Bilişim Hukuku Dersi 3. Ünite Sorularla Öğrenelim

Türkiye Cumhuriyeti Anayasası’nda kişisel verilerin korunmasının normatif temelini oluştu- racak çeşitli hükümler bulunur. Bu kapsamda ilk olarak kişinin maddi ve manevi varlığını geliştirme hakkı dikkate alınmalıdır. Anayasa’nın başlangıç 6. paragrafında ve 17/1 hükmünde kişinin mad- di ve manevi varlığını koruma ve geliştirme hakkı hüküm altına alınmıştır. Bunun yanında Anayasa uyarınca “Devletin temel amaç ve görevleri” arasında“insanın maddi ve manevi varlığının gelişmesi için gerekli şartları hazırlamaya çalışmak” (m.5) yer alır.

Unutulmamalıdır ki maddi ve ma-
nevi varlığını geliştirme hakkı kaynağını
insan onurunda bulmaktadır (Kaboğlu,
2002). Türk Anayasa Mahkemesi bir ka-
rarında göre insan onuru kavramını şu
şekilde tanımlamıştır: “İnsanın ne durumda, hangi şartlar altında bulunursa bulunsun sırf insan oluşu- nun kazandırdığı değerin tanınmasını ve sayılmasını anlatır. Bu öyle bir davranış çizgisidir ki ondan aşa- ğı düşünce, muamele ona muhatap olan insanı in- san olmaktan çıkarır.” (E. 1963/132, K. 1966/29, 28/6/1966). Görüldüğü gibi Anayasa Mahkemesi “insan onuru”nu insan olmanın anlamı ile bütün- leşik olarak değerlendirmiştir. Bir önceki bölümde açıklandığı üzere sınırsız veri işleme süreçleri kar- şısında bireyin korunmasının bu yaklaşımla ilişkisi kolaylıkla saptanabilir. Nitekim insanı insan yapan önemli özelliklerden biri bireysel özerkliğidir.

Kişisel verilerin korunmasına yönelik Türk hukuk mevzuatındaki en önemli düzenleme yine Anayasada yer alır. Anayasa’nın 20. maddesine 2010 Anayasa değişiklikleri ile eklenmiş olan son fıkra şöyledir:

“Herkes, kendisiyle ilgili kişisel verilerin korun- masını isteme hakkına sahiptir. Bu hak, kişinin kendisiyle ilgili kişisel veriler hakkında bilgilen- dirilme, bu verilere erişme, bunların düzeltil- mesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğ- renmeyi de kapsar. Kişisel veriler, ancak kanun- da öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir”.

Belirtilen hüküm ile Türkiye’de kişisel verilerin korunması açıkça anayasal bir hak olarak düzen- lenmiştir. Bu kapsamda ilgili kişinin kişisel verileri üzerinde denetimini sağlayacak temel ilkelerden örnekler verildiği de görülmektedir. Dikkat çek- mek gerekir ki hukuksal güvenceye kavuşması ge- reken ilkeler hükümde sayılanlar ile sınırlı değildir. Hüküm metninden bu kolaylıkla anlaşılabilir.

Kişisel verilerin korunması hakkının anayasada açıkça yer alması olumlu bir gelişme olsa da hü- kümde bazı eksiklikler bulunduğu dikkatten kaç- mamalıdır. Öncelikle Anayasanın 20. maddesinin 3. fıkrası kapsamında kişisel verilerin korunması hakkından değil, kişisel verilerin korunmasını “is- teme” hakkında söz edilmesi anayasa koyucunun bu korumaya ilişkin yeterli güvenceyi sağlamada isteksiz olduğu şeklinde yorumlanabilir. Dikkat çeken bir diğer husus, Avrupa Birliği Temel Hak- lar Şartı’nın 8. maddesinin aksine hükümde kişi- sel verilerin korunmasında hakim olan ilkelerin uygulamasını denetleyecek bağımsız bir organın kurulmasına yer verilmemiştir. Elbette bu durum bağımsız bir denetim organının kurulması önünde engel değildir. Kanun koyucunun denetim meka- nizmasının önemini dikkate alarak bu konuya iliş- kin düzenleme yapması gerekir. Nitekim aşağıda incelenecek olan Kişisel Verilerin Korunması Ka- nun Tasarısı’nda Veri Koruma Kurulu adıyla böy- lesine bir organa yer verilmiştir. Ancak Anayasada bağımsız bir denetim organının kurulmasının hü- küm altına alınmış olması, Tasarının en tartışmalı yönlerinden olan denetleyici organın bağımsızlık vasfını güvence altına alabilirdi.

Bunun yanında Anayasa Mahkemesinin kişisel verilerin korunmasına ilişkin oldukça tartışmalı kararlarının bulunduğunu da belirtmek gerekir. 2000’li yıllara gelinceye kadar Anayasa Mahkemesi konuya ilişkin üç önemli karar vermiştir. Bunlar- dan ilk ikisi nüfus cüzdanlarında din hanesinin bu- lunmasına ilişkindir. Anayasa Mahkemesi yaptığı her iki incelemede de aile kütüklerinde ve nüfus cüzdanlarında din hanesinin bulunma zorunlulu- ğunun Anayasaya aykırı olmadığına karar vermiş- tir. Her ne kadar bu kararlarda ve kararlara ilişkin tartışmalarda din ve vicdan özgürlüğü ekseninde bir değerlendirme yapılsa da aslında bu kararla- rın dolaylı olarak kişisel verilerin korunması hakkı ile ilişkili olduğu da belirtilmelidir. Nitekim kişi- nin dini inancına ilişkin bilgiler “hassas” veri ka- tegorisinde yer almakta ve işlenmesi kural olarak yasaklanmaktadır. Nüfus cüzdanında yer alan din hanesine ilişkin olarak bu noktada bir tartışma yü- rütülebilir. Ayrıca nüfus hizmetlerinin dijital veri bankalarına aktarıldığı günümüzde bu türdeki ve- rilerin istatistiki amaçlarla anonim tutulması yeri- ne, belirli bir kişiyle ilişkili olarak tutulmasının ya- ratabileceği tehlikelerin daha ciddi olduğuna işaret etmek gerekir.

AİHS’de Anayasa’da olduğu gibi kişisel verilerin korunmasının ayrı bir hak alanı olarak düzenlenmediği görülür. Sözleşme’nin 1950 yılında kabul edildiği düşünüldüğünde bu oldukça doğaldır. Ancak AİHM verdiği kararlarla, kişisel verilerin korunmasında temel ilkelerin büyük bir bölümünü Sözleşme’nin 8. maddesi kapsamında tanımaktadır. Sözleşme hükümlerinin sınır ve kapsamlarını belirleyebilmek için AİHM’in yorumlarının önemi açıktır. O hâlde hem Anayasa’nın 90. madde hükmünün bir gereği olarak hem de bu konuda geliştirilen içtihatlara aykırı uygulamaların AİHM önünde ihlal kararı ile sonuçlanacağı düşünüldüğünde bu kararların incelenmesi gerektiği açıktır.

Hemen belirtelim: AİHM, özellikle 1980’li yıl- ların ortalarından beri ve gittikçe artan bir yoğun- lukta, kişisel verilerin korunmasını, Sözleşme’nin sağladığı güvenceler kapsamında değerlendirmiştir. Nitekim Mahkemenin bireysel özerkliği ve bilgile- rin geleceğini belirleme hakkını, 8. madde ile ge- tirilen güvencelerin yorumlanmasında önemli bir temel ilke olarak belirlediği görülür. Bu bağlamda AİHM, bireylerin kişisel verilerinin kullanımı ve kaydı konusunda denetim hakkının bulunduğunu kabul etmektedir.

Kişisel verilerin korunması hakkının 8. madde kapsamında değerlendirilmesi, Sözleşme hüküm- lerinin yorumlanmasında yeni gelişmelere açık bir bakışın hâkim olduğunun da göstergesidir. Nite- kim AİHM’e göre Sözleşme, “güncel koşullar ışığın- da yorumlanması gereken yaşayan bir enstrüman”dır (Tyrer, Birleşik Krallık, 5856/72,28/4/1978). Mah- kemenin görevi, Sözleşmeyi yorumlarken sosyal değişimleri de yansıtmaktır AİHM’nin çeşitli ka- rarlarında da belirttiği üzere, Sözleşme ile güdülen amaç, hakların hayali ya da teorik olarak değil, etki- li ve elverişli bir şekilde güvence altına alınmasıdır.

Ayrıca Mahkemenin çeşitli kararlarında özel yaşamı kişinin mahrem alanı(özel yaşamın iç çem- beri) dışında başkaları ile ilişki kurduğu alanları da kapsar şekilde yorumladığı görülmektedir. Bu yo- rum, kişisel verilerin korunması açısından önemli sonuçlar getirir. Bir örnek sokak ve meydanları izle- mek üzere kurulan kapalı devre televizyon sistemle- rine (CCTV, Close Circuit Television System) iliş- kin olarak verilebilir.

Bunun yanında Mahkemenin günün koşulları- nın gerisinde kalmama düşüncesini koruma alanı açısından kararlarına yansıtmasının olumlu sonuç- larının bulunduğu belirtilmelidir. Örneğin bu yak-

laşımla Mahkeme, geleneksel haberleşme araçlarının yanında modern iletişim araçlarını da koruma kap- samında görmektedir. Bu bağlamda kişilerin İnter- net aracılığıyla kurdukları iletişimin, e-postalarının izlenmesi ya da içeriklerinin saptanması da 8. madde çerçevesinde değerlendirilmektedir.

AİHM 8. madde çerçevesinde, kişisel verilerin korunması ile ilişkili ilk önemli kararını Klass ve diğerlerinin Almanya’ya karşı yaptığı başvuru üze- rine vermiştir. Bu kararda Mahkeme, gizli telefon dinlemelerini özel yaşam kapsamında değerlendirir. Daha sonra verdiği pek çok kararla Mahkemenin temel olarak konumuza ilişkin önemli bazı ilkeleri Sözleşme’nin 8. maddesi kapsamında değerlendir- diğini görmekteyiz. Bireylere ilişkin kişisel bilgilerin resmi makamlarca toplanarak arşivlenmesi, telefon görüşmelerine ilişkin kayıtları izleme, toplanan ve- rilerin toplanma amacı dışında kullanılması, sağlık verilerinin gizliliği, emniyet güçleri tarafından par- mak izi ve fotoğrafların alınması, kişisel verilere eri- şim hakkı, kişisel verilerin gerektiğinden uzun süre tutulması gibi konular Mahkemenin çeşitli kararla- rında 8/1 hükmü kapsamında değerlendirilmiştir. Bunun yanında Mahkemenin içtihadı uyarınca “özel yaşam”, kimlik hakkını ve 8. maddedeki güvencele- rin yorumlanmasında oldukça önemli olan, kişilik ve bireysel özerklik ilkeleri dolayısıyla, kişisel gelişim hakkını da kapsamaktadır.

Ancak belirtmek gerekir: AİHM, konuya iliş- kin pek çok kararında, m.8/1’in ihlalini 2. fık- ra hükümleri uyarınca meşru görmüştür. Buna karşın hangi konuları “özel yaşama saygı hakkı”kapsamında değerlendirdiğini saptamak, en az Mahkemenin somut olaylarda ihlale ilişkin verdi- ği karar kadar önemlidir. Nitekim Mahkemenin Sözleşme’nin 8/1 hükmü kapsamında özel yaşama müdahale olarak değerlendirdiği bir durumun, 8/2 hükmünde yer alan koşullara uygun olarak meşruluk kazanmadığı durumlarda ihlal kararının doğacağı açıktır.

Özellikle son yıllarda kabul edilen yasal düzenlemelerde kişisel verilerin korunmasına yönelik hüküm- lere yer verildiği görülmektedir. Bunlar içerisinde şüphesiz en dikkat çekici olan, 1 Haziran 2005 tarihinde yürürlüğe giren yeni Türk Ceza Kanunu uyarınca kişisel verilerin hukuka aykırı kayıt edilmesi, verileri hu- kuka aykırı verme, yayma veya ele geçirme ile gereken sürelerin geçmesine karşın verileri yok etmemenin suç olarak düzenlenmesidir. Bu açıdan Türk hukuk sisteminde yasal düzeyde konuya ilişkin en kapsamlı korumanın Türk Ceza Kanunu’nda (TCK) yer aldığı söylenebilir.

Öncelikle TCK’nin 135. maddesi uyarınca kişisel verilerin hukuka aykırı olarak kaydedilmesi suçtur. Buna göre kişisel verileri hukuka aykırı olarak kayıt eden kimseye bir yıldan üç yıla kadar hapis cezasının verilmesi öngörülmüştür. Kişilerin ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına ve sendikal bağlantılarına ilişkin bilgileri hukuka aykırı olarak kaydeden kimse de aynı yaptırım ile cezalandırılacaktır.

Şuna işaret etmek gerekir: TCK’nin 135. maddesinde yalnızca verilerin işlenmesinin bir türü olan kayıt etmenin suç olarak belirlenmiştir. Oysa bir önceki bölümde açıklandığı üzere kişisel verilerin işlenmesi yalnızca kayıt etmeyi değil, toplanma, kullanma, aktarma gibi çeşitli eylemleri içeren bir süreçtir. TCK’nin aşağıda incelenecek izleyen hükümlerinde bu eylemlerin bir kısmına ilişkin düzenlemeler bulunmaktadır. Ancak özellikle kişisel verilerin hukuka aykırı olarak kullanılmasına ilişkin düzenlemeye yasada yer veril- mediği görülmektedir. Bu durumda hukuka uygun şekilde toplanan ve kayıt altına alınan kişisel verilerin sonraki kullanımlarında oluşabilecek aykırılıklar yaptırımsız kalabilir. 

Türk hukuk mevzuatında medeni hukukun ki- şilik haklarına yönelik düzenlemelerinin kişisel ve- rilerin korunmasına açısından bazı olumlu sonuçlar sağlayabileceği söylenebilir. Nitekim kişilik hakları, kişisel değerlerin bütününü kapsayan bir hukuksal alandır. Alman Anayasa Mahkemesi de bir önceki bölümde işaret edilen önemli bir kararında kişisel verilerin korunmasının Alman Anayasası’nda karşı- lığını bulan genel kişilik hakkı çerçevesinde değer- lendirileceğine kanaat getirmiştir (BverfGE 65,1).

Medeni hukukta, kişisel verilerin korunması ile yakından ilişkili olan, kişinin onur ve saygınlığı, adı ve resmi üzerindeki hakları ile sır alanı kişilik haklarının alanı içerisinde değerlendirilmektedir. Bu doğrultuda konuya ilişkin hukuksal koruma- nın ise Türk Medeni Kanunu’nun (MK) 24. ve 25. maddelerinde getirildiği görülmektedir. Nitekim

MK’nin 24. maddesinde kişiliğe yönelik saldırılara karşı temel ilke, 25. maddede ise başvurulabilecek hukuksal yollar belirlenmiştir.

O hâlde MK ve ilgili düzenlemelerin kişisel ve- rilerin korunmasını belirli oranda sağladığı söyle- nebilir. Ancak bu düzenlemeler, Türkiye’de kişisel verilerin etkin korumasını sağlayabilecek içerikten yoksundur. Nitekim kişisel verilerin etkin koruma- sını sağlayabilmek için önleyici tedbir niteliğinde olan temel ilkelerin yasal düzenlemeler ile belirlen- mesi ve zarar meydana gelmeden bu ilkelere uyum- lu pratiklerin geliştirilmesi gerekir. Mehaz hük- mün yer aldığı İsviçre Medeni Kanunu’nda hemen hemen aynı düzenlemenin bulunmasına karşın, İsviçre’de ayrıca bir kişisel verilerin korunması ya- sasının da kabul edilmesinin nedeni budur. Kişisel Verilerin Korunması Yasa Tasarısı’nın bu noktada MK ile karşılanamayan bir koruma getireceği ve bir anlamda onu tamamlayacağı söylenebilir.

Yakın tarihte yürürlüğe giren Türk Borçlar Kanunu’nda işçinin kişisel verilerinin korunmasına yönelik bir hüküm yer almaktadır. Yeni Borçlar Kanunu’nun 419. maddesi uyarınca “İşveren, işçiye ait kişisel verile- ri, ancak işçinin işe yatkınlığıyla ilgili veya hizmet sözleşmesinin ifası için zorunlu olduğu ölçüde kullanabilir”.Belirtmek gerekir ki iş hukuku alanında kişisel verilerin korunması özel ve öncelikli bir konuyu oluşturur. Kişisel öncelikler belirlenirken iş, sağlık ve aile yaşamı sonrasında belki de en önde gelen konudur. İş bul- mak, işsiz kalmamak, huzurlu bir iş yaşamı sürdürmek bireysel tatmin açısından oldukça önemlidir. Ayrıca sosyal bir varlık olan insan, başkalarıyla ilişki kurmada önemli bir fırsata iş yaşamında kavuşmaktadır. Bu derece önemli bir alanda kişinin korumasız bırakılması ise düşünülemez.

İşe alım sürecinden iş akdinin feshi sonrasına uzanan süreç içerisinde işverenin işçi ile ilgili pek çok bilgiye ulaşabildiği dikkatten kaçmamalıdır. İş ilişkisi niteliği gereği işçinin dezavantajlı olduğu bir durum yaratmaktadır. Bu nedenle işçinin kişisel verilerinin yasal düzenlemeler uyarınca korunması son derece önemlidir. Ayrıca gelişen bilişim ürünlerinin işyerinde artan oranda kullanımı bu gerekliliği daha da artırmaktadır. Bütün bunlar, işçinin kişisel verilerinin korunmasının yakından incelenmesine ve kimi yerlerde özel düzenlemelerin konusu olmasına neden olmuştur. Uluslararası düzenlemelere bakıldığında ise Ulus- lararası Çalışma Örgütünün (International Labour Organization -ILO) konuya ilişkin bir sözleşme kabul etmediği ancak işçinin kişisel verilerinin korunmasına ilişkin uygulama ilkelerini belirlediği görülmektedir.

5809 sayılı Elektronik Haberleşme Kanunu’na göre kişisel verilerin korunması nasıl düzenlenmiştir?

5809 sayılı Elektronik Haberleşme Kanunu’nun 51. maddesi 2014 yılında Anayasa Mahkeme- si iptal kararı verinceye kadar kişisel verilerin ko- runması konusundaki ilkelerin belirlenmesinde Bilgi Teknolojileri ve İletişimi Kurumunu (BTK) yetkili kılan kısacık bir hükümdü. Bu hükme da- yanarak BTK konuya ilişkin bir yönetmelik çı- karmıştı. Ancak Anayasa Mahkemesi temel hak ve özgürlüklere ilişkin düzenlemelerin ancak yasa ile yapılabileceğine ilişkin açık Anayasa hükmünü işaret ederek bu düzenlemeyi iptal etti (E.2013/22, K.2014/74,9/4/2014).

Oluşan boşluğu gidermek amacıyla kanun ko- yucu 2015 yılında yeni bir düzenlemeyi kabul etti. Böylelikle göre Elektronik Haberleşme Kanunu’nun “kişisel verilerin işlenmesi ve gizliliğinin korunma- sı” kenar başlıklı 51. maddesi bu sektörde veri işle- me süreçlerine ilişkin kuralları belirleyen bir hüküm hâlini aldı.

51. madde kapsamında öncelikle bir önceki bölümde üzerinde durulan verilerin kaliteli olma- sı ilkesine işaret edildiği görülmektedir. Buna göre elektronik haberleşme alanında veri işleme süreçle- rinde bu ilkenin bileşenlerine uyumlu hareket et- mek bir zorunluluktur. Ayrıca elektronik haberleş- menin ve ilgili trafik verisinin gizliliği temel kural olarak benimsenmiştir. Bunun istisnası ilgili mev- zuatın ve yargı kararlarının öngördüğü durumlar- dır. Bunun haricinde haberleşmeye taraf olanların tamamının rızası olmaksızın haberleşmenin dinlen- mesi, kaydedilmesi, saklanması, kesilmesi ve takip edilmesi yasaklanmıştır.

Elektronik Haberleşme Kanunu’ndaki düzen- lemenin dikkat çeken bir diğer yönü “çerez”lerin (cookie) kullanımına getirilen sınırlamadır. Çerez, kullanıcı bir İnternet sitesini ziyaret ettiğinde bağ- lantı kurduğu cihazın sabit diskine kaydedilen bir tür tanımlama dosyası olarak tarif edilebilir. Bu dosyalarda kişilerin ziyaret ettiği siteler gibi bazı bilgiler saklanabilmektedir. 51. maddenin 3. fıkrası uyarınca:

Türk hukuk mevzuatında kişisel verilerin ko- runmasına ilişkin oldukça yeni bir düzenleme de 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanunu’nda yer almaktadır. Nitekim bu kanun 2014 yılında kabul edilmiştir. Kanun’un 6. maddesi uyarınca:

“(1) Ticari elektronik iletiler, alıcılara ancak ön- ceden onayları alınmak kaydıyla gönderilebilir. Bu onay, yazılı olarak veya her türlü elektronik iletişim araçlarıyla alınabilir. Kendisiyle iletişi- me geçilmesi amacıyla alıcının iletişim bilgilerini vermesi hâlinde, temin edilen mal veya hizmetle- re ilişkin değişiklik, kullanım ve bakıma yönelik ticari elektronik iletiler için ayrıca onay alınmaz. (2) Esnaf ve tacirlere önceden onay alınmaksızın ticari elektronik iletiler gönderilebilir”.

Burada kastedilen ticari ileti, reklam, pazarlama gibi amaçlarla cep telefonlarına ya da e-posta adres- lerine gönderilen mesajlar, e-postalar ya da yapılan aramalardır.

Kanun’un 10. maddesi ise doğrudan kişisel veri- lerin korunmasına yöneliktir. Buna göre:

“(1) Hizmet sağlayıcı ve aracı hizmet sağlayıcı: a)Bu Kanun çerçevesinde yapmış olduğu işlemler nedeniyle elde ettiği kişisel verilerin saklanmasın- dan ve güvenliğinden sorumludur. b) Kişisel veri- leri ilgili kişinin onayı olmaksızın üçüncü kişilere iletemez ve başka amaçlarla kullanamaz”.

Böylelikle elektronik ticaret etkinlikleri yürüten firmaların, bu süreç içerisinde elde ettikleri kişisel verileri korumaları hüküm altına alınmıştır. Ancak Elektronik Ticaret Kanunu’nda bu yükümlülüğe aykırı hareket edenler için bir yaptırım öngörülme- miş olması bir eksiklik olarak değerlendirilebilir. Öte yandan Türk Ceza Kanunu’nun yukarıda açık- lanan hükümlerinin bu alan için de geçerli olacağı- nı dikkatten kaçırmamak gerekir.

Yukarıda kısaca açıklanan hükümler yanında Bankacılık Kanunu, Ceza Muhakemesi Kanunu, Hasta Hakları Yönetmeliği gibi çeşitli düzenle- melerde konuya ilişkin hükümler yer almaktadır. Ancak bu hükümlerin uygulamada sınırlı bir ko- ruma sağladığı dikkat çekmektedir. Bunun bir nedeni, konuya ilişkin temel ilkeleri belirleyen bir yasal düzenlemenin bulunmamasının bu ilkelerin yorumunda zorluklara neden olmasıdır. İkinci ola- rak yukarıda işaret edilen hükümlerin önemli bir bölümünün kişisel verilerin hukuka aykırı kulla- nımının ortaya çıkmasından sonra uygulanabilir. 

Kişisel Verilerin Korunması Kanunu Yedi bö- lümden oluşmaktadır. Buna göre birinci bölümde Kanunun amaç ve kapsamı belirlenmiş; ayrıca kişi- sel veri, verilerin işlenmesi gibi konuya ilişkin son derece önemli tanımlara yer verilmiştir. Bu nokta- da tanımların büyük oranda AB sistemi ile uyum- lu olduğu söylenebilir. Kanunun “kişisel verilerin işlenmesi” kenar başlıklı ikinci bölümünde ise veri işlemede hakim olan temel ilkelere, kişisel verile- rin işlenme şartlarına, özel nitelikli(hassas) kişisel verilere, verilerin silinmesi yok edilmesi ve ano- nim hâle getirilmesi ile kişisel verilerin aktarılması düzenlenmiştir. Bu noktada belirtmek gerekir ki metin olarak düşünülmüştür, ancak pek çok mad- desi ile diğer kanunlarda yer alan hükümlerin saklı tutulduğu görülmektedir. Örneğin, Kanun kapsa- mında kişilerin “ırkı, etnik kökeni, siyasi düşün- cesi, felsefi inancı, dini, mezhebi veya diğer inanç- ları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri” özel nitelikli (hassas) kişisel veri olarak kabul edilmiş ve işlenmesi yasaklanmıştır (m.6/1). Maddenin ikinci fıkrasına göre “Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.” Maddeye göre; “Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rı- zası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının ko- runması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıy- la, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.Özel nitelikli ki- şisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.”

Kanunun 18. maddesi ile “görev ve yetkilerini kendi sorumluluğu altında, bağımsız olarak” yeri- ne getireceği belirtilen bir Kişisel Verileri Koruma Kurulu oluşturulması öngörülmektedir. Kanunun 21. maddesine göre:

Kurul, bu Kanunla ve diğer mevzuatla verilen görev ve yetkilerini kendi sorumluluğu altında, bağımsız olarak yerine getirir ve kullanır. Görev alanına giren konularla ilgili olarak hiçbir organ, makam, merci veya kişi, Kurula emir ve talimat ve- remez, tavsiye veya telkinde bulunamaz. (2) Kurul, dokuz üyeden oluşur. Kurulun beş üyesi Türkiye Büyük Millet Meclisi, dört üyesi Cumhurbaşkanı tarafından seçilir. (3) Kurula üye olabilmek için aşağıdaki şartlar aranır: 

Hassas kişisel verilerin işlenmesini sağlayan bir başka istisna ise farklı bir açıdan tartışılabilir. Bu istisna uyarınca sivil toplum kuruluşları amaçları- na uygun olarak, faaliyet alanlarıyla sınırlı olmak kaydıyla kendi üyelerine ilişkin verileri işleyebilir. Dernek, vakıf ya da sendika üyeliği hassas veri ka- tegorisinde sayıldığı için bu makul bir istisnadır. Dikkat çekici olan ise bu türdeki verilerin ancak kanunda açıkça öngörülmesi, ilgili kişinin açık rı- zası ile Kurulun izninin birlikte bulunması halle- rinde üçüncü kişilere ve yeterli koruma bulunması koşuluyla yurtdışına aktarılabilmesidir(m. 9/2, b). Diğer hiçbir özel nitelikli veri için böylesine bir ko- şul belirlenmemiştir. Nitekim kişinin açık rızasının bulunduğu hâllerde, bunun yeterli görülmeyerek bir de Kurulun onayının gerekmesinin nedeni açık değildir. Bu hüküm dolayısıyla bir dernek-ilgilile- rin açık rızası ile-yönetim kurulunu İnternet site- sinde yayınlayamayacak ya da-yine üyelerinin açık rızası da olsa-Kurulun onayı olmadan benzer faa- liyetler gösteren uluslararası bir örgüte üyelerinin adlarını bildiremeyecek midir? Bu güçte bir sınırla- maya neden ihtiyaç duyulduğu madde gerekçesin- de de açıklanmamıştır.

Kanunun 18. maddesi ile “görev ve yetkilerini kendi sorumluluğu altında, bağımsız olarak” yeri- ne getireceği belirtilen bir Kişisel Verileri Koruma Kurulu oluşturulması öngörülmektedir. Kanunun 21. maddesine göre:

Kurul, bu Kanunla ve diğer mevzuatla verilen görev ve yetkilerini kendi sorumluluğu altında, bağımsız olarak yerine getirir ve kullanır. Görev alanına giren konularla ilgili olarak hiçbir organ, makam, merci veya kişi, Kurula emir ve talimat ve- remez, tavsiye veya telkinde bulunamaz.

Kurul, dokuz üyeden oluşur. Kurulun beş üyesi Türkiye Büyük Millet Meclisi, dört üyesi Cumhurbaşkanı tarafından seçilir.

1. a)  Kurumun görev alanındaki konularda bilgi ve deneyim sahibi olmak.

2. b)  14/7/1965 tarihli ve 657 sayılı Devlet Me- murları Kanununun 48 inci maddesinin birinci fıkrasının (A) bendinin (1), (4), (5), (6) ve (7) numaralı alt bentlerinde belirtilen nitelikleri taşımak.

3. c)  Herhangi bir siyasi parti üyesi olmamak.

ç) En az dört yıllık lisans düzeyinde yükseköğ- renim görmüş olmak.

Kurulun görev ve yetkileri şunlardır:

a)  Kişisel verilerin, temel hak ve özgürlüklere uygun şekilde işlenmesini sağlamak.

b)  Kişisel verilerle ilgili haklarının ihlal edildiğini ileri sürenlerin şikâyetlerini karara bağlamak.

c)  Şikâyet üzerine veya ihlal iddiasını öğren- mesi durumunda resen görev alanına giren konularda kişisel verilerin kanunlara uygun olarak işlenip işlenmediğini incelemek ve ge- rektiğinde bu konuda geçici önlemler almak.

ç) Özel nitelikli kişisel verilerin işlenmesi için aranan yeterli önlemleri belirlemek.

d)  Veri Sorumluları Sicilinin tutulmasını sağlamak.

e)  Kurulun görev alanı ile Kurumun işleyişine ilişkin konularda gerekli düzenleyici işlem- leri yapmak.

f)  Veri güvenliğine ilişkin yükümlülükleri be- lirlemek amacıyla düzenleyici işlem yapmak.

g)  Veri sorumlusunun ve temsilcisinin görev, yetki ve sorumluluklarına ilişkin düzenleyi- ci işlem yapmak.

ğ) Bu Kanunda öngörülen idari yaptırımlara karar vermek.

Türk hukuk mevzuatında medeni hukukun ki- şilik haklarına yönelik düzenlemelerinin kişisel ve- rilerin korunmasına açısından bazı olumlu sonuçlar sağlayabileceği söylenebilir. Nitekim kişilik hakları, kişisel değerlerin bütününü kapsayan bir hukuksal alandır. Alman Anayasa Mahkemesi de bir önceki bölümde işaret edilen önemli bir kararında kişisel verilerin korunmasının Alman Anayasası’nda karşı- lığını bulan genel kişilik hakkı çerçevesinde değer- lendirileceğine kanaat getirmiştir (BverfGE 65,1).

TCK’nin 136. maddesinde ise ki- şisel verileri hukuka aykırı olarak baş- kasına vermek, yaymak ve ele geçirmek suçu düzenlenmiştir. Buna göre;

“Kişisel verileri, hukuka aykırı olarak bir başka- sına veren, yayan veya ele geçiren kişi, iki yıldan dört yıla kadar hapis cezası ile cezalandırılır”.

Kişisel verilerin korunmasına yönelik Türk hukuk mevzuatındaki en önemli düzenleme yine Anayasada yer alır. Anayasa’nın 20. maddesine 2010 Anayasa değişiklikleri ile eklenmiş olan son fıkra şöyledir:

“Herkes, kendisiyle ilgili kişisel verilerin korun- masını isteme hakkına sahiptir. Bu hak, kişinin kendisiyle ilgili kişisel veriler hakkında bilgilen- dirilme, bu verilere erişme, bunların düzeltil- mesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğ- renmeyi de kapsar. Kişisel veriler, ancak kanun- da öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir”.

Belirtilen hüküm ile Türkiye’de kişisel verilerin korunması açıkça anayasal bir hak olarak düzen- lenmiştir. Bu kapsamda ilgili kişinin kişisel verileri üzerinde denetimini sağlayacak temel ilkelerden örnekler verildiği de görülmektedir. Dikkat çek- mek gerekir ki hukuksal güvenceye kavuşması ge- reken ilkeler hükümde sayılanlar ile sınırlı değildir. Hüküm metninden bu kolaylıkla anlaşılabilir.