Uluslararası Belgeler ve Ulusal Mevzuatta Kişisel Veri Kavramının İncelenmesi
Examination of the Concept of Personal Data in International Documents and National Legislation
Cemile ÜNLÜ
Kişisel verilerin korunması, bilgi ve iletişim teknolojilerindeki gelişmelerle birlikte giderek önemi artan bir konu haline gelmiştir. Veri işlemenin, kâğıt kalemle yapıldığı dönemden bilgisayarlar ile otomatik olarak gerçekleştirildiği bir döneme geçilmiştir. Özellikle internet kullanımının yaygınlaşması ile kişisel verilerimiz dünya çapında dolaşıma ve kullanıma açılmıştır. Geçmişte çoğunlukla zorunluluk hallerinde kamu ve özel sektörle paylaştığımız kişisel verilerimizi artık günlük olarak çoğu zaman da gönüllülük esasıyla sosyal ağlarda paylaşabilmekteyiz. İletişim teknolojilerindeki bu gelişmeler bir yanıyla hayat konforumuzu artırırken diğer yanıyla da kişisel verilerimizin dünya çapında büyük bilgi bankalarında depolanması sonucunu doğurmaktadır. Tüm bu gelişmeler kişisel verilerin hukuki açıdan daha etkin korunmasının gerekliliğini ortaya koymuş buna bağlı olarak uluslararası belgelerde ve devletlerin ulusal mevzuatlarında kişisel veri kavramı, verinin korunması önemli ve öncelikli hale gelmiştir. Bu çalışmamızda kişisel veri kavramının tam olarak neleri kapsadığı uluslararası belgeler, ulusal mevzuat, yargı kararı örnekleri ve doktrin görüşleriyle birlikte ayrıntılı olarak incelenecektir.
Kişisel Veri, Özel Nitelikli (Hassas) Kişisel Veri, İletişim Teknolojisi, İnsan Hakları, Özel Hayat.
Protection of personal data has become an increasingly important issue with the development of information and communication technologies. A period where data processing is carried out automatically through computers has been entered from an era when data processing used to be made with paper and pen. Especially with the widespread use of the internet, our personal data has been opened to circulation and to use throughout the world. Personal data that was solely disclosed to public and private sectors out of necessity in the past are now openly and voluntarily shared on social networks daily. These developments in communication technologies, on the one hand, increase our comfort of life, but on the other hand, result in the storage of our personal data in large information banks throughout the world. These developments have revealed the need for more effective protection of personal data from the legal point of view. Consequently, the concept of personal data in international documents and national legislation of states has caused data protection to become an important issue of main concern. In this study, the concept of personal data and what it covers specifically will be reviewed in detail together with the international documents, national legislation, judicial decisions and doctrinal views.
Personal Data, Sensitive Personal Data, Communication Technology, Human Rights, Private Life.
I. Giriş
İçinde yaşadığımız çağ, “bilgi çağı”, “teknoloji çağı”, “iletişim çağı”, “dijital çağ”, “bilişim çağı” olmak üzere pek çok isimle anılmaktadır. Bu çağda bilişim ve iletişim alanında ciddi anlamda bir gelişme yaşanmakta ve bu teknolojiler büyük bir hızla hayatlarımızı kuşatmaktadır. Günümüzde başta sosyal ağlar, bulut bilişim, akıllı telefon uygulamaları, büyük veri sistemi, konum uygulamaları, akıllı kart gibi teknolojik gelişmelerin de etkisiyle kişisel verilere erişim çok daha kolay ve hızlı olabilmektedir. Olumlu yanlarına rağmen iletişim teknolojilerinin yaygınlığı ve gücü; kişisel verilere yetkisiz erişim, kişisel verilerin kötüye kullanılması ihtimali, kişilerin gözetlenmesine imkân sağlaması gibi ciddi riskleri de barındırmaktadır. Bu şartlarda kişisel verilerin korunması daha büyük bir önem arz etmektedir.
Kişisel verilerin korunması temelde uluslararası kurumlar ve devletler eliyle gerçekleştirilmektedir. Ancak kişilerin de kendilerine ait verilerin kullanımı ve korunması konusunda bilinçli olması oldukça önemlidir. Bu amacın gerçekleştirilebilmesi için öncelikle “kişisel veri nedir?” sorusunun cevaplanması gerekmektedir. Bu sorunun cevabını arayacağımız makalemizin ilk bölümünde uluslararası belgeler ve Türk hukuk mevzuatında kişisel veri kavramı incelenecektir. Devamında genel kabul görmüş tanımlar üzerinden kişisel verinin unsurları ayrıntılı şekilde değerlendirilecektir. Bu bölümde herhangi bir verinin hangi şartlarda kişisel veri olarak değerlendirilebileceği Avrupa İnsan Hakları Mahkemesi (AİHM) kararları, Avrupa Birliği Adalet Divanı (ABAD) kararı, Anayasa Mahkemesi (AYM) kararları ve Yargıtay kararları örnekliğinde ele alınacaktır. Son olarak, kişiliğimizin daha fazla ve özel korunmayı gerektirecek alanlarına dair verileri içeren, Özel Nitelikli (Hassas) Kişisel Veri kavramı incelenecektir.
II. Kişisel Veri Kavramı
Ekonomik İş Birliği ve Kalkınma Teşkilatı (OECD-Organisationfor Economic Co-operation and Development) tarafından 1981 yılında kabul edilmiş olan “Mahremiyetin Korunması ve Kişisel Verilerin Sınır Ötesi Akışına ilişkin Rehber İlkeler” in,1 “Genel Tanımlar” kısmının “Rehberin Amaçları” başlıklı 1’inci maddesinde kişisel veri, “Belirli veya belirlenebilir bir gerçek kişiye ilişkin tüm bilgiler” şeklinde tanımlanmıştır.
Türkiye’nin de taraf olduğu 1981 tarihli Avrupa Konseyi’nin 108 sayılı Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Kişilerin Korunmasına Dair Sözleşmesinin2 “Tanımlar” başlıklı 2’nci maddesinde kişisel veri, “Kimliği belirli veya belirlenebilir bir gerçek kişi hakkındaki bilgiler” şeklinde tanımlanmıştır. 108 sayılı Sözleşme’ye ek olarak 8 Kasım 2001 tarihinde 181 sayılı Protokol ve 18 Mayıs 2018 tarihinde 223 sayılı Protokol kabul edilmiştir.3 Ek protokollerle 108 sayılı Sözleşmenin veri koruma standartlarının yükseltilmesi ve kapsamının mevzuat değişiklikleriyle uyumlu şekilde genişletilmesi hedeflenmiştir.4 108 sayılı Sözleşme, Avrupa ve ötesinde gizliliğin ve verilerin korunmasını etkilemiş ve şekillendirmiştir. Ek protokollerle güncellenmiş, modernize edilmiş şekli “Sözleşme 108+” olarak da adlandırılmaktadır.5 223 sayılı Protokolün 2’nci maddesinde kişisel veri tanımı “kimliği belirli veya belirlenebilir bir gerçek kişi (“ilgili kişi”) hakkındaki tüm bilgiler” olarak ifade edilmiştir.
Avrupa Birliği’nin 24 Ekim 1995 tarihli 95/46/AT sayılı Kişisel Verilerin İşlenmesi Sırasında Gerçek Kişilerin Korunması ve Serbest Veri Trafiğine İlişkin Yönergesinin6 2’nci maddesinde kişisel veri; “Kimliği belirtilen veya belirlenebilen bir kişiyle ilgili bilgi” olarak tanımlanmıştır.
2016 tarihli Avrupa Birliği Genel Veri Koruma Tüzüğünün (GDPR-General Data Protection Regulation)7 4’üncü maddesinde kişisel veri, “tanımlanmış veya tanımlanabilir bir gerçek kişiye ilişkin her türlü bilgidir” şeklinde tanımlanmıştır.
Uluslararası metinlerdeki kişisel veri tanımları incelendiğinde neredeyse aynı denecek düzeyde benzerlik görünmektedir. Seksenli yıllardan günümüze konuyla ilgili uluslararası metinlerin birbirine kaynaklık ettiği de anlaşılmaktadır. OECD Rehber İlkeleri’nde “tüm bilgiler”, GDPR’de “her türlü bilgi”, 223 sayılı Protokol’de ise “tüm bilgiler” denilmek suretiyle, bilginin kapsamı tartışmaya yer vermeyecek şekilde genişletilmiştir. Ayrıca 95/46/AT sayılı Yönerge hariç incelediğimiz bütün metinlerde “gerçek kişi” ibaresi kullanılmıştır. Kişisel verilerin korunması hukukunda gerçek kişi kavramı önemli ve ayırt edici bir unsurdur. Bu husustaki açıklık ve tutarlılık, hem uluslararası metinlerdeki uzlaşı hem devletlerin iç mevzuatlarına ışık tutması bakımından önem arz etmektedir. Aynı zamanda 223 sayılı Protokol’de kişisel veri tanımında gerçek kişi (“ilgili kişi”) kalıbı birlikte kullanılmak suretiyle gerçek kişinin metin içindeki kullanım şekli belirtilmiştir. Bu düzenleme şekli metnin mana ve içeriğini etkilemezken, uluslararası belgelerdeki metin dilinin değişim ve gelişimini göstermesi yönüyle incelenebilir.
Diğer bir husus, GDPR’den önceki uluslararası düzenlemelerde geçen tanımlarda “belirli veya belirlenebilir” kavramı kullanılmış iken, GDPR’de farklı olarak “tanımlanmış veya tanımlanabilir” kavramı tercih edilmiştir. Kullanılan bu kavramlar arasında çok büyük farklar olmamakla birlikte; Türk Dil Kurumu (TDK) Sözlüğünde8belirlemek: belirli duruma getirmek, belirli kılmak, tayin etmek; tanımlamak: bir kavramın niteliklerini eksiksiz olarak belirtmek ve açıklamak, tarif etmek, şeklinde tanımlanmıştır. Aynı zamanda “tanımlamak” kelimesinin dilimizde daha ziyade kişiler için değil; kavramlar için kullanıldığını da ifade etmek gerekir.
Kişisel verilerin korunmasına ilişkin uluslararası sözleşmelerde yer alan kişisel veri tanımları pek çok ülkenin iç hukuk metinlerine de ışık tutmuştur.
2010 yılında 5982 sayılı Kanunla9 yapılan değişiklikle Anayasa’nın10 20’nci maddesine ilave fıkra eklenmiştir. Eklenen 3. ek fıkraya göre; “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.” hükmüne yer verilmiştir. Bu düzenleme ile kişisel veriler Anayasanın güvencesi altına alınmıştır. Anayasaya sonradan eklenen bu hükümle birlikte, kişisel verilerin korunması bir hak olarak tanımlanmış hakkın kapsamı kullanımına ilişkin usul ve esaslar belirlenmiştir. Ancak Anayasa ile kişisel verinin ne olduğu belirtilmemiş, bir başka ifadeyle tanımı yapılmamıştır.11
5237 sayılı yeni Türk Ceza Kanunu,12 Türk hukukunda kişisel verilerin korunması konusunda düzenlenen ilk kanun metni olma özelliğine sahip olmakla birlikte, TCK’nin tanımlar başlıklı 6’ncı maddesinde “kişisel veri” kavramının tanımına yer verilmemiştir. 5237 sayılı yeni TCK’nin 135’inci ilâ 138’inci maddelerinde kişisel verilerin hukuka aykırı olarak elde edilmesi, kaydedilmesi veya ifşa edilmesi fiilleri suç olarak düzenlenmiş olmasına rağmen madde metinlerinde kişisel veri kavramı tanımlanmamıştır. Ancak TCK’nin 135’inci maddesinde düzenlenen kişisel verilerin kaydedilmesi suçunun gerekçesinde13 bir tanıma yer verilmiş ve kişisel veri “gerçek kişiyle ilgili her türlü bilgi” şeklinde tanımlanmıştır.14
Ülkemizde kişisel veri hukuku alanında düzenlenmiş ilk kanun 6698 sayılı Kişisel Verilerin Korunması Kanunudur.15 Kanunun “Tanımlar” başlıklı 3’üncü maddesinin birinci fıkrasının (d) bendinde kişisel veri, “Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” şeklinde tanımlanmıştır. Kanun gerekçesinde16 ise, kişisel veri, “Bireylerin kimliklerini belirli hale getirmeye elverişli her türlü bilgi” olarak ifade edilmiştir.
Kişisel veriye ilişkin, TCK gerekçesinde yer alan tanım ve 6698 sayılı Kanunda geçen tanımın birbiriyle çelişen bir kısmı olmadığı gibi, 6698 sayılı Kanunda, “Kimliği belirli veya belirlenebilir” ifadelerinin tanıma eklenmesi ile kavramın kapsamı genişletilmiş, aynı zamanda daha da belirgin hale getirilmiştir.
Türkiye’deki iç hukuk düzenlemelerinde yer alan kişisel veri tanımlarının yukarıda incelediğimiz uluslararası metinlerle uyum içinde olduğu hatta kanunkoyucunun bunun için özen gösterdiği anlaşılmaktadır. Bu husus, 6698 sayılı Kanun gerekçesinde17 “Uluslararası belgeler, mukayeseli hukuk uygulamaları ve ülkemiz ihtiyaçları göz önüne alınmak suretiyle hazırlanan Tasarı ile, kişisel verilerin çağdaş standartlarda işlenmesi ve koruma altına alınması amaçlanmaktadır.” şeklinde de ifade edilmiştir.
Sağlık Bakanlığı tarafından hazırlanan “Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelik”18 ile de 4’üncü maddenin birinci fıkrasının (g) bendinde kişisel sağlık verisi “Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü sağlık bilgisi” şeklinde tanımlanmıştır. 6698 sayılı Kanuna dayanılarak çıkarılan bu Yönetmelikte de ilgili kanuna paralel bir tanım yapılması isabetlidir.19 Elektronik ve Haberleşme alanında kişisel veri korumasına dair ise, “Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğinin Korunması Hakkında Yönetmelik”20 düzenlenmiştir. Yönetmeliğin Tanımlar başlıklı 3’üncü maddesinin (f) bendinde kişisel veri, “Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” şeklinde tanımlanmıştır. Daha önce yürürlükte olan 24.07.2012 tarihli ve 28363 sayılı Resmî Gazetede yayımlanarak yürürlüğe giren “Telekomünikasyon Sektöründe Kişisel Bilgilerin İşlenmesi ve Gizliliğin Korunması Hakkında Yönetmelik” kapsamında kişisel veri, “Belirli veya kimliği belirlenebilir gerçek ve tüzel kişilere ilişkin bütün bilgiler” olarak tanımlanıştır. Sonradan yürürlüğe giren Yönetmelikteki tanımın 6698 sayılı Kanundaki kişisel veri tanımına uygun olarak düzenlendiği anlaşılmaktadır. Bu haliyle, Türk hukuk mevzuatı içinde kişisel veri tanımında genel bir kabul ve uyum olduğu görülmektedir.
