Kişisel veriler, kişisel verilerin korunması, Kişisel Verilerin Korunması Kanunu, daha da öteye gidersek kişisel verilerin korunması hukuku Türkiye’de özellikle son iki senedir sıklıkla sarf edilen, konuşulan ve merak edilen bir alandır. Konunun ilgilenenleri için bu durum daha önceki yıllara dayanmakla birlikte, artık ilgilenen veya ilgilenmeyen herkesin söz konusu kavramlara oldukça aşina haline geldiğini görüyoruz.

Esasen bu alan için “ilgilenmeyeni” denilebilecek bir kesimden söz etmek mümkün değildir. Zira kavramın içeriğinden de anlaşılacağı üzere “kişi”lere “kişilerin verilerine” ilişkin bir alan söz konusudur. Böyle bir alanın ilgilenmeyeni olduğundan bahsedilemeyeceği de açıktır. Bugün, özellikle de bilişim teknolojilerinin, bu teknoloji sayesinde ortaya çıkan büyük veri kavramının ve yapay zekâ algoritmalarının günlük yaşamda kullanılmasının geldiği noktanın etkisiyle, herkes ya veri sorumlusu ya veri işleyen ya da veri ilgilisi konumundadır. Kişisel verilerin korunmasının bu kadar kısa sürede deyim yerindeyse “patlaması”nın nedeni de budur.

Belirtmeliyim ki, bazı kişilerin kişisel verilerin korunmasının, kendisini ilgilendirdiğinin farkında olmaması, bu alanın söz konusu kişiyi hiçbir şekilde ilgilendirmediği anlamına gelmez. Bu nedenle de kanaatimce ilk yapılması gereken kişisel verilerin korunmasına ilişkin teorik bilgi ve tartışmalardan yanında ve öncelikle konuya ilişkin yeterli ve gerekli farkındalığın oluşturulmasıdır. Her şeyden önce bireyler, kişisel verilerinin korunması gereken bir alan olduğunu ve kişisel verilerin neden korumaya ihtiyaç duyduğunu anlamalıdır. Diğer taraftan ise bireyler, işlemekte oldukları kişisel verileri korumaları gerektiğini ve bu korumaya duyulan ihtiyacın nelerden kaynaklandığını bilmelidir. Öyleyse hem veri ilgilisi hem de veri sorumlusu ve veri işleyen tarafında esas olan kişisel verilerin korunmasının özünün, felsefesinin anlaşılmasıdır. Ancak bundan sonra herkesin konuya ilişkin mevzuata uygun hareket etmesi sağlanabilir. Aksi takdirde ne yazık ki Türkiye’de diğer pek çok alanda olduğu üzere, kişisel verilerin hukuk normlarıyla korunduğu ancak uygulamada bu korumanın sağlanamadığı bir ortam oluşacaktır.

İşte bu nedenle kişisel verilerin korunması hukukunun getirdikleri denilince, konuya ilişkin mevzuatın ve teorik bilgilerin verilmesinden ziyade bireylerin kişisel verilerin korunması hukukuna karşı olan ilgisi, bilgisi ve farkındalık düzeyinin tartışılması ve artırılması gerektiğini düşünüyorum. Elbette ki bu durum konuya ilişkin hukuki düzenlemelerden tamamen bağımsız olmayıp, öncelikli olarak 6698 sayılı Kişisel Verilerin Korunması Kanunu ile birlikte ele alınmalıdır. Zira Türkiye’de kişisel verilerin korunması esas olarak 6698 sayılı Kanun’un yürürlüğe girdiği 7 Nisan 2016 tarihinden sonra gündeme gelmiş ve tartışılmaya başlanmıştır. Bu nedenle de, bu çalışmada esasen 7 Nisan 2016 tarihinden bu yana Türkiye’de kişisel verilerin korunmasına ilişkin nasıl bir hava olduğu, nelerin eksik veya hatalı anlaşıldığı ve hangi noktaların geliştirilmesi gerektiğini açıklamaya çalışacağım.

1. 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun Yürürlüğe Girmesi

Türkiye açısından kişisel veriler, 6698 sayılı Kanun’un yürürlüğe girmesiyle konuşulmaya ve tartışılmaya başlanmıştır. Diğer mevzuatta da konuya ilişkin çeşitli düzenlemeler olmakla birlikte konuyu bir bütün olarak ele alınan bir mevzuat bulunmamaktaydı. Bu durum ulusal alanda da gündelik faaliyetlerden ekonomik faaliyetlere kadar her konuda birçok aksaklık ve belirsizliğe neden olmanın yanında uluslararası alanda da özellikle Avrupa Birliği’ne uyum süreci ve Avrupa ile olan ticari faaliyetler açısından büyük bir eksiklik olarak görülmekteydi.

Bu bağlamda 7 Nisan 2016 tarihinde yürürlüğe giren Kişisel Verilerin Korunması Kanunu bu eksikliği büyük ölçüde gidermeye çalışmış ve kişisel verilerin korunması ve işlenmesine ilişkin düzenlemeler getirmiştir. Bu nedenle 7 Nisan 2016 tarihi Türkiye açısından kişisel verilerin korunması alanında bir dönüm ve dönüşüm noktası olarak ele alınmalıdır. Dolayısıyla Türkiye’de kişisel verilerin, 6698 sayılı Kanun’un ve bu Kanun gereğince oluşturulan Kişisel Verileri Koruma Kurulu’nun göreve başlamasıyla gerçek anlamda korunmaya başlandığını söylemek mümkündür.

2. 6698 sayılı Kanun’un Getirdikleri

a. Genel Olarak

Günümüz koşulları nedeniyle hemen her gün yaptığımız tüm faaliyetlerde kişisel veri kullanıyoruz. Mesleki faaliyetlerimizi yerine getirirken çoğunlukla veri sorumlusu veya veri işleyen; bir hizmet alırken veya tüketici konumdayken ise veri ilgilisiyiz. Bir şirket bünyesinde insan kaynakları departmanı bütün çalışanların ve çalışan adaylarının özel nitelikli verileri de dahil olmak üzere kişisel verilerini tutar ve kaydeder. Bir hastane personeli hastaların sağlık verilerini kaydeder, banka çalışanı kişilerin finans bilgilerini tutar, muhasebeci ise kişilerin mali mali verilerini işler. Kamerayla izlenen bir yere gidip kredi kartımızla bir kahve satın aldığımızda, hem kredi kartı bilgilerimiz hem de görüntü ve sesimiz kaydedilmiş ve işlenmiş olur. Bu örnekler bir günde gerçekleştirdiğimiz tüm faaliyetler bazında çoğaltılabilir. Ancak bu noktada esas sorulması gereken şudur: Peki bu veriler hangi kurallara göre toplanıp, işleniyor? Verileri işlenen kişilerin herhangi bir söz hakkı var mıdır? İşte 6698 sayılı Kanun tam da bu noktada devreye girerek kişisel verilerin işlenmesine ilişkin her türlü faaliyeti, veri sorumlusu ve veri işleyenin yükümlülüklerinden veri ilgilisinin haklarına kadar düzenlemeler getirmektedir.

6698 sayılı Kanun’un yürürlüğe girmesiyle veri sorumlusu açısından öncelikli olarak anlaşılması gereken şudur: “Ben bir veri sorumlusu veya veri işleyen olarak dilediğim kişisel verileri, dilediğim miktarda, dilediğim şekilde işleyemem.” Veri ilgilisi ise şunun farkına varacaktır: “Ben, verilerim üzerinde hakimiyet sahibiyim ve verilerimin geleceğini belirleme hakkına sahibim, bu nedenle de hiç kimse benim verilerimi açık rızamı almaksızın veya öngörülen hukuki nedenlerden birine dayanmaksızın işleyemez.” Zira 6698 sayılı Kanun kişisel verilerin işlenmesine ilişkin her aşamayı kurallara bağlamıştır. Bu kurallar Kanun’da her bir maddede zaten açıklanmış olduğundan tek tek belirtmek yerine Kanun ile getirilmek istenenin anlaşılmasını sağlamak, diğer bir ifadeyle kişisel verilerin korunmasının özünün görülmesini sağlamak istiyorum.

Kanun, temel olarak kişisel verilerin işlenmesine ilişkin genel ilkeleri oluşturmuş, kişisel verilerin işleme şartlarını belirlemiş ve veri ilgilisinin haklarını düzenlemiştir. Böylece veri sorumlusu ve veri işleyenin hangi şartlar altında veri işleyebileceği, buna karşılık olarak veri ilgilisinin neler yapabileceği açıklığa kavuşturulmuştur. Veri sorumlusu veya veri işleyen, kişisel veri işleyebilmek için ya o veri ilgilisinin açık rızasını almalı ya da Kanun ile öngörülen işleme şartlarından herhangi birine dayanmalıdır. Bu noktada açık rıza ve Kanun ile öngörülen işleme şartlarına dikkat çekmek gerekir. Kanun’dan önce çeşitli mevzuatta konuya özgü olarak kişisel verilerin işlenebileceği haller düzenlenmişse de bu haller öncelikle oldukça dar ve sınırlıydı. Öte yandan bugünkü veri koruma hukuku anlayışı ile de tam olarak bağdaşmamaktaydı. Kanun ile kişisel verilerin işleme şartlarının açık ve net bir şekilde belirlenmiş olması hangi alan veya sektör olduğu fark etmeksizin işlemeye dair genel bir düzenlemenin bulunmasını sağlamıştır.

Ayrıca veri ilgilisinin kişisel verilerini işleyebilmek için öngörülen bir açık rıza şartı da bulunmamaktaydı. Açık rıza kavramı veri koruma hukuku ile hayatımıza girmiş olup veri ilgilisinin kişisel verilerinin işlenmesine ilişkin bilgilendirmeye dayanan ve özgür iradesiyle açıklanan irade beyanını ifade eder. Veri sorumlusu veya veri işleyen, yürüttüğü faaliyet sırasında kişisel veri işleyebilmek için bu faaliyette Kanun’da öngörülen işleme şartlarından herhangi birinin olup olmadığına bakmalıdır. Eğer mevcutsa kişisel veri işleme faaliyetini bu şarta dayandıracak, şayet yoksa da ancak veri ilgilisinin açık rızasını alması halinde kişisel veri işleyebilecektir. Böylece Kanun’dan önce mevcut olan durum gibi gerekçesiz ve amaçsız bir şekilde veri işleme, artık sona ermiştir.

Veri ilgilisi açısından ise kişinin, verileri üzerinde her anlamda hakimiyet sahibi olması sağlanmıştır. Kişinin, verilerini paylaşması ve işlenmesi için açık rıza göstermesi ancak herhangi bir önkoşul öne sürülmeksizin ve özgür iradesiyle olabileceği açıklığa kavuşturulmuştur. Ayrıca kişiye, verilerinin hangi amaçlarla, ne şekilde işlendiğini ve kimlere aktarıldığını öğrenme hakkı tanınmış olup talep etmesi halinde de mutlak surette silinecek olması imkânı sağlanmıştır. Böylece kişi, verilerinin geleceğini belirleme hakkına sahip kılınmıştır[1].

Bütün bunlar esasen kişisel verilerin işlenmesine ilişkin genel ilkelerin amaç ve fonksiyonlarında toplanmaktadır. Bu ilkelerin özelliği ve işlevi, kişisel verilerin ilk olarak elde edilmesinden başlayarak veriler üzerinde gerçekleştirilen her türlü işlem sırasında uyulması gereken kuralları belirlemesidir. Buna göre kişisel veriler ancak yasal düzenlemelerle öngörülmüş olan genel ilkeler kapsamında, bu usul ve esaslara göre işlenebilir. Öyleyse bu ilkelerin, tüm kişisel veri işleme faaliyetlerinin özünde bulunması ve tüm kişisel veri işleme faaliyetlerinin de bu ilkelere uygun olarak gerçekleştirilmesi gerekir. Bu noktada söz konusu ilkeleri tek tek belirtmeyecek olmakla birlikte, kişisel verilerin işlenmesine ilişkin kuralların, daha genel bir ifadeyle de kişisel verilerin korunmasının amaç ve felsefesinin anlaşılması bakımından oldukça önemli olduğunun altını çizmeliyim[2].

b. Denetim mekanizması

Kişisel verilerin korunmasını düzenleyen neredeyse bütün ulusal düzenlemeler tarafından bu kanunların gereklerinin yerine getirilip getirilmediğini denetlemek üzere veri koruma otoriteleri öngörülmüştür. 6698 sayılı Kanun ile beraber getirilen en önemli düzenlemelerden biri de Kanun ile verilen görevleri yerine getirmek üzere bir düzenleme ve denetim organının öngörülmüş olmasıdır. Bu amaçla Kişisel Verileri Koruma Kurumu kurulmuş ve Kurum’un esas karar organı olarak Kişisel Verileri Koruma Kurulu göreve başlamıştır.

Belirtmeliyim ki, Kurul her ne kadar esas olarak denetim organı olarak ele alınsa da yalnızca denetimden ibaret olarak düşünmek büyük bir haksızlık olacaktır. Kanun’un yürürlüğe girmiş olmasından bu yana Kurul tarafından çıkarılan yönetmelikler, tebliğler, verilen kararlar ve yapılan yayınlar, çalışmalar, akademik etkinlikler bir denetim organından çok daha fazlası olduğunu gözler önüne sermektedir. Her ne kadar kamuoyunda kişisel verilerin korunmasına ilişkin henüz yeterli bir bilgi ve bilinç oluşmamışsa da 6698 sayılı Kanun’un kısa bir süre önce yürürlüğe girmiş olmasına rağmen ilgi çeken bir konu hale gelmesinde Kurul’un büyük payı olduğunu düşünüyorum.

Zira Kurul tarafından verilen kararlar da Kanun’un yayınlanmasından sonra yaşanan en büyük değişikliğin bu açıdan olduğunu göstermektedir. Kanun’dan önce veri ilgilisi açısından kişisel verilerin işlenmesine ilişkin bir ihlal iddiası veya şikayetinin yöneltilebileceği bir kamu kurumu mevcut değilken; veri sorumlusu açısından da böyle bir ihlal iddiasına konu olması halinde bunu etkin bir biçimde denetleyecek ve idari para cezasına hükmedebilecek bir kamu kurumu tehlikesi ve baskısı söz konusu değildi.

Bu mekanizmanın en iyi şekilde işlemesi için de veri ilgilisinin kişisel verilerin korunmasına ilişkin hakları konusunda yeterli bilgiye ve farkındalığa sahip olması önemlidir. Zira Kanun’da bu yönde bir zorunluluk olmasa da Kurul şu an için bildirim veya şikâyet üzerine denetim yapmakta ve bunu karara bağlamaktadır. Dolayısıyla bu denetimin söz konusu olması çoğunlukla veri ilgilisinin şikayetine bağlıdır.

Ancak unutulmamalıdır ki, Kanun ve Kurul’un öngörülme amacı hiçbir şekilde veri ilgilisinin şikâyet etmesi ve Kurul’un da cezaya hükmetmesi değildir. Kanun yayınlanmış olduğundan beri ne yazık ki veri sorumluları tarafında, sanki kendilerine ceza vermek üzerine düzenlenmiş bir Kanun ve bu cezayı kesmekle görevlendirilmiş bir Kurumun kurulmuş olduğu yönünde bir bakış açısı söz konusudur. Ancak veri ilgilisinin şikâyet ve ihlal iddiasından öncesine gittiğimizde, veri sorumlusunun kişisel verilerin işlenmesine ilişkin ihlale konu olan eylemleri söz konusudur. Bununla birlikte, yıllardır kişisel verilerin işlenmesine ilişkin belirli, açık ve net hukuk kurallarına bağlı olmaksızın faaliyetlerini sürdüren veri sorumlularının, bir anda sıkı şartlara tabi olmasını beklemek de doğru değildir, dahası bu mümkün de değildir. Kişisel verilerin işlenmesinin hukuka uygunluğunun sağlanmasının ilk adımlarından biri bu alanda bir mevzuat düzenlemek olmakla birlikte bu hiçbir şekilde yeterli değildir. Kanun ile belli kurallar getirildi diye, şirketlerin tüm süreçleri kişisel veri işleme mevzuatına uyumlu hale gelmez. Bunun için yeterli bir süre ve konuya özgü etkin bir süreç gerekir. Nitekim Kurul da bu durumu göz önünde bulundurarak, bazı kararlarında ihlal tespit etmesine rağmen idari para cezasına başvurmayıp, ihlale konu olan veri sorumlusunun “talimatlandırılmasına” hükmetmiştir. Buna göre Kurul’un denetim organı olarak görev yapması yanında bir bütün olarak hem Kurul hem de Kurum Türkiye açısından yeni olan bu alanı “düzenleyen” bir organ olarak hareket etmektedir ki bu son derece önemlidir.

Dolayısıyla kişisel verilerin korunması alanında denetim ve karar organı olarak anılan Kurul, esasen Türkiye’de kişisel verilerin korunması hukukunun oluşması ve gelişmesi yönünde bulunduğu konum ve sahip olduğu imkanların da katkısıyla en büyük ve etkili güç olarak ele alınmalıdır. Nitekim Kurul’un bugüne kadarki çalışmaları ve gayreti de bunu destekler niteliktedir.

c. Uyumluluk süreci

Kanun’un yürürlüğe girdiği tarihten bu yana her kesim tarafından ilgi çekmesi ve özellikle de tüm şirketlerde büyük merak uyandırmasının en büyük sebebi de şüphesiz Kanun ile getirilen ve veri sorumluları tarafından yürütülmesi gereken bir “uyumluluk süreci”nin söz konusu olmasıdır. Kanun’dan sonra bu süreç dolayısıyla şirketlerde adeta bir panik havası yaşanmış ve ne yapılması gerektiği konusunda bir bilinmezlik havası sürmeye başlamıştır.

Veri sorumluları, kişisel verilerin ilk defa elde edilmesinden sonraki kişisel verilere ilişkin her aşamada veri koruma hukukunun ilke, usul ve esaslarına uyumlu olarak hareket etmelidir. Açıklanan bu ilke, usul ve esaslara uygun hareket edilebilmesi ise “Kanun’a uyumluluk süreci” olarak adlandırdığımız uyumluluk projeleri yürütmelerine bağlıdır. Bu süreç ile hedeflenen, projenin sonunda, Kanun’un yürürlüğe girmesinden önce tutulan kişisel veriler de dahil olmak üzere, tutulan ve işlenen bütün kişisel verilere yönelik hem hukuki hem teknik açıdan Kanun’a tam olarak uyumlu hale gelmiş olmaktır. Kanun’a uyumluluk süreci, Kanun’a dayanılarak çıkarılan yönetmelikler, tebliğler, ilke kararlar, Kurul kararları, mahkeme içtihatları, rehberler ve uygulama örneklerden oluşan bir bütünü kapsar. Bu noktada uyumluluk sürecinin nasıl yürütülmesi gerektiği ile ilgili bilgi vermekten ziyade bu sürecin getirdiği yükümlülüklerden ve nasıl ele alınması gerektiğinden bahsetmeyi daha doğru buluyorum.

Uyumluluk süreci ile ilgili olarak ilk belirtmek istediğim husus, ne yazık ki hala tam olarak anlaşılamadığı, anlaşılmak istenmediği veya bir türlü kabullenilemediğidir. Daha da ötesi hala bu süreçten tabiri yerindeyse “bihaber” olan veri sorumluları da mevcuttur. Özellikle uluslararası alanda da varlığını sürdüren şirketler 1995 yılından beri 95/46/EC sayılı Direktif ve 25 Mayıs 2018 tarihinden bu yana da GDPR ile bağlı olduğu için bu konuda zaten hazırlıklı ve uyum için isteklidirler. Ulusal alanda faaliyet gösteren şirketlerde ise uyumluluk sürecine ilişkin yeterli bilinç henüz oluşmuş değildir. Bununla birlikte Kanun’un ilk yürürlüğe girdiği tarihe kıyasla, konuya ilişkin akademik çalışmaların ve Kurul’un gayretleriyle oldukça büyük bir yol kat edilmiş olduğunu ve nispeten kişisel verilerin korunması karşısında daha üst bir seviyeye gelindiğini de belirtmeliyim. Ancak gelinen nokta ile hiçbir zaman yetinilmemelidir. Zira Türkiye, Avrupa Birliği tarafından 1995 yılında kabul edilen Direktif hükümlerini göz önünde bulundurarak 6698 sayılı Kanun’u düzenlemişken, bu sırada Avrupa Birliği ülkeleri, henüz yürürlüğe girmiş olan ve çok daha güncel ve kapsamlı hükümler içeren GDPR’a tabidir. GDPR’ın yalnızca Avrupa Birliği ülkelerini kapsamaması nedeniyle uluslararası alanda faaliyet gösteren şirketler açısından GDPR hükümlerine de uygun hareket etmek bir zorunluluk haline gelmiştir. Dolayısıyla Türkiye açısından da kişisel verilerin korunması hukuku geliştirilmeli ve AB düzenlemelerine paralellik sağlanmaya çalışılmalıdır.

İkinci olarak, veri sorumlularının, uyumluluk sürecini bir zorunluluktan olmaktan çıkarmaya ve bu süreçten mümkün olduğunca kaçınmalarına değinmek gerekir. Her şeyden önce belirtilmelidir ki, her kim olursa olsun kişisel veri işleme faaliyeti esnasında veri ilgilisinin kişisel verilerin korunması hakkına zarar verici davranışlarda bulunamaz. Bütün gerçek ve tüzel kişiler, kişisel verilere ilişkin her türlü faaliyette Kanun’a, daha genel bir ifadeyle de hukuka uygun olarak davranmalıdır. Her ne kadar Kanun’dan sonra yayınlanan yönetmelik, tebliğ veya Kurul kararlarıyla belirli kesimler belirli yükümlülüklerden istisna kapsamına alınmış olsa da, temel kural, herkesin Kanun’a uyumlu hareket etmesi ve buna paralel olarak Kanun’a uyumluluk projeleri yürütmesi gerektiğidir.

Bununla birlikte bu sürecin, veri sorumluları için ek bir yükümlülük niteliğinde olduğu da açıktır. Sürecin, hem veri sorumluları açısından belirsiz bir alanı oluşturması hem de şirket çalışanlarının da katılımıyla yürütülmesi gereken uzun ve yorucu bir iş olması, veri sorumlularının bundan kaçınmasına neden olmaktadır. Bu noktada tavsiyem, sürece olan bakış açısının, tamamlanması gereken bir proje değil, hayatın her alanında herkes için sağlanması gereken bir insan hakkının öğrenilmesi ve yapılan her faaliyette buna uygun olarak hareket edilmesinin sağlanması olarak bakılmalıdır. Dahası, nasıl ki belli bir alanda veri sorumlusu isek, aynı zamanda veri ilgilisi de olduğumuz ve veri ilgilisi olarak da hakkımıza saygı duyulmasını istediğimiz unutulmamalıdır.

3. Kanun’un Yürürlüğe Girmesinden Sonraki Süreç: Türkiye’de Neler Değişti?

Her şeyden önce Türkiye’de kişisel verilerin korunması hukuku adıyla yeni bir hukuk dalı oluştu. Bu hukuk dalı da öyle bir dal ki, temas etmediği hiçbir hukuk dalı yok. Kişilik hakları denilince medeni hukuk; bir insan hakkı olarak kişisel verilerin korunması hakkı denilince anayasa hukuku ve insan hakları hukuku; kişisel verilerin korunmasına aykırılığın bir suç oluşturması halinde ceza hukuku; şirketlerin yürüttükleri ticari faaliyetler kapsamında kişisel veri işlemesi denilince ticaret hukuku; kişilerin yaptıkları alışveriş sebebiyle işlenen kişisel verileri denilince tüketici hukuku, idari cezalar ve düzenlemeler söz konusu olduğunda ise idare hukuku gibi en temel disiplinler gündeme gelmektedir. Bunun yanı sıra daha özel alanları ele aldığımızda dahi bir ucunun yine bir şekilde kişisel verilerin korunması hukukuna dayandığını görüyoruz. Bilişim hukuku ile ortaya çıkan e-ticaret, e-spor, e-alışveriş, e-oyun vb. daha genel bir ifadeyle de elektronik haberleşme gibi bilişim araçları suretiyle ortaya çıkan bütün alanlarda yoğun bir kişisel veri trafiği nedeniyle kişisel verilerin korunması hukuku hükümlerine paralel olarak yeni düzenlemeler söz konusudur.

Bu örnekler bütün hukuk dalları özelinde çoğaltılabilir. Daha önce de belirttiğim gibi kişisel veriler, bireyin olduğu her alanda şüphesiz mevcuttur. Hukuk, en genel ve basit tanımıyla da toplumu düzenleyen kurallar bütünü olarak tanımlandığına göre, hukukun olduğu her yerde kişisel veriler, dolayısıyla da her hukuk dalının bir ucunda da kişisel verilerin korunması hukuku evleviyetle yer alacaktır.  

Sonuç olarak, kişisel verilerin korunması hukuku oluşmasının yanı sıra diğer hukuk dallarında da kişisel verilerin korunması hükümlerine göre yeni bir bakış açısı oluştuğunu söyleyebilirim. Bu noktada en büyük beklentim, kişisel verilerin korunması hukukunun yalnızca konuya özel mevzuatla sınırlı kalmaması ve diğer kanunların kişisel verilerin korunmasına ilişkin hükümlerinde de oluşan bu bakış açısı doğrultusunda gerekli değişikliklerin yapılmasıdır.

Kanaatimce, hukuk uygulayıcıları ile teorisyenlerinde ve toplumda kişisel verilerin korunmasına ilişkin bilinç, bunun yalnızca konuya özel bir hukuk dalı olarak görülmesiyle değil, bir kültür olarak yerleştirilmek istendiği izlenimiyle yaratılabilir. Kişisel verilerin önemi ve kişisel verilerin korunmasına duyulan ihtiyaç kapsamında veri koruma hukuku, tüm toplumda bir davranış biçimi ve kültür olarak yerleşmelidir.

Peki bunun için tam olarak ne yapılmalı, neler yapıldı ve yapılanlar işe yaradı mı?

6698 sayılı Kanun ve devamında yayınlanan düzenlemelerle oluşturulan kişisel verilerin korunması mevzuatı, yukarıda belirttiğim gibi bir durumun oluşması için yeterli mi? Şu an hali hazırda oluşan durum nedir?

Öncelikle, Türkiye’de hrnüz veri koruma hukuku alanında yeterli düzeyin sağlanamadığını belirtmeliyim. Bu, yalnızca Türkiye’nin bu konuda geri kalmış olmasından ileri gelmemekte, aynı zamanda Türkiye’nin bulunduğu konum itibariyle veri koruma hukuku alanında üst seviyede olması gerekliliğine dayanmaktadır. Zira Türkiye, büyük bir nüfusa sahip ve nüfusunun büyük çoğunluğunun bilişim araçlarını etkili ve yoğun bir şekilde kullandığı, ayrıca ticari faaliyetlerin ve ilişkilerin de hem ulusal hem uluslararası alanda çok yoğun bir şekilde yaşandığı bir ülkedir. Özellikle değinmek istediğim bu hususlar, yoğun bir kişisel veri işleme trafiğini gerektirir. Böyle bir durumda da kişisel verilerin korunmasına duyulan ihtiyaç daha fazla olduğundan konuya ilişkin koruma ve güvenlik seviyesinin her anlamda oldukça yüksek olması gerekir.

Elbette ki kişisel verilerin korunmasına duyulan ihtiyaçla kişisel verilerin korunması zorluğu paralel olarak gelişme gösterir. Başka bir ifadeyle, kişisel verilerin korunmasına ne kadar ihtiyaç duyuluyorsa, kişisel verilerin korunması da bir o kadar zor olacaktır. Ancak bu, hiçbir şekilde bir bahane olarak görülmemelidir. Burada asıl altını çizmek istediğim husus Türkiye açısından veri koruma hukukunun önemi, buna duyulan ihtiyaç ve dolayısıyla da konuya ilişkin sürekli bir gelişim ve iyileşme politikasının benimsenmesi gerektiğidir.

Kanun, yürürlüğe girdiği tarihten bu yana özellikle şirketlerin bu Kanun’a uyumlu hale gelme zorunluluğunun bulunması ve bu hususta bir denetim mekanizmasının bulunması nedeniyle oldukça ilgi çekmektedir. Bu kapsamda hemen herkes Kanun ile getirilen yükümlülükleri ve buna uygun hareket etmek için ne yapılması gerektiğini anlamaya çalışmaktadır. Bir anda, daha önce hiçbir şekilde kişisel veriler ile ilgili bir çalışma yapmamış, zaten şirket bünyesinde ihtiyacı da olmamış hukuk müşavirleri kişisel verilerin korunması alanıyla karşı karşıya kalmışlardır. Özel hukuk, ceza hukuku, ticaret hukuku alanında uzmanlaşmış olmaları fark etmeksizin bütün hukuk büroları müvekkillerinden kişisel verilerin korunmasına ilişkin sorular almaya başlamıştır. Kanun’un yürürlüğe girmesinden önce de kişisel verilerin korunmasına ilişkin çalışmalarda bulunan hukukçular şüphesiz mevcuttu, ancak kişisel verilerin korunması, bu kesim dışındaki hemen herkeste adeta “kişisel veriler diye bir şey var” gibi bir bakış açısıyla merak konusu haline gelmiştir. Dolayısıyla kanaatimce ilk olarak, Kanun’un yürürlüğe girmesinden önce de konuyla ilgili çalışma yapmış olsun olmasın, hepimiz kişisel verileri, daha ziyade de 6698 sayılı Kanun kapsamında kişisel verilerin korunmasını öğrendik ve öğrenmeye devam ediyoruz.

Bu duruma veri sorumlusu veya veri işleyen ile veri ilgilisi tarafından da bakmak gerekir. Kanun’un yürürlüğe girmesinden sonra her iki taraf neler öğrendi, ne gibi değişiklikler yaşandı? Veri sorumluları tarafında gerçekten tam anlamıyla kişisel veriler diye bir şey olduğu ve bunu korumaları gerektiği gibi bir algı oluşmuştur. Peki bunu nasıl yapacaklardır? Uyumluluk projeleri yürüten hukukçular ve veri güvenliği alanında uzman bilişimciler ile çalışılmış olması tek başına bütün yapılması gerekenlerin yapıldığı anlamına gelebilir mi?

Belirtmeliyim ki, Kanun’a uyumluluk projeleri, şirketlerin Kanun’a uyumlu hale gelmeleri için zorunlu bir adım olsa da tek başına yeterli olmayıp Kanun’a uyumluluğun bir parçasını oluşturur. Hukuk ve teknik ekiple yapılacak bir uyumluluk sürecinin bir proje olduğu ve tamamlanmak üzere yola çıkıldığı unutulmamalıdır. Oysaki kişisel verilerin işlenmesi her şirket için devamlılık gösteren bir faaliyettir. Uyumluluk sürecinin anlamının, bir şirketin bütün veri işleme faaliyetlerini bu proje sırasında gerçekleştirmesi ve bitirmesi olmadığı açıktır. Asıl hedeflenen, şirketin Kanun’dan önce gerçekleştirdiği kişisel veri işleme faaliyetleri de dahil olmak üzere, var olmasından sonlanmasına kadarki tüm zamanlarda bütün kişisel veri işleme faaliyetlerinin Kanun’a uyumlu şekilde yürütülebileceği bir zemin oluşturmaktır. Öyleyse uyumluluk süreçleri, başlayıp biten bir proje olarak değil; varlığını devam ettiren bir sürecin hukuka uygun bir zemine oturtulması çalışması olarak ele alınmalıdır. Bu şekildeki bir bakış açısı, kişisel verilerin korunması hukukuna uyumluluğu çok daha kolay hale getirecektir.

Veri sorumlularının böyle bir bakış açısıyla hareket etmesi için hangi noktalarda dikkatli olması gerekir?

Birçok faaliyetin bir insan hareketine ihtiyaç duymaksızın bilişim araçları sayesinde gerçekleştirilebildiği ve dijitalleşmenin her sektörde gün geçtikçe arttığı bir gerçektir. Buna karşın hala hiçbir şekilde bir insan gücü gerekmeksizin faaliyet yürüten bir veri sorumlusunun örneğin bir şirketin varlığından söz edilemez. Çok da uzak olmayan bir zamanda böyle bir durumun söz konusu olacağını öngörsem ve buna inansam da, en azından günümüz yapay zeka teknolojisi henüz bu derece gelişmiş değildir. Dolayısıyla her şeyden önce şirketlerde, başta şirket çalışanları olmak üzere o şirketle herhangi bir şekilde iletişim halinde bulunan herkes, yani insan faktörü ele alınmalıdır. Şirketlerin her departmanında belli çalışanların olduğu düşünüldüğünde bütün çalışanların bu süreçle ilişki halinde olması gerekir mi? Söz gelimi, uyumluluk sürecinde mutlak surette bulunması gereken hukuk müşavirliği, doğrudan bu sürecin yürütülmesindeki taraf; satış ve pazarlama, üretim veya insan kaynakları gibi departmanların bu süreçte hiç yer almaması söz konusu olabilir mi? Şüphesiz bu şekilde de proje yürütülebilecek olmakla birlikte, böyle bir projenin Kanun’un istediği amaca hizmet etmesi mümkün müdür?

Daha önce de belirttiğim gibi, kişisel verilerin temas etmediği hiçbir hukuk dalı veya sektör olmadığı gibi bir şirket bünyesinde temas etmediği bir departmanın veya birimin olması da mümkün değildir. Zira hangi pozisyon olduğu fark etmeksizin büyüklüğü değişebilecek olmakla birlikte herkes bilerek veya bilmeyerek bir veri ihlaline neden olabilir. Dolayısıyla Kanun’a uyumlu bir zemin oluşturmak, söz konusu şirket bünyesinde herhangi bir şekilde faaliyet gösteren herkesi ilgilendirir, herkesin görevidir. Bu nedenle veri sorumluları tarafından üzerinde durulması gereken en önemli husus, şirket nezdinde çalışan ve şirketle herhangi bir şekilde ilişkisi olan herkesin veri koruma hukuku hakkında eğitilmesi ve bilinçlendirilmesidir. Her şeyden önce üzerinde durulması gereken budur. Bir şirket çalışanının önüne sayfalarca doküman veya hukuk normları koyarak buna uymasını beklemek yerine, o veri sorumlusunun neden kişisel verileri korumak zorunda olduğunun özünü anlayabilmesi sağlanmalıdır.

Bir şirket çalışanın veri koruma hukukunun özünü anlayabilmesi nasıl sağlanır?

Elbette ki bunun olmazsa olmaz ilk adımı veri koruma hukukuna ilişkin mevzuat, akademik çalışmalar ve uygulamadaki soru ve sorunlar kapsamında yapılacak bir eğitimdir. Bu eğitimin amacına ulaşabilmesi için atılması gereken ikinci adım ise konuya ilişkin güncellemelerin göz önünde bulundurulduğu belli aralıklarla devam eden eğitimlerdir. Bu eğitimlerde, kişisel verilerin korunması, korunmadığı takdirde idari para cezası yaptırımının uygulanacağı korkusuyla değil, bir insan hakkı olarak saygı gösterilmesi gereken bir alan olarak ele alınmalıdır.

Bu noktada uygulamada sıklıkla karşılaştığım problemlere değinmek istiyorum. Kanun’un yürürlüğe girmesinin ardından özellikle uyumluluk projelerini yürütmekte olan veya yürütüp sona erdirmiş olan şirketlerin belli bazı somut adımlar attığını görüyoruz. Özellikle tüketimin söz konusu olduğu ve insanlarla birebir temasın gerçekleştirdiği noktalarda bu daha da belirgindir. Bu açıdan en çok dikkatimi çeken adım, hemen her mağazada veya markette “Kişisel verilerin korunması”, “Kişisel verilerin korunmasına ilişkin politikamız” veya “Kişisel verilerin işlenmesine ilişkin aydınlatma metni” gibi çeşitli başlıklarla kişisel verilerin korunmasına ilişkin genel bilgilerin yer aldığı bir çerçevenin asılmasıdır.

Asılan bu metin gerekli midir? Kanaatimce gereklidir. Ancak o mağazada veya markette çalışan kişiler, kişisel verilerin korunması hakkında bilgi sahibi olmadıktan sonra asılan o metnin hiçbir anlam ve önemi olmadığı gibi amacına ulaşması da mümkün değildir. Asılan metin, veri sorumluları bünyesinde ancak bunu karşılayabilecek veri işleyenler veya çalışanlar olması halinde anlam kazanır. İşte veri sorumluları tarafında kişisel verilerin korunması hukukuna ve uyumluluk süreçlerine karşı böyle bir yaklaşım benimsenmelidir. Aksi takdirde yalnızca görüntüde uyumlu hale gelmiş, oysaki dağın görünmeyen tarafında patlamaya hazır bir bombanın yer aldığı bir durum söz konusu olacaktır. Bu nedenle kişisel verilerin korunması hukukunun genel ve ezbere dayalı bir uygulamasından ziyade, bir şirket bünyesine A’dan Z’ye her kişisine ve her noktasına temas etmesi ve yerleşik hale gelmesi sağlanmalıdır.

Veri sorumlusunun yanı sıra veri ilgilisi tarafında yaşanan değişiklikler nasıl gözlemlenmektedir?

Esasen veri koruma hukuku bir bütünü oluşturup, veri sorumlusu tarafında veya veri ilgilisi tarafında gerçekleştirilen değişikliklerin birbirinden kesin bir çizgiyle ayrılması mümkün değildir. Zira yukarıda veri sorumlusu veya veri işleyen için açıklanan yükümlülükler, zaten veri ilgilisinden ileri gelmektedir. Daha açık bir ifadeyle veri sorumlusunun yükümlülükleri, birebir örtüşmeyecek olmakla birlikte genel olarak veri ilgilisinin de haklarını oluşturacaktır. Bu nedenle ilk olarak yukarıda değindiğim bütün hususların aynı şekilde veri ilgilisi açısından da geçerli olduğunu belirtmeliyim. Ayrıca mesleki faaliyetini yerine getirirken veri sorumlusu veya veri işleyen konumunda olan bir kişinin; bir mağazadan ürün satın alırken veri ilgilisi konumunda olduğu ve dolayısıyla veri sorumlusu - veri işleyen - veri ilgilisi kavramlarının bünyesinde toplandığı kişi bakımından birbirinden kesin bir biçimde ayrılmaz kavramlar olduğu unutulmamalıdır.

Öte yandan kişisel verilerin korunması esasen bir haktır ve bu hak veri ilgilisine tanınmıştır. Kişisel verilerin korunması hukukunun temeli veri ilgilisinin korunması ve mahremiyetine dayanmaktadır. Nitekim 6698 sayılı Kanun’un amacı da kişisel verileri işlenen gerçek kişileri korumak ve işleme faaliyetinde bulunacak olanların da yükümlülükleri ile uyacakları kuralları belirlemek olarak açıklanmıştır. Öyleyse kişisel verilerin korunması hukuku, esas olarak veri ilgilisinin hakları, veri sorumlusunun veya veri işleyicilerinin de yükümlülükleri olarak ele alınmalıdır.

Kanun’un yürürlüğe girmesi ve peşi sıra konuya ilişkin yasal düzenlemelerin yapılması her şeyden önce korunması gereken bir kişisel veriler alanı olduğuna ve bu alanın hukuki düzenlemeler aracılığıyla koruma altına alınması gerektiğine işaret etmiştir. Dolayısıyla Kanun ile beraber bireylerin kişisel verilerin korunması hakkı yasal zemine oturtulmuş ve böylece veri ilgilisi kavramı ortaya çıkmıştır.

Esasen bugün veri ilgilisi olarak kişisel verilerin korunması hakkı kapsamında birçok hakkı bulunan bazı kesimler dahi konunun tam olarak farkında değildi. Verilerinin neden korunması gerektiği veya bu veriler üzerinde ne tür ihlallerin olduğu ve ne için kullanıldığı gibi noktalarda yeterli bilinç söz konusu değildi. Kaldı ki veriler üzerinde gerçekleştirilen ihlaller ve özellikle verilerin reklam şirketleri tarafından alım-satım konusu yapılması gibi durumlar göz önünde yapılmadığı için, bu konuda yeterli bilgi sahibi olunmamasını normal karşılıyorum. Bununla birlikte Kanun’un yürürlüğe girmesi ve bundan sonra özellikle akademik alanda konuya ilişkin birçok çalışma yapılması, bireylerde verilerinin neden korunması gereken bir alan oluşturduğu noktasında farkındalık oluşmasını sağlamıştır.

Verilerinin neden korunması gerektiğini anlayan kişi, ardından bunu yapabilecek hukuki güce de sahip olmalıdır. İşte Kanun’un yürürlüğe girmesinin ardından kişisel verilerinin korunması hakkı kapsamındaki hukuki güç tam olarak sağlanmıştır. Konuya ilişkin genel ve kapsamlı bir Kanun’un bulunması, bunun denetimini sağlayan bir ulusal otoritenin olması ve bundan sonra kişisel verilerin korunmasının bu denli yaygınlaşması; bireylerin haklarının farkında olmasını ve bu haklarından yararlandırılmasını talep etmelerini sağlamıştır. Kanun’dan önce bireyler, veri sorumluları ve veri işleyenler karşısında güçsüz konumdayken şu anda daha güçlü bir konumdadır.

Gerçekten, pratik anlamda da kişilerin kendilerinden veri istenildiğinde eskisine kıyasla daha sorgulayıcı bir tavır sergilediğini görüyoruz. Bugün herhangi bir şekilde ilişki kurduğumuz her tarafta kurulan ilişkinin niteliğine göre kişisel verilerimiz istenmektedir. Bu, kimi zaman ilişkinin kurulabilmesi ve devam edebilmesi veya tarafların amacının gerçekleşebilmesi gibi çıkarlar doğrultusunda zorunlu iken; kimi zaman bu zorunluğu aşacak derecede olabilmektedir. Böyle bir şüpheyle karşılaşan veri ilgilisi, kendisinden bu bilginin neden istenildiğini ve bu bilgiye ne yapılacağını sorgulamaktadır. Karşılığında tatmin edici bir cevap alamadığında da bu bilgileri vermekten kaçınmaktadır. İşte olması gereken ve yerleşmesi gereken farkındalık da tam olarak budur.

Peki bilgi verilmediği takdirde işlemin gerçekleştirilmemesi durumunda veri ilgilisi ne yapabilir?

Veri ilgilisinin kendisinden istenilen bilgiyi vermekten kaçınması karşısında veri sorumlusu veya veri işleyen işlemi gerçekleştiremeyeceğini belirtebilir. Bu durumda veri ilgilisinin Kurula şikâyet hakkı devreye girecektir. Nitekim Kurul, kendisine çok büyük sayıda başvuru yapıldığını da açıklamıştır. Bu başvurular olumlu veya olumsuz karara bağlanmakta ve gerekli görülen kararlar da kamuoyu ile paylaşılmaktadır.

Veri ilgilisinin şikâyeti üzerine yapılan incelemede iki farklı sonuca ulaşılabilir: Şayet somut olayda veri sorumlusu veya veri işleyenin söz konusu işlemi yapabilmesi için gerçekten o bilgiye ihtiyacı varsa ve Kanun’da öngörülen işleme şartlarından herhangi birine dayanıyorsa herhangi bir ihlalden söz edilemez. Zira o bilgiyi kendi kişisel sebepleri dolayısıyla istediğinden değil, o bilgiye ihtiyacı olduğundan talep etmektedir. Bu durumda veri ilgilisi, söz konusu olan işlemde bulunmak istiyorsa o verisini paylaşmalıdır, paylaşmak istemiyorsa da işlemin tarafı olmamayı göze almalı ve kabullenmelidir. Ancak veri sorumlusu veya veri işleyen söz konusu olan işlem için gerekli olmayan bir veriyi talep etmekteyse bunu ancak veri ilgilisinin Kanun’a uygun olarak alınmış açık rızasına dayandırabilir. Veri ilgilisinin bilgiyi vermek istememesi durumunda açık rıza vermediği açıktır. İşte bu noktada veri sorumlusu veya veri işleyenin işlemi yerine getirmemesi kişisel verilerin korunması hakkının ihlal edilmesi anlamına gelir. Çünkü bu durumda rıza verilmediği takdirde o hizmetin sağlanmayacağı tehdidi oluşturulmuş ve açık rıza beyanı hizmet şartına bağlanmıştır. Bu durum Kanun’un hiçbir şekilde kabul etmediği ve Kurul kararıyla da hukuka aykırı olduğu tespit edilmiş bir hak ihlalidir.

Sonuç

Türkiye’de özellikle Kanun’un yürürlüğe girdiği tarih olan 7 Nisan 2016 tarihinden bu yana merak ve ilgi konusu haline gelen kişisel verilerin korunması hakkı niteliği itibariyle herkesi ilgilendiren bir alandır. Kişisel verilerin, kişilere ve kişilerin bilgilerine ilişkin olması nedeniyle, temas etmediği hiçbir alan ve sektör yoktur. Hangi alanda olduğu fark etmeksizin tüm ekonomik ve ticari faaliyetler bu kapsamda olduğu gibi, hukuk alanları da buna dahildir. Kanun’un yürürlüğe girmesi, bundan sonra yayınlanan hukuki düzenlemeler, Kurul tarafından yapılan çalışmalar ve Kurul kararıyla oluşan kişisel verilerin korunması hukuku, her alanı etkilemiş ve her alanda oluşan veri koruma hukuku bakış açısıyla güncellemelerin yapılmasını gerektirmiştir.

İşte bu nedenle kişisel verilerin korunması hukukunun getirdiklerini ek bir yük veya zahmet gibi görüp bunları yerine getirmekten mümkün olduğunca kaçınmak yerine oluşan bu yeni hukuk dalının anlam ve önemi anlaşılmaya çalışılmalıdır. Kişisel verilerin korunması hukukunun gelişen dünyada bir ihtiyaç haline geldiği akıllardan çıkarılmayarak bu hukukun getirdikleri çağa ayak uydurmak için bir fırsat olarak ele alınmalıdır. Bu kapsamda, başta şirketlerin yürütmeleri gereken Kanun’a uyumluluk süreci olmak üzere yapılacak her türlü faaliyette kişisel verilerin korunması hukukunun özü anlaşılmaya çalışılmalıdır. Bu öz, gerçekleştirilen her türlü faaliyette göz önünde bulundurularak, kişisel verilerin korunmasının yerleşmesi ve bir kültür haline dönüşmesi üzerine çaba gösterilmelidir.

.

Doç. Dr. Murat Volkan Dülger*

.

(Bu köşe yazısı, sayın Doç. Dr. Murat Volkan DÜLGER tarafından www.hukukihaber.net sitesinde yayınlanması için kaleme alınmıştır. Kaynak gösterilse dahi köşe yazısının tamamı özel izin alınmadan kullanılamaz. Ancak alıntılanan köşe yazısının bir bölümü, aktif link verilerek kullanılabilir. Yazarı ve kaynağı gösterilmeden kısmen ya da tamamen yayınlanması şahsi haklara ve fikri haklara aykırılık teşkil eder.)

-------------------------------

* Bu tebliğ, 28 Ocak 2019 tarihinde, Kişisel Verileri Koruma Kurumu tarafından Ankara’da düzenlenen, “28 Ocak Veri Koruma Günü Konferansında” sunulmuştur.

* Akademisyen / Avukat.

[1] Detaylı bilgi için bkz: Murat Volkan Dülger, Kişisel Verilerin Korunması Hukuku, Hukuk Akademisi, İstanbul, 2019, s. 146-178.

[2] Detaylı bilgi için bkz: Dülger, s. 107-146.