İnceleme

Kişisel Verilerin Korunmasına İlişkin Mevzuat İncelemesi

Bu yazıda, kişisel verilerin korunmasına ilişkin ülke uygulaması incelemelerim sırasında edindiğim bilgileri derleyerek, 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nun yayımlanmasına kadar geçen süreci kısaca aktarmayı ve söz konusu Kanun ile hayatımıza giren birkaç kavramı açıklamayı amaçlamaktayım.

Elektronik haberleşme sektöründe düzenleme ve denetleme yoluyla etkin rekabetin tesisi, tüketici haklarının gözetilmesi, ülke genelinde hizmetlerin yaygınlaştırılması, kaynakların etkin ve verimli kullanılması, haberleşme alt yapı, şebeke ve hizmet alanında teknolojik gelişimin ve yeni yatırımların teşvik edilmesi ve bunlara ilişkin usul ve esasların belirlenmesi amacıyla 05.11.2008 tarihli ve 5809 sayılı Elektronik Haberleşme Kanunu yürürlüğe girmiştir. Kanunun ilk halinde yer alan “Kişisel Verilerin İşlenmesi ve Gizliliğin Korunması” başlıklı 51. Maddesinde “Kurum, elektronik haberleşme sektörüyle ilgili kişisel verilerin işlenmesi ve gizliliğinin korunmasına yönelik usul ve esasları belirlemeye yetkilidir.” denildiğini görüyoruz.

Anayasa Mahkemesinin 09.04.2014 tarihli kararı ile Elektronik Haberleşme Kanunu’nun “Kişisel Verilerin İşlenmesi ve Gizliliğin Korunması” başlıklı, bahsedilen 51. Maddesinin iptaline karar verdiğini görüyoruz. Maddenin değişiklikten önceki haline baktığımızda sadece bu konuda usul ve esasları belirlemeye Bilgi Teknolojileri ve İletişim Kurumu yetkilidir denilmekteyken, Kanunun söz konusu maddesinin yeni halinde birçok detayın ifade edildiği ve bu hususta bir çerçevenin çizildiğini görmekteyiz. İlaveten; söz konusu Kanun’un 4. 6. 12. ve 51. maddelerine dayanılarak hazırlanan, 24.07.2012 tarih ve 28363 sayılı Resmi Gazete’de yayımlanarak yürürlüğe giren Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğinin Korunması Hakkında Yönetmelik maddelerinin de Anayasa Mahkemesinin düzenlemesini izleyen süreçte 26.01.2015 tarihi itibariyle hükümsüz kaldığı anlaşılmaktadır. Devam eden süreçte, anılan kanun maddesi hükümlerinin uygulanmasına ilişkin hususların netleştirilmesi, uygulamada yeknesaklığın sağlanması ve ikincil hususların düzenlenmesi amacıyla yeni bir taslak Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğinin Korunması Hakkında Yönetmelik hazırlanması çalışmalarının da devam ettiğini anlıyoruz.

Gerek yürürlükten kalkmış olan Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğinin Korunması Hakkında Yönetmelik’te, gerekse 28.10.2017 tarihli Elektronik Haberleşme Sektörüne İlişkin Tüketici Hakları Yönetmeliği incelendiğinde kişisel veri tanımının “Belirli veya kimliği belirlenebilir gerçek veya tüzel kişilere ilişkin bütün bilgiler” olarak yapıldığını görmekteyiz.

Ayrıca, 12 Eylül 2010 tarihinde yapılan değişikle  Anayasanın Özel Hayatın Gizliliği başlıklı 20. Maddesine “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.” hükmü getirilerek kişisel verilerin işlenmesine ilişkin hususların kanunla düzenlenmesi kabul edilmiştir. Aradan geçen altı yılda, yani 24.03.2016 tarih ve 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nun yayımlanmasına kadar kişisel verilerin korunmasına ilişkin özel bir düzenlemenin olmadığı anlaşılmakla birlikte 26.09.2004 tarih 5237 sayılı Türk Ceza Kanunu’nun 134. 135. 136. 137. ve 138. maddelerinde yer alan hükümlerle kişisel verilerin koruma altına alındığını, ayrıca bu güvenlik tedbirlerinin tüzel kişilere yönelik olarak da uygulanabileceğini Türk Ceza Kanununun (TCK) 140. maddesi ile anlamaktayız. TCK’nın 134. Maddesi birinci fıkrasında yer alan “Hukuka aykırı olarak kişisel verileri kaydeden kimseye bir yıldan üç yıla kadar hapis cezası verilir.” şeklindeki hükümlerle her ne kadar bu alandaki birçok boşluk doldurulsa da yaşanan vakalarla kapsamlı bir düzenleme ihtiyacının olduğu anlaşılmaktadır.

Bu bağlamda; 24.03.2016 tarih ve 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nun bir gereklilik olduğu söylenebilmektedir. Bizden daha önce Avrupa Birliği, üye ülkelerin kişisel verilerin korunmasına ilişkin mevzuatı arasında uyum sağlamak amacıyla 24.10.1995 tarihinde “Kişisel Verilerin İşlenmesi Sırasında Gerçek Kişilerin Korunması ve Serbest Veri Trafiği Direktifi”ni (95/46/EC) yürürlüğe koymuştur.

Bu Direktifle, üye ülkelerdeki bireylerin kişisel verilerinin üst düzeyde korunması ve kişisel verilerin Avrupa Birliği içerisinde özgür dolaşımını sağlayacak açık ve kalıcı bir düzenleme yapılması amaçlanmıştır. 6698 Sayılı Kişisel Verilerin Korunması Kanununun da söz konusu direktif doğrultusunda hazırlanmış olduğu, önem arz eden “açık rıza” kavramının 95/46 EC sayılı Direktif dikkate alınarak tanımlandığı anlaşılmaktadır. Buna göre, açık rıza ilgili kişinin kendisiyle ilgili veri işlenmesine, özgürce, konuyla ilgili yeterli bilgi sahibi olarak, tereddüde yer bırakmayacak açıklıkta ve sadece o işlemle sınırlı olarak verdiği onay beyanı şeklinde anlaşılmalıdır.

Kanun ile kişisel verilerin yurtiçinde ve yurtdışına aktarılması konularında bir çerçeve oluşturulduğu görülmektedir. Özellikle sosyal medya uygulamaları kullanan kişilere ilişkin verilerin durumu konusunda Kanun’un nasıl bir pratik uygulama sunacağı konusunda henüz bir yorum yapamayacak olmakla birlikte, kişisel verilerin; ilgili kişinin açık rızası ile yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabileceği; ayrıca yeterli korumanın bulunduğu ülkelerin de Kişisel Verileri Koruma Kurulu’nca belirlenerek ilan edileceği anlaşılmaktadır.

Kanunda kişisel veri tanımı dışında veri işleyen ve veri sorumlusu gibi önemli tanımlar da yapılmaktadır.  Kanunun önemli unsurlarını oluşturan veri işleyen ve veri sorumlusu hakkındaki görüş ve değerlendirmelerimizi başka bir yazıda aktarmanın daha uygun olacağını değerlendirmekteyim. Kişisel veri tanımına baktığımızda ise “Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” olarak tanımlandığını görmekteyiz.

Kişisel verinin; gerçek kişiye ilişkin olup, tüzel kişilere ilişkin verilerin kişisel verinin tanımının dışında olduğu; dolayısıyla, bir şirketin ticaret unvanı ya da adresi gibi tüzel kişiliğe ilişkin bilgilerin (bir gerçek kişiyle ilişkilendirilebilecekleri durumlar haricinde) kişisel veri sayılmayacağı; kişisel verinin veri sahibinin doğrudan kimliğini gösterebileceği gibi, o kişinin kimliğini doğrudan göstermemekle birlikte, herhangi bir kayıtla ilişkilendirilmesi sonucunda kişinin belirlenmesini sağlayan tüm bilgileri de kapsamakla birlikte bir gerçek kişinin; adı, soyadı, doğum tarihi ve doğum yeri gibi bireyin sadece kimliğini ortaya koyan bilgiler değil; telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, IP adresi, e-posta adresi, hobiler, tercihler, etkileşimde bulunulan kişiler, grup üyelikleri, aile bilgileri, sağlık bilgileri gibi kişiyi doğrudan veya dolaylı olarak belirlenebilir kılan tüm veriler olarak kabul edildiği Kişisel Verileri Koruma Kurumu tarafından yayınlanan dokümanlarla detaylandırılmaktadır.

Bu yazıda, mevzuatı ve mevzuat temelinde yaşanan süreci kısaca değerlendirmenin uygun olacağını, Kanun’un önemli karakterleri arasında yer aldığını düşündüğüm veri işleyen ve veri sorumlusu hakkındaki düşünceleri başka bir yazıda ayrıca değerlendirmenin daha doğru olacağını düşünüyorum.

Arzu KÜTÜKÇÜ

Kaynaklar 

1 http://www.mevzuat.gov.tr/MevzuatMetin/1.5.5809.pdf. Erişim:18.11.2017.

2 Bilgi Teknolojileri ve İletişim Kurumu

3 Danıştay İdari Dava Daireleri Kurulu’nun 05/11/2008 tarihli ve 5809 sayılı Elektronik Haberleşme Kanunu’nun 51’inci maddesinin iptaline ve yürürlüğünün durdurulmasına karar verilmesi istemi ile 2013/122 esas sayılı başvurusu ile Anayasa Mahkemesine başvurusunun değerlendirilmesiyle. (Kaynak: https://tuketici.btk.gov.tr/tr-TR/Devam-Eden-Calisma/Kisisel-Verilerin-Islenmesi-Ve-Gizliliginin-Korunmasi-Hakkinda-Yonetmelik-Calismasi-2017). Erişim:18.11.2017.

https://tuketici.btk.gov.tr/tr-TR/Devam-Eden-Calisma/Kisisel-Verilerin-Islenmesi-Ve-Gizliliginin-Korunmasi-Hakkinda-Yonetmelik-Calismasi-2017, 09.01.2017 tarihli haber.18.11.2017 tarihinde bakıldı.

5 28.10.2017 Resmi Gazete Sayısı: 30224.

6 Türk Ceza Kanunu, http://www.mevzuat.gov.tr/MevzuatMetin/1.5.5237.pdf. 18.11.2017.

7 Kişisel Verilerin Korunması Kanunu Tasarısı (1/541) ve Adalet Komisyonu Raporu, https://www.tbmm.gov.tr/sirasayi/donem26/yil01/ss117.pdf. 18.11.2017

http://www.kvkk.gov.tr/yayinlar/6698%20SAYILI%20K%C4%B0%C5%9E%C4%B0SEL%20VER%C4%B0LER%C4%B0N%20KORUNMASI%20KANUNUNUN%20UYGULANMASINA%20Y%C3%96NEL%C4%B0K%20SORU%20VE%20CEVAPLAR.pdf, 18.11.2017.

1 Yorum

  • […] Daha önceki yazımızda [1], kişisel verilerin korunmasına ilişkin bir kısım mevzuat ve bazı değerlendirmeleri paylaşmıştık. Bu yazıda ise 07.04.2016 tarih ve 6698 Sayılı Kişisel Verilerin Korunması Kanununda önemli aktörler arasında yer alan veri sorumlusu ve veri işleyen ile 27 Nisan 2016 tarihli ve 25 Mayıs 2018’de yürürlüğe giren 2016/679 Avrupa Birliği Genel Veri Koruma Tüzüğünde [2] yer alan veri kontrolörü, veri işleyen ve veri koruma görevlisi incelenmiştir. Ayrıca, söz konusu tüzükle sunulan kural setlerine göre kişisel verilerin korunmasına yönelik tüzük temelinde bir veri güvenliği kontrol çerçevesi oluşturulması örnek çalışması paylaşılmıştır. […]