4. KĠġĠSEL VERĠLERĠN KORUNMASI
4.2. KiĢisel Verilerin Korunmasının Tarihsel GeliĢimi
Kişisel verilerin korunmasına ve üçüncü kişilerle paylaşılmamasına yönelik bazı ilkelerin ilk zamanlarda özellikle sır saklama yükümlüğüne tabi doktor, avukat, din adamı gibi bazı meslek sahiplerine yönelik olduğu bilinmektedir (Şimşek, 2008: s. 6).
Günümüzde anladığımız şekliyle kişisel verilerin korunması, yeni bir alan olarak karşımıza çıkmasına rağmen kısa sürede hızla yayıldığı ve geliştiği görülmüştür (Küzeci, 2010: s. 105).
40 1950'li ve 1960'lı yıllar bilgisayarların ortaya çıktığı, hızla geliştiği ve yaygınlaşmaya başladığı bir dönem olmuştur. Bu dönemde çeşitli devlet organları ve işletmeler ellerindeki bilgileri merkezi bir veri tabanında birleştirmeye yönelik ciddi hazırlıklar yapmışlardır. İşte veri korumaya ilişkin ilk düzenlemelerin ortaya çıkışında, bu düşünceye karşı oluşan tepki etkili olmuştur. Verilerin insan eliyle işlenmesinden otomatik işlemeye geçişin yeni ve ciddi riskler ortaya çıkaracağı düşünülmüştür. Devletin, çeşitli kaynaklardan elde ettiği bilgileri ilişkilendirerek bireylerin karşısında aşırı güçlenmesi tehlikesi fark edilmiş ve kanun yapanların, yeni teknolojilerin getirdiği bu olanakların kullanımını denetlenebilir ve şeffaf kılmaya özel bir dikkat göstermeleri gerektiği düşüncesi ön plana çıkmaya başlamıştır35
. Bu düşüncelerden hareketle 1970‟li yıllarda, kişisel verilerle ilgili kişisel mahremiyet hukuku veya kişisel verilerin korunması hukuku olarak adlandırılan ayrı bir hukuk alanı ortaya çıkmış ve daha sonra Avrupa kıtasında gündeme gelmeye başlamış ve hukuki düzenlemelerin konusu olmuştur (Tanrıkulu, 2007: s. 46).
Özellikle o yıllarda teknolojinin hızla ilerlemeye başlaması, kitle iletişim araçlarının yaygınlaşması ve yaygınlaşan bu araçlar sayesinde kişilerle ilgili bilgilerin paylaşılmaya başlanması ve erişiminin çok kolaylaşması, bu verilerin hukuka aykırı olarak yetkisiz ve çoğu zaman kötü niyetli kişilerin eline geçmesine neden olmaya başlamıştır. Kişisel verilerin üzerindeki hâkimiyet konusunda o kadar çok hassasiyet ve korku ortaya çıkmıştır ki, bu korku romanlara konu olmuştur. Nitekim George Orwell‟ın 1949 yılında yayınlanan “1984” isimli romanında36 gelişen bilgi teknolojileri sayesinde Büyük Abi‟nin (Big Brother‟ın) herkesi gözetlediği ve kişiler hakkında her türlü bilgileri toplayarak bu kişiler üzerinde hâkimiyet kurduğu teması işlenmiş ve özel hayatın gizliliği gibi temel hakların ihlali karşısında toplumu bilinçlendirme yolunda yayınlar yapılmaya başlanmıştır (Başalp, 2004: s. 21; Tanrıkulu, 2007: s. 46).
Bu endişeye paralel olarak kişisel verilerin korunması bağlamında gerek teknik, gerekse hukuksal gelişmeler yaşanmıştır.
35 Jori, Andreas, “dataprotection.eu”, http://www.dataprotection.eu/. Erişim T: 25.07.2012 (Aktaran,
Küzeci, s. 106)
36
41 Kişisel verilerin korumasına ilişkin ilk yasal düzenleme, 1970 yılında Almanya'nın Hessen eyaletinde yapılmıştır. Bu yasanın kabulüne neden olan en önemli dinamiğin, "Hessen Planı" olarak adlandırılan bir program içerisinde 1960'lı yılların sonunda, özel yaşamın gizliliği hakkı üzerindeki olası olumsuz sonuçlar doğurabilecek olan federe düzeyde merkezi bir veri bankasının kurulmasına ilişkin kanun tasarısı olduğu söylenmiştir37.
Hessen eyaletinin verilerin korunmasına ilişkin yaptığı düzenleme ve sonrasında konuyla ilgili ortaya çıkan tartışmalar, Almanya'da federal düzeyde bir koruma öngörülmesini de sağlamıştır. Bu doğrultuda 1977 yılında Federal Almanya Veri Koruma Kanunu kabul edilmiştir. Ancak bu Kanun, kişisel verilerin korunması görevini, aynı zamanda milli istihbarat ve polis teşkilatından da sorumlu olan İçişleri Bakanlığına bırakması nedeniyle oldukça eleştirilmiştir (Küzeci, 2010: s. 108).
Kişisel verilerin korunmasına ilişkin Almanya'nın Hessen eyaletinde kabul edilen yasanın ardından, 1973 yılında İsveç‟te verilerin korunmasına ilişkin kanun çıkarılmıştır. Bu dönemde hızla ilerleyen teknolojinin bir parçası olan otomatik veri işleme sistemlerinin, özellikle Batı Avrupa'da yaygınlaşması ve bu sistemin beraberinde getirdiği riskler, Almanya‟dakine benzer şekilde İsveç'te veri koruması yasasının kabul edilmesine neden olmuştur (Küzeci, 2010: s. 108; Civelek, 2011: s. 10).
Aynı dönemde, kişisel verilerin korunması, başka Avrupa ülkelerinde de tartışma konusu olmuş; Hessen ve İsveç veri koruma yasalarından kısa bir süre sonra, kişisel verilerin korunmasına ilişkin yasal düzenlemeler Avrupa'da pek çok ülkede kabul edilmiştir. 1980 yılına gelindiğinde İrlanda, İtalya ve İngiltere dışında, Avrupa Ekonomik Topluluğu'nun bütün üyelerinin ya bu konuda düzenleme yaptıkları, ya da ciddi hazırlıklar içinde bulundukları görülmüştür (Küzeci, 2010: s. 108).
Ancak 1970‟li yıllarda yalnızca Avrupa'da değil, ABD'de de kişisel verilerin korunması yönünde bazı girişimlerde bulunmuştur. Bu tarihlerden itibaren
37
Kuner, Christopher, European Data Protection Law: Corporate Compliance and Regulation,
Oxford University Press, Second Edition, 2007, s. 13 (Aktaran: Civelek, Dilek Yüksel, Kişisel Verilerin Korunması ve Bir Kurumsal Yapılanma Önerisi (Uzmanlık Tezi), Bilgi Toplumu Dairesi Başkanlığı Yayınları, Nisan 2011, s. 9; Küzeci, s. 107
42 Amerika'da kişisel mahremiyet konusunda artan bir hassasiyet ortaya çıkmaya başlamış ve 1974 yılında kabul edilen Özel Yaşamın Gizliliği Yasası (Privacy Act) ile kişilerin yalnız kalma hakları olduğu ve bu haklarından dolayı kişilerin özel hayatının hukuk düzenince daha sıkı bir şekilde korunması gerektiği kabul edilmiştir (Tanrıkulu, 2007: s. 46).
Avrupa Birliği konuya temel haklar boyutuyla yaklaşırken Amerika Birleşik Devletlerinin konuya ticari açıdan yaklaştığı görülmüştür. Bu kapsamda, Özel Yaşamın Gizliliği Yasasının uygulama alanını kısıtlayan ekonomi ve ticaret hayatında verilerin paylaşımına yönelik konularda çıkarılan kanunlar nedeniyle, Amerika‟da kurumsallaşmış bir veri koruma düşüncesi uygulamaya geçememiştir (Küzeci, 2010: s. 109).
Kişisel verilerin korunmasına yönelik olarak kabul edilen ilk yasalarda öngörülemeyen önemli bir gelişimde, bilgisayarların yaygınlaşmasıyla kamu ve özel sektörde pek çok veri bankasının kurulmuş olmasıdır. Bunun sonucunda bireyin kendisiyle ilgili bilgilerin toplanması ve işlenmesinin yaratacağı tehlikeleri açıkça ve doğrudan hissetmesi, yalnızca belirli bir veri işleme sürecinin düzenleme kapsamına alınmasının ötesinde verilerinin korunmasının talep edilmesine neden olmuştur. Bu talep, kişisel verilerin korunmasında yeni bir dönemin de habercisi olmuş ve konu özel yasamın gizliliği ve geniş olarak insan hakları ekseninde tartışılmaya başlanmıştır. Ayrıca kişisel verilerin korunmasının vatandaşların hakları arasındaki yeri de belirginleşmeye başlamıştır. Nitekim Portekiz, İspanya, Avusturya gibi ülkelerde kişisel verilerin korunması bu dönemde anayasal bir hak olarak tanınmıştır (Küzeci, 2010: s. 110-111).
2 Nisan 1976 tarihli Portekiz Anayasasının 35. maddesinde, her vatandaşın kendisiyle ilgili tutulan verilerine erişme, düzeltilmsini ve güncellenmesini isteme ve hangi amaçla toplandığı konusunda bilgilendirilme hakkının olduğu, kişisel verilerin bağımsız bir idari kuruluş vasıtasıyla korunması gerektiği hüküm altına alınmıştır (Avrupa Birliği Üyesi Bazı Ülkelerin Anayasaları, 2011: s. 455).
Benzer şekilde 31 Ekim 1978 tarihli İspanya Anayasası'nın 18. maddesinin dördüncü fıkrasında, yurttaşların onuru, kişisel ve ailevi mahremiyetleri ile haklarını tam anlamıyla kullanımlarını güvence altına almak için kişisel verilerin işlenmesi yasa
43 ile sınırlanacağı belirtilmiştir (Avrupa Birliği Üyesi Bazı Ülkelerin Anayasaları, 2011: s. 542).
Kişisel verilerin korunmasının anayasal düzeyde tanınması olgusunun yalnızca bu ülkelerde değil Avusturya, Macaristan ve İsveç gibi demokratik ülkelerde de görülmüştür. Bu husus, kişisel verilerin korunmasına anayasal düzeyde yer verilmesinin yanında, kaynağını özel yaşamın gizliliğinde bulduğu genel olarak ifade edilen kişisel verilerin korunmasının artık bağımsız bir hak olarak yükselmeye başladığının da işareti olarak yorumlanmıştır38
.
Bunda 1983 yılında Alman Anayasa Mahkemesi'nin “Nüfus Sayımı Kararı” ndaki saptamaları da etkili olmuştur. Mahkeme kararında, kamu idarelerine karşı kişilerin kişisel verilerini koruma haklarına sahip olmaları konusunda önemli ilkeler ortaya koymuştur. Bu kararı önemli kılan da kişilerin verileri bakımından kendi geleceklerini belirleme haklarına sahip olduklarının açıkça belirtilmesi ve Alman Anayasasının 2. maddesinde belirtilen bu hususun dayanak yapılarak Avrupa Hukukunda ilk kez kişisel verilerin korunması hukukunda idareye karşı birtakım kuralların ortaya konması ve kişinin devlete karşı korunması olmuştur. Bu karara göre idare gereksiz şekilde belki ilerde lazım olabilir diye verileri toplayamayacak, ancak gerekli ve yeteri kadar veri toplayacabilecektir (Küzeci, 2010: s. 112).
Alman Anayasa Mahkemesi'nin bu kararından sonra kişisel verilerin korunması, bireyin veri işleme sürecinde söz sahibi olduğu “bilgilerin geleceğini belirleme hakkı” olarak anılmaya başlanmıştır (Aksoy, 2008: s. 241-242).
Kişisel Verilerin Korunması Hukukunun ortaya çıkıp hızla gelişmesinin diğer bir sebebi de özellikle Batı kültüründe bireyin toplum karşısındaki öne çıkışı ve ferdiyetçiliğin giderek etkisini arttırmasıdır (Tanrıkulu, 2007: s. 46).
Bu etki, kişisel verilerin korunmasının uluslararası alanda da çözüm aranan bir konu haline gelmesine neden olmuştur. Bu düşünceden hareketle Birleşmiş Milletler, Ekonomik İşbirliği ve Kalkınma Teşkilatı (OECD), Avrupa Konseyi ve Avrupa Birliği gibi etkili uluslararası kuruluşlar kişisel verilerin korunmasına ve
38 Early, Lawrence, “Science, Technology and Human Rights: The Role of Data Protection”, Human
Rights in the Twenty first Century, A Global Challange, C. 2, haz. Katleen E. Mahoney, Paul Mahoney, Maritus Nijhoff Publishers, Hollanda, 1993, s.801-815. (Aktaran: Küzeci, s. 111)
44 özellikle kişisel verilerin uluslararası aktarımına ilişkin kurallar belirleme düşüncelerini ard arda yaşama geçirmişlerdir. Bu bağlamda kişisel verilerin korunması, artık ulusal sınırları aşmış ve etki düzeyleri birbirinden farklı çeşitli uluslararası metinlerin konusu olmaya başlamıştır.
Bu kapsamda, ilerde ikinci bölümde ayrıntılı olarak açıklanacağı üzere, 1980 yılında Ekonomik İşbirliği ve Kalkınma Teşkilatı (OECD) tarafından kabul edilen ve bağlayıcı olmayan kişisel verilerin korunmasına ilişkin rehber ilkeleri de burada zikretmek gerekir39.
Aynı şekilde Avrupa Konseyinin “Kişisel Nitelikteki Verilerin Otomatik İşleme Tabi Tutulması Karşısında Şahısların Korunmasına Dair 28 Ocak 1981 tarihli 108 nolu Sözleşme"si ile üye devletlerin hâkimiyet alanında kişisel alanın korunması hedeflenerek, kişisel verilerle ilgili yeknesak bir hukuk düzeni ortaya konulmaya çalışılmıştır (Tansuğ, 2005: s. 55).
AİHS‟nin yorumlamak ve uygulamakla görevli Avrupa İnsan Hakları Mahkemesi de bu temelden hareketle çeşitli davalarda kişisel verilerle ilgili kararlar vererek kişisel verilerin korunması ve verilerin gizliliği gibi ilkeleri kabul ederek bu konuda, uyulama yönüyle, öncülük etmiştir40
.
1990‟lı yıllarda ise kişisel verilerin korunması konusunda Avrupa Birliği‟nde ilk tasarılar ortaya çıkmaya başlamış ve uzun çalışmalar sonunda 24 Ekim 1995 tarihinde Avrupa Parlamentosu ve Konseyi 95/48/EC sayılı “Kişisel Verilerin İşlenmesinde Gerçek Kişilerin Korunması Direktifi”ni kabul etmiştir. Kabul edilen bu Direktif, 1998 yılında yürürlüğe girebilmiştir (Tansuğ, 2005: s. 55).
Bu düzenlemelerle birlikte de kişisel verilerin korunması hakkı, artık özel hayatın gizliliği hakkının çatısı altında kalmaktan çıkarak birbirlerinden ayrılmaları sağlanmıştır (Tanrıkulu, 2007: s. 47).
39 Rehber ilkeler hakkında ayrıntılı bilgi için bkz. Özdemir, 2009: s. 19
40 AİHM‟in kisisel veriler ile ilgili ilk kararı Leander-İsveç kararıdır. Kararda, kişiye ait verilerin
toplanması ve iletilmesinin AİHS‟nin 8. Maddesininbir ve ikinci fıkrası kapsamında kişisel hayatı ihlal ettiği belirtilmiştir. Bkz. Özdemir, 2009: s. 26
45 Bu Direktifi desteklemek maksadıyla eksik kalan alanlarda Avrupa Parlamentosu ve Konseyi 1997 yılında “Telekomünikasyon Alanında Kişisel Verilerin İşlenmesi ve Mahremiyetin Korunması Direktifi” yürürlüğe koymuştur. Bu Direktif, 97/66/EG nolu Yönerge ismini almıştır. Daha sonra AB, bu Yönergeyi tamamlayan 2002/58/EC Sayılı "Özel Hayatın Korunması ve Elektronik İletişim Yönergesi”ni de ileri teknolojik ortamlardaki ilişkileri de kapsayan yeni bir veri saklama hukuku olarak ortaya koymuştur. Bu yönerge 2006/24/AB sayılı ve 15 Mart 2006 tarihli Direktif ile yenilenmiştir (Tansuğ, 2005: s. 55).
AB tarafından çıkarılan bu direktiflerin Türkiye‟de Kişisel Verilerin Korunması Kanun Tasarısının oluşumunda önemli etkileri olmuştur.
2001 yılında ise yine Avrupa Birliği‟nde kişisel verilerin korunması hakkı temel bir hak olarak Temel Haklar ve Hürriyetler Şartının 8. maddesinde yerini almıştır. 7 Aralık 2000 tarihinde Fransa'nın Nice kentinde imzalanan AB Temel Haklar Şartı, AB‟nin tarihinde ilk kez Avrupa vatandaşlarının ve AB'de yaşayan bütün insanların bireysel, siyasal ve ekonomik haklarını tek bir metinde toplaması yönüyle önemlidir. AB Temel Haklar Şartının konumuz açısından diğer bir önemli hatta en önemli yönü, kişisel verilerin korunması hakkının ayrı bir hüküm altında düzenlemiş olmasıdır41
.
4.3. KiĢisel Verilerin Korunması Hakkının Hukuki Niteliği