Anayasal Bir Hak Olarak Kişisel Verilerin Korunması
Saltuk Aziz GÖKALP (*)
Yönetim Bilimleri Uzmanı
Doktora Öğrencisi
saltukazizgokalp@gmail.com
Kişisel Verilerin Korunması, Türkiye Cumhuriyeti Anayasasının “Kişinin Hakları ve Ödevleri” başlıklı ikinci bölümünün “Kişi Hürriyeti ve Güvenliği” başlıklı 20. maddesinde “Özel Hayatın Gizliliği” başlığı altında düzenlenmiştir. 2010 yılında yapılan değişiklik ile anayasa eklenen madde Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir” hükmünü içermekte olup; bu madde doğrultusunda 24 Temmuz 2012 tarihli ve 28363 sayılı Resmi Gazetede yayımlanarak yürürlüğe giren mülga “Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi Ve Gizliliğinin Korunması Hakkında Yönetmelik” ile ilk yasal düzenlemeler başlamış ve devamında 07/04/2016 tarihli ve 29677 sayılı Resmi Gazetede yayımlanarak yürürlüğe giren “Kişisel Verilerin Korunması Kanunu” ile bu düzenlemeler somut bir hal alarak kişisel verilerin korunması ile ilgili usul ve esaslar düzenlenmiştir.
Kanunun amacı “kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasların düzenlemesi” olarak ifade edilmiş ve aynı kanunun 3. maddesinde kişisel veri “Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” şeklinde tanımlanmıştır.
Kanunun 4. maddesinde kişisel verilerin ancak söz konusu kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebileceği belirtilmiş ve kişisel verilerin işlenmesinde aşağıda belirtilen ilkelere uyulması zorunlu kılınmıştır;
a) Hukuka ve dürüstlük kurallarına uygun olma.
b) Doğru ve gerektiğinde güncel olma.
c) Belirli, açık ve meşru amaçlar için işlenme.
ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.
d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.
Söz konusu ilkelerden de görüleceği üzere, kişisel verilerin işlenebilmesi için öncelikle yasal bir dayanağın olması gerekmekte ve verilerin işlendikleri amaçla bağlantılı ve sınırlı olması şart koşulmaktadır.
20/10/2016 tarihli ve 29863 sayılı Resmi Gazetede yayımlanarak yürürlüğe giren “Kişisel Sağlık Verilerinin İşlenmesi Ve Mahremiyetinin Sağlanması Hakkında Yönetmelik” ile de kişisel verilerin korunması ve veri mahremiyetinin sağlanması amacıyla kişisel sağlık verilerinin toplanması, işlenmesi, aktarılması ve bu veri kayıtlarının tutulduğu sistemlerin güvenliği ve denetimine ilişkin usul ve esaslar düzenlenmiştir. Söz konusu yönetmelik 21/06/2019 tarihli ve 30808 sayılı Resmi Gazetede yayımlanarak yürürlüğe giren “Kişisel Sağlık Verileri Hakkında Yönetmelik” ile mülga edilerek güncellenmiştir.
Ayrıca; 24/07/2012 tarihli ve 28363 sayılı Resmi Gazetede yayımlanarak yürürlüğe giren “Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi Ve Gizliliğinin Korunması Hakkında Yönetmelik” de 04/12/2020 tarihli ve 31324 sayılı Resmi Gazetede yayımlanarak yürürlüğe giren aynı adlı yönetmelik ile mülga edilerek güncellenmiştir. Yönetmeliğin amacı “Özel hayatın gizliliği ile kişi temel hak ve özgürlüklerinin korunmasını teminen elektronik haberleşme sektöründe kişisel verilerin işlenmesi ve gizliliğin korunmasına yönelik usul ve esasların belirlenmesi” olarak ifade edilmiş ve bu kapsamda yapılan düzenlemelerden bazıları aşağıda sıralanmıştır;
1- Yönetmeliğin 5. maddesine 2. fıkra eklenerek “Milli güvenlik gerekçesiyle trafik ve konum verilerinin yurt dışına çıkarılmaması esastır” hükmü getirilmiştir.
2- Yönetmeliğin 8. maddesi “Açık rıza alma şartları” başlığıyla düzenlenmiş ve işletmecilerin, aboneden/kullanıcıdan açık rıza alınmasını gerektiren durumlar aşağıdaki şekilde düzenlenmiştir;
a) Açık rıza beyanı belirli bir konuya ilişkin olarak ilgili işlem öncesinde alınır.
b) Açık rıza beyanı özgür iradeyle açıklanmış olmalıdır.
c) Abone/kullanıcı, açık rıza beyanının alınması öncesinde; işlenecek kişisel veri türü ile trafik ve konum verisi türleri, kapsamı, işlenme amacı ve süresi hakkında işletmeciler tarafından açık ve anlaşılır bir şekilde bilgilendirilir. Bu bilgilendirmenin yazılı yapılması halinde yazılar en az on iki punto ile hazırlanır.
d) İşletmecinin gerekli bilgilendirmeyi yapması sonrasında abonenin/kullanıcının “evet/onay/kabul” şeklindeki irade beyanı yazılı veya elektronik ortamda alınır. Söz konusu irade beyanı rıza alınan duruma özgü olmalıdır. Bu irade beyanı, bir sözleşmenin veya hizmetin kabulü ya da pazarlama amaçlı haberleşmelere onay verilmesi ve benzeri hukuki işlemlere yönelik irade beyanları ile birleştirilemez.
Sonuç olarak, kişisel verilerin korunması ile ilgili olarak mevzuatlar incelendiğinde, anayasada düzenlenen bu hakkın insanların temel haklarından birisi olduğu ve bu kapsamda yapılan kanun ve yönetmelik düzenlemelerinin de kişinin bu hakkının korunmasına yönelik düzenlemeler olduğu görülmektedir.
Dip Not:
(*) Yönetim Bilimleri Uzmanı, Kırıkkale Üniversitesi Siyaset Bilimi ve Kamu Yönetimi Doktora Öğrencisi,