Genel Olarak

Öncelikle belirtmek gerekir ki, GDPR²¹⁶, AB Direktifi’nin güncellenmiş sürümü olarak ifade edilebilir. 1995 tarihli AB Direktifi’nin kişisel verilerin korunması hukukuna katkısı paha biçilemez. Zira söz konusu Direktif, Türkiye de dahil olmak üzere birçok ülkenin kişisel veri mevzuatına ışık tutmuştur. Ancak gelişen ve dönüşen bir toplum yapısında hiçbir hukuki düzenleme baki kalamaz. Hele ki kişisel veri gibi teknolojik gelişmelerle bu kadar iç içe bir konuda 1995 yılındaki düzenlemenin günümüz değişen ihtiyaçlarına tam olarak cevap verememesini garipsememek gerekir.

AB Direktifi, özellikle kişisel verilere ilişkin temel ilkelerin oluşmasında öncü rol üstlenmiştir. Temel ilkelerin kişisel veriler için önemini TMK başlangıç hükümlerinin özel hukuktaki önemine benzetebiliriz. Bu temel ilkeler, ileride de detaylıca inceleyeceğimiz gibi, kişisel veri ile ilgili faaliyetlerin her aşamasında ilk bakılması gereken ana prensiplerdir. Söz konusu temel ilkeler, hala hem ülkemiz kişisel veri düzenlemeleri hem de yabancı ülke düzenlemelerinde baz alınmaktadır. Daha önce de

214 Bergkamp, s. 33.

215 Şimşek, s. 73.

216 OJ. 4.5.2016, L. 119, V. 59, p. 1-88.

ifade ettiğimiz gibi, AB Direktifi’nin ana amaçlarından biri, ulusal veri mevzuatlarındaki farklılıkların giderilmesi ve tekliğin sağlanmasıdır. Zira ülkelerin hukuki düzenlemelerindeki farklılıklar ülkeler arası veri akışını sekteye uğratabilecektir. Ancak Direktif’in söz konusu amacına tam anlamıyla ulaştığı söylenemez. Zira her bir ülkenin veri korunması ile ilgili uygulamalarındaki farklılıklar kişisel verilerin korunması konusunda teklik ve birlik amacının tam olarak gerçekleştirilemediğini gözler önüne sermektedir²¹⁷. Yasalardaki ve uygulamalardaki farklılıklar ülkeler arasında veri akışını zorlaştırmaktadır. AB üyesi ülkelerdeki veri koruma yasalarının gerek içerik gerekse bakış açısı bakımından aralarında çok ciddi farklar olduğu öne sürülmüştür²¹⁸. Söz konusu farklılıklar ise kişisel verilerin ekonomik anlamdaki değeri düşünüldüğünde ekonomik alanda olumsuz sonuçlara yol açmaktadır²¹⁹. Ülkelerde veri koruma hususunda farklılıklar olması veri akışını engelleyecek ve bunun sonucunda ekonomi olumsuz anlamda etkilenecektir. Söz konusu ikilemler 95 tarihli AB Direktifi’nin uygulamasındaki çeşitlilikten kaynaklanmaktadır²²⁰. Saydığımız nedenler data protection konusunda yeni düzenlemelerin yapılması ihtiyacına işaret etmektedir.

GDPR’ın amacı kişisel verilerin korunması konusunda AB Direktifi’nde olmayan uyumun sağlanmasıdır²²¹. Bu uyum sonucunda ülkeler arası veri akışı hızlı ve rahat bir zeminde gerçekleşebilecektir. Ülkeler arasındaki uyumu sağlayacak yeni bir

217 Başalp, Nilgün, “Avrupa Birliği Veri Koruması Genel Regülasyonu’nun Temel Yenilikleri”, MÜHF-HAD, 2015, C. 21, S. 1, s. 81-82.

218 Kuner, s. 33.

219 GDPR’ın 2. paragrafında ekonomik birliğin güçlendirilmesinin amaçlandığı vurgulanmıştır.

220 GDPR, 9. paragraf.

221 GDPR, 3. paragraf.

düzenlemenin, AB’deki işletmelerin, yıllık 2 milyar Euro civarında bir yükten kurtulmalarını sağlayacağı düşünülmektedir²²².

Teknolojik gelişmelerin geldiği boyut ve küreselleşme, halihazırda olan kişisel verilerin korunması ihtiyacını arttırmıştır. Zira kişisel verilerin işlenmesi çok ciddi boyutlara ulaşmıştır. Gün geçtikçe de kişilerin bilgilerindeki işlenme miktarı artmaya devam etmektedir. Kişisel verilerin işlenmesindeki artış, haliyle bu verilerin paylaşılma miktarını da arttırmıştır. Saydığımız teknolojik gelişmelerle kişisel verilerin ülkeler arasındaki akışı artmış ve hızlanmıştır. Bu gelişmeler, birçok fayda sağladığı gibi kişiler açısından riskleri de beraberinde getirmektedir. İşlenen ve paylaşılan veri miktarı ne kadar artarsa verilerin korunmasıyla ilgili riskler de o kadar artacaktır. Bu nedenle kişisel verilerin yeni gelişmelere cevap verecek şekilde etkin olarak korunması gerekmektedir²²³. Günümüzde nerdeyse herkesin birden çok sosyal medya hesabının olması ve sosyal medya kullanımındaki dehşet artış kişisel verilerinin korunması açısından güncel bir düzenlemeyi mecbur kılmıştır²²⁴.

Saydığımız tüm nedenlerle, AB, AB Direktifi gibi verilerin korunmasındaki düzenleme serbestini üye ülkelere bırakmak yerine ülkelerde direkt olarak bağlayıcı olacak şekilde GDPR’ı yürürlüğe sokmuştur²²⁵. Bu noktada, GDPR’ın neden AB Direktifi gibi direktif olarak değil de tüzük olarak kabul edildiğinin irdelenmesi gerekmektedir. AB’nin hukuki tasarrufları “Avrupa Birliliği’nin İşleyişi Hakkındaki

222 Akıncı, AB Tüzüğü, s. 5.

223 GDPR, 6. paragraf.

224 Başalp, AB Regülasyonu, s. 85.

225 Başalp, AB Regülasyonu, s. 83.

Antlaşma²²⁶” (“ABİHA”)’nın 288. maddesinde sayılmıştır²²⁷. ABİHA m. 288/1 uyarınca

“Kurumlar, Birliğin yetkilerinin kullanılması için tüzük, direktif, karar, tavsiye ve görüşler kabul eder.”

ABİHA m. 288/3’de ise direktifler düzenlenmiştir. Buna göre “Direktifler, muhatap alınan her üye devleti, ulaşılması gerekli sonuçları itibarıyla bağlar, şekil ve yöntem seçimini ise ulusal otoritelere bırakır.” Görüldüğü üzere direktifler temel hususları belirtip düzenlemeler konusunda üye ülkelere serbesti tanımaktadır. Bu da farklı düzenlemelerin, farklı uygulamaların ve farklı yorumların temel sebebidir. Üye ülkeler tarafından ulusal anlamda düzenleme yapılmazsa direktifler, ülkede yürürlüğe girmeyecektir. Ancak tüzükler doğrudan uygulama gücünü taşıdığından ayrıca ülke içinde söz konusu konuda bir düzenleme yapılmasına gerek kalmamaktadır. Başka bir ifadeyle, tüzüklerin üye ülkelerde yürürlüğe girmesi için herhangi bir iç hukuk düzenlemesine gerek yoktur. ABİHA m 288/2’ye göre “Tüzükler genel uygulama alanına sahiptir. Bütünüyle bağlayıcıdır ve tüm üye devletlerde doğrudan uygulanır.” Tüzük, AB çapında yürürlüğe girdiği zaman üye ülkelerde de otomatikman yürürlüğe girmektedir²²⁸. Bu da AB çapında kişisel verilerin korunması mevzuatını tekleştirecek ve temel kaynak olan GDPR’a bağlayacaktır²²⁹.

226 ABİHA’nın Türkçe metni için bkz. https://www.ab.gov.tr/files/pub/antlasmalar.pdf (E.T.: 15.04.2020).

227 Bu konuda detaylı bilgi için bkz. Baykal, Sanem/Göçmen, İlke, “Avrupa Birliği Hukukunun Kaynakları Bakımından Normlar Hiyerarşisi”, Prof. Dr. Erdal Onar’a Armağan, C. I, Ankara 2013, s. 325 vd.

228 Başalp, Kişisel Veri, s. 28.

229 Akıncı, AB Tüzüğü, s. 14.

GDPR hazırlık çalışmalarına 2012 yılında başlanmış ve söz konusu çalışmalar 4 yıl sonra 2016 yılında tamamlanmıştır²³⁰. GDPR AB Resmi Gazetesi olan OJ’de 04.05.2016 tarihinde yayımlanmıştır. GDPR m. 99 gereğince işbu tüzük 25 Mayıs 2018 tarihinden itibaren uygulanacaktır. GDPR’ın yürürlüğe girmesi ile birlikte “95 tarihli 95/46/EC Sayılı AB Direktifi” yürürlükten kalkmıştır²³¹.

Kişisel veri alanındaki son düzenleme olması, bilişim alanındaki son gelişmeler göz önüne alınarak düzenlenmiş olması ve birçok ülke tarafından kabul görmesi GDPR’ı önemli kılmaktadır. Her ne kadar KVKK hazırlanırken 95 tarihli AB Direktifleri esas alınmış olsa da aradan 20 yıldan fazla bir süre geçmiştir. Bu nedenle en güncel düzenleme olan GDPR’ın hem hukuki düzenlemelerde hem de uygulamada dikkate alınması gerekmektedir. Biz de bu nedenle ilgili yerlerde GDPR ilgili hükümlerine değinmeye çalıştık. Ancak burada tarafımızca mühim görülen ve yenilikler getiren GDPR hükümlerine değinilecektir.