisinde de uygulama alanı bulacaktır[11]. İşlenen verilerin otomatik olup olmadığının bir öneminin olmaması da işlenecek sistemin buna dair herhangi bir özellik arz etmesinin gerekli olmadığı yönünde yorumlanacaktır[12]. Fakat işlenme biçimi önemli olmasa da bilginin veri kayıt sisteminde var olması gerektiği hükümden açıkça anlaşılmaktadır. Veri kayıt sisteminin bir parçası olmayan veriler TBMM raporuna göre bu Kanun çerçevesinde değerlendirilmeyecektir[13]. Her ne kadar kişisel verilerin işlenmesini hem gerçek hem tüzel kişiler yapabiliyorsa da kişisel verileri işlenenler sadece gerçek kişiler olacaklardır[14].

2. Tanımlar

6698 s. Kişisel Verilerin Korunması Kanun’un 3. Maddesi bahsi geçen kavramlar ve tanımları yapılmıştır. Değinilen ilk kavram açık rızadır. Kanunda açık rıza; belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür irade ile açıklanan bilgi şeklinde unsurlarına ayrılmıştır. Normalde kullanılması suç olan kişisel verilerin kullanımını açık rızanın varlığı hukuka uygun hale getirecektir.

Bir diğer kavram ise anonim hale getirmedir. Kanunda bu kavram kişisel verilerin tam anlamıyla belirlenebilirliğini ve kimliğini yitirmesi halini kapsamaktadır. Kişisel veri tanımlanırken belirlenebilir olmasının önemine dikkat çekilmişti. Kişisel verilerin anonim hale gelmesiyle anonim kelimesinin de anlamına uyularak kişisel verilerin unsurlarının yok olması hali söz konusu olacaktır.

Otomatik olan ya da olmayan herhangi bir veri kayıt sistemi sayesinde elde edilmesi, değiştirilmesi, yeniden düzenlenmesi gibi durumlar ise kişisel verilerin işlenmesi kavramını karşılayacaktır. Ayrıca kişisel veriler toplandıktan sonra yapılan her türlü faaliyet de bu kapsamda değerlendirilecektir[15].

Veri işleyen tanımı ise veri sorumlusunun verdiği yetkiyle ve onun adına kişisel verileri işleyen gerçek veya tüzel kişi olarak nitelenmiştir. Veri sorumlusu aldığı talimatla işlem yapabilir.

Veri kayıt sistemi kişisel verilerin işlendiği kayıt sistemidir.

Veri sorumlusu ise kanuna göre kişisel verilerin işlenme amaçlarını ve sınırlarını belirleyen ve veri kayıt sisteminin kurulmasından ve yönetiminden sorumlu olan gerçek veya tüzel kişi olarak tanımlanmıştır. Kişisel verilerin nasıl işleyeceğini belirler. Veri işleyen olayın daha ziyade teknik kısmıyla ilgilenirken, veri sorumlusu komut verendir[16]

3. Kişisel Verilerin İşlenmesi ile İlgili Genel İlkeler

         Kişisel Verilerin Korunması Kanunu’nun 4. Maddesinde kişisel verilerin işlenmesi sırasında uyulması gereken genel ilkelerden bahsedilmiştir. Kişisel veriler toplama, kaydetme, silme, değiştirme bunlara benzer yollarla işlenirken kanun koyucu bazı ortak ilkeleri bu işlemlerin yapılmasında öncü olarak belirlemiştir.

a)       Hukuka ve dürüstlük kurallarına uygun olma

         İşlenen kişisel veriler kanunlarda belirtilen hükümlere aykırı olmamalıdır. Veri sorumlusu kişisel verileri işler ya da işleme komutu verirken; kişisel verisi işlenen şahsın çıkarlarını gözetmeli, dürüstlük kuralı ilkesine aykırı olarak davranmamalıdır[17]. Veri sorumlusu tüm bunları yaparken kanunun 10. Maddesindeki aydınlatma yükümlülüğü çerçevesinden çıkmamalıdır. Yine 11. Maddeye göre de veriyle ilgili kişi, kişisel verisinin işlenip işlenmediğini, hangi amaçla işlendiğini, o amaca yönelik kullanılıp kullanılmadığını öğrenme haklarına sahipken; veri sorumlusu da dürüstlük ilkesi ve aydınlatma yükümlülüğü çerçevesinde bunları ilgili kişiye açıklamakla yükümlüdür. Veri sorumlusu kişisel verileri toplarken de dürüstlük kuralına uygun hareket etmelidir. Topladığı kişisel verinin hukuki sebebi ise hukuka uygunluk kuralı içerisinde olmalıdır. Örneğin herhangi bir hukuka uygunluk sebebi olmadan ve kişinin açık rızasının olmadığı hallerde veri sorumlusunun o kişinin kişisel verisini işlemesi dürüstlük kuralına aykırılık teşkil edecektir.

b)     Doğru ve gerektiğinde güncel olma

          İlgilinin kendisi hakkında yazılacak olan kişisel verilerinin doğru olmasını isteme hakkı bulunmalıdır. Bu durum temel hak ve hürriyetler kapsamında da değerlendirilebilir. Ayrıca veri sorumlusu dürüstlük ilkesiyle bağlantılı olarak da işlediği bilgilerin doğruluğundan emin olmalıdır. Kanunun 11. Maddesinde ilgili kişilerin haklarında da işlenen bilginin yanlış veya eksik olması halinde ilgili kişinin bunların düzeltilmesini talep etme hakkı bulunmaktadır. Aynı zamanda ilgilinin verilerinin yanlış yazılması onun zarar uğramasına da sebep olabilecektir. Tüm bu gerekçeler bakımından veri sorumlusu bilgileri işlerken doğru olduğu konusunda gerekli özeni göstermelidir. Veri sorumlusu aynı zamanda işlediği bilgilerin güncel olmasına da özen göstermelidir. Pekâlâ, bilgiler doğru olsa da güncel olmadıkları için kişiyi zarara uğratabilir. Örneğin kişiye ait e posta bilgilerinin değişmesi durumunda güncellenmemesi, kişiye ulaşması gereken birtakım bilgilerin ulaşmaması sonucu doğuracak ve ilgilinin zarara uğramasına sebebiyet verebilecektir. Bu tarz sebeplerle veri sorumlusu işlenen verileri aynı zamanda olabildiğince güncel tutmaya çalışmalıdır.

c)      Belirli, açık ve meşru amaçlar için işlenme

         Veri sorumlusu verileri işlerken bu ilke gereği belirli, açık bir şekilde işlerken hukuka aykırı olmayan amaçlar gütmek zorundadır. Aynı zamanda maddenin gerekçesinde de belirtildiği üzere veri sorumlusu işlediği verileri verdiği hizmetle alakalı olarak işlemelidir, bu sınırı aşmamalıdır[18]. Kişisel verilerin açık olarak işlenmesi anlaşılabilir olması sonucunu da doğuracaktır[19]. Ayrıca ulaşmak istediği hukuki amacı da doğru bir şekilde kast edebilmesi için girilen verilerin belirli olması da gerekmektedir. Örneğin e ticaret yoluyla yapılan bir kitap alışverişinde veri sorumlusunun kimlik ve kredi kartı bilgilerini alması mantıklı, makul ve meşru iken; kişinin sosyal güvenlik numarasını alması meşru ve hukuka uygun bir amaç sayılmayacaktır.

         Toplanan verilerin toplanış yolları da toplandıktan sonraki kullanım amaçları da hukuka uygun, meşru olmalıdır. Ayrıca açıklık ve belirlilik ilkesi sadece veri sorumlusunun anlayabileceği değil; genel anlamda bir örtüsüzlük ve netlik yaratmalıdır. Yine kanunun 11. Maddesinde de değinilen ilgili kişilerin haklarında, ilgili kişi; verilerin işlenip işlenmediği, işlenmişse buna ilişkin bilgileri talep edebilme hakkı veriler işlenirken dikkat edilmesi gereken açıklık ve belirlilik ilkelerinin doğal bir sonucu olacaktır.

d)     İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma

         Kişisel verilerin toplanırken bunların toplanma amacıyla sınırlı tutulmaları gerekir. Bir konu hakkında kişisel verileri elde eden veri sorumlusu;  bu bilgilerin elde ediliş sebebiyle kendini sınırlamalı ve konusuyla ilgili olmayan mevzulardan uzak durmaya çalışmalıdır. Aslında bir önceki ilkeyle de bağlantılı olan bu madde, veri sorumlusunun yöneldiği amacın meşru ve toplanan bilgilerin ise bu meşru amaçla bağlantılı olmasını aramaktadır. Elbette ki bu amaçların çizdiği birtakım sınırlar ve ölçüler mevcut olacaktır. Bu sınırlamalar ve ölçüler veriler elde edilirken çizilen çerçeveden sapmamaya özen göstermeyi gerektirir. Veri sorumlusu gerekli olmayan ve ihtiyaç duyulmayan verileri işlememelidir. Bu da aslında kişinin temel hak ve özgürlüklerini ve bu hakları üzerinde tasarruf yetkisini koruyan bir ilke olarak karşımıza çıkmasını sağlamış olacaktır. Örneğin bir spor salonuna kayıt olurken kimlik ve ödeme bilgilerinizin alınması çok doğal görülse de siyasi düşünceleriniz, dini inanışlarınız ya da dünya görüşünüzün de alınması ve işlenmesi, kişisel verilerinizin işlenme amacıyla bağlantılı olmayacak ve bu işlemi yapan veri sorumlusu da amaçla bağlılık ilkesinin doğurduğu sınırlı ve ölçülü olma kriterini uygulamamış olacaktır.

e)      İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme

İşlenen kişisel verilerin sürekli olarak mevcut olması, hem güncelliğini kaybetmiş birtakım veri yığınına hem de artık amacına hitap etmeyen ve belki de ilgili kişiyi zor durumda bırakabilecek bir durumun ortaya çıkmasına sebebiyet verebilir. Bu gereklilik sürelerine karar verilirken eğer ilgili mevzuatta bir süre belirlenmişse ona göre, eğer süre yoksa işlendikleri amaç tükendikten sonra kişisel veriler kaldırılmalıdır. Aynı zamanda 6698 s. Kanun madde 16 gereği veri sorumluları kişisel verilerin işlenme amaçları için gerekli olan süreyi belirtmelidir ve veri sorumluları sicili hakkındaki yönetmelik madde 9/4-f gereği de veri sorumlusu azami muhafaza süresini bildirmekle yükümlüdür.

      4. Kişisel Verilerin İşlenme Şartları

Kanun kişisel verilerin işlenmesi sırasında genel bir kural ortaya koymuş ve kişilerin açık rızası olmadan kişisel verilerinin işlenemeyeceğini belirtmiştir. Kanunun 5. Maddesi genel kuralı net bir şekilde ifade etmiştir. Kişisel veriler kendi tanımına da uygun olarak kişiye ait ve onun kimliğinin bir parçası olan veriler oldukları için kanun, kişinin açıklama iradesi olmadan kişisel verilerin paylaşılmasını isabetli bir şekilde doğru bulmamıştır. Örneğin sosyal medya hesabından kendi fotoğraflarını veya bulunduğu konumu paylaşan bir kişinin bu fotoğrafları ve konumu paylaşmada açık rızasının olduğu kabul edilebilecektir.

Fakat kanun getirdiği 2. Fıkra ile bu genel kurala birtakım istisnalar getirmiştir. Kanunun saydığı bu hallerde kişisel verilerin işlenmesi için açık rıza aranmayacağı söylenmiştir. Açık rıza ya da kanunda belirtilen haller olmazsa kişisel verilerin işlenmesi kanunun gerekçesine göre yasak olacaktır. Gerekçeye tekrar bakıldığında rıza kavramının Avrupa Birliği 95/46 EC sayılı direktifine göre tanımlandığı ve bu tanıma göre kişinin kendi iradesi ve isteğiyle kişisel verinin işlenmesine onay vermesi anlamı taşıdığı görülmektedir[20].

Her ne kadar genel kural açık rıza olsa da getirilen istisna hükümleri bu ilkenin her zaman için geçerli olmasını engellemiştir. Açık rıza ilkesinin uygulanmayacağı halleri kanun koyucu aynı maddede saymıştır. Açık rızanın kullanılamayacağı hallerden ilki durumun kanunda açıkça öngörülmesi olacaktır. Örneğin 5809 sayılı Elektronik Haberleşme Kanun’un 51. Maddesinde : “İlgili mevzuatın ve yargı kararlarının öngördüğü durumlar haricinde ancak acil yardım çağrıları ile 29/5/2009 tarihli ve 5902 sayılı Afet ve Acil Durum Yönetimi Başkanlığının Teşkilat ve Görevleri Hakkında Kanunda tanımlanan afet ve acil durum hâllerinde abonelerin/kullanıcıların açık rızası aranmaksızın konum verileri ve ilgili kişilerin kimlik bilgileri işletmeci tarafından yetkilendirilen kişilerle sınırlı olmak kaydıyla işlenebilir.” Bu maddede kullanıcıların/abonelerin kanunda belirtilen durumlarda açık rızalarına gerek duyulmadan konum verileri ve kimlik bilgilerinin işlenebileceği söylenmiştir.

6698 sayılı kanun madde 5/2-b gereği de kişi fiili imkansızlık gereği rızasını açıklayamıyorsa veya kişinin rızasına hukuken geçerlilik tanınmamışsa ya da bir başkasının hayatı veya beden bütünlüğü için zorunluysa kişisel verilerin işlenmesi için açık rıza aranmaz. Kanunun (c) bendinde sayılan bir diğer durum ise sözleşmenin kurulması veya ifasıyla direkt olarak ilgili olması koşuluyla, sözleşme taraflarının kişisel verilerinin işlenmesidir. Örneğin eser sözleşmesi gereği iş sahibi ve yüklenicin adres bilgilerinin bulunması işin doğasından kaynaklanacaktır. 2. Fıkranın (ç) bendi ise veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için bunun zorunlu olması durumundan bahsedilmektedir. Örneğin yapılan mali denetimler bu kapsamda değerlendirilmiştir[21]. Diğer istisnai hüküm ise veriyi ilgili kişinin kendisinin alenileştirmesidir. Örneğin sosyal medya hesabında kendi telefon numarasını paylaşmışsa bu verisini kendisi alenileştirmiş sayılacaktır. Kişinin bilgilerini toplum önüne sermesi sonucu hukuki korumanın sağlanmasının gerekli görülmediği kabul edilmektedir[22]. Bir hakkın tesisi, kullanılması veya korunması için veri işlenmesinin zorunlu olması da kanunun açık rızanın aranmadığı haller içerisinde saydığı bir durumdur. Son olarak (f) fıkrasında sayılan istisnai hal ise veri sorumlusunun meşru menfaatleri için veri işlemesinin zorunlu olması fakat bunu yaparken ilgili kişinin temel hak ve hürriyetlerini zedelemeden yapmasıdır. Veri sorumlusu veri işlemeyi yaparken kendi menfaatini düşünerek hareket eder bu yüzden bu işlem veri sorumlusunun günlük işlemleri ile ilgili olmalı ya da yakın gelecekte ona fayda sağlamalıdır[23].  Bunu yaparken ilgilinin temel hak ve özgürlüklerini göz ardı edemez.

      5. Özel Nitelikli Kişisel Verilerin İşlenme Şartları

Kişisel veri tanımının kapsamında değerlendirilebilecek olan bazı kavramlar özel nitelikli statüsüne sokulmuştur. Madde 6/1: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veri kapsamındadır. Öncelikle üzerinde durulması gerekilen husus özel nitelikli kişisel veri kavramıdır. Öğrenilmesi halinde kişinin ayrımcılığa maruz kalması, bu bilgileri sebebiyle birtakım mağduriyetler yaşaması gibi sonuçlar doğurabileceği düşünüldüğünden bu verilerin korunmasında hassas davranılması gerektiği düşüncesinden hareketle verilere özel bir nitelik addedilmiştir[24]. 2. Fıkrada ise özel nitelikli kişisel verilerin açık rıza dışında işlenmesi yasaklanmıştır. Esasen koruma altına alınmak istenen bu verilerin açık rıza dışında işlenmesinin yasak olması mantıklı ve tutarlı bir hüküm doğursa da 5. Maddede belirtilen “kişisel veriler ilgilinin açık rızası olmadan işlenemez” hükmü gereğince bu durumun zaten korunan bir hak olmuş olmasından dolayı burada tekrara düşüldüğü kanaatindeyim. Genel olarak kişisel veriler açık rıza olmadan işlenemeyecektir.

Toplumun nabzı tutulacak olursa gerçekten de gazetelerin 3. sayfa haberlerinde kişilerin ırkı, dini inancı, giyim tarzı ve bunun gibi sebeplerle mağduriyete uğradıkları perde arkasına saklanamayacak gerçeklerdendir. Fakat her noktada özel nitelik bahşedilen bu kavramların mağduriyet ortaya çıkarması ihtimali olmayacaktır. Bir nebze kişinin sosyal çevresine, yaşadığı bölgenin eğitim, refah ve dünya görüşüne göre değerleri değişebilecek olan bu kavramların incelenmesi, yaşanan olayın günlük yaşama yansımasına göre değerlendirilmelidir. Bu noktada kanun maddesinde sayılmayan diğer kavramların kişide özel nitelikli kişisel veri algısı taşıması muhtemeldir ve bu kavramların saptanmasının da somut olaya göre yapılması gerekir[25].

Daha sonra 3. fıkra ile kanuna getirilen istisna hükmü söz konusudur. İlk fıkrada öngörülen sağlık ve cinsel hayat dışındaki kavramlarda kanunlarda öngörülen durumlar söz konusu olmuşsa kişinin açık rızası aranmayacaktır. Yani kanun hükmü özel nitelikli kişisel verilerde esasen tam bir irade serbestisi tanımamaktadır. Esasen büyük bir istisna hükmü oluşturulmuştur. Sağlık ve cinsel hayat ile ilgili veriler aynı hükümde belirtilen gerekliliklerin oluşması durumunda açık rıza aranmadan işlenebilecektir.  Bu gerekliliklerin kesişim kümesi kamu yararıdır.

Dördüncü fıkrada gerekli önlemleri alacak organın Kişisel Verileri Koruma Kurulu olduğu hükme bağlanmıştır. Özel nitelikli kişisel veriler işlenirken kurulun nasıl bir politika izleyeceği, çalışanlarının sorumluluğu, verilerin korunması gibi hususlar 31.01.2018 tarihince Kurulca belirlenmiştir.

6. Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi ve Kısaca İlgili yönetmelik

Kişisel verilerin işlendikten bir müddet sonra işlenmesini gerektiren sebeplerin artık var olmaması dolayısıyla verilerin ortadan kaldırılması problemi gündeme gelecektir. Kişisel verilerin korunması kanunu bu ortadan kaldırma işlemini üç grup altında şemalandırmıştır. Bunlar silme, yok etme ve anonim hale getirme şeklindedir. Kişisel verilerin mevcudiyetini sağlayan sebepler ortadan kalkınca bunların somut varlıklarına son verme iradesi ilgili tarafından istenebileceği gibi veri sorumlusunca da re’sen yapılabilecektir. İlgilinin rızası ile kaldırılan verilerde veri sorumlusunun bu işlemin hangi yöntemle yapılacağını belirleme hakkı saklıdır[26]. Kişisel veriye bu üç işlemden birinin uygulanmasıyla o verinin tekrar kullanımı mümkün olmayacaktır[27]. Fakat kanundan silme, yok etme ve anonim hale getirme işlemlerinin usulü veya amacının ne olduğu kanundan anlaşılamamaktadır bu sebeple kanunun 7. maddesinde bu işlemlerin kurallarının ilgili yönetmelikle düzenlendiği hükme bağlanmıştır.

Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi hakkında yönetmelik yayımlanmış ve bu yönetmeliğin madde 2 gereğince veri sorumluları hakkında uygulanacağı kabul edilmiştir. Yönetmelik verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi başlıklarını imha olarak tanımlamıştır. Kanunda bulunmayan bazı kavramlara yer vermiştir. Bunlar kişisel veri işleme envanteri, kişisel veri saklama ve imha politikası ve periyodik imha olarak örneklendirilebilir. Veri sorumlusu burada belirtilen kişisel veri saklama ve imha politikasına göre hareket etmek, onun kapsamından çıkmamak yükümlülüğü altındadır.

Kişisel verilerin imha ediliş yöntemlerinin usulü yönetmeliğin 3. Bölümünde açıklanmıştır. Madde 8 gereği eğer bir kişisel veri silinirse bir daha geri döndürülmesi amaçlanamayacaktır. Verinin bir daha kullanılamaz hale getirilmesi verinin silinmesi kavramını karşılayan tanımlamadır. Silinen kişisel verilere ilgili kullanıcılar ulaşamayacaktır. 9. Maddede ise verilerin yok edilmesi kavramı tanımlanmıştır. Bu sefer yok edilen kişisel verilere hiç kimse tarafından ulaşılamayacaktır. Yok etme işlemini silme işleminden ayıran nokta budur. 10. Maddede açıklanan anonim hale getirme kavramı ise verinin başka verilerle eşlenmesi halinde bile, o verinin kimliği belirli veya belirlenebilir gerçek kişiyle ilişkilendirilemeyecek duruma getirilmesidir. Kişisel verinin tanımı kimliği belirlenebilir veya belirli olan veriler şeklinde yapılmıştı. Eğer ki ilgili kişiyle ona has unsurların arasındaki bağlantı kopartılırsa anonim hale getirme işlemi gerçekleşmiş olacaktır. Tüm bu işlemler için geçerli olan hüküm ise veri sorumlusunun bu işlemleri gerçekleştirirken her türlü teknik ve idari önlemleri alması gerektiğidir.

Kişisel verilerin imha edilebilmesi birtakım sürelerin geçmesine ihtiyaç vardır. Bu süre yönetmeliğin 11. Maddesi çerçevesinde veri sorumlusu tarafından kişisel verileri saklama ve imha politikasında belirlenecektir. Bu imha işleminin ilgili tarafından talep edilmesi halinde sürelerde değişiklikler olacaktır. Madde 12/1-a gereği eğer ilgili kişi bunlardan birini talep ederse, veri sorumlusu en geç 30 gün içinde bu işlemi sonlandırmakla yükümlü olacaktır.

Eğer bu yönetmeliği uygulamada herhangi bir tereddüt ortaya çıkarsa da bunu belirleme yetkisine haiz olan organ Kişisel Verileri Koruma Kurulu olacaktır.

7. Kişisel Verilerin Aktarılması

Kişisel verilerin aktarımı kanunun 8. Maddesinde ele alınmıştır. Genel kural olarak tıpkı verilerin işlenmesinde belirtildiği gibi verilerin aktarımında da açık rıza ilkesi esastır. Açık rıza olmadan kişisel verilerin aktarımı sağlanamayacaktır. Akabindeki maddenin, verilerin yurt dışına aktarımını ele almasından dolayı bu maddedeki veri aktarımının yurt içinde 3. Kişilere yapılan veri aktarımı olduğu anlaşılmaktadır. Aktarılan bu 3. Kişiler kanunen aktarılan bu verileri elde etme hakkına sahip olan kişilerdir[28].  Aynı zamanda veri sorumlusu ve veri işleyen arasındaki veri aktarımı da bu bağlamda değerlendirilecektir[29]. Genel kural olarak bu belirlense de 2. Fıkrada yine istisnai hükümler söz konusudur. Kişisel veriler 5. Maddenin 2. Fıkrasında belirtilen açık rıza ilkesinin istisna hükümlerini oluşturan durumlar söz konusu olduğunda, 6. Maddenin 3. Fıkrasında belirtilen özel nitelikli kişisel verilerin işlenmesinde açık rızanın alınmasının gerekli olmadığı durumlarda içlerinden herhangi birinin var olmasıyla açık rıza olmadan verilerin aktarımı mümkün olacaktır.

8. Kişisel Verilerin Yurt Dışına Aktarılması

Verilerin yurt içinde aktarımının yanı sıra 9. Maddede düzenlenen yurt dışı aktarımı da söz konusudur. Yurt dışı aktarımı yaparken de açık rıza olmaması halinde bu işlemin gerçekleştirilemeyeceği kural olarak belirtilmiştir fakat 2. Fıkrada birtakım istisnalar belirlenmiştir. Tıpkı yurt içi aktarımda olduğu gibi 5. Madde ve 6. Maddelerin istisnaları yurt dışı aktarımda da geçerli hale gelmiştir. Bunlardan birinin mevcut bulunması halinde ve kişisel verinin aktarılacağı ülkede yeterli korumanın bulunması, yeterli koruma yoksa da Türkiye’de ya da ilgili yabancı ülkedeki veri sorumlularının korumayı taahhüt etmeleri ve Kurulun izin vermesi hallerinde açık rıza bulunmadan veri aktarımı mümkün olacaktır.

Yeterli korumaya sahip olan ülkelere Kişisel Verileri Koruma Kurulu karar verecektir. Aynı zamanda kurul bu yeterli korumanın bulunup bulunmadığının yanı sıra eğer koruma o ülkede işlem yapılıp yapılacağına izin verecek olan yetkili organdır. 4. Fıkra bu belirleme yapılırken hangi kriterlerin göz önünde bulundurulması gerektiğini hükme bağlamıştır. Eğer kişisel verilerin aktarılmasında ülkemizin ciddi bir zararı ortaya çıkacaksa yine ancak ve ancak ilgili kamu kurum ve kuruluşlarının görüşü alınarak kurul kararıyla aktarımı mümkün olacaktır[30]. Burada ilgili kamu kurum ve kuruluşlarının onayı aranmamıştır.

9.Veri Sorumlusunun Yükümlülükleri ve İlgili Kişinin Hakları

a)      Veri Sorumlusunun Aydınlatma Yükümlülüğü

Veri sorumlusu ilgili kişiye dair verileri işlerken birtakım yükümlülükler altındadır. Kişisel verilerin hangi amaçla işleneceği, hangi yöntemle işleneceği ve hukuki sonuçları gibi hususlarda veri sorumlusu ilgili kişiye bilgi aktarımı sağlamak zorundadır. İlgili kişinin bilgilendirilmesi dürüstlük kuralı ile doğrudan bağlantılı olacaktır[31]. Veri sorumlusunun aydınlatma yükümlülüğünün akabindeki maddede belirtilen ilgili kişinin hakları da aydınlatma yükümlülüğünün kapsamı içindedir. Aynı zamanda veri sorumlusunun uyacağı aydınlatma yükümlülüğünün yerine getirilmesinde uyulacak usul ve esaslar hakkında tebliğ ile veri sorumlusunun yetkilendirme alanı belirlenmiştir. Eğer ki ilgili kişinin bilgi edinmesi için kanunda sayılan kapsamlar yetersiz kalırsa veri sorumlusu bilgilendirilmesi gereken diğer hususlarda da açıklama yapmak zorundadır, bu durum da aydınlatma yükümlülüğünün kapsamında değerlendirilecektir[32]. Yine veri sorumlusu kişisel verileri imha işlemi olan silme, yok etme ve anonim hale getirme işlemleri hakkında da ilgili kişiyi aydınlatmalıdır[33].

b)     İlgili Kişinin Hakları

Kanunun 11. Maddesinde kişisel veri sahibinin hakları düzenlenmiştir. İlgili kişi kişisel verisi işlenen gerçek kişiyi temsil eder. Bu gerçek kişi veri sorumlusuna başvurarak kanunda sayılan haklarını kullanabilecektir. Kişisel verisinin işlenip işlenmediğini, eğer işlenmişse bu işlemeye ilişkin bilgileri, kişisel verilerinin işlenmesinin amaçlarını ve bu amaca uygun hareket edilip edilmediğini, yurt içi ya da yurt dışında bilgilerinin kimlere aktarıldığını, verilerinin eksik ya da yanlış işlenmesi durumunda bunların düzeltilmesini, kanunun 7. Maddesinde öngörülen koşullar çerçevesinde kişisel verilerinin yok edilmesi ve  silinmesini, eğer kişisel verileri yok edilip silinir veya eksik ya da hatalı yazımdan dolayı tekrar düzenlenirse bunların aktarma yapılan 3. Kişilere bildirimini,  kişisel verilerinin otomatik sistemlerle analizi sonucu kişinin kendisi aleyhine bir sonuç çıkarsa bu aleyhe sonuca itirazını ve son olarak da kişisel verilerin kanuna aykırı olarak işlenmesi halinde bu zararın giderilmesini veri sorumlusundan talep edebilecektir.

Kişi dürüstlük kuralı çerçevesinde bu haklarını kullanabilecektir. Bu haklar aynı zamanda veri sorumlusunun aydınlatma yükümlülüğüne konu olan haklardır.

Kişinin verilerini değiştirebilme, düzelttirebilme ve bunları daha önceden aktarımda bulunulan 3. Kişilere yeni haliyle aktarabilme hakları bilgilerini güncel tutmasını sağlayacaktır.

Kişisel verinin işlenmesinin amacına uygun olup olmadığının sorgulanması hem dürüstlük kuralı çerçevesinde hem de kişisel verilerinin işlenmesinin meşru amaçlara yönelik olması kuralı çerçevesinde kişilerin işlenen bilgilere duydukları güveni artıracaktır.

c)      Veri Güvenliğine İlişkin Yükümlülükler

Veri sorumlusu verilerin doğmalarından yok olmalarına kadar onlardan sorumlu olacak kişidir. Bu sorumluluğunun kapsamına veri güvenliği de girecektir. Şüphesiz işlenen verilerin korunaklı bir bölgede muhafaza edilmesi hem veri sorumlusunun yapması gereken ödevlerden biri olacak hem de hak sahibinin bu verilerin işlenmesi için verdiği rızanın meşruluk seviyesini artıracaktır.

Veri sorumlusunun 12. Madde kapsamında düzenlenen güvenliğe ilişkin yükümlülükleri arasında verilerin hukuka aykırı olarak işlenmesini önlemek yer almaktadır. Verilerin işlenirken hukukun çizdiği sınırlar çerçevesinden uzaklaşmamaya özen gösterilmelidir. Unutulmamalıdır ki kişisel veriler anayasa kapsamında yer alan temel hak ve hürriyetler ile yakından ilintilidir.

Aynı zamanda veri sorumlusu kişisel verilere hukuka aykırı yollardan erişilmesini engellemek zorundadır. Kişisel verilerin kanuna aykırı erişimine örnek olarak; istenmeyen elektronik e posta yoluyla kötü niyetli yazılım veya programlar göndererek bilgi hırsızlığı ile kişisel verileri elde eden şahıslar gösterilebilir[34].

Kişisel verilerin muhafazasını sağlamalı, verileri güvenli bölgede tuttuğundan emin olmalıdır.

Bu sayılan üç halin muhafazası amacıyla güvenlik tedbirlerini üst seviyeye çıkartmak ve gerekli tüm tedbirleri almakla yükümlüdür. Tedbirleri alırken bu üç durumu kendine sınır olarak çizmelidir.

2. fıkrada veri sorumlusunun adına, onun gibi işlem yapan bir başka hukuki kişilik varsa yaptıkları işlemlerden hem veri sorumlusu hem de o işlemi onun adına yapan kişi müştereken sorumlu olacakları düzenlenmiştir. Bu fıkra kapsamında da görülmektedir ki veri sorumlusunun sorumluluğu oldukça geniş değerlendirilmiştir. İşlemi kendisi yapmasa da onun adına yapan kişi ile beraber bundan sorumlu olacaktır.

Veri sorumlusu bu kanun kapsamından kaynaklanan gerekli önlemleri kendi kurum ve kuruluşlarında almak ve bu önlemlerin alındığına dair denetimleri yapmak zorundadır. Veri sorumlusunun sorumluğunun genişlemesi bu fıkra kapsamında da devam etmektedir.

4. fıkrada veri sorumlusu ile beraber veri işleyenin adından da söz edilmiştir. Her ikisi de bu kanun kapsamında yaptıkları işlemler sonucu öğrendikleri bilgileri bir başkasıyla paylaşamazlar ve bu sır yükümlülükleri meslekleri sona erdikten sonra dahi devam eder. Kişisel verilerin gizliliğinin muhafazasına bu noktada oldukça önem verilmiştir.

Son olarak ise kişisel veriler bir başkası tarafından kanuna aykırı olarak bir şekilde elde edilirse veri sorumlusu bunu Kurula ve ilgilisine en kısa sürede bildirmek zorundadır. Bu noktadan sonra bu durumun ilanını yapacak olan organ Kurul olacaktır.

10. Kişisel Verileri Koruma Kurumu

Kanunun 6. Bölümünde düzenlenen kişisel verileri koruma kurumu; 19. Madde itibariyle kanunun verdiği görevleri yerine getirmek üzere kurulmuş, tüzel kişiliğe haiz idari ve mali özerkliği olan bir kurumdur. Bu kurumun kurulması bakımından gerekçeye bakıldığında, kanunun hazırlanmasında büyük bir dayanak oluşturan 95/46/AT sayılı direktiften yararlanıldığı görülmektedir[35]. Kişisel verilerin işlenişini üst kurum olarak takip etmesi amacıyla kurulan kuruma Avrupa Birliği, bağımsız bir karakter biçmiştir. Fakat kurum ülkemizde başbakanlığa bağlıdır. Buna rağmen kişisel verileri koruma kurumu yayımladığı yazısında tam bağımsızlığın mali özerkliğe sahip, denetim yapabilen, temel hak ve özgürlükleri olan kurumlara sağlanmış olduğunu kendi internet sayfasındaki yazısında belirtmiştir[36]. Fikrimce de kurumun özel bir ekonomik güce sahip oluşu, denetleme aynı zamanda yönlendirme yetkisinin oluşu ve ekonomik ve kendi alanına ilişkin konularda söz sahibi oluşu o kurumun bağımsızlık karakterine vurgu yapmış ve ülkemiz yönetim teşkilatlanmasında başbakanlığa bağlı olsa da sayılan sebeplerden dolayı bağımsız idari bir otorite olarak nitelendirilmesi uygun olmuştur. Karar sayısı 2018/11296 olan yeni yönetmelik uyarınca kuruma ayrılan bütçenin kullanımını serbestçe kullanılacağının belirtilmesi mali özerkliğini kuvvetlendirir niteliktedir.

Kurum; görev alanlarına giren konularda gelişmeleri takip etmek ve o gelişmelere katkı sağlamak, ihtiyaç duyulursa kamu kurum ve kuruluşları ve türevleri ile işbirliği yapmak, dünyada yaşanan gelişmeleri takip etmek, yıllık faaliyet raporunu hazırlayıp sunmak ve kanunlarla verilen diğer görevleri yerine getirmek ödevleri ile donatılmıştır.

Kurum’un karar organı Kurul olacaktır.

11. Kişisel Verileri Koruma Kurulu

Kurul ana organı olan Kurum’un da bir parçası olarak bağımsı ve kimseden emir almayan tüzel kişilik olarak nitelenmiştir.

“21/2:Kurulun beş üyesi Türkiye Büyük Millet Meclisi, iki üyesi Cumhurbaşkanı, iki üyesi Bakanlar Kurulu tarafından seçilir.” Bu maddeyi irdelemek yerinde olacaktır. Toplamda 9 üyenin de seçimi parlamento tarafından gerçekleştirilmiştir. Oysa şahsi kanaatim gereği her ne kadar kurumların siyasi partilere üye olmamış ve alanının hâkimi kişileri görev başına atamaları gerekiyorsa da bu durum her zaman mümkün olmayabilir. Kişisel veriler de insanların hayatlarında önemli bir yer teşkil ettiğinden liyakat usulü ile kurula gelecek uzmanlar belirlenmeliydi.

Kurul temel hak ve özgürlüklerle kişisel verilerin doğru orantılı olduğundan emin olmak, uluslararası düzenlemelerde ülkemiz lehine sonuç doğuracak anlaşmaları irdelemek ve yapılan ihlalleri tespit etmek gibi önemli ve teferruatlı görevlere haizdir ve bu yüzden oldukça önemlidir.

12. İstisnalar

Bu başlığa kadar kanun hükümlerinin hangi hallerde kullanılıp kullanılamayacağı belirlendi. Fakat 28. Maddede sayılan hallerde kanunun herhangi bir hükmü uygulanamayacaktır. Bu hüküm tüm kanunun istisnasını teşkil etmektedir. Bu madde ile hangi hususlar hakkında kanunda düzenlenme amacı güdülmediği anlaşılmaktadır. Bu madde; üçüncü kişilere verilmemek ve veri güvenliğine ilişkin hükümlere uyulmak koşuluyla gerçek kişiler tarafından kendisiyle ve aile fertleriyle ilgili faaliyetler kapsamında işlenmesi, resmi istatistiklerde kullanılması gerekirse bunun ancak anonim hale getirilerek yapılması ve bunların yapılış amacının araştırma, planlama ya da istatistik gibi faaliyetler olması, milli güvenliği, milli savunmayı, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek kaydıyla ya da suç teşkil etmemek şartıyla sanat, tarih, bilimsel amaçlarla ya da temel ifade özgürlüğü kapsamında işlenmesi, kişisel verilerin milli savunmayı, milli güvenliği, kamu güvenliği/ düzeni veya ekonomik güvenliği sağlamaya yönelik kanunla görev ve yetki verilmiş kamu kurum ve kuruluşlarınca yürütülen önleyici, koruyucu, istihbari faaliyetler kapsamında işlenmesi son olarak kişisel verilerin yargılama ya da infaz makamları tarafından kendi işlemleri ile ilgili işlenmesi durumlarını kapsamakta ve kanunun uygulama alanı dışında bırakmaktadır.

2. fıkra gereği ise kişisel veri işlenmesi suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması, ilgilinin kendi verilerini kendince alenileştirmesi sonucu işlenmesi, kanunun verdiği yetkiye ve göreve dayanarak denetleme veya düzenleme yetkilerine haiz kurumların görevlerini yürütmeleri için ya da disiplin soruşturma veya kovuşturmaları için gerekli olması, kişisel verilerin işlenmesinin devletin ekonomik, mali çıkarları için gerekli olması hallerinde veri sorumlusunun aydınlatma yükümlülüğü ile ilgili olan 10. Madde, zararın giderilmesi - talebi hariç ilgili kişinin haklarını düzenleyen 11. Madde ve veri sorumluları siciline kayıt yükümlülüğünü düzenleyen 16. Maddeler uygulanmayacaktır.

Bu durumda kişisel veriler sonsuz bir koruma altında olmayıp bilhassa devletin ve kamunun çıkarı olduğunda ikinci plana atılabilecektir. Kişisel veriler ve kamunun güvenliğinin korunması ve bu dengenin kurulması bakımından istisna hükümleri bu kapsamda kaldığı hallerde aradaki dengeyi sağlayabilecektir[37].

SONUÇ

  Hızla gelişen teknoloji sonucu bilgilerimizin, şahsi düşüncelerimizin hatta attığımız adımların dahi ulaşılabilir olduğu yadsınamaz bir gerçek. Tüm bunlar ise kullandığımız teknolojik aletlerle mümkün olmakta. Cep telefonlarımızdaki mobil veriler, bilgisayarlarımızdaki kablosuz ağlar, konum bilgileri açık sosyal medya uygulamaları… Kullanılan cep telefonlarının şarjı dahi bitse uydular tarafından gözetlenebilmemiz hatta bunları sıradan vatandaşların dahi yapabilmesi esasen insanların dünyadaki varlıklarını hiç unutturmuyor. Artık Dünya vatandaşlığı gereği de aslında varlığımızı bu şekilde ortaya koyuyoruz. Yaptığımız internet alışverişleri, sosyal medyada yaptığımız paylaşımlar, nerede olduğumuzu belirten rızaya dayalı gönderiler bu varlık savaşına tek başlarına birer örnek teşkil edecektir. Kendimize ait verileri paylaşma isteğinin ve oranının bu kadar yüksek olması da dünyada ve ülkemizde birtakım uygulamalar, koruyucu hamleler yapılmasına sebebiyet vermiştir. Kişisel Verilerin Korunması Kanun’u küreselleşen ve küreselleştikçe küçülen dünyada getirilmesi şart uygulamalardan olmuştur. Ülkemizde de 2016 itibariyle uygulanmaya başlanan Kişisel Verilerin Korunması Hakkındaki kanun incelemesiyle göstermektedir ki tüm bu yaşanan gelişmelerin çıkarımı böyle bir kanunun hazırlanmasına varmıştır. Avrupa Birliği uyum süreciyle de paralel olarak sürdürülen, üstte incelenen kanun gerekçeleri sebebiyle de 6698 sayılı kanunun çıkarılması isabetli olarak hukuk dünyamızda yerini almıştır.

Günümüzde artık çok fazla veri alışverişi yapılmaktadır. Bu veri alışverişleri sonucu ise insanlar hem daha fazlasını istemekte hem de acaba verilerim güvende midir düşüncesiyle tereddüt içinde kalmaktadır. Her ne kadar kanunlar, uygulamalar, yaptırımlar düzenlense de dünyada yaşanan örnekler kişisel verilerin korunmasının ne kadar zor olduğunu bize göstermektedir. Yine de vatandaşlar kişisel verilerini paylaşırken kendilerini kanunsuz döneme oranla daha güvende hissedeceklerdir. Örnek vermek gerekirse yakın bir zamanda çıkan uygulama ile artık kimlik ve kart bilgilerimizi verdiğimiz internet siteleri kullanıcıların izni olmadan kişisel verilerin kullanımını devam ettirememektedirler. Bugün internet sitelerinde, sitelerin veri sorumlusu olarak başgösterdikleri durumlarda aydınlatma yükümlülükleri gereği de kullanıcıları verileri konusunda bilgilendirdikleri görülmektedir. Aynı zamanda böyle bir kanunla da kanunsuz dönemdeki belirsizlikten kurtulmuş olunup vatandaş olarak herhangi bir problem yaşadığımızda ne yapabileceğimizi daha iyi bilir hale gelmemiz hukuk devletinin güvenilirliğini destekler olmuştur. Elbette ki 6698 sayılı kanundan önce de başta anayasada olmak üzere pozitif hukukumuzda pek çok düzenleme vardı. Fakat bu konuyla alakalı ayrı bir kanun çıkarılması, gerekli tanımlamaların yapılıp soyut kavramların somutlaştırılması, verileri işleyenlerin yükümlülüklerinin düzenlenmesi ve tüm bu meselelerin ayrıntılandırılması ihtiyaca yönelik ve gerekli olmuştur. Anayasa ve diğer uygulamalara arka çıkan bir duvar görevi görmüştür.

Aynı zamanda kanunun işlenebilirliğini kesintiye uğratan istisna hükümleri her ne kadar kanunla uyumlu kullanıldığında dengeyi bozmadan yürütülmesi sağlanabilse de, kanunun tüm maddelerini yok sayması bakımından, hükümlerinde birtakım azaltmalara gidilmesi kanun yararına bir değerlendirme olacaktır. Çünkü istisna hükümlerinin bu derecede kapsamlı olması kanun maddelerini kullanılamaz hale getirmekte, kişilerin haklarını bu kapsamda korumalarına müsaade etmemektedir. İstisna hükümleri özellikle kamu güvenliği söz konusu olduğunda elbette ki var olmalıdır fakat diğer hükümler uyarınca maddelerin yumuşatılması 6698 sayılı kanunun kullanım alanını artırma açısından bir gelişme olacaktır.

Nitekim söz konusu kanun her zaman güncellenmeye hazır tutulmalıdır, kanun ve uygulamalar teknolojinin hızına ayak uydurmalıdır. Gerekli görüldüğü takdirde öngörülen yaptırımlar artırılmalıdır. Yani kanunun dinamiği her zaman korunmalıdır. Kişisel verilerin sahipleri olan ilgili kişiler ise veri alışverişi yaparken, kötü niyetli kişilerin varlığını unutmamalı, paylaşımlarını ona göre yapmalıdır; farklı platformlarda verdiği bilgi ulaşım izinlerini itina ile değerlendirmelidir. Bunun aksi, negatif bir olay yaşaması halinde bile kanuni haklarını bilmeli hem 6698 sayılı kanunu hem de diğer hukuki uygulamaları incelemelidir.

 

KAYNAKÇA

Açıkgöz, Osman, Kişisel Verilerin Hukuka Aykırı Şekilde Elde Edilmesi ve İnternet Bankacılığında Kullanılması Sonucu Malvarlığı Zarara Uğratılan Bankaya Karşı Mevduat Sahibinin Hukuki Sorumluluğu, MÜHF 2016

Dülger, Murat Volkan, Kişisel Verilerinin Koruma Kurulu’nun 2018/10 Sayılı Kararı ile Aydınlatma Yükümlülüğünün Yerine Getirilmesi ve Veri Sorumlusuna Başvuru Konulu Tebliğlere İlişkin Değerlendirme http://www.hukukihaber.net/kisisel-verileri-koruma-kurulunun-201810-sayili-karari-ile-aydinlatma-yukumlulugunun-yerine-getirilmesi-ve-veri-sorumlusuna-basvuru-konulu-tebliglere-iliskin-degerlendirme-makale,5764.html

Dülger, Volkan, Kişisel verilerin silinmesi yönetmeliğinin getirdikleri ve dikkat edilmesi gereken hususlar http://www.hukukihaber.net/kisisel-verilerin-silinmesi-yonetmeliginin-getirdikleri-ve-dikkat-edilmesi-gereken-hususlar-makale,5502.html

https://www.kisiselverilerinkorunmasi.org/kisisel-veri-nedir-ne-demektir/

https://www.kvkk.gov.tr/ Kişisel Verilerin Korunması Kanuna İlişkin Uygulama Rehberi

https://www.kvkk.gov.tr/Icerik/2048/Kisisel-Verilerin-Islenmesi

https://www.kvkk.gov.tr/Icerik/2051/Ozel-Nitelikli-Kisisel-Veriler

https://www.kvkk.gov.tr/Icerik/2052/Yurtici-Aktarim

https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/8c90423f-97ea-4d81-a7c1-ace74295c2b8.pdf

https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/ca163cb6-39ad-4024-870a-8a9508c92387.pdf

https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/d0fbca08-30af-41fe-a7c9-65663b9c5231.pdf

https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/f63e88cd-e060-4424-b4b5-f6413c602060.pdf

https://www.kvkk.gov.tr/yayinlar 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun Amacı ve Kapsamı

https://www.kvkk.gov.tr/yayinlar/6698%20SAYILI%20K%C4%B0%C5%9E%C4%B0SEL%20VER%C4%B0LER%C4%B0N%20KORUNMASI%20KANUNUNUN%20UYGULANMASINA%20Y%C3%96NEL%C4%B0K%20SORU%20VE%20CEVAPLAR.pdf

https://www.kvkk.gov.tr/yayinlar/K%C4%B0%C5%9E%C4%B0SEL%20VER%C4%B0LER%C4%B0N%20KORUNMASI%20KANUNU%20VE%20UYGULAMASI.pdf

Kaya, Mehmet Bedii, Taştan, Furkan Güven, Kişisel Veri Koruma Hukuku Mevzuat & İçtihat, İstanbul 2018

Kılınç, Doğan, Anayasal Bir Hak Olarak Kişisel Verilerin Korunması, Ankara 2012

Korkmaz, İbrahim, Kişisel Verilerin Korunması Kanunu Hakkında Bir Değerlendirme, TBB Dergisi 2016

Küzeci, Elif, Kişisel Verilerin Korunması, Ankara 2010

Oğuz, Habip, Elektronik Ortamda Kişisel Verilerin Korunması, Bazı Ülke Uygulamaları ve Ülkemizdeki Durum, 2014

TBMM Kişisel Verilerin Korunması Kanunu Tasarısı (1/541) ve Adalet Komisyonu Raporu

Yargıtay 12. CD. E.2015/13582 K.2017/3109 T.12.04.2017

Yargıtay 12.Ceza Dairesi E.2013/9043 K.2014/151 T.13.1.2014



[1] https://www.kvkk.gov.tr/ Kişisel Verilerin Korunması Kanuna İlişkin Uygulama Rehberi Erişim Tarihi:15.4.2016

[2] Küzeci, Elif, Kişisel Verilerin Korunması, Ankara 2010, s.9

[3] Kılınç, Doğan, Anayasal Bir Hak Olarak Kişisel Verilerin Korunması, Ankara 2012

[4] Yargıtay 12.Ceza Dairesi E.2013/9043 K.2014/151 T.13.1.2014

[5] Kaya, Mehmet Bedii, Taştan, Furkan Güven, Kişisel Veri Koruma Hukuku Mevzuat & İçtihat, İstanbul 2018, s.379

[7] Yargıtay 12. CD. E.2015/13582 K.2017/3109 T.12.04.2017

[8] https://www.kvkk.gov.tr/yayinlar 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun Amacı ve Kapsamı Erişim Tarihi: 20.4.2018

[9] TBMM Kişisel Verilerin Korunması Kanunu Tasarısı (1/541) ve Adalet Komisyonu Raporu s.4

[10] TBMM Kişisel Verilerin Korunması Kanunu Tasarısı (1/541) ve Adalet Komisyonu Raporu s.5

[11] Korkmaz, İbrahim, Kişisel Verilerin Korunması Kanunu Hakkında Bir Değerlendirme, TBB Dergisi 2016

[13] TBMM Kişisel Verilerin Korunması Kanunu Tasarısı (1/541) ve Adalet Komisyonu Raporu s.7

[18] TBMM Kişisel Verilerin Korunması Kanunu Tasarısı (1/541) ve Adalet Komisyonu Raporu s.8

[20]  TBMM Kişisel Verilerin Korunması Kanunu Tasarısı (1/541) ve Adalet Komisyonu Raporu s.8

[22] TBMM Kişisel Verilerin Korunması Kanunu Tasarısı (1/541) ve Adalet Komisyonu Raporu s.9

[25] Korkmaz, s.116

[26]Dülger, Volkan, Kişisel verilerin silinmesi yönetmeliğinin getirdikleri ve dikkat edilmesi gereken hususlar http://www.hukukihaber.net/kisisel-verilerin-silinmesi-yonetmeliginin-getirdikleri-ve-dikkat-edilmesi-gereken-hususlar-makale,5502.html Erişim Tarihi:28.04.2018

[27] TBMM Kişisel Verilerin Korunması Kanunu Tasarısı (1/541) ve Adalet Komisyonu Raporu s.10

[31] Korkmaz, s.129

[32] Dülger, Murat Volkan, Kişisel Verilerinin Koruma Kurulu’nun 2018/10 Sayılı Kararı ile Aydınlatma Yükümlülüğünün Yerine Getirilmesi ve Veri Sorumlusuna Başvuru Konulu Tebliğlere İlişkin Değerlendirme http://www.hukukihaber.net/kisisel-verileri-koruma-kurulunun-201810-sayili-karari-ile-aydinlatma-yukumlulugunun-yerine-getirilmesi-ve-veri-sorumlusuna-basvuru-konulu-tebliglere-iliskin-degerlendirme-makale,5764.html Erişim Tarihi: 28.04.2018

[33] Oğuz, Habip, Elektronik Ortamda Kişisel Verilerin Korunması, Bazı Ülke Uygulamaları ve Ülkemizdeki Durum, 2014

[34] Açıkgöz, Osman, Kişisel Verilerin Hukuka Aykırı Şekilde Elde Edilmesi ve İnternet Bankacılığında Kullanılması Sonucu Malvarlığı Zarara Uğratılan Bankaya Karşı Mevduat Sahibinin Hukuki Sorumluluğu, MÜHF 2016

[35] TBMM Kişisel Verilerin Korunması Kanunu Tasarısı (1/541) ve Adalet Komisyonu Raporu s.14

[37] Korkmaz, s.148

 

Buse Yonat

Anadolu Üniversitesi Hukuk Fakültesi