Anayasamızda 2010 yılına kadar kişisel verilerin korunmasına ilişkin bir hüküm yer almamaktaydı. Haliyle bu tarihe kadar kişisel verilerin korunması hakkı da düzenlenmemiş ve Anayasa tarafından korunmamıştır. Anayasa’nın 2. bölümünde
“kişinin hakları ve ödevleri”ne yer verilmiştir. Özel hayatın gizliliğini düzenleyen 20.
madde hükmü de bu bölümde yer almaktadır. Bu maddeye 2010 yılında 5982 sayılı kanun ile getirilen ek fıkra, kişisel verilere ilişkin ilk anayasal düzenlemedir. Söz konusu ek fıkraya göre “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin
278 KVKK, genel gerekçe.
korunmasına ilişkin esas ve usuller kanunla düzenlenir.” Bu hükmün getirilmesiyle birlikte “kişisel verinin korunması hakkı” anayasa tarafından güvence altına alınmıştır279. Kişisel veriler elbette özel hayatın gizliliğiyle ilişkilidir. Ancak kanımca “kişisel verilerin korunması hakkı”nın ayrı bir maddede hüküm altına alınması, kişisel veri koruma kültürünün oluşması için daha anlamlı olurdu. Başka bir hakkın alt bendi olarak düzenlenmiş de olsa, kişisel verilerin korunması hakkı, Anayasa’da korunan temel bir haktır. Söz konusu temel hak, kişisel verilerin korunması hakkıdır. Ancak buradan verinin korunması anlaşılmamalıdır. Korunacak olan ilgili kişidir. Nitekim söz konusu temel hak, kişisel verilerin işlenmesi karşısında, kişinin korunması olarak ifade edilebilir280.
Kişisel verilerin korunması hakkı sınırsız bir hak değildir281. Temel hak ve hürriyetlerin sınırlandırılması Anayasa m. 13’de hüküm altına alınmıştır282. Kişisel verilerin korunması hakkının sınırlandırılması için de söz konusu hükme uygun olarak sınırlandırma yapmak gerekmektedir. Kişisel verilerin işlenmesinin açık rıza halinde yapılabileceği Anayasa’da düzenlenmiştir. Açık rıza dışındaki veri işleme halleri ise ancak Kanun ile düzenlenebilir. Ayrıca bu haller kanunla düzenlense dahi Anayasa m. 13
279 Kılınç, Doğan, “Anayasal Bir Hak Olarak Kişisel Verilerin Korunması”, AÜHFD, 2012, C. 61, S. 3, s. 1132.
280 Şimşek, s. 4-5.
281 Çekin, Mesut Serdar, “6698 Sayılı Kişisel Verilerin Korunması Hakkına Kanun’un Big Data (Büyük Veri) ve İrade Serbestisi Açısından Değerlendirilmesi”, İÜHFM, 2016, C. 74, S. 2, s. 640.
282 Anayasa m. 13: “Temel hak ve hürriyetler, özlerine dokunulmaksızın yalnızca Anayasanın ilgili maddelerinde belirtilen sebeplere bağlı olarak ve ancak kanunla sınırlanabilir. Bu sınırlamalar, Anayasanın sözüne ve ruhuna, demokratik toplum düzeninin ve laik Cumhuriyetin gereklerine ve ölçülülük ilkesine aykırı olamaz.”
gereği hakkın özüne dokunacak mahiyette olamayacağı gibi Anayasaya da aykırı olamaz283. Örneğin açık rıza dışında kişisel veri işleme sebebi Kurum’un hazırlayacağı bir düzenlemeyle getirilemez. Aksi kabul kişisel verilerin korunması hakkının Anayasaya aykırı olarak kısıtlanması anlamına gelecektir.
C. 6698 Sayılı Kişisel Verilerin Korunması Kanunu
KVKK’ya duyulan gereksinim sadece temel hak ve özgürlüklerin korunması bağlamında değil, aynı zamanda ticari, ekonomik, sosyal vb. birçok alanda önem arz etmektedir. KVKK genel gerekçesi incelendiğinde kanunun yürürlüğüne girmesinin ivedi olarak yapılması gerektiği ve bunun nedenlerine yer verildiği görülecektir.
KVKK’nın genel gerekçesinde kişisel verilerin korunmasına özgü bir kanuna gereksinim duyulduğu belirtilmiştir. Veri koruma düzenlemelerinin çeşitli kanunlara serpiştirilmiş olması, tek bir yerde düzenlenmemiş olması, dağınıklığa sebep olarak veri korumasında sıkıntılar yaratmaktaydı284. Gerekçede veri koruma alanını düzenleyen tek bir kanun bulunmadığına dikkat çekilmiştir. Ayrıca kişisel verilerin işlenmesinde meydana gelebilecek hukuka aykırılıkları ve bunun sonucunda ortaya çıkabilecek kişisel verilerin korunması hakkının ihlalini kontrol altına alabilecek bir Kurum olmadığına dikkat çekilmiştir. Ayrıca Türkiye-AB üyelik görüşmelerinde Türkiye’deki kişisel veri mevzuat eksikliği ifade edilmiştir. KVKK’nın düzenlenmesinin bir başka sebebi ise kişisel verileri düzenleyen temel bir kanun olmadığından, EUROPOL285 ve ülkemizin
283 Ayözger Öngün, s. 39; Henkoğlu, s. 73.
284 Henkoğlu, s. 20.
285 EUROPOL, uluslararası suçlarda etkin ve güçlü bir kuruluştur. Zaten asıl kurulma amacı da ülkeler arası bilgi akışının sağlanarak suçla etkin bir şekilde mücadele edilmesidir. Şimşek, s. 75-78.
kolluk birimleri arasında bilgi aktarımı yapılamamasıdır. Aynı sebeple EUROJUST ve yargı makamlarımız arasında da veri aktarımı konusunda problemler ortaya çıkmıştır286.
KVKK’nın kabul edilmesinin ekonomik ve ticari sebepleri de bulunmaktadır.
Kişisel verilerin ekonomik kıymetinden söz etmeye gerek dahi bulunmamaktadır. Zira günümüzde şirketler ekonomik gayelerle veri işlemekte, işledikleri verileri yurt içinde veya yurt dışına aktarmaktadır. Yabancı sermayenin ülkemize yatırım yapması için de kişisel veri işlemenin ve aktarmanın belli bir düzen ve sistematik içinde olması önem taşımaktadır. Zira kişisel verilerin korunmasını düzenleyen temel bir kanun olmaması yerli ve yabancı yatırımların önüne set çekmektedir.
Daha önce de belirttiğimiz gibi, dünyada kişisel veri ile alakalı çalışmalar ve düzenlemeler 1970’li yıllarda yapılmaya başlanmıştır. Türkiye ise kişisel verilere ilişkin uluslararası anlaşmaları imzalasa bile iç hukukuna dahil etmemişti. 2004’de TCK’da kişisel verilerle ilgili hükümler olsa da bu sadece ceza alanında bir koruma sağlamaktaydı. Yine İş Kanunu’ndaki (“İK”) İş Hukuku’na özgü ve sınırlı düzenlemeler de yeterli olmamaktaydı. Ayrıca kişisel verilerin korunması hakkı Anayasa’da ve diğer kanunlarla tam anlamıyla yer almadığından TCK kişisel veri düzenlemeleri biçare olarak kalmaktaydı. 2010’daki değişiklikle kişisel verilerin korunmasına dair fıkra Anayasa’ya eklendi. Anayasa’nın yaptığı atıf gereği sadece veri koruma alanını düzenleyen özel bir kanunun yapılması gerekiyordu. Buna ek olarak AK 108 sayılı Sözleşme’nin 2016 yılında Türk hukukuna katılması da yeni bir kanunu gerekli kılıyordu. Tüm bu gerekçelerle yıllardır beklenen KVKK 24.03.2016 tarihinde kabul edildi. Söz konusu “6698 sayılı Kişisel Verilerin Korunması Kanunu” 07.04.2016 tarihli RG’de287 yayımlanarak yürürlüğe girdi.
286 KVKK, genel gerekçe.
287 RG. 07.04.2018, S. 29677.
KVKK’nın yürürlüğe girmesi Türkiye için kişisel verilerin korunması konusunda çok önemli bir adımdır. Zira KVKK ile birlikte Türkiye, AB açısından kişisel verilere ilişkin yeterli korumanın bulunduğu ülke288 sayılma noktasında önemli bir adım atmıştır289.
288 Yeterli korumanın bulunduğu ülke, güvenli ülke olarak da ifade edilmektedir. Söz konusu tasnif (güvenli ülke-güvenli görülmeyen ülke) kişisel verilerin korunması kapsamında yapılmaktadır.
289 Akıncı, AB Tüzüğü, s. 4.
İKİNCİ BÖLÜM
6698 SAYILI KİŞİSEL VERİLERİN KORUNMASI KANUNU KAPSAMINDA KİŞİSEL VERİLERİN KORUNMASI
§4. Kanunun Amacı, Kapsamı ve Terimler
I. Kanunun Amacı
Daha önce de belirttiğimiz gibi, kişisel verilerin korunması hakkı, 2010 yılında Anayasa’ya eklenen fıkrayla güvence altına alınmıştır. İlgili 20. maddenin son cümlesine göre, “Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.”
Görüldüğü üzere Anayasa, hak ile ilgili olarak genel çerçeveyi çizdikten sonra hakkın korunmasıyla ilgili detaylar için kanuni düzenlemeye atıf yapmıştır. Anayasa’nın aynı maddesinde ilgili kişinin hakları sayılmış, kişisel verilerin işlenmesinde temel hususlara değinilmiştir. Bu nedenle ilgili kişinin bu haklarını nasıl kullanacağı, kişisel verilerin korunmasını talep hakkının detayları ve veri işlemenin ne zaman hukuka uygun olup ne zaman olmayacağı sorunsalına çözüm bulmak KVKK’nın temel amaçları arasındadır.
Kanun ile ulaşılmak istenen sonuç veri işlemenin modern ölçütlere bağlanarak korunmasıdır. Başka bir ifadeyle, kanunun hedefi, kişisel verilerin korunmasında modern standartların yakalanmasıdır290. Bu hedefin gerçekleşmesiyle birlikte verilerin rastgele
290 Kurum, Kişisel Verilerin Korunması Kanunu Hakkında Sıkça Sorulan Sorular, Ankara 2018, s. 16. https://www.kvkk.gov.tr/Icerik/4196/Kisisel-Verilerin-Korunmasi-Kanunu-Hakkinda-Sikca-Sorulan-Sorular (E.T.: 02.04.2020).
işlenmesi ve kötü amaçlarla kullanılması engellenebilecektir291.
KVKK m.1’e göre “Kanunun amacı, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir.” Söz konusu maddede genel manada Anayasa’nın atfına riayet edildiği görülmektedir. Ancak Anayasa’da kişisel verilerin korunması hakkının açıkça düzenlendiğinden söz ettik. Buna rağmen KVKK’da söz konusu bağımsız hak yerine özel hayatın gizliliğine yer verilmesi eleştirilmektedir292. Madde gerekçesinde293 de 1.
maddeye benzer amaçlardan bahsedilmiş, ayrıca “kişinin mahremiyet hakkı ve bilgi güvenliği hakkının korunmasına” da özellikle vurgu yapılmıştır.
II. Kanunun Kapsamı
KVKK’nın ne zaman uygulanabileceğini tespit etmek için kanunun kapsamının belirlenmesi gerekmektedir. Zira veri işleyenlerin bütünü değil sadece madde kapsamında sayılan kişiler kanun kapsamına girecektir. KVKK m. 2’ye göre “KVKK hükümleri, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır.” Kanunun kapsamının sınırlarının GDPR m.2/1 ile benzer olduğu görülmektedir.
291 Kurum, 100 Soruda Kişisel Verilerin Korunması Kanunu, Ankara 2018, s.12.
292 Çekin, Kişisel Veri, s. 21-22.
293 KVKK gerekçe, m. 1.