KİŞİSEL VERİLERİN KORUNMASI KANUNU’NA GENEL BAKIŞ

6698 sayılı Kişisel Verilerin Korunması Kanunu 07.04.2016 tarihli Resmi Gazete’de yayımlanarak Türk Hukukundaki yerini almıştır. Kanun maddelerinin büyük bir kısmı  yayımlandığı tarihte, geriye kalan kısmı ise kanunun yayım tarihinden itibaren altı ay sonra yürürlüğe girmiştir.

Her insanın kendine ait bir özel hayat çevresi vardır. Bu, bireyin küçük dünyasını oluşturur[1] ve devlet müdahalesine karşı korunmuştur. Özgür bir hayat alanı, esasen insan haysiyetinin dokunulmazlığı ile doğrudan ilgilidir. Zira bireylere maddi manevi varlığını istedikleri gibi şekillendirebilecekleri özgür bir hayat alanı tanınması, demokratik hukuk devletinin en önemli gereklerindendir.[2] İnsan hayatının genel ve özel olarak iki yanı bulunduğu, özel yanının da özel hayat alanı ve hayatın gizli alanı olarak ikiye ayrıldığı kabul edilir. Hayatın gizli alanına girilmesi kişi için bir yıkımdır. Bu nedenle her türlü müdahaleye karşı mutlak olarak korunmuştur ve dokunulmazdır. Buna karşılık özel yaşam alanı ise, üçüncü kişiler ve devlet müdahalesine karşı korunmuş olmakla birlikte özellikle devletin suçla mücadelesi bakımından dokunulmaz değildir; bu yönüyle nisbi bir korumaya sahiptir.[3]

Devletin kamu güvenliği ve huzuru, suçların önlenmesi ve özellikle de iyi bir kamu yönetimi için kişilerle ilgili ayrıntılı bilgiye ihtiyaç duyulması doğaldır. Bu çerçevede Devlet, egemenlik yetkisine dayanarak söz konusu bilgileri toplar, derler, saklar, kullanır ve değerlendirebilir. Bu bilgiler sadece devlet için değil, diğer özel ya da kamu kurum ve kuruluşları için de gerekli olabilir. Örneğin bir banka kredi vereceği kişiye ilişkin kişisel verilere ihtiyaç duyar. Fakat keyfilik riskinin yüksek olduğu bu alanda söz konusu yetki çok serbest ve sınırlamasız kullanıldığında temel insan haklarından sayılan kişilerin özel yaşamına saygı hakkı ciddi ölçüde zedelenir. O halde özellikle devletin bilgi toplama hakkı ile kişilerin özel yaşamını koruma arasında sağlıklı bir denge kurabilmek gerekir.[4]

6698 sayılı kanunun amacı, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek olarak belirtilmiştir. Kaynağını 6698 sayılı kanundan alarak kurulan Kişisel Verileri Koruma Kurumu’nun misyonu ve vizyonu ise;  Türkiye Cumhuriyeti Anayasası’nda öngörülen özel hayatın gizliliği ile temel hak ve özgürlüklerin korunması kapsamında, ülkemizde kişisel verilerin korunmasını sağlamak ve buna yönelik farkındalık oluşturarak bilinç düzeyini geliştirmek, aynı zamanda veri temelli ekonomide özel ve kamusal aktörlerin uluslararası rekabet kapasitelerini artırıcı bir ortam oluşturmak, kişisel verilerin korunması ile buna ilişkin vatandaşlık bilincinin oluşmasında etkin ve uluslararası alanda söz sahibi bir otorite olmak şeklinde ifade edilmiştir.

KİŞİSEL VERİLER NELERDİR?

            6698 sayılı Kişisel Verilerin Korunması Kanunu’nun tanımlar başlıklı 3. maddesinde kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak ifade edilmiştir. Öte yandan ülkemizin de taraf olduğu Kişisel Nitelikteki Verilerin Otomatik İşleme Tabi Tutulması Karşısında Şahısların Korunmasına Dair Sözleşme’nin 2. maddesinde de yukarıdaki tanıma benzer şekilde “Kişisel nitelikteki veriler, kimliği belirtilen veya belirtilebilen gerçek kişiyle ilgili tüm bilgileri ifade eder.” tanımına yer verilmiştir. Kişisel veriler ayrıca bireyin şahsi, mesleki ve ailevi özelliklerini gösteren, o bireyi diğer bireylerden ayıran ve niteliklerini ortaya koymaya elverişli her türlü bilgi şeklinde de tanımlanmaktadır.[5]

Kanunun 6. maddesinde ise özel nitelikli kişisel verilerin tanımı yapılmış olup; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veriler kapsamında değerlendirilmiştir.

KİŞİSEL VERİLERİN İŞLENMESİ, SİLİNMESİ VE YOK EDİLMESİ

            Kişisel veriler, kanunda öngörülen usul ve esaslara uygun olmak kaydıyla;

Hukuka ve dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine uygun olarak ilgili kişinin açık rızası ile işlenebilir. Ancak;

a) Kanunlarda açıkça öngörülmesi,

b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,

c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,

ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,

d) İlgili kişinin kendisi tarafından alenileştirilmiş olması,

e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,

f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması durumlarında kişisel verilerin işlenmesi için kişinin açık rızası aranmaz.

Özel nitelikli kişisel verilerin, yani  kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerinin  ilgilinin açık rızası olmaksızın işlenmesi yasaktır. Ancak sağlık ve cinsel hayat dışındaki kişisel veriler; kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise; ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.

6698 sayılı Kişisel Verilerin Korunması Kanunu’na uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler, resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir.

HAKLAR VE YÜKÜMLÜLÜKLER

Veri sorumlusu, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun tanımlar başlıklı 3. maddesinde kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi olarak ifade edilmiştir. Kanunun 10. maddesi, veri sorumlusuna aydınlatma yükümlülüğü getirerek; ilgili kişilere yani kişisel verisi işlenen gerçek kişilere aşağıdaki konularda bilgi verilmesini düzenlemiştir.

a) Veri sorumlusunun ve varsa temsilcisinin kimliği,

b) Kişisel verilerin hangi amaçla işleneceği,

c) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,

ç) Kişisel veri toplamanın yöntemi ve hukuki sebebi,

d) Kanunun 11. maddesinde sayılan haklar

            Aynı kanunun 11. maddesi ise, kişisel verisi işlenen gerçek kişilere veri sorumlusuna başvurarak kendisiyle ilgili;

a) Kişisel veri işlenip işlenmediğini öğrenme,

b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,

c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,

ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,

d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,

e) Kişisel verilerin silinmesini veya yok edilmesini isteme,

f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,

g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,

ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme haklarını tanımıştır.

SUÇLAR VE KABAHATLER

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 17. maddesinde, kişisel verilere ilişkin suçlar bakımından 26.9.2004 tarihli ve 5237 sayılı Türk Ceza Kanunu’nun 135 ila 140 ıncı madde hükümlerinin uygulanacağı belirtilmiştir.

Buna göre, Türk Ceza Kanunu’nun Özel Hayata ve Hayatın Gizli Alanına Karşı Suçlar bölümünde düzenlenen  Kişisel Verilerin Kaydedilmesi başlıklı 135. maddesinde, hukuka aykırı olarak kişisel verileri kaydeden kimseye bir yıldan üç yıla kadar hapis cezası verileceği, kişisel verinin, kişilerin siyasi, felsefi veya dini görüşlerine, ırki kökenlerine; hukuka aykırı olarak ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin olması durumunda ise verilecek cezanın yarı oranında arttırılacağı düzenlenmiştir.

Kanunun devamı maddelerinde ise, kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişinin iki yıldan dört yıla kadar hapis cezası ile cezalandırılacağı, sayılan suçların kamu görevlisi tarafından ve görevinin verdiği yetki kötüye kullanılmak suretiyle, belli bir meslek ve sanatın sağladığı kolaylıktan yararlanmak suretiyle işlenmesi halinde verilecek cezanın yarı oranında arttırılacağı düzenlenmiştir. Kanun koyucu aynı zamanda kişisel verilerin yok edilmemesi durumunda ortaya çıkabilecek sorunları da göz önünde bulundurmuş ve  kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlara görevlerini yerine getirmediklerinde bir yıldan iki yıla kadar hapis cezası verileceğini, suçun konusunun Ceza Muhakemesi Kanunu hükümlerine göre ortadan kaldırılması veya yok edilmesi gereken veri olması hâlinde ise verilecek cezanın bir kat arttırılacağını hüküm altına almıştır.

Kişisel verileri kaydetme, verileri hukuka aykırı olarak verme veya ele geçirme, verileri yok etmeme suçları şikayete bağlı olmayıp soruşturulması ve kovuşturulması re’sen yapılması gereken suç türlerindendir. Bu suçlar ceza üst sınırlarına göre asliye ceza mahkemelerinin görev alanına girmektedirler. Bu suçlarda korunan hukuki değer kişinin özel hayatı, suçların konusu ise kişisel verilerdir.

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun kabahatler başlıklı 18. maddesinde bu kanunun,

 a) 10 uncu maddesinde öngörülen aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar,

b) 12 nci maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar,

c) 15 inci maddesi uyarınca Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar,

ç) 16 ncı maddesinde öngörülen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası verileceği düzenlenmiştir.

SONUÇ VE DEĞERLENDİRME

Teknolojinin her geçen gün daha da ilerlemesi, başta güvenlik sorunu olmak üzere pek çok tehlikeyi beraberinde getirmekte ve mahremiyet duygusunun her geçen gün öneminin yitirilmesine neden olmaktadır. Öte yandan kişilerin sosyal medya hesapları üzerinden her an yayında olma istekleri, yaşamlarının hemen her anını diğer kişilerle paylaşarak sosyalleşme talepleri, kişisel verilerin kötü niyetli üçüncü kişilerin eline geçmesine imkan tanımaktadır. Bu yaklaşım karşısında kişisel verilerin korunması noktasında son yıllarda yapılan çalışmalar ve kabul edilen kanunlar maalesef yetersiz kalmaktadır. Gelecekte hukuki ve cezai sorumluluklar ile karşı karşıya kalmamak için,  kişisel verilerin korunması hususunda alınacak önlemlerin başında bireysel önlemlerin geldiği unutulmamalıdır.


[1] ÖZTÜRK/ERDEM/ÖZBEK, Öztürk Ceza Muhakemesi No:98

[2] ÖZBEK/DOĞAN/BACAKSIZ/TEPE, Türk Ceza Hukuku Özel Hükümler syf 527

[3] ÖZTÜRK/ERDEM/ÖZBEK No:98

[4] DEDEOĞLU Gözde “Gözetleme, Mahremiyet ve İnsan Onuru” www.dergi.tbd.org.tr, 19.04.2004

[5] Prof. Dr. Ersan ŞEN, 601, Yeni Türk Ceza Kanunu Yorumu C.1, 2006

Yazar: Av. Gürkan Özkaya