Nereden çıktı bu kişisel veriler?
Hemen hemen her gün birçoğumuz sosyal medyada; fotoğraf, video ya da gittiğimiz veya gideceğimiz yerlerin bilgisini paylaşıyoruz. Bankalarda hesap açıyoruz, hesabımızdan para çekiyoruz. Bir sağlık sorunumuz olduğunda muayene olmak için hastaneye gidiyoruz. Psikiyatriste gidiyoruz, bütün hayatımızı anlatıyoruz ve bazen ses kaydımız alınıyor. Plastik cerraha gidiyoruz, burnumuzu ya da göğsümüzü yaptırıyoruz ve tüm bunların fotoğrafları çekiliyor. Bu ve benzeri sayısız kişisel verilerimizi hemen her gün birileriyle ya da dijital sosyal medyada paylaşıyoruz. Bütün bunlar bize ait kişisel veriler ve bunları umursamaz bir şekilde başkalarıyla paylaşıyoruz; oysa bu veriler bize ilişkin, bizi belirleyebilecek ve bizi diğer bireylerden ayıracak veriler yani bilgiler. Öyleyse bu veriler son derece önemli ve üçüncü kişilerin haksız kullanımlarına ve müdahalelerine karşı korunmalı!
Bireylerin, diğer bireylerin bilgilere ilişkin merakı tarih boyunca var olan olgu. Bu bilgiler kimi zaman bir aşığın sevgilisini elde etmesi için, bazen Romalı bir generalin savaşı kazanması için, bazen de soğuk savaşta olduğu gibi nükleer sırların ele geçirilmesi için kullanılmış. Zira bireye ait kişisel verilerin, özellikle hassas verilerin, elde edilmesi o kişiye karşı şantaj yapmanın ve istenilenin elde edilmesinin en kolay yollarından biri. Francis Bacon 1620’de yayımlanan New Instrument of Science (Bilimin Yeni Aracı) adlı bilimsel manifestosunda bu durumu açıklamıştı: Bilgi güçtür!
Kişisel verilerin korunmasına ilişkin çalışmalar 1960’lı yılların ortalarında bilgisayarların güçlenmesi, belleklerinin yani bilgi /veri depolama kapasitelerinin artması, boyutlarının küçülmesi ve fiyatlarının düşerek çok sayıda kişinin bunlara sahip olma şansını yakalamasıyla artıyor. Çünkü bu aygıtlar sayesinde, eskiden kartotekstlerle çok uzun zaman, emek ve maliyetle yapılan kişisel verileri kaydetme ve işleme faaliyetleri çok kısa zamanda, çok az uğraşla (genellikle birkaç tuşa basmak suretiyle) ve çok ucuza yapılabilir hale geliyor.
Bu çalışmaların somut çıktısı Avrupa Konseyi’nin 1981 tarihli Kişisel Verilerin Korunmasına İlişkin Sözleşme, Türkiye bu sözleşmeyi ilk imzalayan ülkelerden biri ancak onay kanununun çıkarılması ve ülkemiz açısından bağlayıcı olması Mart 2016’da gerçekleşiyor. Bunun yanı sıra Avrupa Birliği köklerinin dayandığı liberal ve bireyci kültür nedeniyle bu konuya hemen gereken ilgiyi gösterip Avrupa Birliği üyesi ülkelerin uyması için 95/46/EC sayılı Direktifi 1995 tarihinde yayınlıyor; yani AB ülkeleri 1997’den beri bu direktife uyumlu bir halde yaşıyorlar (üye ülkeler direktife uyum için iki yıl süre veriliyor).
Ülkemizde ise durum daha farklı ve yavaş işliyor. Öncelikle kişisel verilerin korunmasına ilişkin bir yasanın demokratik bir ilerleme olduğunu kabul etmeliyiz. Peki bu ilerleme nasıl oldu? Diğer demokratik açıdan gelişmiş Batılı ülkelerde olduğu gibi ülkemizde de demokratik normlar ya halkın ya dış güçlerin diretmesi veya dayatmasıyla getiriliyor, bu durum demokratik düzenlemelerden nasibini almış tüm ülkeler açısında geçerli (sanırım bunun tek istisnası Kurtuluş Savaşı sonrası yaşanan kuruluş aşamasında Atatürk’ün bu konuda kuvvetli bir talep olmasa hatta karşı çıkanlar olsa da Türkiye halkına o şartlar açısından ve eskisiyle karşılaştırılamayacak biçimde demokratik bir düzen getirmesi). Örneğin ülkemizde 1990’lı yıllarda ceza muhakemesi hukuku alanında yapılan demokratik ve görece ilerici düzenlemeler özellikle bu alanda çalışan hukukçuların, insan hakları savunucularının ve avukat meslektaşlarımızın mücadeleleri ve diretmeleriyle gerçekleşti. Kişisel verilerin korunmasına ilişkin düzenlemeler ise farklı bir şekilde Avrupa Birliği’nin diretmesiyle getirildi. Zira 2016 yılı başında AB ile üyelik sürecinde müzakerelere yeniden başlandığında Türkiye’nin önüne konulan ilk konulardan birisi AB ile uyumlu bir kişisel verileri koruma mevzuatı ve politikasının oluşturulmasıydı. Sonuçta biz hala AB’ye giremesek ya da girmesek de bu düzenleme bir kazanım olarak yasalaştı. Sürecin nasıl olduğu sonuçta bu yasanın halkımız açısından demokratik ve ilerici bir düzenleme olduğu gerçeğini değiştirmiyor.
Ülkemizde bu alana ilişkin temel kod, 7 Nisan 2016’da Resmi Gazetede yayınlanarak yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK). Bu alana ilişkin ikincil düzenlemeler ise yolda. KVKK’yı bazı açılardan eleştirmek mümkünse de, bir sıfırdan büyüktür, bu yasanın hiç olmadığı döneme göre, şu an yürürlükte ve uygulanıyor olması bile bana göre olumlu bir gelişme.
Avrupa Birliği ülkeleri başta olmak üzere pek çok yabancı ülkenin hukuk sisteminde uzun süredir benimsemiş olan kişisel verilerin korunması ilkelerinin, Türk hukukunda da yer almaması önemli bir eksiklikti. Bu yüzden büyük bir adım atıldığını söylemek mümkün. Kişisel verilerin korunmasına yönelik kapsamlı ve yeterli bir hukuki alt yapı olmaması, hem verileri işlenen kişiler bakımından ciddi bir güvenlik riski oluşturuyordu, hem faaliyetlerinin gereği olarak kişisel veri işleyen şirketlerin itibar ve güvenilirliklerini zedeliyordu, hem de uluslararası alanda Türkiye ve Türk firmaları açısından önemli bir sorun teşkil etmekteydi. Somut örnek vermek gerekirse, pek çok suç soruşturmasında, yabancı ülkelerin adli makamlarından soruşturma kapsamında bazı bilgiler ülkemiz adli makamları tarafından istenildiğinde “o ülkelerin kendi kişisel verileri koruma mevzuatları gereğince, kişisel veri koruma mevzuatı ve politikası olmayan bir ülkenin adli makamları ile kişisel veri niteliğinde bilgi paylaşımının yasak olduğu” belirtilerek bilgi paylaşılmıyor ve bunun sonucunda çok basit suçların bile failleri tespit edilemiyordu. Benzer durum yabancı ortaklı ya da yabancı yatırımcıların doğrudan yer aldığı şirketlerin yurt dışındaki ortağı ya da yatırımcısı ile bilgi paylaşması konusunda da yaşanıyordu. Bu mevzuatın hayata geçmesiyle artık bu tür sorunların ortadan kalkacağını umuyorum.
Kişisel Verilerin Korunması Kanunu, Türk kişisel veri koruma hukukunun temel çerçevesini oluşturdu. Böylelikle ticari ve sosyal hayatın vazgeçilmez bir parçası olan kişisel veri işleme faaliyetleri bakımından yeni bir dönem başladı. Kişisel verilerin korunması alanında uluslararası kabul görmüş ilkeleri benimseyen Kanun, verilerin hukuka uygun ve güvenli bir şekilde tutulmasını, işlenmesini, aktarılmasını ve yok edilmesini veya anonimleştirilmesini garanti altına alarak bireyler bakımından bir güvenlik zemini oluştururken, kişisel veri işleyen kamu ve özel sektör aktörleri için de önemli yükümlülük ve sorumluluklar getirdi. Yazının devamında bunların neler olduğuna kısa bir göz atacağız.
Kişisel veri, özel nitelikli (hassas) veri ve kişisel verilerin işlenmesi ne anlama gelmekte?
Kişisel verilerin, önemli bir konu olduğunu sonunda anladık ama nedir bu kişisel veri? Hayatımıza böylesine hızlı bir şekilde girdi ama ne anlama gelmekte? Hangi bilgiler kişisel veridir? Kişisel verilerin en kısa, ulusal ve uluslararası alanda genel kabul görmüş tanımı şöyle: Gerçek bir kişiyi belirlenebilir kılan ya da belirlenebilir gerçek kişilere ilişkin her türlü bilgi, kişisel veridir. Daha açık bir anlatımla bir kişiye ait ayırt edici özellikteki tüm bilgiler kişisel veridir. Yani siz herhangi bir veriyi, herhangi bir şekilde kullanarak, herhangi bir bireyle özdeşleştirebiliyor, onu diğerlerinden ayırt edebiliyor iseniz, işte o bilgi kişisel veridir. Örneğin; isim, soy isim, adres, telefon, e-mail vb. iletişim bilgileri, kimlik numarası, vergi numarası, aile bilgileri, eğitim bilgileri, hesap veya harcama bilgileri, sağlık durumu, cinsel tercihleri vb. Bunu sınırlamak mümkün değildir. Çünkü kişisel veriler genel kapsamı itibariyle belli olsa da, bu verilerin kişiden kişiye göre değişmesi de mümkündür. Zira bu veriler kişinin kendisiyle ilgili olduğundan öznellik göstermesi doğaldır. Bunun çok geniş ve ucu bucağı olmayan bir tanım olduğunu düşünmekte haklısınız, ancak tanım tamamen gerçek durumu tanımlıyor. Dolayısıyla bir an düşündüğünüzde günlük yaşamınızda kullandığınız bilgilerin çoğunu bu tanıma uyan kişisel veriler oluşturuyor. Bu da konunun ne kadar önemli ortaya koyuyor.
Kişisel verilerin tek başına var olması ya da bunların kaydedilmesi tek başına bir anlam ifade etmiyor. Bunu önemi kılan ve hukuksal düzenlemelerin konusu haline getiren esas husus, kişisel verilerin işlenmesi. Böylelikle bunlardan anlamlı sonuçlar çıkarılması, bunlar üzerinden para kazanılması ya da istihbari bilgiler elde edilmesi mümkün oluyor. Kişisel verilerin; elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem kişisel verilerin işlenmesi anlamına gelmekte. Kısaca söz konusu kişisel veri üzerinde gerçekleştirilen her türlü faaliyet bu kapsamda. Buna göre, faaliyetinin bir parçası ya da gereği olarak müşterilerine, çalışanlarına, tedarikçilerine veya başkaca üçüncü kişilere ait verilerin kaydını tutan özel ve kamu sektörü aktörleri kişisel veri işlemekte ve dolayısıyla Kişisel Verilerin Korunması Kanunu’yla getirilen yükümlülüklerin muhatabı olmaktalar.
Kişisel verinin ne anlama geldiğini, neyi ifade ettiğini açıkladım. Peki bütün kişisel veriler aynı nitelikte midir, birinin diğerinden daha önemli ya da hassas nitelikte olması söz konusu mudur, bunu açıklamak gerekir. Elbette ki birtakım verileri önemsiz kılmak doğru olmayacaktır, fakat bazı veriler vardır ki daha özel nitelikte olmaları nedeniyle hassas ya da Kanun’un ifadesiyle özel nitelikli veridir. Kanun tarafından özel nitelikli veri kabul edilen veri türleri şunlardır: “Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri, biyometrik ve genetik verileri”. Dikkat edilirse bu veriler farklı da olsa ortak bir yönlerinden bahsetmek mümkündür. Şöyle ki, bu hassas veriler sahipleri hakkında ayrımcılık yapılmasına veya mağduriyete neden olma riski taşıyan verilerdir. Örneğin, A kişisi, bir veriyi kullanarak onu B kişisiyle özdeşleştiriyor ve bu veri nedeniyle ayrımcılık yapma, B kişisini mağdur etme ihtimali doğuyor ise o veri özel nitelikli veridir. Hassas veriler bu önemleri itibariyle, işlenmesi, daha ayrıntılı esaslara tabi tutulmuş olup, bu verilerin korunmasına ilişkin ihlaller için haklı olarak daha ağır sorumluluk öngörülmüştür. Bu nedenle Kişisel Verilerin Korunması Kanunu’yla getirilen sorumlulukların en önemli muhatabı başta sağlık, finans ve bilişim kuruluşları olmak üzere hassas veri işleyen kişi ve kurumlardır.
Kişisel verilerin işlenme koşulları nelerdir?
Kişisel verilerin ne kadar önemli olduğunu açıkladıktan ve hassas verilerin daha sıkı korunması gereken bir alan olduğunu anlattıktan sonra, sıra bu verilerin kimler tarafından ve hangi şartlarda işleyebileceğine geldi. Öncelikle kişisel verilerin işlenmesi için ana koşulun, verilerinin işlenmesi konusunda ilgili kişinin açık rızasının alınması olduğunu belirtmeliyim. Ancak bazı istisnai durumlarda veriler, genel ilkelere uygun olmak koşuluyla, açık rıza olmaksızın da işlenebilir.