Av. Faruk Çayır/Ankara Barosu
Temel bir insan hakkı olan ifade özgürlüğü açısından kişisel verilerin korunması vazgeçilemeyecek bir haktır. Son yıllarda önemle bahsedilen ve AB ilerleme raporlarında her yıl bir eksiklik olarak belirtilen konulardan olan kişisel verilen korunması alanında en yeni düzenleme 12 Eylül 2010 referandumu ile yapılan Anayasa değişikliği ile Anayasa’nın 20. maddesine getirilen düzenlemedir. Ancak bu düzenleme tek başına yeterli olmayıp bu alana ilişkin özel bir kanun eksikliği dikkati çekmektedir. Belirtmek gerekir ki kişisel verilerin korunması konusunda 1981’ yılında imzalanan 108 nolu Kişisel Veriler Hakkında Avrupa Konseyi Andlaşması Türk Hukuk mevzuatı açısından önemli bir sorun teşkil etmektedir. 1981’de Avrupa Konseyi bağlamında kısaca “108 No’lu Sözleşme” olarak bilinen “Convention for the protection of individuals with regard to automatic processing of personal data” (Kişisel verilerin otomatik işlemden geçirilme sürecinde bireylerin korunması hakkında sözleşme)[1] imzaya açılmış ve Türkiye tarafından da gecikmeksizin imzalanmıştır. Sözleşme daha sonra 1986’da yürürlüğe girmiştir. Ancak 108 Nolu Sözleşme kişisel verilerin korunması konusunda genel ilkeleri tespitle yetinmektedir. Sözleşme’nin uygulanabilmesi için ayrıntıların taraf devletler iç hukuklarında yapılacak düzenlemelerle mümkün olacaktır. Bu nedenle Türkiye henüz bir “Kişisel Verilerin Korunması Hakkında Kanun” yürürlüğe koymuş olmadığından bu sözleşme’ye taraf olamamıştır.
2010 yılında Anayasa değişikliği ile Anayasa’ nın Özel Hayatın Gizliliği başlıklı 20. maddesine getirilen “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.” düzenlemesi ile konuya açıklık getirilmeye çalışılmıştır.
Son dönemlerde gündemde olan Kişisel Verilerin Korunması konusu aslında görüldüğü üzere 1981 yılından bu yana hukuk dünyamızdadır. Ancak Türkiye çeşitli aşamalar ve vesileler ile bu konuda düzenlemeler yapmış olsa da en son 24/03/2016 tarihinde TBMM de kabul edilen ve 7 Nisan 2016 da resmi gazetede yayınlanarak yürürlüğe 6698 Sayılı Kişisel Verilerin Korunması Kanunu ile Kişisel Veriler Koruma altına alınmaya çalışılmıştır. Peki bu kanun ne gibi düzenlemeler içermekte ve eksikleri nelerdir?
1- Kişisel Veri Kavramı
Kişisel veri kavramının tanımlanmasında uluslararası belgelerin hemen hemen tümünde mutabakata varılmış tanım; kişisel verinin doğrudan doğruya ya da dolaylı olarak bir gerçek kişi ile ilintili olabilecek ve onu belirlenebilir kılacak her türlü bilgi olduğudur.
Kişisel Verilerin Korunması Kanun tasarısında kişisel veri kavramı en genel haliyle ele alınmakta olup “ kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” olarak tanımlanmıştır. Bu tanım 108 nolu Kişisel Veriler Hakkında Avrupa Konseyi Antlaşmasının Türkçe’ ye çevrilmiş halidir. Yapılan bu tanım AB ülkelerinde dahi genişletilerek ve daha anlaşılabilir hale getirilerek kullanılmaktadır.
Alman veri koruma mevzuatında kişisel veri tanımlaması yapılırken “kişisel veya olgusal (factual) bilgi” ifadesi kullanılmaktadır. Bu ifade kişiyle ilgili fiili durumları; kanaatler, fotoğraflar, sesli ve görüntülü kayıtlar gibi verisi işlenen kişi ile bağlantılı tüm bilgileri açıkça kapsama almaktadır. [2]
Fransız Bilişim, Dosyalama ve Özgürlükler Kanununda veri koruma terminolojisine ilişkin yapılan tanımlamalar büyük ölçüde VKY ile benzer ifadeler içermektedir. Bununla birlikte kişisel veri tanımı yapılırken “kişinin belirli kılınması değerlendirilirken veri kütüğü sahibinin elinde bulunan veya ulaşabilir durumda olduğu teşhis edici araçların tümü dikkate alınacaktır” ifadesi eklenmiştir. Bu durum Kanun’daki kişisel veri tanımını göreceli hale getirmektedir. Kişiyi belirli kılan araçlara sahip olan veri kütüğü sahibi için veri kişisel veri olurken, bu araçlara sahip olmayan veri kütüğü sahibi için kişisel veri olarak kabul edilmeyecektir.[3]
Nilgün BASALP[4]’ e göre; bir kişinin belirlenebilir kılınması, verilerin doğrudan ya da dolaylı olarak bir gerçek kişiyle ilişkilendirilmesi suretiyle kişinin tanımlanabilmesi, yani sahsın o şahıs olduğunu ortaya çıkarılabilmesi özelliğini ifade eder. Kanun tasarısında kimliği belirli veya belirlenebilir gerçek kişi tanımlamasına açıklık getirilmelidir.
2- Tüzel Kişiler
Kanun tasarısında tüzel kişilere ilişkin herhangi bir düzenleme yapılmamıştır. Gerek Türk Medeni Kanunu gerekse Türk Ticaret Kanunu tüzel kişileri ayrı bir kişilik olarak tanımlamakta ve tüzel kişilere ilişkin yasal düzenlemeler getirmektedir. 108 sayılı sözleşmede de tüzel kişilere ilişkin herhangi bir düzenleme getirilmemiştir. Ancak tüzel kişilere ait verilere ilişkin Avrupa Birliğinin çalışmaları bulunmakta olup, Avrupa İnsan Hakları Mahkemesinin de bu konuda yol gösterici kararları bulunmaktadır.
Alman veri koruma mevzuatında tüzel kişilikler ve ölüler Kanunun koruması altında değildir. Bununla birlikte mesleki gizlilik kurallarında veya hastanelerle ilgili özel kanunlarda ölülerle ilgili veriler için koruma tedbirleri düzenlenmiştir. Tek kişilik ticari faaliyetler ile ilgili bilgiler ise kişisel veri olarak kabul edilmiştir.[5] Bu konuda kanun tasarısında tüzel kişilere ilişkin tedbir niteliğinde düzenlemeler getirilmesi yerinde olacaktır.
3- Muhafaza Süresi Ve Şekli
Kanun tasarısında kişisel verilerin “ilgili mevzuatta öngörülen ve işlendikleri amaç için ön görülen süre kadar muhafaza edilebileceği” öngörülmüştür. Tasarıdaki bu düzenleme süre olarak çok geniş ve yoruma açık bir süreyi kapsamaktadır. Hangi kurumun ne kadar süre ile kişisel verileri muhafaza edebileceğine bir sınırlama getirilmelidir. Aynı zamanda içerik, yani boyut ve miktar olarak da bir sınırlama getirilmelidir.
Bu konuda Alman Veri koruma Mevzuatında amaçla sınırlılık ilkesi ile ilgili olarak kamu sektörüne yönelik oldukça sıkı hükümler getiren Kanunda özel sektöre yönelik düzenlemeler daha rahat hareket edebilmelerini sağlayacak bir yaklaşımla ele alınmıştır. Kanunda dikkat çeken bir hüküm ise farklı amaçlarla toplanan verilerin birbirinden ayrı olarak işlenmesi zorunluluğudur. Kamu sektörüne yönelik sıkı düzenlemeleri, terörle ve organize suçla mücadele kapsamında esnetmeye yönelik çalışmalara karşı Alman Anayasa Mahkemesinin verilerin (iletişim verilerinin) zorunlu muhafazasına dair 02.03.2010 tarihli kararı, amaçla sınırlılık ilkesine bağlı kalınması gerektiğini ve bu ilkenin sadece “mutlak minimum” düzeyinde esnetilebileceğini ortaya koymuştur. Alman Kanununda iki genel ilkeye daha yer verilmiştir. Bunlardan ilki olan “veriden uzak durma (data avoidance) ve veri minimizasyonu” (veya veri ekonomisi) ilkesi temelde gerekli asgari kişisel veriden daha fazla veri toplanmamasını ve toplanan verilerin de imkanlar ölçüsünde anonim veya pseudonim hale getirilmesini şart koşmaktadır. [6]
4- Hukuka Uygunluk Sebepleri Ve Rıza
Kanuna göre kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez. Ancak açık rızanın tanımı yapılmadığı gibi, hangi unsurları içerdiği de belirtilmemiştir. Bu haliyle, kişisel verilerin korunması hakkı açısından en temel ilkelerden olan kişinin açık rızasının bulunması ilkesinin uygulanmasında sorunlar yaşanması muhtemeldir. Bu nedenle, uluslararası belge örneklerinde de açıkça görüldüğü üzere, açık rızanın kişinin özgürce, konuyla ilgili yeterli bilgiye sahip olarak, tereddüde mahal bırakmayacak açıklıkta ve sadece işlemin yapılmasına yetecek ve işlemle sınırlı olarak verdiği onay beyanı olarak tanımlanması gerektiği düşünülmektedir. Burada önemle belirtmek gerekir ki ilgili kişinin yazılı rızasının alınması gerekmelidir. Yazılı rızanın aranması kamu ve özel hukuk tüzel kişileri açısından sınırlama getirmiş ve kişisel verilerin korunmasında önemli bir koruma sağlamış olacaktır. Örneğin, abonelik sözleşmesi imzalayan bir kişinin sözleşme hükümlerine rıza gösterdiğinin kabulü gerekecektir. Ancak, bu sözleşme içine serpiştirilmiş kişisel verilerin işlenmesine ilişkin hususlar bulunması, gereğinden çok kişisel veri toplanması, bu verilerin ilgili şirketin grup şirketleri veya pazarlama şirketleri ile paylaşılabileceğine ilişkin hükümlerin bulunması gibi kişisel verilerin korunmasının temel ilkelerine aykırı durumların önüne geçilmiş olacaktır.
Türk Hukuku’ na özgü istisnai haller yine asıl koşul olan rıza kavramının önüne geçmektedir. Kanuna göre ilgili kişinin rızasının aranmayacağı haller;
- a) Kanunlarda açıkça öngörülmesi.
- b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
- c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması. ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.d) İlgili kişinin kendisi tarafından alenileştirilmiş olması. e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması. f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
108 sayılı Sözleşmeye göre;
“Eğer Akit Taraf Kanununda öngörülen istisna, demokratik bir toplumda:
(a) Devlet güvenliğinin korunması, Kamu güvenliği, Devletin mâli menfaatleri veya suçların önlenmesi için zorunlu bir önlem teşkil ediyorsa,
(b) İlgili şahsın korunması ve başkasının hak ve özgürlükleri için zorunlu bir önlem teşkil ediyorsa.” istisnalar getirilebilir.[7] Sözleşmede sınırlayıcı bir tanım yapılmış iken kanunda bu istisnaların genişletilerek el alınması kişisel verilerin korunması mantığı ile bağdaşmamaktadır.
Fransa’ da Veri Koruma Mevzuatına göre Kanun’da rızanın bulunmaması halinde hukuka uygunluk sebepleri “veri kütüğü sahibinin yasal bir yükümlülüğü ile uyumlu olma” ve “verisi işlenen kişinin hayatının korunması” şeklinde sıralanmıştır.[8]
Alman Veri Koruma Kanununda anonimleştirme tanımı şu şekilde yapılmıştır: “verileri verisi işlenen kişi ile bağlantısı kurulamayacak (veya çok orantısız bir caba ile bağlantı kurulabilecek) şekilde değiştirmek”. Psodonimleştirme ise “İsim ve benzeri niteleyici bilgilerin yerine verisi işlenen kişinin teşhisini imkansız veya daha zor kılacak şekilde bir numara kullanmak” şeklinde tanımlanmıştır. Buna göre anonimleştirilmiş veriler kişisel veri olmaktan çıkmıştır. Pseudonimleştirilmiş veriler ise bunları şifreleyen kişi için kişisel veri iken şifreleme anahtarına sahip olmayan veri kütüğü sahibi acısından kişisel veri değildir.[9]
Yine Alman Veri Koruma Kanunu rızanın geçerliliği ile ilgili olarak katı bir yaklaşım sergilemektedir. Mal ve hizmet sunumu yapan veri kütüğü sahipleri, ilgili amacın gerektirmediği kişisel verilerin verilmesini on koşul haline getiremezler (bu şekilde alınan rıza geçerli değildir). “Link yasağı” denilen hükme göre örneğin, banka ve benzeri kuruluşlar pazarlama gibi gereksiz ikincil amaçlar için verilerinin kullanılmasına rıza göstermelerini müşterilerinden talep edemeyecektir. Rızanın geçerliliğinde bir başka koşul da verisi işlenecek kişinin duruma özgü ve uygun bir şekilde bilgilendirilmesidir. Ayrıca Kanuna göre koşullar başka formatları (telefon veya internet üzerinden) gerektirmediği surece rızanın yazılı olması gereklidir. Ayrıca rıza başka hususlarla birlikte isteniyor veya veriliyorsa rızaya ilişkin bölümler diğerlerinden belirgin olarak ayrılmış olacaktır. [10]
Kamu kurumları görevleri için gerekli olmayan kişisel verileri işlemek amacıyla verisi işlenecek kişilerin rızasını isteyemezler. Veri işlemenin hukuka uygunluk sebeplerinden olan yasal yetki verilmesinin çerçevesi de belirlenmiştir. Buna göre federal veya eyalet düzeyindeki kanunlar ve tüzükler, kamu sektörü toplu iş sözleşmeleri ve AB kuralları bu kapsamda olmakla birlikte, ilgili hükümlerde spesifik olarak ve açıkça veri işleme yetkisi verilmesi veya işlemenin gereklilik olarak belirtilmesi şart koşulmuştur.
Kanunda yukarıdaki istisnai haller neredeyse açık rıza kavramını gereksiz ve geçersiz kılacak ölçüde geniş niteliktedir. Burada ilgili kişinin açık rızasının alınması kamu kurumları ve özel tüzel kişiler açısından oldukça geniş bir alan oluşturmaktadır. Asıl olan kişisel verinin ilgili kişisinden elde edilmesi olmalıdır. Bu istisnalar kamu kurumlarına kişisel verilerin toplanması ve işlenmesi konusunda en yüksek düzeyde veri toplama yetkisi vermektedir. Yani Kanun , kişisel veri sahibi tüm gerçek kişilerin, önceden verilerinin toplanmasına rıza gösterdikleri gibi bir sonuç yaratmaktadır. Bu sebeple istisnaların ucu açık kavramlarla değil en alt düzeyde ve tanımı sınırlı bir şekilde yapılması gerekmektedir.
5- Özel Nitelikli Kişisel Veriler
Kanunun 6. maddesine göre (1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.
(2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.
(3) Birinci fıkrada sayılan kişisel veriler, ilgili kişinin açık rızası aranmaksızın aşağıdaki hallerde işlenebilir:
- a) Kanunlarda açıkça öngörülmesi.
- b) Kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesi.
(4) Özel nitelikli kişisel veriler, ikinci ve üçüncü fıkrada sayılan hâllerde, Kurul tarafından belirlenen yeterli önlemlerin alınması şartıyla işlenebilir.
Daha önce hukuka uygunluk sebepleri ve rıza kavramında belirtmiş olduğumuz gibi yine özel nitelikli kişisel verilere de istisnalar getirilmiş ve bu istisnalar neredeyse her türlü özel nitelikli kişisel verinin ilgili kişinin rızası olmaksızın işlenebilir hale gelmiştir. Çünkü açık rıza içeriğinin ve kapsamının nasıl olacağı net olarak sınırlarının neler olacağı belirtilmediğinden ve özel nitelikli kişisel verilerin işlenmesinde yazılı rıza aranmadığı için telefon, e-mail, SMS yolu ile rıza alınabilecek.
Bu istisnalar arasında özellikle Türkiye açısından büyük tartışmalara yol açan, kişisel sağlık bilgilerinin kişiler ve kuruluşlar tarafından rıza aranmaksızın işlenebilir hale getirilmesi açısından çok büyük istismarlara yol açacak durumdadır. Çünkü kanunun
- madde’ sine göre (6) 7/5/1987 tarihli ve 3359 sayılı Sağlık Hizmetleri Temel Kanununun 3 üncü maddesinin birinci fıkrasının (f) bendi aşağıdaki şekilde değiştirilmiştir.
“f) Herkesin sağlık durumunun takip edilebilmesi ve sağlık hizmetlerinin daha etkin ve hızlı şekilde yürütülmesi maksadıyla, Sağlık Bakanlığı ve bağlı kuruluşlarınca gerekli kayıt ve bildirim sistemi kurulur. Bu sistem, e-devlet uygulamalarına uygun olarak elektronik ortamda da oluşturulabilir. Bu amaçla, Sağlık Bakanlığınca, bağlı kuruluşları da kapsayacak şekilde ülke çapında bilişim sistemi kurulabilir.”
(7) 11/10/2011 tarihli ve 663 sayılı Sağlık Bakanlığı ve Bağlı Kuruluşlarının Teşkilat ve Görevleri Hakkında Kanun Hükmünde Kararnamenin 47 nci maddesi aşağıdaki şekilde değiştirilmiştir.
“MADDE 47- (1) Sağlık hizmeti almak üzere, kamu veya özel sağlık kuruluşları ile sağlık mesleği mensuplarına müracaat edenlerin, sağlık hizmetinin gereği olarak vermek zorunda oldukları veya kendilerine verilen hizmete ilişkin kişisel verileri işlenebilir.
(2) Sağlık hizmetinin verilmesi, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması ve maliyetlerin hesaplanması amacıyla Bakanlık, birinci fıkra kapsamında elde edilen verileri alarak işleyebilir.
(3) Bakanlık, ikinci fıkra gereğince toplanan ve işlenen kişisel verilere, ilgili kişilerin kendilerinin veya yetki verdikleri üçüncü kişilerin erişimlerini sağlayacak bir sistem kurar.
Özel nitelikli kişisel veriler, kişiler açısından kritik öneme sahiptir. Özellikle geçmiş yıllarda karşılaşmış olduğumuz sağlık bilgilerinin Sağlık Bakanlığı tarafından ihale ile şirketler veya 3. Kişilere satılmasının yasal alt yapısını sağlamaya yönelik bir düzenleme olarak gözükmektedir.
6- Kişisel Verilerin Aktarılması
Kanunun 8. Maddesine göre – Kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz.
(2) Kişisel veriler;
- a) 5 inci maddenin ikinci fıkrasında,
- b) Yeterli önlemler alınmak kaydıyla, 6 ncı maddenin üçüncü fıkrasında, belirtilen şartlardan birinin bulunması hâlinde, ilgili kişinin açık rızası aranmaksızın aktarılabilir.
(3) Kişisel verilerin aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.
Hukuka uygunluk sebepleri ve rızanın aranmayacağı istisnai hallerde olduğu gibi Açık rıza olmaksızın verilerin aktarılabileceği istisnai haller çok geniş tutulmuştur. Örneğin bir abonelik sözleşmesi yapılması sırasında, sözleşme yapılan şirket veya kurum sözleşme ile ilgisi olmayan kişisel verileri talep edebilecektir. Bunun dışında kişisel verileri depolama yetkisi bulunan veri sorumlusunun “hukuki yükümlülüğünü yerine getirebilmesi” ve “veri sorumlusunun meşru menfaatleri” için veri işlenmesi söz konusu olabilecek, kişisel verilerinizi diğer üçüncü kişilere aktarabileceklerdir. Örneğin abonelik sözleşmesi imzaladığınız şirket veya kurumun bünyesinde istihdam etmekte olduğu veri sorumlusunun talebine göre sözleşme ile alakalı olmayan kişisel veriler toplanabilecek, işlenebilecek (başka bilgileriniz ile bütünleştirilebilecektir)ve diğer üçüncü kişilere aktarılabilecektir. (örneğin telefon numaranız reklam şirketlerine aktarılabilecektir.)
Ayrıca özel nitelikli kişisel verileriniz örneğin sağlık bilgileriniz ve bu bilgilerle birlikte vermiş olduğunuz bilgileriniz 3. Kişilere aktarılabilecektir. Örneğin Sağlık Bakanlığı ilaç şirketlerine telefon numaranızı aktarabilecektir.
7- Kişisel Verilerin Yurt Dışına Aktarılması
Kanunun 9. Maddesi ile kişisel verilerin yurt dışına aktarılması düzenlenmiş yine aynı şekilde istisnalar geniş tutulmuştur. Telefon, e-mail, SMS yolu ile rızanızın alındığı kişisel verileriniz, özel nitelikli kişisel verileriniz yurt dışına aktarılabilecek. Örneğin rızanızın alındığı sağlık bilgileriniz veya telefon, adres bilgileriniz, kimlik numaranız yurt dışına aktarılabilecek. Başka bir devlet ile Türkiye arasında uluslararaası anlaşmalar “yeterli korumayı sağladığı takdirde”, diğer devlet gerekli koşulları sağlamasa dahi Kurul izni ile kişisel veriler yurt dışına aktarılabilecek. Artık “CIA bizi izliyor” şakasının gerçeğe dönüşmesi işten bile değil.
8- Veri Sorumlusu
Kanuna göre Veri Sorumlusu “Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir.” Kanunun 10,11 ve 12 Maddeleri veri sorumlusunun hak ve yükümlülüklerini düzenliyor. Ancak veri sorumlularının hukuki yükümlülükleri ayrıntılı olarak açıklanmamış. Bu hususun yönetmelik aracılığı ile ayrıca ve ayrıntılı olarak yönetmelik ile düzenleneceğine ilişkin herhangi bir düzenleme bulunmuyor. Oysa kanunun 5. Maddesindeki kişisel verilerin işlenme şartlarındaki istisnalar arasında ç bendinde “Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.” Ve f bendinde “İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.” halinde kişisel veriler rıza aranmaksızın işlenebilir. Bu durumda örneğin abonelik sözleşmesi imzaladığınızda, sözleşmenin tarafı olan şirket benim için telefon, kimlik numarası, adres, e- mail adresi, evde yada iş yerinde kaç kişinin yaşadığı, gece veya gündüz tüketim alışkanlıklarınız v.b. bir çok veriyi işleyebilecektir. Dolayısı ile bu maddeler kişilerin haklarından çok yükümlülük ve sorumluluklarına ağırlık vermektedir.
9- Veri Sorumlusunun Ücret Talep Etmesi
Kanunun 13. Maddesine göre “Veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır. Ancak işlemin ayrıca bir maliyeti gerektirmesi hâlinde Kurulca belirlenen tarifedeki ücret alınabilir.” Bu maddeye göre veri sorumlusu kişisel verisinin toplanması, işlenmesi, aktarılması v.b. taleplerle başvuran kişilerden ücret talep etme hakkına sahip olmaktadır. Bu husus uluslararası sözleşmeler ve genel hukuk ilkeleri arasındaki “hak arama” hakkının önünde ciddi bir engel teşkil etmektedir. Haberiniz olmadan veya çeşitli şekillerde rızanızın alındığı kişisel verilerin doğruluğu, niteliği, işlenme şekli, aktarılması konusunda ücret ödeyerek bilgi edinebileceksiniz.
10- Devlet Sırrı Niteliğindeki Bilgiler İncelenemeyecek
Kanunun 15. Maddesine göre “Devlet sırrı niteliğindeki bilgi ve belgeler hariç, veri sorumlusu Kurulun, inceleme konusuyla ilgili istemiş olduğu bilgi ve belgeleri on beş gün içinde göndermek ve gerektiğinde yerinde inceleme yapılmasına imkân sağlamak zorundadır.”
Madde 28’ e göre (1) Bu Kanun hükümleri aşağıdaki hâllerde uygulanmaz:
ç) Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi.
Bu maddelere göre veri sorumlularını vatandaşlar adına denetleyecek olan Kişisel Verilerin Korunması Kurulu şikayet konusu olsa dahi “Devlet Sırrı” olarak belirlenmiş bilgileri isteyemeyecek. Bu belge ve bilgiler belirli kurumlarca özellikle MİT, Emniyet ve Jandarma birimleri, İstihbarat Birimleri tarafından devlet sırrı kategorisine sokularak Veri Koruma Kuruluna verilmeyebilecek. Kendi özel kanunları ile bu kurum ve kuruluşların yazışma, kayıt, bilgi ve belgeleri devlet sırrı olarak kabul edilmiştir. Kanunun 5. Maddesindeki istisnalar arasında sayılan “Kanunlarda açıkça öngörülmesi.” durumu burada bir daha pekiştirilmiş. Şayet bahsetmiş olduğumuz devlet kurumları şikayet edilmiş ise Kurul hiçbir inceleme yapamayacak, bilgi ve belge isteyemeyecektir.
Bilindiği gibi kişisel verilerin korunması kanun tasarısının 2008 yılından bu yana çeşitli tarihlerde meclis gündemine gelmesine rağmen bir türlü yasalaşamamasının sebeplerinden biri ve en önemlisi de emniyet, jandarma ve istihbarat birimlerinin toplamış olduğu bilgileri bir veri kütüğüne kaydetmeyi reddetmesi ve verileri diğer kurumlarla paylaşmayı reddetmesidir. Bilindiği üzere Türkiye’ de devlet sırrı kavramı çok geniş bir alana yayılmış durumdadır. Devlet Sırrı Kanunu Tasarısı ile düzenleme yapılmaya çalışılsa da tıpkı Kişisel Verilerin Korunması Kanununda olduğu gibi yıllardır halinde kalmaktan öteye geçememiştir. Ülkemizde sır ve gizlilik kategorisi oldukça geniş tutulmuş ve bireylerin bilgiye ulaşma hakları sınırlandırılmıştır. Sır kategorisine giren yaklaşık 50, gizlilik kategorisine giren yaklaşık 75 yasal düzenleme mevcut olup, bazı düzenlemeler her iki kategoriye de girecek şekilde kaleme alınmıştır. Örnek olarak, 6183 sayılı Amme Alacaklarının Tahsil Usulü Hakkında Kanunun 107., 6326 sayılı Petrol Kanunu Kanunun 43., 213 sayılı Vergi Usul Kanununun…1982 Anayasasının 26’ncı maddesinde düşünceyi açıklama ve yayma hürriyetinin hangi amaçlar için sınırlandırılabileceği belirtilirken, amaçlardan biri “Devlet sırrı olarak usulünce belirtilmiş bilgilerin açıklanmaması” olarak gösterilerek devlet sırlarından söz edilmiştir. Yine 28’inci maddede devlete ait gizli bilgilere ilişkin her türlü haber veya yazı yazanların, bastıran ve basanların, bunları başkalarına verenlerin bu suçlara ait kanun hükümleri uyarınca sorumlu tutulacakları açıklanmıştır. Bunun dışında devlet sırrını doğrudan düzenleyen yeknesak bir düzenleme bulunmamaktadır.
Prof. Dr. Çetin ÖZEK’e göre, devlet sırrının niteliği su unsurlara işaretle belirlenmektedir:
- a) Kabul edilebilen “devlet sırrı”, niteliği nedeniyle sır sayılması gereken bilgidir. Ulusal savunmaya, uluslararası ilişkilere, demokratik düzeni korumaya yönelik bilgi örnek gösterilebilir.
- b) Yönetsel gücün kararıyla “devlet sırrı” saptaması genel olarak, demokratik anayasal düzeni korumaya yönelik ve sır sayılması zorunlu bilgiler için kabul edilebilir. Bu saptama da yargı tarafından yapılır.
- c) Devlet sırrı ile ulusal savunma güvencesi arasında nedensel bağlantı olması gerekir.
- d) Tarihsel olguların, diplomatik ilişkilerin ve bilimsel bilgilerin sır olmayacağı kabul edilir.
- e) Hukuka aykırı eylemler “sır” sayılmaz.
- f) Sırrın, kitle iletişim araçlarıyla açıklanması, eğer somut tehlike yaratmıyorsa suç sayılmaz.
- g) Bireyin kendisine ait bilgi, bilginin niteliği ne olursa olsun “sır” sayılmaz.
- h) Bilgilenme hakkı üstün değerde olduğu için, sansür niteliğinde, haber vermek hakkını sınırlayan, “devlet sırrı” saptaması yapılamaz.
- i) “Bilgilenme Hakkı’ nın, devlet sırrı iddiasına karsı korunması da gerekli görülmektedir. Diğer bir deyişle, “bilgilenme hakkı” na güvence yöntemleri uygulanmalıdır.[11]
108 sayılı sözleşme ile ulusal güvenlik, ulusal savunma ve kamu düzeni gibi alanlarda istisnaların getirilebileceği, ancak bu istisnaların kapsam ve sınırlanın belirli ve denetlenebilir olmasının gereği açıkça görülmektedir. Örneğin İtalya da kişisel verilerin işlenmesi ile ilgili olarak temel hak ve özgürlüklerin korunmasından sorumlu yapı olan Garante (Garante per la Protezione dei Dati Personali) isimli veri koruma otoritesinin “emniyet ve istihbarat birimlerince gerçekleştirilen veri işleme faaliyetlerini vatandaşlar adına kontrol etmek” görev ve yetkisine sahiptir.[12]
Kanundaki maddeden anlaşılan, kişiye dair tüm verilerin toplanabilir olduğudur. Bu nedenle belirtmiş olduğum gibi bu tür devlet kurumlarına ilişkin özel bir düzenleme ve sınırlama getirilmesi elzemdir. Aksi taktirde sadece kağıt üzerinde kalan, kadük hale gelmiş bir yasal düzenleme yapılmış olur. Türkiye de asıl olarak veri toplama, işleme ve paylaşma işlemlerini devlet kurumları yapmaktadır. Bu nedenle de vatandaşına güvenmeyen ve potansiyel suçlu olarak gören devlet anlayışından az da olsa sıyrılarak kişileri korumaya yönelik düzenleme getirilmesi Türkiye açısından hayati önem taşımaktadır. İtalya örneğinde olduğu gibi Veri Koruma Kurulu emniyet ve istihbarat birimlerince gerçekleştirilen veri işleme faaliyetlerini vatandaşlar adına kontrol etmek” görev ve yetkisine sahip olmalıdır.
11- Özel Hukuk Tüzel Kişilerince Kişisel Verilerin Toplanması
Bankacılık, sigortacılık, telekomünikasyon, kargo, sağlık, turizm, eğitim, çağrı merkezi ve pazarlama hizmetleri gibi pek çok alanda faaliyet gösteren işletmelerin bilgi sistemleri büyük hacimde kişisel veriyi bünyelerinde barındırmaktadır. Bu şirketlerin, hangi tür kişisel verileri ne şekilde toplayabilecekleri, bunları hangi amaçlarla kullanabilecekleri, kimlerle paylaşabilecekleri, ne kadar süre tutabilecekleri, hangi süre sonunda silecekleri, almaları gereken güvenlik tedbirleri ile kişisel verisi bulunan kişilerin bu verilere erişim, sildirme, düzelttirme gibi haklarını nasıl kullanabileceklerine ilişkin olarak sektör bazlı düzenlemelerin bazı istisnalar dışında yapılmadığı; buna bağlı olarak kişisel veri ihlallerine yönelik denetimlerin gerçekleştirilemediği, ihlallerin tespit edilemediği ve yaptırıma bağlanamadığı, bu nedenlerle özel hukuk tüzel kişileri açısından kişisel verilerin korunmasındaki boşluk ve risklerin önemli boyutlara ulaştığı ve bu konuya ilişkin düzenlemeler yapılması gerektiği açıktır. Kanunda bu konuya ilişkin neredeyse hiçbir düzenleme yapılmamıştır.
12- Veri Koruma Kurumu ve Kurulunun Yapısı
Kanunun 19. Maddesine göre “(1) Bu Kanunla verilen görevleri yerine getirmek üzere, idari ve mali özerkliğe sahip ve kamu tüzel kişiliğini haiz Kişisel Verileri Koruma Kurumu kurulmuştur. (2) Kurum Başbakanlıkla ilişkilidir.”
Kanunun 21. Maddesine göre “1) Kurul, bu Kanunla ve diğer mevzuatla verilen görev ve yetkilerini kendi sorumluluğu altında, bağımsız olarak yerine getirir ve kullanır. Görev alanına giren konularla ilgili olarak hiçbir organ, makam, merci veya kişi, Kurula emir ve talimat veremez, tavsiye veya telkinde bulunamaz. (2) Kurul, yedi üyeden oluşur. Kurulun dört üyesi Bakanlar Kurulu, üç üyesi Cumhurbaşkanı tarafından seçilir.”
Ancak kanunun bu maddesi ile ilgili meclis görüşmeleri sırasında yapılan değişiklik ile , Kişisel Verileri Koruma Kurulunun 7 olan üye sayısı 9’a çıkarıldı. Kurulun 5 üyesi TBMM, 2 üyesi Cumhurbaşkanı, 2 üyesi Bakanlar Kurulu tarafından seçilecek. Tasarının mevcut halinde; 4 üyenin Bakanlar Kurulu, 3 üyenin de Cumhurbaşkanı tarafından seçilmesi öngörülüyor.
Kurul üyesi, herhangi bir siyasi parti üyesi olmayacak. TBMM’nin, Kurula üye seçimi de belirleniyor. Buna göre, seçim için, siyasi parti gruplarının üye sayısı oranında belirlenecek üye sayısının ikişer katı aday gösterilecek ve Kurul üyeleri, bu adaylar arasından her siyasi parti grubuna düşen üye sayısı esas alınmak suretiyle TBMM Genel Kurulunca seçilecek. Ancak, siyasi parti gruplarında, Meclis’te yapılacak seçimlerde kime oy kullanılacağına dair görüşme yapılamayacak ve karar alınamayacak.
Kurul, üyeleri kendi arasından başkan ve ikinci başkanı seçecek. Tasarının mevcut düzenlemesinde, başkan ve ikinci başkanın, üyeler arasından Bakanlar Kurulu tarafından belirlenmesi öngörülüyor.
Kurul üyelerinin görev süresi dört yıl olacak. Süresi biten üye yeniden seçilebilecek. Görev süresi dolmadan herhangi bir sebeple görevi sona eren üyenin yerine seçilen kişi, yerine seçildiği üyenin kalan süresini tamamlayacak.
AB Genel Veri Koruma Tüzük Taslağında da denetleyici otoriteler ile ilgili hususlar çok daha ayrıntılı olarak düzenlenmiştir. Taslakta denetleyici otoritelerin bağımsızlığına ilişkin olarak getirilen ilave koşullar dikkat çekmekte, denetleyici otorite üyelerinin seçilme koşulları da ayrıntılı olarak sayılmaktadır. Buna göre;
–DENETLEYİCİ OTORİTENİN ÜYELERİ MECLİS YA DA HÜKÛMET TARAFINDAN ATANACAKTIR.
-ÜYELER BAĞIMSIZLIĞI ŞÜPHE GÖTÜRMEYEN VE KİŞİSEL VERİLERİN KORUNMASI ALANINDA DENEYİMLERİ İLE YETERLİLİKLERİ BİLİNEN KİŞİLERDEN SEÇİLECEKTİR.
-ÜYENİN GÖREVİ, GÖREV SURESİNİN DOLMASI, İSTİFA VEYA ZORUNLU EMEKLİLİK YAŞI İLE SONA ERECEKTİR.
-Üyenin görevinin gereklerini yerine getirmek için gerekli şartları sağlayamaması veya ciddi bir usulsüzlükten hüküm giymesi durumunda ilgili mahkeme tarafından azledilebilecek veya emekliye sevk edilebilecektir.[13]
Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunmasına DAİR 108 SAYILI SÖZLEŞMENİN EK PROTOKOLÜ denetleyici otoriteleri (supervisory authority) düzenlemektedir. Taraf devletlere iç hukuklarında Sözleşmeye uygun olarak yürürlüğe koydukları yasal düzenlemelerin uygulanmasını izlemeden sorumlu bir denetleyici otorite oluşturma yükümlülüğü getirmeyen 108 sayılı Sözleşme’nin bu eksikliği, 2004 yılında yürürlüğe giren ek Protokol ile giderilmiştir. Protokol’ün 1. maddesi, taraf devletlere kendi iç hukuklarında aldıkları önlemlerin Sözleşme ve Protokol’de yer alan ilkelere uygunluğunu güvence altına almaktan sorumlu olacak bir ya da birden fazla denetleyici otorite oluşturma zorunluluğu getirmektedir. BU DENETLEYİCİ OTORİTELER ÖZELLİKLE SORUŞTURMA (İNVESTİGATİON) VE MÜDAHALEDE BULUNMA YETKİSİNE VE AYNI ZAMANDA HUKUKİ SURECE DÂHİL OLMA VE KİŞİSEL VERİLERİN İŞLENMESİ İLE BAĞLANTILI OLARAK BİREYLERİN KENDİ TEMEL HAK VE ÖZGÜRLÜKLERİNİ KORUMAK AMACIYLA YAPTIKLARI ŞİKAYETLERİ İNCELEME YETKİSİNE SAHİP OLMALIDIRLAR.[14]
Uluslararası düzenlemelerde neredeyse bütün ülkelerde bu otoritelerin üzerlerine düşen görevi gerektiği şekilde yerine getirebilmeleri için BAĞIMSIZ (İNDEPENDENT), TARAFSIZ (İMPARTİAL) VE TEKNİK KAPASİTE AÇISINDAN YETKİN VE YETERLİ (TECHNİCALLY COMPETENT) YAPIDA OLUŞTURULMALARINA VURGU YAPILMIŞTIR.[15] Kişisel Verilerin Korunması Kanununda Başbakanlığa bağlı bir Kişisel Verileri Koruma Kurumu oluşturulması öngörülmektedir. Kelime anlamı olarak özerklik bir topluluğun, bir kuruluşun ayrı bir yasaya bağlı olarak kendini yönetme hakkıdır. Mali özerklik, bir kamu tüzel kişisinin kendi kaynaklarından serbestçe yararlanarak kendi harcamalarını yönetmesi durumudur. İDARİ VE MALİ ANLAMDA TAMAMEN ÖZERK BİR KURUM OLUŞTURULMASI AÇISINDAN GENEL BÜTÇEDE SAYIŞTAY DENETİMİNE AÇIK VE KENDİ BÜTÇESİNE SAHİP BİR KURUM OLUŞTURULMASI DAHA YERİNDE OLACAKTIR.
KİŞİSEL VERİLERİN KORUNMASI KURULUNUN BAŞBAKANLIK İLE İLİŞKİLİ OLMASI İDARİ ANLAMDA VE MALİ ANLAMDA ÖZERK BİR KURUM OLAMAYACAĞINI ORTAYA KOYMAKTADIR.
Günümüzdeki tek parti hükümetine dayanan ve yürütmenin tamamen tek partiden oluştuğu gözetildiğinde Bakanlar Kurulunca yapılacak atamalar tartışmaya açık olacaktır. Aynı zamanda yürütme açısından bir nevi imza ve denetim makamı olan Cumhurbaşkanlığınca atama yapılması da daha büyük bir sorun teşkil etmektedir. Ayrıca kanun tasarısında yapılan değişiklik ile yine parti grubuna göre AKP milletvekillerinin de TBMM tarafından seçilecek 5 kişi içerinden oy oranına göre öneri de bulunma hakkı olacaktır. Tasarının meclise gönderildiği haline göre kabul edilen maddede kısmen iyileşme olsa da Kurul üyelerinin çoğunluğunun yine hükümet tarafından belirleneceği açıktır. Günümüz Türkiye’ sinde Başbakanlık, Cumhurbaşkanlığı makamı ve Başkanlık Sistemi tartışmaları göz önüne alındığında tek bir kişi tarafından atama yapılması kaçınılmaz olacaktır.
BU NEDENLE KANUNDAKİ BU DÜZENLEMENİN BAKANLAR KURULU VE CUMHURBAŞKANIN ÜYE ATAMA YETKİSİ OLMAKSIZIN SADECE MECLİSTE GRUBU BULUNAN PARTİLERİN OY ORANLARINA GÖRE KURUL ÜYESİ SEÇİMİ YAPILMASI ŞEKLİNDE DEĞİŞTİRİLMESİ EN AZINDAN ATAMA ANLAMINDA DAHA KATILIMCI BİR YAPI OLUŞMASINI SAĞLAYACAK İDİ. ANCAK KABUL EDİLEN MADDE İLE YİNE KURUL ÜYELERİNİN ÇOĞUNLUĞU HÜKÜMET TARAFINDAN ATANMIŞ OLACAKTIR.
13- Kamu Kurum ve Kuruluşlarına, Kişisel Verilerin Korunması Kanununa Göre Ceza Uygulaması Bulunmamakta
Kanunun 17. Ve18. Maddesinde Suçlar Ve Kabahatler bölümünde düzenlenmiştir. Bu maddelere göre kanuna aykırı hareket eden kamu kurum ve kuruluşlarına ilişkin herhangi bir ceza verilmesi söz konusu olamayacaktır. Suç ve cezaların şahsiliği ilkesi gereğince kanuna aykırı hareket edenlere Türk Ceza Kanunu Kapsamında ve bu kanun kapsamında ceza verilebilecektir ancak kamu kurumlarına idari para cezası uygulaması olmayacaktır. Türkiye’ de en fazla kişisel verilerin toplandığı ve paylaşıldığı yerler kamu kurum ve kuruluşlarıdır. Bu sebeple de her ne kadar suç veya kabahat işleyen kamu çalışanlarının sorumluluğu bulunsa da kamu kurum ve kuruluşlarına da idari para ceza verilebilmesi kesinlikle düzenlenmelidir.
14- Türk Ceza Kanununun 135-140. Maddelerinin Uygulanması
2012 değişiklikleri ile Türk Ceza Kanununa giren Kişisel Verilerin Korunması 135-140. Maddelerde düzenlenmiştir. Ancak Türk Ceza Kanunundaki düzenlemeler ile Kişisel Verilerin Korunması Kanununu birbirleri ile çelişen hükümler içermektedir.
6698 sayılı Kişisel Verilerin Korunması Kanununun 2. Maddesine göre “Bu Kanun hükümleri, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır.” Dolayısıyla otomatik olarak işlenmeyen veya Herhangi bir veri kayıt sisteminin parçası olmayan yollarla işlenen kişisel veriler bu kanun hükümlerine tabi olmayacaktır. Türk Ceza Kanununun 136. Maddesi otomatik işleme veya herhangi bir veri kayıt sisteminin parçası olmak şartı aramamıştır. Ancak Kişisel Verilerin Korunması Kanunu yukarıda bahsetmiş olduğumuz üzere otomatik işleme veya herhangi bir veri kayıt sisteminin parçası olmak şartını aramaktadır.
Bu kanun ile birlikte kurulan Kişisel Verilerin Korunması Kurulunun 22. Maddeye göre görev ve yetkileri “a) Kişisel verilerin, temel hak ve özgürlüklere uygun şekilde işlenmesini sağlamak.
- b) Kişisel verilerle ilgili haklarının ihlal edildiğini ileri sürenlerin şikâyetlerini karara bağlamak.
- c) Şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen görev alanına giren konularda kişisel verilerin kanunlara uygun olarak işlenip işlenmediğini incelemek ve gerektiğinde bu konuda geçici önlemler almak.
ç) Özel nitelikli kişisel verilerin işlenmesi için aranan yeterli önlemleri belirlemek.
- d) Veri Sorumluları Sicilinin tutulmasını sağlamak.
- e) Kurulun görev alanı ile Kurumun işleyişine ilişkin konularda gerekli düzenleyici işlemleri yapmak.
- f) Veri güvenliğine ilişkin yükümlülükleri belirlemek amacıyla düzenleyici işlem yapmak.
- g) Veri sorumlusunun ve temsilcisinin görev, yetki ve sorumluluklarına ilişkin düzenleyici işlem yapmak.ğ) Bu Kanunda öngörülen idari yaptırımlara karar vermek.
- h) Diğer kurum ve kuruluşlarca hazırlanan ve kişisel verilere ilişkin hüküm içeren mevzuat taslakları hakkında görüş bildirmek.”
Bu madde metninden de anlaşılacağı üzere Kişisel Verilerin Korunması Kurulu Şikayet üzerine veya görev alanına giren konularda kendiliğinden inceleme ve karar verme yetkisine sahiptir. Türk Ceza Kanununun 139. Maddesine göre “Kişisel verilerin kaydedilmesi, verileri hukuka aykırı olarak verme ve ya ele geçirme ve verileri yok etmeme hariç, bu bölümde yer alan suçların soruşturulması ve kovuşturulması şikayete bağlıdır.” Herhangi bir şikayet olmaması veya şikayetin geri alınması durumunda kişisel verileri kanuna aykırı işleyen ceza almayabilecektir.
Türk Ceza Kanununun 136. Maddesine göre “Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi” cezalandırılmaktadır. Görüldüğü üzere gerçek veya tüzel kişi ayrımı yapılmamıştır. Aynı zamanda T.C.K. nın 140. Maddesine göre “Yukarıdaki maddelerde tanımlanan suçların işlenmesi dolayısıyla tüzel kişiler hakkında bunlara özgü güvenlik tedbirlerine hükmolunur.” Dolayısıyla Türk Ceza Kanununa göre tüzel kişilere ilişkin ceza verilebilmektedir. Ancak Kişisel Verilerin Korunması Kanununu sadece gerçek kişilere ilişkin yaptırım uygulamaktadır.
Genel hukuk kuralı olarak Genel Kanun ile Özel Kanun Aynı anda aynı olayı düzenleyen biri genel diğeri özel iki ayrı kanun yürürlükte bulunduğu takdirde eğer önceki kanun genel yeni kanun özel ise, bu takdirde olaya özel olan yeni kanun hükümleri uygulanmalıdır. Bu durumda Genel Kanun olan Türk Ceza Kanunu ile Özel Kanun olan Kişisel Verilerin Korunması Kanunu birbiri ile çelişmesi durumunda sonradan çıkarılan özel kanun olan Kişisel Verilerin Korunması Kanunu uygulanacaktır. Ancak görüldüğü üzere birbiri ile çelişen hükümler nedeniyle kanunun uygulamasında bir çok suiistimal ve cezasızlık durumu ortaya çıkacaktır.
16- Kişisel Verilerin Kanununun Yürürlük Maddes
Kişisel Verilerin Korunması Kanununun 32. Maddesine göre “Bu Kanunun,
- a) 8 inci, 9 uncu, 11 inci, 13 üncü, 14 üncü, 15 inci, 16 ncı, 17 nci ve 18 inci maddeleri yayımı tarihinden altı ay sonra,
- b) Diğer maddeleri ise yayımı tarihinde, yürürlüğe girer.” Bu maddeye göre kanunun en önemli maddeleri olan kişisel verilerin üçüncü kişilere aktarılması ve yurt dışına aktarılması ve hakları ihlal edilen ilgili kişilerin hakları hususunda 6 ay gibi uzunca bir süre koruma sağlanmaması ciddi tehlikeler yaratmaktadır. Bu durumda 6 boyunca kanun askıda olacak ve bu konularda hakları ihlal edilen kişilerin verileri koruma kapsamında olmayacaktır.
DİPNOTLAR:
[1] (http://www.avrupakonseyi.org.tr/antlasma/aas_108.htm)
[2] Devlet Denetleme Kurulu 27-11-2013 Tarih 2013-3 Sayılı Kişisel Verilerin Korunması Raporu, sayfa 122.
[3] Devlet Denetleme Kurulu 27-11-2013 Tarih 2013-3 Sayılı Kişisel Verilerin Korunması Raporu, sayfa 112.
[4] BASALP, Nilgün, Kişisel Verilerin Korunması ve Saklanması, Ankara 2004, sayfa 16.
[5] Devlet Denetleme Kurulu 27-11-2013 Tarih 2013-3 Sayılı Kişisel Verilerin Korunması Raporu, sayfa 123.
[6] Devlet Denetleme Kurulu 27-11-2013 Tarih 2013-3 Sayılı Kişisel Verilerin Korunması Raporu, sayfa 124.
[7] http://www.avrupakonseyi.org.tr/antlasma/aas_108.htm
[8] Devlet Denetleme Kurulu 27-11-2013 Tarih 2013-3 Sayılı Kişisel Verilerin Korunması Raporu, sayfa 113.
[9] Devlet Denetleme Kurulu 27-11-2013 Tarih 2013-3 Sayılı Kişisel Verilerin Korunması Raporu, sayfa 122.
[10] Devlet Denetleme Kurulu 27-11-2013 Tarih 2013-3 Sayılı Kişisel Verilerin Korunması Raporu, sayfa 125.
[11] Prof. Dr. Çetin ÖZEK, Basın Özgürlüğünden Bilgilenme Hakkında adlı kitabı sayfa 61-71 arası. Alfa Yayınları. Eylül 1999.
[12] Devlet Denetleme Kurulu 27-11-2013 Tarih 2013-3 Sayılı Kişisel Verilerin Korunması Raporu, sayfa 152.
[13] Kişisel Verilerin İşlenmesi Ve Serbest Dolaşımı Karşısında Bireylerin Korunması Tüzüğü Taslağı (Genel Veri Koruma Tüzüğü Taslağı)
[14] 2001 yılında Sözleşme için bir Ek Protokol imzaya açılmış, 2004 yılında yürürlüğe girmiştir. “Additional Protocol to the Convention for the Protection of Individuals with Regard to Automatic Processing of Personal Data, Regarding Supervisory Authorities and Transborder Data Flows, Strasbourg, 8.XI.2001, European Treaty Series No.181”
[15] Devlet Denetleme Kurulu 27-11-2013 Tarih 2013-3 Sayılı Kişisel Verilerin Korunması Raporu, sayfa 714.
KAYNAKÇA
http://www.avrupakonseyi.org.tr/antlasma/aas_108.htm
http://www.abgs.gov.tr/files/pub/antlasmalar.pdf
108 sayılı Sözleşme için Ek Protokol, 2001.
AKILLIOGLU, Tekin, İdari Usul ve Kişisel Verilerin Korunması, Makale (http://www.idare.gen.tr/akillioglu-idariusul.htm)
AKSOY, Hüseyin Can, Kişisel Verilerin Korunması, Çakmak Yayınevi, Ankara, 2010.
ATAK, Songül, Avrupa Konseyinin Kişisel Veriler Açısından Sağladığı Temel Güvenceler, TBB Dergisi, Sayı 87, 2010.
BASALP, Nilgün, Kişisel Verilerin Korunması ve Saklanması, Ankara 2004.
BEYLİ Ceyli, “Kişisel Nitelikteki Verilerin Korunmasına İlişkin Kanun Tasarısı Üzerine Eleştiriler” (http://www.bilisimsurasi.org.tr/hukuk/docs/tbs_kisisel_veri_ceylin_beyli_gorus1.) (Erişim tarihi: 15/10/2011).
Devlet Denetleme Kurulu 27-11-2013 Tarih 2013-3 Sayılı Kişisel Verilerin Korunması Raporu.
İLKİZ, Fikret: Kişisel Verilerin Korunması ve Kanun Tasarısı, Güncel Hukuk Dergisi, Temmuz 2009/7-67, s. 12-23.
Kişisel Verilerin İşlenmesi Ve Serbest Dolaşımı Karşısında Bireylerin Korunması Tüzüğü Taslağı (Genel Veri Koruma Tüzüğü Taslağı)
ÖZEK, Çetin, Basın Özgürlüğünden Bilgilenme Hakkına, Alfa Yayınları, Eylül 1999.
ŞİMŞEK, Oğuz, Anayasa Hukukunda Kişisel Verilerin Korunması, İstanbul, 2008.
YILDIRIM, A. ve ŞİMŞEK, H. Sosyal Bilimlerde Nitel Araştırma Yöntemleri, Ankara: Seçkin Yayınları. 2005.