T.C. GAZĐ ÜNĐVERSĐTESĐ SOSYAL BĐLĐMLER ENSTĐTÜSÜ KAMU YÖNETĐMĐ ANABĐLĐM DALI SĐYASET VE SOSYAL BĐLĐMLER BĐLĐM DALI BĐR ĐNSAN HAKLARI KAVRAMI OLARAK “KĐŞĐSEL VERĐLERĐN KORUNMASI” YÜKSEK LĐSANS TEZĐ Hazırlayan Uğur ERSOY Tez Danışmanı Doç. Dr. Tevfik ERDEM Ankara – 2009 ÖNSÖZ Günümüzde geleneksel yöntemlerin yanı sıra, verilerin bilgisayar gibi elektronik ortamlarda işlenerek bunların veri bankalarında depo edilmesi çok yaygınlaşmıştır. Bilgi çağı olarak nitelendirilen 21’inci yüzyılda, bir taraftan kişisel verilerin işleme tabi tutulmasını kolaylaştırmak ve bunları ilgililerin yararlanmasına sunmanın zorunlu olması kadar, bunu yaparken temel hak ve hürriyetlerin ihlal edilmemesi de çok önemli bir husus olarak ortaya çıkmaktadır. Kişisel verilerin işlenmesi ile kişilerin özel alanlarının korunması arasındaki dengeyi doğru olarak kurabilmek üzere; tezimizde kişisel verilerin korunmasının temel hak ve hürriyetler açısından taşıdığı önemi belirtmek, kişisel verileri işleyen kişi ve kurumların bu ilkeyi ihlal etmesinin getireceği hukuki sonuçları göstermek, konuya ilişkin olarak yaşanan uluslararası problemleri teşhis etmek, dünyada ve Türkiye’deki yasal düzenlemelerin eşliğinde kişisel verilerin korunması kavramına olan bakış açılarını ortaya koymak ve tüm bunların ışığında, kişisel verileri işleyen kurum ve kuruluşlar ile gerçek ve tüzel kişilerin bu konudaki durumunu ortaya koymak ve yapılması gereken çalışmaları öne sürmek amaçlanmıştır. Yapıcı eleştirileriyle tezimi geliştirmemde önemli katkılar sağlayan ve esneklik anlayışıyla çalışmalarımı kolaylaştıran tez danışmanım Doç. Dr. Tevfik ERDEM’e teşekkürlerimi bir borç bilirim. Ayrıca çalışmalarımda sabırla ve sevgiyle bana destek olan ve her an yanımda olduklarını hissettiren aileme ve arkadaşlarıma sonsuz şükranlarımı sunarım. Uğur ERSOY Ankara, 2009 ii ĐÇĐNDEKĐLER ÖNSÖZ Đ ĐÇĐNDEKĐLER ĐĐ KISALTMALAR vi GĐRĐŞ 1 Tezin Đçeriği 2 Tezin Kapsam ve Sınırlılıkları 2 Tezin Varsayımları 3 BĐRĐNCĐ BÖLÜM KAVRAMSAL ÇERÇEVE VE TARĐHSEL GELĐŞĐM 4 I. KAVRAMSAL ÇERÇEVE 4 A. Đnsan Hakları 4 B. Özel Hayatın Gizliliği 10 C. Kişisel Verilerin Korunması 16 1. Kişisel Veri 16 2. Kişisel Verilerin Đşlenmesi 17 3. Kişisel Verilerin Korunması 18 4. Bilgi Güvenliği 23 Ç. Bilgi Edinme Hakkı 27 D. Sır 33 1. Devlet Sırrı 35 2. Özel Sır 40 a. Ticarî Sır 43 iii b. Banka Sırrı 44 c. Müşteri Sırrı 44 ç. Meslek Sırrı 45 3. Sırrın Đfşası 46 II. KĐŞĐSEL VERĐLERĐN KORUNMASI KAVRAMININ TARĐHSEL GELĐŞĐMĐ 47 ĐKĐNCĐ BÖLÜM KĐŞĐSEL VERĐLERĐN KORUNMASI KAVRAMININ ULUSLARARASI DÜZENLEME VE UYGULAMALARDAKĐ YERĐ 52 I. ULUSLARARASI DÜZENLEMELER 52 A. Ekonomik Đşbirliği ve Kalkınma Teşkilatı (OECD) 52 B. Avrupa Konseyi (AK) 56 C. Birleşmiş Milletler (BM) 62 Ç. Avrupa Birliği (AB) 64 II. ULUSLARARASI BAKIŞ AÇILARI: ÇEŞĐTLĐ ÜLKE DÜZENLEME VE UYGULAMALARI 75 A. Avrupa Birliği Ülkeleri 76 B. Amerika Birleşik Devletleri 79 ÜÇÜNCÜ BÖLÜM KĐŞĐSEL VERĐLERĐN KORUNMASI KAVRAMININ ULUSAL DÜZENLEME VE UYGULAMALARDAKĐ YERĐ 85 I. ANAYASA 85 II. TÜRK MEDENĐ KANUNU 88 A. Vazgeçme ve Aşırı Sınırlamaya Karşı Kişiliğin Korunması 89 B. Saldırıya Karşı Kişiliğin Korunması 89 C. Dava Hakkı 90 iv III. TÜRK CEZA KANUNU 91 A. Kişisel Verilerin Kaydedilmesi 93 B. Verileri Hukuka Aykırı Olarak Verme veya Ele Geçirme 95 E. Verileri Yok Etmeme 96 IV. KĐŞĐSEL VERĐLERĐN KORUNMASI KANUNU TASARISI 97 A. Genel Olarak 97 B. Tasarıyla Çizilen Amaç, Kapsam ve Tanımlar 99 C. Kişisel Verilerin Đşlenmesinde Uyulması Gereken Kurallar 103 1. Kişisel Verilerin Đşlenmesine Đlişkin Genel Đlkeler 103 2. Kişisel Verilerin Đşlenmesinde Hukuka Uygunluk Sebepleri 105 3. Özel Niteliği Olan (Hassas) Kişisel Verilerin Đşlenmesine Đlişkin Şartlar 107 4. Kişisel Verilerin Đşlenmesi Sırasında Alınacak Tedbirler: Bilgi Güvenliği 110 5. Kişisel Verilerin Anonim Hale Getirilmesi, Silinmesi veya Yok Edilmesi 111 Ç. Kişisel Verilerin Transfer Edilmesi Halleri 1. Kişisel Verilerin Yurt Đçinde Transfer Edilmesi a. Kişisel Verilerin Üçüncü Kişilere Aktarılması 111 112 112 b. Kişisel Verilerin Kamu Kurum ve Kuruluşlarından Kamu Kurum ve Kuruluşlarına Aktarılması 113 c. Kişisel Verilerin Kamu Kurum ve Kuruluşlarından Üçüncü Kişilere Aktarılması 113 2. Kişisel Verilerin Yurt Dışına Transfer Edilmesi 114 D. Kişisel Verileri Đşlenen Kişinin Bilgi Edinme Hakkı 115 v E. Kişisel Verilerin Hukuka Aykırı Olarak Đşlenmesi Suçunun Soruşturulması ve Kovuşturulması ve Đdari Para Cezaları 117 F. Tasarıda Getirilen Đstisnalar 118 SONUÇ 121 KAYNAKÇA 129 ÖZET 139 ABSTRACT 141 vi KISALTMALAR a.g.e. : Adı geçen eser a.g.m. : Adı geçen makale AB : Avrupa Birliği ABD : Amerika Birleşik Devletleri AĐHM : Avrupa Đnsan Hakları Mahkemesi AĐHS : Avrupa Đnsan Hakları Sözleşmesi AK : Avrupa Konseyi Bkz., bkz. : Bakınız BM : Birleşmiş Milletler CMK : Ceza Muhakemesi Kanunu IBM : International Business Machines Corporation ISO : Uluslar arası Standartlar Örgütü (International Standards Organization) Tasarı, tasarı : Kişisel Verilerin Korunması Kanun Tasarısı m. : Madde OECD : Organization for Economic Cooperation and Development (Ekonomik Kalkınma Örgütü) R.G. : Resmi Gazete s. : Sayfa S. : Sayı TCK : Türk Ceza Kanunu vb. : ve benzeri vd. : ve devamı Đşbirliği ve GĐRĐŞ Modern çağın en önemli hukuksal dayanaklarından biri, temel hak ve hürriyetlerin güvence altına alınması ve bireyin gerek devlet gerekse de diğer kişiler karşısında korunması olagelmiştir. Bu bağlamda önemli yere sahip olan ve Anayasamızda da kişi hak ve özgürlükleri arasında sayılan “özel hayatın gizliliği” kavramı, hukuk devleti ilkesinin olmazsa olmazları arasında yer almaktadır. Son yıllarda gözlemlenen hızlı teknolojik ilerleme, hayatın birçok alanında önemli kolaylıklar sağlamanın yanı sıra, kişisel özgürlüklerin özel hayatın gizliliği ilkesinin ihlal edilmesini de kapsayacak bir şekilde kısıtlanmasını beraberinde getirmiştir. Özellikle bilişim alanındaki gelişmeyle beraber pek çok nicelikteki kişisel veriler bilgisayar ortamında kolaylıkla işlenmeye başlanmış, bunun paralelinde özel alana yapılan saldırı ya da müdahaleleri ihtiva eden yeni suç tipleri belirmiştir. Tamamen kişiye özel olan ve sadece bu verileri işleyenin görev alanıyla ilgili olarak kanuni amaçlarla kullanılabilecek verilerin yetkisi olmayan üçüncü şahısların eline geçmesi, kişilik haklarının ihlalini ve bu bilgilerin kötüye kullanılmasını da beraberinde getirecektir. Bu nedenle, kişisel verileri işleyen özel veya kamusal kişi ya da kurumlar tarafından bu konuda ihlallerin yaşanmamasını temin edecek düzenleme ve uygulamaların ortaya konularak gerekli önlemlerin alınması gerekmektedir. Đşte bu tez çalışması ile kişisel verilerin korunmasının neden elzem olduğu ve bu konudaki ihlallerin ne gibi sonuçlar doğurabileceği vurgulanacak, yapılması gereken düzenleme ve alınması gereken önlemlerin neler olduğu anlatılmaya çalışılacak, bu konuda uygulamaya gidecek kamu kurum ve kuruluşları ile gerçek ve tüzel kişilere fikir verilecektir. 2 Tezin Đçeriği Đlk bölümde tezin tümü için gerekli alt yapı çalışması teşkil etmesi düşüncesiyle, kişisel verilerin korunması ilkesini “kavramsal çerçeve ve tarihsel gelişimi” açısından ele aldık. Kavramın temel dayanakları arasında yer alan ve üst kavram olarak kabul edilebilecek “özel hayatın gizliliği” hakkı ile kişisel verilerin korunması hakkının kapsam ve sınırlarını belirlemede önemli bir yere sahip olan “bilgi edinme hakkı” ve “sır” kavramlarını irdeledik. Ayrıca günümüzde önemi gittikçe artan kişisel verilerin korunması kavramının bu güne ulaşmasında geçtiği tarihsel gelişim süreci, temel hak ve hürriyetlerin ortaya çıkışından özel hayatın gizliliği ve nihayet kişisel verilerin korunması özeline varmasına kısaca değindik. Đkinci bölümde ise konunun uluslararası boyutunu ele aldık. Bu amaçla öncelikle kişisel verilerin korunması kavramının yer aldığı uluslararası metinler, bu düzenlemelerin kapsam ve sınırlılıkları ile Türkiye’nin bu konuda hangi düzenlemelere dahil olduğu ve gelinen aşamayı anlattık. Bu kapsamda; OECD Tavsiye Kararları, Avrupa Konseyi Sözleşmesi, Birleşmiş Milletler Rehber Đlkeleri, Avrupa Birliği Direktifleri ile konuya ilişkin dünyadaki farklı bakış açılarını göstermek üzere çeşitli ülke düzenleme ve uygulamalarına yer verdik. Tezimizin üçüncü bölümünde, kişisel verilerin korunması ile ilgili Türkiye’deki ulusal düzenleme ve uygulamaları ele aldık. Bu kapsamda genel düzenlemeler olan Anayasamız, Türk Medeni Kanunu, Türk Ceza Kanunu’nun ilgili hükümleri ile halen yasalaşma sürecinde bulunan Kişisel Verilerin Korunması Kanunu Tasarısını detaylı olarak irdeledik. Tezin Kapsam ve Sınırlılıkları Kişisel verilerin korunması hakkı 1980’li yıllarla birlikte bilişim teknolojilerinin gelişmesine paralel olarak ortaya çıktığı için oldukça yeni bir kavramdır. Bu nedenle, konuya ilişkin özellikle akademik anlamda kaynak 3 sıkıntısı bulunmakta olup, bu hususta internet ortamında, kütüphanelerde ve kurum arşivlerinde araştırmalar yapılmış ve çeşitli kaynaklardan toplanan yazı ve makaleler incelenmiştir. Özellikle Türkiye’de konuya dair zengin bir kaynağın bulunduğunu söylemek zor olacaktır. Bu nedenle tezimizde daha çok uluslararası ve uluslarüstü düzenlemeler, bazı ülkelerin mevzuatları ile Türkiye’deki yasal düzenleme ve uygulamalardan yararlanarak, daha çok düzenlemeleri yorumlamak suretiyle konuyu ele aldık. Tezin Varsayımları Bilgi teknolojilerindeki hızlı gelişmeyle birlikte kişisel verilerin korunması hakkının günümüz dünyasında olmazsa olmaz bir güvence olarak temel insan hakları arasında sayılmaya başlanması ve ulusal ve uluslararası alanlarda anayasal bir ilke olarak yerini alması hususu çalışmamızda temel varsayım olarak ele alınmıştır. Tezimizde kişisel verilerin korunması kavramının, diğer anayasal hak ve hürriyetlerle de ilintili olmakla beraber, esasen özel hayatın gizliliği ilkesiyle ilişkili olduğu ve özel hayatın gizliliği ilkesinin bir alt kavramı olarak müstakil bir hak teşkil ettiği hususu varsayım olarak kabul edilmiştir. Ayrıca kişisel verilerin korunması hakkının bilgi edinme hakkı, bilgi güvenliği ve sır kavramlarıyla da yakıdan ilişkili olduğu, bu kavramların kişisel verilerin korunması kavramının kapsam ve sınırlarının belirlenmesinde büyük önem taşıdığı kabul edilmiş ve tezimizin ilgili bölümleri bu varsayımlar çerçevesinde işlenmiştir. 4 BĐRĐNCĐ BÖLÜM KAVRAMSAL ÇERÇEVE VE TARĐHSEL GELĐŞĐM I. KAVRAMSAL ÇERÇEVE A. Đnsan Hakları Modern dünyanın artık evrenselleşmiş kavramları arasında yer alan ve güncel hayatın olmazsa olmazları arasında kabul edilen insan hakları kavramı üzerinde ortaya atılmış fikirlerin çeşitliliği göz önüne alındığında, kavrama ilişkin belirli ortak bir tanım üzerinde mutabık kalmak mümkün olmamakla beraber, kavram üzerinde getirilen tanımlamaları, kavramın tarihsel gelişimini ve niteliklerini çok kısa bir biçimde ele alacağız. Her şeyden önce ahlaki ve hukuki alanda “hak” kavramı; bir kişi, kurum veya bir şey üzerindeki gerekçelendirilmiş bir iddia ve talebi ifade etmektedir. Prof. Dr. Mustafa ERDOĞAN’a göre hak sahibi kişi, başka insanlar ya da sosyal kurumlar tarafından kendisine belli şekilde davranılmaya hakkı olduğunu iddia eder. Dolayısıyla, her hak iddiası belirli bir somut durumda başkasının özgürlüğüne müdahale edebilmek için ahlaken yetkili olunduğunun kısaltılmış bir formülüdür.1 Kuşkusuz söz konusu müdahale kişinin kendi alanının korunması amacıyla vuku bulacağından, bunun menfi karakterde olduğunu ve başkasının kendi alanındaki özgürlüğünü ortadan kaldırmayacağını ilave etmek gerekir. Temelinde insan onurunun korunmasına yönelik kaygının bulunduğu insan hakları kavramı, bütün insanları kapsar, evrenseldir, tarihten, kültürden ve 1 ekonomiden bağımsız olarak varolur, insanın Mustafa ERDOĞAN, Đnsan Hakları Teorisi ve Hukuku, Ankara, Orion, 2007, s.7-8. kendisiyle 5 yabancılaşmaması için vazgeçemeyeceği ahlaki niteliklerden ibarettir.2 Buna göre kendisinin ve kendi eylemlerinin bir efendisi olması dolayısıyla çeşitli haklara sahip olan insan bir amaçtır; bu nedenle de hakların konusu ve hakların sahibidir.3 Her kişinin insan olmak sıfatıyla sahip olduğu genel bir ahlaki ve hukuki hak olarak insan hakkı, kişinin hak ettiği bir asgari muamele meselesi olması nedeniyle, her insana borçlu olunan ve haklı gerekçeleri bulunan üstün, öncelikli bir iddiadır.4 Bu noktada, insan hakları kavramının kişiyle ilgili her alanda onun ayrılmaz bir parçası olarak devreye girdiğini söylemek yanlış olmayacaktır. Kavram üzerinde çeşitli tanımlamalar yapılmaktadır. BM kaynaklarında insan hakları şöyle tanımlanmaktadır: “Đnsan hakları, bütün şahısların insan olmaları dolayısıyla hür ve haysiyetli yaşamaları için sahip oldukları haklardır. Bu haklar herkese diğer bireylerin davranışlarıyla ilgili ve toplumsal düzenin yapısı üzerinde manevi haklar verir. Bu haklar evrensel, vazgeçilemez ve bölünemezdir.” J.Mourgeon kavramı “insanın diğer şahıslarla ve iktidarla ilişkilerinde ve iktidarla ilişkilerinde bizzat kurallarla düzenlenen imtiyazlardır.”5 şeklinde tanımlayarak kavramın hukuksal yönünü ön plana çıkarmıştır. J. Hersch ise şöyle tanımlar: “Đnsan hakları bireysel haklardır; bu haklar tabii, asıl, mutlak, temel ve şahsidir. Đnsan hakları tabiatın akıl sahibi bir varlık olarak insana verdiği manevi melekeler ve imtiyazlardır.”6 Buradan yola çıkarak insan haklarının toplumsal, siyasal, hukuki ve ahlaki olarak kişinin özgürlük alanının sınırlarını çizen ve adeta onu bu alanda tanımlayan kodlar bütünü olduğunu söylemek mümkündür. 2 Đhsan DAĞI, Necati POLAT, Herkes Đçin Demokrasi ve Đnsan Hakları, Ankara, Liberte, 2004, s.37-38. 3 Vahap COŞKUN, Đnsan Hakları, Ankara, Liberte, 2006, s.4. 4 Đnsan Hakları, Ankara, Matus, 2006, s.18. 5 Jacques MOURGEON (Çeviri: Ayşen EKMEKÇĐ, Alev TÜRKER), Đnsan Hakları, Đletişim, s.9. 6 Mehmet Emin ÇAĞIRAN, Uluslararası Alanda Đnsan Hakları, Ankara, Platin, 2006, s.30. 6 Đnsan hakları anlayışları son tahlilde toplumsal yaşamda çözümlenmesi gereken reel bir soruna cevap getirme hedefi taşır. Bu da bireyin ve grupların devletle ve birbirleriyle etkileşimlerinde toplumsal barışı mümkün kılacak bir hak ve özgürlükler paydası yaratmaktır.7 Devlet karşısında ileri sürülen iddialar olması hasebiyle siyasi nitelik içeren insan hakları kavramı, özünde bazı ahlaki değerlerin korunmasıyla ilgilidir. Yani insan hakları iddiası siyasi bir iddia olarak ortaya çıkmakla beraber, içeriği itibariyle ahlakidir.8 Bununla birlikte, insan hakları mücadelesinin nihai amacı, bu haklara hukuki geçerlilik kazandırılmasıdır. Đnsan hakları hukuken ileri sürülebilir hale getirildiğinde hakları ihlal edenler normal olarak bunlara sahip olmaya devam etmekle beraber insan haklarını değil hukuki hakları ileri süreceklerdir.9 Ahlaki temellere dayalı olarak siyasi alanda vücut bulmuş olmakla beraber, kavramın hukuksal korumadan yoksun bir şekilde salt siyasi söylevlerle bir anlam ifade etmeyeceği açıktır. O halde gerçek anlamda insan haklarından bahsedebilmek için bu konudaki siyasi argümanların hukuksal enstrümanlarla donatılması gereklilik arz etmektedir. Konunun siyasi veçheleri irdelendiğinde insan hakları düşüncesinin insan merkezci ERDOĞAN’a (antropo-centric) göre insan hakları bir düşünce bütün olduğu insanların görülmektedir. vatandaşlığından, milliyetinden, siyasi ve ideolojik mensubiyetinden, değişken sosyo-ekonomik şartlarından, mesleki statüsünden veya yeteneklerinden dolayı değil, sırf insan olduklarından ötürü sahip olduğu haklardır ki, bu durum kişiye insan kişisinin hak ettiği bir asgari muamele meselesi olarak her insana borçlu olunan ve haklı gerekçeleri bulunan üstün öncelikli iddiada bulunma yetkisi 7 DAĞI, a.g.e., s.35. 8 ERDOĞAN, a.g.e., s.20. 9 Jack DONNELLY (Çeviri: Mustafa ERDOĞAN, Levent KORKUT), Teoride ve Uygulamada Đnsan Hakları, Ankara, Yetkin, 1995, s.25. 7 vermektedir.10 Đnsanların irade ve akıl sahibi olmasından mütevellit üstün veya özel vasıfları, ona diğer canlılardan farklılık arz edecek şekilde belirli haklara sahip olma iddia ve talep yetkisi tanımaktadır. Kişilerin insan olmak bakımından eşitliği, maddi-fiziksel donanımları yönünden eşitleştirmek için genel olarak zora başvurulmasını değil, tersine herkesin insan onuruna eşit saygı gösterilmesini gerektirir.11 Bizim de katıldığımız bu görüş esasında insan haklarının eşitlik ilkesi göz ardı edilmemek kaydıyla kişinin özgürlük alanının genişletilmesi imkânını beraberinde getiren önemli bir denge unsuru olduğu varsayımını içermektedir. Konuya hukuksal yönlerden bakıldığında insan haklarının korunması gündeme gelmektedir. Đnsan haklarını korumak kişilerin özgürlük alanını genişletmek yanında devletle ilişkilerinde maruz kalabilecekleri haksızlıkların temelini kurutmak ve haksızlıkların getirdiği maddi ve manevi tahribatı gidermektir.12 Prof. Dr. Şeref ÜNAL’a göre, kişi hak ve özgürlükleri bireye devletçe bağışlanan haklar değil, hukuken devletten önce de var olan haklardır. Devletin görevi ise bu hak ve özgürlükleri güvence altına almak ve kişilerin yararlanmalarını sağlamak üzere gerekli ortam ve şartları hazırlamaktır. Devlet sadece toplumun sürekli değişen yapısı çerçevesinde bu hakların kullanılmasının sınırlarını çizerek çelişki ve çatışmaları önlemek yetkisine sahiptir. Bireyin temel hak ve özgürlüğü ilke olarak hukuken sınırsız, devletin müdahale yetkisi ise ilke olarak kısıtlı, ölçülü ve denetime açıktır.13 Günümüz dünyasında hukuk devleti ilkesinin benimsendiği ülkelerde söz konusu hususlar tartışma götürmeksizin hukuksal düzenlemeler içerisinde yerini almıştır. 10 ERDOĞAN, a.g.e., 21. 11 ERDOĞAN, a.g.e., 23. 12 Matus, a.g.e., s.30. 13 Şeref ÜNAL, Temel Hak ve Özgürlükler ve Đnsan Hakları Hukuku, Ankara, Yetkin, 1997, s.41. 8 Đnsan haklarının özellikleri konusunda çeşitli fikirler ortaya atılmakla beraber asgari düzeyde şu nitelendirmelerin yapıldığı görülmektedir: Bireyin haklarıdır, evrenseldir, doğuştandır, toplum öncesidir, mutlaktır, vazgeçilmezdir, çoğunlukla özgürlük haklarıdır, temel haklardır, esas olarak devlete ileri sürülen iddialardır, daha alt düzeydeki haklarla veya bu hakları yerleştirme mücadelesiyle yakından ilgilidir, siyasi meşruluğun ölçütüdür.14 Kavramın tarihsel gelişimine bakıldığında; insan haklarının savaşımsız bir tarihle bugünlere gelmediği görülmektedir. Tarihin en eski dönemlerinden beri çeşitli mücadelelerde vücut bulmuştur. Örneğin eski Roma’da Spartaküs Köle Ayaklanması görülmüş, ardından kölelik zaman içerisinde kaldırılabilmiştir.15 Bunun gibi mücadeleler sonucunda insanlık tarihi bir takım gelişmeleri sergileyebilmiştir. Prof. Dr. Münci KAPANĐ, insanın sırf insan olmak sıfatıyla doğuştan bazı hak ve hürriyetlere sahip olduğu ve devlet tarafından bunlara dokunulamayacağı yolundaki temel fikrin bir sistem halinde ortaya çıkışının 17. yüzyıla tekabül ettiğini ileri sürmektedir. Buna göre; tabiat hali ve toplum sözleşmesi temel varsayımları üzerine kurulu kişi hakları doktrini, insanların devletten önce ve onun hukukundan üstün bir takım tabii haklara sahip olduğu görüşünü içeren doğal hukuk fikrinden ortaya çıkmıştır. Ancak bunun dışında kişi hak ve hürriyetlerini doğrudan insanın yaradılışı itibariyle irade sahibi, hür ve sorumlu tek gerçek varlık oluşundan ve devletin temel yapıcı unsuru bulunuşundan çıkaran ferdiyetçi doktrin de doğal hukuk ekolünün görüşlerini revizyondan geçirerek bazı eklemelerde bulunmuştur.16 14 ERDOĞAN, a.g.e., s.83-91; COŞKUN, a.g.e., s.19-25; Matus, a.g.e., s.83-91. 15 Mesut GÜLMEZ, “Đnsan Haklarının Tarihsel Gelişimi ve Bugünkü Ulaştığı Nokta”, Farklı Bakış Tarzlarıyla Đnsan Hakları Uygulamaları, Ankara, Emniyet Genel Müdürlüğü APK Daire Başkanlığı, 2000, s. 16 Münci KAPANĐ, Kamu Hürriyetleri, Ankara, Yetkin, 1993, s.30-40. 9 Đnsan hakları modern çağın başlarında bir düşünce olarak doğmuştur. Matus yayınına göre17, bu düşünceyi doğal haklar adı altında ilk dile getiren John Locke’tur. Zamanla ahlaki/felsefi bir ilgi meselesi olmaktan çıkarak, ulusal ve uluslararası belgelerin ve hukuk düzenlerinin konusu haline gelmiştir. Đlk önemli adım 1688 yılındaki Bill of Rights (Haklar Bildirgesi) ile atılmıştır. Ama bu adım 13. yüzyıldaki Manga Carta Libertatum’a kadar geri gider. Daha sora eşit özgürlük ve vazgeçilmez haklar ilkelerine dayanan Virginia Bildirgesi ve 1776’da ilan edilen Amerikan Bağımsızlık Bildirgesi de aynı anlayışa sahip kalmıştır. 1789 Fransız Devrimi ile getirilen Đnsan ve Yurttaş Hakları bildirisi de bir başka gelişmedir. 1948 yılında yayımlanan Đnsan Hakları Evrensel Bildirisi oldukça geniş bir insan hakları listesini içermektedir. Bunu bir çok uluslararası sözleşme izlemiştir. Đnsan hakları terimi özellikle 20’nci yüzyılın ikinci yarısında özerk bir hukuk disiplini çerçevesinde Đnsan Hakları Hukukunun kurumsallaşması sonucunda tarihsel evrimin belli bir aşamasında ortaya çıkmış ve somutlaşmış olup, bir birikimin ürünüdür. Đnsan haklarının evrensel ve mutlak bir nitelik taşımasının ve bir insan hakları standardı oluşmasının 2. Dünya Savaşından sonra çıkan uluslararası sistemin bir ürünü olduğu belirtilebilir.18 Bu bağlamda kavramın politik gayelerle kullanıldığı yönündeki fikirler bugün dahi ciddi anlamda gündeme gelebilmektedir. Tarihsel süreç içerisinde insan haklarıyla ilgili üçlü bir sınıflandırma söz konusudur. Birinci kuşak haklar denilen medeni ve siyasi haklar kişinin haklarını korumaya yöneliktir. Đkinci kuşak denilen ekonomik ve sosyal haklar kişinin isteme hakları olup, devletin bu hakları sağlama görevi bulunmaktadır. Üçüncü kuşak denilen katılma ya da dayanışma hakları da halkların kendi 17 Matus, a.g.e., s.26-29. 18 COŞKUN, a.g.e., s.96-97. 10 geleceklerini kendilerinin belirleyebilme ya da siyasal gücün kullanılmasına katılma yetkisi veren haklardır.19 Đnsan hakları sistemi sürekli gelişim içerisindedir. Kapsamı yeni haklar ve yeni yorumlarla zenginleşip genişlemektedir. Tarihsel gelişim süreci içerisinde insan hakları bireyin temel haklarından başlayarak siyasi, toplumsal, iktisadi ve kültürel faaliyetleriyle ilgili alanlara doğru bir gelişme göstermektedir.20 Đşte günümüz dünyasının vazgeçilmez bir olgusu olarak her geçen zaman diliminde önemini gittikçe artıran insan hakları kavramına ilişkin yaklaşımlar kişisel verilerin korunması ile bununla bağdaşan ve çelişen diğer kavramların ana çatısı olarak tezimizde temel alınacaktır. B. Özel Hayatın Gizliliği Modernleşmeyle birlikte yükselen insan hakları değerleri arasında yer alan özel hayatın gizliliği ilkesi, hem birinci kuşak hak ve özgürlükler arasında, hem de ekonomik ve sosyal haklar arasında değerlendirilebilen bir kavramdır. Kavram üzerinde yapılan tanımlarda mutabakata varılması zor olsa da, hemen herkesçe kabul görmüş tek tanım özel hayatın gizliliğinin kişinin “yalnız kalma hakkı” olduğudur ki, bu da kişilik haklarına karşı istenmeyen müdahalelerin engellenmesi, güven ve sır tutma boyutunu kapsamaktadır.21 Hubmann’a göre kişinin hayat alanı üç kısımdan oluşmaktadır: Kişinin güven duyduğu kimselerle paylaştığı, bunun dışındaki kişilere kapalı olmasını istediği “giz alanı”, kişinin gizli hayatına dahil olmayan fakat ailesi, yakınları ve arkadaşları gibi sıkı ilişkiler içinde olduğu sınırlı sayıda kişilerle paylaşmak 19 Şeref GÖZÜBÜYÜK, Anayasa Hukuku, Ankara, Turhan, 2002, s.36-38.; ÇAĞIRAN, a.g.e., s.166-171. 20 ÇAĞIRAN, a.g.e., s.33. 21 Sultan ÜZELTÜRK, Özel Hayatın Gizliliği Hakkı, Đstanbul, Beta, 2004, s.1. 11 istediği “özel alanı” ve kişinin başkalarının bilmesinden rahatsız olmadığı kamuya açık “ortak alanı”.22 Đşte burada mahremiyet kavramı ile özel yaşamın gizliliği arasındaki ayırım daha belirgin olarak ortaya çıkmaktadır: Mahremiyet kişinin giz ve özel alanını kapsamakta iken, özel yaşam mahremiyeti de içine alan bir üst kavramı ifade etmektedir ve özel yaşamın gizliliği hakkı kişinin mahrem alanının dışındaki kamuya açık alanını da koruma altına almaktadır. Özel hayatın gizliliği hakkının korunması iki temel sebebe dayandırılabilir: Birincisi, çağdaş toplumun artık moral değerlerle kontrol edilemeyen, bireysel hassasiyetleri güçlü ve buna saygı bekleyen, doğrudan insan ilişkileri zayıf olduğu için de başkalarının özelini merak eden bir kitleden oluşmasıdır. Đkincisi, teknolojinin gelişmesi ve bireyin özel hayatına müdahale edebilecek araçların hızla yayılmasıdır.23 Bu nedenle kişinin sosyal, siyasal, dini, kültürel yahut ekonomik alanına yapılacak olası tecavüzlerin önüne geçilebilmesi amacıyla özel hayatın gizliliği hakkı başlıca bir insan hakkı olarak korumaya tabi tutulmaktadır. Prof. Dr. Oya ARASLI bir hak olarak özel yaşamın gizliliğinin üç felsefi temele dayandığını ileri sürmektedir:24 Birincisi özgürlük kavramının alt yapısını oluşturan bireysel özerklik olup, kişinin tercih etme hakkının şartlarının oluşturulması açısından müdahaleden uzak tutulmalıdır. Đkincisi fayda düşüncesi olup, devlet bireyin özel yaşamına müdahale etmediğinde kişi daha mutlu hissedecektir. Üçüncüsü ise, kişinin “zihinsel ve duygusal güvenliği” olarak adlandırılan ve bireyin bağımsızlığı ve onuruna ilişkin alanı anlatan bir süreci kapsamaktadır. Bu bağlamda kişilerin başkasının özel hayatını takdir veya tasvip etme bile, onun hayatını kendi istediği gibi düzenleme ve yaşama hakkına sahip olduğu kabul ederek ona müdahale 22 Serap HELVACI, Türk ve Đsviçre Hukuklarında Kişilik Hakkını Koruyucu Davalar, Đstanbul, Beta, 2001, s.62. 23 24 ÜZELTÜRK, a.g.e., s.6. Oya ARASLI, Özel Yaşamın Gizliliği Hakkı ve T.C. Anayasasında Düzenlenişi, Ankara, (Yayımlanmamış Doçentlik Tezi), 1979, s.24. 12 etmeme hukuki yükümlülüğü altında bulunduğu25 söylenebilir. Bireyin izlenmesi ve izni olmadan hakkında kişisel veri toplanmasının yarattığı ahlaki, toplumsal, siyasi ve hukuki sakınca bu felsefi dayanak içerisinde değerlendirilebilir. Tüm temel hak ve özgürlükler gibi özel hayatın gizliliği de evrensel bir olgu olmakla beraber sınırsız değildir. Eksiksiz olmamakla birlikte genel kabul görmeyi başarabilmiş şu ifade, özgürlüklerin sınırlandırılmasıyla ilgili olarak durumu çok güzel izah etmektedir: “Özgürlük kollarını iki yana sallamaksa, bu başkasının burnunun başladığı yerde sona erer.” Özel hayatın gizliliği hakkı da bu bağlamda, millî güvenlik, kamu düzeni, suç işlenmesinin önlenmesi, genel sağlık ve genel ahlâkın korunması veya başkalarının hak ve özgürlüklerinin korunması gibi amaçlarla sınırlandırılabilecektir. Özel hayatın koruma alanı üç konuda gizliliğin sınırlanmasına yol açma eğilimi göstermektedir:26 Birincisi vatandaşın refahı için devletin sorumluluk üstlenmesidir. Mesela, vatandaşa kamu hizmeti sunulabilmesi için belirli bilgilerin kamu kurumlarınca tutulması gerekliliği böyle bir durumu anlatmaktadır. Đkincisi, belli kurumların ve mesleki oluşumların meslek üyelerini düzenlemek ve hizmet alanların haklarını korumak amacıyla bilgiye ihtiyaç duymaktadır. Üçüncüsü, ifade özgürlüğündeki kamu yararı özel hayata bir sınır oluşturabilmektedir. Zira özel hayatın gizliliği ile ifade özgürlüğü birbiriyle zaman zaman çelişkiye girebilen hak ve özgürlük alanlarını teşkil etmektedir.27 Bunun gibi, bilgi edinme hakkı ile özel hayatın gizliliği hakkı arasında da ince bir çizgi bulunmaktadır. Đşte hukuksal düzenlemeler bu kavramlar üzerinde çeşitli sınırlamalar getirmek suretiyle 25 ERDOĞAN, a.g.e., s.153. 26 ÜZELTÜRK, a.g.e., s.10. 27 Cavidan SOYKAN, “Avrupa Đnsan Hakları Mahkemesi Đçtihatlarında Bilgi Edinme Hakkı: Özel Hayatın Gizliliği X Đfade Özgürlüğü”, Ankara Üniversitesi Siyasal Bilgiler Fakültesi Đnsan Hakları Merkezi Çalışma Metinleri, Ankara, 2006, s.4. 13 insan haklarının sağlanmasında optimum dengenin kurulmasını amaçlamaktadır. Özel hayatın gizliliği hakkı Đnsan Hakları Evrensel Beyannamesi, Avrupa Đnsan Hakları Sözleşmesi, Avrupa Birliği Temel Haklar Şartı ile Anayasamızda ve çeşitli genel ve özel kanunlarda düzenlenmiştir. Đnsan Hakları Evrensel Beyannamesi28’nin 12’nci maddesinde, “Kimsenin özel yaşamına, ailesine konutuna ya da haberleşmesine keyfi olarak müdahale edilemez, şeref ve adına saldırılamaz. Herkesin bu gibi müdahale ve saldırılara karşı yasa tarafından korunmaya hakkı vardır.” ibaresi; Avrupa Đnsan Hakları Sözleşmesi29’nin “Özel hayatın ve aile hayatının korunması” başlıklı 8’inci maddesinde, “Herkes özel ve aile hayatına, konutuna ve haberleşmesine saygı gösterilmesi hakkına sahiptir. Bu hakkın kullanılmasına bir kamu otoritesinin müdahalesi, ancak ulusal güvenlik, kamu emniyeti, ülkenin ekonomik refahı, dirlik ve düzenin korunması, suç işlenmesinin önlenmesi, sağlığın veya ahlakın veya başkalarının hak ve özgürlüklerinin korunması için, demokratik bir toplumda, zorunlu olan ölçüde ve yasayla öngörülmüş olmak koşuluyla söz konusu olabilir.” ibaresi; Avrupa Birliği Temel Haklar Şartı30’nın “Özel hayata ve aile hayatına saygı” başlıklı 7’nci maddesinde, “Herkes, özel hayatına, aile hayatına, konutuna ve haberleşme özgürlüğüne saygı gösterilmesini isteme hakkına sahiptir.” ibaresi yer almıştır. 28 Birleşmiş Milletler Genel Kurulu'nun 10 Aralık 1948 tarih ve 217 A (III) sayılı Kararıyla ilan edilmiştir. Türkiye’de 27 Mayıs 1949 tarih ve 7217 sayılı Resmi Gazete'de yayımlanarak onaylanmıştır. 29 20 Mart 1950'de Roma'da imzalanan Sözleşme, 3 Eylül 1952'de yürürlüğe girmiştir. Türkiye’de 19 Mart 1954 tarih ve 8662 sayılı Resmi Gazete'de yayımlanarak onaylanmıştır. 30 AB vatandaşlarının temel haklarını ve AB'nin vatandaşlarına karşı sorumluluklarını düzenleyen Temel Haklar Şartı, 13-14 Ekim 2000'de Fransa'nın Biarritz kentinde gerçekleşen AB zirvesinde devlet ve hükümet başkanlarının bilgisine sunulmuş ve kabul görmüş, 7-8 Aralık'taki "Nice Zirvesi"nde onaylanmıştır. 14 1982 Anayasasının31 “Özel hayatın gizliliği ve korunması” başlığı altında 20’nci maddede özel hayatın gizliliği, 21’inci maddede konut dokunulmazlığı, 22’nci maddede haberleşme hürriyeti düzenlenmiştir. “Özel hayatın gizliliği” başlıklı 20’nci maddede; “Herkes, özel hayatına ve aile hayatına saygı gösterilmesini isteme hakkına sahiptir. Özel hayatın ve aile hayatının gizliliğine dokunulamaz. Millî güvenlik, kamu düzeni, suç işlenmesinin önlenmesi, genel sağlık ve genel ahlâkın korunması veya başkalarının hak ve özgürlüklerinin korunması sebeplerinden biri veya birkaçına bağlı olarak, usulüne göre verilmiş hâkim kararı olmadıkça; yine bu sebeplere bağlı olarak gecikmesinde sakınca bulunan hallerde de kanunla yetkili kılınmış merciin yazılı emri bulunmadıkça; kimsenin üstü, özel kâğıtları ve eşyası aranamaz ve bunlara el konulamaz. Yetkili merciin kararı yirmidört saat içinde görevli hâkimin onayına sunulur. Hâkim, kararını el koymadan itibaren kırksekiz saat içinde açıklar; aksi halde, el koyma kendiliğinden kalkar.” ifadesine yer verilerek özel hayatın gizliliği hakkın kişinin hakları ve ödevleri bölümünde garanti altına alınması sağlanmıştır. Diğer taraftan, 5237 sayılı Türk Ceza Kanunu32’nun “Özel Hayata ve Hayatın Gizli Alanına Karşı Suçlar” başlıklı 9’uncu bölümü 132-140’ıncı maddeler arasında; haberleşmenin gizliliğini ihlal, kişiler arasındaki konuşmaların dinlenmesi ve kayda alınması, özel hayatın gizliliğini ihlal, kişisel verilerin kaydedilmesi, verileri hukuka aykırı olarak verme veya ele geçirme, verileri yok etmeme, vd. başlıkları altında özel hayatın gizliliğine dair düzenlemelere yer verilmiştir. Özel hayatın gizliliği hakkı, devlet ile birey arasındaki ilişkiler açısından “dikey ilişkilerde” ve birey-birey ilişkileri açısından “yatay ilişkilerde” özel hayata yapılan müdahale ve ihlallere karşı kişinin korunması olarak 31 32 09.11.1982 tarih ve 17863 Mükerrer sayılı Resmî Gazete’de yayımlanmıştır. 12.10.2004 tarih ve 25611 sayılı Resmi Gazete’de yayımlanmış, 01.06.2005 tarihinde yürürlüğe girmiştir. 15 nitelendirilebilir. Dikey ilişkilerde konut dokunulmazlığı, sebepsiz arama, izleme, haberleşmeye müdahale, davranışları, ilişkileri, tercihleri ve yaşam tarzları gibi özel kararlara devletin müdahalesi gibi durumlarda; yatay ilişkilerde ise haksız fiil hukuku çerçevesinde kişiler arasındaki uyuşmazlıklarda ortaya çıkmaktadır.33 Birey-birey ilişkilerini içeren konular çalışmamızda göz ardı edilecek ve kavram devlet-birey ilişkileri çerçevesinde, dolayısıyla kamu hukuku boyutuyla ele alınacaktır. Devletin güvenliğini koruma ile bireylerin özel yaşamını koruma arasındaki çatışma yeni olmamakla beraber, teknolojinin devlete bireyler hakkındaki özel bilgilere eskisinden daha fazla erişme imkânını sağlaması bu çatışmayı elzem bir şekilde gündeme taşımıştır. Gittikçe artan miktarda hassas bireysel, tıbbi ve ticari veriler gibi kişisel veriler toplanmakta, işlenmekte ve ulusal sınırları aşan şebekeler yoluyla el değiştirmektedir. Bilginin dijitalizasyonu hükümetlere ve özel sektöre ilgili bireylerin bilgi ve rızası olmadan bile, yurttaşlara ait bireysel verilere sahip olma, bunları işleme, denetleme, kullanma ve değiş tokuş yapma konusunda eskisinden daha çok imkân sağlamaktadır. Bu, bilgi mahremiyetinin bir istismarıdır.34 Đşte, bireye ait kişisel verilerin devlet ya da özel-tüzel kişiler tarafından tutulması, kaydedilmesi, işlenmesi, çeşitli amaçlarla kullanılması, üçüncü kişilere ifşa edilmesi vb. işlem ve eylemlerin temel hak ve hürriyetlere ve özel hayatın gizliliğine yapılan bir müdahale olduğu kuşkusuzdur. Bireyin bu tür durumlarda özel hayatına yapılan müdahale ve haksız fiillere karşı korunması, genelde özel hayatın gizliliği hakkının, özelde ise kişisel verilerin korunması hakkının doğal bir sonucudur. Ancak eklemek gerekir ki, özel hayatın gizliliği kişisel verilerin korunmasının yanı sıra, konut dokunulmazlığı ve haberleşme hürriyeti gibi temel hakları da kapsamaktadır. Tezimizde üst 33 34 ÜZELTÜRK, a.g.e., s.5. Mehmet Niyazi TANILIR, Đnternet Suçları Đle Mücadele Ederken Bireysel Mahremiyetin Korunması: Hükümetlerin Đkilemi, Middlesex Üniversitesi, Londra, 2000, Erişim: http://w3.icisleri.gov.tr/ortak_icerik/w3.icisleri/tezler_internetsuclari.doc 05.10.2009, s.13. 16 bir kavram olarak özel hayatın gizliliği, kişisel verilerin korunması bağlamında işlenecektir. C. Kişisel Verilerin Korunması 1. Kişisel Veri Kişisel verilerin korunması hakkını anlayabilmek için öncelikle “kişisel veri” (personal data) kavramını tanımlamak gereklidir. Kavramının tanımlanmasında uluslararası belgelerin hemen hemen tümünde mutabakata varılmış tanım; kişisel verinin doğrudan doğruya ya da dolaylı olarak bir gerçek kişi ile ilintili olabilecek ve onu belirlenebilir kılacak her türlü bilgi olduğudur. Nilgün BAŞALP’e göre35; bir kişinin belirlenebilir kılınması, verilerin doğrudan ya da dolaylı olarak bir gerçek kişiyle ilişkilendirilmesi suretiyle kişinin tanımlanabilmesi, yani şahsın o şahıs olduğunu ortaya çıkarılabilmesi özelliğini ifade eder. Örneğin verilerin bir kimlik numarasıyla ilişkilendirilmesi ya da kişinin psişik, psikolojik, fiziksel, ekonomik, kültürel veya sosyal kimliğini ifade eden, sağlık, genetik, etnik, dini, ailevi ve siyasi bilgilerinin bir ya da birden fazla unsuruna dayanarak tanımlanabilen gerçek ve/veya tüzel kişilere ilişkin herhangi bir bilgi kişisel veriyi göstermektedir. Başka bir ifade ile isim, telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, ses, parmak izleri, genetik bilgiler gibi spesifik bir içerik taşıyan veriler ile dolaylı olarak kişiyi belirlenebilir kılan kriterlerin kombinasyonu (yaş, meslek, medeni durum, adres vb.) olan veriler kişisel veri kapsamında ele alınabilir. Kişilerin ırk, siyasî düşünce, felsefî inanç, din, mezhep veya diğer inançları; dernek, vakıf ve sendika üyeliği, sağlık ve özel yaşamları ve hür 35 Nilgün BAŞALP, Kişilik Hakkının Korunması Sorunu Çerçevesinde Kişisel Verilerin Korunması ve Saklanması, Đstanbul, (Yüksek Lisans Tezi), 2003, s.16. 17 türlü mahkûmiyetleri vb. ile ilgili kişisel veriler “özel niteliği olan” ya da “hassas” kişisel veriler olarak adlandırılmakta olup, genel kabul gören yaklaşıma göre bu verilerin kural olarak işlenmesi yasaktır. Ancak istisnai olarak, kamu yararının gerektirmesi, kişinin rızasının alınması vb. bazı hallerde bu verilerin işlenmesine izin verilebilmektedir. Verinin belirli ilişkilendirilemeyecek veya veya kimliği kaynağı belirlenebilir bir belirlenemeyecek gerçek hale kişiyle getirilmesi sonucunda ortaya çıkan bilgiye “anonim veri” adı verilmektedir. Karşımıza istatistik, araştırma, planlama vb. amaçlarla tutulan ve herhangi bir kişiyi belirtmekten ziyade kitlesel bilgi yığını olarak çıkan bu tür veriler, ilgili kişilerle ilişkilendirilmeleri mümkün olmadığından kişisel veri sayılmamaktadır. Zira verinin sahibi ile veri arasındaki illiyet bağı kopmuş olduğundan, bu tür veriler üzerinde yapılan herhangi bir işlem kişi hak ve hürriyetlerinin ihlali sonucunu da doğurmayacaktır. 2. Kişisel Verilerin Đşlenmesi Kişisel verilerin korunması hakkından bahsedebilmek için, öncelikle yukarıda tanımı verilen kişisel verilerin bir takım işlemlere tabi tutulması gerekmektedir. BAŞALP’e göre36; kişisel verilerin toplanması, elde edilmesi, kaydedilmesi, organize edilmesi, saklanması, değiştirilmesi, uyarlanması, birleştirilmesi, açıklanması, düzenlenmesi, erişilebilir hale okunması, getirilmesi, sorulması, transfer yoluyla kullanılması, başkalarına verilmesi, yayılması ya da hazır bulundurulması için yapılan işlemlerin yanı sıra verilerin kombinasyonu ya da ilişkilendirilmesi ve hatta bloke edilmesi, silinmesi ya da yok edilmesi suretiyle gerçekleştirilen her türlü işlem ya da işlemler bütünü kişisel verilerin işlenmesi tanımı kapsamında değerlendirilebilir. Đşleme, otomatik ya da otomatik olmayan prosedür yoluyla geçekleştirilen kişisel verilerle ilintili olabilecek her türlü süreci içebilir. 36 BAŞALP, a.g.e., s.15-16. 18 Otomatik işlemeden kasıt, verilerin otomasyon sistemlerinin kullanıldığı yöntemlerle, örneğin bilgisayar eliyle işlenmesidir. Bu sayede verilerin toplanmasından başlayarak geçtiği tüm aşamaları kapsayan bütün işlem türleri koruma altına alınmaktadır. Tanımdan da anlaşıldığı üzere, verilerin işlenmesi otomatik bir prosedüre bağlı değildir. Örneğin sorumlunun ister kağıt üzerinden ister ekran üzerinden okuması işlem tanımı içinde yer alır. Kişinin kendisi için tuttuğu özel kayıtlar ise kişisel verilerin işlenmesi olarak nitelendirilemeyecektir. Örneğin kişinin bilgisayarında tuttuğu adres defterleri vb. kişisel ya da ailevi nitelikteki ilişkiler sonucu tutulan kayıtlar bu kapsamda ele alınamayacaktır. Tabii ki bu bilgiler mesleki ve ticari faaliyetler dahilinde işlenen kişisel verilerden ayrı olarak değerlendirilmeli ve bu tür verilerin belirsiz sayıda kişinin erişimine açık tutulması hali de hariç tutularak kişisel veri olarak düşünülmelidir.37 3. Kişisel Verilerin Korunması Teknolojideki gelişmeler paralelinde bilgi işlem sistemlerinde adeta çağ atlatan dev adımların atılmasıyla kişilere ait birçok veri de elektronik ortamda kolaylıkla tutulabilir ve başkalarına aktarılabilir hale gelmiştir. 1953 yılında IBM'in IBM 701 modeliyle başlayan elektronik veri işletim sistemleri, 1983’te geliştirilen ilk veri bankalarından günümüz devasa veri işletim sistemlerine ulaşılmasında ilk adımı oluşturmuştur. Banka ve sigorta şirketleri gibi geniş bir hizmet ağına ve müşteri portföyüne sahip kuruluşlar tarafından tercih edilen ana işlemciler (mainframes) ile birçok işlemci aracılığıyla bir ana işlemci üzerinden farklı işlemlerin aynı anda gerçekleştirilebilmesi olanağına sahip olunmuş, bu kapsamda örneğin bir bankanın ana işlemcisinin hesap sahiplerinin otomatik ödeme emirleri neticesinde faturalarını ödemesi ya da internet üzerinden müşterilerin “online” ya da “sanal” para transferi emirlerinin eşzamanlı olarak yerine getirilmesi 37 BAŞALP, a.g.e., s.17. 19 mümkün hale gelmiştir. Enformasyon teknolojisinin bu hızlı gelişimi kişisel verilerin işlenmesi ihtiyacını kaçınılmaz bir olgu olarak karşımıza çıkarmıştır. Özellikle veri transfer yollarının çeşitlenmesiyle zamanla yarışır hızda gerçekleştirilen transferler, kişisel verilerin hem ulusal hem de uluslararası alanda değiş-tokuşunu tehlikeli boyutlarda artırmıştır.38 Sadece sahibini ilgilendiren ve onun özel hayatının bir parçasını oluşturan söz konusu verilerin işlenmesinde kişinin dokunulmazlığı, maddi ve manevi varlığı ile temel hak ve özgürlükleri korumak amacıyla çeşitli koruma önlemleri alınması ve kişisel verileri işleyen gerçek ve tüzel kişilerin uyacakları esas ve usullerin belirlenmesi, en yüksek değer olarak bireyi kabul eden siyasal söylev ve modern hukuk düzeninin bir amacı olarak belirmiş ve “kişisel verilerin korunması” kavramını ortaya çıkarmıştır. Diğer insan hakları objeleri gibi kişisel verilerin korunması hakkı da temelde insan onurunu merkez alan ahlaki amaçlara dayalı siyasi düşünce içerisinde filizlenerek günümüz doktrini içerisinde yer edinmeye başlamıştır. Ancak elbette hukuksal koruma olmaksızın salt siyasal söylevlerle böyle bir hakkın kalıcılığını sağlaması mümkün değildir. Bu nedenle konuya ilişkin hukuki bakış açısının oturtulması ve düzenlemelerin yapılması büyük önem taşımaktadır. Bireyin kişisel verileri üzerindeki korunma hakkı, kamusal organların kişisel veri ihtiyacının karşılanmasına yönelik faaliyetleri karşısında, bireyi veri işlem faaliyetlerinin basit bir objesi haline gelmekten, özel yaşam ilişkilerinin bütün yönlerine ait verileriyle kamusal iktidar tarafından bilinen, kişilik profili çıkartılabilmesi mümkün olan, özel yaşamında ne zaman, nerede ne yaptığı veya yapabileceği bilinen ve bu suretle Anayasada ve uluslararası belgelerde garanti edilen özel yaşamının gizliliği hakkı ortadan kaldırılmış ve kişiliği içerisine sıkıştırılmış şeffaf bir insan tipi haline dönüşmekten korumaya 38 BAŞALP, a.g.e., s.4. 20 hizmet etmektedir.39 Çünkü bu bilgilerin hukuken belirlenmiş sınırlar haricinde kullanılması hatta kimi zaman yalnızca bulunması dahi kişinin mağdur olmasına neden olabilecektir. Kişisel verilerin korunması; söz konusu bilgilerin toplanması, elde edilmesi, kaydedilmesi, değiştirilmesi, düzenlenmesi, değerlendirilmesi, depolanması, kullanılması, uyarlanması, açıklanması, aktarılması, ayrılması, birleştirilmesi, dondurulması, silinmesi veya yok edilmesi gibi işlemlerin belirlenen bir takım ilkeler doğrultusunda yerine getirilmesi ve gerekli bilgiye gerekli yetkiye sahip kişilerin belirli amaçlarla ulaşması, bu bilgileri kullanması ve bu bilgileri paylaşmasında uyacağı temel sınırlılıkları düzenleyen usul ve esasların geliştirilmesi anlamını taşımaktadır. Bu koruma ayrıca kendisine ait bilgilerle ilgili olarak yasaların getirdiği koruma önlemlerinin ihlal edilmesi halinde bu ihlali yapan kurum veya kişiler aleyhine tazminat veya ceza davası da açmak hakkını da içermektedir.40 Zira söz konusu ihlal başlı başına insan haklarının ihlal edilmesi anlamına gelmektedir. Çeşitli düzenleme ve uygulamalarda tüzel kişiler hakkında tutulan verilerin kişisel verilerin korunması kapsamında değerlendirilip değerlendirilmeyeceği hususu değişiklik arz etmektedir. Genel olarak bu verilerle bir gerçek kişiye ulaşmak olanak dahilindeyse bu verilerin kişisel veri olarak değerlendirilmesi yoluna gidilmektedir. Örneğin, bir gerçek kişinin belirli bir şirketin yönetim kurulu üyelerinden biri olması bilgisi dahi o gerçek kişiye ulaşma imkanı verdiğinden bu kapsamda ele alınabilir. Ancak 39 Oğuz ŞĐMŞEK, "4422 Sayılı Suç Örgütleriyle Mücadele Kanununu ve Kanunun 4. Maddesine Göre ‘Kayıt ve Verilerin Đncelenmesi’ ve Kişisel Nitelikli Verilerin Korunması", Đzmir Barosu Dergisi, Sayı:1, 2001, Erişim: http://web.deu.edu.tr/ab/MAKALE/deu%20MAK/0012.htm, 05.10.2009. 40 Mehmet DOĞAN, “Kişisel Verilerin Korunmasında AB Standartları ve Türkiye’nin Durumu”, EGM Asayiş Dairesi Başkanlığı, Erişim: http://www.egm.gov.tr/egitim/dergi/eskisayi/35_sayi/yeni/web/makaleler/Mehmet_DOGAN.htm, 05.10.2009. 21 doğrudan doğruya tüzel kişiler hakkında tutulan kayıtları da veri koruması içinde kabul eden düzenlemeler de mevcuttur. Kişisel verilerin korunmasının kapsamı konusunda farklı düzenlemelerde farklı uygulamalara gidilse de, genellikle özel sektörün yanı sıra kamu sektörünce tutulan bilgilerin de bu kapsama dahil edilmesi gerektiği yönünde bir uygulama söz konusudur. Kamu sektörü hükümet ve idari birimleriyle parlamentoya karşı sorumlu olduğundan ve parlamento tarafından denetlendiğinden, özel sektöre nispeten ihlal tehlikesinin burada daha az olduğu sonucuna gidilebilir. Diğer taraftan, bugün özel sektörün elinde bulunan bazı bilgilerin, kamunun sahip olduğundan daha fazla düzeyde olduğu görülmektedir. Örneğin bankacılık sisteminin sahip olduğu bilgilere banka sırrı nedeniyle kamu otoriteleri çoğu kez sahip olamamaktadır. Bu gibi nedenlerle ulusal düzenlemelerde öncelikli olarak özel sektörün düzenlenmesi yoluna gidilmiştir.41 Ancak elbette ki kişi hakkında nüfus, vergi, adli sicil, sağlık, vb. bilgilerin sicil kayıtlarını tutan devlet organlarının sahip olduğu kişisel verilerin miktarı çoğu kez nicelik ve nitelik olarak daha fazla düzeyde olup, bu verilerin kanuni yetki olmaksızın kullanılması çeşitli hak ihlallerini doğurabilecektir. Bu nedenle, ulusal düzenlemelerde işleyenin kimliğinden bağımsız olarak herkes için veri koruması mantalitesi hakim olmuş, kamu sektörü-özel sektör şeklindeki yerleşik ayrımdan uzaklaşılarak her iki sektör de düzenlemelere dahil edilmiştir. Kişisel verilerin korunması daha önce özel hayatın gizliliği hakkı içerisinde koruma altına alınmışken, teknolojideki ve kişi hak ve özgürlüklerindeki gelişmeler paralelinde doğrudan doğruya uluslararası anlaşmalara da konu edilir hale gelmiştir. Đleride “Kişisel Verilerin Korunması Hakkının Tarihi Gelişimi” kısmında detaylı olarak anlatılacağı üzere, konuyla ilgili çeşitli uluslararası düzenlemelerde hükümler getirilmiştir. Ayrıca 41 BAŞALP, a.g.e., s.18. 22 ülkemizde de Kişisel Verilerin Korunması Kanunu Tasarısı42 halinde yasalaşmayı bekleyen bir metin üzerinde çalışmalar sürdürülmektedir. Başta internet olmak üzere bilişim ve iletişim teknolojilerinin adeta birbiriyle birleşmesi şeklinde ortaya çıkan gelişmeler, kişisel verilerin korunması hakkının alanını genişletmiş ve önemini çok artırmıştır. Gerçekten bu gelişmeler, istihdam, istatistik, bankacılık, sosyal güvenlik, sağlık, sigortacılık, pazarlama, elektronik haberleşme, e-iş ve e-ticaret gibi alanlarda düzenlenmekte olan kişisel veriler için özel kural ve ilkeler konulmasını gerektirecek boyutlara erişmiştir. Bu süre içinde konuya ilişkin gereksinimler çeşitli ulusal ve uluslararası forumlarda tartışılmış, çeşitli ulusal ve uluslararası belgeler hazırlanmıştır. Bu gün, bir çok ülkede konuyu genel olarak ele alan Kişisel Verilerin Korunması Hakkında Kanun başlığını taşıyan yasalar yanında yukarıda sayılan alanların her birinde kişisel verilerin korunması için özel düzenlemeler de yapılmış bulunmaktadır. Diğer taraftan, tıp, hukuk gibi meslek ve bankacılık, sigortacılık, e-ticaret gibi iş dallarında kişisel verilerin korunması, kanunların ve hukuk kurumlarının sağladığı korumadan ayrı olarak, etik bir açı da kazanmış bulunmaktadır. Birçok meslek ve iş örgütü bu konudaki etik ilke ve kurallarını yazılı hale getirmişler, birçok mesleki veya ticari firma da genel mevzuat yanında konu hakkında uymakta oldukları veya uymayı taahhüt ettikleri kendi özel ilke ve kuralları da müşterilerine ve kamuya duyurur olmuşlardır. Bununla beraber, Avrupa Konseyi tarafından kabul edilen bu Sözleşme, bağlayıcı tek uluslararası belge olma niteliğini hala korumaktadır.43 Çok uzak olmayan bir gelecekte, süper elektronik otoyolların devreye girmesi ile, kişisel verilerin seller halinde kurumdan kuruma, ülkeden ülkeye 42 Tasarı halen Türkiye Büyük Millet Meclisinde bulunmaktadır. (Sevk Tarihi: 22.04.2008) Tasarı ve gerekçesi için bkz.: http://www2.tbmm.gov.tr/d23/1/1-0576.pdf, 05.10.2009. 43 Necdet KESMEZ, “Kişisel Verilerin Korunması Üzerine”, Bilişim Şurası, Erişim: http://bilisimsurasi.org.tr/listeler/tbs-hukuk/Mar/att-0044/01K___SEL_VER_LER_N_KORUNMASI.doc, 05.10.2009, s.3. 23 aktarılmaya başlanacağını, korunacak alanların daha da genişleyeceğini düşünürsek, kişisel verilerin korunmasının çok güçleşeceğini ve bu paralelde de güncel ve hayati bir konu olarak yaşamımızda yerini alacağını söyleyebiliriz.44 Bu bakımdan gerek bu hakkı koruma altına alan yasal ve etik belgelerin ve gerekse bu belgelerde belirlenen ilke ve kuralların uygulanması ile ilgili mekanizmaların yeniden gözden geçirilme ihtiyacı sürekli olarak ortaya çıkacaktır. Nihayetinde bilişim sektöründeki ilerleme sonrasında filizlenip toplumsal yaşamda henüz yerini alan kişisel verilerin korunması kavramı bir çok gelişme sürecine girecek ve hukuk devleti ilkesinin bir gereği olarak yerini sağlamlaştıracaktır. 4. Bilgi Güvenliği Kişisel verilerin korunması ile ilgili çalışmalar açısından bilgi güvenliği kavramına değinmekte fayda bulunmaktadır. Zira genellikle birbiriyle karıştırılan bu iki kavram adeta bir madalyonun iki yüzünü oluşturmaktadır. Ancak kişisel verilerin korunması kavramının bu konudaki bilgi güvenliğini de kapsadığını söylemek yanlış olmayacaktır. Aradaki fark ise bilgi güvenliğinin kişisel verinin kendisinin korunması amacına yönelik olması, kişisel verilerin korunmasının ise söz konusu verinin sahibi olan bireyin temel hak ve hürriyetlerinin ve özel alanının hukuksal açıdan korunması amacına yönelik olmasıdır.45 Ancak nihayetinde kişisel verilerin korunabilmesi için öncelikle söz konusu verinin güvenliğinin sağlanması gerekmektedir. Bilgi güvenliği elektronik ortamdaki verilerin gizliliğinin ve bütünlüğünün teknik olanaklar vasıtasıyla korunması ve sadece yetkili kişilerce kullanımının sağlanmasını ifade etmektedir. Kavramdan genellikle sadece bilginin gizliliği ve şifrelenmesi anlaşılsa da, bilgi güvenliği bu verilere erişim kontrolü ve verilerin değiştirilmesinin önlenmesini de içermektedir. Bilgi 44 KESMEZ, a.g.m., s.7. 45 Oğuz ŞĐMŞEK, Anayasa Hukukunda Kişisel Verilerin Korunması, Đstanbul, Beta, 2008, s.95. 24 güvenliği teknolojisi de bu gizlilik ve bütünlüğün sağlanması için geliştirilen teknolojiler olarak karşımıza çıkmaktadır.46 O halde, kişisel verilerin bilgi işlem teknolojisinin sağladığı enstrümanlar vasıtasıyla fiziksel ve daha ziyade elektronik olarak korunması bilgi güvenliği ile mümkün olabilecektir. Bilişim teknolojisindeki gelişimle birlikte artan saldırılar amaçları açısından iki ana bölümde incelenebilir:47 Bunlardan birincisi kişisel bilgilerin ele geçirilerek elektronik ortamda yapılan bankacılık, e-ticaret vb. alanlarda başkasının adına sahte işlemler yapılmasıdır. Đkincisi ise, bu illegal işlemlerin yanı sıra, kişilere ait özel bilgilerin kişilerin izni olmadan çeşitli ortamlarda açığa vurulmasıdır. Đşte birinci gruba giren saldırılar bilgi güvenliğine ilişkin olup, bu saldırılara karşı teknik ve prosedürel yaklaşımlar kullanılarak karşı önlemler geliştirilebilmekte olup, yasalarla da desteklenmesi büyük önem arz etmektedir. Đkinci gruba ait ihlaller ise kişisel verilerin korunması ve gizliliğinin sağlanması konusunu içermektedir. “Kurumsal bilgi güvenliği” olarak bilinen ISO/IEC 17799 standardının “Verinin Korunması ve Kişisel Bilgilerin Gizliliği” başlıklı 12’nci maddesinde kişisel verilerin korunması konusunda bir düzenleme yer almaktadır. 48 Standardın ölçeklenebilirliği dikkate alındığında bu koruma ilkeleri kişi ve kurumlara kadar büyük bir yelpazede ele alınabilmektedir. Buna göre, tüm dünyada kabul edilen yaygın bir yaklaşımla bilgi güvenliğinin sağlanabilmesi için aşağıdaki şartların yerine getirilmesi gerekmektedir: Gizlilik: Önemli ve hassas bilgilerin istenmeyen biçimde yetkisiz kişilerin eline geçmesi önlenmelidir ve sadece erişim yetkisi verilmiş kişilerce erişilebilir olduğu garanti altına alınmalıdır. 46 “Bilgi Güvenliği”, Erişim: www.kurumsalsistem.net/index.php, 05.10.2009. 47 Eren ERSOY, “Gizlilik, Bireysel Haklar, Kişisel Verilerin Korunması”, Telekomünikasyon Kurumu, Erişim: http://ab.org.tr/ab06/bildiri/6.doc, 05.10.2009, s.2. 48 http://www.iso.org/iso/en/prods-services/popstds/informationsecurity.html, 05.10.2009. 25 Bütünlük: Bilginin sahibi dışındaki kişilerce değiştirilmesinin ve silinmesinin önlenmesi gerekmektedir. Sürekli Kullanılabilirlik: Bilgi veya bilgi sistemleri sürekli kullanıma hazır ve kesintisiz çalışır durumda olmalıdır. Doğrulama: Kullanıcı kimliğinin doğrulanması gerekmektedir. Araştırmalar göstermektedir ki;49 sadece teknolojik önlemlerle (virüsleri tespit eden yazılımlar, güvenlik duvarı sistemleri, kriptolama vb.) iş süreçlerinde yukarıda belirtilen maddeleri içeren bilgi güvenliğinin tam olarak sağlanması mümkün olamamaktadır. Bilgi güvenliği bir iş anlayışı, yönetim ve kişisel/kurumsal kültür açısından bir bütün olarak ele alınmalıdır. Diğer taraftan, bilgi ekonomisi ürün ve hizmetlerinin yöneldiği tüketicilere de kişisel verilerin korunması mekanizmalarının etkin kılınması suretiyle gerekli hukuksal güvenceler tanınmalıdır. Kişisel verilerin gerek özel sektör gerekse de kamu kesimi tarafından işlenmesinde belirli standartların, ilke ve kuralların getirilmesi, hem dijital çağda mahremiyeti sağlayacak etkin bir hukuksal korunmanın kapısını aralayacak, hem de tüketicilerin elektronik ortamda güvenle işlem yapmalarının elektronik imzanın yanı sıra bir diğer güvencesi olacaktır. Spam, veri madenciliği (data mining) gibi kişisel mahremiyeti ihlal eden ve kişisel haklara tecavüz teşkil eden fillerin özellikle sektörel düzenleme mekanizmaları ile desteklenerek kanuni düzenlemeler çerçevesinde ele alınması gerekmektedir. Son olarak, kişisel verilerin korunması ve bilgi güvenliği kavramlarıyla alakalı yeni bir alan olarak “bilişim suçları”ndan bahsetmekte fayda bulunmaktadır. Tamamen internete özgü olan suçlardan oluşan bilişim suçları, bilgileri otomatik olarak işleme tabi tutulmuş bir sistem ya da sistemdeki verilere yapılan tecavüzler şeklinde tanımlanmaktadır. Örneğin bir resmi dairenin sistemine girerek var olan bilgileri öğrenmek ya da değiştirmek 49 ERSOY, a.g.m., s.5. 26 ya da silmek, bir bankanın bilgisayar sistemine girerek kredi kartı borcunu silmek, bir virüsü internet üzerinden zarar verme kastı ile yaymak ve herhangi bir bilgi işlem sisteminin bozulmasına bu yolla neden olmak gibi fiiller böyledir. Pratikte en çok gözlemlenen bilişim suçu fiilleri; network sistemlerine saldırı, ticari ya da teknik bilgi hırsızlığı, yazılım hırsızlığı, spam, veri korsanlığı şeklinde sıralamak mümkündür. Sözü edilen bilişim suçlarından veri korsanlığı; internet ortamında erişimde bulunan kullanıcılar hakkında, onların haberi olmaksızın veri toplamak fiili olup, bu uygulama gizlice yapılmakta ve çoğunlukla reklam ya da istatistik amaçlı gerçekleştirilmektedir. Ancak kişisel bilgisayarlarda bulunan veriler kredi kartı ve hesap numarası hırsızlığı amacıyla da çalınabilmektedir.50 Görüleceği gibi, bu fiil temel bir insan hakkı olan özel hayatın gizliliği ilkesinin ve kişisel verilerin korunması hakkının ihlalini teşkil etmektedir. Kişisel verilerin korunması öncelikle bilgi güvenliği konusundaki risklerin iyi ölçülmesi ve değerlendirilmesini gerektirmektedir. Bilgi güvenliği risklerinin kabul edilebilir bir seviyeye indirilebilmesi iyi planlanmış bir kullanıcı bilinçlendirme ve eğitim çalışmalarıyla sağlanabilecektir. Kullanıcıların kurumsal bilgi ve bilgi kaynaklarının gizlilik, bütünlük ve devamlılığı konusundaki görev ve sorumlulukları konusunda eğitilmesi, çalışanların hatalı davranışlarının kurum bilgi güvenliği üzerinde yaratabileceği etkinin anlatılması önemli yararlar sağlayacaktır.51 Tüm bu çalışmalar kişisel verilerin hukuki olarak korunmasından önce teknik olarak korunmasını sağlayacak birer tedbir niteliği sergilemektedir. 50 Önder DEMĐR, “Đnternet Servis Sağlayıcısının Cezai Sorumluluğu”, Đzmir Barosu Dergisi, 2001, Erişim: http://bilisimsurasi.org.tr/dosyalar/28.txt, 05.10.2009. 51 “Bilgi Güvenliği Bilincinin Genele Yayılması”, Erişim: http://www.bilgiportal.com/v1/idx/19/728/Gvenlik/makale/Bilgi-Gvenlii-Bilincinin-GeneleYaylmas.html, 05.10.2009. 27 Ç. Bilgi Edinme Hakkı Kişisel verilerin korunması hakkı bilgi edinme hakkı ile doğrudan doğruya ilişkili bir kavramdır. Bu iki kavramın birbirleriyle kesişiminin iki ayrı konuda zuhur ettiği söylenebilir: Birincisi, kişilerin kendi kişisel verileri üzerindeki bilgi edinme hakkı olup, bu verilerden hangilerinin, hangi kişi ya da kuruluş tarafından, ne kadar süredir, ne şekilde ve hangi amaçla toplandığını, işlendiğini veya transfer edildiğini öğrenebilmesinde ortaya çıkmaktadır. Zira kişisel verilerin korunması hakkından söz edebilmek için öncelikle kişiler tarafından bunun talep edilmesi, talep edilebilmesi için de konu hakkında bilgi sahip olunması gerekmektedir. Yani, kişi kendisi hakkında kişisel veri işlendiğini bilmeden kişisel verilerin korunmasına yönelik haklarını gerçek anlamda kullanamaz. Bu durum aynı zamanda hukuk devleti ilkesinin de bir sonucu olarak kamusal organların kişisel verileri işleme faaliyetlerine dair şeffaflığının da bir ifadesidir.52 Dolayısıyla kişisel verilerin korunmasının talep edilmesinden önce bilgi edinme hakkının kullanılması bir gereklilik arz etmektedir. Kavramın ikinci kesişimi, kişinin başkalarının kişisel verileri üzerindeki bilgi edinme hakkı konusunda belirir ki, tam bu noktada her iki kavram arasında bir çelişki doğar. Zira bir kimsenin başkalarının özel hayatını ilgilendiren konularda kişisel verilere dair bilgi edinmek istemesi halinde başkalarının özel hayatının gizliliği ve kişisel verilerin korunması hakkının çiğnenmesi gündeme gelebilecektir. Đşte, temel insan hakları arasında yer alan ve anayasal bir ilke olan kişinin bilgi edinme hakkının, başkalarının özel hayatını ilgilendiren ve yine temel insan hakları arasında koruma altına alınmış bulunan kişisel verilerin korunması hakkının ihlal edilmemesi için hangi kriterler altında sınırlandırılacağı hususu önem arz etmektedir. Bilgi edinme hakkı, herkesin hiç bir devlet müdahalesi olmaksızın kendi seçimi doğrultusunda veya basın ve diğer haberleşme imkânları ile her türlü bilgiyi elde edebilmesini, hiç bir devlet müdahalesi olmaksızın tüm özel 52 ŞĐMŞEK, a.g.e., s.88. 28 kaynaklardaki bilgiye ulaşabilmesini ve devletin elinde tuttuğu kamuyu ilgilendiren her türlü veriye erişebilmesini ifade etmektedir.53 Başka bir ifadeyle, bilgi edinme hakkı idarenin tek taraflı iradesiyle hukuk düzeninde yaptığı değişiklikler hakkında ilgililerin, işlemin niteliği ve sonuçları hakkında bilgi alabilmesini sağlayan haktır. Bilgi edinme hak ve özgürlüğünün temel amacı, idarenin alacağı kararları hukuka uygun şekilde etkileyebilmek için, kişinin bilgilenmesini sağlamaktır. Bu hak ve özgürlük, sadece yapılmakta olan işlem hakkında değil, yapılmış ve bitmiş idari işlemler hakkında da bireyin bilgi sahibi olmasını amaçlamaktadır. Bilgi edinme hak ve özgürlüğü, yönetimde açıklığı sağlayan, bireyleri tebaa durumundan çıkarıp, sunulan kamu hizmetlerinden yararlanan statüsüne yükselten, yönetimde demokrasinin en önemli unsurlarından birisidir.54 Bilgi edinme hakkı, yönetenler ile yönetilenler arasında daha iyi, basit ve güvenli bir bağ kurmaya, diyalog yoluyla çatışmaları önlemeye, anlaşmazlığı azaltmaya ve böylece yönetimde etkinlik ve verimliliği artırmaya yönelik bir haktır.55 Temel haklar ile ekonomik ve sosyal haklardan sonra üçüncü insan hakları kuşağını oluşturan bilgi edinme hakkı, kişilerin bütün resmi bilgi ve belgeler ile ses, görüntü ve bilgisayar kayıtlarına, aynı zamanda kendi haklarında tutulmuş fişlere ve dosyalara ulaşmayı, varsa yanlışlık ve hataları düzeltmeyi kapsar. Ancak, tüm hak ve özgürlükler gibi bu hak da mutlak olmayıp, devlet güvenliği, diplomasi, milli savunma ve özel hayatın korunması amacıyla bazı sınırlamalara tabi tutulmaktadır. 53 56 Sonuçta ne tür SOYKAN, a.g.m., s.1. 54 Erdoğan YÜCEL, “Türkiye’de Bilgi Edinme Hakkı ve Uygulaması”, Türk Đdare Dergisi, s.137159, Erişim: http://www.icisleri.gov.tr/_icisleri/TurkIdareDergisi/UpLoadedFiles/449_137_160.doc, http://www.yayin.adalet.gov.tr/23_sayi%20i%C3%A7erik/Erdo%C4%9Fan%20Y%C3%9CCEL.htm, 05.10.2009. 55 Musa EKEN, “Bilgi Edinme Hakkı”, Đnsan Hakları Yıllığı, Dr. Muzaffer Sencer’e Armağan, 1995-1996, C.17-18, s.61-75. 56 YÜCEL, a.g.m., s.137-159. 29 düzenleme yapılırsa yapılsın, tüm düzenlemelerin hak ve özgürlükleri kısıtlayıcı değil, bilakis hak ve özgürlükleri koruyucu olması gerekmektedir. Bilgi edinme hakkı; BM Đnsan Hakları Evrensel Beyannamesi (m.19), Avrupa Đnsan Hakları Sözleşmesi (m.10) ve BM Siyasi ve Medeni Haklar Sözleşmesi’ndeki57 (m.19) düzenlemelerle güvence altına alınmış, Avrupa Konseyi Bakanlar Komitesi’nce 1977 yılında kabul edilen “Đdarenin Đşlemleri Karşısında Bireyin Korunması Hakkında” 31 sayılı Kararın58 (II) no’lu ilkesinde “Đlgilinin isteği üzerine, idari işlem tamamlanmadan önce, işlemin dayanakları olacak bütün veriler hakkında, en uygun gereçlerle bilgi verilir.” şeklinde ifadeye yer verilmiştir. Bugün yaklaşık 50 ülkede Bilgi Edinme Hakkı Kanunu bulunmaktadır.59 Bu konuda Anayasa’mızın 40’ıncı maddesine 2001 yılında eklenen 2. fıkrasında, “Devlet, işlemlerinde, ilgili kişilerin hangi kanun yollarına başvuracağını ve sürelerini belirtmek zorundadır.” ifadesine yer verilmiş, ancak bilgi edinme hakkı anayasada açıkça düzenlenmemiş, bu konuda kanunla düzenlemeye gidilmesi yolu tercih edilmiştir. Bu amaçla hazırlanan 4982 sayılı Bilgi Edinme Hakkı Kanunu60 09.10.2003 tarihinde kabul edilmiş ve 24.04.2004 tarihinde yürürlüğe girmiştir. Ayrıca, bu kanunun uygulanmasına ilişkin esas ve usulleri düzenleyen 2004/7189 sayılı Bilgi Edinme Hakkı Kanununun Uygulanmasına 57 BM Genel Kurulu'nun 16 Aralık 1966 tarih ve 2200 A (XXI) sayılı Kararıyla kabul edilmiş, 23 Mart 1976 tarihinde yürürlüğü girmiştir. Türkiye, insan hakları ve demokratikleşme konusunda evrensel normları belirleyen en önemli uluslararası belgelerden biri olarak kabul edilen bu sözleşmeyi 15 Ağustos 2000 tarihinde imzalamıştır. Bugüne kadar BM üyesi 188 ülkeden 144'ünün imzaladığı sözleşme, TBMM'de onaylandıktan sonra yürürlüğe girecektir. 58 Kararın çevirisi için bkz. Đhsan KUNTBAY, “Đdari Đşlemler Karşısında Bireylerin Korunması Hakkında (77) 31 sayılı Bakanlar Komitesi Kararı”, Amme Đdaresi Dergisi, cilt 11, sayı 4. 59 YÜCEL, a.g.m., s.137-159. 60 24 Ekim 2003 tarih ve 25269 sayılı Resmi Gazete'de yayımlanmıştır. 30 Đlişkin Esas ve Usuller Hakkında Yönetmelik61 27.04.2004 tarihinde yürürlüğe girmiştir. 4982 sayılı Kanununun Genel Gerekçesi62’nde, demokrasinin ve hukukun üstünlüğünün gereklerinden olan bilgi edinme hakkının bireylere daha yakın bir yönetimi, şeffaflığı sağlama işlevlerinin yanı sıra kamu yönetiminde olumsuz olarak görülen gizlilik kavramının giderilmesi ile yönetilenlerin yönetenlerin işlem ve faaliyetlerini denetlemesinin sağlanacağı belirtilmiştir. Kanunda kısaca; Amacın demokratik ve şeffaf yönetimin gereği olan eşitlik, tarafsızlık ve açıklık ilkelerine uygun olarak kişilerin bilgi edinme hakkını kullanmalarına ilişkin esas ve usulleri düzenlemek olduğu, Herkesin bilgi edinme hakkına sahip olduğu, Kamu kurum ve kuruluşlarının, kanunda yer alan istisnalar dışındaki her türlü bilgi veya belgeyi başvuranların yararlanmasına sunmak ve bilgi edinme başvurularını etkin, süratli ve doğru sonuçlandırmak üzere, gerekli idarî ve teknik tedbirleri almakla yükümlü olduğu, Ancak ayrı veya özel bir çalışma, araştırma, inceleme ya da analiz neticesinde oluşturulabilecek türden bir bilgi veya belge için yapılacak başvurulara olumsuz cevap verebilecekleri, ifade edilmiştir. Görüldüğü gibi, bilgi edinme hakkıyla birlikte, kamu kurum ve kuruluşları tarafından işlenen ve hatta paylaşıma tabi tutulan her türlü veri 61 27 Nisan 2004 tarih ve 25445 sayılı Resmi Gazete'de yayımlanmıştır. 62 Erişim: http://www.belgenet.com/yasa/k4982-2.html, 05.10.2009. 31 paralelinde kişilerin kendileriyle ilgili olarak yapılan işlemler hakkındaki bilgiyi serbestçe ve engellenmeksizin edinebilmeleri olanağı getirilmiştir. Bu bağlamda, kişilerin kendileri ya da başkaları hakkındaki kişisel verilere ilişkin olarak bilgi edinme hakkını kullanabileceği akla gelse de, bilgi edinme hakkının sınırları ile ilgili olarak şu haller adı geçen kanun kapsamı dışında tutulmuştur: Yargı denetimi dışında kalan işlemler (kişinin çalışma hayatını ve mesleki onurunu etkileyecek nitelikte olanlar), Devlet sırrına ilişkin bilgi veya belgeler (açıklanması hâlinde devletin emniyetine, dış ilişkilerine, millî savunmasına ve millî güvenliğine açıkça zarar verecek ve niteliği itibarıyla devlet sırrı olan gizlilik dereceli bilgi veya belgeler), Ülkenin ekonomik çıkarlarına ilişkin bilgi veya belgeler (açıklanması ya da zamanından önce açıklanması hâlinde, ülkenin ekonomik çıkarlarına zarar verecek veya haksız rekabet ve kazanca sebep olacak bilgi veya belgeler), Đstihbarata ilişkin bilgi veya belgeler (sivil ve askerî istihbarat birimlerinin görev ve faaliyetlerine ilişkin bilgi veya belgeler), Đdarî soruşturmaya ilişkin bilgi veya belgeler, Adlî soruşturma ve kovuşturmaya ilişkin bilgi veya belgeler, Özel hayatın gizliliği (kişinin izin verdiği hâller saklı kalmak üzere, açıklanması hâlinde kişinin sağlık bilgileri ile özel ve aile hayatına, şeref ve haysiyetine, meslekî ve ekonomik değerlerine haksız müdahale oluşturacak bilgi veya belgeler), Haberleşmenin gizliliği, 32 Ticarî sır (kanunlarda ticarî sır olarak nitelenen bilgi veya belgeler ile kurum ve kuruluşlar tarafından gerçek veya tüzel kişilerden gizli kalması kaydıyla sağlanan ticarî ve malî bilgiler), Fikir ve sanat eserleri. O halde, yukarıda belirtilen istisnaların söz konusu olması durumunda kişilerin kendi yahut başkalarının kişisel verileri hakkında bilgi edinme hakkını kullanamayacağı söylenebilir. Örneğin bir kimsenin kendisi hakkında herhangi bir kişisel veri tutulup tutulmadığını öğrenmek istemesi halinde, eğer bu veri istihbarata veya devlet sırrına ilişkin bilgi kapsamında ise bu kimse bilgi edinme hakkını kullanamayacaktır. Ancak bunun dışındaki hallerde kural olarak kişi kendi verileri ile ilgili bilgi edinme hakkını kullanabilecektir. Kanundaki istisnalar arasında “özel hayatın gizliliği”nin sayılması nedeniyle, kişinin başkalarının kişisel verileri üzerinde bilgi edinme hakkını ise kullanamayacağını söylemek yanlış olmayacaktır. Kanun koyucu, özel hayatın gizliliği ilkesini kesin olarak korumuş olup, buradan yola çıkarak kişisel verilerin korunması hakkının üçüncü kişilerin müdahalelerine karşı korunduğu dile getirilebilecektir. Diğer yandan, söz konusu bilginin ticari sırra ilişkin olması halinde de bilgi edinme hakkı kullanılamayacaktır. Burada kişinin başkalarının ticari sırlarına ilişkin olarak bilgi edinmesi hakkı ortadan kaldırılmak suretiyle, ticari sırlara ilişkin kişisel veriler bir kez daha koruma altına alınmıştır. Bilgi edinme hakkının kapsamı içinde; verilerin hangi amaçla toplandığı, işlendiği veya transfer edildiği, verilerin kullanıldığı işlemlerde güdülen amaç, söz konusu amaçlar için hangi işlemlerin yapılmış olduğu, üçüncü kişilere transfer ediliyorsa transferin konusu olan veri ya da veri kategorileri ile bunların alıcısı vb. konular da yer almalıdır. Zira kişisel verileri işlenen kişi gerekiyorsa verilerin düzeltilmesi, silinmesi ve bloke edilmesi talebinde bulunma hakkına sahip olabilmeli ve yapılan işleme karşı itirazda bulunabilme imkanına sahip olmalıdır. Elbette ilgilinin uygun aralıklarla verileri hakkında bilgi edinebilmesi, verilerde değişiklik olmasa bile buna dair bilgiye 33 ulaşabilmesi, hakkında veri toplanmamışsa bile veri toplanmadığını gösterir bir tespit yazısını alabilmesi bu kapsamda düşünülmelidir.63 Düşünce ve ifade özgürlüğünün ön koşulu olan bilgi edinme hakkının önündeki en büyük engellerden biri sır ve gizlilik kavramlarıdır. Bu kavramlar şeffaf bir devletin önünde bir engel olup, sır ve gizli bilgi kategorisinin çok geniş tutulduğu rejimlerin demokratik sayılamayacağı bile söylenmektedir64 Kişinin kendi verileri hakkında bilgi edinme hakkının, devlet sırrı, milli güvenliğin gerektirmesi gibi sınırları kanunda açıkça çizilmeyen ve elinde siyasi gücü bulunduranlarca her dönem için farklı anlamda kullanılan takdir hakkına bırakılması, sınırlamaların muğlak olmaktan kurtarılıp daha açık olarak ifade edilmesi gerekir.65 Zira, kamu yararı kişinin kendisi hakkında olan bilgileri öğrenmesini engellememelidir. D. Sır Kişisel verilerin korunması hakkı sır kavramıyla da yakın ilişki içerisinde bulunmaktadır. Çünkü sır kavramı kullanılma yerine göre değişmekle beraber gizlilik kavramıyla paralellik arz etmekte, bu durum da özel hayatın gizliliği ilkesinin bir alt kavramı olan kişisel verilerin korunmasını etkilemektedir. Sır, genel olarak, herkes tarafından bilinmeyen ve açıklanmasıyla sahibinin şeref ve menfaatine zarar verme tehlikesi baş gösteren hususlar olarak tanımlanabilir.66 Türk hukukunda sır ve gizlilik kavramları açık ve net biçimde tanımlanmamış, genellikle muğlak ve bakış açısına göre değişebilen, 63 BAŞALP, a.g.e., s.35-37. 64 Ahmet ĐYĐMAYA, "Bilgi Edinme ve Verilere Ulaşma Özgürlüğü", Ankara Barosu Dergisi, 2003, S:1, s.41-47. 65 M.Gökhan AHĐ, “MERNĐS’in Hukuki Đncelemesi”, Erişim: http://www.hukukcu.com/bilimsel/kitaplar/mernis.htm, 05.10.2009. 66 Süheyl DONAY, Meslek Sırrının Açıklanması Suçu, Sulhi Garan, Đstanbul, 1978, s.4. 34 yorum farklılığı arz eden ifadeler kullanılmıştır. Ülkemizde sır ve gizlilik kategorisi oldukça geniş tutulmuş ve bireylerin bilgiye ulaşma hakları sınırlandırılmıştır. Sır kategorisine giren yaklaşık 50, gizlilik kategorisine giren yaklaşık 75 yasal düzenleme mevcut olup, bazı düzenlemeler her iki kategoriye de girecek şekilde kaleme alınmıştır. Yani, sır ve gizlilik kavramları arasında mevzuat yönünden belirgin bir farklılık bulunmamakta olup, bu kavramlar çoğu kez birbirleri yerine kullanılmıştır.67 Bilgiye ulaşmada açıklık esas, sır ve gizlilik ise istisna olmalıdır. Ülkemiz mevzuatına bakıldığında, bilimsel araştırmalardan sivil savunma ve ticari yaşama, şeker rejiminden haberleşme özgürlüğüne, kolluk mevzuatına kadar çok çeşitli ve birbiriyle bağlantısız konu ve alanın “sır” ve “gizlilik” kavramlarıyla kuşatıldığı görülmektedir. Oysa, sır sayılabilecek bilgiler ulusal güvenlik, ülke bütünlüğü ya da özel yaşama ilişkin alanlarla kısıtlı olmalıdır.68 Her iki terime ilişkin olarak da, ilgili mevzuat çerçevesinde, bu kategoriye giren bilginin sahibi ve talep edeni şeklinde iki unsuru söz konusudur. Gerek sahibi gerekse talep edeni açısından ortak payda, bu bilginin alenileştirilememesidir. Sahibi bakımından bu husus, bilgiyi saklama yükümlülüğüne yol açmaktadır. Talep edeni bakımından ise, talep etme önünde değil ancak bu bilgiyi edinebilme önünde yasal engel mevcuttur.69 Bu noktadan hareketle, sır ve gizlilik kavramlarını içeren mevzuatı iki sınıfa ayırmak mümkündür70: Birincisi, bireylerin sırlarını koruyan ve anayasal olarak kişisel hak ve hürriyetler arasında sayılmış olan “özel 67 Bu nitelikte mevzuata örnek olarak, 6183 sayılı Kanunun 107., 6326 sayılı Kanunun 43., 6762 sayılı Kanununun 363., 213 sayılı Kanununun 5., 1163 sayılı Kanununun 25., 5584 sayılı Posta Kanununun 16., 278 sayılı Kanunun 22. maddeleri ile 72 sayılı Başbakanlık Yüksek Denetleme Kurulu Hakkında Kanun Hükmünde Kararname (m.35) gösterilebilir. Mehmet Semih GEMALMAZ, Türkiye'de Bilgi Edinme, Düşünce Đfade ve Đletişim Mevzuatı, Erişim: http://www.antenna-tr.org/book/, 05.10.2009. 68 GEMALMAZ, a.g.e. 69 GEMALMAZ, a.g.e. 70 GEMALMAZ, a.g.e. 35 yaşamın gizliliği”ne ilişkin mevzuat; ikincisi, “devlet sırları” dahilinde sayılarak bireylerin bilgiye ulaşmasını yasaklayan mevzuat. Birinci sınıflama, kural olarak temel hak ve hürriyetler alanındaki gelişmelere paralel olarak kabul edilebilir bir kategori iken, ikinci kategori ancak çok sınırlı hallerde kabul edilmekte olup, bu konunun en ufak geniş tutulması kişilik haklarının ihlali sonucunu doğurabilecektir. Đşte sır ve gizlilik kavramları bu boyutuyla kişisel verilerin korunması ile kesişen noktaları bulunan kavramlardır. Bir taraftan özel hayatın gizliliği hakkını ihlal etmeyecek düzenlemeler modern hukuk sisteminin olmazsa olmazları arasında yer alırken, diğer taraftan da kişilerin kendileri hakkında yapılan idari işlemler hakkında bilgiye ulaşmasını engelleyecek düzenlemelerin mümkün olduğunca ortadan kaldırılması ve devlet sırrı kapsamında tutulacak hususların da belirgin sebeplere bağlanması gerekliliği kendini göstermektedir. Buradan hareketle, aşağıdaki tasnifi ilk durum için özel sır, ikinci durum için ise devlet sırrı biçiminde yapmayı uygun bulduk. Özel sırrı ise çalışmamızın ana ekseni içerisinde yer alması hasebiyle meslek sırrı, ticari sır, banka sırrı ve müşteri sırrı şeklinde bir ayırıma tabi tuttuk. Kişisel verilerin korunması ile ilgili olarak yahut kişilerin kendilerine ilişkin olarak işlenen veriler hakkında bilgi edinme hakkını kullanması ile ya da kişisel verilerin üçüncü şahıslara aktarılması durumlarında karşımıza sır kavramı sıklıkla çıkmakta olduğundan, çalışmamızda bu hususlar göz önüne alınacaktır. 1. Devlet Sırrı Prof. Dr. Çetin ÖZEK’e göre, devlet sırrının niteliği şu unsurlara işaretle belirlenmektedir71: 71 Çetin ÖZEK, Basın Özgürlüğünden Bilgilenme Hakkına, Đstanbul, Alfa, 1999, s.66-67. 36 a) Kabul edilebilen “devlet sırrı”, niteliği nedeniyle sır sayılması gereken bilgidir. Ulusal savunmaya, uluslararası ilişkilere, demokratik düzeni korumaya yönelik bilgi örnek gösterilebilir. b) Yönetsel gücün kararıyla “devlet sırrı” saptaması genel olarak, demokratik anayasal düzeni korumaya yönelik ve sır sayılması zorunlu bilgiler için kabul edilebilir. Bu saptama da yargı tarafından yapılır. c) Devlet sırrı ile ulusal savunma güvencesi arasında nedensel bağlantı olması gerekir. d) Tarihsel olguların, diplomatik ilişkilerin ve bilimsel bilgilerin sır olmayacağı kabul edilir. e) Hukuka aykırı eylemler “sır” sayılmaz. f) Sırrın, kitle iletişim araçlarıyla açıklanması, eğer somut tehlike yaratmıyorsa suç sayılmaz. g) Bireyin kendisine ait bilgi, bilginin niteliği ne olursa olsun “sır” sayılmaz. h) Bilgilenme hakkı üstün değerde olduğu için, sansür niteliğinde, haber vermek hakkını sınırlayan, “devlet sırrı” saptaması yapılamaz. i) “Bilgilenme hakkı”nın, devlet sırrı iddiasına karşı korunması da gerekli görülmektedir. Diğer bir deyişle, “bilgilenme hakkı”na güvence yöntemleri uygulanmaktadır. Devlet sırrı halleri Türk hukukunda yukarıdakilerin yanında bir de “devlet sırrı” olarak kategorileştirilebilecek bir gizli bilgi alanı vardır. Bu alan sadece devletin güvenliğini, ulusal bütünlüğü ilgilendiren bilgilerden ibaret değildir. Ayrıca, kişisel bilgiler dahi bu alan içerisinde yer alıp, bireylerin kendileri hakkında bilgiye ulaşmasını engellemektedirler. 37 Devlet sırrı, kapsamı geniş ve belirsiz tutulduğunda suçla mücadeleyi kösteklemekte ve demokratikleşmenin önünü bu açıdan tıkayabilmektedir. Şöyle ki, örneğin suç örgütleriyle mücadele kapsamında her türlü resmi ve özel kayıtlarla bilgisayar verileri incelenebilir. Ancak, devletin ulusal güvenliği bakımından gizli kalması zorunlu olan kayıtlar ve bilgisayar verileri incelenemeyeceğinden, böyle bir durumda suçlar açığa çıkartılamaz. Özellikle kamusal makamların karıştığı suç hallerinde devlet sırrı kavramı arkasına saklanmak imkanının saklı tutulması söz konusu mücadeleyi normatif düzeyde işlevsiz hale getirebilmektedir.72 O halde demokratik ve şeffaf bir yönetim anlayışı için kavramın sınırlarının iyi çizilmesi büyük önem taşımaktadır. Aksi takdirde bir çok insan hakkının ihlali söz konusu olabilecektir. 1982 Anayasasının 26’ncı maddesinde düşünceyi açıklama ve yayma hürriyetinin hangi amaçlar için sınırlandırılabileceği belirtilirken, amaçlardan biri “Devlet sırrı olarak usulünce belirtilmiş bilgilerin açıklanmaması” olarak gösterilerek devlet sırlarından söz edilmiştir. Yine 28’inci maddede devlete ait gizli bilgilere ilişkin her türlü haber veya yazı yazanların, bastıran ve basanların, bunları başkalarına verenlerin bu suçlara ait kanun hükümleri uyarınca sorumlu tutulacakları açıklanmıştır. Bunun dışında devlet sırrını doğrudan düzenleyen yeknesak bir düzenleme bulunmamaktadır. Đşte mevzuatta devlet sırrına ilişkin bu dağınıklığı gidermek ve konuya ilişkin somut bir çerçeve çizmek amacıyla Adalet Bakanlığı tarafından “Devlet Sırları Kanunu Tasarısı”73 hazırlanmıştır. Tasarının Genel Gerekçesinde, demokratik ülkelerde bilgi edinme özgürlüğünün, temel hak ve özgürlüklerin kullanılması bağlamında vazgeçilmez haklardan biri olarak kabul edildiği, bilgi edinme hakkının sınırının ise devlet sırrı ve niteliği itibariyle gizli kalması 72 73 GEMALMAZ, a.g.e. Tasarı halen Türkiye Büyük Millet Meclisinde bulunmaktadır. (Sevk Tarihi: 22.04.2008) Tasarı ve gerekçesi için bkz.: http://www2.tbmm.gov.tr/d23/1/1-0575.pdf, 05.10.2009. 38 gereken bilgiler olduğu, şeffaflığı sağlamak ve gereksiz gizlilik kültürüne son vermek yönünden devlet sırları ve gizliliği alanının açık bir biçimde düzenlenmesi gerektiği, kişi yararı ile toplum yararının dengede tutulması gerektiği, toplum yararının üstün tutulmasının gerektiği hallerde zorunlu kıldığı ölçüde müdahalede bulunulması gerektiği, devlet sırrı ve gizliliği kavramlarının gereksiz yere genişletildiği takdirde bilgi edinme hakkının sınırları daralacağı, bu düzenlemeyle aynı zamanda Türk Ceza Kanunu ve diğer bazı özel kanunlardaki konuyla ilgili kavramların da doğru uygulanmasına katkı sağlanacağı, gerçek kişilerle özel hukuk tüzel kişilerine ait gizliliklerin tasarı kapsamı dışında olduğu, tasarının kamusal gizlilik alanını düzenlediği, tasarıyla iç ve dış güvenlik, askerî ve siyasi alanlar dışında, ekonomik alanlardaki devlet sırları ve gizliliklerinin de kapsama alındığı ifade edilmiştir. Tasarının 1’inci maddesinde; kanunun amacının devlet sırrının ve niteliği itibariyle gizli kalması gereken bilgi ve belgelerin tanımına, mahiyetine, hangi makam ve kurullarca oluşturulacağı ve korunacağına, bu bilgi ve belgelerin yargı organlarına hangi hâllerde gönderileceğine ve yükümlülüklere ilişkin esas ve usulleri düzenlemek olduğu belirtilmiştir. 3’üncü maddede devlet sırrı, “yetkili bulunmayan kişilerce hakkında bilgi sahibi olunması hâlinde, Devletin güvenliği, millî varlığı, bütünlüğü, anayasal düzeni ve dış ilişkilerini tehlikeye düşürebilecek her türlü bilgi ve belgeler” şeklinde tanımlanmıştır. 4’üncü maddede ise devlet sırrı kavramından ayrı olarak düzenlenen “gizli kalması gereken bilgi ve belgeler” kavramı, “3 üncü madde kapsamında olmayan ancak niteliği itibariyle gizli kalması gereken, askerî makamlar tarafından tesis olunan savunma ve askerî konulara ilişkin işlemler, Devlet çapında veya kendi görev alanlarında istihbarat çalışmaları yapan kamu kurum ve kuruluşları tarafından yürütülen istihbarata dair görev ve faaliyetler, açıklanması ya da zamanından önce açıklanması hâlinde Devletin ulusal ekonomik politikasının yürütülmesine zarar verecek veya haksız rekabet ve kazanca sebep olacak bilgi ve belgeler 39 ile diğer yetkili makamların faaliyetlerine ilişkin olarak özel kanunlarında gizli olduğu belirtilen bilgi ve belgelerdir.” biçiminde tanımlanmıştır. Tasarıda devlet sırrını ve gizli kalması gereken bilgi ve belgeleri belirleme yetkisine sahip merciler olarak yürütme organları74 görevlendirilmiş, ayrıca gizlilik derecelendirilmesi, gizlilik süreleri, sırrın ve gizliliğin korunmasına ilişkin yükümlülükler ve ceza sürelerine ilişkin düzenlemeler getirilmiştir. Devlet Sırları Kanunu Tasarısı; getirilen tanımın Bilgi Edinme Hakkı Kanunu’nda düzenlenen muğlak tanımdan farklı olarak yeni hiç bir şey ifade etmediği, nelerin hangi gerekçeyle sır olarak niteleneceğine dair net bir kriter getirilmediği, devletin milli güvenliğine, milli savunmasına, anayasal düzenine ve dış ilişkilerine karşı tehlike oluşturabilecek bilgi ve belgeler tanımlamasının içine rahatlıkla her şeyin sokulabileceği, bunun yerine “ülkenin varlığı ve toprak bütünlüğüne yönelik tehditler” ifadesi üzerinden tanımlama yapılmasının çok daha doğru olacağı, bir bilgi veya belgenin devlet sırrı olduğuna ilişkin verilecek bir kararın mutlaka bağımsız bir denetim organı tarafından denetlenmesi gerektiği, bunun ABD örneğinde olduğu gibi bağımsız bir mahkeme olabileceği gibi, yasama organının içerisinden bu denetimi yapacak bağımsız bir komisyonun kurulabileceği ya da yüksek yargı organlarının temsilcilerinden oluşan ayrı bir denetim mekanizması düzenlenebileceği, oysa tasarının bu haliyle yürütmeye devlet sırrını belirleme konusunda sınırsız bir yetki verdiği, hükümetlerin bu şekilde kendi yaptıkları hukuka aykırı işlem ve eylemlerle kötü yönetim uygulamalarını saklamaya yönelebilecekleri, tasarının sır saklama sürelerinin çok uzun olduğu, devlet sırrı niteliğindeki bir belgenin istenildiğinde yetmiş beş yıl sır olarak saklanabilecek olmasının ortalama yaşam süresi de düşünüldüğünde 74 Cumhurbaşkanlığı, Bakanlar Kurulu ve Bakanlıklar, Genelkurmay Başkanlığı, Millî Güvenlik Kurulu ve Genel Sekreterliği, Misyon Şefleri, Millî Đstihbarat Teşkilâtı Müsteşarlığı. 40 çok anlamsız olduğu, bu tasarının yasalaşması halinde demokratik, katılımcı ve hesap verebilir bir idare sağlamak amacıyla düzenlenen bilgi edinme hakkına ciddi bir darbe vurulmuş olacağı, esas olarak kamusal gizlilik alanıyla da korunmak istenenin kamunun çıkarı olup, bu alana giren bir bilginin açıklanması söz konusu olduğunda dengenin bilgiyi saklamaktan sağlanacak kamusal yararla bilginin kamu tarafından öğrenilmesinden doğacak kamusal yarar arasında kurulmaya çalışılacağı, eğer bilgiyi kamudan saklamayı haklı çıkaran yeterli bir kamusal yarar yoksa, bilgiyi kamuya açıklamaktan alıkoyan yeterli bir kamusal yararın var olduğunun düşünülemeyeceği yönleriyle eleştirilmiştir.75 2. Özel Sır Devlet sırrı kavramı, üçüncü kuşak haklardan bilgi edinme hakkının kullanılmasının önündeki en büyük engel iken, buna karşılık özel sır kavramı da kişi hak ve hürriyetler arasında yer alan özel hayatın gizliliği hakkının -dar anlamda da kişisel verilerin korunmasının- sağlanmasında önemli yer teşkil eden araçlardan biri olarak nitelendirilebilir. Zira sır kapsamında tutulan bu kişisel bilgilerin üçüncü kişilere açıklanması bu yolla engellenmiş olmaktadır.76 Özel sır kapsamına kişilerin kendileri için tuttukları adi sırları değil, konumuz açısından nitelik arz eden ve belirli sektörleri ilgilendiren ve kişinin kendisinden başka üçüncü kişi ve kuruluşlarca tutulan ticari sır, banka sırrı ve müşteri sırrı ile meslek sırrı kavramlarını katmayı uygun gördük. 75 Cavidan SOYKAN, “Bilgi Edinme Hakkı "Sır" mı Oluyor?”, 2007, Erişim: http://www.bianet.org/2007/03/29/93934.htm, 05.10.2009. 76 Özel yaşamın gizliliğini korumayı amaçlayan sır kategorisine bir kaç örnek vermek gerekirse: 1136 sayılı Avukatlık Kanunu (m.36), 1587 sayılı Nüfus Kanunu (m.14/son), 1593 sayılı Umumi Hıfzıssıhha Kanunu (m.104), 3017 sayılı Sıhhat ve Đçtimai Muavenet Vekaleti Teşkilat ve Memurin Kanunu (m.69/2), Tıbbi Deontoloji Tüzüğü (m.4, 14, 25). Mehmet Semih GEMALMAZ, a.g.e. 41 Ticarî sır, banka sırrı, müşteri sırrı ile kamu görevlilerinin görevleri nedeniyle öğrendikleri bu kapsamdaki sırlar ve bunların verilebileceği ve açıklanabileceği hâller, mevzuatımızdaki çeşitli kanunlarda düzenlenmiş, ancak bu hükümler yeterli olmadığından uygulamada çoğu zaman karışıklığa yol açmış ve tereddütler baş göstermiştir. Ayrıca ticarî sır, banka sırrı ve müşteri sırrı olduğu öne sürülerek bilgi ve belge taleplerine yeterli veya hiç cevap verilmemesi ya da sırrın gereği gibi korunmaması nedeniyle yolsuzluk iddiaları açıklığa kavuşturulamamaktadır. Bu nedenle sırların tanımının yapılması, talep edilmesi, verilmesi, kullanılması ve korunmasının tâbi olduğu ilkelerin tespitine; sırların gizliliği veya verilmesi yasağını ortadan kaldıran hâllerin neler olduğuna; sırların talep edilmesinin tâbi olacağı usul ve esasların belirlenmesine; sırları öğrenen kişilerin yükümlülüklerine; bunlara aykırı davranılması hâllerinde, bu fiilleri işleyenlerin cezaî sorumluluklarına ilişkin düzenlemelere ihtiyaç duyulmuş ve Adalet Bakanlığı tarafından “Ticarî Sır, Banka Sırrı ve Müşteri Sırrı Hakkında Kanun Tasarısı”77 hazırlanmıştır. Tasarının Genel Gerekçesi’nde; ticarî sır, banka sırrı ve müşteri sırrının gizliliğinin sağlanması ve üçüncü kişiler tarafından bilinmemesinin, ilgili ticarî işletmeler, şirketler, bankalar ve bunların müşterileri açısından büyük ve hayatî önem arz etmekle birlikte, iktisadî, ticarî ve malî sektörlerde üretim, tüketim ve hizmet alanlarında faaliyet gösteren ticarî işletme ve şirketlerin, bankaların, sigorta şirketleri, sermaye ve mali piyasalarda faaliyet gösteren aracı kurumların şeffaflığının sağlanmasına, kayıt dışı ekonominin, haksız mal edinmenin ve karapara aklanmasının önlenmesine, çıkar amaçlı suç örgütleri ve bunlarının mensuplarının takibine ilişkin tedbirlerle doğrudan ve dolayısıyla bağlantılı olduğundan bahisle bu konuda düzenleme yapılması ihtiyacı duyulduğu belirtilmiştir. 77 Tasarı halen Türkiye Büyük Millet Meclisinde bulunmaktadır. (Sevk Tarihi : 01.02.2009) Tasarı ve gerekçesi için bkz.: http://www2.tbmm.gov.tr/d23/1/1-0517.pdf, 05.10.2009. 42 Tasarının 1’inci maddesinde kanunun amacının; kamu kurum ve kuruluşları ile iktisadî, ticarî ve malî sektörlerde üretim, tüketim ve hizmet alanlarında faaliyet gösteren ticarî işletme ve şirketler, bankalar, sigorta şirketleri ve mali piyasalarda faaliyet gösteren aracı kurumlarının ticarî sır, banka sırrı ve müşteri sırlarının talep edilmesi, verilmesi, kullanılması ve korunmasına ilişkin esas ve usulleri düzenlemek olduğu belirtilmiş, özel kanunlarda düzenlenen ticarî sır, banka sırrı ve müşteri sırlarının verilmesini sınırlayan veya yasaklayan hükümler hakkında da bu kanun hükümlerinin uygulanacağı ifade edilmiştir. 3’üncü maddede, kanun kapsamındaki sırlarla ilgili olarak; Yayımlandığı veya kamuya açıklandığı ya da kanunlarda yer alan açıklık ilkesi uyarınca resmî sicillerde veya bilançolar ile faaliyet raporlarında yer aldığı veya kanunlardaki hükümler gereği kamunun aydınlatılması bakımından açıklamakla yükümlü olunan bilgilerin açıklandığı, Sır sahibinin açıklanması hususunda yazılı muvafakati bulunduğu, Kanunî yükümlülüğün yerine getirildiği, Hâllerde bilgi ve belgelerin açıklanması, kullanılması, verilmesi ve aktarılmasının aykırılık teşkil etmeyeceği belirtilmiştir. 4’üncü maddede sırların Türkiye Büyük Millet Meclisinin meclis araştırması ve meclis soruşturması komisyonları toplantılarındaki müzakerelerde, mahkemeler ile cumhuriyet başsavcılıklarınca yürütülen kovuşturma ve soruşturmalarda, malî veya idarî konularda Devlet adına yapılan denetim faaliyetlerinde ve diğer kanunlarda gösterilen hallerde yazılı olarak talep edileceği ifade edilmiştir. Bu şekilde meclis araştırma ve soruşturmalarında da ticari sırların açıklanmasından imtina edilemeyeceği hükmü hukukumuza getirilmiştir. 43 Malî veya idarî konularda yürütülen denetim faaliyetlerinde ise sırların sahipleri ve bu sırları ellerinde bulunduranların, yapılan görevle doğrudan bağlantılı ve talebin amacıyla sınırlı olmak ve yürütülen faaliyet açısından zorunluluk bulunmak kaydıyla sır kapsamındaki bilgi ve belgeleri vermekle yükümlü oldukları belirtilmiştir. Söz konusu sırları doğrudan veya dolayısıyla öğrenen kamu görevlileri ve diğer kişilerin bu sırları kanunen yetkili mercilerden başkasına açıklayamayacağı, veremeyeceği ve kendisi veya başkalarına menfaat sağlamak veya zarar vermek amacıyla kullanamayacağı da hükme bağlanmıştır. Tasarının “Koruma yükümlülüğü” başlıklı 7’nci maddesinde; “Bu Kanun kapsamında verilen sırları doğrudan veya dolayısıyla öğrenen kamu görevlileri, öğrendikleri veya talep ettikleri sırlarla ilgili bilgi ve belgelerin korunmasını sağlamak amacıyla her türlü tedbiri almakla yükümlüdürler.” ibaresi konulmuştur. Bu şekilde kişisel verilerin üçüncü kişilerin ellerine geçmesi ve özel hayatın gizliliği ilkesinin ihlal edilmesi önlenmek istenilmiştir. Tasarıda ticari sır, banka sırrı ve müşteri sırrı şeklinde bir ayırım söz konusudur. Biz buna ek olarak meslek sırrı kavramını da tasnifimize dahil etmeyi uygun gördük. a. Ticarî Sır Ticarî Sır, Banka Sırrı ve Müşteri Sırrı Hakkında Kanun Tasarısının 2’nci maddesindeki tanıma göre ticarî sır; “Bir ticarî işletme veya şirketin faaliyet alanı ile ilgili yalnızca belirli sayıdaki mensupları ve diğer görevlileri tarafından bilinen, elde edilebilen, özelikle rakipleri tarafından öğrenilmesi halinde zarar görme ihtimali bulunan ve üçüncü kişilere ve kamuya açıklanmaması gereken, işletme ve şirketin ekonomik hayattaki başarı ve verimliliği için büyük önemi bulunan; iç kuruluş yapısı ve organizasyonu, malî, iktisadî, kredi ve nakit durumu, araştırma ve geliştirme çalışmaları, faaliyet stratejisi, hammadde kaynakları, imalatının teknik özellikleri, fiyatlandırma politikaları, pazarlama taktikleri ve masrafları, pazar payları, toptancı ve 44 perakendeci müşteri potansiyeli ve ağları, izne tâbi veya tâbi olmayan sözleşme bağlantılarına ilişkin veya bu gibi bilgi ve belgeleri” ifade etmektedir. b. Banka Sırrı Tasarının 2’nci maddesinde banka sırrı; Bankanın yönetim ve denetim organlarının üyeleri, mensupları ve diğer görevlileri tarafından bilinen malî, iktisadî, kredi ve nakit durumu ile ilgili bilgilerle, bankanın müşteri potansiyeli, kredi verme, mevduat toplama, yönetim esasları, diğer bankacılık hizmet ve faaliyetleri, risk pozisyonlarına ilişkin her türlü bilgi ve belgeler” şeklinde tanımlanmıştır. c. Müşteri Sırrı Yine tasarının 2’nci maddesi müşteri sırrını; “Ticarî işletme ve şirketlerin, bankaların, sigorta şirketlerinin, sermaye piyasasında ve malî piyasalarda faaliyet gösteren aracı kurumların, kendi faaliyet alanlarıyla ilgili olarak müşteriyle ilişkilerinde, müşterinin şahsî, iktisadî, malî, nakit ve kredi durumuna ilişkin doğrudan veya dolayısıyla edindikleri tüm bilgi ve belgeler” ifadesiyle tanımlamıştır. Buna göre, ticari sır aslında daha genel ve üst bir kavram olarak bir ticari işletme veya şirketlere ilişkin gizli kalması gereken bilgi ve belgeler olarak ele alınırken, banka sırrı bankalar özelinde ele alınan ve bankanın faaliyetlerini, mali ve iktisadi gücünü ve itibarını ilgilendiren hususları kapsayan bir kavram olmaktadır. Müşteri sırrı ise gerek banka gerekse ticari işletme, şirket yahut herhangi bir piyasada faaliyet gösteren bir organizasyonun ya da mensuplarının müşterilerine ilişkin mesleki bilgileri ya da faaliyetleri dolayısıyla elde ettikleri üçüncü şahıslara ait bilgilerin gizli tutulması yükümlülüğünü ifade etmektedir. Bu yükümlülük aynı zamanda bankaların faaliyetlerini düzenleyen, denetleyen, mevzuatları gereği 45 bankalardan sır niteliğindeki bilgileri almaya yetkili olan kişi ve kurumları da kapsamaktadır.78 ç. Meslek Sırrı Meslek sırrı kavramı, belirli bir meslekle (hekimlik, avukatlık, mali müşavirlik, vb.) iştigal eden kişi ve kuruluşların meslekleri nedeniyle edindikleri bilgileri sır dahilinde tutmak suretiyle üçüncü kişilere ifşa edilmemesi anlamına gelmektedir. Meslek sırrı bu nedenle özel yaşamın gizliliği hakkını dolayısıyla da kişisel verilerin korunmasını sağlamakta önemli bir role sahiptir. Bunun yanı sıra dar anlamda da ticari sırların korunması için kullanılmaktadır.79 Ülkemizde halen yürürlükte olan kanunlarımızın münferit hükümlerindeki ticari sır, resmî görev sırrı ve meslek sırlarıyla ilgili düzenlemelerin yeterli olmadığı, uygulamada çoğu zaman karışıklığa ve tereddütlere yol açtığı bilinen bir gerçektir. Avrupa Birliği’nde mali hizmetler alanında faaliyet gösteren bankacılık, sermaye piyasaları ve sigortacılık otoritelerinin, hangi bilgileri hangi koşullar altında açıklayabileceği hususları çeşitli direktiflerde düzenlenmiş olup, bankacılık denetleme otoriteleri, faaliyetleri sırasında edindikleri gizli bilgileri açıklamaktan men edilmişlerdir. Yetkili denetleme otoritelerinde çalışan veya çalışmakta olan kişiler ve bu otoriteler için çalışan dış acentalar mesleki sır yükümlülükleriyle bağlıdırlar. Ancak, finansal sistemin aklama amacıyla 78 Türkiye Bankalar Birliği, Bankacılık ve Araştırma Grubu, “Avrupa Birliği’nde Banka ve Müşteri Sırrı Hakkında Düzenlemeler”, Bankacılar Dergisi, 2003, Sayı 46, s.38-58. 79 Mevzuatta bunun örneklerini gözlemlemek mümkündür: Telgraf Kanunu (m.10/II), Borçlar Kanunu (m.532), Türk Ticaret Kanunu (m.57/7, 57/8, 64/1, 358, 363), Petrol Kanunu (m.43, 52), Sanayi Sicili Kanunu (m.7, 12), Sigorta Murakabe Kanunu (m.52), Vergi Usul Kanunu (m.5), 551 sayılı Patent Haklarını Korunması Hakkında Kanun Hükmünde Kararname (m.26/c, 36, 89, 125 ve 126) 4458 sayılı Gümrük Kanunu (m.12), 4857 sayılı Đş Kanunu (m.93), Merkez Bankası Kanunu (m.35, 43/son), Su ürünleri Kanunu (m.28), 1512 sayılı Noterlik Kanunu (m.54). Mehmet Semih GEMALMAZ, a.g.e. 46 kullanılmasının önlenmesine ilişkin 91/308/EEC sayılı Direktif ile; kredi ve finansman kuruluşları, bu kuruluşlarda görevli personel ve müdürleri bilginin açıklanmasıyla ilgili kısıtlamaları ihlal etme sorumluluğundan muaf tutulmuştur.80 3. Sırrın Đfşası Özel sırların temelde özel yaşamın gizliliğinin korunması, devlet sırlarının ise arkasındaki kamu yararının sağlanması amacıyla getirilmiş müesseseler olduğunu açıklamıştık. Đşte bu sırların gizli tutulmayıp üçüncü kişilere yahut kamuoyuna ifşa edilmesiyle, sır kavramının gözettiği temel haklar -özel hayatın gizliliği, kişisel verilerin korunması- ile kamu yararı ilkeleri ihlal edilmiş dolayısıyla da kişiler/toplum maddi-manevi zarara uğramış olabilecektir. Bu nedenle bir çok genel ve özel kanunla bu husus düzenlenmiştir. 5237 sayılı Türk Ceza Kanununun “Devlet Sırlarına Karşı Suçlar ve Casusluk” başlıklı yedinci bölümünde yer alan 329’uncu maddesi, 330’uncu maddesi, 333’üncü maddesi, “Ticarî sır, bankacılık sırrı veya müşteri sırrı niteliğindeki bilgi veya belgelerin açıklanması” başlıklı 239’uncu maddesi, “Göreve ilişkin sırrın açıklanması” başlıklı 258’inci maddesi, Devlet Sırları Kanun Tasarısının “Koruma yükümlülüğü” başlıklı 9’uncu maddesi, Ticarî Sır, Banka Sırrı ve Müşteri Sırrı Hakkında Kanun Tasarısının “Ceza hükümleri” başlıklı 8’inci maddesi konuya ilişkin genel düzenlemeler arasında yer almaktadır. Konuya ilişkin özel düzenlemeler arasında ise 213 sayılı Vergi Usul Kanunu81’nun “Vergi mahremiyeti” başlıklı 5’inci maddesi, 6183 sayılı Amme Alacaklarının Tahsil Usulü Hakkında Kanun82’un “Sırrın ifşası” başlıklı 80 Türkiye Bankalar Birliği, a.g.m., s.39. 81 10.01.1961 tarih ve 10705 sayılı Resmi Gazete’de yayımlanmıştır. 82 28.07.1953 tarih ve 8469 sayılı Resmi Gazete’de yayımlanmıştır. 47 107’nci maddesi, 5411 sayılı Bankacılık Kanunu83’nun “Sırların Saklanması” başlıklı 73’üncü maddesi, 2499 sayılı Sermaye Piyasası Kanunu84’nun “Sır saklama ve kurulun para, evrak ve malları hakkında işlenen suçlar” başlıklı 25’inci maddesi, 4054 sayılı Rekabetin Korunması Hakkında Kanun85’un “Yasaklar” başlıklı 25’inci maddesi, Başbakanlık Yüksek Denetleme Kurulu Hakkında 72 Sayılı Kanun Hükmünde Kararname86’nin “Sır Saklama Yükümlülüğü” başlıklı 35’inci maddesi, 5549 sayılı Suç Gelirlerinin 87 Aklanmasının Önlenmesi Hakkında Kanun ’un “Sırrın ifşaı” başlıklı 22’nci maddesi yer almaktadır. Ayrıca 6762 sayılı Türk Ticaret Kanunu (m.363), 6326 sayılı Petrol Kanunu (m.43), 1163 sayılı Kooperatifler Kanunu (m.25), 5584 sayılı Posta Kanunu (m.16), 278 sayılı 278 sayılı Türkiye Bilimsel ve Teknik Araştırma Kurumu Kurulması Hakkında Kanun (m.22)’da da benzer hükümler mevcuttur. II. KĐŞĐSEL VERĐLERĐN KORUNMASI KAVRAMININ TARĐHSEL GELĐŞĐMĐ Kişisel verilerin korunması kavramı, klasik hak ve hürriyetler arasında yer alan özel hayatın gizliliği hakkının bir alt kavramı olduğu için, kavramın tarihsel gelişimi temel insan hak ve özgürlükleri alanındaki gelişimlerle birlikte olmuştur. Yasalar gözünde bireyin önceliğinin ve üstünlüğünün savunulması ilkesinin ve insanın doğuştan sahip olduğu bazı hak ve özgürlüklere devletin ve diğer insanların hiçbir zaman dokunamayacağını ifade eden bireysel 83 01.11.2005 tarih ve 25983 sayılı Resmi Gazete’de yayımlanmıştır. 84 30.07.1981 tarih ve 17416 sayılı Resmi Gazete’de yayımlanmıştır. 85 13.12.1994 tarih ve 22140 sayılı Resmi Gazete’de yayımlanmıştır. 86 20.10.1983 tarih ve 18197 sayılı Resmi Gazete’de yayımlanmıştır. 87 18 Ekim 2006 tarih ve 26323 sayılı Resmi Gazete’de yayımlanarak yürürlüğe girmiştir. 48 haklar öğretisinin bir sonucu olan insan haklarının kavram olarak gelişmesinde Rousseau, Montesquieu, Locke gibi düşünürlerin önemli etkisi olmuştur.88 Đnsan haklarının korunması ile ilgili ilk hükümlerin sınırlı da olsa Đngiltere kralın yetkilerini daraltan ve onun kişi hak ve özgürlüklerine saygı göstermesini sağlayan 1215 tarihli Magna Carta Libertatum (Büyük Özgürlük Fermanı)’da yer aldığı kabul edilmektedir. Bu düzenlemelere göre özgür kişilerin bağlı bulundukları mahkemelerin yasalara uygun bir kararı olmaksızın mal ve can güvenliklerine dokunulamayacaktı. Daha sonra 1628 tarihli Petition of Rights, 1679 tarihli Habeas Corpus Act, 1689 tarihli Bill of Rights ve 1701 tarihli Act of Settlement ile bu hakların sınırları gittikçe genişlemiştir. “Amerikan Haklar Bildirileri” ile insanların doğuştan bir takım tabii haklara sahip bulundukları, bunların devletten önce mevcut olduğu ve devlet iktidarının bu haklarla sınırlanması gerektiği yolundaki fikirler, hukuki formüllerle doktrin alanından uygulama alanına geçmişlerdir. Kısa bir süre sonra Fransız Đhtilali ile birlikte ilan edilen 1789 “Đnsan ve Vatandaş Hakları Bildirisi” ile Amerikan Haklar Bildirileri’nde düzenlenen hak ve özgürlükler teyit edilmiş ve evrensel bir nitelik halini almıştır. 10 Aralık 1948 günü Birleşmiş Milletler Genel Kurulu’nca kabul ve ilan edilen, insanlık tarihinin sayılı belgelerinden olan “Đnsan Hakları Evrensel Beyannamesi” ile insan hakları ve temel hürriyetler teker teker belirlenmiştir. Đnsan Hakları Evrensel Beyannamesi ile düzenlenen haklar hukuki yönden bağlayıcı olmadığından, bu bildiride sayılan hakları tanıyan devletlere herhangi bir yükümlülük getirmemektedir. Bu eksiklik, benzer hakları daha da geliştirerek düzenleyen “Avrupa Đnsan Hakları Sözleşmesi”yle giderilmiştir. Avrupa Đnsan Hakları Sözleşmesi her ne kadar tüm Avrupa Birliği ülkelerince kabul edilmiş olsa da, AB normu olarak kabul edilen bir metinin eksikliği duyulmuş ve bunu karşılamak amacıyla AB'nin ekonomik alandan siyasi alanda da ağırlık kazanmasıyla birlikte, AB'nin temel ilkelerini ortaya koymak, ulusalüstü kurumlarını da siyasi ilkelerle bağıtlamak ve belki de geleceğin AB 88 Şeref GÖZÜBÜYÜK, Anayasa Hukuku, Ankara, Turhan, 2002, s.94. 49 Anayasasının temelini atma için gerekli olan “Avrupa Birliği Temel Haklar Şartı” 7 Aralık 2000 tarihinde hayata geçirilmiştir.89 Kişisel verilerin korunmasına yönelik ilk gelişmeler de özel hayatın gizliliğine ilişkin düzenlemelerle olmuştur. Daha önce detaylı anlatıldığı üzre; Đnsan Hakları Evrensel Beyannamesi’nin 12’nci maddesinde, Avrupa Đnsan Hakları Sözleşmesi’nin “Özel hayatın ve aile hayatının korunması” başlıklı 8’inci maddesinde, Avrupa Birliği Temel Haklar Şartı’nın “Özel hayata ve aile hayatına saygı” başlıklı 7’nci maddesinde, 1982 Anayasasının “Özel hayatın gizliliği ve korunması” başlığı altındaki 20-22’nci maddelerde özel hayatın gizliliğine ilişkin düzenlemeler getirilmiştir. Ancak, kişisel verilerin korunmasının ayrı bir hak olarak doğrudan doğruya ele alınması, özellikle bilgi-işlem teknolojisinde yaşanan gelişmeler paralelinde 1970’lerden sonra olmuştur. Bu konuda uluslararası alandaki ilk çalışma Ekonomik Đşbirliği ve kalkınma Teşkilatı (OECD ) tarafından 1980 yılında kabul edilmiş olan, “Gizliliğin Korunması ve Sınır Ötesi Kişisel Veri Akışları Hakkında Rehber Đlkeler” (Guidelines on The Protection of Privacy and Transborder Flows of Personal Data)90 adını taşıyan belge ile olmuştur. Sözü edilen rehber ilkeler bağlayıcılığı olmayan tavsiye niteliğindeki bir doküman olduğundan dolayı, konuya ilişkin uluslararası anlaşma niteliğini haiz bir metne ihtiyaç duyulmuştur. Avrupa Konseyi’nin 28 Ocak 1981 tarih ve 108 sayılı “Kişisel Nitelikteki Verilerin Otomatik Đşleme Tabi Tutulması 89 Đnsan Hakları, Ankara, Matus, 2006, s.26-29; Rıdvan DAĞ, “Avrupa Birliği Temel Haklar Şartı ve Türkiye”, Erişim: http://www.jura.uni-sb.de/turkish/RDag.html, 05.10.2009. 90 Söz konusu rehber ilkeler, 23 Eylül 1980 tarihinde kişisel verilerin toplanması, yönetilmesi ve korunması ile sınır ötesi bilgi akışının sağlanmasında asgari düzeyde uluslararası uzlaşının sağlanması ve temel ilkelerin belirlenmesi amacıyla hükümetler, iş dünyası, sivil toplum örgütleri ve tüketici temsilcilerinin yardımıyla kabul edilmiştir. Erişim: http://www.oecd.org/document/18/0,2340,en_2649_34255_1815186_1_1_1_1,00.html, 05.10.2009. 50 Karşısında Şahısların Korunmasına Dair Sözleşme”91 bu ihtiyacı gidermiştir. Bu belgenin yürürlüğe girmesi 1985 yılında mümkün olabilmiş, belge ile ilgili olarak bu güne kadar çeşitli tavsiye kararları alınmış, 1999 yılında da belgede bazı değişiklikler yapılmıştır. Bununla beraber Belge yalnız Avrupa ülkelerinde değil bütün dünyada kabul görmüş ve ulusal mevzuatın hazırlanmasında göz önünde bulundurulmuştur. Birleşmiş Milletler Genel Asamblesi ise 14 Aralık 1990 tarihinde üye devletlerin asgari bir standartta buluşmasını hedefleyen “Bilgisayarla Đşlenen Kişisel Veri Dosyaları Hakkında Rehber Đlkeler” (Guidelines for the Regulation of Computerized Personal Data Files)92 adını taşıyan bir belgeyi kabul etmiştir. Diğer taraftan Avrupa Birliği de 24 Ekim 1995 tarihinde “Kişisel Verilerin Đşlenmesinde Gerçek Kişilerin Korunması ve Verilerin Serbest Dolaşımı Yönergesi”ni93, 15 Aralık 1997’de “Telekomünikasyon Alanında Kişisel Verilerin Đşlenmesi ve Mahremiyetin Korunması Yönergesi”ni94, 12 Temmuz 2002’de ise “Elektronik Đletişimde Kişisel Verilerin Đşlenmesi ve Gizliliğinin Korunması Yönergesi”ni95 kabul ederek bu konuda düzenlemelere gitmiştir. Ayrıca, 7 Aralık 2000 tarihinde kabul edilen Avrupa Birliği Temel Haklar Şartı’nın “Kişisel verilerin korunması” başlıklı 8’inci maddesi konu ile 91 108 sayılı Sözleşme, 28 Ocak 1981 tarihinde imzaya açılmış ve aynı tarihte diğer Avrupa Konseyi üyeleriyle birlikte Türkiye tarafından da imzalanmış, ancak henüz onaylanmamıştır. Erişim: http://www.avrupakonseyi.org.tr/antlasma/aas_108.htm, 05.10.2009. 92 Erişim: http://www.unhcr.org/refworld/type,THEMGUIDE,UNGA,,3ddcafaac,0.html, 05.10.2009. 93 Erişim: http://eurlex.europa.eu/smartapi/cgi/sga_doc?smartapi!celexapi!prod!CELEXnumdoc&lg=en&numdoc=31995 L0046&model=guichett, 05.10.2009. 94 95 Erişim: http://www.dataprotection.ie/viewdoc.asp?m=l&fn=/documents/legal/6aiii.htm, 05.10.2009. Erişim: http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:32002L0058:EN:NOT, 05.10.2009. 51 ilgili düzenleme getirmiştir. Buna göre; “Herkes, kendisine ilişkin kişisel verilerin korunmasını isteme hakkına sahiptir. Bu tür bilgiler, belirtilen amaçlar için ve ilgili kişinin rızasına veya yasada öngörülen başka meşru temele dayalı olarak adil şekilde kullanılmalıdır. Herkes, kendisi hakkında toplanmış olan bilgilere erişme ve bunlarda düzeltme yaptırma hakkına sahiptir. Bu kurallara uyulması, bağımsız bir makam tarafından denetlenecektir.” Doğrudan doğruya kişisel verilerin korunmasına ilişkin olarak Türkiye’de henüz anayasal bir düzenleme bulunmamakta olup, bu konuda özel hayatın gizliliği ve genel hükümlere göre işlem yapılmaktadır. Ayrıca 12.10.2004 tarih ve 5237 sayılı Türk Ceza Kanunu’nun 135-140’ıncı maddeleri kişisel verilerin korunmasına ilişkin hükümler barındırmaktadır. Bu konuda sözü edilen Avrupa Konseyi ile Avrupa Birliği Direktifleri ile iç hukukun uyumlaştırılması amacıyla “Kişisel Verilerin Korunması Kanunu Tasarısı” hazırlanmış, çeşitli kurum ve kuruluşların görüş ve önerileri de göz önüne alınarak son haline getirilmiş ve 22.04.2008 tarihinde Başbakanlık tarafından Türkiye Büyük Millet Meclisine sevk edilmiştir. Tasarı hala Türkiye Büyük Millet Meclisinde bulunmaktadır. Yukarıda bahsetmiş olduğumuz uluslararası belgeler ile Türkiye’de yapılan düzenleme ve çalışmaların detayı tezimizin ikinci ve üçüncü bölümlerinde anlatılacağından burada tekrar ele alınmamıştır. 52 ĐKĐNCĐ BÖLÜM KĐŞĐSEL VERĐLERĐN KORUNMASI KAVRAMININ ULUSLARARASI DÜZENLEME VE UYGULAMALARDAKĐ YERĐ I. ULUSLARARASI DÜZENLEMELER A. Ekonomik Đşbirliği ve Kalkınma Teşkilatı (OECD) Kişisel verilerin korunması hakkının ayrı bir alan olarak doğrudan doğruya ele alınması ve bu konuda uluslararası kriterler belirlenmesine dair ilk çalışma Ekonomik Đşbirliği ve Kalkınma Teşkilatı (OECD) tarafından 1980 yılında kabul edilmiş olan “Gizliliğin Korunması ve Sınır Ötesi Kişisel Veri Akışları Hakkında Rehber Đlkeler” (Guidelines on The Protection of Privacy and Transborder Flows of Personal Data)96 adını taşıyan belgedir. Söz konusu rehber ilkeler, 23 Eylül 1980 tarihinde kişisel verilerin toplanması, yönetilmesi ve korunması ile sınır ötesi bilgi akışının sağlanmasında asgari düzeyde uluslararası uzlaşının sağlanması ve temel ilkelerin belirlenmesi amacıyla hükümetler, iş dünyası, sivil toplum örgütleri ve tüketici temsilcilerinin yardımıyla kabul edilmiştir. Böylece, uluslararası konsensüsün sağlanması, gizliliğin korunmasında etkinlik ile verilerin akışındaki serbestlik arasında dengenin kurulması ve ülkelerin gerek kamu sektörü gerekse de özel sektör bazında uygulamalarını temin etmek amacıyla iç düzenlemeler yapması konusunda fikir uyandırılması amaçlanmıştır. Rehber Đlkeler’de otomatik veri işleme yöntemlerinin geliştirilmesiyle beraber çok büyük miktardaki verinin çok kısa bir sürede sınır ötesine iletilme imkanlarına 96 kavuşulduğundan bahisle kişisel verilerle ilgili gizliliğin Erişim: http://www.oecd.org/document/18/0,2340, en_2649_34255_1815186_1_1_1_1,00.html, 05.10.2009. 53 korunmasına dönük ilkeler belirlenmesine ihtiyaç duyulduğu, zira kişisel verilerin kanun dışı yollarla yahut yanlış bilgileri içerecek şekilde kaydedilmesi ve depolanması ya da bunların yetkisiz olarak ifşa edilmesi veya kötüye kullanılması gibi durumların temel insan haklarına aykırı olacağı, son yıllarda geliştirilen yeni bilgisayar ve iletişim teknolojisinin yaygınlaşmasıyla büyük bir hızda artan veri transferleri üzerinde bazı sınırlamalara gidilmesi gerektiği, ancak bu tür sınırlamaların özellikle bankacılık ve sigortacılık gibi ekonomi üzerinde büyük öneme sahip sektörlerde ciddi sorunlara yol açabileceği, o nedenle kişisel verilerin korunması ile veri akışındaki serbestlik arasındaki dengenin titizlikle kurulması gerektiği, ülkelerin iç düzenlemeleri farklılık arz etse de bazı asgari ve temel kriterlere sahip olmasının uluslararası sosyal ve ekonomik ilişkileri açısından yararlı olacağı belirtilmiştir. Rehber Đlkeler’de kişisel veri, belirlenmiş veya belirlenebilir bir birey (veri öznesi) hakkındaki herhangi bir bilgi olarak tanımlanmıştır. Kapsamın gizliliğin ve kişi özgürlüklerinin korunması amacıyla özel ve kamu sektöründe (sadece) otomatik yöntemlerle işlenen kişisel veriler olduğu belirtilmiştir. Bunlara yalnızca ulusal egemenlik, ulusal güvenlik ve kamu politikası ile ilgili istisnalar konulabileceği ifade edilmiştir. Rehber Đlkeler ile ülkelerin minimum düzeyde ele alması gereken 8 temel ilke saptanmıştır: 1) Kişisel Veri Toplanması ve Đşlenmesinin Sınırlı Olması ve Đlkelere Bağlılığı: Bu ilke ile kişisel verilerin toplanması ve işlenmesinin sınırları olması ve verilerin hukuka uygun, meşru yollarla ve mümkün olduğunca veri konusu kişinin bilgisi veya rızası ile elde edilmesinin gerekliliği vurgulanmıştır. 2) Kişisel Veride Kalite Đlkesi: Bu ilke ile kişisel verilerin işlenmesiyle ilgili gerekli nitelikler vurgulanmaktadır. Buna göre, kişisel verilerin güncel tutulması, tam ve doğru olması, kullanılacağı amaçla 54 bağlantılı ve bu amacın gerekleriyle sınırlı olması şartlarına işaret edilmektedir. 3) Kişisel Veri Toplama ve Đşlenmesinde Amacın Belirginliği Đlkesi: Kişisel verilerin toplanmasından önce, bu verilerin toplanmasının amaçlarının belli olması, sonraki kullanımların da bu amaçlarla sınırlı tutulması gereğine değinilmektedir. Toplanma amacının değişebileceği her durumda da, söz konusu değişen amaçların aynı şekilde belirgin olması gerektiği belirtilmektedir. 4) Amaca Uygun Kullanım Đlkesi: Yukarıda sözü geçen ilke ile doğrudan bağlantılı olan bu ilke gereğince, veri konusu kişinin rızası veya kanunun yetki verdiği haller hariç olmak üzere, kişisel verilerin toplandığı ve işlendiği amaçlar dışında kullanılmaması, elde edilebilir hale getirilmemesi veya açıklanmaması öngörülmektedir. 5) Kişisel Verilerin Korunması Đçin Gereken Tedbirlerin Alınması Đlkesi: Bu ilke ile kişisel verilerin, yetkisiz olarak erişilmesi, imhası, kullanılması, değiştirilmesi veya açıklanması ya da kaybolması gibi risklere karşı uygun güvenlik tedbirleriyle korunması gerektiğine dikkat çekilmektedir. 6) Açıklık Đlkesi: Kişisel verilerle ilgili olarak yürütülen politikalar ile uygulamalar ve gelişmeler hakkında genel bir açıklık politikası bulunması gereği vurgulanmaktadır. Veri konusu (öznesi) kişilerin bilgilendirilmesi ve bilgiye erişim hakkı, veriyi tutan kurum tarafından kurum sicili tutulması ve veri kontrolörünün97 kimlik ve adres bilgileri gibi bilgilerin mevcut bulundurulması gibi hususlar açıklık ilkesinin gerekliliklerindendir. 97 Rehber Đlkeler’de verilerin toplanmasından, depolanmasından, kullanılmasından, açıklanmasından vs. sorumlu olan görevli olarak tanımlanmıştır. 55 7) Kişisel Veri Konusu Kişinin Bireysel Katılımı Đlkesi: Kişinin, veri kütüğü sahibinden, onunla ilgili veri olup olmadığına dair bilgi edinmeye; anlayabileceği bir şekilde, makul yollarla, tatbik ediliyorsa aşırı olmayan bir ücretle, makul süre için kendisine ilişkin veriler konusunda bilgilendirilmeye; bilgi edinme ve bilgilendirilme talepleri reddedilirse sebeplerini öğrenmeye, bu gibi reddedilmelere karşı itiraz veya kanun yollarına başvurabilmeye; kendisine ilişkin verilere itiraz edebilme ve haklı itirazı halinde bu verileri sildirmeye, düzeltmeye, eksik ise tamamlatmaya ve değiştirmeye hakkı olması gerektiği vurgulanmaktadır. 8) Sorumlu tutulabilirlik ilkesi: Buna göre veri kütüğü sahibinin, yukarıda belirtilen prensiplere uyulması için getirilen tedbir ve yaptırımlara uymasını temin edecek şekilde sorumlu tutulması sağlanmalıdır. Veri kütüğü sahipleri, getirilen prensiplere uymakla yükümlü tutulmuştur. Bu yükümlülüklerini yerine getirmeyen veri kütüğü sahipleri idarî, hukukî ve cezaî yaptırımlara tâbi olacaktır. Rehber Đlkeler’de üye ülkelerin kişisel verilerin sınır ötesi akışında diğer üye ülkeye kesintisiz ve güvenli biçimde transfer edilmesi hususunda tüm uygun adımları atması gerektiği, bilgi değişimi ile usule ve araştırmaya ilişkin karşılıklı yardımlaşma hususlarında uluslararası işbirliğine gidilmesi ve ülkelerin iç düzenlemelerinin söz konusu ilkelerle uyumlu hale getirilmesi gerektiği de belirtilmiştir. Rehber Đlkeler’in üye ülkeler için resmi bir bağlayıcılığı bulunmamakla birlikte, ulusal sınırları aşan ve birbirlerine karşı bağımlılığı artan bilgi sistem ve ağlarına yönelik tehditler karşısında, başta kamu kurum ve kuruluşları olmak üzere her düzeydeki kullanıcılar tarafından benimsenip uygulanması konusunda hükümetlerin çalışmaları bulunmaktadır. Sözü edilen rehber ilkelerin yayımlandığı 1980 yılından bu yana; bilgi sistemleri ve teknolojilerinin büyük ölçüde değişime uğradığı, ilerleyen 56 teknolojiler ve internetin geniş kapsamlı kullanımının ulusal sınırları aşarak enerji, ulaştırma ve finans gibi önemli altyapıları destekleyerekten şirketlerin işleyişinde, hükümetlerin vatandaşlara ve teşebbüslere sundukları hizmetlerde ve bireylerin iletişim ve bilgi alışverişinde önemli bir rol oynadığı, bilgi alışverişinin doğası, hacmi ve hassasiyeti büyük ölçüde arttığı için temel hak ve özgürlüklerin ve kişisel verilerin korunması amacıyla yeni önlemler getirilmesi gerektiğinden bahisle, OECD üye ülke hükümetlerince şu metinlerin kabul edilerek söz konusu Rehber Đlkeler geliştirilmiştir: 11 Nisan 1985 tarihli “Sınır Ötesi Veri Akışı Bildirisi98”, 26 Kasım 1992 tarihli “Bilgi Sistemlerinin Güvenliği için Rehber Đlkeler” 99 , 27 Mart 1997 tarihli “Kriptografi Politikası Rehber Đlkeleri100”, 7-9 Aralık 1998 tarihli “Küresel Ağlarda Mahremiyetin Korunmasına Đlişkin Bakanlar Konseyi Bildirisi101”. B. Avrupa Konseyi (AK) Kişisel verilerin korunması ile ilgili olarak, Avrupa Konseyi gerek kamu ve gerek özel sektör kurum ve kuruluşlarında göz önünde bulundurulması gereken ilkeleri saptamak ve konunun ulusal düzeyde çıkarılacak mevzuat ile düzenlenmesine ön ayak olmak amacıyla üye devletleri bağlayıcılığı olan bir belgeyi kabul etmiştir: 28 Ocak 1981 tarih ve 108 sayılı “Kişisel Nitelikteki 98 Erişim: http://www.oecd.org/document/60/0,3343,en_2649_34255_2373500_1_1_1_1,00.html, 05.10.2009. 99 Erişim: http://www.oecd.org/document/19/0,3343,en_2649_34255_1815059_1_1_1_1,00.html, 05.10.2009. 100 Erişim: http://www.oecd.org/document/34/0,3343,en_2649_34255_1814690_1_1_1_1,00.html, 05.10.2009. 101 Erişim: http://www.oecd.org/dataoecd/39/13/1840065.pdf, 05.10.2009. 57 Verilerin Otomatik Đşleme Tabi Tutulması Karşısında Şahısların Korunmasına Dair Sözleşme”.102 Sözleşme aynı tarihte diğer Avrupa Konseyi üyeleriyle birlikte Türkiye tarafından da imzalanmış, ancak iç mevzuata ilişkin Kanun Tasarısı çalışmaları tamamlanmadığından henüz onaylanmamıştır.103 Sözleşmenin yürürlüğe girmesi 1985 yılında mümkün olabilmiş, belge ile ilgili olarak bu güne kadar çeşitli tavsiye kararları alınmış, 1999 yılında da belgede bazı değişiklikler yapılmıştır. Bununla beraber Belge yalnız Avrupa ülkelerinde değil bütün dünyada kabul görmüş ve ulusal mevzuatın hazırlanmasında göz önünde bulundurulmuştur.104 Toplam 27 maddeden oluşan Sözleşme, özel hayata saygı değerlerinin ve sınır ötesi bilgi akışının yeniden yapılandırılması ve bilgilerin otomatik işleme tabi tutulması hususlarını kişisel verilerin korunması odaklı olarak düzenlemektedir. Anlaşmanın temel amacı, 1’inci maddesinde de belirtildiği üzere, sınırları dahilinde bu anlaşmayı imzalayan taraflardan her birine ait tüm gerçek kişilerin, uyruk ve ikametleri ne olursa olsun, temel hak ve özgürlüklerini ve özellikle kendilerini ilgilendiren kişisel nitelikteki verilerin, otomatik bilgi işleme tabi tutulması karşısında özel yaşam haklarını güvence altına almaktır. Anlaşmanın tanımlar kısmında (madde 2); “kişisel nitelikteki veriler”, kimliği belirtilen veya belirtilebilen gerçek kişiyle ilgili tüm bilgiler olarak; “otomatik işlem”, tamamı veya bir kısmı otomatik yöntemlerle gerçekleştirilen verilerin kaydı, bu verilere biyolojik ve/veya aritmetik işlemlerin uygulanışı, verilerin değiştirilmesi, silinmesi, çıkarılması veya dağıtılması olarak ifade edilmiştir. 102 Erişim: http://www.avrupakonseyi.org.tr/antlasma/aas_108.htm, 05.10.2009. 103 Sözleşmenin 4’üncü maddesi gereğince, Sözleşmenin onaylanabilmesi için imzalayan devletin Sözleşmede öngörülen ilkeler çerçevesinde bir yasa kabul etmesi zorunludur. 104 Necdet KESMEZ, “Kişisel Verilerin Korunması Üzerine”, Bilişim Şurası, Erişim: http://bilisimsurasi.org.tr/listeler/tbs-hukuk/Mar/att-0044/01K___SEL_VER_LER_N_KORUNMASI.doc, 05.10.2009, s.2-3. 58 Anlaşmanın kapsamı özel ve kamu sektöründeki kişisel nitelikteki verilerin otomatik işleme tabi tutulması konusundaki uygulamayı içermektedir. Ancak taraflar dilerlerse topluluklar, dernekler, vakıflar, şirketler, tüzel kişilikten yararlanan veya yararlanmayan ve gerçek kişileri doğrudan veya dolaylı olarak bünyesinde toplayan diğer kuruluşlarla ilgili bilgiler hakkında uygulayacağını; ayrıca otomatik bilgi işlem konusuna girmeyen kişisel nitelikteki veriler hakkında uygulayacağını bildirebilirler. “Verilerin Nitelikleri” başlıklı 5’inci maddede otomatik bilgi işlemeye konu teşkil eden kişisel nitelikteki verilerin şu özelliklere sahip olması gerektiği kesin olarak belirlenmiştir: Meşru ve yasal yoldan elde edilmeli ve işleme tâbi tutulmalıdır, Belli ve meşru amaçlar için kaydedilmeli ve bu amaca aykırı şekilde kullanılmamalıdır, Uygun ve elverişli olmalı ve kaydedildikleri amaca göre aşırı olmamalıdır, Doğru ve icabında güncel olmalıdır, Đlgili kişilerin kimliklerini belirtecek bir biçim altında ve kaydedildikleri nihai amaç için gerekli görülen süreyi aşmayacak bir süre için muhafaza edilmelidir. Sözleşmenin “Özellikli (hassas) Veri Kategorileri” başlıklı 6’ncı maddesine göre; iç hukukta uygun güvenceler sağlanmadıkça, ırk menşeini, politik düşünceleri, dini veya diğer inançları ortaya koyan kişisel nitelikteki verilerle sağlık veya cinsel yaşamla ilgili kişisel nitelikteki veriler ve ceza mahkûmiyetleri, otomatik bilgi işlemine tâbi tutulamazlar. Sözleşmeye göre herkes; hakkındaki kişisel nitelikteki verilerin otomatik işleme tâbi tutulup tutulmadığını, tutulmuşsa tutulma amaçlarını, tutan görevlinin kimliğini ve mutat ikametgahı ile esas müessesesini 59 öğrenmek, makul aralıklarla ve süreye bağlı olmaksızın veya aşırı masrafa girmeden kendisi ile ilgili kişisel nitelikteki verilerin bulunup bulunmadığının teyidini yaptırtmak, gerekiyorsa bu verileri düzelttirmek veya verileri sildirtmek, bildirim, düzeltme veya silme talebinin yerine getirilmemesi halinde Kanun yoluna başvurma hakkından yararlanmak hakkına sahiptir. Sözleşmenin 9’uncu maddesi, yukarıda belirtilen hükümlere istisna getirmiş ve söz konusu işlemler; Devlet güvenliğinin korunması, kamu güvenliği, devletin mali menfaatleri veya suçların önlenmesi için zorunlu bir önlem teşkil ediyorsa, Đlgili şahsın korunması ve başkasının hak ve özgürlükleri için zorunlu bir önlem teşkil ediyorsa, Đstatistik veya bilimsel amaçlar için kullanılan kişisel nitelikteki verilerin otomatik bilgi işleme tâbi tutulması söz konusu ise, Bu hükümlerden ayrılmanın ihlal sonucunu doğurmayacağı belirtilmiştir. Devletler verilerin korunması hakkındaki temel ilkelere işlerlik sağlayan iç hukuk kurallarının ihlaliyle ilgili uygun yaptırım ve kanun yolları getirmekle yükümlü tutulmuştur. Nihayet, verilerin işleme tabi tutulması, korunması ve saklanması başta olmak üzere güvenliklerine ilişkin esaslar da kayıt altına alınmıştır. Kişisel verilerin sınır ötesi akışı, kişisel veriler konusunda ilgili taraf ülkeler arasındaki işbirliğinin ne şekilde cereyan edeceği, yapılan yardım taleplerinin hangi hallerde yerine getirilebileceği, anlaşma hükümlerine uygun olarak oluşturulacak Danışma Komitesi’nin yapısı, ülkelerin anlaşmayı imza ve kabul şartları ile uyulması gereken diğer hususlar sözleşmenin ilgili maddelerinde belirlenmiştir. Avrupa Konseyi tarafından hazırlanmış olan uluslararası sözleşmeden bu yana geçen 20 yılı aşkın süre içerisinde, başta internet olmak üzere 60 bilişim ve iletişim teknolojilerinin adeta birbiriyle birleşmesi şeklinde ortaya çıkan gelişmeler, kişisel verilerin korunması hakkının alanını genişletmiş ve önemini çok artırmıştır. Gerçekten bu gelişmeler, istihdam, istatistik, bankacılık, sosyal güvenlik, sağlık, sigortacılık, pazarlama, elektronik haberleşme, e-iş ve e-ticaret gibi alanlarda düzenlenmekte olan kişisel veriler için özel kural ve ilkeler konulmasını gerektirecek boyutlara erişmiştir.105 Sözleşmeye göre, hükümlerin uygulaması ve değişiklikler hakkında görüş oluşturulması amacıyla taraf devletlerin gönderecekleri birer temsilciden oluşturulan Danışma Komitesi’nin çalışmaları sonucunda Avrupa Konseyi Bakanlar Komitesi aşağıdaki konularda tavsiye kararları almış bulunmaktadır106: 23.01.1981 tarih ve 1 sayılı Tavsiye: Otomatik işlem yapan tıbbi veri bankalarının düzenlenmesi. 23.09.1983 tarih ve 10 sayılı tavsiye: Bilimsel araştırma ve istatistik amaçlı kişisel verilerin korunması. 25.10.1985 tarih ve 20 sayılı Tavsiye: Pazarlama amaçlı kişisel verilerin korunması. 23.01.1986 tarih ve 1 sayılı Tavsiye: Sosyal güvenlik amaçlı kişisel verilerin korunması. 17.09.1987 tarih ve 15 sayılı Tavsiye: Poliste tutulan kişisel verilerin korunması. 18.01.1989 tarih ve 2 sayılı Tavsiye: Đstihdam amaçlı tutulan kişisel verilerin korunması. 105 106 KESMEZ, a.g.m., s.3. Tekin AKILLIOĞLU, “Đdari Usul ve Kişisel Verilerin Korunması”, Erişim: http://www.idare.gen.tr/akillioglu-idariusul.htm, 05.10.2009. 61 13.09.1990 tarih ve 19 sayılı Tavsiye: Ödeme ve benzer amaçlı öteki işlemlerde kişisel verilerin korunması. 09.09.1991 tarih ve 10 sayılı Tavsiye: Kamu kuruluşları tarafından tutulan kişisel verilerin üçüncü kişilere verilmesi. 07.02.1995 tarih ve 4 sayılı Tavsiye: Telekomünikasyon ve özellikle telefon hizmetlerinde kişisel verilerin korunması. 13.02.1997 tarih ve 5 sayılı Tavsiye: Tıbbi verilerin korunması. 30.09.1998 tarih ve 17 sayılı Tavsiye: Đstatistik amacıyla toplanan ve işlenen verilerin korunması. 23.02.1999 tarih ve 5 sayılı Tavsiye: Đnternette özel hayatın korunması. 18.09.2002 tarih ve 9 sayılı Tavsiye: Sigorta amacıyla toplanan ve işlenen kişisel verilerin korunması. 1973 tarih ve 22 sayılı Bakanlar Komitesi Kararı: Özel kesimdeki elektronik veri bankları. 1974 tarih ve 29 sayılı Bakanlar Komitesi Kararı: Kamu kesimindeki elektronik veri bankaları. Bu süre içinde konuya ilişkin gereksinimler çeşitli ulusal ve uluslararası forumlarda tartışılmış, çeşitli ulusal ve uluslararası belgeler hazırlanmıştır. Bu gün, konu hakkında genel olarak Kişisel Verilerin Korunması Hakkında Kanun başlığını taşıyan belgeler gerek Birleşmiş Milletler ve Avrupa Birliği gibi uluslarüstü gerekse de bir çok ülkede ulusal mahiyetteki belgeler ortaya çıkarılarak konuya intibakın sağlanmasına çalışılmaktadır. Bununla beraber, 62 Avrupa Konseyi tarafından kabul edilen bu Sözleşme, bağlayıcı tek uluslararası belge olma niteliğini hala korumaktadır.107 C. Birleşmiş Milletler (BM) Kişisel verilerin korunmasına dair uluslararası çalışmalardan biri de Birleşmiş Milletler tarafından sergilenmiştir. 14 Aralık 1990 tarihinde Birleşmiş Milletler Genel Asamblesi’nin 45/95 sayılı kararı ile “Bilgisayarla Đşlenen Kişisel Veri Dosyaları Hakkında Rehber Đlkeler” (Guidelines for the Regulation of Computerized Personal Data Files)108 adını taşıyan belgede, bilgisayar ortamında işlenen kişisel verilerin korunmasıyla ilgili olarak devletlerin ulusal mevzuatlarında asgari düzeyde düzenlemesi gereken bir takım ilkelere yer verilmiştir. Aşağıda sözü edilen ilkeler ve kısa bir açıklaması verilmektedir:109 1) Yasallık ve Dürüstlük: Kişisel veriler kanuna aykırı ve dürüst olmayan yollarla toplanmamalı, toplanış amacına, temel hak ve özgürlüklerle ilgili ilkelere aykırı olarak kullanılmamalıdır. 2) Doğruluk: Toplanan verilerin doğruluğu kontrol edilmeli, doğru ve eksiksiz olarak saklanmalı, güncelliğini sağlamak için saklandığı süre zarfında düzenli olarak kontrole tabi tutulmalıdır. 3) Amacın Belirli ve Haklı Olması: Kişisel verilerin hangi haklı amaçla toplandığı başlangıçta kesin olarak belirlenmeli ve bu amaç bütün ilgililere açık olarak bildirilmelidir. 107 KESMEZ, a.g.m., s.3. 108 Erişim: http://www.unhcr.org/refworld/type,THEMGUIDE,UNGA,,3ddcafaac,0.html, 05.10.2009. 109 KESMEZ, a.g.m., s.5-6. 63 4) Đlgili Kişilerin Erişme Hakkı: Kişisel veri ile ilgili olarak, kimliğini kanıtlamak koşulu ile kişi kendisi hakkında toplanan bilgilerin ne gibi bir işleme tabi tutulduğunu öğrenebilmeli ve bunların anlaşılabilir biçimdeki bir örneğini aşırı bir masraf ve zaman kaybı olmadan elde edebilmelidir. 5) Ayrımcılıktan Kaçınma: Kişinin etnik kökeni, ırkı, cinsel yaşamı, dini veya felsefi inançları gibi duyarlıklı konularla ilgili bilgiler ancak yasanın izin verdiği haklı ve gerekli durumlarda toplanmalıdır. 6) Đstisna Koyma Yetkisi: Görevli makamlara, ulusal güvenliği, kamu düzenini, halk sağlığını, genel ahlakı korumak veya diğer kişilerin hak ve özgürlüklerine zarar vermemek amacıyla Yasallık ve Dürüstlük, Doğruluk, Amacın Belirli ve Haklı Olması, Đlgili Kişilerin Erişme Hakkı ilkeleri ile ilgili önlemlerden ayrılma yetkisi tanınabilir. Ancak bu yetkinin kapsamı ve sınırları kanunda açıkça belirlenmelidir. Ayrımcılıktan kaçınma ilkesine getirilecek istisnanın her halükarda temel hak ve özgürlüklere aykırı olmaması gerekir. 7) Güvenlik: Kişisel verilerin toplanması, saklanması ve işlenmesi ile görevli bütün kurum ve kişiler bu verilerin doğal afetler ve kazaların ve insanların işleyecekleri hata, kusur ve suçların yaratacağı tehlikelere karşı korunması için her türlü önlemi almalıdırlar. 8) Denetim ve Yaptırım: Kişisel verilerin korunması ile ilgili düzenlemelerde öngörülen ilke ve kuralların uygulanması, önlemlerin alınması ve gerekli denetimlerin yapılması sorumluluğu tarafsız, yetkin ve adil bir makama verilmelidir. 9) Sınır Ötesi Veri Aktarımı: Kişisel verilerin saklanmakta olduğu ülkeden başka bir ülkeye aktarılması için her iki ülkenin ulusal mevzuatlarının bu aktarmaya izin vermesi yanında, verinin gönderileceği ülkenin bu veri için sağladığı korumanın verinin 64 bulunduğu ülkede sağlanan korumadan daha aşağı düzeyde olmaması gerekir. Ç. Avrupa Birliği (AB) Avrupa Birliği dört temel düşünce üzerine kurulmuştur: Malların, kişilerin, hizmetlerin ve sermayenin serbest dolaşımı. Bu dört temel hedefin yerine getirilmesinde kişisel verilerin toplanması ve işlenmesi bir zorunluluk arz etmekte olduğundan dolayı, Avrupa Birliği’nde kişisel verilerin korunmasını amaçlayan kurallar, enformasyon teknolojisinin gelişimi ile beraber AB içinde ortak pazarın gereklerini dikkate almak ve serbest veri trafiğini temel haklara uygun işletmek gayesiyle yürürlüğe konulmuştur.110 Avrupa Birliği’nde yeknesak bir hukuk düzeninin yaratılmasında temel kaynak AT’nin yürürlüğe koyduğu direktif (yönerge) lerdir. Bu doğrultuda, yeknesak bir veri koruması hukukunun oluşturulması çabaları, Avrupa Birliğinin 108 sayılı Avrupa Konseyi sözleşmesine taraf olduğu 1981 yılına dayanır. Sözleşmenin imzalanmasının ardından 1990 yılında kendi iç düzenlemesini oluşturmak amacıyla konuya ilişkin bir direktif taslağı hazırlanması çalışmaları başlar. Söz konusu çalışmalar veri trafiğini topluluk topraklarında kolaylaştırmak, kişisel verilerin işlenmesinde kişiler için yüksek bir koruma eşiği yaratmak ve ayrıca verilerin işlenmesinde güvenliğin arttırılması hedeflenmiştir. 24 Ekim 1995 tarihinde Avrupa Parlamentosu ve Konsey, 95/46/EC sayılı “Kişisel Verilerin Đşlenmesinde Gerçek Kişilerin Korunması ve Verilerin Serbest Dolaşımı Direktifi”ni111 yürürlüğe koymuştur. Direktifin başlıca amacı Avrupa Topluluğu’nda bu konuda saydam ve süreklilik arz eden hukuki bir çerçeve oluşturarak kişisel verilerin serbest trafiğini temin etmek şeklinde özetlenebilir. Nitekim bu amaç altında bilgi 110 111 BAŞALP, a.g.e., s.6. Erişim: http://eurlex.europa.eu/smartapi/cgi/sga_doc?smartapi!celexapi!prod!CELEXnumdoc&lg=en&numdoc=31995 L0046&model=guichett, 05.10.2009. 65 toplumunun ve hizmet sektörünün gelişimi kolaylaştırılacak ve aynı zamanda kişisel verilerin işlenmesinde gerçek kişiler için yüksek bir koruma düzeyi sağlanmış olacaktır.112 Şüphesiz söz konusu direktif kişisel verilerin korunması hakkı açısından büyük önem taşımaktadır. 15 Aralık 1997’de Avrupa Parlamentosu ve Konsey “Telekomünikasyon Alanında Kişisel Verilerin Đşlenmesi ve Mahremiyetin Korunması Direktifi”ni113 yürürlüğe koymuştur. Avrupa’da spesifik bir veri koruması hukuku düşüncesinin temeli olan 97/66/EC sayılı Direktif, 1995 tarihli genel direktifin tamamlayıcısı olma özelliğine sahiptir. Bu arada, kişisel verilerin korunması hakkı temel hak olarak bundan dört sene sonra, 2001 tarihinde, Temel Hak ve Hürriyetler Şartı’nın sekizinci maddesinde yerini almıştır. Ardından 12 Temmuz 2002 tarihinde 2002/58/EC sayılı “Elektronik Đletişimde Kişisel Verilerin Đşlenmesi ve Gizliliğinin Korunması Direktifi”114 yürürlüğe girmiştir. Bu direktif de 1995 tarihli direktifi elektronik iletişim alanında tamamlayıcı nitelikte olup, ondan farklı olarak tüzel kişilerin bu alandaki haklı çıkarlarını da korumaktadır.115 Nihayet, telekomünikasyon sektöründe düzenleyici hükümler barındıran ve 2002/58 sayılı Direktifi geliştirmek amacıyla 15.03.2006’da 2006/24/EC sayılı “Kamuya Açık Haberleşme Hizmetleri veya Kamu Haberleşme Şebekesi ile Bağlantılı Olarak Üretilen veya Đşlenen Verilerin Saklanması Hakkında Direktif”116 çıkarılmıştır. Avrupa Topluluğu’nu kuran anlaşma göz önünde bulundurulduğunda, veri işleme sistemlerinin insana hizmet vermek amacıyla tasarlanmış olması 112 BAŞALP, a.g.e., s.7-8. 113 Erişim: http://www.dataprotection.ie/viewdoc.asp?m=l&fn=/documents/legal/6aiii.htm, 05.10.2009. 114 Erişim: http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:32002L0058:EN:NOT, 05.10.2009. 115 116 BAŞALP, a.g.e., s.8-9. Erişim: http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:32006L0024:ES:HTML, 05.10.2009. 66 nedeni ile gerçek kişilerin ikamet yerleri veya milliyetleri ne olursa olsun, bu sistemlerde bilhassa özel hayata saygı hakkı gibi bireylerin temel hak ve özgürlüklerine saygı gösterilmesi ve bu sistemlerin toplumsal ilerlemeye, ticaretin yayılmasına ve bireylerin refahına katkıda bulunması gerekliliğine dayanarak verilerin korunması ile ilgili bu düzenlemeler kabul edilmiştir. 34 maddeden teşekkül eden 95/46/EC sayılı “Kişisel Verilerin Đşlenmesinde Gerçek Kişilerin Korunması ve Verilerin Serbest Dolaşımı Direktifi’nde amacın gerçek kişilerin haklarının korunması ve özellikle özel hayatın korunması gibi sebeplerle veri trafiğinin engellenmesinin önüne geçilmesi olduğu belirtilmiştir. Zira üye ülkelerdeki veri koruma düzenlemeleri arasındaki farklılık, ortak pazarın oluşumu ve işleyişi açısından bir engel oluşturacaktır. Bu nedenle veri koruma düzeyi direktifte öngörülen standardın altında belirlenemeyecek, ancak üye devletler ulusal veri koruma yasalarında direktifteki koruma düzeyinin üzerinde düzenlemeler ihdas edebilmektedirler. Üye devletlerden beklenen yeterli düzeydeki korumayı sağlayan çekirdeğini aşağıda inceleyeceğimiz 5 ila 17’nci maddeler arasında düzenlenen temel ilkeler çerçevesinde hukuk düzenlerini uyumlu hale getirmektir.117 Bu şekilde direktifte düzenlenen hususlar asgari düzeyde olmak üzere ülkeler kendi iç mevzuatlarını oluşturmuşlardır. Direktif ile oluşturulmak istenilen koruma ile amaçlanan, bir saldırının ortaya çıkması halinde sağlanacak korumadan ziyade olası saldırılara karşı önleyici olma niteliğine sahip bir düzenin oluşturulmasıdır. Bu sebeple, kişilik hakkına muhtemel saldırıları en aza indirgeyecek saldırı öncesi sistemli koruma sağlanmalıdır. Nitekim örneğin Alman hukukunda kişiye, kişilik hakkına dayanarak kişisel verilerinin, hangi şartlar altında açıklanabileceği ve bu bilgilerin nasıl kullanılacağı konusunda münhasır bir karar yetkisi tanınmış ve bu sayede kişinin hangi kişisel verilerinin kimlere iletileceğini kontrol 117 BAŞALP, a.g.e., s.13. 67 edebilme imkanı sağlanmıştır.118 Bu durum kişilerin kendi verilerine ulaşılabilmesini tayin etme hakkı tanıdığından, kişinin rızasını ön plana çıkarmaktadır. Direktifin 2’nci maddesinde “kişisel veri”, bir gerçek kişi ile ilgili olabilecek ve onu belirlenebilir kılacak her türlü bilgi olarak; “kişisel verilerin işlenmesi” otomatik ya da otomatik olmayan prosedür yoluyla geçekleştirilen, kişisel verilerin toplanması, elde edilmesi, kaydedilmesi, organize edilmesi, saklanması, değiştirilmesi, okunması, sorulması, kullanılması, transfer yoluyla başkalarına verilmesi, yayılması ya da hazır bulundurulması için yapılan işlemlerle bunun yanı sıra verilerin kombinasyonu ya da ilişkilendirilmesi ve hatta bloke edilmesi, silinmesi ya da yok edilmesi suretiyle gerçekleştirilen her türlü işlem olarak tanımlanmaktadır. Yönergenin öngördüğü kapsam, verilerin işlenmesinin otomatik surette olup olmamasına dayanmaktadır. Ancak bunun yanı sıra erişim organize edilmiş otomatik olmayan işlemler dahi koruma kalkanı altında yer alacaktır. Direktif kural olarak tüzel kişiler hakkında tutulan verileri uygulama alanı dışında tutmuş, ancak tüzel kişilere ilişkin verilerle bir gerçek kişiye ulaşmak olanak dahilindeyse kapsam dahilinde tutmuştur. Ayrıca, kamu sektörü-özel sektör şeklindeki yerleşik ayrımdan uzaklaşarak verileri işleyenin kimliğinden bağımsız olarak herkes için direktif hükümlerini geçerli kılmıştır. Yani, verilerin işlenmesinden sorumlu olan kişiler, verilerin işlenmesinde gözetilen gaye ve yöntemler konusunda karar verme statüsünde olan gerçek ya da tüzel kişi, kurum ve resmi kurumlardır.119 Direktifin bu anlamda kapsamı gayet geniş tutulduğu için, kişisel verilerin korunması hakkı azami ölçüde göz önünde bulundurulmuştur. 118 BAŞALP, a.g.e., s.13-14. 119 BAŞALP, a.g.e., s.18-19. 68 Direktifin “Veri Kalitesine Đlişkin Đlkeler” başlıklı 6’ncı maddesinde, kişisel verilerin hukuka ve dürüstlük kuralına uygun şekilde işlenmesi için şu ilkeler öngörülmüştür:120 Amaca Bağlılık: Verilerin ancak ve ancak hukuka uygun, açık ve sınırları kesin olarak belirlenmiş bir amaç doğrultusunda toplanması ve işlenmesi ilkesidir. Bu ilkeye dayanarak somut olayda verilerin işlenmesinden önce ilgili hangi amaçla verilerinin toplandığını öğrenebilecektir. Belirli Amaçların Varlığı Halinde Amaca Bağlılık Varsayımı: Tarihi, istatistiksel veya bilimsel amaçlar için verilerin işlenmesinde amaca bağlılık varsayılmaktadır. Ancak üye devletlerce yeterli garantilerin oluşturulması gerekmektedir. Gereklilik Đlkesi ve Depolama Yasağı: Đşlenen kişisel veri ulaşılmak istenen amaçla bir illiyet bağı içinde olmalıdır. Toplanan veriler ancak anılan amaç için gerekli iseler işleme tabi tutulabilecektir. Öte yandan, öngörülen amaca gelecekte hizmet edebilecek verilerin depolanması da yasaklamıştır. Maddi Gerçeklik, Veri Güncelliği, Silinme ve Düzeltme: Verilerin maddi doğruluğunun, güncelliğinin temin edilmesi, buna aykırı bir durum olması halinde veriler silinebilmeli yahut düzeltilebilmelidir. Saklanma Süresi: Erişilmek istenen amacın gerçekleşmesine kadar verilerin saklanması hukuka uygun iken, bu sürenin aşılması halinde verilerin saklanmaya devam edilebilmesi için verilerin anonimleştirilmesi şartı aranmaktadır. Direktifin 7’nci maddesi, kişisel verilerin işlenmesinde hukuka uygunluk sebeplerini düzenlemektedir. Kural olarak kişisel verilerin işlenmesi yasaktır; 120 BAŞALP, a.g.e., s.20-22. 69 ancak, aşağıdaki hallerden birinin varlığı halinde bu yasağın uygulama alanı daraltılabilecektir:121 Đlgilinin (Veri Öznesinin) Rızası: Hakkındaki kişisel verileri işlenen kişinin (veri öznesinin) rıza beyanı, kişisel verilerin işlenmesinde hukuka aykırılığı gideren başlıca faktördür. Yönergenin 2’nci maddesine göre rıza beyanı, hiçbir baskıya maruz kalmaksızın mevcut durumun bilincinde olarak somut işlemle sınırlı yapılan her türlü irade açıklamasını kapsamaktadır. Diğer bir deyişle, irade açıklamasında bulunan kişinin kişisel verilerinin işlenmesini kabul ettiğini tereddüde yer vermeyecek şekilde ve açıkça bildirmelidir. Bu, kişisel veriler azami ölçüde korunurken zorlama yorumlardan kaçınmayı ve fakat pratik ihtiyaçları da yorumda dikkate almayı gerektirir. Örneğin, sınır aşan para transferlerinde, bankalara verilmiş havale emri tereddüde yer verilmeyecek şekilde kişisel verilerin işlenmesi konusundaki rıza beyanını da zımnen beraberinde getirecektir. Sözleşmenin Đfası ve Sözleşme Öncesi Tedbirlerin Đcrası: Sözleşme ilişkisi nedeniyle gerçekleştirilmesi gereken işlemler ile sözleşme öncesi dönemde ilgili kişinin talebiyle sözleşme öncesi tedbirlerin icrası için gerekli işlemler, kişisel verilerin işlenmesini hukuka uygun kılar. Hukuki Yükümlülüğün Yerine Getirilmesi: Kişisel verilerin sorumlular tarafından bağlı oldukları ulusal düzenlemeler ve AB mevzuatı uyarınca işlenmesi hukuka uygun olacaktır. Bu çerçevede örneğin vergi hukuku ya da sosyal güvenlik hukuku çerçevesinde kişisel verilerin işlenmesi bu başlık altında değerlendirilebilecektir. Đlgili Kişinin Hayati Çıkarlarının Korunması: Hukukumuzdaki üstün özel yarar kavramı buna denk gelen ve verileri işlenecek olan kişinin 121 BAŞALP, a.g.e., s.23-26. 70 hayati çıkarlarının bu sayede korunması kişisel verilerin işlenmesini hukuka uygun kılan sebeplerden biridir. Kamu Yararı veya Kamu Düzeni Gereği Görev Đfası: Hayati çıkarlarının varlığına rağmen sağlık sorunları gibi herhangi bir sebepten dolayı ilgili kişinin rızasının alınması olanak dahilinde değilse, artık ilgilinin kişisel verilerinin kamu menfaati gereği hukuken bu konuda yetki sahibi olan kişilerce işlenmesinin önünde mani yoktur. Haklı Çıkarların Korunması: Verilerin işlenmesinden sorumlu olan şahıs ile kişisel verileri işlenen kişinin çıkarları arasındaki menfaat dengesinin gözetilmesi, bu kapsamda haklı çıkarlar verilerin işlenmesini gerekli kılıyorsa, kişisel verilerin işlenmesinin hukuka uygun olması gerekmektedir. Direktifin 8’inci maddesinde özel nitelikli (hassas) verilerin korunmasına yönelik özel düzenlemelere gidilmiştir. Kişisel verilerin genel işlem yasağına tabi tutulması ve sadece belli koşullarla işlenebilmesine karşılık, hassas verilerin ayrı bir madde altında farklı bir statüye tabi tutulmuş olmasının ardındaki temel amaç, bu verilerin başkalarınca öğrenilmeleri halinde özellikleri gereği ilgili kişinin mağduriyetine yol açabilmeleri olasılığının, diğer ifadeyle ayrımcılık tehlikesinin bertaraf edilmesidir.122 Maddede kişilerin ırki veya etnik kökenine, siyasi görüşlerine, dini veya felsefi inançlarına ve sağlık veya cinsel yaşamlarına ilişkin verilerinin işlenmesini önleyici tedbirler alınması gerekliliği belirtilmiştir. Madde hükümlerinde Avrupa Konseyi’nin 108 no’lu Sözleşmesinin 6’ncı maddesi ile örtüşecek biçimde hangi verilerin hassa veri niteliğinde olduğu sayma yöntemiyle belirlenmiş, bu verilerin işlenmesi konusunda kesin bir işlem yasağı getirilmiş, çeşitli istisnalar ile kesin işlem yasağına nitelikli sınırlar çizilmiş, idari cezaları ve mahkemelerce kurulan hükümleri de kapsayan suçlarla ilgili bütün verilerin 122 BAŞALP, a.g.e., s.28-29. 71 korunması konusunda özel bir hüküm ihdas edilmiş, ulusal kimlik numaraları ile kamusal öneme sahip başka tanıtıcı işaretler konusundaki işlemler hakkında düzenlemeler yapılmıştır. Kural olarak işlem yasağı getirilmiş olmakla beraber; verilerin ilgilinin rızası, verilerin iş hukuku çerçevesinde işlenmesi, kişinin hayati çıkarların korunması, verilerin kamuya yararlı kurum ve kuruluşlar tarafından işlenmesi, kişinin kendisi tarafından kamuya açıklanması, yargılama nedeniyle işlenmesi, tıbbi tedbirler çerçevesinde işlenmesi, önemli kamusal yararın bulunması, verilerin cezalara dair olması, ulusal kimlik numarasının tutulması durumlarında istisnai olarak işlenebileceğine dair hüküm getirilmiştir. 10 ve 11’inci maddeler ilgilinin haberdar edilmesi ilkesi kapsamında, kendilerine verileri sorulan kişilere sorumlularca bilgi verilmesi gerektiği düzenlenmiştir. Bu kapsamda; veriyi tutmakla sorumlu kişinin kimliği, verilerin işlenmesinde güdülen amaç, verilerin alıcısı, soruların cevaplanmasının zorunlu olup olmadığı, zorunlu ise cevaplamama halinde olası yaptırımlar, bilgi edinme ve düzeltme hakkının varlığı şeklinde ilgili kişilere bilgi verilmelidir. Ayrıca, verilerin kaydedilmeye başlanması ile beraber verilerin ilgili kişinin haberdar edilmesini sağlanmalıdır. Üçüncü kişilere transfer edilecek verilerde ise en geç ilk transferle beraber ilgili kişi haberdar edilmelidir. Elbette ki veriler akademik ya da istatistiksel amaçlarla işleniyorsa veya yasa gereği verilerin kaydedilmesi ya da transferi açıkça öngörülmüşse, bu işlemler bu yükümlülüğe tabi olmayacaktır. 12-15’inci maddelerde “Verileri Đşlenen Kişilerin Hakları” başlığı altında bilgi edinme hakkı, verilerin düzeltilmesi, silinmesi ve bloke edilmesi hakkı ve ilgilinin itiraz hakkı düzenlenmiştir. Bilgi edinme hakkı kapsamında; ilgilinin verilerine serbestçe ve engellenmeksizin ulaşabilmesi, uygun aralıklarla verileri hakkında bilgi edinebilmesi, verilerde değişiklik olmasa bile dair bilgi edinebileceği, ilgili hakkında veri toplanmamışsa bile veri toplanmadığını gösterir bir tespit yazının alınabileceği, verilerin hangi amaçla toplandığı, işlendiği veya transfer edildiği bilgisini edinebileceği hususları yer almaktadır. 72 Ayrıca verileri işlenen kişiler bu verilerle ilgili olarak itiraz edebileceklerdir. Haklı itiraz halinde itiraz konusu verilerin düzeltilmesi, silinmesi ve bloke edilmesi imkanı tanınmıştır. Bilgi verme açıkça anlaşılır olmalı, ilgilinin transfer edilen verilerinin işlenmesi ve bu işlemlerin doğuracağı fiilî ve hukuki sonuçları konusunda fikir sahibi olması ve edinilen bu bilgiler çerçevesinde ise itiraz hakkının bulunduğu belirtilmelidir. Direktife göre kişisel verilerin işlenmesi yasağına ulusal düzenlemelerle getirilen istisnalar şunlardır: Devlet güvenliği ve ülke savunması, Kamu güvenliği, Hukuki düzenlemeye tabi mesleki kuralların ihlali ve suçların önlenmesi, soruşturulması ve kovuşturulması, AB’nin üyesi devletin iktisadi çıkarlarının korunması, Kamusal gücün kullanılmasını gerektirecek durumların varlığı, Đlgilinin ve üçüncü kişilerin hak ve özgürlüklerinin korunması, Bilimsel araştırma ve istatistik. Bunun dışında, Direktifin çeşitli maddelerinde kişisel verilerin işlenmesinde usule dair ilkeler, işlem gizliliği ve güvenliği, iş görme yoluyla verilerin işlenmesi, bildirim yükümlülüğü, ön denetim organı, yargı yolu ve sorumluluk, üçüncü ülkelere veri transferi, davranış kuralları, denetim organları, veri koruması grubu gibi hususlarda düzenlemeler yapılmıştır. Üçüncü ülkelere veri transferi hususunda Direktif bazı sınırlamalar getirmiştir. Buna göre123, AB toprakları dışındaki bir ülkeye kişisel verilerin 123 BAŞALP, a.g.e., s.60-69. 73 iletilebilmesi, bu ülkenin veri koruması mevzuatının AB ölçütlerine göre uygun nitelikte olmasına bağlıdır. Zira aranılan yeterlilik kriterlerini taşımayan üçüncü ülkelere üye devletlerden veri transferi, 25’inci madde uyarınca yasaktır. Bir ülkenin veri koruması mevzuatının uygun nitelikte olması şartı olarak; o ülkenin mevzuatına ve iç hukukunun işleyişine göre temel hak ve hürriyetlerin korunması ile kişinin özel alanının korunmasındaki düzey, transfer edilen verilerin niteliği (özellikle hassas olup olmamaları), ilgililerin kimliğinin belirlenebilirliği, transferde amaca bağlılık, verilerin hangi boyutta farklı işlem çeşitlerine konu olduğu, ilgililerin bilgi edinme hakkının olup olmadığı, kişisel verilerin hukuka uygun işlenmesinde denetleyici organların varlığı ve etkinliği, verilerin hukuka aykırı işlenmesinde sorumluluk ve uygulanan yaptırımlar ile izin verilen transfer üzerine izni aşan yeni transferlerin sınırlanması da dikkate alınacaktır. Veri Koruması Grubu 124’nun Haziran 1997 tarihinde "Üçüncü Ülkelere Kişisel Verilerin Transferinde Temel Prensipler" adı altında yayınladığı bir kararda, farklı transfer konularına göre "beyaz listeler" oluşturularak, uygun koruma sağlayan ülkeler belirlenmiştir. Listede yer almayan ülkelere veri transferinde ise, her somut transfer olayı uygunluk kriterleri bakımından incelenerek değerlendirmektedir. Bunun dışında, 108 no’lu Avrupa Konseyi Sözleşmesini imzalayan ülkeleri -etkin bir veri koruması mekanizması geliştirmiş olmaları şartıyla- koruma düzeyi itibariyle uygun kabul etmektedir. Direktifin 26’ncı maddesi kişisel veri transfer alıcısının bulunduğu ülke uygun koruma düzeyine sahip değilse karşı karşıya olduğu katı transfer yasağına bazı istisnalar da getirmiştir. Buna göre; kişisel verileri işlenen kişinin rızasının alınmış olması, verileri transfer edilen kişi ile transfer eden sorumlular arasında bir sözleşmenin ifası veya ilgilinin talebi üzerine sözleşme öncesi ilişkinin yürütülmesi için transferin gerekli olması, sorumlu ile üçüncü kişi 124 Direktifin 29’uncu maddesinde belirlenen Veri Koruma Grubu, her üye devletin kontrol biriminden bir temsilcinin yanı sıra AB içinde yer alan kurum ve organlardan gelecek bir temsilciyle komisyondan gelecek bir temsilciden oluşmakta olup, görevleri Direktifin iç hukuka aktarılması nedeniyle ortaya çıkan sorunları incelemek, veri koruması kontrol birimleri ile işbirliğini sağlamak, görüş bildirmek, tavsiyelerde bulunmak vb.dir. 74 arasında verileri transfer edilecek kişinin yararına akdedilmiş sözleşmelerin ifası, transferin ya önemli kamusal menfaatlerin korunması ya da mahkeme önünde taleplerin dinlenmesi için gerekli veya yasa gereği zorunlu olması, transferin yaşamsal önemdeki menfaatlerin korunması için gerekli olması, transferin aleniyet ilkesi çerçevesinde herkese ya da ilgisini ispat eden herkese açık bulunan kamu sicillerinden yapılması ve bu konuda somut transferin veri koruması mevzuatının aradığı şartları taşıması hallerinde bilgiler bu ülkelere transfer edilebilecektir. Kişisel verilerin korunması amacına yönelik olarak Avrupa Birliğinde şu düzenlemeler yapılmıştır125: 95/46/EC sayılı Kişisel Verilerin Đşlenmesinde Gerçek Kişilerin Korunması ve Verilerin Serbest Dolaşımı Direktifi, 97/66/EC sayılı Telekomünikasyon Alanında Kişisel Verilerin Đşlenmesi ve Mahremiyetin Korunması Direktifi, 2001 Avrupa Birliği Temel Haklar Şartı, 8’nci madde, 2002/58/EC sayılı “Elektronik Đletişimde Kişisel Verilerin Đşlenmesi ve Gizliliğinin Korunması Direktifi, 2006/24/EC sayılı “Kamuya Açık Haberleşme Hizmetleri veya Kamu Haberleşme Şebekesi ile Bağlantılı Olarak Üretilen veya Đşlenen Verilerin Saklanması Hakkında Direktif, Kişisel Verilerin Europol Tarafından Üçüncü Ülkelere ve Üçüncü Organlara Đletimi ile Đlgili Kuralları Benimseyen 12 Mart 1999 Tarihli Konsey Kararı, 125 Sözü edilen düzenlemelerden 95/46 sayılı Direktif esas olup, diğerleri sektörel düzenlemeleri içermektedir. Bu nedenle üzerinde durmayacağız. Detaylı bilgi için bkz.: http://ec.europa.eu/justice_home/fsj/privacy/law/index_en.htm, 05.10.2009. 75 Kişisel Verilerin Korunması ile Đlgili 45/2001 Sayılı Yönetmelik. Avrupa Birliği ile Türkiye arasında gümrük birliği kurulmasından sonra, 10-11 Aralık 1999 tarihlerinde gerçekleştirilen Avrupa Birliği Helsinki Zirvesi sonucunda Türkiye’nin tam üye adayı olarak kabul edilmiş olmasıyla, tam üyeliğe yönelik katılım süreci çerçevesinde bir çok alanda mevzuat uyumu çalışmaları yapıldığından, verilerin korunmasına ilişkin yasa çalışmalarında da, Birlik mevzuatı ile Türk mevzuatı arasında uyumu temin etmek ve diğer taraftan da Avrupa Birliği üyesi devletler ile ülkemiz arasındaki bilgi akışında karşılaşılan olumsuzlukları bertaraf etmek amacıyla, 95/46 sayılı Direktif de göz önünde tutularak Kişisel Verilerin Korunması Kanunu Tasarısı hazırlanmış ve Türkiye Büyük Millet Meclisine iletilmiştir. II. ULUSLARARASI BAKIŞ AÇILARI: ÇEŞĐTLĐ ÜLKE DÜZENLEME VE UYGULAMALARI Kişisel verilerin korunması kavramı günümüzde gerek bilgi-işlem ve iletişim teknolojisindeki gelişimle beraber, gerekse de temel insan hak ve özgürlükleri alanındaki ilerlemeyle birlikte dünya çapında genel kabul görmüş kavramlardan biri olarak hukuk düzenine oturmuştur. Ancak korumanın gerekliliği konusundaki mutabakat, bunun ne şekilde hangi yöntem ve usullerle ve hangi sınırlamalar dahilinde gerçekleşeceği üzerinde sağlanamamış ve ülkelerin konuya yaklaşım açılarında farklılıklar baş göstermiştir. Bununla beraber, konuya ilişkin olarak dünya üzerinde iki ana bakış açısının ortaya çıktığını ve ülkelerin de genel olarak bu iki yaklaşımdan birini seçtiğini söylemek yanlış olmayacaktır. Bu yaklaşımlar, Avrupa Birliğinin kabul ettiği sistem (aynı zamanda Avrupa Konseyi Sözleşmesi) ile Amerika Birleşik Devletlerinin benimsediği sistemdir. Kişisel verilerin korunması için Avrupa’da daha çok özel bir yasa çıkarmak suretiyle düzenleme yapılması şeklinde bir uygulama karşımıza 76 çıkmakta, Avrupa dışında kalan birçok ülkede de bu yola gidilmektedir. Buna karşılık, ABD’de kişisel verilerin korunması için özel bir yasa bulunmamakta, konu özel yaşamın gizliliği bağlamında ele alınmakta ve sorunun çözümü gerek özel hukuk ve gererek ceza hukuku alanında kişiler için sağlanmış olan güvencelere bırakılmaktadır. Đşte ülkeler genel olarak 108 sayılı Avrupa Konseyi Sözleşmesinin koyduğu model ile ABD’nin mahremiyet ilkelerine dayanan uygulaması arasından birisini seçmektedirler.126 Son yıllarda bu yaklaşım ayrılığı Avrupa Birliği ile ABD arasında; e-ticaretin geleceği için olduğu kadar ülkeler arasında ticari amaçlar dışında kalan, örneğin ceza kovuşturması veya insan kaynakları araştırması gibi amaçlar için kişisel verilerin aktarılması açısından da bir hukuk savaşına dönüşmüş bulunmaktadır.127 Bu kapsamda fikir uyandırmak amacıyla söz konusu yaklaşımlara aşağıda kısaca verilmiştir. A. Avrupa Birliği Ülkeleri 95/46 sayılı Direktif’in 32’nci maddesi üç yıllık bir süre içerisinde direktifin iç hukuka aktarılmasını öngörmüştür. Bu itibarla ülkeler bazı gecikmelerle beraber söz konusu yönergeye uygun ulusal kanunlar çıkarmışlar ve konuya ilişkin bir de kontrol birimi ihdas etmişlerdir. Buna göre, Birlik ülkeleri açısından kişisel verilerin korunması konusunda genel hukuki durum ve kontrol birimi oluşturma çalışmaları Tablo I’deki gibidir128: 126 Türkiye bu konudaki seçimini Avrupa Konseyinin Kabul ettiği 108 sayılı sözleşmeyi imzalamak suretiyle yapmış bulunmaktadır. Esasen Avrupa Birliğine üye olmak için başvurmuş olan ülkemizin başka bir seçeneği de bulunmamakta olması bir yana, gerek özel ve gerek kamu hukuku sistemimiz dikkate alındığında kişisel veriler için en iyi korumanın özel bir yasa kabul edilmek yoluyla gerçekleştirilebileceği sonucuna varılmaktadır. 127 128 KESMEZ, a.g.m., s.6. Ülkelerin güncel hukuksal durumu ve yasa metinleri için bkz. (BAŞALP, a.g.e., s.73-74,81-82’den aktarma): Erişim: http://ec.europa.eu/justice_home/fsj/privacy/law/implementation_en.htm, 05.10.2009; 77 Tablo I: AB Ülkelerinde Veri Korumasında Genel Hukuki Durum ve Kontrol Birimi. Ülke Hukuki Durum ve Kontrol Birimi Almanya Federal Veri Koruması Yasası (Bundesdatenschutzgesetz - BDSG): 1990 yılında yürürlüğe konulmuştur. Kişisel verilerin işlenmesi ve kullanılmasını düzenlemektedir. 2001 tarihinde 95/46 sayılı Direktifi iç hukuka aktarmak amacıyla değiştirilmiştir. 1997 tarihli Telekomünikasyon Hizmetlerinde Veri Koruması Yasası (Teledienstedatenschutzgesetz, TDDSG) özel olarak internete ilişkin hükümler sevk etmekte, ayrıca 1997 tarihli Telekomünikasyon Yasası da (Telekommunikationsgesetz, TKG) bazı veri koruması kuralları içermektedir. Kontrol birimi olarak Federal Veri Koruması Görevlisi bulunmaktadır. Đngiltere 1998 tarihli Veri Koruması Yasası (Data Protection Act -DPA)ile Direktif iç hukuka aktarılmıştır. Konuya ilişkin Bilgi Görevlisi (Office of the Information Commissioner) bulunmaktadır. Fransa 06.01.1978 tarihli Enformasyon Teknolojisi, Dosya ve Özgürlükler Yasası: Bilgi işlem yoluyla kişisel verilerin toplanması ve saklanmasını düzenlemektedir. Fransa bu yasa üzerinde değişiklik yaparak iç hukukunu kısmen Direktife yaklaştırmıştır. Ancak bununla beraber Direktifin tam anlamıyla iç hukuka aktarılması için 2004 yılında yeni bir yasa yürürlüğe koymuştur. Konuya ilişkin kontrol birimi görevini Medeni Haklar ve Enformasyon Teknolojisi Ulusal Komisyonu (National Commission on Information Technology and Civil Liberties) yapmaktadır. Đtalya 31.12.1996 tarihli ve 675 sayılı yasa ile Direktif iç hukuka aktarılmış, 2004’te yeni bir Veri Koruma Yasası çıkarılarak tam uyum sağlanmıştır. Kontrol birimi, Kişisel Verileri Koruma Otoritesi (Regulatory Authority for the Protection of Personal Data)’dir. Đspanya Avusturya Belçika Đsveç 1999 tarihli 15 sayılı Gerçek Kişilere dair Verilerin Korunması Yasası ile Direktif iç hukuka aktarılmıştır. Kontrol birimi Veri Koruması Ajansı (Data Protection Agency)’dır. 2000 tarihli Veri Koruması Yasası ile Direktif iç hukuka aktarılmıştır. Kontrol birimi olarak Veri Koruması Komisyonu (Data Protection Commission) kurulmuştur. 11.12.1998 tarihli yasa ile Direktif iç hukuka aktarılmıştır. Özel Hayatın Korunması Komisyonu (Commission for the Protection of Privacy) kontrol birimidir. 1998 tarihli Kişisel Verilerin Kaydedilmesine Đlişkin Yasa ile Direktif iç hukuka aktarılmıştır. Veri Araştırma Heyeti (Data Inspection Board) kontrol birimidir. Danimarka 31.05.2000 tarihli 429 sayılı Kişisel Bilgilerin Đşlenmesi hakkında Yasa ile Direktif iç hukuka aktarılmıştır. Konuya ilişkin Veri Koruması Ajansı (Data Protection Agency - Datatilsynet) kurulmuştur. Finlandiya 22.04.1999 tarihli Kişisel Veri Yasası ile Direktif iç hukuka aktarılmıştır. 2000 yılında bazı değişiklikler getirilmiş ve 2004 yılında Çalışma Alanlarında Verilerin Korunması Yasası getirilmiştir. Veri Koruması Ombudsmanı (Office of the Data Protection Ombudsman) kontrol birimidir. Hollanda 06.07.2000 tarihli Kişisel Verilerin Korunması Yasası (Wet bescherming persoonsgegevens) ile Direktif iç hukuka aktarılmıştır. Veri Koruması Otoritesi (Data Protection Authority) kurulmuştur. Đrlanda 1988 tarihli Veri Koruması Yasası 2003 tarihinde değiştirilerek Direktif iç hukuka aktarılmıştır. Veri Koruması Görevlisi (Data Protection Commissioner) bulunmaktadır. 78 Portekiz Yunanistan 1998 tarihli 67 sayılı Kişisel Verilerin Korunması Yasası (Lei da protecçao de dados pessoais) ile Direktifi iç hukuka aktarmıştır. Ulusal Veri Koruması Komisyonu (National Data Protection Commission) ihdas edilmiştir. 1997 tarihli 2472 sayılı Yasa kişisel verilerin işlenmesinde bireylerin korunmasını konu alarak Direktifi iç hukuka aktarmıştır. 1999 tarihli 2774 sayılı yasa ise iletişimde kişisel verilerin korunmasını düzenlemektedir. Veri Koruması Otoritesi (Hellenic Data Protection Authority) kontrol birimi olarak ihdas edilmiştir. Estonya 2003’te Kişisel Verilerin Korunması Yasası çıkarılarak Direktife uyum sağlanmıştır. Polonya 1997’de konuya ilişkin yasa çıkarılmış ve 2004’te Direktife uygun değişiklikler gerçekleştirilmiştir. Çek Cumhuriyeti 2000 yılında Kişisel Veri Koruma Yasası çıkarılarak uyum sağlanmıştır. Slovenya 1990 yılında Kişisel Verileri Koruma Kanunu çıkarılmış, 1999,2000 ve 2004’te Direktifle uyum sağlamak amacıyla değişiklikler getirilmiştir. Slovakya 2002 yılında Kişisel Verilerin Korunması Yasasını kabul ederek Direktif hükümleri iç hukuka aktarılmıştır. Litvanya 2004 yılında Kişisel Verilerin Hukuki Korunması Kanunu ile iç hukukta düzenlemeler yapılmıştır. Letonya 2004’te Kişisel Verilerin Korunması Kanunu çıkarılmış ve Direktife uyum sağlanmıştır. Lüksemburg 02.08.2002 tarihli yasa ile kişisel verilerin işlenmesinde gerçek kişilerin korunmasını düzenleyerek Direktif iç hukuka aktarılmıştır. Veri Koruması Ulusal Komisyonu (National Data Protection Commission) kontrol birimidir. Güney Kıbrıs 2001’de Kişisel Verilerin Đşlenmesi Yasası ile Direktif hükümlerine uyumlu düzenleme yapılmıştır. Malta 2001’de Verilerin Korunması Kanunu çıkarılmıştır. Macaristan 1978’de Ceza Kanununda konuya ilişkin düzenleme getirilmiş, 1992’de ise Kişisel Verilerin Korunması ve Kamusal Erişim Yasası çıkarılmıştır. Konuya ilişkin detaylar daha önce anlatıldığı için, burada tekrar ele alınmayacaktır. Ancak Avrupa Birliği uygulamasına ilişkin olarak şu söylenebilir ki, AB hukuk sistemi temel insan hak ve hürriyetleri ekseni üzerinde kurulduğundan, kişisel verilerin korunması alanında da özel hayatın gizliliği ilkesi temel kriter olarak ele alınmış ve gerek ülke içinde gerekse de ülkeler arasındaki veri paylaşımında olmazsa olmaz şart olarak bu kriter katı biçimde aranmıştır. Đkinci olarak, AB hem tarafı olduğu 108 sayılı Sözleşme, hem de kendi çıkarmış olduğu 95/46 sayılı Direktif uyarınca, ülkelerin iç mevzuatıyla uyum amacıyla konuya ilişkin özel bir kanun çıkarılması ile bu konuda faaliyet gösterecek bağımsız bir düzenleyici ve denetleyici kurum kurulması yoluyla kişisel verilerin korunacağı anlayışını benimsemiştir. Bu 79 nedenle de gerek üyelerinin kendi içlerindeki gerekse de üyeleriyle üçüncü ülkeler arasındaki veri aktarımında, belirlenen söz konusu kriterlerin karşılanmış olması kesin koşul olarak aranmakta olup, bu durum uluslararası veri transferlerinin yavaşlamasına yahut engellenmesine, özellikle ABD gibi üçüncü ülkelerle olan ticari, adli, ekonomik, kültürel, sosyal vb. ilişkilerinin aksamasına neden olmaktadır. B. Amerika Birleşik Devletleri Kişisel verilerin korunması kavramı Amerikan Anayasası dahilinde açıkça düzenlenen bir husus olmamakla beraber, uygulamada “haberleşme özgürlüğü” ve “özel hayatın gizliliği” kavramı çerçevesinde anayasal bir hak şeklinde değerlendirilmektedir. Amerikan Yüksek Mahkemesi “Bill of Rights” hükümlerini yorumlamak suretiyle, kişisel gizlilik kavramının ABD Anayasasında mevcut bulunduğuna hükmetmiştir. Bu kararı takiben federal mahkemeler de işyerinde gizliliğin korunması, aile planlaması ve uyuşturucu testi konularında kişisel gizlilik kavramını desteklemişlerdir.129 Özel hayatın gizliliğini koruma altına alan bu bakış açısı kişisel verilerin korunması hakkına da yansıyacaktır. ABD’deki mevcut sistem uyarınca anayasal haklar bir yandan kişinin anayasa ile korunmuş haklarına doğrudan devlet tarafından tecavüz edilmesine engel olmakta, diğer yandan ise kişinin bireysel haklarını üçüncü kişilere karşı korumak amacı ile devletin dolaylı şekilde müdahalede bulunmasını (bu hususta özel yasal düzenleme bulunmadığı sürece) sınırlamaktadırlar. Nitekim, anayasal düzendeki bu boşluğun kapatılması amacı ile kişisel verilerin korunması konusunda birbirinden farklı esaslara yer veren ve çeşitli sektörlerde veri korumasını konu alan birçok federal yasa yürürlüğe konulmuş, ancak kişisel verilerin korunmasına ilişkin genel bir 129 Esra Tekil YILDIZ, “Đnternet Üzerinde Kişisel Verilerin Korunması” Fahiman Tekil’in Anısına Armağan, Marmara Üniversitesi Hukuk Fakültesi, Đstanbul, Beta Basım, 2003, s.816. 80 koruma politikası oluşturulamamıştır.130 Kişisel verilerin korunmasına ilişkin hükümler içeren federal yasaların dışında, çeşitli eyaletler tarafından yürürlüğe konulan bir çok özel kanun ve düzenlemeler de bulunması, konuya dair yüzlerce hukuki düzenlemenin bulunmasına neden olmuştur. Kişisel verilerin korunmasına ilişkin olarak yürürlüğe konulan hukuki düzenlemelere örnek olarak131; devlet tarafından elde edilebilecek kişisel verilerin korunmasına ilişkin esasları içeren 1974 tarihli Mahremiyet Kanunu (Privacy Act), mali bilgilerin korunmasına yönelik 1978 tarihli Mali Mahremiyet Kanunu (Financial Privacy Act) ile telekomünikasyon alanında kişisel verilerin korunmasına ilişkin 1991 tarihli Telefon Müşterileri Koruma Kanunu (Telephone Consumer Protection Act) verilebilir. Bununla beraber, uluslararası alanda gerçekleşecek veri transferlerini kontrol altına almak üzere 1996 tarihli Đletişim Ahlak Yasası (Communications Deceny Act), 1998 tarihli Çocukların Çevrimiçi Korunması Yasası (Child Online Protection Act) ve 1998 tarihli Çocukların Çevrimiçi Gizliliğinin Korunması Yasası (Children’s Online Privacy Protection Act) düzenlenmiştir. Ayrıca, devlet bünyesinde korunmakta olan kişisel verilerin, üçüncü kişiler tarafından elde edilmesi sorunu 1967 tarihli Bilgi Edinme Yasası (The Freedom of Information Act) dahilinde ele alınmaktadır. Kişisel verilerin korunması konusunda Amerika Birleşik Devletleri’nde yürürlüğe konulan en önemli hukuki düzenlemelerden biri olan 1974 tarihli “Mahremiyet Kanunu” (Privacy Act) adlı Kanun, isim veya sair kişisel bilgiler sayesinde kişinin belirlenmesini sağlayacak kişisel kayıtların devlet tarafından oluşturulması, elde edilmesi, kullanılması ve yayılması karşısında bireyleri korumaya yönelik hükümlere yer vermektedir. Söz konusu kanunun eksik yanı ise, hükümlerinin sadece federal hükümet organlarına karşı uygulanmakta olup, özel sektör kuruluşları ile eyalet veya bölge çapında 130 YILDIZ, a.g.m., s.817. 131 YILDIZ, a.g.m., s.818. 81 faaliyet gösteren organların bu kanun hükümlerine tabi bulunmamasıdır.132 Oldukça eski tarihli bu kanun kapsam olarak Avrupa sisteminden farklılık sergilemektedir. Kişisel gizliliğin korunmasına ilişkin olarak Mahremiyet Kanunu kapsamında öngörülen temel prensipler şu şekilde özetlenebilir: Kişisel bilgi ve hassas veriler özel olarak korunmalıdır. Devlet, vatandaşlara ait kişisel verilerin korunmasından sorumludur. Kişisel veriler şeffaf bir şekilde işlenmeli ve veri sahibine kendisine ait kişisel bilgilerin ne şekilde işlendiğine ilişkin yeterli seviyede bilgi verilmelidir. Kişisel verilerin gizli tutulmasını temin etmek üzere, kanun hükümlerinin etkin şekilde uygulanması ve bu hususta gerekli denetimin sağlanması zorunludur. 1974 tarihli Mahremiyet Kanunu, yukarıda belirtilen prensiplere riayet edilmesini temin etmek üzere, federal organları vatandaşlara ait kişisel verilerin korunması konusunda gerekli güvenlik mekanizmasını kurmak ile yükümlü tutmaktadır. Kişisel verilerin gizliliğine ilişkin hükümlerin ihlali halinde kanun cezai hükümlerin uygulanmasını emretmekte olup, ayrıca ilgili kişi tarafından tazminat talebi ile dava açılması da mümkündür. Yukarıda açıklandığı üzere, kişisel verilerin korunmasına ilişkin hukuki esaslar Amerikan Hukukunda tek bir kanun kapsamında yer almamakta, çeşitli koruma alanları ve veri çeşitlerine göre farklı hukuki düzenlemeler uygulanmaktadır. Esra Tekil YILDIZ’a göre133; kişisel verilerin korunması konusunda ABD hukukunun en önemli özelliği, mevcut hukuki düzenlemelerin 132 Kanun metni için bkz.: http://www.archives.gov/about/laws/privacy-act-1974.html, 05.10.2009. 133 YILDIZ, a.g.m., s.820. 82 geçmişte meydana gelen bazı olayların etkisiyle çoğunlukla kamu sektörüne yönelik koruma esaslarını içermeleri ve oldukça eski tarihlerde yürürlüğe konulmuş olmaları nedeniyle çağın ihtiyaçlarını karşılayacak nitelik taşımamalarıdır. Buna karşılık, özel sektörde faaliyet gösteren firmalara kişisel verilerin korunması hususunda uygulanacak esasları belirlemeye ilişkin "otoregülasyon" hakkı tanınmış bulunmaktadır. Bu şekilde, kişisel verilerin elde edilmesi ve islenmesi konusunda firmaların kendi iç düzenlemelerini oluşturmalarına imkan verilmektedir. Öte yandan, kişisel veriler ve gizliliğin korunması konusunda faaliyet gösteren bazı organizasyonlar134, söz konusu organizasyonlara üye firmalar tarafından uygulanmak üzere kişisel verilerin elde edilmesi ve işlenmesine ilişkin özel düzenlemeler hazırlamışlardır. Bu düzenlemeler hukuki açıdan bağlayıcı nitelik taşımamakla beraber, üye firmalar üzerinde asgari denetimin sağlanmasında büyük rol oynamaktadır. Ancak şunu belirtmek gerekir ki, teorik anlamda liberal bir yaklaşım olmakla beraber, özel sektöre tanınan bu özgürlük uygulamada özellikle büyük firmalar tarafından kötüye kullanılmakta ve firmalar kendi belirledikleri gizlilik ve koruma prensiplerini bizzat kendileri ihlal etmektedirler. Uygulamada karşılaşılan bu sorunun temel nedeni şüphesiz ki, özel sektörde faaliyet gösteren şirketleri kişisel verilerin korunması konusundaki düzenlemelere uygun hareket etmeye sevk edecek resmi bir denetim ve yaptırım gücünün mevcut bulunmayışıdır. Amerikan sistemindeki bu zayıf nokta, zaman içerisinde internet üzerinde faaliyet gösteren şirketlere olan güveninin sarsılmasına neden olmuş ve Avrupa Birliği ülkelerinden Amerika Birleşik Devletleri'ne yapılacak veri transferlerinin güvenilirliği konusunu da gündeme getirmiştir. 134 The Center for Democracy and Technology (www.cdt.org/privacy), The Privacy Forum (www.vortex. com). Privacy International (www.privacyinternational.org), Privacy Rights Clearinghouse (wwwprivacyrights. org), TopClick Privacy Center (www.privacy.topclicik.com). Junkbustera (www.junkbusters.com), Ulectronic Pnvac'y Information Center (www.epic.org). 83 Kişisel bilgilerin transferi küresel ekonomi için vazgeçilmez bir kavram olmakla beraber, AB ve ABD taraflarının bakış açılarındaki farklılık bazen kavramın önüne taş koyabilmektedir. Bunun ardında yatan temel neden ise çok karmaşık değildir. ABD tarafı, özetle “eğer bu bilgiler ekonomi için değerli ise, sahiplerinin de onlar üzerinde bir mülkiyet hakkı olmalıdır. Birey isterse adresini, hatta isterse daha hassas verilerini satabilir” savını ileri sürerken, Avrupa tarafı ise “gizliliği” bir “temel hak” olan “kişisel veri”nin özel mülkiyete konu olamayacağını savunmaktadır.135 Bakış açısındaki bu farklılık AB ve ABD arasındaki ticari ilişkilerde bazı problemleri beraberinde getirmektedir. AB ve ABD arasındaki mevcut ticari ilişkiler ve özellikle gelişmekte olan elektronik ticaret ilişkisi dikkate alındığında, üye ülkelerden AB harici ülkelere yapılan veri transferleri açısından başlıca önemi haiz olan ülke şüphesiz ki ABD’dir. Nitekim bu nedenle, AB üyesi ülkeler ile ABD arasında gerçekleştirilecek olan veri transferleri AB dahilinde uzun tartışma ve görüş ayrılıklarına yol açmış, hatta bazı kesimler tarafından ABD’ye bu hususta imtiyaz tanınması gerektiği fikri ileri sürülmüştür.136 Ne var ki, ABD’de veri transferi ve kişisel verilerin korunmasına ilişkin olarak yürürlükte bulunan düzenlemeleri AB tarafından 95/46/EC sayılı Direktifte öngörülen “yeterli seviyede koruma” kriteri çerçevesinde değerlendirilmiş ve bu değerlendirme sonucunda, direktifte öngörülen koşulların karşılanmadığı gerekçesi ile ABD’ye yapılacak veri transferlerine ilk aşamada izin verilmemiştir. Konuya ilişkin olarak taraflar arasında iki yıl süren müzakerelerin sonucunda, ABD’ye yapılacak veri transferlerinin AB prensiplerine uygun şekilde yerine getirilmesi amacı ile özel koruma tedbirleri belirlenmiş, bunu takiben AB ve ABD 135 Avniye TANSUĞ, “AB’nin yeni ekonomik silahı: “Veri Saklama Hukuku” (16.05.2006), Erişim: http://www.acikradyo.com.tr/default.aspx?_mv=a&aid=14260, 05.10.2009. 136 TANSUĞ, a.g.m. 84 arasında kişisel veri transferine ilişkin asgari prensipleri içeren bir sözleşme imzalanmıştır.137 "Safe Harbor Prensipleri"138 şeklinde adlandırılan bu düzenleme esasen, AB üyesi ülkelerden veri transfer eden Amerikan şirketlerinin kişisel verilerin korunmasına ilişkin ana prensiplere uygun hareket etmeyi taahhüt etmelerini öngörmektedir. Veri transferi konusunda öngörülen koruma prensiplerine riayet etmeyi taahhüt eden şirketlerin listesi ABD Ticaret Bakanlığı tarafından ilan edilmekte ve bu liste vasıtası ile AB dahilinde faaliyet gösteren şirketler hangi Amerikan şirketlerinin veri transferi konusunda gerekli korumayı sağladığını öğrenebilmektedirler.139 AB ve ABD arasındaki görüş farklılığı nihayetinde kişisel verilerin aktarılmasında AB tarafından belirlenen asgari ölçütlerin karşılanması şeklinde bir çözüme kavuşturulmuştur. 137 YILDIZ, a.g.m., s.821. 138 International Safe Harbor Privacy Principles için bkz.: http://www.ita.doc.gov/td/ecom/shprin.html, 05.10.2009. 139 Hilmiye ARSLAN, “Amerika Đle Avrupa Birliği Hukuki Düzenlemelerinin Gizlilik Haklarına Bakış Açısının Karşılaştırılması”, Erişim: http://inet-tr.org.tr/inetconf10/bildiri/18.doc, 05.10.2009, s.8. 85 ÜÇÜNCÜ BÖLÜM KĐŞĐSEL VERĐLERĐN KORUNMASI KAVRAMININ ULUSAL DÜZENLEME VE UYGULAMALARDAKĐ YERĐ I. ANAYASA Kişisel verilerin korunması ile ilgili olarak Anayasamızda doğrudan doğruya bir hüküm bulunmamakla beraber, bu konu anayasal bir korumadan mahrum da değildir. Aşağıda gösterilen anayasal garantiler, kişisel verilerin korunması hakkına hizmet etmektedir: Anayasa Başlangıcı (6’ncı paragraf): Đnsan onuru, Madde 2: Hukuk devleti ilkesi, Madde 17: Bireyin maddi ve manevi varlığını geliştirme hakkı, Madde 20: Özel yaşamın ve aile yaşamının gizliliği hakkı, Madde 21: Konut dokunulmazlığı, Madde 22: Haberleşmenin gizliliği, Madde 15-24: Dini ve vicdani kanaatleri açıklamaya zorlanamama, Madde 25: Düşünce ve kanaatleri açıklamaya zorlanamama. Şüphesiz, kişisel verilerin devlet veya gerçek ve özel hukuk tüzel kişileri tarafından kaydedilmesi ve işlenmesi doğrudan kişinin özel hayatına yapılan bir müdahale olduğu içindir ki, bu hak ve hürriyetlerden kişisel verilerin korunması alanını en çok ilgilendireni özel hayatın gizliliği 86 hakkıdır.140 Bu hususta tezimizin birinci bölümünde “Kavramsal Çerçeve” başlığı altında gerekli açıklamalar yapıldığı için, konuyu burada yinelemeyeceğiz. Ancak belirtmekte fayda vardır ki, bu hak kişiliğe bağlı, dokunulmaz, devredilmez ve vazgeçilmez temel haklardan olduğundan, kişi kural olarak kişisel verilerini işleyen herkese karşı kişiliğinin korunmasını isteyebilecek, hangi kişisel verilerinin kim tarafından kimin için hangi amaçla elde edildiğini öğrenebilecek, hangi kişisel verilerinin kime veya kimlere iletileceğini kontrol edebilme hakkına sahip olacaktır. Bilim adamlarınca hazırlanma aşamasında olan ve henüz Türkiye Büyük Millet Meclisine teklif olarak götürülmemiş bulunan Anayasa Taslağında kişisel verilerin korunması hakkının müstakil bir hak olarak düzenlendiğini belirtmekte yarar vardır. Taslağın “Kişisel Bilgilerin 141 Korunması” başlıklı 20’nci maddesi , “Herkes, kendisiyle ilgili kişisel bilgi ve verilerin korunması hakkına sahiptir. Bu bilgiler, ancak kişinin açık rızasına veya kanunla öngörülen meşru bir sebebe dayalı olarak kullanılabilir. Herkes, kendisi hakkında toplanmış olan veya kayıtlarda yer alan bilgilere erişme, bunlarda düzeltme yaptırma ve bu bilgilerin amaçları doğrultusunda kullanılıp kullanılmadığını öğrenme hakkına sahiptir.” hükmünü içermektedir. Madde başlığında kişisel “veri” değil de kişisel “bilgi” ibaresi kullanılmıştır. Bilgi kavramı veri kavramından daha dar kapsamlı olup, kişinin veriye yönelttiği anlamı142 ifade etmektedir. Başka bir deyişle, veri herhangi bir anlam ifade etmeyen ham bilgi yığını iken, bilgi verilerin analiz edilmesi sonucunda anlamlandırılmış halini143 ifade eder. Söz konusu Anayasa 140 ÜZELTÜRK, a.g.e., s.99-100. 141 Erişim: http://www.turkhukuksitesi.com/showthread.php?t=19586, 05.10.2009. 142 Türk Dil Kurumu Sözlüğü, Erişim: http://tdkterim.gov.tr/seslisozluk/?kategori=yazimay&kelimesec=009223, 05.10.2009. 143 Birbiriyle sıkça karıştırılan bu kavramların Đngilizcesi tabandan tavana doğru; data (veri), information (enformasyon), knowledge (bilgi) ve wisdom (bilgelik) sözcükleriyle ifade edilmektedir. 87 Taslağındaki başlıkta “bilgi” kavramı kullanılmak suretiyle bu hakkın kapsamının daraltıldığı düşünülmektedir. Kanımızca bu durum uluslararası yükümlülüklerimizi tam olarak kapsamadığından bir takım sorunları beraberinde getirecektir. Madde Anayasamızdaki eşitlik ilkesine uygun olarak herkese bu hakkı tanımakta olup, vatandaş olup olmama şartı getirmemiştir. Öte yandan, maddede kişisel verilerin “işlenmesi” kavramı yerine “kullanılması” kavramının kullanıldığı görülmektedir. Kanaatimizce, uluslararası metinlere uyum sağlanması amacıyla düzenleme altına alınmak istenen bu madde içerisine, yine uluslar arası metinlere uygun olarak kişisel verilerin “kullanılması” kavramı yerine kişisel verilerin “işlenmesi” kavramının getirilmesi faydalı olacaktır. Zira işleme kavramı kullanma kavramından daha geniş olarak verilerin muhafazası, üçüncü kişilere transfer edilmesi, vb. eylemleri de içermektedir. Kişisel verilerin kullanılmasında kişinin rızası temel şart olarak ele alındığı maddede ayrıca, “kanunla öngörülen meşru bir sebebe dayandırması” şartı aranmak suretiyle konu Anayasamızın kanunilik ilkesine uygun olarak formülize edilmiştir. Diğer taraftan maddede kişisel verilere ilişkin bilgi edinme hakkı, herkesin hakkında toplanan bilgilere ulaşabileceği ve düzelttirebileceğinden bahsedilmek suretiyle düzenlenmekle beraber, bu faaliyetlerin hukuka aykırı olması veya hukuka uygun olsa bile belli bir sürenin geçmesi halinde kişilerin bunların silinmesini talep etme hakkından bahsedilmemiş olması kanımızca önemli bir eksikliktir. Söz konusu tasarı çalışmalarda bu hususların dikkate alınması fayda sağlayacaktır. “Veri, Bilgi ve Bilişim”, bilisim_3332.html, Erişim: 05.10.2009. http://www.chip.com.tr/blog/thecrowsalvation/veri-bilgi-ve- 88 Günümüzde çeşitli uluslararası ve uluslarüstü metinlerde144 ayrı bir hak olarak düzenlenen kişisel verilerin korunması ile ilgili olarak mevcut Anayasamızda çerçeve niteliğinde yukarıda maddeler halinde sıralanan hükümlerle yetinilmiş olunmasına karşılık, kişisel verilerin korunmasına dair doğrudan hükümler genel ve özel kanunlara bırakılmıştır. Bu bağlamda, genel kanun olarak özel hukuk çerçevesinde Türk Medeni Kanunu ve Đş Kanunu, kamu hukuku çerçevesinde ise Ceza Kanunu konuya ilişkin doğrudan ya da dolaylı hükümler ihtiva etmektedir. Ayrıca Türkiye’nin gerek imzalamış olduğu 108 sayılı Avrupa Konseyi Sözleşmesi’ne uyum sağlamak (ve bu sayede Sözleşmeyi onaylamak), gerekse de Avrupa Birliğine giriş sürecinde genelde AB mevzuatına özelde de 95/46 sayılı Direktif ile iç mevzuatı uyumlaştırmak amacıyla Kişisel Verileri Koruma Kanunu adında özel bir kanun çıkarma çalışmaları devam etmektedir. II. TÜRK MEDENĐ KANUNU Kişisel verilerin korunmasına ilişkin özel hukukta doğrudan doğruya bir düzenleme bulunmamakla birlikte, bu konuda genel olarak “kişilik haklarının korunması” kavramına ilişkin genel düzenlemeler kapsamında bir korumanın sağlanabileceği değerlendirilebilir. Özel hukukta kişilik hakkı genel anlamda 5721 sayılı Türk Medeni Kanunu145’nun 23, 24 ve 25’inci maddeleri ile 818 sayılı Borçlar Kanunu146’nun 49’uncu maddesi çerçevesinde korunmaktadır. Özel bir hüküm öngörülmediği sürece, kişilik hakkının korunması genel olarak bu hükümlere tabi kılınacaktır. 144 Avrupa Birliği’nde siyasal birliğin sağlanmasında önemli adımlardan biri olan ve AB Anayasası olarak da zikredilen AB Temel Haklar Şartı’nın 8’inci maddesi örnek olarak verilebilir. 145 08.12.2001 tarih ve 24607 sayılı Resmi Gazete’de yayımlanarak 01.01.2002’de yürürlüğe girmiştir. 146 08.05.1926 tarih ve 366 sayılı Resmi Gazetede yayımlanarak yürürlüğe girmiştir. 89 Türk Medeni Kanunu’nun Kişiler Hukuku kitabının “Kişilik” bölümünde yer alan “Kişiliğin korunması” 23, 24 ve 25’inci maddelerde düzenlenmiştir. A. Vazgeçme ve Aşırı Sınırlamaya Karşı Kişiliğin Korunması Medeni Kanun’un “Vazgeçme ve Aşırı Sınırlamaya Karşı” başlıklı 23’üncü maddesi147 kişilik hakkını hukuki işlem yoluyla saldırılara karşı koruma altına almıştır. Bu hükmün uygulanabilmesi için öncelikle hukuki işlem yoluyla kişilik hakkına dahil bir değerin saldırıya uğraması gerekmektedir. Nitekim kişisel verilerimiz kişilik hakkımıza dahil bir değer oluşturmakta olup, bu değeri konu alan hukuki işlemlere, hak ve fiil ehliyetinin aşırı kısıtlanması, fiziksel özgürlüğümüzün aşırı derecede sınırlanması örnek gösterilebilir. Veri koruması hukuku alanında buna işçinin iş sözleşmesi ile işverence hakkında toplanan veriler üzerinde bilgi edinme hakkından vazgeçmesi bir örnek teşkil etmektedir.148 Böylelikle kanun kişinin bu konudaki temel haklarını koruma altına almaktadır. B. Saldırıya Karşı Kişiliğin Korunması Kanunun 24’üncü maddesi149 hukuki işlem dışı saldırılara karşı kişilik haklarını korumaya almıştır. Bu hükmün uygulanabilmesi için öncelikle kişilik hakkına dahil bir değerin saldırıya uğraması gerekmektedir. Bu bağlamda, kişilik hakkına dahil olan kişisel verilerimiz gizli ya da özel hayat alanlarımıza dahil olsa bile kişilik hakkımıza dahil bir değer oluşturduğundan, kişisel verilerin hukuk dışı yollarla işlenmesi veya üçüncü kişilere aktarılması gibi 147 Medeni Kanun m.23: “Kimse, hak ve fiil ehliyetlerinden kısmen de olsa vazgeçemez. Kimse özgürlüklerinden vazgeçemez veya onları hukuka ya da ahlâka aykırı olarak sınırlayamaz.” 148 149 BAŞALP, a.g.e., s.99. Medeni Kanun m.24: “Hukuka aykırı olarak kişilik hakkına saldırılan kimse, hâkimden, saldırıda bulunanlara karşı korunmasını isteyebilir. Kişilik hakkı zedelenen kimsenin rızası, daha üstün nitelikte özel veya kamusal yarar ya da kanunun verdiği yetkinin kullanılması sebeplerinden biriyle haklı kılınmadıkça, kişilik haklarına yapılan her saldırı hukuka aykırıdır.” 90 durumlarda madde hükmünün iptali söz konusu olacaktır. Hukuka uygunluk sebepleri olarak belirtilen rıza, üstün kamusal yarar, üstün özel yarar ile kanunun verdiği yetki hükmün istisnası olarak düzenlenmiştir. Kişisel verilerin işlenmesinde eğer bu sebeplerden birini tespit edilemiyorsa saldırı hukuka aykırı olacaktır. Örneğin bir şirketin insan kaynaklan departmanına işçilerin vermiş olduğu resimler sadece özlük dosyalarının oluşturulmasında kullanılabilip, bunun haricinde özlük dosyalarının oluşturulması için verilmiş rıza, resimlerin internette şirketin tanıtılmasında kullanılmasını kapsamayacaktır.150 Bu durumda hakkına tecavüz edilen kişi hakimden bu saldırıdan korunmasını isteyebilecektir. C. Dava Hakkı Kanunun 25’inci maddesi151 ise kişilik hakkına hukuka aykırı saldırı karşısında tanınan dava hakkını düzenlemektedir. Bu hüküm uyarınca; kişilik hakları saldırıya uğrayan kimse mahkemeden muhtemel tecavüz tehlikesinin önlenmesini, sürmekte olan saldırıya son verilmesini, sona ermiş olsa bile etkisi devam eden saldırının hukuka aykırılığının tespitini talep etme, hukuka aykırı tecavüz nedeniyle maddi ve manevi tazminat isteme ve kişilik hakkına yapılan saldırı nedeniyle elde edilen maddi menfaatin kendisine verilmesini talep etme hakkına sahip olacaktır.152 Örneğin bir kimsenin alışveriş yaptığı mağazaya bildirmiş olduğu isim, adres, telefon numarası, cinsiyet, vb. verilerin örneğin reklam amaçlı SMS gönderilmek üzere başka bir şirkete satılmış olması durumunda, kişinin rızası olmaksızın kişilik hakkına tecavüz 150 BAŞALP, a.g.e., s.99-100. 151 Medeni Kanun m.25: “Davacı, hâkimden saldırı tehlikesinin önlenmesini, sürmekte olan saldırıya son verilmesini, sona ermiş olsa bile etkileri devam eden saldırının hukuka aykırılığının tespitini isteyebilir. Davacı bunlarla birlikte, düzeltmenin veya kararın üçüncü kişilere bildirilmesi ya da yayımlanması isteminde de bulunabilir. Davacının, maddî ve manevî tazminat istemleri ile hukuka aykırı saldırı dolayısıyla elde edilmiş olan kazancın vekâletsiz iş görme hükümlerine göre kendisine verilmesine ilişkin istemde bulunma hakkı saklıdır.” 152 YILDIZ, a.g.e., s.823. 91 edilmesi söz konusu olduğundan, kişi mahkemeden bu nedenle alışveriş merkezinin sağladığı maddi menfaati geri alma ve zarar hasıl olmuşsa maddi ve manevi tazminat isteme hakkına sahiptir. Özel hukuk ile kamu hukukunun kesişme noktasında giderek derinleşen disiplinlerarası bir tartışmaya yol açan kişisel verilerin korunması kavramına ilişkin olarak tezimizde daha çok konunun kamu hukuku boyutuna ağırlık vereceğimizden, burada özel hukuk yönüne ilişkin ayrıntıya girmeyeceğiz. III. TÜRK CEZA KANUNU Kişisel verilerin korunması ile ilgili olarak 765 sayılı mülga Türk Ceza Kanunu’nda yeterli düzenleme bulunmamakta olduğundan153, bu verilerin izinsiz olarak işlenmesi ve başkalarına açıklanması gibi eylemlerle ceza hukuku kapsamında yeterli mücadele olanağı bulunmamakta, bu konudaki uyuşmazlıklar genellikle tazminat davalarına konu olmakta idi.154 Đşte 12.10.2004 tarih ve 25611 sayılı Resmi Gazete’de yayımlanarak 01.06.2005 tarihinde yürürlüğe giren 5237 sayılı Türk Ceza Kanunu ile birlikte, özel hayatın korunmasına dair söz konusu eksiklikler büyük ölçüde giderilerek yaptırıma bağlanarak ceza davası açma olanağı getirilmiş ve böylelikle de gerek Anayasamızın 20-22’nci maddelerine, gerekse de konuya ilişkin uluslararası belgelere uyum sağlanmış oldu. 153 13.03.1926 tarih ve 320 sayılı Resmi Gazete’de yayımlanarak yürürlüğe giren 765 sayılı Türk Ceza Kanunu’nda konuya ilişkin yalnızca “Sırrın masuniyeti aleyhinde cürümler” başlığında yer alan 195 ila 200’üncü maddelerindeki hükümler düzenlenmiştir. 154 Muhammet Murat ÜLKÜ, “5237 Sayılı TCK. 132-140. Maddelerinde Yer Alan Özel Hayata ve Hayatın Gizli Alanına Karşı Suçlar”, Adalet Bakanlığı, s.3. Erişim: http://www.cezabb.adalet.gov.tr/makale/150.pdf, 05.10.2009. 92 Kanunun 132 ila 140’ıncı maddeleri “Özel Hayata ve Hayatın Gizli Alanına Karşı Suçlar”155 bölüm başlığında aşağıdaki maddelerde düzenlenmiştir: Madde 132: Haberleşmenin gizliliğini ihlal, Madde 133: Kişiler arasındaki konuşmaların dinlenmesi ve kayda alınması, Madde 134: Özel hayatın gizliliğini ihlal, Madde 135: Kişisel verilerin kaydedilmesi, Madde 136: Verileri hukuka aykırı olarak verme veya ele geçirme, Madde 137: Nitelikli haller, Madde 138: Verileri yok etmeme, Madde 139: Şikayet, Madde 140: Tüzel kişiler hakkında güvenlik tedbiri uygulanması. Kanunun “Özel hayatın gizliliğini ihlal” başlıklı 134’üncü maddesi156 kişinin gizli yaşam alanına girerek veya başka suretle başkaları tarafından görülmesi mümkün olmayan bir özel yaşam olayının saptanması ve kaydedilmesi halinde kişinin cezalandırılacağını hükmetmektedir. Bu şekilde elde edilen kayıtlardan bir yarar sağlanması veya bunların başkalarına 155 Bölümde “özel hayata ve hayatın gizli alanına karşı suçlar” tabiri kullanılmışsa da buna ilişkin maddelerde hayatın gizli alanına dair başkaca herhangi bir ibare kullanılmamıştır. 156 TCK m.134: “Kişilerin özel hayatının gizliliğini ihlal eden kimse, altı aydan iki yıla kadar hapis veya adlî para cezası ile cezalandırılır. Gizliliğin görüntü veya seslerin kayda alınması suretiyle ihlal edilmesi halinde, cezanın alt sınırı bir yıldan az olamaz. Kişilerin özel hayatına ilişkin görüntü veya sesleri ifşa eden kimse, bir yıldan üç yıla kadar hapis cezası ile cezalandırılır. Fiilin basın ve yayın yoluyla işlenmesi halinde, ceza yarı oranında artırılır.” 93 verilmesi veya diğer kimselerin bilgi edinmelerinin temini veya basın ve yayın yoluyla açıklanması ise suçun ağırlaşmış şeklini oluşturmaktadır. Türk Ceza Kanunu’nda yukarıda bahsedilen suç özel hayatın gizliliğine yönelik iken, doğrudan doğruya kişisel verilerin korunmasına yönelik hükümler 135 vd. maddelerde düzenlenmiştir. Buna dair detaylı bilgiye aşağıda yer verilmiştir: A. Kişisel Verilerin Kaydedilmesi “Kişisel gerekçesinde158, verilerin kaydedilmesi” çağımızda hastaneler, başlıklı 135’inci madde157 sigorta şirketleri, bankalar, mağazalar gibi çeşitli kurum ve kuruluşlar tarafından kişilerle ilgili kayıtları bilgisayar ortamında tutulduğu, bu bilgilerin amaçları dışında kullanılmasından veya herhangi bir şekilde üçüncü şahısların eline geçerek hukuka aykırı olarak yararlanılmasından dolayı hakkında bilgi toplanan kişilerin büyük zararlara uğrayabileceği, bu bakımdan kişilerle ilgili bilgilerin hukuka aykırı olarak kayda alınması suç olarak tanımlandığı ifade edilmiş ve “kişisel veri” kavramı gerçek kişiyle ilgili her türlü bilgi olarak tanımlanmıştır. Verilerin bilgisayar ortamında veya kağıt üzerinde kayda alınması arasında bir ayırım gözetilmediği, bu şekilde 108 sayılı Avrupa Konseyi Sözleşmesine uyum sağlandığı, kişinin rızası ile kendisiyle ilgili bilgilerin kayda alınmasının suç oluşturmayacağı, ancak belirli nitelikteki kişisel verilerin kanun hükmünün gereği olarak kayda alındığı, bu bakımdan çeşitli kamu kurumlarında verilen kamu hizmetinin gereği olarak kişilerle ilgili bazı bilgiler ilgili kanun 157 TCK m.135: “Hukuka aykırı olarak kişisel verileri kaydeden kimseye altı aydan üç yıla kadar hapis cezası verilir. Kişilerin siyasi, felsefi veya dini görüşlerine, ırki kökenlerine; hukuka aykırı olarak ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin bilgileri kişisel veri olarak kaydeden kimse, yukarıdaki fıkra hükmüne göre cezalandırılır.” 158 5237 sayılı Türk Ceza Kanunu Gerekçesi için bkz. Erişim: http://www.cezabb.adalet.gov.tr/mevzuat/maddegerekce.doc, 05.10.2009. 94 hükümlerine istinaden kayda alınmasının suç teşkil etmeyeceği dile getirilmiştir. Maddenin ikinci fıkrasında kişilerin siyasi, felsefi veya dini görüşlerine, ırki kökenlerine ilişkin olarak hiçbir surette; ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin olarak ise hukuka aykırı surette kişisel verilerin kaydedilemeyeceği belirtilmiştir. “Hassas” veya “özel nitelikli” olarak değerlendirilebilecek bu veriler birinci fıkradan ayrı olarak tek tek sayılmasına karşılık bunların kaydedilmesine yönelik ağırlaştırıcı bir hüküm getirilmemiştir. Üstelik Gerekçede bu verilerden kişilerin ahlâkî eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin bilgilerin kayda alınmasına kanunlarda özellikle suçlulukla mücadele bağlamında, suç ve suçluların ortaya çıkarılmasını sağlamak amacıyla belli ölçüde izin verilebileceği, bu durumlarda söz konusu suçun oluşmayacağı ifade edilmiştir. Bu durumun söz konusu madde ile sağlanmak istenilen amaca aykırı biçimde ihlalleri doğurabileceği kanaatindeyiz. Kişisel verileri hukuka aykırı olarak kaydetme suçu “şikayet” başlığını taşıyan 139’uncu madde uyarınca şikayete tabi bir suç değildir. Ayrıca birden fazla kişinin kişisel verilerinin hukuka aykırı olarak kaydedilmesi halinde fail açısından tek bir suç ya da zincirleme bir suç değil, mağdur sayısınca suç oluşmaktadır, zira bunların her biri bağımsız suç durumundadır. Fakat bir kişiye ait sağlık, cinsellik, felsefi görüş gibi birbirinden farklı alanlara ilişkin verilerin toplanması halinde zincirleme suç uygulanabilecektir.159 Kanunun 137’nci maddesine göre bu suçun kamu görevlisi tarafından ve görevinin verdiği yetki kötüye kullanılmak suretiyle veya belli bir meslek ve sanatın sağladığı kolaylıktan yararlanmak suretiyle işlenmesi halinde verilecek cezanın yarı oranında artırılacaktır. Buna göre, örneğin bir devlet 159 ÜLKÜ, a.g.m., s.14. 95 memuru tarafından hakkında tahkikat yaptığı herhangi bir şahsın sözgelimi politik düşünceleri ya da felsefi inancına dair bilgileri hukuka aykırı biçimde tutulmuş ise burada ceza yarı oranında artırılacaktır. Diğer taraftan, TCK’nın 140’ıncı maddesine göre bu suçun işlenmesi dolayısıyla, tüzel kişiler hakkında bunlara özgü güvenlik tedbirlerine160 hükmolunacaktır. B. Verileri Hukuka Aykırı Olarak Verme veya Ele Geçirme Bireyler hakkındaki kişisel verilerin hukuka uygun (örneğin bir yasa hükmü gereği, bir mahkeme kararı gereği ya da kişinin rızası ile) ya da hukuka aykırı olarak kayda alınmış olması 135’inci madde kapsamında değerlendirilecek iken, bu aşamadan sonra söz konusu verileri hukuka aykırı olarak başkasına veren ya da bunları hukuka aykırı olarak ele geçiren kimse 136’ncı madde161 kapsamında cezalandırılacaktır. “Verileri hukuka aykırı olarak verme veya ele geçirme” başlıklı 136’ncı maddeye göre, hukuka aykırı olarak “kişisel verileri kaydetme” ve “verileri verme-ele geçirme” eylemlerinin maddi unsurları ayrı ayrı olup, bunlar bağımsız iki ayrı suç teşkil etmekte olduğu için, kişisel verileri hukuka aykırı olarak kaydeden ve daha sonra da bu verileri başkasına veren ya da yayan kişi aynı ise burada içtima hükümleri uygulanamayacaktır. Bu madde açısından da mağdurun rızası, yasa hükmü 160 Tüzel kişiler hakkındaki güvenlik tedbirleri 5237 sayılı Kanunun 60’ıncı maddesinde hüküm altına alınmıştır: “Bir kamu kurumunun verdiği izne dayalı olarak faaliyette bulunan özel hukuk tüzel kişisinin organ veya temsilcilerinin iştirakiyle ve bu iznin verdiği yetkinin kötüye kullanılması suretiyle tüzel kişi yararına işlenen kasıtlı suçlardan mahkûmiyet halinde, iznin iptaline karar verilir. Müsadere hükümleri, yararına işlenen suçlarda özel hukuk tüzel kişileri hakkında da uygulanır. Yukarıdaki fıkralar hükümlerinin uygulanmasının işlenen fiile nazaran daha ağır sonuçlar ortaya çıkarabileceği durumlarda, hakim bu tedbirlere hükmetmeyebilir. Bu madde hükümleri kanunun ayrıca belirttiği hallerde uygulanır.” 161 TCK m.136: “Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, bir yıldan dört yıla kadar hapis cezası ile cezalandırılır.” 96 ya da mahkeme kararı bir hukuka uygunluk sebebi olarak karşımıza çıkmaktadır.162 Yine bu suç da 139’uncu madde uyarınca şikayete tabi bir suç değildir. Ayrıca Kanunun 137’nci maddesine göre bu suçun kamu görevlisi tarafından ve görevinin verdiği yetki kötüye kullanılmak suretiyle veya belli bir meslek ve sanatın sağladığı kolaylıktan yararlanmak suretiyle işlenmesi halinde verilecek cezanın yarı oranında artırılacaktır. Yine bu suçun işlenmesi dolayısıyla 140’ıncı madde hükmüne göre tüzel kişiler hakkında bunlara özgü güvenlik tedbirlerine hükmolunacaktır. E. Verileri Yok Etmeme “Verileri yok etmeme” başlıklı 138’inci madde163 ile hukuka uygun olarak kaydedilmiş olan kişisel verilerin kanunların belirlediği sürelerin geçmiş olmasına rağmen yok edilmemesi bağımsız bir suç olarak tanımlanmıştır. Örneğin Adli Sicil Kanunu’nun 12’nci maddesi, arşiv bilgilerinin ilgilinin ölümü üzerine ve her halde kaydın girildiği tarihten itibaren seksen yılın geçmesiyle tamamen silineceğini belirtmektedir. Eğer bu süre geçmesine rağmen kişinin adli sicil arşiv kaydı silinmemiş ise, silmekle görevli olan kişi bağımsız bir suç olarak düzenlenen 138’inci madde uyarınca cezalandırılacaktır. Yine bu suçun işlenmesi dolayısıyla da 140’ıncı madde hükmüne göre tüzel kişiler hakkında bunlara özgü güvenlik tedbirlerine hükmolunacaktır. 5237 sayılı Kanunda kişisel veri tanımının yapılmamış ve kişisel verilerin korunmasına dair ayrıntılı düzenlemeye gidilmeyip sadece genel hüküm ve yaptırımlarla yetinilmiş olunması, bu konuya dair özel bir kanunun çıkarılması ihtiyacını daha da artırmaktadır. Bu amaçla hazırlanan Kişisel Verileri Koruma Kanun Tasarısı’nın en kısa zamanda kabul edilerek 162 ÜLKÜ, a.g.m., s.15. TCK m.138: “Kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlara görevlerini yerine getirmediklerinde altı aydan bir yıla kadar hapis cezası verilir.” 163 97 yürürlüğe sokulması, gerek hukuk sistemimizdeki kişisel hak ve özgürlüklerin güvence altına alınması ile ilgili bir boşluğu dolduracak, gerekse de kişisel verilerle ilgili olarak başka ülkelerden aktarılması istenilen bilgilerin elde edilmesinde yaşanan zorlukları giderecektir. IV. KĐŞĐSEL VERĐLERĐN KORUNMASI KANUNU TASARISI A. Genel Olarak Ülkemizdeki çeşitli mevzuatta yer alan farklı hükümler, kişisel verilerin korunması amacı ile değil, ancak her bir hükmün ilgili olduğu sahalarda zamanının ihtiyaçlarına cevap vermesi amacı ile düzenlemiş olduğundan ve bunun paralelinde de kişisel verilerin korunmasına özgü felsefeden yoksun bulunduğundan, konuya ilişkin artan ihtiyaca cevap verilmesi amacıyla, hemen hemen tüm modern hukuk sistemlerinde olduğu gibi kişisel verilerin korunmasına yönelik münhasır bir kanunun yürürlüğe girmesi kaçınılmaz hale gelmiştir. Nitekim 108 sayılı Avrupa Konseyi Sözleşmesi ile 95/46 sayılı AB Direktifi de ülkelerin söz konusu metni iç hukuklarıyla uyumlaştırılması amacıyla Kişisel Verilerin Korunması Kanunu çıkarmaları gerektiğini vurgulamıştır. Bu bağlamda, Avrupa Konseyi’nin 108 sayılı Sözleşmesinin 4’üncü maddesi, sözleşmenin onaylanabilmesi için imzalayan devletin sözleşmede öngörülen ilkeler çerçevesinde bir yasa kabul etmesini zorunlu kılmıştır. 12’nci maddesi ise, bir devletin verilerin korunması konusunda bunların eşdeğer düzeyde korunmasına ilişkin mevzuatı bulunmayan diğer bir devlete sınır ötesi veri aktarımını yasaklayabileceği belirtilmiş ve bu kapsamda örneğin, adli yardım anlaşmalarının uygulanması çerçevesinde, başta Almanya olmak üzere, Konseye üye diğer devletler, Türk mahkemelerince yapılan kişiler hakkındaki adres tespiti, istinabe gibi istemleri, 46 üyesi bulunan Avrupa Konseyi’nin kişisel verilerin korunması konusunda kanunu bulunmayan sadece 4 üye ülkesinden (Türkiye, Andorra, Armenia ve 98 Ukrayna) biri olan164 Türkiye’nin konuya ilişkin eşdeğer koruma mevzuatı bulunmadığı için geri çevirmişlerdir. Aynı şekilde, 10-11 Aralık 1999 tarihlerinde gerçekleştirilen Helsinki Zirvesi sonucunda Türkiye’nin Avrupa Birliği’ne tam üye adayı olarak kabul edilmiş olmasıyla, tam üyeliğe yönelik katılım süreci çerçevesinde bir çok alanda mevzuat uyumu çalışmaları yapıldığından, kişisel verilerin korunmasına ilişkin yasa çalışmalarında da, 95/46 sayılı Direktif ve konuya ilişkin diğer AB mevzuatı göz önünde tutulmuştur. Zira Türkiye’de söz konusu uluslarüstü metinlerle uyumlu bir yasanın bulunmaması, AB üyesi devletler ile ülkemiz arasındaki bilgi akışını da olumsuz yönde etkilemektedir.165 Gerek Türkiye’de faaliyet gösteren Avrupa Birliği şirketleri açsından ticari yaşamda, gerekse resmi kurumlar arası ilişkilerde (örneğin uluslararası organize suçlarla yapılan mücadele kapsamında EUROPOL tarafından yapılacak veri transferleri) ve gerekse de adli istinabe taleplerine alınan yanıtlar açısından hukuk hayatında, Türk hukuk sistemi ile AB veri koruma mevzuatının uyum sergilememesi nedeniyle AB ülkelerinden Türkiye’ye yapılan veri transferlerinde önemli sıkıntılar yaşanmaktadır. Đşte bu ihtiyacın giderilmesi amacıyla, çeşitli kurum ve kuruluşlar, meslek birlikleri ve sivil toplum örgütlerinin temsilcileri ile sektör temsilcileri ve bilim danışmanlarından oluşan bir çalışma grubunca Adalet Bakanlığının başkanlığında “Kişisel Verilerin Korunması Kanunu Tasarısı”166 hazırlanarak, 09.11.2005 tarihinde nihai haline getirilmiştir. Yukarıda belirtilen ihtiyaçların karşılanması ve uluslararası bilgi akışının kolaylaştırılması amacıyla 164 “Kişisel Verilerin Korunması Projesi”, Erişim: http://www.bilgiedinmehakki.org/tr/index.php?option=com_content&task=view&id=83&Itemid=24, 05.10.2009. 165 “Kişisel Verilerin Korunması Projesi”, Erişim: http://www.bilgiedinmehakki.org/tr/index.php?option=com_content&task=view&id=83&Itemid=24, 05.10.2009. 166 Tasarıya ilişkin aşağıdaki kısımlarda tasarı metni ve gerekçesinden yararlanılmıştır. Tasarı ve gerekçesi için bkz: http://www2.tbmm.gov.tr/d23/1/1-0576.pdf, 05.10.2009. 99 hazırlanan Tasarı 108 sayılı Avrupa Konseyi Sözleşmesi ile 95/46 sayılı Avrupa Birliği Direktifinden ve özellikle 19.06.1992 tarihli Đsviçre Kişisel Verileri Kanunundan büyük ölçüde etkilenmiştir.167 Tasarı Başbakanlık tarafından 22.04.2008 tarihinde Türkiye Büyük Millet Meclisine sevk edilmiş olup, halen Türkiye Büyük Millet Meclisinde bulunmaktadır. Tasarı sistematik olarak şu bölüm başlıklarından oluşmaktadır: Amaç, Kapsam ve Tanımlar Kişisel Verilerin Đşlenmesi Aydınlatma Yükümlülüğü ve Đlgili Kişinin Hakları Yurtdışına Veri Aktarımı ve Tedbirler Sicil, Sicile Kayıt ve Ön Đnceleme Veri Koruma Denetim Kuruluşu ve Bildirim Đstisnalar ve Meslek Kuralları Kişisel Verileri Koruma Kurulu Şikâyet ve Đnceleme Usulü Soruşturma ve Kovuşturma Hükümleri Son Hükümler B. Tasarıyla Çizilen Amaç, Kapsam ve Tanımlar Tasarının 1’inci maddesinde amacının; kişisel verilerin işlenmesinde kişinin dokunulmazlığı, maddi ve manevi varlığı ile temel hak ve özgürlükleri 167 ÜZELTÜRK, a.g.e., s.103. 100 korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin uyacakları esas ve usulleri düzenlemek olduğu belirtilmiştir. Böylelikle tasarı kişisel verilerin korunması hakkını insan hakları kavramının ayrılmaz bir ilkesi olarak hukuk sistemimize sokmaktadır. Ancak, tasarıda kişisel verilerin korunması hakkının yalnızca Anayasamızın 17’nci maddesinde belirtilen kişinin dokunulmazlığı, maddi ve manevi varlığı hakkına dayandırıldığı görülmektedir. Oysa kanımızca bu kavram, tezimizin temel varsayımları arasında da yer aldığı üzere, özel hayatın gizliliği ilkesi ile daha fazla ilintilidir. Bu nedenle, kanunun amacının belirlendiği madde hükmünün özel hayatın gizliliğinin korunması hakkına vurgu yapılması suretiyle yeniden düzenlenmesinde fayda bulunduğu değerlendirilmektedir. Diğer taraftan, tasarı kişisel verilerin korunması hakkını bağımsız bir temel hak olarak açıkça düzenlememesinden ötürü ŞĐMŞEK tarafından eleştirilmiştir.168 Zira bu hakkın ayrı bir hak olarak düzenlenmesi, kişinin haklarının korunmasını daha fazla garanti altına alacaktır. Ancak tasarıda kişisel verilerin korunması hakkına bağımsız bir hak olarak vurgu yapılmamasının nedeninin, bu hakkın Anayasamızda müstakil bir hak olarak zikredilmemesinden kaynaklandığını düşünmekteyiz. Yapılması gereken ise, hazırlanmakta olan Anayasa taslağında bu hakkın ayrı bir hak olarak korunmasıdır. Kapsamın belirlendiği 2’nci madde169 gerçek kişilerin yanı sıra tüzel kişileri de koruma altına almıştır. Oysa, gerek 108 sayılı AK Sözleşmesi, gerekse de 95/46 sayılı AB Direktifinde kural olarak tüzel kişiler kapsam dışında 168 169 bırakılmış, ülkeler isterlerse bu konuyu iç hukuklarında Oğuz ŞĐMŞEK, Anayasa Hukukunda Kişisel Verilerin Korunması, Đstanbul, Beta, 2008, s.207. Tasarı m.2: “Bu Kanun hükümleri, kişisel verileri işlenen gerçek ve tüzel kişiler ile bu verileri tamamen veya kısmen, otomatik olan veya olmayan yollarla herhangi bir veri kütüğüne dahil olacak şekilde işleyen gerçek ve tüzel kişiler hakkında uygulanır. Bu Kanun hükümleri, kişisel verilerin gerçek kişiler tarafından sadece kişisel veya birlikte oturanlarla ilgili faaliyetlerine ilişkin olarak işlenmesi halinde uygulanmaz.” 101 düzenleyebilecekleri belirtilmiştir. Böyle bir mecburiyet olmamasına karşılık, tasarıda kişisel verileri işleme tâbi tutulan tüzel kişilerin de düzenlemeye konu edilmesi olumlu bir katkı olarak telakki edilebilir. Aynı şekilde, sözü edilen uluslararası metinlerde zorunlu kılınmamış olunmasına rağmen, tasarı hükümlerinin otomatik olan yollarla işlenen verilerin yanı sıra otomatik olmayan yollarla (geleneksel dosyalama yöntemleri ile) işlenen veriler hakkında da uygulanacağının ifade edilmiş olması da, çağdaş hukuk devleti için müspet bir adım teşkil etmektedir. Maddede ayrıca, “herhangi bir veri kütüğüne dahil olacak şekilde işleyen gerçek ve tüzel kişiler” ifadesi ile, bu verileri işleme tâbi tutan kamu kurum veya kuruluşları ile gerçek ve özel hukuk tüzel kişileri kast olunmuş ve özel sektör ile kamu sektörü bakımından getirilen özel hükümler dışında bir ayırıma gidilmemiş olduğundan, öngörülen usul ve esaslar her iki sektöre de uygulanabilecektir. Tasarının 3’üncü maddesinde kişisel veri, kişisel verilerin işlenmesi, veri kütüğü gibi çeşitli tanımlar170 yer almaktadır. Buna göre kişisel veriler; sadece bireyin adı, soyadı, doğum tarihi ve doğum yeri gibi onun kesin teşhisini sağlayan bilgiler değil, aynı zamanda kişinin aklî, psikolojik, fizikî, kültürel, ekonomik, sosyal ve sair özelliklerine ilişkin verilerdir. Zira, bir kişinin 170 Bu tanımlar şu şekildedir: Kişisel veri: “Belirli veya kimliği belirlenebilir gerçek ve tüzel kişilere ilişkin bütün bilgiler”, Kişisel verilerin işlenmesi: “Kişisel verilerin otomatik olan veya olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, değiştirilmesi, silinmesi veya yok edilmesi, yeniden düzenlenmesi, açıklanması veya başka bir şekilde elde edilebilir hale getirilmesi, üçüncü kişilere aktarılması, kullanılmasının sınırlanması amacıyla işaretlenmesi veya tasniflenmesi veya kullanılmasının engellenmesi gibi bu veriler üzerinde gerçekleştirilen bir işlem ya da işlemler bütünü”, Anonim hale getirme: “Kişisel verilerin, belirli veya kimliği belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek veya kaynağı belirlenemeyecek hale getirilmek suretiyle işlenmesi”, Đlgili kişi: “Hakkında kişisel veri işlenen gerçek ve tüzel kişi”, Veri kütüğü: “Gerçek ve tüzel kişilere ilişkin belirli bir kritere göre kişisel verilere ulaşımı kolaylaştıracak şekilde yapılandırılmış herhangi bir kişisel veri grubunu”, Veri kütüğü sahibi: “Kişisel verilerin işlenmesinin amaç ve metodlarını tek başına veya başkaları ile birlikte belirleyen gerçek ve tüzel kişiler”, Kişisel verileri işleyen: “Veri kütüğü sahibi adına, bu verileri işleyen gerçek ve tüzel kişiler”i ifade eder 102 belirli veya belirlenebilir olması, mevcut verilerin herhangi bir şekilde bir gerçek kişiyle ilişkilendirilmesi suretiyle o kişinin tanımlanabilir hale getirilmesini ifade eder. Yani verilerin kişinin fiziksel, ekonomik, kültürel, sosyal veya psikolojik kimliğini ifade eden somut bir içerik taşıması veya kimlik, vergi, sigorta numarası gibi herhangi bir kayıtla ilişkilendirilmesi sonucunda kişinin belirlenmesini sağlayan tüm halleri kapsar. Đsim, telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, genetik bilgiler gibi veriler dolaylı da olsa kişiyi belirlenebilir kılabilme özellikleri nedeniyle kişisel verilerdir. Kişisel verilerin işlenmesi tanımı, verilerin toplanmasından başlayarak tüm işlem türleri tanım kapsamı altına alınmaktadır. Kişisel verilerin bilgisayar vb. otomasyon sistemlerinin kullanıldığı yöntemlerle işlenmesi gibi, otomatik sistemler kullanılmadan manüel olarak (elden) işlenmesi hali de kişisel verilerin işlenmesi kapsamında ele alınacaktır. Bu durum kişisel verilerin korunması hakkının sınırlarının tasarıda oldukça geniş tutulduğunu göstermektedir. Tasarı Gerekçesine göre; veri kütüğünün, örneğin herhangi bir kuruluşta o kuruluşun faaliyetini sürdürmek için düzenli olarak tuttuğu dosyalama sisteminin bir parçası olması, kişilere ilişkin herhangi bir kritere göre yapılandırılmış olması ve bu dosyanın halen ulaşılabilir olması gerekmektedir. Veri kütüğü sahibi ise, verilerin saklanması ve kullanılmasını (işlenmesini) kontrol eden ve bundan sorumlu olan; tüccarlar gibi gerçek kişiler olabileceği gibi, kamu kurumları veya dernek ve vakıflar gibi tüzel kişiler de olabilir. Grup şirketlerde ise, gruba dahil olan her şirket ayrı ayrı veri kütüğü sahibi olarak kabul edilecektir. Kişisel verileri işleyenler ise, veri kütüğü sahibi adına verileri işleyen gerçek ve tüzel kişilerdir. Bu kişiler verileri işlemekte ancak kişisel veriler üzerinde kontrol yetkisi ve sorumluluk veri kütüğü sahibine ait bulunmaktadır. Veri işleyenlere örnek olarak muhasebeciler, acenteler gibi başkası adına veri işleyen kurumlar sayılabilir. 103 Herhangi bir gerçek veya tüzel kişi aynı zamanda hem veri kütüğü sahibi, hem de veri işleyen olabilir. Örneğin bir muhasebe şirketi kendi personeliyle ilgili tuttuğu verilere ilişkin olarak veri kütüğü sahibi sayılırken, müşterisi olan şirketlere ilişkin tuttuğu veriler bakımından ise kişisel verileri işleyen olarak kabul edilecektir. Ancak veri kütüğü sahibi ile işçi işveren ilişkisi içerisinde olan veya doğrudan talimatı altında bulunan kişiler kişisel verileri işleyen olarak kabul edilmeyecektir. C. Kişisel Verilerin Đşlenmesinde Uyulması Gereken Kurallar Hukuk devletinin olmazsa olmaz koşulları arasında yer alan kanunilik ilkesi, kişisel verilerin korunması hakkının kullanılmasında büyük önem taşımaktadır. Tasarıda da “kanunilik ilkesi”nin temel ilke olarak benimsendiği görülmekte olup, kişisel verilerin ancak kanunlarda öngörülen hâllerde işlenebileceği ve kişisel verilerin işlenmesinin kanunla sınırlandırılabileceği hükme bağlanmıştır. Bununla bireylerin özel hayatlarının korunması ve verilerin işlenmesinde keyfiliğin önüne geçilmesi amaçlanmıştır. 1. Kişisel Verilerin Đşlenmesine Đlişkin Genel Đlkeler Tasarının 5’inci maddesinde kişisel verilerin işlenmesine ilişkin genel ilkeler sayılmıştır. Buna göre kişisel veriler: Hukuka ve dürüstlük kurallarına uygun olarak işlenecektir. Belirli, açık ve meşru amaçlar için toplanacak ve bu amaçlara aykırı olarak yeniden işlenmeyecektir. Toplandıkları amaçla bağlantılı, yeterli ve orantılı olacaktır. Doğru olacak ve gerektiğinde güncellenecektir. Đlgili kişilerin kimliklerini belirtecek biçimde ve kaydedildikleri veya yeniden işlenecekleri amaç için gerekli olan süre kadar muhafaza edilecektir. 104 Đlgili mevzuatta yeniden işlenme amacına yönelik yeterli koruma tedbirleri getiren düzenlemenin bulunması veya kişisel verileri kontrol eden tarafından bu yönde gerekli tedbirlerin alınması şartıyla tarihî, istatistikî veya bilimsel amaçlarla yeniden işlenebilecek veya öngörülenden daha uzun bir süre saklanabilecektir. Yukarıda maddeler halinde belirtilen ilkeler, kişisel verilerin işlenmesine ilişkin temel ilkeleri düzenleyen en önemli husus olup, 108 sayılı Avrupa Konseyi Sözleşmesi ve 95/46 sayılı Avrupa Birliği Direktifi ile uyum sergilemektedir. Bu ilkeler, diğer maddelerde sözü geçen bütün veri işlemelerinde, hatta kişisel verilerin kamunun yararlanmasına açık olduğu veya ilgili kişinin veri işlenmesine itirazının bulunmadığı hallerde dahi geçerli olacaktır. Gerekçede de belirtildiği üzere, bu ilkelere göre veri kütüğü sahibi, veri işleme amacını açık ve kesin olarak belirlemeli ve bu amaç meşru olmalı, yine bu amaç ilgili kişiler tarafından biliniyor olmalıdır. Ayrıca veri kütüğü sahipleri, oluşturulacak sicile kaydolurken, veri işleme amaçlarını da açıkça belirteceklerdir. Belirttikleri bu amaçlar dışında başka amaçlarla veri işleyen veri kütüğü sahipleri ise bu fiillerinden dolayı sorumlu olacaklardır. Aynı zamanda bu verilerin belirlenen amaçlara aykırı olarak üçüncü kişilere açıklanmaması gerekir. Diğer taraftan, işlenen kişisel verilerin belirlenen amaçların gerçekleştirilmesi için yeterli olması, amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılması gerekmektedir. Keza, olası kullanıma olanak yaratılması için verilerin toplanması yasaktır. Đlgili kişilere ait kişisel verilerin özellikle üçüncü kişilere aktarımı neticesinde ilgili kişilerin zarara uğramaları durumunda, verileri doğru olarak tutmayan veya güncellemeyen veri kütüğü sahibi, ilgili kişilerin uğradıkları zararlar nedeniyle sorumlu olacaktır. Ayrıca, veri kütüğü sahiplerinin, verilerin saklanma sürelerini açıkça belirlemeleri gerekmektedir. Herhangi bir veri, daha fazla saklanması için geçerli bir sebep yoksa mutlaka silinecek veya yok edilecektir. Gelecekte kullanma ihtimali gerekçesiyle veri saklanamaz. Bu 105 durum özel hayatın gizliliği ilkesi açısından çok önemli olup, koruma alanının sınırının geniş tutulmasında ve devletin özel alana müdahalesinin dar tutulmasında önemli bir yer arz etmektedir. 2. Kişisel Verilerin Đşlenmesinde Hukuka Uygunluk Sebepleri Kişisel verilerin korunması, kişisel verilerin ancak hukuken cevaz verilen hallerde işlenebilmesi ile mümkündür. Başka bir ifade ile kişisel verilerin korunmasında çizilen sınır hukuk kurallarıyla düzenleme altına alınan şartlar ile belirlenmektedir. Bu nedenle hukuka uygunluk sebepleri korumanın içeriğinin saptanmasında temel kriter olmaktadır. Tasarının 6’ncı maddesinde kişisel verilerin ancak ilgili kişinin açık rızasıyla işlenebileceği, kanunlarda öngörülen yükümlülüklerin getirilmesi dışında, ilgili kişinin bir itirazda bulunması hâlinde yerine verilerin işlenemeyeceği hüküm altına alınmıştır. Diğer bir ifadeyle, kural olarak kişisel verilerin işlenmesi yasak olup, kişinin rızası olması halinde verilerin işlenmesine izin verilmektedir. Ancak tasarının madde lafzının ilgili kişinin aydınlatıldıktan sonra rızanın alınması ve “itirazda bulunma halinde işlenememe” yerine “kişinin rızası alınmadan işlenememe” durumuna, yani rızanın önceliğine vurgu yapılacak şekilde formülize edilmesi yarar sağlayacaktır.171 Bu konuda 95/46 sayılı Direktifte olduğu gibi rıza kavramının tanımı yapılarak hukuki unsurları ve sınırları açıkça ortaya konulmalıdır.172 Maddede ilgilinin rızası verilerin işlenebilmesinde temel şart olarak öngörülmekle beraber, ayrıca istisna mahiyetinde olmak üzere hukuka 171 172 ŞĐMŞEK, a.g.e., s.208. 95/46 sayılı Direktifin 2’nci maddesine göre rıza beyanı, ilgili kişinin kendisiyle ilgili veri işlenmesi fiiline, özgürce ve konuyla ilgili yeterli bilgi sahibi olarak verdiği ve sadece o işlemle sınırlı onay beyanı olup, bu kapsamda ilgili kişinin kendisine ait verilerin işlenmesini “tereddüde yer bırakmayacak şekilde” kabul etmesini gerektirir. Detaylı bilgi için bkz.: BAŞALP, a.g.e., s.23-25. 106 uygunluk sebepleri sayılmıştır. Buna göre kişisel veriler ancak aşağıdaki hallerde işlenebilecektir: Kanunun öngördüğü bir zorunluluk dolayısıyla, kamu yararına veya resmi olarak verilmiş bir görevin yerine getirilmesi amacıyla veri işlenmesi, Kişisel verilerin, ilgili kişinin rızasını açıklayamayacak durumda olması hâlinde kendisinin veya başkasının hayatını veya beden bütünlüğünü korumak amacıyla işlenmesi, Bir sözleşmenin kurulması ve ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesi, Đlgili kişiler tarafından açıklanmış olması veya açık sicillerde mevcut bilgiler olması sebebiyle herkesçe bilinen kişisel verilerin işlenmesi, Veri kütüğü sahibinin kendi haklı çıkarları için, ilgili kişinin temel hak ve özgürlükleri ile meşru çıkarlarına zarar vermediği sürece, veri işlemesinin zorunlu olması. Tasarıda belirtilen hukuka uygunluk sebepleri tasarının en çok eleştirilen kısımları arasında yer almaktadır. Öncelikle, kişisel verilerin işlenmesinde “kamu yararı” gibi kapsam ve sınırları açıkça belli olmayan ve sübjektif karakterdeki bir kriter koruma kapsamının son derece geniş tutulmasına neden olmaktadır. Bu durum da kişisel verilerin kural olarak işlenmesinin yasak olması ve hukuka uygunluk sebeplerinin istisnai olarak getirilmesi ile korunmak istenen amaca aykırılık teşkil etmektedir. Yani bu kritere dayanılarak kamu kurum ve kuruluşları yetkililerince yapılacak kişisel yorumlarla herkesin her türlü kişisel verisinin işlenmesi sonucunu doğurabilecek işlemler vuku bulabilecek, bu nedenle de çeşitli kişilerin kişisel verilerin korunması yaşanabilecektir. hakkının kullanmasında çeşitli mağduriyetler 107 Diğer yandan, kamu yararının kişisel verilerin işlenmesi için bir hukuka uygunluk nedeni olarak kabul edilmesinin anayasal bir dayanağı bulunmamaktadır. Bilindiği gibi, Anayasamızın “Temel hak ve hürriyetlerin sınırlanması”na ilişkin 13’üncü maddesinde, temel hak ve hürriyetlerin özlerine dokunulmaksızın Anayasanın ilgili maddelerinde belirtilen sebeplere bağlı olarak ve ancak kanunla sınırlanabileceği öngörülmüştür. “Özel hayatın gizliliği” başlıklı 20’nci maddede ise bu hakkın ancak “millî güvenlik, kamu düzeni, suç işlenmesinin önlenmesi, genel sağlık ve genel ahlâkın korunması veya başkalarının hak ve özgürlüklerinin korunması” amacıyla sınırlandırılabileceğinden bahsedilmiş olup, “kamu yararı” gibi bir ölçüt söz konusu sınırlandırma nedenleri arasında yer almamıştır. Aynı şekilde, tasarının amaçları arasında belirtilen, kişinin dokunulmazlığı, maddi ve manevi varlığı hakkının düzenlendiği Anayasamızın 17’nci maddesinde de böyle bir sınırlama nedeni sayılmamıştır. Dolayısıyla kamu yararı kriterinin tasarıdan çıkarılarak sınırları daha somut ve kesin bir şekilde çizilecek düzenlemelere gidilmesi daha doğru olacaktır. 3. Özel Niteliği Olan (Hassas) Kişisel Verilerin Đşlenmesine Đlişkin Şartlar Kişisel verilerin korunması hakkı açısından bel kemiği sayılabilecek bir husus da “hassas veriler” olarak da adlandırılan “özel niteliği olan kişisel veriler”dir. Bu tür veriler, başkalarınca öğrenilmeleri halinde özellikleri gereği ilgili kişinin mağduriyetine yol açabilecek ve ayrımcılık tehlikesini oluşturacak nitelikte hassas verilerdir. Özel nitelikteki verilere dolaylı da olsa erişim imkanı veren veriler de bu kapsamda değerlendirilmelidir. Çünkü bu şekilde kişinin siyasî görüşü, dinî veya felsefî inancına ilişkin bilgiler bu verilerden elde edilebilecektir. Tasarının 7’nci maddesinde özel niteliği olan kişisel veriler sayma yöntemiyle “kişilerin ırk, siyasî düşünce, felsefî inanç, din, mezhep veya diğer inançları; dernek, vakıf ve sendika üyeliği, sağlık ve özel yaşamları ve hür türlü mahkûmiyetleri ile ilgili kişisel veriler” olarak tanımlanmış ve kural 108 olarak bu verilerin işlenemeyeceği hüküm altına alınmıştır. Ancak özel hayatın ve aile hayatının gizliliğinin korunmasını sağlayacak yeterli önlemlerin alınması şartıyla, aşağıda sayılan istisnai hallerde bu verilerin işlenmesine cevaz verilmektedir: Kanunla yasaklanmayan hallerde kişinin yazılı rızasının alınması, Hukukî veya fiilî nedenlerle rızasını açıklayamayacak durumda bulunan bir kişinin kendisinin veya bir başkasının hayatı veya beden bütünlüğünün idamesi için veri işlemenin zorunlu olması, Đlgili kişiye yeterli koruma imkânının sağlanması şartıyla, veri kütüğü sahibinin, bu kanunla veya diğer kanunlarla tanınan hak ve yetkileri kullanabilmesi veya yükümlülükleri yerine getirebilmesi için veri işlemenin zorunlu olması173, Vakıf, dernek, sendika ve siyasi partilerce, kuruluş amaçlarına ve tâbi oldukları mevzuata uygun ve faaliyet alanlarıyla sınırlı olmak şartıyla, üye ve mensuplarına yönelik ve ilgili kişinin rızası olmadan üçüncü kişilere açıklanmamak kaydıyla veri işlenmesi, Đlgili kişi tarafından alenen açıklanmış olan veriler hakkında olması174, Hukuken bir hakkı tesis, kullanma veya korunması için veri işlemenin zorunlu olması175, Koruyucu hekimlik, tıbbî teşhis, tedavi, bakım veya sağlık hizmetlerinin yürütülmesi amacıyla kişisel verilerin; sağlık kurumları, sigorta 173 Örneğin sağlık konularına ilişkin olmak üzere Umumî Hıfzıssıha Kanunu ile özel nitelikteki kişisel verilerin işlenebilme olanağı ihdas edilmişse Sağlık Bakanlığı veya ilgili bir başka kuruluş bu verileri işleyebilecektir. Bkz.: Madde gerekçesi. 174 Đlgili kişi tarafından alenen açıklanan, böylelikle herkes tarafından bilinen bu tür verilerin işlenmesinde, korunması gereken hukuki yararın ortadan kalktığı kabul edilmektedir. Yine de, bu halde dahi kişinin özel alanı ve temel hak ve özgürlükleri korunmalıdır. BAŞALP, a.g.e, s.122. 175 Yargılama faaliyetleri veya adlî işlemler nedeniyle yerine getirilen işlemler kastedilmektedir. 109 şirketleri, sosyal güvenlik kurumları, işyeri sağlık birimi oluşturmakla yükümlü işverenler, sağlıkla ilgili okul ve üniversiteler tarafından ilgili kanunlara uygun olarak, hukuken veya meslek kurallarına göre sır saklama yükümlülüğü altında bulunan sağlık personeli veya eşdeğer seviyede sır saklama yükümlülüğü altındaki bir başka kişinin gözetimi altında işlenmesi. Yukarıda belirtilen istisnalar hassas verilere özel olarak düzenlenen hukuka uygunluk sebepleridir. Yani kural olarak hassas verilerin işlenmesi yasak olup tasarıyla istisnalar getirilmiştir. Ancak tasarı yalnızca bu istisnalarla kalmamış ve bunun yanı sıra birçok hususu da istisna olarak düzenleme altına almıştır. Örneğin; suçun soruşturulmasına, koruma ve kontrol tedbirlerine ve ceza mahkûmiyetlerine ilişkin özel nitelikteki kişisel verilerin, ilgili kanunlarda yeterli koruma tedbiri bulunması kaydıyla, yetkili mercilerin kontrolü altında işlenebileceği, ancak ceza mahkûmiyetlerine ilişkin sicilin sadece Adalet Bakanlığı’nın kontrolü altında tutulabileceği; idarî nitelikteki yaptırımlar ve özel hukuk alanındaki mahkeme kararlarına ilişkin verilerin de resmî mercilerin kontrolü altında işlenebileceği; vatandaşlık kimlik numarası veya benzeri karakteristik işaretlerin işlenme usul ve esaslarını belirlemek amacıyla yapılacak yönetmeliklerde Kişisel Verileri Koruma Kurumun görüşü alınacağı istisna olarak düzenlenmiştir. Tasarıda bunun dışında; özel hayatın ve aile hayatının gizliliğine dokunmamak şartıyla, “temel kamu yararlarının” gerektirmesi hâlinde, ilgili mevzuatta yeterli koruma tedbiri bulunması kaydıyla, Kişisel Verileri Koruma Kurulunun özel niteliği olan kişisel verilerin işlenmesine karar verebileceği hükmüne yer verilmek suretiyle, oldukça tartışmalı bir istisna daha getirilmiştir. Bu husus idarece hassas veriler hakkındaki işlem yasağının delinmesi anlamına gelmektedir. Ayrıca daha önce belirtildiği gibi, “temel kamu yararı” gibi muğlak bir ibare özel yaşamın gizliliği ilkesine darbe vurabilecektir. Doç. Dr. Oğuz ŞĐMŞEK “ağırlıklı kamu yararı”nın söz konusu olduğu istisnai 110 durumlarda bu tür müdahalelerin yapılabileceğini176 öngörmüşse de, bu kavramın da sınırları açıkça çizilmediğinden özel yaşamın gizliliği ilkesine aykırılık teşkil edebilecektir. Kaldı ki, yine yukarıda da belirtildiği üzere Anayasamızın özel hayatın gizliliğine dair 20’nci maddesindeki sınırlandırma nedenleri arasında dahi bu ifade yer almamaktadır. Bu nedenle, tasarının söz konusu hükmünün Anayasaya aykırılığı gündeme gelebilecektir. 4. Kişisel Verilerin Đşlenmesi Sırasında Alınacak Tedbirler: Bilgi Güvenliği Kişisel verilerin korunması kavramı, bu verilerin toplanmasından muhafazasına ve üçüncü kişilere transfer edilmesine kadarki tüm aşamalarda, yani işleme faaliyetleri sırasında idari ve teknik olarak korunmasını lüzumlu kılmaktadır. Tasarının 15’inci maddesi Gerekçesine göre; veri kütüğü sahibi, kişisel verilerin tedbirsizlikle veya hukuka aykırı amaçlarla yok edilmesini, kaybolmasını, değiştirilmesini, yetkisiz olarak açıklanmasını veya aktarılmasını ve başka şekillerdeki tüm hukuka aykırı işlenmelerini önlemek için, korunacak verinin niteliği, teknolojik imkânlar ve uygulama maliyetine göre uygun teknik ve idarî tedbirleri almak zorundadır. Bu tedbirler, teknolojinin ulaştığı en üst düzey ve uygulanma maliyeti de dikkate alınarak, korunacak verinin niteliğine ve işlenmeden kaynaklanabilecek risklere karşı uygun bir güvenlik seviyesi sağlamalıdır. Bu idarî tedbirler arasında kişisel verilerin korunması konusunda uygun idarî personel istihdam edilmesi de bulunmaktadır. Verilerin, veri kütüğü sahibi adına başka bir işleyen tarafından işlenmesi halinde, veri kütüğü sahibinin, işleyenin yeterli teknik ve idarî tedbirleri temin etmesini bir sözleşme veya hukukî tasarrufla yazılı olarak yükümlü tutması zorunludur. Söz konusu düzenleme daha çok bilgi güvenliği kavramına ilişkin olup, kişisel verilerin teknik ve fiziki olarak korunmasını kapsamaktadır. Kişisel 176 ŞĐMŞEK, a.g.e., s.88. 111 verilerin korunması kavramının alt kavramı olan bu kavrama ilk bölümümüzde değinmiştik. 5. Kişisel Verilerin Anonim Hale Getirilmesi, Silinmesi veya Yok Edilmesi Kişisel verilerin korunması aynı zamanda ihtiyaç duyulmayan kişisel verilerin koruma tedbiri veya ispat amacıyla muhafazasının gerekli olmadığı durumlarda anonim hâle getirilmesini veya yok edilmesini de içermektedir. Olası kullanım nedeniyle kişisel verilerin işlenememesi gibi, genel ilkeleri taşımayan veya kullanma gereği ortadan kalkmış verilerin de lüzumsuz yere saklanmaması, bu nedenle de imha edilmesi gerekmektedir. Zira, bu veriler gereksiz yere saklandığı sürece temel hak ve hürriyetlerin ihlali tehlikesi devam edecek, bireylerin mağduriyetine sebebiyet verilebilecektir. Tasarı bu durumu düzenleme altına almıştır. Ayrıca tasarıda, kişisel verilerin anonim hale getirilmesi kaydıyla araştırma, plânlama ve istatistik gibi amaçlarla işlenebileceği ve sonuçların üçüncü kişilere aktarılabileceği veya yayımlanabileceği belirtilmiştir. 108 sayılı Sözleşme ve 95/46 sayılı Direktif ile uyum sağlayan bu düzenleme, verinin kişiyle bağlantısı kurulamayacağından artık kişisel veri olma özelliğini yitirdiğini, dolayısıyla da herhangi bir hak ihlalinin söz konusu olamayacağını içermektedir. Ç. Kişisel Verilerin Transfer Edilmesi Halleri Kişisel verilerin korunması, bu verilere yalnızca yetkili kişilerin erişmesini ifade eden bir kavramdır. Bu ifade aynı zamanda verilerin üçüncü kişilere aktarılmasında da belirli şartların geçerli olduğunu ve bu şartlar dahilinde yalnızca yetkili kişilere aktarılabileceğini anlatmaktadır. Her ne kadar verilerin üçüncü kişilere aktarılması, tasarının 3’üncü maddesinde yapılan “kişisel verilerin işlenmesi” tanımına dahil olsa da, 112 konuyla ilgili oluşabilecek tereddütlerin giderilmesi bakımından açıkça düzenlenmesinin yararlı olacağı değerlendirilerek ayrı maddelerde ele alınmıştır. Biz konuyu yurt içi ve yurt dışı veri transferine ilişkin tasnif etmeyi uygun gördük. 1. Kişisel Verilerin Yurt Đçinde Transfer Edilmesi Tasarının 8’inci maddesi kişisel verilerin paylaşımını üç farklı kriterde düzenlemiştir: Üçüncü kişilere aktarımı, Kamu kurum ve kuruluşlarından kamu kurum ve kuruluşlarına aktarımı, Kamu kurum ve kuruluşlarından üçüncü kişilere aktarımı. Ancak, burada üçüncü kişi kavramı açık bir şekilde tanımlanmamıştır. Biz, üçüncü kişi kavramı olaya taraf olmayan tamamen bağımsız herhangi biri anlamına geldiğinden dolayı, gerçek ve tüzel kişiler ile birlikte kamu tüzel kişilerinin de bu kapsamda değerlendirilmesi gerektiği kanaatindeyiz. a. Kişisel Verilerin Üçüncü Kişilere Aktarılması Tasarıda kişisel verilerin üçüncü kişilere aktarılması kural olarak yasaklanmıştır. Ancak şu hallerde verilerin üçüncü kişilere aktarılmasına izin verilmektedir: Aktarmayı isteyen gerçek ve tüzel kişilerin belirli bir olayda kanundan doğan bir görevini yerine getirmesi için bu bilgiye ihtiyaç duyması, 113 Kanunun öngördüğü bir zorunluluk dolayısıyla, kamu yararına177 veya resmi olarak verilmiş bir görevin yerine getirilmesi amacıyla veri işlenmesi, Veri kütüğü sahibinin kendi haklı çıkarları için, ilgili kişinin temel hak ve özgürlükleri ile meşru çıkarlarına zarar vermediği sürece veri işlemesinin zorunlu olması. b. Kişisel Verilerin Kamu Kurum ve Kuruluşlarından Kamu Kurum ve Kuruluşlarına Aktarılması Tasarıya göre, kişisel veriler kamu kurum ve kuruluşlarınca aşağıdaki amaçlarla yapılan istihbarî faaliyetlerle ilgili olarak kanundan doğan bir görevin yerine getirilmesi için gerekli olması hâlinde ilgili kamu kurum ve kuruluşuna aktarılabilecektir: Millî güvenliğin ve millî savunmanın sağlanması, Suçun önlenmesi veya soruşturulması. Buradaki milli güvenlik, milli savunma, suçun önlenmesi gibi kavramlar yine muallak ve kişisel yoruma açık kavramlar olup, bunların sınırlarının ilgili kamu kurum ve kuruluşlarının görev ve yetkilerine ilişkin kanunlarında çizilmesi ve hukuka uygun olarak görevlendirdikleri yetkililerinin görevlerini yürütürken bu hususa uymaları önem arz etmektedir. c. Kişisel Verilerin Kamu Kurum ve Kuruluşlarından Üçüncü Kişilere Aktarılması Tasarıda kamu kurum veya kuruluşlarına şu hallerin varlığından bahisle kişisel verilerin üçüncü kişilere aktarılmasını reddedebilme, sınırlandırabilme veya şarta bağlayabilme imkanı getirilmiştir: 177 Kamu yararı kriterine ilişkin yukarıda söylediğimiz hususlar burada da geçerlidir. 114 Kamu yararı178, Sır saklama yükümlülüğü, Đlgili kişinin meşru menfaati, Kişisel verilere ilişkin özel koruma kuralları. 2. Kişisel Verilerin Yurt Dışına Transfer Edilmesi Kişisel verilerin korunması konusuna ilişkin problemlerin yaşandığı ve bu nedenle ülkelerin düzenlemelere gittiği önemli hususlardan biri de şüphesiz yurt dışına bilgi aktarımı meselesidir. Ülkemiz daha önce belirttiğimiz sebeplerden ötürü özellikle Avrupa Birliği ile olan ticari ve bürokratik ilişkilerde bazı zorluklarla karşı karşıya olduğundan, konu ayrı bir maddede, tasarının 14’üncü maddesinde düzenlenmiştir. Buna göre; kişisel veriler ancak verinin istendiği yabancı ülkede kişilik haklarının korunması açısından eşdeğer ve etkin koruma bulunuyorsa yurt dışına aktarılabilecektir. Ancak, madde uyarınca eşdeğer ve etkin bir koruma olmasa dahi, aşağıdaki hallerde kişisel verilerin yurt dışına aktarılmasına müsaade edilmektedir: Đlgili kişinin açık rızasının bulunması, Đlgili kişi ile veri kütüğü sahibi arasında bir sözleşmenin yapılması, Sözleşme öncesi ilişkinin yürütülmesi veya sözleşmenin ifası için aktarımın gerekli olması, Suçun önlenmesi veya bir hakkın tespiti, icrası veya korunması için aktarımın gerekli veya kanun gereği zorunlu olması, 178 Kamu yararı kriterine ilişkin yukarıda söylediğimiz hususlar burada da geçerlidir. 115 Veri konusu kişinin hayatı veya beden bütünlüğünün idamesi için aktarımın zorunlu olması, Veri aktarımının, ilgili mevzuatın aradığı şartları yerine getirmek koşuluyla kamunun veya ilgisini ispat eden herkesin erişimine açık bulunan sicillerden yapılması. Öte yandan, yabancı ülkede bulunan veri kütüğü sahibinin eşdeğer ve uygun bir korumayı yazılı olarak taahhüt etmesi ve Kurulun izninin bulunması halinde kişisel veriler yurt dışına aktarılabilecektir. Bununla, kişisel verilerin yurt içindeki koruma düzeyinin verinin yurt dışına çıkması halinde de sabit kalması amaçlanmıştır. D. Kişisel Verileri Đşlenen Kişinin Bilgi Edinme Hakkı Kişisel verilerin korunması hakkı aynı zamanda kişinin hakkında kişisel veri işlenip işlenmediği, işlenmişse bu verilerden hangilerini kimlerin, hangi amaçla, ne şekilde, ne zaman ve nerede işlediği, bu verilerin işlendikten sonra ne yapıldığı ve hangi işleme tabi tutulduğu gibi bilgileri öğrenme hakkını da kapsamaktadır. Zira kişisel verilerin korunması hakkından söz edebilmek için öncelikle kişiler tarafından bunun talep edilmesi, talep edilebilmesi için de konu hakkında bilgi sahip olunması gerekmektedir. Dolayısıyla kişisel verilerin korunmasının talep edilmesinden önce bilgi edinme hakkının kullanılması bir gereklilik arz etmektedir. Ancak, bu hakkın öznesine göre iki yansıması bulunmaktadır: Birincisi kişisel verileri işleyen veri kütüğü sahibinin söz konusu veriye konu kişiye işleme faaliyetleri hakkında bilgi vermesidir, ki buna “pasif bilgi edinme hakkı” diyebiliriz, ikincisi de ilgilinin veri kütüğü sahibine başvurarak hakkındaki veri işleme faaliyetlerine dair bilgi istemesidir, ki buna “aktif bilgi edinme hakkı” diyebiliriz. Genellikle pasif bilgi edinme olmadan, yani veri kütüğü sahibi ilgiliyi bilgilendirmeden, ilgilinin aktif olarak bilgi edinme hakkını kullanması 116 söz konusu olmadığından, bu ikisinin birbirini tamamladığını179 söylemek yanlış olmayacaktır. Đşte bu nedenle tasarı konuyu bütünüyle ele almıştır. Tasarının “Aydınlatma yükümlülüğü” başlıklı 11’inci maddesi, pasif bilgi edinme hakkını düzenlemiştir. Buna göre; veri kütüğü sahibi180, kişisel verilerin elde edilmesi sırasında ilgili kişilere; veri kütüğü sahibi ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, kişisel verilerin kimlere aktarılabileceği, veri toplamanın yöntemi, hukukî sebebi ve muhtemel sonuçları, kişisel verileri öğrenme hakkı ile düzeltme hakkı konusunda bilgi vermekle yükümlüdür. Ayrıca verilerin daha sonraki kullanımları hakkında da ilgili kişiye bilgi verilmeli, böyle bir kullanıma izin verip vermeyeceği konusunda iradesi alınmalıdır. Yine eğer veri kütüğü sahibi, kişisel verileri daha sonraki bir zamanda, elindeki mevcut verileri elde ettiği esnada belirtmediği bir amaç için kullanacaksa, bununla ilgili olarak ilgili kişiye bilgi vermeli ve bu konudaki rızasını almalıdır. Bu sayede veri kütüğü sistemi sahibi veri korumasında önemli kriterler olan şeffaflık ve ilgili kişinin açık rızasını elde etmeyi gerçekleştirmiş olacaktır. Kişisel verilerin, ilgili kişi dışındaki kaynaklardan edinilmesi hâlinde de ilgili kişiye yukarıdaki bilgilerle birlikte işleme konu olan veri kategorileri hakkında bilgi verilecektir. Tasarının “Đlgili kişinin hakları” başlıklı 12’nci maddesi ise aktif bilgi edinme hakkını düzenlemiştir. Anayasamızdaki eşitlik ilkesine uygun olarak, bilgi edinme hakkına herkes başvurabilecektir. Buna göre, herkes veri kütüğü sahibine başvurarak; kendisiyle ilgili kişisel veri kaydedilip kaydedilmediğini öğrenmek, kaydedilmişse bunları talep etmek, verinin muhtevasının eksik veya gerçeğe aykırı olması hâlinde bunların düzeltilmesini, hukuka aykırı olması 179 180 hâlinde ise silinmesini, yok edilmesini veya aktarımının ŞĐMŞEK, a.g.e., s.90. ŞĐMŞEK kişisel verilerin korunmasına ilişkin sorumlu kişi veya makamın ortaya konulabilmesi açısından “veri kütüğü sahibi” kavramı yerine, 95/46 sayılı Direktifte olduğu gibi “veri kütüğü sorumlusu” ifadesinin kullanılmasının daha doğru olacağını belirtmektedir. Bkz. ŞĐMŞEK, a.g.e., s.210. 117 engellenmesini, buna göre yapılacak işlemlerin verilerin açıklandığı üçüncü kişilere bildirilmesini istemek hakkına sahip tutulmuştur. Ancak; milli güvenliğin korunması, milli savunmanın gerçekleştirilmesi, suçun önlenmesi veya istihbarat amacıyla yapılan faaliyetlerle ilgili olarak kanundan doğan bir görevin yerine getirilmesi, ceza soruşturması veya kovuşturmasına zarar verilmesinin engellenmesi hallerinde kişilerin bilgi edinme hakkı sınırlandırılmıştır. Son olarak, kişisel verileri işlenen kişinin bilgi edinme hakkına dair şu hususu belirtmekte fayda vardır: Kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarının faaliyetlerine ilişkin bilgi edinme hakkı Bilgi Edinme Hakkı Kanununa tabidir. Ancak ilgilinin kişisel verileri konusunda bilgi edinme hakkını kullanmasında kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları Kişisel Verilerin Korunması Kanununa tabi olacaktır. Bu nedenle tasarıda hüküm olmayan hallerde Bilgi Edinme Hakkı Kanunu hükümlerine atıf yapılması yararlı olacaktır.181 E. Kişisel Verilerin Hukuka Aykırı Olarak Đşlenmesi Suçunun Soruşturulması ve Kovuşturulması ve Đdari Para Cezaları Tasarı soruşturma ve kovuşturma hükümlerine de yer vermektedir. 50’nci maddede; kişisel verilerin hukuka aykırı olarak işlenmesi suçu için Türk Ceza Kanununun 135’inci maddesinde belirtilen cezaya hükmedileceği, söz konusu fiilin özel niteliği olan kişisel veriler hakkında işlenmesi hâlinde de aynı cezaya hükmolunacağı, hukuka aykırı olarak kişisel verileri açıklayan, yayan, bir başkasına veren, aktaran veya ele geçiren kişi hakkında Türk Ceza Kanununun 136’ncı maddesine göre ceza verileceği, tasarıdaki temel ilkelere aykırı kişisel verilerin silinmemesi veya yok edilmemesi halinde Türk Ceza Kanununun 138’inci maddesine göre cezalandırılacağı belirtilmektedir. 181 BAŞALP, a.g.e., s.113. 118 Gerek 108 sayılı Sözleşme, gerekse de 95/46 sayılı Direktif, öngörülen ilkelerin gereken şekilde uygulanabilmesini sağlamak üzere ülkelerin iç hukuklarında etkin yaptırımlar öngörmelerini belirttiğinden, maddede 5237 sayılı Türk Ceza Kanununun 135 ve devamı maddelerine paralel olarak ceza hükümleri öngörülerek bu eksiklik giderilmiştir. Tasarıda ayrıca, tanımlanan suçların bir tüzel kişinin faaliyeti çerçevesinde işlenmesi halinde ilgili tüzel kişi hakkında Türk Ceza Kanununun 60’ıncı maddesinde belirtilen tüzel kişilere özgü güvenlik tedbirlerine hükmolunacağı da ifade edilmiştir. Sorumluluk ilkesinin bir gereği olarak konulan bu cezalara ilişkin detaylı bilgiye önceki bölümlerde yer verilmiştir. Diğer taraftan, tasarının 53’üncü maddesi öngörülen yükümlülüklere aykırılık hallerinde idari para cezası verileceğini belirlemektedir. Ancak tasarı yükümlülükler açısından özel kişilerin yanı sıra kamu kurum ve kuruluşlarını da kapsamına aldığından, bu hüküm devlet tüzel kişiliğinin devlet tüzel kişiliğine ceza vermesi sonucunu doğurabilecektir. Ayrıca, kamu görevlilerinin yasalar tarafından kendilerine verilen görevleri yerine getirmemeleri Türk Ceza Kanununa göre görevi ihmal suçunu oluşturmakta ve hapis cezası ile cezalandırılmakta olduğundan, bu durum karşısında idari para cezaları öngören bu madde çeşitli sorunlara neden olabilecektir. F. Tasarıda Getirilen Đstisnalar Tasarı kişisel verilerin korunmasına dair detaylı ve oldukça kapsamlı bir düzenlemeye gitmekle beraber, 22’nci maddesinde belirttiği istisnalar ile Kanunun uygulanmasında çeşitli esneklikleri beraberinde getirmektedir. Buna göre; tasarıdaki hukuka uygunluk sebepleri, aydınlatma yükümlülüğü, veri kütüğü sicili, sicile kayıt ve ön inceleme konularıyla ilgili maddeler şu hallerde uygulanmayacaktır: Milli güvenliğin korunması, milli savunmanın gerçekleştirilmesi veya bu amaçla yapılan istihbarî faaliyetlerin yürütülmesi, 119 Kamu düzeninin korunması, Suçun önlenmesi için gerekli olması, suç veya meslek ahlak kurallarını ihlâl eden eylemlerin soruşturulması veya kovuşturulması, Bütçe, vergi ve mâli konulara ilişkin olarak devletin önemli ekonomik veya malî çıkarlarının gerektirmesi, Bu konularda, resmî mercilerin izleme, denetleme veya düzenleme görevlerinin gerektirmesi. Yukarıdaki kısımlarda da vurgulandığı üzere, buradaki milli güvenlik, milli savunma, suçun önlenmesi, kamu düzeni gibi muğlak ibareler özel yaşamın gizliliği ilkesinin uygulanmasına bazı engeller getirebilecektir. Ülkemizin de imzaladığı uluslararası düzenlemelerce üye devletlere bu istisnaların getirilmesi hakkı tanınmış olmakla beraber, hukuk devleti ilkesi gereğince devletlerin kendi iç uygulamalarında bu kavramların sınırlarını belli etmeleri gerekmektedir. Bunların sınırlarının ilgili kamu kurum ve kuruluşlarının görev ve yetkilerine ilişkin kanunlarında çizilmesi ve hukuka uygun olarak görevlendirdikleri yetkililerinin görevlerini yürütürken bu hususa uymaları önem arz etmektedir. Diğer yandan yukarıda belirtilen bazı istisnaların devlet sırrı kavramıyla da bağlantısının olduğu görülmekle beraber, buna dair herhangi bir atıfta bulunulmadığı anlaşılmaktadır. Bundan dolayı, söz konusu kavramların kapsamının detaylı olarak belirlendiği Devlet Sırrı Kanunu Tasarısına göndermeler yapılması yararlı olabilecektir. Tasarıda ticari sırra ya da meslek sırrına ilişkin doğrudan göndermelere yer verilmemekle beraber, özellikle Ticarî Sır, Banka Sırrı ve Müşteri Sırrı Hakkında Kanun Tasarısıyla getirilen düzenlemelere yahut sırrın ifşasına dair çeşitli kanunlarda bulunan hükümlere aykırılık teşkil eden bir husus bulunmamaktadır. Dolayısıyla bu konudaki kişisel verilerin korunması açısından bir aksaklık söz konusu değildir. 120 Söz konusu tasarının bir an önce kanunlaştırılarak Türk hukuk sitemi içerisinde yerini alması, gerek ulusal gerekse de uluslararası veri akışını kolaylaştırmanın yanı sıra, özel hayatın gizliliğinin sağlanması açısından da bireylerin garanti altına alınmasına neden olacaktır. Zira, konuya ilişkin genel hükümler yetersiz kalmakta, kamu kurumları açısından özel kanunlardaki hükümler ile özel sektörün kendi kendilerine belirledikleri etik ilkeler kişisel verilerin korunmasıyla ilgili ülke çapında standart normların oluşturulmasında dağınıklık arz etmektedir. 121 SONUÇ 1980’lerden günümüze kadar geçen sürede bilişim teknolojilerinde gözlenen büyük ivme, insanoğlunun yaşamında büyük kolaylıklar sağlamanın yanı sıra, bazı dezavantajları da beraberinde getirmiştir. Bu avantajlar arasında kişilere ait verilerin büyük bir hızda ve kolaylıkla gerek ülke içerisine gerekse de sınır ötesine transfer edilmesi, bu sayede kişilerin ihtiyacı olan işlemlerin de zaman ve efor sarf etmeksizin gerçekleştirilmesi yer almaktadır. Bu şekilde sözgelimi dünyanın öbür ucundaki bir kişiyle ticari ilişki içerisine girebilmek yahut devletle olan işlemleri ekstra formalitelere lüzum kalmaksızın hızla halledebilmek olanağı sağlanmıştır. Ancak, globalleşen dünyada kişisel verilerin hızla ve yığınlar halinde kaydedilmesi ve üçüncü kişilere aktarılması imkânını getiren teknolojideki bu gelişme, modern çağın en önemli değeri olarak kabul edilen bireyin temel hak ve hürriyetlerinin ihlal edilmesine ve çeşitli mağduriyetlerin zuhur etmesine neden olabilecektir. Zira, tamamen kişinin özel yaşamına ait olan ve gizliliği evrensel bir ilke olarak koruma altına alınan “kişisel veriler”in yetkisi olmayan kişilerin eline geçmesi halinde, söz konusu verinin öznesi bu durumdan zarar görebilecektir. Modern hukuk anlayışı, bireyin en kutsal hazinesi sayılan kişilik haklarının korunması üzerine inşa edilmiştir. Bu nedenle, kişilerin yaşamını kolaylaştırmak üzere geliştirilen veri kayıt ve transfer teknolojisi ile kişilik haklarının aşınmasının önlenmesi için ülkeler hukuki düzenlemelere gitme ihtiyacı duymuşlardır. Đşte kişisel verilerin korunması müessesesi de bu noktada ortaya çıkmıştır. Çünkü kişisel verilerin korunması, özel hayatın korunması ve verilerin işlenmesi arası dengedir. Başka bir deyişle, kişinin temel hak ve hürriyetlerine zarar vermeksizin kişisel verilerin kaydedilip çeşitli işlemlere 122 tabi tutulması ve aktarılması imkânı sağlanmalı ancak bu imkân, yetkili kişilerin kullanımıyla ve hukuki amaçlarla sınırlandırılmalıdır. Konuya ilişkin güncel olaylara bakıldığında, kamuoyunda “fişleme” ifadesiyle adını sıkça duyuran ve kolluk ve istihbarat birimlerince kişilere ait bazı bilgilerin kaydedilmesi işlemlerinin insan haklarıyla bağdaşıp bağdaşmadığının sıkça tartışıldığı görülmektedir. Öncelikle belirtmek gerekir ki, kamu organlarının Anayasa ile kendilerine verilmiş görevleri yerine getirebilmeleri için kişisel verileri toplamaları elbette bir lüzum arz etmektedir. Özellikle kolluk ve istihbarat birimlerinin kamu düzeninin sağlanması, milli birlik ve bütünlüğün korunması gibi amaçlarla önleyici ve bastırıcı faaliyetleri yürütebilmeleri ancak bu birimlerin kişisel verileri işlemeleri ile sağlanabilecektir. Fakat bu faaliyetlerin yürütülmesi sırasında ilgili kişilerin temel hak ve hürriyetlerinin mümkün olduğunca az sınırlanması, olabilecek en az müdahale seviyesinde bu görevlerin yerine getirilmesi gerekmektedir. Zira demokratik sosyal toplum düzeninin tesisi için, kişisel özgürlük alanlarının engellerle karşılaşmaması, kişilerin Anayasada tanınan özgürlük haklarını çekinmeden ve herhangi bir kaygıya düşmeksizin kullanabilmeleri, George Orwell’in “Bindokuzyüzeksendört” adlı eserinde ortaya konulduğu gibi kişilerin her hareketinin izlendiği yönünde paranoyaya itilmemeleri önem göstermektedir. Bu nedenle, kamu organlarının görev ve yetkilerinin sınırları görev kanunlarında açıkça çizilmeli, bu yetkileri aşacak faaliyetlerin yürütülmesine izin verilmemelidir. Ayrıca ancak amaca uygun kişisel veriler işlenmeli, amacı aşan yahut olası kullanım amacıyla toplanan veriler kaydedilmemelidir. Örneğin, bir kişi hakkında organize suç faaliyetine ilişkin kolluk kuvvetlerinin yaptığı dinleme-takip çalışmaları sırasında kişinin siyasi görüşüne veya sağlık durumuna dair bilgilerin elde edilmesi halinde, bu verilerin işlenmesi hukuka ve temel hak ve hürriyetlere aykırılık teşkil edecektir. Diğer taraftan, yine kamuoyunda yetkisi olmayan kişilerce bazı siyasi kişilerin malvarlığını araştırmaya yönelik faaliyetlerde bulunulmasının hukuki 123 olup olmadığına dair tartışmalar yer almıştır. Kişisel verilerin korunması hakkının temel unsurları arasında kanunilik ilkesi bulunmakta olup, kişisel verilerin ancak yetkisi olan kişilerce kendilerine kanunen verilen görev uyarınca işlenebilmesi gerekmektedir. Kişinin mesleği gereğince bazı yetkilerinin olması onun herhangi bir görevlendirme olmaksızın kişisel verilere erişme ve bunları kullanma veya üçüncü kişilere transfer etme gibi işlemleri gerçekleştirmesini meşrulaştırmamaktadır. Bu tür ihlallerin yaşanmaması için bilgi güvenliği ilkelerinin benimsenmesi ve kurumsal tedbirlerin alınması önem kazanmaktadır. Kişisel verileri işlenen şahsın da bu verilerin hukuka uygun amaçlarla kullanıldığından, başka bir amaç için kullanılmayacağından emin olmasını sağlayacak düzenlemelerin temin edilmesi gerekmektedir. Đşte bu tür durumların ortaya çıkmaması ve temel hak ve hürriyetlerin garanti altına alınması amacıyla konuya ilişkin ulusal ve uluslararası birçok düzenleme yapılmıştır. Bu doğrultuda uluslararası ilk adım OECD tarafından 1980 yılında yayımlanan Rehber Đlkeler ile atılmıştır. Kişisel verilerin korunması hukuku için temel oluşturan 8 adet ilkenin benimsendiği Rehber Đlkeler, bağlayıcılığının olmaması hasebiyle gerekli ilgiyi görmezken, 1981 yılında Avrupa Konseyi üye ülkeleri tarafından imzalanan 108 sayılı Sözleşme konuya ilişkin ayrıntılı düzenleme getirmiştir. Sözleşme, kişisel verilerin işlenmesini kural olarak yasaklamış, belirli şartlarda hukuka uygunluk sebepleri dâhilinde işlenmesine izin vermek suretiyle çeşitli sınırlandırmalara tabi tutmuştur. Ayrıca hukuka uygun ya da aykırı şekilde işlenen verilerin üçüncü kişilere aktarılmasına da yalnızca belirli koşullar altında izin vermek suretiyle kişilik haklarını güvenceye almıştır. Bu şekilde, uluslararası veri akışını sağlanması hususunda ülkelerin asgari düzeyde sahip olması gereken koruma seviyesini saptamıştır. Son olarak, imzalayan tarafların konuyu kendi iç hukuklarında düzenleyerek gerekli cezai yaptırıma bağlamasını hükmetmiştir. Hala bağlayıcılığını ve geçerliliğini koruyan bu belge, kişisel verilerin korunması alanında en önemli ve temel düzenlemedir. Türkiye sözleşmeyi 124 imzalamış, sözleşmeyi iç hukuka aktarmak üzere yasama faaliyetleri içerisine girişmiş fakat henüz bu çalışmaları sonuçlandıramamıştır. Diğer taraftan Avrupa Konseyi Sözleşmesini taraflardan biri olarak imzalayan Avrupa Birliği de, kendi iç düzenlemesini yapmak amacıyla 95/46 sayılı Yönergeyi çıkarmış ve hem kişisel verilerin korunmasını temel bir değer olarak kabul edip koruyucu düzenlemelerin yapılmasına, hem de üye devletlerin kendi içlerinde, birbirleri arasında ve üçüncü devletlerle olan veri transferlerine ilişkin ilkelerini belirlemiştir. Günümüzde özellikle uluslararası ticarette olmazsa olmaz şartlar arasında aranan iç düzenleme yapma şartı, Avrupa Birliği tam üye adaylığı statüsünde bulunan Türkiye’yi, gerek Avrupa Birliği Yönergesi gerekse de Avrupa Konseyi Sözleşmesi kapsamında belirtilen hükümleri kendi iç hukukuna aktarma ihtiyacıyla karşı karşıya bırakmıştır. Ülkemizdeki mevcut düzenlemeler genel hükümler çerçevesinde konuya ilişkin güvenceler temin etmektedir. Bu hükümler, Anayasamızdaki özel yaşamın gizliliğine ilişkin hükümler, Medeni Kanundaki kişilik haklarının korunmasına dair maddeler ve nihayet 2004 yılında yürürlüğe giren Türk Ceza Kanununda yer alan kişisel verilerin korunmasına dair hükümlerdir. Bu sonuncusu konuya ilişkin hukukumuzda yer alan en doğrudan hükümleri ihtiva etse de, konunun ayrıntısını düzenlemediğinden bu hükümler etkisiz kalabilmektedir. Đşte bu amaçla henüz hazırlanma aşamasında bulunan Anayasa Taslağında kişisel verilerin korunması hakkına müstakil bir hak olarak yer verilmiştir. Ayrıca Kişisel Verilerin Korunması Kanunu Tasarısı hazırlanmış ve Türkiye Büyük Millet Meclisine sunulmuştur. Söz konusu yasama faaliyetlerinin bir an önce sonuçlandırılması, hukukumuzdaki boşluğu da dolduracaktır. Kişisel verilerin korunması hakkı mevcut hukuk sistemimizde bağımsız bir hak olarak düzenlenmemekle birlikte, hazırlanmakta olan Anayasa Taslağının 20’nci maddesinde müstakil bir hak olarak kanunilik ve eşitlik prensibine dayalı olarak düzenlenmesi olumlu bir gelişmedir. Bununla 125 beraber, tezimizin ilgili kısımlarında detaylı olarak açıklandığı üzere düzenlemede bazı aksaklıklar bulunmaktadır. Bu bağlamda; 20’nci maddenin “Kişisel Bilgilerin Korunması” adlı başlığındaki “kişisel bilgi” ibaresinin daha geniş kapsamlı “kişisel veri” ibaresi ile değiştirilmesi, madde metninde “kişisel verilerin kullanılması” kavramı yerine, daha geniş kapsamlı “kişisel verilerin işlenmesi” kavramının getirilmesi, kişisel verilerin işlenmesi faaliyetlerinin hukuka aykırı olması veya hukuka uygun olsa bile belli bir sürenin geçmesi halinde kişilerin bunların silinmesini talep etme hakkının da maddeye eklenmesinin fayda sağlayacağı değerlendirilmektedir. Başbakanlık tarafından Türkiye Büyük Millet Meclisine sunulan Kişisel Verileri Koruma Kanunu Tasarısı da tezimizin ilgili kısımlarında detaylı olarak incelenmiş olup, konuya ilişkin değerlendirmelerimize aşağıda yer verilmektedir: Tasarıda kişisel verilerin korunması hakkının yalnızca Anayasamızın 17’nci maddesinde belirtilen kişinin dokunulmazlığı, maddi ve manevi varlığı hakkına dayandırıldığı görülmektedir. Oysa kanımızca bu kavram -tezimizin temel varsayımları arasında da yer aldığı üzere- kişinin dokunulmazlığı, maddi ve manevi varlığı hakkıyla da ilintisi bulunmakla beraber, daha çok özel hayatın gizliliği ilkesi ile ilişkilidir. Bu nedenle, kanunun amacının belirlendiği madde hükmünün özel hayatın gizliliğinin korunması hakkına vurgu yapılması suretiyle yeniden düzenlenmesinde fayda bulunduğu değerlendirilmektedir. Tasarıda kişisel verileri işleme tâbi tutulan gerçek kişilerin yanında tüzel kişilerin de düzenlemeye konu edilmesi, tasarı hükümlerinin otomatik olan yollarla işlenen verilerin yanı sıra otomatik olmayan yollarla (geleneksel dosyalama yöntemleri ile) işlenen veriler hakkında da uygulanacağının ifade edilmiş olması, özel sektör ile kamu sektörünün bu hükümlere tabi tutulmasında bir ayrıma gidilmemiş olması çağdaş hukuk devleti için müspet bir adım teşkil etmektedir. 126 Tasarıda belirtilen hukuka uygunluk sebepleri arasında “kamu yararı” ve “genel kamu yararı” gibi kapsam ve sınırları açıkça belli olmayan ve sübjektif karakterdeki bir kriter koruma kapsamının son derece geniş tutulmasına neden olmaktadır. Bu durum da kişisel verilerin kural olarak işlenmesinin yasak olması ve hukuka uygunluk sebeplerinin istisnai olarak getirilmesi ile korunmak istenen amaca aykırılık teşkil etmektedir. Yani bu kritere dayanılarak kamu kurum ve kuruluşları yetkililerince yapılacak kişisel yorumlarla, herkesin her türlü kişisel verisinin işlenmesi sonucunu doğurabilecek işlemler vuku bulabilecek, bu nedenle de bireylerin kişisel verilerin korunması hakkını kullanmalarında çeşitli mağduriyetler yaşanabilecektir. Öte yandan, kamu yararının kişisel verilerin işlenmesi için bir hukuka uygunluk nedeni olarak kabul edilmesinin anayasal bir dayanağı bulunmamaktadır. Bilindiği gibi, Anayasamızın 13’üncü maddesi uyarınca temel hak ve hürriyetler ancak Anayasanın ilgili maddelerinde belirtilen sebeplere bağlı olarak sınırlanabilecek olup, ne özel hayatın gizliliğine ilişkin 20’nci madde içerisinde, ne de kişinin dokunulmazlığı, maddi ve manevi varlığı hakkının korunmasına ilişkin 17’nci maddesi içerisinde, “kamu yararı” gibi bir ölçüt sınırlandırma nedenleri arasında yer almamıştır. Dolayısıyla kamu yararı kriterinin tasarıdan çıkarılarak sınırları daha somut ve kesin bir şekilde çizilecek düzenlemelere gidilmesi daha doğru olacaktır. Ayrıca, tasarıda kişisel verilerin korunması ilkesi karşısında istisna olarak konulmuş birçok hüküm sonuçları açısından hak ihlallerine yol açabilecektir. Đstisnaların kaide olmadığı, devletin yerine özel hayatın şeffaflaşmadığı, bilgi edinme özgürlüğü ile özel hayatın gizliliği hakkı arasındaki ince dengenin göz önünde bulundurulduğu bir yasanın çıkarılmasına özen gösterilmelidir. Bu bağlamda, uluslararası düzenlemelere de uygun olarak, tasarıda istisnalar arasında sayılan milli güvenlik, milli savunma, suçun önlenmesi, kamu düzeni gibi kavramlar içeriği itibariyle muğlak ibareler olduğundan, bu kavramların özel yaşamın gizliliği ilkesinin 127 uygulanmasına engel teşkil etmemesi için, sınırlarının ilgili kamu kurum ve kuruluşlarının görev ve yetkilerine ilişkin kanunlarında çizilmesi ve hukuka uygun olarak görevlendirdikleri yetkililerinin görevlerini yürütürken bu hususa uymaları önem arz etmektedir. Tasarıda öngörülen yükümlülüklere aykırılık hallerinde idari para cezası verileceği belirtilmiştir. Ancak tasarı yükümlülükler açısından özel kişilerin yanı sıra kamu kurum ve kuruluşlarını da kapsamına aldığından, bu hüküm devlet tüzel kişiliğinin devlet tüzel kişiliğine ceza vermesi sonucunu doğurabilecektir. Ayrıca, kamu görevlilerinin yasalar tarafından kendilerine verilen görevleri yerine getirmemeleri Türk Ceza Kanununa göre görevi ihmal suçunu oluşturmakta ve hapis cezası ile cezalandırılmakta olduğundan, bu durum karşısında idari para cezaları öngören bu madde çeşitli sorunlara neden olabilecektir. Bu durumun da tasarıda göz önüne alınmasının yarar sağlayacağı telakki edilmektedir. Söz konusu tasarının bir an önce kanunlaştırılarak Türk hukuk sitemi içerisinde yerini alması, gerek ulusal gerekse de uluslararası veri akışını kolaylaştırmanın yanı sıra, özel hayatın gizliliğinin sağlanması açısından da bireylerin garanti altına alınmasına neden olacaktır. Zira, konuya ilişkin genel hükümler yetersiz kalmakta, kamu kurumları açısından özel kanunlardaki hükümler ile özel sektörün kendi kendilerine belirledikleri etik ilkeler kişisel verilerin korunmasıyla ilgili ülke çapında standart normların oluşturulmasında dağınıklık sergilemektedir. Elbette ki, yalnızca yasalaşma faaliyeti insan hakları açısından yeterli kalmamakta, bunun yanı sıra toplumsal farkındalığın artırılarak kanunun toplumun çeşitli katmanları tarafından özümsenmesinin sağlanması uygulama açısından bir gereklilik arz etmektedir. Bu konuda eğitim faaliyetlerine ağırlık verilerek, başkalarının haklarına saygının ön plana çıktığı bir demokratik kültürün yaygınlaştırılması sağlanabilir. Diğer yandan, özellikle kamu sektöründe çalışan kişiler olmak üzere kamu ve özel sektörde çalışan ve görevleri gereği kişisel verilere ulaşan kişilere kişisel verilerin korunması 128 ilkesini içeren bir tür etik sözleşmesi imzalattırılmasının da bu kişilerin bilinç düzeyinin çalışmalar artırılmasında siyasete ve fayda sağlayacağı hukuka düşünülmektedir. kazandırılan her yeni Bu tür kavramın içselleştirilmesinde gözlenen aksaklıklar gibi bazı zorlukları içermekle beraber, sonuçları açısından özel hayatın gizliliği hakkı ve insan hak ve özgürlükleri yönüyle oldukça faydalı olacaktır. 129 KAYNAKÇA KĐTAPLAR AKŞENER, Haşmet Sırrı, ÇAKMAKCI, Ramazan; Açıklamalı, Gerekçeli Bilgi Edinme Hakkı Kanunu, Đstanbul, Legal, 2004. COŞKUN, Vahap; Đnsan Hakları, Ankara, Liberte, 2006. ÇAĞIRAN, Mehmet Emin; Uluslararası Alanda Đnsan Hakları, Ankara, Platin, 2006. ÇEÇEN, Anıl; Đnsan Hakları Rehberi, Ankara, Bilim, 1999. DAĞI, Đhsan, POLAT, Necati; Herkes Đçin Demokrasi ve Đnsan Hakları, Ankara, Liberte, 2004. DONAY, Süheyl; Meslek Sırrının Açıklanması Suçu, Đstanbul, Sulhi Garan, 1978. DONNELLY, Jack; Teoride ve Uygulamada Đnsan Hakları, çev. Mustafa ERDOĞAN, Levent KORKUT, Ankara, Yetkin, 1995. DÖNER, Ayhan; Đnsan Haklarının Uluslar arası Alanda Korunması ve Avrupa Sistemi, Ankara, Seçkin, 2003. ERDOĞAN, Mustafa; Đnsan Hakları Teorisi ve Hukuku, Ankara, Orion, 2007. GĐRĐTLĐ, Đsmet, GÜNGÖR, Hasan Atilla; Günümüzde Đnsan Hakları, Đstanbul, Der, 2002. GÖZÜBÜYÜK, Şeref; Anayasa Hukuku, Ankara, Turhan, 2002. HAZIR, Hayati; Anayasa Hukuku, Ankara, Alter, 2005. 130 HELVACI, Serap; Türk ve Đsviçre Hukuklarında Kişilik Hakkını Koruyucu Davalar, Đstanbul, Beta, 2001. Đnsan Hakları; Ankara, Matus, 2006. KAPANĐ, Münci; Kamu Hürriyetleri, Ankara, Yetkin, 1993. KETĐZMEN, Muammer; Türk Ceza Hukukunda Bilişim Suçları: Bilişim Alanında Suçlar, Kişisel Verilerin Korunması, Ankara, Adalet, 2008. KIZILCA, Uğur; Açıklamalı-Gerekçeli Bilgi Edinme Hakkı Kanunu ve Đlgili Mevzuat, Ankara, Adalet, 2005. MOURGEON, Jacques; Đnsan Hakları, çev. Ayşen EKMEKÇĐ, Alev TÜRKER, Đletişim. MUMCU, Ahmet, KÜZECĐ, Elif; Đnsan Hakları ve Kamu Özgürlükleri, Ankara, Turhan, 2007. ÖZEK, Çetin; Basın Özgürlüğünden Bilgilenme Hakkına, Đstanbul, Alfa, 1999. SALOMON, David; Data Privacy and Security, New York, Springer, 2003. ŞĐMŞEK, Oğuz; Anayasa Hukukunda Kişisel Verilerin Korunması, Đstanbul, Beta, 2008. ÜNAL, Şeref; Temel Hak ve Özgürlükler ve Đnsan Hakları Hukuku, Ankara, Yetkin, 1997. ÜZELTÜRK, Sultan; Özel Hayatın Gizliliği Hakkı, Đstanbul, Beta, 2004. MAKALELER AHĐ, M. Gökhan. “MERNĐS’in Hukuki Đncelemesi”, http://www.hukukcu.com/bilimsel/kitaplar/mernis.htm. 131 AKILLIOĞLU, Tekin. “Đdari Usul ve Kişisel Verilerin Korunması”, http://www.idare.gen.tr/akillioglu-idariusul.htm. AKILLIOĞLU, Tekin. “Genel Olarak Đnsan Hakları”, Farklı Bakış Tarzlarıyla Đnsan Hakları Uygulamaları, Ankara, Emniyet Genel Müdürlüğü APK Daire Başkanlığı, 2000. ARSLAN, Hilmiye. “Amerika Đle Avrupa Birliği Hukuki Düzenlemelerinin Gizlilik Haklarına Bakış Açısının Karşılaştırılması”, http://inettr.org.tr/inetconf10/bildiri/18.doc. “Bilgi Güvenliği”, www.kurumsalsistem.net/index.php. “Bilgi Güvenliği Bilincinin Genele Yayılması”, http://www.bilgiportal.com/v1/idx/19/728/Gvenlik/makale/Bilgi-GvenliiBilincinin-Genele-Yaylmas.html. DAĞ, Rıdvan. “Avrupa Birliği Temel Haklar Şartı ve Türkiye”, http://www.jura.uni-sb.de/turkish/RDag.html. DEMĐR, Önder. “Đnternet Servis Sağlayıcısının Cezai Sorumluluğu”, Đzmir Barosu Dergisi, 2001, http://bilisimsurasi.org.tr/dosyalar/28.txt. DOĞAN, Mehmet. “Kişisel Verilerin Korunmasında AB Standartları ve Türkiye’nin Durumu”, EGM Asayiş Dairesi Başkanlığı, http://www.egm.gov.tr/egitim/dergi/eskisayi/35_sayi/yeni/web/makalele r/Mehmet_DOGAN.htm. EKEN, Musa. “Bilgi Edinme Hakkı”, Đnsan Hakları Yıllığı, Dr. Muzaffer Sencer’e Armağan, Đstanbul, 1995-1996. ERSOY, Eren. “Gizlilik, Bireysel Haklar, Kişisel Verilerin Korunması”, Telekomünikasyon Kurumu, http://ab.org.tr/ab06/bildiri/6.doc. 132 GÜLMEZ, Mesut. “Đnsan Haklarının Tarihsel Gelişimi ve Bugünkü Ulaştığı Nokta”, Farklı Bakış Tarzlarıyla Đnsan Hakları Uygulamaları, Ankara, Emniyet Genel Müdürlüğü APK Daire Başkanlığı, 2000. ĐYĐMAYA, Ahmet. "Bilgi Edinme ve Verilere Ulaşma Özgürlüğü", Ankara, Ankara Barosu Dergisi, 2003. KESMEZ, Necdet. “Kişisel Verilerin Korunması Üzerine”, Bilişim Şurası, http://bilisimsurasi.org.tr/listeler/tbs-hukuk/Mar/att-0044/01K___SEL_VER_LER_N_KORUNMASI.doc. “Kişisel Verilerin Korunması Projesi”, http://www.bilgiedinmehakki.org/tr/index.php?option=com_content&tas k=view&id=83&Itemid=24. KUNTBAY, Đhsan. “Đdari Đşlemler Karşısında Bireylerin Korunması Hakkında (77) 31 sayılı Bakanlar Komitesi Kararı”, Amme Đdaresi Dergisi, cilt 11, Sayı 4. SOYKAN, Cavidan. “Avrupa Đnsan Hakları Mahkemesi Đçtihatlarında Bilgi Edinme Hakkı: Özel Hayatın Gizliliği X Đfade Özgürlüğü”, Ankara Üniversitesi Siyasal Bilgiler Fakültesi Đnsan Hakları Merkezi Çalışma Metinleri, Ankara, 2006. SOYKAN, Cavidan. “Bilgi Edinme Hakkı ‘Sır’ mı Oluyor?”, 2007, http://www.bianet.org/2007/03/29/93934.htm. ŞĐMŞEK, Oğuz. “4422 Sayılı Suç Örgütleriyle Mücadele Kanununu ve Kanunun 4. Maddesine Göre ‘Kayıt ve Verilerin Đncelenmesi’ ve Kişisel Nitelikli Verilerin Korunması”, Đzmir Barosu Dergisi, Sayı:1, 2001, http://web.deu.edu.tr/ab/MAKALE/deu%20MAK/0012.htm. TANILIR, Mehmet Niyazi. “Đnternet Suçları Đle Mücadele Ederken Bireysel Mahremiyetin Korunması: Hükümetlerin Đkilemi”, Londra, Middlesex 133 Üniversitesi, 2000, http://w3.icisleri.gov.tr/ortak_icerik/w3.icisleri/tezler_internetsuclari.doc. TANSUĞ, Avniye. “AB’nin yeni ekonomik silahı: “Veri Saklama Hukuku” (16.05.2006), http://www.acikradyo.com.tr/default.aspx?_mv=a&aid=14260. Türkiye Bankalar Birliği, Bankacılık ve Araştırma Grubu, “Avrupa Birliği’nde Banka ve Müşteri Sırrı Hakkında Düzenlemeler”, Bankacılar Dergisi, 2003, Sayı 46. ÜLKÜ, Muhammet Murat. “5237 Sayılı TCK. 132-140. Maddelerinde Yer Alan Özel Hayata ve Hayatın Gizli Alanına Karşı Suçlar”, Adalet Bakanlığı, http://www.ceza-bb.adalet.gov.tr/makale/150.pdf. “Veri, Bilgi ve Bilişim”, http://www.chip.com.tr/blog/thecrowsalvation/veri-bilgive-bilisim_3332.html. YILDIZ, Esra Tekil. “Đnternet Üzerinde Kişisel Verilerin Korunması” Fahiman Tekil’in Anısına Armağan, Marmara Üniversitesi Hukuk Fakültesi, Đstanbul, Beta Basım, 2003. YÜCEL, Erdoğan. “Türkiye’de Bilgi Edinme Hakkı ve Uygulaması”, Türk Đdare Dergisi, http://www.yayin.adalet.gov.tr/23_sayi%20i%C3%A7erik/Erdo%C4%9 Fan%20Y%C3%9CCEL.htm. TEZLER ARASLI, Oya. Özel Yaşamın Gizliliği Hakkı ve T.C. Anayasasında Düzenlenişi, Ankara Üniversitesi Hukuk Fakültesi Anayasa Hukuku Bilim Dalı Doçentlik Tezi, 1979. 134 BAŞALP, Nilgün. Kişilik Hakkının Korunması Sorunu Çerçevesinde Kişisel Verilerin Korunması ve Saklanması, Đstanbul Üniversitesi Sosyal Bilimler Enstitüsü Özel Hukuk Ana Bilim Dalı Yüksek Lisans Tezi, 2003. ĐNTERNET KAYNAKLARI Anayasa Tasarısı, http://www.turkhukuksitesi.com/showthread.php?t=19586, http://ec.europa.eu/justice_home/fsj/privacy/law/implementation_en.htm. International Safe Harbor Privacy Principles, http://www.ita.doc.gov/td/ecom/shprin.html. ISO/IEC 17799 Standardı, http://www.iso.org/iso/en/prods-services/popstds/ informationsecurity.html. Privacy International, www.privacyinternational.org. Privacy Rights Clearinghouse, www.privacyrights.org. The Center for Democracy and Technology, www.cdt.org/privacy. The Privacy Forum, www.vortex.com. TopClick Privacy Center, www.privacy.topclicik.com. Türk Dil Kurumu Sözlüğü, http://tdkterim.gov.tr/seslisozluk/?kategori=yazimay&kelimesec=00922 3. “Types of Intelligence”, Intelligence Note Book, http://www.atin.org/ekler/istih/Types%20Int%20Notes%20Page.htm. Ulectronic Privacy Information Center, www.epic.org. 135 ULUSAL DÜZENLEMELER 2004/7189 sayılı Bilgi Edinme Hakkı Kanununun Uygulanmasına Đlişkin Esas ve Usuller Hakkında Yönetmelik, 27 Nisan 2004 tarih ve 25445 sayılı Resmi Gazete. 213 sayılı Vergi Usul Kanunu, 10.01.1961 tarih ve 10705 sayılı Resmi Gazete. 2499 sayılı Sermaye Piyasası Kanunu, 30.07.1981 tarih ve 17416 sayılı Resmi Gazete. 4054 sayılı Rekabetin Korunması Hakkında Kanun, 13.12.1994 tarih ve 22140 sayılı Resmi Gazete. 4982 sayılı Bilgi Edinme Hakkı Kanunu, 24 Ekim 2003 tarih ve 25269 sayılı Resmi Gazete. 5237 sayılı Türk Ceza Kanunu, 12.10.2004 tarih ve 25611 sayılı Resmi Gazete. 5237 sayılı Türk Ceza Kanunu Gerekçesi, http://www.cezabb.adalet.gov.tr/mevzuat/ maddegerekce.doc. 5411 sayılı Bankacılık Kanunu, 01.11.2005 tarih ve 25983 sayılı Resmi Gazete. 5549 sayılı Suç Gelirlerinin Aklanmasının Önlenmesi Hakkında Kanun, 18.10.2006 tarih ve 26323 sayılı Resmi Gazete. 5721 sayılı Türk Medeni Kanunu, 08.12.2001 tarih ve 24607 sayılı Resmi Gazete. 6183 sayılı Amme Alacaklarının Tahsil Usulü Hakkında Kanun, 28.07.1953 tarih ve 8469 sayılı Resmi Gazete. 136 765 sayılı Türk Ceza Kanunu, 13.03.1926 tarih ve 320 sayılı Resmi Gazete. 818 sayılı Borçlar Kanunu, 08.05.1926 tarih ve 366 sayılı Resmi Gazete. Başbakanlık Yüksek Denetleme Kurulu Hakkında 72 Sayılı Kanun Hükmünde Kararname, 20.10.1983 tarih ve 18197 sayılı Resmi Gazete. Devlet Sırrı Kanunu Tasarısı ve Gerekçesi, http://www2.tbmm.gov.tr/d23/1/10575.pdf. Kimlik Paylaşım Sistemi Uygulama Yönetmeliği, 10.07.2005 tarih ve 25871 sayılı Resmi Gazete. Kimlik Paylaşımı Sistemi Yönetmeliği, 08.12.2006 tarih ve 26370 sayılı Resmi Gazete. Kişisel Verileri Koruma Kanun Tasarısı ve Gerekçesi, http://www2.tbmm.gov.tr/d23/1/1-0576.pdf. T.C. Anayasası, 09.11.1982 tarih ve 17863 Mükerrer sayılı Resmî Gazete. Ticarî Sır, Banka Sırrı ve Müşteri Sırrı Hakkında Kanun Tasarısı ve Gerekçesi, http://www2.tbmm.gov.tr/d23/1/1-0517.pdf. ULUSLARARASI DÜZENLEMELER AB Elektronik Đletişimde Kişisel Verilerin Đşlenmesi ve Gizliliğinin Korunması Yönergesi, http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:32002L0058:EN: NOT. AB Kişisel Verilerin Đşlenmesinde Gerçek Kişilerin Korunması ve Verilerin Serbest Dolaşımı Yönergesi, http://eurlex.europa.eu/smartapi/cgi/sga_doc?smartapi!celexapi!prod!CELEXnu mdoc&lg=en&numdoc=31995L0046&model=guichett. 137 AB Telekomünikasyon Alanında Kişisel Verilerin Đşlenmesi ve Mahremiyetin Korunması Yönergesi, http://www.dataprotection.ie/viewdoc.asp?m=l&fn=/documents/legal/6 aiii.htm. ABD Mahremiyet Kanunu, http://www.archives.gov/about/laws/privacy-act1974.html. Avrupa Birliği Temel Haklar Şartı, http://www.belgenet.com/arsiv/sozlesme/ab_thb.html. Avrupa Đnsan Hakları Sözleşmesi, 19 Mart 1954 tarih ve 8662 sayılı Resmi Gazete. Avrupa Konseyi Kişisel Nitelikteki Verilerin Otomatik Đşleme Tabi Tutulması Karşısında Şahısların Korunmasına Dair 108 sayılı Sözleşmesi, http://www.avrupakonseyi.org.tr/antlasma/aas_108.htm. BM Bilgisayarla Đşlenen Kişisel Veri Dosyaları Hakkında Rehber Đlkeleri, http://www.unhcr.org/refworld/type,THEMGUIDE,UNGA,,3ddcafaac,0. html BM Siyasi ve Medeni Haklar Sözleşmesi, http://www.belgenet.com/arsiv/bm/bmsiyasihak.html. Đnsan Hakları Evrensel Beyannamesi, 27 Mayıs 1949 tarih ve 7217 sayılı Resmi Gazete. OECD Bilgi Sistemlerinin Güvenliği için Rehber Đlkeler, http://www.oecd.org/document/19/0,3343,en_2649_34255_1815059_ 1_1_1_1,00.html. OECD Gizliliğin Korunması ve Sınır Ötesi Kişisel Veri Akışları Hakkında Rehber Đlkeleri, 138 http://www.oecd.org/document/18/0,2340,en_2649_34255_1815186_ 1_1_1_1,00.html. OECD Kriptografi Politikası Rehber Đlkeleri, http://www.oecd.org/document/34/0,3343,en_2649_34255_1814690_ 1_1_1_1,00.html. OECD Küresel Ağlarda Mahremiyetin Korunmasına Đlişkin Bakanlar Konseyi Bildirisi, http://www.oecd.org/dataoecd/39/13/1840065.pdf. OECD Sınır Ötesi Veri Akışı Bildirisi, http://www.oecd.org/document/60/0,3343,en_2649_34255_2373500_ 1_1_1_1,00.html. 139 ÖZET ERSOY, Uğur. Bir Đnsan Hakları Kavramı Olarak “Kişisel Verilerin Korunması”, Yüksek Lisans Tezi, Ankara, 2009 Son çeyrek asırdır bilişim sektöründe gözlemlenen hızlı teknolojik gelişme, tamamen kişilerin özel alanlarını ilgilendiren ve gizli kalması gereken verilerin çok kolay şekilde ve büyük süratle kaydedilmesi olanağını beraberinde getirmiştir. Sadece yetkisi olan kişilerce erişilmesine ve üçüncü kişilere aktarılmasına müsaade edilen bu verilerin yetkisi olmayan kişilerin eline geçmesi ise hak ihlallerine neden olacaktır. En yüksek değer olarak bireyi esas alan modern hukuk anlayışı, kişilik haklarının ihlalini kolaylaştıran teknolojik ilerlemeye karşılık, kişisel verilerin hukuka aykırı amaçlarla işlenmesini engellemek suretiyle kişilik haklarını korumaktadır. Öte yandan, günümüzde özellikle uluslararası veri transferlerinin gerçekleştirilmesinde kişisel verilerin korunması yönündeki düzenlemelerin o ülkede yapılmış olması temel şart olarak ileri sürülmektedir. Bu eksikliği gidermek üzere, ülkeler gerek kişisel verilerin işlenmesini, gerekse de sınır ötesi akışa tabi tutulmasını ilkelere bağlayan yasal düzenlemelere gitmektedir. Bu noktadan hareketle, tezimiz konuya ilişkin kavramsal çerçeve ve kişisel verilerin korunması hakkının tarihsel gelişimi ile uluslararası düzenlemeleri, çeşitli ülkelerin bakış açılarını ve Türkiye’deki mevzuatı kapsamaktadır. Çalışmamızda çeşitli kamu kurum ve kuruluşları ile gerçek ve tüzel kişilerin görevini yerine getirirken elde ettiği ve işlediği kişisel verilerin özellikleri ile koruma karşısındaki hukuki durumunu ve veri paylaşımında kapsam ve sınırlılıkları ortaya koymak amaçlanmıştır. 140 Anahtar Kelimeler: 1. Đnsan hakları 2. Özel hayatın gizliliği 3. Kişisel verilerin korunması 4. Bilgi edinme hakkı 5. Sır 141 ABSTRACT ERSOY, Uğur. “Protection of Personal Data” As a Concept of Human Rights, Master’s Thesis, Ankara, 2009 The rapid development observed in the information technology sector for the last quarter century has enabled to record and register easily and fast the confidential data, which are subject to privacy, to facilitate the transactions of people. The access of unauthorized persons to these data will lead to the violation of basic rights as these data can only be accessed by authorized persons and disseminated to relevant third persons. The understanding of modern law, which focuses on the protection of basic individual rights, protects basic human rights by means of preventing the misuse of personal data and unlawfully processing of them despite the technological development, which makes it easier to violation of individual rights. Besides, at the present day the existence of the legislation or regulation about the protection of personal data in one country is a precondition for the transborder flows of personal data. Because of that fact, countries make legislation, which sets forth the principles for the protection and transborder flows of personal data. This study covers a conceptual framework and a historical development of the right of protection of personal data, national and international legislation about the subject and lastly the relevant regulations in Turkey. In this study, it is aimed to reveal the features of personal data obtained and processed by the public institutions and organizations, individuals and legal entities while enacting their duties, to reveal the legal status of these real and legal persons and to reveal the scope and limitations of sharing the personal data. 142 Key Words: 1. Human rights 2. The right to privacy 3. Data protection 4. The right to get information 5. Confidentiality