HUKUKSAL DÜZENLEMELER VE ÜNİVERSİTELERDE KİŞİSEL

Kişisel verilerin korunmasına ilişkin olarak AB ülkelerinde yapılan çalışmaların teknik, hukuksal ve bilgi güvenliği politikaları boyutlarıyla birbiriyle bütünleşmiş olarak

yürütüldüğü görülmektedir. Dünya genelinde de insan haklarına duyarlı birçok ülke (ABD, Kanada, Japonya, Avusturalya vd.) AB’ne benzer bir yaklaşımla kişisel verilerin korunması konusunu gündeme taşımakta ve çözüm için yeni arayışlar içine girmektedirler. Özellikle e-ticaret ile birlikte uluslararası boyuttaki kişisel verilerin transferinin risklerin oranını arttırması, bu konuda uluslararası boyuttaki çalışmaların da hız kazanmasına neden olmuştur. Bu açıdan bakıldığında, ülkelerin kişisel verilerin korunmasına yönelik olarak yapacağı çalışmaların, ülke içindeki gereksinimleri karşılamasının yanı sıra, uluslararası standartları da karşılayacak nitelikte olması önem taşımaktadır. Hukuksal düzenlemeler, kişisel verilerin korunması amacıyla yapılan çalışmaların önemli bir parçası olmakla birlikte, uygulamaya dönük resmi dayanağı niteliğindedir. Bu nedenle, hukuksal düzenlemelerin eksikliğini gidermek amacıyla bilgi güvenliği önlemleri kapsamında öne sürülen diğer çözüm önerileri, herhangi bir zorunluluk ya da yaptırım içermeyen ve bireysel hakları koruma noktasında tek başına yetersiz kalan çözümler olarak değerlendirilmektedir.

AB veri koruma direktiflerinin özünde e-ticarete ilişkin kullanıcı kaygılarının azaltılarak ekonominin canlandırılması bulunmaktadır. Bu kaygıların ana unsurunu kişisel verilerin korunması konusu oluşturmaktadır. Bu açıdan bakıldığında, bilgi güvenliği için alınan önlemlerin odak noktası kişisel verilerin korunmasıdır. Ancak Türkiye’de e-ticarete yönelik kaygıların çevrimiçi ekonomiyi etkileyecek düzeyde olmaması nedeniyle, daha çok gizliliğin korunmasına yönelik önlemler alınmaktadır. Türkiye’nin veri koruma kanunu için gerekçeleri temelde AB ile benzer yönler taşımakla birlikte, AB’ye uyum sağlama süreci daha ön planda tutulmakta ve temel hak ve özgürlüklerin korunması amacı KVKK’ya duyulan gereksinimler içinde ikinci öncelikli sırayı almaktadır. Bununla beraber, kişisel verilerin korunmasına ilişkin düzenlemeler ve bu alandaki reform çalışmaları AB hukuk sisteminde önemli bir yer teşkil etmektedir. Bu nedenle, AB’ye katılım sürecinde kişisel verilerin korunmasına ilişkin hukuksal düzenlemelerin AB hukuku ile uyumlu olarak yapılması, bu konudaki bilgi ve tecrübe birikimini almak ve aynı zamanda adalet sisteminde yapılan reformlarda ilerleme sağlamak açısından da önemlidir. AB üyeliği için aday ülkelerin AB hukukuna ve AB’nin benimsemiş olduğu ilkelere uyumu, Komisyon tarafından her yıl yayınlanan raporlarla takip edilmektedir. Türkiye’ye yönelik raporlarda yer alan eleştirilerin içerisinde kişisel verilerin

korunmasına ilişkin hukuksal düzenlemelerin yetersizliğine yapılan vurgu dikkat çekicidir (Avrupa Komisyonu, 2012d).

AB üyelik sürecinde açılan yargı ve temel haklara ilişkin 23. fasılda, Temel Haklar Şartı ile garanti edilen temel haklara saygı gösterilmesinin üye devletler tarafından sağlanacağı ifadesi yer almaktadır (T.C. AB Bakanlığı, 2011). Buna bağlı olarak, Türkiye’nin Temel Haklar Şartı’ndaki standartları karşılaması beklenmektedir. Kişisel verilerin korunması konusunun Temel Haklar Şartında ayrı bir başlık altında düzenlendiği göz önüne alınarak genel yönelim hakkında çıkarımda bulunulduğunda, AB üyeliğine giden yolda kişisel verilerin korunması konusunun daha fazla ertelenemeyeceği değerlendirilmektedir. Lizbon Antlaşması ve ABAD içtihatları gereğince, çatışma olması halinde AB hukuk kurallarının üstünlüğü ve önceliği bulunmaktadır. AB üyelik sürecinde olan Türkiye’nin kişisel verilerin korunmasına ilişkin yaptığı hukuksal düzenlemelerde AB hukuku ile uyumluluğu dikkate aldığı düşünüldüğünde; üniversitelerde AB hukuk normları dikkate alınarak geliştirilecek politikalar, kişisel hakların korunması için daha doğru bir yaklaşım olacaktır. Kişisel verilerin korunmasına ilişkin olarak, Türkiye’de öncelikle kişisel verilerin korunmasına ilişkin mevzuat çalışmalarının hızlandırılması ve bağımsız bir veri koruma ve denetleme otoritesinin kurulması gerekmektedir. Bu süreçte üniversitelerde de benzer bir bilgi güvenliği kurulu kurularak; bilgi güvenliği önlemlerine ilişkin üst yönetime görüş bildirmesi, tavsiyelerde bulunması ve bireysel şikâyetlere yönelik olarak idari birimlerde incelemelerde bulunarak belirlenen güvenlik politikalarının uygulanmasına katkı sağlamasının önemli bir başlangıç olacağı değerlendirilmektedir.

Üniversiteler, kişisel verilerin ağ üzerinden iletimi, yetkisiz erişim, değiştirme ve kazara ya da yasa dışı yöntemlerle yapılacak tahribe karşı gerekli teknik ve kurumsal önlemleri almalıdırlar. Bunun yanı sıra, üniversitelerde kişisel verilere erişim hakkı bulunan işleyici ve işleyici yetkisi altındaki kişiler, kendileri için tanımlanan görev ve yetki kapsamında verileri işlemelidirler. Bu konuda 95/46/EC sayılı direktifin 16. ve 17. Maddeleri, 108 Sayılı Sözleşmenin 7. Maddesi ve KVKKT’nin 11. Maddesi dikkate alınarak üniversitelerde kişisel verilerin korunması, sorumlulukların belirlenmesi ve gerekli teknik önlemlerin alınması büyük önem taşımaktadır. Bazı AB ülkelerinde bu maddelere ilişkin iç hukukta ve uygulamada sorumlulukları genişleten farklılıklar bulunabilmektedir.

Örneğin İngiltere’de, üniversitelerde kişisel verilerin bulunduğu birimlerde çalışan tüm personelin (doğrudan veriyi işleme ya da dağıtım sorumluluğu olmasa dahi) kişisel ve hassas verilerin korunması ve risklerin azaltılması yükümlülükleri bulunmaktadır. Ayrıca, veri koruma direktifinde tanımlanan ihlâllerin gerçekleşmesi durumunda, önemli miktarda yaptırımlar da (para cezası olarak) uygulanabilmektedir (Johnston, 2011).

Anayasa’nın 20. Maddesi kişisel verilerin korunmasını öngörmekte ve kanunda öngörülen hallerde veya kişinin açık rızası ile kişisel verilerin işlenebileceğini söylemektedir. Bu madde ile birlikte, üniversitelerde toplanan ve işlenen kişisel veriler üzerinde veri sahipleri mutlak hak sahibidirler. Kişisel verilerin korunmasına yönelik temel hak ve hürriyetin sadece kanunla sınırlandırılabileceği Anayasa’nın 13. Maddesinde ifade edilmektedir. Buna göre, kişisin açık rızası olmaksızın kişisel verilerin işlenmesinin ancak kanun ile yapılması ve çıkarılan kanunun anayasaya uygun olması gerekmektedir. Bu açıdan değerlendirildiğinde, üniversitelerde ve diğer kamu kuruluşlarında idari düzenlemelere bağlı olarak işlenen kişisel verilere ilişkin sorumluluk, idare ve veriyi işleyen tüm personeli kapsamaktadır. Üniversitelerde kişisel verilerin işlenmesi ve transferine ilişkin uygulamalarda görev alan personelin, Anayasa’nın 137. Maddesinde “kanunsuz emir” başlığı altında ifade edilen hükümlere uygun olarak hareket etmeleri önem taşımaktadır.

Türk Hukuk Mevzuatı içerisinde yer alan birçok hukuksal düzenlemede doğrudan ya da dolaylı olarak kişisel verilerin korunması konusuna yer verilmiştir. Ancak bu hükümler kişisel verilerin korunması amacıyla değil, ilgili olduğu sahalarda zamanın ihtiyaçlarına cevap vermesi amacıyla hazırlanmıştır. Mevcut hukuksal düzenlemeler,kişisel verilerin korunmasına ilişkin bireysel hakların korunabilmesi için gerekli önleyici tedbirleri içermemektedir. Bu nedenle, modern hukuk sistemlerinde olduğu gibi, Türkiye’de de kişisel verilerin korunmasına yönelik genel bir çerçeve oluşturacak kanunun yürürlüğe girmesi ve kamu kurum ve kuruluşları ile farklı sektörlerin bu kanuna uyum sağlayacak düzenlemeleri yapmaları zorunlu hale gelmiştir. Alınan hukuksal ya da teknik önlemlerin önleyiciliğinin belirlenebilmesi için ise, denetim sistemlerinin geliştirilmesi ve belirli standartlar çerçevesinde aralıklı olarak iç ve dış denetimlerin yapılması gerekmektedir.

5.2. ÜNİVERSİTELERDE KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN