Kişisel veri, kısaca, belirli veya belirlenebilir bir kişiyle ilgili her türlü bilgiyi ifade eder. Örneğin bir kişinin kimlik, iletişim, sağlık ve mali bilgileri ile dini inancına dair bilgi birer kişisel veridir. Kişisel veriler üzerinde ilgili kişilerin bir hakkı bulunur. Bu, Federal Alman Anayasa Mahkemesi'nin 1983 tarihli meşhur Nüfus Sayımı (Census) kararında belirtilmiştir. Kişisel veriler üzerinde ilgili kişilerin bir hakkı bulunması, ilgililere bu haklarının korunmasını talep etme hakkı verir. Kişisel verilerin korunması konusu ise hukukta “veri koruma” (data protection) tabiri ile ifade edilir.
Kişisel verilerin kanunla korunması yeni bir gelişme midir? Tabiki hayır. Zira Dünya üzerindeki devletlere baktığımızda ilk defa 1970 yılında Almanya'nın Hessen Eyaletinde kişisel verilerin korunması kanununun kabul edildiği, 1973 yılında İsveç'te, ardından 1974 yılında ABD olmak üzere bugün dünya üzerinde 100'den fazla ülkede –ki Avrupa Birliği üyesi 28 ülkenin her birinde– bu nitelikteki kanunların kabul edildiği bilinmektedir. Ayrıca başta OECD, UNESCO, BM ve Avrupa Konseyi olmak üzere uluslararası ve bölgesel kuruluşlar da kişisel verilerin korunması konusunda düzenlemeler yapmıştır. Avrupa Birliği (AB) de bu konuda 24 Ekim 1995 tarihli ve 95/46/EC sayılı “Kişisel Verilerin İşlenmesi İle İlgili Olarak Bireylerin Korunması ve Bu Verilerin Serbest Dolaşımı” Direktifini (Veri Koruma Direktifi) kabul etmiştir. Üstelik AB, bu Direktifin yerine yeni bir Veri Koruma Direktifini kabul etme aşamasındadır.
Türkiye niçin kişisel verilerin korunması kanunu çıkartmaktadır? Her şeyden önce, 1970'li yıllardan beri dünya üzerinde kişisel verileri kanunla koruma trendine baktığımızda Türkiye'nin bu konuda geç bile kaldığı söylenebilir. Kişisel verilerin korunması kanunu ile kişisel veriler, hukuka ve dürüstlük kurallarına uygun olarak; doğru ve güncel bir şekilde; belirli, açık ve meşru amaçlar içinde; işlendikleri amaçla bağlantılı, sınırlı ve ölçülü şekilde ve de ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar işlenebilecektir.
Ayrıca kişisel verilerin korunmasına dair bir kanun çıkartmak Türkiye'nin uluslararası taahhütlerinin bir gereğidir. Zira Türkiye, üyesi olduğu Avrupa Konseyinin 108 sayılı “Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi”ni 28 Ocak 1981 tarihinde imzalamasına karşılık, çok yakın bir zamanda, 18 Şubat 2016 tarihinde, onaylamayı (6669 sayılı) Kanunla uygun bulmuştur. Yani Türkiye, Avrupa Konseyinin 108 sayılı Sözleşmesini aradan tam 35 yıl geçtikten sonra onaylamıştır.
Daha da önemlisi Türkiye, AB'ne, “Avrupa Birliği Müktesebatının Üstlenilmesine İlişkin 2001, 2003 ve 2008 tarihli Ulusal Programlar”ında hem Avrupa Konseyinin 108 sayılı Sözleşmesini onaylayacağını hem de bu konuda bir kanun çıkartacağını taahhüt etmiştir. Türkiye, 108 sayılı Sözleşmeyi onaylamakla ilk taahhüdünü –gecikmeli de olsa– yerine getirmiştir. Ama henüz kişisel verilerin korunmasına ilişkin bir kanun çıkartmadığından bu taahhüdünü yerine getirmemiş bir aday ülke konumundadır.
ANAYASAL İHTİYAÇ
Ayrıca kişisel verilerin korunmasına dair bir kanun çıkartmak 2010 yılında gerçekleşen Anayasa değişikliğinin de bir gereği olacaktır. Zira bu Anayasa değişikliği ile Anayasa'nın 20(3). Maddesine kişisel verilerle ilgili bir fıkra eklenmiş ve bu fıkranın son cümlesinde “Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir” hükmüne yer verilmiştir. Yani Anayasa bu konunun kanunla düzenlenmesini öngörmektedir.
Tabi bütün bu süreç içerisinde 22 Nisan 2008 ve 16 Aralık 2014 tarihlerinde olmak üzere iki adet kişisel verilerin korunması kanunu tasarıları TBMM'ye sevkedilmiş olmasına rağmen her iki Tasarı da kanunlaş(a)mamıştır. İşte şimdi, bu konuda üçüncü tasarı olan 18 Ocak 2016 tarihli “Kişisel Verilerin Korunması Kanunu Tasarısı” TBMM'ye sevkedilmiştir. Tasarının yakın zamanda kanunlaşması ile Türkiye kişisel verilerin korunmasını kanunla güvence altına almış olacak, AB'ne verdiği taahhüdü yerine getirmiş olacak ve de Anayasa hükmünün gereği yapılmış olacaktır. Bu açıdan Tasarı ülkemiz bakımından önemli bir gelişmeyi ifade etmektedir.
En başta bu kanun ile kişisel veriler gibi hassas bir alan kanuni güvence altına alınır. Bu kanun ile kişisel verilerin işlenmesine ilişkin belli usul ve esaslar getirilir; kişisel verilerin üçüncü kişilere ve yurtdışına transfer edilme esasları belirlenir; kişisel verileri işlenen kişiler ile kişisel verileri işleyen kişilerin hak ve yükümlülükleri tespit edilir; kişisel verilerin güvenliğinin sağlanmasına yönelik ilkeler getirilir; kişisel verilerin işlenmesi esnasında ortaya çıkan hukuka aykırılıklar için adli ve idari yaptırımlar öngörülür; kişisel verilerin işlenmesi alanını regüle etmek ve denetlemek amacıyla bağımsız ve tarafsız bir düzenleyici ve denetleyici kamu kurumu ihdas edilir.
İşte 18 Ocak 2016 tarihli “Kişisel Verilerin Korunması Kanunu Tasarısı”nda da bu hususlar yer almaktadır. Bu doğrultuda toplam 33 madde ve yedi bölümden oluşan Tasarının Birinci Bölümünde “Amaç, Kapsam ve Tanımlar”; İkinci Bölümünde “Kişisel Verilerin İşlenmesi”; Üçüncü Bölümünde “Haklar ve Yükümlülükler”; Dördüncü Bölümünde “Başvuru, Şikâyet ve Veri Sorumluları Sicili”; Beşinci Bölümünde “Suçlar ve Kabahatler”; Altıncı Bölümünde “Kişisel Verileri Koruma Kurumu ve Teşkilat”; Yedinci Bölümünde ise “Çeşitli Hükümler” yer almaktadır.
Kişisel verilerin korunması kanunu ile birlikte kişisel verilerimiz iznimiz dışında işlenemeyecek midir? Şüphesiz bu soruya hayır demek gerekecektir. Zira kişisel verilere ilişkin dünya üzerinde kabul edilen kanunlarda ve AB'nin 1995 tarihli Veri Koruma Direktifi'nde ve hatta yeni kabul edilecek Direktifte, kişisel verilerin ancak ilgili kişinin açık rızası halinde işlenebileceği kuralı konduktan sonra istisnai hallerde ilgili kişinin açık rızası olmasa da kişisel verilerin işlenmesi mümkün kılınmıştır.
Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik veriler hiçbir şekilde işlenemeyecek veriler midir? Soru içeriğinden hareketle zaman zaman fişleme (kanunu) tartışmalarını da gündeme getiren bu soruya da hayır cevabını vermek gerekecektir. Her şeyden önce, veri koruma literatür ve mevzuatında bu içerikteki verilere “özel nitelikli kişisel veriler” veya “hassas kişisel veriler” adı verilmektedir. Kişisel verilere ilişkin dünya üzerinde kabul edilen kanunlarda ve AB'nin 1995 tarihli Veri Koruma Direktifi'nde ve hatta yeni kabul edilecek Direktifte özel nitelikli veya hassas kişisel verilerin kural olarak işlenemeyeceği belirtildikten sonra başta ilgili kişinin açık rızası hali olmak üzere, bu verilerin işlenebileceği istisnai haller de sayılmıştır. 18 Ocak 2016 tarihli “Kişisel Verilerin Korunması Kanunu Tasarısı”nda yer alan düzenleme de bu kanunlardan ve AB Veri Koruma Direktifi'nden farklı değildir.
