Anayasa

Anayasa, bir devletin temel yapısını, kuruluşunu, iktidarın el değiştirmesini, devlet iktidarı karşısında fertlerin temel hak ve özgürlüklerini de düzenleyen esas belge niteliğinde sahiptir.158 _{Kişisel verilerin kişilik hakkı çerçevesinde ele alınması}

halinde, bireyin kişisel nitelikteki verilerinin korunması hakkının temelini oluştura-

cak anayasal garantilerin varlığından bahsedilebilir. Bu çerçevede, hukuk devleti ilkesi, bireyin maddi ve manevi varlığını serbestçe geliştirme hakkı, insan onuru, konut dokunulmazlığı, dini ve vicdani kanaatleri açıklamaya zorlanamama, düşünce ve kanaatleri açıklamaya zorlanana, özel yaşamın ve aile yaşamının gizliliği hakkı ve haberleşmenin gizliliği gibi temel hakların bireyin yaşamını korumayı amaçladığı düşünüldüğünde, bu hakların kişisel verilerin korunması açısından anayasal dayanak teşkil ettiği ileri sürülmüştür.159

Her ne kadar yukarıda değinildiği üzere; Anayasanın temel bazı maddelerine atıf yapılarak temel haklar çerçevesinde Kişisel veriler korunmaya çalışılsa da; bu kavrama ilişkin esaslı Anayasal dayanak cümlesi, 2010 yılı anayasa değişikliği refe- randumu ile hayata geçirilebilmiştir. Kişisel verilerin korunmasına dair temel hak ilk kez; 2010 yılı referandumu ile anayasaya girmiş bulunmaktadır. Sözü edilen değişik- likle; “… Herkes, kendisi ile ilgili kişisel verilerin korunması hakkında sahiptir; Bu hak kişinin kendisi ile ilgili kişisel veriler hakkında bilgilendirilme, bu verilere eriş- me, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını da kapsar. Kişisel veriler, ancak kanunda öngörülen hal- lerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir” metni anayasaya eklenmek suretiyle kişisel verilerin hangi hallerde korunacağı ve sınırlanabileceğine dair dayanak maddesi160 yasal çer- çeveye bürünmüştür. Buna göre, herkes kendi kişisel verilenin korunmasını isteme hakkına sahiptir. Kişisel verilere ilişkin bilgilere erişme, veriler hakkında bilgilendi- rilme, bu verilerin düzeltilmesini ya da silinmesini isteme, amaçları doğrultusunda kullanıp kullanılmadığını öğrenme hakkı madde kapsamına alınmıştır. Ayrıca kişisel verilerin korunması ile ilgili esasların kanunla düzenleneceği de ifade edilmiştir.

Anayasa Değişikliği yapılmadan evvel, kişisel veriler hukuku kavramının bir kısım Anayasa Mahkemesi kararlarında, Anayasanın diğer maddelerine atıf yapıla- rak yorumlandığı anlaşılmaktadır. Anayasa değişikliğinin henüz yapılmadığı 2010 yılı öncesinde, Anayasa Mahkemesi’nin bir kısım kararlarında, kişisel veriler kav-

159 _{AKSOY, age. s:93.}

ramını 20.madde çerçevesinde pek yorumlamaya yanaşmadığı görülse de;161 ₂₀₀₈

yılında verdiği bir kararda bu kavramı daha çok “Özel yaşamın gizliliği” ve “düşün- ce özgürlüğü” kavramıyla bağdaştırmaya çalıştığı gözlenmektedir.

Nitekim Anayasa Mahkemesi’nin, 5429 sayılı Türkiye İstatistik Kurumu Ka- nunu’nun üzerinde yaptığı incelemede; anılan yasanın 8.maddesinde yazılı “istatis- tikî birimler, kendilerinden istenen veri veya bilgileri, Başkanlığın belirleyeceği şe- kil, süre ve standartlarda eksiksiz ve doğru olarak ücretsiz vermekle yükümlüdür.” hükmünü iptal gerekçesinde; “Anayasanın 20. ve 25.maddelerinde yer alan güven- celere rağmen itiraz konu 8.madde hükmüyle kişiler, bilgi toplama, saklama işleme ve değiştirme tekeli olan idareye ve diğer kişilere karşı korunmasız bırakılmış, veri toplamanın sınırlarına yasal düzenlemede yer verilmemiştir. Açıklanan nedenlerle itiraz konusu kuralların Anayasanın 20.ve 25.maddelerine aykırı olduğundan iptili gerekir” değerlendirmesiyle konuyu özel yaşamın gizliliği hakkı ve düşünceyi açık- lama özgürlüğü arasındaki çizgiyi de belirterek kamu otoritesine karşı bireyi koru- mayı hedefleyen bir yorum getirmiştir.162

3. Kişisel Verilerin Korunması Kanunu

a. İç Hukukta Gelişimi

Avrupa Konseyi kişisel verilerin korunması sözleşmesini ilk imzalayan dev- letler arasında Türkiye’nin de olmasına rağmen, onaylama sürecini tamamlamak çok uzun zaman almıştır. 1981 tarihli Avrupa konseyi kişisel verilerin korunması sözleş- mesi TBMM’de onaylanmasının uygun bulunduğuna dair yasa 30 Ocak 2016 tari- hinde kabul edilmiş ve bu kanun 17 Mart 2016 tarihli R.G’de yayınlanarak yürürlüğe

161 _{KÜZECİ age.s:299.}

162 _{Bkz. R.G. 25.05.2008 günlü, s: ( 26917) , Anayasa Mahkemesi 20.03.2008 tarih (E) 2006/167,}

girmiştir.163 _{Sözü edilen sözleşmeyi son olarak onaylayan ülke Türkiye olmuştur.}

Ülkemizde bu sözleşme hükümleri çerçevesinde yasal düzenleme çalışmaları 28 Ocak 1981 tarihindeki Avrupa konseyi sözleşmesinin imzalanmasına kadar götürüle- bilir ancak; Türkiye de bu kavramın tartışılmaya başlaması aslında çok yenidir. Ül- kemizde bu çalışmaların başlangıç tarihi 1989 yılı olup; parlamento komisyonların- daki ilk çalışmalar 1995 yılında başlatılmıştır. Bu uzun süreç sonunda bakanlar kuru- lunca hazırlanan taslak 24 Mart 2016 tarihinde TBMM de kabul edilerek 07 Nisan 2016 tarihli R.G.’de yayınlanarak 6698 sayılı “Kişisel Verilerin Korunması Kanunu” olarak yürürlüğe girmiştir.164 _{Elbette bu konuda Anayasanın 20. maddesinde yapılan}

değişikliğin zorunlu sonucu ve Avrupa Birliği tam üyelik müzakeresi sürecinde bazı fasılların açılması bakımından ön şart olarak gösterilmesi sebebiyle bu hukuki düzen- lemenin yapılmasının zorunlu olduğu anlaşılmaktadır. Taraf olduğumuz 108 sayılı Sözleşme hükümlerinden çok sonra çıkartılmış olsa da; yasa şeklindeki hukuki dü- zenlemenin yapılmasının gecikmesinin pek çok sebebi vardır. Nihayetinde; ülkemiz- de OECD ve BM kriterlerine uygun bir mevzuatın olmamasının eksikliği hep hisse- dilmiştir. Gerçi; Anayasa Mahkemesinin yorumlarıyla konunun özel hayatın gizliliği kapsamında ele alınarak hukuki eksiklik giderilmeye çalışılıyorsa da; temel yasanın olmaması her zaman ülkemiz için bazı uluslar arası uygulamalardan geri kalmasına sebebiyet vermiştir. Özellikle; Avrupa Konseyi üyesi devletler ile adli yardım anlaş- maları çerçevesinde Türkiye’nin istediği, adres bilgileri, istinabe evrakının ikmali gibi hususlarda yeterli hukuki korumanın sağlanamadığı gerekçesiyle evrakın iade olunduğu bilinmektedir. Bunun yanı sıra; gelişen ticari hayata bağlı olarak özellikle AB tarafında çıkartılan 95/46/EC yönergesinin, AB dışındaki ülkeleri de kapsaması nedeniyle yeterli yasal koruma sağlamayan ülkelere veri aktarımı yasaklandığından Türkiye’nin e-ticaret işlemlerine de zarar vermeye başladığı anlaşılmaktadır. Nitekim Kişisel verileri koruma kanunun genel gerekçesinde de değinildiği üzere AB ilerleme raporlarında Kişisel verilerin korunması gerekliliğine işaret edilmiştir.165 _{Bir diğer}

husus da; 2005 yılında yürürlüğe giren 5237 sayılı TCK’nun 135 vd. maddelerine göre; kişisel verilerin haksız yere ele geçirilmesinin suç olarak düzenlenmesine rağ-

163 _{Bkz RG.17/03/2916 günlü, s: ( 29656)} 164 _{Bkz. RG 24.03.2016 günlü, s: (29677)} 165 _{KÜZECİ age.s:308.}

men, kişisel veriler hukukunu düzenleyen bir yasal metnin bulunmayışı da eksiklik olarak görülmüştür. Nitekim bu konuda yerel bir mahkeme (Batman 2.Asliye ceza Mahkemesi) suçta ve cezada kanunilik ilkesi nazara alınarak TCK’nun 135.maddesinde suç ihdas edilmesine rağmen, kişisel verilerin tanımını yapan bir yasa bulunmayışını gerekçe göstererek Anayasa mahkemesine konuyu itiraz davası olarak götürmüştür. Ancak; Anayasa mahkemesi 12.11.2015 tarihinde verdiği karar- la166 “… kuralda yer alan kişisel veri kavramının teknolojik gelişmelere bağlı olarak çok farklı şekilde ortaya çıkabileceği, bu kapsama giren verilerin kanun koyucu tara- fından önceden bilinmesinin ve tek tek sayılmasının mümkün olmadığı, uluslar arası metinler ve mahkeme kararlarıyla kişisel veri kavramının (belirli ve kimliği belirle- nebilir olmak kaydıyla, bir kişiye ait bütün bilgileri ifade ettiğinin) kabul edildiğini, kişisel veri kavramının doktrin, uygulama ve yargı kararları çerçevesinde anlam ve içeriğinin değişeceği, her ne kadar yasa olmadığından dolayı (dava tarihinde yasa henüz yürürlüğe girmemiştir) suçun unsurlarının tespitinin mümkün olmadığı iddia- sının gerçeği yansıtmadığı, ulusal mevzuat ile uluslar arası metinler nazara alındı- ğında, yargı kararlarına da bakılarak belirsizliğin olmadığı….suçta ve cezada kanu- nilik ilkesi ile özel hayatın gizliliği ilkesinin ihlalinin bulunmadığı” yönüne işaretle ceza hukuku anlamında eksiklik bulunmadığı yönünde karar vermiştir.

Oysa ki; mahkemenin itiraz davasında dile getirdiği hususun, kişisel veri kav- ramının tek tek sayılarak tanım eksikliği veya kişisel veriler listesinin yokluğu değil, neyin kişisel veri olduğunun belirlenmesini sağlayacak yasal düzenlemenin yapıl- mamış olmasında düğümlenmekteydi. Nitekim KVKK’nun genel gerekçesinde bu karara atıf yapılarak; “ülkemizde kişisel verilerin korunmasını sağlayacak bir kanu- nun yürürlüğe girmesini gerektiren değişik sebepler bulunmaktadır. Öncelikle 5237 sayılı TCK’nun 135 ve devamı maddelerinde, kişisel verilerin hukuka aykırı olarak elde edilmesi, kaydedilmesi veya ifşa edilmesi halleri suç olarak hükme bağlanmıştır. Bunun yanında kişisel verilerin işlenmesine yönelik özel bir kanunun bulunmaması sebebiyle, bu fiillerin ne zaman hukuka aykırı, ne zaman hukuka uygun olduğunun

166 _{Anayasa Mahkemesi ( E.) 2015/32 ,(K.) 2015/102 K (12.11.2015) , RG.02.12.2015 günlü,}

belirlenmesinde tereddütlerin yaşandığı görülmektedir.” denilerek167 konuya işaret edilmiştir.

b. Uygulama Alanı

Kişisel verileri Koruma Kanunu’nun 1.maddesinde amaç şu şekilde açık- lanmıştır. “Kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları esas ve usulleri düzenlemektir.” denil- mek suretiyle temel işaretin, kişilik haklarının ve özel hayatın gizliliği ilkesinin ayrılmaz bir parçası olan kişisel verilerin dokunulmazlığını korumayı hedeflediği anlaşılmaktadır.

c. Uygulama Alanına Girmeyen Haller

ca. Tamamen Kapsam Dışı Haller

Yasanın 28.maddesinin 1.fıkrasında (mutlak) tamamen kapsam dışı istisnalar gösterilmiştir. Bu tamamen kapsam dışı istisnalarda değinilen hususlarda yasa hükümleri hiçbir şekilde uygulanmayacaktır.

a) Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiy- le veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi,

167 _{Bkz.https://www.tbmm.gov.tr/sirasayi/donem26/yil01/ss117.pdf. Genel Gerekçe maddesi. (Eri-}

b) Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.

c) Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ih- lal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi,

ç) Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi.

d) Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi, mutlak istisnalar olarak nitelendirilmiştir.

Bu istisna maddeleri âdeta genel kural haline dönüşmüş, bu maddelere girmeyen hangi durumların olabileceği sorusunu akla getirmektedir. Kanaatimizce yasanın en yumuşak karnını oluşturan bu istisna meddeleridir. Kamu kurumlarına, yukarıdaki istisnalar kapsamında geniş bir özgürlük alanı tanınmıştır. Bu durumun, kanunun uygulama alanını esaslı şekilde daralttığı, kamu kurumları nezdinde kişisel verilerin korunmasında keyfiliği yol açan uygulamalar olabileceği eleştirilerine yol açmıştır.

cb. Kısmen Kapsam Dışı Haller

Mutlak olmayan kısmen kapsam dışı istisna maddelerinde ise ; “Bu Kanunun amacına ve temel ilkelerine uygun ve orantılı olmak kaydıyla veri sorumlu- sunun aydınlatma yükümlülüğünü düzenleyen 10 uncu, (zararın giderilmesini talep

etme hakkı hariç), ilgili kişinin haklarını düzenleyen 11 inci ve Veri Sorumluları Sici- line kayıt yükümlülüğünü düzenleyen 16.maddeleri aşağıdaki hâllerde uygulanmaz. a) Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruş- turması için gerekli olması,

b) İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin iş- lenmesi,

c) Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşla- rınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması,

ç) Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.” hallerinde kısmi olarak uygulanmayacağı belirtilmektedir.

Burada da genel kuralın istisnalarının daha çok olduğu ve genel kural haline dönüşme tehlikesinin varlığı eleştirisi yapılabilir. (Dip not gerekir mi????)

d. 6698 sayılı Yasada Benimsenen Sistem

Kişisel veri hukukunda ülkelerin iç mevzuatında farklı yapılar mevcut olmak- ta ise de; genellikle ülkeler Avrupa Konseyince çıkartılan 108 no’lu sözleşmeye ve/veya Avrupa Birliğince çıkartılan 95/46/EC sayılı yönergeye uygun düzenlemeler yapmaya gayret sarf etmişlerdir. Genellikle; kişisel verilerin korunması kavramı ele alınırken Kişisel verilerin korunma kapsamı ne olmalıdır? Kapsam gerçek kişiler yanında tüzel kişileri de kapsamalı mıdır? Koruma ilkeleri ne olmalıdır? Daha da önemlisi bağımsız bir koruma organı olmalı mıdır? Sorularına cevap aranmakla işe başlanmalıdır. Kişisel verilerin korunması kanunu hazırlanırken bu sorulara da cevap aranmış ve netice itibariyle 6698 sayılı yasanın 95/46/EC sayılı AB Direktifinin na-

zara alındığı anlaşılmaktadır.168 AB ülkeleri ve onun dışında kalan Avrupa Konseyi ülkeleri kişisel verilerin korunması hukukunda iç mevzuatlarını bu Yönerge’ye uyumlu hale getirmişlerdir. 2016/679 sayılı Tüzük adını alan bu regulasyonun “Di- rektif’in yürürlükten kaldırılması” başlıklı 94.maddesine göre; “ (95/46/EC sayılı Direktif’in 25 Mayıs 2018 tarihinden itibaren geçerli olmak üzere yürürlükten kaldı- rılması, Yürürlükten kaldırılan Direktif’e yapılan atıfların bu Tüzük’e yapılmış sayı- lacağı, 95/46/EC sayılı Direktif’in 29. maddesi ile kurulan Kişisel Verilerin İşlenme- siyle ilgili olarak Bireylerin Korunması hakkında Çalışma Grubuna yapılan atıflar bu Tüzük’le kurulan Avrupa Veri Koruma Kurulu’na (GVKT) (GDPR) yapılmış sa- yılır.” hükmü getirilerek Tüzük haline dönüşen direktifin tüm üye ülkeler için bağla- yıcılığı kabul edilmiş olmaktadır.