Normatif temelini esas olarak insan onuru ve kişiliğin serbest geliştirilmesi hakkı ile özel hayatın gizliliğinden alan kişisel verilerin korunması hakkı, sınırsız olarak garanti edilmemektedir. Diğer bir deyişle bireyin kişisel verileri üzerinde mutlak ve sınırsız bir hâkimiyeti bulunmamaktadır. Bir toplum düzeni içerisinde yaşayan birey, ağırlıklı kamu yararı nedeniyle kişisel verilerine yönelik olarak
67 anayasaya uygun ve yasal temele dayanan sınırlamalara uymak zorundadır (Şimşek, 2008: s. 149).
Aynı şekilde örneğin, devletin hukuk devleti ve sosyal devlet olması nedeniyle ödevlerini yerine getirirken duyacağı bilgi gereksinimi de kişisel verilerin korunması hakkına yapılacak sınırlamaları meşrulaştıracaktır. Gerçekten de sosyal devlet ilkesi68, sosyal yaşamı düzenleyen, hizmet eden, koruma getiren devlet faaliyetlerini gerekli kılmaktadır. Sosyal devletin bu niteliğinden kaynaklanan ödevlerini yerine getirebilmesi için toplumdaki sosyal durumları bilmesi gerekmektedir. Toplumdaki sürekli artan ihtiyaçları karşılamak, sosyal devletin gereklerini yerine getirmek için etkili bir yönetim faaliyetine gereksinim vardır ve bu faaliyetin de bir takım kişisel veriler elde edilmeden yerine getirilmesi mümkün değildir. Ancak bu tür kişisel veriler toplanırken, verilerin toplanması devletin meşru faaliyetlerini yerine getirebilmesi için bir araç olmalı, yoksa başlı başına bir araç olmamalı ve bu hakkın anayasal garantilerine riayet edilmelidir (Şimşek, 2008: s. 124).
Kişisel verilerin korunmasına ilişkin olarak uluslararası düzenlemelerde de bir takım sınırlamalar getirildiği görülmektedir. Bu çerçevede Avrupa Konseyinin verilerin korunmasına ilişkin 108 nolu Sözleşmesi, yasal olarak öngörülmüş olma ve demokratik bir toplumda gerekli bir önlem olma koşuluyla aşağıdaki durumlarda üye Devletlere istisna getirme hakkını tanımaktadır (m. 9) (Şimşek, 2008: s. 127):
- Devlet güvenliğinin, kamu güvenliğinin, devletin ekonomik menfaatlerinin korunması ve suçlarla mücadelenin söz konusu olması.
- İlgilinin veya üçüncü kişilerin hak ve özgürlüklerinin korunması.
- Bunun yanı sıra Sözleşmede otomatik olarak toplama, verilerin istatistiki veya bilimsel amaçlarla kullanılması durumlarında da ilgilinin katılım haklarına bir takım sınırlamalar öngörülmüştür (m. 9/3).
AB‟nin 95/46/EC sayılı Kişisel Verilerin Korunması Direktifi de kişisel veriler bakımından Direktifte öngörülen güvencelere, sınırlama ve istisnalar
68 Sosyal devlet ilkesi ile ayrıntılı bilgi için bkz. Gözler, Kemal, Türk Anayasa Hukuku, Ekin
68 getirilebilmesine imkân vermektedir (m. 13). Buna göre, üye Devletler devlet güvenliği, ülke savunması, kamu güvenliği, suçtan korunma, suçların soruşturulması ve kovuşturulması, üye devletin önemli ekonomik ve finansal yararı, ilgili kişinin korunması, diğer kişilerin hak ve özgürlüklerinin korunması gibi nedenlerle Direktifteki düzenlemelere sınırlama ve istisnalar getirebileceklerdir (Uygun, 2010: s. 69-70; Şimşek, 2008: s. 127).
AK Sözleşmesi ve AB Direktifindeki hakkın korunma alanına ilişkin istisnalar Kişisel Verilerin Korunması Kanunu Tasarısında da benzer şekilde düzenlenmiş olmakla birlikte, Tasarı kanunlaşmadığı için henüz uygulama imkânı bulunmamaktadır.
Anayasamızda ise kişisel verilerin korunması hakkının düzenlendiği 20. maddede bu hakkın sınırlama sebepleri düzenlenmemiştir. 20. maddenin ikinci fıkrasındaki sınırlama sebepleri ise, her ne kadar doktrinde görüş birliği olmasa da, özel hayatın gizliği kapsamında arama ve elkoymaya ilişkindir69
. Ancak 20. maddenin üçüncü fıkrasında kişisel verilerin mahiyeti gereği, kişisel verilerin kişinin açık rızasıyla ve kanunda öngörülen hallerde işlenebileceği hüküm altına alınmıştır. Burada kişinin rızası olması durumunda hakkın sınırlanmasından söz edilemeyecektir. Kanunda öngörülmenin ise bir sınırlama sebebi değil de bir sınırlama yöntemi olduğu, bu nedenle de kişisel verilerin işlenmesine kanunla izin verilmesiyle bu işlemenin otomatikmen hukuka uygun olmayacağı, bu kanununda anayasadaki temel hak ve özgürlüklerin sınırlandırılması rejimine uygun olması gerektiği ileri sürülmüştür (Akdağ, 2013: s. 84-87).
Gerçekten de Anayasada kişisel veriler için özel bir sınırlandırma sebebi öngörülmemiş ise de, Anayasanın 13. maddesinde temel hak ve hürriyetlerin nasıl sınırlanacağı, sınırlamayı yapan kanunun hangi standartta olacağı belirlenmiştir. Ayrıca 13. maddede 2001 yılında yapılan değişiklikle, genel sınırlama rejimden vazgeçilerek her hakkın niteliğine özgü sınırlama sebepleri kabul edilmiştir (Yokuş, 2003: s. 212).
69
69 13. maddenin ikinci cümlesine göre, “Bu sınırlamalar, Anayasanın sözüne ve
ruhuna, demokratik toplum düzeninin ve laik cumhuriyetin gereklerine ve ölçülülk ilkesine aykırı olamaz.”
O halde kişisel verilerin korunması hakkına müdahale edilmesi halinde müdahale yöntemlerinin Anayasanın sözüne ve ruhuna, demokratik toplum düzeninin ve laik cumhuriyetin gereklerine ve ölçülülük ilkesine aykırı olmaması gerekmektedir.
Ölçülülük ilkesine göre, temel hakkın sınırlanmasında başvurulan araç, sınırlama amacını gerçekleştirmeye elverişli olmalı, araç amaç için elverişli olmalı ve araçla amaç arasında ölçüsüz bir oran bulunmamalıdır. Bu anlamda kişisel verilere yönelik sınırlama ve müdahalelerde başta ölçülülük ilkesi olmak üzere Anayasanın temel hakların sınırlanması rejimine uyulması gerekmektedir (Şimşek, 2008: s. 125).
Diğer yandan kişisel verilerin korunması hakkına yapılacak yasal müdahalede açıklık ilkesine de uyulmalıdır. Açıklık ilkesine göre, kişisel verilerin korunması hakkına yönelik sınırlamaya imkân tanıyan yasal düzenleme, açık ve herkes için kavranabilir olmalıdır. Bu yasal düzenlemenin, veri işlemenin kapsamını ve amaçlarını o derece açık bir şekilde ortaya koyması gerektirmektedir ki, ilgili kişi kişisel veriler üzerindeki karar verme hakkına yönelik sınırlamanın kapsamını zamanında ve net bir şekilde tahmin edebilmelidir. Bu durum aynı zamanda veri işlemenin şeffaflığı ilkesinin de mantıksal bir sonucudur (Şimşek, 2008: s. 126).
Kişisel verilerin korunması hakkına yapılan müdahalelerde amaca bağlılık ilkesine de uyulmalıdır. Bu ilke, veri toplamanın yasal olarak belirlenen amaç için söz konusu olmasını ve bu amaca bağlı kalınmasını gerektiğini ifade etmektedir. Bu nedenle belirsiz veya henüz belirli olmayan amaçlarla stok yapmak üzere veri toplamak, amaca bağlılık ilkesi ve temel haklara en az müdahalede bulunulması ilkesiyle bağdaşmamaktadır. Aynı şekilde belirli bir amaç için toplanan verilerin toplandıktan sonra toplanma amacına yabancı amaçlarla kullanılması ve devrine karşı kişinin korunması ve bu konudaki gerekli önlemlerin alınması gerekmektedir (Şimşek, 2008: s. 126).
70 Sonuç olarak, kişisel verilerin korunması temel hakkı sınırsız olarak korunmamaktadır ve esas olarak bu hakka müdahale mümkündür. Ancak kamusal organlar tarafından kişisel verilerin korunması hakkına yapılacak müdahale, şayet kişinin usulüne uygun rızası bulunmuyorsa ancak bir kamu yararı varsa yapılabilmeli ve mutlaka yasal bir temele sahip olmalıdır. Bu yasanın da anayasanın temel hakların sınırlandırılmasına ilişkin temel kurallarına uygun olması gerekmektedir.
71
ĠKĠNCĠ BÖLÜM
ULUSLARARASI ÖRGÜTLERĠN HUKUKĠ DÜZENLEMERĠNDE KĠġĠSEL VERĠLERĠN KORUNMASI VE MUKAYESELĠ HUKUKTA KĠġĠSEL VERĠLERĠN KORUNMASI HAKKININ ĠHLALĠNE ĠLĠġKĠN
YAPTIRIMLAR
1. GENEL OLARAK
Gerek kamu hizmetlerinin zamanında ve sağlıklı verilebilmesi ve devletin güvenlik sağlama ihtiyacı, gerek özel sektörün yaptığı hizmetleri yürütebilmesi için kişisel verilerin işlenmesi giderek bir zorunluluk haline gelmiştir. Veri işlemenin elektronik ortamlarda yapılmaya başlanmasıyla birlikte, işlem sayısının her geçen gün artması, kişisel verilerin korunmasında yeni önlemler alınması ve düzenlemeler yapılmasını zorunlu hale getirmiştir. Bu nedenle gerek devletler, gerekse uluslararası örgütler konuyla ilgili önlemler almaya çalışmışlardır. Bu kapsamda birçok uluslararası sözleşme ve düzenleme yapılmıştır.
Bir kısım uluslararası belgelerde kişisel verilerin korunması doğrudan düzenlenmemiş, kişisel veriler özel hayatın gizliliği hakkı kapsamında değerlendirilmişlerdir. Bu kapsamda Birleşmiş Milletler İnsan Hakları Bildirisi, Medeni ve Siyasal Haklar Sözleşmesi ve Avrupa İnsan Hakları Sözleşmesi başta olmak üzere, pek çok uluslararası belgede özel hayatın gizliliği, temel insan hakları arasında düzenlenmiştir.
Bunun yanında uluslararası alanda doğrudan kişisel verilerin korunmasına alanını yönelik metinler de hazırlanmıştır. 1970‟ li yıllardan itibaren ilk veri koruma kanunlarının kabul edilmesinden kısa bir süre sonra, verilerin ülkeler arasında transferinde sorun yaşanmaması için ulusal yasaların uyumlaştırılması gereksinimi ortaya çıkmıştır. Bu doğrultuda 1980'li yılların başından itibaren verilerin korunması açısından yeni bir döneme girilmiştir. OECD, BM, AK, ve AB gibi uluslararası kuruluşlar, kişisel verilerin korunmasına ilişkin temel ilkeleri ve verilerin sınırötesi aktarımını düzenleyen metinler kabul etmişlerdir. Bu metinlerde, ulusal hukuklarda genel olarak geçerli olacak veri koruma ilkeleri belirlenerek, veri koruma hukukunun gelişimine büyük katkı sağlanmıştır (Küzeci, 2010: s. 117).
72 Nitekim pek çok bölgeden çok çeşitli devletlerin kişisel verilerin korunmasında Avrupa modelinden etkilendiği görülmüştür. Bunda, AB‟nin 95/46/EC sayılı Direktifinin kişisel verileri “yeterli” oranda korumayan devletlere veri aktarımını yasaklamasının önemli bir etken olduğu ifade edilmiştir70
.