ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİNDE RIZA DIŞINDAKİ HUKUKA UYGUNLUK SEBEPLERİ

GİRİŞ

Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmek üzere kullanılan çok geniş kapsamlı bir kavramdır[1]. Bu kapsamda değerlendirilebilecek her türlü bilgi, kişisel veri olarak kabul edilebilecektir. Bu bağlamda sadece bireyin adı, soyadı, doğum tarihi ve doğum yeri gibi onun kesin teşhisini sağlayan bilgiler değil, aynı zamanda kişinin fiziki, ailevi, ekonomik, sosyal ve diğer özelliklerine ilişkin bilgiler de kişisel veridir.

Kişisel veriler kendi içerisinde genel ve özel nitelikli kişisel veriler olmak üzere bir ayrıma tabi tutulmuş ve her veri grubuna ilişkin 6698 sayılı Kişisel Verilerin Korunması Kanunu[2]’nda (KVKK) hukuka uygunluk sebepleri belirlenmiştir. Özel nitelikli kişisel veriler, bulundukları ayrıcalıklı konum ve taşıdıkları risk nedeniyle daha nitelikli bir korumaya tabi tutulmuş ve işlenmesi Kanunda belirtilen istisnalar dışında kesin surette yasaklanmıştır. Kanun, özel nitelikli kişisel veriler arasında da bir ayrım yapmıştır. Buna göre sağlık ve cinsel hayata ilişkin kişisel verilerin işlenmesi ile bunlar dışındaki özel nitelikli kişisel verilerin açık rıza olmaksızın işlenebileceği halleri farklı düzenlemiştir.

Açık rıza, kanunun 5 ve 6. maddelerinde hem genel nitelikli kişisel verilerin işlenmesinde hem de özel nitelikli kişisel verilerin işlenmesinde veri işleme faaliyetini hukuka uygun hale getiren nedenlerden birisi olarak düzenlenmiştir. Ancak kanunda sadece rıza hukuka uygunluk sebebi olarak sayılmamış, buna ek olarak başka hukuka uygunluk sebeplerine de yer verilmiştir.

Çalışmamızda öncelikle kişisel veri kavramından bahsedilecek olup, akabinde kişisel veri türlerinden olan başkaları tarafından öğrenildiği takdirde ilgili kişinin mağdur olmasına, ayrımcılığa maruz kalmasına ya da şeref ve onurunun zedelenmesine neden olabilecek nitelikteki veri grubuna giren özel nitelikli kişisel verilerin işlenmesi hususuna değinilecek ve rıza dışında özel nitelikli verilerin işlenmesindeki diğer hukuka uygunluk sebepleri detaylı olarak izah edilmeye çalışılacaktır.

BİRİNCİ BÖLÜM

GENEL OLARAK KİŞİSEL VERİLER

I. KİŞİSEL VERİ KAVRAMI

Günümüzde kişilik haklarına ilişkin en büyük hukuksal meselelerin en önemli sorunlarından biri olan kişisel verilerin korunması hususu incelenirken, ilk yapılması gereken tanım kişisel veri kavramına yöneliktir.

Gerek ulusal gerekse uluslararası metinlerde kişisel veri kavramı benzer şekillerde tanımlanmıştır. Kişisel Verilerin İşlenmesi Sürecinde Kişilerin Korunmasına ve Verilerin Serbest Dolaşımına İlişkin Avrupa Konseyi Direktifi’nde[3] (VKD) kişisel veri kavramı, “…fiziksel, fizyolojik, zihinsel, ekonomik, kültürel veya sosyal kimliğine özel bir veya daha fazla faktöre veya bir kimlik numarasına atıf başta olmak üzere doğrudan veya dolaylı olarak tespit edilebilen bir tespit edilebilir kişi; tespit edilmiş veya tespit edilebilir gerçek kişiye (veri öznesi) ilişkin herhangi bir bilgiyi kastedecektir.” olarak tanımlanmıştır.

95/46/EC sayılı Yönerge’nin yerini almış olan Avrupa Birliği Genel Veri Koruma Tüzüğü’nün[4] (GDPR) Tanımlar başlıklı 4/1. maddesinde ise, “…kişisel veri’ tanımlanmış veya tanımlanabilir bir gerçek kişiye ilişkin her türlü bilgidir ('veri sahibi'); tanımlanmış bir gerçek kişi özellikle bir isim, kimlik numarası, konum verileri, çevrim içi tanımlayıcı ya da söz konusu gerçek kişinin fiziksel, fizyolojik, genetik, ruhsal, ekonomik, kültürel veya toplumsal kimliğine özgü bir ya da daha fazla sayıda faktöre atıfta bulunularak doğrudan veya dolaylı olarak tanımlanabilen bir kişidir.” şeklinde tanımlama yapılmıştır.

Ulusal mevzuatımız incelendiğinde ise, en önemli dayanak olan KVKK’nın 3. maddesinde tanımlandığı şekilde kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir. Bu kanuni tanımlardan hareketle kişisel veri, belirli veya belirlenebilir olmak kaydıyla bir gerçek kişiye ait bütün bilgiler olarak tanımlanabilir[5].

II. KİŞİSEL VERİLERİN KORUNMASININ ÖNEMİ

Kişilik hakkı, kişinin toplum içindeki saygınlığını ve kişiliğini serbestçe geliştirmesini temin eden varlıkların tümü üzerindeki hakkı şeklinde tanımlanmaktadır[6]. Bu haklar devredilemez, vazgeçilemez, miras yoluyla mirasçılara geçmez ve hak sahibinin ölümüyle kendiliğinden ortadan kalkar[7]. Kişisel verilerin korunmasının önemi de kişilik hakkından kaynaklanmaktadır.

Kişisel verilerin korunması talep etme hakkı, özel hayatın gizliliğinin korunması hakkından doğan, anayasal koruma altında olan temel hak ve özgürlüklerden birisidir. Başka bir deyişle kişisel verilerin korunması özel hayatın gizliliği[8] ve korunmasıyla doğrudan ilişkili ve bu hakkın parçasıdır[9]. Kişilik veya mahremiyet hakkı açısından kişisel verilerin korunması kişinin sağlığına, ailevi durumuna, inancına ilişkin bilgiler o kişinin özel alanı içinde olup, bu bilgilerin üçüncü kişilere yayılması, üçüncü kişilere yayılma tehlikesi taşıdığı için bir başkası tarafından saklanması, özel alana müdahale olarak kabul edilecektir.

Şüphesiz kişilik hakkı başka birinin görmeyeceği şekilde yalnız kalabileceği, kendi rızasıyla istediği kişilerle görüşebileceği ve kendisini her türlü araçla geliştirebileceği ayrıcalıklı bir alanın oluşturulması ve korunması konusunda güvence vermektedir. Kişisel verilerin korunması ve kayıt altına alınması da şüphesiz mahremiyet hakkı ve kişilik hakkı çerçevesinde değerlendirilir.

III. KİŞİSEL VERİLERİN SINIFLANDIRILMASI

Kişisel veri konusunda düzenlemelerde özel (hassas) kişisel veri ile genel kişisel veri şeklinde ikili bir tasnif yapılmaktadır. Kanun koyucu özel kişisel veri ile adi kişisel verinin korunmasında farklılıklar öngörmüştür.

A) Genel Nitelikli Kişisel Veriler

İlk veri kategorisi genel nitelikli kişisel verilerdir. Bu veri kategorisinde yer alan veriler en genel tabirle özel nitelikli kişisel veri kategorisine dâhil edilmeyen her tür kişisel veriyi ifade etmektedir. Özel nitelikli veriler sayma usulü belirlenirken (numerus clausus) adi kişisel verilerde sınırlı sayı ilkesi geçerli değildir. Bu kapsamda, teknolojinin gelişmesi sonucunda kişiyi belirleyebilir hale getiren tüm yeni verilerin aksine bir düzenleme yapılmadığı sürece adi veri kapsamında olacağını söylemek mümkündür[10]. Örneğin kişinin adı, soyadı, medeni hâli, kimlik numarası, nüfusa kayıtlı olduğu yer, doğum yeri ve tarihi gibi kimlik bilgilerinin yanı sıra, bedenindeki yara izi, ben, dövme gibi belirleyici işaretler, kişisel görüntüsü, fotoğrafı, telefon numarası, banka hesap/ iban numarası, kredi kartı numarası, emeklilik, kurum sicil, sosyal sigorta numarası, internet protokolü (IP) adresi, elektronik posta adresi, sosyal medya hesap bilgileri, bunlara ilişkin şifreler, güvenlik kodları, ıslak ve/veya elektronik imzası, matbu veya dijital, örneğin e-posta yolu ile veya sosyal ağlarda yaptığı yazışma ve paylaşımlar hep kişisel verilerdendir[11].

B) Özel Nitelikli Kişisel Veriler

Sınıflandırmaya tabi ikinci kategorideki veriler ise çalışmamızın da konusunu oluşturan özel nitelikli kişisel verilerdir. Literatürde hassas veri, özel tür veri, özel kategorili veri şekillerinde de ifade edilen bu veriler diğer veri türü olan genel nitelikli veri türüne göre korunmaya daha muhtaç bir veri grubudur. Bu veri grubuna dâhil olan kişisel veri türleri sınırlı sayılmıştır, bu nedenle çoğaltılamaz, azaltılamaz.

Doktrinde özel ve adi nitelikli kişisel veri ayrımının yapılmasının gerekçesi, özel kişisel verilerin doğrudan temel hak ve özgürlüklerle dayanması olarak gösterilmektedir[12]. Özel nitelikli kişisel veri kavramının ortaya çıkışı tarihsel olaylara dayanmaktadır. Şöyle ki, 1 Ekim 1939’da Almanya’nın Polonya’yı işgal etmesiyle başlayan, 1945 yılında sona eren, tarihteki en büyük ve en yıkıcı savaş olan II. Dünya Savaşı, çoğu ırkçı ve ayrımcı politikalardan kaynaklanan sebeplerle, tahminen dünya çapında 55 milyon kişinin ölümüne yol açmıştır. II. Dünya Savaşı’nda ayaklar altına alınan değerler, kişilerin sırf belli bir ırk, renk, uyruk veya kökene sahip olduğu için soykırıma uğraması gerçekleri, kişilerin birtakım verilerinin daha hassas korumaya ihtiyacı olduğunu ortaya koymuştur. Bu suretle özel nitelikli (hassas) kişisel veriler şeklinde ayrıcalıklı bir veri koruma alanı ortaya çıkmıştır[13]. Nitekim bütün ulusal ve uluslararası düzenlemeler özel nitelikli kişisel verilerin özel olarak düzenlenmesine dair gerekçelerini -tarihsel olayların sebep olduğu şekilde- ayrımcılık tehlikesine dayandırmışlardır.

Özel nitelikli verilerin, diğer verilerden ayrı olarak tanımlanması ve düzenlenmesindeki düşünce, 6698 sayılı Kanun’un gerekçesinde, bu verilerin başkaları tarafından öğrenildiği takdirde, ilgili kişinin mağdur olabilmesine veya ayrımcılığa maruz kalabilmesine neden olabilecek nitelikte türde veriler olması olarak belirtilmiştir[14] Böyle bir özel grup veri yaratılmasındaki en önemli amacın, kişiler arasında daha ciddi bir ayrımcılığa yol açabilme ihtimalinin bulunması sebebiyle bu verilere daha güçlü bir koruma sağlanmasının amaçlanması olduğunu söyleyebiliriz[15].

İKİNCİ BÖLÜM

ÖZEL NİTELİKLİ KİŞİSEL VERİLER

I. YASAL DÜZENLEME

Türk hukukunda 12.10.2010 tarihinde Anayasa m. 20’ye eklenen üçüncü fıkra ile kişisel verilerin korunması hakkı Anayasa’da doğrudan güvence altına alınmıştır. Kişisel veriler, 6698 sayılı Kişisel Verilerin Korunması Kanunu kabul edilene kadar, çeşitli kanuni düzenlemeler içerisinde yer alan dağınık hükümlerle belli ölçüde korunabilmekteydi. Söz konusu bu düzenlemelerin kişisel verilerin korunmasını yeterli bir şekilde sağlayamamaları, kişisel verilerin daha etkin bir şekilde korunması ihtiyacını ortaya çıkarmıştır. Bu sebeple doğrudan kişisel verilerin korunmasına yönelik ve genel nitelikli ilk kanuni düzenleme olan 6698 sayılı Kişisel Verilerin Korunması Kanunu, 95/46/EC sayılı Yönerge esas alınarak hazırlanmış ve 24.03.2016 tarihinde kabul edilmiştir. Ayrıca KVKK’ya dayalı olarak çok sayıda yönetmelik yürürlüğe girmiştir.

KVKK’nın yürürlüğe girmesinden sonra 2016 yılında 21.01.1981 tarihinde Strazburg’da imzalanan Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi ve 08.10.2001 tarihinde Strazburg’da imzalanan Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi’ne Ek Denetleyici Makamlar ve Sınıraşan Veri Akışına İlişkin Protokol’ü de uygun bulunmuştur.

Kişisel verilerin korunmasına yönelik özel hükümler; KVKK ve buna dayalı olarak çıkarılan Yönetmelikler dışında 5237 sayılı Türk Ceza Kanunu’nda, 5411 sayılı Bankacılık Kanunu’nda, 4857 sayılı İş Kanunu’nda, Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelik’te ve diğer birçok yasal düzenlemede yer almaktadır.

Avrupa Konseyi bünyesinde hazırlanarak 28 Ocak 1981 tarihinde Strazburg’ta imzaya açılan ve 1 Ekim 1985 tarihinde yürürlüğe giren 108 sayılı Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi[16], ülkemiz tarafından 28 Ocak 1981 yılında imzalanmış olmasına karşın, uzun süre onaylanmamış ve nihayet 30 Ocak 2016 tarihinde kabul edilen 6669 sayılı Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesinin Onaylanmasının Uygun Bulunduğuna Dair Kanun ile onaylanarak 18 Şubat 2016 Tarihli ve 29628 Sayılı Resmî Gazetede yayımlanmış ve aynı tarihte yürürlüğe girmiştir[17]. Türkiye’nin Sözleşmeyi imzalamasına rağmen, 30.01.2016 tarihine kadar onaylayıp yürürlüğe koymayan tek ülke konumunda bulunmakta olduğunu da bir eleştiri mahiyetinde belirtmek gerekmektedir.

Hassas verilerle ilgili; VKD’nin giriş bölümümün 33. maddesinde hassas verilere yönelik olarak “…veri öznesi açık şekilde rıza göstermezse, temel özgürlükleri veya kişisel mahremiyeti ihlal eden yapıdaki veriler işlenmemelidir.” ifadesiyle vurgu yapılmıştır. Madde, kişinin rızası olmaksızın temel özgürlüklere ve kişisel mahremiyete yönelik verilerin hassas veri olarak tanımlanabileceğini ifade etmektedir. VKD’nin 51. maddesinde aynı yaklaşımdan yola çıkılarak hassas verilerin özel koruma gerektirdiği hususuna yeniden değinilmiştir. Hassas verilere yönelik olarak VKD’nin 8. maddesinin 1. bendinde yer alan “Üye Devletler, sağlık durumuna veya cinsel yaşama ilişkin verilerin işlenmesini ve sendika üyeliğini, dini veya felsefi inançları, siyasi görüşleri, ırk veya etnik kökeni açıklayan kişisel verilerin işlenmesini yasaklayacaktır.” hükmü ile bir diğer tanımlama yapılmıştır. Söz konusu tanımlama ile hassas veriler kapsamında değerlendirilebilecek bilgiler sıralanmış ve sınıflanmıştır.

Özel nitelikli kişisel verilerin ayrıcalıklı olarak düzenlenmesine dair tüm gerekçeler kendine 95/46 sayılı Kişisel Verilerin İşlenmesi ve Bu Tür Verilerin Serbest Dolaşımına Dair Bireylerin Korunması Direktifi’nde, Birleşmiş Milletler Bilgisayarla İşlenen Kişisel Veri Dosyalarına İlişkin Rehber İlkelerde, 108 sayılı Avrupa Konseyi Sözleşmesi’nde ve 2016/679 sayılı Avrupa Birliği Genel Veri Koruma Tüzüğü’nde yer bulmuştur.

Özel nitelikli kişisel verilerin diğer kişisel verilere göre çok daha sıkı şekilde korunmaları gerekmektedir. Bu nedenle KVKK’da özel nitelikli kişisel verilere ve bu verilerin işlenmesine ilişkin ayrı bir madde sevk edilerek türler ve işlenme şartları, Kanun’un 6. maddesinin devam fıkralarında düzenlenmiştir.

II. ÖZEL NİTELİKLİ KİŞİSEL VERİ TÜRLERİ

Yukarıda da bahsedildiği şekilde özel nitelikli kişisel veriler, öğrenilmesi halinde ilgili kişinin mağdur olmasına ya da ayrımcılığa maruz kalmasına neden olabilecek nitelikteki verilerdir. Bu nedenle diğer kişisel verilere göre çok daha sıkı şekilde korunmaları gerekmektedir. Kanun, bu verilere özel bir önem atfetmekte ve bu verilerle ilgili farklı bir düzenleme getirmektedir.

KKVK’nın 6. maddesinde özel nitelikli kişisel veriler, sınırlı sayma yoluyla belirlenmiştir. Özel nitelikli kişisel verilerin kıyas yoluyla genişletilmesi mümkün değildir[18]. Bu veriler; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileridir.

Türk pozitif hukuk düzeninde 6698 sayılı Kanun, hassas verileri küresel hukuk düzenlemelerine uyumlu bir şekilde ve ayrıntılı sayılabilecek bir çeşitlilik içinde saymış ancak herhangi bir tanım, açıklama ve gruplandırma yapmamıştır. Yargıtay 12. Ceza Dairesi’nin henüz 6698 sayılı Kanun’un yürürlükte olmadığı dönemde verdiği 15.05.2012 tarihli ve E. 2011/ 20072, K. 2012/ 12126 sayılı kararının muhalefet şerhinde kişisel verilerle ilgili olarak büyük oranda hassas verileri içine alan pratik ve açıklayıcı sayılabilecek bir sınıflandırma yapıldığı göze çarpmaktadır. Karara göre kişisel verilerin neler olabileceğine ilişkin özel verileri de içine alacak biçimde; yaşam şekline ilişkin kişisel veriler, ekonomik ve finansal kişisel veriler, bilişim alanına ilişkin kişisel veriler, sağlıkla ilgili kişisel veriler, politik kişisel veriler şeklinde bir başlıklandırma yapıldığına da önemine binaen değinmek gerekmektedir.

Kanun maddesi sınırlı sayı (numerus clausus) esasını benimsemiş olsa da çeşitli ülke uygulamalarında milli köken, siyasi partilere veya hareketlere aidiyet, engellilik, bağımlılık, alkol ve uyuşturucu kullanımı, destek ve sosyal refah yardımları, WEB tarama geçmişleri, e-ticarette satın alma ve mal arama trafiği, gibi farklı bilgi kaynakları da özel nitelikli kişisel hassas veri türleri içinde kabul edilebilmektedir[19].

İlgili kişinin sağlığına ve cinsel hayatına ilişkin veriler, hem 95/46 sayılı Direktif’te hem 108 sayılı Sözleşme’de hem 2016/679 sayılı Tüzük’te hem de 6698 sayılı Kanun’da özel nitelikli(hassas) kişisel veri olarak kabul edilmiştir[20]. Kişisel sağlık verisi, kimliği belirli veya belirlenebilir gerçek kişinin fiziksel ve ruhsal sağlığına ilişkin her türlü bilgi ile kişiye sunulan sağlık hizmeti ile ilgili bilgiler olarak tanımlanmaktadır. 6698 sayılı Kanun sistematiği takip edildiğinde hassas veriler arasında gösterilen ırk, kalıtımsal olarak ortak fiziksel ve fizyolojik özelliklere sahip insanlar topluluğu, bir tür içinde belirgin farklılık gösteren birey grubu veya alt tür olarak tanımlanmaktadır[21]. Ayrıca kavram için deri, göz, saç rengi, saç ve baş biçimi, boy, kan grubu vb. kalıtımsal özellikleri ile birlik gösteren kişilerin oluşturdukları doğal topluluk adlandırması da yapılmaktadır.

Etnik köken bilgisi ise dirimbilimsel (biyolojik) ve ekinsel (kültürel) bakımlardan türdeş özelliklerle birbirine bağlanmış üyelerden kurulu olan ve bu özelliklerle kimliklendirilen toplumsal kümeyi ifade etmektedir[22]. Siyasi düşünce, devletin etkinliklerinin amaç, yöntem ve içerik açısından hangi esaslara göre düzenlenmesi ve gerçekleştirilmesi gerektiğine ilişkin kişilerin düşüncelerini belirtir. Felsefi görüş kavramıyla ise, kişinin inceleme amacı taşıyan düşünce etkinliği sonucunda ulaştığı tüm görüşler anlatılmak istenir[23]. Dini görüş, kişinin Tanrı’ya, doğaüstü güçlere, çeşitli kutsal varlıklara inanma ve tapınma sistemini içerirken, mezhep bir dinin görüş, yorum ve anlayış farklılıkları sebebiyle ortaya çıkan kollarından her birini tasvir eder[24]. Kanunda geçen kılık kıyafetle de kişinin üstü başı, giyinişi ve dış görünüşüne ilişkin bilgilerin kastedildiği söylenebilir. 2016/679 sayılı Tüzük’te ve 95/46 sayılı Direktif’te “kılık ve kıyafet” kavramından özel nitelikli kişisel veri olarak söz edilmemektedir[25]. Dolayısıyla 6698 sayılı Kanun tarafından Direktif ve Tüzük’e göre daha geniş bir koruma öngörüldüğünü ifade etmek gerekir. Her ne kadar bir kişinin kılık ve kıyafetine dair verilerin diğer verilere göre hassasiyet içeriği tartışılabilecekse de kişilerin kılık ve kıyafetleri diğer hassas verileri olan dinine, etnik kökenine, ırkına veya cinsel yönelimlerine dair verileri ortaya koyabilecek nitelikte veriler olduğundan daha sıkı bir koruma ve işleme faaliyeti açısından Türk hukuk sisteminde bu veriler özel nitelikli veri kategorisine dâhil edilmiştir. Dernek, vakıf veya sendika üyeliği açısından her üç kuruluşa üyelik için de, kişinin siyasal görüşü, kültürel tercihleri ve toplumsal statü bilgisi açısından özel yönler içerdiğinden kayıtlı verilerin hassas kişisel veri kapsamında kabul edilmesi gerekmiştir. Bu hususla ilgili özellikle iş hukuku anlamında çok sayıda ihlal ve uyuşmazlık bulunduğunu söylemek gerekmektedir.

Farklı bir hassas veri türü olan cinsel hayatı oluşturan unsurlar, bireye özgü cinsel eğilimleri ve seks hayatına ilişkin olguları kapsar[26]. Kişinin cinsel tercihleri veya benimsediği yaşam tarzı toplumsal önyargıları harekete geçirme etkisi taşıdığından birey hakları, ayrımcılığa uğramama ve kişilik değerlerinin korunması açısından bu aidiyetler, duyarlık düzeyi yüksek veriler olarak etiketlenmiştir.

İnsan onuru, kişilik hakları, özel hayatın gizliliği ve kişisel verilerin korunması haklarıyla sıkı bağlantılar içindeki sağlık verilerinin ise veri mahremiyetinin korunması açısından önemli bir yere sahip olduğu açıktır. Avrupa Hasta Haklarının Geliştirilmesi Bildirgesi, Lizbon Hasta Hakları Bildirgesi, Bali Bildirgesi, 1981 tarihli Dünya Tabipler Birliği Hasta Hakları Bildirgesi, Amsterdam Bildirgesi ve 1998 tarihli Hasta Hakları Yönetmeliği ile 1999 yılında yürürlüğe giren 164 sayılı Avrupa Konseyi Biyoloji ve Tıbbın Uygulanması Bakımından İnsan Haklarının ve İnsan Haysiyetinin Korunması Sözleşmesi hasta hakları konusunda özel veri esaslarına yer veren başlıca düzenlemelerdir. Örneğin, 1981 tarihli Dünya Tabipler Birliği Hasta Hakları Bildirgesine göre hasta tüm tıbbi ve özel hayatına ilişkin bilgilerin gizliliğine saygı duyulmasını bekleme hakkına sahiptir[27]. Türkiye uygulamasında kişinin dokunulmazlığı, maddi ve manevi varlığı başlıklı 17. madde ile sağlık hizmetleri ve çevrenin korunması başlıklı 56. madde sağlık verileri alanında anayasal çerçeveyi oluşturmaktadır. 20.10.2016 tarihli ve 29863 sayılı Resmi Gazete’de yayımlanan Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelik’in “Tanımlar” başlıklı 4/f. maddesinde kişisel sağlık verisi, kimliği belirli ya da belirlenebilir gerçek kişinin fiziksel ve ruhsal sağlığına ilişkin her türlü bilgi ile kişiye sunulan sağlık hizmetiyle ilgili veriler olarak belirtilmiştir. “Kişisel Sağlık Verilerinin Korunması” başlıklı 6. maddede ise veri güvenliğinin sağlanması için alınacak önlemler sıralanmış; kişisel sağlık verilerinin hukuka aykırı işlenmesini ve erişilmesini önlemek, bu verilerin muhafazasını sağlamak amacıyla uygun güvenlik yapısını temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri almak ve bu tedbirlerin veri sorumlusu tarafından denetlenmesine izin vermek veri işleyen görevlinin uymak zorunda olduğu yükümlülükler kapsamında düzenleyici işlem kuralı haline getirilmiştir[28]. Avrupa İnsan Hakları Mahkemesi, 25 Şubat 1997 tarihli Z.-Finlandiya kararında kişinin özel hayatına ve aile yaşamına saygı hakkı kapsamında tıbbi verilerin gizliliğine saygı göstermeyi AİHS’e taraf olan bütün sözleşmeci devletlerin yasal sistemlerinin temel bir prensibi olarak görülmesi gerektiğini belirtmiştir[29].

Kanunda hassas kişisel veri türleri arasında sayılan diğer bir kategori, önemi ve kapsamı itibariye geniş yer tutan biyometrik ve genetik verilerdir. Yaşam anlamına gelen bios ve ölçü anlamına gelen metron kelimelerinden türeyen biyometrik ve genetik veriler ile anlatılmak istenen, biyolojik veya davranışsal özellikleriyle birlikte, kimliksel doğrulama yapmak amacıyla fizyolojik veya davranışsal niceleyicilerini kullanan bireyin kendine has, benzersiz, genelde ömür boyu aynı kalan, güvenilirlik düzeyi yüksek veri bütünlüğüdür. Bireyin genetik bilgisinin depolandığı, her insan için benzersiz, kalıcı ve evrensel DNA, parmak, avuç içi damar izi ve retinal tarama, el, ses tanıma verisi, yüz imajı, el ve parmak geometrisi, kulak kanalı, kişilerin irisi ve çeşitli biyometrik teknolojilerin kombinasyonlarını içeren çoklu biyometrik sistemler, bu yapı içinde öne çıkan başlıca veri unsurlarıdır[30]. Hassas kişisel veri grubu içinde biyometri ve genetik bilgilerin ayrıca bireysel kimliğe sıkı sıkıya bağlı olduğu ve kontrol edilmesi halinde objektif sonuçlar doğurduğu gerekçesiyle nitelikli verileri temsil ettiği varsayılmaktadır[31].

Günümüzde biyometrik veriler, özellikle bankacılık, haberleşme, sağlık, güvenlik gibi sektörlerde[32]; örneğin bankalarda kredi sözleşmesinin parmak iziyle imzalanması, keza özellikle özel hastanelerde hasta kayıtlarının avuç izi yöntemiyle alınması, cezaevlerinde iris tanıma ile giriş yapılması, haberleşme sektöründe ses tanıma ile iletişim sağlanması biçimlerinde işlenmekte ve kullanılmaktadır. Bir başka deyişle biyometrik yöntemler, birçok alanda parola ve şifre kullanımının yerine geçmiştir[33].

Önemine binaen bu özel nitelikli veri grubu ile ilgili, spor salonu hizmeti sunan veri sorumlularının, üyelerinin giriş-çıkış kontrolünü biyometrik veri işleyerek yapması ile ilgili Kişisel Verileri Koruma Kurulu’nun 25/03/2019 tarihli ve 2019/81 sayılı Karar ve 31/05/2019 tarihli ve 2019/165 sayılı Kararı’ndan bahsetmek gerekmektedir. Spor salonu hizmeti sunan iki ayrı şirketin (veri sorumluları), üyelerinin giriş-çıkış kontrolünde el-avuç okutma sistemine geçilmesi, kaydı tutulan üyelere ait vesikalık fotoğraf, son ziyaret saati gibi bilgilerin herkesin görebileceği bir TV ekranında yansıtılması gibi biyometrik verileri de içeren bazı özel nitelikli kişisel verileri işlemesi ve bu bilgilerin güvenli şekilde muhafaza edildiğinden şüphe duyulması üzerine ilgili kişilerce Kuruma ihbar ve şikayetlerde bulunulmuştur. Kurul ise özetle yapılan işlemin ölçülü olmaması ve alternatif bir işlemin sunulmaması sebebiyle ihlal kararı vermiştir[34].

Son olarak Türk hukuk düzenlemesinde ceza mahkûmiyetine ilişkin veriler 5237 sayılı Türk Ceza Kanunu’nun 45. maddesi uyarınca suç karşılığında yaptırım olarak öngörülen hapis (hürriyeti bağlayıcı ceza) ve adli para cezaları (malvarlığı değerlerine yönelik ceza) bilgisinden oluşur. Suç işleyen kişinin tehlikelilik durumu, suçun konusu ile ilgili ya da suçun işlendiği araçla bağlantılı olarak veya maruz kaldığı tehlike hali dikkate alınarak uygulanan koruma ve iyileştirme amaçlı ceza hukuku yaptırımlarına ilişkin TCK’nın 53-60. maddeleri arasındaki hükümler ise güvenlik tedbiri kapsamındaki verilerdir. Örneğin belli haklardan yoksun bırakılma, eşya ve kazanç müsaderesi[35], çocuklara ve akıl hastalarına özgü güvenlik tedbirleri, suçta tekerrür ve özel tehlikeli suçlular, sınır dışı edilme ve tüzel kişiler hakkında uygulanan güvenlik tedbirleri pozitif hukuk çerçevesinde sayılabilecek veri parçalarıdır[36].

ÜÇÜNCÜ BÖLÜM

ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİNDE

HUKUKA UYGUNLUK SEBEPLERİ

I. HUKUKA UYGUNLUK SEBEBİ RIZA KAVRAMI

6698 sayılı Kanun’un lafzı gereğince genel nitelikli kişisel verilerin ilgilinin açık rızası olmaksızın işlenmeyeceği belirtilmişken, özel nitelikli kişisel veriler bakımından ise verilerin ilgilinin açık rızası[37] olmaksızın işlenmesinin kural olarak yasak olduğu ifade edilmiştir[38]. Çeşitli düzenlemelerde kayıt altına alınan bu ilke, özel nitelikli veriler bakımından “kesin işlem yasağı” olarak ifade edilmektedir[39]. 6698 sayılı Kanun, ilgili kişinin açık rızasını, özel nitelikli kişisel verilerin işlenmesinin yasak olması ilkesine bir istisna[40], özel nitelikli kişisel verilerin işlenmesinin bir şartı ve kesin işlem yasağını[41] ortadan kaldıran bir hukuka uygunluk nedeni olarak düzenlemiştir[42].

Özel nitelikli kişisel veriler, bulundukları ayrıcalıklı konum ve taşıdıkları risk nedeniyle daha nitelikli bir korumaya tabi tutulmuş ve işlenmesi Kanunda belirtilen istisnalar dışında kesin surette yasaklanmıştır[43]. KVKK’nın 6. maddesinde özel nitelikli kişisel verilerin işlenme şartları açıkça düzenlenmiştir. KVKK’nın 6/2. maddesine göre özel nitelikli kişisel verilerin işlenebilmesi için kural olarak ilgili kişinin açık rızası gerekir. Bir başka deyişle özel nitelikli kişisel verilerin işlenmesi için mutlak surette açık rıza aranmaktadır. Konuyu örneklendirmek gerekirse; klinik araştırmalar kapsamında gönüllü olan kişilerin açık rızalarının alınması gerekir.

Kanun çerçevesinde rıza, kişinin sahip olduğu verinin işlenmesine, kendi isteği ile ya da karşı taraftan gelen istek üzerine, onay vermesi anlamını taşımaktadır.

Açık rıza, kişisel verilerin korunması hukukunda, veri işleme faaliyetini hukuka uygun hale getiren nedenlerden biridir. Açık rıza ile aynı zamanda, kişiler kendilerine ait verilerin geleceğini belirleme ve verileri üzerinde kontrol sağlama haklarını da kullanmaktadırlar. Açık rızanın geçerli olabilmesi için belirli bir konuya ilişkin olma, bilgilendirmeye dayanma, özgür iradeyle açıklanmış olma, herhangi bir tereddüde yol açmayacak açık bir irade beyanı ile verilmiş olma unsurlarının tamamını bir arada taşıması gerekmektedir. 95/46 sayılı Direktifte ve GDPR’da kavram, bazen rıza bazen açık rıza olarak yer alsa da esasında unsurları itibarıyla bu kavramlar arasında ve Kişisel Verilerin Korunması Kanunu’nda yer alan açık rıza kavramı arasında herhangi bir fark olmadığı görülmektedir. Açık rıza, Kanunda hem özel nitelikli kişisel veriler, hem de özel nitelikli olmayan kişisel veriler bakımından temel hukuka uygunluk sebebi olarak öngörülmüştür. Bir başka ifade ile açık rıza, kanunun 5 ve 6. maddelerinde hem genel nitelikli kişisel verilerin işlenmesinde hem de özel nitelikli kişisel verilerin işlenmesinde veri işleme faaliyetini hukuka uygun hale getiren nedenlerden birisi olarak düzenlenmiştir. Ancak kanunda sadece rıza hukuka uygunluk sebebi olarak sayılmamış, buna ek olarak başka hukuka uygunluk sebeplerine de yer verilmiştir.

Burada yakın tarihte Anayasa Mahkemesi tarafından verilmiş olan bir karardan da bahsetmek gerekmektedir. Anayasa Mahkemesi’nin 2019/20473 başvuru numaralı 03.02.2022 tarihli kararında özetle, ilgili kişinin açık rızası olmaksızın boşanma sürecinde olsun olmasın sağlık verilerinin eşi ile paylaşılması kişilik hakkı ihlali olarak değerlendirilerek özel hayatın ihlal edildiğine karar verilmiştir[44].

Çalışmamız özel nitelikli kişisel verilerin işlenmesinde rıza dışındaki hukuka uygunluk sebepleri olduğundan rıza kavramı hakkında daha fazla açıklamaya yer verilmemiştir.

II. RIZA DIŞINDAKİ HUKUKA UYGUNLUK SEBEPLERİ

Çalışmamızın genelinde ifade ettiğimiz üzere, 6698 sayılı Kanun kapsamında özel nitelikli kişisel verilerin işlenmesi kural olarak yasaktır. Bu yasak kural olmakla birlikte, bu yasağı ortadan kaldıran istisnalar da kanunda düzenlenmiştir.

Özel nitelikli kişisel verilerin işlenebilmesi için de 6698 sayılı Kanun’un 4. maddesinde belirtilen ilkelere uyulması gerekmektedir. Verilerin özel nitelikli olup olmadığı fark etmeksizin kişisel verilerin hukuka ve dürüstlük kurallarına uygun işlenmesi gerekmektedir. Yine verinin doğru ve gerektiğinde güncel olması gerekliliği aranmaktadır. Bu anlamda bir özel nitelikli verinin hukuka uygun işlendiğinin kabulü için, o verinin doğru ve eğer gerekiyorsa güncel olması gerekmektedir[45]. Yine verilerin açık ve meşru amaçlar için işlenmesi, amaca bağlı, sınırlı ve ölçülü işlenmesi, mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmeleri gerekmektedir.

Belirtmek gerekir ki tüm temel hak ve özgürlüklerde olduğu gibi, özel nitelikli kişisel verilere ilişkin koruma mutlak değildir, diğer hak ve özgürlüklerde olduğu gibi sınırlanabilir. Bu sınırlamanın T.C. Anayasası’nın 13. maddesinde[46] belirtilen esaslara uygun olarak gerçekleştirilmesi gerekmektedir. Bu nedenle, özel nitelikli kişisel verilerin işlenmesinin tam olarak hangi durum ve şartlara uyularak gerçekleştirilebileceği Kanunda öngörülmüştür. Nitekim yaşam hakkı, ifade özgürlüğü, haberleşme özgürlüğü gibi birçok temel hak ve özgürlüğün kullanılması, özel nitelikli kişisel verilerin işlenmesini zorunlu kılmaktadır. Bu bakımdan, özel nitelikli kişisel verilerin işlenmesinin mutlak bir yasak olarak kabul edilmesi mümkün değildir.

Genel olarak özel nitelikli kişisel verilerin işlenme şartlarını 3 ana başlık altında toplayıp örneklendirmek mümkündür[47].

Bunlardan ilkini bir önceki başlıkta bahsedilen ilgili kişinin açık rızası oluşturur. Bu şartın kapsamı kişinin açık rızasının alınmış olmasıdır. Klinik araştırmalar kapsamında ilgili kişilerin rızasının alınmasını bu duruma örnek verebiliriz.

İkinci şartımızı kanun hükmü olarak belirtebiliriz. Bu şartın kapsamı da; sağlık ve cinsel hayat dışındaki kişisel veriler ilgili kişinin açık rızası aranmaksızın işlenebilir olduğudur. Vergi Kanunları, İş Kanunu, Türk Ticaret Kanunu vb. kanunlarda daha sıkı hassas veri işleme şartlarına yer verildiğini görmekteyiz. Çalışan personele ait sendikalılık bilgisinin özlük dosyasında mevzuat gereği tutulması durumu bu kapsamda verilebilecek en iyi örneklerden biridir.

Son şartımız ise kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı durumudur. Bu şartın kapsamı kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesi durumudur. Doktorun hastası hakkında işlediği sağlık verileri ise bu durumu örnekler niteliktedir.

Kişisel verilerin işlenebilmesi için KVKK m. 5, 6 ve 28’de öngörülen hukuka uygunluk sebeplerinden birinin gerçekleşmesi gerekli ve yeterlidir[48]. Söz konusu bu şartlar, birbirlerinden bağımsız nitelikte olup her biri kişisel verilerin işlenmesinin hukuka uygun hale gelmesi bakımından aynı düzeydedir. Ancak burada tartışmalara sebep olan husus, rıza dışındaki hukuka uygunluk sebeplerinden birinin varlığına rağmen ilgili kişinin rızasının alınmasının hukuka uygun sayılıp sayılmayacağıdır. Doktrinde savunulan bir görüşe göre rıza dışındaki diğer hukuka uygunluk hallerinin varlığına rağmen rızasının alınması, ilgili kişiyi yanıltacak ve yanlış yönlendirecek niteliktedir. Bu durumda alınacak rıza sadece gereksiz değil aynı zamanda aldatıcı ve hakkın kötüye kullanımı niteliğinde sayılacaktır. Zira böyle bir durumda açık rızasını geri alan ilgili kişide kişisel verilerinin hiçbir şekilde işlenmeyeceği algısı oluşmaktadır. Oysa ilgili kişi rızasını geri almasına rağmen kişisel verileri veri sorumlusu tarafından diğer hukuka uygunluk sebeplerine dayanılarak işlenmeye devam edebilecektir. Kanun’un lafzından ve amacından diğer hukuka uygunluk hallerinin varlığı halinde rızanın alınamayacağına ilişkin bir sonuca ulaşılamamaktadır. Önemine binaen bu husustan da bahsetmek gerektiğini düşünmekteyiz.

İlgili kişinin açık rızasının bulunmadığı bazı durumlarda da özel nitelikli kişisel verilerin işlenmesi mümkündür. Ancak, ilgili kişinin açık rızası olmadan bu verilerin işlenebileceği durumlar sağlık ve cinsel hayata ilişkin veriler ile diğer özel nitelikli kişisel veriler bakımından bir ayrıma tabi tutulmuştur.

A) Sağlık ve Cinsel Hayat Dışındaki Kişisel Verilerin İşlenmesinde Hukuka Uygunluk Sebepleri

6698 sayılı Kanun kapsamında sağlık ve cinsel hayata ilişkin veriler dışındaki özel nitelikli kişisel verilerin, ilgilinin açık rızası aranmaksızın işlenmesinin hukuka uygun kabul edilebilmesi için şu şartların birlikte gerçekleşmesi gerekmektedir:

- Kişilere ait kişilerin ırkına, etnik kökenine, siyasi düşüncelerine, felsefi inançlarına, dinine, mezhebine veya diğer inançlarına, kılık ve kıyafetine, dernek, vakıf ya da sendika üyeliğine, ceza mahkûmiyetine ve hakkında uygulanan güvenlik tedbirlerine veya biyometrik ve genetik özelliklerine dair bir veri olması,

- Bu verilerin açık rıza aranmaksızın işlenebileceğine dair bir hükmün kanunlarda öngörülmesi,

- Bu verilerin işlenmesine dair KVKK tarafından belirlenen yeterli önlemlerin alınmış olması.

B) Sağlık ve Cinsel Hayata İlişkin Kişisel Verilerin İşlenmesinde Hukuka Uygunluk Sebepleri

6698 sayılı Kanun kapsamında sağlık ve cinsel hayata ilişkin kişisel verilerin, ilgilinin açık rızası aranmaksızın işlenmesinin hukuka uygun kabul edilebilmesi için şu şartların birlikte gerçekleşmesi gerekmektedir:

- Sağlık veya cinsel hayata dair kişisel bir verinin olması,

- Bu verinin yasal mevzuat gereği sır saklama yükümlülüğü altında bulunan bir kişi veya kuruluş tarafından işlenmesi,

- Bu verinin, kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amaçlarından biri dâhilinde işlenmesi,

- Bu verilerin işlenmesine dair KVVK tarafından belirlenen yeterli önlemlerin alınmış olması.

Sağlık ve cinsel hayata dair verilerin işlenmesi bakımından bu şartlar aranmakla birlikte, bu şartların birlikte bulunması, kanunda düzenlenen “İşleme Yasağı”nı ortadan kaldırmaktadır, bu nedenle bu şartlarla birlikte, özel nitelikli kişisel verilerin işlenmesine dair ilkelere de uyulması gerekmektedir[49].

Sağlık ve cinsel hayata ilişkin verilerinin korunması, hukuka uygunluk hususunun incelendiği ve ihlallerle ilgili ne şekilde karar verilebildiği ile ilgili devletin gerekli önlemleri alması gerektiği, ihlal durumunda ise tazminat ödemekle yükümlü olduğuna ilişkin çok sayıda AİHM ve ulusal bağlamda da AYM kararı bulunmaktadır.

Avrupa İnsan Hakları Mahkemesi idari işleyişte kişisel verilerin gizliliğinin korunması noktasında devletin pozitif yükümlülükleri olduğunu kabul etmektedir. Mahkeme I/Finlandiya kararında kişisel verilere izinsiz erişilmesine karşın etkili ve somut bir koruma sağlanmasının gerekliliğini belirtmiş, somut olayda olduğu gibi sağlık verileri söz konusu olduğunda bu korumanın hayati değeri olduğunu vurgulamıştır. I/Finlandiya kararında, bir devlet hastanesinde hemşire olarak çalışan başvurucu, aynı hastanede kendisine konulan HIV-pozitif teşhisinin ilgili personel dışında, iş arkadaşları tarafından da biliniyor olmasından şikâyetçi olmuştur. Mahkeme, ulusal mevzuatın Sözleşmenin 8. maddesinde sağlanan verilerin açıklanmaması yönündeki güvenceleri karşılayacak korumayı sağlayamadığından Sözleşmenin 8. maddesinin ihlal edildiğine karar vermiştir[50].

AİHM, Z./ Finlandiya kararında, bir hastanın tıbbi verilerinin korunmasındaki menfaatinin suçun soruşturulması ve kavuşturulması ile yargılamanın aleniliği ile korunmak istenen menfaatlere baskın geldiğini kabul etmiştir. Söz konusu davada, HIV hastası olan başvurucu hastalığı ve kimliği hakkındaki bilgilerin temyiz mahkemesi tarafından verilen kararda açıklanmasından şikâyetçidir. Mahkeme, AİHS’in 8. Maddesinin ihlal edildiğine karar vermiştir. Mahkeme, yargıya duyulan güvenin korunması için yargılamanın aleni olarak yapılması, dolayısıyla kamunun kişisel verilere erişimi konusunda Devletin bir takdir marjının olduğunu kabul etmekle birlikte, bunun kapsamının söz konusu verilerin niteliği ve müdahalenin ciddiyetine bağlı olduğunun altını çizmiştir. Kararda söz konusu bilgilerin yayımlanmasında hiçbir haklı gerekçe bulunmadığı, özellikle sağlık verilerinin gizli olması gerektiği ve bu ilkenin AİHS’e taraf olan tüm devletlerde oldukça önemli bir ilke olduğunu belirtildikten sonra kişisel sağlık verilerinin ifşa edilmesini engelleyici tedbirlerin alınması gerektiği ifade edilmiştir. Dolayısıyla, devletin sağlık verilerinin korunması konusundaki pozitif yükümlülüklerine dikkat çekilmiştir. Sağlık verilerine ilişkin bu hassasiyet, söz konusu verilerin niteliğinden ve açıklanmasının sakıncalarından kaynaklanmaktadır. Bu kapsamda, sağlık verileri, genel olarak kişisel bir veri olarak değil, özel ve aile hayatını önemli ölçüde etkileyen hassas bir veri olarak korunmaktadır[51].

AİHM, Panteleyenko/Ukrayna kararında davaya bakmakta olan hâkimin ruh ve sinir hastalıkları hastanesinden başvuranın ruhsal sağlığına ilişkin bilgileri alıp bunları duruşma sırasında açıklaması ile ilgili olarak, söz konusu verilerin davanın neticesini etkilememesi, bir araştırma, duruşma öncesi soruşturma ya da soruşturma için önemli bir bilgi olmaması, dolayısıyla gereksiz bir bilgi olmasını da dikkate alarak Sözleşme’nin 8. maddesinin ihlal edildiğine hükmetmiştir. L.L. Fransa kararında da dava dosyasında sağlık verilerine yer verilmesiyle kişisel verilerin alenileştirilmiş olacağı ifade edilmiştir[52].

Anayasa Mahkemesi de, dava dosyasında kişisel verileri yer aldığı için gizlilik talep eden başvurucunun bu talebinin karşılanmamasını özel hayata saygı hakkının ihlali olarak görmüştür. Söz konusu B.K Başvurusu’nda başvurucu, hatalı tedavi uygulaması nedeniyle operasyonu gerçekleştiren doktor aleyhine açmış olduğu tazminat davasında mahrem yerlerine ilişkin fotoğrafları delil olarak sunduğunu belirterek söz konusu belgeler hakkında gizlilik kararı verilmesini talep etmiştir. Kararda kamusal makamların hem gerekli önlemleri almak hem de koruma sağlamakla yükümlü oldukları; gerekli yapısal önlemler alınmasına rağmen davayı yürüten mahkemenin bireylerin korunmasını sağlamadığı durumlarda bu yükümlülükleri gereği gibi yerine getirmemiş olacağı ifade edilmiştir[53].

Avrupa İnsan Hakları Mahkemesi’nin sağlık verilerinin kamu kurum ve kuruluşları arasında paylaşılmasına ilişkin M.S./ İsviçre kararına göre de, kişisel verilerin korunması hakkına, öngörülebilir yasal bir dayanağı olması ve diğer şartları sağlaması halinde müdahale edilebilmesi mümkündür. Söz konusu başvuru, İsviçre Sosyal Sigorta Bürosu’ndan sakatlık aylığı bağlanması isteminde bulunan M.S.’nin, kürtaj da dahil özel nitelikte kabul edilen sağlık verilerinin kamu kurumu niteliğindeki bir klinik tarafından Sosyal Sigorta Bürosu ile paylaşılmasına ilişkindir. Mahkeme, somut olayda ülkenin ekonomik refahının korunması meşru amacıyla yapılan müdahalenin tazminat talebi ile ilgili karar verilmesi bakımından da gerekli olduğu gerekçesiyle özel hayata saygı hakkının ihlal edilmediğine karar vermiştir. Mahkemeye göre, alınan önlem, Büro’nun söz konusu bilgileri isteme yükümlülüğü altında olduğu ve kliniğin de bu bilgileri verme zorunluluğu olduğu açıkça belirtilen İsveç kanununun öngörülebilir bir biçimde uygulanmasıdır. Mahkeme’nin hak ihlali olmadığına yönelik bu kararında müdahalenin öngörülebilir bir dayanağının olması ve İsveç hukukunda tıbbi verilerin kamu kuruluşları arasındaki dolaşımının güvenceli biçimde düzenlenmiş olması rol oynamıştır. Söz konusu bilgilerin klinik tarafından Büro’ya bildirilmesi, Sigorta Kanunu’na göre ancak Büro’nun talepte bulunması ve istenen bilginin Sigorta Kanunu’nun uygulanması açısından önemli olması durumunda geçerlidir. Bu bağlamda, verilerin kamuya açıklanmadığının, Büro’da gizli olarak saklandığının da altı çizilmiştir[54]. Karardan da anlaşılacağı üzere, söz konusu olan özel nitelikli veriler de olsa bu verilerin kurumlar arasında ilgilinin rızası olmadan paylaşılabilmesi mümkündür. Bu noktada önemli olan husus, söz konusu veri aktarımı bakımından yeterli güvencenin sağlanmış olması ve bunun demokratik toplumda gerekli olmasıdır.

Nitekim Mahkeme, sağlık verilerinin paylaşılmasına ilişkin Avilkina ve Diğerleri kararında, müdahalenin bu şartları taşımaması nedeniyle özel hayata saygı hakkını ihlal ettiğine karar vermiştir. Bu kararın konusu da yine tıbbi verilerin açıklanmasıdır; ancak karar, verilerin paylaşılacağı makamın savcılık olması yönüyle önceki karardan ayrılmaktadır. Dolayısıyla kararda kamu kurumlarının adli makamlarla yapacakları veri paylaşımları ile ilgili önemli bazı kurallara da yer verilmiştir. Somut başvuru, Yehova Şahitleri inancına mensup olan başvuranların kan naklini reddetmeleriyle ilgili sağlık kayıtlarının rızaları olmadan ifşa edilmesi ve buna karşı iç hukukta açılan davada yerel mahkemelerin söz konusu uygulamayı hukuka uygun bulmasıyla ilgilidir. Öncelikle belirtmek gerekir ki Mahkeme, iç hukukta kişisel verilerin savcılık makamı ile paylaşılmasına imkân veren hükümlerin olduğunu kabul etmekle birlikte başvuranların bu hükümlerin geniş farklı yorumlara açık oldukça genel ifadeler içerdiğine yönelik iddialarını da dikkate almıştır. Buna ilişkin olarak iç hukukun kişisel verilerin uygun olmayan şekillerde, keyfi ve yetki aşımı yapılarak kullanılmasına karşı güvenceler içermesi gerektiğini hatırlatan Mahkeme, yine de meselenin demokratik toplumda gereklilik bağlamında incelenmesi gerektiğini, dolayısıyla söz konusu hükümlerin kanun kalitesine sahip olup olmadıklarının değerlendirilmesine gerek olmadığını ifade etmiştir. Buna göre, somut davada başvuranlar herhangi bir ceza soruşturması kapsamında şüpheli veya sanık konumunda olmayıp, savcılık yalnızca dini bir örgütün faaliyetleri hakkında kendisine yapılan şikâyetler doğrultusunda ön inceleme yapmaktadır. Üstelik başvuranların davranışları hakkında ilgili sağlık kuruluşları tarafından herhangi bir suç ihbarında da bulunulmamıştır. Başvuranların gizli sağlık bilgilerinin açıklanmasını gerektirecek acil bir toplumsal gereksinim bulunmadığı halde savcılık, önceden başvuranların rızalarını almayı denemek veya konuyla ilgili ifadelerine başvurmak yerine, başvuranlara bilgi ve itiraz imkânı vermeksizin sağlık durumuyla ilgili gizli belgeleri açıklamayı tercih etmiştir. Dolayısıyla, Sözleşme’nin 8. maddesinin gerektirdiği güvencelerin sağlanamadığından özel hayata saygı hakkı ihlal edilmiştir[55].

Kanunda sağlık hizmetinin sağlanması açısından geçerli olan bazı veri türlerinin işlenmesine istisna getirilmiş ve bu istisna sadece sır saklama yükümlülüğüne tabi olan kişiler ile sınırlandırılmıştır. Örneklendirmek gerekirse; bir kişinin, A hastanesinde tansiyon tedavisi, B hastanesinde ise kalp rahatsızlığı tedavisi gördüğü bir durumda, kalp rahatsızlığı nedeniyle ameliyat olması gereken hasta hakkında bu iki hastane doktorunun sağlık verilerini birbirlerine aktarmasından bahsedebiliriz. Kanun’un 6. maddesinin 4. fıkrası gereği özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.

1. Kamu Sağlığının Korunması

Kamu sağlığı tüm nüfusun sağlığını korumaya odaklanan bir kavram olup, kamu sağlığı kapsamında bir hastalık veya yaralanmanın iyileştirilmesi değil, eğitim politikaları geliştirilerek, uygulanarak, hizmetler yönetilip, araştırmalar yapılarak sağlık sorunlarının oluşmasının ve yeniden ortaya çıkmasının önlenmesi amaçlanmaktadır. Kamu sağlığının araçları, sağlık bakım faaliyetleri, sağlık geliştirme faaliyetleri ve tedavi faaliyetleri olup, bu araçlar diğer veri işleme amaçlarını kapsayıcı bir özelliğe sahiptir[56].

6698 sayılı Kanun kapsamında, kamu sağlığının korunması amacıyla sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler ilgilinin açık rızası aranmaksızın işlenebilecektir. Bu hususta bir uygulama örneği vermek gerekirse, sağlık ocağında görev yapan bir hekim, sağlık ocağı görev bölgesinde yaşayan çocukların çoğunun çiçek aşısı olmadığını tespit edip, kamu sağlığının korunması adına çiçek aşısı olmayan çocukların bilgilerini İl Sağlık Müdürlüğü’ne bildirir ve bu bilgilerin kayıt altına alınmasını sağlarsa, bu veri işleme faaliyeti 6698 sayılı Kanun’un 6/f.3 madde hükmü anlamında hukuka uygun olacaktır[57].

2. Koruyucu Hekimlik

Koruyucu hekimlik, bir hastalığın seyrinin herhangi bir aşamasında ilerlemesini sınırlayan tüm önlemleri içerir. Bir başka deyişle koruyucu hekimlik yaklaşımı, birey düzeyinden ziyade toplum düzeyinde bir yaklaşım olup, klinik hekimliğe ihtiyaç olacak evreye gelmeden, yani daha risk düzeyindeyken hastalıkların önlenmesine ilişkin faaliyetlerini içerir[58]. Sağlık kurum ve kuruluşları tarafından bizzat veya görev devri yoluyla yapılan aşılamalar, insan ve çevrenin temizliği, temiz su temini, kanalizasyon, sağlıklı evlerin kullanılmasının teşviki, sağlıklı ve dengeli beslenme aktiviteleri, çevre, hava, su ve gürültü kirliliği ile mücadele, şehircilik ve alt yapı çalışmaları, sağlık eğitim faaliyetleri, toplu yaşanan okul, yurt, kışla, pansiyon, cezaevi gibi yerlerde alınacak hijyenik tedbirler, sağlık taramaları da koruyucu hekimlik faaliyetleridir[59].

6698 sayılı Kanun kapsamında, sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler, koruyucu hekimlik amacıyla ilgilinin açık rızası aranmaksızın işlenebilecektir.

3. Tıbbi Teşhis, Tedavi ve Bakım Hizmetlerinin Yürütülmesi

Tıbbi teşhis, bir hastalığın ne olduğunun (tanısının) ortaya koyulmasını ifade eder. Tedavi hizmetleri, hastalıktan korunmayı, hastalığın teşhisini ve sonradan bakımı da içine alan bir kavramdır[60]. Bu anlamda tıbbi müdahale, yazar Hakeri tarafından insan üzerinde tıp biliminin uygulanması ile bağlantılı olarak yapılan her türlü müdahale olarak tanımlanmıştır[61]. Tıbbi bakım hizmetleri ise, bir hekim tarafından, sağlığın korunması, hastalığın önlenmesi ve hastalığın ya da yaralanmanın tedavisi ile hizmetlerin sağlanmasını ifade eder.

6698 sayılı Kanun kapsamında, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi amaçlarıyla sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler ilgilinin açık rızası aranmaksızın işlenebilecektir. Bir uygulama örneği vermek gerekirse, bir psikiyatr olan A’ya psikiyatrik görüşme için gelen B, bu görüşmede kendisinin lösemi hastası olduğunu, ancak ölmek istediği için tedavi olmayacağını, bunu eşinin karşı çıkacağını bildiği için eşine söylemediğini beyan etmesi üzerine, A, B’nin hastalık durumuna dair bu özel nitelikli kişisel veriyi, B’nin eşine B’nin tedavisinin sağlanabilmesini için aktarırsa, bu veri işleme faaliyeti 6698 sayılı Kanun anlamında hukuka uygun sayılabilecektir[62].

4. Sağlık Hizmetleri ile Finansmanının Planlanması ve Yönetimi

Sağlık hizmetleri, kişileri koruyucu, hastalıkları iyileştirici ve kişileri rehabilite edici hizmetlerdir[63]. Bir başka deyişle, sağlık hizmetleri, hastalığın öncesinden, başlangıcına, başlangıcından sona ermesi ve sonraki döneme ait yapılan faaliyetlerin tümünü ifade eder. Sağlık hizmetlerinin doğru bir şekilde yürütülmesinin yolu, sağlığın finansmanının planlanması ve yönetiminden geçer[64]. Sağlık hizmetleri finanse edilmezse, o ülkede sağlık hizmetlerinin icra edilebilirliğinden bahsedilemez.

6698 sayılı Kanun kapsamında, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amaçlarıyla sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler ilgilinin açık rızası aranmaksızın işlenebilecektir. Sır saklama yükümlülüğü altında bulunan kurum ve kuruluşlardan, örneğin Sağlık Bakanlığı’na bağlı özel bir hastane, hastalarına ait cinsel hayatlarına veya sağlıklarına dair bilgilerini, sağlık hizmetleri ile sağlık hizmetlerinin finansmanı, planlanması ve yönetimi amaçlarıyla hastaların açık rızası olmaksızın işleyebilecektir[65].

III. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİ İŞLEYEBİLECEK KİŞİLER

A) Sağlık ve Cinsel Hayat Dışındaki Kişisel Veriler Bakımından

6698 sayılı Kanun kapsamında, tahdidi nitelikte sayılan, sağlık ve cinsel hayata ilişkin veriler dışındaki, kişilere ait kişilerin ırkına, etnik kökenine, siyasi düşüncelerine, felsefi inançlarına, dinine, mezhebine veya diğer inançlarına dair verilerle, kılık ve kıyafetine, dernek, vakıf ya da sendika üyeliğine dair verileri, yine ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri ancak kanunlarda öngörülmesi halinde işlenebilecektir.

Sağlık ve cinsel hayata dair veriler dışındaki özel nitelikli kişisel verilerin işlenmesi bakımından bu şartlar aranmakla birlikte, bu şartların birlikte bulunması, kanunda düzenlenen “işleme yasağı”nı ortadan kaldırmaktadır, bu nedenle bu şartlarla birlikte, özel nitelikli kişisel verilerin işlenmesine dair ilkelere de uyulması gerekmektedir[66]. Bu şartların sağlanması halinde sağlık ve cinsel hayat dışındaki kişisel verileri kanunla öngörülen ve işleme yetkisi verilenler işleyebilecektir. 4857 sayılı İş Kanunu’nun 75’inci madde hükmü gereğince, “İşveren çalıştırdığı her işçi için bir özlük dosyası düzenler. İşveren bxu dosyada, işçinin kimlik bilgilerinin yanında, bu Kanun ve diğer kanunlar uyarınca düzenlemek zorunda olduğu her türlü belge ve kayıtları saklamak ve bunları istendiği zaman yetkili memur ve mercilere göstermek zorundadır. İşveren, işçi hakkında edindiği bilgileri dürüstlük kuralları ve hukuka uygun olarak kullanmak ve gizli kalmasında işçinin haklı çıkarı bulunan bilgileri açıklamamakla yükümlüdür.” İşverenin özlük dosyası tutma ve sır saklama yükümlülüğünün düzenlendiği bu hükümde, işverenin, işçinin açık rızası aranmaksızın işçiye ait kişisel verileri, özlük dosyasında işleyebileceği düzenlenmiştir[67]. Örneğin, Yargıtay verdiği bir kararda, gizli kalmasında işçinin haklı çıkarı bulunan bilgilerin açıklanmaması gerektiği, eldeki davadaki özlük dosyasının, işçinin yeni işverenine gönderilmesi nedeniyle davacının manevi yönden etkilendiğinin açık olduğu ve işçinin kişilik haklarının zarar gördüğü gerekçeleriyle karar vermiştir[68].

Özlük dosyaları işçilere ait kişisel veri teşkil edebilecek birçok bilgiyi içerebilmekte olup, bu bilgilerin işçinin açık rızası aranmaksızın özlük dosyasına işlenebileceği mümkün olmakla birlikte, bu verilerin başkalarıyla paylaşılması kişilik haklarına aykırılık teşkil edebileceği gibi, 6698 sayılı Kanun’a aykırılık da teşkil edebilecektir.

Benzer şekilde Nüfus Hizmetleri Kanunu’nda, Sosyal Güvenlik Kurumuna İlişkin Bazı Düzenlemeler Hakkında Kanun’da, Elektronik Haberleşme Kanunu’nda, Kimlik Bildirme Kanunu’nda ve de diğer mevzuatların çeşitli alanlarında olmak üzere, sağlık ve cinsel hayata ilişkin veriler dışında özel nitelikli kişisel veri teşkil edebilecek birçok verinin, veri sahiplerinin rızası aranmaksızın işlenebileceği birçok hal düzenlenmiştir.

B) Sağlık ve Cinsel Hayata İlişkin Kişisel Veriler Bakımından

6698 sayılı Kanun’un 6/3. maddesinde sevk edildiği üzere sağlık ve cinsel hayata ilişkin kişisel veriler ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.

1. Sır Saklama Yükümlülüğü Altında Bulunan Kişiler

Sağlık ve cinsel hayata ilişkin kişisel verilerin açık rıza aranmaksızın işlenebilmesinin kanun nazarında kabulü için en önemli şart, bu verinin sır saklama yükümlülüğü altında bulunan kişiler veya kuruluşlar tarafından işlenmesidir[69].

Yasal mevzuatımız tarafından çeşitli meslek erbaplarına ve kuruluşlara, sözleşmeyle, kanunla veya sair düzenlemelerle vakıf olduğu sırların korunması hususunda bir yükümlülük yüklenmiştir. Bu yükümlülüğe sır saklama yükümlülüğü adı verilmektedir[70]. 6698 sayılı Kanun kapsamında, sağlık ve cinsel hayata ilişkin verilerin sır saklama yükümlülüğü altında bulunan kişiler tarafından sağlık alanında birtakım amaçlar için işlenmesi halinde, ilgilinin açık rızası olmaksızın özel nitelikli kişisel verilerin işlenmesine dair yasak ortadan kalkacaktır.

Türk Hukuku açısından bir çok mevzuatta sır saklama yükümlülüğü altında bulunan kişiler mesleki anlamda sayılmıştır. Veri işleyenin ve veri sorumlusunun, hekimlerin ve yanında çalışan kişilerin, avukatların ve yanında çalışan kişilerin, bankaların, işçi ve işverenin[71] vb. şekilde mevzuatlarda öngörülen diğer kişiler sır saklama yükümlüsüdür. Çalışmamız açısından sağlık ve cinsel hayata ilişkin kişisel veriler açısından sır saklama yükümlüsü olan hekimlerden ayrıca bahsedilmesinde yarar bulunmaktadır.

Hekimlerin sır saklamaya yükümlülüğüne konu sır türü “meslek sırrı” olarak değerlendirilebilecektir. Zira hekimler hastalarına ait sır teşkil eden bilgileri meslekleri vesilesiyle öğrenmektedir. Hekimin saklamakla yükümlü olduğu sır, meslek sırrı olduğundan, bu sırrın hekimlik mesleği ile doğrudan ilgili olması, sırrın hekimlik mesleğinin icrası sırasında tevdi edilmesi veya öğrenilmesi gerekmektedir[72]. Burada korunan sır, doktorun veya yanında çalışan kişinin sırrı değil, bizatihi hastanın sırrı olup, bu sır hasta çıkarlarının söz konusu olduğu ve açıklanması durumunda hastaya maddi veya manevi olarak zarar verebilecek her şeydir[73]. Hekimin sır saklama yükümlülüğü, hastanın sağlıklı geleceğinin güvencesidir. Zira hekimin hastanın hastalığı hususunda doğru tedaviyi uygulayabilmesinin koşulu, hastanın, hekime, sırlarının korunacağı mülahazasıyla, hastalığı, sıkıntıları ve dertleri ile ilgili her tür bilgiyi aktarmasıdır[74]. Bu nedenledir ki, bu mülahaza, 6698 sayılı Kanun tarafından özel nitelikli sağlık ve cinsel hayat verilerinin ancak sır saklama yükümlülüğü altında bulunan kişiler tarafından işlenebilmesi kuralına hayat vermiştir[75].

2. Yetkili Kurum ve Kuruluşlar

6698 sayılı Kanun’da yetkili kurum ve kuruluşlarla ilgili net bir tanım bulunmamaktadır. Yasal düzenlemelerde hangi kurum kuruluşların hangi verileri işleyebilecekleri açıkça düzenlenmiştir. Bu yetki bu kuruluşlara kanunla tanınmıştır. Sağlık Bakanlığı’na bağlı hastanelerin ilgili hastalarına ait verileri işleyebilmesi, polikliniklerin ve muayenehanelerin yine hastalarına ilişkin verileri işlemesi örnek niteliğinde sayılabilecektir.

IV. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİNDE KURUL TARAFINDAN BELİRLENEN YETERLİ ÖNLEMLER

A) Özel Nitelikli Kişisel Verilerin İşlenmesinde Yeterli Önlemler

Özel nitelikli kişisel veriler, ilgilinin açık rızası aransın veya aranmasın ve özel nitelikli kişisel verinin türü ne olursa olsun ancak Kişisel Verileri Koruma Kurumu tarafından belirlenen yeterli önlemler alınmışsa işlenebilecektir[76].

Özel nitelikli kişisel verilerin işlenmesi için, Kurul tarafından belirlenen yeterli önlemlerin alınması zorunluluğu kaynağını kişisel veri koruma hukukuna dair birçok düzenlemeden almakta ve birçok düzenlemenin amacını gerçekleştirmektedir. Veri güvenliğinin sağlanabilmesi de yeterli önlemlerin alınması ve uygulanması ile gerçekleşebilecektir. Nitekim özel nitelikli kişisel verilerin diğer verilerden farklı olarak ayrıca korunması ve sıkı şartlar altında işlenebilmesi, bu veriler hakkında başkaca koruma tedbirlerinin alınmasını zaruri kılmaktadır.

B) Kişisel Verileri Koruma Kurulu’nun 31/01/2018 Tarih 2018/10 Sayılı Kararı

Kişisel Verileri Koruma Kurulu tarafından alınan 31/01/2018 Tarihli ve 2018/10 sayılı karar ile özel nitelikli kişisel verilerin işlenmesi için alınması gereken önlemler belirlenmiştir[77]. Bu önlemler; özel nitelikli kişisel veriler için güvenlik politikası belirlenmesi, özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanların yetki, denetim ve görevlerine ilişkin sınırlamaların belirlenmesi, elektronik ve fiziksel ortamda işlenen özel nitelikli kişisel verilere ilişkin ortam güvenliğinin sağlanması, özel nitelikli kişisel verilerin aktarılmasına ilişkin özel önlemlerin belirlenmesi ve teknik ve idari tedbirler olmak üzere düzenlenmiştir. Kurul’un vermiş olduğu bu karar Resmi Gazete’de yayınlanmıştır.

Özel nitelikli kişisel verilerin işlenebilmesi için 6698 sayılı Kanun’un 6/4. maddesinde bahsedilen Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.

SONUÇ

Bu çalışmada, özel nitelikli kişisel verilerin işlenme şartları ve özellikle bu verilerin işlenmesinde rıza dışındaki hukuka uygunluk sebepleri hakkında bilgi verilmesi amaçlanmıştır. Dünyada ve ülkemizde son yılların en gözde konularından birisi olan kişisel veriler arasında fark edilen özel nitelikli kişisel verilere oldukça ilgi duyulmakta, buna rağmen bu verilerin işlenmesinde uygulamada bazı yanlışlar da yapılmaktadır. Yaşanan gecikmelere rağmen yürürlüğe giren KVKK, ülkemiz için bir dönüm noktası olmakla birlikte yapılan düzenlemeler hala istenildiği noktaya ulaşamamıştır.

KVKK, çoğu açıdan AB’deki muadili mülga 95/46/EC ve yürürlükteki GDPR ile aynı doğrultudadır. Kişisel verilerin hukuka uygun olarak işlenebilmesi için KVKK’nın 5 ve 6. maddelerinde öngörülen hukuka uygunluk nedenlerinden birisinin gerçekleşmesi gerekmektedir. Yukarıda anlatıldığı gibi veri işlerken, veri işleyenlerin ve veri sorumlularının özel nitelikli kişisel verileri işlerken uyması gereken hükümler mevcuttur. Özel nitelikli kişisel veri işlemeye dair en önemli husus, ilgili kişinin açık rızasını almaktır. Mevcut durumun, KVKK’nın altıncı maddesinde yer alan bir istisnalara girmemesi durumunda, özel nitelikli kişisel verilerin işlenmesi için açık rıza elzemdir. Ancak açık rıza dışında da hukuka uygunluk sebeplerinin KVKK’nın 6. maddesinde düzenlendiğini unutmamak gerekmektedir. Yine Kurul tarafından alınabilecek yeterli önlemler, bilgi güvenliğinin üç ayağı olan kullanılabilirlik, gizlilik ve bütünlük ilkeleriyle de uyumlu olmalıdır.

Mevzuatımıza 1981 yılında 108 sayılı Sözleşme’nin imzalanmasıyla giren, yerini ancak 2016 yılında 6698 sayılı Kanun’un kabul edilmesiyle bulan kişisel verilerin korunması hukuku, çağımızı etkileyen ve gelecek çağları da etkileyecek olan önemli bir aydınlanmanın ürünüdür[78]. 6698 sayılı Kanun henüz emekleme aşamasında olmakla birlikte elbette eksiklikleri olan bir kanundur. Ancak kişisel verilerin korunması bilinci, birçok büyük şirketin ve işletmenin, kanuna uygun güvenlik politikaları belirlemesi, Kurum’un da bu kapsamda aydınlatıcı birçok rehber yayınlaması ile birlikte yavaş yavaş gelişmeye başlamıştır. Bu nispetle, mahkemeler ve Kişisel Verileri Koruma Kurumu, verdikleri kararlar ve geliştirdikleri içtihatlarla, bu alanda akademik çalışmalar yapan kesim ise bu alanda yapılması gereken değişiklikleri ve göz ardı edilen eksiklikleri muhataplarına bildirmekle, kişisel verilerin korunmasına dair inancın ve bilincin yerleşmesine yardımcı olacaktır.

KAYNAKÇA

AKDAĞ, Hale, Türk Ceza Kanunu Kapsamında Kişisel Verilerin Korunması, Ankara, 2013.

AKDUR, Recep, Türkiye’de Sağlık Hizmetleri ve Avrupa Topluluğu Ülkeleri ile Kıyaslanması, 3. B., Ankara, 2000.

AKGÜL, Aydın, “Danıştay Kararları Işığında Kişisel Sağlık Verilerin Korunması”, Danıştay Dergisi, (133), 2013, s. 21-45.

AKGÜL, Aydın, Danıştay ve Avrupa İnsan Hakları Mahkemesi Kararları Işığında Kişisel Verilerin Korunması, 1. B., İstanbul, 2014.

AKİPEK, Jale; AKINTÜRK, Turgut; ATEŞ, Derya, Türk Medeni Kanunu Başlangıç Hükümleri Kişiler Hukuku, C. 1, 14. B., İstanbul, 2018.

AKSOY, Hüseyin Can, Medeni Hukuk ve Özellikle Kişilik Hakkı Yönünden Kişisel Verilerin Korunması, Ankara, 2010.

ANI, Nevzat Ali, Kişisel Verilerin İşlenmesi ve Açık Rıza, (Yayımlanmamış Yüksek Lisans Tezi), İstanbul, 2018.

AVCI, Yasemin, Kişisel Verilerin Korunması, (Yayımlanmamış Yüksek Lisans Tezi), Konya 2019.

AYDIN, Alperen Mehmet, Public Health, Human Capital And Economic Growth: The Case Of Turkey, (Yayımlanmamış Yüksek Lisans Tezi), İstanbul, 2009.

AYÖZGER, Ayşe Çiğdem, Elektronik Haberleşme Sektöründe Kişisel Verilerin Korunması, (Yayınlanmamış Doktora Tezi), İstanbul, 2016.

BASAN, Nuri Mehmet, BİLİR, Nazmi, “Koruyucu Sağlık Hizmetlerinde Önleme Çelişkisi ve Nedenleri”, TAF Preventive Medicine Bulletin, C. XV, No:1, 2016, s. 44-50.

BAŞALP, Nilgün, Kişisel Verilerin Korunması ve Saklanması, Ankara, 2004.

BİRTEK, Fatih, Ceza Hukuku (Genel Hükümler) Temel Bilgiler, 6. B., Ankara, 2018.

ÇAKAN, Cansu, “Kişilik Hakkı Kapsamında Korunan Bir Değer Olarak Kişisel Veriler”, Maltepe Üniversitesi Hukuk Fakültesi Dergisi, S. 2, 2013, s. 187-222.

ÇELİKEL, Serdar, “Kişisel Verilerin İşlenmesinde, Açık Rıza Hukuka Uygunluk Nedeninin, 95/46 Sayılı Direktif ve GDPR’la Karşılaştırmalı Olarak İncelenmesi”, Uyuşmazlık Mahkemesi Dergisi, S. 17, 2021, s. 161-190.

DEVELİOĞLU, Hüseyin Murat, 6698 Sayılı Kişisel Verilerin Korunması Kanunu İle Karşılaştırmalı Olarak Avrupa Birliği Genel Veri Koruma Tüzüğü Uyarınca Kişisel Verilerin Korunması Hukuku, İstanbul, Aralık, 2017.

DURAL, Mustafa; ÖĞÜZ, Tufan, Türk Özel Hukuku Cilt II Kişiler Hukuku, 19. B., İstanbul, 2018.

DÜLGER, Murat Volkan, Kişisel Verilerin Korunması ve İnternet İletişimi Mevzuatı, 4. B., İstanbul, 2018.

ERDİNÇ, Göksu Hazar, Bilgi Güvenliği, Kişisel Verilerin Korunması ve Biyometrik Verilerin İşlenmesine İlişkin Öneriler, (Yayımlanmamış Yüksek Lisans Tezi), İstanbul Teknik Üniversitesi Bilişim Enstitüsü, İstanbul, 2017.

FİŞEK, Nusret, “Sağlık Hizmetleri ve İşçi Sağlığı Ailelerinin Sağlık Sorunları”, Modern Yönetim Semineri, Türk-İş Yayınları, No: 144, 1982.

GÜVEN, Bilhan, Hasta Bilgilerinin Gizliliği Prensibi, (Yayımlanmamış Yüksek Lisans Tezi), İstanbul, 2010.

HAKERİ, Hakan, Tıp Hukuku, 15. B., Ankara, 2019.

HENKOĞLU, Türkay, Bilgi Güvenliği ve Kişisel Verilerin Korunması, Ankara, 2015.

KARASU, Sinem, Hekimin Sır Saklama Yükümlülüğü, İstanbul, 2009.

KAYA, Cemil, “Avrupa Birliği Veri Koruma Direktifi Ekseninde Hassas (Kişisel) Veriler ve İşlenmesi”, İstanbul Üniversitesi Hukuk Fakültesi Mecmuası, C. LXIX, S. 1-2, 2011, s. 317-334.

KESER BERBER, Leyla; LOSTAR, Murat, Bilişimde Biyometrik Yöntemler, Ankara, 2006.

KILINÇ, Doğan, “Anayasal Bir Hak Olarak Kişisel Verilerin Korunması”, AÜHFD, 61(3), 2012, s. 1089-1170.

Kişisel Verilerin Korunması Kanununa İlişkin Uygulama Rehberi, KVKK Yayınları, Mart 2018.

KOCA, Mahmut; ÜZÜLMEZ, İlhan, Türk Ceza Hukuku Genel Hükümler, 10. B., Ankara, 2017.

KORKMAZ, İbrahim, “Kişisel Verilerin Korunması Kanunu Hakkında Bir Değerlendirme”, TBB Dergisi, 2016 (124), s. 81-152.

KÜZECİ, Elif, Kişisel Verilerin Korunması, 4. B., İstanbul, 2020.

OĞUZMAN, M. Kemal; SELİÇİ, Özer; OKTAY ÖZDEMİR, Saibe, Kişiler Hukuku (Gerçek ve Tüzel Kişiler), 17. B., İstanbul, 2018.

ÖZDEMİR, Hayrunnissa, Elektronik Haberleşme Alanında Kişisel Verilerin Özel Hukuk Hükümlerine Gore Korunması, Ankara, 2009.

SARIHASAN ARKUN, Büşra, İş Hukukunda İşçinin Sır Saklama Yükümlülüğü, (Yayımlanmamış Yüksek Lisans Tezi), İstanbul, 2010.

SEFER, Oğuz, “Kişisel Verilerin Korunması Hukukunun Genel İlkeleri”, BEYDER, 13(2), 2018, s. 121-138.

SEROZAN, Rona, Medeni Hukuk, Genel Bölüm/Kişiler Hukuku, 8. B., İstanbul, 2018.

ŞENER, Gülnihal Emine, “Kişisel Verilerin Hukuka Aykırı Olarak Kaydedilmesi Suçu”, Adalet Dergisi, (39), 2011, s. 72-86.

TAŞATAN, Caner, Hekimin Kayıt Tutma Yükümlülüğü Kapsamında Tıbbi Kayıtlar, İstanbul, 2017.

TAŞTAN, Furkan Güven, Türk Sözleşme Hukukunda Kişisel Verilerin Korunması, 2. B., 2017.

TEZCAN, Durmuş; ERDEM, Mustafa Ruhan; SANCAKDAR, Oğuz; ÖNOK, Rıfat Murat, İnsan Hakları El Kitabı, 6. B., Ankara, 2016.

TÜRKMEN, Sevgi, Özel Nitelikli Kişisel Verilerin İşlenmesinde Açık Rızanın Aranmadığı Haller, İstanbul, 2019.

UNCULAR, Selin, İş İlişkisinde İşçinin Kişisel Verilerinin Korunması, Ankara, 2018.

UYGUN, Murat, Avrupa Birliği’nin 95/46 Sayılı Veri Koruma Yönergesi Işığında Kişisel Verilerin Korunması, (Yayımlanmamış Yüksek Lisans Tezi), Ankara, 2010.

YÜCEDAĞ, Nafiye, “Medeni Hukuk Açısından Kişisel Verilerin Korunması Kanununun Uygulama Alanı ve Genel Hukuka Uygunluk Sebepleri”, İÜHFM, Cilt: LXXV, Sayı: 2, Yıl: 2017, s. 765-790.

ZEYBEK ÜNSAL, Çağrı, “Google’ın Yeni Gizlilik Politikası Google Inc. Tarafından 1 Marta 2012 Tarihinde Yayınlanan Politikasının Kişisel Verilerin Korunması ile Uyumluluğu ve Avrupa Birliğinin 95/46/EC Sayılı Veri Koruma Direktifi Açısından Değerlendirilmesi”, Hacettepe Üniversitesi Hukuk Fakültesi Dergisi, 3(1), 2013, s. 99-124.