Kişisel Veri Hakkında Bilinmesi Gerekenler ve Gümrük Müşavirleri için Özel İnceleme (2)
Ülkemizde, Kişisel Verilerin Korunması Kanunu haricindeki düzenlemeler
6698 sayılı Kişisel Verilerin Korunması Kanunu ve GDPR


7 Nisan 2016 tarihinde Resmi Gazete’de yayımlanarak yürürlüğe giren Kanun, kamu ve özel sektör ayrımı yapmaksızın, kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektedir.



Ülkemizde, Kişisel Verilerin Korunması Kanunu haricindeki düzenlemeler

· 22/11/2001 kabül tarihli 4721 sayılı Türk Medeni Kanunu’nun 24. Maddesinde “kişilik hakkı” hukuki koruma altına alınmıştır. Kişilik hakkına, özel hayat, aile hayatı ve haberleşmenin gizliliğine dokunulmaması ve kişisel verilerin gizliliği hakkı girmektedir.

· Anayasa’nın 20.maddesine 2010 yılında yapılan değişiklik ile ‘Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.’ hükmü eklenmiştir.

· Avrupa İnsan Hakları Sözleşmesi’nin 8. maddesinde ‘Herkes özel hayatına, aile hayatına, konutuna ve haberleşmesine saygı gösterilmesi hakkına sahiptir.’ hükmü yer almaktadır.

· Türk Ceza Kanunu’nun ("TCK") 135 ila 140. maddelerinde Özel Hayata ve Hayatın Gizli Alanına Karşı Suçlar başlığı altında düzenlenen kişisel verilere ilişkin suçlar mevcuttur.

· Konuya ilişkin İkincil derecede hukuki düzenlemeler olarak İş Kanunu, Bankacılık Kanunu, Banka ve Kredi Kartları Kanunu, Tıbbi Deontoloji Sözlüğü, Elektronik Haberleşme Kanunu, Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğin Korunması Hakkında

Yönetmelik, Elektronik İmza Kanunu, Türk Borçlar Kanunu, Türk Ticaret Kanunu, Nüfus Hizmetleri Kanunu, Resmi İstatistiklerde Veri Gizliliği ve Gizli Veri Güvenliğine İlişkin Usul ve

Esaslar Hakkındaki Yönetmelik ile çeşitli Yargıtay kararları sayılabilir.

6698 sayılı Kişisel Verilerin Korunması Kanunu ve GDPR

Ülkemizde 2016 yılına kadar kişisel verilerin korunması ve gizliliği ile ilgili doğrudan bir kanun yoktu ve bu konuda başarılı bir kamu politikası da belirlenmiş değildi. 2009 yerel seçimlerinde seçime katılan siyasi partilerle paylaşılan, kayıtlı tüm seçmenlerin kişisel verilerinin bir internet sitesi üzerinden belli bir ücret karşılığı erişime açılması örneğinde olduğu gibi [1] devlet belgelerinde yer alan kişisel verilerin korunmasında bile yeni tedbirlerin alınması zaruri hale gelmişti. Son zamanlarda bilişim teknolojilerinin de ülkemizin siyasal yapılanmasında araç olarak kullanıldığı aşikardır. Örneğin telefon dinleme neredeyse telefonun kendisi kadar eskidir, veri toplama ise kimin kim olduğunu araştırmanın yeni yoludur. [2] Sonunda; Avrupa Birliği’ne entegrasyon ve katılım müzakerelerinin itici [3] gücüyle, veri politikamız Kanun ile hayata geçirilebildi.

Gerçekte Türkiye’de veri korunması konsepti, Avrupa Konseyi bünyesinde hazırlanıp, hem üye ülkeler hem de üye olmayan ülkeler bakımından katılıma açık olması esası ile düzenlenen 108 no.lu “Kişisel Verilerin Otomatik İşleme Tâbi Tutulması Karşısında Bireylerin Korunmasına İlişkin Konvansiyon” ve eki niteliğindeki 181 no.lu Protokol’ün Türkiye tarafından da sırasıyla 1981 ve 2001 yıllarında imzalanması ile başlamıştır. Bu Konvansiyon 28.01.1981 tarihinde imzaya açılmış ve 1 Ekim 1985 tarihinde yürürlüğe girmişse de ülkemizde konvansiyonun uygulanabilmesi için gerekli olan hukuki zemin bulunmadığından uzun bir süre Bakanlar Kurulu’nun onayından geçmemiş, yürürlüğe girememiştir. Konvansiyonun onaylanmasına ilişkin karar, ancak 30 Ocak 2016 tarihinde alınabilmiş olup ve onaya ilişkin kanun, 18 Şubat 2016 tarihli Resmi Gazete’de yayımlanmıştır.

Ancak kişisel verilerin korunması konusunun gerçek anlamda bağlayıcı bir metin halinde hayatımıza girişi 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) ile olmuştur. 7 Nisan 2016 tarihinde Resmi Gazete’de yayımlanarak yürürlüğe giren Kanun, kamu ve özel sektör ayrımı yapmaksızın, kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektedir. Kanun, yalnızca yürürlüğünden itibaren işlenecek olan verilerin değil, Kanun’un yayım tarihinden önce işlenmiş olan kişisel verilerin de yürürlük tarihinden itibaren iki yıl içinde Kanun’a uyumlu hale getirilmesini zorunlu tutmuştur. Kanun’un yayım tarihinden önce hukuka uygun olarak alınmış rızalar ise bir yıl içinde aksine bir irade beyanında bulunulmaması halinde Kanun’a uygun kabul edileceklerdir.

Belirtmekte fayda var ki; bu Kanun, artık AB’de yürürlükten kalkmış olan “Avrupa Birliği Konseyi Ve Avrupa Parlamentosu Direktifi” (Directive 95/46/EC) esas alınarak hazırlanmıştır. Yukarıda kısaca bahsedildiği üzere, direktifin yerini güncel gereksinimlere daha uygun ve kapsamlı bir düzenleme olan GDPR almıştır. Bu sebeple Kanun ile GDPR ciddi farklılıklar barındırmaktadır.

Örneğin GDPR’da, kanunun uygulanabilirlik alanı AB’de yerleşik olmayıp AB’de yaşayan kişilere mal ve hizmet sunan kuruluşların da GDPR kapsamına alınması suretiyle genişletilmiştir.

Verinin işlenebilmesi için alınacak rızada veri işleme sebebinin ayrıntılı şekilde bulunması şart koşulmuş ve verilecek onayın işleme faaliyeti özelinde olması gerektiği belirtilmek suretiyle rızanın niteliği ağırlaştırılmıştır. Göze çarpan diğer önemli değişiklik de para cezalarındaki artışlarda olmuştur; cezalar maddi ve manevi tazminatla beraber, 20.000.000 Euro’ya kadar çıkabilmekte veya işletmenin bir önceki mali yılına ait dünya genelindeki cirosunun %4’üne kadar para cezası kesilebilmektedir.

Ayrıca GDPR, direktifte olmayan yeni kavramlara da ev sahipliği yapmaktadır. “Unutulma Hakkı”, “Hesap Verilebilirlik” ilkesi ve her türlü yeni ürün ve servisin tasarlanması aşamasında veri koruması hukuku hükümleri ile uyumluluğun gözetilmesi anlamına gelen “Privacy by Design” ve varsayılan ayarlarla veri gizliliği anlamına gelen “Privacy by Default” gibi.

GDPR, Türkiye’deki şirketler ve gerçek kişiler için de bağlayıcı mı?

Kesinlikle öyle. Avrupa Birliği'ne bağlı ülkeler ve bu ülkelerle iş ilişkileri kuran işletmelerin de GDPR’a uyumlu olması zorunlu. Yani GDPR, sadece AB üyesi ülkeleri değil, bu ülkelerdeki kişi ve kurumlarla iş yapan her kuruluşu doğrudan etkiliyor. Örneğin Türkiye merkezli bir şirket, AB ülkelerindeki şirketlerle ve kişilerle çalışıyor, onlara mal ve hizmet sunuyor yada davranışlarını takip ediyorsa, karşlığında bir ödeme yapılıp yapılmadığına bakılmaksızın GDPR’a uyumlu olma zorunluluğu var. Dolayısıyla veri işleme faaliyetinde bulunan şirketler, GDPR'ın yükümlülüklerini bilmek ve bu yükümlülüklere göre faaliyet göstermek zorundalar.

Küresel Analist Şirketi Ovum, gelişen veri koruma düzenlemelerinin işletmeler üzerindeki etkilerine ilişkin yaptığı uluslararası bir araştırmada, işletmelerin gelecekteki veri gizliliği düzenlemelerine karşı savunmasız olduklarını saptamıştır. Ayrıca bu küresel araştırma raporunda işletmelerin yarısından fazlasının, GDPR nedeniyle para cezasına çarptırılacaklarını düşündüğü, işletmelerin %70’inin regülasyonlara uymak için bütçelerini arttırmak durumunda kalacağını beklediği ve Amerika Birleşik Devletleri’nin veri koruma bakımndan en az güvenilir ülke olduğu ortaya çıktığı belirtiliyor.

6698 sayılı Kişisel Verilerin Korunması Kanunu’yla birlikte Türkiye, Avrupa Birliği açısından güvenli ülke olarak kabul görmek için gerekli temel adımı atmış bulunmaktadır. Kanunun kabul edilmiş olması, her ne kadar Avrupa Birliği nezdinde güvenli ülke olarak kabul görmek için tek başına yetmese de bu aşamanın tamamlanmış olması önemlidir. [4] Kişisel verilerin korunması ile ilgili ikincil derecedeki hukuki düzenlemeler de ancak bu Kanun ile gerçek anlamda uygulanabilirlik kazanmıştır.

Av. Yudum Uğur

Kullanılan kaynaklar:
[1] Karlıdağ, 2013: 146,Ö.Kutlu Ve S.Kahraman, An Analysis of Personal Data Protection Policy in Turkey, Ekim 2017, Cilt: 5, Sayı: 4, ss.45-62
[2] Bart KUSTER, ”Tappingand Data Retention in Ultrafast Communication Networks”, CyberLaw Security & Privacy, haz. Sylvia Mercado KIERKEGAARD, The Seco  nd International Conference on Legal, Security and Privacy Issues in Information Technology (LSPI) 2007,  Beijing, Çin, Ankara Barosu Yayınları, 2. Baskı, Ankara, 2007, s.290
[3] Örneğin, 2008 yılı Avrupa Birliği İlerleme Raporu’nda, kişisel verilerin korunması hususunda; kişisel verilerin korunmasına ilişkin AB Direktifi’ne (95/46/EC Kişisel Verilerin İşlenmesi Ve Bu Tür Verilerin Serbest Dolaşımına Dair Bireylerin Korunması Direktifi) tam uyum arandığı belirtilmiş olup, 2013 yılındaki İlerleme Raporu’nda da veri koruması ile ilgili bir çerçeve kanunun eksikliğine değinilmiştir. İlave olarak, Türkiye’de Siber Güvenlik Kurulu’nun kurulmasına ve Ulusal Siber Güvenlik Stratejisi ve Eylem Planı’nın hazırlanmasına karşın başta e-ticaret alanında olmak üzerekişisel veri koruması alanındaki yasaların çıkartılmaması bir eksiklik olarak değerlendirilmektedir.(Babahanoğlu ve Örselli, 2016: 555, Ö.Kutlu Ve S.Kahraman, An Analysis of Personal Data Protection Policy in Turkey, Research Journal Of Politics, Economics And Management, Ekim 2017, Cilt: 5, Sayı: 4) AB Direktifinde kişisel verilerin üçüncü ülkelere transferi bazı şartlara tabii tutulmuş olup, bu şartları sağlamayan ülkelere veri transferi yapılamayacağından Türkiye’nin Avrupa ülkeleri ile olan ticareti aksatabileceği anlaşıldığında, veri koruma politikasının oluşturulması zorunluluğu anlaşılmıştır.
[4] Taştan, Türk Sözleşme Hukukunda Kişisel Verilerin Korunması, Kasım 2017

<