Basit bir soru, kişisel veri nedir?
Kısaca kişiyi doğrudan ve dolaylı olarak belirlenebilir kılan tüm veriler kişisel veridir.
Anayasa Mahkemesinin 09.04.2014 tarihli kararına göre; kişisel veri kavramı, belirli veya kimliği belirlenebilir olmak şartıyla, bir kişiye ilişkin bütün bilgileri ifade eder. İlk adımda bir kişinin adı, soyadı, doğum tarihi ve doğum yeri gibi bireyin sadece kimliğini ortaya koyan bilgiler kişisel veridir. Ama sadece bu değildir, telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri genetik bilgiler, IP adresi, e-posta adresi, hobiler, tercihler, etkileşimde bulunan kişiler, grup üyelikleri, aile bilgileri gibi kişiyi doğrudan ve dolaylı olarak belirlenebilir kılan tüm veriler kişisel veri kapsamında düşünülmelidir (Esas 2013/122, Karar 2014/74)
Kararı okumaya devam edelim…
Kişisel verilerin korunması hakkının amacı nedir?
Kişinin insan onurunun korunmasını amaçlar. Daha da önemlisi her bireyin kişiliğini serbestçe geliştirebilmesi hakkının özel bir biçimi olarak, bireyin hak ve özgürlüklerini kişisel verilerin işlenmesi sırasında korumayı amaçlamaktadır. Bir başka deyişle bu hakkın kullanımında kişisel veririn işlenmesi en çok dikkat edilmesi gereken ve hakkı koruyan bir kavramdır.
Artık bilişim teknolojilerindeki gelişmeler sayesinde eski ve geleneksel yöntemlerle mümkün olmayan hızla ve kolaylıkla çok sayıda verinin toplanabilmesi günümüzde çok basit bir bilişim işlemidir. Bir anlamda çeşitli yerlerde depolanmış, durduğu yerde duran ve daha önce birbirinden ilişiksiz şekilde tutulan pek çok verinin merkezi olarak bir araya getirilebilmesi yani verilerin işlenmesi basittir. Günümüz teknolojileri ile verilerin, veri eşleştirme ve veri madenciliği gibi ileri teknolojik olanaklarla analize tabi tutulmak suretiyle, veriden yeni veriler üretme kapasitesi çok artmıştır. Verilere erişim ve veri transferleri çok kolaylaşmıştır.
Kişisel verilerin ticari işletmeler için kıymetli bir varlığa dönüşmesi ve çok değer kazanması sonucunda özel sektör tarafından ticaret/iş/kâr üçgeninde yaratılan riskler düne göre daha yaygın ve önemli boyutlara ulaşmıştır. Hatta terör ve organize suç örgütlerinin kişisel verileri ele geçirme yönündeki faaliyetlerinin artması endişe verici boyutlardadır. Ortaya çıkan sonuçtan ürkmemek olası değildir. Anayasa Mahkemesi kararında yaptığı bu tespitlerden sonra şu sonucu ulaşıyor; bilişim teknolojilerinin sahip olduğu olanaklar “Günümüzde kişisel verilerin en üst seviyede korunmasını zorunlu kılmaktadır.
AYM’ye göre bu bağlamda Anayasanın 20. maddesinin üçüncü fıkrasının son cümlesinde, “Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir” hükmüne yer verilerek kişisel verilerin korunması hakkı anayasal güvenceye bağlanmıştır. Yani, bu şekilde kamu makamlarının keyfi müdahalelerine karşı bireylerin kişisel verileri koruma altına alınmıştır.
Anayasa'nın “Özel hayatın gizliliği ve korunması” başlıklı 20 maddeye eklenen ek fıkraya göre “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.” (12.9.2010 -5982 sayılı Kanun 2 md.)
Kişisel verilerin “gizliliğinin korunması” Anayasanın teminatı altında değildir ama buna rağmen, kişisel verilerin “korunması” anayasal teminat altına alınmıştır.
Anayasadaki bu düzenlemeye göre acaba Kanun çıkarılmış mıdır?
24.3.2016 kabul tarihli 6698 sayılı Kişisel Verilerin Korunması Kanunu, 07.4.2016 tarihli ve 29677 sayılı Resmi gazetede yayımlanarak yürürlüğe girmiştir.
Kanunun Yürürlük maddesine göre; kişisel verilerin aktarılması, yurt dışına aktarılması, ilgili kişinin hakları gibi bazı düzenlemeler Kanunun yayımı tarihi olan 7.4.2016 tarihinden itibaren altı ay sonra yani 7 Ekim 2016 tarihinde yürürlüğe girecektir.
Kanuna göre bu 6 ay içinde “Kişisel Verileri Koruma Kurulu” kurulacaktır. Kurul, bu Kanunla ve diğer mevzuatla verilen görev ve yetkilerini kendi sorumluluğu altında, bağımsız olarak yerine getirecek ve kullanacak. Görev alanına giren konularla ilgili olarak hiçbir organ, makam, merci veya kişi, Kurula emir ve talimat veremeyecek, tavsiye veya telkinde bulunamayacaktır. Aslında böyle bir düzenleme gereksiz olmuştur Zaten daha başında kuruluşu itibariyle “bağımsızlığı” söz konusu değildir. Çünkü dokuz üyeden oluşacak olan bu Kurulun beş üyesi Türkiye Büyük Millet Meclisi, iki üyesi Cumhurbaşkanı, iki üyesi Bakanlar Kurulu tarafından seçilecektir.
6698 sayılı Kişisel Verilerin Korunması Kanunu hükümlerine göre; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veri olarak kabul edilmiştir. Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır. Ama bu yasağa getirilen bazı istisnalar çok düşündürücü ve çok sakıncalıdır. Örneğin Kanunda sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir.
Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir. Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şart koşulmuş olmasına rağmen (Madde 6); yeterli önlemin ne olduğu bile yeterince açıklanmamıştır.
Bir başka önemli sorun daha var. İlgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinde ve korunmasında Kanunun 28 inci maddesinde yer alan “istisnalar” çok düşündürücüdür. Sadece iki örnek vermekle yetinelim…
Örneğin “Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi” mümkündür ve bu Kanun kapsamı dışındadır.
Artık ifade özgürlüğünüz kayıt altındadır.
Hatta “Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbarı faaliyetler kapsamında işlenmesi” de mümkündür.
Milli güvenlik veya savunma, kamu güvenliği, kamu düzeni ve hatta ekonomik güvenlik gerekçeleriyle ilgili kişinin açık rızası aranmadan kişisel verileriniz işlenebilir, transfer edilebilir, yeterli koruması yoktur.
Kişisel Verilerin Korunması Kanunu, insan haklarının korunmasında yaratılan risklerin başında gelen kanuni bir engel ve düzenlemedir.