Kişisel Verilerin Korunması Kanunu Ve OHAL Kanun Hükmünde

advertisement
Kişisel Verilerin Korunması Kanunu Ve OHAL
Kanun Hükmünde Kararnamesi İle Kurulan Coğrafi Veri Merkezine İlişkin
Değerlendirme
Faruk Çayır1,
1
Avukat, Alternatif Bilişim Derneği
[email protected]
Özet: Temel bir insan hakkı olan ifade özgürlüğü açısından kişisel verilerin korunması
vazgeçilemeyecek bir haktır. Son yıllarda önemle bahsedilen ve AB ilerleme raporlarında her
yıl bir eksiklik olarak belirtilen konulardan olan kişisel verilen korunması konusunda, Türkiye
çeşitli aşamalar ve vesileler ile bu konuda düzenlemeler yapmış olsa da en son 24/03/2016
tarihinde TBMM de kabul edilen ve 7 Nisan 2016 da resmi gazetede yayınlanarak yürürlüğe
6698 Sayılı Kişisel Verilerin Korunması Kanunu ile koruma altına alınmaya çalışılmıştır. Bu
çalışmada da kişisel verilerin korunması konusu bir insan hakkı olarak ele alınacak ve kişilerin
kendileri hakkında toplanan verilerin işlenmesi, değiştirilmesi, yayınlanması ifade özgürlüğü
kapsamında değerlendirilecektir. Bu kanunun tasarısı Avrupa Konseyi anlaşmasına uygun
olarak yapılmaya çalışıldığı belirtilse de kanuna ilişkin eleştiriler tükenmemiş, resmi devlet
kurumlarının kişisel veriler konusunda devlet tekelinin devam etmesi yönündeki görüşleri
artarak devam etmiştir. Aynı şekilde kişisel verilerin korunmasına yönelik uluslararası
çalışmalar halen güncellenmeye devam etmektedir. AB Kişisel Veri Regülasyonu da Kişisel
Verilerin Korunması Kanunu TBMM’ de kabul edildiği günlerde yürürlüğe girmiştir. Bu
aşamada Türkiye koşullarında kişisel verilerin nasıl korunabileceği, AİHM kararları ve AB
deki yeni gelişmeler de dikkate alınarak Kişisel Verilerin Korunması Kanunundaki eksiklikler
çalışmada irdelenecek ve öneriler getirilmeye çalışılacaktır.
Anahtar Sözcükler: Kişisel Veriler, Özel Nitelikli Veri, Veri Sorumlusu, Özel Hayatın
Gizliliği, Devlet Sırrı, Takma Adlı Veri, Veri Koruma Kurulu, 108 Sayılı Sözleşme, Coğrafi
Veri Merkezi
1. Giriş
Temel bir insan hakkı olan ifade
özgürlüğü
açısından
kişisel
verilerin
korunması vazgeçilemeyecek bir haktır. Son
yıllarda önemle bahsedilen ve AB ilerleme
raporlarında her yıl bir eksiklik olarak
belirtilen konulardan olan kişisel verilen
korunması alanında en yeni düzenleme 12
Eylül 2010 referandumu ile yapılan Anayasa
değişikliği ile Anayasa’nın 20. maddesine
getirilen düzenlemedir. Ancak bu düzenleme
tek başına yeterli olmayıp bu alana ilişkin
özel bir kanun eksikliği dikkati çekmektedir.
Belirtmek gerekir ki kişisel verilerin
korunması
konusunda
1981’
yılında
imzalanan 108 nolu Kişisel Veriler Hakkında
Avrupa Konseyi Andlaşması Türk Hukuk
mevzuatı açısından önemli bir sorun teşkil
etmektedir. 1981'de Avrupa Konseyi
bağlamında kısaca “108 No’lu Sözleşme”
olarak bilinen "Convention for the protection
of individuals with regard to automatic
processing of personal data" (Kişisel verilerin
otomatik işlemden geçirilme sürecinde
bireylerin korunması hakkında sözleşme)1
imzaya açılmış ve Türkiye tarafından da
gecikmeksizin imzalanmıştır. Sözleşme daha
sonra 1986’da yürürlüğe girmiştir. Ancak 108
Nolu Sözleşme kişisel verilerin korunması
konusunda
genel
ilkeleri
tespitle
yetinmektedir. Sözleşme’nin uygulanabilmesi
için
ayrıntıların
taraf
devletler
iç
hukuklarında
yapılacak
düzenlemelerle
mümkün olacaktır. Bu nedenle Türkiye henüz
bir "Kişisel Verilerin Korunması Hakkında
Kanun” yürürlüğe koymuş olmadığından bu
sözleşme’ye taraf olamamıştır.
2010 yılında Anayasa değişikliği ile
Anayasa’ nın Özel Hayatın Gizliliği başlıklı
20. maddesine getirilen “Herkes, kendisiyle
ilgili kişisel verilerin korunmasını isteme
hakkına sahiptir. Bu hak; kişinin kendisiyle
ilgili kişisel veriler hakkında bilgilendirilme,
1
(http://www.avrupakonseyi.org.tr/antlasma/aa
s_108.htm)
bu verilere erişme, bunların düzeltilmesini
veya silinmesini talep etme ve amaçları
doğrultusunda kullanılıp kullanılmadığını
öğrenmeyi de kapsar. Kişisel veriler, ancak
kanunda öngörülen hallerde veya kişinin açık
rızasıyla
işlenebilir.
Kişisel
verilerin
korunmasına ilişkin esas ve usuller kanunla
düzenlenir.” düzenlemesi ile konuya açıklık
getirilmeye çalışılmıştır.
Son dönemlerde gündemde olan
Kişisel Verilerin Korunması konusu aslında
görüldüğü üzere 1981 yılından bu yana hukuk
dünyamızdadır. Ancak Türkiye çeşitli
aşamalar ve vesileler ile bu konuda
düzenlemeler yapmış olsa da en son
24/03/2016 tarihinde TBMM de kabul edilen
ve 7 Nisan 2016 da resmi gazetede
yayınlanarak yürürlüğe 6698 Sayılı Kişisel
Verilerin Korunması Kanunu ile Kişisel
Veriler Koruma altına alınmaya çalışılmıştır.
Peki bu kanun ne gibi düzenlemeler
içermekte ve eksikleri nelerdir?
1- Kişisel Veri Kavramı
Kişisel
veri
kavramının
tanımlanmasında
uluslararası
belgelerin
hemen hemen tümünde mutabakata varılmış
tanım; kişisel verinin doğrudan doğruya ya da
dolaylı olarak bir gerçek kişi ile ilintili
olabilecek ve onu belirlenebilir kılacak her
türlü bilgi olduğudur.
Kişisel Verilerin Korunması Kanunda
kişisel veri kavramı en genel haliyle ele
alınmakta olup “ kimliği belirli veya
belirlenebilir gerçek kişiye ilişkin her türlü
bilgi” olarak tanımlanmıştır. Bu tanım 108
nolu Kişisel Veriler Hakkında Avrupa
Konseyi Antlaşmasının Türkçe’ ye çevrilmiş
halidir. Yapılan bu tanım AB ülkelerinde dahi
genişletilerek ve daha anlaşılabilir hale
getirilerek kullanılmaktadır.
Alman veri koruma mevzuatında
kişisel veri tanımlaması yapılırken “kişisel
veya olgusal (factual) bilgi” ifadesi
kullanılmaktadır. Bu ifade kişiyle ilgili fiili
durumları; kanaatler, fotoğraflar, sesli ve
görüntülü kayıtlar gibi verisi işlenen kişi ile
bağlantılı tüm bilgileri açıkça kapsama
almaktadır. 2
Fransız Bilişim, Dosyalama ve
Özgürlükler Kanununda kişisel veri tanımı
yapılırken
“kişinin
belirli
kılınması
değerlendirilirken veri kütüğü sahibinin
elinde bulunan veya ulaşabilir durumda
olduğu teşhis edici araçların tümü dikkate
alınacaktır” ifadesi eklenmiştir. Bu durum
Kanun’daki kişisel veri tanımını göreceli hale
getirmektedir. Kişiyi belirli kılan araçlara
sahip olan veri kütüğü sahibi için veri kişisel
veri olurken, bu araçlara sahip olmayan veri
kütüğü sahibi için kişisel veri olarak kabul
edilmeyecektir.3
Bu durumda Kanundaki kimliği belirli
veya belirlenebilir gerçek kişi tanımlamasına
açıklık getirilmelidir.
2- Muhafaza Süresi Ve Şekli
Kanunda kişisel verilerin “ilgili mevzuatta
öngörülen ve işlendikleri amaç için ön
görülen süre kadar muhafaza edilebileceği”
öngörülmüştür. Tasarıdaki bu düzenleme süre
olarak çok geniş ve yoruma açık bir süreyi
kapsamaktadır. Hangi kurumun ne kadar süre
ile kişisel verileri muhafaza edebileceğine bir
sınırlama getirilmelidir. Aynı zamanda içerik,
yani boyut ve miktar olarak da bir sınırlama
getirilmelidir.
Bu konuda Alman Veri koruma
Mevzuatında amaçla sınırlılık ilkesi ile ilgili
olarak kamu sektörüne yönelik oldukça sıkı
hükümler getiren Kanunda özel sektöre
yönelik düzenlemeler daha rahat hareket
edebilmelerini sağlayacak bir yaklaşımla ele
alınmıştır. Kanunda dikkat çeken bir hüküm
ise farklı amaçlarla toplanan verilerin
birbirinden
ayrı
olarak
işlenmesi
zorunluluğudur. Kamu sektörüne yönelik sıkı
düzenlemeleri, terörle ve organize suçla
mücadele kapsamında esnetmeye yönelik
çalışmalara
karşı
Alman
Anayasa
2
Devlet Denetleme Kurulu 27-11-2013 Tarih
2013-3 Sayılı Kişisel Verilerin Korunması
Raporu, sayfa 122
3
Devlet Denetleme Kurulu 27-11-2013 Tarih
2013-3 Sayılı Kişisel Verilerin Korunması
Raporu, sayfa 112
Mahkemesinin verilerin (iletişim verilerinin)
zorunlu muhafazasına dair 02.03.2010 tarihli
kararı, amaçla sınırlılık ilkesine bağlı
kalınması gerektiğini ve bu ilkenin sadece
“mutlak
minimum”
düzeyinde
esnetilebileceğini ortaya koymuştur. Alman
Kanununda iki genel ilkeye daha yer
verilmiştir. Bunlardan ilki olan “veriden uzak
durma
(data
avoidance)
ve
veri
minimizasyonu” (veya veri ekonomisi) ilkesi
temelde gerekli asgari kişisel veriden daha
fazla veri toplanmamasını ve toplanan
verilerin de imkanlar ölçüsünde anonim veya
psodonim hale getirilmesini şart koşmaktadır.
4
3- Hukuka Uygunluk Sebepleri Ve
Rıza
Kanuna göre kişisel veriler ilgili
kişinin açık rızası olmaksızın işlenemez.
Ancak açık rızanın tanımı yapılmadığı gibi,
hangi unsurları içerdiği de belirtilmemiştir.
Bu haliyle, kişisel verilerin korunması hakkı
açısından en temel ilkelerden olan kişinin
açık
rızasının
bulunması
ilkesinin
uygulanmasında
sorunlar
yaşanması
muhtemeldir. Bu nedenle, uluslararası belge
örneklerinde de açıkça görüldüğü üzere, açık
rızanın kişinin özgürce, konuyla ilgili yeterli
bilgiye sahip olarak, tereddüde mahal
bırakmayacak açıklıkta ve sadece işlemin
yapılmasına yetecek ve işlemle sınırlı olarak
verdiği onay beyanı olarak tanımlanması
gerektiği düşünülmektedir. Burada önemle
belirtmek gerekir ki ilgili kişinin yazılı
rızasının alınması gerekmelidir. Yazılı
rızanın aranması kamu ve özel hukuk tüzel
kişileri açısından sınırlama getirmiş ve kişisel
verilerin korunmasında önemli bir koruma
sağlamış olacaktır. Örneğin, abonelik
sözleşmesi imzalayan bir kişinin sözleşme
hükümlerine rıza gösterdiğinin kabulü
gerekecektir. Ancak, bu sözleşme içine
serpiştirilmiş kişisel verilerin işlenmesine
ilişkin hususlar bulunması, gereğinden çok
kişisel veri toplanması, bu verilerin ilgili
4
Devlet Denetleme Kurulu 27-11-2013 Tarih
2013-3 Sayılı Kişisel Verilerin Korunması
Raporu, sayfa 124
şirketin grup şirketleri veya pazarlama
şirketleri ile paylaşılabileceğine ilişkin
hükümlerin bulunması gibi kişisel verilerin
korunmasının
temel
ilkelerine
aykırı
durumların önüne geçilmiş olacaktır.
Türk Hukuku’ na özgü istisnai haller
yine asıl koşul olan rıza kavramının önüne
geçmektedir. Kanuna
göre ilgili kişinin
rızasının aranmayacağı haller;
a) Kanunlarda açıkça öngörülmesi.
b) Fiili imkânsızlık nedeniyle rızasını
açıklayamayacak durumda bulunan veya
rızasına hukuki geçerlilik tanınmayan kişinin
kendisinin ya da bir başkasının hayatı veya
beden bütünlüğünün korunması için zorunlu
olması.
c) Bir sözleşmenin kurulması veya ifasıyla
doğrudan doğruya ilgili olması kaydıyla,
sözleşmenin taraflarına ait kişisel verilerin
işlenmesinin gerekli olması.
ç) Veri sorumlusunun hukuki yükümlülüğünü
yerine getirebilmesi için zorunlu olması.
d) İlgili kişinin kendisi tarafından
alenileştirilmiş olması.
e) Bir hakkın tesisi, kullanılması veya
korunması için veri işlemenin zorunlu olması.
f) İlgili kişinin temel hak ve özgürlüklerine
zarar vermemek kaydıyla, veri sorumlusunun
meşru menfaatleri için veri işlenmesinin
zorunlu olması.
108 sayılı Sözleşmeye göre;
“Eğer Akit Taraf Kanununda
öngörülen istisna, demokratik bir toplumda:
(a) Devlet güvenliğinin korunması, Kamu
güvenliği, Devletin mâli menfaatleri veya
suçların önlenmesi için zorunlu bir önlem
teşkil ediyorsa,
(b) İlgili şahsın korunması ve başkasının hak
ve özgürlükleri için zorunlu bir önlem teşkil
ediyorsa.” istisnalar getirilebilir.5 Sözleşmede
sınırlayıcı bir tanım yapılmış iken kanunda bu
istisnaların genişletilerek el alınması kişisel
verilerin
korunması
mantığı
ile
bağdaşmamaktadır.
Fransa’ da Veri Koruma Mevzuatına
göre Kanun’da rızanın bulunmaması halinde
hukuka uygunluk sebepleri “veri kütüğü
sahibinin yasal bir yükümlülüğü ile uyumlu
olma” ve “verisi işlenen kişinin hayatının
korunması” şeklinde sıralanmıştır.6
Alman Veri Koruma Kanununda
anonimleştirme tanımı şu şekilde yapılmıştır:
“verileri verisi işlenen kişi ile bağlantısı
kurulamayacak (veya çok orantısız bir caba
ile
bağlantı
kurulabilecek)
şekilde
değiştirmek”. Psodonimleştirme ise “İsim ve
benzeri niteleyici bilgilerin yerine verisi
işlenen kişinin teşhisini imkansız veya daha
zor kılacak şekilde bir numara kullanmak”
şeklinde
tanımlanmıştır.
Buna
göre
anonimleştirilmiş veriler kişisel veri olmaktan
çıkmıştır. Psodonimleştirilmiş veriler ise
bunları şifreleyen kişi için kişisel veri iken
şifreleme anahtarına sahip olmayan veri
kütüğü sahibi acısından kişisel veri değildir.7
Yine Alman Veri Koruma Kanunu
rızanın geçerliliği ile ilgili olarak katı bir
yaklaşım sergilemektedir. Mal ve hizmet
sunumu yapan veri kütüğü sahipleri, ilgili
amacın gerektirmediği kişisel verilerin
verilmesini on koşul haline getiremezler (bu
şekilde alınan rıza geçerli değildir). “Link
yasağı” denilen hükme göre örneğin, banka
ve benzeri kuruluşlar pazarlama gibi gereksiz
ikincil amaçlar için verilerinin kullanılmasına
rıza göstermelerini müşterilerinden talep
edemeyecektir. Rızanın geçerliliğinde bir
başka koşul da verisi işlenecek kişinin
duruma özgü ve uygun bir şekilde
bilgilendirilmesidir. Ayrıca Kanuna göre
koşullar başka formatları (telefon veya
internet üzerinden) gerektirmediği surece
rızanın yazılı olması gereklidir. Ayrıca rıza
başka hususlarla birlikte isteniyor veya
veriliyorsa
rızaya
ilişkin
bölümler
6
5
http://www.avrupakonseyi.org.tr/antlasma/aa
s_108.htm
Devlet Denetleme Kurulu 27-11-2013 Tarih
2013-3 Sayılı Kişisel Verilerin Korunması
Raporu, sayfa 113
7
Devlet Denetleme Kurulu 27-11-2013 Tarih
2013-3 Sayılı Kişisel Verilerin Korunması
Raporu, sayfa 122
diğerlerinden belirgin olarak ayrılmış
olacaktır. 8
Kanunda yukarıdaki istisnai haller
neredeyse açık rıza kavramını gereksiz ve
geçersiz kılacak ölçüde geniş niteliktedir.
Burada ilgili kişinin açık rızasının alınması
kamu kurumları ve özel tüzel kişiler
açısından
oldukça
geniş
bir
alan
oluşturmaktadır. Asıl olan kişisel verinin
ilgili kişisinden elde edilmesi olmalıdır. Bu
istisnalar kamu kurumlarına kişisel verilerin
toplanması ve işlenmesi konusunda en
yüksek düzeyde veri toplama yetkisi
vermektedir. Yani Kanun , kişisel veri sahibi
tüm gerçek kişilerin, önceden verilerinin
toplanmasına rıza gösterdikleri gibi bir sonuç
yaratmaktadır. Bu sebeple istisnaların ucu
açık kavramlarla değil en alt düzeyde ve
tanımı sınırlı bir şekilde yapılması
gerekmektedir.
4- Özel Nitelikli Kişisel Veriler
Kanunun 6. maddesine göre (1) Kişilerin
ırkı, etnik kökeni, siyasi düşüncesi, felsefi
inancı, dini, mezhebi veya diğer inançları,
kılık ve kıyafeti, dernek, vakıf ya da sendika
üyeliği, sağlığı, cinsel hayatı, ceza
mahkûmiyeti ve güvenlik tedbirleriyle ilgili
verileri ile biyometrik ve genetik verileri özel
nitelikli kişisel veridir.
(2) Özel nitelikli kişisel verilerin, ilgilinin
açık rızası olmaksızın işlenmesi yasaktır.
(3) Birinci fıkrada sayılan kişisel veriler, ilgili
kişinin açık rızası aranmaksızın aşağıdaki
hallerde işlenebilir:
a) Kanunlarda açıkça öngörülmesi.
b) Kamu sağlığının korunması, koruyucu
hekimlik, tıbbî teşhis, tedavi ve bakım
hizmetlerinin
yürütülmesi
ile
sağlık
hizmetlerinin planlanması, yönetimi ve
finansmanı
amacıyla,
sır
saklama
yükümlülüğü altında bulunan kişiler veya
yetkili kurum ve kuruluşlar tarafından
işlenmesi.
(4) Özel nitelikli kişisel veriler, ikinci ve
üçüncü fıkrada sayılan hâllerde, Kurul
8
Devlet Denetleme Kurulu 27-11-2013 Tarih
2013-3 Sayılı Kişisel Verilerin Korunması
Raporu, sayfa 125
tarafından belirlenen yeterli önlemlerin
alınması şartıyla işlenebilir.
Daha önce hukuka uygunluk
sebepleri ve rıza kavramında belirtmiş
olduğumuz gibi yine özel nitelikli kişisel
verilere de istisnalar getirilmiş ve bu
istisnalar neredeyse her türlü özel nitelikli
kişisel verinin ilgili kişinin rızası olmaksızın
işlenebilir hale gelmiştir. Çünkü açık rıza
içeriğinin ve kapsamının nasıl olacağı net
olarak
sınırlarının
neler
olacağı
belirtilmediğinden ve özel nitelikli kişisel
verilerin işlenmesinde yazılı rıza aranmadığı
için telefon, e-mail, SMS yolu ile rıza
alınabilecek.
Bu istisnalar arasında özellikle
Türkiye açısından büyük tartışmalara yol
açan, kişisel sağlık bilgilerinin kişiler ve
kuruluşlar tarafından rıza aranmaksızın
işlenebilir hale getirilmesi açısından çok
büyük istismarlara yol açacak durumdadır.
Çünkü kanunun 30. madde’ sine göre (6)
7/5/1987 tarihli ve 3359 sayılı Sağlık
Hizmetleri Temel Kanununun 3 üncü
maddesinin birinci fıkrasının (f) bendi
aşağıdaki şekilde değiştirilmiştir.
“f) Herkesin sağlık durumunun takip
edilebilmesi ve sağlık hizmetlerinin daha
etkin ve hızlı şekilde yürütülmesi maksadıyla,
Sağlık Bakanlığı ve bağlı kuruluşlarınca
gerekli kayıt ve bildirim sistemi kurulur. Bu
sistem, e-devlet uygulamalarına uygun olarak
elektronik ortamda da oluşturulabilir. Bu
amaçla,
Sağlık
Bakanlığınca,
bağlı
kuruluşları da kapsayacak şekilde ülke
çapında bilişim sistemi kurulabilir.”
(7) 11/10/2011 tarihli ve 663 sayılı Sağlık
Bakanlığı ve Bağlı Kuruluşlarının Teşkilat ve
Görevleri Hakkında Kanun Hükmünde
Kararnamenin 47 nci maddesi aşağıdaki
şekilde değiştirilmiştir.
Kanunun 47 maddesine göre (1) Sağlık
hizmeti almak üzere, kamu veya özel sağlık
kuruluşları ile sağlık mesleği mensuplarına
müracaat edenlerin, sağlık hizmetinin gereği
olarak vermek zorunda oldukları veya
kendilerine verilen hizmete ilişkin kişisel
verileri işlenebilir.
(2) Sağlık hizmetinin verilmesi, kamu
sağlığının korunması, koruyucu hekimlik,
tıbbi teşhis, tedavi ve bakım hizmetlerinin
yürütülmesi
ile
sağlık
hizmetlerinin
planlanması ve maliyetlerin hesaplanması
amacıyla Bakanlık, birinci fıkra kapsamında
elde edilen verileri alarak işleyebilir.
(3) Bakanlık, ikinci fıkra gereğince toplanan
ve işlenen kişisel verilere, ilgili kişilerin
kendilerinin veya yetki verdikleri üçüncü
kişilerin erişimlerini sağlayacak bir sistem
kurar.
Özel nitelikli kişisel veriler, kişiler
açısından kritik öneme sahiptir. Özellikle
geçmiş yıllarda karşılaşmış olduğumuz sağlık
bilgilerinin Sağlık Bakanlığı tarafından ihale
ile şirketler veya 3. Kişilere satılmasının
yasal alt yapısını sağlamaya yönelik bir
düzenleme olarak gözükmektedir.
5- Kişisel Verilerin Aktarılması
Kanunun 8. Maddesine göre - Kişisel veriler,
ilgili kişinin açık rızası olmaksızın
aktarılamaz.
(2) Kişisel veriler;
a) 5 inci maddenin ikinci fıkrasında,
b) Yeterli önlemler alınmak kaydıyla, 6 ncı
maddenin üçüncü fıkrasında, belirtilen
şartlardan birinin bulunması hâlinde, ilgili
kişinin açık rızası aranmaksızın aktarılabilir.
(3) Kişisel verilerin aktarılmasına ilişkin
diğer kanunlarda yer alan hükümler saklıdır.
Hukuka uygunluk sebepleri ve
rızanın aranmayacağı istisnai hallerde olduğu
gibi Açık rıza olmaksızın verilerin
aktarılabileceği istisnai haller çok geniş
tutulmuştur. Örneğin bir abonelik sözleşmesi
yapılması sırasında, sözleşme yapılan şirket
veya kurum sözleşme ile ilgisi olmayan
kişisel verileri talep edebilecektir. Bunun
dışında kişisel verileri depolama yetkisi
bulunan
veri
sorumlusunun
“hukuki
yükümlülüğünü yerine getirebilmesi” ve “veri
sorumlusunun meşru menfaatleri” için veri
işlenmesi söz konusu olabilecek, kişisel
verilerinizi
diğer
üçüncü
kişilere
aktarabileceklerdir.
Örneğin
abonelik
sözleşmesi
imzaladığınız
şirket
veya
kurumun bünyesinde istihdam etmekte
olduğu veri sorumlusunun talebine göre
sözleşme ile alakalı olmayan kişisel veriler
toplanabilecek,
işlenebilecek
(başka
bilgileriniz ile bütünleştirilebilecektir)ve
diğer üçüncü kişilere aktarılabilecektir.
(örneğin
telefon
numaranız
reklam
şirketlerine aktarılabilecektir.)
Ayrıca
özel
nitelikli
kişisel
verileriniz örneğin sağlık bilgileriniz ve bu
bilgilerle
birlikte
vermiş
olduğunuz
bilgileriniz 3. Kişilere aktarılabilecektir.
Örneğin Sağlık Bakanlığı ilaç şirketlerine
telefon numaranızı aktarabilecektir.
6- Kişisel Verilerin Yurt Dışına
Aktarılması
Kanunun 9. Maddesi ile kişisel
verilerin yurt dışına aktarılması düzenlenmiş
yine aynı şekilde istisnalar geniş tutulmuştur.
Telefon, e-mail, SMS yolu ile rızanızın
alındığı kişisel verileriniz, özel nitelikli
kişisel verileriniz yurt dışına aktarılabilecek.
Örneğin rızanızın alındığı sağlık bilgileriniz
veya telefon, adres bilgileriniz, kimlik
numaranız yurt dışına aktarılabilecek. Başka
bir devlet ile Türkiye arasında uluslararaası
anlaşmalar “yeterli korumayı sağladığı
takdirde”, diğer devlet gerekli koşulları
sağlamasa dahi Kurul izni ile kişisel veriler
yurt dışına aktarılabilecek. Artık “CIA bizi
izliyor” şakasının gerçeğe dönüşmesi işten
bile değil.
7- Veri Sorumlusu
Kanuna göre Veri Sorumlusu
“Kişisel verilerin işleme amaçlarını ve
vasıtalarını belirleyen, veri kayıt sisteminin
kurulmasından ve yönetilmesinden sorumlu
olan gerçek veya tüzel kişidir.” Kanunun
10,11 ve 12 Maddeleri veri sorumlusunun
hak ve yükümlülüklerini düzenliyor. Ancak
veri sorumlularının hukuki yükümlülükleri
ayrıntılı olarak açıklanmamış. Bu hususun
yönetmelik aracılığı ile ayrıca ve ayrıntılı
olarak yönetmelik ile düzenleneceğine ilişkin
herhangi bir düzenleme bulunmuyor. Oysa
Kanunun 5. Maddesindeki kişisel verilerin
işlenme şartlarındaki istisnalar arasında ç
bendinde
“Veri sorumlusunun hukuki
yükümlülüğünü yerine getirebilmesi için
zorunlu olması.” Ve f bendinde “İlgili kişinin
temel hak ve özgürlüklerine zarar vermemek
kaydıyla,
veri
sorumlusunun
meşru
menfaatleri için veri işlenmesinin zorunlu
olması.” halinde kişisel veriler rıza
aranmaksızın işlenebilir. Bu durumda örneğin
abonelik
sözleşmesi
imzaladığınızda,
sözleşmenin tarafı olan şirket benim için
telefon, kimlik numarası, adres, e- mail
adresi, evde yada iş yerinde kaç kişinin
yaşadığı, gece veya gündüz tüketim
alışkanlıklarınız v.b. bir çok veriyi
işleyebilecektir. Dolayısı ile bu maddeler
kişilerin haklarından çok yükümlülük ve
sorumluluklarına ağırlık vermektedir.
8- Veri Sorumlusunun Ücret
Talep Etmesi
Kanunun 13. Maddesine göre “Veri
sorumlusu başvuruda yer alan talepleri,
talebin niteliğine göre en kısa sürede ve en
geç otuz gün içinde ücretsiz olarak
sonuçlandırır. Ancak işlemin ayrıca bir
maliyeti gerektirmesi hâlinde Kurulca
belirlenen tarifedeki ücret alınabilir.” Bu
maddeye göre veri sorumlusu kişisel verisinin
toplanması, işlenmesi, aktarılması v.b.
taleplerle başvuran kişilerden ücret talep etme
hakkına sahip olmaktadır. Bu husus
uluslararası sözleşmeler ve genel hukuk
ilkeleri arasındaki “hak arama” hakkının
önünde ciddi bir engel teşkil etmektedir.
Haberiniz olmadan veya çeşitli şekillerde
rızanızın alındığı kişisel verilerin doğruluğu,
niteliği, işlenme şekli, aktarılması konusunda
ücret ödeyerek bilgi edinebileceksiniz.
9- Devlet Sırrı Niteliğindeki
Bilgiler İncelenemeyecek
Kanunun
15. Maddesine göre
“Devlet sırrı niteliğindeki bilgi ve belgeler
hariç, veri sorumlusu Kurulun, inceleme
konusuyla ilgili istemiş olduğu bilgi ve
belgeleri on beş gün içinde göndermek ve
gerektiğinde yerinde inceleme yapılmasına
imkân sağlamak zorundadır.”
Madde 28’ e göre (1) Bu Kanun
hükümleri aşağıdaki hâllerde uygulanmaz:
ç) Kişisel verilerin millî savunmayı, millî
güvenliği, kamu güvenliğini, kamu düzenini
veya ekonomik güvenliği sağlamaya yönelik
önleyici, koruyucu ve istihbari faaliyetler
kapsamında işlenmesi.
Bu
maddelere
göre
veri
sorumlularını vatandaşlar adına denetleyecek
olan Kişisel Verilerin Korunması Kurulu
şikayet konusu olsa dahi “Devlet Sırrı” olarak
belirlenmiş bilgileri isteyemeyecek. Bu belge
ve bilgiler belirli kurumlarca özellikle MİT,
Emniyet ve Jandarma birimleri, İstihbarat
Birimleri tarafından devlet sırrı kategorisine
sokularak
Veri
Koruma
Kuruluna
verilmeyebilecek. Kendi özel kanunları ile bu
kurum ve kuruluşların yazışma, kayıt, bilgi ve
belgeleri devlet sırrı olarak kabul edilmiştir.
Kanunun 5. Maddesindeki istisnalar arasında
sayılan “Kanunlarda açıkça öngörülmesi.”
durumu burada bir daha pekiştirilmiş. Şayet
bahsetmiş olduğumuz devlet kurumları
şikayet edilmiş ise Kurul hiçbir inceleme
yapamayacak,
bilgi
ve
belge
isteyemeyecektir.
Bilindiği gibi kişisel verilerin
korunması kanun tasarısının 2008 yılından bu
yana çeşitli tarihlerde meclis gündemine
gelmesine
rağmen
bir
türlü
yasalaşamamasının sebeplerinden biri ve en
önemlisi de emniyet, jandarma ve istihbarat
birimlerinin toplamış olduğu bilgileri bir veri
kütüğüne kaydetmeyi reddetmesi ve verileri
diğer kurumlarla paylaşmayı reddetmesidir.
Bilindiği üzere Türkiye’ de devlet sırrı
kavramı çok geniş bir alana yayılmış
durumdadır. Devlet Sırrı Kanunu Tasarısı ile
düzenleme yapılmaya çalışılsa da tıpkı
Kişisel Verilerin Korunması Kanununda
olduğu gibi yıllardır halinde kalmaktan öteye
geçememiştir. Ülkemizde sır ve gizlilik
kategorisi oldukça geniş tutulmuş ve
bireylerin
bilgiye
ulaşma
hakları
sınırlandırılmıştır. Sır kategorisine giren
yaklaşık 50, gizlilik kategorisine giren
yaklaşık 75 yasal düzenleme mevcut olup,
bazı düzenlemeler her iki kategoriye de
girecek şekilde kaleme alınmıştır. Örnek
olarak, 6183 sayılı Amme Alacaklarının
Tahsil Usulü Hakkında Kanunun 107., 6326
sayılı Petrol Kanunu Kanunun 43., 213 sayılı
Vergi Usul Kanununun…1982 Anayasasının
26’ncı maddesinde düşünceyi açıklama ve
yayma hürriyetinin hangi amaçlar için
sınırlandırılabileceği belirtilirken, amaçlardan
biri “Devlet sırrı olarak usulünce belirtilmiş
bilgilerin açıklanmaması” olarak gösterilerek
devlet sırlarından söz edilmiştir. Yine 28’inci
maddede devlete ait gizli bilgilere ilişkin her
türlü haber veya yazı yazanların, bastıran ve
basanların, bunları başkalarına verenlerin bu
suçlara ait kanun hükümleri uyarınca sorumlu
tutulacakları açıklanmıştır. Bunun dışında
devlet sırrını doğrudan düzenleyen yeknesak
bir düzenleme bulunmamaktadır.
Prof. Dr. Çetin ÖZEK’e göre, devlet
sırrının niteliği su unsurlara işaretle
belirlenmektedir:
a) Kabul edilebilen “devlet sırrı”, niteliği
nedeniyle sır sayılması gereken bilgidir.
Ulusal savunmaya, uluslararası ilişkilere,
demokratik düzeni korumaya yönelik bilgi
örnek gösterilebilir.
b) Yönetsel gücün kararıyla “devlet sırrı”
saptaması genel olarak, demokratik anayasal
düzeni korumaya yönelik ve sır sayılması
zorunlu bilgiler için kabul edilebilir. Bu
saptama da yargı tarafından yapılır.
c) Devlet sırrı ile ulusal savunma güvencesi
arasında nedensel bağlantı olması gerekir.
d) Tarihsel olguların, diplomatik ilişkilerin ve
bilimsel bilgilerin sır olmayacağı kabul edilir.
e) Hukuka aykırı eylemler “sır” sayılmaz.
f)
Sırrın,
kitle
iletişim
araçlarıyla
açıklanması, eğer somut tehlike yaratmıyorsa
suç sayılmaz.
g) Bireyin kendisine ait bilgi, bilginin niteliği
ne olursa olsun “sır” sayılmaz.
h) Bilgilenme hakkı üstün değerde olduğu
için, sansür niteliğinde, haber vermek hakkını
sınırlayan, “devlet sırrı” saptaması yapılamaz.
i) “Bilgilenme Hakkı’ nın, devlet sırrı
iddiasına karsı korunması da gerekli
görülmektedir. Diğer bir deyişle, “bilgilenme
hakkı”
na
güvence
yöntemleri
uygulanmalıdır.9
Prof. Dr. Çetin ÖZEK, Basın
Özgürlüğünden Bilgilenme Hakkına adlı
kitabı sayfa 61-71 arası. Alfa Yayınları. Eylül
1999
108 sayılı sözleşme ile ulusal
güvenlik, ulusal savunma ve kamu düzeni
gibi alanlarda istisnaların getirilebileceği,
ancak bu istisnaların kapsam ve sınırlanın
belirli ve denetlenebilir olmasının gereği
açıkça görülmektedir. Örneğin İtalya da
kişisel verilerin işlenmesi ile ilgili olarak
temel hak ve özgürlüklerin korunmasından
sorumlu yapı olan Garante (Garante per la
Protezione dei Dati Personali) isimli veri
koruma otoritesinin “emniyet ve istihbarat
birimlerince gerçekleştirilen veri işleme
faaliyetlerini vatandaşlar adına kontrol
etmek” görev ve yetkisine sahiptir.10
Kanundaki maddeden anlaşılan,
kişiye dair tüm verilerin toplanabilir
olduğudur. Bu nedenle belirtmiş olduğum
gibi bu tür devlet kurumlarına ilişkin özel bir
düzenleme ve sınırlama getirilmesi elzemdir.
Aksi taktirde sadece kağıt üzerinde kalan,
kadük hale gelmiş bir yasal düzenleme
yapılmış olur. Türkiye de asıl olarak veri
toplama, işleme ve paylaşma işlemlerini
devlet kurumları yapmaktadır. Bu nedenle de
vatandaşına güvenmeyen ve potansiyel suçlu
olarak gören devlet anlayışından az da olsa
sıyrılarak
kişileri
korumaya
yönelik
düzenleme getirilmesi Türkiye açısından
hayati önem taşımaktadır. İtalya örneğinde
olduğu gibi Veri Koruma Kurulu emniyet ve
istihbarat birimlerince gerçekleştirilen veri
işleme faaliyetlerini vatandaşlar adına kontrol
etmek” görev ve yetkisine sahip olmalıdır.
10- Özel Hukuk Tüzel Kişilerince
Kişisel Verilerin Toplanması
Bankacılık,
sigortacılık,
telekomünikasyon, kargo, sağlık, turizm,
eğitim, çağrı merkezi ve pazarlama hizmetleri
gibi pek çok alanda faaliyet gösteren
işletmelerin bilgi sistemleri büyük hacimde
kişisel veriyi bünyelerinde barındırmaktadır.
Bu şirketlerin, hangi tür kişisel verileri ne
şekilde toplayabilecekleri, bunları hangi
amaçlarla
kullanabilecekleri,
kimlerle
paylaşabilecekleri,
ne
kadar
süre
9
10
Devlet Denetleme Kurulu 27-11-2013
Tarih 2013-3 Sayılı Kişisel Verilerin
Korunması Raporu, sayfa 152
tutabilecekleri,
hangi
süre
sonunda
silecekleri, almaları gereken güvenlik
tedbirleri ile kişisel verisi bulunan kişilerin bu
verilere erişim, sildirme, düzelttirme gibi
haklarını nasıl kullanabileceklerine ilişkin
olarak sektör bazlı düzenlemelerin bazı
istisnalar dışında yapılmadığı; buna bağlı
olarak kişisel veri ihlallerine yönelik
denetimlerin gerçekleştirilemediği, ihlallerin
tespit
edilemediği
ve
yaptırıma
bağlanamadığı, bu nedenlerle özel hukuk
tüzel kişileri açısından kişisel verilerin
korunmasındaki boşluk ve risklerin önemli
boyutlara ulaştığı ve bu konuya ilişkin
düzenlemeler yapılması gerektiği açıktır.
Kanunda bu konuya ilişkin neredeyse hiçbir
düzenleme yapılmamıştır.
11- Veri Koruma Kurumu ve
Kurulunun Yapısı
Kanunun 19. Maddesine göre “(1)
Bu Kanunla verilen görevleri yerine getirmek
üzere, idari ve mali özerkliğe sahip ve kamu
tüzel kişiliğini haiz Kişisel Verileri Koruma
Kurumu kurulmuştur.
(2) Kurum Başbakanlıkla ilişkilidir.”
Kanunun 21. Maddesine göre “1)
Kurul, bu Kanunla ve diğer mevzuatla verilen
görev ve yetkilerini kendi sorumluluğu
altında, bağımsız olarak yerine getirir ve
kullanır. Görev alanına giren konularla ilgili
olarak hiçbir organ, makam, merci veya kişi,
Kurula emir ve talimat veremez, tavsiye veya
telkinde bulunamaz. (2) Kurul, yedi üyeden
oluşur. Kurulun dört üyesi Bakanlar Kurulu,
üç üyesi Cumhurbaşkanı tarafından seçilir.”
Ancak Kanunun bu maddesi ile
ilgili meclis görüşmeleri sırasında yapılan
değişiklik ile , Kişisel Verileri Koruma
Kurulunun 7 olan üye sayısı 9'a çıkarıldı.
Kurulun 5 üyesi TBMM, 2 üyesi
Cumhurbaşkanı, 2 üyesi Bakanlar Kurulu
tarafından seçilecek. Tasarının mevcut
halinde; 4 üyenin Bakanlar Kurulu, 3 üyenin
de Cumhurbaşkanı tarafından seçilmesi
öngörülüyor.
Kurul üyesi, herhangi bir siyasi parti üyesi
olmayacak. TBMM'nin, Kurula üye seçimi de
belirleniyor. Buna göre, seçim için, siyasi
parti gruplarının üye sayısı oranında
belirlenecek üye sayısının ikişer katı aday
gösterilecek ve Kurul üyeleri, bu adaylar
arasından her siyasi parti grubuna düşen üye
sayısı esas alınmak suretiyle TBMM Genel
Kurulunca seçilecek. Ancak, siyasi parti
gruplarında, Meclis'te yapılacak seçimlerde
kime oy kullanılacağına dair görüşme
yapılamayacak ve karar alınamayacak.
Kurul, üyeleri kendi arasından
başkan ve ikinci başkanı seçecek. Tasarının
mevcut düzenlemesinde, başkan ve ikinci
başkanın, üyeler arasından Bakanlar Kurulu
tarafından belirlenmesi öngörülüyor.
Kurul üyelerinin görev süresi dört yıl
olacak.
Süresi
biten
üye
yeniden
seçilebilecek. Görev süresi dolmadan
herhangi bir sebeple görevi sona eren üyenin
yerine seçilen kişi, yerine seçildiği üyenin
kalan süresini tamamlayacak.
AB Genel Veri Koruma Tüzük
Taslağında da denetleyici otoriteler ile ilgili
hususlar
çok
daha
ayrıntılı
olarak
düzenlenmiştir.
Taslakta
denetleyici
otoritelerin bağımsızlığına ilişkin olarak
getirilen ilave koşullar dikkat çekmekte,
denetleyici otorite üyelerinin seçilme
koşulları da ayrıntılı olarak sayılmaktadır.
Buna göre;
Denetleyici otoritenin üyeleri meclis ya da
hükûmet tarafından atanacaktır.
Üyeler
bağımsızlığı
şüphe
götürmeyen ve kişisel verilerin korunması
alanında deneyimleri ile yeterlilikleri bilinen
kişilerden seçilecektir.
Üyenin görevi, görev suresinin
dolması, istifa veya zorunlu emeklilik yaşı ile
sona erecektir.
Üyenin görevinin gereklerini yerine
getirmek için gerekli şartları sağlayamaması
veya ciddi bir usulsüzlükten hüküm giymesi
durumunda ilgili mahkeme tarafından
azledilebilecek
veya
emekliye
sevk
edilebilecektir.11
11
Kişisel Verilerin İşlenmesi Ve Serbest
Dolaşımı Karşısında Bireylerin Korunması
Tüzüğü Taslağı (Genel Veri Koruma Tüzüğü
Taslağı)
Kişisel Verilerin Otomatik İşleme
Tabi Tutulması Karşısında Bireylerin
Korunmasına Dair 108 Sayılı Sözleşmenin
Ek
Protokolü
denetleyici
otoriteleri
(supervisory authority) düzenlemektedir.
Taraf devletlere iç hukuklarında Sözleşmeye
uygun olarak yürürlüğe koydukları yasal
düzenlemelerin uygulanmasını izlemeden
sorumlu bir denetleyici otorite oluşturma
yükümlülüğü
getirmeyen
108
sayılı
Sözleşme’nin bu eksikliği, 2004 yılında
yürürlüğe giren ek Protokol ile giderilmiştir.
Protokol’ün 1. maddesi, taraf devletlere kendi
iç
hukuklarında
aldıkları
önlemlerin
Sözleşme ve Protokol’de yer alan ilkelere
uygunluğunu güvence altına almaktan
sorumlu olacak bir ya da birden fazla
denetleyici otorite oluşturma zorunluluğu
getirmektedir. Bu denetleyici otoriteler
özellikle soruşturma (investigation) ve
müdahalede bulunma yetkisine ve aynı
zamanda hukuki surece dâhil olma ve kişisel
verilerin işlenmesi ile bağlantılı olarak
bireylerin kendi temel hak ve özgürlüklerini
korumak amacıyla yaptıkları şikayetleri
inceleme yetkisine sahip olmalıdırlar.12
Uluslararası
düzenlemelerde
neredeyse bütün ülkelerde bu otoritelerin
üzerlerine düşen görevi gerektiği şekilde
yerine
getirebilmeleri
için
bağımsız
(independent), tarafsız (impartial) ve teknik
kapasite açısından yetkin ve yeterli
(technically
competent)
yapıda
oluşturulmalarına vurgu yapılmıştır.13 Kişisel
Verilerin Korunması Kanunu Tasarısı
Taslağında Başbakanlığa bağlı bir Kişisel
12
2001 yılında Sözleşme için bir Ek Protokol
imzaya açılmış, 2004 yılında yürürlüğe
girmiştir. “Additional Protocol to the
Convention for the Protection of Individuals
with Regard to Automatic Processing of
Personal Data, Regarding Supervisory
Authorities and Transborder Data Flows,
Strasbourg, 8.XI.2001, European Treaty
Series No.181”
13
Devlet Denetleme Kurulu 27-11-2013
Tarih 2013-3 Sayılı Kişisel Verilerin
Korunması Raporu, sayfa 714
Verileri Koruma Kurumu oluşturulması
öngörülmektedir. Kelime anlamı olarak
özerklik bir topluluğun, bir kuruluşun ayrı bir
yasaya bağlı olarak kendini yönetme
hakkıdır. Mali özerklik, bir kamu tüzel
kişisinin kendi kaynaklarından serbestçe
yararlanarak kendi harcamalarını yönetmesi
durumudur. İdari ve mali anlamda özerk bir
kurum oluşturulması açısından genel bütçede
Sayıştay denetimine açık kendi bütçesine
sahip bir kurum oluşturulması daha yerinde
olacaktır.
Kanunun 21. Maddesine göre
“Kurul, yedi üyeden oluşur. Kamu veya özel
sektörde en az on yıl görev yapanlar
arasından
Bakanlar
Kurulunca
dört,
Cumhurbaşkanınca üç üye seçilir.” Burada
Türkiye’ nin idari yapısı ve hükümet yapısı
düşünüldüğünde
bu
düzenlemenin
tartışmalara
yol
açacağı
şüphesizdir.
Günümüzdeki tek parti hükümetine dayanan
ve yürütmenin tamamen tek partiden oluştuğu
gözetildiğinde Bakanlar Kurulunca yapılacak
atamalar tartışmaya açık olacaktır. Aynı
zamanda yürütme açısından bir nevi imza ve
denetim makamı olan Cumhurbaşkanlığınca
atama yapılması da daha büyük bir sorun
teşkil etmektedir. Ayrıca kanun tasarısında
yapılan değişiklik ile yine parti grubuna göre
AKP milletvekillerinin de TBMM tarafından
seçilecek 5 kişi içerinden oy oranına göre
öneri de bulunma hakkı olacaktır. Tasarının
meclise gönderildiği haline göre kabul edilen
maddede kısmen iyileşme olsa da Kurul
üyelerinin çoğunluğunun yine hükümet
tarafından belirleneceği açıktır. Günümüz
Türkiye’
sinde
Başbakanlık,
Cumhurbaşkanlığı makamı ve Başkanlık
Sistemi tartışmaları göz önüne alındığında tek
bir kişi tarafından atama yapılması
kaçınılmaz olacaktır.
12- Takma Adlı Veri
Tasarı’da yer almayan ancak AB
Regülasyon
Tasarısında
yer
alan
kavramlardan
biri
takma
adlı
veri
(pseudonymous data) kavramıdır. Kavram
özetle şunu ifade etmektedir: "takma adlı
veri" ek bilgiler kullanılmadan belirli bir veri
sahibi ile ilişkilendirilemeyen ve söz konusu
ek bilgilerin ayrı olarak, ilişkilendirilmeyi
önleyici önlemler altında saklandığı kişisel
veriler anlamına gelmektedir. Takma adlı
veri, kişisel veriyi anonim hale getirmeyip bir
kimliksizleştirme yöntemidir. Eğer veri
sorumlusu
tarafından
işlenen
veri,
sorumlunun bir kişiyi doğrudan belirlemesine
izin vermiyorsa ya da takma adlı veri
oluşturuyorsa, veri sorumlusu yalnızca bu
kanuna uyumluluk sağlamak için ilgili kişiyi
belirlemek amacıyla söz konusu ek bilgileri
alamaz ya da işleyemez. Tek başına
kullanıldığında, herhangi bir ek bilgi
olmadan, bir bireyi tanımlayamayan ancak en
fazla bireyleri tanımlamadan birbirinden
ayırabilen veriler gibi veri tipleri de koruma
gerektirmektedirler. Çünkü bu veriler ile
tekrar
tanımlayabilme
mümkün
hale
gelmektedir. Ancak veri sorumlularının
alacağı yeterli organizasyonel ve teknik
önlemler verinin dolaylı olarak tanımlayabilir
kalmasını sağlamaktadır.
Direktifte takma adlı veri olarak
adlandırılan bu tür kişisel veriler risk bazlı
yaklaşım ve sorumluluk açısından iyi bir
örnektir. Çünkü verinin takma adlı veri olarak
kalmasını sağlamak amacıyla veri sorumlusu
verilerin tamamen ilişkilendirilebilir hale
gelmesini engellemek amacıyla gereken tüm
makul önlemleri almak zorunda kalacaktır.
13Kamu
Kurum
Ve
Kuruluşlarına,
Kişisel
Verilerin
Korunması
Kanununa
Göre
Ceza
Uygulaması Bulunmamakta
Kanunun 17. Ve18. Maddesinde
Suçlar
Ve
Kabahatler
bölümünde
düzenlenmiştir. Bu maddelere göre kanuna
aykırı hareket eden kamu kurum ve
kuruluşlarına ilişkin herhangi bir ceza
verilmesi söz konusu olamayacaktır. Suç ve
cezaların şahsiliği ilkesi gereğince kanuna
aykırı hareket edenlere Türk Ceza Kanunu
Kapsamında ve bu kanun kapsamında ceza
verilebilecektir ancak kamu kurumlarına idari
para cezası uygulaması olmayacaktır.
Türkiye’ de en fazla kişisel verilerin
toplandığı ve paylaşıldığı yerler kamu kurum
ve kuruluşlarıdır. Bu sebeple de her ne kadar
suç veya kabahat işleyen kamu çalışanlarının
sorumluluğu bulunsa da kamu kurum ve
kuruluşlarına da idari para ceza verilebilmesi
kesinlikle düzenlenmelidir.
14- Türk Ceza Kanununun 135140. Maddelerinin Uygulanması
2012 değişiklikleri ile Türk Ceza
Kanununa giren Kişisel Verilerin Korunması
135-140. Maddelerde düzenlenmiştir. Ancak
Türk Ceza Kanunundaki düzenlemeler ile
Kişisel Verilerin Korunması Kanununu
birbirleri ile çelişen hükümler içermektedir.
6698 sayılı Kişisel Verilerin
Korunması Kanununun 2. Maddesine göre
“Bu Kanun hükümleri, kişisel verileri işlenen
gerçek kişiler ile bu verileri tamamen veya
kısmen otomatik olan ya da herhangi bir
veri kayıt sisteminin parçası olmak
kaydıyla otomatik olmayan yollarla işleyen
gerçek ve tüzel kişiler hakkında uygulanır.”
Dolayısıyla otomatik olarak işlenmeyen veya
herhangi bir veri kayıt sisteminin parçası
olmayan yollarla işlenen kişisel veriler bu
kanun hükümlerine tabi olmayacaktır. Türk
Ceza Kanununun 136. Maddesi otomatik
işleme veya herhangi bir veri kayıt sisteminin
parçası olmak şartı aramamıştır. Ancak
Kişisel Verilerin Korunması Kanunu
yukarıda bahsetmiş olduğumuz üzere
otomatik işleme veya herhangi bir veri kayıt
sisteminin parçası olmak şartını aramaktadır.
Bu kanun ile birlikte kurulan Kişisel
Verilerin Korunması Kurulunun 22. Maddeye
göre görev ve yetkileri “a) Kişisel verilerin,
temel hak ve özgürlüklere uygun şekilde
işlenmesini sağlamak.
b) Kişisel verilerle ilgili haklarının ihlal
edildiğini ileri sürenlerin şikâyetlerini karara
bağlamak.
c) Şikâyet üzerine veya ihlal iddiasını
öğrenmesi durumunda resen görev alanına
giren konularda kişisel verilerin kanunlara
uygun olarak işlenip işlenmediğini incelemek
ve gerektiğinde bu konuda geçici önlemler
almak.
ç) Özel nitelikli kişisel verilerin işlenmesi için
aranan yeterli önlemleri belirlemek.
d) Veri Sorumluları Sicilinin tutulmasını
sağlamak.
e) Kurulun görev alanı ile Kurumun işleyişine
ilişkin konularda gerekli düzenleyici işlemleri
yapmak.
f) Veri güvenliğine ilişkin yükümlülükleri
belirlemek amacıyla düzenleyici işlem
yapmak.
g) Veri sorumlusunun ve temsilcisinin görev,
yetki ve sorumluluklarına ilişkin düzenleyici
işlem yapmak.
ğ) Bu Kanunda öngörülen idari yaptırımlara
karar vermek.
h) Diğer kurum ve kuruluşlarca hazırlanan ve
kişisel verilere ilişkin hüküm içeren mevzuat
taslakları hakkında görüş bildirmek.”
Bu madde metninden de anlaşılacağı
üzere Kişisel Verilerin Korunması Kurulu
Şikayet üzerine veya görev alanına giren
konularda kendiliğinden inceleme ve karar
verme yetkisine sahiptir. Türk Ceza
Kanununun 139. Maddesine göre “Kişisel
verilerin kaydedilmesi, verileri hukuka aykırı
olarak verme ve ya ele geçirme ve verileri
yok etmeme hariç, bu bölümde yer alan
suçların soruşturulması ve kovuşturulması
şikayete bağlıdır.” Herhangi bir şikayet
olmaması veya şikayetin geri alınması
durumunda kişisel verileri kanuna aykırı
işleyen ceza almayabilecektir.
Türk
Ceza
Kanununun
136.
Maddesine göre “Kişisel verileri, hukuka
aykırı olarak bir başkasına veren, yayan veya
ele geçiren kişi” cezalandırılmaktadır.
Görüldüğü üzere gerçek veya tüzel kişi
ayrımı yapılmamıştır. Aynı zamanda T.C.K.
nın 140. Maddesine göre “Yukarıdaki
maddelerde tanımlanan suçların işlenmesi
dolayısıyla tüzel kişiler hakkında bunlara
özgü güvenlik tedbirlerine hükmolunur.”
Dolayısıyla Türk Ceza Kanununa göre tüzel
kişilere ilişkin ceza verilebilmektedir. Ancak
Kişisel Verilerin Korunması Kanununu
sadece gerçek kişilere ilişkin yaptırım
uygulamaktadır.
Genel hukuk kuralı olarak Genel
Kanun ile Özel Kanun Aynı anda aynı olayı
düzenleyen biri genel diğeri özel iki ayrı
kanun yürürlükte bulunduğu takdirde eğer
önceki kanun genel yeni kanun özel ise, bu
takdirde olaya özel olan yeni kanun
hükümleri uygulanmalıdır. Bu durumda
Genel Kanun olan Türk Ceza Kanunu ile
Özel Kanun olan Kişisel Verilerin Korunması
Kanunu birbiri ile çelişmesi durumunda
sonradan çıkarılan özel kanun olan Kişisel
Verilerin Korunması Kanunu uygulanacaktır.
Ancak görüldüğü üzere birbiri ile çelişen
hükümler nedeniyle kanunun uygulamasında
bir çok suiistimal ve cezasızlık durumu ortaya
çıkacaktır.
13- OHAL Kanun Hükmünde
Kararnamesi İle Kurulan Coğrafi Veri
Merkezi
1 Eylül 2016 tarihinde resmi
gazetede yayımlanan 15/08/2016 tarihli 674
sayılı Kanun Hükmünde Kararname’ nin 43.
Maddesine göre 657 sayılı Harita Genel
Komutanlığı Kanununa getirilen ek madde ile
Coğrafi Veri Merkezi kuruldu.
Kurulan bu veri merkezi tamamen
TSK ya bağlı Harita Genel Komutanlığı’ na
bağlı olarak faaliyet gösterecek. Üstelik bu
veri merkezi yalnızca askeri amaç ile
kurulmayıp “savunma, güvenlik, istihbarat ve
kalkınma maksatlı çalışan kurum ve
kuruluşların coğrafi veri ihtiyaçlarının
karşılanması
amacıyla”
kurulan
bir
merkezdir. Bu tür veri merkezlerinin
sakıncaları ve izleme, gözetleme merkezi
haline
dönüşeceği
tartışmasızdır.
15
Temmuz’ un ardından tüm devlet ve hükümet
işlemlerini KHK lar üzerinden yürütme
kararlılığında olan iktidar, bu derece önemli
ve olağanüstü halin amacı ve kapsamıyla
bağdaşmayan bir konuyu da kalıcı bir şekilde
kanun değişikliği ile yerine getirmiş oldu.
15 Temmuz sonrasında 8 Ağustos
2016
tarihli
http://www.memurlar.net/haber/603186/
habere göre kamudaki verilerin tek merkezde
toplanacağına dair açıklama ve haberler ile
bütünleştirildiğinde bu düzenlemelerin kişisel
verilerin korunmasına yönelik düzenlemelere
aykırı olacağı çok açıktır. Her ne kadar bu
düzenleme ile Coğrafi Veri Merkezi
kurulmuş ise de çeşitli uygulamalar,
yöntemler ve programlar ile yer tespiti,
konum tespiti, GPS tespitleri v.b. alanlara
müdahale edilebileceğini şimdiden anlamak
çok zor değildir. Üstelik bu kurum tamamen
askeri bir kurum olarak düzenleniyor ve
faaliyetlerine ve bu faaliyetlerinden hangi
kurumların faydalanacağına ilişkin herhangi
bir açıklama ve düzenleme bulunmamaktadır.
Bu kurumun oluşturacağı coğrafi veriler
Jandarma ve Emniyet Güçleri ile kaçınılmaz
olarak paylaşılacaktır ki zaten kurumun varlık
amacı güvenlik ve istihbarattır. Ancak bu
kurumun kalkınma amaçlı olarak bütün
bakanlıklar ve resmi kurumlar ile veri
paylaşacağı da düzenlenmektedir. Bu
verilerin diğer kurumlar ile paylaşılması
durumunda izleme, gözetleme ve fişlemelere
yol açması kaçınılmazdır.
24/03/2016 tarihinde TBMM de
kabul edilen ve 7 Nisan 2016 da resmi
gazetede yayınlanarak yürürlüğe 6698 Sayılı
Kişisel Verilerin Korunması Kanununun 19.
Maddesi ile oluşturulması gereken Kişisel
Verileri Koruma Kurumu kurulmadan bu tür
düzenlemelerin
yapılmasının
hukuki
dayanağı bulunmamaktadır. Kişisel Verilerin
Korunması Kanununun geçici 1. Maddesinde
göre kanunun yayım tarihinden itibaren 6 ay
içerisinde Kişisel Verilerin Korunması
Kurumunun oluşturulması gerekmektedir.
Oysa kanunun yürürlüğe girdiği Nisan
ayından bu yana gerek Kişisel Verilerin
Korunması, gerekse Kişisel Verileri Koruma
Kurumu’ na ilişkin herhangi bir açıklama ve
yasa gereği yapılması gereken işlemler
yapılmamıştır. 15 Temmuz’ u bahane ederek
kalıcı kanun değişikliklerine yönelik olarak
OHAL Kanun Hükmünde Kararnameleri ile
veri kaydı yapan kurum ve kuruluşlarının
denetim dışı bırakılması, kalıcı kurum ve
kurulların oluşturulması Anayasa’ ya ve
AİHS’ ne aykırıdır.
Sonuç olarak Kişisel Verilerin
Korunması Kanunu daha çok veriyi toplayan
ve işleyenin haklarına yöneldiği, tasarıda
kişisel veri sahibinin haklarının ikinci planda
kaldığı izlenimi ortaya çıkmaktadır. tasarı ile
amaçlanan, kişisel verilerin korunması, yani
kişisel veri sahibi kişilerin haklarının, bu
verileri toplayanlar karşısında ihlalinin
engellenmesidir. Ancak korunmak istenen
menfaatle getirilen hükümlerin çeliştiği,
kişisel
veri
sahibininin
hakları
ve
faydalanacağı korumalardan ziyade, verileri
işleyenlerin hangi hakları ne surette haiz
olduklarına ağırlık verildiği görülmektedir.
tasarı veri koruma esas ve usulüne yönelik
iyileştirme ve düzenlemeler yerine daha çok
veri koruma kuruluna ilişkin düzenlemelere
ağırlık vermektedir.
Kaynaklar
[1]http://www.avrupakonseyi.org.tr/antlasma/
aas_108.htm
[2]http://www.abgs.gov.tr/files/pub/antlasmal
ar.pdf
[3] 108 sayılı Sözleşme için Ek Protokol,
2001
[4] AKILLIOGLU, Tekin, İdari Usul ve
Kişisel Verilerin Korunması, Makale
(http://www.idare.gen.tr/akilliogluidariusul.htm)
[5] Aksoy, Hüseyin Can, Kişisel Verilerin
Korunması, Çakmak Yayınevi, Ankara, 2010
[6] Atak, Songül, Avrupa Konseyinin Kişisel
Veriler
Açısından
Sağladığı
Temel
Güvenceler, TBB Dergisi, Sayı 87, 2010
[7]
BASALP, Nilgün, Kişisel Verilerin
Korunması ve Saklanması, Ankara 2004.
[8] BEYLİ Ceylin : “Kişisel Nitelikteki
Verilerin Korunmasına İlişkin Kanun Tasarısı
Üzerine
Eleştiriler”
(http://www.bilisimsurasi.org.tr/hukuk/docs/t
bs_kisisel_veri_ceylin_beyli_gorus1.)
(Erişim tarihi: 15/10/2011)
[9] Devlet Denetleme Kurulu 27-11-2013
Tarih 2013-3 Sayılı Kişisel Verilerin
Korunması Raporu
[10] İlkiz, Fikret: Kişisel Verilerin
Korunması ve Kanun Tasarısı, Güncel Hukuk
Dergisi, Temmuz 2009/7-67, s. 12-23.
[11] Kişisel Verilerin İşlenmesi Ve Serbest
Dolaşımı Karşısında Bireylerin Korunması
Tüzüğü Taslağı (Genel Veri Koruma Tüzüğü
Taslağı)
[12] ÖZEK, Çetin, Basın Özgürlüğünden
Bilgilenme Hakkına, Alfa Yayınları, Eylül
1999
[13] ŞİMŞEK, Oğuz, Anayasa Hukukunda
Kişisel Verilerin Korunması, İstanbul, 2008.
[14] Yıldırım, A. Ve Simsek, H. Sosyal
Bilimlerde Nitel Arastırma Yöntemleri,
Ankara: Seçkin Yayınları. 2005
[15] http://www.memurlar.net/haber/603186/
Download