KĠġĠSEL VERĠLERĠN GĠZLĠLĠĞĠ

KiĢisel veriler belirli bir kiĢiye iliĢkin olan veya belirli bir kiĢiye iliĢkin olduğu belirlenebilen tüm bilgileri ifade eder. Bireyin Ģahsi, mesleki ve ailevi özelliklerini gösteren, o bireyi diğer bireylerden ayırmaya ve niteliklerini ortaya koymaya elveriĢ- li her türlü bilgi “kiĢisel veri” olarak tanımlanır159. 6 ġubat 2004 tarih ve 25365 sayılı Resmî Gazete‟de yayınlanmıĢ olan “Telekomünikasyon Sektöründe KiĢisel Bilgilerin

156 _{Ayan / Ayan, s. 56.} 157 _{Ayan / Ayan, s. 57.}

158 _{Zevkliler, s. 404; Ayan / Ayan, s. 56.}

159 _{ġen, Ersan, KiĢisel Verilerin Korunması Kanunu Tasarısı‟nın Anayasa ve Türk Ceza Kanunu} Hükümleri Çerçevesinde Değerlendirilmesi, ĠBD, C. 83, S. 2009/3, s. 1197.

ĠĢlenmesi ve Gizliliğin Korunması Hakkında Yönetmelik”in 3 üncü maddesinde kiĢi- sel veriler “TanımlanmıĢ ya da doğrudan veya dolaylı olarak, bir kimlik numarası ya da fiziksel, psikolojik, zihinsel, ekonomik, kültürel ya da sosyal kimliğinin, sağlık, genetik, etnik, dini, ailevi ve siyasi bilgilerinin bir ya da birden fazla unsuruna daya- narak tanımlanabilen gerçek ve/veya tüzel kiĢilere iliĢkin herhangi bir bilgi” Ģeklinde ifade edilmiĢtir. Bu bağlamda bir kiĢinin adı ve soyadı, doğum tarihi ve yeri, T.C. kimlik numarası, dini inancı, cinsel tercihleri ile cinsel yaĢamı, telefon numarası, ad- resi, sağlık durumu, hobi ve fobileri, iĢi, kazancı, kredi kartı numarası, aile bireyleri ya da borçları ile alacakları kiĢisel verilere verilebilecek örneklerdendir. Ayrıca gü- nümüzde e-mail adresleri de kiĢisel veri olarak sayılmakta ve kanun dıĢı yollardan elde edilmesi kiĢilik hakkına saldırı olarak nitelendirilmektedir160.

Teknolojinin geliĢmesi bireylerin özel yaĢamları hakkında bilgi sahibi olmayı kolaylaĢtırmıĢtır. Ġnternet vasıtasıyla kiĢilik hakkına yapılan müdahaleler yoğunlukla kiĢisel verilerin amacının dıĢında kullanılması ve paylaĢılmasıyla meydana gelmek- tedir. Avrupa Ġnsan Hakları SözleĢmesi‟nin 8 inci maddesinde düzenlenen “özel ha- yatın ve aile hayatının korunması”, kiĢisel verilerin gizliliği ve korunmasını da kap- samaktadır. Özel hayatın gizliliğinin korunması hakkı ile bilgiye eriĢme hürriyeti zaman zaman birbiri ile çatıĢsa da, bu iki ilkeyi düzenleyen hükümlerin konulması sırasında çok dikkatli davranılmalıdır.

Bilgisayarlar sayesinde küçük bir boyut içerinde kiĢilere ait gizli kalması gere- ken çok fazla bilginin depolanması mümkün olmaktadır. Çünkü bilgisayarlar sayısal olarak verilerin toplanması, iĢlenmesi ve kullanılması yönünden geleneksel yöntem- lerden çok farklıdır. Mesela bilgisayar veri iĢleme merkezlerinde, istenilen veriler anında iletilebilmektedir ve söz konusu veriler kiĢinin özel hayatına (hastalığına, ma- lî durumuna, cinsel hayatına ve benzeri sır çevresine) iliĢkin olabilmektedir. Ġnter- net‟in daha ortada olmadığı dönemlerde dahi, bilgisayarların toplum hayatına hızla geliĢen bir araç olarak katılması, kiĢisel verilerin korunması ve gizliliği sorununu ortaya çıkarmıĢken161_{, Ġnternet‟in varlığı ile sorun daha da büyümüĢ ve vahim boyut-}

160 _{SırabaĢı, s. 196.}

72

lara ulaĢmıĢtır. KiĢilere ait veriler, bilgisayarların sahip olduğu bu avantajlar ile Ġn- ternet ortamına aktarılarak, Ġnternet aracılığı ile herkes için ulaĢılabilir hale gelmiĢ- tir162. Yapılacak bir yasal düzenleme ile bilgisayarlar ile kiĢisel verilerin iĢlendiği merkezler için özel olarak sır saklama yükümlülüğünün getirilmesi gerekmektedir.

Teknik imkânların artması ile kiĢilerin özel hayatlarına iliĢkin verilerin din- lenmesi, görüntülenmesi, kayıt altına alınması, değiĢtirilmesi ve ortadan kaldırılması söz konusu olabilmektedir. Ġnternet‟in yaygınlaĢması, özel hayatın gizliliği ve ko- runması konusuna odaklanmayı gerekli kılmıĢtır. Zira Ġnternet kullanımının dünya üzerinde artması kiĢilerin özel hayatına dair kiĢisel verilerin hukuka aykırı olarak aleniyet kazanması korkusunu doğurmuĢtur. Örneğin bankalar arası para transferle- rinde kullanılan kiĢisel veriler, Ġnternet sayesinde ulusal sınırları aĢarak uluslar arası boyut kazanabilir163.

KiĢisel verilerde üzerinde durulması gereken bir diğer husus da biyometrik yöntemlerdir. Biyometrik yöntemler kiĢiliğin fiziksel boyutuna iliĢkindir ve veri ko- ruması hukukunun kapsamı dâhilindedir164_{. Biyometrik yöntemler ölçülebilir fizyo-} lojik ve bireysel nitelikler aracılığıyla gerçekleĢtirilen ve otomatik olarak doğrulana- bilen kimlik denetleme tekniklerini ifade eder165. Bu bağlamda iris ya da retina tanı- ma, parmak izi tanıma ya da DNA analizi çıkarma biyometrik yöntemlere örnektir.

Bilgisayar ve Ġnternet aracılığı ile oluĢturulan geniĢ bilgi bankalarının bir bö- lümü sosyal amaçlı olarak en faydalı Ģekilde kullanılsa da (örneğin emniyet teĢkilatı, sağlık hizmetleri ve adlî hizmetler gibi), genel olarak bunların oluĢturulması kiĢilik hakkını tehdit edici niteliktedir. Bilhassa özel kiĢiler tarafından kontrol edilen kiĢisel veriler için bunun böyle olduğunu söyleyebiliriz. Meselâ bankalar tarafından topla- nan kredi bilgileri, iĢ iliĢkisi nedeniyle toplanan Ģahsî bilgiler, hastanelerin hastaları ile ilgili olarak topladıkları bilgiler, ticari Ģirketlerin reklâm ve pazarlama amacıyla

162 _{SırabaĢı, s. 194.}

163 _{SırabaĢı, s. 194; Yıldız, s. 183.}

164 _{Keser Berber, Leyla/Lostar, Murat, BiliĢimde Biyometrik Yöntemler, Ankara 2006, s. 80.} 165 _{Er, Cüneyd, Biyometrik Yöntemler ve Özel Hayatın Gizliliği Hakkı, Ankara 2007, s. 24.}

topladığı bilgiler kiĢisel verilerin gizliliği açısından son derece tehlikelidir. Çünkü kiĢisel veriler yetkisiz kiĢilerin eline geçerse, denetimsiz olarak açıklanır, alenîleĢirse kötüye kullanılarak kiĢilik hakkına saldırı söz konusu olabilir. Bunun yanında elekt- ronik ticaret sırasında da kiĢisel verilerin kötüye kullanıldığı sıklıkla görülmektedir, Ġnternet kullanıcılarının büyük bir kısmı da kiĢisel verilerinin toplanması sırasında gizliliklerinin tehdit altında olduğunu düĢünmektedir. Bu nedenle de kolaylığına rağmen elektronik ticaretten yaygın bir Ģekilde yararlanılamamaktadır166.

KiĢisel verilerin Ġnternet sayesinde çok değiĢik Ģekillerde elde edilebilmesi mümkündür. Bazen bir Ġnternet servis sağlayıcısından e-mail adresi alabilmek, bazı web sitelerinden faydalanabilmek ya da bir haberin altına yorum yazabilmek, Ġnter- net bankacılığından faydalanabilmek, Ġnternet üzerinden alıĢveriĢ yapabilmek için çok sayıda kiĢisel veri istenilmekte ve kullanıcı tarafından istenen bu bilgiler veril- mektedir167. Yine Ġnternet üzerinden iĢ baĢvurusu yapan kullanıcıya insan kaynakları tarafından hazırlanan formda kiĢisel bilgilerini içeren pek çok soru sorulmakta ve bu sorular kullanıcı tarafından yanıtlanmaktadır. Her ne kadar baĢvuran kiĢiler kiĢisel bilgilerini rızaları ile verse de, bu rıza söz konusu bilgilerin baĢkalarına aktarılmasını kapsamamaktadır. Bu Ģekilde kiĢisel bilgilerin hukuka aykırı olarak üçüncü kiĢilere aktarılması ve bunlardan faydalanılması kiĢisel veri sahibinin kiĢilik hakkına saldırı oluĢturur168

.

ĠĢverenler tarafından, Ģirket bilgilerinin Ġnternet aracılığı ile açığa vurulmasına engel olmak amacıyla çalıĢanlara ait bulunan mesajların incelenmesi ve ziyaret ettik- leri web sitelerinin takibe alınması da kiĢilik hakkını ihlâl eder. Çünkü yapılan bu iĢlem her ne kadar Ģirketin gizlilik politikası çerçevesinde gerçekleĢse de çalıĢanların rızası dıĢındadır169

.

166 _{SırabaĢı, s. 195.}

167 _{Doğan, Ġhlal, s. 481; SırabaĢı, s. 195.}

168 _{Doğan, Ġhlal, s. 481; Sınar, s. 57; SırabaĢı, s. 196.}

169 _{Yıldız, Esra Tekil, Ġnternet Üzerinde KiĢisel Verilerin Korunması, Prof. Dr. Fehiman Tekil‟in} Anısına Armağan, Ġstanbul 2003, s. 780.

74

Ġnternet ortamına kiĢisel verilerin aktarılması ve/veya bunların Ġnternet yayını haline getirilmesi durumunda, kiĢinin özel yaĢamına dair bilgiler dünya üzerinde sa- yısız Ġnternet kullanıcısına ulaĢabilir. KiĢinin özel hayatına yönelik telafi imkânı bu- lunmayan zararlara neden olabilen böyle bir saldırının hukuk düzeni tarafından ko- runması mümkün değildir170

.

KiĢisel verilerin elde edilmesinde önem arz eden bir diğer husus da kiĢisel ve- rilerin kiĢilerden alınması esnasında izlenen yöntemdir. Veriler yasal sınırlar dâhilin- de ve sadece veri toplamadaki amaç çerçevesinde elde edilmelidir. Söz konusu veri- lerin sahiplerine kendilerine iliĢkin olan bu veriler hakkında bilgi sahibi olma, eğer verilerde bir eksiklik ya da hata varsa bunları düzeltme imkânı da tanınmalıdır171

. Ġlk bakıĢta kullanıcı yararına görünen, ancak kullanıcının kiĢisel alıĢkanlıkları- nı, tercihlerini belirleyerek kiĢisel verileri ile iliĢkilendiren ve böylece kiĢinin profili- ni çıkaran “cookie”ler de göz ardı edilmemelidir. Cookie172

teknik açıdan küçük bir veri topluluğunu ifade eder ve kullanıcı tarafından ziyaret edilen web sayfasının su- nucuları tarafından iĢlemciye yerleĢtirilerek, kullanıcının tanımlanmasına olanak sağ- lar. Örneğin Ġnternet üzerinden mal ya da hizmet pazarlamakta olan pek çok satıcı, tüketicilerin alıĢveriĢ bilgileri veya özel tüketim tercihlerine iliĢkin olan verileri Ġn- ternet aracılığıyla elde ederek hedef müĢterilerini belirlemekte ve yine Ġnternet üze- rinden buna yönelik faaliyete giriĢmektedir. Bu Ģekilde pazarlama faaliyetinin hedefi olan tüketiciler, talepleri olmaksızın kendilerine gönderilen ve “spam” olarak adlan-

170 SırabaĢı, s. 196. 171 SırabaĢı, s. 196. 172

Netscape Browser‟da ya da Mikrosoft Ġnternet Explorer‟da cookie‟leri etkisiz bırakmak mümkün- dür. Netscape‟de Edit/Preferences/Advenced yolu üzerinden “Warn me before accepting cookie” seçeneği kullanılmalıdır. Microsoft Ġnternet Explorer‟da ise Tools/Ġnternet Options/Privacy altın- da farklı iĢlem seçenekleri sunulmaktadır. Ancak cookielerin tamamen yasaklanması halinde de bir çok Ġnternet sayfasına eriĢim söz konusu olmamaktadır (BaĢalp, Nilgün, KiĢisel Verilerin Ko- runması ve Ġnternet, Ġnternet ve Hukuk, Ġnternet ve Ceza Hukuku Paneli (Derleyen: YeĢim M. Atamer), Ġstanbul 2004, s. 29, dn. 88).

dırılan e-maillere maruz kalmaktadırlar173_{. Avrupa Birliği‟nin 95/46/AT sayılı direk-} tifinde cookie‟lerin içindeki kullanım verilerinin hukuka uygun bir amaçla tutulması öngörülmüĢtür. Ayrıca 2002/58/AT sayılı “Elektronik ĠletiĢimde KiĢisel Verilerin ĠĢlenmesi ve Gizliliğinin Korunması Direktifi” uyarınca kullanıcıya cookie‟lerin yer- leĢtirilmesi öncesinde kullanım amaçlarıyla ilgili açık ve tam bilgi verilmelidir (m. 6)174.

Kullanıcılar Ġnternet‟e girmesi halinde IP numarası gibi bir takım elektronik deliller bırakırlar. Ġnternet servis sağlayıcıların da IP numarası ile abonelerini izleye- bilmesi mümkündür. Ayrıca kullanıcının bir Ġnternet servis sağlayıcı aracılığı ile bir takım web sitelerinde dolaĢırken bunların server ile kaydedilmesi söz konusu olabilir. Böylece Ġnternet kullanıcısının iletiĢim kurduğu web sitelerinin ve bu yolla kiĢisel tercihlerinin tespiti mümkün hale gelmektedir. Kullanıcı Ģifreleme programları kulla- narak bunu engelleyebilir, ama bağlantı verilerinin dolayısı ile bağlantı alıĢkanlıkla- rının görünmesine engel olunamaz175_{. Bu bilgiler sonrasında e-mail adresleri reklâm} gönderilmesinde, çeĢitli ürün veya hizmetlere iliĢkin sözleĢme önerilerinde bulunul- masında, siyasi ya da ideolojik bir görüĢün propagandasının yapılmasında kullanıl- makta ve Ġnternet kullanıcısının kiĢilik hakkının ihlâli sonucunu doğurmaktadır. Ġhlâl neticesinin doğmaması için Ġnternet kullanıcısının, Ġnternet servis sağlayıcı ya da e- mail yollayanın uyarısı üzerine bir rızası söz konusu olmalıdır176_{. Bazı Ġnternet sitele-} rinde kullanıcının kiĢisel verilerinin iĢlenmesi hususunda onayı istenmektedir. Ancak çoğu zaman buna iliĢkin ibareler site üzerinde normal bir kullanıcı tarafından kolay- lıkla göremeyeceği ve dikkat çekmeyecek biçimde tasarlanmıĢ küçük kutucuklar bi- çiminde düzenlenmektedir177

.

173 _{Yıldız, E. T., s. 782 – 783.} 174 _{BaĢalp, KiĢisel Veri, s. 95 – 96.} 175 _{BaĢalp, Panel, s. 28.}

176 _{SırabaĢı, s. 196; Yıldız, E. T., s. 784 – 785.} 177 _{Yıldız, E. T., s. 785.}

76

“Paket-Sniffer” olarak tanınan programlar sayesinde, veri trafiğine ulaĢılıp önemli bilgiler elde edilebilir, ya da verilerin silinmesi söz konusu olabilir. Bu Ģekil- de kullanıcının adı ve giriĢi gibi veriler görüntülenerek, bu veriler yoluyla baĢka iĢ- lemcilere haksız giriĢ yapılıp ekonomik suçların iĢlenmesine temel oluĢturulabilir178

. Bunun yanında kullanıcının Ġnternet‟te dolaĢması esnasında belirli bir web sayfasına ulaĢmak istemesi halinde, gitmeyi arzuladığı web sitesinin orijinal sayfası yerine baĢka bir iĢlemcinin sahte sayfasına ulaĢması mümkündür. ĠĢte burada karĢımıza “web spoofing” çıkar. Web spoofing‟de, cracker179_{, öncelikle orijinal site sahibinin} URL‟sini180_{değiĢtirerek sayfaya eriĢmek isteyen kullanıcıları kendisine yönlendirir.} Orijinal giriĢ sayfasının HTML sayfaları crackerin bilgisayarına yüklenmiĢ olduğu için kullanıcılar bunu fark etmez. Kullanıcı ile site arasındaki veri trafiği iĢlemci üze- rinden yürütülür ve bu Ģekilde cracker kullanıcı tarafından açıklanmıĢ olan Ģifre, kre- di kartı numaraları gibi verileri elde etmiĢ olur181

.

Ġnternet‟e iliĢkin olarak kanunî düzenlemeler yapılması esnasında bir taraftan da Ġnternet kullanıcıları veri gizliliği ve korunması ile oluĢabilecek riskler hakkında bilgilendirilmeli, teknik olarak bunları nasıl koruyacaklarına iliĢkin eğitime tâbi tu- tulmalıdırlar. Çünkü kiĢisel verilerin Ġnternet üzerinden toplanması, kullanılması, üçüncü kiĢilerle paylaĢılması durumlarının takip edilebilmesi ve denetlenmesi çok zordur. Bunun yanında veri güvenliği ve verilerin korunması Ġnternet‟in en büyük sorunlarından bir tanesidir. Ġlerleyen zamanlarda veri güvenliğine ve kiĢisel bilgilerin elde edilmesine yönelen daha karmaĢık saldırıların olması kuvvetle muhtemeldir182

.

178

BaĢalp, Panel, s. 21.

179

“Cracker”, bilgisayar sistemlerini bozan kiĢiler olarak tanımlanmakta ve “korsan” Ģeklinde de ifade edilmektedir. Cracker ile hacker karıĢtırılmamalıdır. Ayrıntılı bilgi için bkz., http://pdf.belgeler.org/howto/hacker-howto/hacker-howto.pdf

180 _{Uniform Resource Locator. Bu browserde yazdığımız adresi ifade eder (BaĢalp, Panel, s. 20, dn.} 45). Örneğin http://www.selcuk edu.tr gibi.

181 _{BaĢalp, Panel, s. 20.} 182 _{SırabaĢı, s. 197.}