yapılacaksa bu aktarımın engellenmesi de ikinci istisna olarak belirtilmelidir189.
Sözleşmenin uygulanmasını sağlamak, gerektiğinde sözleşme değişiklik önerisini sunmak ve taraf ülkelerin sözleşmenin uygulanmasıyla ilgili sorularında görüş bildirmesi amacıyla Danışma Komitesi kurulmuştur. Bu komitede her taraf devletin temsilcisi bulunmaktadır190.
1981 yılından itibaren bilişim hukuku ve veri koruma hukukunda meydana gelen aşırı değişim sözleşmede revizyon yapma ihtiyacı doğurmuştur. Bu nedenle “Kişisel Verilerin İşlenmesi Karşısında Bireylerin Korunması İçin Modernize Edilmiş Sözleşme (108+)”191 Avrupa Konseyi tarafından 18 Mayıs 2018’de kabul edilmiştir.
1948 yılında BM tarafından kabul edilen “İnsan Hakları Evrensel Beyannamesi”192 m. 12 özel yaşamı koruma altına almaktadır. Buna göre, “Hiç kimse özel hayatı, ailesi, meskeni veya yazışması hususlarında keyfi karışmalara, şeref ve şöhretine karşı tecavüzlere maruz kalamaz. Herkesin bu karışma ve tecavüzlere karşı kanun ile korunmaya hakkı vardır.” Beyannamede doğrudan kişisel veri ile ilgili bir madde bulunmamaktadır.
Ancak 1990 yılına gelindiğinde BM, doğrudan kişisel verilerin korunmasıyla ilgili olarak “Bilgisayarla İşlenen Kişisel Veri Dosyalarına İlişkin Rehber İlkeleri”193 düzenlemiştir. BM Rehber İlkeleri, üye ülkeler açısından yönlendirici olması ve bu ülkelerin veri korumayla ilgili ulusal düzenlemelerinde göz önüne almaları amacıyla yayımlanmıştır. Yani bu ilkelerin herhangi bir bağlayıcılığı olmayıp, ilkeler tavsiye niteliğindedir. Sırasıyla bu ilkeler; “yasal ve meşru yollarla veri toplama ve işleme ilkesi”, “doğruluk ilkesi”, “amacın belirliliği ilkesi”, “ilgili kişinin erişimi ilkesi”,
“ayrımcılık yapmama ilkesi”, “güvenlik ilkesi”, “denetim ve yaptırım ilkesi” ve “sınır ötesi veri akışı ilkesi” olarak sayılabilir.
E. 95/46/EC Sayılı AB Direktifi
Kişisel verilerin korunması alanında uluslararası düzeyde artan çalışmalara AB kayıtsız kalamamış, 1995 yılında “95/46/EC Sayılı Kişisel Verilerin İşlenmesi ve Serbest Dolaşımı Bakımından Bireylerin Korunmasına İlişkin Avrupa Parlamentosu ve Avrupa
192 BM, İnsan Hakları Evrensel Beyannamesi,
https://www.tbmm.gov.tr/komisyon/insanhaklari/pdf01/203-208.pdf (E.T.: 09.03.2020).
193 United Nations, “Guidelines for the Regulation of Computerized Personal Data Files”, (Bundan böyle BM Rehber İlkeleri olarak anılacaktır.) https://www.refworld.org/pdfid/3ddcafaac.pdf (E.T.: 09.03.2020).
Konseyi Direktif”ini kabul etmiştir194. Bu direktif, 2018 yılında yürürlüğe giren “AB Genel Veri Koruma Tüzüğü (GDPR)” ile yürürlükten kalkmış da olsa hem birçok ülkenin ulusal veri mevzuatına (KVKK dahil olmak üzere) esas oluşturması hem de GDPR’ın da aslında bu direktifin teknolojik ve bilimsel gelişmelere yani günümüze uyarlanmış hali olması, AB Direktifi’nin önemini ortaya koyduğundan inceleme konumuza dahil olmuştur.
Bilişim alanındaki hızlı değişimin kişisel veri işlenmesini ve iletimini çok kolay bir düzeye indirdiği, üye ülkelerin birbirleriyle veri paylaşımının gün geçtikçe arttığı ve bunun da gerekli olduğu ortadadır. Üye ülkelerdeki kişisel verilerin korunmasına ilişkin ulusal düzenlemelerin birbiriyle bağdaşmaması durumu, verilerin ülkeler arasında dolaşımını yavaşlatacağından ve hatta engelleyeceğinden ekonomik anlamda olumsuz sonuçlara yol açabilmektedir. AB Direktifi; AB özelinde, ortak pazar, ortak para birimi, siyasi birliğin sağlanması anlayışının uzantısıdır195. AB Direktifi’nin asıl düzenleniş amacı ulusal mevzuatlardaki bu farklılıkların giderilmesi, veri yasalarındaki korumanın eşitlenmesidir. Ayrıca amaç, kişisel verilerin korunması hukuku kapsamında teklik196, birlik, eşitlik sağlanması ve farklı ülkeler arasındaki veri akışındaki handikapların sona erdirilmesidir197. Ülkeler arası veri dolaşımının sekteye uğramaması ekonomik sebeplerle o kadar önemlidir ki üye ülkelerin veri dolaşımını engelleyemeyecekleri ve
194 OJ. 23.11.1995, L. 281, V. 38, p. 31-50.
195 Başalp, Kişisel Veri, s. 25; Gür, s. 13.
196 AB ekonomik ve sosyal sebeplerle sadece kişisel veri alanında değil, bir çok alanda mevzuatların uyumlaştırılmasını hedeflemektedir. “Tek pazar” yaklaşımı da buna örnek olarak verilebilir., Küzeci, s. 160.
197 AB Direktifi, 1.-10. paragraf.
yasaklayamayacakları ayrıca vurgulanmıştır198. Ancak elbette verilerin ülkeler arası serbest dolaşımında kişilerin, kişisel bilgilerinin korunması dikkate alınmalıdır. AB Direktifi’nde verilerin rahatça dolaşımı ile kişisel verilerin korunması arasında denge kurma gayreti vardır199. Başka bir ifadeyle bu Direktif’te iki zıt amaç bir arada yer almaktadır. Bunlardan ilki kişisel verileri, özel hayata saygı hakkı çerçevesinde korumaktır. Bu amaca zıt gibi gözüken diğer amaç ise ülkelerin veri akışını engellememelerini sağlamaktır200. Saydığımız iki amacın bir arada gerçekleşmesi zordur.
Ancak bu zor başarılırsa, kişilerin hakları korunmuş olacağı gibi ekonomik hayat da darbe yememiş olacaktır. Hep vurguladığımız gibi, veri koruma hukuku olarak oluşan yeni hukuk dalının da hedefi terazide dengeyi sağlamak olmalıdır.
AB Direktifi bahsi geçen uyumlaştırmayı sağlamak amacıyla kişisel verilerle ilgili ayrıntılı hükümlere yer vermiştir. Bu hükümler arasında önemli görülenlerden bir tanesi Direktif’in kapsamını düzenleyen 3. maddedir. Buna göre Direktif, 2. fıkrada belirtilen istisnalar dışında kişisel verilerle ilgili her türlü işlemi kapsayacak, özel bir alanla sınırlandırılmayacaktır201.
Bilgilerin işlenmesinin yasal zemine oturtulabilmesi için gereken temel ilkeler (m.5-6), veri işleme şartları (m.7), hassas veri kategorileri (m.8), verilere erişim hakkı (m.9) gibi bir çok madde önemlidir ve hala temel başvuru maddeleridir.
198 AB Direktifi, m. 1.
199 Akıncı, Ayşe Nur, “Avrupa Birliği Genel Veri Koruma Tüzüğü’ nün Getirdiği Yenilikler ve Türk Hukuku Bakımından Değerlendirilmesi”, Çalışma Raporu 6, T.C.
Kalkınma Bakanlığı Yayın No: 2968, 2017, s. 6.
200 Gür, s. 26.
201 Gür, s. 27.
AB Direktifi’nin 6. maddesinde veri kalitesine ilişkin temel ilkeler düzenlenmiştir. Bunlar; “adil ve yasal olarak işleme ilkesi”, “belirli, açık ve meşru amaçlar için işlenme ilkesi”, “toplandıkları amaçla bağlantılı ve sınırlı olma ilkesi”,
“doğru ve güncel olarak tutulma ilkesi” ve “gerekli süreden fazla saklanmama ilkesi”
olarak sayılabilir. Kişisel veri işlenmesinin her aşamasında bu ilkelere riayet edilmesi önemlidir.
Direktif’in 28. maddesinde üye ülkelerdeki veri koruma hukukunun işleyişinin takibi ve veri korumasının güvence altına alınması için özerk bir denetleme makamı kurulması öngörülmüştür202. Ülkemizde Kişisel Verilerin Korunması Kurulu, bu maddedeki makama tekabül etmektedir.
AB Direktifi’nin 29. maddesi gereğince “Çalışma Grubu” kurulmuştur. Bağımsız nitelikte olan bu makam danışma statüsündedir, kararları bağlayıcı değildir. Çalışma Grubu’nun bazı önemli görevleri; üye ülkelerdeki ve üçüncü ülkelerdeki veri koruma güvenlik düzeyini tespit etmek ve Komisyon’a bildirmektir. Ayrıca gerçek kişileri koruyucu ilave tedbirler alınması için öneride bulunmak ve kişisel verilerin korunması konusunda yıllık durum raporu hazırlamaktır203. Bu Çalışma Grubu formalite bir kuruluş olarak kalmamış, kişisel verilerin korunması hukukuna katkı sağlayacak pek çok görüş ve öneride bulunmuştur204.
AB, 95 yılındaki Direktifi yayımladıktan sonra “2002/58/EC Sayılı Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Özel Hayatın Gizliliğinin
202 AB Direktifi, m. 28.
203 AB Direktifi, m. 29; Gür, s. 42.
204 Çalışma Grubu’nun görüş ve önerileri için bkz. Data Protection WP, Opinions and Recommendations, https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/index_en.htm (E.T.: 09.03.2020).
Korunmasına İlişkin Direktif”i kabul etmiştir205. Bu direktif, gelişen teknoloji karşısında AB Direktifi’nin tamamlayıcısı olarak ifade edilmektedir Söz konusu Direktif’te
“spamming”, “cookies” ve “profilleme” gibi spesifik sorunlar hakkında düzenleme yapılmıştır206.
F. 181 No.lu Protokol
AK 108 No.lu Sözleşme’de temel veri koruma ilkelerine yer vermiş, verilerin nasıl hukuka uygun işleneceğini düzenlemiştir. Ancak verilerin hukuka aykırı işlenmesini önleyici bir denetim makamı öngörmemiştir. İşte AK 108 No.lu Sözleşmedeki bazı noksanlıklar işbu Protokol207 ile tamamlanmaya çalışılmıştır208. Türkiye, AK 181 No.lu Protokol’ü 8 Kasım 2001 tarihinde imzalamıştır. Ancak Protokol’ün yürürlüğe girmesi 5 Mayıs 2016 tarihini bulmuştur209. Protokol’de ayrıca ülkeler arası veri akışına ilişkin düzenlemeler mevcuttur. Buna göre, 108 No.lu Sözleşme’ye taraf olmayan 3. ülkelere
205 Söz konusu Direktif ile ilgili detaylı bilgi için bkz. Gür, s. 78-82
206 Detaylı bilgi için bkz. Başalp, s. 92-97.
207 Council of Europe, “Additional Protocol to the Convention fort he Protection of Individuals with regard to Processing of Personal Data Regarding Supervisory Authories and Transborder Data Flows” (“Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi’ne Ek Denetleyici Makamlar ve Sınır Ötesi Veri Akışına İlişkin Protokol ”) (Bundan böyle AK 181 No.lu Protokol olarak anılacaktır.), European Treaty Series No. 181, 08.11.2001, https://rm.coe.int/CoERMPublicCommonSearchServices/DisplayDCTMContent?docu mentId=0900001680080626 (E.T.: 09.04.2020).
208 Dülger, Kişisel Veri, s.30.
209 RG. 05.05.2016, S. 29703.
veri aktarılırken dikkat edilmesi gereklidir. Ayrıca yeterli korumanın o ülkede sağlanıp sağlanmadığının test edilmesi gereklidir210.
Protokol’ün denetim makamları (“supervisory authorities”) başlıklı 1. maddesi, üye ülkelerin Sözleşme’de ve Protokol’de belirtilen veri koruma ilkelerine uyulup uyulmadığının denetimi için bağımsız bir denetim makamı kurmalarını öngörmektedir.