Kişisel verilerin korunmasının tarihi süreci açısından baktığımızda hiç kuşkusuz mihenk taşları olarak kabul edebileceğimiz Avrupa merkezli düzenlemelerdir. Başta Almanya olmak üzere, Avusturya, Fransa, Danimarka ve Norveç gibi devletler 1970’lerde “Verilerin Korunması (Data Protection, Protection des donnees, Datenschutz)” konusunda özel yasalar kabul etmişlerdir. Aynı dönemler içerisinde Avrupa Konseyi ise verilerin korunması adına gerekli ilkeleri düzenlemiştir. 1980 yılında ise Ekonomik İşbirliği ve Kalkınma Teşkilatı (OECD) tarafından konunun önemi dikkate alınarak bir takım çalışmalar başlatılmıştır. Bütün bu çalışmaları takiben ve bilgisayarların yaygınlaşması da dikkate alınarak 28 Ocak 1981 tarihinde Avrupa Konseyi tarafından hazırlanan 108 Sayılı “Kişisel Verilerin Otomatik İşleme Tabii Tutulması Karşısında Şahısların Korunmasına Dair Sözleşme” imzaya açılmıştır. (Türkiye Cumhuriyeti Devleti tarafından da 108 Sayılı sözleşme imzalanmıştır.) Uluslararası bilgi alışverişinde yaşanan zorluklar ve günümüz zirvesinde yer alan Google, Facebook, Twitter, Whatsapp gibi dünya çapında internet şirketlerinin yaygınlaşması ile kontrolü sağlamak güçleşmiştir. Bu gelişmeleri kontrol altına alabilmek adına Avrupa Birliği tarafından 1995 yılında 95/46/EC Sayılı “Veri Koruma Direktifi (Data Protection Directive)” düzenlenerek Avrupa Birliği üyesi devletlerin kişisel verilerin korunması alanında uyması gereken temel ilkeleri belirlenmiştir. Fakat günümüz yüzyılının yükselen değeri kişisel verileri korumak, ilerleyen teknolojik gelişmeler dikkate alındığında mevcut düzenlemelerle yeterliliğini kaybetmiştir. Bu kapsamda Avrupa Birliği veri koruma kurallarında köklü bir reaksiyon göstererek “Genel Veri Koruma Tüzüğü (General Data Protection Regulation – GDPR)” Avrupa Parlamentosu tarafından 14 Nisan 2016 tarihinde onaylanmıştır. AB Genel Veri Koruma Tüzüğü (General Data Protection Regulation – GDPR) 25 Mayıs 2018 tarihinde yürürlüğe girmiştir. 2020 yılının ortalarında geldiğimiz süreçte ise özellikle G20 ülkelerinin ve diğer ülkelerin kişisel verileri gerekçe göstererek Uluslararası bilgi havuzlarını en yoğun şekilde elinde bulunduran Twitter, Facebook, Google ve Whatsapp gibi şirketlere baskı yapmasının perde arkasında gelecek yüzyılların değerli bir taşının kişisel verilerden ibaret olacağı şüphesizdir.
Türkiye Penceresinden konuya baktığımızda ise birçok ülkenin 1970’lerde düzenlemeler yaptığı düşünüldüğünde Türkiye Cumhuriyeti Devleti’nin kişisel verileri bütün yönleriyle düzenleyen bir yasa yapmakta çok geç kaldığı tartışmasızdır. Öte yandan 2010 yılında gerçekleşen Anayasa değişiklikleriyle kişisel verilen korunmasının açıkça bir anayasal hak haline getirilmesi Türkiye Cumhuriyeti Devleti ve Türk Hukuku açısından tarihi öneme sahiptir.
“IV. Özel hayatın gizliliği ve korunması
A. Özel hayatın gizliliği
Madde 20 –
…
…
(Ek fıkra: 7/5/2010-5982/2 md.) Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir. “
Anayasa değişikliğiyle kişisel verilen korunmasının açıkça bir anayasal hak haline getirilmesinin sonucu olarak yargıya taşınan sağlık bilgilerinin aktarımı, elektronik haberleşme, posta hizmetleri, işçinin kişisel verileri, bilişim sistemleri yoluyla işlenen dolandırıcılık ve genetik bilgilerin aktarımı konulu dosyaların artış göstermesi kişisel verilerin korunması kanununa hız verilmesi gerekliliğini göstermiştir. Fakat yasalaşma süreci hukuksal, siyasal, sosyal ve ekonomik nedenlerden dolayı her defasında ertelenmek zorunda bırakılmıştır. Ve nihayet kişisel verilerin etkin korunmasını sağlamak için 6698 sayılı “Kişisel Verilerin Korunması Kanunu (KVKK)” Türkiye Büyük Millet Meclisi tarafından kabul edilerek 07.04.2016 tarihinde Resmi Gazete’de yayımlanarak yürürlük kazanmıştır.
6698 sayılı Kişisel Verilerin Korunması Kanunun şekli ve esası incelendiğinde ise hiç kuşkusuz Avrupa Birliği tarafından 1995 yılında 95/46/EC Sayılı Veri Koruma Direktifi (Data Protection Directive) esas alınarak hazırlandığı açıktır. 6698 sayılı Kişisel Verilerin Korunması Kanunu sırasıyla Amaç, Kapsam ve Tanımlar, Kişisel Verilerin İşlenmesi, Haklar ve Yükümlülükler, Başvuru, Şikâyet ve Veri Sorumluları Sicili, Suçlar ve Kabahatler, Kişisel Verileri Koruma Kurum ve Teşkilatı son olarak da Çeşitli Hükümler başlıkları altında toplamda otuz üç madde de düzenlenmiştir. 6698 Sayılı Kanun ile hedeflenen genel çerçeveyi düzenleyerek bu çerçevenin dışına çıkmadan yönetmelik ve kurum tarafından verilen kararlarla oluşturulacak bilgi havuzu içerisinde verileri yüzdürmektir. Fakat yüzme bilmeyen birisinin okyanus dalgaları ile mücadele edebilmesi ne kadar zor ise Türkiye Cumhuriyeti Devleti olarak 1995 yılına ait direktif esas alınarak hazırlanmış bir kanun ile kişisel verilen korunması da zor olacaktır. Diğer taraftan ülkemizde kişisel verilerin önemini ve değerini topluma aşılamak üzere dijital farkındalık etkinliklerinin düzenleniyor olması gelecek açısından küçük bugün için büyük ve değerli bir adımdır. Bu adımların ileride çok faydasını göreceğimizi düşünmekteyim ve desteklemekteyim.
Kişisel veri nedir? Özel nitelikli veriler nelerdir? Kişisel verilerin genel ilkeleri nelerdir? Kişisel veri sorumluları kimlerdir? Kişisel verilerin işlenme şartları nelerdir? Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi süreci nasıl gerçekleşir? Benzeri teknik soruların detaylarından ziyade genel hatlarıyla bahsetmenin daha faydalı olacağı düşüncesindeyim. Kişisel verinin Ulusal ve Uluslararası tarihi serüveninden sonra günümüzde en çok karşımıza çıkan ve aslında dar kapsamlı görünen fakat çok geniş bir yelpazeye sahip olan kişisel veri nedir? Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak tanımlanmaktadır. Bu açıklamadan sonra hemen belirtmek isterim ki günümüzde gerçek kişi ile sınırlandırılmak istenen kişisel veri anlayışı bizlere hükmetme mücadelesi içerisinde olan yapay zekalar ve robotlar dünyası ile yeniden güncellenecek gibi görünmektedir. Özel nitelikli veriler, kişiye ait bilgilerin başkaları tarafından öğrenilmesi durumunda ilgili kişinin mağduriyet yaşayacağı şüpheye vermeyecek şekilde açık olan verilerdir. Özel nitelik verilerden kısaca bahsetmek gerekirse kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veriler olarak sayılmıştır. Genel ilkeleri, Hukuka ve dürüstlük kurallarına uygun olmak, doğru ve güncel olmak, belirli, açık ve meşru amaca sahip olmak, amaca bağlı, sınırlı ve ölçülü olmak, amaca uygun süre içerisinde korumak olarak beş (5) ana başlık altında ele alabiliriz. Veri sorumlusu, kişisel verilerin işleme amaçlarını ve araçları belirleyen aynı zamanda veri kayıt sisteminin kurulumu ve yönetiminden bizatihi sorumlu olan gerçek veya tüzel kişidir. Kişisel verilerin işlenmesi hususunda ise Kişisel verilerin hukuka uygun olarak işlenebilmesi için 6698 sayılı Kişisel Verilerin Korunması Kanununun 5. maddesinde sayılan veri işleme şartlarından en az birinin mevcut olması gerekmektedir. Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi ise kanunun 7. maddesine göre kişisel veriler hukuka uygun şekilde işlenmiş olsalar dahi, işlenmeyi gerektiren nedenler ortadan kalktığında veri sorumlusu tarafından resen veya ilgili kişinin talebi üzerine silinmeli, yok edilmeli veya anonim hale getirilmelidir.
Kişisel Verileri Koruma Kurumu tarafından gerçekleşen veri ihlallerine uygulanan cezai işlemlere baktığımızda ise belki de en önemlisi Facebook nezdinde gerçekleşen veri ihlalinin değerlendirilmesidir. Facebook hakkında kişisel verileri koruma kurulunun 11.04.2019 tarih ve 2019/104 sayılı kararında “veri gizliliğine/mahremiyetine” aykırı bir husus olması sebebiyle veri ihlali olduğu ve bu ihlalin 6698 sayılı Kişisel Verilerin Korunması Kanununun 12. maddesinin (5) numaralı fıkrasında yer alan “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir….” hükmü uyarınca Facebook tarafından kurula bildirilmesi gerektiği ancak herhangi bir bildirimin yapılmadığı tespit edildiği ve bunun üzerine, kanunun 15. maddesinin (1) numaralı fıkrasında yer alan “Kurul, şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen, görev alanına giren konularda gerekli incelemeyi yapar.” hükmü kapsamında resen inceleme yapma kararı vermiştir. Yapılan inceleme neticesinde, bir veri ihlali olduğu ve ihlalin oluşmaması için kanunun 12. maddesinin (1) numaralı fıkrası çerçevesinde gerekli teknik ve idari tedbirleri almadığı anlaşılan Facebook hakkında kanunun 18. maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 1.100.000 TL ve söz konusu veri ihlalinin 19.09.2018 tarihinde tespit edilmesine rağmen kuruma bildirimin yapılmadığının ve 13.09.2018 – 25.09.2018 tarihleri arasında gerçekleşen veri ihlalinin ilgili kişilere 17.12.2018 tarihinde bildirilmeye başlandığının tespit edildiği, bu çerçevede kanunun 12. maddesinin (5) numaralı fıkrasında yer alan en kısa sürede bildirim yapılması gerektiği hükmüne aykırı hareket eden Şirket hakkında kanunun 18. maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 550.000 TL idari para cezası uygulanmasına karar verilmiştir.
Bütün bu değerlendirmeler sonucunda kişisel verilerin gelecek yüzyıllarda öneminin daha da çok artacak olması şüpheye yer vermeyecek şekilde açık ve nettir. Aynı zamanda ülkemizde yaşanan gelişmelerin olumlu sonuçlarının yakın zamanda görüleceğini düşünmekteyim. 2019 yılının sonlarında başlayan 2020 yılında henüz devam eden Covid-19 salgın sürecinin bitimiyle Dünya’nın yeniden şekilleneceği beklenmektedir. Dolayısıyla teknolojik gelişmelerin ivme kazanması, yaşamların iç içe geçmesi ve insanlık açısından teknolojinin kullanımının yaşamın zorunlu ihtiyacı olduğu veya olacağı düşünüldüğünde kişisel veriler gelecekte daha da çok konuşulacak gibi durmaktadır.
