tc gazi üniversitesi sosyal bilimler enstitüsü kamu yönetimi anabilim

T.C.
GAZĐ ÜNĐVERSĐTESĐ
SOSYAL BĐLĐMLER ENSTĐTÜSÜ
KAMU YÖNETĐMĐ ANABĐLĐM DALI
SĐYASET VE SOSYAL BĐLĐMLER BĐLĐM DALI
BĐR ĐNSAN HAKLARI KAVRAMI OLARAK
“KĐŞĐSEL VERĐLERĐN KORUNMASI”
YÜKSEK LĐSANS TEZĐ
Hazırlayan
Uğur ERSOY
Tez Danışmanı
Doç. Dr. Tevfik ERDEM
Ankara – 2009
ÖNSÖZ
Günümüzde geleneksel yöntemlerin yanı sıra, verilerin bilgisayar gibi
elektronik ortamlarda işlenerek bunların veri bankalarında depo edilmesi çok
yaygınlaşmıştır. Bilgi çağı olarak nitelendirilen 21’inci yüzyılda, bir taraftan
kişisel verilerin işleme tabi tutulmasını kolaylaştırmak ve bunları ilgililerin
yararlanmasına sunmanın zorunlu olması kadar, bunu yaparken temel hak ve
hürriyetlerin ihlal edilmemesi de çok önemli bir husus olarak ortaya
çıkmaktadır.
Kişisel verilerin işlenmesi ile kişilerin özel alanlarının korunması
arasındaki dengeyi doğru olarak kurabilmek üzere; tezimizde kişisel verilerin
korunmasının temel hak ve hürriyetler açısından taşıdığı önemi belirtmek,
kişisel verileri işleyen kişi ve kurumların bu ilkeyi ihlal etmesinin getireceği
hukuki sonuçları göstermek, konuya ilişkin olarak yaşanan uluslararası
problemleri teşhis etmek, dünyada ve Türkiye’deki yasal düzenlemelerin
eşliğinde kişisel verilerin korunması kavramına olan bakış açılarını ortaya
koymak ve tüm bunların ışığında, kişisel verileri işleyen kurum ve kuruluşlar
ile gerçek ve tüzel kişilerin bu konudaki durumunu ortaya koymak ve
yapılması gereken çalışmaları öne sürmek amaçlanmıştır.
Yapıcı eleştirileriyle tezimi geliştirmemde önemli katkılar sağlayan ve
esneklik anlayışıyla çalışmalarımı kolaylaştıran tez danışmanım Doç. Dr.
Tevfik ERDEM’e teşekkürlerimi bir borç bilirim.
Ayrıca çalışmalarımda sabırla ve sevgiyle bana destek olan ve her an
yanımda olduklarını hissettiren aileme ve arkadaşlarıma sonsuz şükranlarımı
sunarım.
Uğur ERSOY
Ankara, 2009
ii
ĐÇĐNDEKĐLER
ÖNSÖZ
Đ
ĐÇĐNDEKĐLER
ĐĐ
KISALTMALAR
vi
GĐRĐŞ
1
Tezin Đçeriği
2
Tezin Kapsam ve Sınırlılıkları
2
Tezin Varsayımları
3
BĐRĐNCĐ BÖLÜM
KAVRAMSAL ÇERÇEVE VE TARĐHSEL GELĐŞĐM
4
I. KAVRAMSAL ÇERÇEVE
4
A. Đnsan Hakları
4
B. Özel Hayatın Gizliliği
10
C. Kişisel Verilerin Korunması
16
1. Kişisel Veri
16
2. Kişisel Verilerin Đşlenmesi
17
3. Kişisel Verilerin Korunması
18
4. Bilgi Güvenliği
23
Ç. Bilgi Edinme Hakkı
27
D. Sır
33
1. Devlet Sırrı
35
2. Özel Sır
40
a. Ticarî Sır
43
iii
b. Banka Sırrı
44
c. Müşteri Sırrı
44
ç. Meslek Sırrı
45
3. Sırrın Đfşası
46
II. KĐŞĐSEL VERĐLERĐN KORUNMASI KAVRAMININ TARĐHSEL GELĐŞĐMĐ
47
ĐKĐNCĐ BÖLÜM
KĐŞĐSEL VERĐLERĐN KORUNMASI KAVRAMININ ULUSLARARASI
DÜZENLEME VE UYGULAMALARDAKĐ YERĐ
52
I. ULUSLARARASI DÜZENLEMELER
52
A. Ekonomik Đşbirliği ve Kalkınma Teşkilatı (OECD)
52
B. Avrupa Konseyi (AK)
56
C. Birleşmiş Milletler (BM)
62
Ç. Avrupa Birliği (AB)
64
II. ULUSLARARASI BAKIŞ AÇILARI: ÇEŞĐTLĐ ÜLKE DÜZENLEME VE
UYGULAMALARI
75
A. Avrupa Birliği Ülkeleri
76
B. Amerika Birleşik Devletleri
79
ÜÇÜNCÜ BÖLÜM
KĐŞĐSEL VERĐLERĐN KORUNMASI KAVRAMININ ULUSAL DÜZENLEME
VE UYGULAMALARDAKĐ YERĐ
85
I. ANAYASA
85
II. TÜRK MEDENĐ KANUNU
88
A. Vazgeçme ve Aşırı Sınırlamaya Karşı Kişiliğin Korunması
89
B. Saldırıya Karşı Kişiliğin Korunması
89
C. Dava Hakkı
90
iv
III. TÜRK CEZA KANUNU
91
A. Kişisel Verilerin Kaydedilmesi
93
B. Verileri Hukuka Aykırı Olarak Verme veya Ele Geçirme
95
E. Verileri Yok Etmeme
96
IV. KĐŞĐSEL VERĐLERĐN KORUNMASI KANUNU TASARISI
97
A. Genel Olarak
97
B. Tasarıyla Çizilen Amaç, Kapsam ve Tanımlar
99
C. Kişisel Verilerin Đşlenmesinde Uyulması Gereken Kurallar
103
1. Kişisel Verilerin Đşlenmesine Đlişkin Genel Đlkeler
103
2. Kişisel Verilerin Đşlenmesinde Hukuka Uygunluk Sebepleri
105
3. Özel Niteliği Olan (Hassas) Kişisel Verilerin Đşlenmesine Đlişkin Şartlar
107
4. Kişisel Verilerin Đşlenmesi Sırasında Alınacak Tedbirler: Bilgi Güvenliği
110
5. Kişisel Verilerin Anonim Hale Getirilmesi, Silinmesi veya Yok Edilmesi
111
Ç. Kişisel Verilerin Transfer Edilmesi Halleri
1. Kişisel Verilerin Yurt Đçinde Transfer Edilmesi
a. Kişisel Verilerin Üçüncü Kişilere Aktarılması
111
112
112
b. Kişisel Verilerin Kamu Kurum ve Kuruluşlarından Kamu Kurum ve
Kuruluşlarına Aktarılması
113
c. Kişisel Verilerin Kamu Kurum ve Kuruluşlarından Üçüncü Kişilere
Aktarılması
113
2. Kişisel Verilerin Yurt Dışına Transfer Edilmesi
114
D. Kişisel Verileri Đşlenen Kişinin Bilgi Edinme Hakkı
115
v
E. Kişisel Verilerin Hukuka Aykırı Olarak Đşlenmesi Suçunun
Soruşturulması ve Kovuşturulması ve Đdari Para Cezaları
117
F. Tasarıda Getirilen Đstisnalar
118
SONUÇ
121
KAYNAKÇA
129
ÖZET
139
ABSTRACT
141
vi
KISALTMALAR
a.g.e.
: Adı geçen eser
a.g.m.
: Adı geçen makale
AB
: Avrupa Birliği
ABD
: Amerika Birleşik Devletleri
AĐHM
: Avrupa Đnsan Hakları Mahkemesi
AĐHS
: Avrupa Đnsan Hakları Sözleşmesi
AK
: Avrupa Konseyi
Bkz., bkz.
: Bakınız
BM
: Birleşmiş Milletler
CMK
: Ceza Muhakemesi Kanunu
IBM
: International Business Machines Corporation
ISO
:
Uluslar
arası
Standartlar
Örgütü
(International Standards Organization)
Tasarı, tasarı
: Kişisel Verilerin Korunması Kanun Tasarısı
m.
: Madde
OECD
: Organization for Economic Cooperation and
Development
(Ekonomik
Kalkınma Örgütü)
R.G.
: Resmi Gazete
s.
: Sayfa
S.
: Sayı
TCK
: Türk Ceza Kanunu
vb.
: ve benzeri
vd.
: ve devamı
Đşbirliği
ve
GĐRĐŞ
Modern çağın en önemli hukuksal dayanaklarından biri, temel hak ve
hürriyetlerin güvence altına alınması ve bireyin gerek devlet gerekse de diğer
kişiler karşısında korunması olagelmiştir. Bu bağlamda önemli yere sahip
olan ve Anayasamızda da kişi hak ve özgürlükleri arasında sayılan “özel
hayatın gizliliği” kavramı, hukuk devleti ilkesinin olmazsa olmazları arasında
yer almaktadır.
Son yıllarda gözlemlenen hızlı teknolojik ilerleme, hayatın birçok
alanında önemli kolaylıklar sağlamanın yanı sıra, kişisel özgürlüklerin özel
hayatın gizliliği ilkesinin ihlal edilmesini de kapsayacak bir şekilde
kısıtlanmasını beraberinde getirmiştir. Özellikle bilişim alanındaki gelişmeyle
beraber pek çok nicelikteki kişisel veriler bilgisayar ortamında kolaylıkla
işlenmeye başlanmış, bunun paralelinde özel alana yapılan saldırı ya da
müdahaleleri ihtiva eden yeni suç tipleri belirmiştir. Tamamen kişiye özel olan
ve sadece bu verileri işleyenin görev alanıyla ilgili olarak kanuni amaçlarla
kullanılabilecek verilerin yetkisi olmayan üçüncü şahısların eline geçmesi,
kişilik haklarının ihlalini ve bu bilgilerin kötüye kullanılmasını da beraberinde
getirecektir. Bu nedenle, kişisel verileri işleyen özel veya kamusal kişi ya da
kurumlar tarafından bu konuda ihlallerin yaşanmamasını temin edecek
düzenleme ve uygulamaların ortaya konularak gerekli önlemlerin alınması
gerekmektedir.
Đşte bu tez çalışması ile kişisel verilerin korunmasının neden elzem
olduğu
ve
bu
konudaki
ihlallerin
ne
gibi
sonuçlar
doğurabileceği
vurgulanacak, yapılması gereken düzenleme ve alınması gereken önlemlerin
neler olduğu anlatılmaya çalışılacak, bu konuda uygulamaya gidecek kamu
kurum ve kuruluşları ile gerçek ve tüzel kişilere fikir verilecektir.
2
Tezin Đçeriği
Đlk bölümde tezin tümü için gerekli alt yapı çalışması teşkil etmesi
düşüncesiyle, kişisel verilerin korunması ilkesini “kavramsal çerçeve ve
tarihsel gelişimi” açısından ele aldık. Kavramın temel dayanakları arasında
yer alan ve üst kavram olarak kabul edilebilecek “özel hayatın gizliliği” hakkı
ile kişisel verilerin korunması hakkının kapsam ve sınırlarını belirlemede
önemli bir yere sahip olan “bilgi edinme hakkı” ve “sır” kavramlarını irdeledik.
Ayrıca günümüzde önemi gittikçe artan kişisel verilerin korunması kavramının
bu güne ulaşmasında geçtiği tarihsel gelişim süreci, temel hak ve
hürriyetlerin ortaya çıkışından özel hayatın gizliliği ve nihayet kişisel verilerin
korunması özeline varmasına kısaca değindik.
Đkinci bölümde ise konunun uluslararası boyutunu ele aldık. Bu amaçla
öncelikle kişisel verilerin korunması kavramının yer aldığı uluslararası
metinler, bu düzenlemelerin kapsam ve sınırlılıkları ile Türkiye’nin bu konuda
hangi düzenlemelere dahil olduğu ve gelinen aşamayı anlattık. Bu
kapsamda; OECD Tavsiye Kararları, Avrupa Konseyi Sözleşmesi, Birleşmiş
Milletler Rehber Đlkeleri, Avrupa Birliği Direktifleri ile konuya ilişkin dünyadaki
farklı
bakış
açılarını
göstermek
üzere
çeşitli
ülke
düzenleme
ve
uygulamalarına yer verdik.
Tezimizin üçüncü bölümünde, kişisel verilerin korunması ile ilgili
Türkiye’deki ulusal düzenleme ve uygulamaları ele aldık. Bu kapsamda genel
düzenlemeler
olan
Anayasamız,
Türk
Medeni
Kanunu,
Türk
Ceza
Kanunu’nun ilgili hükümleri ile halen yasalaşma sürecinde bulunan Kişisel
Verilerin Korunması Kanunu Tasarısını detaylı olarak irdeledik.
Tezin Kapsam ve Sınırlılıkları
Kişisel verilerin korunması hakkı 1980’li yıllarla birlikte bilişim
teknolojilerinin gelişmesine paralel olarak ortaya çıktığı için oldukça yeni bir
kavramdır. Bu nedenle, konuya ilişkin özellikle akademik anlamda kaynak
3
sıkıntısı bulunmakta olup, bu hususta internet ortamında, kütüphanelerde ve
kurum arşivlerinde araştırmalar yapılmış ve çeşitli kaynaklardan toplanan
yazı ve makaleler incelenmiştir. Özellikle Türkiye’de konuya dair zengin bir
kaynağın bulunduğunu söylemek zor olacaktır. Bu nedenle tezimizde daha
çok uluslararası ve uluslarüstü düzenlemeler, bazı ülkelerin mevzuatları ile
Türkiye’deki yasal düzenleme ve uygulamalardan yararlanarak, daha çok
düzenlemeleri yorumlamak suretiyle konuyu ele aldık.
Tezin Varsayımları
Bilgi
teknolojilerindeki
hızlı
gelişmeyle
birlikte
kişisel
verilerin
korunması hakkının günümüz dünyasında olmazsa olmaz bir güvence olarak
temel insan hakları arasında sayılmaya başlanması ve ulusal ve uluslararası
alanlarda anayasal bir ilke olarak yerini alması hususu çalışmamızda temel
varsayım olarak ele alınmıştır.
Tezimizde kişisel verilerin korunması kavramının, diğer anayasal hak
ve hürriyetlerle de ilintili olmakla beraber, esasen özel hayatın gizliliği
ilkesiyle ilişkili olduğu ve özel hayatın gizliliği ilkesinin bir alt kavramı olarak
müstakil bir hak teşkil ettiği hususu varsayım olarak kabul edilmiştir. Ayrıca
kişisel verilerin korunması hakkının bilgi edinme hakkı, bilgi güvenliği ve sır
kavramlarıyla da yakıdan ilişkili olduğu, bu kavramların kişisel verilerin
korunması kavramının kapsam ve sınırlarının belirlenmesinde büyük önem
taşıdığı kabul edilmiş ve tezimizin ilgili bölümleri bu varsayımlar çerçevesinde
işlenmiştir.
4
BĐRĐNCĐ BÖLÜM
KAVRAMSAL ÇERÇEVE VE TARĐHSEL GELĐŞĐM
I. KAVRAMSAL ÇERÇEVE
A. Đnsan Hakları
Modern dünyanın artık evrenselleşmiş kavramları arasında yer alan ve
güncel hayatın olmazsa olmazları arasında kabul edilen insan hakları
kavramı üzerinde ortaya atılmış fikirlerin çeşitliliği göz önüne alındığında,
kavrama ilişkin belirli ortak bir tanım üzerinde mutabık kalmak mümkün
olmamakla beraber, kavram üzerinde getirilen tanımlamaları, kavramın
tarihsel gelişimini ve niteliklerini çok kısa bir biçimde ele alacağız.
Her şeyden önce ahlaki ve hukuki alanda “hak” kavramı; bir kişi,
kurum veya bir şey üzerindeki gerekçelendirilmiş bir iddia ve talebi ifade
etmektedir. Prof. Dr. Mustafa ERDOĞAN’a göre hak sahibi kişi, başka
insanlar
ya
da
sosyal
kurumlar
tarafından
kendisine
belli
şekilde
davranılmaya hakkı olduğunu iddia eder. Dolayısıyla, her hak iddiası belirli bir
somut durumda başkasının özgürlüğüne müdahale edebilmek için ahlaken
yetkili olunduğunun kısaltılmış bir formülüdür.1 Kuşkusuz söz konusu
müdahale kişinin kendi alanının korunması amacıyla vuku bulacağından,
bunun
menfi
karakterde
olduğunu
ve
başkasının
kendi
alanındaki
özgürlüğünü ortadan kaldırmayacağını ilave etmek gerekir.
Temelinde insan onurunun korunmasına yönelik kaygının bulunduğu
insan hakları kavramı, bütün insanları kapsar, evrenseldir, tarihten, kültürden
ve
1
ekonomiden
bağımsız
olarak
varolur,
insanın
Mustafa ERDOĞAN, Đnsan Hakları Teorisi ve Hukuku, Ankara, Orion, 2007, s.7-8.
kendisiyle
5
yabancılaşmaması için vazgeçemeyeceği ahlaki niteliklerden ibarettir.2 Buna
göre kendisinin ve kendi eylemlerinin bir efendisi olması dolayısıyla çeşitli
haklara sahip olan insan bir amaçtır; bu nedenle de hakların konusu ve
hakların sahibidir.3 Her kişinin insan olmak sıfatıyla sahip olduğu genel bir
ahlaki ve hukuki hak olarak insan hakkı, kişinin hak ettiği bir asgari muamele
meselesi olması nedeniyle, her insana borçlu olunan ve haklı gerekçeleri
bulunan üstün, öncelikli bir iddiadır.4 Bu noktada, insan hakları kavramının
kişiyle ilgili her alanda onun ayrılmaz bir parçası olarak devreye girdiğini
söylemek yanlış olmayacaktır.
Kavram üzerinde çeşitli tanımlamalar yapılmaktadır. BM kaynaklarında
insan hakları şöyle tanımlanmaktadır: “Đnsan hakları, bütün şahısların insan
olmaları dolayısıyla hür ve haysiyetli yaşamaları için sahip oldukları haklardır.
Bu haklar herkese diğer bireylerin davranışlarıyla ilgili ve toplumsal düzenin
yapısı üzerinde manevi haklar verir. Bu haklar evrensel, vazgeçilemez ve
bölünemezdir.” J.Mourgeon kavramı “insanın diğer şahıslarla ve iktidarla
ilişkilerinde
ve
iktidarla
ilişkilerinde
bizzat
kurallarla
düzenlenen
imtiyazlardır.”5 şeklinde tanımlayarak kavramın hukuksal yönünü ön plana
çıkarmıştır. J. Hersch ise şöyle tanımlar: “Đnsan hakları bireysel haklardır; bu
haklar tabii, asıl, mutlak, temel ve şahsidir. Đnsan hakları tabiatın akıl sahibi
bir varlık olarak insana verdiği manevi melekeler ve imtiyazlardır.”6 Buradan
yola çıkarak insan haklarının toplumsal, siyasal, hukuki ve ahlaki olarak
kişinin özgürlük alanının sınırlarını çizen ve adeta onu bu alanda tanımlayan
kodlar bütünü olduğunu söylemek mümkündür.
2
Đhsan DAĞI, Necati POLAT, Herkes Đçin Demokrasi ve Đnsan Hakları, Ankara, Liberte, 2004,
s.37-38.
3
Vahap COŞKUN, Đnsan Hakları, Ankara, Liberte, 2006, s.4.
4
Đnsan Hakları, Ankara, Matus, 2006, s.18.
5
Jacques MOURGEON (Çeviri: Ayşen EKMEKÇĐ, Alev TÜRKER), Đnsan Hakları, Đletişim, s.9.
6
Mehmet Emin ÇAĞIRAN, Uluslararası Alanda Đnsan Hakları, Ankara, Platin, 2006, s.30.
6
Đnsan
hakları
anlayışları
son
tahlilde
toplumsal
yaşamda
çözümlenmesi gereken reel bir soruna cevap getirme hedefi taşır. Bu da
bireyin ve grupların devletle ve birbirleriyle etkileşimlerinde toplumsal barışı
mümkün kılacak bir hak ve özgürlükler paydası yaratmaktır.7 Devlet
karşısında ileri sürülen iddialar olması hasebiyle siyasi nitelik içeren insan
hakları kavramı, özünde bazı ahlaki değerlerin korunmasıyla ilgilidir. Yani
insan hakları iddiası siyasi bir iddia olarak ortaya çıkmakla beraber, içeriği
itibariyle ahlakidir.8 Bununla birlikte, insan hakları mücadelesinin nihai amacı,
bu haklara hukuki geçerlilik kazandırılmasıdır. Đnsan hakları hukuken ileri
sürülebilir hale getirildiğinde hakları ihlal edenler normal olarak bunlara sahip
olmaya devam etmekle beraber insan haklarını değil hukuki hakları ileri
süreceklerdir.9 Ahlaki temellere dayalı olarak siyasi alanda vücut bulmuş
olmakla beraber, kavramın hukuksal korumadan yoksun bir şekilde salt siyasi
söylevlerle bir anlam ifade etmeyeceği açıktır. O halde gerçek anlamda insan
haklarından bahsedebilmek için bu konudaki siyasi argümanların hukuksal
enstrümanlarla donatılması gereklilik arz etmektedir.
Konunun siyasi veçheleri irdelendiğinde insan hakları düşüncesinin
insan
merkezci
ERDOĞAN’a
(antropo-centric)
göre
insan
hakları
bir
düşünce
bütün
olduğu
insanların
görülmektedir.
vatandaşlığından,
milliyetinden, siyasi ve ideolojik mensubiyetinden, değişken sosyo-ekonomik
şartlarından, mesleki statüsünden veya yeteneklerinden dolayı değil, sırf
insan olduklarından ötürü sahip olduğu haklardır ki, bu durum kişiye insan
kişisinin hak ettiği bir asgari muamele meselesi olarak her insana borçlu
olunan ve haklı gerekçeleri bulunan üstün öncelikli iddiada bulunma yetkisi
7
DAĞI, a.g.e., s.35.
8
ERDOĞAN, a.g.e., s.20.
9
Jack DONNELLY (Çeviri: Mustafa ERDOĞAN, Levent KORKUT), Teoride ve Uygulamada
Đnsan Hakları, Ankara, Yetkin, 1995, s.25.
7
vermektedir.10 Đnsanların irade ve akıl sahibi olmasından mütevellit üstün
veya özel vasıfları, ona diğer canlılardan farklılık arz edecek şekilde belirli
haklara sahip olma iddia ve talep yetkisi tanımaktadır. Kişilerin insan olmak
bakımından eşitliği, maddi-fiziksel donanımları yönünden eşitleştirmek için
genel olarak zora başvurulmasını değil, tersine herkesin insan onuruna eşit
saygı gösterilmesini gerektirir.11 Bizim de katıldığımız bu görüş esasında
insan haklarının eşitlik ilkesi göz ardı edilmemek kaydıyla kişinin özgürlük
alanının genişletilmesi imkânını beraberinde getiren önemli bir denge unsuru
olduğu varsayımını içermektedir.
Konuya hukuksal yönlerden bakıldığında insan haklarının korunması
gündeme gelmektedir. Đnsan haklarını korumak kişilerin özgürlük alanını
genişletmek yanında devletle ilişkilerinde maruz kalabilecekleri haksızlıkların
temelini kurutmak ve haksızlıkların getirdiği maddi ve manevi tahribatı
gidermektir.12 Prof. Dr. Şeref ÜNAL’a göre, kişi hak ve özgürlükleri bireye
devletçe bağışlanan haklar değil, hukuken devletten önce de var olan
haklardır. Devletin görevi ise bu hak ve özgürlükleri güvence altına almak ve
kişilerin
yararlanmalarını
sağlamak
üzere
gerekli
ortam
ve
şartları
hazırlamaktır. Devlet sadece toplumun sürekli değişen yapısı çerçevesinde
bu hakların kullanılmasının sınırlarını çizerek çelişki ve çatışmaları önlemek
yetkisine sahiptir. Bireyin temel hak ve özgürlüğü ilke olarak hukuken sınırsız,
devletin müdahale yetkisi ise ilke olarak kısıtlı, ölçülü ve denetime açıktır.13
Günümüz dünyasında hukuk devleti ilkesinin benimsendiği ülkelerde söz
konusu hususlar tartışma götürmeksizin hukuksal düzenlemeler içerisinde
yerini almıştır.
10
ERDOĞAN, a.g.e., 21.
11
ERDOĞAN, a.g.e., 23.
12
Matus, a.g.e., s.30.
13
Şeref ÜNAL, Temel Hak ve Özgürlükler ve Đnsan Hakları Hukuku, Ankara, Yetkin, 1997, s.41.
8
Đnsan haklarının özellikleri konusunda çeşitli fikirler ortaya atılmakla
beraber asgari düzeyde şu nitelendirmelerin yapıldığı görülmektedir: Bireyin
haklarıdır,
evrenseldir,
doğuştandır,
toplum
öncesidir,
mutlaktır,
vazgeçilmezdir, çoğunlukla özgürlük haklarıdır, temel haklardır, esas olarak
devlete ileri sürülen iddialardır, daha alt düzeydeki haklarla veya bu hakları
yerleştirme mücadelesiyle yakından ilgilidir, siyasi meşruluğun ölçütüdür.14
Kavramın tarihsel gelişimine bakıldığında; insan haklarının savaşımsız
bir tarihle bugünlere gelmediği görülmektedir. Tarihin en eski dönemlerinden
beri çeşitli mücadelelerde vücut bulmuştur. Örneğin eski Roma’da Spartaküs
Köle
Ayaklanması
görülmüş,
ardından
kölelik
zaman
içerisinde
kaldırılabilmiştir.15 Bunun gibi mücadeleler sonucunda insanlık tarihi bir takım
gelişmeleri sergileyebilmiştir.
Prof. Dr. Münci KAPANĐ, insanın sırf insan olmak sıfatıyla doğuştan
bazı hak ve hürriyetlere sahip olduğu ve devlet tarafından bunlara
dokunulamayacağı yolundaki temel fikrin bir sistem halinde ortaya çıkışının
17. yüzyıla tekabül ettiğini ileri sürmektedir. Buna göre; tabiat hali ve toplum
sözleşmesi temel varsayımları üzerine kurulu kişi hakları doktrini, insanların
devletten önce ve onun hukukundan üstün bir takım tabii haklara sahip
olduğu görüşünü içeren doğal hukuk fikrinden ortaya çıkmıştır. Ancak bunun
dışında kişi hak ve hürriyetlerini doğrudan insanın yaradılışı itibariyle irade
sahibi, hür ve sorumlu tek gerçek varlık oluşundan ve devletin temel yapıcı
unsuru bulunuşundan çıkaran ferdiyetçi doktrin de doğal hukuk ekolünün
görüşlerini revizyondan geçirerek bazı eklemelerde bulunmuştur.16
14
ERDOĞAN, a.g.e., s.83-91; COŞKUN, a.g.e., s.19-25; Matus, a.g.e., s.83-91.
15
Mesut GÜLMEZ, “Đnsan Haklarının Tarihsel Gelişimi ve Bugünkü Ulaştığı Nokta”, Farklı Bakış
Tarzlarıyla Đnsan Hakları Uygulamaları, Ankara, Emniyet Genel Müdürlüğü APK Daire
Başkanlığı, 2000, s.
16
Münci KAPANĐ, Kamu Hürriyetleri, Ankara, Yetkin, 1993, s.30-40.
9
Đnsan hakları modern çağın başlarında bir düşünce olarak doğmuştur.
Matus yayınına göre17, bu düşünceyi doğal haklar adı altında ilk dile getiren
John Locke’tur. Zamanla ahlaki/felsefi bir ilgi meselesi olmaktan çıkarak,
ulusal ve uluslararası belgelerin ve hukuk düzenlerinin konusu haline
gelmiştir. Đlk önemli adım 1688 yılındaki Bill of Rights (Haklar Bildirgesi) ile
atılmıştır. Ama bu adım 13. yüzyıldaki Manga Carta Libertatum’a kadar geri
gider. Daha sora eşit özgürlük ve vazgeçilmez haklar ilkelerine dayanan
Virginia Bildirgesi ve 1776’da ilan edilen Amerikan Bağımsızlık Bildirgesi de
aynı anlayışa sahip kalmıştır. 1789 Fransız Devrimi ile getirilen Đnsan ve
Yurttaş Hakları bildirisi de bir başka gelişmedir. 1948 yılında yayımlanan
Đnsan Hakları Evrensel Bildirisi oldukça geniş bir insan hakları listesini
içermektedir. Bunu bir çok uluslararası sözleşme izlemiştir.
Đnsan hakları terimi özellikle 20’nci yüzyılın ikinci yarısında özerk bir
hukuk disiplini çerçevesinde Đnsan Hakları Hukukunun kurumsallaşması
sonucunda tarihsel evrimin belli bir aşamasında ortaya çıkmış ve
somutlaşmış olup, bir birikimin ürünüdür. Đnsan haklarının evrensel ve mutlak
bir nitelik taşımasının ve bir insan hakları standardı oluşmasının 2. Dünya
Savaşından sonra çıkan uluslararası sistemin bir ürünü olduğu belirtilebilir.18
Bu bağlamda kavramın politik gayelerle kullanıldığı yönündeki fikirler bugün
dahi ciddi anlamda gündeme gelebilmektedir.
Tarihsel süreç içerisinde insan haklarıyla ilgili üçlü bir sınıflandırma
söz konusudur. Birinci kuşak haklar denilen medeni ve siyasi haklar kişinin
haklarını korumaya yöneliktir. Đkinci kuşak denilen ekonomik ve sosyal haklar
kişinin isteme hakları olup, devletin bu hakları sağlama görevi bulunmaktadır.
Üçüncü kuşak denilen katılma ya da dayanışma hakları da halkların kendi
17
Matus, a.g.e., s.26-29.
18
COŞKUN, a.g.e., s.96-97.
10
geleceklerini kendilerinin belirleyebilme ya da siyasal gücün kullanılmasına
katılma yetkisi veren haklardır.19
Đnsan hakları sistemi sürekli gelişim içerisindedir. Kapsamı yeni haklar
ve yeni yorumlarla zenginleşip genişlemektedir. Tarihsel gelişim süreci
içerisinde insan hakları bireyin temel haklarından başlayarak siyasi,
toplumsal, iktisadi ve kültürel faaliyetleriyle ilgili alanlara doğru bir gelişme
göstermektedir.20 Đşte günümüz dünyasının vazgeçilmez bir olgusu olarak her
geçen zaman diliminde önemini gittikçe artıran insan hakları kavramına ilişkin
yaklaşımlar kişisel verilerin korunması ile bununla bağdaşan ve çelişen diğer
kavramların ana çatısı olarak tezimizde temel alınacaktır.
B. Özel Hayatın Gizliliği
Modernleşmeyle birlikte yükselen insan hakları değerleri arasında yer
alan özel hayatın gizliliği ilkesi, hem birinci kuşak hak ve özgürlükler
arasında, hem de ekonomik ve sosyal haklar arasında değerlendirilebilen bir
kavramdır. Kavram üzerinde yapılan tanımlarda mutabakata varılması zor
olsa da, hemen herkesçe kabul görmüş tek tanım özel hayatın gizliliğinin
kişinin “yalnız kalma hakkı” olduğudur ki, bu da kişilik haklarına karşı
istenmeyen müdahalelerin engellenmesi, güven ve sır tutma boyutunu
kapsamaktadır.21
Hubmann’a göre kişinin hayat alanı üç kısımdan oluşmaktadır: Kişinin
güven duyduğu kimselerle paylaştığı, bunun dışındaki kişilere kapalı olmasını
istediği “giz alanı”, kişinin gizli hayatına dahil olmayan fakat ailesi, yakınları
ve arkadaşları gibi sıkı ilişkiler içinde olduğu sınırlı sayıda kişilerle paylaşmak
19
Şeref GÖZÜBÜYÜK, Anayasa Hukuku, Ankara, Turhan, 2002, s.36-38.; ÇAĞIRAN, a.g.e.,
s.166-171.
20
ÇAĞIRAN, a.g.e., s.33.
21
Sultan ÜZELTÜRK, Özel Hayatın Gizliliği Hakkı, Đstanbul, Beta, 2004, s.1.
11
istediği “özel alanı” ve kişinin başkalarının bilmesinden rahatsız olmadığı
kamuya açık “ortak alanı”.22 Đşte burada mahremiyet kavramı ile özel yaşamın
gizliliği arasındaki ayırım daha belirgin olarak ortaya çıkmaktadır: Mahremiyet
kişinin giz ve özel alanını kapsamakta iken, özel yaşam mahremiyeti de içine
alan bir üst kavramı ifade etmektedir ve özel yaşamın gizliliği hakkı kişinin
mahrem alanının dışındaki kamuya açık alanını da koruma altına almaktadır.
Özel
hayatın
gizliliği
hakkının
korunması
iki
temel
sebebe
dayandırılabilir: Birincisi, çağdaş toplumun artık moral değerlerle kontrol
edilemeyen, bireysel hassasiyetleri güçlü ve buna saygı bekleyen, doğrudan
insan ilişkileri zayıf olduğu için de başkalarının özelini merak eden bir kitleden
oluşmasıdır. Đkincisi, teknolojinin gelişmesi ve bireyin özel hayatına müdahale
edebilecek araçların hızla yayılmasıdır.23 Bu nedenle kişinin sosyal, siyasal,
dini, kültürel yahut ekonomik alanına yapılacak olası tecavüzlerin önüne
geçilebilmesi amacıyla özel hayatın gizliliği hakkı başlıca bir insan hakkı
olarak korumaya tabi tutulmaktadır.
Prof. Dr. Oya ARASLI bir hak olarak özel yaşamın gizliliğinin üç felsefi
temele dayandığını ileri sürmektedir:24 Birincisi özgürlük kavramının alt
yapısını oluşturan bireysel özerklik olup, kişinin tercih etme hakkının
şartlarının oluşturulması açısından müdahaleden uzak tutulmalıdır. Đkincisi
fayda düşüncesi olup, devlet bireyin özel yaşamına müdahale etmediğinde
kişi daha mutlu hissedecektir. Üçüncüsü ise, kişinin “zihinsel ve duygusal
güvenliği” olarak adlandırılan ve bireyin bağımsızlığı ve onuruna ilişkin alanı
anlatan bir süreci kapsamaktadır. Bu bağlamda kişilerin başkasının özel
hayatını takdir veya tasvip etme bile, onun hayatını kendi istediği gibi
düzenleme ve yaşama hakkına sahip olduğu kabul ederek ona müdahale
22
Serap HELVACI, Türk ve Đsviçre Hukuklarında Kişilik Hakkını Koruyucu Davalar, Đstanbul,
Beta, 2001, s.62.
23
24
ÜZELTÜRK, a.g.e., s.6.
Oya ARASLI, Özel Yaşamın Gizliliği Hakkı ve T.C. Anayasasında Düzenlenişi, Ankara,
(Yayımlanmamış Doçentlik Tezi), 1979, s.24.
12
etmeme hukuki yükümlülüğü altında bulunduğu25 söylenebilir. Bireyin
izlenmesi ve izni olmadan hakkında kişisel veri toplanmasının yarattığı ahlaki,
toplumsal,
siyasi
ve
hukuki
sakınca
bu
felsefi
dayanak
içerisinde
değerlendirilebilir.
Tüm temel hak ve özgürlükler gibi özel hayatın gizliliği de evrensel bir
olgu olmakla beraber sınırsız değildir. Eksiksiz olmamakla birlikte genel kabul
görmeyi başarabilmiş şu ifade, özgürlüklerin sınırlandırılmasıyla ilgili olarak
durumu çok güzel izah etmektedir: “Özgürlük kollarını iki yana sallamaksa, bu
başkasının burnunun başladığı yerde sona erer.” Özel hayatın gizliliği hakkı
da bu bağlamda, millî güvenlik, kamu düzeni, suç işlenmesinin önlenmesi,
genel sağlık ve genel ahlâkın korunması veya başkalarının hak ve
özgürlüklerinin korunması gibi amaçlarla sınırlandırılabilecektir.
Özel hayatın koruma alanı üç konuda gizliliğin sınırlanmasına yol
açma eğilimi göstermektedir:26 Birincisi vatandaşın refahı için devletin
sorumluluk üstlenmesidir. Mesela, vatandaşa kamu hizmeti sunulabilmesi için
belirli bilgilerin kamu kurumlarınca tutulması gerekliliği böyle bir durumu
anlatmaktadır. Đkincisi, belli kurumların ve mesleki oluşumların meslek
üyelerini düzenlemek ve hizmet alanların haklarını korumak amacıyla bilgiye
ihtiyaç duymaktadır. Üçüncüsü, ifade özgürlüğündeki kamu yararı özel
hayata bir sınır oluşturabilmektedir. Zira özel hayatın gizliliği ile ifade
özgürlüğü birbiriyle zaman zaman çelişkiye girebilen hak ve özgürlük
alanlarını teşkil etmektedir.27 Bunun gibi, bilgi edinme hakkı ile özel hayatın
gizliliği hakkı arasında da ince bir çizgi bulunmaktadır. Đşte hukuksal
düzenlemeler bu kavramlar üzerinde çeşitli sınırlamalar getirmek suretiyle
25
ERDOĞAN, a.g.e., s.153.
26
ÜZELTÜRK, a.g.e., s.10.
27
Cavidan SOYKAN, “Avrupa Đnsan Hakları Mahkemesi Đçtihatlarında Bilgi Edinme Hakkı: Özel
Hayatın Gizliliği X Đfade Özgürlüğü”, Ankara Üniversitesi Siyasal Bilgiler Fakültesi Đnsan
Hakları Merkezi Çalışma Metinleri, Ankara, 2006, s.4.
13
insan
haklarının
sağlanmasında
optimum
dengenin
kurulmasını
amaçlamaktadır.
Özel hayatın gizliliği hakkı Đnsan Hakları Evrensel Beyannamesi,
Avrupa Đnsan Hakları Sözleşmesi, Avrupa Birliği Temel Haklar Şartı ile
Anayasamızda ve çeşitli genel ve özel kanunlarda düzenlenmiştir.
Đnsan
Hakları
Evrensel
Beyannamesi28’nin
12’nci
maddesinde,
“Kimsenin özel yaşamına, ailesine konutuna ya da haberleşmesine keyfi
olarak müdahale edilemez, şeref ve adına saldırılamaz. Herkesin bu gibi
müdahale ve saldırılara karşı yasa tarafından korunmaya hakkı vardır.”
ibaresi; Avrupa Đnsan Hakları Sözleşmesi29’nin “Özel hayatın ve aile
hayatının korunması” başlıklı 8’inci maddesinde, “Herkes özel ve aile
hayatına, konutuna ve haberleşmesine saygı gösterilmesi hakkına sahiptir.
Bu hakkın kullanılmasına bir kamu otoritesinin müdahalesi, ancak ulusal
güvenlik, kamu emniyeti, ülkenin ekonomik refahı, dirlik ve düzenin
korunması, suç işlenmesinin önlenmesi, sağlığın veya ahlakın veya
başkalarının hak ve özgürlüklerinin korunması için, demokratik bir toplumda,
zorunlu olan ölçüde ve yasayla öngörülmüş olmak koşuluyla söz konusu
olabilir.” ibaresi; Avrupa Birliği Temel Haklar Şartı30’nın “Özel hayata ve aile
hayatına saygı” başlıklı 7’nci maddesinde, “Herkes, özel hayatına, aile
hayatına, konutuna ve haberleşme özgürlüğüne saygı gösterilmesini isteme
hakkına sahiptir.” ibaresi yer almıştır.
28
Birleşmiş Milletler Genel Kurulu'nun 10 Aralık 1948 tarih ve 217 A (III) sayılı Kararıyla ilan
edilmiştir. Türkiye’de 27 Mayıs 1949 tarih ve 7217 sayılı Resmi Gazete'de yayımlanarak
onaylanmıştır.
29
20 Mart 1950'de Roma'da imzalanan Sözleşme, 3 Eylül 1952'de yürürlüğe girmiştir. Türkiye’de 19
Mart 1954 tarih ve 8662 sayılı Resmi Gazete'de yayımlanarak onaylanmıştır.
30
AB vatandaşlarının temel haklarını ve AB'nin vatandaşlarına karşı sorumluluklarını düzenleyen
Temel Haklar Şartı, 13-14 Ekim 2000'de Fransa'nın Biarritz kentinde gerçekleşen AB zirvesinde
devlet ve hükümet başkanlarının bilgisine sunulmuş ve kabul görmüş, 7-8 Aralık'taki "Nice
Zirvesi"nde onaylanmıştır.
14
1982 Anayasasının31 “Özel hayatın gizliliği ve korunması” başlığı
altında 20’nci maddede özel hayatın gizliliği, 21’inci maddede konut
dokunulmazlığı, 22’nci maddede haberleşme hürriyeti düzenlenmiştir. “Özel
hayatın gizliliği” başlıklı 20’nci maddede; “Herkes, özel hayatına ve aile
hayatına saygı gösterilmesini isteme hakkına sahiptir. Özel hayatın ve aile
hayatının gizliliğine dokunulamaz.
Millî
güvenlik, kamu düzeni,
suç
işlenmesinin önlenmesi, genel sağlık ve genel ahlâkın korunması veya
başkalarının hak ve özgürlüklerinin korunması sebeplerinden biri veya
birkaçına bağlı olarak, usulüne göre verilmiş hâkim kararı olmadıkça; yine bu
sebeplere bağlı olarak gecikmesinde sakınca bulunan hallerde de kanunla
yetkili kılınmış merciin yazılı emri bulunmadıkça; kimsenin üstü, özel kâğıtları
ve eşyası aranamaz ve bunlara el konulamaz. Yetkili merciin kararı yirmidört
saat içinde görevli hâkimin onayına sunulur. Hâkim, kararını el koymadan
itibaren kırksekiz saat içinde açıklar; aksi halde, el koyma kendiliğinden
kalkar.” ifadesine yer verilerek özel hayatın gizliliği hakkın kişinin hakları ve
ödevleri bölümünde garanti altına alınması sağlanmıştır.
Diğer taraftan, 5237 sayılı Türk Ceza Kanunu32’nun “Özel Hayata ve
Hayatın Gizli Alanına Karşı Suçlar” başlıklı 9’uncu bölümü 132-140’ıncı
maddeler
arasında;
haberleşmenin
gizliliğini
ihlal,
kişiler
arasındaki
konuşmaların dinlenmesi ve kayda alınması, özel hayatın gizliliğini ihlal,
kişisel verilerin kaydedilmesi, verileri hukuka aykırı olarak verme veya ele
geçirme, verileri yok etmeme, vd. başlıkları altında özel hayatın gizliliğine dair
düzenlemelere yer verilmiştir.
Özel hayatın gizliliği hakkı, devlet ile birey arasındaki ilişkiler açısından
“dikey ilişkilerde” ve birey-birey ilişkileri açısından “yatay ilişkilerde” özel
hayata yapılan müdahale ve ihlallere karşı kişinin korunması olarak
31
32
09.11.1982 tarih ve 17863 Mükerrer sayılı Resmî Gazete’de yayımlanmıştır.
12.10.2004 tarih ve 25611 sayılı Resmi Gazete’de yayımlanmış, 01.06.2005 tarihinde yürürlüğe
girmiştir.
15
nitelendirilebilir. Dikey ilişkilerde konut dokunulmazlığı, sebepsiz arama,
izleme, haberleşmeye müdahale, davranışları, ilişkileri, tercihleri ve yaşam
tarzları gibi özel kararlara devletin müdahalesi gibi durumlarda; yatay
ilişkilerde
ise
haksız
fiil
hukuku
çerçevesinde
kişiler
arasındaki
uyuşmazlıklarda ortaya çıkmaktadır.33 Birey-birey ilişkilerini içeren konular
çalışmamızda
göz
ardı
edilecek
ve
kavram
devlet-birey
ilişkileri
çerçevesinde, dolayısıyla kamu hukuku boyutuyla ele alınacaktır.
Devletin güvenliğini koruma ile bireylerin özel yaşamını koruma
arasındaki çatışma yeni olmamakla beraber, teknolojinin devlete bireyler
hakkındaki özel bilgilere eskisinden daha fazla erişme imkânını sağlaması bu
çatışmayı elzem bir şekilde gündeme taşımıştır. Gittikçe artan miktarda
hassas bireysel, tıbbi ve ticari veriler gibi kişisel veriler toplanmakta,
işlenmekte ve ulusal sınırları aşan şebekeler yoluyla el değiştirmektedir.
Bilginin dijitalizasyonu hükümetlere ve özel sektöre ilgili bireylerin bilgi ve
rızası olmadan bile, yurttaşlara ait bireysel verilere sahip olma, bunları
işleme, denetleme, kullanma ve değiş tokuş yapma konusunda eskisinden
daha çok imkân sağlamaktadır. Bu, bilgi mahremiyetinin bir istismarıdır.34
Đşte, bireye ait kişisel verilerin devlet ya da özel-tüzel kişiler tarafından
tutulması, kaydedilmesi, işlenmesi, çeşitli amaçlarla kullanılması, üçüncü
kişilere ifşa edilmesi vb. işlem ve eylemlerin temel hak ve hürriyetlere ve özel
hayatın gizliliğine yapılan bir müdahale olduğu kuşkusuzdur. Bireyin bu tür
durumlarda özel hayatına yapılan müdahale ve haksız fiillere karşı
korunması, genelde özel hayatın gizliliği hakkının, özelde ise kişisel verilerin
korunması hakkının doğal bir sonucudur. Ancak eklemek gerekir ki, özel
hayatın gizliliği kişisel verilerin korunmasının yanı sıra, konut dokunulmazlığı
ve haberleşme hürriyeti gibi temel hakları da kapsamaktadır. Tezimizde üst
33
34
ÜZELTÜRK, a.g.e., s.5.
Mehmet Niyazi TANILIR, Đnternet Suçları Đle Mücadele Ederken Bireysel Mahremiyetin
Korunması: Hükümetlerin Đkilemi, Middlesex Üniversitesi, Londra, 2000, Erişim:
http://w3.icisleri.gov.tr/ortak_icerik/w3.icisleri/tezler_internetsuclari.doc 05.10.2009, s.13.
16
bir kavram olarak özel hayatın gizliliği, kişisel verilerin korunması bağlamında
işlenecektir.
C. Kişisel Verilerin Korunması
1. Kişisel Veri
Kişisel verilerin korunması hakkını anlayabilmek için öncelikle “kişisel
veri”
(personal
data)
kavramını
tanımlamak
gereklidir.
Kavramının
tanımlanmasında uluslararası belgelerin hemen hemen tümünde mutabakata
varılmış tanım; kişisel verinin doğrudan doğruya ya da dolaylı olarak bir
gerçek kişi ile ilintili olabilecek ve onu belirlenebilir kılacak her türlü bilgi
olduğudur.
Nilgün BAŞALP’e göre35; bir kişinin belirlenebilir kılınması, verilerin
doğrudan ya da dolaylı olarak bir gerçek kişiyle ilişkilendirilmesi suretiyle
kişinin tanımlanabilmesi, yani şahsın o şahıs olduğunu ortaya çıkarılabilmesi
özelliğini ifade eder. Örneğin verilerin bir kimlik numarasıyla ilişkilendirilmesi
ya da kişinin psişik, psikolojik, fiziksel, ekonomik, kültürel veya sosyal
kimliğini ifade eden, sağlık, genetik, etnik, dini, ailevi ve siyasi bilgilerinin bir
ya da birden fazla unsuruna dayanarak tanımlanabilen gerçek ve/veya tüzel
kişilere ilişkin herhangi bir bilgi kişisel veriyi göstermektedir. Başka bir ifade
ile isim, telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası,
pasaport numarası, özgeçmiş, resim, ses, parmak izleri, genetik bilgiler gibi
spesifik bir içerik taşıyan veriler ile dolaylı olarak kişiyi belirlenebilir kılan
kriterlerin kombinasyonu (yaş, meslek, medeni durum, adres vb.) olan veriler
kişisel veri kapsamında ele alınabilir.
Kişilerin ırk, siyasî düşünce, felsefî inanç, din, mezhep veya diğer
inançları; dernek, vakıf ve sendika üyeliği, sağlık ve özel yaşamları ve hür
35
Nilgün BAŞALP, Kişilik Hakkının Korunması Sorunu Çerçevesinde Kişisel Verilerin
Korunması ve Saklanması, Đstanbul, (Yüksek Lisans Tezi), 2003, s.16.
17
türlü mahkûmiyetleri vb. ile ilgili kişisel veriler “özel niteliği olan” ya da
“hassas” kişisel veriler olarak adlandırılmakta olup, genel kabul gören
yaklaşıma göre bu verilerin kural olarak işlenmesi yasaktır. Ancak istisnai
olarak, kamu yararının gerektirmesi, kişinin rızasının alınması vb. bazı
hallerde bu verilerin işlenmesine izin verilebilmektedir.
Verinin
belirli
ilişkilendirilemeyecek
veya
veya
kimliği
kaynağı
belirlenebilir
bir
belirlenemeyecek
gerçek
hale
kişiyle
getirilmesi
sonucunda ortaya çıkan bilgiye “anonim veri” adı verilmektedir. Karşımıza
istatistik, araştırma, planlama vb. amaçlarla tutulan ve herhangi bir kişiyi
belirtmekten ziyade kitlesel bilgi yığını olarak çıkan bu tür veriler, ilgili kişilerle
ilişkilendirilmeleri mümkün olmadığından kişisel veri sayılmamaktadır. Zira
verinin sahibi ile veri arasındaki illiyet bağı kopmuş olduğundan, bu tür veriler
üzerinde yapılan herhangi bir işlem kişi hak ve hürriyetlerinin ihlali sonucunu
da doğurmayacaktır.
2. Kişisel Verilerin Đşlenmesi
Kişisel verilerin korunması hakkından bahsedebilmek için, öncelikle
yukarıda tanımı verilen kişisel verilerin bir takım işlemlere tabi tutulması
gerekmektedir. BAŞALP’e göre36; kişisel verilerin toplanması, elde edilmesi,
kaydedilmesi, organize edilmesi, saklanması, değiştirilmesi, uyarlanması,
birleştirilmesi,
açıklanması,
düzenlenmesi,
erişilebilir
hale
okunması,
getirilmesi,
sorulması,
transfer
yoluyla
kullanılması,
başkalarına
verilmesi, yayılması ya da hazır bulundurulması için yapılan işlemlerin yanı
sıra verilerin kombinasyonu ya da ilişkilendirilmesi ve hatta bloke edilmesi,
silinmesi ya da yok edilmesi suretiyle gerçekleştirilen her türlü işlem ya da
işlemler
bütünü
kişisel
verilerin
işlenmesi
tanımı
kapsamında
değerlendirilebilir. Đşleme, otomatik ya da otomatik olmayan prosedür yoluyla
geçekleştirilen kişisel verilerle ilintili olabilecek her türlü süreci içebilir.
36
BAŞALP, a.g.e., s.15-16.
18
Otomatik işlemeden kasıt, verilerin otomasyon sistemlerinin kullanıldığı
yöntemlerle, örneğin bilgisayar eliyle işlenmesidir. Bu sayede verilerin
toplanmasından başlayarak geçtiği tüm aşamaları kapsayan bütün işlem
türleri koruma altına alınmaktadır. Tanımdan da anlaşıldığı üzere, verilerin
işlenmesi otomatik bir prosedüre bağlı değildir. Örneğin sorumlunun ister
kağıt üzerinden ister ekran üzerinden okuması işlem tanımı içinde yer alır.
Kişinin kendisi için tuttuğu özel kayıtlar ise kişisel verilerin işlenmesi
olarak nitelendirilemeyecektir. Örneğin kişinin bilgisayarında tuttuğu adres
defterleri vb. kişisel ya da ailevi nitelikteki ilişkiler sonucu tutulan kayıtlar bu
kapsamda ele alınamayacaktır. Tabii ki bu bilgiler mesleki ve ticari faaliyetler
dahilinde işlenen kişisel verilerden ayrı olarak değerlendirilmeli ve bu tür
verilerin belirsiz sayıda kişinin erişimine açık tutulması hali de hariç tutularak
kişisel veri olarak düşünülmelidir.37
3. Kişisel Verilerin Korunması
Teknolojideki gelişmeler paralelinde bilgi işlem sistemlerinde adeta
çağ atlatan dev adımların atılmasıyla kişilere ait birçok veri de elektronik
ortamda kolaylıkla tutulabilir ve başkalarına aktarılabilir hale gelmiştir.
1953 yılında IBM'in IBM 701 modeliyle başlayan elektronik veri işletim
sistemleri, 1983’te geliştirilen ilk veri bankalarından günümüz devasa veri
işletim sistemlerine ulaşılmasında ilk adımı oluşturmuştur. Banka ve sigorta
şirketleri gibi geniş bir hizmet ağına ve müşteri portföyüne sahip kuruluşlar
tarafından tercih edilen ana işlemciler (mainframes) ile birçok işlemci
aracılığıyla
bir
ana
işlemci
üzerinden
farklı
işlemlerin
aynı
anda
gerçekleştirilebilmesi olanağına sahip olunmuş, bu kapsamda örneğin bir
bankanın ana işlemcisinin hesap sahiplerinin otomatik ödeme emirleri
neticesinde faturalarını ödemesi ya da internet üzerinden müşterilerin “online”
ya da “sanal” para transferi emirlerinin eşzamanlı olarak yerine getirilmesi
37
BAŞALP, a.g.e., s.17.
19
mümkün hale gelmiştir. Enformasyon teknolojisinin bu hızlı gelişimi kişisel
verilerin işlenmesi ihtiyacını kaçınılmaz bir olgu olarak karşımıza çıkarmıştır.
Özellikle veri transfer yollarının çeşitlenmesiyle zamanla yarışır hızda
gerçekleştirilen transferler, kişisel verilerin hem ulusal hem de uluslararası
alanda değiş-tokuşunu tehlikeli boyutlarda artırmıştır.38
Sadece sahibini ilgilendiren ve onun özel hayatının bir parçasını
oluşturan söz konusu verilerin işlenmesinde kişinin dokunulmazlığı, maddi ve
manevi varlığı ile temel hak ve özgürlükleri korumak amacıyla çeşitli koruma
önlemleri alınması ve kişisel verileri işleyen gerçek ve tüzel kişilerin
uyacakları esas ve usullerin belirlenmesi, en yüksek değer olarak bireyi kabul
eden siyasal söylev ve modern hukuk düzeninin bir amacı olarak belirmiş ve
“kişisel verilerin korunması” kavramını ortaya çıkarmıştır.
Diğer insan hakları objeleri gibi kişisel verilerin korunması hakkı da
temelde insan onurunu merkez alan ahlaki amaçlara dayalı siyasi düşünce
içerisinde filizlenerek günümüz doktrini içerisinde yer edinmeye başlamıştır.
Ancak elbette hukuksal koruma olmaksızın salt siyasal söylevlerle böyle bir
hakkın kalıcılığını sağlaması mümkün değildir. Bu nedenle konuya ilişkin
hukuki bakış açısının oturtulması ve düzenlemelerin yapılması büyük önem
taşımaktadır.
Bireyin kişisel verileri üzerindeki korunma hakkı, kamusal organların
kişisel veri ihtiyacının karşılanmasına yönelik faaliyetleri karşısında, bireyi
veri işlem faaliyetlerinin basit bir objesi haline gelmekten, özel yaşam
ilişkilerinin bütün yönlerine ait verileriyle kamusal iktidar tarafından bilinen,
kişilik profili çıkartılabilmesi mümkün olan, özel yaşamında ne zaman, nerede
ne yaptığı veya yapabileceği bilinen ve bu suretle Anayasada ve uluslararası
belgelerde garanti edilen özel yaşamının gizliliği hakkı ortadan kaldırılmış ve
kişiliği içerisine sıkıştırılmış şeffaf bir insan tipi haline dönüşmekten korumaya
38
BAŞALP, a.g.e., s.4.
20
hizmet etmektedir.39 Çünkü bu bilgilerin hukuken belirlenmiş sınırlar haricinde
kullanılması hatta kimi zaman yalnızca bulunması dahi kişinin mağdur
olmasına neden olabilecektir.
Kişisel verilerin korunması; söz konusu bilgilerin toplanması, elde
edilmesi,
kaydedilmesi,
değiştirilmesi,
düzenlenmesi,
değerlendirilmesi,
depolanması,
kullanılması,
uyarlanması,
açıklanması,
aktarılması,
ayrılması, birleştirilmesi, dondurulması, silinmesi veya yok edilmesi gibi
işlemlerin belirlenen bir takım ilkeler doğrultusunda yerine getirilmesi ve
gerekli bilgiye gerekli yetkiye sahip kişilerin belirli amaçlarla ulaşması, bu
bilgileri kullanması ve bu bilgileri paylaşmasında uyacağı temel sınırlılıkları
düzenleyen usul ve esasların geliştirilmesi anlamını taşımaktadır. Bu koruma
ayrıca kendisine ait bilgilerle ilgili olarak yasaların getirdiği koruma
önlemlerinin ihlal edilmesi halinde
bu ihlali yapan kurum veya kişiler
aleyhine tazminat veya ceza davası da açmak hakkını da içermektedir.40
Zira söz konusu ihlal başlı başına insan haklarının ihlal edilmesi anlamına
gelmektedir.
Çeşitli düzenleme ve uygulamalarda tüzel kişiler hakkında tutulan
verilerin
kişisel
verilerin
korunması
kapsamında
değerlendirilip
değerlendirilmeyeceği hususu değişiklik arz etmektedir. Genel olarak bu
verilerle bir gerçek kişiye ulaşmak olanak dahilindeyse bu verilerin kişisel veri
olarak değerlendirilmesi yoluna gidilmektedir. Örneğin, bir gerçek kişinin
belirli bir şirketin yönetim kurulu üyelerinden biri olması bilgisi dahi o gerçek
kişiye ulaşma imkanı verdiğinden bu kapsamda ele alınabilir. Ancak
39
Oğuz ŞĐMŞEK, "4422 Sayılı Suç Örgütleriyle Mücadele Kanununu ve Kanunun 4. Maddesine Göre
‘Kayıt ve Verilerin Đncelenmesi’ ve Kişisel Nitelikli Verilerin Korunması", Đzmir Barosu Dergisi,
Sayı:1, 2001, Erişim: http://web.deu.edu.tr/ab/MAKALE/deu%20MAK/0012.htm, 05.10.2009.
40
Mehmet DOĞAN, “Kişisel Verilerin Korunmasında AB Standartları ve Türkiye’nin Durumu”,
EGM Asayiş Dairesi Başkanlığı, Erişim:
http://www.egm.gov.tr/egitim/dergi/eskisayi/35_sayi/yeni/web/makaleler/Mehmet_DOGAN.htm,
05.10.2009.
21
doğrudan doğruya tüzel kişiler hakkında tutulan kayıtları da veri koruması
içinde kabul eden düzenlemeler de mevcuttur.
Kişisel
verilerin
korunmasının
kapsamı
konusunda
farklı
düzenlemelerde farklı uygulamalara gidilse de, genellikle özel sektörün yanı
sıra kamu sektörünce tutulan bilgilerin de bu kapsama dahil edilmesi
gerektiği yönünde bir uygulama söz konusudur. Kamu sektörü hükümet ve
idari birimleriyle parlamentoya karşı sorumlu olduğundan ve parlamento
tarafından denetlendiğinden, özel sektöre nispeten ihlal tehlikesinin burada
daha az olduğu sonucuna gidilebilir. Diğer taraftan, bugün özel sektörün
elinde bulunan bazı bilgilerin, kamunun sahip olduğundan daha fazla
düzeyde olduğu görülmektedir. Örneğin bankacılık sisteminin sahip olduğu
bilgilere banka sırrı nedeniyle kamu otoriteleri çoğu kez sahip olamamaktadır.
Bu gibi nedenlerle ulusal düzenlemelerde öncelikli olarak özel sektörün
düzenlenmesi yoluna gidilmiştir.41 Ancak elbette ki kişi hakkında nüfus, vergi,
adli sicil, sağlık, vb. bilgilerin sicil kayıtlarını tutan devlet organlarının sahip
olduğu kişisel verilerin miktarı çoğu kez nicelik ve nitelik olarak daha fazla
düzeyde olup, bu verilerin kanuni yetki olmaksızın kullanılması çeşitli hak
ihlallerini doğurabilecektir. Bu nedenle, ulusal düzenlemelerde işleyenin
kimliğinden bağımsız olarak herkes için veri koruması mantalitesi hakim
olmuş, kamu sektörü-özel sektör şeklindeki yerleşik ayrımdan uzaklaşılarak
her iki sektör de düzenlemelere dahil edilmiştir.
Kişisel verilerin korunması daha önce özel hayatın gizliliği hakkı
içerisinde
koruma
altına
alınmışken,
teknolojideki
ve
kişi
hak
ve
özgürlüklerindeki gelişmeler paralelinde doğrudan doğruya uluslararası
anlaşmalara da konu edilir hale gelmiştir. Đleride “Kişisel Verilerin Korunması
Hakkının Tarihi Gelişimi” kısmında detaylı olarak anlatılacağı üzere, konuyla
ilgili çeşitli uluslararası düzenlemelerde hükümler getirilmiştir. Ayrıca
41 BAŞALP, a.g.e., s.18.
22
ülkemizde de Kişisel Verilerin Korunması Kanunu Tasarısı42 halinde
yasalaşmayı bekleyen bir metin üzerinde çalışmalar sürdürülmektedir.
Başta internet olmak üzere bilişim ve iletişim teknolojilerinin adeta
birbiriyle birleşmesi şeklinde ortaya çıkan gelişmeler, kişisel verilerin
korunması hakkının alanını genişletmiş ve önemini çok artırmıştır. Gerçekten
bu gelişmeler, istihdam, istatistik, bankacılık, sosyal güvenlik, sağlık,
sigortacılık, pazarlama, elektronik haberleşme, e-iş ve e-ticaret gibi alanlarda
düzenlenmekte olan kişisel veriler için özel kural ve ilkeler konulmasını
gerektirecek boyutlara erişmiştir. Bu süre içinde konuya ilişkin gereksinimler
çeşitli ulusal ve uluslararası forumlarda tartışılmış, çeşitli ulusal ve
uluslararası belgeler hazırlanmıştır. Bu gün, bir çok ülkede konuyu genel
olarak ele alan Kişisel Verilerin Korunması Hakkında Kanun başlığını taşıyan
yasalar yanında yukarıda sayılan alanların her birinde kişisel verilerin
korunması için özel düzenlemeler de yapılmış bulunmaktadır. Diğer taraftan,
tıp, hukuk gibi meslek ve bankacılık, sigortacılık, e-ticaret gibi iş dallarında
kişisel verilerin korunması, kanunların ve hukuk kurumlarının sağladığı
korumadan ayrı olarak, etik bir açı da kazanmış bulunmaktadır.
Birçok
meslek ve iş örgütü bu konudaki etik ilke ve kurallarını yazılı hale getirmişler,
birçok mesleki veya ticari firma da genel mevzuat yanında konu hakkında
uymakta oldukları veya uymayı taahhüt ettikleri kendi özel ilke ve kuralları da
müşterilerine ve kamuya duyurur olmuşlardır. Bununla beraber, Avrupa
Konseyi tarafından kabul edilen bu Sözleşme, bağlayıcı tek uluslararası
belge olma niteliğini hala korumaktadır.43
Çok uzak olmayan bir gelecekte, süper elektronik otoyolların devreye
girmesi ile, kişisel verilerin seller halinde kurumdan kuruma, ülkeden ülkeye
42 Tasarı halen Türkiye Büyük Millet Meclisinde bulunmaktadır. (Sevk Tarihi: 22.04.2008) Tasarı ve
gerekçesi için bkz.: http://www2.tbmm.gov.tr/d23/1/1-0576.pdf, 05.10.2009.
43
Necdet KESMEZ, “Kişisel Verilerin Korunması Üzerine”, Bilişim Şurası, Erişim:
http://bilisimsurasi.org.tr/listeler/tbs-hukuk/Mar/att-0044/01K___SEL_VER_LER_N_KORUNMASI.doc, 05.10.2009, s.3.
23
aktarılmaya başlanacağını, korunacak alanların daha da genişleyeceğini
düşünürsek, kişisel verilerin korunmasının çok güçleşeceğini ve bu paralelde
de güncel ve hayati bir konu olarak yaşamımızda yerini alacağını
söyleyebiliriz.44 Bu bakımdan gerek bu hakkı koruma altına alan yasal ve etik
belgelerin ve gerekse bu belgelerde belirlenen ilke ve kuralların uygulanması
ile ilgili mekanizmaların yeniden gözden geçirilme ihtiyacı sürekli olarak
ortaya çıkacaktır. Nihayetinde bilişim sektöründeki ilerleme sonrasında
filizlenip toplumsal yaşamda henüz yerini alan kişisel verilerin korunması
kavramı bir çok gelişme sürecine girecek ve hukuk devleti ilkesinin bir gereği
olarak yerini sağlamlaştıracaktır.
4. Bilgi Güvenliği
Kişisel verilerin korunması ile ilgili çalışmalar açısından bilgi güvenliği
kavramına değinmekte fayda bulunmaktadır. Zira genellikle birbiriyle
karıştırılan bu iki kavram adeta bir madalyonun iki yüzünü oluşturmaktadır.
Ancak kişisel verilerin korunması kavramının bu konudaki bilgi güvenliğini de
kapsadığını söylemek yanlış olmayacaktır. Aradaki fark ise bilgi güvenliğinin
kişisel verinin kendisinin korunması amacına yönelik olması, kişisel verilerin
korunmasının ise söz konusu verinin sahibi olan bireyin temel hak ve
hürriyetlerinin ve özel alanının hukuksal açıdan korunması amacına yönelik
olmasıdır.45 Ancak nihayetinde kişisel verilerin korunabilmesi için öncelikle
söz konusu verinin güvenliğinin sağlanması gerekmektedir.
Bilgi
güvenliği
elektronik
ortamdaki
verilerin
gizliliğinin
ve
bütünlüğünün teknik olanaklar vasıtasıyla korunması ve sadece yetkili
kişilerce kullanımının sağlanmasını ifade etmektedir. Kavramdan genellikle
sadece bilginin gizliliği ve şifrelenmesi anlaşılsa da, bilgi güvenliği bu verilere
erişim kontrolü ve verilerin değiştirilmesinin önlenmesini de içermektedir. Bilgi
44
KESMEZ, a.g.m., s.7.
45
Oğuz ŞĐMŞEK, Anayasa Hukukunda Kişisel Verilerin Korunması, Đstanbul, Beta, 2008, s.95.
24
güvenliği teknolojisi de bu gizlilik ve bütünlüğün sağlanması için geliştirilen
teknolojiler olarak karşımıza çıkmaktadır.46 O halde, kişisel verilerin bilgi
işlem teknolojisinin sağladığı enstrümanlar vasıtasıyla fiziksel ve daha ziyade
elektronik olarak korunması bilgi güvenliği ile mümkün olabilecektir.
Bilişim teknolojisindeki gelişimle birlikte artan saldırılar amaçları
açısından iki ana bölümde incelenebilir:47 Bunlardan birincisi kişisel bilgilerin
ele geçirilerek elektronik ortamda yapılan bankacılık, e-ticaret vb. alanlarda
başkasının adına sahte işlemler yapılmasıdır. Đkincisi ise, bu illegal işlemlerin
yanı sıra, kişilere ait özel bilgilerin kişilerin izni olmadan çeşitli ortamlarda
açığa vurulmasıdır. Đşte birinci gruba giren saldırılar bilgi güvenliğine ilişkin
olup, bu saldırılara karşı teknik ve prosedürel yaklaşımlar kullanılarak karşı
önlemler geliştirilebilmekte olup, yasalarla da desteklenmesi büyük önem arz
etmektedir. Đkinci gruba ait ihlaller ise kişisel verilerin korunması ve gizliliğinin
sağlanması konusunu içermektedir.
“Kurumsal bilgi güvenliği” olarak bilinen ISO/IEC 17799 standardının
“Verinin Korunması ve Kişisel Bilgilerin Gizliliği” başlıklı 12’nci maddesinde
kişisel verilerin korunması konusunda bir düzenleme yer almaktadır.
48
Standardın ölçeklenebilirliği dikkate alındığında bu koruma ilkeleri kişi ve
kurumlara kadar büyük bir yelpazede ele alınabilmektedir. Buna göre, tüm
dünyada kabul edilen yaygın bir yaklaşımla bilgi güvenliğinin sağlanabilmesi
için aşağıdaki şartların yerine getirilmesi gerekmektedir:
Gizlilik: Önemli ve hassas bilgilerin istenmeyen biçimde yetkisiz
kişilerin eline geçmesi önlenmelidir ve sadece erişim yetkisi verilmiş
kişilerce erişilebilir olduğu garanti altına alınmalıdır.
46
“Bilgi Güvenliği”, Erişim: www.kurumsalsistem.net/index.php, 05.10.2009.
47
Eren ERSOY, “Gizlilik, Bireysel Haklar, Kişisel Verilerin Korunması”, Telekomünikasyon
Kurumu, Erişim: http://ab.org.tr/ab06/bildiri/6.doc, 05.10.2009, s.2.
48
http://www.iso.org/iso/en/prods-services/popstds/informationsecurity.html, 05.10.2009.
25
Bütünlük: Bilginin sahibi dışındaki kişilerce değiştirilmesinin ve
silinmesinin önlenmesi gerekmektedir.
Sürekli Kullanılabilirlik: Bilgi veya bilgi sistemleri sürekli kullanıma
hazır ve kesintisiz çalışır durumda olmalıdır.
Doğrulama: Kullanıcı kimliğinin doğrulanması gerekmektedir.
Araştırmalar göstermektedir ki;49 sadece teknolojik önlemlerle (virüsleri
tespit eden yazılımlar, güvenlik duvarı sistemleri, kriptolama vb.) iş
süreçlerinde yukarıda belirtilen maddeleri içeren bilgi güvenliğinin tam olarak
sağlanması mümkün olamamaktadır. Bilgi güvenliği bir iş anlayışı, yönetim
ve kişisel/kurumsal kültür açısından bir bütün olarak ele alınmalıdır. Diğer
taraftan, bilgi ekonomisi ürün ve hizmetlerinin yöneldiği tüketicilere de kişisel
verilerin korunması mekanizmalarının etkin kılınması suretiyle gerekli
hukuksal güvenceler tanınmalıdır. Kişisel verilerin gerek özel sektör gerekse
de kamu kesimi tarafından işlenmesinde belirli standartların, ilke ve kuralların
getirilmesi, hem dijital çağda mahremiyeti sağlayacak etkin bir hukuksal
korunmanın kapısını aralayacak, hem de tüketicilerin elektronik ortamda
güvenle işlem yapmalarının elektronik imzanın yanı sıra bir diğer güvencesi
olacaktır. Spam, veri madenciliği (data mining) gibi kişisel mahremiyeti ihlal
eden ve kişisel haklara tecavüz teşkil eden fillerin özellikle sektörel
düzenleme
mekanizmaları
ile
desteklenerek
kanuni
düzenlemeler
çerçevesinde ele alınması gerekmektedir.
Son olarak, kişisel verilerin korunması ve bilgi güvenliği kavramlarıyla
alakalı yeni bir alan olarak “bilişim suçları”ndan bahsetmekte fayda
bulunmaktadır. Tamamen internete özgü olan suçlardan oluşan bilişim
suçları, bilgileri otomatik olarak işleme tabi tutulmuş bir sistem ya da
sistemdeki verilere yapılan tecavüzler şeklinde tanımlanmaktadır. Örneğin bir
resmi dairenin sistemine girerek var olan bilgileri öğrenmek ya da değiştirmek
49
ERSOY, a.g.m., s.5.
26
ya da silmek, bir bankanın bilgisayar sistemine girerek kredi kartı borcunu
silmek, bir virüsü internet üzerinden zarar verme kastı ile yaymak ve herhangi
bir bilgi işlem sisteminin bozulmasına bu yolla neden olmak gibi fiiller
böyledir. Pratikte en çok gözlemlenen bilişim suçu fiilleri; network
sistemlerine saldırı, ticari ya da teknik bilgi hırsızlığı, yazılım hırsızlığı, spam,
veri
korsanlığı
şeklinde
sıralamak
mümkündür.
Sözü
edilen
bilişim
suçlarından veri korsanlığı; internet ortamında erişimde bulunan kullanıcılar
hakkında, onların haberi olmaksızın veri toplamak fiili olup, bu uygulama
gizlice
yapılmakta
ve
çoğunlukla
reklam
ya
da
istatistik
amaçlı
gerçekleştirilmektedir. Ancak kişisel bilgisayarlarda bulunan veriler kredi kartı
ve hesap numarası hırsızlığı amacıyla da çalınabilmektedir.50 Görüleceği
gibi, bu fiil temel bir insan hakkı olan özel hayatın gizliliği ilkesinin ve kişisel
verilerin korunması hakkının ihlalini teşkil etmektedir.
Kişisel verilerin korunması öncelikle bilgi güvenliği konusundaki
risklerin iyi ölçülmesi ve değerlendirilmesini gerektirmektedir. Bilgi güvenliği
risklerinin kabul edilebilir bir seviyeye indirilebilmesi iyi planlanmış bir
kullanıcı
bilinçlendirme
ve
eğitim
çalışmalarıyla
sağlanabilecektir.
Kullanıcıların kurumsal bilgi ve bilgi kaynaklarının gizlilik, bütünlük ve
devamlılığı konusundaki görev ve sorumlulukları konusunda eğitilmesi,
çalışanların
hatalı
davranışlarının
kurum
bilgi
güvenliği
üzerinde
yaratabileceği etkinin anlatılması önemli yararlar sağlayacaktır.51 Tüm bu
çalışmalar kişisel verilerin hukuki olarak korunmasından önce teknik olarak
korunmasını sağlayacak birer tedbir niteliği sergilemektedir.
50
Önder DEMĐR, “Đnternet Servis Sağlayıcısının Cezai Sorumluluğu”, Đzmir Barosu Dergisi, 2001,
Erişim: http://bilisimsurasi.org.tr/dosyalar/28.txt, 05.10.2009.
51
“Bilgi Güvenliği Bilincinin Genele Yayılması”, Erişim:
http://www.bilgiportal.com/v1/idx/19/728/Gvenlik/makale/Bilgi-Gvenlii-Bilincinin-GeneleYaylmas.html, 05.10.2009.
27
Ç. Bilgi Edinme Hakkı
Kişisel verilerin korunması hakkı bilgi edinme hakkı ile doğrudan
doğruya ilişkili bir kavramdır. Bu iki kavramın birbirleriyle kesişiminin iki ayrı
konuda zuhur ettiği söylenebilir: Birincisi, kişilerin kendi kişisel verileri
üzerindeki bilgi edinme hakkı olup, bu verilerden hangilerinin, hangi kişi ya da
kuruluş tarafından, ne kadar süredir, ne şekilde ve hangi amaçla toplandığını,
işlendiğini veya transfer edildiğini öğrenebilmesinde ortaya çıkmaktadır. Zira
kişisel verilerin korunması hakkından söz edebilmek için öncelikle kişiler
tarafından bunun talep edilmesi, talep edilebilmesi için de konu hakkında bilgi
sahip olunması gerekmektedir. Yani, kişi kendisi hakkında kişisel veri
işlendiğini bilmeden kişisel verilerin korunmasına yönelik haklarını gerçek
anlamda kullanamaz. Bu durum aynı zamanda hukuk devleti ilkesinin de bir
sonucu olarak kamusal organların kişisel verileri işleme faaliyetlerine dair
şeffaflığının da bir ifadesidir.52 Dolayısıyla kişisel verilerin korunmasının talep
edilmesinden önce bilgi edinme hakkının kullanılması bir gereklilik arz
etmektedir.
Kavramın ikinci kesişimi, kişinin başkalarının kişisel verileri
üzerindeki bilgi edinme hakkı konusunda belirir ki, tam bu noktada her iki
kavram arasında bir çelişki doğar. Zira bir kimsenin başkalarının özel hayatını
ilgilendiren konularda kişisel verilere dair bilgi edinmek istemesi halinde
başkalarının özel hayatının gizliliği ve kişisel verilerin korunması hakkının
çiğnenmesi gündeme gelebilecektir. Đşte, temel insan hakları arasında yer
alan ve anayasal bir ilke olan kişinin bilgi edinme hakkının, başkalarının özel
hayatını ilgilendiren ve yine temel insan hakları arasında koruma altına
alınmış bulunan kişisel verilerin korunması hakkının ihlal edilmemesi için
hangi kriterler altında sınırlandırılacağı hususu önem arz etmektedir.
Bilgi edinme hakkı, herkesin hiç bir devlet müdahalesi olmaksızın
kendi seçimi doğrultusunda veya basın ve diğer haberleşme imkânları ile her
türlü bilgiyi elde edebilmesini, hiç bir devlet müdahalesi olmaksızın tüm özel
52
ŞĐMŞEK, a.g.e., s.88.
28
kaynaklardaki bilgiye ulaşabilmesini ve devletin elinde tuttuğu kamuyu
ilgilendiren her türlü veriye erişebilmesini ifade etmektedir.53 Başka bir
ifadeyle, bilgi edinme hakkı idarenin tek taraflı iradesiyle hukuk düzeninde
yaptığı değişiklikler hakkında ilgililerin, işlemin niteliği ve sonuçları hakkında
bilgi alabilmesini sağlayan haktır. Bilgi edinme hak ve özgürlüğünün temel
amacı, idarenin alacağı kararları hukuka uygun şekilde etkileyebilmek için,
kişinin bilgilenmesini sağlamaktır. Bu hak ve özgürlük, sadece yapılmakta
olan işlem hakkında değil, yapılmış ve bitmiş idari işlemler hakkında da
bireyin bilgi sahibi olmasını amaçlamaktadır. Bilgi edinme hak ve özgürlüğü,
yönetimde açıklığı sağlayan, bireyleri tebaa durumundan çıkarıp, sunulan
kamu
hizmetlerinden
yararlanan
statüsüne
yükselten,
yönetimde
demokrasinin en önemli unsurlarından birisidir.54 Bilgi edinme hakkı,
yönetenler ile yönetilenler arasında daha iyi, basit ve güvenli bir bağ
kurmaya, diyalog yoluyla çatışmaları önlemeye, anlaşmazlığı azaltmaya ve
böylece yönetimde etkinlik ve verimliliği artırmaya yönelik bir haktır.55
Temel haklar ile ekonomik ve sosyal haklardan sonra üçüncü insan
hakları kuşağını oluşturan bilgi edinme hakkı, kişilerin bütün resmi bilgi ve
belgeler ile ses, görüntü ve bilgisayar kayıtlarına, aynı zamanda kendi
haklarında tutulmuş fişlere ve dosyalara ulaşmayı, varsa yanlışlık ve hataları
düzeltmeyi kapsar. Ancak, tüm hak ve özgürlükler gibi bu hak da mutlak
olmayıp, devlet güvenliği, diplomasi, milli savunma ve özel hayatın
korunması amacıyla bazı sınırlamalara tabi tutulmaktadır.
53
56
Sonuçta ne tür
SOYKAN, a.g.m., s.1.
54
Erdoğan YÜCEL, “Türkiye’de Bilgi Edinme Hakkı ve Uygulaması”, Türk Đdare Dergisi, s.137159, Erişim: http://www.icisleri.gov.tr/_icisleri/TurkIdareDergisi/UpLoadedFiles/449_137_160.doc,
http://www.yayin.adalet.gov.tr/23_sayi%20i%C3%A7erik/Erdo%C4%9Fan%20Y%C3%9CCEL.htm,
05.10.2009.
55
Musa EKEN, “Bilgi Edinme Hakkı”, Đnsan Hakları Yıllığı, Dr. Muzaffer Sencer’e Armağan,
1995-1996, C.17-18, s.61-75.
56
YÜCEL, a.g.m., s.137-159.
29
düzenleme yapılırsa yapılsın, tüm düzenlemelerin hak ve özgürlükleri
kısıtlayıcı değil, bilakis hak ve özgürlükleri koruyucu olması gerekmektedir.
Bilgi edinme hakkı; BM Đnsan Hakları Evrensel Beyannamesi (m.19),
Avrupa Đnsan Hakları Sözleşmesi (m.10) ve BM Siyasi ve Medeni Haklar
Sözleşmesi’ndeki57 (m.19) düzenlemelerle güvence altına alınmış, Avrupa
Konseyi Bakanlar Komitesi’nce 1977 yılında kabul edilen “Đdarenin Đşlemleri
Karşısında Bireyin Korunması Hakkında” 31 sayılı Kararın58 (II) no’lu
ilkesinde “Đlgilinin isteği üzerine, idari işlem tamamlanmadan önce, işlemin
dayanakları olacak bütün veriler hakkında, en uygun gereçlerle bilgi verilir.”
şeklinde ifadeye yer verilmiştir. Bugün yaklaşık 50 ülkede Bilgi Edinme Hakkı
Kanunu bulunmaktadır.59
Bu konuda Anayasa’mızın 40’ıncı maddesine 2001 yılında eklenen 2.
fıkrasında, “Devlet, işlemlerinde, ilgili kişilerin hangi kanun yollarına
başvuracağını ve sürelerini belirtmek zorundadır.” ifadesine yer verilmiş,
ancak bilgi edinme hakkı anayasada açıkça düzenlenmemiş, bu konuda
kanunla düzenlemeye gidilmesi yolu tercih edilmiştir.
Bu amaçla hazırlanan 4982 sayılı Bilgi Edinme Hakkı Kanunu60
09.10.2003 tarihinde kabul edilmiş ve 24.04.2004 tarihinde yürürlüğe
girmiştir. Ayrıca, bu kanunun uygulanmasına ilişkin esas ve usulleri
düzenleyen 2004/7189 sayılı Bilgi Edinme Hakkı Kanununun Uygulanmasına
57
BM Genel Kurulu'nun 16 Aralık 1966 tarih ve 2200 A (XXI) sayılı Kararıyla kabul edilmiş, 23
Mart 1976 tarihinde yürürlüğü girmiştir. Türkiye, insan hakları ve demokratikleşme konusunda
evrensel normları belirleyen en önemli uluslararası belgelerden biri olarak kabul edilen bu sözleşmeyi
15 Ağustos 2000 tarihinde imzalamıştır. Bugüne kadar BM üyesi 188 ülkeden 144'ünün imzaladığı
sözleşme, TBMM'de onaylandıktan sonra yürürlüğe girecektir.
58
Kararın çevirisi için bkz. Đhsan KUNTBAY, “Đdari Đşlemler Karşısında Bireylerin Korunması
Hakkında (77) 31 sayılı Bakanlar Komitesi Kararı”, Amme Đdaresi Dergisi, cilt 11, sayı 4.
59
YÜCEL, a.g.m., s.137-159.
60
24 Ekim 2003 tarih ve 25269 sayılı Resmi Gazete'de yayımlanmıştır.
30
Đlişkin Esas ve Usuller Hakkında Yönetmelik61 27.04.2004 tarihinde yürürlüğe
girmiştir.
4982 sayılı Kanununun Genel Gerekçesi62’nde, demokrasinin ve
hukukun üstünlüğünün gereklerinden olan bilgi edinme hakkının bireylere
daha yakın bir yönetimi, şeffaflığı sağlama işlevlerinin yanı sıra kamu
yönetiminde olumsuz olarak görülen gizlilik kavramının giderilmesi ile
yönetilenlerin yönetenlerin işlem ve faaliyetlerini denetlemesinin sağlanacağı
belirtilmiştir.
Kanunda kısaca;
Amacın demokratik ve şeffaf yönetimin gereği olan eşitlik, tarafsızlık
ve açıklık ilkelerine uygun olarak kişilerin bilgi edinme hakkını
kullanmalarına ilişkin esas ve usulleri düzenlemek olduğu,
Herkesin bilgi edinme hakkına sahip olduğu,
Kamu kurum ve kuruluşlarının, kanunda yer alan istisnalar dışındaki
her türlü bilgi veya belgeyi başvuranların yararlanmasına sunmak ve
bilgi edinme başvurularını etkin, süratli ve doğru sonuçlandırmak
üzere, gerekli idarî ve teknik tedbirleri almakla yükümlü olduğu,
Ancak ayrı veya özel bir çalışma, araştırma, inceleme ya da analiz
neticesinde oluşturulabilecek türden bir bilgi veya belge için yapılacak
başvurulara olumsuz cevap verebilecekleri,
ifade edilmiştir.
Görüldüğü gibi, bilgi edinme hakkıyla birlikte, kamu kurum ve
kuruluşları tarafından işlenen ve hatta paylaşıma tabi tutulan her türlü veri
61
27 Nisan 2004 tarih ve 25445 sayılı Resmi Gazete'de yayımlanmıştır.
62
Erişim: http://www.belgenet.com/yasa/k4982-2.html, 05.10.2009.
31
paralelinde kişilerin kendileriyle ilgili olarak yapılan işlemler hakkındaki bilgiyi
serbestçe ve engellenmeksizin edinebilmeleri olanağı getirilmiştir. Bu
bağlamda, kişilerin kendileri ya da başkaları hakkındaki kişisel verilere ilişkin
olarak bilgi edinme hakkını kullanabileceği akla gelse de, bilgi edinme
hakkının sınırları ile ilgili olarak şu haller adı geçen kanun kapsamı dışında
tutulmuştur:
Yargı denetimi dışında kalan işlemler (kişinin çalışma hayatını ve
mesleki onurunu etkileyecek nitelikte olanlar),
Devlet sırrına ilişkin bilgi veya belgeler (açıklanması hâlinde devletin
emniyetine, dış ilişkilerine, millî savunmasına ve millî güvenliğine
açıkça zarar verecek ve niteliği itibarıyla devlet sırrı olan gizlilik
dereceli bilgi veya belgeler),
Ülkenin ekonomik çıkarlarına ilişkin bilgi veya belgeler (açıklanması ya
da
zamanından
önce
açıklanması
hâlinde,
ülkenin
ekonomik
çıkarlarına zarar verecek veya haksız rekabet ve kazanca sebep
olacak bilgi veya belgeler),
Đstihbarata ilişkin bilgi veya belgeler (sivil ve askerî istihbarat
birimlerinin görev ve faaliyetlerine ilişkin bilgi veya belgeler),
Đdarî soruşturmaya ilişkin bilgi veya belgeler,
Adlî soruşturma ve kovuşturmaya ilişkin bilgi veya belgeler,
Özel hayatın gizliliği (kişinin izin verdiği hâller saklı kalmak üzere,
açıklanması hâlinde kişinin sağlık bilgileri ile özel ve aile hayatına,
şeref ve haysiyetine, meslekî ve ekonomik değerlerine haksız
müdahale oluşturacak bilgi veya belgeler),
Haberleşmenin gizliliği,
32
Ticarî sır (kanunlarda ticarî sır olarak nitelenen bilgi veya belgeler ile
kurum ve kuruluşlar tarafından gerçek veya tüzel kişilerden gizli
kalması kaydıyla sağlanan ticarî ve malî bilgiler),
Fikir ve sanat eserleri.
O halde, yukarıda belirtilen istisnaların söz konusu olması durumunda
kişilerin kendi yahut başkalarının kişisel verileri hakkında bilgi edinme hakkını
kullanamayacağı söylenebilir. Örneğin bir kimsenin kendisi hakkında herhangi
bir kişisel veri tutulup tutulmadığını öğrenmek istemesi halinde, eğer bu veri
istihbarata veya devlet sırrına ilişkin bilgi kapsamında ise bu kimse bilgi
edinme hakkını kullanamayacaktır. Ancak bunun dışındaki hallerde kural
olarak kişi kendi verileri ile ilgili bilgi edinme hakkını kullanabilecektir.
Kanundaki istisnalar arasında “özel hayatın gizliliği”nin sayılması nedeniyle,
kişinin başkalarının kişisel verileri üzerinde bilgi edinme hakkını ise
kullanamayacağını söylemek yanlış olmayacaktır. Kanun koyucu, özel hayatın
gizliliği ilkesini kesin olarak korumuş olup, buradan yola çıkarak kişisel
verilerin korunması hakkının üçüncü kişilerin müdahalelerine karşı korunduğu
dile getirilebilecektir. Diğer yandan, söz konusu bilginin ticari sırra ilişkin
olması halinde de bilgi edinme hakkı kullanılamayacaktır. Burada kişinin
başkalarının ticari sırlarına ilişkin olarak bilgi edinmesi hakkı ortadan
kaldırılmak suretiyle, ticari sırlara ilişkin kişisel veriler bir kez daha koruma
altına alınmıştır.
Bilgi edinme hakkının kapsamı içinde; verilerin hangi amaçla
toplandığı, işlendiği veya transfer edildiği, verilerin kullanıldığı işlemlerde
güdülen amaç,
söz konusu amaçlar için hangi işlemlerin yapılmış olduğu,
üçüncü kişilere transfer ediliyorsa transferin konusu olan veri ya da veri
kategorileri ile bunların alıcısı vb. konular da yer almalıdır. Zira kişisel verileri
işlenen kişi gerekiyorsa verilerin düzeltilmesi, silinmesi ve bloke edilmesi
talebinde bulunma hakkına sahip olabilmeli ve yapılan işleme karşı itirazda
bulunabilme imkanına sahip olmalıdır. Elbette ilgilinin uygun aralıklarla verileri
hakkında bilgi edinebilmesi, verilerde değişiklik olmasa bile buna dair bilgiye
33
ulaşabilmesi, hakkında veri toplanmamışsa bile veri toplanmadığını gösterir bir
tespit yazısını alabilmesi bu kapsamda düşünülmelidir.63
Düşünce ve ifade özgürlüğünün ön koşulu olan bilgi edinme hakkının
önündeki en büyük engellerden biri sır ve gizlilik kavramlarıdır. Bu kavramlar
şeffaf bir devletin önünde bir engel olup, sır ve gizli bilgi kategorisinin çok
geniş tutulduğu rejimlerin demokratik sayılamayacağı bile söylenmektedir64
Kişinin kendi verileri hakkında bilgi edinme hakkının, devlet sırrı, milli
güvenliğin gerektirmesi gibi sınırları kanunda açıkça çizilmeyen ve elinde
siyasi gücü bulunduranlarca her dönem için farklı anlamda kullanılan takdir
hakkına bırakılması, sınırlamaların muğlak olmaktan kurtarılıp daha açık
olarak ifade edilmesi gerekir.65 Zira, kamu yararı kişinin kendisi hakkında
olan bilgileri öğrenmesini engellememelidir.
D. Sır
Kişisel verilerin korunması hakkı sır kavramıyla da yakın ilişki
içerisinde bulunmaktadır. Çünkü sır kavramı kullanılma yerine göre
değişmekle beraber gizlilik kavramıyla paralellik arz etmekte, bu durum da
özel hayatın gizliliği ilkesinin bir alt kavramı olan kişisel verilerin korunmasını
etkilemektedir.
Sır, genel olarak, herkes tarafından bilinmeyen ve açıklanmasıyla
sahibinin şeref ve menfaatine zarar verme tehlikesi baş gösteren hususlar
olarak tanımlanabilir.66 Türk hukukunda sır ve gizlilik kavramları açık ve net
biçimde tanımlanmamış, genellikle muğlak ve bakış açısına göre değişebilen,
63
BAŞALP, a.g.e., s.35-37.
64
Ahmet ĐYĐMAYA, "Bilgi Edinme ve Verilere Ulaşma Özgürlüğü", Ankara Barosu Dergisi, 2003,
S:1, s.41-47.
65
M.Gökhan AHĐ, “MERNĐS’in Hukuki Đncelemesi”, Erişim:
http://www.hukukcu.com/bilimsel/kitaplar/mernis.htm, 05.10.2009.
66
Süheyl DONAY, Meslek Sırrının Açıklanması Suçu, Sulhi Garan, Đstanbul, 1978, s.4.
34
yorum farklılığı arz eden ifadeler kullanılmıştır. Ülkemizde sır ve gizlilik
kategorisi oldukça geniş tutulmuş ve bireylerin bilgiye ulaşma hakları
sınırlandırılmıştır. Sır kategorisine giren yaklaşık 50, gizlilik kategorisine giren
yaklaşık 75 yasal düzenleme mevcut olup, bazı düzenlemeler her iki
kategoriye de girecek şekilde kaleme alınmıştır. Yani, sır ve gizlilik kavramları
arasında mevzuat yönünden belirgin bir farklılık bulunmamakta olup, bu
kavramlar çoğu kez birbirleri yerine kullanılmıştır.67
Bilgiye ulaşmada açıklık esas, sır ve gizlilik ise istisna olmalıdır.
Ülkemiz mevzuatına bakıldığında, bilimsel araştırmalardan sivil savunma ve
ticari yaşama, şeker rejiminden haberleşme özgürlüğüne, kolluk mevzuatına
kadar çok çeşitli ve birbiriyle bağlantısız konu ve alanın “sır” ve “gizlilik”
kavramlarıyla kuşatıldığı görülmektedir. Oysa, sır sayılabilecek bilgiler ulusal
güvenlik, ülke bütünlüğü ya da özel yaşama ilişkin alanlarla kısıtlı olmalıdır.68
Her iki terime ilişkin olarak da, ilgili mevzuat çerçevesinde, bu kategoriye
giren bilginin sahibi ve talep edeni şeklinde iki unsuru söz konusudur. Gerek
sahibi
gerekse
talep
edeni
açısından
ortak
payda,
bu
bilginin
alenileştirilememesidir. Sahibi bakımından bu husus, bilgiyi saklama
yükümlülüğüne yol açmaktadır. Talep edeni bakımından ise, talep etme
önünde değil ancak bu bilgiyi edinebilme önünde yasal engel mevcuttur.69
Bu noktadan hareketle, sır ve gizlilik kavramlarını içeren mevzuatı iki
sınıfa ayırmak mümkündür70: Birincisi, bireylerin sırlarını koruyan ve
anayasal olarak kişisel hak ve hürriyetler arasında sayılmış olan “özel
67
Bu nitelikte mevzuata örnek olarak, 6183 sayılı Kanunun 107., 6326 sayılı Kanunun 43., 6762 sayılı
Kanununun 363., 213 sayılı Kanununun 5., 1163 sayılı Kanununun 25., 5584 sayılı Posta Kanununun
16., 278 sayılı Kanunun 22. maddeleri ile 72 sayılı Başbakanlık Yüksek Denetleme Kurulu Hakkında
Kanun Hükmünde Kararname (m.35) gösterilebilir. Mehmet Semih GEMALMAZ, Türkiye'de Bilgi
Edinme, Düşünce Đfade ve Đletişim Mevzuatı, Erişim: http://www.antenna-tr.org/book/, 05.10.2009.
68
GEMALMAZ, a.g.e.
69
GEMALMAZ, a.g.e.
70
GEMALMAZ, a.g.e.
35
yaşamın gizliliği”ne ilişkin mevzuat; ikincisi, “devlet sırları” dahilinde sayılarak
bireylerin bilgiye ulaşmasını yasaklayan mevzuat. Birinci sınıflama, kural
olarak temel hak ve hürriyetler alanındaki gelişmelere paralel olarak kabul
edilebilir bir kategori iken, ikinci kategori ancak çok sınırlı hallerde kabul
edilmekte olup, bu konunun en ufak geniş tutulması kişilik haklarının ihlali
sonucunu doğurabilecektir.
Đşte sır ve gizlilik kavramları bu boyutuyla kişisel verilerin korunması ile
kesişen noktaları bulunan kavramlardır. Bir taraftan özel hayatın gizliliği
hakkını ihlal etmeyecek düzenlemeler modern hukuk sisteminin olmazsa
olmazları arasında yer alırken, diğer taraftan da kişilerin kendileri hakkında
yapılan
idari
işlemler
hakkında
bilgiye
ulaşmasını
engelleyecek
düzenlemelerin mümkün olduğunca ortadan kaldırılması ve devlet sırrı
kapsamında tutulacak hususların da belirgin sebeplere bağlanması gerekliliği
kendini göstermektedir. Buradan hareketle, aşağıdaki tasnifi ilk durum için
özel sır, ikinci durum için ise devlet sırrı biçiminde yapmayı uygun bulduk.
Özel sırrı ise çalışmamızın ana ekseni içerisinde yer alması hasebiyle meslek
sırrı, ticari sır, banka sırrı ve müşteri sırrı şeklinde bir ayırıma tabi tuttuk.
Kişisel verilerin korunması ile ilgili olarak yahut kişilerin kendilerine ilişkin
olarak işlenen veriler hakkında bilgi edinme hakkını kullanması ile ya da
kişisel verilerin üçüncü şahıslara aktarılması durumlarında karşımıza sır
kavramı sıklıkla çıkmakta olduğundan, çalışmamızda bu hususlar göz önüne
alınacaktır.
1. Devlet Sırrı
Prof. Dr. Çetin ÖZEK’e göre, devlet sırrının niteliği şu unsurlara
işaretle belirlenmektedir71:
71
Çetin ÖZEK, Basın Özgürlüğünden Bilgilenme Hakkına, Đstanbul, Alfa, 1999, s.66-67.
36
a) Kabul edilebilen “devlet sırrı”, niteliği nedeniyle sır sayılması
gereken bilgidir. Ulusal savunmaya, uluslararası ilişkilere, demokratik düzeni
korumaya yönelik bilgi örnek gösterilebilir.
b) Yönetsel gücün kararıyla “devlet sırrı” saptaması genel olarak,
demokratik anayasal düzeni korumaya yönelik ve sır sayılması zorunlu
bilgiler için kabul edilebilir. Bu saptama da yargı tarafından yapılır.
c) Devlet sırrı ile ulusal savunma güvencesi arasında nedensel
bağlantı olması gerekir.
d) Tarihsel olguların, diplomatik ilişkilerin ve bilimsel bilgilerin sır
olmayacağı kabul edilir.
e) Hukuka aykırı eylemler “sır” sayılmaz.
f) Sırrın, kitle iletişim araçlarıyla açıklanması, eğer somut tehlike
yaratmıyorsa suç sayılmaz.
g) Bireyin kendisine ait bilgi, bilginin niteliği ne olursa olsun “sır”
sayılmaz.
h) Bilgilenme hakkı üstün değerde olduğu için, sansür niteliğinde,
haber vermek hakkını sınırlayan, “devlet sırrı” saptaması yapılamaz.
i) “Bilgilenme hakkı”nın, devlet sırrı iddiasına karşı korunması da
gerekli görülmektedir. Diğer bir deyişle, “bilgilenme hakkı”na güvence
yöntemleri uygulanmaktadır.
Devlet sırrı halleri Türk hukukunda yukarıdakilerin yanında bir de
“devlet sırrı” olarak kategorileştirilebilecek bir gizli bilgi alanı vardır. Bu alan
sadece devletin güvenliğini, ulusal bütünlüğü ilgilendiren bilgilerden ibaret
değildir. Ayrıca, kişisel bilgiler dahi bu alan içerisinde yer alıp, bireylerin
kendileri hakkında bilgiye ulaşmasını engellemektedirler.
37
Devlet sırrı, kapsamı geniş ve belirsiz tutulduğunda suçla mücadeleyi
kösteklemekte ve demokratikleşmenin önünü bu açıdan tıkayabilmektedir.
Şöyle ki, örneğin suç örgütleriyle mücadele kapsamında her türlü resmi ve
özel kayıtlarla bilgisayar verileri incelenebilir. Ancak, devletin ulusal güvenliği
bakımından gizli kalması zorunlu olan kayıtlar ve bilgisayar verileri
incelenemeyeceğinden, böyle bir durumda suçlar açığa çıkartılamaz.
Özellikle kamusal makamların karıştığı suç hallerinde devlet sırrı kavramı
arkasına saklanmak imkanının saklı tutulması söz konusu mücadeleyi
normatif düzeyde işlevsiz hale getirebilmektedir.72 O halde demokratik ve
şeffaf bir yönetim anlayışı için kavramın sınırlarının iyi çizilmesi büyük önem
taşımaktadır. Aksi takdirde bir çok insan hakkının ihlali söz konusu
olabilecektir.
1982 Anayasasının 26’ncı maddesinde düşünceyi açıklama ve yayma
hürriyetinin hangi amaçlar için sınırlandırılabileceği belirtilirken, amaçlardan
biri “Devlet sırrı olarak usulünce belirtilmiş bilgilerin açıklanmaması” olarak
gösterilerek devlet sırlarından söz edilmiştir. Yine 28’inci maddede devlete ait
gizli bilgilere ilişkin her türlü haber veya yazı yazanların, bastıran ve
basanların, bunları başkalarına verenlerin bu suçlara ait kanun hükümleri
uyarınca sorumlu tutulacakları açıklanmıştır. Bunun dışında devlet sırrını
doğrudan düzenleyen yeknesak bir düzenleme bulunmamaktadır.
Đşte mevzuatta devlet sırrına ilişkin bu dağınıklığı gidermek ve konuya
ilişkin somut bir çerçeve çizmek amacıyla Adalet Bakanlığı tarafından “Devlet
Sırları Kanunu Tasarısı”73 hazırlanmıştır. Tasarının Genel Gerekçesinde,
demokratik ülkelerde bilgi edinme özgürlüğünün, temel hak ve özgürlüklerin
kullanılması bağlamında vazgeçilmez haklardan biri olarak kabul edildiği, bilgi
edinme hakkının sınırının ise devlet sırrı ve niteliği itibariyle gizli kalması
72
73
GEMALMAZ, a.g.e.
Tasarı halen Türkiye Büyük Millet Meclisinde bulunmaktadır. (Sevk Tarihi: 22.04.2008) Tasarı ve
gerekçesi için bkz.: http://www2.tbmm.gov.tr/d23/1/1-0575.pdf, 05.10.2009.
38
gereken bilgiler olduğu, şeffaflığı sağlamak ve gereksiz gizlilik kültürüne son
vermek yönünden devlet sırları ve gizliliği alanının açık bir biçimde
düzenlenmesi gerektiği, kişi yararı ile toplum yararının dengede tutulması
gerektiği, toplum yararının üstün tutulmasının gerektiği hallerde zorunlu
kıldığı ölçüde müdahalede bulunulması gerektiği, devlet sırrı ve gizliliği
kavramlarının gereksiz yere genişletildiği takdirde bilgi edinme hakkının
sınırları daralacağı, bu düzenlemeyle aynı zamanda Türk Ceza Kanunu ve
diğer
bazı
özel
kanunlardaki
konuyla
ilgili
kavramların
da
doğru
uygulanmasına katkı sağlanacağı, gerçek kişilerle özel hukuk tüzel kişilerine
ait gizliliklerin tasarı kapsamı dışında olduğu, tasarının kamusal gizlilik alanını
düzenlediği, tasarıyla iç ve dış güvenlik, askerî ve siyasi alanlar dışında,
ekonomik alanlardaki devlet sırları ve gizliliklerinin de kapsama alındığı ifade
edilmiştir.
Tasarının 1’inci maddesinde; kanunun amacının devlet sırrının ve
niteliği itibariyle gizli kalması gereken bilgi ve belgelerin tanımına, mahiyetine,
hangi makam ve kurullarca oluşturulacağı ve korunacağına, bu bilgi ve
belgelerin
yargı
organlarına
hangi
hâllerde
gönderileceğine
ve
yükümlülüklere ilişkin esas ve usulleri düzenlemek olduğu belirtilmiştir.
3’üncü maddede devlet sırrı, “yetkili bulunmayan kişilerce hakkında
bilgi sahibi olunması hâlinde, Devletin güvenliği, millî varlığı, bütünlüğü,
anayasal düzeni ve dış ilişkilerini tehlikeye düşürebilecek her türlü bilgi ve
belgeler”
şeklinde
tanımlanmıştır.
4’üncü
maddede
ise
devlet
sırrı
kavramından ayrı olarak düzenlenen “gizli kalması gereken bilgi ve belgeler”
kavramı, “3 üncü madde kapsamında olmayan ancak niteliği itibariyle gizli
kalması gereken, askerî makamlar tarafından tesis olunan savunma ve
askerî konulara ilişkin işlemler, Devlet çapında veya kendi görev alanlarında
istihbarat çalışmaları yapan kamu kurum ve kuruluşları tarafından yürütülen
istihbarata dair görev ve faaliyetler, açıklanması ya da zamanından önce
açıklanması hâlinde Devletin ulusal ekonomik politikasının yürütülmesine
zarar verecek veya haksız rekabet ve kazanca sebep olacak bilgi ve belgeler
39
ile diğer yetkili makamların faaliyetlerine ilişkin olarak özel kanunlarında gizli
olduğu belirtilen bilgi ve belgelerdir.” biçiminde tanımlanmıştır.
Tasarıda devlet sırrını ve gizli kalması gereken bilgi ve belgeleri
belirleme yetkisine sahip merciler olarak yürütme organları74 görevlendirilmiş,
ayrıca
gizlilik
derecelendirilmesi,
gizlilik
süreleri,
sırrın
ve
gizliliğin
korunmasına ilişkin yükümlülükler ve ceza sürelerine ilişkin düzenlemeler
getirilmiştir.
Devlet Sırları Kanunu Tasarısı; getirilen tanımın Bilgi Edinme Hakkı
Kanunu’nda düzenlenen muğlak tanımdan farklı olarak yeni hiç bir şey ifade
etmediği, nelerin hangi gerekçeyle sır olarak niteleneceğine dair net bir kriter
getirilmediği, devletin milli güvenliğine, milli savunmasına, anayasal düzenine
ve dış ilişkilerine karşı tehlike oluşturabilecek bilgi ve belgeler tanımlamasının
içine rahatlıkla her şeyin sokulabileceği, bunun yerine “ülkenin varlığı ve
toprak
bütünlüğüne
yönelik
tehditler”
ifadesi
üzerinden
tanımlama
yapılmasının çok daha doğru olacağı, bir bilgi veya belgenin devlet sırrı
olduğuna ilişkin verilecek bir kararın mutlaka bağımsız bir denetim organı
tarafından denetlenmesi gerektiği, bunun ABD örneğinde olduğu gibi
bağımsız bir mahkeme olabileceği gibi, yasama organının içerisinden bu
denetimi yapacak bağımsız bir komisyonun kurulabileceği ya da yüksek yargı
organlarının
temsilcilerinden
oluşan
ayrı
bir
denetim
mekanizması
düzenlenebileceği, oysa tasarının bu haliyle yürütmeye devlet sırrını
belirleme konusunda sınırsız bir yetki verdiği, hükümetlerin bu şekilde kendi
yaptıkları hukuka aykırı işlem ve eylemlerle kötü yönetim uygulamalarını
saklamaya yönelebilecekleri, tasarının sır saklama sürelerinin çok uzun
olduğu, devlet sırrı niteliğindeki bir belgenin istenildiğinde yetmiş beş yıl sır
olarak saklanabilecek olmasının ortalama yaşam süresi de düşünüldüğünde
74
Cumhurbaşkanlığı, Bakanlar Kurulu ve Bakanlıklar, Genelkurmay Başkanlığı, Millî Güvenlik
Kurulu ve Genel Sekreterliği, Misyon Şefleri, Millî Đstihbarat Teşkilâtı Müsteşarlığı.
40
çok anlamsız olduğu, bu tasarının yasalaşması halinde demokratik, katılımcı
ve hesap verebilir bir idare sağlamak amacıyla düzenlenen bilgi edinme
hakkına ciddi bir darbe vurulmuş olacağı, esas olarak kamusal gizlilik alanıyla
da korunmak istenenin kamunun çıkarı olup, bu alana giren bir bilginin
açıklanması söz konusu olduğunda dengenin bilgiyi saklamaktan sağlanacak
kamusal yararla bilginin kamu tarafından öğrenilmesinden doğacak kamusal
yarar arasında kurulmaya çalışılacağı, eğer bilgiyi kamudan saklamayı haklı
çıkaran yeterli bir kamusal yarar yoksa, bilgiyi kamuya açıklamaktan alıkoyan
yeterli bir kamusal yararın var olduğunun düşünülemeyeceği yönleriyle
eleştirilmiştir.75
2. Özel Sır
Devlet sırrı kavramı, üçüncü kuşak haklardan bilgi edinme hakkının
kullanılmasının önündeki en büyük engel iken, buna karşılık özel sır kavramı
da kişi hak ve hürriyetler arasında yer alan özel hayatın gizliliği hakkının -dar
anlamda da kişisel verilerin korunmasının- sağlanmasında önemli yer teşkil
eden araçlardan biri olarak nitelendirilebilir. Zira sır kapsamında tutulan bu
kişisel
bilgilerin
üçüncü
kişilere
açıklanması
bu
yolla
engellenmiş
olmaktadır.76
Özel sır kapsamına kişilerin kendileri için tuttukları adi sırları değil,
konumuz açısından nitelik arz eden ve belirli sektörleri ilgilendiren ve kişinin
kendisinden başka üçüncü kişi ve kuruluşlarca tutulan ticari sır, banka sırrı ve
müşteri sırrı ile meslek sırrı kavramlarını katmayı uygun gördük.
75
Cavidan SOYKAN, “Bilgi Edinme Hakkı "Sır" mı Oluyor?”, 2007, Erişim:
http://www.bianet.org/2007/03/29/93934.htm, 05.10.2009.
76
Özel yaşamın gizliliğini korumayı amaçlayan sır kategorisine bir kaç örnek vermek gerekirse: 1136
sayılı Avukatlık Kanunu (m.36), 1587 sayılı Nüfus Kanunu (m.14/son), 1593 sayılı Umumi
Hıfzıssıhha Kanunu (m.104), 3017 sayılı Sıhhat ve Đçtimai Muavenet Vekaleti Teşkilat ve Memurin
Kanunu (m.69/2), Tıbbi Deontoloji Tüzüğü (m.4, 14, 25). Mehmet Semih GEMALMAZ, a.g.e.
41
Ticarî sır, banka sırrı, müşteri sırrı ile kamu görevlilerinin görevleri
nedeniyle öğrendikleri bu kapsamdaki sırlar ve bunların verilebileceği ve
açıklanabileceği hâller, mevzuatımızdaki çeşitli kanunlarda düzenlenmiş,
ancak bu hükümler yeterli olmadığından uygulamada çoğu zaman karışıklığa
yol açmış ve tereddütler baş göstermiştir. Ayrıca ticarî sır, banka sırrı ve
müşteri sırrı olduğu öne sürülerek bilgi ve belge taleplerine yeterli veya hiç
cevap verilmemesi ya da sırrın gereği gibi korunmaması nedeniyle yolsuzluk
iddiaları açıklığa kavuşturulamamaktadır. Bu nedenle sırların tanımının
yapılması, talep edilmesi,
verilmesi, kullanılması ve korunmasının tâbi
olduğu ilkelerin tespitine; sırların gizliliği veya verilmesi yasağını ortadan
kaldıran hâllerin neler olduğuna; sırların talep edilmesinin tâbi olacağı usul ve
esasların belirlenmesine; sırları öğrenen kişilerin yükümlülüklerine; bunlara
aykırı davranılması hâllerinde, bu fiilleri işleyenlerin cezaî sorumluluklarına
ilişkin düzenlemelere ihtiyaç duyulmuş ve Adalet Bakanlığı tarafından “Ticarî
Sır, Banka Sırrı ve Müşteri Sırrı Hakkında Kanun Tasarısı”77 hazırlanmıştır.
Tasarının Genel Gerekçesi’nde; ticarî sır, banka sırrı ve müşteri
sırrının gizliliğinin sağlanması ve üçüncü kişiler tarafından bilinmemesinin,
ilgili ticarî işletmeler, şirketler, bankalar ve bunların müşterileri açısından
büyük ve hayatî önem arz etmekle birlikte, iktisadî, ticarî ve malî sektörlerde
üretim, tüketim ve hizmet alanlarında faaliyet gösteren ticarî işletme ve
şirketlerin, bankaların, sigorta şirketleri, sermaye ve mali piyasalarda faaliyet
gösteren aracı kurumların şeffaflığının sağlanmasına, kayıt dışı ekonominin,
haksız mal edinmenin ve karapara aklanmasının önlenmesine, çıkar amaçlı
suç örgütleri ve bunlarının mensuplarının takibine ilişkin tedbirlerle doğrudan
ve dolayısıyla bağlantılı olduğundan bahisle bu konuda düzenleme yapılması
ihtiyacı duyulduğu belirtilmiştir.
77
Tasarı halen Türkiye Büyük Millet Meclisinde bulunmaktadır. (Sevk Tarihi : 01.02.2009) Tasarı ve
gerekçesi için bkz.: http://www2.tbmm.gov.tr/d23/1/1-0517.pdf, 05.10.2009.
42
Tasarının 1’inci maddesinde kanunun amacının; kamu kurum ve
kuruluşları ile iktisadî, ticarî ve malî sektörlerde üretim, tüketim ve hizmet
alanlarında faaliyet gösteren ticarî işletme ve şirketler, bankalar, sigorta
şirketleri ve mali piyasalarda faaliyet gösteren aracı kurumlarının ticarî sır,
banka sırrı ve müşteri sırlarının talep edilmesi, verilmesi, kullanılması ve
korunmasına ilişkin esas ve usulleri düzenlemek olduğu belirtilmiş, özel
kanunlarda düzenlenen ticarî sır, banka sırrı ve müşteri sırlarının verilmesini
sınırlayan veya yasaklayan hükümler hakkında da bu kanun hükümlerinin
uygulanacağı ifade edilmiştir.
3’üncü maddede, kanun kapsamındaki sırlarla ilgili olarak;
Yayımlandığı veya kamuya açıklandığı ya da kanunlarda yer alan
açıklık ilkesi uyarınca resmî sicillerde veya bilançolar ile faaliyet
raporlarında yer aldığı veya kanunlardaki hükümler gereği kamunun
aydınlatılması bakımından açıklamakla yükümlü olunan bilgilerin
açıklandığı,
Sır sahibinin açıklanması hususunda yazılı muvafakati bulunduğu,
Kanunî yükümlülüğün yerine getirildiği,
Hâllerde bilgi ve belgelerin açıklanması, kullanılması, verilmesi ve
aktarılmasının aykırılık teşkil etmeyeceği belirtilmiştir.
4’üncü maddede sırların Türkiye Büyük Millet Meclisinin meclis
araştırması
ve
meclis
soruşturması
komisyonları
toplantılarındaki
müzakerelerde, mahkemeler ile cumhuriyet başsavcılıklarınca yürütülen
kovuşturma ve soruşturmalarda, malî veya idarî konularda Devlet adına
yapılan denetim faaliyetlerinde ve diğer kanunlarda gösterilen hallerde yazılı
olarak talep edileceği ifade edilmiştir. Bu şekilde meclis araştırma ve
soruşturmalarında da ticari sırların açıklanmasından imtina edilemeyeceği
hükmü hukukumuza getirilmiştir.
43
Malî veya idarî konularda yürütülen denetim faaliyetlerinde ise sırların
sahipleri ve bu sırları ellerinde bulunduranların, yapılan görevle doğrudan
bağlantılı ve talebin amacıyla sınırlı olmak ve yürütülen faaliyet açısından
zorunluluk bulunmak kaydıyla sır kapsamındaki bilgi ve belgeleri vermekle
yükümlü oldukları belirtilmiştir. Söz konusu sırları doğrudan veya dolayısıyla
öğrenen kamu görevlileri ve diğer kişilerin bu sırları kanunen yetkili
mercilerden başkasına açıklayamayacağı, veremeyeceği ve kendisi veya
başkalarına
menfaat
sağlamak
veya
zarar
vermek
amacıyla
kullanamayacağı da hükme bağlanmıştır.
Tasarının “Koruma yükümlülüğü” başlıklı 7’nci maddesinde; “Bu Kanun
kapsamında verilen sırları doğrudan veya dolayısıyla öğrenen kamu
görevlileri, öğrendikleri veya talep ettikleri sırlarla ilgili bilgi ve belgelerin
korunmasını sağlamak amacıyla her türlü tedbiri almakla yükümlüdürler.”
ibaresi konulmuştur. Bu şekilde kişisel verilerin üçüncü kişilerin ellerine
geçmesi ve özel hayatın gizliliği ilkesinin ihlal edilmesi önlenmek istenilmiştir.
Tasarıda ticari sır, banka sırrı ve müşteri sırrı şeklinde bir ayırım söz
konusudur. Biz buna ek olarak meslek sırrı kavramını da tasnifimize dahil
etmeyi uygun gördük.
a. Ticarî Sır
Ticarî Sır, Banka Sırrı ve Müşteri Sırrı Hakkında Kanun Tasarısının
2’nci maddesindeki tanıma göre ticarî sır; “Bir ticarî işletme veya şirketin
faaliyet alanı ile ilgili yalnızca belirli sayıdaki mensupları ve diğer görevlileri
tarafından bilinen, elde edilebilen, özelikle rakipleri tarafından öğrenilmesi
halinde zarar görme ihtimali bulunan ve üçüncü kişilere ve kamuya
açıklanmaması gereken, işletme ve şirketin ekonomik hayattaki başarı ve
verimliliği için büyük önemi bulunan; iç kuruluş yapısı ve organizasyonu, malî,
iktisadî, kredi ve nakit durumu, araştırma ve geliştirme çalışmaları, faaliyet
stratejisi, hammadde kaynakları, imalatının teknik özellikleri, fiyatlandırma
politikaları, pazarlama taktikleri ve masrafları, pazar payları, toptancı ve
44
perakendeci müşteri potansiyeli ve ağları, izne tâbi veya tâbi olmayan
sözleşme bağlantılarına ilişkin veya bu gibi bilgi ve belgeleri” ifade
etmektedir.
b. Banka Sırrı
Tasarının 2’nci maddesinde banka sırrı; Bankanın yönetim ve denetim
organlarının üyeleri, mensupları ve diğer görevlileri tarafından bilinen malî,
iktisadî, kredi ve nakit durumu ile ilgili bilgilerle, bankanın müşteri potansiyeli,
kredi verme, mevduat toplama, yönetim esasları, diğer bankacılık hizmet ve
faaliyetleri, risk pozisyonlarına ilişkin her türlü bilgi ve belgeler” şeklinde
tanımlanmıştır.
c. Müşteri Sırrı
Yine tasarının 2’nci maddesi müşteri sırrını; “Ticarî işletme ve
şirketlerin, bankaların, sigorta şirketlerinin, sermaye piyasasında ve malî
piyasalarda faaliyet gösteren aracı kurumların, kendi faaliyet alanlarıyla ilgili
olarak müşteriyle ilişkilerinde, müşterinin şahsî, iktisadî, malî, nakit ve kredi
durumuna ilişkin doğrudan veya dolayısıyla edindikleri tüm bilgi ve belgeler”
ifadesiyle tanımlamıştır.
Buna göre, ticari sır aslında daha genel ve üst bir kavram olarak bir
ticari işletme veya şirketlere ilişkin gizli kalması gereken bilgi ve belgeler
olarak ele alınırken, banka sırrı bankalar özelinde ele alınan ve bankanın
faaliyetlerini, mali ve iktisadi gücünü ve itibarını ilgilendiren hususları
kapsayan bir kavram olmaktadır. Müşteri sırrı ise gerek banka gerekse ticari
işletme,
şirket
yahut
herhangi
bir
piyasada
faaliyet
gösteren
bir
organizasyonun ya da mensuplarının müşterilerine ilişkin mesleki bilgileri ya
da faaliyetleri dolayısıyla elde ettikleri üçüncü şahıslara ait bilgilerin gizli
tutulması yükümlülüğünü ifade etmektedir. Bu yükümlülük aynı zamanda
bankaların
faaliyetlerini
düzenleyen,
denetleyen,
mevzuatları
gereği
45
bankalardan sır niteliğindeki bilgileri almaya yetkili olan kişi ve kurumları da
kapsamaktadır.78
ç. Meslek Sırrı
Meslek sırrı kavramı, belirli bir meslekle (hekimlik, avukatlık, mali
müşavirlik, vb.) iştigal eden kişi ve kuruluşların meslekleri nedeniyle
edindikleri bilgileri sır dahilinde tutmak suretiyle üçüncü kişilere ifşa
edilmemesi anlamına gelmektedir. Meslek sırrı bu nedenle özel yaşamın
gizliliği hakkını dolayısıyla da kişisel verilerin korunmasını sağlamakta önemli
bir role sahiptir. Bunun yanı sıra dar anlamda da ticari sırların korunması için
kullanılmaktadır.79
Ülkemizde
halen
yürürlükte
olan
kanunlarımızın
münferit
hükümlerindeki ticari sır, resmî görev sırrı ve meslek sırlarıyla ilgili
düzenlemelerin yeterli olmadığı, uygulamada çoğu zaman karışıklığa ve
tereddütlere yol açtığı bilinen bir gerçektir.
Avrupa Birliği’nde mali hizmetler alanında faaliyet gösteren bankacılık,
sermaye piyasaları ve sigortacılık otoritelerinin, hangi bilgileri hangi koşullar
altında açıklayabileceği hususları çeşitli direktiflerde düzenlenmiş olup,
bankacılık denetleme otoriteleri, faaliyetleri sırasında edindikleri gizli bilgileri
açıklamaktan men edilmişlerdir. Yetkili denetleme otoritelerinde çalışan veya
çalışmakta olan kişiler ve bu otoriteler için çalışan dış acentalar mesleki sır
yükümlülükleriyle bağlıdırlar. Ancak, finansal sistemin aklama amacıyla
78
Türkiye Bankalar Birliği, Bankacılık ve Araştırma Grubu, “Avrupa Birliği’nde Banka ve Müşteri
Sırrı Hakkında Düzenlemeler”, Bankacılar Dergisi, 2003, Sayı 46, s.38-58.
79
Mevzuatta bunun örneklerini gözlemlemek mümkündür: Telgraf Kanunu (m.10/II), Borçlar Kanunu
(m.532), Türk Ticaret Kanunu (m.57/7, 57/8, 64/1, 358, 363), Petrol Kanunu (m.43, 52), Sanayi Sicili
Kanunu (m.7, 12), Sigorta Murakabe Kanunu (m.52), Vergi Usul Kanunu (m.5), 551 sayılı Patent
Haklarını Korunması Hakkında Kanun Hükmünde Kararname (m.26/c, 36, 89, 125 ve 126) 4458
sayılı Gümrük Kanunu (m.12), 4857 sayılı Đş Kanunu (m.93), Merkez Bankası Kanunu (m.35,
43/son), Su ürünleri Kanunu (m.28), 1512 sayılı Noterlik Kanunu (m.54). Mehmet Semih
GEMALMAZ, a.g.e.
46
kullanılmasının önlenmesine ilişkin 91/308/EEC sayılı Direktif ile; kredi ve
finansman kuruluşları, bu kuruluşlarda görevli personel ve müdürleri bilginin
açıklanmasıyla
ilgili
kısıtlamaları
ihlal
etme
sorumluluğundan
muaf
tutulmuştur.80
3. Sırrın Đfşası
Özel sırların temelde özel yaşamın gizliliğinin korunması, devlet
sırlarının ise arkasındaki kamu yararının sağlanması amacıyla getirilmiş
müesseseler olduğunu açıklamıştık. Đşte bu sırların gizli tutulmayıp üçüncü
kişilere yahut kamuoyuna ifşa edilmesiyle, sır kavramının gözettiği temel
haklar -özel hayatın gizliliği, kişisel verilerin korunması- ile kamu yararı ilkeleri
ihlal edilmiş dolayısıyla da kişiler/toplum maddi-manevi zarara uğramış
olabilecektir. Bu nedenle bir çok genel ve özel kanunla bu husus
düzenlenmiştir.
5237 sayılı Türk Ceza Kanununun “Devlet Sırlarına Karşı Suçlar ve
Casusluk” başlıklı yedinci bölümünde yer alan 329’uncu maddesi, 330’uncu
maddesi, 333’üncü maddesi, “Ticarî sır, bankacılık sırrı veya müşteri sırrı
niteliğindeki bilgi veya belgelerin açıklanması” başlıklı 239’uncu maddesi,
“Göreve ilişkin sırrın açıklanması” başlıklı 258’inci maddesi, Devlet Sırları
Kanun Tasarısının “Koruma yükümlülüğü” başlıklı 9’uncu maddesi, Ticarî Sır,
Banka Sırrı ve Müşteri Sırrı Hakkında Kanun Tasarısının “Ceza hükümleri”
başlıklı 8’inci maddesi konuya ilişkin genel düzenlemeler arasında yer
almaktadır. Konuya ilişkin özel düzenlemeler arasında ise 213 sayılı Vergi
Usul Kanunu81’nun “Vergi mahremiyeti” başlıklı 5’inci maddesi, 6183 sayılı
Amme Alacaklarının Tahsil Usulü Hakkında Kanun82’un “Sırrın ifşası” başlıklı
80
Türkiye Bankalar Birliği, a.g.m., s.39.
81
10.01.1961 tarih ve 10705 sayılı Resmi Gazete’de yayımlanmıştır.
82
28.07.1953 tarih ve 8469 sayılı Resmi Gazete’de yayımlanmıştır.
47
107’nci maddesi, 5411 sayılı Bankacılık Kanunu83’nun “Sırların Saklanması”
başlıklı 73’üncü maddesi, 2499 sayılı Sermaye Piyasası Kanunu84’nun “Sır
saklama ve kurulun para, evrak ve malları hakkında işlenen suçlar” başlıklı
25’inci maddesi, 4054 sayılı Rekabetin Korunması Hakkında Kanun85’un
“Yasaklar” başlıklı 25’inci maddesi, Başbakanlık Yüksek Denetleme Kurulu
Hakkında 72 Sayılı Kanun Hükmünde Kararname86’nin “Sır Saklama
Yükümlülüğü”
başlıklı
35’inci
maddesi,
5549
sayılı
Suç
Gelirlerinin
87
Aklanmasının Önlenmesi Hakkında Kanun ’un “Sırrın ifşaı” başlıklı 22’nci
maddesi yer almaktadır. Ayrıca 6762 sayılı Türk Ticaret Kanunu (m.363),
6326 sayılı Petrol Kanunu (m.43), 1163 sayılı Kooperatifler Kanunu (m.25),
5584 sayılı Posta Kanunu (m.16), 278 sayılı 278 sayılı Türkiye Bilimsel ve
Teknik Araştırma Kurumu Kurulması Hakkında Kanun (m.22)’da da benzer
hükümler mevcuttur.
II. KĐŞĐSEL VERĐLERĐN KORUNMASI KAVRAMININ TARĐHSEL
GELĐŞĐMĐ
Kişisel verilerin korunması kavramı, klasik hak ve hürriyetler arasında
yer alan özel hayatın gizliliği hakkının bir alt kavramı olduğu için, kavramın
tarihsel gelişimi temel insan hak ve özgürlükleri alanındaki gelişimlerle birlikte
olmuştur.
Yasalar gözünde bireyin önceliğinin ve üstünlüğünün savunulması
ilkesinin ve insanın doğuştan sahip olduğu bazı hak ve özgürlüklere devletin
ve diğer insanların hiçbir zaman dokunamayacağını ifade eden bireysel
83
01.11.2005 tarih ve 25983 sayılı Resmi Gazete’de yayımlanmıştır.
84
30.07.1981 tarih ve 17416 sayılı Resmi Gazete’de yayımlanmıştır.
85
13.12.1994 tarih ve 22140 sayılı Resmi Gazete’de yayımlanmıştır.
86
20.10.1983 tarih ve 18197 sayılı Resmi Gazete’de yayımlanmıştır.
87
18 Ekim 2006 tarih ve 26323 sayılı Resmi Gazete’de yayımlanarak yürürlüğe girmiştir.
48
haklar
öğretisinin bir
sonucu
olan insan
haklarının
kavram olarak
gelişmesinde Rousseau, Montesquieu, Locke gibi düşünürlerin önemli etkisi
olmuştur.88 Đnsan haklarının korunması ile ilgili ilk hükümlerin sınırlı da olsa
Đngiltere kralın yetkilerini daraltan ve onun kişi hak ve özgürlüklerine saygı
göstermesini sağlayan 1215 tarihli Magna Carta Libertatum (Büyük Özgürlük
Fermanı)’da yer aldığı kabul edilmektedir. Bu düzenlemelere göre özgür
kişilerin bağlı bulundukları mahkemelerin yasalara uygun bir kararı
olmaksızın mal ve can güvenliklerine dokunulamayacaktı. Daha sonra 1628
tarihli Petition of Rights, 1679 tarihli Habeas Corpus Act, 1689 tarihli Bill of
Rights ve 1701 tarihli Act of Settlement ile bu hakların sınırları gittikçe
genişlemiştir. “Amerikan Haklar Bildirileri” ile insanların doğuştan bir takım
tabii haklara sahip bulundukları, bunların devletten önce mevcut olduğu ve
devlet iktidarının bu haklarla sınırlanması gerektiği yolundaki fikirler, hukuki
formüllerle doktrin alanından uygulama alanına geçmişlerdir. Kısa bir süre
sonra Fransız Đhtilali ile birlikte ilan edilen 1789 “Đnsan ve Vatandaş Hakları
Bildirisi” ile Amerikan Haklar Bildirileri’nde düzenlenen hak ve özgürlükler
teyit edilmiş ve evrensel bir nitelik halini almıştır. 10 Aralık 1948 günü
Birleşmiş Milletler Genel Kurulu’nca kabul ve ilan edilen, insanlık tarihinin
sayılı belgelerinden olan “Đnsan Hakları Evrensel Beyannamesi” ile insan
hakları ve temel hürriyetler teker teker belirlenmiştir. Đnsan Hakları Evrensel
Beyannamesi ile düzenlenen haklar hukuki yönden bağlayıcı olmadığından,
bu bildiride sayılan hakları tanıyan devletlere herhangi bir yükümlülük
getirmemektedir. Bu eksiklik, benzer hakları daha da geliştirerek düzenleyen
“Avrupa Đnsan Hakları Sözleşmesi”yle giderilmiştir. Avrupa Đnsan Hakları
Sözleşmesi her ne kadar tüm Avrupa Birliği ülkelerince kabul edilmiş olsa da,
AB normu olarak kabul edilen bir metinin eksikliği duyulmuş ve bunu
karşılamak amacıyla AB'nin ekonomik alandan siyasi alanda da ağırlık
kazanmasıyla birlikte, AB'nin temel ilkelerini ortaya koymak, ulusalüstü
kurumlarını da siyasi ilkelerle bağıtlamak ve belki de geleceğin AB
88
Şeref GÖZÜBÜYÜK, Anayasa Hukuku, Ankara, Turhan, 2002, s.94.
49
Anayasasının temelini atma için gerekli olan “Avrupa Birliği Temel Haklar
Şartı” 7 Aralık 2000 tarihinde hayata geçirilmiştir.89
Kişisel verilerin korunmasına yönelik ilk gelişmeler de özel hayatın
gizliliğine ilişkin düzenlemelerle olmuştur. Daha önce detaylı anlatıldığı üzre;
Đnsan Hakları Evrensel Beyannamesi’nin 12’nci maddesinde, Avrupa Đnsan
Hakları Sözleşmesi’nin “Özel hayatın ve aile hayatının korunması” başlıklı
8’inci maddesinde, Avrupa Birliği Temel Haklar Şartı’nın “Özel hayata ve aile
hayatına saygı” başlıklı 7’nci maddesinde, 1982 Anayasasının “Özel hayatın
gizliliği ve korunması” başlığı altındaki 20-22’nci maddelerde özel hayatın
gizliliğine ilişkin düzenlemeler getirilmiştir.
Ancak, kişisel verilerin korunmasının ayrı bir hak olarak doğrudan
doğruya ele alınması, özellikle bilgi-işlem teknolojisinde yaşanan gelişmeler
paralelinde 1970’lerden sonra olmuştur. Bu konuda uluslararası alandaki ilk
çalışma Ekonomik Đşbirliği ve kalkınma Teşkilatı (OECD ) tarafından 1980
yılında kabul edilmiş olan, “Gizliliğin Korunması ve Sınır Ötesi Kişisel Veri
Akışları Hakkında Rehber Đlkeler” (Guidelines on The Protection of Privacy
and Transborder Flows of Personal Data)90 adını taşıyan belge ile olmuştur.
Sözü edilen rehber ilkeler bağlayıcılığı olmayan tavsiye niteliğindeki bir
doküman olduğundan dolayı, konuya ilişkin uluslararası anlaşma niteliğini
haiz bir metne ihtiyaç duyulmuştur. Avrupa Konseyi’nin 28 Ocak 1981 tarih
ve 108 sayılı “Kişisel Nitelikteki Verilerin Otomatik Đşleme Tabi Tutulması
89
Đnsan Hakları, Ankara, Matus, 2006, s.26-29; Rıdvan DAĞ, “Avrupa Birliği Temel Haklar Şartı ve
Türkiye”, Erişim: http://www.jura.uni-sb.de/turkish/RDag.html, 05.10.2009.
90
Söz konusu rehber ilkeler, 23 Eylül 1980 tarihinde kişisel verilerin toplanması, yönetilmesi ve
korunması ile sınır ötesi bilgi akışının sağlanmasında asgari düzeyde uluslararası uzlaşının sağlanması
ve temel ilkelerin belirlenmesi amacıyla hükümetler, iş dünyası, sivil toplum örgütleri ve tüketici
temsilcilerinin yardımıyla kabul edilmiştir. Erişim:
http://www.oecd.org/document/18/0,2340,en_2649_34255_1815186_1_1_1_1,00.html, 05.10.2009.
50
Karşısında Şahısların Korunmasına Dair Sözleşme”91 bu ihtiyacı gidermiştir.
Bu belgenin yürürlüğe girmesi 1985 yılında mümkün olabilmiş, belge ile ilgili
olarak bu güne kadar çeşitli tavsiye kararları alınmış, 1999 yılında da belgede
bazı değişiklikler yapılmıştır. Bununla beraber Belge yalnız Avrupa
ülkelerinde değil bütün dünyada kabul görmüş ve ulusal mevzuatın
hazırlanmasında göz önünde bulundurulmuştur.
Birleşmiş Milletler Genel Asamblesi ise 14 Aralık 1990 tarihinde üye
devletlerin asgari bir standartta buluşmasını hedefleyen “Bilgisayarla Đşlenen
Kişisel Veri Dosyaları Hakkında Rehber Đlkeler” (Guidelines for the
Regulation of Computerized Personal Data Files)92 adını taşıyan bir belgeyi
kabul etmiştir.
Diğer taraftan Avrupa Birliği de 24 Ekim 1995 tarihinde “Kişisel
Verilerin Đşlenmesinde Gerçek Kişilerin Korunması ve Verilerin Serbest
Dolaşımı Yönergesi”ni93, 15 Aralık 1997’de “Telekomünikasyon Alanında
Kişisel Verilerin Đşlenmesi ve Mahremiyetin Korunması Yönergesi”ni94, 12
Temmuz 2002’de ise “Elektronik Đletişimde Kişisel Verilerin Đşlenmesi ve
Gizliliğinin Korunması Yönergesi”ni95 kabul ederek bu konuda düzenlemelere
gitmiştir.
Ayrıca, 7 Aralık 2000 tarihinde kabul edilen Avrupa Birliği Temel
Haklar Şartı’nın “Kişisel verilerin korunması” başlıklı 8’inci maddesi konu ile
91
108 sayılı Sözleşme, 28 Ocak 1981 tarihinde imzaya açılmış ve aynı tarihte diğer Avrupa Konseyi
üyeleriyle birlikte Türkiye tarafından da imzalanmış, ancak henüz onaylanmamıştır. Erişim:
http://www.avrupakonseyi.org.tr/antlasma/aas_108.htm, 05.10.2009.
92
Erişim: http://www.unhcr.org/refworld/type,THEMGUIDE,UNGA,,3ddcafaac,0.html, 05.10.2009.
93
Erişim: http://eurlex.europa.eu/smartapi/cgi/sga_doc?smartapi!celexapi!prod!CELEXnumdoc&lg=en&numdoc=31995
L0046&model=guichett, 05.10.2009.
94
95
Erişim: http://www.dataprotection.ie/viewdoc.asp?m=l&fn=/documents/legal/6aiii.htm, 05.10.2009.
Erişim: http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:32002L0058:EN:NOT,
05.10.2009.
51
ilgili düzenleme getirmiştir. Buna göre; “Herkes, kendisine ilişkin kişisel
verilerin korunmasını isteme hakkına sahiptir. Bu tür bilgiler, belirtilen
amaçlar için ve ilgili kişinin rızasına veya yasada öngörülen başka meşru
temele dayalı olarak adil şekilde kullanılmalıdır. Herkes, kendisi hakkında
toplanmış olan bilgilere erişme ve bunlarda düzeltme yaptırma hakkına
sahiptir.
Bu
kurallara
uyulması,
bağımsız
bir
makam
tarafından
denetlenecektir.”
Doğrudan
doğruya
kişisel
verilerin
korunmasına
ilişkin
olarak
Türkiye’de henüz anayasal bir düzenleme bulunmamakta olup, bu konuda
özel hayatın gizliliği ve genel hükümlere göre işlem yapılmaktadır. Ayrıca
12.10.2004 tarih ve 5237 sayılı Türk Ceza Kanunu’nun 135-140’ıncı
maddeleri kişisel verilerin korunmasına ilişkin hükümler barındırmaktadır. Bu
konuda sözü edilen Avrupa Konseyi ile Avrupa Birliği Direktifleri ile iç
hukukun uyumlaştırılması amacıyla “Kişisel Verilerin Korunması Kanunu
Tasarısı” hazırlanmış, çeşitli kurum ve kuruluşların görüş ve önerileri de göz
önüne alınarak son haline getirilmiş ve 22.04.2008 tarihinde Başbakanlık
tarafından Türkiye Büyük Millet Meclisine sevk edilmiştir. Tasarı hala Türkiye
Büyük Millet Meclisinde bulunmaktadır.
Yukarıda bahsetmiş olduğumuz uluslararası belgeler ile Türkiye’de
yapılan düzenleme ve çalışmaların detayı tezimizin ikinci ve üçüncü
bölümlerinde anlatılacağından burada tekrar ele alınmamıştır.
52
ĐKĐNCĐ BÖLÜM
KĐŞĐSEL VERĐLERĐN KORUNMASI KAVRAMININ ULUSLARARASI
DÜZENLEME VE UYGULAMALARDAKĐ YERĐ
I. ULUSLARARASI DÜZENLEMELER
A. Ekonomik Đşbirliği ve Kalkınma Teşkilatı (OECD)
Kişisel verilerin korunması hakkının ayrı bir alan olarak doğrudan
doğruya ele alınması ve bu konuda uluslararası kriterler belirlenmesine dair
ilk çalışma Ekonomik Đşbirliği ve Kalkınma Teşkilatı (OECD) tarafından 1980
yılında kabul edilmiş olan “Gizliliğin Korunması ve Sınır Ötesi Kişisel Veri
Akışları Hakkında Rehber Đlkeler” (Guidelines on The Protection of Privacy
and Transborder Flows of Personal Data)96 adını taşıyan belgedir. Söz
konusu rehber ilkeler, 23 Eylül 1980 tarihinde kişisel verilerin toplanması,
yönetilmesi ve korunması ile sınır ötesi bilgi akışının sağlanmasında asgari
düzeyde uluslararası uzlaşının sağlanması ve temel ilkelerin belirlenmesi
amacıyla
hükümetler, iş
dünyası,
sivil
toplum örgütleri
ve
tüketici
temsilcilerinin yardımıyla kabul edilmiştir. Böylece, uluslararası konsensüsün
sağlanması, gizliliğin korunmasında etkinlik ile verilerin akışındaki serbestlik
arasında dengenin kurulması ve ülkelerin gerek kamu sektörü gerekse de
özel sektör bazında uygulamalarını temin etmek amacıyla iç düzenlemeler
yapması konusunda fikir uyandırılması amaçlanmıştır.
Rehber Đlkeler’de otomatik veri işleme yöntemlerinin geliştirilmesiyle
beraber çok büyük miktardaki verinin çok kısa bir sürede sınır ötesine iletilme
imkanlarına
96
kavuşulduğundan
bahisle
kişisel
verilerle
ilgili
gizliliğin
Erişim: http://www.oecd.org/document/18/0,2340, en_2649_34255_1815186_1_1_1_1,00.html,
05.10.2009.
53
korunmasına dönük ilkeler belirlenmesine ihtiyaç duyulduğu, zira kişisel
verilerin
kanun
dışı
yollarla
yahut
yanlış
bilgileri
içerecek
şekilde
kaydedilmesi ve depolanması ya da bunların yetkisiz olarak ifşa edilmesi
veya kötüye kullanılması gibi durumların temel insan haklarına aykırı olacağı,
son
yıllarda
geliştirilen
yeni
bilgisayar
ve
iletişim
teknolojisinin
yaygınlaşmasıyla büyük bir hızda artan veri transferleri üzerinde bazı
sınırlamalara gidilmesi gerektiği, ancak bu tür sınırlamaların özellikle
bankacılık ve sigortacılık gibi ekonomi üzerinde büyük öneme sahip
sektörlerde ciddi sorunlara yol açabileceği, o nedenle kişisel verilerin
korunması ile veri akışındaki serbestlik arasındaki dengenin titizlikle
kurulması gerektiği, ülkelerin iç düzenlemeleri farklılık arz etse de bazı asgari
ve temel kriterlere sahip olmasının uluslararası sosyal ve ekonomik ilişkileri
açısından yararlı olacağı belirtilmiştir.
Rehber Đlkeler’de kişisel veri, belirlenmiş veya belirlenebilir bir birey
(veri öznesi) hakkındaki herhangi bir bilgi olarak tanımlanmıştır. Kapsamın
gizliliğin ve kişi özgürlüklerinin korunması amacıyla özel ve kamu sektöründe
(sadece) otomatik yöntemlerle işlenen kişisel veriler olduğu belirtilmiştir.
Bunlara yalnızca ulusal egemenlik, ulusal güvenlik ve kamu politikası ile ilgili
istisnalar konulabileceği ifade edilmiştir.
Rehber Đlkeler ile ülkelerin minimum düzeyde ele alması gereken 8
temel ilke saptanmıştır:
1) Kişisel Veri Toplanması ve Đşlenmesinin Sınırlı Olması ve
Đlkelere Bağlılığı: Bu ilke ile kişisel verilerin toplanması ve
işlenmesinin sınırları olması ve verilerin hukuka uygun, meşru
yollarla ve mümkün olduğunca veri konusu kişinin bilgisi veya
rızası ile elde edilmesinin gerekliliği vurgulanmıştır.
2) Kişisel Veride Kalite Đlkesi: Bu ilke ile kişisel verilerin işlenmesiyle
ilgili gerekli nitelikler vurgulanmaktadır. Buna göre, kişisel verilerin
güncel tutulması, tam ve doğru olması, kullanılacağı amaçla
54
bağlantılı ve bu amacın gerekleriyle sınırlı olması şartlarına işaret
edilmektedir.
3) Kişisel Veri Toplama ve Đşlenmesinde Amacın Belirginliği
Đlkesi:
Kişisel
verilerin
toplanmasından
önce,
bu
verilerin
toplanmasının amaçlarının belli olması, sonraki kullanımların da bu
amaçlarla sınırlı tutulması gereğine değinilmektedir. Toplanma
amacının değişebileceği her durumda da, söz konusu değişen
amaçların aynı şekilde belirgin olması gerektiği belirtilmektedir.
4) Amaca Uygun Kullanım Đlkesi: Yukarıda sözü geçen ilke ile
doğrudan bağlantılı olan bu ilke gereğince, veri konusu kişinin
rızası veya kanunun yetki verdiği haller hariç olmak üzere, kişisel
verilerin toplandığı ve işlendiği amaçlar dışında kullanılmaması,
elde
edilebilir
hale
getirilmemesi
veya
açıklanmaması
öngörülmektedir.
5) Kişisel Verilerin Korunması Đçin Gereken Tedbirlerin Alınması
Đlkesi: Bu ilke ile kişisel verilerin, yetkisiz olarak erişilmesi, imhası,
kullanılması, değiştirilmesi veya açıklanması ya da kaybolması gibi
risklere karşı uygun güvenlik tedbirleriyle korunması gerektiğine
dikkat çekilmektedir.
6) Açıklık Đlkesi: Kişisel verilerle ilgili olarak yürütülen politikalar ile
uygulamalar ve gelişmeler hakkında genel bir açıklık politikası
bulunması gereği vurgulanmaktadır. Veri konusu (öznesi) kişilerin
bilgilendirilmesi ve bilgiye erişim hakkı, veriyi tutan kurum
tarafından kurum sicili tutulması ve veri kontrolörünün97 kimlik ve
adres bilgileri gibi bilgilerin mevcut bulundurulması gibi hususlar
açıklık ilkesinin gerekliliklerindendir.
97
Rehber Đlkeler’de verilerin toplanmasından, depolanmasından, kullanılmasından, açıklanmasından
vs. sorumlu olan görevli olarak tanımlanmıştır.
55
7) Kişisel Veri Konusu Kişinin Bireysel Katılımı Đlkesi: Kişinin, veri
kütüğü sahibinden, onunla ilgili veri olup olmadığına dair bilgi
edinmeye; anlayabileceği bir şekilde, makul yollarla, tatbik
ediliyorsa aşırı olmayan bir ücretle, makul süre için kendisine ilişkin
veriler konusunda bilgilendirilmeye; bilgi edinme ve bilgilendirilme
talepleri reddedilirse sebeplerini öğrenmeye, bu gibi reddedilmelere
karşı itiraz veya kanun yollarına başvurabilmeye; kendisine ilişkin
verilere itiraz edebilme ve haklı itirazı halinde bu verileri sildirmeye,
düzeltmeye, eksik ise tamamlatmaya ve değiştirmeye hakkı olması
gerektiği vurgulanmaktadır.
8) Sorumlu tutulabilirlik ilkesi: Buna göre veri kütüğü sahibinin,
yukarıda belirtilen prensiplere uyulması için getirilen tedbir ve
yaptırımlara uymasını temin edecek şekilde sorumlu tutulması
sağlanmalıdır. Veri kütüğü sahipleri, getirilen prensiplere uymakla
yükümlü tutulmuştur. Bu yükümlülüklerini yerine getirmeyen veri
kütüğü sahipleri idarî, hukukî ve cezaî yaptırımlara tâbi olacaktır.
Rehber Đlkeler’de üye ülkelerin kişisel verilerin sınır ötesi akışında
diğer üye ülkeye kesintisiz ve güvenli biçimde transfer edilmesi hususunda
tüm uygun adımları atması gerektiği, bilgi değişimi ile usule ve araştırmaya
ilişkin karşılıklı yardımlaşma hususlarında uluslararası işbirliğine gidilmesi ve
ülkelerin iç düzenlemelerinin söz konusu ilkelerle uyumlu hale getirilmesi
gerektiği de belirtilmiştir.
Rehber Đlkeler’in üye ülkeler için resmi bir bağlayıcılığı bulunmamakla
birlikte, ulusal sınırları aşan ve birbirlerine karşı bağımlılığı artan bilgi sistem
ve ağlarına yönelik tehditler karşısında, başta kamu kurum ve kuruluşları
olmak üzere her düzeydeki kullanıcılar tarafından benimsenip uygulanması
konusunda hükümetlerin çalışmaları bulunmaktadır.
Sözü edilen rehber ilkelerin yayımlandığı 1980 yılından bu yana; bilgi
sistemleri ve teknolojilerinin büyük ölçüde değişime uğradığı, ilerleyen
56
teknolojiler ve internetin geniş kapsamlı kullanımının ulusal sınırları aşarak
enerji, ulaştırma ve finans gibi önemli altyapıları destekleyerekten şirketlerin
işleyişinde,
hükümetlerin
vatandaşlara
ve
teşebbüslere
sundukları
hizmetlerde ve bireylerin iletişim ve bilgi alışverişinde önemli bir rol oynadığı,
bilgi alışverişinin doğası, hacmi ve hassasiyeti büyük ölçüde arttığı için temel
hak ve özgürlüklerin ve kişisel verilerin korunması amacıyla yeni önlemler
getirilmesi gerektiğinden bahisle, OECD üye ülke hükümetlerince şu
metinlerin kabul edilerek söz konusu Rehber Đlkeler geliştirilmiştir:
11 Nisan 1985 tarihli “Sınır Ötesi Veri Akışı Bildirisi98”,
26 Kasım 1992 tarihli “Bilgi Sistemlerinin Güvenliği için Rehber Đlkeler”
99
,
27 Mart 1997 tarihli “Kriptografi Politikası Rehber Đlkeleri100”,
7-9 Aralık 1998 tarihli “Küresel Ağlarda Mahremiyetin Korunmasına
Đlişkin Bakanlar Konseyi Bildirisi101”.
B. Avrupa Konseyi (AK)
Kişisel verilerin korunması ile ilgili olarak, Avrupa Konseyi gerek kamu
ve gerek özel sektör kurum ve kuruluşlarında göz önünde bulundurulması
gereken ilkeleri saptamak ve konunun ulusal düzeyde çıkarılacak mevzuat ile
düzenlenmesine ön ayak olmak amacıyla üye devletleri bağlayıcılığı olan bir
belgeyi kabul etmiştir: 28 Ocak 1981 tarih ve 108 sayılı “Kişisel Nitelikteki
98
Erişim: http://www.oecd.org/document/60/0,3343,en_2649_34255_2373500_1_1_1_1,00.html,
05.10.2009.
99
Erişim: http://www.oecd.org/document/19/0,3343,en_2649_34255_1815059_1_1_1_1,00.html,
05.10.2009.
100
Erişim: http://www.oecd.org/document/34/0,3343,en_2649_34255_1814690_1_1_1_1,00.html,
05.10.2009.
101
Erişim: http://www.oecd.org/dataoecd/39/13/1840065.pdf, 05.10.2009.
57
Verilerin Otomatik Đşleme Tabi Tutulması Karşısında Şahısların Korunmasına
Dair Sözleşme”.102 Sözleşme aynı tarihte diğer Avrupa Konseyi üyeleriyle
birlikte Türkiye tarafından da imzalanmış, ancak iç mevzuata ilişkin Kanun
Tasarısı
çalışmaları
tamamlanmadığından
henüz
onaylanmamıştır.103
Sözleşmenin yürürlüğe girmesi 1985 yılında mümkün olabilmiş, belge ile ilgili
olarak bu güne kadar çeşitli tavsiye kararları alınmış, 1999 yılında da belgede
bazı değişiklikler yapılmıştır. Bununla beraber Belge yalnız Avrupa
ülkelerinde değil bütün dünyada kabul görmüş ve ulusal mevzuatın
hazırlanmasında göz önünde bulundurulmuştur.104
Toplam
27
maddeden
oluşan
Sözleşme,
özel
hayata
saygı
değerlerinin ve sınır ötesi bilgi akışının yeniden yapılandırılması ve bilgilerin
otomatik işleme tabi tutulması hususlarını kişisel verilerin korunması odaklı
olarak düzenlemektedir. Anlaşmanın temel amacı, 1’inci maddesinde de
belirtildiği üzere, sınırları dahilinde bu anlaşmayı imzalayan taraflardan her
birine ait tüm gerçek kişilerin, uyruk ve ikametleri ne olursa olsun, temel hak
ve özgürlüklerini ve özellikle kendilerini ilgilendiren kişisel nitelikteki verilerin,
otomatik bilgi işleme tabi tutulması karşısında özel yaşam haklarını güvence
altına almaktır.
Anlaşmanın tanımlar kısmında (madde 2); “kişisel nitelikteki veriler”,
kimliği belirtilen veya belirtilebilen gerçek kişiyle ilgili tüm bilgiler olarak;
“otomatik işlem”, tamamı veya bir kısmı otomatik yöntemlerle gerçekleştirilen
verilerin kaydı, bu verilere biyolojik ve/veya aritmetik işlemlerin uygulanışı,
verilerin değiştirilmesi, silinmesi, çıkarılması veya dağıtılması olarak ifade
edilmiştir.
102
Erişim: http://www.avrupakonseyi.org.tr/antlasma/aas_108.htm, 05.10.2009.
103
Sözleşmenin 4’üncü maddesi gereğince, Sözleşmenin onaylanabilmesi için imzalayan devletin
Sözleşmede öngörülen ilkeler çerçevesinde bir yasa kabul etmesi zorunludur.
104
Necdet KESMEZ, “Kişisel Verilerin Korunması Üzerine”, Bilişim Şurası, Erişim:
http://bilisimsurasi.org.tr/listeler/tbs-hukuk/Mar/att-0044/01K___SEL_VER_LER_N_KORUNMASI.doc, 05.10.2009, s.2-3.
58
Anlaşmanın kapsamı özel ve kamu sektöründeki kişisel nitelikteki
verilerin otomatik işleme tabi tutulması konusundaki uygulamayı içermektedir.
Ancak taraflar dilerlerse topluluklar, dernekler, vakıflar, şirketler, tüzel
kişilikten yararlanan veya yararlanmayan ve gerçek kişileri doğrudan veya
dolaylı olarak bünyesinde toplayan diğer kuruluşlarla ilgili bilgiler hakkında
uygulayacağını; ayrıca otomatik bilgi işlem konusuna girmeyen kişisel
nitelikteki veriler hakkında uygulayacağını bildirebilirler.
“Verilerin Nitelikleri” başlıklı 5’inci maddede otomatik bilgi işlemeye
konu teşkil eden kişisel nitelikteki verilerin şu özelliklere sahip olması
gerektiği kesin olarak belirlenmiştir:
Meşru ve yasal yoldan elde edilmeli ve işleme tâbi tutulmalıdır,
Belli ve meşru amaçlar için kaydedilmeli ve bu amaca aykırı şekilde
kullanılmamalıdır,
Uygun ve elverişli olmalı ve kaydedildikleri amaca göre aşırı
olmamalıdır,
Doğru ve icabında güncel olmalıdır,
Đlgili kişilerin kimliklerini belirtecek bir biçim altında ve kaydedildikleri
nihai amaç için gerekli görülen süreyi aşmayacak bir süre için
muhafaza edilmelidir.
Sözleşmenin “Özellikli (hassas) Veri Kategorileri” başlıklı 6’ncı
maddesine göre; iç hukukta uygun güvenceler sağlanmadıkça, ırk menşeini,
politik düşünceleri, dini veya diğer inançları ortaya koyan kişisel nitelikteki
verilerle sağlık veya cinsel yaşamla ilgili kişisel nitelikteki veriler ve ceza
mahkûmiyetleri, otomatik bilgi işlemine tâbi tutulamazlar.
Sözleşmeye göre herkes; hakkındaki kişisel nitelikteki verilerin
otomatik işleme tâbi tutulup tutulmadığını, tutulmuşsa tutulma amaçlarını,
tutan görevlinin kimliğini ve mutat ikametgahı ile esas müessesesini
59
öğrenmek, makul aralıklarla ve süreye bağlı olmaksızın veya aşırı masrafa
girmeden kendisi ile ilgili kişisel nitelikteki verilerin bulunup bulunmadığının
teyidini yaptırtmak, gerekiyorsa bu verileri düzelttirmek veya verileri
sildirtmek, bildirim, düzeltme veya silme talebinin yerine getirilmemesi halinde
Kanun yoluna başvurma hakkından yararlanmak hakkına sahiptir.
Sözleşmenin 9’uncu maddesi, yukarıda belirtilen hükümlere istisna
getirmiş ve söz konusu işlemler;
Devlet
güvenliğinin
korunması,
kamu
güvenliği,
devletin
mali
menfaatleri veya suçların önlenmesi için zorunlu bir önlem teşkil
ediyorsa,
Đlgili şahsın korunması ve başkasının hak ve özgürlükleri için zorunlu
bir önlem teşkil ediyorsa,
Đstatistik veya bilimsel amaçlar için kullanılan kişisel nitelikteki verilerin
otomatik bilgi işleme tâbi tutulması söz konusu ise,
Bu
hükümlerden
ayrılmanın
ihlal
sonucunu
doğurmayacağı
belirtilmiştir. Devletler verilerin korunması hakkındaki temel ilkelere işlerlik
sağlayan iç hukuk kurallarının ihlaliyle ilgili uygun yaptırım ve kanun yolları
getirmekle yükümlü tutulmuştur.
Nihayet, verilerin işleme tabi tutulması, korunması ve saklanması
başta olmak üzere güvenliklerine ilişkin esaslar da kayıt altına alınmıştır.
Kişisel verilerin sınır ötesi akışı, kişisel veriler konusunda ilgili taraf ülkeler
arasındaki işbirliğinin ne şekilde cereyan edeceği, yapılan yardım taleplerinin
hangi hallerde yerine getirilebileceği, anlaşma hükümlerine uygun olarak
oluşturulacak Danışma Komitesi’nin yapısı, ülkelerin anlaşmayı imza ve
kabul şartları ile uyulması gereken diğer hususlar sözleşmenin ilgili
maddelerinde belirlenmiştir.
Avrupa Konseyi tarafından hazırlanmış olan uluslararası sözleşmeden
bu yana geçen 20 yılı aşkın süre içerisinde,
başta internet olmak üzere
60
bilişim ve iletişim teknolojilerinin adeta birbiriyle birleşmesi şeklinde ortaya
çıkan gelişmeler, kişisel verilerin korunması hakkının alanını genişletmiş ve
önemini çok artırmıştır. Gerçekten bu gelişmeler, istihdam, istatistik,
bankacılık, sosyal güvenlik, sağlık, sigortacılık, pazarlama, elektronik
haberleşme, e-iş ve e-ticaret gibi alanlarda düzenlenmekte olan kişisel veriler
için özel kural ve ilkeler konulmasını gerektirecek boyutlara erişmiştir.105
Sözleşmeye göre, hükümlerin uygulaması ve değişiklikler hakkında
görüş
oluşturulması
amacıyla
taraf
devletlerin
gönderecekleri
birer
temsilciden oluşturulan Danışma Komitesi’nin çalışmaları sonucunda Avrupa
Konseyi Bakanlar Komitesi aşağıdaki konularda tavsiye kararları almış
bulunmaktadır106:
23.01.1981 tarih ve 1 sayılı Tavsiye: Otomatik işlem yapan tıbbi veri
bankalarının düzenlenmesi.
23.09.1983 tarih ve 10 sayılı tavsiye: Bilimsel araştırma ve istatistik
amaçlı kişisel verilerin korunması.
25.10.1985 tarih ve 20 sayılı Tavsiye: Pazarlama amaçlı kişisel
verilerin korunması.
23.01.1986 tarih ve 1 sayılı Tavsiye: Sosyal güvenlik amaçlı kişisel
verilerin korunması.
17.09.1987 tarih ve 15 sayılı Tavsiye: Poliste tutulan kişisel verilerin
korunması.
18.01.1989 tarih ve 2 sayılı Tavsiye: Đstihdam amaçlı tutulan kişisel
verilerin korunması.
105
106
KESMEZ, a.g.m., s.3.
Tekin AKILLIOĞLU, “Đdari Usul ve Kişisel Verilerin Korunması”, Erişim:
http://www.idare.gen.tr/akillioglu-idariusul.htm, 05.10.2009.
61
13.09.1990 tarih ve 19 sayılı Tavsiye: Ödeme ve benzer amaçlı öteki
işlemlerde kişisel verilerin korunması.
09.09.1991 tarih ve 10 sayılı Tavsiye: Kamu kuruluşları tarafından
tutulan kişisel verilerin üçüncü kişilere verilmesi.
07.02.1995 tarih ve 4 sayılı Tavsiye: Telekomünikasyon ve özellikle
telefon hizmetlerinde kişisel verilerin korunması.
13.02.1997 tarih ve 5 sayılı Tavsiye: Tıbbi verilerin korunması.
30.09.1998 tarih ve 17 sayılı Tavsiye: Đstatistik amacıyla toplanan ve
işlenen verilerin korunması.
23.02.1999 tarih ve 5 sayılı Tavsiye: Đnternette özel hayatın
korunması.
18.09.2002 tarih ve 9 sayılı Tavsiye: Sigorta amacıyla toplanan ve
işlenen kişisel verilerin korunması.
1973 tarih ve 22 sayılı Bakanlar Komitesi Kararı: Özel kesimdeki
elektronik veri bankları.
1974 tarih ve 29 sayılı Bakanlar Komitesi Kararı: Kamu kesimindeki
elektronik veri bankaları.
Bu süre içinde konuya ilişkin gereksinimler çeşitli ulusal ve uluslararası
forumlarda tartışılmış, çeşitli ulusal ve uluslararası belgeler hazırlanmıştır. Bu
gün, konu hakkında genel olarak Kişisel Verilerin Korunması Hakkında
Kanun başlığını taşıyan belgeler gerek Birleşmiş Milletler ve Avrupa Birliği
gibi uluslarüstü gerekse de bir çok ülkede ulusal mahiyetteki belgeler ortaya
çıkarılarak konuya intibakın sağlanmasına çalışılmaktadır. Bununla beraber,
62
Avrupa Konseyi tarafından kabul edilen bu Sözleşme, bağlayıcı tek
uluslararası belge olma niteliğini hala korumaktadır.107
C. Birleşmiş Milletler (BM)
Kişisel verilerin korunmasına dair uluslararası çalışmalardan biri de
Birleşmiş Milletler tarafından sergilenmiştir. 14 Aralık 1990 tarihinde Birleşmiş
Milletler Genel Asamblesi’nin 45/95 sayılı kararı ile “Bilgisayarla Đşlenen
Kişisel Veri Dosyaları Hakkında Rehber Đlkeler” (Guidelines for the
Regulation of Computerized Personal Data Files)108 adını taşıyan belgede,
bilgisayar ortamında işlenen kişisel verilerin korunmasıyla ilgili olarak
devletlerin ulusal mevzuatlarında asgari düzeyde düzenlemesi gereken bir
takım ilkelere yer verilmiştir.
Aşağıda sözü edilen ilkeler ve kısa bir açıklaması verilmektedir:109
1) Yasallık ve Dürüstlük: Kişisel veriler kanuna aykırı ve dürüst
olmayan yollarla toplanmamalı, toplanış amacına, temel hak ve
özgürlüklerle ilgili ilkelere aykırı olarak kullanılmamalıdır.
2) Doğruluk: Toplanan verilerin doğruluğu kontrol edilmeli, doğru ve
eksiksiz olarak saklanmalı, güncelliğini sağlamak için saklandığı süre
zarfında düzenli olarak kontrole tabi tutulmalıdır.
3) Amacın Belirli ve Haklı Olması: Kişisel verilerin hangi haklı amaçla
toplandığı başlangıçta kesin olarak belirlenmeli ve bu amaç bütün
ilgililere açık olarak bildirilmelidir.
107
KESMEZ, a.g.m., s.3.
108
Erişim: http://www.unhcr.org/refworld/type,THEMGUIDE,UNGA,,3ddcafaac,0.html, 05.10.2009.
109
KESMEZ, a.g.m., s.5-6.
63
4) Đlgili Kişilerin Erişme Hakkı: Kişisel veri ile ilgili olarak, kimliğini
kanıtlamak koşulu ile kişi kendisi hakkında toplanan bilgilerin ne gibi
bir işleme tabi tutulduğunu öğrenebilmeli ve bunların anlaşılabilir
biçimdeki bir örneğini aşırı bir masraf ve zaman kaybı olmadan elde
edebilmelidir.
5) Ayrımcılıktan Kaçınma: Kişinin etnik kökeni, ırkı, cinsel yaşamı, dini
veya felsefi inançları gibi duyarlıklı konularla ilgili bilgiler ancak
yasanın izin verdiği haklı ve gerekli durumlarda toplanmalıdır.
6) Đstisna Koyma Yetkisi: Görevli makamlara, ulusal güvenliği, kamu
düzenini, halk sağlığını, genel ahlakı korumak veya diğer kişilerin hak
ve özgürlüklerine zarar vermemek amacıyla Yasallık ve Dürüstlük,
Doğruluk, Amacın Belirli ve Haklı Olması, Đlgili Kişilerin Erişme Hakkı
ilkeleri ile ilgili önlemlerden ayrılma yetkisi tanınabilir. Ancak bu
yetkinin
kapsamı
ve
sınırları
kanunda
açıkça
belirlenmelidir.
Ayrımcılıktan kaçınma ilkesine getirilecek istisnanın her halükarda
temel hak ve özgürlüklere aykırı olmaması gerekir.
7) Güvenlik: Kişisel verilerin toplanması, saklanması ve işlenmesi ile
görevli bütün kurum ve kişiler bu verilerin doğal afetler ve kazaların ve
insanların işleyecekleri hata, kusur ve suçların yaratacağı tehlikelere
karşı korunması için her türlü önlemi almalıdırlar.
8) Denetim
ve
Yaptırım:
Kişisel
verilerin
korunması
ile
ilgili
düzenlemelerde öngörülen ilke ve kuralların uygulanması, önlemlerin
alınması ve gerekli denetimlerin yapılması sorumluluğu tarafsız,
yetkin ve adil bir makama verilmelidir.
9) Sınır Ötesi Veri Aktarımı:
Kişisel verilerin saklanmakta olduğu
ülkeden başka bir ülkeye aktarılması için her iki ülkenin ulusal
mevzuatlarının
bu
aktarmaya
izin
vermesi
yanında,
verinin
gönderileceği ülkenin bu veri için sağladığı korumanın verinin
64
bulunduğu ülkede sağlanan korumadan daha aşağı düzeyde
olmaması gerekir.
Ç. Avrupa Birliği (AB)
Avrupa Birliği dört temel düşünce üzerine kurulmuştur: Malların,
kişilerin, hizmetlerin ve sermayenin serbest dolaşımı. Bu dört temel hedefin
yerine getirilmesinde kişisel verilerin toplanması ve işlenmesi bir zorunluluk
arz
etmekte
olduğundan
dolayı,
Avrupa
Birliği’nde
kişisel
verilerin
korunmasını amaçlayan kurallar, enformasyon teknolojisinin gelişimi ile
beraber AB içinde ortak pazarın gereklerini dikkate almak ve serbest veri
trafiğini temel haklara uygun işletmek gayesiyle yürürlüğe konulmuştur.110
Avrupa Birliği’nde yeknesak bir hukuk düzeninin yaratılmasında temel
kaynak AT’nin yürürlüğe koyduğu direktif (yönerge) lerdir. Bu doğrultuda,
yeknesak bir veri koruması hukukunun oluşturulması çabaları, Avrupa
Birliğinin 108 sayılı Avrupa Konseyi sözleşmesine taraf olduğu 1981 yılına
dayanır. Sözleşmenin imzalanmasının ardından 1990 yılında kendi iç
düzenlemesini oluşturmak amacıyla konuya ilişkin bir direktif taslağı
hazırlanması çalışmaları başlar. Söz konusu çalışmalar veri trafiğini topluluk
topraklarında kolaylaştırmak, kişisel verilerin işlenmesinde kişiler için yüksek
bir koruma eşiği yaratmak ve ayrıca verilerin işlenmesinde güvenliğin
arttırılması hedeflenmiştir. 24 Ekim 1995 tarihinde Avrupa Parlamentosu ve
Konsey, 95/46/EC sayılı “Kişisel Verilerin Đşlenmesinde Gerçek Kişilerin
Korunması ve Verilerin Serbest Dolaşımı Direktifi”ni111 yürürlüğe koymuştur.
Direktifin başlıca amacı Avrupa Topluluğu’nda bu konuda saydam ve
süreklilik arz eden hukuki bir çerçeve oluşturarak kişisel verilerin serbest
trafiğini temin etmek şeklinde özetlenebilir. Nitekim bu amaç altında bilgi
110
111
BAŞALP, a.g.e., s.6.
Erişim: http://eurlex.europa.eu/smartapi/cgi/sga_doc?smartapi!celexapi!prod!CELEXnumdoc&lg=en&numdoc=31995
L0046&model=guichett, 05.10.2009.
65
toplumunun ve hizmet sektörünün gelişimi kolaylaştırılacak ve aynı zamanda
kişisel verilerin işlenmesinde gerçek kişiler için yüksek bir koruma düzeyi
sağlanmış olacaktır.112 Şüphesiz söz konusu direktif kişisel verilerin
korunması hakkı açısından büyük önem taşımaktadır.
15 Aralık 1997’de Avrupa Parlamentosu ve Konsey “Telekomünikasyon
Alanında Kişisel Verilerin Đşlenmesi ve Mahremiyetin Korunması Direktifi”ni113
yürürlüğe
koymuştur.
Avrupa’da
spesifik
bir
veri
koruması
hukuku
düşüncesinin temeli olan 97/66/EC sayılı Direktif, 1995 tarihli genel direktifin
tamamlayıcısı olma özelliğine sahiptir. Bu arada, kişisel verilerin korunması
hakkı temel hak olarak bundan dört sene sonra, 2001 tarihinde, Temel Hak
ve Hürriyetler Şartı’nın sekizinci maddesinde yerini almıştır. Ardından 12
Temmuz 2002 tarihinde 2002/58/EC sayılı “Elektronik Đletişimde Kişisel
Verilerin Đşlenmesi ve Gizliliğinin Korunması Direktifi”114 yürürlüğe girmiştir. Bu
direktif de 1995 tarihli direktifi elektronik iletişim alanında tamamlayıcı
nitelikte olup, ondan farklı olarak tüzel kişilerin bu alandaki haklı çıkarlarını da
korumaktadır.115
Nihayet,
telekomünikasyon
sektöründe
düzenleyici
hükümler barındıran ve 2002/58 sayılı Direktifi geliştirmek amacıyla
15.03.2006’da 2006/24/EC sayılı “Kamuya Açık Haberleşme Hizmetleri veya
Kamu Haberleşme Şebekesi ile Bağlantılı Olarak Üretilen veya Đşlenen
Verilerin Saklanması Hakkında Direktif”116 çıkarılmıştır.
Avrupa Topluluğu’nu kuran anlaşma göz önünde bulundurulduğunda,
veri işleme sistemlerinin insana hizmet vermek amacıyla tasarlanmış olması
112
BAŞALP, a.g.e., s.7-8.
113
Erişim: http://www.dataprotection.ie/viewdoc.asp?m=l&fn=/documents/legal/6aiii.htm,
05.10.2009.
114
Erişim: http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:32002L0058:EN:NOT,
05.10.2009.
115
116
BAŞALP, a.g.e., s.8-9.
Erişim: http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:32006L0024:ES:HTML,
05.10.2009.
66
nedeni ile gerçek kişilerin ikamet yerleri veya milliyetleri ne olursa olsun, bu
sistemlerde bilhassa özel hayata saygı hakkı gibi bireylerin temel hak ve
özgürlüklerine saygı gösterilmesi ve bu sistemlerin toplumsal ilerlemeye,
ticaretin yayılmasına ve bireylerin refahına katkıda bulunması gerekliliğine
dayanarak verilerin korunması ile ilgili bu düzenlemeler kabul edilmiştir.
34 maddeden teşekkül eden 95/46/EC sayılı “Kişisel Verilerin
Đşlenmesinde Gerçek Kişilerin Korunması ve Verilerin Serbest Dolaşımı
Direktifi’nde amacın gerçek kişilerin haklarının korunması ve özellikle özel
hayatın korunması gibi sebeplerle veri trafiğinin engellenmesinin önüne
geçilmesi olduğu belirtilmiştir. Zira üye ülkelerdeki veri koruma düzenlemeleri
arasındaki farklılık, ortak pazarın oluşumu ve işleyişi açısından bir engel
oluşturacaktır. Bu nedenle veri koruma düzeyi direktifte öngörülen standardın
altında belirlenemeyecek, ancak üye devletler ulusal veri koruma yasalarında
direktifteki koruma düzeyinin üzerinde düzenlemeler ihdas edebilmektedirler.
Üye devletlerden beklenen yeterli düzeydeki korumayı sağlayan çekirdeğini
aşağıda inceleyeceğimiz 5 ila 17’nci maddeler arasında düzenlenen temel
ilkeler çerçevesinde hukuk düzenlerini uyumlu hale getirmektir.117 Bu şekilde
direktifte düzenlenen hususlar asgari düzeyde olmak üzere ülkeler kendi iç
mevzuatlarını oluşturmuşlardır.
Direktif ile oluşturulmak istenilen koruma ile amaçlanan, bir saldırının
ortaya çıkması halinde sağlanacak korumadan ziyade olası saldırılara karşı
önleyici olma niteliğine sahip bir düzenin oluşturulmasıdır. Bu sebeple, kişilik
hakkına muhtemel saldırıları en aza indirgeyecek saldırı öncesi sistemli
koruma sağlanmalıdır. Nitekim örneğin Alman hukukunda kişiye, kişilik
hakkına dayanarak kişisel verilerinin, hangi şartlar altında açıklanabileceği ve
bu bilgilerin nasıl kullanılacağı konusunda münhasır bir karar yetkisi tanınmış
ve bu sayede kişinin hangi kişisel verilerinin kimlere iletileceğini kontrol
117
BAŞALP, a.g.e., s.13.
67
edebilme imkanı sağlanmıştır.118 Bu durum kişilerin kendi verilerine
ulaşılabilmesini tayin etme hakkı tanıdığından, kişinin rızasını ön plana
çıkarmaktadır.
Direktifin 2’nci maddesinde “kişisel veri”, bir gerçek kişi ile ilgili
olabilecek ve onu belirlenebilir kılacak her türlü bilgi olarak; “kişisel verilerin
işlenmesi” otomatik ya da otomatik olmayan prosedür yoluyla geçekleştirilen,
kişisel verilerin toplanması, elde edilmesi, kaydedilmesi, organize edilmesi,
saklanması, değiştirilmesi, okunması, sorulması, kullanılması, transfer yoluyla
başkalarına verilmesi, yayılması ya da hazır bulundurulması için yapılan
işlemlerle bunun yanı sıra verilerin kombinasyonu ya da ilişkilendirilmesi ve
hatta bloke edilmesi, silinmesi ya da yok edilmesi suretiyle gerçekleştirilen
her türlü işlem olarak tanımlanmaktadır.
Yönergenin öngördüğü kapsam, verilerin işlenmesinin otomatik surette
olup olmamasına dayanmaktadır. Ancak bunun yanı sıra erişim organize
edilmiş otomatik olmayan işlemler dahi koruma kalkanı altında yer alacaktır.
Direktif kural olarak tüzel kişiler hakkında tutulan verileri uygulama alanı
dışında tutmuş, ancak tüzel kişilere ilişkin verilerle bir gerçek kişiye ulaşmak
olanak dahilindeyse kapsam dahilinde tutmuştur. Ayrıca, kamu sektörü-özel
sektör şeklindeki yerleşik ayrımdan uzaklaşarak verileri işleyenin kimliğinden
bağımsız olarak herkes için direktif hükümlerini geçerli kılmıştır. Yani,
verilerin işlenmesinden sorumlu olan kişiler, verilerin işlenmesinde gözetilen
gaye ve yöntemler konusunda karar verme statüsünde olan gerçek ya da
tüzel kişi, kurum ve resmi kurumlardır.119 Direktifin bu anlamda kapsamı
gayet geniş tutulduğu için, kişisel verilerin korunması hakkı azami ölçüde göz
önünde bulundurulmuştur.
118
BAŞALP, a.g.e., s.13-14.
119
BAŞALP, a.g.e., s.18-19.
68
Direktifin “Veri Kalitesine Đlişkin Đlkeler” başlıklı 6’ncı maddesinde,
kişisel verilerin hukuka ve dürüstlük kuralına uygun şekilde işlenmesi için şu
ilkeler öngörülmüştür:120
Amaca Bağlılık: Verilerin ancak ve ancak hukuka uygun, açık ve
sınırları kesin olarak belirlenmiş bir amaç doğrultusunda toplanması ve
işlenmesi ilkesidir. Bu ilkeye dayanarak somut olayda verilerin
işlenmesinden önce ilgili hangi amaçla verilerinin toplandığını
öğrenebilecektir.
Belirli Amaçların Varlığı Halinde Amaca Bağlılık Varsayımı: Tarihi,
istatistiksel veya bilimsel amaçlar için verilerin işlenmesinde amaca
bağlılık varsayılmaktadır. Ancak üye devletlerce yeterli garantilerin
oluşturulması gerekmektedir.
Gereklilik Đlkesi ve Depolama Yasağı: Đşlenen kişisel veri ulaşılmak
istenen amaçla bir illiyet bağı içinde olmalıdır. Toplanan veriler ancak
anılan amaç için gerekli iseler işleme tabi tutulabilecektir. Öte yandan,
öngörülen amaca gelecekte hizmet edebilecek verilerin depolanması
da yasaklamıştır.
Maddi Gerçeklik, Veri Güncelliği, Silinme ve Düzeltme: Verilerin
maddi doğruluğunun, güncelliğinin temin edilmesi, buna aykırı bir
durum olması halinde veriler silinebilmeli yahut düzeltilebilmelidir.
Saklanma Süresi: Erişilmek istenen amacın gerçekleşmesine kadar
verilerin saklanması hukuka uygun iken, bu sürenin aşılması halinde
verilerin saklanmaya devam edilebilmesi için verilerin anonimleştirilmesi
şartı aranmaktadır.
Direktifin 7’nci maddesi, kişisel verilerin işlenmesinde hukuka uygunluk
sebeplerini düzenlemektedir. Kural olarak kişisel verilerin işlenmesi yasaktır;
120
BAŞALP, a.g.e., s.20-22.
69
ancak, aşağıdaki hallerden birinin varlığı halinde bu yasağın uygulama alanı
daraltılabilecektir:121
Đlgilinin (Veri Öznesinin) Rızası: Hakkındaki kişisel verileri işlenen
kişinin (veri öznesinin) rıza beyanı, kişisel verilerin işlenmesinde
hukuka
aykırılığı
gideren
başlıca
faktördür.
Yönergenin
2’nci
maddesine göre rıza beyanı, hiçbir baskıya maruz kalmaksızın mevcut
durumun bilincinde olarak somut işlemle sınırlı yapılan her türlü irade
açıklamasını kapsamaktadır. Diğer bir deyişle, irade açıklamasında
bulunan kişinin kişisel verilerinin işlenmesini kabul ettiğini tereddüde
yer vermeyecek şekilde ve açıkça bildirmelidir. Bu, kişisel veriler azami
ölçüde korunurken zorlama yorumlardan kaçınmayı ve fakat pratik
ihtiyaçları da yorumda dikkate almayı gerektirir. Örneğin, sınır aşan para
transferlerinde,
bankalara
verilmiş
havale
emri
tereddüde
yer
verilmeyecek şekilde kişisel verilerin işlenmesi konusundaki rıza
beyanını da zımnen beraberinde getirecektir.
Sözleşmenin Đfası
ve
Sözleşme
Öncesi Tedbirlerin Đcrası:
Sözleşme ilişkisi nedeniyle gerçekleştirilmesi gereken işlemler ile
sözleşme öncesi dönemde ilgili kişinin talebiyle sözleşme öncesi
tedbirlerin icrası için gerekli işlemler, kişisel verilerin işlenmesini
hukuka uygun kılar.
Hukuki Yükümlülüğün Yerine Getirilmesi: Kişisel verilerin sorumlular
tarafından bağlı oldukları ulusal düzenlemeler ve AB mevzuatı
uyarınca işlenmesi hukuka uygun olacaktır. Bu çerçevede örneğin
vergi hukuku ya da sosyal güvenlik hukuku çerçevesinde kişisel
verilerin işlenmesi bu başlık altında değerlendirilebilecektir.
Đlgili Kişinin Hayati Çıkarlarının Korunması: Hukukumuzdaki üstün
özel yarar kavramı buna denk gelen ve verileri işlenecek olan kişinin
121
BAŞALP, a.g.e., s.23-26.
70
hayati çıkarlarının bu sayede korunması kişisel verilerin işlenmesini
hukuka uygun kılan sebeplerden biridir.
Kamu Yararı veya Kamu Düzeni Gereği Görev Đfası: Hayati
çıkarlarının varlığına rağmen sağlık sorunları gibi herhangi bir
sebepten dolayı ilgili kişinin rızasının alınması olanak dahilinde
değilse, artık ilgilinin kişisel verilerinin kamu menfaati gereği hukuken
bu konuda yetki sahibi olan kişilerce işlenmesinin önünde mani yoktur.
Haklı Çıkarların Korunması: Verilerin işlenmesinden sorumlu olan
şahıs ile kişisel verileri işlenen kişinin çıkarları arasındaki menfaat
dengesinin gözetilmesi, bu kapsamda haklı çıkarlar verilerin işlenmesini
gerekli kılıyorsa, kişisel verilerin işlenmesinin hukuka uygun olması
gerekmektedir.
Direktifin
8’inci
maddesinde
özel
nitelikli
(hassas)
verilerin
korunmasına yönelik özel düzenlemelere gidilmiştir. Kişisel verilerin genel
işlem yasağına tabi tutulması ve sadece belli koşullarla işlenebilmesine
karşılık, hassas verilerin ayrı bir madde altında farklı bir statüye tabi tutulmuş
olmasının ardındaki temel amaç, bu verilerin başkalarınca öğrenilmeleri
halinde özellikleri gereği ilgili kişinin mağduriyetine yol açabilmeleri
olasılığının, diğer ifadeyle ayrımcılık tehlikesinin bertaraf edilmesidir.122
Maddede kişilerin ırki veya etnik kökenine, siyasi görüşlerine, dini veya felsefi
inançlarına ve sağlık veya cinsel yaşamlarına ilişkin verilerinin işlenmesini
önleyici tedbirler alınması gerekliliği belirtilmiştir. Madde hükümlerinde
Avrupa Konseyi’nin 108 no’lu Sözleşmesinin 6’ncı maddesi ile örtüşecek
biçimde hangi verilerin hassa veri niteliğinde olduğu sayma yöntemiyle
belirlenmiş, bu verilerin işlenmesi konusunda kesin bir işlem yasağı getirilmiş,
çeşitli istisnalar ile kesin işlem yasağına nitelikli sınırlar çizilmiş, idari cezaları
ve mahkemelerce kurulan hükümleri de kapsayan suçlarla ilgili bütün verilerin
122
BAŞALP, a.g.e., s.28-29.
71
korunması konusunda özel bir hüküm ihdas edilmiş, ulusal kimlik numaraları
ile kamusal öneme sahip başka tanıtıcı işaretler konusundaki işlemler
hakkında düzenlemeler yapılmıştır. Kural olarak işlem yasağı getirilmiş
olmakla beraber; verilerin ilgilinin rızası, verilerin iş hukuku çerçevesinde
işlenmesi, kişinin hayati çıkarların korunması, verilerin kamuya yararlı kurum
ve kuruluşlar tarafından işlenmesi, kişinin kendisi tarafından kamuya
açıklanması, yargılama nedeniyle işlenmesi, tıbbi tedbirler çerçevesinde
işlenmesi, önemli kamusal yararın bulunması, verilerin cezalara dair olması,
ulusal
kimlik
numarasının
tutulması
durumlarında
istisnai
olarak
işlenebileceğine dair hüküm getirilmiştir.
10 ve 11’inci maddeler ilgilinin haberdar edilmesi ilkesi kapsamında,
kendilerine verileri sorulan kişilere sorumlularca bilgi verilmesi gerektiği
düzenlenmiştir. Bu kapsamda; veriyi tutmakla sorumlu kişinin kimliği, verilerin
işlenmesinde güdülen amaç, verilerin alıcısı, soruların cevaplanmasının
zorunlu olup olmadığı, zorunlu ise cevaplamama halinde olası yaptırımlar,
bilgi edinme ve düzeltme hakkının varlığı şeklinde ilgili kişilere bilgi
verilmelidir. Ayrıca, verilerin kaydedilmeye başlanması ile beraber verilerin
ilgili kişinin haberdar edilmesini sağlanmalıdır. Üçüncü kişilere transfer
edilecek verilerde ise en geç ilk transferle beraber ilgili kişi haberdar
edilmelidir. Elbette ki veriler akademik ya da istatistiksel amaçlarla işleniyorsa
veya yasa gereği verilerin kaydedilmesi ya da transferi açıkça öngörülmüşse,
bu işlemler bu yükümlülüğe tabi olmayacaktır.
12-15’inci maddelerde “Verileri Đşlenen Kişilerin Hakları” başlığı altında
bilgi edinme hakkı, verilerin düzeltilmesi, silinmesi ve bloke edilmesi hakkı ve
ilgilinin itiraz hakkı düzenlenmiştir. Bilgi edinme hakkı kapsamında; ilgilinin
verilerine serbestçe ve engellenmeksizin ulaşabilmesi, uygun aralıklarla
verileri hakkında bilgi edinebilmesi, verilerde değişiklik olmasa bile dair bilgi
edinebileceği, ilgili hakkında veri toplanmamışsa bile veri toplanmadığını
gösterir bir tespit yazının alınabileceği, verilerin hangi amaçla toplandığı,
işlendiği veya transfer edildiği bilgisini edinebileceği hususları yer almaktadır.
72
Ayrıca verileri işlenen kişiler bu verilerle ilgili olarak itiraz edebileceklerdir.
Haklı itiraz halinde itiraz konusu verilerin düzeltilmesi, silinmesi ve bloke
edilmesi imkanı tanınmıştır. Bilgi verme açıkça anlaşılır olmalı, ilgilinin
transfer edilen verilerinin işlenmesi ve bu işlemlerin doğuracağı fiilî ve hukuki
sonuçları konusunda fikir sahibi olması ve edinilen bu bilgiler çerçevesinde
ise itiraz hakkının bulunduğu belirtilmelidir.
Direktife
göre
kişisel
verilerin
işlenmesi
yasağına
ulusal
düzenlemelerle getirilen istisnalar şunlardır:
Devlet güvenliği ve ülke savunması,
Kamu güvenliği,
Hukuki düzenlemeye tabi mesleki kuralların ihlali ve suçların
önlenmesi, soruşturulması ve kovuşturulması,
AB’nin üyesi devletin iktisadi çıkarlarının korunması,
Kamusal gücün kullanılmasını gerektirecek durumların varlığı,
Đlgilinin ve üçüncü kişilerin hak ve özgürlüklerinin korunması,
Bilimsel araştırma ve istatistik.
Bunun
dışında,
Direktifin
çeşitli
maddelerinde
kişisel
verilerin
işlenmesinde usule dair ilkeler, işlem gizliliği ve güvenliği, iş görme yoluyla
verilerin işlenmesi, bildirim yükümlülüğü, ön denetim organı, yargı yolu ve
sorumluluk, üçüncü ülkelere veri transferi, davranış kuralları, denetim
organları, veri koruması grubu gibi hususlarda düzenlemeler yapılmıştır.
Üçüncü ülkelere veri transferi hususunda Direktif bazı sınırlamalar
getirmiştir. Buna göre123, AB toprakları dışındaki bir ülkeye kişisel verilerin
123
BAŞALP, a.g.e., s.60-69.
73
iletilebilmesi, bu ülkenin veri koruması mevzuatının AB ölçütlerine göre uygun
nitelikte olmasına bağlıdır. Zira aranılan yeterlilik kriterlerini taşımayan
üçüncü ülkelere üye devletlerden veri transferi, 25’inci madde uyarınca
yasaktır. Bir ülkenin veri koruması mevzuatının uygun nitelikte olması şartı
olarak; o ülkenin mevzuatına ve iç hukukunun işleyişine göre temel hak ve
hürriyetlerin korunması ile kişinin özel alanının korunmasındaki düzey,
transfer edilen verilerin niteliği (özellikle hassas olup olmamaları), ilgililerin
kimliğinin belirlenebilirliği, transferde amaca bağlılık, verilerin hangi boyutta
farklı işlem çeşitlerine konu olduğu, ilgililerin bilgi edinme hakkının olup
olmadığı, kişisel verilerin hukuka uygun işlenmesinde denetleyici organların
varlığı ve etkinliği, verilerin hukuka aykırı işlenmesinde sorumluluk ve
uygulanan yaptırımlar ile izin verilen transfer üzerine izni aşan yeni
transferlerin sınırlanması da dikkate alınacaktır. Veri Koruması Grubu
124’nun
Haziran
1997
tarihinde
"Üçüncü
Ülkelere
Kişisel
Verilerin
Transferinde Temel Prensipler" adı altında yayınladığı bir kararda, farklı
transfer konularına göre "beyaz listeler" oluşturularak, uygun koruma
sağlayan ülkeler belirlenmiştir. Listede yer almayan ülkelere veri transferinde
ise, her somut transfer olayı uygunluk kriterleri bakımından incelenerek
değerlendirmektedir. Bunun dışında, 108 no’lu Avrupa Konseyi Sözleşmesini
imzalayan ülkeleri -etkin bir veri koruması mekanizması geliştirmiş olmaları
şartıyla- koruma düzeyi itibariyle uygun kabul etmektedir. Direktifin 26’ncı
maddesi kişisel veri transfer alıcısının bulunduğu ülke uygun koruma
düzeyine sahip değilse karşı karşıya olduğu katı transfer yasağına bazı
istisnalar da getirmiştir. Buna göre; kişisel verileri işlenen kişinin rızasının
alınmış olması, verileri transfer edilen kişi ile transfer eden sorumlular
arasında bir sözleşmenin ifası veya ilgilinin talebi üzerine sözleşme öncesi
ilişkinin yürütülmesi için transferin gerekli olması, sorumlu ile üçüncü kişi
124
Direktifin 29’uncu maddesinde belirlenen Veri Koruma Grubu, her üye devletin kontrol biriminden bir
temsilcinin yanı sıra AB içinde yer alan kurum ve organlardan gelecek bir temsilciyle komisyondan
gelecek bir temsilciden oluşmakta olup, görevleri Direktifin iç hukuka aktarılması nedeniyle ortaya
çıkan sorunları incelemek, veri koruması kontrol birimleri ile işbirliğini sağlamak, görüş bildirmek,
tavsiyelerde bulunmak vb.dir.
74
arasında verileri transfer edilecek kişinin yararına akdedilmiş sözleşmelerin
ifası, transferin ya önemli kamusal menfaatlerin korunması ya da mahkeme
önünde taleplerin dinlenmesi için gerekli veya yasa gereği zorunlu olması,
transferin yaşamsal önemdeki menfaatlerin korunması için gerekli olması,
transferin aleniyet ilkesi çerçevesinde herkese ya da ilgisini ispat eden
herkese açık bulunan kamu sicillerinden yapılması ve bu konuda somut
transferin veri koruması mevzuatının aradığı şartları taşıması hallerinde
bilgiler bu ülkelere transfer edilebilecektir.
Kişisel verilerin korunması amacına yönelik olarak Avrupa Birliğinde şu
düzenlemeler yapılmıştır125:
95/46/EC sayılı Kişisel Verilerin Đşlenmesinde Gerçek Kişilerin
Korunması ve Verilerin Serbest Dolaşımı Direktifi,
97/66/EC sayılı Telekomünikasyon Alanında Kişisel Verilerin Đşlenmesi
ve Mahremiyetin Korunması Direktifi,
2001 Avrupa Birliği Temel Haklar Şartı, 8’nci madde,
2002/58/EC sayılı “Elektronik Đletişimde Kişisel Verilerin Đşlenmesi ve
Gizliliğinin Korunması Direktifi,
2006/24/EC sayılı “Kamuya Açık Haberleşme Hizmetleri veya Kamu
Haberleşme Şebekesi ile Bağlantılı Olarak Üretilen veya Đşlenen
Verilerin Saklanması Hakkında Direktif,
Kişisel Verilerin Europol Tarafından Üçüncü Ülkelere ve Üçüncü
Organlara Đletimi ile Đlgili Kuralları Benimseyen 12 Mart 1999 Tarihli
Konsey Kararı,
125
Sözü edilen düzenlemelerden 95/46 sayılı Direktif esas olup, diğerleri sektörel düzenlemeleri
içermektedir. Bu nedenle üzerinde durmayacağız. Detaylı bilgi için bkz.:
http://ec.europa.eu/justice_home/fsj/privacy/law/index_en.htm, 05.10.2009.
75
Kişisel Verilerin Korunması ile Đlgili 45/2001 Sayılı Yönetmelik.
Avrupa Birliği ile Türkiye arasında gümrük birliği kurulmasından sonra,
10-11 Aralık 1999 tarihlerinde gerçekleştirilen Avrupa Birliği Helsinki Zirvesi
sonucunda Türkiye’nin tam üye adayı olarak kabul edilmiş olmasıyla, tam
üyeliğe yönelik katılım süreci çerçevesinde bir çok alanda mevzuat uyumu
çalışmaları yapıldığından, verilerin korunmasına ilişkin yasa çalışmalarında
da, Birlik mevzuatı ile Türk mevzuatı arasında uyumu temin etmek ve diğer
taraftan da Avrupa Birliği üyesi devletler ile ülkemiz arasındaki bilgi akışında
karşılaşılan olumsuzlukları bertaraf etmek amacıyla, 95/46 sayılı Direktif de
göz
önünde tutularak
Kişisel
Verilerin Korunması
Kanunu
Tasarısı
hazırlanmış ve Türkiye Büyük Millet Meclisine iletilmiştir.
II. ULUSLARARASI BAKIŞ AÇILARI: ÇEŞĐTLĐ ÜLKE DÜZENLEME
VE UYGULAMALARI
Kişisel verilerin korunması kavramı günümüzde gerek bilgi-işlem ve
iletişim teknolojisindeki gelişimle beraber, gerekse de temel insan hak ve
özgürlükleri alanındaki ilerlemeyle birlikte dünya çapında genel kabul görmüş
kavramlardan biri olarak hukuk düzenine oturmuştur. Ancak korumanın
gerekliliği konusundaki mutabakat, bunun ne şekilde hangi yöntem ve
usullerle
ve
hangi
sınırlamalar
dahilinde
gerçekleşeceği
üzerinde
sağlanamamış ve ülkelerin konuya yaklaşım açılarında farklılıklar baş
göstermiştir.
Bununla beraber, konuya ilişkin olarak dünya üzerinde iki ana bakış
açısının ortaya çıktığını ve ülkelerin de genel olarak bu iki yaklaşımdan birini
seçtiğini söylemek yanlış olmayacaktır. Bu yaklaşımlar, Avrupa Birliğinin
kabul ettiği sistem (aynı zamanda Avrupa Konseyi Sözleşmesi) ile Amerika
Birleşik Devletlerinin benimsediği sistemdir.
Kişisel verilerin korunması için Avrupa’da daha çok özel bir yasa
çıkarmak suretiyle düzenleme yapılması şeklinde bir uygulama karşımıza
76
çıkmakta, Avrupa dışında kalan birçok ülkede de bu yola gidilmektedir. Buna
karşılık, ABD’de kişisel verilerin korunması için özel bir yasa bulunmamakta,
konu özel yaşamın gizliliği bağlamında ele alınmakta ve sorunun çözümü
gerek özel hukuk ve gererek ceza hukuku alanında kişiler için sağlanmış olan
güvencelere bırakılmaktadır. Đşte ülkeler genel olarak 108 sayılı Avrupa
Konseyi Sözleşmesinin koyduğu model ile ABD’nin mahremiyet ilkelerine
dayanan uygulaması arasından birisini seçmektedirler.126 Son yıllarda bu
yaklaşım ayrılığı Avrupa Birliği ile ABD arasında; e-ticaretin geleceği için
olduğu kadar ülkeler arasında ticari amaçlar dışında kalan, örneğin ceza
kovuşturması veya insan kaynakları araştırması gibi amaçlar için kişisel
verilerin
aktarılması
açısından
da
bir
hukuk
savaşına
dönüşmüş
bulunmaktadır.127
Bu kapsamda fikir uyandırmak amacıyla söz konusu yaklaşımlara
aşağıda kısaca verilmiştir.
A. Avrupa Birliği Ülkeleri
95/46 sayılı Direktif’in 32’nci maddesi üç yıllık bir süre içerisinde
direktifin iç hukuka aktarılmasını öngörmüştür. Bu itibarla ülkeler bazı
gecikmelerle beraber söz konusu yönergeye uygun ulusal kanunlar
çıkarmışlar ve konuya ilişkin bir de kontrol birimi ihdas etmişlerdir. Buna göre,
Birlik ülkeleri açısından kişisel verilerin korunması konusunda genel hukuki
durum ve kontrol birimi oluşturma çalışmaları Tablo I’deki gibidir128:
126
Türkiye bu konudaki seçimini Avrupa Konseyinin Kabul ettiği 108 sayılı sözleşmeyi imzalamak
suretiyle yapmış bulunmaktadır. Esasen Avrupa Birliğine üye olmak için başvurmuş olan ülkemizin
başka bir seçeneği de bulunmamakta olması bir yana, gerek özel ve gerek kamu hukuku sistemimiz
dikkate alındığında kişisel veriler için en iyi korumanın özel bir yasa kabul edilmek yoluyla
gerçekleştirilebileceği sonucuna varılmaktadır.
127
128
KESMEZ, a.g.m., s.6.
Ülkelerin güncel hukuksal durumu ve yasa metinleri için bkz. (BAŞALP, a.g.e., s.73-74,81-82’den
aktarma): Erişim: http://ec.europa.eu/justice_home/fsj/privacy/law/implementation_en.htm,
05.10.2009;
77
Tablo I: AB Ülkelerinde Veri Korumasında Genel Hukuki Durum ve Kontrol Birimi.
Ülke
Hukuki Durum ve Kontrol Birimi
Almanya
Federal Veri Koruması Yasası (Bundesdatenschutzgesetz - BDSG): 1990
yılında yürürlüğe konulmuştur. Kişisel verilerin işlenmesi ve kullanılmasını
düzenlemektedir. 2001 tarihinde 95/46 sayılı Direktifi iç hukuka aktarmak
amacıyla değiştirilmiştir. 1997 tarihli Telekomünikasyon Hizmetlerinde Veri
Koruması Yasası (Teledienstedatenschutzgesetz, TDDSG) özel olarak internete
ilişkin hükümler sevk etmekte, ayrıca 1997 tarihli Telekomünikasyon Yasası da
(Telekommunikationsgesetz, TKG) bazı veri koruması kuralları içermektedir.
Kontrol birimi olarak Federal Veri Koruması Görevlisi bulunmaktadır.
Đngiltere
1998 tarihli Veri Koruması Yasası (Data Protection Act -DPA)ile Direktif iç
hukuka aktarılmıştır. Konuya ilişkin Bilgi Görevlisi (Office of the Information
Commissioner) bulunmaktadır.
Fransa
06.01.1978 tarihli Enformasyon Teknolojisi, Dosya ve Özgürlükler Yasası:
Bilgi işlem yoluyla kişisel verilerin toplanması ve saklanmasını
düzenlemektedir. Fransa bu yasa üzerinde değişiklik yaparak iç hukukunu
kısmen Direktife yaklaştırmıştır. Ancak bununla beraber Direktifin tam
anlamıyla iç hukuka aktarılması için 2004 yılında yeni bir yasa yürürlüğe
koymuştur. Konuya ilişkin kontrol birimi görevini Medeni Haklar ve
Enformasyon Teknolojisi Ulusal Komisyonu (National Commission on
Information Technology and Civil Liberties) yapmaktadır.
Đtalya
31.12.1996 tarihli ve 675 sayılı yasa ile Direktif iç hukuka aktarılmış,
2004’te yeni bir Veri Koruma Yasası çıkarılarak tam uyum sağlanmıştır.
Kontrol birimi, Kişisel Verileri Koruma Otoritesi (Regulatory Authority for the
Protection of Personal Data)’dir.
Đspanya
Avusturya
Belçika
Đsveç
1999 tarihli 15 sayılı Gerçek Kişilere dair Verilerin Korunması Yasası ile Direktif
iç hukuka aktarılmıştır. Kontrol birimi Veri Koruması Ajansı (Data Protection
Agency)’dır.
2000 tarihli Veri Koruması Yasası ile Direktif iç hukuka aktarılmıştır. Kontrol
birimi olarak Veri Koruması Komisyonu (Data Protection Commission)
kurulmuştur.
11.12.1998 tarihli yasa ile Direktif iç hukuka aktarılmıştır. Özel Hayatın
Korunması Komisyonu (Commission for the Protection of Privacy) kontrol
birimidir.
1998 tarihli Kişisel Verilerin Kaydedilmesine Đlişkin Yasa ile Direktif iç hukuka
aktarılmıştır. Veri Araştırma Heyeti (Data Inspection Board) kontrol birimidir.
Danimarka
31.05.2000 tarihli 429 sayılı Kişisel Bilgilerin Đşlenmesi hakkında Yasa ile Direktif
iç hukuka aktarılmıştır. Konuya ilişkin Veri Koruması Ajansı (Data Protection
Agency - Datatilsynet) kurulmuştur.
Finlandiya
22.04.1999 tarihli Kişisel Veri Yasası ile Direktif iç hukuka aktarılmıştır. 2000
yılında bazı değişiklikler getirilmiş ve 2004 yılında Çalışma Alanlarında Verilerin
Korunması Yasası getirilmiştir. Veri Koruması Ombudsmanı (Office of the Data
Protection Ombudsman) kontrol birimidir.
Hollanda
06.07.2000 tarihli Kişisel Verilerin Korunması Yasası (Wet bescherming
persoonsgegevens) ile Direktif iç hukuka aktarılmıştır. Veri Koruması
Otoritesi (Data Protection Authority) kurulmuştur.
Đrlanda
1988 tarihli Veri Koruması Yasası 2003 tarihinde değiştirilerek Direktif iç hukuka
aktarılmıştır. Veri Koruması Görevlisi (Data Protection Commissioner)
bulunmaktadır.
78
Portekiz
Yunanistan
1998 tarihli 67 sayılı Kişisel Verilerin Korunması Yasası (Lei da protecçao de
dados pessoais) ile Direktifi iç hukuka aktarmıştır. Ulusal Veri Koruması
Komisyonu (National Data Protection Commission) ihdas edilmiştir.
1997 tarihli 2472 sayılı Yasa kişisel verilerin işlenmesinde bireylerin korunmasını
konu alarak Direktifi iç hukuka aktarmıştır. 1999 tarihli 2774 sayılı yasa ise
iletişimde kişisel verilerin korunmasını düzenlemektedir. Veri Koruması Otoritesi
(Hellenic Data Protection Authority) kontrol birimi olarak ihdas edilmiştir.
Estonya
2003’te Kişisel Verilerin Korunması Yasası çıkarılarak Direktife uyum
sağlanmıştır.
Polonya
1997’de konuya ilişkin yasa çıkarılmış ve 2004’te Direktife uygun değişiklikler
gerçekleştirilmiştir.
Çek
Cumhuriyeti
2000 yılında Kişisel Veri Koruma Yasası çıkarılarak uyum sağlanmıştır.
Slovenya
1990 yılında Kişisel Verileri Koruma Kanunu çıkarılmış, 1999,2000 ve 2004’te
Direktifle uyum sağlamak amacıyla değişiklikler getirilmiştir.
Slovakya
2002 yılında Kişisel Verilerin Korunması Yasasını kabul ederek Direktif
hükümleri iç hukuka aktarılmıştır.
Litvanya
2004 yılında Kişisel Verilerin Hukuki Korunması Kanunu ile iç hukukta
düzenlemeler yapılmıştır.
Letonya
2004’te Kişisel Verilerin Korunması Kanunu çıkarılmış ve Direktife uyum
sağlanmıştır.
Lüksemburg
02.08.2002 tarihli yasa ile kişisel verilerin işlenmesinde gerçek kişilerin
korunmasını düzenleyerek Direktif iç hukuka aktarılmıştır. Veri Koruması Ulusal
Komisyonu (National Data Protection Commission) kontrol birimidir.
Güney
Kıbrıs
2001’de Kişisel Verilerin Đşlenmesi Yasası ile Direktif hükümlerine uyumlu
düzenleme yapılmıştır.
Malta
2001’de Verilerin Korunması Kanunu çıkarılmıştır.
Macaristan
1978’de Ceza Kanununda konuya ilişkin düzenleme getirilmiş, 1992’de ise
Kişisel Verilerin Korunması ve Kamusal Erişim Yasası çıkarılmıştır.
Konuya ilişkin detaylar daha önce anlatıldığı için, burada tekrar ele
alınmayacaktır. Ancak Avrupa Birliği uygulamasına ilişkin olarak şu
söylenebilir ki, AB hukuk sistemi temel insan hak ve hürriyetleri ekseni
üzerinde kurulduğundan, kişisel verilerin korunması alanında da özel hayatın
gizliliği ilkesi temel kriter olarak ele alınmış ve gerek ülke içinde gerekse de
ülkeler arasındaki veri paylaşımında olmazsa olmaz şart olarak bu kriter katı
biçimde aranmıştır. Đkinci olarak, AB hem tarafı olduğu 108 sayılı Sözleşme,
hem de kendi çıkarmış olduğu 95/46 sayılı Direktif uyarınca, ülkelerin iç
mevzuatıyla uyum amacıyla konuya ilişkin özel bir kanun çıkarılması ile bu
konuda faaliyet gösterecek bağımsız bir düzenleyici ve denetleyici kurum
kurulması yoluyla kişisel verilerin korunacağı anlayışını benimsemiştir. Bu
79
nedenle de gerek üyelerinin kendi içlerindeki gerekse de üyeleriyle üçüncü
ülkeler arasındaki veri aktarımında, belirlenen söz konusu kriterlerin
karşılanmış olması kesin koşul olarak aranmakta olup, bu durum uluslararası
veri transferlerinin yavaşlamasına yahut engellenmesine, özellikle ABD gibi
üçüncü ülkelerle olan ticari, adli, ekonomik, kültürel, sosyal vb. ilişkilerinin
aksamasına neden olmaktadır.
B. Amerika Birleşik Devletleri
Kişisel verilerin korunması kavramı Amerikan Anayasası dahilinde
açıkça düzenlenen bir husus olmamakla beraber, uygulamada “haberleşme
özgürlüğü” ve “özel hayatın gizliliği” kavramı çerçevesinde anayasal bir hak
şeklinde değerlendirilmektedir. Amerikan Yüksek Mahkemesi “Bill of Rights”
hükümlerini
yorumlamak
suretiyle,
kişisel
gizlilik
kavramının
ABD
Anayasasında mevcut bulunduğuna hükmetmiştir. Bu kararı takiben federal
mahkemeler de işyerinde gizliliğin korunması, aile planlaması ve uyuşturucu
testi konularında kişisel gizlilik kavramını desteklemişlerdir.129 Özel hayatın
gizliliğini koruma altına alan bu bakış açısı kişisel verilerin korunması hakkına
da yansıyacaktır.
ABD’deki mevcut sistem uyarınca anayasal haklar bir yandan kişinin
anayasa ile korunmuş haklarına doğrudan devlet tarafından tecavüz
edilmesine engel olmakta, diğer yandan ise kişinin bireysel haklarını üçüncü
kişilere karşı korumak amacı ile devletin dolaylı şekilde müdahalede
bulunmasını (bu hususta özel yasal düzenleme bulunmadığı sürece)
sınırlamaktadırlar. Nitekim, anayasal düzendeki bu boşluğun kapatılması
amacı ile kişisel verilerin korunması konusunda birbirinden farklı esaslara yer
veren ve çeşitli sektörlerde veri korumasını konu alan birçok federal yasa
yürürlüğe konulmuş, ancak kişisel verilerin korunmasına ilişkin genel bir
129
Esra Tekil YILDIZ, “Đnternet Üzerinde Kişisel Verilerin Korunması” Fahiman Tekil’in Anısına
Armağan, Marmara Üniversitesi Hukuk Fakültesi, Đstanbul, Beta Basım, 2003, s.816.
80
koruma politikası oluşturulamamıştır.130 Kişisel verilerin korunmasına ilişkin
hükümler içeren federal yasaların dışında, çeşitli eyaletler tarafından
yürürlüğe konulan bir çok özel kanun ve düzenlemeler de bulunması, konuya
dair yüzlerce hukuki düzenlemenin bulunmasına neden olmuştur.
Kişisel verilerin korunmasına ilişkin olarak yürürlüğe konulan hukuki
düzenlemelere örnek olarak131; devlet tarafından elde edilebilecek kişisel
verilerin korunmasına ilişkin esasları içeren 1974 tarihli Mahremiyet Kanunu
(Privacy Act), mali bilgilerin korunmasına yönelik 1978 tarihli Mali Mahremiyet
Kanunu (Financial Privacy Act) ile telekomünikasyon alanında kişisel verilerin
korunmasına ilişkin 1991 tarihli Telefon Müşterileri Koruma Kanunu
(Telephone
Consumer
Protection
Act)
verilebilir.
Bununla
beraber,
uluslararası alanda gerçekleşecek veri transferlerini kontrol altına almak
üzere 1996 tarihli Đletişim Ahlak Yasası (Communications Deceny Act), 1998
tarihli Çocukların Çevrimiçi Korunması Yasası (Child Online Protection Act)
ve 1998 tarihli Çocukların Çevrimiçi Gizliliğinin Korunması Yasası (Children’s
Online Privacy Protection Act) düzenlenmiştir. Ayrıca, devlet bünyesinde
korunmakta olan kişisel verilerin, üçüncü kişiler tarafından elde edilmesi
sorunu 1967 tarihli Bilgi Edinme Yasası (The Freedom of Information Act)
dahilinde ele alınmaktadır.
Kişisel verilerin korunması konusunda Amerika Birleşik Devletleri’nde
yürürlüğe konulan en önemli hukuki düzenlemelerden biri olan 1974 tarihli
“Mahremiyet Kanunu” (Privacy Act) adlı Kanun, isim veya sair kişisel bilgiler
sayesinde
kişinin
belirlenmesini
sağlayacak
kişisel
kayıtların
devlet
tarafından oluşturulması, elde edilmesi, kullanılması ve yayılması karşısında
bireyleri korumaya yönelik hükümlere yer vermektedir. Söz konusu kanunun
eksik yanı ise, hükümlerinin sadece federal hükümet organlarına karşı
uygulanmakta olup, özel sektör kuruluşları ile eyalet veya bölge çapında
130
YILDIZ, a.g.m., s.817.
131
YILDIZ, a.g.m., s.818.
81
faaliyet gösteren organların bu kanun hükümlerine tabi bulunmamasıdır.132
Oldukça eski tarihli bu kanun kapsam olarak Avrupa sisteminden farklılık
sergilemektedir.
Kişisel gizliliğin korunmasına ilişkin olarak Mahremiyet Kanunu
kapsamında öngörülen temel prensipler şu şekilde özetlenebilir:
Kişisel bilgi ve hassas veriler özel olarak korunmalıdır.
Devlet, vatandaşlara ait kişisel verilerin korunmasından sorumludur.
Kişisel veriler şeffaf bir şekilde işlenmeli ve veri sahibine kendisine ait
kişisel bilgilerin ne şekilde işlendiğine ilişkin yeterli seviyede bilgi
verilmelidir.
Kişisel
verilerin
gizli
tutulmasını
temin
etmek
üzere,
kanun
hükümlerinin etkin şekilde uygulanması ve bu hususta gerekli
denetimin sağlanması zorunludur.
1974 tarihli Mahremiyet Kanunu, yukarıda belirtilen prensiplere riayet
edilmesini temin etmek üzere, federal organları vatandaşlara ait kişisel
verilerin korunması konusunda gerekli güvenlik mekanizmasını kurmak ile
yükümlü tutmaktadır. Kişisel verilerin gizliliğine ilişkin hükümlerin ihlali halinde
kanun cezai hükümlerin uygulanmasını emretmekte olup, ayrıca ilgili kişi
tarafından tazminat talebi ile dava açılması da mümkündür.
Yukarıda açıklandığı üzere, kişisel verilerin korunmasına ilişkin hukuki
esaslar Amerikan Hukukunda tek bir kanun kapsamında yer almamakta,
çeşitli koruma alanları ve veri çeşitlerine göre farklı hukuki düzenlemeler
uygulanmaktadır. Esra Tekil YILDIZ’a göre133; kişisel verilerin korunması
konusunda ABD hukukunun en önemli özelliği, mevcut hukuki düzenlemelerin
132
Kanun metni için bkz.: http://www.archives.gov/about/laws/privacy-act-1974.html, 05.10.2009.
133
YILDIZ, a.g.m., s.820.
82
geçmişte meydana gelen bazı olayların etkisiyle çoğunlukla kamu sektörüne
yönelik koruma esaslarını içermeleri ve oldukça eski tarihlerde yürürlüğe
konulmuş
olmaları
nedeniyle
çağın
ihtiyaçlarını
karşılayacak
nitelik
taşımamalarıdır. Buna karşılık, özel sektörde faaliyet gösteren firmalara kişisel
verilerin korunması hususunda uygulanacak esasları belirlemeye ilişkin
"otoregülasyon" hakkı tanınmış bulunmaktadır. Bu şekilde, kişisel verilerin
elde edilmesi ve islenmesi konusunda firmaların kendi iç düzenlemelerini
oluşturmalarına imkan verilmektedir. Öte yandan, kişisel veriler ve gizliliğin
korunması konusunda faaliyet gösteren bazı organizasyonlar134, söz konusu
organizasyonlara üye firmalar tarafından uygulanmak üzere kişisel verilerin
elde edilmesi ve işlenmesine ilişkin özel düzenlemeler hazırlamışlardır. Bu
düzenlemeler hukuki açıdan bağlayıcı nitelik taşımamakla beraber, üye
firmalar üzerinde asgari denetimin sağlanmasında büyük rol oynamaktadır.
Ancak şunu belirtmek gerekir ki, teorik anlamda liberal bir yaklaşım
olmakla beraber, özel sektöre tanınan bu özgürlük uygulamada özellikle
büyük firmalar tarafından kötüye kullanılmakta ve firmalar kendi belirledikleri
gizlilik
ve
koruma
prensiplerini
bizzat
kendileri
ihlal
etmektedirler.
Uygulamada karşılaşılan bu sorunun temel nedeni şüphesiz ki, özel sektörde
faaliyet
gösteren
şirketleri
kişisel
verilerin
korunması
konusundaki
düzenlemelere uygun hareket etmeye sevk edecek resmi bir denetim ve
yaptırım gücünün mevcut bulunmayışıdır. Amerikan sistemindeki bu zayıf
nokta, zaman içerisinde internet üzerinde faaliyet gösteren şirketlere olan
güveninin sarsılmasına neden olmuş ve Avrupa Birliği ülkelerinden Amerika
Birleşik Devletleri'ne yapılacak veri transferlerinin güvenilirliği konusunu da
gündeme getirmiştir.
134
The Center for Democracy and Technology (www.cdt.org/privacy), The Privacy Forum
(www.vortex. com). Privacy International (www.privacyinternational.org), Privacy Rights
Clearinghouse (wwwprivacyrights. org), TopClick Privacy Center (www.privacy.topclicik.com).
Junkbustera (www.junkbusters.com), Ulectronic Pnvac'y Information Center (www.epic.org).
83
Kişisel bilgilerin transferi küresel ekonomi için vazgeçilmez bir kavram
olmakla beraber, AB ve ABD taraflarının bakış açılarındaki farklılık bazen
kavramın önüne taş koyabilmektedir. Bunun ardında yatan temel neden ise
çok karmaşık değildir. ABD tarafı, özetle “eğer bu bilgiler ekonomi için değerli
ise, sahiplerinin de onlar üzerinde bir mülkiyet hakkı olmalıdır. Birey isterse
adresini, hatta isterse daha hassas verilerini satabilir” savını ileri sürerken,
Avrupa tarafı ise “gizliliği” bir “temel hak” olan “kişisel veri”nin özel mülkiyete
konu olamayacağını savunmaktadır.135 Bakış açısındaki bu farklılık AB ve
ABD arasındaki ticari ilişkilerde bazı problemleri beraberinde getirmektedir.
AB ve ABD arasındaki mevcut ticari ilişkiler ve özellikle gelişmekte
olan elektronik ticaret ilişkisi dikkate alındığında, üye ülkelerden AB harici
ülkelere yapılan veri transferleri açısından başlıca önemi haiz olan ülke
şüphesiz ki ABD’dir. Nitekim bu nedenle, AB üyesi ülkeler ile ABD arasında
gerçekleştirilecek olan veri transferleri AB dahilinde uzun tartışma ve görüş
ayrılıklarına yol açmış, hatta bazı kesimler tarafından ABD’ye bu hususta
imtiyaz tanınması gerektiği fikri ileri sürülmüştür.136 Ne var ki, ABD’de veri
transferi ve kişisel verilerin korunmasına ilişkin olarak yürürlükte bulunan
düzenlemeleri AB tarafından 95/46/EC sayılı Direktifte öngörülen “yeterli
seviyede koruma” kriteri çerçevesinde değerlendirilmiş ve bu değerlendirme
sonucunda, direktifte öngörülen koşulların karşılanmadığı gerekçesi ile
ABD’ye yapılacak veri transferlerine ilk aşamada izin verilmemiştir. Konuya
ilişkin olarak taraflar arasında iki yıl süren müzakerelerin sonucunda, ABD’ye
yapılacak veri transferlerinin AB prensiplerine uygun şekilde yerine getirilmesi
amacı ile özel koruma tedbirleri belirlenmiş, bunu takiben AB ve ABD
135
Avniye TANSUĞ, “AB’nin yeni ekonomik silahı: “Veri Saklama Hukuku” (16.05.2006), Erişim:
http://www.acikradyo.com.tr/default.aspx?_mv=a&aid=14260, 05.10.2009.
136
TANSUĞ, a.g.m.
84
arasında kişisel veri transferine ilişkin asgari prensipleri içeren bir sözleşme
imzalanmıştır.137
"Safe Harbor Prensipleri"138 şeklinde adlandırılan bu düzenleme
esasen, AB üyesi ülkelerden veri transfer eden Amerikan şirketlerinin kişisel
verilerin korunmasına ilişkin ana prensiplere uygun hareket etmeyi taahhüt
etmelerini öngörmektedir. Veri transferi konusunda öngörülen koruma
prensiplerine riayet etmeyi taahhüt eden şirketlerin listesi ABD Ticaret
Bakanlığı tarafından ilan edilmekte ve bu liste vasıtası ile AB dahilinde
faaliyet gösteren şirketler hangi Amerikan şirketlerinin veri transferi
konusunda gerekli korumayı sağladığını öğrenebilmektedirler.139 AB ve ABD
arasındaki görüş farklılığı nihayetinde kişisel verilerin aktarılmasında AB
tarafından belirlenen asgari ölçütlerin karşılanması şeklinde bir çözüme
kavuşturulmuştur.
137
YILDIZ, a.g.m., s.821.
138
International Safe Harbor Privacy Principles için bkz.: http://www.ita.doc.gov/td/ecom/shprin.html,
05.10.2009.
139
Hilmiye ARSLAN, “Amerika Đle Avrupa Birliği Hukuki Düzenlemelerinin Gizlilik Haklarına
Bakış Açısının Karşılaştırılması”, Erişim: http://inet-tr.org.tr/inetconf10/bildiri/18.doc, 05.10.2009,
s.8.
85
ÜÇÜNCÜ BÖLÜM
KĐŞĐSEL VERĐLERĐN KORUNMASI KAVRAMININ ULUSAL DÜZENLEME
VE UYGULAMALARDAKĐ YERĐ
I. ANAYASA
Kişisel verilerin korunması ile ilgili olarak Anayasamızda doğrudan
doğruya bir hüküm bulunmamakla beraber, bu konu anayasal bir korumadan
mahrum da değildir. Aşağıda gösterilen anayasal garantiler, kişisel verilerin
korunması hakkına hizmet etmektedir:
Anayasa Başlangıcı (6’ncı paragraf): Đnsan onuru,
Madde 2: Hukuk devleti ilkesi,
Madde 17: Bireyin maddi ve manevi varlığını geliştirme hakkı,
Madde 20: Özel yaşamın ve aile yaşamının gizliliği hakkı,
Madde 21: Konut dokunulmazlığı,
Madde 22: Haberleşmenin gizliliği,
Madde 15-24: Dini ve vicdani kanaatleri açıklamaya zorlanamama,
Madde 25: Düşünce ve kanaatleri açıklamaya zorlanamama.
Şüphesiz, kişisel verilerin devlet veya gerçek ve özel hukuk tüzel
kişileri tarafından kaydedilmesi ve işlenmesi doğrudan kişinin özel hayatına
yapılan bir müdahale olduğu içindir ki, bu hak ve hürriyetlerden kişisel
verilerin korunması alanını en çok ilgilendireni özel hayatın gizliliği
86
hakkıdır.140 Bu hususta tezimizin birinci bölümünde “Kavramsal Çerçeve”
başlığı
altında
gerekli
açıklamalar
yapıldığı
için,
konuyu
burada
yinelemeyeceğiz. Ancak belirtmekte fayda vardır ki, bu hak kişiliğe bağlı,
dokunulmaz, devredilmez ve vazgeçilmez temel haklardan olduğundan, kişi
kural olarak kişisel verilerini işleyen herkese karşı kişiliğinin korunmasını
isteyebilecek, hangi kişisel verilerinin kim tarafından kimin için hangi amaçla
elde edildiğini öğrenebilecek, hangi kişisel verilerinin kime veya kimlere
iletileceğini kontrol edebilme hakkına sahip olacaktır.
Bilim adamlarınca hazırlanma aşamasında olan ve henüz Türkiye
Büyük Millet Meclisine teklif olarak götürülmemiş bulunan Anayasa
Taslağında kişisel verilerin korunması hakkının müstakil bir hak olarak
düzenlendiğini
belirtmekte
yarar
vardır.
Taslağın
“Kişisel
Bilgilerin
141
Korunması” başlıklı 20’nci maddesi
, “Herkes, kendisiyle ilgili kişisel bilgi ve
verilerin korunması hakkına sahiptir. Bu bilgiler, ancak kişinin açık rızasına
veya kanunla öngörülen meşru bir sebebe dayalı olarak kullanılabilir. Herkes,
kendisi hakkında toplanmış olan veya kayıtlarda yer alan bilgilere erişme,
bunlarda düzeltme yaptırma ve bu bilgilerin amaçları doğrultusunda kullanılıp
kullanılmadığını öğrenme hakkına sahiptir.” hükmünü içermektedir.
Madde başlığında kişisel “veri” değil de kişisel “bilgi” ibaresi
kullanılmıştır. Bilgi kavramı veri kavramından daha dar kapsamlı olup, kişinin
veriye yönelttiği anlamı142 ifade etmektedir. Başka bir deyişle, veri herhangi
bir anlam ifade etmeyen ham bilgi yığını iken, bilgi verilerin analiz edilmesi
sonucunda anlamlandırılmış halini143 ifade eder. Söz konusu Anayasa
140
ÜZELTÜRK, a.g.e., s.99-100.
141
Erişim: http://www.turkhukuksitesi.com/showthread.php?t=19586, 05.10.2009.
142
Türk Dil Kurumu Sözlüğü, Erişim:
http://tdkterim.gov.tr/seslisozluk/?kategori=yazimay&kelimesec=009223, 05.10.2009.
143
Birbiriyle sıkça karıştırılan bu kavramların Đngilizcesi tabandan tavana doğru; data (veri),
information (enformasyon), knowledge (bilgi) ve wisdom (bilgelik) sözcükleriyle ifade edilmektedir.
87
Taslağındaki başlıkta “bilgi” kavramı kullanılmak suretiyle bu hakkın
kapsamının daraltıldığı düşünülmektedir. Kanımızca bu durum uluslararası
yükümlülüklerimizi
tam
olarak
kapsamadığından
bir
takım
sorunları
beraberinde getirecektir.
Madde Anayasamızdaki eşitlik ilkesine uygun olarak herkese bu hakkı
tanımakta olup, vatandaş olup olmama şartı getirmemiştir. Öte yandan,
maddede
kişisel
verilerin
“işlenmesi”
kavramı
yerine
“kullanılması”
kavramının kullanıldığı görülmektedir. Kanaatimizce, uluslararası metinlere
uyum sağlanması amacıyla düzenleme altına alınmak istenen bu madde
içerisine, yine uluslar arası metinlere uygun olarak kişisel verilerin
“kullanılması”
kavramı
yerine
kişisel
verilerin “işlenmesi”
kavramının
getirilmesi faydalı olacaktır. Zira işleme kavramı kullanma kavramından daha
geniş olarak verilerin muhafazası, üçüncü kişilere transfer edilmesi, vb.
eylemleri de içermektedir.
Kişisel verilerin kullanılmasında kişinin rızası temel şart olarak ele
alındığı
maddede
ayrıca,
“kanunla
öngörülen
meşru
bir
sebebe
dayandırması” şartı aranmak suretiyle konu Anayasamızın kanunilik ilkesine
uygun olarak formülize edilmiştir. Diğer taraftan maddede kişisel verilere
ilişkin bilgi edinme hakkı, herkesin hakkında toplanan bilgilere ulaşabileceği
ve düzelttirebileceğinden bahsedilmek suretiyle düzenlenmekle beraber, bu
faaliyetlerin hukuka aykırı olması veya hukuka uygun olsa bile belli bir
sürenin geçmesi halinde kişilerin bunların silinmesini talep etme hakkından
bahsedilmemiş olması kanımızca önemli bir eksikliktir. Söz konusu tasarı
çalışmalarda bu hususların dikkate alınması fayda sağlayacaktır.
“Veri,
Bilgi
ve
Bilişim”,
bilisim_3332.html, Erişim: 05.10.2009.
http://www.chip.com.tr/blog/thecrowsalvation/veri-bilgi-ve-
88
Günümüzde çeşitli uluslararası ve uluslarüstü metinlerde144 ayrı bir
hak olarak düzenlenen kişisel verilerin korunması ile ilgili olarak mevcut
Anayasamızda çerçeve niteliğinde yukarıda maddeler halinde sıralanan
hükümlerle yetinilmiş olunmasına karşılık, kişisel verilerin korunmasına dair
doğrudan hükümler genel ve özel kanunlara bırakılmıştır. Bu bağlamda,
genel kanun olarak özel hukuk çerçevesinde Türk Medeni Kanunu ve Đş
Kanunu, kamu hukuku çerçevesinde ise Ceza Kanunu konuya ilişkin
doğrudan ya da dolaylı hükümler ihtiva etmektedir. Ayrıca Türkiye’nin gerek
imzalamış olduğu 108 sayılı Avrupa Konseyi Sözleşmesi’ne uyum sağlamak
(ve bu sayede Sözleşmeyi onaylamak), gerekse de Avrupa Birliğine giriş
sürecinde genelde AB mevzuatına özelde de 95/46 sayılı Direktif ile iç
mevzuatı uyumlaştırmak amacıyla Kişisel Verileri Koruma Kanunu adında
özel bir kanun çıkarma çalışmaları devam etmektedir.
II. TÜRK MEDENĐ KANUNU
Kişisel verilerin korunmasına ilişkin özel hukukta doğrudan doğruya bir
düzenleme bulunmamakla birlikte, bu konuda genel olarak “kişilik haklarının
korunması” kavramına ilişkin genel düzenlemeler kapsamında bir korumanın
sağlanabileceği değerlendirilebilir. Özel hukukta kişilik hakkı genel anlamda
5721 sayılı Türk Medeni Kanunu145’nun 23, 24 ve 25’inci maddeleri ile 818
sayılı Borçlar Kanunu146’nun 49’uncu maddesi çerçevesinde korunmaktadır.
Özel bir hüküm öngörülmediği sürece, kişilik hakkının korunması genel olarak
bu hükümlere tabi kılınacaktır.
144
Avrupa Birliği’nde siyasal birliğin sağlanmasında önemli adımlardan biri olan ve AB Anayasası
olarak da zikredilen AB Temel Haklar Şartı’nın 8’inci maddesi örnek olarak verilebilir.
145
08.12.2001 tarih ve 24607 sayılı Resmi Gazete’de yayımlanarak 01.01.2002’de yürürlüğe girmiştir.
146
08.05.1926 tarih ve 366 sayılı Resmi Gazetede yayımlanarak yürürlüğe girmiştir.
89
Türk Medeni Kanunu’nun Kişiler Hukuku kitabının “Kişilik” bölümünde
yer alan “Kişiliğin korunması” 23, 24 ve 25’inci maddelerde düzenlenmiştir.
A. Vazgeçme ve Aşırı Sınırlamaya Karşı Kişiliğin Korunması
Medeni Kanun’un “Vazgeçme ve Aşırı Sınırlamaya Karşı” başlıklı
23’üncü maddesi147 kişilik hakkını hukuki işlem yoluyla saldırılara karşı
koruma altına almıştır. Bu hükmün uygulanabilmesi için öncelikle hukuki
işlem
yoluyla
kişilik
hakkına
dahil
bir
değerin
saldırıya
uğraması
gerekmektedir. Nitekim kişisel verilerimiz kişilik hakkımıza dahil bir değer
oluşturmakta olup, bu değeri konu alan hukuki işlemlere, hak ve fiil ehliyetinin
aşırı kısıtlanması, fiziksel özgürlüğümüzün aşırı derecede sınırlanması örnek
gösterilebilir. Veri koruması hukuku alanında buna işçinin iş sözleşmesi ile
işverence hakkında toplanan veriler üzerinde bilgi edinme hakkından
vazgeçmesi bir örnek teşkil etmektedir.148 Böylelikle kanun kişinin bu
konudaki temel haklarını koruma altına almaktadır.
B. Saldırıya Karşı Kişiliğin Korunması
Kanunun 24’üncü maddesi149 hukuki işlem dışı saldırılara karşı kişilik
haklarını korumaya almıştır. Bu hükmün uygulanabilmesi için öncelikle kişilik
hakkına dahil bir değerin saldırıya uğraması gerekmektedir. Bu bağlamda,
kişilik hakkına dahil olan kişisel verilerimiz gizli ya da özel hayat alanlarımıza
dahil olsa bile kişilik hakkımıza dahil bir değer oluşturduğundan, kişisel
verilerin hukuk dışı yollarla işlenmesi veya üçüncü kişilere aktarılması gibi
147
Medeni Kanun m.23: “Kimse, hak ve fiil ehliyetlerinden kısmen de olsa vazgeçemez. Kimse
özgürlüklerinden vazgeçemez veya onları hukuka ya da ahlâka aykırı olarak sınırlayamaz.”
148
149
BAŞALP, a.g.e., s.99.
Medeni Kanun m.24: “Hukuka aykırı olarak kişilik hakkına saldırılan kimse, hâkimden, saldırıda
bulunanlara karşı korunmasını isteyebilir. Kişilik hakkı zedelenen kimsenin rızası, daha üstün nitelikte
özel veya kamusal yarar ya da kanunun verdiği yetkinin kullanılması sebeplerinden biriyle haklı
kılınmadıkça, kişilik haklarına yapılan her saldırı hukuka aykırıdır.”
90
durumlarda madde hükmünün iptali söz konusu olacaktır. Hukuka uygunluk
sebepleri olarak belirtilen rıza, üstün kamusal yarar, üstün özel yarar ile
kanunun verdiği yetki hükmün istisnası olarak düzenlenmiştir. Kişisel verilerin
işlenmesinde eğer bu sebeplerden birini tespit edilemiyorsa saldırı hukuka
aykırı olacaktır. Örneğin bir şirketin insan kaynaklan departmanına işçilerin
vermiş
olduğu
resimler
sadece
özlük
dosyalarının
oluşturulmasında
kullanılabilip, bunun haricinde özlük dosyalarının oluşturulması için verilmiş
rıza,
resimlerin
internette
şirketin
tanıtılmasında
kullanılmasını
kapsamayacaktır.150 Bu durumda hakkına tecavüz edilen kişi hakimden bu
saldırıdan korunmasını isteyebilecektir.
C. Dava Hakkı
Kanunun 25’inci maddesi151 ise kişilik hakkına hukuka aykırı saldırı
karşısında tanınan dava hakkını düzenlemektedir. Bu hüküm uyarınca; kişilik
hakları saldırıya uğrayan kimse mahkemeden muhtemel tecavüz tehlikesinin
önlenmesini, sürmekte olan saldırıya son verilmesini, sona ermiş olsa bile
etkisi devam eden saldırının hukuka aykırılığının tespitini talep etme, hukuka
aykırı tecavüz nedeniyle maddi ve manevi tazminat isteme ve kişilik hakkına
yapılan saldırı nedeniyle elde edilen maddi menfaatin kendisine verilmesini
talep etme hakkına sahip olacaktır.152 Örneğin bir kimsenin alışveriş yaptığı
mağazaya bildirmiş olduğu isim, adres, telefon numarası, cinsiyet, vb.
verilerin örneğin reklam amaçlı SMS gönderilmek üzere başka bir şirkete
satılmış olması durumunda, kişinin rızası olmaksızın kişilik hakkına tecavüz
150
BAŞALP, a.g.e., s.99-100.
151
Medeni Kanun m.25: “Davacı, hâkimden saldırı tehlikesinin önlenmesini, sürmekte olan saldırıya
son verilmesini, sona ermiş olsa bile etkileri devam eden saldırının hukuka aykırılığının tespitini
isteyebilir. Davacı bunlarla birlikte, düzeltmenin veya kararın üçüncü kişilere bildirilmesi ya da
yayımlanması isteminde de bulunabilir. Davacının, maddî ve manevî tazminat istemleri ile hukuka
aykırı saldırı dolayısıyla elde edilmiş olan kazancın vekâletsiz iş görme hükümlerine göre kendisine
verilmesine ilişkin istemde bulunma hakkı saklıdır.”
152
YILDIZ, a.g.e., s.823.
91
edilmesi söz konusu olduğundan, kişi mahkemeden bu nedenle alışveriş
merkezinin sağladığı maddi menfaati geri alma ve zarar hasıl olmuşsa maddi
ve manevi tazminat isteme hakkına sahiptir.
Özel hukuk ile kamu hukukunun kesişme noktasında giderek
derinleşen disiplinlerarası bir tartışmaya yol açan kişisel verilerin korunması
kavramına ilişkin olarak tezimizde daha çok konunun kamu hukuku boyutuna
ağırlık
vereceğimizden,
burada
özel
hukuk
yönüne
ilişkin
ayrıntıya
girmeyeceğiz.
III. TÜRK CEZA KANUNU
Kişisel verilerin korunması ile ilgili olarak 765 sayılı mülga Türk Ceza
Kanunu’nda yeterli düzenleme bulunmamakta olduğundan153, bu verilerin
izinsiz olarak işlenmesi ve başkalarına açıklanması gibi eylemlerle ceza
hukuku kapsamında yeterli mücadele olanağı bulunmamakta, bu konudaki
uyuşmazlıklar genellikle tazminat davalarına konu olmakta idi.154 Đşte
12.10.2004 tarih ve 25611 sayılı Resmi Gazete’de yayımlanarak 01.06.2005
tarihinde yürürlüğe giren 5237 sayılı Türk Ceza Kanunu ile birlikte, özel
hayatın korunmasına dair söz konusu eksiklikler büyük ölçüde giderilerek
yaptırıma bağlanarak ceza davası açma olanağı getirilmiş ve böylelikle de
gerek Anayasamızın 20-22’nci maddelerine, gerekse de konuya ilişkin
uluslararası belgelere uyum sağlanmış oldu.
153
13.03.1926 tarih ve 320 sayılı Resmi Gazete’de yayımlanarak yürürlüğe giren 765 sayılı Türk Ceza
Kanunu’nda konuya ilişkin yalnızca “Sırrın masuniyeti aleyhinde cürümler” başlığında yer alan 195
ila 200’üncü maddelerindeki hükümler düzenlenmiştir.
154
Muhammet Murat ÜLKÜ, “5237 Sayılı TCK. 132-140. Maddelerinde Yer Alan Özel Hayata ve
Hayatın Gizli Alanına Karşı Suçlar”, Adalet Bakanlığı, s.3. Erişim: http://www.cezabb.adalet.gov.tr/makale/150.pdf, 05.10.2009.
92
Kanunun 132 ila 140’ıncı maddeleri “Özel Hayata ve Hayatın Gizli
Alanına
Karşı
Suçlar”155
bölüm
başlığında
aşağıdaki
maddelerde
düzenlenmiştir:
Madde 132: Haberleşmenin gizliliğini ihlal,
Madde 133: Kişiler arasındaki konuşmaların dinlenmesi ve kayda
alınması,
Madde 134: Özel hayatın gizliliğini ihlal,
Madde 135: Kişisel verilerin kaydedilmesi,
Madde 136: Verileri hukuka aykırı olarak verme veya ele geçirme,
Madde 137: Nitelikli haller,
Madde 138: Verileri yok etmeme,
Madde 139: Şikayet,
Madde 140: Tüzel kişiler hakkında güvenlik tedbiri uygulanması.
Kanunun “Özel hayatın gizliliğini ihlal” başlıklı 134’üncü maddesi156
kişinin gizli yaşam alanına girerek veya başka suretle başkaları tarafından
görülmesi mümkün olmayan bir özel yaşam olayının saptanması ve
kaydedilmesi halinde kişinin cezalandırılacağını hükmetmektedir. Bu şekilde
elde edilen kayıtlardan bir yarar sağlanması veya bunların başkalarına
155
Bölümde “özel hayata ve hayatın gizli alanına karşı suçlar” tabiri kullanılmışsa da buna ilişkin
maddelerde hayatın gizli alanına dair başkaca herhangi bir ibare kullanılmamıştır.
156
TCK m.134: “Kişilerin özel hayatının gizliliğini ihlal eden kimse, altı aydan iki yıla kadar hapis
veya adlî para cezası ile cezalandırılır. Gizliliğin görüntü veya seslerin kayda alınması suretiyle ihlal
edilmesi halinde, cezanın alt sınırı bir yıldan az olamaz. Kişilerin özel hayatına ilişkin görüntü veya
sesleri ifşa eden kimse, bir yıldan üç yıla kadar hapis cezası ile cezalandırılır. Fiilin basın ve yayın
yoluyla işlenmesi halinde, ceza yarı oranında artırılır.”
93
verilmesi veya diğer kimselerin bilgi edinmelerinin temini veya basın ve yayın
yoluyla açıklanması ise suçun ağırlaşmış şeklini oluşturmaktadır.
Türk Ceza Kanunu’nda yukarıda bahsedilen suç özel hayatın gizliliğine
yönelik iken, doğrudan doğruya kişisel verilerin korunmasına yönelik
hükümler 135 vd. maddelerde düzenlenmiştir. Buna dair detaylı bilgiye
aşağıda yer verilmiştir:
A. Kişisel Verilerin Kaydedilmesi
“Kişisel
gerekçesinde158,
verilerin
kaydedilmesi”
çağımızda
hastaneler,
başlıklı
135’inci
madde157
sigorta
şirketleri,
bankalar,
mağazalar gibi çeşitli kurum ve kuruluşlar tarafından kişilerle ilgili kayıtları
bilgisayar
ortamında
tutulduğu,
bu
bilgilerin
amaçları
dışında
kullanılmasından veya herhangi bir şekilde üçüncü şahısların eline geçerek
hukuka aykırı olarak yararlanılmasından dolayı hakkında bilgi toplanan kişilerin büyük zararlara uğrayabileceği, bu bakımdan kişilerle ilgili bilgilerin
hukuka aykırı olarak kayda alınması suç olarak tanımlandığı ifade edilmiş ve
“kişisel veri” kavramı gerçek kişiyle ilgili her türlü bilgi olarak tanımlanmıştır.
Verilerin bilgisayar ortamında veya kağıt üzerinde kayda alınması arasında
bir ayırım gözetilmediği, bu şekilde 108 sayılı Avrupa Konseyi Sözleşmesine
uyum sağlandığı, kişinin rızası ile kendisiyle ilgili bilgilerin kayda alınmasının
suç oluşturmayacağı, ancak belirli nitelikteki kişisel verilerin kanun hükmünün
gereği olarak kayda alındığı, bu bakımdan çeşitli kamu kurumlarında verilen
kamu hizmetinin gereği olarak kişilerle ilgili bazı bilgiler ilgili kanun
157
TCK m.135: “Hukuka aykırı olarak kişisel verileri kaydeden kimseye altı aydan üç yıla kadar hapis
cezası verilir. Kişilerin siyasi, felsefi veya dini görüşlerine, ırki kökenlerine; hukuka aykırı olarak
ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin bilgileri
kişisel veri olarak kaydeden kimse, yukarıdaki fıkra hükmüne göre cezalandırılır.”
158
5237 sayılı Türk Ceza Kanunu Gerekçesi için bkz. Erişim: http://www.cezabb.adalet.gov.tr/mevzuat/maddegerekce.doc, 05.10.2009.
94
hükümlerine istinaden kayda alınmasının suç teşkil etmeyeceği dile
getirilmiştir.
Maddenin ikinci fıkrasında kişilerin siyasi, felsefi veya dini görüşlerine,
ırki kökenlerine ilişkin olarak hiçbir surette; ahlaki eğilimlerine, cinsel
yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin olarak ise
hukuka aykırı surette kişisel verilerin kaydedilemeyeceği belirtilmiştir.
“Hassas” veya “özel nitelikli” olarak değerlendirilebilecek bu veriler birinci
fıkradan ayrı olarak tek tek sayılmasına karşılık bunların kaydedilmesine
yönelik ağırlaştırıcı bir hüküm getirilmemiştir. Üstelik Gerekçede bu verilerden
kişilerin ahlâkî eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya
sendikal bağlantılarına ilişkin bilgilerin kayda alınmasına kanunlarda özellikle
suçlulukla mücadele bağlamında, suç ve suçluların ortaya çıkarılmasını
sağlamak amacıyla belli ölçüde izin verilebileceği, bu durumlarda söz konusu
suçun oluşmayacağı ifade edilmiştir. Bu durumun söz konusu madde ile
sağlanmak
istenilen
amaca
aykırı
biçimde
ihlalleri
doğurabileceği
kanaatindeyiz.
Kişisel verileri hukuka aykırı olarak kaydetme suçu “şikayet” başlığını
taşıyan 139’uncu madde uyarınca şikayete tabi bir suç değildir. Ayrıca birden
fazla kişinin kişisel verilerinin hukuka aykırı olarak kaydedilmesi halinde fail
açısından tek bir suç ya da zincirleme bir suç değil, mağdur sayısınca suç
oluşmaktadır, zira bunların her biri bağımsız suç durumundadır. Fakat bir
kişiye ait sağlık, cinsellik, felsefi görüş gibi birbirinden farklı alanlara ilişkin
verilerin toplanması halinde zincirleme suç uygulanabilecektir.159
Kanunun 137’nci maddesine göre bu suçun kamu görevlisi tarafından
ve görevinin verdiği yetki kötüye kullanılmak suretiyle veya belli bir meslek ve
sanatın sağladığı kolaylıktan yararlanmak suretiyle işlenmesi halinde
verilecek cezanın yarı oranında artırılacaktır. Buna göre, örneğin bir devlet
159
ÜLKÜ, a.g.m., s.14.
95
memuru tarafından hakkında tahkikat yaptığı herhangi bir şahsın sözgelimi
politik düşünceleri ya da felsefi inancına dair bilgileri hukuka aykırı biçimde
tutulmuş ise burada ceza yarı oranında artırılacaktır.
Diğer taraftan, TCK’nın 140’ıncı maddesine göre bu suçun işlenmesi
dolayısıyla, tüzel kişiler hakkında bunlara özgü güvenlik tedbirlerine160
hükmolunacaktır.
B. Verileri Hukuka Aykırı Olarak Verme veya Ele Geçirme
Bireyler hakkındaki kişisel verilerin hukuka uygun (örneğin bir yasa
hükmü gereği, bir mahkeme kararı gereği ya da kişinin rızası ile) ya da
hukuka aykırı olarak kayda alınmış olması 135’inci madde kapsamında
değerlendirilecek iken, bu aşamadan sonra söz konusu verileri hukuka aykırı
olarak başkasına veren ya da bunları hukuka aykırı olarak ele geçiren kimse
136’ncı madde161 kapsamında cezalandırılacaktır. “Verileri hukuka aykırı
olarak verme veya ele geçirme” başlıklı 136’ncı maddeye göre, hukuka aykırı
olarak “kişisel verileri kaydetme” ve “verileri verme-ele geçirme” eylemlerinin
maddi unsurları ayrı ayrı olup, bunlar bağımsız iki ayrı suç teşkil etmekte
olduğu için, kişisel verileri hukuka aykırı olarak kaydeden ve daha sonra da
bu verileri başkasına veren ya da yayan kişi aynı ise burada içtima hükümleri
uygulanamayacaktır. Bu madde açısından da mağdurun rızası, yasa hükmü
160
Tüzel kişiler hakkındaki güvenlik tedbirleri 5237 sayılı Kanunun 60’ıncı maddesinde hüküm altına
alınmıştır: “Bir kamu kurumunun verdiği izne dayalı olarak faaliyette bulunan özel hukuk tüzel
kişisinin organ veya temsilcilerinin iştirakiyle ve bu iznin verdiği yetkinin kötüye kullanılması
suretiyle tüzel kişi yararına işlenen kasıtlı suçlardan mahkûmiyet halinde, iznin iptaline karar verilir.
Müsadere hükümleri, yararına işlenen suçlarda özel hukuk tüzel kişileri hakkında da uygulanır.
Yukarıdaki fıkralar hükümlerinin uygulanmasının işlenen fiile nazaran daha ağır sonuçlar ortaya
çıkarabileceği durumlarda, hakim bu tedbirlere hükmetmeyebilir. Bu madde hükümleri kanunun
ayrıca belirttiği hallerde uygulanır.”
161
TCK m.136: “Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren
kişi, bir yıldan dört yıla kadar hapis cezası ile cezalandırılır.”
96
ya da mahkeme kararı bir hukuka uygunluk sebebi olarak karşımıza
çıkmaktadır.162
Yine bu suç da 139’uncu madde uyarınca şikayete tabi bir suç değildir.
Ayrıca Kanunun 137’nci maddesine göre bu suçun kamu görevlisi tarafından
ve görevinin verdiği yetki kötüye kullanılmak suretiyle veya belli bir meslek ve
sanatın sağladığı kolaylıktan yararlanmak suretiyle işlenmesi halinde
verilecek cezanın yarı oranında artırılacaktır. Yine bu suçun işlenmesi
dolayısıyla 140’ıncı madde hükmüne göre tüzel kişiler hakkında bunlara özgü
güvenlik tedbirlerine hükmolunacaktır.
E. Verileri Yok Etmeme
“Verileri yok etmeme” başlıklı 138’inci madde163 ile hukuka uygun
olarak kaydedilmiş olan kişisel verilerin kanunların belirlediği sürelerin geçmiş
olmasına rağmen yok edilmemesi bağımsız bir suç olarak tanımlanmıştır.
Örneğin Adli Sicil Kanunu’nun 12’nci maddesi, arşiv bilgilerinin ilgilinin ölümü
üzerine ve her halde kaydın girildiği tarihten itibaren seksen yılın geçmesiyle
tamamen silineceğini belirtmektedir. Eğer bu süre geçmesine rağmen kişinin
adli sicil arşiv kaydı silinmemiş ise, silmekle görevli olan kişi bağımsız bir suç
olarak düzenlenen 138’inci madde uyarınca cezalandırılacaktır. Yine bu
suçun işlenmesi dolayısıyla da 140’ıncı madde hükmüne göre tüzel kişiler
hakkında bunlara özgü güvenlik tedbirlerine hükmolunacaktır.
5237 sayılı Kanunda kişisel veri tanımının yapılmamış ve kişisel
verilerin korunmasına dair ayrıntılı düzenlemeye gidilmeyip sadece genel
hüküm ve yaptırımlarla yetinilmiş olunması, bu konuya dair özel bir kanunun
çıkarılması ihtiyacını daha da artırmaktadır. Bu amaçla hazırlanan Kişisel
Verileri Koruma Kanun Tasarısı’nın en kısa zamanda kabul edilerek
162
ÜLKÜ, a.g.m., s.15.
TCK m.138: “Kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok
etmekle yükümlü olanlara görevlerini yerine getirmediklerinde altı aydan bir yıla kadar hapis cezası
verilir.”
163
97
yürürlüğe sokulması, gerek hukuk sistemimizdeki kişisel hak ve özgürlüklerin
güvence altına alınması ile ilgili bir boşluğu dolduracak, gerekse de kişisel
verilerle ilgili olarak başka ülkelerden aktarılması istenilen bilgilerin elde
edilmesinde yaşanan zorlukları giderecektir.
IV. KĐŞĐSEL VERĐLERĐN KORUNMASI KANUNU TASARISI
A. Genel Olarak
Ülkemizdeki çeşitli mevzuatta yer alan farklı hükümler, kişisel verilerin
korunması amacı ile değil, ancak her bir hükmün ilgili olduğu sahalarda
zamanının ihtiyaçlarına cevap vermesi amacı ile düzenlemiş olduğundan ve
bunun paralelinde de kişisel verilerin korunmasına özgü felsefeden yoksun
bulunduğundan, konuya ilişkin artan ihtiyaca cevap verilmesi amacıyla,
hemen hemen tüm modern hukuk sistemlerinde olduğu gibi kişisel verilerin
korunmasına yönelik münhasır bir kanunun yürürlüğe girmesi kaçınılmaz
hale gelmiştir. Nitekim 108 sayılı Avrupa Konseyi Sözleşmesi ile 95/46 sayılı
AB Direktifi de ülkelerin söz konusu metni iç hukuklarıyla uyumlaştırılması
amacıyla Kişisel Verilerin Korunması Kanunu çıkarmaları gerektiğini
vurgulamıştır.
Bu bağlamda, Avrupa Konseyi’nin 108 sayılı Sözleşmesinin 4’üncü
maddesi, sözleşmenin onaylanabilmesi için imzalayan devletin sözleşmede
öngörülen ilkeler çerçevesinde bir yasa kabul etmesini zorunlu kılmıştır.
12’nci maddesi ise, bir devletin verilerin korunması konusunda bunların
eşdeğer düzeyde korunmasına ilişkin mevzuatı bulunmayan diğer bir devlete
sınır ötesi veri aktarımını yasaklayabileceği belirtilmiş ve bu kapsamda
örneğin, adli yardım anlaşmalarının uygulanması çerçevesinde, başta
Almanya olmak üzere, Konseye üye diğer devletler, Türk mahkemelerince
yapılan kişiler hakkındaki adres tespiti, istinabe gibi istemleri, 46 üyesi
bulunan Avrupa Konseyi’nin kişisel verilerin korunması konusunda kanunu
bulunmayan sadece 4 üye ülkesinden (Türkiye, Andorra, Armenia ve
98
Ukrayna) biri olan164 Türkiye’nin konuya ilişkin eşdeğer koruma mevzuatı
bulunmadığı için geri çevirmişlerdir.
Aynı şekilde, 10-11 Aralık 1999 tarihlerinde gerçekleştirilen Helsinki
Zirvesi sonucunda Türkiye’nin Avrupa Birliği’ne tam üye adayı olarak kabul
edilmiş olmasıyla, tam üyeliğe yönelik katılım süreci çerçevesinde bir çok
alanda
mevzuat
uyumu
çalışmaları
yapıldığından,
kişisel
verilerin
korunmasına ilişkin yasa çalışmalarında da, 95/46 sayılı Direktif ve konuya
ilişkin diğer AB mevzuatı göz önünde tutulmuştur. Zira Türkiye’de söz konusu
uluslarüstü metinlerle uyumlu bir yasanın bulunmaması, AB üyesi devletler ile
ülkemiz arasındaki bilgi akışını da olumsuz yönde etkilemektedir.165 Gerek
Türkiye’de faaliyet gösteren Avrupa Birliği şirketleri açsından ticari yaşamda,
gerekse resmi kurumlar arası ilişkilerde (örneğin uluslararası organize
suçlarla yapılan mücadele kapsamında EUROPOL tarafından yapılacak veri
transferleri) ve gerekse de adli istinabe taleplerine alınan yanıtlar açısından
hukuk hayatında, Türk hukuk sistemi ile AB veri koruma mevzuatının uyum
sergilememesi
nedeniyle
AB
ülkelerinden
Türkiye’ye
yapılan
veri
transferlerinde önemli sıkıntılar yaşanmaktadır.
Đşte bu ihtiyacın giderilmesi amacıyla, çeşitli kurum ve kuruluşlar,
meslek birlikleri ve sivil toplum örgütlerinin temsilcileri ile sektör temsilcileri ve
bilim danışmanlarından oluşan bir çalışma grubunca Adalet Bakanlığının
başkanlığında “Kişisel Verilerin Korunması Kanunu Tasarısı”166 hazırlanarak,
09.11.2005 tarihinde nihai haline getirilmiştir. Yukarıda belirtilen ihtiyaçların
karşılanması ve uluslararası bilgi akışının kolaylaştırılması amacıyla
164
“Kişisel Verilerin Korunması Projesi”, Erişim:
http://www.bilgiedinmehakki.org/tr/index.php?option=com_content&task=view&id=83&Itemid=24,
05.10.2009.
165
“Kişisel Verilerin Korunması Projesi”, Erişim:
http://www.bilgiedinmehakki.org/tr/index.php?option=com_content&task=view&id=83&Itemid=24,
05.10.2009.
166
Tasarıya ilişkin aşağıdaki kısımlarda tasarı metni ve gerekçesinden yararlanılmıştır. Tasarı ve
gerekçesi için bkz: http://www2.tbmm.gov.tr/d23/1/1-0576.pdf, 05.10.2009.
99
hazırlanan Tasarı 108 sayılı Avrupa Konseyi Sözleşmesi ile 95/46 sayılı
Avrupa Birliği Direktifinden ve özellikle 19.06.1992 tarihli Đsviçre Kişisel
Verileri Kanunundan büyük ölçüde etkilenmiştir.167
Tasarı Başbakanlık
tarafından 22.04.2008 tarihinde Türkiye Büyük Millet Meclisine sevk edilmiş
olup, halen Türkiye Büyük Millet Meclisinde bulunmaktadır.
Tasarı sistematik olarak şu bölüm başlıklarından oluşmaktadır:
Amaç, Kapsam ve Tanımlar
Kişisel Verilerin Đşlenmesi
Aydınlatma Yükümlülüğü ve Đlgili Kişinin Hakları
Yurtdışına Veri Aktarımı ve Tedbirler
Sicil, Sicile Kayıt ve Ön Đnceleme
Veri Koruma Denetim Kuruluşu ve Bildirim
Đstisnalar ve Meslek Kuralları
Kişisel Verileri Koruma Kurulu
Şikâyet ve Đnceleme Usulü
Soruşturma ve Kovuşturma Hükümleri
Son Hükümler
B. Tasarıyla Çizilen Amaç, Kapsam ve Tanımlar
Tasarının 1’inci maddesinde amacının; kişisel verilerin işlenmesinde
kişinin dokunulmazlığı, maddi ve manevi varlığı ile temel hak ve özgürlükleri
167
ÜZELTÜRK, a.g.e., s.103.
100
korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin uyacakları esas ve
usulleri düzenlemek olduğu belirtilmiştir. Böylelikle tasarı kişisel verilerin
korunması hakkını insan hakları kavramının ayrılmaz bir ilkesi olarak hukuk
sistemimize sokmaktadır.
Ancak,
tasarıda
kişisel
verilerin
korunması
hakkının
yalnızca
Anayasamızın 17’nci maddesinde belirtilen kişinin dokunulmazlığı, maddi ve
manevi varlığı hakkına dayandırıldığı görülmektedir. Oysa kanımızca bu
kavram, tezimizin temel varsayımları arasında da yer aldığı üzere, özel
hayatın gizliliği ilkesi ile daha fazla ilintilidir. Bu nedenle, kanunun amacının
belirlendiği madde hükmünün özel hayatın gizliliğinin korunması hakkına
vurgu yapılması suretiyle yeniden düzenlenmesinde fayda bulunduğu
değerlendirilmektedir.
Diğer taraftan, tasarı kişisel verilerin korunması hakkını bağımsız bir
temel hak olarak açıkça düzenlememesinden ötürü ŞĐMŞEK tarafından
eleştirilmiştir.168 Zira bu hakkın ayrı bir hak olarak düzenlenmesi, kişinin
haklarının korunmasını daha fazla garanti altına alacaktır. Ancak tasarıda
kişisel verilerin korunması hakkına bağımsız bir hak olarak vurgu
yapılmamasının nedeninin, bu hakkın Anayasamızda müstakil bir hak olarak
zikredilmemesinden kaynaklandığını düşünmekteyiz. Yapılması gereken ise,
hazırlanmakta olan Anayasa taslağında bu hakkın ayrı bir hak olarak
korunmasıdır.
Kapsamın belirlendiği 2’nci madde169 gerçek kişilerin yanı sıra tüzel
kişileri de koruma altına almıştır. Oysa, gerek 108 sayılı AK Sözleşmesi,
gerekse de 95/46 sayılı AB Direktifinde kural olarak tüzel kişiler kapsam
dışında
168
169
bırakılmış,
ülkeler
isterlerse
bu
konuyu
iç
hukuklarında
Oğuz ŞĐMŞEK, Anayasa Hukukunda Kişisel Verilerin Korunması, Đstanbul, Beta, 2008, s.207.
Tasarı m.2: “Bu Kanun hükümleri, kişisel verileri işlenen gerçek ve tüzel kişiler ile bu verileri
tamamen veya kısmen, otomatik olan veya olmayan yollarla herhangi bir veri kütüğüne dahil olacak
şekilde işleyen gerçek ve tüzel kişiler hakkında uygulanır. Bu Kanun hükümleri, kişisel verilerin
gerçek kişiler tarafından sadece kişisel veya birlikte oturanlarla ilgili faaliyetlerine ilişkin olarak
işlenmesi halinde uygulanmaz.”
101
düzenleyebilecekleri belirtilmiştir. Böyle bir mecburiyet olmamasına karşılık,
tasarıda kişisel verileri işleme tâbi tutulan tüzel kişilerin de düzenlemeye konu
edilmesi olumlu bir katkı olarak telakki edilebilir. Aynı şekilde, sözü edilen
uluslararası metinlerde zorunlu kılınmamış olunmasına rağmen, tasarı
hükümlerinin otomatik olan yollarla işlenen verilerin yanı sıra otomatik
olmayan yollarla (geleneksel dosyalama yöntemleri ile) işlenen veriler
hakkında da uygulanacağının ifade edilmiş olması da, çağdaş hukuk devleti
için müspet bir adım teşkil etmektedir. Maddede ayrıca, “herhangi bir veri
kütüğüne dahil olacak şekilde işleyen gerçek ve tüzel kişiler” ifadesi ile, bu
verileri işleme tâbi tutan kamu kurum veya kuruluşları ile gerçek ve özel
hukuk tüzel kişileri kast olunmuş ve özel sektör ile kamu sektörü bakımından
getirilen özel hükümler dışında bir ayırıma gidilmemiş olduğundan, öngörülen
usul ve esaslar her iki sektöre de uygulanabilecektir.
Tasarının 3’üncü maddesinde kişisel veri, kişisel verilerin işlenmesi,
veri kütüğü gibi çeşitli tanımlar170 yer almaktadır. Buna göre kişisel veriler;
sadece bireyin adı, soyadı, doğum tarihi ve doğum yeri gibi onun kesin
teşhisini sağlayan bilgiler değil, aynı zamanda kişinin aklî, psikolojik, fizikî,
kültürel, ekonomik, sosyal ve sair özelliklerine ilişkin verilerdir. Zira, bir kişinin
170
Bu tanımlar şu şekildedir:
Kişisel veri: “Belirli veya kimliği belirlenebilir gerçek ve tüzel kişilere ilişkin bütün bilgiler”,
Kişisel verilerin işlenmesi: “Kişisel verilerin otomatik olan veya olmayan yollarla elde edilmesi,
kaydedilmesi, depolanması, değiştirilmesi, silinmesi veya yok edilmesi, yeniden düzenlenmesi,
açıklanması veya başka bir şekilde elde edilebilir hale getirilmesi, üçüncü kişilere aktarılması,
kullanılmasının sınırlanması amacıyla işaretlenmesi veya tasniflenmesi veya kullanılmasının
engellenmesi gibi bu veriler üzerinde gerçekleştirilen bir işlem ya da işlemler bütünü”,
Anonim hale getirme: “Kişisel verilerin, belirli veya kimliği belirlenebilir bir gerçek kişiyle
ilişkilendirilemeyecek veya kaynağı belirlenemeyecek hale getirilmek suretiyle işlenmesi”,
Đlgili kişi: “Hakkında kişisel veri işlenen gerçek ve tüzel kişi”,
Veri kütüğü: “Gerçek ve tüzel kişilere ilişkin belirli bir kritere göre kişisel verilere ulaşımı
kolaylaştıracak şekilde yapılandırılmış herhangi bir kişisel veri grubunu”,
Veri kütüğü sahibi: “Kişisel verilerin işlenmesinin amaç ve metodlarını tek başına veya başkaları ile
birlikte belirleyen gerçek ve tüzel kişiler”,
Kişisel verileri işleyen: “Veri kütüğü sahibi adına, bu verileri işleyen gerçek ve tüzel kişiler”i ifade
eder
102
belirli veya belirlenebilir olması, mevcut verilerin herhangi bir şekilde bir
gerçek kişiyle ilişkilendirilmesi suretiyle o kişinin tanımlanabilir hale
getirilmesini ifade eder. Yani verilerin kişinin fiziksel, ekonomik, kültürel,
sosyal veya psikolojik kimliğini ifade eden somut bir içerik taşıması veya
kimlik, vergi, sigorta numarası gibi herhangi bir kayıtla ilişkilendirilmesi
sonucunda kişinin belirlenmesini sağlayan tüm halleri kapsar. Đsim, telefon
numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport
numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, genetik
bilgiler gibi veriler dolaylı da olsa kişiyi belirlenebilir kılabilme özellikleri
nedeniyle kişisel verilerdir.
Kişisel verilerin işlenmesi tanımı, verilerin toplanmasından başlayarak
tüm işlem türleri tanım kapsamı altına alınmaktadır. Kişisel verilerin bilgisayar
vb. otomasyon sistemlerinin kullanıldığı yöntemlerle işlenmesi gibi, otomatik
sistemler kullanılmadan manüel olarak (elden) işlenmesi hali de kişisel
verilerin işlenmesi kapsamında ele alınacaktır. Bu durum kişisel verilerin
korunması
hakkının
sınırlarının
tasarıda
oldukça
geniş
tutulduğunu
göstermektedir.
Tasarı Gerekçesine göre; veri kütüğünün, örneğin herhangi bir
kuruluşta o kuruluşun faaliyetini sürdürmek için düzenli olarak tuttuğu
dosyalama sisteminin bir parçası olması, kişilere ilişkin herhangi bir kritere
göre yapılandırılmış olması ve bu dosyanın halen ulaşılabilir olması
gerekmektedir. Veri kütüğü sahibi ise, verilerin saklanması ve kullanılmasını
(işlenmesini) kontrol eden ve bundan sorumlu olan; tüccarlar gibi gerçek
kişiler olabileceği gibi, kamu kurumları veya dernek ve vakıflar gibi tüzel
kişiler de olabilir. Grup şirketlerde ise, gruba dahil olan her şirket ayrı ayrı veri
kütüğü sahibi olarak kabul edilecektir. Kişisel verileri işleyenler ise, veri
kütüğü sahibi adına verileri işleyen gerçek ve tüzel kişilerdir. Bu kişiler verileri
işlemekte ancak kişisel veriler üzerinde kontrol yetkisi ve sorumluluk veri
kütüğü
sahibine
ait
bulunmaktadır.
Veri
işleyenlere
örnek
olarak
muhasebeciler, acenteler gibi başkası adına veri işleyen kurumlar sayılabilir.
103
Herhangi bir gerçek veya tüzel kişi aynı zamanda hem veri kütüğü sahibi,
hem de veri işleyen olabilir. Örneğin bir muhasebe şirketi kendi personeliyle
ilgili tuttuğu verilere ilişkin olarak veri kütüğü sahibi sayılırken, müşterisi olan
şirketlere ilişkin tuttuğu veriler bakımından ise kişisel verileri işleyen olarak
kabul edilecektir. Ancak veri kütüğü sahibi ile işçi işveren ilişkisi içerisinde
olan veya doğrudan talimatı altında bulunan kişiler kişisel verileri işleyen
olarak kabul edilmeyecektir.
C. Kişisel Verilerin Đşlenmesinde Uyulması Gereken Kurallar
Hukuk devletinin olmazsa olmaz koşulları arasında yer alan kanunilik
ilkesi, kişisel verilerin korunması hakkının kullanılmasında büyük önem
taşımaktadır. Tasarıda da “kanunilik ilkesi”nin temel ilke olarak benimsendiği
görülmekte olup, kişisel verilerin ancak kanunlarda öngörülen hâllerde
işlenebileceği ve kişisel verilerin işlenmesinin kanunla sınırlandırılabileceği
hükme bağlanmıştır. Bununla bireylerin özel hayatlarının korunması ve
verilerin işlenmesinde keyfiliğin önüne geçilmesi amaçlanmıştır.
1. Kişisel Verilerin Đşlenmesine Đlişkin Genel Đlkeler
Tasarının 5’inci maddesinde kişisel verilerin işlenmesine ilişkin genel
ilkeler sayılmıştır. Buna göre kişisel veriler:
Hukuka ve dürüstlük kurallarına uygun olarak işlenecektir.
Belirli, açık ve meşru amaçlar için toplanacak ve bu amaçlara aykırı
olarak yeniden işlenmeyecektir.
Toplandıkları amaçla bağlantılı, yeterli ve orantılı olacaktır.
Doğru olacak ve gerektiğinde güncellenecektir.
Đlgili kişilerin kimliklerini belirtecek biçimde ve kaydedildikleri veya
yeniden işlenecekleri amaç için gerekli olan süre kadar muhafaza
edilecektir.
104
Đlgili mevzuatta yeniden işlenme amacına yönelik yeterli koruma
tedbirleri getiren düzenlemenin bulunması veya kişisel verileri kontrol
eden tarafından bu yönde gerekli tedbirlerin alınması şartıyla tarihî,
istatistikî
veya
bilimsel
amaçlarla
yeniden
işlenebilecek
veya
öngörülenden daha uzun bir süre saklanabilecektir.
Yukarıda
maddeler
halinde
belirtilen
ilkeler,
kişisel
verilerin
işlenmesine ilişkin temel ilkeleri düzenleyen en önemli husus olup, 108 sayılı
Avrupa Konseyi Sözleşmesi ve 95/46 sayılı Avrupa Birliği Direktifi ile uyum
sergilemektedir. Bu ilkeler, diğer maddelerde sözü geçen bütün veri
işlemelerinde, hatta kişisel verilerin kamunun yararlanmasına açık olduğu
veya ilgili kişinin veri işlenmesine itirazının bulunmadığı hallerde dahi geçerli
olacaktır. Gerekçede de belirtildiği üzere, bu ilkelere göre veri kütüğü sahibi,
veri işleme amacını açık ve kesin olarak belirlemeli ve bu amaç meşru olmalı,
yine bu amaç ilgili kişiler tarafından biliniyor olmalıdır. Ayrıca veri kütüğü
sahipleri, oluşturulacak sicile kaydolurken, veri işleme amaçlarını da açıkça
belirteceklerdir. Belirttikleri bu amaçlar dışında başka amaçlarla veri işleyen
veri kütüğü sahipleri ise bu fiillerinden dolayı sorumlu olacaklardır. Aynı
zamanda bu verilerin belirlenen amaçlara aykırı olarak üçüncü kişilere
açıklanmaması gerekir. Diğer taraftan, işlenen kişisel verilerin belirlenen
amaçların gerçekleştirilmesi için yeterli olması, amacın gerçekleştirilmesiyle
ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden
kaçınılması gerekmektedir.
Keza, olası kullanıma olanak yaratılması için verilerin toplanması
yasaktır. Đlgili kişilere ait kişisel verilerin özellikle üçüncü kişilere aktarımı
neticesinde ilgili kişilerin zarara uğramaları durumunda, verileri doğru olarak
tutmayan veya güncellemeyen veri kütüğü sahibi, ilgili kişilerin uğradıkları
zararlar nedeniyle sorumlu olacaktır. Ayrıca, veri kütüğü sahiplerinin, verilerin
saklanma sürelerini açıkça belirlemeleri gerekmektedir. Herhangi bir veri,
daha fazla saklanması için geçerli bir sebep yoksa mutlaka silinecek veya
yok edilecektir. Gelecekte kullanma ihtimali gerekçesiyle veri saklanamaz. Bu
105
durum özel hayatın gizliliği ilkesi açısından çok önemli olup, koruma alanının
sınırının geniş tutulmasında ve devletin özel alana müdahalesinin dar
tutulmasında önemli bir yer arz etmektedir.
2.
Kişisel
Verilerin
Đşlenmesinde
Hukuka
Uygunluk
Sebepleri
Kişisel verilerin korunması, kişisel verilerin ancak hukuken cevaz
verilen hallerde işlenebilmesi ile mümkündür. Başka bir ifade ile kişisel
verilerin korunmasında çizilen sınır hukuk kurallarıyla düzenleme altına
alınan şartlar ile belirlenmektedir. Bu nedenle hukuka uygunluk sebepleri
korumanın içeriğinin saptanmasında temel kriter olmaktadır.
Tasarının 6’ncı maddesinde kişisel verilerin ancak ilgili kişinin açık
rızasıyla
işlenebileceği,
kanunlarda
öngörülen
yükümlülüklerin
getirilmesi dışında, ilgili kişinin bir itirazda bulunması hâlinde
yerine
verilerin
işlenemeyeceği hüküm altına alınmıştır. Diğer bir ifadeyle, kural olarak kişisel
verilerin işlenmesi yasak olup, kişinin rızası olması halinde verilerin
işlenmesine izin verilmektedir. Ancak tasarının madde lafzının ilgili kişinin
aydınlatıldıktan sonra rızanın alınması ve “itirazda bulunma halinde
işlenememe” yerine “kişinin rızası alınmadan işlenememe” durumuna, yani
rızanın önceliğine vurgu yapılacak şekilde formülize edilmesi yarar
sağlayacaktır.171 Bu konuda 95/46 sayılı Direktifte olduğu gibi rıza kavramının
tanımı yapılarak hukuki unsurları ve sınırları açıkça ortaya konulmalıdır.172
Maddede ilgilinin rızası verilerin işlenebilmesinde temel şart olarak
öngörülmekle beraber, ayrıca istisna mahiyetinde olmak üzere hukuka
171
172
ŞĐMŞEK, a.g.e., s.208.
95/46 sayılı Direktifin 2’nci maddesine göre rıza beyanı, ilgili kişinin kendisiyle ilgili veri
işlenmesi fiiline, özgürce ve konuyla ilgili yeterli bilgi sahibi olarak verdiği ve sadece o işlemle sınırlı
onay beyanı olup, bu kapsamda ilgili kişinin kendisine ait verilerin işlenmesini “tereddüde yer
bırakmayacak şekilde” kabul etmesini gerektirir. Detaylı bilgi için bkz.: BAŞALP, a.g.e., s.23-25.
106
uygunluk sebepleri sayılmıştır. Buna göre kişisel veriler ancak aşağıdaki
hallerde işlenebilecektir:
Kanunun öngördüğü bir zorunluluk dolayısıyla, kamu yararına veya
resmi olarak verilmiş bir görevin yerine getirilmesi amacıyla veri
işlenmesi,
Kişisel verilerin, ilgili kişinin rızasını açıklayamayacak durumda olması
hâlinde kendisinin veya başkasının hayatını veya beden bütünlüğünü
korumak amacıyla işlenmesi,
Bir sözleşmenin kurulması ve ifasıyla doğrudan doğruya ilgili olması
kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesi,
Đlgili kişiler tarafından açıklanmış olması veya açık sicillerde mevcut
bilgiler olması sebebiyle herkesçe bilinen kişisel verilerin işlenmesi,
Veri kütüğü sahibinin kendi haklı çıkarları için, ilgili kişinin temel hak ve
özgürlükleri ile meşru çıkarlarına zarar vermediği sürece, veri
işlemesinin zorunlu olması.
Tasarıda belirtilen hukuka uygunluk sebepleri tasarının en çok
eleştirilen kısımları arasında yer almaktadır. Öncelikle, kişisel verilerin
işlenmesinde “kamu yararı” gibi kapsam ve sınırları açıkça belli olmayan ve
sübjektif karakterdeki bir kriter koruma kapsamının son derece geniş
tutulmasına neden olmaktadır. Bu durum da kişisel verilerin kural olarak
işlenmesinin yasak olması ve hukuka uygunluk sebeplerinin istisnai olarak
getirilmesi ile korunmak istenen amaca aykırılık teşkil etmektedir. Yani bu
kritere dayanılarak kamu kurum ve kuruluşları yetkililerince yapılacak kişisel
yorumlarla
herkesin
her
türlü
kişisel
verisinin
işlenmesi
sonucunu
doğurabilecek işlemler vuku bulabilecek, bu nedenle de çeşitli kişilerin kişisel
verilerin
korunması
yaşanabilecektir.
hakkının
kullanmasında
çeşitli
mağduriyetler
107
Diğer yandan, kamu yararının kişisel verilerin işlenmesi için bir hukuka
uygunluk
nedeni
olarak
kabul
edilmesinin
anayasal
bir
dayanağı
bulunmamaktadır. Bilindiği gibi, Anayasamızın “Temel hak ve hürriyetlerin
sınırlanması”na ilişkin 13’üncü maddesinde, temel hak ve hürriyetlerin
özlerine dokunulmaksızın Anayasanın ilgili maddelerinde belirtilen sebeplere
bağlı olarak ve ancak kanunla sınırlanabileceği öngörülmüştür. “Özel hayatın
gizliliği” başlıklı 20’nci maddede ise bu hakkın ancak “millî güvenlik, kamu
düzeni, suç işlenmesinin önlenmesi, genel sağlık ve genel ahlâkın korunması
veya
başkalarının
hak
ve
özgürlüklerinin
korunması”
amacıyla
sınırlandırılabileceğinden bahsedilmiş olup, “kamu yararı” gibi bir ölçüt söz
konusu sınırlandırma nedenleri arasında yer almamıştır. Aynı şekilde,
tasarının amaçları arasında belirtilen, kişinin dokunulmazlığı, maddi ve
manevi varlığı hakkının düzenlendiği Anayasamızın 17’nci maddesinde de
böyle bir sınırlama nedeni sayılmamıştır. Dolayısıyla kamu yararı kriterinin
tasarıdan çıkarılarak sınırları daha somut ve kesin bir şekilde çizilecek
düzenlemelere gidilmesi daha doğru olacaktır.
3. Özel Niteliği Olan (Hassas) Kişisel Verilerin Đşlenmesine
Đlişkin Şartlar
Kişisel verilerin korunması hakkı açısından bel kemiği sayılabilecek bir
husus da “hassas veriler” olarak da adlandırılan “özel niteliği olan kişisel
veriler”dir. Bu tür veriler, başkalarınca öğrenilmeleri halinde özellikleri gereği
ilgili kişinin mağduriyetine yol açabilecek ve ayrımcılık tehlikesini oluşturacak
nitelikte hassas verilerdir. Özel nitelikteki verilere dolaylı da olsa erişim
imkanı veren veriler de bu kapsamda değerlendirilmelidir. Çünkü bu şekilde
kişinin siyasî görüşü, dinî veya felsefî inancına ilişkin bilgiler bu verilerden
elde edilebilecektir.
Tasarının 7’nci maddesinde özel niteliği olan kişisel veriler sayma
yöntemiyle “kişilerin ırk, siyasî düşünce, felsefî inanç, din, mezhep veya diğer
inançları; dernek, vakıf ve sendika üyeliği, sağlık ve özel yaşamları ve hür
türlü mahkûmiyetleri ile ilgili kişisel veriler” olarak tanımlanmış ve kural
108
olarak bu verilerin işlenemeyeceği hüküm altına alınmıştır. Ancak özel
hayatın ve aile hayatının gizliliğinin korunmasını sağlayacak yeterli
önlemlerin alınması şartıyla, aşağıda sayılan istisnai hallerde bu verilerin
işlenmesine cevaz verilmektedir:
Kanunla yasaklanmayan hallerde kişinin yazılı rızasının alınması,
Hukukî veya fiilî nedenlerle rızasını açıklayamayacak durumda
bulunan bir kişinin kendisinin veya bir başkasının hayatı veya beden
bütünlüğünün idamesi için veri işlemenin zorunlu olması,
Đlgili kişiye yeterli koruma imkânının sağlanması şartıyla, veri kütüğü
sahibinin, bu kanunla veya diğer kanunlarla tanınan hak ve yetkileri
kullanabilmesi veya yükümlülükleri yerine getirebilmesi için veri
işlemenin zorunlu olması173,
Vakıf, dernek, sendika ve siyasi partilerce, kuruluş amaçlarına ve tâbi
oldukları mevzuata uygun ve faaliyet alanlarıyla sınırlı olmak şartıyla,
üye ve mensuplarına yönelik ve ilgili kişinin rızası olmadan üçüncü
kişilere açıklanmamak kaydıyla veri işlenmesi,
Đlgili kişi tarafından alenen açıklanmış olan veriler hakkında olması174,
Hukuken bir hakkı tesis, kullanma veya korunması için veri işlemenin
zorunlu olması175,
Koruyucu hekimlik, tıbbî teşhis, tedavi, bakım veya sağlık hizmetlerinin
yürütülmesi amacıyla kişisel verilerin; sağlık kurumları, sigorta
173
Örneğin sağlık konularına ilişkin olmak üzere Umumî Hıfzıssıha Kanunu ile özel nitelikteki kişisel
verilerin işlenebilme olanağı ihdas edilmişse Sağlık Bakanlığı veya ilgili bir başka kuruluş bu verileri
işleyebilecektir. Bkz.: Madde gerekçesi.
174
Đlgili kişi tarafından alenen açıklanan, böylelikle herkes tarafından bilinen bu tür verilerin
işlenmesinde, korunması gereken hukuki yararın ortadan kalktığı kabul edilmektedir. Yine de, bu
halde dahi kişinin özel alanı ve temel hak ve özgürlükleri korunmalıdır. BAŞALP, a.g.e, s.122.
175
Yargılama faaliyetleri veya adlî işlemler nedeniyle yerine getirilen işlemler kastedilmektedir.
109
şirketleri, sosyal güvenlik kurumları, işyeri sağlık birimi oluşturmakla
yükümlü işverenler, sağlıkla ilgili okul ve üniversiteler tarafından ilgili
kanunlara uygun olarak, hukuken veya meslek kurallarına göre sır
saklama yükümlülüğü altında bulunan sağlık personeli veya eşdeğer
seviyede sır saklama yükümlülüğü altındaki bir başka kişinin gözetimi
altında işlenmesi.
Yukarıda belirtilen istisnalar hassas verilere özel olarak düzenlenen
hukuka uygunluk sebepleridir. Yani kural olarak hassas verilerin işlenmesi
yasak olup tasarıyla istisnalar getirilmiştir. Ancak tasarı yalnızca bu
istisnalarla kalmamış ve bunun yanı sıra birçok hususu da istisna olarak
düzenleme altına almıştır. Örneğin; suçun soruşturulmasına, koruma ve
kontrol tedbirlerine ve ceza mahkûmiyetlerine ilişkin özel nitelikteki kişisel
verilerin, ilgili kanunlarda yeterli koruma tedbiri bulunması kaydıyla, yetkili
mercilerin kontrolü altında işlenebileceği, ancak ceza mahkûmiyetlerine ilişkin
sicilin sadece Adalet Bakanlığı’nın kontrolü altında tutulabileceği; idarî
nitelikteki yaptırımlar ve özel hukuk alanındaki mahkeme kararlarına ilişkin
verilerin de resmî mercilerin kontrolü altında işlenebileceği; vatandaşlık kimlik
numarası veya benzeri karakteristik işaretlerin işlenme usul ve esaslarını
belirlemek amacıyla yapılacak
yönetmeliklerde Kişisel Verileri Koruma
Kurumun görüşü alınacağı istisna olarak düzenlenmiştir.
Tasarıda bunun dışında; özel hayatın ve aile hayatının gizliliğine
dokunmamak şartıyla, “temel kamu yararlarının” gerektirmesi hâlinde, ilgili
mevzuatta yeterli koruma tedbiri bulunması kaydıyla, Kişisel Verileri Koruma
Kurulunun özel niteliği olan kişisel verilerin işlenmesine karar verebileceği
hükmüne yer verilmek suretiyle,
oldukça tartışmalı bir istisna daha
getirilmiştir.
Bu husus idarece hassas veriler hakkındaki işlem yasağının delinmesi
anlamına gelmektedir. Ayrıca daha önce belirtildiği gibi, “temel kamu yararı”
gibi muğlak bir ibare özel yaşamın gizliliği ilkesine darbe vurabilecektir. Doç.
Dr. Oğuz ŞĐMŞEK “ağırlıklı kamu yararı”nın söz konusu olduğu istisnai
110
durumlarda bu tür müdahalelerin yapılabileceğini176 öngörmüşse de, bu
kavramın da sınırları açıkça çizilmediğinden özel yaşamın gizliliği ilkesine
aykırılık teşkil edebilecektir. Kaldı ki, yine yukarıda da belirtildiği üzere
Anayasamızın özel hayatın gizliliğine dair 20’nci maddesindeki sınırlandırma
nedenleri arasında dahi bu ifade yer almamaktadır. Bu nedenle, tasarının söz
konusu hükmünün Anayasaya aykırılığı gündeme gelebilecektir.
4. Kişisel Verilerin Đşlenmesi Sırasında Alınacak Tedbirler:
Bilgi Güvenliği
Kişisel verilerin korunması kavramı, bu verilerin toplanmasından
muhafazasına
ve
üçüncü
kişilere
transfer
edilmesine
kadarki
tüm
aşamalarda, yani işleme faaliyetleri sırasında idari ve teknik olarak
korunmasını lüzumlu kılmaktadır. Tasarının 15’inci maddesi Gerekçesine
göre; veri kütüğü sahibi, kişisel verilerin tedbirsizlikle veya hukuka aykırı
amaçlarla yok edilmesini, kaybolmasını, değiştirilmesini, yetkisiz olarak
açıklanmasını veya aktarılmasını ve başka şekillerdeki tüm hukuka aykırı
işlenmelerini önlemek için, korunacak verinin niteliği, teknolojik imkânlar ve
uygulama maliyetine göre uygun teknik ve idarî tedbirleri almak zorundadır.
Bu tedbirler, teknolojinin ulaştığı en üst düzey ve uygulanma maliyeti de
dikkate
alınarak,
korunacak
verinin
niteliğine
ve
işlenmeden
kaynaklanabilecek risklere karşı uygun bir güvenlik seviyesi sağlamalıdır. Bu
idarî tedbirler arasında kişisel verilerin korunması konusunda uygun idarî
personel istihdam edilmesi de bulunmaktadır. Verilerin, veri kütüğü sahibi
adına başka bir işleyen tarafından işlenmesi halinde, veri kütüğü sahibinin,
işleyenin yeterli teknik ve idarî tedbirleri temin etmesini bir sözleşme veya
hukukî tasarrufla yazılı olarak yükümlü tutması zorunludur.
Söz konusu düzenleme daha çok bilgi güvenliği kavramına ilişkin olup,
kişisel verilerin teknik ve fiziki olarak korunmasını kapsamaktadır. Kişisel
176
ŞĐMŞEK, a.g.e., s.88.
111
verilerin
korunması
kavramının
alt
kavramı
olan
bu
kavrama
ilk
bölümümüzde değinmiştik.
5. Kişisel Verilerin Anonim Hale Getirilmesi, Silinmesi veya
Yok Edilmesi
Kişisel verilerin korunması aynı zamanda ihtiyaç duyulmayan kişisel
verilerin koruma tedbiri veya ispat amacıyla muhafazasının gerekli olmadığı
durumlarda anonim hâle getirilmesini veya yok edilmesini de içermektedir.
Olası kullanım nedeniyle kişisel verilerin işlenememesi gibi, genel ilkeleri
taşımayan veya kullanma gereği ortadan kalkmış verilerin de lüzumsuz yere
saklanmaması, bu nedenle de imha edilmesi gerekmektedir. Zira, bu veriler
gereksiz yere saklandığı sürece temel hak ve hürriyetlerin ihlali tehlikesi
devam edecek, bireylerin mağduriyetine sebebiyet verilebilecektir. Tasarı bu
durumu düzenleme altına almıştır.
Ayrıca tasarıda, kişisel verilerin anonim hale getirilmesi kaydıyla
araştırma, plânlama ve istatistik gibi amaçlarla işlenebileceği ve sonuçların
üçüncü kişilere aktarılabileceği veya yayımlanabileceği belirtilmiştir. 108
sayılı Sözleşme ve 95/46 sayılı Direktif ile uyum sağlayan bu düzenleme,
verinin kişiyle bağlantısı kurulamayacağından artık kişisel veri olma özelliğini
yitirdiğini, dolayısıyla da herhangi bir hak ihlalinin söz konusu olamayacağını
içermektedir.
Ç. Kişisel Verilerin Transfer Edilmesi Halleri
Kişisel verilerin korunması, bu verilere yalnızca yetkili kişilerin
erişmesini ifade eden bir kavramdır. Bu ifade aynı zamanda verilerin üçüncü
kişilere aktarılmasında da belirli şartların geçerli olduğunu ve bu şartlar
dahilinde yalnızca yetkili kişilere aktarılabileceğini anlatmaktadır.
Her ne kadar verilerin üçüncü kişilere aktarılması, tasarının 3’üncü
maddesinde yapılan “kişisel verilerin işlenmesi” tanımına dahil olsa da,
112
konuyla ilgili oluşabilecek tereddütlerin giderilmesi bakımından açıkça
düzenlenmesinin yararlı olacağı değerlendirilerek ayrı maddelerde ele
alınmıştır. Biz konuyu yurt içi ve yurt dışı veri transferine ilişkin tasnif etmeyi
uygun gördük.
1. Kişisel Verilerin Yurt Đçinde Transfer Edilmesi
Tasarının 8’inci maddesi kişisel verilerin paylaşımını üç farklı kriterde
düzenlemiştir:
Üçüncü kişilere aktarımı,
Kamu kurum ve kuruluşlarından kamu kurum ve kuruluşlarına
aktarımı,
Kamu kurum ve kuruluşlarından üçüncü kişilere aktarımı.
Ancak, burada üçüncü kişi kavramı açık bir şekilde tanımlanmamıştır.
Biz, üçüncü kişi kavramı olaya taraf olmayan tamamen bağımsız herhangi
biri anlamına geldiğinden dolayı, gerçek ve tüzel kişiler ile birlikte kamu tüzel
kişilerinin de bu kapsamda değerlendirilmesi gerektiği kanaatindeyiz.
a. Kişisel Verilerin Üçüncü Kişilere Aktarılması
Tasarıda kişisel verilerin üçüncü kişilere aktarılması kural olarak
yasaklanmıştır. Ancak şu hallerde verilerin üçüncü kişilere aktarılmasına izin
verilmektedir:
Aktarmayı isteyen gerçek ve tüzel kişilerin belirli bir olayda kanundan
doğan bir görevini yerine getirmesi için bu bilgiye ihtiyaç duyması,
113
Kanunun öngördüğü bir zorunluluk dolayısıyla, kamu yararına177 veya
resmi olarak verilmiş bir görevin yerine getirilmesi amacıyla veri
işlenmesi,
Veri kütüğü sahibinin kendi haklı çıkarları için, ilgili kişinin temel hak ve
özgürlükleri ile meşru çıkarlarına zarar vermediği sürece veri
işlemesinin zorunlu olması.
b. Kişisel Verilerin Kamu Kurum ve Kuruluşlarından
Kamu Kurum ve Kuruluşlarına Aktarılması
Tasarıya göre, kişisel veriler kamu kurum ve kuruluşlarınca aşağıdaki
amaçlarla yapılan istihbarî faaliyetlerle ilgili olarak kanundan doğan bir
görevin yerine getirilmesi için gerekli olması hâlinde ilgili kamu kurum ve
kuruluşuna aktarılabilecektir:
Millî güvenliğin ve millî savunmanın sağlanması,
Suçun önlenmesi veya soruşturulması.
Buradaki milli güvenlik, milli savunma, suçun önlenmesi gibi kavramlar
yine muallak ve kişisel yoruma açık kavramlar olup, bunların sınırlarının ilgili
kamu kurum ve kuruluşlarının görev ve yetkilerine ilişkin kanunlarında
çizilmesi ve hukuka uygun olarak görevlendirdikleri yetkililerinin görevlerini
yürütürken bu hususa uymaları önem arz etmektedir.
c. Kişisel Verilerin Kamu Kurum ve Kuruluşlarından
Üçüncü Kişilere Aktarılması
Tasarıda kamu kurum veya kuruluşlarına şu hallerin varlığından
bahisle
kişisel
verilerin
üçüncü
kişilere
aktarılmasını
reddedebilme,
sınırlandırabilme veya şarta bağlayabilme imkanı getirilmiştir:
177
Kamu yararı kriterine ilişkin yukarıda söylediğimiz hususlar burada da geçerlidir.
114
Kamu yararı178,
Sır saklama yükümlülüğü,
Đlgili kişinin meşru menfaati,
Kişisel verilere ilişkin özel koruma kuralları.
2. Kişisel Verilerin Yurt Dışına Transfer Edilmesi
Kişisel verilerin korunması konusuna ilişkin problemlerin yaşandığı ve
bu nedenle ülkelerin düzenlemelere gittiği önemli hususlardan biri de
şüphesiz yurt dışına bilgi aktarımı meselesidir. Ülkemiz daha önce
belirttiğimiz sebeplerden ötürü özellikle Avrupa Birliği ile olan ticari ve
bürokratik ilişkilerde bazı zorluklarla karşı karşıya olduğundan, konu ayrı bir
maddede, tasarının 14’üncü maddesinde düzenlenmiştir. Buna göre; kişisel
veriler ancak verinin istendiği yabancı ülkede kişilik haklarının korunması
açısından eşdeğer ve etkin koruma bulunuyorsa yurt dışına aktarılabilecektir.
Ancak, madde uyarınca eşdeğer ve etkin bir koruma olmasa dahi,
aşağıdaki hallerde kişisel verilerin yurt dışına aktarılmasına müsaade
edilmektedir:
Đlgili kişinin açık rızasının bulunması,
Đlgili kişi ile veri kütüğü sahibi arasında bir sözleşmenin yapılması,
Sözleşme öncesi ilişkinin yürütülmesi veya sözleşmenin ifası için
aktarımın gerekli olması,
Suçun önlenmesi veya bir hakkın tespiti, icrası veya korunması için
aktarımın gerekli veya kanun gereği zorunlu olması,
178
Kamu yararı kriterine ilişkin yukarıda söylediğimiz hususlar burada da geçerlidir.
115
Veri konusu kişinin hayatı veya beden bütünlüğünün idamesi için
aktarımın zorunlu olması,
Veri aktarımının, ilgili mevzuatın aradığı şartları yerine getirmek
koşuluyla kamunun veya ilgisini ispat eden herkesin erişimine açık
bulunan sicillerden yapılması.
Öte yandan, yabancı ülkede bulunan veri kütüğü sahibinin eşdeğer ve
uygun bir korumayı yazılı olarak taahhüt etmesi ve Kurulun izninin bulunması
halinde kişisel veriler yurt dışına aktarılabilecektir. Bununla, kişisel verilerin
yurt içindeki koruma düzeyinin verinin yurt dışına çıkması halinde de sabit
kalması amaçlanmıştır.
D. Kişisel Verileri Đşlenen Kişinin Bilgi Edinme Hakkı
Kişisel verilerin korunması hakkı aynı zamanda kişinin hakkında kişisel
veri işlenip işlenmediği, işlenmişse bu verilerden hangilerini kimlerin, hangi
amaçla, ne şekilde, ne zaman ve nerede işlediği, bu verilerin işlendikten
sonra ne yapıldığı ve hangi işleme tabi tutulduğu gibi bilgileri öğrenme
hakkını da kapsamaktadır. Zira kişisel verilerin korunması hakkından söz
edebilmek için öncelikle kişiler tarafından bunun talep edilmesi, talep
edilebilmesi için de konu hakkında bilgi sahip olunması gerekmektedir.
Dolayısıyla kişisel verilerin korunmasının talep edilmesinden önce bilgi
edinme hakkının kullanılması bir gereklilik arz etmektedir.
Ancak, bu hakkın öznesine göre iki yansıması bulunmaktadır: Birincisi
kişisel verileri işleyen veri kütüğü sahibinin söz konusu veriye konu kişiye
işleme faaliyetleri hakkında bilgi vermesidir, ki buna “pasif bilgi edinme hakkı”
diyebiliriz, ikincisi de ilgilinin veri kütüğü sahibine başvurarak hakkındaki veri
işleme faaliyetlerine dair bilgi istemesidir, ki buna “aktif bilgi edinme hakkı”
diyebiliriz. Genellikle pasif bilgi edinme olmadan, yani veri kütüğü sahibi
ilgiliyi bilgilendirmeden, ilgilinin aktif olarak bilgi edinme hakkını kullanması
116
söz konusu olmadığından, bu ikisinin birbirini tamamladığını179 söylemek
yanlış olmayacaktır. Đşte bu nedenle tasarı konuyu bütünüyle ele almıştır.
Tasarının “Aydınlatma yükümlülüğü” başlıklı 11’inci maddesi, pasif
bilgi edinme hakkını düzenlemiştir. Buna göre; veri kütüğü sahibi180, kişisel
verilerin elde edilmesi sırasında ilgili kişilere; veri kütüğü sahibi ve varsa
temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, kişisel verilerin
kimlere aktarılabileceği, veri toplamanın yöntemi, hukukî sebebi ve muhtemel
sonuçları, kişisel verileri öğrenme hakkı ile düzeltme hakkı konusunda bilgi
vermekle yükümlüdür. Ayrıca verilerin daha sonraki kullanımları hakkında da
ilgili kişiye bilgi verilmeli, böyle bir kullanıma izin verip vermeyeceği
konusunda iradesi alınmalıdır. Yine eğer veri kütüğü sahibi, kişisel verileri
daha sonraki bir zamanda, elindeki mevcut verileri elde ettiği esnada
belirtmediği bir amaç için kullanacaksa, bununla ilgili olarak ilgili kişiye bilgi
vermeli ve bu konudaki rızasını almalıdır. Bu sayede veri kütüğü sistemi
sahibi veri korumasında önemli kriterler olan şeffaflık ve ilgili kişinin açık
rızasını elde etmeyi gerçekleştirmiş olacaktır. Kişisel verilerin, ilgili kişi
dışındaki kaynaklardan edinilmesi hâlinde de ilgili kişiye yukarıdaki bilgilerle
birlikte işleme konu olan veri kategorileri hakkında bilgi verilecektir.
Tasarının “Đlgili kişinin hakları” başlıklı 12’nci maddesi ise aktif bilgi
edinme hakkını düzenlemiştir. Anayasamızdaki eşitlik ilkesine uygun olarak,
bilgi edinme hakkına herkes başvurabilecektir. Buna göre, herkes veri kütüğü
sahibine başvurarak; kendisiyle ilgili kişisel veri kaydedilip kaydedilmediğini
öğrenmek, kaydedilmişse bunları talep etmek, verinin muhtevasının eksik
veya gerçeğe aykırı olması hâlinde bunların düzeltilmesini, hukuka aykırı
olması
179
180
hâlinde
ise
silinmesini,
yok
edilmesini
veya
aktarımının
ŞĐMŞEK, a.g.e., s.90.
ŞĐMŞEK kişisel verilerin korunmasına ilişkin sorumlu kişi veya makamın ortaya konulabilmesi
açısından “veri kütüğü sahibi” kavramı yerine, 95/46 sayılı Direktifte olduğu gibi “veri kütüğü
sorumlusu” ifadesinin kullanılmasının daha doğru olacağını belirtmektedir. Bkz. ŞĐMŞEK, a.g.e.,
s.210.
117
engellenmesini, buna göre yapılacak işlemlerin verilerin açıklandığı üçüncü
kişilere bildirilmesini istemek
hakkına sahip tutulmuştur. Ancak; milli
güvenliğin korunması, milli savunmanın gerçekleştirilmesi, suçun önlenmesi
veya istihbarat amacıyla yapılan faaliyetlerle ilgili olarak kanundan doğan bir
görevin yerine getirilmesi, ceza soruşturması veya kovuşturmasına zarar
verilmesinin
engellenmesi
hallerinde
kişilerin
bilgi
edinme
hakkı
sınırlandırılmıştır.
Son olarak, kişisel verileri işlenen kişinin bilgi edinme hakkına dair şu
hususu belirtmekte fayda vardır: Kamu kurum ve kuruluşları ile kamu kurumu
niteliğindeki meslek kuruluşlarının faaliyetlerine ilişkin bilgi edinme hakkı Bilgi
Edinme Hakkı Kanununa tabidir. Ancak ilgilinin kişisel verileri konusunda bilgi
edinme hakkını kullanmasında kamu kurum ve kuruluşları ile kamu kurumu
niteliğindeki meslek kuruluşları Kişisel Verilerin Korunması Kanununa tabi
olacaktır. Bu nedenle tasarıda hüküm olmayan hallerde Bilgi Edinme Hakkı
Kanunu hükümlerine atıf yapılması yararlı olacaktır.181
E. Kişisel Verilerin Hukuka Aykırı Olarak Đşlenmesi Suçunun
Soruşturulması ve Kovuşturulması ve Đdari Para Cezaları
Tasarı soruşturma ve kovuşturma hükümlerine de yer vermektedir.
50’nci maddede; kişisel verilerin hukuka aykırı olarak işlenmesi suçu için Türk
Ceza Kanununun 135’inci maddesinde belirtilen cezaya hükmedileceği, söz
konusu fiilin özel niteliği olan kişisel veriler hakkında işlenmesi hâlinde de
aynı cezaya hükmolunacağı, hukuka aykırı olarak kişisel verileri açıklayan,
yayan, bir başkasına veren, aktaran veya ele geçiren kişi hakkında Türk
Ceza Kanununun 136’ncı maddesine göre ceza verileceği, tasarıdaki temel
ilkelere aykırı kişisel verilerin silinmemesi veya yok edilmemesi halinde Türk
Ceza Kanununun 138’inci maddesine göre cezalandırılacağı belirtilmektedir.
181
BAŞALP, a.g.e., s.113.
118
Gerek 108 sayılı Sözleşme, gerekse de 95/46 sayılı Direktif, öngörülen
ilkelerin gereken şekilde uygulanabilmesini sağlamak üzere ülkelerin iç
hukuklarında etkin yaptırımlar öngörmelerini belirttiğinden, maddede 5237
sayılı Türk Ceza Kanununun 135 ve devamı maddelerine paralel olarak ceza
hükümleri öngörülerek bu eksiklik giderilmiştir. Tasarıda ayrıca, tanımlanan
suçların bir tüzel kişinin faaliyeti çerçevesinde işlenmesi halinde ilgili tüzel kişi
hakkında Türk Ceza Kanununun 60’ıncı maddesinde belirtilen tüzel kişilere
özgü güvenlik tedbirlerine hükmolunacağı da ifade edilmiştir. Sorumluluk
ilkesinin bir gereği olarak konulan bu cezalara ilişkin detaylı bilgiye önceki
bölümlerde yer verilmiştir.
Diğer taraftan, tasarının 53’üncü maddesi öngörülen yükümlülüklere
aykırılık hallerinde idari para cezası verileceğini belirlemektedir. Ancak tasarı
yükümlülükler açısından özel kişilerin yanı sıra kamu kurum ve kuruluşlarını
da kapsamına aldığından, bu hüküm devlet tüzel kişiliğinin devlet tüzel
kişiliğine ceza vermesi sonucunu doğurabilecektir. Ayrıca, kamu görevlilerinin
yasalar tarafından kendilerine verilen görevleri yerine getirmemeleri Türk
Ceza Kanununa göre görevi ihmal suçunu oluşturmakta ve hapis cezası ile
cezalandırılmakta olduğundan, bu durum karşısında idari para cezaları
öngören bu madde çeşitli sorunlara neden olabilecektir.
F. Tasarıda Getirilen Đstisnalar
Tasarı kişisel verilerin korunmasına dair detaylı ve oldukça kapsamlı
bir düzenlemeye gitmekle beraber, 22’nci maddesinde belirttiği istisnalar ile
Kanunun uygulanmasında çeşitli esneklikleri beraberinde getirmektedir. Buna
göre; tasarıdaki hukuka uygunluk sebepleri, aydınlatma yükümlülüğü, veri
kütüğü sicili, sicile kayıt ve ön inceleme konularıyla ilgili maddeler şu hallerde
uygulanmayacaktır:
Milli güvenliğin korunması, milli savunmanın gerçekleştirilmesi veya bu
amaçla yapılan istihbarî faaliyetlerin yürütülmesi,
119
Kamu düzeninin korunması,
Suçun önlenmesi için gerekli olması, suç veya meslek ahlak kurallarını
ihlâl eden eylemlerin soruşturulması veya kovuşturulması,
Bütçe, vergi ve mâli konulara ilişkin olarak devletin önemli ekonomik
veya malî çıkarlarının gerektirmesi,
Bu konularda, resmî mercilerin izleme, denetleme veya düzenleme
görevlerinin gerektirmesi.
Yukarıdaki kısımlarda da vurgulandığı üzere, buradaki milli güvenlik,
milli savunma, suçun önlenmesi, kamu düzeni gibi muğlak ibareler özel
yaşamın gizliliği ilkesinin uygulanmasına bazı engeller getirebilecektir.
Ülkemizin de imzaladığı uluslararası düzenlemelerce üye devletlere bu
istisnaların getirilmesi hakkı tanınmış olmakla beraber, hukuk devleti ilkesi
gereğince devletlerin kendi iç uygulamalarında bu kavramların sınırlarını belli
etmeleri
gerekmektedir.
Bunların
sınırlarının
ilgili
kamu
kurum
ve
kuruluşlarının görev ve yetkilerine ilişkin kanunlarında çizilmesi ve hukuka
uygun olarak görevlendirdikleri yetkililerinin görevlerini yürütürken bu hususa
uymaları önem arz etmektedir.
Diğer
yandan
yukarıda
belirtilen
bazı
istisnaların
devlet
sırrı
kavramıyla da bağlantısının olduğu görülmekle beraber, buna dair herhangi
bir atıfta bulunulmadığı anlaşılmaktadır. Bundan dolayı, söz konusu
kavramların kapsamının detaylı olarak belirlendiği Devlet Sırrı Kanunu
Tasarısına göndermeler yapılması yararlı olabilecektir.
Tasarıda
ticari
sırra
ya
da
meslek
sırrına
ilişkin
doğrudan
göndermelere yer verilmemekle beraber, özellikle Ticarî Sır, Banka Sırrı ve
Müşteri Sırrı Hakkında Kanun Tasarısıyla getirilen düzenlemelere yahut sırrın
ifşasına dair çeşitli kanunlarda bulunan hükümlere aykırılık teşkil eden bir
husus bulunmamaktadır. Dolayısıyla bu konudaki kişisel verilerin korunması
açısından bir aksaklık söz konusu değildir.
120
Söz konusu tasarının bir an önce kanunlaştırılarak Türk hukuk sitemi
içerisinde yerini alması, gerek ulusal gerekse de uluslararası veri akışını
kolaylaştırmanın yanı sıra, özel hayatın gizliliğinin sağlanması açısından da
bireylerin garanti altına alınmasına neden olacaktır. Zira, konuya ilişkin genel
hükümler yetersiz kalmakta, kamu kurumları açısından özel kanunlardaki
hükümler ile özel sektörün kendi kendilerine belirledikleri etik ilkeler kişisel
verilerin korunmasıyla ilgili ülke çapında standart normların oluşturulmasında
dağınıklık arz etmektedir.
121
SONUÇ
1980’lerden günümüze kadar geçen sürede bilişim teknolojilerinde
gözlenen büyük ivme, insanoğlunun yaşamında büyük kolaylıklar sağlamanın
yanı sıra, bazı dezavantajları da beraberinde getirmiştir. Bu avantajlar
arasında kişilere ait verilerin büyük bir hızda ve kolaylıkla gerek ülke içerisine
gerekse de sınır ötesine transfer edilmesi, bu sayede kişilerin ihtiyacı olan
işlemlerin de zaman ve efor sarf etmeksizin gerçekleştirilmesi yer almaktadır.
Bu şekilde sözgelimi dünyanın öbür ucundaki bir kişiyle ticari ilişki içerisine
girebilmek
yahut
devletle
olan
işlemleri
ekstra
formalitelere
lüzum
kalmaksızın hızla halledebilmek olanağı sağlanmıştır.
Ancak, globalleşen dünyada kişisel verilerin hızla ve yığınlar halinde
kaydedilmesi ve üçüncü kişilere aktarılması imkânını getiren teknolojideki bu
gelişme, modern çağın en önemli değeri olarak kabul edilen bireyin temel hak
ve hürriyetlerinin ihlal edilmesine ve çeşitli mağduriyetlerin zuhur etmesine
neden olabilecektir. Zira, tamamen kişinin özel yaşamına ait olan ve gizliliği
evrensel bir ilke olarak koruma altına alınan “kişisel veriler”in yetkisi olmayan
kişilerin eline geçmesi halinde, söz konusu verinin öznesi bu durumdan zarar
görebilecektir.
Modern hukuk anlayışı, bireyin en kutsal hazinesi sayılan kişilik
haklarının korunması üzerine inşa edilmiştir. Bu nedenle, kişilerin yaşamını
kolaylaştırmak üzere geliştirilen veri kayıt ve transfer teknolojisi ile kişilik
haklarının aşınmasının önlenmesi için ülkeler hukuki düzenlemelere gitme
ihtiyacı duymuşlardır.
Đşte kişisel verilerin korunması müessesesi de bu noktada ortaya
çıkmıştır. Çünkü kişisel verilerin korunması, özel hayatın korunması ve
verilerin işlenmesi arası dengedir. Başka bir deyişle, kişinin temel hak ve
hürriyetlerine zarar vermeksizin kişisel verilerin kaydedilip çeşitli işlemlere
122
tabi tutulması ve aktarılması imkânı sağlanmalı ancak bu imkân, yetkili
kişilerin kullanımıyla ve hukuki amaçlarla sınırlandırılmalıdır.
Konuya ilişkin güncel olaylara bakıldığında, kamuoyunda “fişleme”
ifadesiyle adını sıkça duyuran ve kolluk ve istihbarat birimlerince kişilere ait
bazı
bilgilerin
kaydedilmesi
işlemlerinin
insan
haklarıyla
bağdaşıp
bağdaşmadığının sıkça tartışıldığı görülmektedir. Öncelikle belirtmek gerekir
ki, kamu organlarının Anayasa ile kendilerine verilmiş görevleri yerine
getirebilmeleri için kişisel verileri toplamaları elbette bir lüzum arz etmektedir.
Özellikle kolluk ve istihbarat birimlerinin kamu düzeninin sağlanması, milli
birlik ve bütünlüğün korunması gibi amaçlarla önleyici ve bastırıcı faaliyetleri
yürütebilmeleri
ancak
bu
birimlerin
kişisel
verileri
işlemeleri
ile
sağlanabilecektir. Fakat bu faaliyetlerin yürütülmesi sırasında ilgili kişilerin
temel hak ve hürriyetlerinin mümkün olduğunca az sınırlanması, olabilecek
en az müdahale seviyesinde bu görevlerin yerine getirilmesi gerekmektedir.
Zira demokratik sosyal toplum düzeninin tesisi için, kişisel özgürlük
alanlarının engellerle karşılaşmaması, kişilerin Anayasada tanınan özgürlük
haklarını çekinmeden ve herhangi bir kaygıya düşmeksizin kullanabilmeleri,
George Orwell’in “Bindokuzyüzeksendört” adlı eserinde ortaya konulduğu gibi
kişilerin her hareketinin izlendiği yönünde paranoyaya itilmemeleri önem
göstermektedir. Bu nedenle, kamu organlarının görev ve yetkilerinin sınırları
görev kanunlarında açıkça çizilmeli, bu yetkileri aşacak faaliyetlerin
yürütülmesine izin verilmemelidir. Ayrıca ancak amaca uygun kişisel veriler
işlenmeli, amacı aşan yahut olası kullanım amacıyla toplanan veriler
kaydedilmemelidir. Örneğin, bir kişi hakkında organize suç faaliyetine ilişkin
kolluk kuvvetlerinin yaptığı dinleme-takip çalışmaları sırasında kişinin siyasi
görüşüne veya sağlık durumuna dair bilgilerin elde edilmesi halinde, bu
verilerin işlenmesi hukuka ve temel hak ve hürriyetlere aykırılık teşkil
edecektir.
Diğer taraftan, yine kamuoyunda yetkisi olmayan kişilerce bazı siyasi
kişilerin malvarlığını araştırmaya yönelik faaliyetlerde bulunulmasının hukuki
123
olup olmadığına dair tartışmalar yer almıştır. Kişisel verilerin korunması
hakkının temel unsurları arasında kanunilik ilkesi bulunmakta olup, kişisel
verilerin ancak yetkisi olan kişilerce kendilerine kanunen verilen görev
uyarınca işlenebilmesi gerekmektedir. Kişinin mesleği gereğince bazı
yetkilerinin olması onun herhangi bir görevlendirme olmaksızın kişisel verilere
erişme ve bunları kullanma veya üçüncü kişilere transfer etme gibi işlemleri
gerçekleştirmesini meşrulaştırmamaktadır. Bu tür ihlallerin yaşanmaması için
bilgi güvenliği ilkelerinin benimsenmesi ve kurumsal tedbirlerin alınması
önem kazanmaktadır. Kişisel verileri işlenen şahsın da bu verilerin hukuka
uygun amaçlarla kullanıldığından, başka bir amaç için kullanılmayacağından
emin olmasını sağlayacak düzenlemelerin temin edilmesi gerekmektedir.
Đşte bu tür durumların ortaya çıkmaması ve temel hak ve hürriyetlerin
garanti altına alınması amacıyla konuya ilişkin ulusal ve uluslararası birçok
düzenleme yapılmıştır. Bu doğrultuda uluslararası ilk adım OECD tarafından
1980 yılında yayımlanan Rehber Đlkeler ile atılmıştır. Kişisel verilerin
korunması hukuku için temel oluşturan 8 adet ilkenin benimsendiği Rehber
Đlkeler, bağlayıcılığının olmaması hasebiyle gerekli ilgiyi görmezken, 1981
yılında Avrupa Konseyi üye ülkeleri tarafından imzalanan 108 sayılı
Sözleşme konuya ilişkin ayrıntılı düzenleme getirmiştir. Sözleşme, kişisel
verilerin işlenmesini kural olarak yasaklamış, belirli şartlarda hukuka
uygunluk sebepleri dâhilinde işlenmesine izin vermek suretiyle çeşitli
sınırlandırmalara tabi tutmuştur. Ayrıca hukuka uygun ya da aykırı şekilde
işlenen verilerin üçüncü kişilere aktarılmasına da yalnızca belirli koşullar
altında izin vermek suretiyle kişilik haklarını güvenceye almıştır. Bu şekilde,
uluslararası veri akışını sağlanması hususunda ülkelerin asgari düzeyde
sahip olması gereken koruma seviyesini saptamıştır. Son olarak, imzalayan
tarafların konuyu kendi iç hukuklarında düzenleyerek gerekli cezai yaptırıma
bağlamasını hükmetmiştir.
Hala bağlayıcılığını ve geçerliliğini koruyan bu belge, kişisel verilerin
korunması alanında en önemli ve temel düzenlemedir. Türkiye sözleşmeyi
124
imzalamış, sözleşmeyi iç hukuka aktarmak üzere yasama faaliyetleri içerisine
girişmiş fakat henüz bu çalışmaları sonuçlandıramamıştır.
Diğer taraftan Avrupa Konseyi Sözleşmesini taraflardan biri olarak
imzalayan Avrupa Birliği de, kendi iç düzenlemesini yapmak amacıyla 95/46
sayılı Yönergeyi çıkarmış ve hem kişisel verilerin korunmasını temel bir değer
olarak kabul edip koruyucu düzenlemelerin yapılmasına, hem de üye
devletlerin kendi içlerinde, birbirleri arasında ve üçüncü devletlerle olan veri
transferlerine ilişkin ilkelerini belirlemiştir. Günümüzde özellikle uluslararası
ticarette olmazsa olmaz şartlar arasında aranan iç düzenleme yapma şartı,
Avrupa Birliği tam üye adaylığı statüsünde bulunan Türkiye’yi, gerek Avrupa
Birliği Yönergesi gerekse de Avrupa Konseyi Sözleşmesi kapsamında
belirtilen hükümleri kendi iç hukukuna aktarma ihtiyacıyla karşı karşıya
bırakmıştır.
Ülkemizdeki mevcut düzenlemeler genel hükümler çerçevesinde
konuya ilişkin güvenceler temin etmektedir. Bu hükümler, Anayasamızdaki
özel yaşamın gizliliğine ilişkin hükümler, Medeni Kanundaki kişilik haklarının
korunmasına dair maddeler ve nihayet 2004 yılında yürürlüğe giren Türk
Ceza Kanununda yer alan kişisel verilerin korunmasına dair hükümlerdir. Bu
sonuncusu konuya ilişkin hukukumuzda yer alan en doğrudan hükümleri
ihtiva etse de, konunun ayrıntısını düzenlemediğinden bu hükümler etkisiz
kalabilmektedir. Đşte bu amaçla henüz hazırlanma aşamasında bulunan
Anayasa Taslağında kişisel verilerin korunması hakkına müstakil bir hak
olarak yer verilmiştir. Ayrıca Kişisel Verilerin Korunması Kanunu Tasarısı
hazırlanmış ve Türkiye Büyük Millet Meclisine sunulmuştur. Söz konusu
yasama faaliyetlerinin bir an önce sonuçlandırılması, hukukumuzdaki boşluğu
da dolduracaktır.
Kişisel verilerin korunması hakkı mevcut hukuk sistemimizde bağımsız
bir hak olarak düzenlenmemekle birlikte, hazırlanmakta olan Anayasa
Taslağının 20’nci maddesinde müstakil bir hak olarak kanunilik ve eşitlik
prensibine dayalı olarak düzenlenmesi olumlu bir gelişmedir. Bununla
125
beraber, tezimizin ilgili kısımlarında detaylı olarak açıklandığı üzere
düzenlemede bazı aksaklıklar bulunmaktadır. Bu bağlamda; 20’nci maddenin
“Kişisel Bilgilerin Korunması” adlı başlığındaki “kişisel bilgi” ibaresinin daha
geniş kapsamlı “kişisel veri” ibaresi ile değiştirilmesi, madde metninde “kişisel
verilerin kullanılması” kavramı yerine, daha geniş kapsamlı “kişisel verilerin
işlenmesi” kavramının getirilmesi, kişisel verilerin işlenmesi faaliyetlerinin
hukuka aykırı olması veya hukuka uygun olsa bile belli bir sürenin geçmesi
halinde kişilerin bunların silinmesini talep etme hakkının da maddeye
eklenmesinin fayda sağlayacağı değerlendirilmektedir.
Başbakanlık tarafından Türkiye Büyük Millet Meclisine sunulan Kişisel
Verileri Koruma Kanunu Tasarısı da tezimizin ilgili kısımlarında detaylı olarak
incelenmiş
olup,
konuya
ilişkin
değerlendirmelerimize
aşağıda
yer
verilmektedir:
Tasarıda kişisel verilerin korunması hakkının yalnızca Anayasamızın
17’nci maddesinde belirtilen kişinin dokunulmazlığı, maddi ve manevi varlığı
hakkına dayandırıldığı görülmektedir. Oysa kanımızca bu kavram -tezimizin
temel varsayımları arasında da yer aldığı üzere- kişinin dokunulmazlığı,
maddi ve manevi varlığı hakkıyla da ilintisi bulunmakla beraber, daha çok
özel hayatın gizliliği ilkesi ile ilişkilidir. Bu nedenle, kanunun amacının
belirlendiği madde hükmünün özel hayatın gizliliğinin korunması hakkına
vurgu yapılması suretiyle yeniden düzenlenmesinde fayda bulunduğu
değerlendirilmektedir.
Tasarıda kişisel verileri işleme tâbi tutulan gerçek kişilerin yanında
tüzel kişilerin de düzenlemeye konu edilmesi, tasarı hükümlerinin otomatik
olan yollarla işlenen verilerin yanı sıra otomatik olmayan yollarla (geleneksel
dosyalama yöntemleri ile) işlenen veriler hakkında da uygulanacağının ifade
edilmiş olması, özel sektör ile kamu sektörünün bu hükümlere tabi
tutulmasında bir ayrıma gidilmemiş olması çağdaş hukuk devleti için müspet
bir adım teşkil etmektedir.
126
Tasarıda belirtilen hukuka uygunluk sebepleri arasında “kamu yararı”
ve “genel kamu yararı” gibi kapsam ve sınırları açıkça belli olmayan ve
sübjektif karakterdeki bir kriter koruma kapsamının son derece geniş
tutulmasına neden olmaktadır. Bu durum da kişisel verilerin kural olarak
işlenmesinin yasak olması ve hukuka uygunluk sebeplerinin istisnai olarak
getirilmesi ile korunmak istenen amaca aykırılık teşkil etmektedir. Yani bu
kritere dayanılarak kamu kurum ve kuruluşları yetkililerince yapılacak kişisel
yorumlarla,
herkesin
her
türlü
kişisel
verisinin
işlenmesi
sonucunu
doğurabilecek işlemler vuku bulabilecek, bu nedenle de bireylerin kişisel
verilerin
korunması
hakkını
kullanmalarında
çeşitli
mağduriyetler
yaşanabilecektir.
Öte yandan, kamu yararının kişisel verilerin işlenmesi için bir hukuka
uygunluk
nedeni
olarak
kabul
edilmesinin
anayasal
bir
dayanağı
bulunmamaktadır. Bilindiği gibi, Anayasamızın 13’üncü maddesi uyarınca
temel hak ve hürriyetler ancak Anayasanın ilgili maddelerinde belirtilen
sebeplere bağlı olarak sınırlanabilecek olup, ne özel hayatın gizliliğine ilişkin
20’nci madde içerisinde, ne de kişinin dokunulmazlığı, maddi ve manevi
varlığı hakkının korunmasına ilişkin 17’nci maddesi içerisinde, “kamu yararı”
gibi bir ölçüt sınırlandırma nedenleri arasında yer almamıştır. Dolayısıyla
kamu yararı kriterinin tasarıdan çıkarılarak sınırları daha somut ve kesin bir
şekilde çizilecek düzenlemelere gidilmesi daha doğru olacaktır.
Ayrıca, tasarıda kişisel verilerin korunması ilkesi karşısında istisna
olarak konulmuş birçok hüküm sonuçları açısından hak ihlallerine yol
açabilecektir. Đstisnaların kaide olmadığı, devletin yerine özel hayatın
şeffaflaşmadığı, bilgi edinme özgürlüğü ile özel hayatın gizliliği hakkı
arasındaki
ince
dengenin
göz
önünde
bulundurulduğu
bir
yasanın
çıkarılmasına özen gösterilmelidir. Bu bağlamda, uluslararası düzenlemelere
de uygun olarak, tasarıda istisnalar arasında sayılan milli güvenlik, milli
savunma, suçun önlenmesi, kamu düzeni gibi kavramlar içeriği itibariyle
muğlak ibareler olduğundan, bu kavramların özel yaşamın gizliliği ilkesinin
127
uygulanmasına engel teşkil etmemesi için, sınırlarının ilgili kamu kurum ve
kuruluşlarının görev ve yetkilerine ilişkin kanunlarında çizilmesi ve hukuka
uygun olarak görevlendirdikleri yetkililerinin görevlerini yürütürken bu hususa
uymaları önem arz etmektedir.
Tasarıda öngörülen yükümlülüklere aykırılık hallerinde idari para
cezası verileceği belirtilmiştir. Ancak tasarı yükümlülükler açısından özel
kişilerin yanı sıra kamu kurum ve kuruluşlarını da kapsamına aldığından, bu
hüküm devlet tüzel kişiliğinin devlet tüzel kişiliğine ceza vermesi sonucunu
doğurabilecektir. Ayrıca, kamu görevlilerinin yasalar tarafından kendilerine
verilen görevleri yerine getirmemeleri Türk Ceza Kanununa göre görevi ihmal
suçunu oluşturmakta ve hapis cezası ile cezalandırılmakta olduğundan, bu
durum karşısında idari para cezaları öngören bu madde çeşitli sorunlara
neden olabilecektir. Bu durumun da tasarıda göz önüne alınmasının yarar
sağlayacağı telakki edilmektedir.
Söz konusu tasarının bir an önce kanunlaştırılarak Türk hukuk sitemi
içerisinde yerini alması, gerek ulusal gerekse de uluslararası veri akışını
kolaylaştırmanın yanı sıra, özel hayatın gizliliğinin sağlanması açısından da
bireylerin garanti altına alınmasına neden olacaktır. Zira, konuya ilişkin genel
hükümler yetersiz kalmakta, kamu kurumları açısından özel kanunlardaki
hükümler ile özel sektörün kendi kendilerine belirledikleri etik ilkeler kişisel
verilerin korunmasıyla ilgili ülke çapında standart normların oluşturulmasında
dağınıklık sergilemektedir.
Elbette ki, yalnızca yasalaşma faaliyeti insan hakları açısından yeterli
kalmamakta, bunun yanı sıra toplumsal farkındalığın artırılarak kanunun
toplumun
çeşitli
katmanları
tarafından
özümsenmesinin
sağlanması
uygulama açısından bir gereklilik arz etmektedir. Bu konuda eğitim
faaliyetlerine ağırlık verilerek, başkalarının haklarına saygının ön plana çıktığı
bir demokratik kültürün yaygınlaştırılması sağlanabilir. Diğer yandan, özellikle
kamu sektöründe çalışan kişiler olmak üzere kamu ve özel sektörde çalışan
ve görevleri gereği kişisel verilere ulaşan kişilere kişisel verilerin korunması
128
ilkesini içeren bir tür etik sözleşmesi imzalattırılmasının da bu kişilerin bilinç
düzeyinin
çalışmalar
artırılmasında
siyasete
ve
fayda
sağlayacağı
hukuka
düşünülmektedir.
kazandırılan
her
yeni
Bu
tür
kavramın
içselleştirilmesinde gözlenen aksaklıklar gibi bazı zorlukları içermekle
beraber, sonuçları açısından özel hayatın gizliliği hakkı ve insan hak ve
özgürlükleri yönüyle oldukça faydalı olacaktır.
129
KAYNAKÇA
KĐTAPLAR
AKŞENER, Haşmet Sırrı, ÇAKMAKCI, Ramazan; Açıklamalı, Gerekçeli
Bilgi Edinme Hakkı Kanunu, Đstanbul, Legal, 2004.
COŞKUN, Vahap; Đnsan Hakları, Ankara, Liberte, 2006.
ÇAĞIRAN, Mehmet Emin; Uluslararası Alanda Đnsan Hakları, Ankara,
Platin, 2006.
ÇEÇEN, Anıl; Đnsan Hakları Rehberi, Ankara, Bilim, 1999.
DAĞI, Đhsan, POLAT, Necati; Herkes Đçin Demokrasi ve Đnsan Hakları,
Ankara, Liberte, 2004.
DONAY, Süheyl; Meslek Sırrının Açıklanması Suçu, Đstanbul, Sulhi Garan,
1978.
DONNELLY, Jack; Teoride ve Uygulamada Đnsan Hakları, çev. Mustafa
ERDOĞAN, Levent KORKUT, Ankara, Yetkin, 1995.
DÖNER, Ayhan; Đnsan Haklarının Uluslar arası Alanda Korunması ve
Avrupa Sistemi, Ankara, Seçkin, 2003.
ERDOĞAN, Mustafa; Đnsan Hakları Teorisi ve Hukuku, Ankara, Orion,
2007.
GĐRĐTLĐ, Đsmet, GÜNGÖR, Hasan Atilla; Günümüzde Đnsan Hakları,
Đstanbul, Der, 2002.
GÖZÜBÜYÜK, Şeref; Anayasa Hukuku, Ankara, Turhan, 2002.
HAZIR, Hayati; Anayasa Hukuku, Ankara, Alter, 2005.
130
HELVACI, Serap; Türk ve Đsviçre Hukuklarında Kişilik Hakkını Koruyucu
Davalar, Đstanbul, Beta, 2001.
Đnsan Hakları; Ankara, Matus, 2006.
KAPANĐ, Münci; Kamu Hürriyetleri, Ankara, Yetkin, 1993.
KETĐZMEN, Muammer; Türk Ceza Hukukunda Bilişim Suçları: Bilişim
Alanında Suçlar, Kişisel Verilerin Korunması, Ankara, Adalet, 2008.
KIZILCA, Uğur; Açıklamalı-Gerekçeli Bilgi Edinme Hakkı Kanunu ve Đlgili
Mevzuat, Ankara, Adalet, 2005.
MOURGEON, Jacques; Đnsan Hakları, çev. Ayşen EKMEKÇĐ, Alev
TÜRKER, Đletişim.
MUMCU, Ahmet, KÜZECĐ, Elif; Đnsan Hakları ve Kamu Özgürlükleri,
Ankara, Turhan, 2007.
ÖZEK, Çetin; Basın Özgürlüğünden Bilgilenme Hakkına, Đstanbul, Alfa,
1999.
SALOMON, David; Data Privacy and Security, New York, Springer, 2003.
ŞĐMŞEK, Oğuz; Anayasa Hukukunda Kişisel Verilerin Korunması,
Đstanbul, Beta, 2008.
ÜNAL, Şeref; Temel Hak ve Özgürlükler ve Đnsan Hakları Hukuku, Ankara,
Yetkin, 1997.
ÜZELTÜRK, Sultan; Özel Hayatın Gizliliği Hakkı, Đstanbul, Beta, 2004.
MAKALELER
AHĐ, M. Gökhan. “MERNĐS’in Hukuki Đncelemesi”,
http://www.hukukcu.com/bilimsel/kitaplar/mernis.htm.
131
AKILLIOĞLU, Tekin. “Đdari Usul ve Kişisel Verilerin Korunması”,
http://www.idare.gen.tr/akillioglu-idariusul.htm.
AKILLIOĞLU, Tekin. “Genel Olarak Đnsan Hakları”, Farklı Bakış Tarzlarıyla
Đnsan Hakları Uygulamaları, Ankara, Emniyet Genel Müdürlüğü APK
Daire Başkanlığı, 2000.
ARSLAN, Hilmiye. “Amerika Đle Avrupa Birliği Hukuki Düzenlemelerinin
Gizlilik Haklarına Bakış Açısının Karşılaştırılması”, http://inettr.org.tr/inetconf10/bildiri/18.doc.
“Bilgi Güvenliği”, www.kurumsalsistem.net/index.php.
“Bilgi Güvenliği Bilincinin Genele Yayılması”,
http://www.bilgiportal.com/v1/idx/19/728/Gvenlik/makale/Bilgi-GvenliiBilincinin-Genele-Yaylmas.html.
DAĞ, Rıdvan. “Avrupa Birliği Temel Haklar Şartı ve Türkiye”,
http://www.jura.uni-sb.de/turkish/RDag.html.
DEMĐR, Önder. “Đnternet Servis Sağlayıcısının Cezai Sorumluluğu”, Đzmir
Barosu Dergisi, 2001, http://bilisimsurasi.org.tr/dosyalar/28.txt.
DOĞAN, Mehmet. “Kişisel Verilerin Korunmasında AB Standartları ve
Türkiye’nin Durumu”, EGM Asayiş Dairesi Başkanlığı,
http://www.egm.gov.tr/egitim/dergi/eskisayi/35_sayi/yeni/web/makalele
r/Mehmet_DOGAN.htm.
EKEN, Musa. “Bilgi Edinme Hakkı”, Đnsan Hakları Yıllığı, Dr. Muzaffer
Sencer’e Armağan, Đstanbul, 1995-1996.
ERSOY, Eren. “Gizlilik, Bireysel Haklar, Kişisel Verilerin Korunması”,
Telekomünikasyon Kurumu, http://ab.org.tr/ab06/bildiri/6.doc.
132
GÜLMEZ, Mesut. “Đnsan Haklarının Tarihsel Gelişimi ve Bugünkü Ulaştığı
Nokta”, Farklı Bakış Tarzlarıyla Đnsan Hakları Uygulamaları,
Ankara, Emniyet Genel Müdürlüğü APK Daire Başkanlığı, 2000.
ĐYĐMAYA, Ahmet. "Bilgi Edinme ve Verilere Ulaşma Özgürlüğü", Ankara,
Ankara Barosu Dergisi, 2003.
KESMEZ, Necdet. “Kişisel Verilerin Korunması Üzerine”, Bilişim Şurası,
http://bilisimsurasi.org.tr/listeler/tbs-hukuk/Mar/att-0044/01K___SEL_VER_LER_N_KORUNMASI.doc.
“Kişisel Verilerin Korunması Projesi”,
http://www.bilgiedinmehakki.org/tr/index.php?option=com_content&tas
k=view&id=83&Itemid=24.
KUNTBAY, Đhsan. “Đdari Đşlemler Karşısında Bireylerin Korunması Hakkında
(77) 31 sayılı Bakanlar Komitesi Kararı”, Amme Đdaresi Dergisi, cilt
11, Sayı 4.
SOYKAN, Cavidan. “Avrupa Đnsan Hakları Mahkemesi Đçtihatlarında Bilgi
Edinme Hakkı: Özel Hayatın Gizliliği X Đfade Özgürlüğü”, Ankara
Üniversitesi Siyasal Bilgiler Fakültesi Đnsan Hakları Merkezi
Çalışma Metinleri, Ankara, 2006.
SOYKAN, Cavidan. “Bilgi Edinme Hakkı ‘Sır’ mı Oluyor?”, 2007,
http://www.bianet.org/2007/03/29/93934.htm.
ŞĐMŞEK, Oğuz. “4422 Sayılı Suç Örgütleriyle Mücadele Kanununu ve
Kanunun 4. Maddesine Göre ‘Kayıt ve Verilerin Đncelenmesi’ ve Kişisel
Nitelikli Verilerin Korunması”, Đzmir Barosu Dergisi, Sayı:1, 2001,
http://web.deu.edu.tr/ab/MAKALE/deu%20MAK/0012.htm.
TANILIR, Mehmet Niyazi. “Đnternet Suçları Đle Mücadele Ederken Bireysel
Mahremiyetin Korunması: Hükümetlerin Đkilemi”, Londra, Middlesex
133
Üniversitesi, 2000,
http://w3.icisleri.gov.tr/ortak_icerik/w3.icisleri/tezler_internetsuclari.doc.
TANSUĞ, Avniye. “AB’nin yeni ekonomik silahı: “Veri Saklama Hukuku”
(16.05.2006),
http://www.acikradyo.com.tr/default.aspx?_mv=a&aid=14260.
Türkiye Bankalar Birliği, Bankacılık ve Araştırma Grubu, “Avrupa Birliği’nde
Banka ve Müşteri Sırrı Hakkında Düzenlemeler”, Bankacılar Dergisi,
2003, Sayı 46.
ÜLKÜ, Muhammet Murat. “5237 Sayılı TCK. 132-140. Maddelerinde Yer Alan
Özel Hayata ve Hayatın Gizli Alanına Karşı Suçlar”, Adalet Bakanlığı,
http://www.ceza-bb.adalet.gov.tr/makale/150.pdf.
“Veri, Bilgi ve Bilişim”, http://www.chip.com.tr/blog/thecrowsalvation/veri-bilgive-bilisim_3332.html.
YILDIZ, Esra Tekil. “Đnternet Üzerinde Kişisel Verilerin Korunması” Fahiman
Tekil’in Anısına Armağan, Marmara Üniversitesi Hukuk Fakültesi,
Đstanbul, Beta Basım, 2003.
YÜCEL, Erdoğan. “Türkiye’de Bilgi Edinme Hakkı ve Uygulaması”, Türk
Đdare Dergisi,
http://www.yayin.adalet.gov.tr/23_sayi%20i%C3%A7erik/Erdo%C4%9
Fan%20Y%C3%9CCEL.htm.
TEZLER
ARASLI, Oya. Özel Yaşamın Gizliliği Hakkı ve T.C. Anayasasında
Düzenlenişi, Ankara Üniversitesi Hukuk Fakültesi Anayasa Hukuku
Bilim Dalı Doçentlik Tezi, 1979.
134
BAŞALP, Nilgün. Kişilik Hakkının Korunması Sorunu Çerçevesinde
Kişisel Verilerin Korunması ve Saklanması, Đstanbul Üniversitesi
Sosyal Bilimler Enstitüsü Özel Hukuk Ana Bilim Dalı Yüksek Lisans
Tezi, 2003.
ĐNTERNET KAYNAKLARI
Anayasa Tasarısı, http://www.turkhukuksitesi.com/showthread.php?t=19586,
http://ec.europa.eu/justice_home/fsj/privacy/law/implementation_en.htm.
International Safe Harbor Privacy Principles,
http://www.ita.doc.gov/td/ecom/shprin.html.
ISO/IEC 17799 Standardı, http://www.iso.org/iso/en/prods-services/popstds/
informationsecurity.html.
Privacy International, www.privacyinternational.org.
Privacy Rights Clearinghouse, www.privacyrights.org.
The Center for Democracy and Technology, www.cdt.org/privacy.
The Privacy Forum, www.vortex.com.
TopClick Privacy Center, www.privacy.topclicik.com.
Türk Dil Kurumu Sözlüğü,
http://tdkterim.gov.tr/seslisozluk/?kategori=yazimay&kelimesec=00922
3.
“Types of Intelligence”, Intelligence Note Book,
http://www.atin.org/ekler/istih/Types%20Int%20Notes%20Page.htm.
Ulectronic Privacy Information Center, www.epic.org.
135
ULUSAL DÜZENLEMELER
2004/7189 sayılı Bilgi Edinme Hakkı Kanununun Uygulanmasına Đlişkin Esas
ve Usuller Hakkında Yönetmelik, 27 Nisan 2004 tarih ve 25445 sayılı
Resmi Gazete.
213 sayılı Vergi Usul Kanunu, 10.01.1961 tarih ve 10705 sayılı Resmi
Gazete.
2499 sayılı Sermaye Piyasası Kanunu, 30.07.1981 tarih ve 17416 sayılı
Resmi Gazete.
4054 sayılı Rekabetin Korunması Hakkında Kanun, 13.12.1994 tarih ve
22140 sayılı Resmi Gazete.
4982 sayılı Bilgi Edinme Hakkı Kanunu, 24 Ekim 2003 tarih ve 25269 sayılı
Resmi Gazete.
5237 sayılı Türk Ceza Kanunu, 12.10.2004 tarih ve 25611 sayılı Resmi
Gazete.
5237 sayılı Türk Ceza Kanunu Gerekçesi, http://www.cezabb.adalet.gov.tr/mevzuat/ maddegerekce.doc.
5411 sayılı Bankacılık Kanunu, 01.11.2005 tarih ve 25983 sayılı Resmi
Gazete.
5549 sayılı Suç Gelirlerinin Aklanmasının Önlenmesi Hakkında Kanun,
18.10.2006 tarih ve 26323 sayılı Resmi Gazete.
5721 sayılı Türk Medeni Kanunu, 08.12.2001 tarih ve 24607 sayılı Resmi
Gazete.
6183 sayılı Amme Alacaklarının Tahsil Usulü Hakkında Kanun, 28.07.1953
tarih ve 8469 sayılı Resmi Gazete.
136
765 sayılı Türk Ceza Kanunu, 13.03.1926 tarih ve 320 sayılı Resmi Gazete.
818 sayılı Borçlar Kanunu, 08.05.1926 tarih ve 366 sayılı Resmi Gazete.
Başbakanlık Yüksek Denetleme Kurulu Hakkında 72 Sayılı Kanun Hükmünde
Kararname, 20.10.1983 tarih ve 18197 sayılı Resmi Gazete.
Devlet Sırrı Kanunu Tasarısı ve Gerekçesi, http://www2.tbmm.gov.tr/d23/1/10575.pdf.
Kimlik Paylaşım Sistemi Uygulama Yönetmeliği, 10.07.2005 tarih ve 25871
sayılı Resmi Gazete.
Kimlik Paylaşımı Sistemi Yönetmeliği, 08.12.2006 tarih ve 26370 sayılı
Resmi Gazete.
Kişisel Verileri Koruma Kanun Tasarısı ve Gerekçesi,
http://www2.tbmm.gov.tr/d23/1/1-0576.pdf.
T.C. Anayasası, 09.11.1982 tarih ve 17863 Mükerrer sayılı Resmî Gazete.
Ticarî Sır, Banka Sırrı ve Müşteri Sırrı Hakkında Kanun Tasarısı ve
Gerekçesi, http://www2.tbmm.gov.tr/d23/1/1-0517.pdf.
ULUSLARARASI DÜZENLEMELER
AB Elektronik Đletişimde Kişisel Verilerin Đşlenmesi ve Gizliliğinin Korunması
Yönergesi, http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:32002L0058:EN:
NOT.
AB Kişisel Verilerin Đşlenmesinde Gerçek Kişilerin Korunması ve Verilerin
Serbest Dolaşımı Yönergesi, http://eurlex.europa.eu/smartapi/cgi/sga_doc?smartapi!celexapi!prod!CELEXnu
mdoc&lg=en&numdoc=31995L0046&model=guichett.
137
AB Telekomünikasyon Alanında Kişisel Verilerin Đşlenmesi ve Mahremiyetin
Korunması Yönergesi,
http://www.dataprotection.ie/viewdoc.asp?m=l&fn=/documents/legal/6
aiii.htm.
ABD Mahremiyet Kanunu, http://www.archives.gov/about/laws/privacy-act1974.html.
Avrupa Birliği Temel Haklar Şartı,
http://www.belgenet.com/arsiv/sozlesme/ab_thb.html.
Avrupa Đnsan Hakları Sözleşmesi, 19 Mart 1954 tarih ve 8662 sayılı Resmi
Gazete.
Avrupa Konseyi Kişisel Nitelikteki Verilerin Otomatik Đşleme Tabi Tutulması
Karşısında Şahısların Korunmasına Dair 108 sayılı Sözleşmesi,
http://www.avrupakonseyi.org.tr/antlasma/aas_108.htm.
BM Bilgisayarla Đşlenen Kişisel Veri Dosyaları Hakkında Rehber Đlkeleri,
http://www.unhcr.org/refworld/type,THEMGUIDE,UNGA,,3ddcafaac,0.
html
BM Siyasi ve Medeni Haklar Sözleşmesi,
http://www.belgenet.com/arsiv/bm/bmsiyasihak.html.
Đnsan Hakları Evrensel Beyannamesi, 27 Mayıs 1949 tarih ve 7217 sayılı
Resmi Gazete.
OECD Bilgi Sistemlerinin Güvenliği için Rehber Đlkeler,
http://www.oecd.org/document/19/0,3343,en_2649_34255_1815059_
1_1_1_1,00.html.
OECD Gizliliğin Korunması ve Sınır Ötesi Kişisel Veri Akışları Hakkında
Rehber Đlkeleri,
138
http://www.oecd.org/document/18/0,2340,en_2649_34255_1815186_
1_1_1_1,00.html.
OECD Kriptografi Politikası Rehber Đlkeleri,
http://www.oecd.org/document/34/0,3343,en_2649_34255_1814690_
1_1_1_1,00.html.
OECD Küresel Ağlarda Mahremiyetin Korunmasına Đlişkin Bakanlar Konseyi
Bildirisi, http://www.oecd.org/dataoecd/39/13/1840065.pdf.
OECD Sınır Ötesi Veri Akışı Bildirisi,
http://www.oecd.org/document/60/0,3343,en_2649_34255_2373500_
1_1_1_1,00.html.
139
ÖZET
ERSOY, Uğur. Bir Đnsan Hakları Kavramı Olarak “Kişisel Verilerin
Korunması”, Yüksek Lisans Tezi, Ankara, 2009
Son çeyrek asırdır bilişim sektöründe gözlemlenen hızlı teknolojik
gelişme, tamamen kişilerin özel alanlarını ilgilendiren ve gizli kalması
gereken verilerin çok kolay şekilde ve büyük süratle kaydedilmesi olanağını
beraberinde getirmiştir. Sadece yetkisi olan kişilerce erişilmesine ve üçüncü
kişilere aktarılmasına müsaade edilen bu verilerin yetkisi olmayan kişilerin
eline geçmesi ise hak ihlallerine neden olacaktır.
En yüksek değer olarak bireyi esas alan modern hukuk anlayışı, kişilik
haklarının ihlalini kolaylaştıran teknolojik ilerlemeye karşılık, kişisel verilerin
hukuka aykırı amaçlarla işlenmesini engellemek suretiyle kişilik haklarını
korumaktadır.
Öte
yandan,
günümüzde
özellikle
uluslararası
veri
transferlerinin gerçekleştirilmesinde kişisel verilerin korunması yönündeki
düzenlemelerin o ülkede yapılmış olması temel şart olarak ileri sürülmektedir.
Bu eksikliği gidermek üzere, ülkeler gerek kişisel verilerin işlenmesini,
gerekse de sınır ötesi akışa tabi tutulmasını ilkelere bağlayan yasal
düzenlemelere gitmektedir.
Bu noktadan hareketle, tezimiz konuya ilişkin kavramsal çerçeve ve
kişisel verilerin korunması hakkının tarihsel gelişimi ile uluslararası
düzenlemeleri, çeşitli ülkelerin bakış açılarını ve Türkiye’deki mevzuatı
kapsamaktadır. Çalışmamızda çeşitli kamu kurum ve kuruluşları ile gerçek ve
tüzel kişilerin görevini yerine getirirken elde ettiği ve işlediği kişisel verilerin
özellikleri ile koruma karşısındaki hukuki durumunu ve veri paylaşımında
kapsam ve sınırlılıkları ortaya koymak amaçlanmıştır.
140
Anahtar Kelimeler:
1. Đnsan hakları
2. Özel hayatın gizliliği
3. Kişisel verilerin korunması
4. Bilgi edinme hakkı
5. Sır
141
ABSTRACT
ERSOY, Uğur. “Protection of Personal Data” As a Concept of Human Rights,
Master’s Thesis, Ankara, 2009
The rapid development observed in the information technology sector
for the last quarter century has enabled to record and register easily and fast
the confidential data, which are subject to privacy, to facilitate the
transactions of people. The access of unauthorized persons to these data will
lead to the violation of basic rights as these data can only be accessed by
authorized persons and disseminated to relevant third persons.
The understanding of modern law, which focuses on the protection of
basic individual rights, protects basic human rights by means of preventing
the misuse of personal data and unlawfully processing of them despite the
technological development, which makes it easier to violation of individual
rights. Besides, at the present day the existence of the legislation or
regulation about the protection of personal data in one country is a
precondition for the transborder flows of personal data. Because of that fact,
countries make legislation, which sets forth the principles for the protection
and transborder flows of personal data.
This study covers a conceptual framework and a historical
development of the right of protection of personal data, national and
international legislation about the subject and lastly the relevant regulations
in Turkey. In this study, it is aimed to reveal the features of personal data
obtained and processed by the public institutions and organizations,
individuals and legal entities while enacting their duties, to reveal the legal
status of these real and legal persons and to reveal the scope and limitations
of sharing the personal data.
142
Key Words:
1. Human rights
2. The right to privacy
3. Data protection
4. The right to get information
5. Confidentiality