Türkiye’de kişisel verilerin korunması

Av. Özge HAKDAN ÖZTÜRK / Öztürk&Öztürk Hukuk Bürosu

Kişisel verilerin korunması konusunda ülkemizde halen yürürlüğe girmiş bir kanun bulunmamaktadır. Kişisel Verilerin Korunması Kanun Tasarısı’nın Bakanlar Kurulu’nda imzaya açıldığı haberi yazılı basında yerini aldı. Teknolojinin ışık hızıyla geliştiği bir çağda, kişisel verilerin korunması ile ilgili bu kanunun hala yürürlüğe girmemiş olması düşündürücüdür. 

Günlük hayatımızda çok sık karşılaştığımız bir durum olarak; hemen hemen her gün, cep telefonumuza ya da e-mailimize alakasız yerlerden kısa mesajlar ve e-mailler gelmesi, adını bile duymadığımız kuru temizlemecilerden tutun da çeşitli bitkisel ilaç satıcıları tarafndan sürekli aranmalarımız aslında ülkemizde kişisel verinin korunmasının ne kadar zayıf olduğunun bir göstergesidir.

Bu noktada öncelikle kişisel verinin tanımını yapmak gerekirse, kişisel veri AİHS ve AİHM kararlarına göre “kimliği belirtilen veya belirlenebilen bir kişiyle ilgili bütün bilgiler” olarak tanımlanmıştır. Örnek olarak; cinsiyet, yaş, doğum yeri, doğum tarihi, medeni hal, siyasi veya dini görüşler, tıbbi veriler, polis kayıtları, kişisel harcamalar vb. gibi akla gelebilecek bilgiler kişisel verileri oluşturur. Elbette bu örnekler çoğaltılabilir.

Her ne kadar ülkemizde kişisel verilerin korunması alanında münferit bir kanun bulunmasa da, Türk hukukunda Anayasa ve genel esaslar çerçevesinde kişisel verilerin korunmasına yönelik düzenlemeler olduğunu görüyoruz. 12 Eylül 2010 tarihindeki referandum sonrasında 1981 Anayasası’na “Özel Hayatın Gizliliği” başlıklı 20. maddeye eklenen 3. Fıkra ile kişisel veriler koruma altına alınmıştır: “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.”

Bununla birlikte Türk Medeni Kanunu’nda ‘Kişilik HaklarınınKorunması’nı düzenleyen 23. ve 24. maddeleri uyarınca da, kişisel veriler korunmaktadır. 5237 sayılı Türk Ceza Kanunu’nun Kişisel Verilerin Kaydedilmesi başlıklı 135. maddesinde kişisel verilerin hukuka aykırı olarak kaydedilmesi; 136. maddesinde ise kişisel verileri hukuka aykırı olarak yayma veya ele geçirme fiili suç olarak düzenlenmiştir.

Elbette ki, kişisel verilerin korunmasının anayasa ile güvence altına alınması ve bahsettiğimiz fiilerin ceza kanunu ile suç kapsamına dahil edilmiş olması tam ve yeterli bir koruma sağlamamaktadır. TCK 135. madde ve diğer maddelerin uygulanabilmesi için bu alanda münferit bir kanunun olması gerekmektedir. Zira hukukumuzdaki düzenlemeler yetersiz kalmakta ve uygulama açısından sıkıntılar yaşanmasına neden olmaktadır. 

Ülkemiz, Kişisel Verilerin Otomatik İşlenmesine İlişkin Olarak Bireylerin Korunması Hakkındaki 1981 tarih ve 108 numaralı sözleşmeyi 1981 tarihinde imzalamış, ancak bu sözleşme halen onaylanmamıştır. Hiç şüphesiz ki, bu sözleşmenin onaylanması için tasarı halindeki Kişisel Verilerin Korunması Kanunu’nun bir an önce yürürlüğe girmesi gerekmektedir.  Kişisel verilerin korunması ile ilgili kanun tasarısı Bakanlar Kurulu tarafından Nisan 2008 tarihinde kabul edilmiş ve TBMM Başkanlığı’na gönderilmişti. Maalesef ki bu tasarı Ekim 2008tarihinden beri mecliste kanunlaşmayı beklemektedir. Yazılı basından edinilen bilgiye göre son günlerde Bakanlar Kurulu’nda tasarının imzaya açıldığı bilinmektedir. En kısa zamanda tasarının kanunlaşması ve hukukumuzdaki bu boşluğun doldurulması temennimiz. 

Tasarı maddelerinden kısaca bahsetmek gerekirse; bu kanun tasarısı ile kişisel verilerin işlenmesinde kişinin özel hayatının korunmasının amaçlandığı, Anayasa’nın 17. maddesinde ifade edilen kişinin dokunulmazlığı ilkesinden uyarlandığı ve tasarının 95/46/EC Avrupa Birliği Veri Koruma Direktifi ile paralel bir düzenlemeye sahip olduğu görülmektedir. Tasarı uyarınca, kişisel veriler ancak kişinin açık rızasıyla işlenebilecek, kişisel verilerin üçüncü kişilere aktarılması da sadece kısıtlı hukuki şartlar dahilinde gerçekleşebilecektir. Kişisel verilerin yurtdışına aktarılması da belli koşullar dahilinde gerçekleşebilecektir. 

Türkiye’nin 1981 yılında 108 sayılı Avrupa Konseyi sözleşmesine imza atarak kişisel verilerin korunması ile ilgili altmış olduğu bu adımı, Kişisel Verilerin Korunması Kanun Tasarısı’nı en kısa zamanda yürürlüğe sokarak bu süreci tamamlamasını umuyoruz.