Kişisel Verilerin İşlenmesinde Genel İlkeler Ve Açık Rıza Üzerine Kısa Bir Değerlendirme

Kişisel Verilerin İşlenmesinde Genel İlkeler Ve Açık Rıza Üzerine Kısa Bir Değerlendirme

Kişisel Verilerin İşlenmesinde Genel İlkeler Ve Açık Rıza Üzerine Kısa Bir Değerlendirme

GİRİŞ

Kişisel verilerin işlenmesi konusunda hukuka uygun bir veri işleme faaliyetinin söz konusu olabilmesi için belirli unsurlar ve sınırlamalar mevcuttur. Anayasamıza yeni dahil edilmiş bir hak olan kişisel verilerin korunması hakkının somut olarak korunabilmesi ve kişisel verilerin meşru bir şekilde işlenebilmesi için belirli ilkeler, hukuka uygunluk halleri, usul ve esaslar belirlenmiştir. Bu incelemede de bu ilkeler ve hukuka uygunluk hallerinden biri olarak düzenlenmiş olan açık rıza kavramı üzerine bir değerlendirmede bulunacağız.

KİŞİSEL VERİLERİN İŞLENMESİNDE GENEL İLKELER

Kişisel veri kavramı günümüzde hukuki bağlamda artık daha çok karşımıza çıkmaktadır. Tüm dünyada bireylerin yapmış olduğu işlemlerin ve belirli yerlere paylaşmış oldukları bilgilerin kişisel verisi olup olmadığı kavramını da beraberinde getirmiştir. Bireylerin kendileri ile ilgili olan verilerin kişilik hakkına bağlı bir yansıması olması dolayısıyla, tüm dünyada bu konuda konuya ilişkin regülatif düzenlemeler artmıştır.

Kişisel verilerin işlenmesi süreci, kişisel verinin toplanmasından silinmesine kadar geçen geniş bir süreci ifade eder. Bu süreç kişisel verilerin toplanması, depolanması, değiştirilmesi ve silinmesi süreçlerinde oluşur.

Kişisel veri kavramı, öncelikle uluslararası düzenlemeler doğrultusunda değerlendirilmelidir. OECD ilkelerinde, 108 No’lu Sözleşmede, 95/46 sayılı Direktifte ve GVKT’ de kişisel veri kavramı birbirleriyle uyumlu şekilde, kimliği belirli veya belirlenebilir kişiye ilişkin tüm veriler şeklinde tanımlanmıştır. Kişisel veri sahibi olabilecek kişilerin gerçek kişi olabileceği belirtilmiştir.

Ancak, uluslararası belgelerde yer alan “kişisel veri” kavramına ilişkin olarak, sadece gerçek kişilerin kişisel veri sahibi olabileceği yönünde görüş birliği bulunmaktadır. Ancak bu uluslararası belgelerde, sadece gerçek kişilerin, kişisel veri sahibi olabileceği fikri benimsenmişken; 2008 tarihli Kişisel Verilerin Korunması Kanunu Tasarısı’nda, bundan farklı olarak, tüzel kişilerin de aynı şekilde kişisel veri sahibi olabileceği kaleme alınmıştı. Ancak en son olarak kaleme alınan 2014 tarihli Kişisel Verilerin Korunması Kanun Tasarısı’nda yine sadece gerçek kişilerin, kişisel veri sahibi olabileceği ortaya konulmuştur.

AB’de kişisel verilerin korunması konusunun “özel hayatın gizliliği” ilkesine bağlı olarak değerlendirildiği ve AİHM’ nin vermiş olduğu kararlarda kişisel verilerin korunmasıyla ilgili olarak genel kişilik hakları ve insan onurunun korunmasına ilişkin ilkelerin dikkate alındığı görülmektedir. Ancak mevcut haliyle Türk Hukuk Sistemin’ de genel kişilik haklarının ve özel hayatın gizliliği haklarının kişisel verilerin korunmasına ilişkin olarak kullanıldığı sınırlı sayıda örnek bulunmaktadır.

Bireylerin kişisel verilerinin korunması hakkı, veri işlem faaliyetlerinin temel hak ve özgürlükler açısından doğurduğu tehlikeler karşısında bireyin temel hak ve özgürlüklerinin korunması için Anayasa Hukukunun verdiği cevap niteliğindedir. Kişisel verilerin korunması hakkının temel işlevi, demokratik ve özgür bir toplum düzeninde yaşayan ve yaşamını kendi özgür iradesiyle belirleme yeteneğine sahip olan kişinin ve kişisel verileri üzerindeki haklarının korunmasıdır.

Normlar hiyerarşisi açısından konuya baktığımızda anayasamıza 2010 yılı değişikliği ile kişisel verilere ilişkin bir düzenleme getirilmiştir. Anayasanın 20 maddesinin 3 fıkrasında kaleme alınmış bu hüküm; her bireye kendisiyle ilgili kişisel verilen korunmasını isteme hakkını vermektedir. Bu hak kapsamında; kendisiyle ilgili kişisel veriler hakkında bilgilendirilmeyi, bu verilere erişebilmeyi, bu verilerin düzeltilmesini veya silinmesini talep etmeyi ve bu verilerin amaç doğrultusunda kullanılıp kullanılmadığını öğrenme yetkisini vermektedir. Kişisel verilerin işlenebilme hususunun da ancak kanunda ön görülen hallerde veya açık rızanın varlığı halinde mümkün olabileceğini belirtmektedir. Son olarak da kişisel verilerin korunmasına ilişkin esas ve usullerin ancak kanunla düzenlenebileceğini belirmiştir.

Ülkemizde 6698 sayılı kişisel verilerin korunması kanunu ile kişisel verilerin işlenmesi ve işlenmesinin şartları düzenleme altına alınmıştır. 4.maddede sayılan ilkeler verinin işlenmesi için genel şart olduğu için, veri işleme faaliyetinin bu sayılan genel ilkelere dayanarak gerçekleştirilmesi gerekmektedir. Avrupa’da yürürlüğe girmiş olan GDPR madde 5. 6698 sayılı kanunumuzun 4.maddesinde düzenlenen ilkelerin oradaki karşılığıdır. GDPR madde 5’ de sayılan temel ilkeler bizim kanunumuzla benzerlik göstermesine karşılık çok daha geniş yorumlamıştır. GDPR’ da yer alan ilkeler ana hatlarıyla; hukuka uygunluk, hakkaniyet ve şeffaflık, amaçla sınırlı olma, veri minimizasyonu, doğruluk, sınırlı süre saklama, bütünlük ve gizlilik, sorumluluk ilkeleridir.

6698 sayılı kanunun aslında en önemli kısmını 4.madde oluşturmaktadır. Kanun maddesinin lafzına baktığımızda bu sebep çok iyi anlaşılacaktır. Bu madde emredici bir mahiyette hazırlanmıştır. Dolayısıyla veri işleyebilmek için bu ilkelere uygun bir faaliyet gerçekleştirmeyi zorunlu kılmaktadır. Zaten yukarıda da bahsettiğimiz gibi anayasa madde 20/3 veri işleme faaliyetinin kanunda ön görülen şartlar dahilinde işlenebileceğini belirtmekteydi. Dolayısıyla 4.madde anayasayla da birlikte değerlendirildiğinde aradaki bağlantı daha iyi anlaşılacaktır. Veri işleyenler kanunun sadece 5. ve 6. maddesindeki hususları dikkate alarak bir analizde bulunduktan sonra, veri işleme faaliyetini gerçekleştirdiklerinde, bu işleme faaliyeti

4.maddedeki genel ilkelere uygun düşmediği sürece yapılan işleme faaliyeti hukuka uygun olmayacaktır.

Madde 4/1’de kişisel veriler, ancak bu kanunda ve diğer kanunlarda ön görülen usul ve esaslara uygun olarak işlenebilir demektedir. Madde 4/2’de ise kişisel verilerin işlenmesinde uyulması gereken ilkeleri 5 parçada düzenlemiştir;

a)Hukuka ve Dürüstlük Kurallarına Uygun Olma

Veri işleyen kişilerin hukuka ve dürüstlük kurallarına uygun olarak bu işlemi gerçekleştirmesi gerekir. Hukuka uygun olarak hareket etme, hukuk devleti olmanın bir yansımasıdır. Medeni kanunumuzun genel hükümlerinden olan dürüstlük kuralı veri işleme faaliyeti gerçekleştirilirken bunun kötü niyetli bir şekilde olmaması, verilerini işlediği kişilere karşı bu çerçevede faaliyet göstermesini gerekli kılacaktır.

b)Doğru ve Gerektiğinde Güncel Olma

Kişisel verilerin korunabilmesi için verilerin hatasız ve güncel olması gereklidir Veri işleyen kişiler bu verileri işlerken doğru ve güncel bir şekilde ele almalıdır. Hatta bu noktada veri sahibinin de verilerde meydana gelen değişikliği bildirmesi gibi bir yükümlüğünün olabileceğin bilinmesi gerekecektir.

c)Belirli, Açık ve Meşru Amaçlar İçin İşleme

Veri işleme faaliyetinde bulunanların neyi, nasıl işlediği ile ilgili bir ilkedir. Dolayısıyla işleme faaliyetinin ne için yapıldığı belirli olmalı, bu işleme faaliyeti ticari sır ve benzeri hususlar ayrık kalmakla birlikte açık olmalı ve sadece ve sadece meşru amaçlar için olmalıdır. Yasa dışı amaçlar için yapılan işleme faaliyeti düşünülemeyecektir. Lafız olarak kanunda açıkça yazmayan, hesap verilebilirlik ilkesi de madde 4 genel ilkelerin bir yansımasıdır. Dolayısıyla hesap verilebilirlik, yapılan faaliyetin genel ilkelere uygun düşmesini de gerekli kılar.

ç)İşledikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma

Burada böyle bir sınır yapılması veri işleme faaliyetinin amaç dışında olamayacağı sadece ulaşılmak istenen amaç ne ise onunla bağlantılı olan verilerin kullanılıp işlenebileceğini öne sürmektedir. Böyle bir sınır olmaması kişilerin özel

hayatının gizliliğini, haberleşme özgürlüğünü ve daha birçok hakkına zarar verebilecek bir etkisi olurdu.

d) İlgili Mevzuatta Öngörülen veya İşledikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Edilme

Kanunda belirlenmiş olan bu ilke altını çizmemiz gereken hususlardan biri olacaktır. Çünkü kişisel verilerin ne kadar süre kayıt altında tutulacağı, hangi konuyu ilgilendirdiğine göre değişecektir. Örneğin bir sözleşmeden doğan kişisel veri işleme faaliyeti varsa burada bu veriler ne kadar saklanabilir. Sözleşmenin türüne göre özel bir ayrım olacak mıdır sorularının cevapları değişken kalmaktadır. İş akdinden doğan bir sözleşmede işveren işçinin kişisel veri sayılan bilgilerini ne kadar saklayabilecektir ya da elektronik ticaret kapsamında bir alışveriş sitesinden mesafeli satış sözleşmesi kapsamında ürün almış kişinin verileri ne kadar süre saklanacaktır sorusuna ilgili kanunlarda bununla ilgili bir düzenleme olup olmadığına yönelmemiz gerekecektir.

Peki, ama böyle bir düzenleme yoksa amaç için gerekli olan sürenin tayinini nasıl belirlenecektir. Amaç için gerekli olan sürenin objektif dayanağı ne olacaktır. Burada kişisel verileri koruma kurulunun da görevi olacaktır. Amaç için gerekli olan sürenin tayininde kurul bir süre belirleyip karar verebilecektir ve kurulun verdiği bu süre kararına uymak gerekecektir.

Amaç için gerekli olan süre dolduktan sonra muhafaza edilen bu verilerin akıbetinin ne olacağı sorusuna verilecek olan cevap ise, bu verilerin derhal silinmesi yahut anonim hale getirilmesi zorunluluğu olacaktır. 7.madde kişisel verilerin silinmesi, silinmesi veya anonim hale getirilmesi ile ilgili düzenlemeyi kaleme almıştır. Amaç için gerekli olan sürenin bir gün dahi aşılması verileri yok suçunu oluşturacaktır ki 5237 sayılı ceza kanunun 138.maddesi kapsamında cezalandırılması gerekliliğini oluşturacaktır. Bu yargıya 6698 sayılı kanunun 17/2.maddesinden açıkça ulaşabiliyoruz. Dolayısıyla amaç için gerekli olan sürenin tayini, sonuçları ceza hukukuna sirayet eden bir etkisi bulunması sebebiyle çok ama çok önemli bir durumdur.

Kişisel Verilerin İşlenme Şartları Ve Açık Rıza

6698 Sayılı kanun kişisel verilerin işlenme şartlarını 5.maddede kaleme almıştır. Bu maddede kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez demek suretiyle, kişisel verilerin işlenmesini açık rıza şartına bağlamıştır.

İkinci fıkrada ise istisnai olarak belirli şartların varlığı halinde açık rızanın aranmasına gerek olmadan veri işlemeyi mümkün kılmıştır. Ancak bu istisnai şartların incelemesine burada değinmeyeceğiz. Anayasal bağlamda da kişisel verilerin işlenebilmesi bakımından hukuka uygunluk sağlayan açık rıza kavramı üzerine yoğunlaşacağız. Açık rıza kavramının ne olduğu, hangi unsurlara sahip olması gerektiği bu kavramın içerisini doldurmakta bize yol gösterecektir.

Yukarıda da bahsettiğimiz gibi açık rıza, kaynağını anayasamızdan alan bir hukuka uygunluk hali oluşturmaktadır. Mahiyeti itibariyle de kişisel verileri işleyenler bu rızanın varlığı halinde meşru bir şekilde, kişilerin verilerini işleyebileceklerdir. 6698 sayılı kanun 3/1-a maddesinde “açık rıza, belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı, ifade eder.” şeklinde tanımlanmıştır. Dolayısıyla buradan açık rızada bulunan unsurların; belirli bir konuya ilişkin olması, bilgilendirmeye dayanması ve son olarak da özgür iradeyle açıklanmış olması durumlarının olduğunu anlamaktayız.

Açık rıza verecek olan gerçek kişinin rızası belirli bi konu üzerine belirlenmiş olmalıdır. Rızanın kapsamı bu konu ile sınırlı kalmalıdır. Açık rızanın belirli bir konu üzerinde oluşu rızanın sınırını oluşturmakla beraber, kanunun genel ilkelerinde yer bulan amaçla sınırlılıktan da bağımsız değerlendirilemeyecek ve ikinci bir emniyet supabı gibi işlev görecektir.

Rızayı verecek kişinin hangi hususa rıza vereceği; açık, belirli ve anlaşılır bir şekilde anlatılmalı ve bilgilendirilmesi sağlanmalıdır. Bu aydınlatma farklı kanallarla olabilir. Telefon üzerinden, sesli imza ile olabileceği gibi, elektronik ortamda ilgili bir yerin işaretlenmesi yahut bir aydınlatma metninin imzalanması suretiyle yapılabilir. Dolayısıyla burada şunu eklemekte de yarar vardır. Açık rıza beyanının yazılı bir şekilde alınma zorunluluğunun olmasıdır. Veri kavramından bahsettiğimiz ve bu verilerinin büyük bir çoğunluğunun elektronik ortamlarda muhafaza edildiği düşünüldüğünde yazılı şart aranmaması mahiyetine uygun düşecektir. Dolayısıyla açık rızanın yazılı bir şekilde alınmasına gerek olmadığını rahatlıkla söyleyebiliriz. Ancak asıl önemli olan bu aydınlatmanın açık, anlaşılır, sade ve basit bir dil ile kaleme alınması, aktarılmasıdır. Yani aslında yine genel ilkelerde belirlenmiş hususların açık rıza alınırken de uygulanması, açık rıza kavramının unsurlarının doğasından kaynaklı bir paralellik göstermektedir.

Son olarak da açık rızayı ortaya koyan kişinin bunu özgür bir irade ile ortaya koyması gerekmektedir. Tabi burada üzerinde durmamız gereken bir diğer husus da bu rızayı alabilmek için, ilgili kişilerin iradeyi sakatlayan biçemde öne sürmüş oldukları, zorlayıcı biçemde almış oldukları rızalardır.

Örneğin; internet üzerinden satış yapan sitenin siteye devam edebilmek için kişisel verilerin işlenmesine yönelik açık rıza almak istemesi özgür iradeyi sakatlayan bir durumdur. Verilen rızanın hukuki anlamda bir etkisinin olması düşünülemeyecektir ve bu çerçevede işlenen veriler hukuka aykırı işlenmiş olacaktır. Hatta ve hatta genel ilkelere uyulmaması, amaçla sınırlı olmaması, verilerin gerekli amaç ortadan kalktıktan sonra dahi sistemde tutulması veri işleme faaliyetinin meşru olmayışını bir kat daha etkileyecektir. Yukarıda da bahsettiğimiz gibi ceza hukukuna da bir etkisi sirayet edebilecektir.

Buradan bir diğer ulaşacağımız ve düşünmemiz gereken husus açık rızanın ne zaman alınması gerektiğidir. Kural olarak kişisel verilerin işlenmesinin açık rızaya bağlı oluşu, bu rızanın da işleme faaliyeti gerçekleştirilmeden önce alınmasını gerekli kılacaktır. İşleme faaliyetinden sonra alınan açık rıza, bu faaliyeti meşru kılmayacaktır. Çünkü anayasa ve kanun mu konuda açık bir şekilde belirtmiştir. Kişisel veriler ilgili kişinin rızası olmaksızın işlenemeyecektir.

Açık rızanın belirli bir konu üzerine belirlenmiş olması gerekliliğinden, aydınlatılması, bilgilendirilmesi gerekliliğinden bahsetmiştik, dolayısıyla bu rızanın genel işlem koşulları mantığıyla alınması da bahsettiğimiz ilkeler çerçevesinde uygun düşmeyecektir.

Açık rızanın geri alınabilmesi hususunda ise kanunumuzda bir düzenleme bulunmamaktadır. Ancak rızanın geri alınması kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi hakkındaki yönetmelik md.5 f.2 b.d)’ye göre “kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde ilgili kişinin rızasını geri alması” halinde kişisel verilerin işlenme şartlarının ortadan kalktığı kabul edilmektedir. Dolayısıyla ilgili kişinin açık rızasını geri alabilmesi söz konusudur.

Sonuç

Kişisel verilerin korunması hakkı, bu verilerin işlenmesi faaliyetinde yasal sınırın belirlenmesini de gerekli kılmıştır. Veri işleme faaliyetlerinin hukuka uygunluk gösterip meşru alan içerisinde kalması belirli yükümlülüklerin yerine getirilmesine şartına bağlı tutulmuştur. Burada üzerinde durduğumuz unsurlara veri işleyenler tarafından riayet edilmesi, temel hak ve özgürlüklerin korunması açısından çok önemli bir değere sahiptir. Demokratik toplumların insan haklarına saygılı bir şekilde hukuki işlemleri belirlemesi o devletin ne kadar çağdaş olduğunun da ölçütünü belirler.

Kişilik hakkının, birey kavramının dünyada birçok uluslararası sözleşmelerle de korunması bunun en büyük etkisidir. Kişisel verilerin korunmasına ilişkin düzenlemelerin de varlığı ne kadar özgür bir toplum ve hukuk teminatının olduğunun da yansıması olarak karşımıza çıkacaktır.

Burada bizim altını çizmek istediğimiz en önemli husus ise kişisel verilerin korunmasına ve işlenebilmesine cevaz veren bu ilke ve unsurların etkin bir şekilde işletilememesi sorunudur. Bu düzenlemelerin varlığı ancak bir kişinin zarar görmesi halinde kendisini göstermekte oluşu ve veri işleme faaliyeti gerçekleştirenlerin hukuk dışı olarak bu işlemleri gerçekleştirmesi uygulamaya dair en büyük aksaklıktır. Gerek 6698 sayılı kanunun genel ilkeleri ve gerekse açık rızanın alınışında olan eksiklik veri işleme faaliyetini hukuka uygun olmayan bir işleme faaliyeti olarak kendini göstermektedir.

Veri işleme faaliyetlerinin teknik araçlarla ve yöntemlerle yapılması veri sahibinin, verilerinin hukuka uygun işlenip işlenmediğini kontrol etmede yeterli olamayışı, veri işleyenlerin bahsettiğimiz ilkelere pek de riayet etmeden faaliyetlerini gerçekleştirebilme imkanı sunmaktadır. Çünkü bilinmelidir bu ilke ve esaslara uyum sağlayabilmek, veri işleyen kişiler için bir yük olarak görünmektedir.

Kanunun ön gördüğü düzenlemeler elbette hukuki bir koruma sağlamaktadır ancak ülkemizin gerçekleri çerçevesinde değerlendirdiğimizde nüfusumuzun büyük bir çoğunluğunun farkındalığının olmaması ve birçok kişinin kişisel verilerinin korunması hakkının olduğunu bilmemesi buradaki koruma yöntemlerinin etkisiz kalmasına, verileri işleyen bu kişilerin, bu veriler üzerinden serbestçe ekonomik değer üretme imkanı sağlamaktadır. Bireylerin verileri üzerinden büyük veri analizleri yapmakta, veriye ekonomik bir değer katmakta ve satmaktadırlar. Elbette bu faaliyetleri gerçekleştirmeleri sakıncalı bir durum değildir ancak bunun meşru yollarla yapılması gerekliliği vardır. Denetim mekanizmasının zayıf oluşu düzenlemelerin işlevsiz kalmasına sebep olacaktır. 12.maddesinde veri güvenliğine ilişkin yükümlülükler başlığı altında bir hüküm bulunmaktadır.

Kanunun genel ilkeler başlığı altında düzenlenen hükümleri GDPR ile benzer olarak etkin bir şekilde kaleme alınmıştır, ancak kanunumuzun 12.maddesinde düzenlenen veri güvenliğine ilişkin yükümlülükler kanaatimizce GDPR 32,33,34 de düzenlenmiş hükümler kadar etkin işlevsellik ve işlevsel mekanizma sağlama yönünden yetersiz kalmaktadır.

GDPR kişisel veri ihlali gerçekleştiğinde hak ve özgürlükleri açısında bir riske sebebiyet vermemesi halinde kontrolör 72 saat içerisinde ilgili yetkin makama bildiriyi yapılması gerekliliğini düzenlemiştir. Oysa bizim kanunumuzda bu süre en kısa süre içerisinde olarak belirtilmiştir. Bu en kısa süre ne kadar olacaktır belirli değildir.

KAYNAKÇA

  • Yrd. Doç. Dr. Oğuz ŞİMŞEK – Anayasa Hukukunda Kişisel Verilerin Korunması – Beta – İstanbul – 2008
  • Sedat Erdem AYDIN – AİHM İçtihatları Bağlamında Kişisel Verilerin Kaydedilmesi Suçu, İstanbul Ceza Hukuku ve Kriminoloji Arşivi – XII Levha Yayıncılık, Aralık 2015 – İstanbul
  • Dr. Mine KAYA – Elektronik Ortamda Kişilik Hakkının Korunması – Seçkin Yayıncılık – Eylül 2015 – Ankara
  • Dr. Türkay HENKOĞLU – Bilgi Güvenliği ve Kişisel Verilerin Korunması, Yetkin Yayınları – 2015 – Ankara
  • Furkan Güven TAŞTAN – Türk Sözleşme Hukukunda Kişisel Verilerin Korunması – XII Levha Yayınları – 2.Baskı – Kasım 2017 – İstanbul
  • Yrd. Doç. Dr. Mesut Serdar ÇEKİN – Avrupa Birliği Hukukuyla Mukayeseli Olarak 6698 Sayılı Kişisel Verilerin Korunması Kanunu – XII Levha Yayıncılık – 1.Baskı – Ocak 2018 – İstanbul
  • 6698 Sayılı Kişisel Verilerin Korunması Kanunu
  • Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR)
  • 5237 Sayılı Türk Ceza Kanunu
Rasyotek

Rasyotek