Arama yapmak için lütfen yukarıdaki kutulardan birine aramak istediğiniz terimi girin.

Avrupa Veri Koruma Tüzüğünün (GDPR) Sınıraşan Sorumluluk Hükümlerinin Türk Hukuku Kapsamında Değerlendirilmesi

Evaluation of the Cross-Border Liability Provisions of the European General Data Protection Regulation (GDPR) Under Turkish Law

Dursun Ali DEMİRBOĞA

İnsan meraklı bir varlıktır. Başkası hakkındaki bilgileri merak etmesi ve bu bilgilere ulaşmaya çalışması kişisel verilerin korunması ihtiyacını doğurmuştur. Türkiye’de kişisel verilerin korunması iki ayrı aşamada değerlendirilebilir. Birinci aşamada Anayasa ve farklı kanunlarda yer alan düzenlemelerle kişisel verilerin korunmasına çalışılmıştır. Bu aşamada özellikle Anayasanın 17’nci maddesi ile Türk Medeni Kanununun kişiliğin korunmasına ilişkin hükümleri dikkate alınarak kişisel veri ile kişi ilişkisi kurulmuş ve bu veriler korunmuştur. Öte yandan 1 Haziran 2005 tarihinde yürürlüğe giren 5237 sayılı Türk Ceza Kanununun “Özel Hayata ve Hayatın Gizli Alanına Karşı Suçlar” başlıklı 9 uncu bölümünde kişisel verilerin korunmasına yönelik düzenlemeler getirilmiştir. İkinci aşama ise, 6698 sayılı Kişisel Verilerin Korunması Kanununun yürürlüğe girmesinden sonraki dönemdir. 07/04/2016 tarihli ve 29677 sayılı Resmi Gazetede yayınlanarak yürürlüğe giren söz konusu Kanun kişisel verilerin korunması açısından önemli bir ihtiyaca cevap vermiştir. Ancak Avrupa Birliği’nin 95/46/EC sayılı Veri Koruma Direktifi’nden esinlenerek çıkarılan bu Kanun ve sorumlulukla ilgili kapsamlı düzenlemelerin bulunmaması sebebiyle bu alanı genel hükümlere bırakmıştır. 27/04/2016 tarihli Genel Veri Koruma Tüzüğü’nde (GDPR), kişisel verilerin korunmasında sınır aşan bir sorumluluk düzenlenmiştir. Bu Tüzük çerçevesinde getirilen hususlar Türk Kişisel Veri Koruma mevzuatına uyumlu değildir.

Kişisel Veri, Kişisel Verilerin Korunması, İdari Yaptırımlar, Ceza Yaptırımları, Tazminat.

A person is a curious being. Worrying about the information about someone and trying to reach this information has caused the need for the protection of personal data. The protection of personal data can be assessed in two stages in Turkey. In the first stage, the protection of personal data has been regulated by the Constitution and the regulations in different laws. At this stage, personal relations have been established with the person and protected by personal data, and personal data protected taking into consideration the provisions of Article 17 of the Constitution and the provisions of the Turkish Civil Code concerning the protection of personality. On the other hand, in the 9th chapter which is titled “Private Lives and Crimes against the Hidden Area of Life” of the Turkish Criminal Code numbered 5237 which entered into force on June 1, 2005, arrangements have been made for the protection of personal data. The second stage is the period after the Law No. 6698 on Protection of Personal Data enters into force. The Law, which came into force with the publication of the Official Gazette dated 07/04/2016 and numbered 29677, responded to the need for protection of personal data. However, the law inspired by the European Union Data Protection Directive 95/46 / EC and the Law, unfortunately includes less comprehensive regulations about responsibilities and it leaves this area as a general provision of law. The European General Data Protection Regulation which was issued 27/04/2016, has adopted cross-border liability for the protection of personal data. The provisions brought under this Regulation are not in compliance with the Turkish Personal Data Protection Legislation.

Personal Data, Protection of Personal Data, Administrative Sanctions, Penal Sanctions, Compensation.

I. Giriş

Teknoloji ve bilişim imkânlarının artması, hem özel hukuk hem de kamu hukukunu yakından ilgilendiren önemli bir konunun gündeme gelmesini sağlamıştır. Kâğıt tabanlı tutulan kişisel verilerin korunmasında belki bir kilitli dolap ve kısıtlayıcı hükümler veri güvenliğini sağlarken bu önlemler artık etkinliğini kaybetmiştir.

Akıllı telefonlar aracılığıyla kişisel verilerin sınır aşan bir biçimde bazen de kimliği belirlenemeyen kaynaklarca toplanması, meselenin sınırlarını ve hukuki boyutlarını öngörülemez biçimde artırmıştır. Bankalar, hastaneler, telefon operatörleri, alışveriş mağazaları, devlet kurumları gibi birçok kurum ve kuruluş kişisel veri sahibinden izinli veya izni olmaksızın bu verileri toplar ve işler. Bu verilerin gittikçe artan bir şekilde kötüye kullanıldığı örneklerini sıklıkla görmekteyiz. Kişisel verilerin sınırsız biçimde toplanması ve “unutulma hakkının”1 ülkemizde uygulama alanının sınırlı olması, zarar doğduğunda muhatap bulamama bu alanda düzenleme eksikliğini göstermektedir. Kişisel verilerin sınır aşan biçimde toplanması ve işlenmesi küresel ölçekte devletlerin geri kaldığı pek rahat ileri sürülebilir. Teknolojinin günbegün gelişmesi, yasama organlarının klasik çalışma tarzı yüzünden kişisel verilerle ilgili düzenlemeler konusunda geride kalınmasına ve bireylerin haklarının ihlal edilmesine yol açmıştır. Öte yandan ülkeler arasındaki işbirliğinin görece zayıf ülkeler aleyhine işlemesi ağır insan hakları ihlalleri meydana getirmiştir.

Kişisel veri kavramı, ticari sır ya da devlet sırrı kavramından farklı olarak bireyin kendini korumasını gerektiren, görece zayıf konumda bulunan kişilerin kendilerine ait bilgiler üzerinde tasarruf sahibi olmasını içeren bir kavramdır. Şirketlerin korunmasında gerekli olan ticari sır kavramı ile devletlerin kendi kendini koruma refleksinin kavramlaştırılmış hali olan devlet sırrı kavramı kapsam olarak çok daha fazla alanı kapsamaktadır. Anayasanın “özel hayatın gizliliği” başlığını taşıyan 20’nci maddesinin son fıkrasında;