Prof. Dr. Ersan Şen
Kişisel Verilerin Kaydedilmesi
07-13-15 / Prof. Dr. Ersan Şen
Kişisel veri; bireyin şahsi, mesleki ve ailevi özelliklerini gösteren, o bireyi diğer bireylerden ayırmaya ve niteliklerini ortaya koymaya elverişli her türlü bilgi anlamına gelmektedir. Henüz kabul edilmeyen Kişisel Verilerin Korunması Kanunu Tasarısı m.3/1-ç’de, belirli veya kimliği belirlenebilir gerçek ve tüzel kişilere ilişkin tüm bilgiler kişisel veri olarak tanımlanmıştır. Örneğin; bireyin yaşadığı sağlık sorunları, hekimi ile arasındaki münasebetleri, hastalığının ne olduğu, kullandığı ilaç, kendisine uygulanan tedavi, vücut özellikleri, tahlil ve sair tetkiklerin sonuçları “kişisel veri” kapsamına girer. Tasarının geniş tanımına göre; kişi ile ilgili her türlü bilgi, bu kapsamda kişinin telefon numarası, parmak izi, avuç içi taraması, biyometrik kimliği, ev veya iş adresi, T.C. kimlik numarası, hastane, banka, nüfus ve adli sicil kayıtları, alışveriş yaptığı yerler ve tercihleri, siyasi görüşü, dini inancı, siyasi parti ve sivil toplum örgütlerine üyeliği, sosyal faaliyetleri, aile yapısı, cinsel hayatı kişisel veri sayılmalıdır. Biz de, demokratik hukuk toplumu olmanın, kişi hak ve hürriyetlerinin ön planda kabul edilmesinin ve “hukuk devleti” ilkesinin bir gereği olarak, “kişisel veri” kavramının geniş anlaşılmasını, sınırlanması yerine öncelikle korunmasını savunmaktayız. Kişisel veri, ortada bir hukuka uygunluk sebebinin var olması şartıyla bir kütüğe veya sicile kaydedilebilir, bir sistemde veya yerde toplanıp saklanabilir ve bu kayıtlar, zorunlu hallerde meşru amaçlar için kullanılabilir. Kişisel verilerin kayıt altına alınması ve kullanılması keyfi olamayacağı gibi, yetkisiz kişiler de kişisel verileri toplayamaz, elde edemez ve kullanamaz. Esas olan, bireye ait bilgilerin herhangi bir ortamda kayıt altına alınmamasıdır. Aksi halde bu durum, 1982 Anayasası’nın 17. maddesi ile güvence altına alınan kişi dokunulmazlığını, kişinin maddi ve manevi varlığını koruma ve geliştirme hakkını, esas olarak da 20 ila 22. maddelerde düzenlenen özel hayatın gizliliği ve korunması hakkını ihlal edecektir.
13.05.2010 tarihinde yürürlüğe giren 5982 sayılı Türkiye Cumhuriyet Anayasası’nın Bazı Maddelerinde Değişiklik Yapılması Hakkındaki Kanun’un 2. maddesi ile Anayasanın 20. maddesine bir fıkra eklenmiştir. Kişisel veri, Anayasanın açık bir hükmü ile özel hayatın gizliliği ve korunması hakkı kapsamında güvence altına alınmıştır. Anayasa m.20/3’e göre, “Herkes, kendisi ile ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığı öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızası ile düzenlenir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir”. Bu hükmün gerekçesine göre ise, “Anayasada kişisel verilerin korunmasına ilişkin dolaylı hükümler bulunmakla birlikte yeterli değildir. Mukayeseli hukukta ve tarafı olduğumuz uluslararası belgelerde de kişisel verilerin korunması önemle vurgulanmaktadır. Maddeyle, herkesin kendisi ile ilgili kişisel verilerin korunmasını isteme hakkı, anayasal bir hak olarak teminat altına alınmaktadır. Bu bağlamda, bireylerin kendilerini ilgilendiren kişisel veriler üzerinde hangi hak ve yetkilere sahip olduğu ve kişisel verilerin hangi hallerde işlenebileceği hükme bağlanırken, kişisel verilerin korunmasına ilişkin esas ve usullerin kanunla düzenleneceği öngörülmektedir”. Kişisel verilerde, “nasıl sınırlayabilirim” değil, “nasıl daha fazla koruyabilirim” mantık ve anlayışı ön plana çıkmalıdır.
Kişisel verilerin dokunulmazlığı ve korunması hakkının sınırlanması, kısmen veya tamamen bu hakkın kullanımının durdurulmasında, Anayasanın 13 ve 15. maddelerinde gösterilen çerçevenin dışına çıkılamayacağını belirtmek isteriz. Anayasa m.13’e göre, “Temel hak ve hürriyetler, özlerine dokunulmaksızın yalnızca Anayasanın ilgili maddelerinde belirtilen sebeplere bağlı olarak ve ancak kanunla sınırlanabilir. Bu sınırlamalar, Anayasanın sözüne ve ruhuna, demokratik toplum düzeninin ve laik Cumhuriyetin gereklerine ve ölçülülük ilkesine aykırı olamaz”. Görüleceği üzere maddede, bir hak ve hürriyete ilişkin sınırlama getirilebilmesinde öncelikle o hak ve hürriyeti düzenleyen Anayasa hükmünde özel bir sınırlama sebebinin varlığı aranmaktadır. Bu olmadığı takdirde, temel hak ve hürriyetin kanunla sınırlandırılabilmesi de mümkün değildir. Anayasa m.20/3’de, kişisel verilere nasıl müdahale edileceğini değil, kişisel verilerin mutlak korunmasını öngörmektedir. Hükümde, kişisel verilerin ancak bireyin açık rızası ile işlenebileceği, kişisel verilerin nasıl korunacağına ilişkin esas ve usullerin kanunla düzenleneceği ifade edilmiştir. Anayasa hükmünde, kanunla öngörülen hallerde kişisel verilerin işlenebileceği belirtilmesine rağmen, "sonuç" olan bu uygulamaya dayanak olabilecek özel sınırlama sebeplerine yer vermediği görülmektedir. İnsan Hakları Avrupa Sözleşmesi’nin (İHAS’ın) “Özel ve aile hayatına saygı hakkı” başlıklı 8. maddesinin 1. fıkrasına göre, “Herkes, özel ve aile hayatına, konutuna ve yazışmalarına saygı gösterilmesi hakkına sahiptir”. Bu hükümde geçen “özel hayata saygı hakkı”, beraberinde kişisel verileri de kapsamaktadır. 8. maddenin 2. fıkrasında; “Bu hakkın kullanılmasına bir kamu makamının müdahalesi, ancak müdahalenin yasa ile öngörülmüş ve demokratik bir toplumda ulusal güvenlik, kamu güvenliği, ülkenin iktisadi refahı, düzenin korunması, suç işlenmesinin önlenmesi, sağlığın veya ahlakın veya başkalarının hak ve hürriyetlerinin korunması için alınması gereken tedbirler bakımından mümkün olabilir.” hükmünü öngörmüştür. Anayasa m.11, 13 ve 20/3 bu kadar net hükümler taşırken, kişisel verilerin korunmasına ilişkin esas ve usulleri düzenleyen kanunun olmadığı bir durumda, insanların kişisel verilerinin kayıt altına alınmasını sağlamaya yönelik uygulamanın hukuka aykırılığı tartışmasızdır. Bu tür bir aykırılığın sonuçlarının olumsuz etkisi, sadece kişisel verileri bireylerin açık izni olmaksızın toplayan kamu görevlilerine ait olmaz. Bu sorumluluk aynı zamanda kişisel verileri veren ve verilmesine aracılık edenlere de ait olur. Anayasa m.20/3′e göre, sadece "kişinin açık rızasıyla" kişisel verilerin işlenmesinin, yani kaydedilmesinin mümkün olabileceği ileri sürülebilir. Bu görüş eleştiriye açıktır. Çünkü yukarıda ifade ettiğimiz gibi kişi hak ve hürriyetleri, Anayasa m.13 gereğince yalnızca kanunla sınırlandırılabilirler. Şu an itibariyle kişisel verilerin korunmasına ilişkin bir kanun yürürlükte olmadığından, bireyin onayı olsa dahi, kişisel verilerinin işlenmesi hukuka aykırı olacaktır. Hatta Anayasa hükümlerine göre, hangi gerekçe ile olursa olsun bireyin açık rızası olmaksızın kişisel verilerin kaydedilmesi kanunla bile mümkün gözükmemektedir. Kişinin açık rızasında bile kanuna ihtiyaç olduğu, Anayasa m.13′ü esas alarak yazılmış bir düşüncedir. Anayasada "Genel Hükümler" üst başlığı altında yer alan ve başlığı "Temel hak ve hürriyetlerin sınırlanması" olan Anayasa m.13, temel hak ve hürriyetlerin sadece kanunla sınırlandırılabileceğini ifade etmiştir. Buna göre, kişisel veri sahibinin rızası da olsa bu hukuka uygunluğun kanunla düzenlenmesi gerekir. Ancak Anayasa m.20/3′de "kişinin açık rızası" kavramına yer verildiğinden bahisle ayrı bir yasal düzenlemeye ihtiyaç olmadığı, normlar hiyerarşisinin tepesinde yer alan Anayasa m.20/3′ün kanun yerine geçecek şekilde kural öngördüğü fikri de savunulabilir. Anayasa m.90/5’de; iç hukukumuzda bağlayıcı uluslararası sözleşmelerin esas alınması, Anayasaya aykırılıklarının dahi iddia edilememesi, kanun ile kişi hak ve hürriyetlerine ilişkin bir uluslararası sözleşmenin aynı konuda farklı hükümler içermesi halinde uluslararası sözleşme hükmüne öncelik verilmesi kabul edildiğinden, bu statüye giren İnsan Hakları Avrupa Sözleşmesi’nin “Özel ve aile hayatına saygı hakkı” başlıklı 8. maddesinin 2. fıkrasının dayanak alınıp, bu hükümden hareketle kişisel verilerin işlenebileceği ileri sürülebilir. Hatta “kişisel verilerin korunması” kavramı “Özel hayatın gizliliği” başlıklı Anayasa m.20’de düzenlendiğinden, Anayasa m.20/2’de öngörülen özel sınırlama sebeplerinin kişisel verilerin sınırlanmasında da uygulanabileceği savunulabilir. Buna göre kişisel veriler ancak; milli güvenlik, kamu düzeni, suç işlenmesinin önlenmesi, genel sağlık, genel ahlak veya başkalarının hak ve özgürlüklerinin korunması sebeplerinden birisi veya birkaçına bağlı olarak hakim kararına veya yine bu sebeplerle gecikmesinde sakınca bulunan hallerde kanunla yetkili kılınan merciin yazılı emri ile kayıt altına alınabilir veya kullanılabilir.
Sonuç olarak; ortada henüz kişisel verilerin korunmasına ilişkin özel bir kanunun bulunmadığı, kişisel verilerin Anayasa m.13’e göre sınırlandırılabilmesi için Anayasa m.20/3’de özel sınırlama sebeplerine yer verilmediği, bununla birlikte “kişisel veri” kavramının özel hayatın gizliliği ve korunması kapsamında düzenlenmesi nedeniyle Anayasa m.20/2’de tanımlanan özel sınırlama sebeplerinin kişisel veriler açısından da uygulanabileceği, hatta bu konuda İHAS m.8/2’nin de dayanak alınabileceği, bu noktada Anayasa m.13 ve İHAS m.8/2’de öngörülen ölçütlere uyulması gerektiği, esas itibariyle Anayasa m.20/3’de özel sınırlama sebeplerine yer verilmesi gerektiği halde bu konunun eksik bırakıldığı, Anayasa m.20’de düzenlendiği yer itibariyle de karışıklığa yol açtığı, fakat bunun kişisel verilerin korunmasına kanunla istisnai sınırlamalar getirilmesine engel teşkil etmeyeceği, ayrıca kanunda yazılı olmasa da kişinin açık rızası ile kişisel verilerin korunması hakkının sınırlanabileceğine, ancak bunun “ilgilinin rızası” adlı hukuka uygunluk sebebi kabul edilmesi gerektiğine dair tespit ve gerekçenin mutlak doğru olmadığı, bizce normlar hiyerarşisinin tepesinde olan Anayasa m.13, Anayasa m.20/2 ve İHAS m.8/2’e uygun düşecek şekilde kişinin rızası olsun veya olmasın hangi sebep, durum ve şartlarda istisnai olarak kişisel verilerin kayıt altına alınıp kullanılacağına dair yasal düzenlemeye ihtiyaç olduğu ifade edilmelidir. Kişisel verilerin hukuka aykırı şekilde kaydedilmesi, saklanması, verilmesi, ele geçirilmesi veya kullanılması; Türk Ceza Kanunu m.135, 136, 137 ve 138’de suç sayılmış olup, aynı Kanunun 139. maddesine göre de bu suçların soruşturulup kovuşturulması şikayete bağlı değildir. Bir başka ifadeyle, bu suçların işlendiğine dair basit şüpheye ulaşan cumhuriyet savcısı tarafından mağdurun şikayeti olsun veya olmasın, mağdur sonradan şikayetinden vazgeçse bile doğrudan soruşturma başlatılacak, yeterli delillere ulaşılması halinde de şüpheli hakkında kamu davası açılması için iddianame düzenlenecektir. TCK m.140’a göre, suçların tüzel kişi yararına işlenmesi halinde, tüzel kişiyi temsil eden gerçek kişinin cezalandırılması yanında tüzel kişiye de TCK m.60 uyarınca güvenlik tedbiri uygulanabilecektir. TCK m.135 ila 138’de tanımlanan suçların kasten işlenmesi gerekir. Kanun koyucu, kişisel verilerin korunması amacıyla taksirle işlenen suç tanımı yapmadığından, kişisel verilerin korunmasında, saklanmasında veya imha edilmemesinde tedbirsiz, dikkatsiz, özensiz, meslek ve sanat kurallarına uygun davranmayanların cezai sorumluluğu bulunmamaktadır. Esasında bu bir eksikliktir. Ceza Hukukunda asıl kusur kast olup, taksir ancak kanunla öngörüldüğünde sorumluluğa yol açar. Bilgiye, istihbarata ve kişisel verilere ulaşmak günümüz şartlarında çok kolaylaşmıştır. Bilim ve tekniğin sağladığı kolaylıkların nimeti olduğu kadar birçok külfeti de bulunmaktadır. Bunun için kişisel verileri; görevleri, meslek veya sanatları gereği öğrenen, toplayan, bir yerde saklayan, koruması ve başkaları ile paylaşmaması gereken kişilerin taksir derecesinde ceza sorumlulukları da tanımlanmalıdır.