ULUSLARARASI HUKUKTA KİŞİSEL VERİLERİN KORUNMASI VE TÜRK MEVZUATI İLE KARŞILAŞTIRILMASI
Kişisel verilerin korunması, günümüzün uluslararası insan hakları rejimi ve ulusal mevzuat düzenleri bağlamında, modern hukuk sisteminin zorunlu bir parçası halini almıştır. Özellikle, Birleşmiş Milletler İnsan Hakları Evrensel Beyannamesi’nin 12. maddesi ve yine Birleşmiş Milletler Medeni ve Siyasi Haklara İlişkin Uluslararası Sözleşme’nin 17. maddesinde kendisine yer bulan özel hayatın gizliliği, kişisel verilerin korunmasına ilişkin normatif zemini oluşturmaktadır. Bu koruma, 20. yüzyılın son çeyreğinde hız kazanan dijitalleşme sürecinin tetiklediği dönüşümün bir sonucu olarak bir hukuki lüks olmaktan çıkmış, hukuki bir gereklilik olarak kendini göstermiştir. Bu doğrultuda, gerek Avrupa Konseyi’nin Kişisel Verilerin Otomatik İşlenmesine Karşı Bireylerin Korunmasına Dair Sözleşme, Ekonomik İşbirliği ve Kalkınma Örgütünün Rehber İlkeleri, Avrupa Birliği Genel Veri Koruma Tüzüğü (ki bu makalemizde kısaca GDPR olarak bahsedeceğiz) ve Türk hukukunda 6698 sayılı Kişisel Verilerin Korunması Kanunu gibi düzenlemeler, uluslararası teamüller ve yargısal içtihatlar doğrultusunda, kişisel verilerin korunmasını pozitif normlar tarafından güvence altına alınan temel bir hak kategorisine yükseltmiştir.
Giriş
Kişisel veriler, bir gerçek kişiye ilişkin her türlü bilginin dâhil edilmesi suretiyle geniş bir kapsamla tanımlanmakta ve bu yaklaşım, veri işlemenin meşruiyet temelini de güçlendirmektedir. Uluslararası doktrine hâkim olan genel kabul; toplama, kaydetme, depolama, değiştirme, ifşa etme, aktarma, silme gibi veri işleme faaliyetlerinin asgari koşullarını rıza, meşru amaç, ölçülülük ve hukuka uygunluk ilkeleri çerçevesinde belirlenmektedir. Veri sorumlusu, işleme faaliyetinin amaç ve araçlarını tayin eden birincil nitelikte bir aktörken, veri işleyen onun talimat ve denetimi altında teknik veya operasyonel süreçleri yürüten ikincil nitelikte bir aktördür. Veri sahibi ise bu hukuki ilişkinin öznesi, menfaati korunması gereken en önemli tarafı ve aynı zamanda ulusal ve uluslararası düzeyde normatif olarak güvence altına alınmış hakların sahibidir. Bu haklar, Avrupada; Avrupa İnsan Hakları Mahkemesi ve Avrupa Birliği Adalet Divanı içtihatları ile desteklenmekte; böylece veri sahibinin özerkliği ve korunması, hukuk düzenlerinin meşruiyetini temin eden vazgeçilmez unsurlar arasında yer almaktadır.
Küresel ölçekte kişisel verilerin korunmasına ilişkin hukuksal yapı, bu organlar aracılığıyla kapsam ve derinlik kazanmış; bu organların sağladığı yargısal içtihatlar, ilgili kavramların anlamını zenginleştirerek sınırlarını belirlemiştir. Böylece kişisel verilerin korunması, klasik mahremiyet anlayışının ötesine geçerek özellikle bilişim hukuku alanında özerkleşmiş, devletler üstü bir normatif zemine kavuşmuştur. Hukuk literatüründe yerleşen genel yaklaşım, kişisel veri korumasının dijital çağda bir insan hakkı niteliği kazandırdığı şeklindedir.
Uluslararası düzeyde kişisel verilerin korunmasını konu alan hukuksal düzenleme yapısı, çok katmanlı, çoğulcu ve evrimsel bir karakter arz etmekte olup, devletler üstü normatif kaynaklar, bölgesel rejimler ve yargısal içtihatlar aracılığıyla sürekli dönüşen bir çerçeveye işaret etmektedir. Bu bağlamda, Birleşmiş Milletler tarafından geliştirilen temel insan hakları belgeleri, kişisel verilerin korunmasına ilişkin asgari değerleri tanımlayarak, bilhassa özel yaşamın gizliliği ve mahremiyet hakkına gönderme yapmak suretiyle evrensel bir vazife görmektedi. OECD’nin sınır ötesi veri akışı hakkında 1980 tarihli ‘’BİLGİ SİSTEMLERİNİN GÜVENLİĞİNE İLİŞKİN OECD REHBER İLKELERİ’’ isimli Rehber İlkeleri, küreselleşen ekonomik ilişkiler, sınır ötesi ticaret ve dijital iletişim ağlarının veri boyutunu dikkate alarak, devletleri veri koruma mevzuatlarının uluslararası geçerliliğini sağlamaya yönelten normatif bir çerçeve sunmuştur. Bu süreçte, Avrupa Konseyi’nin 108 sayılı Sözleşmesi (az önce bahsettiğim Kişisel Verilerin Otomatik İşlenmesine Karşı Bireylerin Korunmasına Dair sözleşme.) gibi bağlayıcı nitelikteki uluslararası metinler, taraf devletler bakımından belirli asgari standartlar öngörerek, bir normatif altyapının oluşumuna zemin hazırlamıştır. Bu yapının ortaya çıkardığı temel yaklaşım, ulusal hukuk sistemlerine asgari bir koruma düzeyi dâhil ederek, kişisel verilerin işlenmesinde hukuka uygunluk, ölçülülük, meşru amaç ve veri sahibinin temel haklarına saygı gibi ilkeleri güçlendirmek yönünde olmuştur.
Avrupa Birliği, kişisel verilerin korunmasına ilişkin yaklaşımını 1995 tarihli Veri Koruma Direktifi ile başlatmış, bunu doğrudan uygulanabilir nitelikteki Genel Veri Koruma Tüzüğü (GDPR) ile güncelleyerek modern verilerin gereklerini karşılayan, işlevsel ve ileri düzeyde bir normatif çerçeve oluşturmuştur. GDPR’ın veri koruma alanında getirdiği yenilikler, yalnızca AB üyesi devletlerde değil, küresel ölçekte de büyük bir etki yaratmış; idari yaptırımların caydırıcılığı, veri taşınabilirliği hakkının tanınması, veri koruma görevlilerinin atanması zorunluluğu ve hesap verebilirlik ilkesinin derinleştirilmesi gibi kurallarla diğer hukuk sistemleri için model teşkil etmiştir. Brezilya’nın, Japonyanın, Güney Kore’nin ve benzeri ülkelerin veri koruma mevzuatları ve özellikle bizi ilgilendiren 6698 sayılı Kişisel Verilerin Korunması Kanunu, farklı düzeylerde ve kendi hukuki ihtiyaçlarına uyarlamalarla da olsa, GDPR’dan doğrudan veya dolaylı esinlenmişlerdir. Bu süreçte, uluslararası yargısal mercilerin içtihatları, kişisel verilerin korunması normlarını yalnızca yorumlamakla kalmamış, aynı zamanda kavramların kapsamını netleştirerek bu hukuki alanın gelişimine de yön vermiştir.
Uluslararası Hukukta Veri Koruma İlkeleri ve Veri Sahibinin Hakları
Uluslararası hukukta veri koruma rejimleri, bireyin temel hak ve özgürlüklerini esas alarak insan hakları temelli bir çerçevede şekillenmiş, devletler üstü düzeyde kabul gören bir dizi ilkeyle yapılandırılmıştır. Bu ilkeler, bireyin veri mahremiyeti üzerindeki kontrolünü güçlendirmeyi, veri işleme süreçlerinin hukuka uygun, şeffaf ve ölçülü şekilde yürütülmesini sağlamayı amaçlar. Söz konusu ilkeler, uluslararası hukukun temel yapı taşlarını oluştururken, başta GDPR olmak üzere, yargısal merciler tarafından geliştirilen içtihatlarla güçlenmiş, zaman içinde evrensel bir normatif niteliğe kavuşmuştur.
Hukuka Uygunluk İlkesi
Hukuka uygunluk ilkesi, kişisel verilerin işlenmesinin ancak hukuken geçerli bir temele dayanması gerektiğini öngörür. Bu ilke, veri işlemenin salt idari, ekonomik ya da teknolojik ihtiyaçlardan ziyade meşru ve açık bir dayanağı olmasını zorunlu kılar. Hukuka uygunluk, bireyin rızası, sözleşmesel gereklilikler, kanuni zorunluluklar, kamu yararı gibi çeşitli hukuki temellere dayandırılabilir. Özellikle GDPR’ın 6. maddesi, veri işlemenin hukuka uygunluk şartlarını ayrıntılı biçimde düzenlemiş; verilerin rıza olmaksızın ancak belirli yasal durumlarda işlenebileceğini öngörmüştür. Bu ilkenin ihlali durumunda, veri sorumlusunun faaliyetleri geçersiz kabul edilmekte ve ciddi idari yaptırımlarla karşılaşmaktadır. Hukuka uygunluk, bireylerin verileri üzerindeki haklarının korunması açısından temel bir güvence sağlarken, veri işleyenlere açık bir sorumluluk alanı belirlemektedir.
Şeffaflık İlkesi
Şeffaflık ilkesi, veri sahibinin (data subject) kendi kişisel verilerinin nasıl, hangi amaçla, kimler tarafından ve ne kadar süreyle işlendiğine dair bilgi sahibi olmasını güvence altına alır. Aydınlatma yükümlülüğü, şeffaflık ilkesinin en önemli yansıması olup, veri sorumlusunun bireyi veri toplama anında veya verilerin işlendiği süreçte açık, anlaşılır ve kolay erişilebilir bir dille bilgilendirme zorunluluğunu içerir. GDPR’ın 12-14. maddeleri, şeffaflığı güvence altına alan düzenlemelerle bilgi verme yükümlülüğünü detaylandırmıştır. Veri sahipleri, bu bilgilere dayalı olarak verilerinin işlenmesine rıza gösterip göstermeyeceklerine karar verebilmekte, aynı zamanda haklarını etkin bir şekilde kullanabilmektedir. Bu ilkenin uygulanmaması, bireyin verilerinin keyfi veya kötüye kullanıma açık hale gelmesine neden olacağından, veri koruma hukukunda ihlal durumunda önemli yaptırımlar doğurur.
Amaçla Sınırlılık İlkesi
Amaçla sınırlılık ilkesi, kişisel verilerin yalnızca belirli, açık ve meşru amaçlarla toplanmasını ve bu amaçlar dışında kullanılmamasını şart koşar. Toplanan verilerin sonraki süreçlerde başka amaçlarla işlenmesi, bu ilkenin ihlali anlamına gelir. Bu ilke, GDPR’ın 5(1)(b) maddesinde açıkça düzenlenmiş olup, veri işlemenin belirlenen amaçlarla sınırlı olmasını ve bu amaçların veri sahibine açıkça bildirilmesini öngörmektedir. Örneğin, bir veri sorumlusu tarafından pazarlama amaçlı toplanan verilerin, bireyin rızası olmaksızın profil oluşturma amacıyla kullanılması bu ilkeye aykırılık teşkil eder. Amaçla sınırlılık, veri işleme faaliyetlerinin keyfi veya kötüye kullanımını engelleyerek bireyin özerkliğini koruyan önemli bir hukuki güvencedir.
Veri Minimizasyonu İlkesi
Veri minimizasyonu ilkesi, toplanan verilerin amaçla orantılı, yeterli ve sınırlı olması gerektiğini ifade eder. Bu ilke, ölçüsüz ve gereksiz veri toplama pratiklerini sona erdirmeyi hedefler. Özellikle yapay zekâ teknolojilerinin yaygınlaşmasıyla, veri minimizasyonu ilkesi daha fazla önem kazanmış; kişisel verilerin fazlalığı, bireylerin mahremiyeti açısından ciddi riskler doğurmuştur. GDPR’ın 5(1)(c) maddesi bu ilkeyi detaylı biçimde düzenlerken, veri sorumlularının yalnızca belirlenen amaç için gerekli olan asgari veriyi toplamasını ve işlemesini zorunlu kılmıştır. Örneğin, bir e-ticaret platformunun yalnızca sipariş işlemleri için gerekli olan verileri toplaması gerekirken, gereksiz ek verilerin toplanması bu ilkenin ihlali anlamına gelir.
Saklama Süresi Kısıtlaması İlkesi
Saklama süresi kısıtlaması ilkesi, kişisel verilerin, işlendikleri amaç için gerekli olan süre boyunca muhafaza edilmesini ve bu süre sona erdiğinde silinmesini veya anonimleştirilmesini öngörür. Bu ilke, verilerin gereksiz yere saklanarak bireyin mahremiyetine uzun süreli tehdit oluşturmasını önlemeyi amaçlamaktadır. GDPR’ın 5(1)(e) maddesi, verilerin “tanımlanabilirlik” özelliği taşıdığı sürece bireyin haklarına bir tehdit oluşturduğunu kabul ederek, bu verilerin gerekli süreyi aşmaması gerektiğini belirtmiştir. Örneğin, bir iş başvurusu sürecinde toplanan kişisel verilerin, işe alım sürecinin tamamlanmasının ardından saklanmaya devam etmesi, bu ilkeye aykırıdır. Muhafaza süresi kısıtlaması, veri sorumlularının bir veri imha politikası oluşturarak, verilerin süreklilik arz edecek şekilde muhafaza edilmesini engellemesini gerektirir.
Düzeltme Hakkı
Düzeltme hakkı, veri sahibine işlenen kişisel verilerinde herhangi bir eksiklik, yanlışlık veya güncellik sorunu varsa, bunların düzeltilmesini talep etme yetkisi tanır. GDPR’ın 16. maddesi bu hakkı düzenleyerek, veri sorumlusuna bu tür talepleri yerine getirme yükümlülüğü yüklemektedir. Bu ilke, kişisel verilerin doğruluğunu esas alarak, bireyin kimliğine dair yanlış veya yanıltıcı bilginin düzeltilmesini güvence altına alır. Örneğin, bir bankada yanlış kaydedilmiş olan adres veya telefon numarası, bireyin talebi doğrultusunda düzeltilmeli veya güncellenmelidir. Bu hak, özellikle kamuya açık platformlarda bireyin yanlış tanıtımının önüne geçmekte ve bireyin veri güvenliği açısından büyük önem taşımaktadır.
Unutulma Hakkı
‘’unutulma hakkı”, bireyin kişisel verilerinin işlenmesine artık gerek kalmadığında veya verilerin hukuka aykırı bir şekilde işlendiği tespit edildiğinde, bu verilerin silinmesini talep etme hakkını ifade eder. GDPR’ın 17. maddesi bu hakkı detaylandırmakta ve bireyin haklı gerekçelerle veri işleme faaliyetlerine son verilmesini istemesini sağlamaktadır. Unutulma hakkı, özellikle dijital ortamlarda kalıcı ve geri döndürülemez bir iz bırakan kişisel verilerin, bireyin talebi doğrultusunda ortadan kaldırılmasını güvence altına alır. Bu hak, ABAD’ın “Google Spain” kararında vurgulanan bireyin dijital mahremiyetine saygı çerçevesinde ortaya çıkmıştır. Karar, Google’ın arama motoru hizmeti kapsamında kişisel verilerin işlenmesinden sorumlu bir veri denetleyicisi olduğunu belirlemiş, bireylerin kişisel verilerinin orantısız, ilgisiz veya güncelliğini yitirmiş olması halinde bu verilerin arama sonuçlarından kaldırılmasını talep edebileceğine hükmetmiştir.
Veri Taşınabilirliği Hakkı
Veri taşınabilirliği hakkı, bireyin kendisine ait kişisel verileri yapılandırılmış, yaygın olarak kullanılan ve makine tarafından okunabilir bir formatta almasını ve bu verileri başka bir veri sorumlusuna aktarabilmesini sağlar. GDPR’ın 20. maddesi ile düzenlenen bu hak, veri sahiplerine verilerini farklı hizmet sağlayıcılar arasında taşımakta serbestlik tanıyarak dijital pazarın rekabetçi yapısını güçlendirir. Özellikle platformlar arası veri geçişinde bireylerin bağımlılığını azaltarak, daha özgür seçim yapabilmelerine olanak tanır. Örneğin, bir birey, müzik hizmeti sağlayıcısından dinleme geçmişi ve çalma listelerini talep ederek, bu verileri başka bir platforma taşıyabilir. Bu hak, dijital ekonominin temel taşlarından biri olarak veri sahiplerinin özerkliğini güçlendirmekte ve hizmet kalitesinin artırılmasına katkı sağlamaktadır.
Türk Hukuku ve 6698 sayılı Kişisel Verilerin Korunması Kanunu
Türk hukuku, uzun yıllar boyunca veri koruma alanında dağınık, sektörel ve kısmi düzenlemelere dayanan bir normatif yapı sergilemiş; kişisel verilerin korunması alanındaki hukuki çerçeve, ancak çeşitli kanunlar ve yönetmelikler içerisinde dağınık şekilde ele alınabilmiştir. Özellikle 2010 Anayasa değişikliğiyle birlikte, Anayasa’nın 20. maddesine eklenen özel hayatın gizliliğine yönelik düzenleme, bu alanda bağımsız ve bütüncül bir kanun ihtiyacını açıkça ortaya koymuştur. Bu ihtiyacın bir sonucu olarak, 2016 yılında yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), Türk hukukunda veri koruma alanında bir dönüm noktası olmuş; bu düzenleme ile kişisel verilerin işlenmesi, korunması ve aktarılmasına ilişkin ilkeler tanımlanmıştır.
KVKK’nın temel yapısı, ‘’AB’nin Kişisel Verilerin İşlenmesi Ve Bu Tür Verilerin Serbest Dolaşımına Dair Bireylerin Korunması Direktifi’’ (95/46/EC sayılı) ve GDPR normlarından esinlenmek suretiyle oluşturulmuş, Türkiye’nin Avrupa Birliği ile yürütmekte olduğu uyum süreci bağlamında da önemli bir adım teşkil etmiştir. KVKK; hukuka uygunluk, meşru amaç, ölçülülük, veri güvenliği ve açık rıza gibi veri koruma hukukunun evrensel ilkelerini somutlaştırarak, veri sorumluları ve veri sahipleri arasında hukuki süreci meşrulaştırmıştır.
Özellikle özel nitelikli kişisel verilerin işlenmesi hususunda kanun, verilerin işlenmesinde daha sıkı kurallar öngörmüş; açık rıza şartı ve gerekli teknik-idari tedbirlerin alınması gibi koşulları zorunlu kılmıştır. Aydınlatma yükümlülüğü, veri sorumlularının veri işleme süreçlerini şeffaf hale getirme zorunluluğunu ifade ederken, açık rıza şartı, bireyin veri işleme faaliyetlerine bilinçli, özgür iradeyle ve belirli bir amaçla rıza göstermesi gerekliliğini vurgulamaktadır. Veri sorumlularının veri güvenliği yükümlülükleri ise, işlenen kişisel verilerin yetkisiz erişim, ihlal ve kötüye kullanımdan korunması için gerekli idari ve teknik tedbirlerin alınmasını zorunlu hale getirmektedir. Ayrıca, kişisel veri ihlallerinin tespiti halinde, veri sorumlusunun ilgili durumu Kişisel Verileri Koruma Kuruluna ve ilgililere bildirme yükümlülüğü de bulunmakta.
KVKK’nın uygulanmasında Kişisel Verileri Koruma Kurumu (KVK Kurumu) bağımsız idari otorite olarak hayati bir rol üstleniyor. Kurul, resen veya şikâyet üzerine başlattığı incelemelerle KVKK hükümlerinin etkin bir şekilde uygulanmasını sağlamak, rehber ilkeler ve tebliğler yayımlayarak uygulamayı yönlendirmek ve ihlaller karşısında idari yaptırım yetkisini kullanarak caydırıcılığı artırmak gibi güçlere ve yükümlülüklere sahip. Bu süreçte Kurul, uluslararası veri koruma otoriteleri (örneğin Avrupa Veri Koruma Kurulu - EDPB, OECD ve Avrupa Konseyi) ile iş birliği yaparak, küresel veri koruma kültürünün Türkiye’de yerleşmesine katkıda bulunuyor.
KVKK’nın somutlaştırılması açısından ikincil düzenlemeler, örneğin Yönetmelikler, Tebliğler ve Kurul Kararları, özellikle karmaşık veri işleme süreçlerinde hukuki belirlilik sağlamaktadır. Sınır ötesi veri aktarımı, bulut bilişim hizmetleri, yapay zekâ tabanlı veri işleme faaliyetleri gibi konularda rehber dokümanlar yayımlayan Kurul, teknoloji ile uyumlu bir hukuki yapının inşa edilmesini de amaçlıyor baktığımızda. Ancak burada Türkiye, sınır ötesi veri aktarımı hususunda hâlen güvenli ülke listesi açıklamamış; bu durum uluslararası veri akışında öngörülemezlik sorunları doğurmuştur. GDPR ile karşılaştırıldığında, Türkiye’nin bu alandaki reform ihtiyacı daha belirgin halde ve uluslararası veri akışını kolaylaştıracak standart sözleşme maddeleri ve bağlayıcı kurallar gibi mekanizmaların geliştirilmesi gerekmekteydi. Bu kapsamda;7499 Sayılı Yasa İle Kişisel Verilerin Korunması Kanunu’nda Yapılan Değişiklikler; kişisel verilerin korunmasına yönelik uyumun artırılması ve uygulamada karşılaşılan sorunların giderilmesi için büyük yenilikler getirdi. Yapılan değişiklikler arasında en dikkat çeken konulardan biri, veri işleme faaliyetlerinin sınır ötesi veri aktarımı kapsamında yeniden düzenlenmesi olmuştur. Türkiye, GDPR’daki “güvenli ülke” listesi mantığına benzer şekilde düzenlemeleri hayata geçirme çalışmalarını hızlandırmıştır bu değişikliklerle. Kurulun, ilgili ülkelerin veri koruma seviyelerini inceleyerek güvenli kabul edilen ülkeleri açıklaması öngörülmüştür. Bununla birlikte ilgili değişiklikle; Yeterlilik Kararı Bulunması, Güvencelere Dayalı Aktarım, İlgili Kişinin Açık Rızası, Sözleşme İfası, ve Kamu Yararı gibi yollarla da yurtdışına veri aktarım yollarını detaylandırmıştır. Yapılan bu değişikler ile KVKK’nın GDPR ile paralel bir yapıya kavuşturulması yönünde önemli adımlar atılmıştır.
Her ne kadar bu değişikler; kanunu uluslararası düzenlemelere yaklaştırmışsa da; doktrinde hâkim olan görüş, KVKK’nın gerek metinsel içerik gerekse uygulama pratikleri açısından GDPR standartlarına daha da yakınlaşması gerektiği yönündedir. Örneğin Veri taşınabilirliği hakkı gibi GDPR’da detaylı düzenlenmiş olan bazı hakların KVKK’da sınırlı şekilde yer alması, Türkiye’nin veri koruma hukuku açısından “yeterli koruma” statüsü elde etmesini güçleştirmektedir.
Türkiye’nin 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), uluslararası standartlarla uyumlu bir çerçeve oluşturmak amacıyla hazırlanmış; özellikle hukuka uygunluk, ölçülülük, amaçla sınırlılık ve veri güvenliği gibi temel ilkeler, hem KVKK hem de GDPR’da kişisel verilerin korunmasının merkezinde yer almaktadır. Veri sorumlularına yönelik aydınlatma yükümlülüğü ve kişisel verilerin işlenmesinde açık rıza temini gerekliliği, KVKK’nın GDPR’dan doğrudan esinlendiği düzenlemeler arasındadır. Bu hükümler, bireyin verileri üzerindeki kontrolünü artırmayı ve veri işleme faaliyetlerinde şeffaflığı sağlamayı amaçlamaktadır.
Ayrıca KVKK’da, GDPR’da olduğu gibi bireylere erişim hakkı, düzeltme hakkı, silme hakkı gibi temel haklar tanınmış; veri sorumlularına ise teknik ve idari tedbirler alma zorunluluğu getirilmiştir. KVKK’nın özel nitelikli kişisel verilerin işlenmesine ilişkin sıkı kurallar öngörmesi de GDPR ile benzerlik gösteren bir diğer önemli husustur. Bununla birlikte, KVKK kapsamında Kişisel Verileri Koruma Kurumu’nun oluşturulması, GDPR’da yer alan ulusal denetim otoriteleri modeline dayanmaktadır. Tüm bu örnekler, KVKK’nın uluslararası normlardan ve özellikle GDPR’dan önemli ölçüde etkilendiğini; bu doğrultuda bireyin haklarını koruyan, hesap verebilirlik ve güvenilirlik temelli bir veri koruma kültürü oluşturmayı hedeflediğini göstermektedir.
Ancak, bu benzerliklere rağmen detaylı düzenlemeler ve uygulama mekanizmalarında hâlen bazı farklar mevcuttur. Bu farklılıklar, gerek veri sahiplerinin hakları gerekse veri sorumlularının yükümlülükleri açısından uygulamada dikkat çekici sonuçlara yol açmaktadır. Örnek vermek gerekirse; veri taşınabilirliği hakkı, GDPR’ın getirdiği yeniliklerden biri olarak dikkat çekerken, KVKK’da bu hak aynı kapsamda düzenlenmemiştir. GDPR’ın 20. maddesinde düzenlenen veri taşınabilirliği hakkı, az önce bahsettiğimiz gibi verileri başka bir veri sorumlusuna iletebilme imkânı tanımaktadır. Türkiye’de ise veri taşınabilirliği hakkına ilişkin benzer bir düzenleme bulunmamakta; bu durum, bireylerin kendi verileri üzerindeki kontrolünü sınırlamakta.
Bir diğer önemli fark, veri koruma görevlisi atanma zorunluluğu konusundadır. GDPR’ın 37. maddesi uyarınca, kamu otoriteleri, büyük ölçekli veri işleme faaliyetlerinde bulunanlar veya riskli veri işleme süreçlerini yönetenler için veri koruma görevlisi atanması bir yükümlülük olarak kabul edilmiştir. Veri koruma görevlisi, veri işleme faaliyetlerinin hukuka uygunluğunu denetleme, veri sahiplerinin haklarına ilişkin talepleri yerine getirme ve ilgili düzenleyici otoriteyle iletişim kurma gibi kritik sorumluluklar üstlenmektedir. KVKK’da ise böyle bir zorunluluk bulunmamakta, bu hususta yalnızca veri güvenliği yükümlülüklerinin yerine getirilmesi gerektiği belirtilmiştir. Bu durum, büyük ölçekli veri işleyen kurumlar açısından GDPR’a kıyasla bir esneklik sağlasa da, veri sorumlularının hesap verebilirlik yükümlülüğünü zayıflatmakta ve veri koruma süreçlerinde etkin bir denetim mekanizması kurulmasını engellemekte.
KVKK’nın idari yaptırımlar bakımından da GDPR’dan belirgin bir şekilde ayrıştığı görülmektedir. GDPR, veri sorumlularının yükümlülüklerine aykırılık durumunda oldukça ağır idari para cezaları öngörmektedir. Örneğin, ihlal durumuna bağlı olarak GDPR kapsamında yıllık küresel cironun %4’üne kadar veya 20 milyon Euro’ya kadar para cezası uygulanabilmektedir. Bu yaptırımlar, GDPR’ın caydırıcılığını ve veri koruma hukukundaki etkinliğini artırmaktadır. Ancak KVKK kapsamında öngörülen idari para cezalarının üst sınırları görece daha düşük seviyede kalıyor. Her ne kadar az önce bahsettiğim 7499 sayılı Kanun ile idari para cezalarının artırılmasına yönelik değişiklikler yapılmış olsa da, bu yaptırımların GDPR düzeyine ulaşmadığı görülüyor. Bu durum, ihlal halinde veri sorumlularının mali yükümlülüklerinin sınırlı kalmasına ve dolayısıyla veri koruma alanındaki caydırıcılığın zayıf kalmasına yol açmaktadır.
Veri koruma hukuku, yalnızca mevzuat düzeyinde tanımlanmış kurallardan ibaret olmayıp, dinamik ve sürekli gelişen bir yapıya sahip. Bu dinamik yapı, yargısal içtihatlar ve düzenleyici otoritelerin kararlarıyla somutlaştırılmakta ve yeni teknolojik gelişmelere uyarlanarak güncellenmektedir. Özellikle Avrupa Birliği Adalet Divanı (ABAD) ve Avrupa İnsan Hakları Mahkemesi (AİHM) kararları, uluslararası veri koruma hukukunun gelişiminde yol gösterici bir rol oynamaktadır. AİHM, Avrupa İnsan Hakları Sözleşmesi’nin 8. maddesi kapsamında özel hayatın korunmasını temel alarak, veri işleme faaliyetlerinin bireylerin mahremiyeti üzerindeki etkilerini titizlikle incelemekte ve bu hakka müdahalenin ancak meşru bir amaca, ölçülülük ilkesine ve hukuki bir temele dayanması gerektiğini vurgulamaktadır. Mahkeme, özellikle devletlerin geniş çaplı gözetim faaliyetleri veya özel şirketlerin veri işleme süreçlerine ilişkin davalarda, veri sahiplerinin haklarını ön planda tutarak bireyin mahremiyetini koruyan içtihatlar geliştirmektedir.
Düzenleyici otoriteler de veri koruma hukukunun uygulanmasında önemli bir işlev görmektedir. Avrupa Birliği’nde Avrupa Veri Koruma Kurulu, GDPR’nın uygulanmasına ilişkin yol gösterici kararlar almakta ve üye ülkelerin veri koruma otoriteleri arasında iş birliğini sağlamaktadır. Avrupa Veri Koruma Kurulu tarafından yayımlanan rehberler, veri işleme faaliyetlerinin hukuka uygun yürütülmesini sağlamakta; özellikle çerez kullanımı, profil oluşturma, yapay zekâ tabanlı otomatik karar alma süreçleri ve çocukların verilerinin işlenmesi gibi konularda detaylı uygulama esasları sunmaktadır. Bu rehberler, veri sorumluları için öngörülebilirlik ve uyum süreçlerinde yol gösterici nitelik taşırken, aynı zamanda bireylerin haklarını daha etkin kullanabilmelerine zemin hazırlamaktadır.
Türkiye’de ise Kişisel Verileri Koruma Kurulu (KVK Kurulu), KVKK’nın uygulanmasını sağlayan en yetkili otorite olarak, veri işleme faaliyetlerinin hukuka uygunluğunu denetlemekte ve veri sorumlularına yönelik idari yaptırımlar uygulamaktadır. Kurul, resen veya şikâyet üzerine başlattığı incelemeler sonucunda verdiği kararlarla, KVKK’nın hukuki belirlilik ve öngörülebilirlik ilkelerini somutlaştırmakta; aynı zamanda veri sorumluları ve veri işleyenlerin yükümlülüklerini netleştirmektedir. Örneğin, açık rıza ile ilgili kararlarda rızanın özgür iradeye dayanması, belirli olması ve bilgilendirilmeye dayalı şekilde verilmesi gerektiği vurgulanmakta, bu kriterlere uymayan açık rızaların geçersiz sayılacağı açıkça belirtilmektedir. Benzer şekilde, KVK Kurulu’nun veri ihlalleri ile ilgili verdiği kararlar, ihlal durumlarında hızlı bildirim yükümlülüğünün önemini ortaya koymuş; veri sorumlularının teknik ve idari tedbir alma yükümlülüklerini yerine getirmedikleri durumlarda idari yaptırımlar uygulanmıştır.
Ayrıca, Kurul kararları, özel nitelikli kişisel verilerin işlenmesi, veri güvenliği tedbirlerinin ihlali, aydınlatma yükümlülüğünün yerine getirilmemesi gibi alanlarda da uygulama pratiğini şekillendirmekte ve Türk hukukunda bir içtihat mekanizmasının oluşmasına katkı sağlamaktadır.
Böylelikle, yargısal içtihatlar ve düzenleyici otoritelerin kararları, veri koruma hukukunun yalnızca normatif bir alan olmanın ötesinde, teknolojik gelişmelere uyum sağlayan, bireylerin haklarını etkin şekilde koruyan ve veri sorumlularının yükümlülüklerini güçlendiren bir yapıya dönüşmesini sağlamaktadır. Bu süreç, Türkiye’nin KVKK uygulamalarında uluslararası standartlara yakınlaşması açısından büyük önem taşımakta; bireylerin dijital haklarını daha güçlü bir hukuki zemin üzerinde güvence altına almaktadır.
Sonuç
Sonuç olarak, Kişisel verilerin korunması, çağımızın dijital gerçekliğinde giderek daha karmaşık bir boyut kazanırken, hukukun bu alanı salt normatif düzenlemelerle sınırlı kalmayıp, dinamik, çok yönlü ve sürekli dönüşen bir yapıya evrilmektedir. Bir yandan yapay zekâ ve benzeri teknolojik yenilikler; veri toplama, işleme, depolama ve aktarım süreçlerinde mevzuatların öngörmediği, bilinmezliklerle dolu yeni risk alanları yaratmakta, bu da ulusal ve uluslararası hukuk düzenlerini daha esnek, adaptif ve ileri görüşlü normlar geliştirmeye zorlamaktadır.
Türkiye açısından bakıldığında, KVKK’nın uluslararası standartlarla, özellikle GDPR ile giderek yakınlaşması, küresel veri ekonomisi içindeki konumunu güçlendirecek stratejik bir yatırımdır. Bunun için sadece hukuki metinlerin revize edilmesi yeterli değildir. Türkiye’nin “güvenli ülke” statüsü kazanarak veri trafiğine dair öngörülebilirlik sağlaması, hem yabancı yatırımcıların hem de çok uluslu şirketlerin Türkiye’yi tercih edilebilir bir veri işleme merkezi olarak görmesine katkıda bulunacaktır. Ancak bu tür bir statünün elde edilmesi, sadece yasal değişiklikleri değil, aynı zamanda Kurum’un geliştirilmesini, eğitim faaliyetleriyle uygulayıcıların yetkinliklerinin artırılmasını, sivil toplumun karar alma süreçlerine katılımının güçlendirilmesini, akademinin bilgi üretimi ve politika önerileri sunma kapasitesinin teşvik edilmesini ve özel sektörün veri korumaya yatırım yaparak kurumsal politikalarını iyileştirmesini gerektirir. Bu süreçte, hukukun teknik yeniliklere ayak uydurması kadar, sosyal, ekonomik, kültürel ve etik boyutları da dikkate alan yaklaşımlar geliştirmesi elzemdir. Türkiye de bu dönüşüm içinde aktif bir şekilde yer alıp, güçlü bir kurumsal yapı, uygulamaya yönelik bütüncül reformlar, paydaşlar arası yoğun etkileşim ve çok boyutlu bakış açılarıyla, küresel veri koruma hukukunun inşasında kendi özgün katkısını sunabilir. Böylelikle veri koruma hukuku, gelecek nesillerin dijital haklarını güvence altına alacak, sürdürülebilir, etkin, adil ve öngörülebilir bir düzenin vazgeçilmez bir parçası haline gelecektir.
Av. Mehmet Emre DARICI
EN
IT