aofsoru.com

Bilişim Hukuku Dersi 3. Ünite Sorularla Öğrenelim

Türkiye’De Kişisel Verilerin Korunması

1. Soru

Kişisel verilerin korunmasının Türkiye Cumhuriyeti Anayasası'ndaki düzenlenişi nasıldır? Detaylı olarak bilgi veriniz.

Cevap

Türkiye Cumhuriyeti Anayasası’nda kişisel verilerin korunmasının normatif temelini oluştu- racak çeşitli hükümler bulunur. Bu kapsamda ilk olarak kişinin maddi ve manevi varlığını geliştirme hakkı dikkate alınmalıdır. Anayasa’nın başlangıç 6. paragrafında ve 17/1 hükmünde kişinin mad- di ve manevi varlığını koruma ve geliştirme hakkı hüküm altına alınmıştır. Bunun yanında Anayasa uyarınca “Devletin temel amaç ve görevleri” arasında“insanın maddi ve manevi varlığının gelişmesi için gerekli şartları hazırlamaya çalışmak” (m.5) yer alır.

Unutulmamalıdır ki maddi ve ma-
nevi varlığını geliştirme hakkı kaynağını
insan onurunda bulmaktadır (Kaboğlu,
2002). Türk Anayasa Mahkemesi bir ka-
rarında göre insan onuru kavramını şu
şekilde tanımlamıştır: “İnsanın ne durumda, hangi şartlar altında bulunursa bulunsun sırf insan oluşu- nun kazandırdığı değerin tanınmasını ve sayılmasını anlatır. Bu öyle bir davranış çizgisidir ki ondan aşa- ğı düşünce, muamele ona muhatap olan insanı in- san olmaktan çıkarır.” (E. 1963/132, K. 1966/29, 28/6/1966). Görüldüğü gibi Anayasa Mahkemesi “insan onuru”nu insan olmanın anlamı ile bütün- leşik olarak değerlendirmiştir. Bir önceki bölümde açıklandığı üzere sınırsız veri işleme süreçleri kar- şısında bireyin korunmasının bu yaklaşımla ilişkisi kolaylıkla saptanabilir. Nitekim insanı insan yapan önemli özelliklerden biri bireysel özerkliğidir.

Kişisel verilerin korunmasına yönelik Türk hukuk mevzuatındaki en önemli düzenleme yine Anayasada yer alır. Anayasa’nın 20. maddesine 2010 Anayasa değişiklikleri ile eklenmiş olan son fıkra şöyledir:

“Herkes, kendisiyle ilgili kişisel verilerin korun- masını isteme hakkına sahiptir. Bu hak, kişinin kendisiyle ilgili kişisel veriler hakkında bilgilen- dirilme, bu verilere erişme, bunların düzeltil- mesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğ- renmeyi de kapsar. Kişisel veriler, ancak kanun- da öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir”.

Belirtilen hüküm ile Türkiye’de kişisel verilerin korunması açıkça anayasal bir hak olarak düzen- lenmiştir. Bu kapsamda ilgili kişinin kişisel verileri üzerinde denetimini sağlayacak temel ilkelerden örnekler verildiği de görülmektedir. Dikkat çek- mek gerekir ki hukuksal güvenceye kavuşması ge- reken ilkeler hükümde sayılanlar ile sınırlı değildir. Hüküm metninden bu kolaylıkla anlaşılabilir.

Kişisel verilerin korunması hakkının anayasada açıkça yer alması olumlu bir gelişme olsa da hü- kümde bazı eksiklikler bulunduğu dikkatten kaç- mamalıdır. Öncelikle Anayasanın 20. maddesinin 3. fıkrası kapsamında kişisel verilerin korunması hakkından değil, kişisel verilerin korunmasını “is- teme” hakkında söz edilmesi anayasa koyucunun bu korumaya ilişkin yeterli güvenceyi sağlamada isteksiz olduğu şeklinde yorumlanabilir. Dikkat çeken bir diğer husus, Avrupa Birliği Temel Hak- lar Şartı’nın 8. maddesinin aksine hükümde kişi- sel verilerin korunmasında hakim olan ilkelerin uygulamasını denetleyecek bağımsız bir organın kurulmasına yer verilmemiştir. Elbette bu durum bağımsız bir denetim organının kurulması önünde engel değildir. Kanun koyucunun denetim meka- nizmasının önemini dikkate alarak bu konuya iliş- kin düzenleme yapması gerekir. Nitekim aşağıda incelenecek olan Kişisel Verilerin Korunması Ka- nun Tasarısı’nda Veri Koruma Kurulu adıyla böy- lesine bir organa yer verilmiştir. Ancak Anayasada bağımsız bir denetim organının kurulmasının hü- küm altına alınmış olması, Tasarının en tartışmalı yönlerinden olan denetleyici organın bağımsızlık vasfını güvence altına alabilirdi.

Bunun yanında Anayasa Mahkemesinin kişisel verilerin korunmasına ilişkin oldukça tartışmalı kararlarının bulunduğunu da belirtmek gerekir. 2000’li yıllara gelinceye kadar Anayasa Mahkemesi konuya ilişkin üç önemli karar vermiştir. Bunlar- dan ilk ikisi nüfus cüzdanlarında din hanesinin bu- lunmasına ilişkindir. Anayasa Mahkemesi yaptığı her iki incelemede de aile kütüklerinde ve nüfus cüzdanlarında din hanesinin bulunma zorunlulu- ğunun Anayasaya aykırı olmadığına karar vermiş- tir. Her ne kadar bu kararlarda ve kararlara ilişkin tartışmalarda din ve vicdan özgürlüğü ekseninde bir değerlendirme yapılsa da aslında bu kararla- rın dolaylı olarak kişisel verilerin korunması hakkı ile ilişkili olduğu da belirtilmelidir. Nitekim kişi- nin dini inancına ilişkin bilgiler “hassas” veri ka- tegorisinde yer almakta ve işlenmesi kural olarak yasaklanmaktadır. Nüfus cüzdanında yer alan din hanesine ilişkin olarak bu noktada bir tartışma yü- rütülebilir. Ayrıca nüfus hizmetlerinin dijital veri bankalarına aktarıldığı günümüzde bu türdeki ve- rilerin istatistiki amaçlarla anonim tutulması yeri- ne, belirli bir kişiyle ilişkili olarak tutulmasının ya- ratabileceği tehlikelerin daha ciddi olduğuna işaret etmek gerekir.

Anayasa Mahkemesi’nin bir diğer önemli kararı ise Kimlik Bildirme Kanunu’na eklenen bir hük- me ilişkindir. İlgili hüküm uyarınca genel kolluk kuvvetlerinin bilgisayarlarında otel motel, yurt, misafirhane gibi konaklama yerlerinde kalan ki- şilerin kişisel verilerinin toplanması zorunluluğu getirilmektedir. Ancak bu zorunluluk getirirken kolluk kuvvetlerinin uyacakları esaslar yasada be- lirlenmemiştir. Anayasa Mahkemesinin karardaki değerlendirmesinden kişisel verilerin korunmasını özel yaşamın gizliliği hakkının bir parçası olarak kabul ettiği anlaşılsa da Anayasaya aykırılık iddiası- nın reddine karar vermesi düşündürücüdür.

Bunun yanında Mahkemenin 2008 yılında ver- diği bir karar, kişisel verilerin korunmasının özel yaşamın gizliliği ve düşünce özgürlüğü çerçeve- sinde gördüğünü açıkça ortaya koymaktadır. Bu karara konu olan Türkiye İstatistik Kanunu’nun ilgili hükümleri uyarınca istatistik amacıyla gerçek kişilerin de dâhil olduğu “istatistikî birimler”den her türlü bilgi istenebilir. Bu isteğin istenilen şekil, süre ve standartlarda ücretsiz olarak karşılanması zorunludur. Bu zorunluluğu yerine getirmeyenler ise idari para cezası yaptırımı ile karşılaşacaklardır. Anayasa Mahkemesi ilgili hükümleri, “kişilerin bil- gi toplama, saklama, işleme tekeline sahip idareye ve diğer kişilere karşı korumasız bırakılması ve veri toplamanın sınırlarına yasal düzenlemelerde yer verilmemesi” nedeniyle Anayasaya aykırı bulmuş- tur (E. 2006/17, K. 2008/86, 20/3/2008). Dik- kat çekmek gerekir ki bu kararın konusu Alman Anayasa Mahkemesinin 1983 yılında verdiği ünlü Nüfus Sayımı Kararı ile benzerlik göstermektedir. Mahkemenin 2008 yılında verdiği bu kararın ge- rekçesinden bir bölüm bu Ünite sonunda okuma metni olarak yer almaktadır.

İptal edilen hükümden kaynaklı boşluğu doldurmak amacıyla kabul edilen yeni düzen- lemede ise bazı ufak değişiklikler yapılmış, bu yükümlülüğün “Anayasa’da belirlenen temel haklar ve ödevler çerçevesinde” gerçekleştirile- ceği belirtilmiştir. Tekrar Anayasa Mahkemesi-

nin önüne giden hüküm, bu kez oy çokluğu ile Anayasa’ya aykırı bulunmamıştır (E.2010/12, K.2011/135,12/10/2011). Anayasa Mahkemesi, konuya ilişkin ikinci kararında idari makamların bireyin temel haklarını ihlal edecek şekilde bilgi talep etmeme yükümlülüğü bulunduğuna, bu yü- kümlülüğün yerine getirilmemesi durumunda ise “istatistikî birimler”in haklarını yargı makamları önünde arayabileceklerine işaret etmiş ve “bireyin haklarına ölçüsüz bir müdahaleye izin verilmedi- ği” sonucuna ulaşmıştır. Oysa ilk kararda işaret edilen “korumasızlık” ve veri işleme süreçlerine ilişkin belirsizlik hâlen sürmektedir.

Devletin sosyal ve ekonomik hedefler belirleme ve planlama gibi konularda istatistiklere gereksinim duyduğu açıktır. Bu aynı zamanda etkin yönetim için bir zorunluluktur. Ancak Türkiye’de kişisel ve- rilerin korunmasına ilişkin çerçeve bir düzenleme- nin bulunmadığı ve Devlet Denetleme Kurulunun konuya ilişkin raporunda da işaret ettiği üzere, bilgi güvenliğine ilişkin yeterli önlemlerin alınmadığı da dikkatten kaçmamalıdır. Öte yandan istatistik çalış- malarına katılmanın bir zorunluluk olarak belirlen- mesi temel hak ve özgürlükler açısından tartışmalı bir durum yaratmakta, Alman Anayasa Mahkeme- sinin de daha önce işaret ettiği üzere, bireyin devlet karşısında nesneleşmesi tehlikesini taşımaktadır.

Anayasa Mahkemesi’nin başta sağlık verilerinin korunması ile ilişkili olmak üzere yakın zamanda verdiği başka bazı kararlar da bulunmaktadır. Ör- neğin, her türlü sağlık verisinin Sağlık Bakanlığına gönderilmesine ilişkin 663 sayılı Kanun Hükmün- de Kararnamenin 47. maddesi-temel hak ve özgür- lüklere ilişkin düzenlemelerin yasa ile yapılması zorunluluğu nedeniyle-Anayasa Mahkemesi tara- fından iptal edilmiştir (E.: 2011/150, K.: 2013/30, 14/2/2013). Bunun üzerine kanun koyucu bir tor- ba kanun ile aynı hükmü yeniden 663 sayılı Kanun Hükmünde Kararnameye eklemiştir. Bu hüküm ise yeninden Anayasa Mahkemesi önüne götürülmüş ve Anayasa Mahkemesi yürütmenin durdurulma- sına karar vermiştir (E.: 2013/114, K.: 2014/22, 6/12/2014). Bu bölüm yayıma hazırlandığı sırada henüz bu kararın gerekçesi Resmî Gazete’de yayım- lanmamıştır. Bunun yanında Anayasa Mahkeme- si, hastane ve polikliniklerde kimlik doğrulaması amacıyla biyometrik yöntemlerin kullanılmasına ilişkin hükmü değerlendirmiş ancak Anayasa’ya ay- kırı bulmamıştır (AYMK E.2014/180, K.2015/30, k.t. 19/03/2015). 

Öte yandan Anayasa Mahkemesi, 2012 Eylül ayından itibaren bireysel başvuruları da kabul et- meye başlamıştır. Konuya ilişkin uygulamada kar- şılaşılan sorunlar dolayısıyla yakın zamanda kişisel verilerin korunması hakkına ilişkin bireysel baş- vuruların artacağı öngörülebilir. Bu noktada ümit edilen, Anayasa Mahkemesinin kişisel verilerin ko- runması yönünde güçlü bir tutum takınmasıdır.

Kişisel verilerin korumasının anayasal temel- lerini incelerken dikkate alınması gereken bir di- ğer hüküm, Anayasa’nın 90. maddesinde yer alır. Anayasa’nın 90. maddesi uyarınca “Usulüne göre yürürlüğe konulmuş Milletlerarası antlaşmalar ka- nun hükmündedir”. Dolayısıyla Türk hukuk siste- minde uluslararası antlaşmalar iç hukuk sisteminin bir parçasıdır. Bu antlaşmanın temel hak ve öz- gürlüklere ilişkin olması durumunda ise, sözleşme hükümlerinin yasaların bile üzerinde yer aldığı söy- lenebilir. Nitekim 90. maddeye 2004 yılında ekle- nen bir hüküm uyarınca:

“Usulüne göre yürürlüğe konulmuş temel hak ve özgürlüklere ilişkin antlaşmalarla kanunların aynı konuda farklı hükümler içermesi nedeniyle çıkabilecek uyuşmazlıklarda milletlerarası antlaş- ma hükümleri esas alınır”.

Bu düzenleme, konumuz açısından özellikle Av- rupa İnsan Hakları Sözleşmesi’nin (AİHS) konumu dolayısıyla önemlidir. Türkiye AİHS’e taraf olan dev- letlerden biridir. Sözleşmede yer alan hükümlerin içeriğini belirleyen organ ise Avrupa İnsan Hakları Mahkemesidir (AİHM). Mahkemenin içtihadı, özel yaşamın gizliliği hakkını düzenleyen 8. madde çer- çevesinde kişisel verilerin korunması hakkının tanın- ması yönündedir. Bir başka anlatımla kişisel verilerin korunması anayasal temelini 20. maddedeki doğru- dan düzenleme yanında, dolaylı olarak Anayasa’nın 90. maddesinde de bulmaktadır. Türkiye’de mahke- melerde konuya ilişkin somut olaylarla karşılaşıldı- ğında AİHS’e ve Sözleşmenin denetim organı olan AİHM’in içtihatlarına da bakmanın önemli bir ge- reklilik olduğu dikkatten kaçmamalıdır.


2. Soru

AİHS'de kişisel verilerin korunması ayrı bir hak alanı olarak düzenlenmiş midir?

Cevap

AİHS’de Anayasa’da olduğu gibi kişisel verilerin korunmasının ayrı bir hak alanı olarak düzenlenmediği görülür. Sözleşme’nin 1950 yılında kabul edildiği düşünüldüğünde bu oldukça doğaldır. Ancak AİHM verdiği kararlarla, kişisel verilerin korunmasında temel ilkelerin büyük bir bölümünü Sözleşme’nin 8. maddesi kapsamında tanımaktadır. Sözleşme hükümlerinin sınır ve kapsamlarını belirleyebilmek için AİHM’in yorumlarının önemi açıktır. O hâlde hem Anayasa’nın 90. madde hükmünün bir gereği olarak hem de bu konuda geliştirilen içtihatlara aykırı uygulamaların AİHM önünde ihlal kararı ile sonuçlanacağı düşünüldüğünde bu kararların incelenmesi gerektiği açıktır.


3. Soru

AİHM'in kişisel verilerin korunmasına ilişkin tutumu nasıldır?

Cevap

Hemen belirtelim: AİHM, özellikle 1980’li yıl- ların ortalarından beri ve gittikçe artan bir yoğun- lukta, kişisel verilerin korunmasını, Sözleşme’nin sağladığı güvenceler kapsamında değerlendirmiştir. Nitekim Mahkemenin bireysel özerkliği ve bilgile- rin geleceğini belirleme hakkını, 8. madde ile ge- tirilen güvencelerin yorumlanmasında önemli bir temel ilke olarak belirlediği görülür. Bu bağlamda AİHM, bireylerin kişisel verilerinin kullanımı ve kaydı konusunda denetim hakkının bulunduğunu kabul etmektedir.

Kişisel verilerin korunması hakkının 8. madde kapsamında değerlendirilmesi, Sözleşme hüküm- lerinin yorumlanmasında yeni gelişmelere açık bir bakışın hâkim olduğunun da göstergesidir. Nite- kim AİHM’e göre Sözleşme, “güncel koşullar ışığın- da yorumlanması gereken yaşayan bir enstrüman”dır (Tyrer, Birleşik Krallık, 5856/72,28/4/1978). Mah- kemenin görevi, Sözleşmeyi yorumlarken sosyal değişimleri de yansıtmaktır AİHM’nin çeşitli ka- rarlarında da belirttiği üzere, Sözleşme ile güdülen amaç, hakların hayali ya da teorik olarak değil, etki- li ve elverişli bir şekilde güvence altına alınmasıdır.

Ayrıca Mahkemenin çeşitli kararlarında özel yaşamı kişinin mahrem alanı(özel yaşamın iç çem- beri) dışında başkaları ile ilişki kurduğu alanları da kapsar şekilde yorumladığı görülmektedir. Bu yo- rum, kişisel verilerin korunması açısından önemli sonuçlar getirir. Bir örnek sokak ve meydanları izle- mek üzere kurulan kapalı devre televizyon sistemle- rine (CCTV, Close Circuit Television System) iliş- kin olarak verilebilir.

Bunun yanında Mahkemenin günün koşulları- nın gerisinde kalmama düşüncesini koruma alanı açısından kararlarına yansıtmasının olumlu sonuç- larının bulunduğu belirtilmelidir. Örneğin bu yak-

laşımla Mahkeme, geleneksel haberleşme araçlarının yanında modern iletişim araçlarını da koruma kap- samında görmektedir. Bu bağlamda kişilerin İnter- net aracılığıyla kurdukları iletişimin, e-postalarının izlenmesi ya da içeriklerinin saptanması da 8. madde çerçevesinde değerlendirilmektedir.

AİHM 8. madde çerçevesinde, kişisel verilerin korunması ile ilişkili ilk önemli kararını Klass ve diğerlerinin Almanya’ya karşı yaptığı başvuru üze- rine vermiştir. Bu kararda Mahkeme, gizli telefon dinlemelerini özel yaşam kapsamında değerlendirir. Daha sonra verdiği pek çok kararla Mahkemenin temel olarak konumuza ilişkin önemli bazı ilkeleri Sözleşme’nin 8. maddesi kapsamında değerlendir- diğini görmekteyiz. Bireylere ilişkin kişisel bilgilerin resmi makamlarca toplanarak arşivlenmesi, telefon görüşmelerine ilişkin kayıtları izleme, toplanan ve- rilerin toplanma amacı dışında kullanılması, sağlık verilerinin gizliliği, emniyet güçleri tarafından par- mak izi ve fotoğrafların alınması, kişisel verilere eri- şim hakkı, kişisel verilerin gerektiğinden uzun süre tutulması gibi konular Mahkemenin çeşitli kararla- rında 8/1 hükmü kapsamında değerlendirilmiştir. Bunun yanında Mahkemenin içtihadı uyarınca “özel yaşam”, kimlik hakkını ve 8. maddedeki güvencele- rin yorumlanmasında oldukça önemli olan, kişilik ve bireysel özerklik ilkeleri dolayısıyla, kişisel gelişim hakkını da kapsamaktadır.

Ancak belirtmek gerekir: AİHM, konuya iliş- kin pek çok kararında, m.8/1’in ihlalini 2. fık- ra hükümleri uyarınca meşru görmüştür. Buna karşın hangi konuları “özel yaşama saygı hakkı”kapsamında değerlendirdiğini saptamak, en az Mahkemenin somut olaylarda ihlale ilişkin verdi- ği karar kadar önemlidir. Nitekim Mahkemenin Sözleşme’nin 8/1 hükmü kapsamında özel yaşama müdahale olarak değerlendirdiği bir durumun, 8/2 hükmünde yer alan koşullara uygun olarak meşruluk kazanmadığı durumlarda ihlal kararının doğacağı açıktır.


4. Soru

Kişisel verilerin korunmasının Türk Ceza Kanunu'nda düzenlenişi genel olarak nasıldır?

Cevap

Özellikle son yıllarda kabul edilen yasal düzenlemelerde kişisel verilerin korunmasına yönelik hüküm- lere yer verildiği görülmektedir. Bunlar içerisinde şüphesiz en dikkat çekici olan, 1 Haziran 2005 tarihinde yürürlüğe giren yeni Türk Ceza Kanunu uyarınca kişisel verilerin hukuka aykırı kayıt edilmesi, verileri hu- kuka aykırı verme, yayma veya ele geçirme ile gereken sürelerin geçmesine karşın verileri yok etmemenin suç olarak düzenlenmesidir. Bu açıdan Türk hukuk sisteminde yasal düzeyde konuya ilişkin en kapsamlı korumanın Türk Ceza Kanunu’nda (TCK) yer aldığı söylenebilir.

Öncelikle TCK’nin 135. maddesi uyarınca kişisel verilerin hukuka aykırı olarak kaydedilmesi suçtur. Buna göre kişisel verileri hukuka aykırı olarak kayıt eden kimseye bir yıldan üç yıla kadar hapis cezasının verilmesi öngörülmüştür. Kişilerin ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına ve sendikal bağlantılarına ilişkin bilgileri hukuka aykırı olarak kaydeden kimse de aynı yaptırım ile cezalandırılacaktır.

Şuna işaret etmek gerekir: TCK’nin 135. maddesinde yalnızca verilerin işlenmesinin bir türü olan kayıt etmenin suç olarak belirlenmiştir. Oysa bir önceki bölümde açıklandığı üzere kişisel verilerin işlenmesi yalnızca kayıt etmeyi değil, toplanma, kullanma, aktarma gibi çeşitli eylemleri içeren bir süreçtir. TCK’nin aşağıda incelenecek izleyen hükümlerinde bu eylemlerin bir kısmına ilişkin düzenlemeler bulunmaktadır. Ancak özellikle kişisel verilerin hukuka aykırı olarak kullanılmasına ilişkin düzenlemeye yasada yer veril- mediği görülmektedir. Bu durumda hukuka uygun şekilde toplanan ve kayıt altına alınan kişisel verilerin sonraki kullanımlarında oluşabilecek aykırılıklar yaptırımsız kalabilir. 

TCK’nin 136. maddesinde ise ki- şisel verileri hukuka aykırı olarak baş- kasına vermek, yaymak ve ele geçirmek suçu düzenlenmiştir. Buna göre;

“Kişisel verileri, hukuka aykırı olarak bir başka- sına veren, yayan veya ele geçiren kişi, iki yıldan dört yıla kadar hapis cezası ile cezalandırılır”.

Belirtilen eylemlerin yaptırıma bağlanmasın- daki amaç kişisel verilerin yetkisiz üçüncü kişilere aktarılmasını ve ele geçirilmesini önlemektir. Bu bakımdan verinin kaydedilmesinin hukuka uygun olup olmadığı, suçun oluşması açısından önemli değildir. 136. maddede verme, yayma ve ele geçir- me seçimlik hareketler olarak belirlenmiştir. Kişisel verilerin hukuka aykırı olarak verme ve yayma ha- reketlerinin yaptırıma bağlanmasındaki amaç yet- kisiz üçüncü kişilere aktarılmasını önlemektir. Ay- rıca kişisel verileri daha önceden kaydedilmiş olsun ya da olmasın hukuka aykırı olarak ele geçiren kişi 136. madde hükmünce cezalandırılacaktır.

Daha önceden verinin kaydedilmesinin hukuka uygun olup olmamasının suçun oluşması açısından bir önemi bulunmamaktadır. Nitekim 136. mad- denin gerekçesinde şu ifade yer almaktadır:

“Bu madde hükmü ile, hukuka uygun olarak kaydedilmiş olsun veya olmasın, kişisel verileri hukuka aykırı olarak başkalarına vermek, yay- mak veya ele geçirmek, bağımsız bir suç olarak tanımlanmıştır”.

136. maddede yer alan düzenleme kişisel verile- rin korunmasını sağlayıcı bir niteliktedir. Bu nok- tada önlenmek istenen eylemler arasında kimlik hırsızlığı örnek olarak gösterilebilir.

Konuya ilişkin bir diğer önemli düzenleme- nin TCK’nin 138. maddesinde yer aldığı görülür.

Buna göre:

“Kanunların belirlediği sürenin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlara görevlerini yerine getirmediklerinde bir yıl- dan iki yıla kadar hapis cezası verilir”. Hükme 2014 yılında eklenen fıkra uyarınca ise “Suçun konusu- nun Ceza Muhakemesi Kanunu hükümlerine göre ortadan kaldırılması veya yok edilmesi gereken veri olması hâlinde verilecek ceza bir kat artırılır.”

TCK’nin 138.maddesi ile, kişisel verilerin ko- runması alanında temel ilkelerden biri olan verile- rin süresiz olarak tutulmaması gerekliliğinin karşı- landığı söylenebilir. O hâlde bilgileri hukuka aykırı olarak elde eden, kaydeden ve kullanan kişilerin de ilgili mevzuatta belirtilen sürelerin geçmesinin ar- dından bunları yok etmesi bir zorunluluktur.

Belirtmek gerekir ki bu suçların hiç birinin takibi şikayete bağlı değildir. Ayrıca Türk Ceza Kanunun 135. ve 136. maddesinde düzenlenen suçların kamu görevlisi tarafından ve görevinin verdiği yetki kö- tüye kullanılmak suretiyle ya da belli bir meslek ve sanatın sağladığı kolaylıktan yararlanmak suretiyle işlenmesi hâli ağırlaştırıcı sebep olarak belirlenmiş ve cezanın yarı oranında arttırılacağı hüküm altına alınmıştır. Bunun yanında bu üç maddede yer alan suçların tüzel kişiler tarafından işlenmesi hâlinde bunlara özgü güvenlik tedbirleri uygulanacaktır.

TCK’de konuya ilişkin olarak belirtilen suçlara ve yaptırımlara yer verilmiş olmasına karşın, bu eylem- lerin tanımlandığı ve kişisel verilerin korunmasında temel ilkelerin belirlendiği bir düzenlemenin bulun- maması önemli bir eksiklik olarak hissedilmektedir. Bu kapsamda özellikle “kişisel veri”nin tanımı konu- sunda mevzuatımızda açıklayıcı hükümlerin son de- rece sınırlı olması ve temel ilkelerin düzenlememesi nedeniyle “hukuka aykırılık”ın belirlenmesinde yaşa- nan güçlükler özellikle dikkat çekicidir.


5. Soru

Türk Medeni Kanunu'ndaki kişilik haklarına ilişkin düzenlemelerin kişisel verilere ilişkin nasıl bir etkisi olabilir?

Cevap

Türk hukuk mevzuatında medeni hukukun ki- şilik haklarına yönelik düzenlemelerinin kişisel ve- rilerin korunmasına açısından bazı olumlu sonuçlar sağlayabileceği söylenebilir. Nitekim kişilik hakları, kişisel değerlerin bütününü kapsayan bir hukuksal alandır. Alman Anayasa Mahkemesi de bir önceki bölümde işaret edilen önemli bir kararında kişisel verilerin korunmasının Alman Anayasası’nda karşı- lığını bulan genel kişilik hakkı çerçevesinde değer- lendirileceğine kanaat getirmiştir (BverfGE 65,1).

Medeni hukukta, kişisel verilerin korunması ile yakından ilişkili olan, kişinin onur ve saygınlığı, adı ve resmi üzerindeki hakları ile sır alanı kişilik haklarının alanı içerisinde değerlendirilmektedir. Bu doğrultuda konuya ilişkin hukuksal koruma- nın ise Türk Medeni Kanunu’nun (MK) 24. ve 25. maddelerinde getirildiği görülmektedir. Nitekim

MK’nin 24. maddesinde kişiliğe yönelik saldırılara karşı temel ilke, 25. maddede ise başvurulabilecek hukuksal yollar belirlenmiştir.

O hâlde MK ve ilgili düzenlemelerin kişisel ve- rilerin korunmasını belirli oranda sağladığı söyle- nebilir. Ancak bu düzenlemeler, Türkiye’de kişisel verilerin etkin korumasını sağlayabilecek içerikten yoksundur. Nitekim kişisel verilerin etkin koruma- sını sağlayabilmek için önleyici tedbir niteliğinde olan temel ilkelerin yasal düzenlemeler ile belirlen- mesi ve zarar meydana gelmeden bu ilkelere uyum- lu pratiklerin geliştirilmesi gerekir. Mehaz hük- mün yer aldığı İsviçre Medeni Kanunu’nda hemen hemen aynı düzenlemenin bulunmasına karşın, İsviçre’de ayrıca bir kişisel verilerin korunması ya- sasının da kabul edilmesinin nedeni budur. Kişisel Verilerin Korunması Yasa Tasarısı’nın bu noktada MK ile karşılanamayan bir koruma getireceği ve bir anlamda onu tamamlayacağı söylenebilir.


6. Soru

Türk Borçlar Kanunu'nda kişisel verilerin korunmasına ilişkin hüküm var mıdır? Detaylı olarak tartışınız.

Cevap

Yakın tarihte yürürlüğe giren Türk Borçlar Kanunu’nda işçinin kişisel verilerinin korunmasına yönelik bir hüküm yer almaktadır. Yeni Borçlar Kanunu’nun 419. maddesi uyarınca “İşveren, işçiye ait kişisel verile- ri, ancak işçinin işe yatkınlığıyla ilgili veya hizmet sözleşmesinin ifası için zorunlu olduğu ölçüde kullanabilir”.Belirtmek gerekir ki iş hukuku alanında kişisel verilerin korunması özel ve öncelikli bir konuyu oluşturur. Kişisel öncelikler belirlenirken iş, sağlık ve aile yaşamı sonrasında belki de en önde gelen konudur. İş bul- mak, işsiz kalmamak, huzurlu bir iş yaşamı sürdürmek bireysel tatmin açısından oldukça önemlidir. Ayrıca sosyal bir varlık olan insan, başkalarıyla ilişki kurmada önemli bir fırsata iş yaşamında kavuşmaktadır. Bu derece önemli bir alanda kişinin korumasız bırakılması ise düşünülemez.

İşe alım sürecinden iş akdinin feshi sonrasına uzanan süreç içerisinde işverenin işçi ile ilgili pek çok bilgiye ulaşabildiği dikkatten kaçmamalıdır. İş ilişkisi niteliği gereği işçinin dezavantajlı olduğu bir durum yaratmaktadır. Bu nedenle işçinin kişisel verilerinin yasal düzenlemeler uyarınca korunması son derece önemlidir. Ayrıca gelişen bilişim ürünlerinin işyerinde artan oranda kullanımı bu gerekliliği daha da artırmaktadır. Bütün bunlar, işçinin kişisel verilerinin korunmasının yakından incelenmesine ve kimi yerlerde özel düzenlemelerin konusu olmasına neden olmuştur. Uluslararası düzenlemelere bakıldığında ise Ulus- lararası Çalışma Örgütünün (International Labour Organization -ILO) konuya ilişkin bir sözleşme kabul etmediği ancak işçinin kişisel verilerinin korunmasına ilişkin uygulama ilkelerini belirlediği görülmektedir.

Yeni Borçlar Kanunu’nda benimsenen hükmün bu anlamda son derece yerinde olduğu söylenebilir. Hükmün kişisel verilerin korunması hukukunun temel ilkelerinden olan asgari oranda veri tutulması, bir başka anlatımla gerektiğinden fazla verinin işlenmemesi ilkesi ile de uyumlu olduğu dikkat çekmektedir.


7. Soru

5809 sayılı Elektronik Haberleşme Kanunu’na göre kişisel verilerin korunması nasıl düzenlenmiştir?

Cevap

5809 sayılı Elektronik Haberleşme Kanunu’nun 51. maddesi 2014 yılında Anayasa Mahkeme- si iptal kararı verinceye kadar kişisel verilerin ko- runması konusundaki ilkelerin belirlenmesinde Bilgi Teknolojileri ve İletişimi Kurumunu (BTK) yetkili kılan kısacık bir hükümdü. Bu hükme da- yanarak BTK konuya ilişkin bir yönetmelik çı- karmıştı. Ancak Anayasa Mahkemesi temel hak ve özgürlüklere ilişkin düzenlemelerin ancak yasa ile yapılabileceğine ilişkin açık Anayasa hükmünü işaret ederek bu düzenlemeyi iptal etti (E.2013/22, K.2014/74,9/4/2014).

Oluşan boşluğu gidermek amacıyla kanun ko- yucu 2015 yılında yeni bir düzenlemeyi kabul etti. Böylelikle göre Elektronik Haberleşme Kanunu’nun “kişisel verilerin işlenmesi ve gizliliğinin korunma- sı” kenar başlıklı 51. maddesi bu sektörde veri işle- me süreçlerine ilişkin kuralları belirleyen bir hüküm hâlini aldı.

51. madde kapsamında öncelikle bir önceki bölümde üzerinde durulan verilerin kaliteli olma- sı ilkesine işaret edildiği görülmektedir. Buna göre elektronik haberleşme alanında veri işleme süreçle- rinde bu ilkenin bileşenlerine uyumlu hareket et- mek bir zorunluluktur. Ayrıca elektronik haberleş- menin ve ilgili trafik verisinin gizliliği temel kural olarak benimsenmiştir. Bunun istisnası ilgili mev- zuatın ve yargı kararlarının öngördüğü durumlar- dır. Bunun haricinde haberleşmeye taraf olanların tamamının rızası olmaksızın haberleşmenin dinlen- mesi, kaydedilmesi, saklanması, kesilmesi ve takip edilmesi yasaklanmıştır.

Elektronik Haberleşme Kanunu’ndaki düzen- lemenin dikkat çeken bir diğer yönü “çerez”lerin (cookie) kullanımına getirilen sınırlamadır. Çerez, kullanıcı bir İnternet sitesini ziyaret ettiğinde bağ- lantı kurduğu cihazın sabit diskine kaydedilen bir tür tanımlama dosyası olarak tarif edilebilir. Bu dosyalarda kişilerin ziyaret ettiği siteler gibi bazı bilgiler saklanabilmektedir. 51. maddenin 3. fıkrası uyarınca:

“Elektronik haberleşme şebekeleri, haberleşmenin sağlanması dışında abonelerin/kullanıcıların ter- minal cihazlarında bilgi saklamak veya saklanan bilgilere erişim sağlamak amacıyla işletmeciler tarafından ancak ilgili abonelerin/kullanıcıların verilerin işlenmesi hakkında açık ve kapsam- lı olarak bilgilendirilmeleri ve açık rızalarının alınması kaydıyla kullanılabilir”.

Bu hüküm dolaysıyla telefon operatörleri ancak ilgilinin açık rızasının bulunması halinde çerezleri kullanabilir. Hükmün bir diğer olumlu yanı işlet- mecilerin veri güvenliğine uygun hareket etmele- rini zorunlu kılmasıdır. Bunun yanında kişilerin iletişim trafik verilerinin ve konum bilgilerinin korunmasına yönelik bazı güvenceler de hükümde yer alır. Bu, özellikle cep telefonu aboneleri açısın- dan önemlidir.

Elektronik Haberleşme Kanunu’nun 51.mad- desi ile bir yandan kişisel verilerin korunmasına yönelik bu kurallar hüküm altına alınırken diğer yandan kişisel verilerin saklanmasına yönelik bazı hükümler getirilmiştir.

Nitekim bu kanun kapsamında sunulan hiz- metlere ilişkin olarak; soruşturma, inceleme, de- netleme veya uzlaşmazlığa konu olan kişisel veriler ilgili süreç tamamlanıncaya kadar kişisel verilere ve ilişkili diğer sistemlere yapılan erişimlere ilişkin iş- lem kayıtları iki yıl, kişisel verilerin işlenmesine yö- nelik abonelerin/kullanıcıların rızalarını gösteren kayıtlar asgari olarak abonelik süresince saklanacağı hüküm altına alınmıştır.


8. Soru

6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun'a göre kişisel verilerin korunması nasıl düzenlenmiştir?

Cevap

Türk hukuk mevzuatında kişisel verilerin ko- runmasına ilişkin oldukça yeni bir düzenleme de 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanunu’nda yer almaktadır. Nitekim bu kanun 2014 yılında kabul edilmiştir. Kanun’un 6. maddesi uyarınca:

“(1) Ticari elektronik iletiler, alıcılara ancak ön- ceden onayları alınmak kaydıyla gönderilebilir. Bu onay, yazılı olarak veya her türlü elektronik iletişim araçlarıyla alınabilir. Kendisiyle iletişi- me geçilmesi amacıyla alıcının iletişim bilgilerini vermesi hâlinde, temin edilen mal veya hizmetle- re ilişkin değişiklik, kullanım ve bakıma yönelik ticari elektronik iletiler için ayrıca onay alınmaz. (2) Esnaf ve tacirlere önceden onay alınmaksızın ticari elektronik iletiler gönderilebilir”.

Burada kastedilen ticari ileti, reklam, pazarlama gibi amaçlarla cep telefonlarına ya da e-posta adres- lerine gönderilen mesajlar, e-postalar ya da yapılan aramalardır.

Kanun’un 10. maddesi ise doğrudan kişisel veri- lerin korunmasına yöneliktir. Buna göre:

“(1) Hizmet sağlayıcı ve aracı hizmet sağlayıcı: a)Bu Kanun çerçevesinde yapmış olduğu işlemler nedeniyle elde ettiği kişisel verilerin saklanmasın- dan ve güvenliğinden sorumludur. b) Kişisel veri- leri ilgili kişinin onayı olmaksızın üçüncü kişilere iletemez ve başka amaçlarla kullanamaz”.

Böylelikle elektronik ticaret etkinlikleri yürüten firmaların, bu süreç içerisinde elde ettikleri kişisel verileri korumaları hüküm altına alınmıştır. Ancak Elektronik Ticaret Kanunu’nda bu yükümlülüğe aykırı hareket edenler için bir yaptırım öngörülme- miş olması bir eksiklik olarak değerlendirilebilir. Öte yandan Türk Ceza Kanunu’nun yukarıda açık- lanan hükümlerinin bu alan için de geçerli olacağı- nı dikkatten kaçırmamak gerekir.


9. Soru

Kişisel Verilerin Korunması Kanunu'nun tarihsel süreci hakkında bilgli veriniz.

Cevap

Yukarıda kısaca açıklanan hükümler yanında Bankacılık Kanunu, Ceza Muhakemesi Kanunu, Hasta Hakları Yönetmeliği gibi çeşitli düzenle- melerde konuya ilişkin hükümler yer almaktadır. Ancak bu hükümlerin uygulamada sınırlı bir ko- ruma sağladığı dikkat çekmektedir. Bunun bir nedeni, konuya ilişkin temel ilkeleri belirleyen bir yasal düzenlemenin bulunmamasının bu ilkelerin yorumunda zorluklara neden olmasıdır. İkinci ola- rak yukarıda işaret edilen hükümlerin önemli bir bölümünün kişisel verilerin hukuka aykırı kulla- nımının ortaya çıkmasından sonra uygulanabilir. 

nitelik taşımaktadır. Bir başka ifadeyle, zarar ortaya çıkmadan önleyici nitelikte ilkelerin belirlenmemiş olması önemli bir eksikliktir.

Oysaki Türkiye’de kişisel verilerin korunmasına yönelik temel ilkeleri belirleyerek önleyici koruma sağlayacak Kişisel Verilerin Korunması Kanunu uzun zamandır beklenmektedir. Bu beklentiyi 1981 yılına kadar geriye götürmek olanaklıdır. Nitekim Türkiye, taraf devletlerin metinde yer alan ilkeleri mevzuatlarına yansıtmalarını zorunlu kılan Avrupa Konseyi Kişisel Verilerin Korunması Sözleşmesi’ni 28 Ocak 1981’de imzalamıştır. Belirtmek gerekir ki bu gereklilik hâlen yerine getirilmediği için Türki- ye, bugün 46 devletin taraf olduğu bu Sözleşme’yi imzalayıp onaylamayan Avrupa Konseyi üyesi tek devlettir.

Günümüzde teknolojideki hızlı gelişme ve yay- gınlaşma dolayısıyla kişisel verilerin korunması, 1981 yılındakinden çok daha önemli bir gerek- sinimdir. Yüze yakın devlette veri koruma yasası bulunmasının ve mevcut hükümlerin daha da kap- sayıcı düzenlemeler ile yenilenmesi çalışmalarının nedeni de budur.

Geçen süre içerisinde veri koruma alanında te- mel ilkeleri belirlemeye yönelik yasa hazırlıkları ise 1989 yılında başlamıştır. 2008 yılında TBMM’ye bir tasarı sevk edilmiş, ancak kadük olmuştur. 2010 yılı Anayasa değişiklikleri kapsamında kişi- sel verilerin korunmasını isteme hakkının anayasal bir hak olarak açıkça düzenlenmesi ile veri koru- ma alanında çerçeve nitelikte bir yasal düzenleme bir beklenti olmaktan öte anayasal bir zorunluluk hâline gelmiştir. 2012 yılında Adalet Bakanlığı bünyesinde yeni bir komisyon kurulmuş ve bu ko- misyonun çalışmaları neticesinde şekillenen yeni taslak üzerinde çeşitli değişiklik ve düzenlemelerin yapılmasının ardından 26 Aralık 2014 tarihinde hâlen gündemde bulunan Kişisel Verilerin Korun- ması Kanun Tasarısı Meclise sevk edilmiştir. Tasarı metninden ve madde gerekçelerinden çıkan bir sonuç, bu metnin hazırlanması aşamasında veri koruma alanında AB’de genel çerçeveyi belirle- yen 95/46/AT sayılı Yönergeden yararlanıldığıdır. Ancak tasarıdaki geniş istisna hükümleri ve AB bünyesinde bu yıl yürürlüğe girmesi beklenen ve bütüncül olarak Veri Koruma Reformu olarak ad- landırılan yeni düzenlemelerin dikkate alınmadı- ğını belirtmek gerekir.

Kişisel Verilerin Korunması Kanun Tasarısı ile- geç kalınmış da olsa-ihlallerin asgari ve denetlene- bilir bir düzeye indirilmesi için yeni bir fırsat doğ- muştur. Kişisel Verilerin Korunması Kanunu 2016 yılında yasalaşmıştır. Bu kanunun 1. maddesine göre Kanunun amacı “Bu Kanunun amacı, kişisel verilerin işlenmesinde başta özel hayatın gizliliği ol- mak üzere kişilerin temel hak ve özgürlüklerini ko- rumak ve kişisel verileri işleyen gerçek ve tüzel kişi- lerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir”. Bu, Anayasa’nın da bir gereğidir. 

Kanunun hükümlerini değerlendirirken Avru- pa uygulamasını dikkate almak yararlı olacaktır. Bunun bir nedeni, Avrupa’da konuya ilişkin ilk yasanın kabul edildiği 1970 yılından bugüne ya- sal düzenlemelerin ve içtihatların oldukça gelişme- sidir. Avrupa İnsan Hakları Mahkemesi de kişisel verilerin korunmasını 8. madde kapsamında gören çok sayıda karar vermiştir. Ayrıca genel gerekçede de işaret edildiği üzere, bu alandaki eksikliğin gide- rilmesi AB tam üyelik sürecinin bir gereğidir. Diğer yandan, AB’nin yeterli düzeyde koruma sağlama- yan ülkelere kural olarak veri aktarımını yasakla- ması Avrupa devletleri ve kurumları ile adli ve cezai iş birliği gerçekleştirilememesine ve ekonomik ka- yıplara neden olmaktadır.


10. Soru

Kişisel Verilerin Korunması Kanunu'nun sistematiği hakkında yüzeysel bilgi veriniz.

Cevap

Kişisel Verilerin Korunması Kanunu Yedi bö- lümden oluşmaktadır. Buna göre birinci bölümde Kanunun amaç ve kapsamı belirlenmiş; ayrıca kişi- sel veri, verilerin işlenmesi gibi konuya ilişkin son derece önemli tanımlara yer verilmiştir. Bu nokta- da tanımların büyük oranda AB sistemi ile uyum- lu olduğu söylenebilir. Kanunun “kişisel verilerin işlenmesi” kenar başlıklı ikinci bölümünde ise veri işlemede hakim olan temel ilkelere, kişisel verile- rin işlenme şartlarına, özel nitelikli(hassas) kişisel verilere, verilerin silinmesi yok edilmesi ve ano- nim hâle getirilmesi ile kişisel verilerin aktarılması düzenlenmiştir. Bu noktada belirtmek gerekir ki metin olarak düşünülmüştür, ancak pek çok mad- desi ile diğer kanunlarda yer alan hükümlerin saklı tutulduğu görülmektedir. Örneğin, Kanun kapsa- mında kişilerin “ırkı, etnik kökeni, siyasi düşün- cesi, felsefi inancı, dini, mezhebi veya diğer inanç- ları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri” özel nitelikli (hassas) kişisel veri olarak kabul edilmiş ve işlenmesi yasaklanmıştır (m.6/1). Maddenin ikinci fıkrasına göre “Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.” Maddeye göre; “Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rı- zası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının ko- runması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıy- la, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.Özel nitelikli ki- şisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.”


11. Soru

Kişisel Verilerin Korunması Kurulu hakkında bilgi veriniz.

Cevap

Kanunun 18. maddesi ile “görev ve yetkilerini kendi sorumluluğu altında, bağımsız olarak” yeri- ne getireceği belirtilen bir Kişisel Verileri Koruma Kurulu oluşturulması öngörülmektedir. Kanunun 21. maddesine göre:

Kurul, bu Kanunla ve diğer mevzuatla verilen görev ve yetkilerini kendi sorumluluğu altında, bağımsız olarak yerine getirir ve kullanır. Görev alanına giren konularla ilgili olarak hiçbir organ, makam, merci veya kişi, Kurula emir ve talimat ve- remez, tavsiye veya telkinde bulunamaz. (2) Kurul, dokuz üyeden oluşur. Kurulun beş üyesi Türkiye Büyük Millet Meclisi, dört üyesi Cumhurbaşkanı tarafından seçilir. (3) Kurula üye olabilmek için aşağıdaki şartlar aranır: 

  1. a)  Kurumun görev alanındaki konularda bilgi ve deneyim sahibi olmak.

  2. b)  14/7/1965 tarihli ve 657 sayılı Devlet Me- murları Kanununun 48 inci maddesinin birinci fıkrasının (A) bendinin (1), (4), (5), (6) ve (7) numaralı alt bentlerinde belirtilen nitelikleri taşımak.

  3. c)  Herhangi bir siyasi parti üyesi olmamak.

ç) En az dört yıllık lisans düzeyinde yükseköğ- renim görmüş olmak.

Belirtmek gerekir ki Avrupa mevzuatı uyarınca denetim organı “tam bağımsız” olmalıdır. Avrupa Adalet Divanı da sırasıyla Almanya, Avusturya ve Macaristan uygulamalarının bazı yönleriyle tam bağımsızlık koşulunu karşılamadığına ilişkin karar- larında konunun kritik önemine işaret etmiştir.

Kurulun görev ve yetkileri şunlardır:

  1. a)  Kişisel verilerin, temel hak ve özgürlüklere uygun şekilde işlenmesini sağlamak.

  2. b)  Kişisel verilerle ilgili haklarının ihlal edildiğini ileri sürenlerin şikâyetlerini karara bağlamak.

  3. c)  Şikâyet üzerine veya ihlal iddiasını öğren- mesi durumunda resen görev alanına giren konularda kişisel verilerin kanunlara uygun olarak işlenip işlenmediğini incelemek ve ge- rektiğinde bu konuda geçici önlemler almak.

ç) Özel nitelikli kişisel verilerin işlenmesi için aranan yeterli önlemleri belirlemek.

  1. d)  Veri Sorumluları Sicilinin tutulmasını sağlamak.

  2. e)  Kurulun görev alanı ile Kurumun işleyişine ilişkin konularda gerekli düzenleyici işlem- leri yapmak.

  3. f)  Veri güvenliğine ilişkin yükümlülükleri be- lirlemek amacıyla düzenleyici işlem yapmak.

  4. g)  Veri sorumlusunun ve temsilcisinin görev, yetki ve sorumluluklarına ilişkin düzenleyi- ci işlem yapmak.

ğ) Bu Kanunda öngörülen idari yaptırımlara karar vermek.


12. Soru

Sivil toplum kuruluşlarının kendi üyelerinin verilerini işlemesi mümkün müdür?

Cevap

Hassas kişisel verilerin işlenmesini sağlayan bir başka istisna ise farklı bir açıdan tartışılabilir. Bu istisna uyarınca sivil toplum kuruluşları amaçları- na uygun olarak, faaliyet alanlarıyla sınırlı olmak kaydıyla kendi üyelerine ilişkin verileri işleyebilir. Dernek, vakıf ya da sendika üyeliği hassas veri ka- tegorisinde sayıldığı için bu makul bir istisnadır. Dikkat çekici olan ise bu türdeki verilerin ancak kanunda açıkça öngörülmesi, ilgili kişinin açık rı- zası ile Kurulun izninin birlikte bulunması halle- rinde üçüncü kişilere ve yeterli koruma bulunması koşuluyla yurtdışına aktarılabilmesidir(m. 9/2, b). Diğer hiçbir özel nitelikli veri için böylesine bir ko- şul belirlenmemiştir. Nitekim kişinin açık rızasının bulunduğu hâllerde, bunun yeterli görülmeyerek bir de Kurulun onayının gerekmesinin nedeni açık değildir. Bu hüküm dolayısıyla bir dernek-ilgilile- rin açık rızası ile-yönetim kurulunu İnternet site- sinde yayınlayamayacak ya da-yine üyelerinin açık rızası da olsa-Kurulun onayı olmadan benzer faa- liyetler gösteren uluslararası bir örgüte üyelerinin adlarını bildiremeyecek midir? Bu güçte bir sınırla- maya neden ihtiyaç duyulduğu madde gerekçesin- de de açıklanmamıştır.


13. Soru

Kişisel Verileri Koruma Kurulu'nun bağımsızlığı nasıldır?

Cevap

Kanunun 18. maddesi ile “görev ve yetkilerini kendi sorumluluğu altında, bağımsız olarak” yeri- ne getireceği belirtilen bir Kişisel Verileri Koruma Kurulu oluşturulması öngörülmektedir. Kanunun 21. maddesine göre:

Kurul, bu Kanunla ve diğer mevzuatla verilen görev ve yetkilerini kendi sorumluluğu altında, bağımsız olarak yerine getirir ve kullanır. Görev alanına giren konularla ilgili olarak hiçbir organ, makam, merci veya kişi, Kurula emir ve talimat ve- remez, tavsiye veya telkinde bulunamaz.


14. Soru

Kişisel Verileri Koruma Kurulu kaç kişiden oluşur?

Cevap

Kanunun 21. maddesine göre:

Kurul, dokuz üyeden oluşur. Kurulun beş üyesi Türkiye Büyük Millet Meclisi, dört üyesi Cumhurbaşkanı tarafından seçilir.


15. Soru

Kişisel Verileri Koruma Kurulu'na üye olmanın şartları nelerdir?

Cevap

Kanunun 21. maddesine göre:

Kurula üye olabilmek için aşağıdaki şartlar aranır:

  1. a)  Kurumun görev alanındaki konularda bilgi ve deneyim sahibi olmak.

  2. b)  14/7/1965 tarihli ve 657 sayılı Devlet Me- murları Kanununun 48 inci maddesinin birinci fıkrasının (A) bendinin (1), (4), (5), (6) ve (7) numaralı alt bentlerinde belirtilen nitelikleri taşımak.

  3. c)  Herhangi bir siyasi parti üyesi olmamak.

ç) En az dört yıllık lisans düzeyinde yükseköğ- renim görmüş olmak.


16. Soru

Kişisel Verileri Koruma Kurulu'nun görev ve yetkileri nelerdir?

Cevap

Kanunun 21. maddesine göre:

Kurulun görev ve yetkileri şunlardır:

a)  Kişisel verilerin, temel hak ve özgürlüklere uygun şekilde işlenmesini sağlamak.

b)  Kişisel verilerle ilgili haklarının ihlal edildiğini ileri sürenlerin şikâyetlerini karara bağlamak.

c)  Şikâyet üzerine veya ihlal iddiasını öğren- mesi durumunda resen görev alanına giren konularda kişisel verilerin kanunlara uygun olarak işlenip işlenmediğini incelemek ve ge- rektiğinde bu konuda geçici önlemler almak.

ç) Özel nitelikli kişisel verilerin işlenmesi için aranan yeterli önlemleri belirlemek.

d)  Veri Sorumluları Sicilinin tutulmasını sağlamak.

e)  Kurulun görev alanı ile Kurumun işleyişine ilişkin konularda gerekli düzenleyici işlem- leri yapmak.

f)  Veri güvenliğine ilişkin yükümlülükleri be- lirlemek amacıyla düzenleyici işlem yapmak.

g)  Veri sorumlusunun ve temsilcisinin görev, yetki ve sorumluluklarına ilişkin düzenleyi- ci işlem yapmak.

ğ) Bu Kanunda öngörülen idari yaptırımlara karar vermek.


17. Soru

"Varsayılanlar aracılığıyla gizlilik" nedir? 

Cevap

Etkin veri koruması sağlanması yönündeki ça- lışmalar içerisinde teknolojideki gelişmelerden yar- dım almak ise son yıllarda dikkat çeken bir önem kazanmıştır. “Dizayn aracılılığıyla gizlilik” (privacy by design, PbD) ya da “varsayılanlar aracılılığıyla gizlilik” (privacy by default) bu kapsamda verile- bilecek bir kaç örnektir. PbD ile hedeflenen veri korumasının sağlanması, kişinin kendi verileri üzerinde denetime sahip olması ve kuruluşların sürdürülebilir rekabet avantajı elde etmesidir. Bu doğrultuda teknoloji geliştirilirken özel yaşamın gizliliği hakkı merkezli bir yaklaşım benimsenmeli- dir. “Varsayılanlar aracılılığıyla gizlilik” ise bir kul- lanıcıya İnternet üzerinden bir hizmet ya da ürün edinirken en güçlü gizlilik ayarlarının uygulanma- sıdır.


18. Soru

Alman Anayasa Mahkemesi kişisel verilerin korunmasını hangi hak bağlamında değerlendirmektedir?

Cevap

Türk hukuk mevzuatında medeni hukukun ki- şilik haklarına yönelik düzenlemelerinin kişisel ve- rilerin korunmasına açısından bazı olumlu sonuçlar sağlayabileceği söylenebilir. Nitekim kişilik hakları, kişisel değerlerin bütününü kapsayan bir hukuksal alandır. Alman Anayasa Mahkemesi de bir önceki bölümde işaret edilen önemli bir kararında kişisel verilerin korunmasının Alman Anayasası’nda karşı- lığını bulan genel kişilik hakkı çerçevesinde değer- lendirileceğine kanaat getirmiştir (BverfGE 65,1).


19. Soru

Türk Ceza Kanunu'nda kişisel verileri hukuka aykırı olarak başkasına vermek nasıl düzenlenmiştir? Kısaca açıklayınız.

Cevap

TCK’nin 136. maddesinde ise ki- şisel verileri hukuka aykırı olarak baş- kasına vermek, yaymak ve ele geçirmek suçu düzenlenmiştir. Buna göre;

“Kişisel verileri, hukuka aykırı olarak bir başka- sına veren, yayan veya ele geçiren kişi, iki yıldan dört yıla kadar hapis cezası ile cezalandırılır”.


20. Soru

Kişisel verilerin korunmasına yönelik Türk hukuk mevzuatındaki en önemli düzenleme nerede yer alır?

Cevap

Kişisel verilerin korunmasına yönelik Türk hukuk mevzuatındaki en önemli düzenleme yine Anayasada yer alır. Anayasa’nın 20. maddesine 2010 Anayasa değişiklikleri ile eklenmiş olan son fıkra şöyledir:

“Herkes, kendisiyle ilgili kişisel verilerin korun- masını isteme hakkına sahiptir. Bu hak, kişinin kendisiyle ilgili kişisel veriler hakkında bilgilen- dirilme, bu verilere erişme, bunların düzeltil- mesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğ- renmeyi de kapsar. Kişisel veriler, ancak kanun- da öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir”.

Belirtilen hüküm ile Türkiye’de kişisel verilerin korunması açıkça anayasal bir hak olarak düzen- lenmiştir. Bu kapsamda ilgili kişinin kişisel verileri üzerinde denetimini sağlayacak temel ilkelerden örnekler verildiği de görülmektedir. Dikkat çek- mek gerekir ki hukuksal güvenceye kavuşması ge- reken ilkeler hükümde sayılanlar ile sınırlı değildir. Hüküm metninden bu kolaylıkla anlaşılabilir.


21. Soru

Türk Anayasa Mahkemesi bir kararında "insan onurunu" nasıl tanımlamaktadır?

Cevap

İnsan onuru, İnsanın ne durumda, hangi şartlar altında bulunursa bulunsun sırf insan oluşunun kazandırdığı değerin tanınmasını ve sayılmasını anlatır. Bu öyle bir davranış çizgisidir ki ondan aşağı düşünce, muamele ona muhatap olan insanı insan olmaktan çıkarır.


22. Soru

Kişisel verilerin korunmasına yönelik yasa neyi kapsamaktadır?

Cevap

Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak, kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin
esas ve usuller kanunla düzenlenir.


23. Soru

Anayasa Mahkemesinin kişisel verilerin korunmasına ilişkin oldukça tartışmalı
kararları nelerdir?

Cevap

2000’li yıllara gelinceye kadar Anayasa Mahkemesi konuya ilişkin üç önemli karar vermiştir. Bunlardan ilk ikisi nüfus cüzdanlarında din hanesinin bulunmasına ilişkindir. Anayasa Mahkemesi yaptığı her iki incelemede de aile kütüklerinde ve nüfus
cüzdanlarında din hanesinin bulunma zorunluluğunun Anayasaya aykırı olmadığına karar vermiştir.Anayasa Mahkemesi’nin bir diğer önemli kararı ise Kimlik Bildirme Kanunu’na eklenen bir hükme ilişkindir. İlgili hüküm uyarınca genel kolluk
kuvvetlerinin bilgisayarlarında otel motel, yurt, misafirhane gibi konaklama yerlerinde kalan kişilerin kişisel verilerinin toplanması zorunluluğu getirilmektedir. Ancak bu zorunluluk getirirken kolluk kuvvetlerinin uyacakları esaslar yasada belirlenmemiştir. Anayasa Mahkemesinin karardaki değerlendirmesinden kişisel verilerin korunmasını
özel yaşamın gizliliği hakkının bir parçası olarak kabul ettiği anlaşılsa da Anayasaya aykırılık iddiasının reddine karar vermesi düşündürücüdür.


24. Soru

Kişisel verilerin korunması kanunu kapsamında Avrupa İnsan Hakları Sözleşmesi’nin (AİHS) konumu nedir?

Cevap

Avrupa İnsan Hakları Sözleşmesi’nin (AİHS) konumu önemlidir. Türkiye AİHS’e taraf olan devletlerden biridir. Sözleşmede yer alan hükümlerin içeriğini belirleyen organ ise Avrupa İnsan Hakları Mahkemesidir (AİHM). Mahkemenin içtihadı, özel yaşamın gizliliği hakkını düzenleyen 8. madde çerçevesinde kişisel verilerin korunması hakkının tanınması yönündedir.


25. Soru

AİHS’nin “Özel ve aile yaşamına saygı hakkı” kenar başlıklı 8. maddesi şu hükmü içerir:
"Herkes özel ve aile yaşamına, konutuna ve haberleşmesine saygı gösterilmesi hakkına sahiptir.". Bu hakkın kullanılmasına müdahale edebilen kamu kurumu hangi durumlarda müdahale edebilir?

Cevap

Bu hakkın kullanılmasına bir kamu otoritesinin müdahalesi, ancak ulusal güvenlik, kamu emniyeti, ülkenin ekonomik refahı, dirlik ve düzenin korunması, suç işlenmesinin önlenmesi, sağlığın veya ahlakın veya başkalarının hak ve özgürlüklerinin korunması için, demokratik bir toplumda gerekli olan ölçüde ve yasayla öngörülmüş olmak
koşuluyla söz konusu olabilir.


26. Soru

Özel yaşam, kişinin mahrem alanı(özel yaşamın iç çemberi) dışında başkaları ile ilişki kurduğu alanları da kapsar şeklinde yorumlandığı görülmektedir. Bu yorum, kişisel verilerin korunması açısından önemli sonuçlar getirir. Buna örnek olarak hangi alanlar verilebilir?

Cevap

Bir örnek sokak ve meydanları izlemek üzere kurulan kapalı devre televizyon sistemlerine (CCTV, Close Circuit Television System) ilişkin olarak verilebilir.


27. Soru

AİHM 8. madde çerçevesinde, kişisel verilerin korunması ile ilişkili ilk önemli kararını Klass ve diğerlerinin Almanya’ya karşı yaptığı başvuru üzerine vermiştir. Bu kararda Mahkeme, gizli telefon dinlemelerini özel yaşam kapsamında değerlendirir. Daha sonra verdiği pek çok kararla Mahkemenin temel olarak konumuza ilişkin önemli bazı ilkeleri
Sözleşme’nin 8. maddesi kapsamında değerlendirdiğini görmekteyiz. Bu ilkeler nelerdir?

Cevap

Bireylere ilişkin kişisel bilgilerin resmi makamlarca toplanarak arşivlenmesi, telefon
görüşmelerine ilişkin kayıtları izleme, toplanan verilerin toplanma amacı dışında kullanılması, sağlık verilerinin gizliliği, emniyet güçleri tarafından parmak izi ve fotoğrafların alınması, kişisel verilere erişim hakkı, kişisel verilerin gerektiğinden uzun süre tutulması gibi konular Mahkemenin çeşitli kararlarında 8/1 hükmü kapsamında değerlendirilmiştir.


28. Soru

AİHS 8/2 hükmü uyarınca özel ve aile yaşamına müdahale hangi durumlarda meşrudur?

Cevap

AİHS 8/2 hükmü uyarınca özel ve aile yaşamına müdahale, burada sınırlı sayımla belirtilmiş amaçlardan bir ya da bir kaçına yönelik;
• yasada öngörülmüş ve
• demokratik toplum için gerekli ve öngörülen
amaç ile orantılı olması durumunda meşrudur.


29. Soru

Sınırlı sayımla belirlenen ve özel ve aile yaşamına saygı hakkına istisna getiren meşru
amaçlar nelerdir?

Cevap

Ulusal güvenlik, kamu güvenliği, ülkenin ekonomik refahı, dirlik ve düzenin korunması, suç işlenmesinin önlenmesi, sağlığın veya ahlakın veya başkalarının haklarının korunması. Görüldüğü gibi meşru amaçlar oldukça geniş bir şekilde belirlenmiştir. O kadar ki herhangi bir müdahalenin burada belirlenen meşru amaçları karşılayamaması oldukça zordur. Ancak bir müdahalenin Sözleşme’de belirlenen ilkelere uygun olması için meşru bir amaca yönelik olması ve yasa ile öngörülmesi yeterli değildir. Bunların yanında ayrıca ve mutlaka demokratik bir toplum için gerekli ve orantılı olması da
gerekir. Bu, kişisel verilerin korunması ile hedeflenen denge yaklaşımı ile de uyumludur.


30. Soru

TCK’nin 136. maddesinde ise kişisel verileri hukuka aykırı olarak başkasına vermek, yaymak ve ele geçirmek suçu düzenlenmiştir. Buna göre bu suçun cezası nedir?

Cevap

Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, iki yıldan dört yıla kadar hapis cezası ile cezalandırılır.


31. Soru

Türk Medeni Kanunu’nun (MK) 24. ve 25. maddelerinde ne koruma altına alınmaktadır?

Cevap

Medeni hukukta, kişisel verilerin korunması ile yakından ilişkili olan, kişinin onur ve saygınlığı, adı ve resmi üzerindeki hakları ile sır alanı kişilik haklarının alanı içerisinde değerlendirilmektedir. Bu doğrultuda konuya ilişkin hukuksal korumanın ise Türk Medeni Kanunu’nun (MK) 24. ve 25. maddelerinde getirildiği görülmektedir. Nitekim
MK’nin 24. maddesinde kişiliğe yönelik saldırılara karşı temel ilke, 25. maddede ise başvurulabilecek hukuksal yollar belirlenmiştir.


32. Soru

Türk Borçlar Kanunu’nda işçinin kişisel verilerinin korunmasına yönelik hüküm neyi kapsamaktadır?

Cevap

Yeni Borçlar Kanunu’nun 419. maddesi uyarınca “İşveren, işçiye ait kişisel verileri, ancak işçinin işe yatkınlığıyla ilgili veya hizmet sözleşmesinin ifası için zorunlu olduğu ölçüde kullanabilir”.


33. Soru

Elektronik Haberleşme Kanunu'nun 51. maddesi neleri kapsamaktadır?

Cevap

51. madde kapsamında öncelikle bir önceki bölümde üzerinde durulan verilerin kaliteli olması ilkesine işaret edildiği görülmektedir. Buna göre elektronik haberleşme alanında veri işleme süreçlerinde bu ilkenin bileşenlerine uyumlu hareket etmek bir zorunluluktur. Ayrıca elektronik haberleşmenin ve ilgili trafik verisinin gizliliği temel kural olarak benimsenmiştir. Bunun istisnası ilgili mevzuatın ve yargı kararlarının öngördüğü durumlardır. Bunun haricinde haberleşmeye taraf olanların
tamamının rızası olmaksızın haberleşmenin dinlenmesi, kaydedilmesi, saklanması, kesilmesi ve takip edilmesi yasaklanmıştır.


34. Soru

Elektronik Haberleşme Kanunu’ndaki düzenlemenin dikkat çeken bir diğer yönü “çerez”lerin (cookie) kullanımına getirilen sınırlamadır. Burada kullanılan çerez ne anlama gelmektedir?

Cevap

Çerez, kullanıcı bir İnternet sitesini ziyaret ettiğinde bağlantı kurduğu cihazın sabit diskine kaydedilen bir tür tanımlama dosyası olarak tarif edilebilir. Bu dosyalarda kişilerin ziyaret ettiği siteler gibi bazı bilgiler saklanabilmektedir.


35. Soru

Elektronik Ticaret Kanunu'nun 6. maddesi neyi kapsamaktadır?

Cevap

“(1) Ticari elektronik iletiler, alıcılara ancak önceden onayları alınmak kaydıyla gönderilebilir. Bu onay, yazılı olarak veya her türlü elektronik iletişim araçlarıyla alınabilir. Kendisiyle iletişime geçilmesi amacıyla alıcının iletişim bilgilerini vermesi hâlinde, temin edilen mal veya hizmetlere ilişkin değişiklik, kullanım ve bakıma yönelik
ticari elektronik iletiler için ayrıca onay alınmaz. (2) Esnaf ve tacirlere önceden onay alınmaksızın ticari elektronik iletiler gönderilebilir.”


36. Soru

28 Ocak 1981’de imzalanan Kişisel Verilerin Korunması Sözleşmesi’nin Türkiye için önemi nedir?

Cevap

Türkiye’de kişisel verilerin korunmasına yönelik temel ilkeleri belirleyerek önleyici koruma sağlayacak Kişisel Verilerin Korunması Kanunu uzun zamandır beklenmektedir. Bu beklentiyi 1981 yılına kadar geriye götürmek olanaklıdır. Nitekim Türkiye, taraf devletlerin metinde yer alan ilkeleri mevzuatlarına yansıtmalarını zorunlu kılan Avrupa
Konseyi Kişisel Verilerin Korunması Sözleşmesi’ni 28 Ocak 1981’de imzalamıştır. Belirtmek gerekir ki bu gereklilik hâlen yerine getirilmediği için Türkiye, bugün 46 devletin taraf olduğu bu Sözleşme’yi imzalayıp onaylamayan Avrupa Konseyi üyesi tek
devlettir.


37. Soru

Kişisel Verilerin Korunması Kanunu hangi yılda yasalaşmıştır?

Cevap

Kişisel Verilerin Korunması Kanunu 2016 yılında yasalaşmıştır.


38. Soru

Kişisel Verilerin Korunması Kanunu'nun 1. maddesi olan kanunun amacı nedir?

Cevap

Bu kanunun 1. maddesine göre Kanunun amacı “Bu Kanunun amacı, kişisel
verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir”. Bu, Anayasa’nın da bir gereğidir.


39. Soru

Kişisel Verilerin Korunması Kanunu'na göre kişilerin hangi verileri özel nitelikli (hassas) kişisel veri olarak tanımlanmaktadır?

Cevap

Örneğin, Kanun kapsamında kişilerin “ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika
üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri” özel nitelikli (hassas) kişisel veri olarak kabul edilmiş ve işlenmesi yasaklanmıştır (m.6/1).


40. Soru

Maddenin ikinci fıkrasına göre “Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.” Ancak hangi durumlarda Sağlık ve cinsel hayata
ilişkin kişisel veriler açık rıza aranmadan işlenebilir?

Cevap

Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin
açık rızası aranmaksızın işlenebilir.Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.


Yukarı Git

Sosyal Medya'da Paylaş

Facebook Twitter Google Pinterest Whatsapp Email