top of page
Ara

Kişisel Verilerin Korunması Ulusal Düzenlemeler

  • Yazarın fotoğrafı: Av. Şeyda ÇIKAR
    Av. Şeyda ÇIKAR
  • 15 Şub 2021
  • 8 dakikada okunur

Güncelleme tarihi: 15 Mar 2023


A)ANAYASA DÜZENLEMESİ

Anayasanın ikinci kısmında kişinin temel hak ve ödevleri düzenlenmektedir. Özel hayatın gizliliği de kişinin temel haklarından biridir. Bu hak, Anayasa’nın 20. maddesinde güvence altına alınmıştır. Teknolojik gelişmelerin temel hak ve hürriyetlere müdahale edebilmeyi kolay hale getirmiş olması ve bu durumun hukuki bir sorun olarak kendini göstermesi bu konuda yasal düzenlemeler yapmayı gerekli kılmıştır.

2010 yılında 5982 sayılı Kanun’la yapılan Anayasa değişikliği ile Anayasa’nın 20. maddesine ilave bir fıkra eklenmiştir.

Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.”

Bu maddeye ilişkin değişiklik teklifinin gerekçesinde; “Anayasada kişisel verilerin korunmasına yönelik dolaylı hükümler bulunmakla birlikte yeterli değildir. Mukayeseli hukukta ve tarafı olduğumuz uluslararası belgelerde de kişisel verilerin korunması önemle vurgulanmaktadır. Maddeyle, herkesin, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkı, anayasal bir hak olarak teminat altına alınmaktadır. Bu bağlamda, bireylerin kendilerini ilgilendiren kişisel veriler üzerinde hangi hak ve yetkilere sahip olduğu ve kişisel verilerin hangi hallerde işlenebileceği hükme bağlanırken, kişisel verilerin korunmasına ilişkin esas ve usullerin kanunla düzenleneceği öngörülmektedir.” ifadesine yer verilmiştir.

Anayasanın 20. maddesinin 3. fıkrasında kişisel verilerin korunması öngörülmektedir. Ayrıca kişisel verilerin hukuka aykırı olarak işlenmesi, Anayasanın 17. maddesi ile güvence altına alınan kişi dokunulmazlığı, kişinin maddi ve manevi varlığını koruma ve geliştirme hakkı ile Anayasanın 20. ve 22. maddelerinde düzenlenen özel hayatın gizliliği ve korunması hakkının ihlali anlamına da gelmektedir.

Anayasanın 20. maddesinin 3. fıkrasında, kişisel verilerin ancak bireyin açık rızası veya kanunda öngörülen hallerde işlenebileceği, kişisel verilerin nasıl korunacağına ilişkin esas ve usullerin kanunla düzenleneceği ifade edilmiştir. Anayasa hükmünde, kanunla öngörülen hallerde kişisel verilerin işlenebileceği belirtilmesine rağmen, özel sınırlama sebeplerine yer verilmediği görülmektedir.

Anayasada yer verilen bu düzenleme ile;

• Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu anlamda bireyler temel olarak, kendileri ile ilgili kişisel verilerin ilgisiz üçüncü kişilerin eline geçmemesi konusunda gerekli tedbirlerin alınmasını isteme hakkına sahiptir.

• Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Bu anlamda bireyler, hangi amaçla hangi kişisel verilerinin kullanıldığını öğrenme hakkına sahip olduğu gibi söz konusu kişisel verilerde herhangi bir yanlışlık bulunması halinde bu durumun düzeltilmesini ya da verilerinin silinmesini isteme hakkına da sahiptir.

• Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Yasal bir düzenleme bulunmaması ya da bireyin kendisine ait kişisel verilerin işlenmesi yönünde açık bir irade beyanının olmaması durumunda kişisel verilerin işlenebilmesi mümkün değildir.

B) 6698 sayılı Kişisel Verilerin Korunması Kanunu

2010 yılında 5982 sayılı Kanunla Anayasanın 20. maddesine eklenen fıkra ile, herkesin kendisiyle ilgili kişisel verilerin korunmasını isteme hakkı anayasal bir hak olarak teminat altına alınmaktadır. Bu bağlamda, bireylerin kendilerini ilgilendiren kişisel veriler üzerinde hangi hak ve yetkilere sahip olduğu ve kişisel verilerin hangi hallerde işlenebileceği hükme bağlanırken, kişisel verilerin korunmasına ilişkin usul ve esasların kanunla düzenleneceği öngörülmektedir.

Bu doğrultuda 26 Aralık 2014 tarihinde “Kişisel Verilerin Korunması Kanunu Tasarısı” TBMM Başkanlığına sunulmuştur. Tasarı, 24 Mart 2016 tarihinde kanunlaşmış ve 6698 sayılı Kişisel Verilerin Korunması Kanunu 7 Nisan 2016 tarih ve 29677 sayılı Resmi Gazete’de yayımlanarak yürürlüğe girmiş, böylece kişisel verilerin korunması için gerekli hukuksal altyapı tamamlanmıştır.

C) 5237 Sayılı Türk Ceza Kanunu

5237 sayılı Türk Ceza Kanununun 135. maddesinde, kişisel verilerin kaydedilmesi, 136. Maddesinde, verileri hukuka aykırı olarak verme veya ele geçirme, 138. maddesinde, verileri yok etmeme fiilleri suç olarak düzenlenmiştir. Ayrıca Kanunun 140. maddesinde bu suçlarla ilgili olarak tüzel kişiler hakkında güvenlik tedbiri uygulanacağı hüküm altına alınmıştır.




6698 SAYILI KİŞİSEL VERİLERİN KORUNMASI KANUNU

KANUNUN AMACI

MADDE 1- (1) Bu Kanunun amacı, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir.

Maddenin gerekçesinde de belirtildiği üzere Kanunun amacı, kişisel verilerin işlenmesinin disiplin altına alınması ve Anayasada öngörülen başta özel hayatın gizliliği olmak üzere temel hak ve özgürlüklerin korunmasıdır. Kanun ile son yıllarda önem kazanan, kişinin mahremiyetinin korunması ile veri güvenliğinin sağlanması ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasların düzenlenmesi de bu kapsamda değerlendirilmektedir.

Kanunla, kişisel verilerin sınırsız biçimde ve gelişigüzel toplanmasının, yetkisiz kişilerin erişimine açılmasının, açıklanması veya amaç dışı ya da kötüye kullanımı sonucu kişilik haklarının ihlal edilmesinin önüne geçilmesi amaçlanmaktadır.

Bu bağlamda Kişisel Verilerin Korunması Hakkında Kanun’un amacı:

• Kişisel verilerin işlenmesinde, kişilerin temel hak ve özgürlüklerini korumak,

• Kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek (disiplin altına almak),

• Kişilerin mahremiyetini korumak,

• Kişisel veri güvenliğini sağlamak, olarak sayılabilir.

KANUNUN KAPSAMI

MADDE 2- (1) Bu Kanun hükümleri, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır.

A) Korumadan Yararlanacak Kişiler Bakımından

Kanunda kamu kurumları ile özel kuruluşlar açısından ayrım yapılmamıştır. Kanunun belirlediği usul ve esaslar kural olarak tüm kurum ve kuruluşlar için geçerlidir. Dolayısıyla kamu kurumlarının işlediği kişisel veriler hakkında da bu Kanun hükümleri uygulanacaktır.

6698 sayılı Kanun kapsamında koruma altına alınan kişisel veriler sadece gerçek kişilere ait olan kişisel veriler olup, tüzel kişilere ait olanlar koruma altında bulunmamaktadır. Fakat tüzel kişiye ait verinin elde edilmesi, bir veya birden fazla gerçek kişinin kimliğinin belirlenmesine neden oluyor ise, bu tür verilerin de Kanunun korumasından yararlanması mümkün olabilir. Bu durumda da esasen korunan, gerçek kişiye ilişkin kişisel veriler olmaktadır.

B) Korumadan Yararlanacak Veriler Bakımından

Kanunda kişisel verilerin kısmen veya tamamen otomatik olan veya herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenmesi bakımından da herhangi bir fark öngörülmemiştir. Bu doğrultuda kişisel verilere ulaşımı kolaylaştıracak şekilde, belirli bir kritere göre yapılandırılmış her türlü sistem Kanun kapsamında değerlendirilecektir


• Kanunda “kısmen veya tamamen otomatik yolla işleme” ifadesinin ne anlama geldiği açıklığa kavuşturulmamıştır. 108 sayılı Avrupa Konseyi Sözleşmesinde ise “otomatik işleme” ifadesinden; verilerin kaydı, bu verilere mantıksal ve/ veya aritmetik işlemlerin uygulanması, verilerin değiştirilmesi, silinmesi, geri elde edilmesi veya dağıtılması işlemlerinin otomatik veya kısmen otomatik yöntemlerle gerçekleştirilmesinin anlaşılacağı ifade edilmiştir.

• Herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen veriler de 6698 sayılı Kanun kapsamında korunmaktadır. Veri kayıt sistemi, Kanunun 3. maddesinde “kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi” şeklinde tanımlanmıştır. Dolayısıyla elle işlenen (manuel) verilerin herhangi bir kritere göre yapılandırılan bir kayıt sistemine dahil edilmesi durumunda, bu tür verilerle ilgili olarak da 6698 sayılı Kanun uygulanacaktır.

• Otomatik olmayan yollarla işlenen kişisel veriler, bir veri kayıt sisteminin parçası değilse Kanun kapsamında değerlendirilmeyecektir. Fakat bu durum ilgili verilerin kişisel veri niteliğini etkilemeyeceği için, bu verilere ilişkin hukuka aykırı eylemler de 5237 sayılı TCK kapsamında suç teşkil etmeye devam edecektir.



Öte yandan, Kanunun 28. maddesinde tamamen veya kısmen kapsam dışı olan haller hükme bağlanmıştır. Bu maddenin 1. fıkrasında tam istisnalar, 2. fıkrasında ise kısmi istisnalar düzenlenmiştir. Tam istisna halinde Kanun hükümleri hiçbir şekilde uygulanmayacaktır. Kısmi istisna hallerinde ise, Kanunun sadece bazı hükümleri uygulanmayacaktır.

a. Tamamen Kanun Kapsamı Dışında Tutulan Haller

Kanunun 28. maddesinin 1. fıkrasında, Kanunun kapsamına girmeyen haller tek tek sayılmıştır. Bunlar:

• Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi,

• Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi,

• Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi,

• Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi,

• Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesidir.

Kişisel verilerin kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi:

Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi durumunda Kanun hükümleri uygulanmaz.

Bu fıkra kapsamında; aynı konutta yaşayan aile fertlerinin aile içinde verilerinin işlenmesi noktasında istisna söz konusudur. Örneğin, doğum günü gibi özel günlerde aile içerisinde çekilen fotoğraflar bu Kanun kapsamında değildir. Ancak bu verilerin üçüncü kişilerle paylaşılması veya alenileştirilmesi halinde, örneğin doğum gününde çekilen fotoğrafların aleni olacak şekilde sosyal medyada paylaşılması durumunda istisnadan söz edilemeyecektir.

Kişisel verilerin resmi istatistik ile anonim hale getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi :

Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi durumunda Kanun hükümleri uygulanmaz.

Buna göre kişisel verilerin resmi istatistik kapsamında işlenmesi durumunda kanun hükümleri uygulanmayacaktır. Öte yandan araştırma, planlama ve istatistik gibi amaçlarla kişisel veri toplanması sonrasında verilerin anonim hale getirilmesi de istisna kapsamındadır. Örneğin, bir kamuoyu araştırma kuruluşu tarafından yapılan ankette yer alan kişisel verilerin sonradan anonim hale getirilmesi.


“Araştırma, planlama ve istatistik gibi” düzenlemesindeki “gibi” sözcüğü, bu sayılanların örnek olduğunu belirtmektedir. Dolayısıyla benzer yöntemlerin de istisna kapsamında yer alabileceği söylenebilir. Burada önemli olan, bu bilgilerin anonim hale getirilmiş olmasıdır.

Kişisel verilerin sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi:

Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi durumunda bu Kanun hükümleri uygulanmaz.

Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi:

Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbarı faaliyetler kapsamında işlenmesi durumunda bu Kanun hükümleri uygulanmaz. Buna göre istihbarat birimlerinin milli savunmayı, kamu güvenliğini, milli güvenliği, kamu düzenini ve ekonomik güvenliği sağlamaya yönelik faaliyetler kapsamında işlediği veriler kanun kapsamı dışında tutulmaktadır. Aynı şekilde, belirtilen amaçlarla suç gelirlerinin aklanması, terörizmin finansmanının önlenmesi ve mali suçların araştırılması konusunda yetkili birimler tarafından yürütülen faaliyetler kapsamında işlenen veriler de bu istisna kapsamındadır.

Kişisel verilerin yargı ve infaz mercileri tarafından işlenmesi:

Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi durumunda bu Kanun hükümleri uygulanmaz.

b. Kısmen Kanun Kapsamı Dışında Tutulan Haller

Kanunun 28. maddesinin 2. fıkrasında sadece belli durum ve şartlarda Kanunun bazı maddeleri kapsamına girmeyen haller düzenlenmiştir. Buna göre; Kanunun amacına ve temel ilkelerine uygun ve orantılı olmak kaydıyla, veri sorumlusunun aydınlatma yükümlülüğünü düzenleyen 10. madde, zararın giderilmesini talep etme hakkı hariç ilgili kişinin haklarını düzenleyen 11. madde ve Veri Sorumluları Siciline kayıt yükümlülüğünü düzenleyen 16. madde hükümleri aşağıdaki faaliyet alanları ile sınırlı olmak üzere uygulanmaz:

• Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması. (Örneğin, bir polisin bir suçla ilgili şüphelinin kişisel verilerini işlemesi bu kapsamda değerlendirilebilecektir. Çünkü polisin hangi kişisel verilerini işlediği veya hangi amaçlarla işlediğini şüpheliye anlatması halinde, şüphelinin ilgili verileri yok etmesi veya silmesi riski doğacaktır.)

• İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi. (Örneğin, kişinin herkesin erişimine açık bir şekilde sosyal medya hesabında kişisel verisini paylaşması halinde verinin işlenmesi.) Bu hükmün uygulanabilmesi için kişisel verilerin ilgili kişi tarafından alenileştirme iradesinin ortaya konulması gerekir.

• Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.

• Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması. Kanunda belirtildiği gibi 10., 11. ve 16. maddelerin uygulanmaması için maddede belirtilen hallerden birinin gerçekleşmesi gerekir. Ancak belirtmek gerekir ki, her halükarda Kanunun amacına, temel ilkelerine uygun ve orantılı olması gerekir.


3. Kanunun Zaman Bakımından Uygulanması

Kanunun Geçici 1. maddesinin 3. Fıkrası:


(3) Bu Kanunun yayımı tarihinden önce işlenmiş olan kişisel veriler, yayımı tarihinden itibaren iki yıl içinde bu Kanun hükümlerine uygun hâle getirilir. Bu Kanun hükümlerine aykırı olduğu tespit edilen kişisel veriler derhâl silinir, yok edilir veya anonim hâle getirilir. Ancak bu Kanunun yayımı tarihinden önce hukuka uygun olarak alınmış rızalar, bir yıl içinde aksine bir irade beyanında bulunulmaması hâlinde, bu Kanuna uygun kabul edilir.

Kanunun yayım tarihi 24.03.2016 olup verilerin işbu madde hükmü uyarınca 24.03.2016 tarihine kadar kanun hükümlerine uygun hale getirilmiş olması gerekmektedir.




Comments

bottom of page