Kişisel bilgilerimiz artık sadece fiziksel ortamda değil, aynı zamanda dijital ortamlarda da yoğun bir biçimde yer alıyor. Kimlik bilgilerimizden hobilerimize, günlük sosyal yaşantımızdan sağlık bilgilerimize kadar pek çok veri, dijital mecralarda saklanıyor.

Konu kişisel veriler olunca, kişisel verilerin (ve dolayısıyla hakların) korunması meselesinin hukuki boyutu da büyük önem kazanıyor.

Dijital dönüşüm gündemimizde sıcak olarak yer alırken, dijital çağda kişisel verilerin korunması konusunun hukuki boyutunu İstanbul Barosu Bilişim Hukuku Komisyonu Başkanı, E-ticaret ve İnternet Hukuku Derneği Kurucu Üyesi Avukat Sertel Şıracı anlatıyor;

Avrupa İnsan Hakları Sözleşmesi’nde Kişisel Verilerin Korunması

AİHS madde 8: “Herkes özel ve aile hayatına, konutuna ve haberleşmesine saygı gösterilmesi hakkına sahiptir. Bu hakkın kullanılmasına bir kamu otoritesinin müdahalesi, ancak ulusal güvenlik, kamu emniyeti, ülkenin ekonomik refahı, dirlik ve düzenin korunması, suç işlenmesinin önlenmesi, sağlığın veya ahlakın veya başkalarının hak ve özgürlüklerinin korunması için, demokratik bir toplumda, zorunlu olan ölçüde ve kanunla öngörülmüş olmak koşuluyla söz konusu olabilir.”

Avrupa Temel Haklar Bildirgesi’nde Kişisel Verilerin Korunması

Madde 7: Özel ve aile yaşamına saygı
Herkes, özel ve aile yaşamına, konutuna ve haberleşmesine saygı gösterilmesini isteme hakkına sahiptir.
Madde 8: Kişisel bilgilerin korunması
1. Herkes, kendisine ilişkin kişisel bilgilerin korunmasını isteme hakkına sahiptir.
2. Bu tür bilgiler, belirtilen amaçlar için ve ilgili kişinin muvafakatine veya yasada öngörülen başka meşru temele dayalı olarak adil şekilde kullanılmalıdır. Herkes, kendisi hakkında toplanmış olan bilgilere erişme ve bunlarda düzeltme yaptırma hakkına sahiptir.
3. Bu kurallara uyulması, bağımsız bir makam tarafından denetlenecektir.

T.C. Anayasası’nda Kişisel Verilerin Korunması

Anayasa madde 20: Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.

OECD’nin Tanımı

Verilerin korunmasına ilişkin olarak 23 Eylül 1980 tarihli Kişisel Verilerin Sınıraşan Trafiği ve Verilerin Korunmasına İlişkin Kılavuz İlkeler düzenlemesinin “Birinci Bölüm, Genel Tanımlar” başlıklı 1. maddesinde kişisel veriler şu şekilde tanımlanır: “Belirli veya belirlenebilir bir gerçek kişiye ilişkin tüm veriler” .

Avrupa Birliği Tanımı

24 Ekim 1995 tarihli AB tarafından çıkartılan 95/46 sayılı yönergenin “Tanımlar” başlıklı 2. maddesinde kişisel veri: “Bir gerçek kişinin belirli veya belirlenebilir olması, şifre numarasına göre ya da psişik, psikolojik, fiziksel, ekonomik, kültürel veya sosyal benliği ifade eden bir veya birden fazla unsura, aidiyeti aracılığıyla doğrudan veya dolaylı olarak teşhis edilebilmesi anlamına gelmektedir” (95/46 Sayılı Yönerge 2. Madde).
Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğinin Korunması Hakkında Yönetmeliğin “Tanımlar ve Kısaltmalar” başlıklı 3. maddesinde kişisel veri şu şekilde tanımlanmıştır: “Belirli veya kimliği belirlenebilir gerçek ve tüzel kişilere ilişkin bütün bilgiler” (Kişisel Veri Yönetmeliği Madde 3).

Henüz Kişisel Verilerin Korunması Hakkında Kanun yasalaşmadığı için bu aşamada yer vermiyoruz.

Kişisel Verilerin Korunmasında Temel İlkeler

1. a) Hukuka ve dürüstlük kurallarına uygun olmak.
b) Doğru olmak.
c) Belirli, açık ve meşru amaçlar için işlenmek.
ç) Toplandıkları veya yeniden işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olmak.
d) Güncel olmak.
e) İşlendikleri amaç için gerekli olan süre kadar muhafaza edilmek.

Verileri İşlenen Kişilerin Hakları

1. Bilgi Edinme Hakkı
2. Verilerin Düzeltilmesi, Silinmesi ve Bloke Edilmesi Hakkı
3. İlgilinin İtiraz Hakkı
4. a) Kişisel veri işlenip işlenmediğini öğrenmek,
5. b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etmek,
6. c) Kişisel verilerin işlenme amacım ve bunların amacına uygun kullanılıp kullanılmadığını öğrenmek,
ç) Yurtiçinde veya yurtdışında kişisel verilerin aktarıldığı üçüncü kişileri bilmek,
1. d) Kişisel verilerin eksik veya yanlış olması hâlinde bunların düzeltilmesini istemek,
2. e) Kişisel verilerin silinmesini veya yok edilmesini istemek

Anayasa Mahkemesi Kararlarında Kişisel Veri ve Örnekler

Anayasa Mahkemesinin kararlarında da belirtildiği üzere, “kişisel veri”, “belirli veya kimliği belirlenebilir olmak şartıyla, bir kişiye ilişkin bütün bilgileri ifade etmektedir. Bu bağlamda adı, soyadı, doğum tarihi ve doğum yeri gibi bireyin sadece kimliğini ortaya koyan bilgiler değil; telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, IP adresi, e-posta adresi, hobiler, tercihler, etkileşimde bulunulan kişiler, grup üyelikleri, aile bilgileri, sağlık bilgileri gibi kişiyi doğrudan veya dolaylı olarak belirlenebilir kılan tüm veriler” kişisel veri olarak kabul edilmektedir (E.2013/122, K.2014/74, 9.4.2014; E.2014/149, K.2014/151, 2.10.2014; E.2013/84, K.2014/183, 4.12.2014; E.2014/74, K.2014/201, 25.12.2014; E.2014/180, K.2015/30, 19.3.2015).

Türk Ceza Kanunu’nda Kişisel Verilerin Korunması

135. maddenin birinci fıkrası hukuka aykırı kişisel veri kaydının, ikinci fıkrası ise hassas verilerin hukuka aykırı olarak kaydedilmesinin, ceza hükmüne yer vermektedir. 136. madde kişisel verileri hukuka aykırı olarak; başkasına veren, yayan veya ele geçirenlere verilecek ceza hükmüne, 137. madde suçun nitelikli halinin; kamu görevlisi tarafından ve görevinin verdiği yetki kötüye kullanılmak suretiyle veya belli bir meslek ve sanatın sağladığı kolaylıktan yararlanmak suretiyle işlenmesi durumunda oluşacağına, 138. madde; kanuni olarak silinmesi zorunlu sürenin dolmuş olmasına rağmen kişisel verileri silmeyenler hakkındaki ceza hükmüne yer vermektedir. 139. madde soruşturulması ve kovuşturulması şikayete bağlı kişisel veri işlem faaliyetlerine, 140. madde ise kişisel verilerle ilgili işlenecek suçlarda tüzel kişiler içinde güvenlik tedbirlerine hükmolunacağına yer vermektedir.
İlgili maddelerde her ne kadar kişisel veriler ile ilgili bir tanım getirmemiş olsa da ve tanımı getirmemiş olmasının temel ceza hukuku ilkelerine aykırı olduğu dile getirilse de bu husustaki tartışmaya Anayasa Mahkemesi noktayı koymuştur:
“Kişisel veri” kavramının bu çerçevede doktrin, uygulama ve yargı kararlarında belirlenerek anlam ve içeriğinin gelişip değişeceğinde kuşku yoktur. Dolayısıyla başvuru kararında her ne kadar ceza mevzuatında “kişisel veri” ile ilgili bir tanım ve sınırlandırmanın yapılmadığı, bu nedenle itiraz konusu kuralın belirsiz olduğu ileri sürülmüş ise de ulusal ve uluslararası mevzuat ile yargı içtihatları dikkate alındığında kuralın belirsiz olduğundan söz edilemeyeceği açıktır. Ayrıca itiraz konusu kuralla “kişisel verileri, hukuka aykırı olarak bir başkasına verme, yayma veya ele geçirme” eylemi suç olarak kabul edilmekte ve bu eylem nedeniyle verilecek ceza kuralda açıkça belirlendiğinden kuralla hangi somut eylem ve olguya hangi hukuksal yaptırımın bağlandığı açıkça ortaya konulmaktadır. Dolayısıyla itiraz konusu kuralda suçta ve cezada kanunilik ilkesi ile özel hayatın gizliliği ilkesine aykırılık bulunmamaktadır. (Esas Sayısı: 2015/32 Karar Sayısı: 2015/102 Karar Tarihi : 12.11.2015)

12. Ceza Dairesi 2011/20072 esas ve 2012/12126 sayılı kararında kişisel verileri tanımlayıcı kapsamlı bir yasanınolmaması nedeniyle, 135. ve 136. maddenin eksik norm sayılacağını içtihat etmiştir. Anayasa Mahkemesi Kararından daha önce olan bu içtihattaki tereddüt hukukçular arasında halen tartışılmaktadır. Kişisel Verilerin Korunması Hakkındaki Kanunu’nun yasalaşması ile birlikte bu endişeler ortadan kalkacaktır.