Kişisel verilerin işlenmesi kavramı nitelik olarak geniş bir içeriğe sahiptir. Bu konuda Anayasamızda ve Türk Ceza Kanunu‟nda bir tanım yapılmamış ise de, AK‟nin 108 sayılı Sözleşmesinde, AB‟nin 95/46 sayılı Direktifinde, Kişisel Verilerin Korunması Kanunu Tasarısında ve Elektronik Haberleşme Sektöründe Kişisel Verilerin Korunması Yönetmeliğinde tanım yapılmıştır.
AK‟nin 108 sayılı Sözleşmesinin 2. maddesinin (c) bendinde kişisel verilerin işlenmesi “otomatik işleme” olarak adlandırılmış ve “Kısmen ya da tamamen otomatik yollarla gerçekleştirilen veri kaydını, bu verilere mantıksal ve/veya aritmetik işlemlerin uygulanması, bu verilerin değiştirilmesi, silinmesi, düzeltilmesi ya da açıklanması” şeklinde ifade edilmiştir (Atak, 2010: s. 95; Şimşek, 2008: s. 22).
AB‟nin 95/46 sayılı Direktifinin 2. Maddesinin (b) bendinde kişisel verilerin işlenmesi, otomatik bir süreç yardımıyla olsun veya olmasın toplama, kaydetme, iliskin bilgileri internet sitesine koymasını Veri Koruma Direktifinin 8. maddesinin 1. fıkrası kapsamında saymıştır. Bkz. Kaya, “Hassas Veriler”, 2013, s. 322
30
36 organizasyon, muhafaza etme, intibak etme, değiştirme, ayıklama, soruşturma, yayma, kombinasyon veya bağlantılandırma, engelleme, silme veya imha etme gibi kişisel verilerle bağlantılı bütün işlem veya işlem dizinlerini ifade ettiği belirtilmiştir (Şimşek, 2008: s. 44).
Kişisel Verilerin Korunması Kanunu Tasarısının 3. maddesinde kişisel verilerin işlenmesi; kişisel verilerin otomatik olan veya olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, değiştirilmesi, silinmesi veya yok edilmesi, yeniden düzenlenmesi, açıklanması veya başka bir şekilde elde edilebilir hale getirilmesi, üçüncü kişilere aktarılması, kullanılmasının sınırlanması amacıyla işaretlenmesi veya tasniflenmesi veya kullanılmasının engellenmesi gibi bu veriler üzerinde gerçekleştirilen bir işlem ya da işlemler bütünü şeklinde tanımlanmıştır.
24.07.2012 tarihli ve 28363 sayılı Resmi Gazetede yayınlanarak yürürlüğe giren Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğinin Korunması Hakkında Yönetmeliğin 3. Maddesinin birinci fıkrasının (i) bendinde de Tasarıdaki tanımın benzeri bir tanım yapılmıştır.
AB‟nin 95/46 sayılı Direktifinde verilerin ototmatik olan veya olmayan yollarla işlenmesi arasında fark görülmezken, AK‟nin 108 sayılı Sözleşmesinde verilerin işlenmesinin sadece otomatik yollarla işlenmeye hasredilmesi eleştirilmiştir. Zira günümüzde veri işleme sadece otomatik veya elektronik yollarla yapılmamakta, fiziki olarak kâğıt ve benzeri şeyler üzerine yazılarak ta yapılabilmektedir31.
O halde yukarıdaki tanımlar nazara alınarak, kişisel verilerin işlenmesini; kişisel verilerin otomatik olan veya olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, değiştirilmesi, silinmesi veya yok edilmesi, yeniden düzenlenmesi, açıklanması veya başka bir şekilde elde edilebilir hale getirilmesi, üçüncü kişilere aktarılması, kullanılmasının sınırlanması amacıyla işaretlenmesi veya tasniflenmesi veya kullanılmasının engellenmesi gibi bu veriler üzerinde gerçekleştirilen her türlü işlem veya işlemler bütünü olarak tanımlayabiliriz.
Görüldüğü üzere kişisel verilerin işlenmesi, verilerin elde edilmesinden silinmesine kadar geçen süreçte veriler üzerinde yapılan her türlü işlemi
31
37 kapsamaktadır (Kaya, 2011: s. 317). İşleme içerisinde sayılan elde etme, kaydetme, depolama, değiştirme ve silme gibi işlemler, bu süreçte birbirini takip eden ayrı safhalardır. Ancak verilerin işlenmesi için hepsinin gerçekleşmesine gerek yoktur. Bunlardan birinin yapılması, örneğin verinin kaydedilmesi, tek başına bir veri işleme sayılmaktadır.
Diğer yandan tanımdan da anlaşılacağı üzere, bu işlemler sınırlı şekilde sayılmamıştır. Tanımda sayılan eylemlere benzer şekilde veriler üzerinde yapılan her türlü işlemlerde kişisel verilerin işlenmesi sayılacaktır.
Burada önem arz ettiği için TCK‟da ki düzenlemeleri de belirtmekte yarar vardır. Zira TCK‟da kişisel verilerin işlenmesi diye bir suç tanımı yapılmamış, “kişisel verilerin hukuka aykırı olarak kaydedilmesi, ele geçirilmesi, verilmesi, yayılması ve yok edilmemesi” eylemleri suç olarak 135, 136 ve 138. maddelerde sayılmıştır. Kanunilik ilkesi gereği TCK‟nunda bu eylemlerden başka bir işleme fiili suç olarak sayılamayacaktır32. Bu konu üçüncü bölümde ayrıntılı olarak
inceleneceğinden burada bu kadar açıklama ile yetinilmiştir.
Yine kişisel verilerin işlenmesi eyleminin otomatik olan veya olmayan yani manuel yollarla yapılması arasında bir fark yoktur. Veriler ister bilgisayar ve benzeri cihazlarda kaydedilsin ister kâğıt, dosya ve benzeri fiziki evraklara kaydedilsin, burada depolansın, her iki yöntem de veri işleme sayılacak ve veri koruma hukuku kurallarına tabi olacaktır. Nitekim AB‟nin 95/46 sayılı Direktifi dolayısıyla AB uygulaması da bu yöndedir. Türk Ceza Kanunun 135. maddesinde de kişisel verilerin hukuka aykırı olarak kaydedilmesi suçu açısından verilerin bilgisayar ortamında veya kâğıt üzerinde kayda alınması arasında bir ayırım gözetilmemiştir33
.
Ayrıca, ülkemizde kişisel verilerin korunması gündeme geldiğinde, genellikle sadece kişisel verilerin kaydedilmesi fiili ele alınmakta, veri koruma hukukunun sadece kişisel verilerin hukuka aykırı olarak kaydedilmesini engellemeye çalıştığı şeklinde bir algı bulunmaktadır. Fakat hem Avrupa Birliği Direktifinde hem de
32 Kanunilik ilkesi için bkz. Artuk, M. Emin/Gökcen, Ahmet/Yenidünya, A. Caner, Türk Ceza
Hukuku Genel Hükümler, 7. Baskı, Adalet Yayınevi, Ankara, 2013, s. 98-100; Özgenç, Ġzzet, Türk Ceza Hukuku Genel Hükümler, 7. Bası, Seçkin Yayınevi, Ankara, 2012, s. 103-106
33
38 Avrupa Konseyi‟nin 108 sayılı Sözleşmesinde kişisel verilerin “işlenmesi” fiiline atıf yapılmakta ve bu tanım içerisine kişisel verilerin elde edilmesi ve kaydedilmesinden başlayarak bu verilerin yabancı ülkelere transferine kadar birçok işlem dâhil edilmektedir. Başka bir ifadeyle veri koruma hukuku ile amaçlanan sadece kişisel verilerin hukuka aykırı olarak kaydedilmesini önlemek değil, aynı zamanda bu veriler üzerinde gerçekleştirilen tüm işlemlerin hukuka uygun olmasını temin etmektir (Uygun, 2010: s. 48).
Konuya bu açıdan bakıldığında, kişisel verilerin işlenmesi fiiline birçok örnek vermek mümkündür. Kişinin sağlık durumuna ilişkin bilgilerin sağlık dosyalarına kaydedilmesi, bir kişinin nüfus ve adres bilgilerinin kişinin kendisinden veya başka bir kaynaktan elde edilmesi, bir otomatik sisteme veya fiziki bir dosyaya elle kaydedilmesi, bu bilgilerin saklanması veya başkalarına aktarılması, kişinin fotoğraf veya parmak izinin elde edilmesi ve saklanması, sesinin veya görüntüsünün kaydedilmesi veya bu kayıtların başkalarına aktarılması veya yayınlanması, kişinin telefon numarasının, e posta adresinin veya IP adresinin elde edilmesi, bunların başkalarına verilmesi veya doğrudan pazarlama amacıyla kullanılması, kişinin kredibilitesini gösteren banka hesaplarına ilişkin bilgilerin incelenmesi, üzerinde çalışılması, başka kurumlara aktarılması veya yeni hizmet sunumu için kullanılması gibi fiiller sayısız veri işleme faaliyetlerinden sadece birkaçıdır34
.
4. KĠġĠSEL VERĠLERĠN KORUNMASI