SGK’NIN KİŞİSEL SAĞLIK VERİLERİNİ SATIŞ KONUSU HALİNE GETİRMİŞ OLMASINA İLİŞKİN MAHKEME KARARININ KESİNLEŞMESİ ÜZERİNE: KİŞİSEL SAĞLIK VERİLERİ SATILABİLİR Mİ?

Kişisel verilerin korunması hakkının öneminin anlaşılmasıyla beraber konuya ilişkin her gün yeni gelişmeler meydana gelmekte. Bu gelişmelerin genellikle ya yeni yasal düzenlemeler ya da mahkemelere konu olmuş uyuşmazlıklara ilişkin verilen kararlarla gerçekleştiğini görüyoruz. Özellikle son dönemlerde kişisel verilerin korunması birçok davaya konu olmuştur. Bunun nedenini hem bu hak üzerinde gerçekleştirilen müdahale ve ihlallerin artmasına hem de bireylerin zamanla konunun bilincine varıyor olmasına bağlıyorum. Günümüzde kişisel verilerin korunması hakkının ihlali sonucunu doğuracak tehlikelerle karşılaşmamak mümkün değildir. Zira günümüz teknolojisi ve bilgi dünyası bunu zorunlu kılmaktadır. Bununla birlikte özellikle somut olaylarda yaşanan uyuşmazlıklara cevap verebilecek nitelikte kapsamlı düzenlemeler ve içtihatlarla tehlikeyi en aza indirgemek mümkündür. Bu açıdan mahkeme kararları son derece önemlidir.

Konuyla ilgili yaşanan son gelişmelerden biri de Sosyal Güvenlik Kurumu’nun tuttuğu kişisel sağlık verilerini satış konusu haline getirmesi ve bu hususun mahkeme kararıyla kanıtlanmış olmasıdır. Dava konusu olay CHP milletvekili A.A’nın, SGK’nın sağlık verilerini satmış olduğuna ilişkin iddiasını basın aracılığıyla duyurmasıyla başlamıştır. İddiaya göre SGK, kişisel sağlık verilerini eski milletvekili B.İ.’nin sahibi olduğu şirkete belli bir bedel karşılığında satmıştır. Ardından aynı iddia CHP milletvekili Ö.Ö. tarafından bu kez televizyon programında dile getirilmiştir. Bu iddialarla karşılaşan şirket sahibi B.İ. Ankara 11. Asliye Hukuk Mahkemesi’nde dava açarak kendisinin karalandığı gerekçesiyle tazminat talebinde bulunmuştur. Tazminat talebi reddedilen davacı, arkasından temyize gitmiş olsa da; Yargıtay 4. Hukuk Dairesi tarafından iddiaların doğru olduğu ve bunun belgelerle sabit olduğu gerekçeleriyle ilk derece mahkemesinin kararı onaylanmıştır[1].

Bugün, her ne kadar kişisel verilerin birçok satış ilişkisine konu olduğu bilinen bir gerçek olsa da bu satışın özel nitelikli veriler üzerinde hele ki bir kamu kurumu tarafından gerçekleştirilmesi durumun ciddiyetini açık bir biçimde ortaya koymaktadır. Aşağıda yer alan soruları SGK’nın kişisel sağlık verilerini satış konu haline getirmesine ilişkin söz konusu mahkeme kararı bağlamında cevaplandıracağım.

Sağlık verileri neden paylaşılamaz ya da satılamaz?

Kişisel veriler belirli veya belirlenebilir nitelikteki bir gerçek kişiye ilişkin her türlü bilgi anlamına geldiğinden esas olarak çok geniş ve sınırları belirsiz bir alanı ifade eder. Bu kavram çok eski yıllardan beraber var olmakla beraber özellikle 1980’li yıllardan itibaren gündeme gelmiş ve yasal düzenlemelerle korunması gerekli bir hak olarak görülmeye başlanmıştır. Bunun nedeni bilişim teknolojilerinin gelişmesi, internetin yaygınlaşması ve özellikle iletişim ağlarının gelişmesiyle bilgi alışverişi olanaklarının artmasının kişinin verileri üzerinde birtakım tehditler oluşturmaya başlamasıdır. Ancak buradan yola çıkılarak kişisel veriler üzerinde bulunan tehlikelerin yalnızca elektronik ortamda var olduğu anlaşılmamalıdır. Çoğunlukla öyle olsa da; teknoloji bunun tek yolu değildir, yalnızca hızlı ve kolay ulaşılabilir olma özelliğinden dolayı tehlikeli faaliyetlerin gerçekleştirilmesi için daha çok tercih edilen bir yoldur.

Kişisel veriler üzerinde tehlikelerin oluştuğu konusunda meydana gelen endişeler, bireylerin kendilerine ait olan bilgilerinin, bu bilgilerle hiçbir ilgisi ve menfaati olmayan üçüncü kişilerin eline geçmesi ve bu bilgilerin üçüncü kişiler tarafından hukuka uygun veya aykırı olarak işlenmesi ihtimalinden kaynaklanır. Kişilerin sır olsun veya olmasın kendilerine ait bilgilerin başkaları tarafından haksız yere tutulmasında, işlenmesine özellikle de bu bilgiler aracılığıyla ifşa edilmesinde hiçbir menfaati olmadığı gibi; çoğunlukla bu yolla zarara uğratılmaları söz konusudur. Ancak herhangi somut bir zararın olmaması halinde dahi kişisel verilerin korunması hakkının bizatihi ihlali, kişilerin temel hak ve özgürlüklerinin ihlali anlamına gelir.

Kişisel veriler üzerinde gerçekleştirilebilecek olası hukuka aykırılıkların önlenmesi amacıyla ülkemizde 7 Nisan 2016 tarihinde yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu yürürlüğe konulmuştur. Buna göre kişisel verilerin toplanması veya bu verilerin işlenmesi için veri sahibinin açık rızası şart kılınmıştır. Açık rızanın aranmadığı istisna halleri ise Kanun’da sınırlı bir biçimde sayılarak açık rızanın varlığı esas düzenleme olarak öngörülmüştür.

Öte yandan kişisel verilerin bir kısmı hassas, bir başka deyişle özel nitelikli veri olarak tanımlanmıştır. Bazı verilerin daha etkin bir koruma altına alınmış olmasının nedeni bu verilerin kişinin temel hak ve özgürlükleri ile daha yakın bir ilişkisinin bulunmasındandır. Zira söz konusu verilerin kötüye kullanılma ihtimalinde veri sahibi üzerinde doğabilecek zararların ve mağduriyetlerin daha büyük olacağı endişesiyle haklı olarak böyle bir ayrıma gidilmiştir.

Kişinin sağlık verileri açık, net ve kesin bir biçimde özel nitelikli veri kategorisinde yer alır. Zira bu veriler üzerinde gerçekleştirilecek hukuka aykırı fiillerin veri sahibi açısından büyük mağduriyetlere yol açacağında şüphe yoktur.

Hassas veri olmasına karşın birçok farklı sektörde sağlık verilerine rastlıyoruz. En basiti hangi alanda olursa olsun kişinin çalıştığı işyerinde en azından sağlık raporunun istenmesi ve çalışma sürecinde düzenli sağlık tarama testlerinden geçilmesi söz konusudur. Özellikle hizmet, gıda ve temizlik gibi sektörlerde çalışanların her türlü sağlık verisi alınmakta ve taramaları çok sık yapılmaktadır. Dolayısıyla ihlali halinde veri sahibine vereceği olası zararın büyüklüğüne rağmen aynı zamanda en yaygın olan verilerin kişinin sağlık verileri olduğunu söylemek mümkündür.

Bugün, pek çok alanda kişisel verilerin başlı başına bir satış konusu haline geldiği inkâr edilemez bir gerçektir. Özellikle sosyal medya mecraları olmak üzere web siteleri, reklam ve pazarlama şirketleri gibi kuruluşlar ekonomik faaliyetlerini gerçekleştirebilmek ve arttırabilmek için veriye ihtiyaç duymakta ve bunun için büyük paralar harcamaktadır. Sağlık sektörü de her ne kadar kişinin en temel insan hakkı olan yaşam ve sağlık hakkına hizmet etse de, en nihayetinde gerçekleştirenler açısından ticari olma niteliğinden dolayı kazanç sağlama ve arttırmak için kişinin sağlık verilerine ihtiyaç duymaktadır.

Kişinin hangi hastalığa sahip olduğunu bilen sağlık kuruluşu bu kişilere ulaşmaya çalışacak; kaç hastanın ne kadar süre, hangi ilaçtan ne miktarda kullandığını bilen ilaç firmaları, ticari faaliyetleri esnasında bu kişileri adeta bir denek gibi kullanabilecek; hasta bilgisine sahip tıbbi cihaz satan firmalar veya sigorta şirketleri bu bilgilerden hukuka aykırı olarak faydalanabilecektir. Bu da kişinin sağlık verileri aracılığıyla ifşa edilmesi anlamına gelir. Bu nedenle kişinin sağlık verilerini içeren hastane kayıt bilgileri, muayene bilgileri, tanı, teşhis ve tedavi yöntemleri, ilaç bilgileri gibi verilerin büyük bir hassasiyetle korunması, yalnızca Kanun’da sayılan hallerde tutulması ve işlenmesi, menfaati olmayan üçüncü kişilerden korunması gerekir.

Nitekim 6698 sayılı Kanun, özel nitelikli kişisel verilerin belirli bir konuya ilişkin olarak, bilgilendirmeye dayalı ve özgür iradeyle verilmiş açık rıza olmaksızın işlenmesini kesin olarak yasaklamıştır. Özel nitelikli olan sağlık ve cinsel hayata ilişkin verilerin açık rıza olmaksızın işlenmesinin istisnası ise; kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından gerçekleştirilmesi hallerinde öngörülmüştür. Bu istisna hallerinin tek tek sayılması, Kanun’un öngördüğünden genişletilemeyeceği anlamına gelir. Öyleyse bu sayılan haller dışında kişinin sağlık ve cinsel hayatına ilişkin kişisel verileri, belirlenen şekilde açık rızası alınmadan işlenemeyecektir.

Sağlık verilerinin bahsettiğim bu özelliklerinden dolayı ne başlı başına ekonomik ve ticari faaliyetler kapsamında satış konusu yapılabilmesi; ne de herhangi bir ilgisi veya menfaati olmayan üçüncü kişiler tarafından hukuka aykırı olarak işlenmesi mümkün olmamalıdır. Nitekim konuyla ilgili bütün ulusal ve uluslararası düzenlemelerde de bu faaliyetler açık ve net bir biçimde yasaklanmıştır. Aksi takdirde kişiler üzerinde sağlık verilerinin haksız kullanımı aracılığıyla somut ve maddi zararlar oluşma ihtimalinin yanında; kişisel verilerin korunması hakkının özüne dokunulmuş olması itibariyle temel insan hakları ihlal edilmiş olacaktır.

Anonim paylaşımı konusu nasıl ele alınmalı?

Bu noktada ilk olarak anonimleştirmenin ne anlama geldiğini açıklığa kavuşturmak gerekir. Zira Kanun’da ve ilgili Yönetmelikte silme, yok etme ve anonimleştirme olmak üzere üç farklı hal öngörülmüştür ve birbirine yakın anlamlar barındıran bu kavramların karıştırılmaması önemlidir.

Anonimleştirme, Kanun’daki tanımıyla; “Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi” anlamına gelir. Buna göre anonimleştirme faaliyeti sonrasında, elde mevcut bulunan bilgiden veya bu bilgiye yeni başka bilgiler eklenerek elden edilen bilgiden yola çıkılarak belirli bir gerçek kişiye ulaşılamaması gerekir. Ulaşılması halinde verinin anonim hale getirildiğinden bahsedilemez. Daha açık bir ifadeyle anonimleştirme faaliyetinden önce gerçek kişiyi belirleyebilen nitelikteki verinin; bu faaliyetten sonra kişiyle olan bağlantısı koparılmıştır. Gruplama, maskeleme, genelleştirme, rastgele hale getirme en yaygın anonimleştirme yöntemleridir.

Hangi hallerde anonimleştirme faaliyetlerine ihtiyaç duyulduğu sorusuna ise yine Kanun ve Yönetmelikte cevap buluyoruz. Buna göre hukuka uygun olarak işlenmiş olan kişisel veriler, işlenmesini gerektiren sebeplerin ortadan kalkması halinde re’sen veya ilgili kişinin talebi üzerine anonimleştirilir. Bu hükme aykırı hareket edenler ise 5237 sayılı TCK’nın 138. maddesinde tanımlanan suçu işlemiş olacaktır.

Buna karşın Kanun kapsamında sayılan haller, Kanun’un “İstisnalar” başlıklı 28. maddesinde tek tek sayılmıştır. Bu maddenin 1. fıkrasının (b) bendine göre; “Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi” hallerine Kanun hükümleri uygulanmayacaktır. Böylece kişisel verilerin anonimleştirilmek şartıyla araştırma, planlama ve istatistik gibi faaliyetler kapsamında işlenmesine olanak tanınmıştır.

Öncelikle kişisel verilerin özellikle de sağlık ve cinsel hayat gibi hassas nitelikteki kişisel verilerin hiçbir surette açık rıza ve istisna halleri olmaksızın işlenmesi veya satılmasını doğru bulmadığımı belirtmeliyim. Bununla birlikte günümüzde kamu yararı amacını gerçekleştirmeye yönelik araştırma veya istatistik oluşturma gibi faaliyetlerin veri olmadan yürütülmesi de mümkün değildir. Bu nedenle kamu yararına hizmet edecek nitelikte işlem ve eylemlerin gerçekleştirilmesi amacıyla gerekli tedbirlerin alınması şartıyla anonimleştirilmiş kişisel verilerin kullanılması, işlenmesi veya paylaşılması olanaklı olmalıdır. Kaldı ki kişisel verilerin kullanılması ve işlenmesine hiçbir şekilde müsaade edilmemesi ne mümkündür, ne de günümüz ihtiyaçlarına pratik bir cevap verebilecek niteliktedir. Ancak bu husus, kişinin temel hak ve özgürlüklerine müdahale niteliğinde olduğundan; Kanunla açık ve net bir biçimde düzenlenmeli, demokratik toplum düzenine ve ölçülülük ilkesine aykırılık oluşturmamalıdır. Ayrıca müdahale ile hakkın özüne dokunulmuş olmamalıdır. Aksi takdirde her ne gerekçe ile olursa olsun gerçekleştirilen kişisel veri işleme ve paylaşma halleri hukuka aykırı faaliyet olarak değerlendirilmelidir.

SGK’nın para karşılığında kişisel sağlık verileri sattığının kesinleşmesi, verileri satanların ve alanların durumunu nasıl etkiler?

CHP milletvekili Ö. Ö.’in bir televizyon programında SGK’nın İsen’e ait şirkete kişisel bilgileri sattığı üzerine İsen tarafından açılan tazminat davası davalı lehine sonuçlanmış ve ilk derece mahkemesi ve Yargıtay’ın kararıyla da Ö.Ö.’nün iddiaları doğrulanmıştır.

Kişinin sağlık verileri de dahil olmak üzere birçok verisini kullanan, adeta bu verilerin emanet edildiği Sosyal Güvenlik Kurumu’nun bu verileri satış konusu haline getirmesi oldukça vahimdir. Kişisel verilerin günümüzde mal alım satımdan farksız bir biçimde satıldığı bilinen bir gerçek olsa da; bunun bir kamu kurumu, özellikle de kişinin mahrem olsun olmasın birçok verisini bulunduran bir kuruluş tarafından yapılması kişisel verilerin korunması hakkı üzerindeki tehlikeleri açık bir biçimde gözler önüne sermiştir.

Kişisel verilerin SGK tarafından, eski milletvekili B.İ’ye ait Datamed isimli şirkete satılmış olması hali, çeşitli ihtimallere göre değerlendirilerek sorumluluk belirlenmelidir:

  • Kamu tüzel kişiliğini haiz SGK’nın gerçekleştirmiş olduğu faaliyete karşılık Kanun’un “Kabahatler” başlıklı 18. maddesinde belirtilen idari para cezalarına hükmedilemeyecektir. Zira bu cezalar özel hukuk tüzel kişileri için öngörülmüştür. Ancak aynı maddenin 3. fıkrası uyarınca; bu eylemlerin kamu kurumu bünyesinde işlenmesi halinde, Kişisel Verileri Koruma Kurulu’nun yapacağı bildirim üzerine ilgili kamu kurum ve kuruluşunda görev yapan memurlar hakkında disiplin hükümlerine göre işlem yapılmalıdır. Somut olayda maddenin 1. fıkrasının (b) bendinde yer alan; “veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler” hali mevcuttur.
  • Buna karşılık SGK’nın kamu tüzel kişisi olması suç işlendiği sonucunu değiştirmemektedir. SGK tarafından 5237 sayılı TCK’nın “Verileri hukuka aykırı olarak verme veya ele geçirme” başlıklı 136. maddesinde tanımlanan suç işlenmiştir. Hukuk düzenimizde tüzel kişilerin cezai sorumluluğu bulunmadığından yapılacak bir iç soruşturma ile gerçek failler bulunmalıdır ve bunların hem disiplin hukuku hem de ceza hukuku bakımından sorumluluklarının belirlenmesinin önü açılmalıdır.
  • TCK’nın 136. maddesinde işlenen suç kamu tüzel kişisi altında gerçekleştirilmiş olsa da, bu suçun faili tüzel kişi bünyesinde bulunan bir gerçek kişi veya gerçek kişiler olabilecektir. Zira tüzel kişilik bir varsayımdır ve işlem veya eylemi gerçekleştiren esas olarak gerçek kişidir. Bu kişi veya kişiler hakkında hem idari para cezaları hem de TCK’da konuya ilişkin öngörülen hükümler uygulanacaktır.
  • B.İ.’nin sahibi olduğu Datamed isimli şirket ise verileri hukuka aykırı olarak ele geçiren taraftır. Bu açıdan Kanunda herhangi bir sorumluluk öngörülmemiştir. Ancak TCK’nın 136. maddesi burada da geçerli olacaktır. Özel hukuk tüzel kişisi niteliğinde olan Datamed isimli şirket için, tüzel kişilerine ait güvenlik tedbirleri uygulanacak; suçun faili olarak belirlenebilecek gerçek kişi için TCK’nın 136. maddesinde öngörülen yaptırım uyarınca cezaya hükmedilecektir.

Sağlık verileri satılmış olan insanların hakları nelerdir?

Kişisel verileri üzerinde hukuka aykırı fiiller gerçekleştirilen kişilerin ilk olarak; ulusal ve uluslararası alanda korunmuş olan; kişisel verilerinin korunması, özel ve aile hayatına saygı ve özel hayatın gizliliği gibi temel insan hakları ihlal edilmiştir. Özellikle sağlık verilerinin hukuka aykırı olarak kullanımına ilişkin uluslararası alanda somut uyuşmazlıkların tamamı hem kişisel verilerin korunması hem de özel hayatın gizliliği kapsamında korunmuştur. Ülkemiz açısından Anayasa Mahkemesi’nin de bu yönde kararları mevcuttur.

Bununla beraber sağlık verilerinin satılması, bu kişiler üzerinde sağlığa erişme konusunda endişe ve çekincelere neden olacağından; esas olarak kişilerin temel insan haklarının en kapsamlı biçimde düzenlendiği ve ülkemiz açısından da bağlayıcı nitelikte olan; İnsan Hakları Evrensel Bildirgesi; Ekonomik, Sosyal ve Kültürel Haklar Sözleşmesi, Avrupa Sosyal Şartı ve Avrupa Birliği Temel Haklar Bildirgesi ile uluslararası alanda koruma altına alınan “Sağlık hakkı” ihlal edilmiştir. Ayrıca sağlık hakkı, AHİM içtihatları doğrultusunda Avrupa İnsan Hakları Sözleşmesi’nin 2. maddesinde düzenlenen “Yaşam hakkı” kapsamında korunur.

Türkiye açısından ise sağlık hakkı Anayasa’nın “Yaşam hakkı” başlıklı 17. maddesi ve “Sağlığın ve çevrenin korunması” başlıklı 56. maddesi ile korunmaktadır. Anayasa Mahkemesi içtihatlarıyla sağlık hakkının; sağlıklı olma hakkı ve sağlık hizmetlerinden faydalanma hakkı olmak üzere iki bileşenden oluştuğu kabul edilmiştir. Buna göre Devletin bireyler üzerinde bu hakkı gerçekleştirmeye yönelik Anayasa hükümleriyle belirlenmiş pozitif yükümlülüğü mevcuttur.

Bir kamu kurumu olan SGK’nın kişilerin sağlık hakkını gerçekleştirmek üzere gerekli işlem ve eylemleri gerçekleştirmesi gerekir ve beklenirken; kişilerin verilerini satarak kişileri sağlık hakkından mahrum kalmasına neden olması son derece üzücü. Bu açıdan bakıldığında somut olayın açıkça Anayasaya aykırı olduğunu söylemek de mümkündür.

Konuyu insan hakları ve temel hak ve özgürlükler dışında ulusal mevzuat açısından ele almak gerekirse yine çeşitli ihtimaller gündeme gelecektir:

  • Kişisel sağlık verisi bir kamu tüzel kişisi tarafından satılan gerçek kişi; ilgili kamu kuruluşunda görev yapanlar hakkında Kanun’un 18. maddesinin 3. fıkrası uyarınca disiplin hükümlerinin uygulanmasını sağlayabilecektir. Söz konusu gerçek kişiler hakkında ceza sorumluluğu saklıdır.
  • Kişisel sağlık verilerinin özel hukuk tüzel kişisi tarafından satılması halinde; Kanun’un 18. maddesinin 1. fıkrasının (b) bendinde belirlenen idari para cezaları gündeme gelecektir. Bununla beraber bu tüzel kişiler hakkında TCK kapsamında tüzel kişilere ilişkin güvenlik tedbirler uygulanmalıdır. Ayrıca bu tüzel kişiler bünyesinde bulunan gerçek kişilerin ceza sorumluğu saklıdır.
  • Kişisel sağlık verisini satma suretiyle kişisel verileri hukuka aykırı olarak verme suçunun faili olan gerçek kişi hakkında; 6698 sayılı Kanun ile öngörülen idari para ceza hükümlerinin yanında, TCK’nın konuya ilişkin hükümleri uygulanmalıdır. Üstelik TCK’nın konuyla ilgili 135, 136 ve 138. maddeleri takibi şikayete bağlı suçlardan değildir.

Verilerin alınmış olmasına karşın dava açılması ve dava kaybedildiği halde temyize gidilmesi hususları nasıl değerlendirilmeli?

Mahkeme yargılaması sırasında bulunan deliller ve özellikle Sayıştay Raporu ile Genel Sağlık Sigortası verilerinin üçüncü kişilerle paylaşılması işleminin bir paylaşım değil; satış işlemi olduğu belgelenmiş görülmektedir. Dolayısıyla esasen suç sabittir. Buna karşılık hukukumuzda her kim olursa olsun, kişinin hukuk yollarına başvurması engellenmemiştir. Kişilerin öngörülmüş bütün kanun yollarına başvurması mümkündür. Bu açıdan ben de kişilerin herhangi bir gerekçe ile hukuk yollarına başvuru hakkının engellenmesini doğru bulmuyorum. Nitekim kişi öngörülen yollara başvurduktan sonra, takdir yargılama faaliyetini yürüten mahkemelere aittir.

Olayımız açısından değerlendirdiğimizde; böylesine vahim bir durum karşısında hala bu şekilde bir tavır sergilenmesini bizler açısından oldukça tedirgin edici ve üzücü bir durum olarak değerlendiriyorum. Zira söz konusu satılan sağlık verileri hepimizin verileri ve bu verilerin satış konusu yapıldığı mahkeme tarafından yapılan yargılamayla kesinleşmiş durumda. Bu süreç için söyleyebileceğim; ülkemizde esasen mantığın değişmesi gerektiğidir. Kişisel verilerin korunması hakkı bilincinin oluşturulması, geliştirilmesi ve bu hakkın korunması için siyasi otoriteler, yasal düzenlemeler, mahkeme içtihatları ve konunun öneminin farkında olan kesim aracılığıyla etkin bir şekilde mücadele edilmelidir.

KVKK’nın yürürlüğe girmesi durumu nasıl etkiledi?

Türkiye’de 7 Nisan 2016 tarihli 6698 sayılı Kişisel Verilerin Korunması Kanunu ile kişisel verilerin korunması hakkı özel bir düzenleme ile güvence altına alınmıştır. Bundan önce de 2010 tarihinde yapılan Anayasa değişikliği ile Anayasanın 20. maddesine eklenen 3. fıkra ile kişisel verilerin korunması hakkı Anayasal güvence kapsamında koruma altına alınmıştı. Türkiye’nin bu konuda düzenleme yapmak konusunda özellikle Avrupa ülkeleri ile karşılaştırdığımızda epey geç kaldığını söylemeliyim. Zira Avrupa Birliği hali hazırda GDPR ile ikinci nesil düzenlemelere geçmişken; ülkemizde henüz 6698 sayılı Kanun’un gerekleri yerine getirilememiş ve bu bilinç oluşamamıştır.

Geç kalınmış bir düzenleme olması yönünden eleştirsem de; nihayet konuyla ilgili özel bir düzenlemeye gidilmesi olumlu bir gelişmedir. Amacı kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek olan Kanun ve bu Kanun uyarınca yürülüğe konulan yönetmelikler bu yolda atılmış en somut adımdır. Kanun ve yönetmelikler ile kişisel veriler ve özel nitelikli kişisel veriler açıklanmış ve bu verilerin işlenme şartları belirtilmiştir. Ayrıca kişisel verilerin toplanması, işlenmesi ve aktarılması detaylı bir biçimde düzenlenmekle birlikte, çeşitli konularda istisna halleri de tek tek sayılmıştır. Kanunla verilen görevleri yerine getirmek üzere ve Kanun kapsamında şikayetlerin yapılacağı organ olarak idari ve mali özerkliğe sahip ve kamu tüzel kişisi niteliğini haiz Kişisel Verileri Koruma Kurumu ve Kurulu öngörülmüştür.

Kanun hükümlerine aykırılık halinde öngörülen yaptırımları ve Kanun kapsamında güvence altına alınan hakları ihlal edilen kişilerin başvurabileceği hukuk yollarını yukarıdaki soruları cevaplarken açıkladığım için, tekrardan kaçınmak üzere bu noktada yalnızca ilgili sorulara atıf yapmakla yetiniyorum.

Kanun, çeşitli hükümlerinin belirsizlik içermesi, bazı istisna hallerinin geniş kapsamlı olarak tanınması gibi çeşitli yönleriyle eleştirilebilecek nitelikler barındırmaktadır. Bu noktada önemli olan bireyler, veri sorumluları, Kurul ve mahkemeler tarafından konunun öneminin farkına varılması ve kişisel verilerin korunması hukukunun gelişmesini ve en üst seviyeye ulaşmasını sağlamaktır.

Ayrıca kendisine yapılan şikayetleri değerlendirme ve ilke kararlar verme noktasında Kişisel Verileri Koruma Kurumu’na ve Kurul’una, Kurulun vereceği kararlar aleyhine yapılan başvurular hakkında karar verecek yargı mercilerine, idari kurum ve kuruluşlarla özel sektöre ve en önemlisi biz bireylere, bu koruma mantığının hayata geçmesi ve koruma mekanizmasının işlemesi için büyük ve önemli görevler düşmektedir.

Doç. Dr. Murat Volkan Dülger*

(Bu köşe yazısı, sayın Doç. Dr. Murat Volkan DÜLGER tarafından www.hukukihaber.net sitesinde yayınlanması için kaleme alınmıştır. Kaynak gösterilse dahi köşe yazısının tamamı özel izin alınmadan kullanılamaz. Ancak alıntılanan köşe yazısının bir bölümü, aktif link verilerek kullanılabilir. Yazarı ve kaynağı gösterilmeden kısmen ya da tamamen yayınlanması şahsi haklara ve fikri haklara aykırılık teşkil eder.)

----------------------------------------

* Akademisyen/Avukat