Kişisel verilerin kapsamını belirlemede, kişisel verinin sır kavramından farklarını ortaya koymak önemli taşımaktadır. Bir kişiyi belirlenebilir kılan her veri kişisel veri olarak tanımlanmaktadır. Sır kavramı ise kişinin kendisine veya bir başkasına ait sınırlandırılmış sayıda kişilerin bilebileceği ve mahrem kalması gereken bir bilgiyi işaret etmektedir. Arapça kökenli bir isim olan sır, TDK’ya göre, varlığı veya bazı yönleri açığa vurulmak
istenmeyen, gizli kalan, gizli tutulan şey anlamına gelmektedir38.
Mevzuatta kişisel verinin tanımı birçok yerde yapılıyor olmasına rağmen sırrın tanımı yapılmamakta, yalnızca ticari sır ve devlet sırrının tanımı düzenlemelerde kendisine yer bulmaktadır. Doktrinde ise sır, işitmek, görmek veya hissetmek suretiyle öğrenilen ve hem maddi varlığa sahip olmayan hem de aleni olmayan bir şey olarak tanımlanmaktadır39.
38 Türk Dil Kurumu Sözlükleri, 2019. “Sır” Erişim Tarihi: Ağustos 2019 https://sozluk.gov.tr/?kelime=sir. 39 Erem, Faruk: “Ceza Hukukunda Meslek Sırrı”, Ankara Üniversitesi Hukuk Fakültesi Dergisi, 1, Ankara
14 O halde sırrın yapısal özelliklerinden biri soyut olması yani maddi âlemde sınırlandırılmış olmaması iken diğer özelliği aleni olmaması yani herkesçe bilinmeyen yahut bilinebilir düzeyde olmamasıdır.
Aynı zamanda, sırrın objektif olarak sır olması gerekmektedir. Aksi halde sır gibi saklanan fakat objektif olarak bakıldığında herkes tarafından bilinebilecek olan verilerin sır diye saklanıyor olması onları koruma kapsamında yer alması gereken veriler sınıfına sokmayacaktır.
b) Sır türleri
Sırrın kapsamını belirleme de çeşitli türlerinin olduğunu belirtmek gerekmektedir. Sır, kişisel, mesleki, ticari ve devlet sırrı olmak üzere dört çeşittir.
Kişisel sır, kişinin kendisi ile ilgili olup başkası ile paylaştığı sırdır. Bu sır türü en geniş kapsamlı tür olmakla birlikte diğer sır türlerinin kapsamına girmeyen sırlar da bu tür kapsamında yer almaktadır.
Ticari sır, TTK’da yer verilen sır saklama yükümlülüğü çerçevesinde işletme sırlarını öğrenen kişilerin dışarıya izinsiz olarak açmamasını ifade etmektedir40. Ticari sırlar,
gerçek kişilere veya işletmenin tüzel kişiliğine ait olabilmektedir.
Mesleki sır, meslek ilişkisi sebebiyle öğrenilen sırrı ifade eder. Avukatın41, hekimin42 vs.
diğer mesleklerin gördükleri iş sebebiyle diğer kişi/kurumlarla ilgili öğrenmiş oldukları gizli bilgiler bu tür içerisinde yer almaktadır. Bu bağlamda, TBK’da yer alan hizmet sözleşmesi çerçevesinde işçinin özen ve sadakat borcunun bir gereği olarak sır saklama yükümlülüğü bulunmaktadır43.
Devlet sırrı, devlete zarar verebilecek devletle ilgili gizli bilgiyi ifade etmektedir44. Bu
tarz verilerin her ne kadar mahrem kalması gereken verilerden olması gerekli olsa da
40 Örnek olarak TTK m. 404, 441, 527’a bakılabilir. 41 Avukatlık Kanunu m. 36.
42 Hekimlik Meslek Etiği Kuralları m. 9. 43 TBK m. 396.
44 Devlet sırrı niteliğindeki bilgilerle ilgili tanıklık maddesi CMK m. 47’de düzenlenmektedir:
“(1) Bir suç olgusuna ilişkin bilgiler, Devlet sırrı olarak mahkemeye karşı gizli tutulamaz. Açıklanması, Devletin dış ilişkilerine, milli savunmasına ve milli güvenliğine zarar verebilecek; anayasal düzeni ve dış ilişkilerinde tehlike yaratabilecek nitelikteki bilgiler, Devlet sırrı sayılır…”
15 kişisel verilerden farklı olduğunu belirtmek gerekir. Çünkü kişisel veriler sadece gerçek kişiye ait olan verileri ifade etmektedir.
Bir gerçek kişiyi tanımlanabilir kılan sırların da kural olarak kişisel verilerin korunması kapsamında olması gerekmektedir. Bu noktada kişisel veri ile sırrın aynı unsurları ifade etmekte oldukları düşünülebilir. Gerçek kişilere ait kişisel, ticari, mesleki ya da devlet sırrı niteliğindeki kişisel verilerin, özel hükümlerde daha fazla bir koruma sağlamadığı takdirde kişisel verilerin korunması kuralları çerçevesinde korumaya sahip olması gerekmektedir. Bunun sebebi, söz konusu verilerin gerçek kişilere ait olmasının yanı sıra, hukuki metinlerde koruma kapsamı dışında yer alan kişisel veriler arasında da yer almamakta olmasıdır. Ayrıca kişilerin iradesinin bu verileri alenileştirme yönünde olmayışı ve mahrem kalması gereken verilerden oluşu diğer gerekçelerdir.
c) Sır ile kişisel verinin benzerlikleri ve farklılıkları
Kişisel veri ve sır, nitelikleri açısından birbirine benzemekle birlikte kapsam ve hukuki korumaya sahip olması açısından farklılaşmaktadır.
Öncelikle benzerlikleri açısından belirtmek gerekir ki, her ikisinde de verilerin kural olarak gizli tutulmak istendiği düşüncesi hâkimdir. Bu yüzden her iki tür veri de korunmaya muhtaçtır. Yine bu özellikleri sebebiyle bazen iç içe geçebilmekte ve karışıklık söz konusu olmaktadır. Gizlilik için verinin gizli kalıp, saklanması asıldır. Farklılıkları ise, kapsam açısından bakıldığında, sırrın kişisel verilere göre çok daha geniş kapsamlı olmasıdır. Bir kişiyi belirlenebilir kılan her şey kişisel veri iken, sırlar bu verilerin dışındaki özel hayat verileri gibi verileri de kapsayabilmektedir. Aynı zamanda hukuk düzleminde korunması açısından da sırrın kişisel verilerden daha kapsamlı olacağı savunulabilir. Örneğin, hastası ile ilgili sır niteliğindeki verilerinin doktorunun yahut şüpheli ile ilgili verilerin kolluk ya da savcının hafızasında yer alması, kişisel verilerin korunması açısından değerlendirmeye konu olmamaktadır.
Bu tarz verilerin kişisel veri kapsamında korunabilmesi için bir kişiyi belirlenebilir kılmasının yanı sıra çeşitli vasıtalarla dış dünyaya aktarılması gerekmektedir. Çünkü bir kişinin hafızasında yer alan hususların ne olduğu dışarıdan bir müdahale ile kanıtlanamaz, ölçülemez. Bu verilerin korunması meslek sırrı gibi çeşitli düzenlemelerle sağlanmakta olup sır olarak tutulabilecek şeylerin kişisel veri olup olmaması önem taşımamaktadır.
16 Dolayısıyla sırlar, kişisel verilerin korunması alanının dışına çıkmakta olup, kişisel verilerden bu yönüyle daha kapsamlı bir alan oluşturmaktadırlar.
Bizim düşüncemize göre, kişilere ait ve onları belirlenebilir kılan verileri içeren sırların kişisel veri niteliğinde olacağını, bu nedenle de kural olarak kişisel verilerin korunmasından yararlanıyor olması gerektiğini düşünmekteyiz. O halde, her ne kadar kişisel veri ile sır aynı şeyi ifade etmiyor olsa bile aynı koruma potası altında buluşabilecektir. Bu yüzden bir kişinin kişisel verilerini ihtiva eden sırlar kişisel verilerin korunması güvencesi altındadırlar. Ayrıca bir kişinin bir sırrı bildiği bilgisi de o kişiyi “o sırrı bilen kişi” olarak nitelemekte olduğundan, bu bilgi o kişinin kişisel verisidir. Bu açıdan, kişisel sır olan hususlar, kişisel verilerde olduğu gibi, kural olarak aynı koruma kapsamında olmalı ve bu konuda özel kanun olan KVK Kanunu güvencelerinden yararlanmalıdırlar. Kural olarak kişisel veri, meslek sırrı, ticari sır ve devlet sırrı kapsamına girmemekle birlikte kişisel sır alanı içerisinde yer alan verilere yönelik açıklayıcı ve koruyucu hukuki düzenlemelerin yapılmasının verilerin korunmasına katkı sağlayacaktır.
Hak Boyutuyla Kişisel Veriler 1. Genel olarak
Kişiler verilerin bu kısımda hak boyutu yönüyle ele alınmasındaki amaç, son yıllarda kişiler verilerin elektronik veri sistemleriyle gittikçe artan bir düzeyde işlenmesi sebebiyle kaçınılmaz bir ihtiyaç haline gelen verilerin korunması hususunun hem insan hakları bağlamında korunacak hukuki değerini ortaya çıkarmak hem de temel hukuki- felsefi dayanaklarını tanıtıcı düzeyde göstermekten ibarettir. Bu bağlamda, kişisel verilerin kişilik hakkına, kendi kaderini tayin etme hakkına, haberleşme özgürlüğüne ve özel hayatın gizliliği hakkına dayanan kökleri incelenmektedir.
Hiç şüphesiz zikredilen bu hakların hukuk kurallarınca korunmasıyla kişisel veriler de korunmaktadır. Karşılıklı ilişkinin göstergesi olarak kişisel verilerin korunmasıyla da zikredilen bu haklar korunmaktadır45. Kişisel verilerin korunmasını hakkına yönelik
karşılıklı güvence sağlayan diğer temel hak ve özgürlükleri de burada zikretmek gerekir.
45 GDPR’ın konu ve hedefler başlıklı birinci maddesinde de belirtildiği üzere, kişisel verilerin korunması
17 Bunlar: inanç özgürlüğü, bilgi edinme özgürlüğü, düşünceyi açıklama özgürlüğü, toplantı özgürlüğü ve haberleşme özgürlüğüdür. Özel hukuk doktrini açısından kişisel verilerin hukuki niteliğini mülkiyet ve fikri mülkiyet hakkına bağlayan görüşler de bulunmaktadır46.
Ayrıca koruma sürecini daha iyi anlamak adına hukuk coğrafyası açıdan bakıldığında Kıta Avrupası ekolünde hak ve sosyal değer merkezli bir yaklaşım mevcut olduğu görülmektedir Anglo-Amerikan hukuk sistemine dâhil ülkelerde ise, kişisel verilerin korunması özel hayatın gizliliği ile sınırlandırılmakta ve bu hali ekonomik ve teknolojik yaklaşım üzerinden mütalaa edilmektedir47.