KİŞİSEL VERİLERİN KORUNMASI ÜZERİNE


Giriş

Özel yaşamın gizliliği gerek insan hakları ile ilgili uluslararası belgelerde ve gerek demokratik anayasalarda özenle güvence altına alınan haklardandır. Kişinin fiziksel özellikleri; kişisel düşünce, görüş ve inançları; sağlık, öğrenim, istihdam durumu ile ilgili bilgiler ve birey olarak sürdürdüğü yaşam veya aile içi yaşantısı, başkaları ile yaptığı haberleşmeler kendi isteği dışında bahis konusu yapılamamalı, başkalarına açıklanamamalı, kendisi tarafından açıklanmış olan bilgiler de ancak açıklandığı amaç ve bağlamla ile sınırlı olarak kullanılabilmelidir.
Son onyıllarda kişisel verilerin elektronik bilişim teknolojileri sayesinde derleme, sınıflandırma, saklama işlemlerine tabi tutulması ve istendiğinde istenen biçimde sunulabilmesi olanağı ortaya çıkmış ama bunun sonucu olarak özel yaşamla ilgili bu gibi bilgilerin, veya teknik deyimi ile kişisel veriler in haksız olarak kullanılması riskini artırmış, kişinin rızası alınmadan başkalarına açıklanmasını ve bilginin bulunduğu yerden başka yerlere aktarılmasını kolaylaştırmıştır.
Bu risk daha 1960’larda ilk anaçatı bilgisayarlarının ortaya çıkması ile birlikte anlaşılmaya başlanmıştır ;zira o zaman için büyük sayılan saklama ve işleme kapasitelerinin ortaya çıkmış ve bunlar kişisel bilgileri içeren veri tabanlarının oluşturulması olanağını doğurmuştur. Gerçekten, bu tarihlerde kamu kurum ve kuruluşları ve büyük ticari teşebbüsler, kendilerine gerekli olan kişi bilgilerini derlemek, işlemek ve ilişkilendirmek ve saklamak yolunda büyük ilerlemeler kaydetmişlerdir. Bu başarılı uygulamalar etkinlik ve verimlilik açısından büyük avantajlar sağlarken bireylerle ilgili devasa verilerin biriktirilmekte olduğu görülmüştür. Böylece bir taraftan gerek kamu ve gerek özel sektör kuruluşlarını kişiler karşısında çok güçlü kılacak bilgilerin toplanması şeklinde bir gelişme vuku bulmuş, diğer taraftan da kişi hak ve özgürlükleri yönünden bazı endişeler doğuracak olumsuzluklar meydana gelmiştir. Bunun üzerine siyaset bilimcileri, düşünürler ve insan hakları savunucuları yazılar yazarak, toplantılar düzenleyerek kamuoyu oluşturmaya çalışmışlar ve bu faaliyetler sonucunda ilgili makamlar konuya ilgi göstermeye başlamıştır.

Uluslararası Belgeler

Yukarda da söz edildiği gibi özel yaşamın gizliliği kişisel hak ve özgürlüklerin en önemlilerinden birisidir. Konuyla ilgili uluslararası belgelerden 1948 tarihinde kabul edilmiş olan İnsan Hakları Evrensel Bildirgesi ’nin 12 inci maddesinde
Hiç kimsenin özel yaşamına, ailesine konut dokunulmazlığına ya da yazışma özgürlüğüne keyfi olarak karışılamaz; kimsenin onur ve ününe karşı kötü davranışlarda bulunulamaz. Herkesin bu karışma ve kötü davranışlara karşı yasalarla korunma hakkı vardır.
denilmektedir.
Avrupa İnsan Hakları Sözleşmesi nin Özel Yaşamın ve Aile Yaşamının Korunması başlığını taşıyan 5 inci madde sinde ise
Herkes özel ve aile hayatına, konutuna ve haberleşmesine saygı gösterilmesi hakkına sahiptir.
Bu hakkın kullanılmasına bir kamu otoritesinin müdahalesi, ancak ulusal güvenlik, kamu emniyeti, ülkenin ekonomik refahı, dirlik ve düzenin korunması, suç işlenmesinin önlenmesi, sağlığın veya ahlakın veya başkalarının hak ve özgürlüklerinin korunması için, demokratik bir toplumda, zorunlu olan ölçüde ve yasayla öngörülmüş olmak koşuluyla söz konusu olabilir.
hükmü yer almaktadır.
İnsan Haklarını konu alan diğer birçok belgede de benzer hükümler yer almaktadır. Bununla beraber, galiba konuya kişisel verilerin korunması bağlamında eğilen ilk makam Avrupa Konseyi olmuştur. Konsey, 1973 ve 1974 de kabul ettiği iki karar suretinde (73) 22 and (74) 29 sayılı karar suretleri] kişisel verilerin korunması için gerek kamu ve gerek özel sektör kurum ve kuruluşlarında göz önünde bulundurulması gereken ilkeleri saptamıştır. Bu suretle konunun ulusal düzeyde çıkarılacak mevzuat ile düzenlenmesine ön ayak olunmak istenmiştir. Bununla beraber daha sözü edilen karar sureti metinlerinin hazırlanması sırasında bile bağlayıcı bir uluslararası belge çıkarılmadan ulusal mevzuatın istenen yönde gelişmesinin sağlanamayacağı anlaşılmış ve bu yolda çalışmalara başlanmış ise de böyle bağlayıcı bir belgenin kabul edilmesi ancak 1981 yılında kabil olabilmiştir.
Avrupa Konseyinin Ocak 1981 tarihinde kabul edip imzaya açtığı belge Otomatik Olarak İşlenen Kişisel Veriler Bakımından Bireylerin Korunması Hakkında Sözleşme adını taşımaktadır ve daha çok 108 sayılı Sözleşme olarak anılmaktadır. Bu belgenin yürürlüğe konulması 1985 yılında mümkün olabilmiştir. Bu belge ile ilgili olarak bugüne kadar çeşitli tavsiye kararları alınmış, 1999 yılında da belgede bazı değişiklikler yapılmıştır. Bununla beraber Belge yalnız Avrupa ülkelerinde değil bütün dünyada kabul görmüş ve ulusal mevzuatın hazırlanmasında göz önünde bulundurula gelmiştir.
Ekonomik İşbirliği ve kalkınma Teşkilatı (OECD ) tarafından 1981 yılında kabul edilmiş olan ve Sınır ötesi Veri Akışları Hakkında Yönlendirici İlkeler (Guidelines on Transborder Data Flows) adını taşıyan belgede de konuyla ilgili bazı hükümler bulunmaktadır.
Birleşmiş Milletler Genel Asamblesi ise 1990 yılında Bilgisayarla İşlenen Kişisel Veri Dosyaları Hakkında Yönlendirici İlkeler (Guidelines Concerning Computerized Personal Data Files) adını taşıyan bir belge Kabul etmiştir.

Kapsam

Avrupa Konseyi tarafından hazırlanmış olan uluslararası sözleşmeden bu yana geçen 20 yılı aşkın süre içinde, başta İnternet olmak üzere bilişim ve iletişim teknolojilerinin adeta birbiriyle birleşmesi şeklinde ortaya çıkan gelişmeler kişisel verilerin korunması hakkının hem alanını genişletmiş ve hem de önemini çok artırmıştır. Gerçekten bu gelişmeler, istihdam, istatistik, bankacılık, sosyal güvenlik, sağlık, sigortacılık, pazarlama, elektronik haberleşme, e-iş ve e-ticaret gibi alanlarda derlenmekte olan kişisel veriler için özel kural ve ilkeler konulmasını gerektirecek boyutlara erişmiştir. Bu süre içinde konu çeşitli ulusal ve uluslararası forumlarda tartışılmış, çeşitli ulusal ve uluslararası belgeler hazırlanmıştır. Bu gün, birçok ülkede konuyu genel olarak ele alan Kişisel Verilerin Korunması Hakkında Kanun başlığını taşıyan yasalar yanında yukarda sayılan alanların her birinde kişisel verilerin korunması için özel düzenlemeler de yapılmış bulunmaktadır. Diğer taraftan, Tıp, hukuk gibi meslek ve bankacılık, sigortacılık, e-ticaret gibi iş dallarında kişisel verilerin korunması, kanunların ve hukuk kurumlarının sağladığı korumadan ayrı olarak, meslek etiği ile ilgili belgelerin de ayrı bir koruma sağlamaya başlamış bulunmaktadır. Gerçekten birçok meslek ve iş örgütü bu konudaki etik ilke ve kurallarını yazılı hale getirmişler, birçok mesleki veya ticari firma da konu hakkında uymakta oldukları veya uymaya söz verdikleri genel mevzuat yanında kendilerine özgü özel ilke ve kuralları da müşterilerine ve kamuya duyurur olmuşlardır.
Bununla beraber, Avrupa Konseyi tarafından kabul edilmiş Otomatik Olarak İşlenen Kişisel Veriler Bakımından Bireylerin Korunması Hakkında Sözleşme , bağlayıcı tek uluslararası arası belge olma niteliğini halâ korumaktadır.
Çok uzak olmayan bir gelecekte, süper elektronik otoyolların devreye girmesi ile, kişisel verilerin seller halinde kurumdan kuruma, ülkeden ülkeye aktarılmaya başlanacağını, korunacak alanların daha da genişleyeceğini düşünürsek kişisel verilerin korunmasının çok zorlaşacağını söyleyebiliriz. Bu bakımdan gerek bu hakkı koruma altına alan yasal ve etik belgelerin ve gerek bu belgelerde belirlenen ilke ve kuralların uygulanması ile ilgili mekanizmaların yeniden gözden geçirilme ihtiyacı ile karşı karşıyayız.

İçerik

Korumaya tabi tutulacak kişisel bilgiler, belirli bir kişiye ilişkin olan veya belirli bir kişiye ilişkin olduğu belirlenebilen bütün bilgilerdir. Bütün bilgiler deyimi, kişinin özel, toplumsal ve resmî yaşamına, ailesine, öğrenimine, işine, görevine, gelirine, borçlarına, mallarına, eserlerine, görüşlerine, düşüncelerine vb. ilişkin bütün bilgileri içermektedir.
Bu bilgilerden kişinin etnik kökeni, dini, inancı, sağlığı, cinsel yaşamı, siyasal görüşleri özel nitelikleri dolayısı ile duyarlıklı bilgiler sayılır ve daha katı koruma önlemlerine tabi tutulur.
Çoğu ülkede bu koruma yalnız ülkenin yurttaşı olmayan kişiler için de geçerli olabilmektedir, bununla beraber, bu bilgilere sağlanan koruma kişinin hayatta olduğu süre ile kayıtlıdır ve kişinin yaşamdan ayrılması ile birlikte bu bilgilerle ilgili koruma önlemleri de kalkar.
Diğer taraftan kişisel verileri bulunduran veya iş1eme tâbi tutan kişi veya kuruluşlar artık saklanmasına ihtiyaç duyulmayan kişisel verileri, belli koşullarda, kayıtlarından çıkarabilir veya tümüyle yok edebilirler.
Koruma önlemleri öncelikle kişisel verilerle ilgili koruma kararlarını almakla görevli makamlar ile kişisel veri tabanlarını bulunduran ve/veya bunlar üzerinde işlem yapan kişi ve kuruluşlar tarafından uygulanacaktır. Ancak bunlar dışında kalan üçüncü kişilere de bazı görev veya sorumluluk düşebilir.
Kişisel verilerin korunması, özellikle söz konusu bilgilerin toplanması, elde edilmesi, kaydedilmesi, düzenlenmesi, depolanması, uyarlanması, değiştirilmesi, değerlendirilmesi, kullanılması, açıklanması, aktarılması, ayrılması, birleştirilmesi, dondurulması, silinmesi veya yok edilmesi gibi işlemlerin aşağıda açıklanacak ilkeler doğrultusunda yerine getirilmesi anlamını taşımaktadır. Bu koruma ayrıca kendisine ait bilgilerle ilgili olarak yasaların getirdiği koruma önlemlerinin ihlal edilmesi halinde bu ihlali yapan kurum veya kişiler aleyhine tazminat veya ceza davası da açmak hakkını da içermektedir.

İlkeler

Özel Yaşamın Gizliliğinin Korunması Hakkı ile Bilgiye Erişme Özgürlüğü birbirine zıt amaçlara yönelmiş iki ilke olarak karşımıza çıkmaktadır. Uygulamada her iki ilkenin de gereğince güvence altına alınabilmesi bu özgürlükleri düzenleyen kurallar konulurken özen gösterilmesi gerekmektedir. Diğer taraftan, diğer bütün özgürlükler gibi, özel yaşamın gizliliği hakkı da mutlak olmayıp bazı sınırlamalara kısıtlamalara tabidir. Diğer bir deyişle diğer bütün özgürlüklerde olduğu gibi kişisel verilerin korunması hakkının kapsamının ve içeriğimin belirlenmesi ve sınırlarının çizilmesi sırasında bazı ilkelere uymak zorunluluğu bulunmaktadır.
Avrupa Konseyinin kabul ettiği 108 sayılı Sözleşme ”de açık ifadesini bulan bu ilkelerin, daha sonra ulusal parlamentolarca kişisel verilerin korunması konusunda kabul edilmiş olan yasaların hazırlanması sırasında dikkate alındığını görmekteyiz. Yukarda açıklandığı gibi son olarak 1990 yılında Birleşmiş Milletler Genel Asamblesi de Bilgisayarla İşlenen Kişisel Veri Dosyaları Hakkında Yönlendirici İlkeler adını taşıyan belgede bu ilkeleri incelikli olarak ayrıntılandırmıştır.
Aşağıda sözü edilen ilkelerin kısa bir açıklanması verilmektedir:
YASALLIK VE DÜRÜSTLÜK: kişisel veriler kanuna aykırı ve dürüst olmayan yollarla toplanmamalı ve toplanış amacına ve temel haklar ve özgürlüklerle ilgili ilkelere aykırı olarak kullanılmamalıdır.
DOĞRULUK : Toplanan verilerin doğruluğu kontrol edilmeli, doğru ve eksiksiz olarak saklanmalı ve güncelliğini sağlamak için saklandığı süre zarfında düzenli olarak kontrole tabi tutulmalıdır.
AMACIN BELİRLİ VE HAKLI OLMASI : Kişisel verilerin hangi haklı amaçla toplandığı başlangıçta kesin olarak belirlenmeli ve bu amaç bütün ilgililere açık olarak bildirilmelidir.
İLGİLİ KİŞİLERİN ERİŞME HAKKI : Kişisel veri ile ilgili kişi, kimliğini kanıtlamak koşulu ile kendisi hakkında toplanan bilgilerin ne gibi bir işleme tabi tutulduğunu öğrenebilmeli ve bunların anlaşılabilir biçimdeki bir örneğini aşırı bir masraf ve zaman kaybı olmadan elde edebilmelidir.
AYRIMCILIKTAN KAÇINMA : Kişinin etnik kökeni, ırkı, cinsel yaşamı, dinî veya felsefî inançları gibi duyarlıklı konularla ilgili bilgiler ancak yasanın izin verdiği haklı ve gerekli durumlarda toplanmalıdır.
İSTİSNA KOYMA YETKİSİ: Görevli makamlara, ulusal güvenliği, kamu düzenini, halk sağlığını, genel ahlakı korumak veya diğer kişilerin hak ve özgürlüklerine zarar vermemek amacıyla Yasallık ve Dürüstlük, Doğruluk, Amacın Belirli ve Haklı Olması, İlgili Kişilerin Erişme Hakkı ilkeleri ile ilgili önlemlerden ayrılma yetkisi tanınabilir. Ancak bu yetkinin kapsamı ve sınırları kanunda açıkça belirlenmelidir. Ayrımcılıktan kaçınma ilkesine getirilecek istisnanın her durum ve koşulda temel hak ve özgürlüklere aykırı olmaması gerekir.
GÜVENLİK : Kişisel verilerin toplanması, saklanması ve işlenmesi ile görevli bütün kurum ve kişiler bu verilerin doğal afetler ve kazaların ve insanların işleyecekleri hata, kusur ve suçların yaratacağı tehlikelere karşı korunması için her türlü önlemi almalıdırlar.
DENETİM ve YAPTIRIM : Kişisel verilerin korunması ile ilgili düzenlemelerde öngörülen ilke ve kuralların uygulanması ve önlemlerin alınması ve gerekli denetimlerin yapılması sorumluluğu tarafsız, yetkin ve adil bir makama verilmelidir.

SINIR ÖTESİ VERİ AKTARIMI: Kişisel verilerin saklanmakta olduğu ülkeden başka bir ülkeye aktarılması için her iki ülkenin ulusal mevzuatlarının bu aktarmaya izin vermesi yanında, bu veriler için, verinin gönderileceği ülkenin bu veri için sağladığı korumanın verinin bulunduğu ülkede sağlanan korumadan daha aşağı düzeyde olmaması da gerekir.

Değişik Yaklaşımlar ve Türkiye

Kişisel Verilerin korunması için özel bir yasa çıkarmak suretiyle düzenleme yapılması daha çok Avrupa’ nın bir uygulaması olarak karşımıza çıkmakta ise de Avrupa dışında kalan, birçok ülkede de bu yola gidildiğini görmekteyiz. Buna karşılık ABD’de özel kişisel verilerin korunması için özel bir yasa bulunmamakta, konu özel yaşamın gizliliği (mahremiyet) bağlamında ele alınmakta ve sorunun çözümü gerek özel hukuk ve gerek ceza hukuku alanında kişiler için sağlanmış olan güvencelere bırakılmaktadır. Diğer bir deyişle Dünya ülkeleri Avrupa Konseyince kabul edilmiş olan 108 sayılı Sözleşmenin koyduğu modeli veya ABD’nin mahremiyet ilkelerine dayanan uygulaması arasından birisini seçmek durumunda bulunmaktadır. Son yıllarda bu yaklaşım ayrılığı Avrupa Birliği ile ABD arasında bir hukuk savaşı na dönüşmüş bulunmaktadır. Bu hukuk savaşı e-ticaretin geleceği için olduğu kadar, ülkeler arasında ticari amaçlar dışında kalan, örneğin ceza kovuşturması veya insan kaynakları araştırması gibi amaçlar için kişisel verilerin aktarılması açısından da önem arz etmektedir.
Son olarak Latin Amerika ülkeleri sorunun çözümü için konuya yeni bir yaklaşım geliştirmişlerdir. Kişisel Verileri Toplayan, Saklayan ve İşleyen kurum ve kişilerin olası kötü uygulamalarına karşı yeni bir anayasal güvence getirmekte olan bu yaklaşıma Habeas Data adı verilmektedir. Habeas Data, Avrupa ve Amerika yaklaşımları arasında bir noktada yer almaktadır. Bu Latince ibarenin sözlük anlamı “veriye sahip olmalısın” şeklinde verilebilir. Ülkeden ülkeye bazı farklılıklar göstermekle beraber bu terim, kişinin, anayasal bir mahkemeye vereceği bir şikâyet dilekçesi ile özel yaşamının, onurunun ve bilgiye erişim özgürlüğünün korunmasını istemesi anlamını taşımaktadır. Habeas Data dilekçesi kişisel verileri toplayan, saklayan veya işleyen kamu veya özel bütün kurum ve kişiler hakkında verilebilir ve kişi kendisi ile ilgili bilginin düzeltilmesini, güncellenmesini ve hatta yok edilmesini isteyebilir. Ancak, Habeas Data dilekçesini verme hakkı kişiye bağlı bir hak olup, kişinin bizzat kullanması gerekmektedir ve mahkemenin konuyu re’sen ele alması mümkün bulunmamaktadır.
Türkiye bu konudaki seçimini Avrupa Konseyinin Kabul ettiği 108 sayılı sözleşmeyi imzalamak suretiyle yapmış bulunmaktadır. Esasen Avrupa Birliğine üye olmak için başvurmuş olan ülkemizin başka bir seçeneği de bulunmamakta olması bir yana, gerek özel ve gerek kamu hukuku sistemimiz dikkate alındığında, kişisel veriler için en iyi korumanın özel bir yasa kabul edilmek yoluyla gerçekleştirilebileceği sonucuna varılmaktadır.
İlgili makamlarımızın da aynı düşünceyi paylaştıklarını memnuniyetle görmekteyiz. Geçekten ilgili bütün kamu kurum ve kuruluşlarının ve Türkiye Bilişim Derneği’nin temsilcileri ile bilim danışmanlarından oluşan bir çalışma grubunun Adalet Bakanlığının başkanlığında yaptığı uzun süren çalışmalar sonunda Kişisel Verilerin Korunması Kanunu için bir taslak hazırlamış bulunmaktadır. Bu taslağın hazırlanmasında öncelikle 108 sayılı sözleşme esas alınmış, ancak bazı hususlarda ülkemizin jeopolitik konumu ve tarihsel deneyimleri gibi etmenlerle bazı konularda anılan sözleşmede öngörüldüğü ölçüde geniş hükümler getirilmesi mümkün olamamıştır.

SONUÇ

Yukarda sözü edilen taslak büyük emeklerle hazırlanmıştır. Hem hukuk sistemimizdeki kişisel hak ve özgürlüklerin güvence altına alınması ile ilgili bir boşluğu doldurmak ve hem de kişisel verilerle ilgili olarak başka ülkelerden aktarılmasını istediğimiz bilgilerin elde edilmesinde yaşanan zorlukları gidermek için hükümet tasarısı olarak Türkiye Büyük Millet Meclisine sunulmak üzere olduğun öğrendiğimiz bu taslağın bir an önce yasalaşmasını dilemekteyiz.


Sonnot: Bu yazı Bilişim Dergisinde yaklaşık sekiz yıl önce yayınlanmıştı. Yukarıdaki paragraftaki iyimser öngörüler hala gerçekleşmemiştir. Geçen yıl Kişisel Verilerin Korunması ile ilgili yeni bir yasa tasarısı hazırllanmış ve TBMM’ye sunulmuştur. Konu Türkiye Bilişim Dern Kamu-BİB adı altında uğraş veren Çalışma Grubu’nun da gündemindedir.


BİR ALINTI:Konunun önemi giderek artmakta, e-devlet uygulamları yaygınlaştıkça çok ürkütücü boyutlara varmaktadır.Aşağıdaki haber 16.2.2008 tarhli Cumhuriyet Gazetesinden (Ankara Kulisi - Işık Kansu) alınmıştır:
Elektronik Mühendisliği dergisi, 12.Türkiye'de Internet konferansı’nda Bilgisayar Yüksek Mühendisi Çağlar Ulküdemer in "E-devlet Uygulamalarında Kişisel Verilerin Korunma(ma)sı" başlıklı bildirisinden bilgiler aktarmış. Bakınız "e-devlet"i ne hale sokmuşlar:
  • SSK'nin internet sayfasına bağlanıldığında; ad, soyadı, baba adı ve doğum yılı bilgilerini Bildiğiniz bir kişinin TC kimlik numarasına ve anne adlına da ulaşılıyor !
  • Türkiye Sigorta ve Reasürans Şirketleri Birliği'nin sitesinde yer alan 42 milyonun üzerindeki kişinin bilgilerine yalnızca soyadı ve ad hanesine 3 boşluk yazılarak girilebiliyor. Bu sitede yapılacak bir sorgu sonucu kayıtlı kişilerin adı, soyadı, doğum yeri, gün, ay yıl olarak doğum tarihi, baba adı, vergi Kimlik. Numarası gibi ayrıntılı bilgileri, medeni hali, cilt no, birey. sıra-No, aile .sıra-no, mahalle, unvan, branş, sabit telefon, cep telefonu, e-posta, adresi, il, ilçe, çalışma durumu, çalıştığı kurum, kurumdaki unvan ve sistemde kullanmak üzere gerekli şifre bilgilerine de ulaşılıyor!
  • Yüksek Seçim Kurulu'nun oy sandıkların bulunabilmesi için kullanılan sistemi ile kişinin adres bilgileri mahalle düzeyine değin öğrenilebiliyor!
  • Sağlık Bakanlığı'nın personel bilgi sistemine, diğer sitelerden kolayca elde edilebilecek bilgilerle girilebildiğinde, Sağlık Bakanlığı'nda çalışan herhangi birinin anne adı, baba adı, cinsiyet bilgilerine de ulaşılıyor!
Başımızdakiler en özgürlükçü ya, "e-devlet" sayesinde yurttaşların tüm kimlik bilgileri kötü niyetlere de açık bir biçimde ortalığa saçılmış durumda
Eeee devlet! Ne yapacağız şimdi?.
3SUTUN BAŞ SAYFASINA                                              BU BÖLÜMÜN BAŞINA