Teknolojik gelişmeler, kamu kurum ve kuruluşları ile şirketler tarafından bilişim teknolojilerinin kullanımının artması, sosyal medyanın ortaya çıkması, cep telefonu ve bilgisayar gibi teknolojik cihaz kullanımının yaygınlaşması gibi sebeplerle, kişisel verilerimiz daha fazla kişi tarafından ulaşılabilir ve işlenebilir hâle gelmiştir. Özel hayatımızın bir parçası olan bu kişisel verilerimizin korunması için devletler 1970’li yıllardan beri hem ulusal hem de uluslararası düzenlemeler yapmaktadır. Bu düzenlemelerle kişisel verilerin korunması bir hak olarak kabul edilmiş ve kişisel verilerin işlenmesi ve aktarılması ile ilgili temel ilkeler, esas ve usuller ile denetim mekanizmaları belirlenmiştir. Bu yazımızda, kişisel verilerin korunması ile ilgili ulusal ve uluslararası hukuki düzenlemelere yer verilecek ve başta Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) olmak üzere, kişisel verilerin korunması alanında öncü ve örnek metin teşkil edebilecek uluslararası metinlere değinilecektir.
Kişisel Verilerin Korunması ile ilgili İlk Düzenlemeler
Kişisel verilerin korunması ile ilgili ilk düzenleme 30 Eylül 1970 tarihinde Almanya – Hessen Eyaleti tarafından düzenlenen veri koruma kanunudur. Ülke çapında yapılan ilk kanun ise 1973 tarihli İsveç Veri Kanunu’dur. Bu kanunları 1978 tarihli Fransa ve Federal Almanya Veri Koruma Kanunları takip etmiştir. Bu kanunlar, kişisel verilerle ilgili ortaya çıkabilecek risklere karşı gerekli hukuki korumaların sağlanması amacıyla çıkarılmıştır. Uluslararası alanda yapılan ilk düzenlemeler ise, Avrupa Konseyi tarafından elektronik veri bankalarında tutulan kişisel verilerin korunması için gerekli standartları belirlemek amacıyla kabul edilen 1973 ve 1974 tarihli kararlardır. Bu kararlar, kişisel verilerin korunması alanında sonradan çıkarılan düzenlemelere öncülük etmiş ve kaynak teşkil etmiştir.
4 Kasım 1950 tarihli Avrupa İnsan Hakları Sözleşmesi
Avrupa Konseyi tarafından hazırlanarak 4 Kasım 1950 tarihinde imzalanan ve 3 Eylül 1953 tarihinde yürürlüğe giren Avrupa İnsan Hakları Sözleşmesi kapsamında kişisel verilerin korunmasına dair doğrudan düzenleme bulunmamaktadır. Bununla birlikte, Avrupa İnsan Hakları Sözleşmesi’nin 8’inci maddesinde “Özel ve Aile Hayatına Saygı Hakkı” düzenlenmiş ve Avrupa İnsan Hakları Mahkemesi tarafından geliştirilen içtihatlar ile kişisel veriler koruma altına alınmıştır.
23 Eylül 1980 tarihli OECD Özel Yaşamın Korunması ve Kişisel Verilerin Sınır Ötesi Akışına İlişkin Rehber İlkeleri
Kişisel verilerin korunması ile ilgili olarak OECD tarafından 23 Eylül 1980 tarihinde “Özel Yaşamın Korunması ve Kişisel Verilerin Sınır Ötesi Akışına İlişkin Rehber İlkeleri” yayımlanmıştır. OECD tarafından yayımlanan rehber ilkeler, veri koruma alanında uluslararası ilk düzenleme olması sebebiyle büyük öneme sahiptir. Rehber ilkeler, tavsiye niteliğinde olması sebebiyle, üye devletler açısından herhangi bir bağlayıcılığa sahip değildir. Bununla birlikte, kişisel verilerin korunması alanında devletler açısından itici bir güç oluşturduğu kabul edilebilir. OECD tarafından yayımlanan rehber ilkeler şunlardır:
- Veri toplamanın sınırlılığı ilkesi
- Veri kalitesi ilkesi
- Belirli amaç ilkesi
- Kullanımın sınırlılığı ilkesi
- Veri güvenliği ilkesi
- Açıklık ilkesi
- Bireyin katılımı ilkesi
- Hesap verilebilirlik ilkesi
28 Ocak 1981 tarihli ve 108 sayılı Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi
Kişisel verilerin korunması ile ilgili uluslararası alanda yapılan ilk sözleşme, 28 Ocak 1981 tarihli ve 108 sayılı Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesidir. Sözleşme, 1 Ekim 1985 tarihinde yürürlüğe girmiştir. Sözleşmenin temel amacı, her üye ülkede, uyruğu veya ikametgâhı ne olursa olsun gerçek kişilerin, temel hak ve özgürlüklerini ve özellikle kendilerini ilgilendiren kişisel nitelikteki verilerin otomatik yollarla işleme tabi tutulması karşısında özel yaşam haklarını güvence altına almaktır. Sözleşme, OECD tarafından yayımlanan ilkelerden farklı olarak, yalnızca otomatik yollarla işlenen kişisel verileri kapsamakta ve taraf devletler bakımından bağlayıcı nitelik taşımaktadır. Buna göre taraf devletler, sözleşme uyarınca sözleşmede belirlenmiş ilkeleri kendi iç hukuk düzenlerine aktarmakla yükümlüdürler.
Sözleşme, Türkiye tarafından 28 Ocak 1981 tarihinde imzalanmış olmasına rağmen, kişisel verilerin korunması ile ilgili iç mevzuatta gerekli düzenlemeler yapılmadığı için, Sözleşme’ye uygun bir kanun çıkarılmamıştır. 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun kabul edilmesinden sonra, 30 Ocak 2016 tarihinde Sözleşme onaylanmış ve iç hukukumuzun bir parçası hâline getirilmiştir.
14 Aralık 1990 tarihli BM Bilgisayarla İşlenen Kişisel Veri Dosyalarına İlişkin Rehber İlkeleri
Birleşmiş Milletler tarafından 14 Aralık 1990 tarihinde “Bilgisayarla İşlenen Kişisel Veri Dosyalarına İlişkin Rehber İlkeleri” yayımlanmıştır. Bu ilkelerin amacı, üye devletlerde kişisel verilerin korunması alanında asgari standartları belirlemektir. BM Rehber İlkeleri, kişisel verilerin korunması alanında bağımsız ve denetleyici bir makam kurulmasını öngören uluslararası ilk belge olarak tarihe geçmiştir. Bununla birlikte, BM Rehber İlkeleri, kişisel verilerin korunması alanında OECD Rehber İlkeleri ve 108 sayılı Sözleşme kadar etki yaratamamıştır.
24 Ekim 1995 tarihli ve 95/46/EC sayılı Kişisel Verilerin İşlenmesi ve Serbest Dolaşımı Bakımından Bireylerin Korunmasına İlişkin Direktif
Avrupa Birliği, kişisel verilerin korunması ile ilgili üye devletlerin mevzuatlarını uyumlu hâle getirmek amacıyla, 1995 yılında 95/46/EC sayılı Kişisel Verilerin İşlenmesi ve Serbest Dolaşımı Bakımından Bireylerin Korunmasına İlişkin Direktifi kabul etmiştir. Avrupa Birliği üyesi devletlerin kişisel verilerin korunması ile ilgili mevzuatları bu direktife dayanmaktadır. Benzer şekilde, ülkemizde 6698 sayılı Kişisel Verilerin Korunması Kanunu hazırlanırken bu direktif esas alınmıştır. Ayrıca, Avrupa Birliği tarafından bu direktif esas alınarak, elektronik haberleşme alanında kişisel verilerin korunması amacıyla, 2002 yılında 2002/58/EC sayılı Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Özel Hayatın Gizliliğinin Korunmasına İlişkin Direktif çıkarılmıştır.
95/46/EC sayılı Kişisel Verilerin İşlenmesi ve Serbest Dolaşımı Bakımından Bireylerin Korunmasına İlişkin Direktifin amacı, Avrupa Birliği dâhilinde kişisel verilerin aynı düzeyde ve benzer ilkeler dâhilinde korunmasını sağlamak ve Avrupa Birliği sınırlarında serbest ve güvenli bir şekilde dolaşımı sağlamaktır. Direktiften önce Fransa, Almanya, İsveç gibi Avrupa ülkelerinde kişisel verilerin korunmasına dair düzenlemeler bulunmaktaydı; fakat yasal düzenlemelerde bir birlik bulunmamaktaydı. Avrupa Birliği’ne üye devletler, Avrupa Birliği tarafından çıkarılan direktifler uyarınca, iç hukuklarında gerekli yasal düzenlemeleri yapma yükümlülüğündedirler. Bu yasal düzenlemeler, direktiflerde belirtilen asgari standartları sağlamak zorundadır. Dolayısıyla, 95/46/EC sayılı Kişisel Verilerin İşlenmesi ve Serbest Dolaşımı Bakımından Bireylerin Korunmasına İlişkin Direktif ile Avrupa Birliği dâhilinde tüm ülkelerin kişisel verilerin korunması alanında eşit düzeye gelmesi ve ortak bir yaklaşımın sürdürülmesi amaçlanmıştır.
Direktif, kişisel verilerin tamamen veya kısmen otomatik yollarla ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla diğer yollarla işlenmesi hakkında uygulanmak üzere hazırlanmıştır. Direktif kapsamında, yalnızca gerçek kişilerin kişisel verileri güvence altına alınmış ve kişisel verilerin işlenmesi ile ilgili temel ilkeler belirlenmiştir. Buna göre, kişisel veriler hukuka ve dürüstlük kuralına uygun bir şekilde, önceden belirlenmiş açık ve meşru amaçlar için, amaç ile bağlantılı ve ölçülü olarak, doğru ve gerektiğinde güncellenecek şekilde işlenmelidir. Direktifin amacı, kapsamı ve temel ilkeleri incelendiğinde, ülkemizde Kişisel Verilerin Korunması Kanunu’nun direktife uygun hazırlandığı sonucuna varılabilmektedir.
7 Aralık 2000 tarihli Avrupa Birliği Temel Haklar Şartı
Avrupa Birliği’ne üye ülkelerdeki temel hak ve hürriyetlerin bir araya getirilerek toplanması amacıyla, 7 Aralık 2000 tarihinde Nice şehrinde Avrupa Birliği Temel Haklar Şartı imzalanmıştır. Kişisel verilerin korunması hakkı, Avrupa Birliği Temel Haklar Şartı’nın özgürlükler başlığı altında bir temel hak olarak kabul edilmiştir. Bu durum, Avrupa İnsan Hakları Sözleşmesi’nden farklı olarak, kişisel verilerin korunması hakkının özel hayatın gizliliği hakkından bağımsız olarak değerlendirilmesi açısından büyük önem taşımaktadır.
8 Kasım 2001 tarihli ve 181 sayılı Denetleyici Makamlar ve Sınır Aşan Veri Akışına İlişkin Ek Protokol
Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi’nin uygulanmasına dair usul ve esasların belirmesi amacıyla Avrupa Konseyi tarafından bugüne kadar 20 tavsiye kararı çıkarılmıştır. Ayrıca, 2001 yılında Sözleşmeye ek olarak 181 sayılı Denetleyici Makamlar ve Sınır Aşan Veri Akışına İlişkin Ek Protokol kabul edilmiştir. Ek protokol ile kişisel verilerin üçüncü ülkelere transferine ilişkin yeterli koruma seviyesi sağlayamayan ülkelere veri transferi yasaklanmış ve taraf devletler, ülkelerinde uygulanmak üzere kişisel verilerin korunması alanında görevlerini tam bağımsızlıkla yerine getirecek denetleyici makam kurmayı taahhüt etmişlerdir.
18 Mayıs 2018 tarihli 108+ Sözleşmesi
108 sayılı Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi’nin üzerinden yaklaşık 37 yıl geçmesi ve bu süre zarfında teknolojik gelişmelere bağlı olarak kişisel verilerin işlenmesinin yaygınlaşması ve kolaylaşması sonucunda, 108 sayılı Sözleşmenin yenilenmesi gereği doğmuştur. 108 sayılı Sözleşmenin yenilenmesi ve günümüze göre uyarlanması neticesinde, 108+ Sözleşmesi ortaya çıkmış ve 18 Mayıs 2018 tarihinde Bakanlar Komitesi tarafından kabul edilmiştir. Sözleşmede daha güçlü bir veri koruma mekanizması öngörülmüş, 108 sayılı Sözleşmede yer almayan yeni tanımlamalar yapılmış, özel nitelikli veri kategorisi genişletilerek genetik ve biyometrik verilerin de bu kategori kapsamında oldukları vurgulanmış, uluslararası organizasyonların da Sözleşmeye taraf olabilecekleri belirtilmiştir.
27 Nisan 2016 tarihli Avrupa Birliği Genel Veri Koruma Tüzüğü
Avrupa Birliği, kişisel verilerin korunması alanında ortaya çıkan ihtiyaçları karşılamak ve birlik içerisinde yeknesaklık sağlamak amacıyla 2012 yılında bir tüzük çalışması başlatmıştır. Hazırlanan EU 2016/679 sayılı tüzük “Avrupa Birliği Genel Veri Koruma Tüzüğü” (GDPR) ismi ile 25 Mayıs 2018 tarihinde yürürlüğe girmiş ve 95/46/EC sayılı Kişisel Verilerin İşlenmesi ve Serbest Dolaşımı Bakımından Bireylerin Korunmasına İlişkin Direktifini ilga etmiştir.
Avrupa Birliği Genel Veri Koruma Tüzüğü’nün hazırlanma gerekçeleri olarak, teknolojik gelişmeler, Direktif ile kişisel verilerin korunması alanında yeterli ve etkili bir yeknesaklığın sağlanamaması, bazı üye ülkelerde diğerlerine göre daha yüksek veri koruma düzeylerinin benimsenmesi ve bu farklılıkların ülkeler arası kişisel verilerin transferi konusunda sıkıntılar yaratması, sosyal medya kullanımının artışı ile kişisel verilerin depolanmasında bulut bilişim yöntemlerinin sıkça tercih edilmesi, kişisel verilerin korunması açısından daha kapsamlı önlemler alınması gerekliliği belirtilebilir.