Kişisel Verilerin Korunması Kanunu Hakkında Genel Değerlendirmeler ve Anayasaya Aykırılık Sorunu
General Assessments on the Personal Data Protection Code and Unconstitutionality Problem
Bahri ÖZTÜRK,Elif ALTINOK ÇALIŞKAN
Çalışmamızda 1970’li yıllardan buyana süren çalışmaların ürünü olan ve ülkemizin de “kişisel verileri güvence altına alan” ülkeler arasında yerini almasını sağlayan, 07.04.2016 tarihli 6698 Sayılı “Kişisel Verilerin Korunması Kanunu” hakkında genel değerlendirmelerde bulunularak Anayasaya aykırılık sorunu ele alınmaya çalışılmıştır. Yapılan değerlendirmede, 2016 yılının Nisan ayına kadar, Türkiye’de kişilik haklarımızı ve özel hayatımızı koruyan böyle bir temel kanunun olmayışı; özel hayatımız ve kişilik haklarımızın adeta başkalarının insafına terk edilmiş gibi olduğu; her türlü kişisel değerlerimizin saldırı ve müdahaleye açık olduğu; TCK’da yer alan birkaç yetersiz ve çarpık düzenleme ile gerçek bir koruma sağlanamadığı; bütün bunlara ilave olarak yaşamakta olduğumuz dijital devrimin gereklerinin de yapılamadığı gerçeklerinin vurgusu yapılmıştır. Bu yönüyle Kanunun dijital dünyamızın Anayasası konumunda olduğu ve temel hak ve özgürlüklerimizin, böyle bir dünyada ancak ayrı ve teknik müstakil bir yasa ile teminat altına alınmasının gerekliliği ve doğruluğu üzerinde durulmuştur. Bununla birlikte Kanunda, kamu düzeni, güvenliği, esenliği ve toplumsal hayatın idamesi için bazı istisnalara bilinçli olarak yer verildiği; Kanunun özellikle pek çok alanı bu Kanunun kapsamı dışına çıkaran 28’inci maddesine bakıldığında; “kamu” söz konusu olunca, kanunla getirilen tüm güvenceler kaldırılıyormuş gibi bir izlenimin ortaya çıktığı ileri sürülebilirse de, uygulamayı görmeden bu konuda bir görüş sevk etmenin erken olacağı, çalışmada esas alınan Anayasa Mahkemesi Kararı ile desteklenerek değerlendirilmeye çalışılmıştır.
Kişisel Verileri Koruma Kanunu, Kişisel Veri, Kişilik Hakkı, Özel Hayat, Kamu Düzeni, Kamu Güvenliği.
In this paper, it has been aimed to address the issue of irregularity in the Constitution by making general evaluations about the “Turkish Personal Data Protection” Code no. 6698 dated 07.07.2016, which has been the product of studies since 1970’s and allowed to Turkey take its place amongst “the countries that guarantee personal data”. As a result, it has been emphasised the facts that, the absence of such fundamental code which preserves personal rights and right to privacy, until April of 2016 in Turkey; right to privacy and personal rights seem to have been abandoned at the mercy of others; that any of personal values and rights are open to violation and intervention; the lack of real protection through a number of inadequate and distorted regulations in the Turkish Criminal Code (TCC) and finally it has been also pointed out that, the requirements of digital revoluton we are living in, could not be fulfilled. In this respect, it has been emphasized that such code has constitutional value in our digital world and accordingly our fundamental rights and freedoms must be regulated with a separate, technical and self-contained code. Besides, It has been determined that some exceptions are consciously involved in the conduct of public order, safety, well-being and social life. For instance, it is possible to argue that the 28th article of above-mentioned code limits its scope when the “public” concerned and an impression can appear as if all the safeguards brought with the law are being abolished. However, in this paper, it has been evaluated by being supported by the Constitutional Court judgement that, it would be premature to express an opinion on this issue without seeing the implementation of such code.
Personal Data Protection Code, Personal Data, Personal Right, Private Life, Public Order, Public Safety.
I. Giriş
1970’li yıllardan bu yana, ulusal ve uluslararası düzenlemeler yoluyla kişisel verilerin korunmasına yönelik çalışmalar yürütülmektedir2 . Ülkemizde bu konudaki ilk çalışmayı, o yıllarda Adalet Bakanlığında çalışan Prof. Dr. Durmuş Tezcan3 yapmıştır. Nitekim birlikte uzun yıllar görev yaptığımız Türk Ceza Kanunu Tasarısı Komisyonun hazırladığı TCK tasarısında bilişim suçlarına ilişkin düzenlemeler yapılırken Tezcan Hocanın kişisel verilerle ilgili olarak Bakanlık için yaptığı çalışmada kullandığı kavramlara yer verilmiştir4 . Türkiye’de 70’li yıllarda yapılan çalışmalar yasaya hatta taslağa bile dönüşememiştir.
Bu konuda öncü çalışmalardan biri 60’lı yıllarda başkan Kennedy’nin ABD de ulusal bir kişisel veri merkezi kurma girişimi olmuştur. Tüm ABD vatandaşlarının kişisel bilgileri burada toplanmak isteniyordu. Ancak bu girişim right to be alone (yalnız kalma hakkına) saldırı olarak algılandı. Bu düşüncenin ortaya çıkmasında 1890’da Samuel D. Warren ve daha sonra federal hakimlik yapan Louis D. Brandeis’in geliştirdiği the right to privacy (özel hayat hakkı) fikrinin büyük bir rolü olmuştur. Buna göre, her birey düşüncelerinin, fikirlerinin, hislerinin ve kişisel bilgilerinin ne kadarının başkalarına aktarılabileceğine ancak kendisi kararlaştırabilir. Bu nedenle, merkez kurma fikrinden, ABD Kongresinde bu konuda yasa çıkarılması talep edilince vazgeçildi. ABD’de böyle bir yasa, yani özel hayatı koruyan bir yasa Privacy Act ancak 1974 yılında yapılabildi.
Almanya’nın Hessen Eyaleti, Dünyada belki de ilk defa 1970’de Hessen Eyalet Veri Koruma Kanununu (Datenschutzgestz Hessen) hazırlayıp, yürürlüğe soktu. Bunu daha sonra 1973’de İsveç ve 1978’de Fransa izlemiş ve daha sonra tüm Avrupa’ya yayılmıştır. O kadar ki, Avrupa Konseyi’nin 1973 ve 1974 yıllarında kabul ettiği iki karar, kişisel verilerin korunması ile ilgili sonradan çıkarılan düzenlemelere kaynaklık etmeye başlamıştır.
Bu alanda en kapsamlı yasanın Bundesdatenschutzgesetz olarak bilinen “Alman Federal Kişisel Verilerin Korunması Kanunu” olduğunu söylemek mübalağalı bir yaklaşım olmaz5 . Ne var ki bu Kanun, o kadar ayrıntılıdır ki, neredeyse işin esası ayrıntı içinde boğulmuş gibi durmaktadır.
Kişisel verilerin korunmasına ilişkin geniş kapsamlı ilk uluslararası sözleşme ise, Avrupa Konseyince kabul edilen 1981 tarih ve 108 sayılı “Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Şahısların Korunmasına Dair Sözleşme” olmuştur. Ayrıca Avrupa Konseyi Bakanlar Komitesi 108 sayılı Sözleşme’nin uygulanmasına yönelik usul ve esasları belirleyen toplam 13 tavsiye kararı almıştır. Keza Avrupa Parlamentosu ve Konseyi’nin 24 Ekim 1995 tarihli Direktifleri6 de bu konuda çok önemli ve etkili yol gösterici düzenlemelerdir.
Bunlardan başka burada, 3 Eylül 1953 tarihli “İnsan Hakları ve Özgürlüklerinin Korunmasına İlişkin Avrupa Sözleşmesi”; 23 Eylül 1980 tarihli OECD’nin “Özel Yaşamın Korunması ve Kişisel Verilerin Sınır Ötesi Akışına İlişkin Rehber İlkeleri”; 14 Aralık 1990 tarihli BM’nin “Bilgisayarla İşlenen Kişisel Veri Dosyalarına İlişkin Rehber İlkeleri”; 08 Kasım 2001 tarihli 181 No.lu “Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi’ne Ek Denetleyici Makamlar ve Sınır Aşan Veri Akışına İlişkin Protokol”; 2016 tarihli 2016/679 “Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR)”7 zikredilmelidir8 .
Bu gelişmelerin ardından, Avrupa ülkelerinde ve ABD’de anılan konuda mevzuat oluşturulurken Birleşmiş Milletler (BM), Avrupa Konseyi, İktisadi İşbirliği ve Kalkınma Teşkilatı (OECD) ve Avrupa Birliği (AB) kapsamında da çeşitli yönerge, direktif ve uluslararası anlaşmalar hazırlanmıştır.
Kişisel Verileri Koruma Kurulunun sitesinde yer alan bir değerlendirmeye göre, kişisel verilere yönelik kanuni bir düzenleme hazırlamaya yönelik temel etkenlerin “ülkemizi kişisel verilerin korunmasına yönelik kanuni bir düzenleme hazırlamaya yönelten temel etkenler; insan haklarının etkin bir biçimde korunması, Avrupa Birliği ile yürütülen üyelik müzakereleri ve uluslararası iş birliği ve ticaretin artırılması ihtiyacı şeklinde sıralanabilir. Öncelikle; kişisel verilerin korunması, temel bir insan hakkı olan özel hayatın gizliliği ile doğrudan bağlantılıdır. Kişilerin özel hayatının gizliliğini sağlayabilmek için üçüncü kişilerin eline geçmesinde sakınca bulunan verilerin hukuken korunması gereklidir. Ayrıca; ülkemizle ilgili devam etmekte olan Avrupa Birliği tam üyelik sürecinde, müzakere fasıllarından dördü doğrudan kişisel verilerin korunması ile ilgilidir. Avrupa Birliği, ülkemizle ilgili olarak hazırladığı ilerleme raporlarında kişisel verilerin korunmasına dair ulusal mevzuata olan ihtiyacı vurgulamıştır. Son olarak; ülkemizde kişisel verilerin korunmasına ilişkin kanuni bir düzenleme olmaması nedeniyle, polis birimleri arasında etkin iş birliğini hayata geçiren EUROPOL ile güvenlik birimlerimiz arasında elektronik veri paylaşımı noktasında sıkıntılar yaşanmıştır. Ayrıca yabancı sermayenin ülkemizde yatırım yapması ve bu yatırımları ile başka ülkelerdeki yatırımlarını etkin bir şekilde yönetebilmesi için ihtiyaç duyduğu veri aktarımı, kanuni düzenleme bulunmaması sebebiyle gerçekleştirilememiş ve bu durum yabancı sermayenin ülkemizde yatırım yapması bakımından caydırıcı bir unsur olarak değerlendirilmiştir” şeklinde olduğu ileri sürülmüştür.
Ülkemizde ise, 70’li yıllarda başlayan hazırlık çalışmaları, 80’li, 90’lı yıllarda da büyük kesintilerle devam etmiş; bu arada o zaman doçent olan Prof. Dr. Şeref Ünal başkanlığında Adalet Bakanlığında 1996 yılında kurulan komisyona; o tarihlerde Dokuz Eylül Üniversitesi Hukuk Fakültesi öğretim üyesi olan Prof. Dr. Dr. h.c. mult. Bahri Öztürk de davet edilmiş; böylece, bir özel hukuk çalışması gibi düşünülen kanun taslağına kamu hukuku ve insan hakları boyutu eklenmiştir. Ne var ki, bu komisyonun çalışmaları da sonuç vermemiş, taslak tasarı haline bile gelememiştir.
90’lı yılları sonuç alamadan kapatan bu çabalara elbette son verilmemiş; 2000’li yıllarda serüven devam etmiştir. Özellikle 2002 de ortaya çıkan yeni parlamento ve yeni siyasi irade kişisel verilerin korunması meselesini gündemin ön sıralarına taşımış; Adalet Bakanlığında Prof. Dr. Dr. h.c. mult. Bahri Öztürk’ün başkanlığında yeni bir komisyon kurulmuştur. İlgili Bakanlıklardan, Devletin ilgili kurumlarından; meslek kuruluşlarından ve diğer yerlerden gönderilen 30’dan fazla uzman üye ile geniş kapsamlı bir çalışma yapan komisyon; yukarıda zikredilen uluslar arası belgelerle Başta Almanya olmak üzere, Avrupa ülkelerinde yürürlükte bulunan tüm yasaları ve bunların uygulama esaslarını ve içtihatları inceleyerek yeni bir taslak hazırlamaya muvaffak olmuş; bu taslak Adalet Bakanlığımızın gayretleri ile tasarı haline gelmiş ve meclise sevk edilmiştir.
Tasarı, kişisel veriler konusunda bazı suçlar ihdas eden ve 2004 yılında TBMM’de oybirliği ile kabul edilen Türk Ceza Kanunundan (TCK) önce yasalaştırılmak istenmiş ise de, ne yazık ki sonuç alınamamış; TCK’nın 135 ve devamı maddelerinde yer alan bu suçlar da bu yüzden Kişisel Verilerin Korunması Kanunu, 2016 yılında kabul edilmesine kadar ya uygulanamamış ya da ağır aksak bir uygulaması olmuştur. O kadar ki, 2010 yılında yapılan Anayasa değişikliğinde Anayasamızın 20’nci maddesine eklenen bir düzenleme ile kişisel verilerin korunması hüküm altına alınmış olmasına karşın9 , Komisyonumuzun hazırladığı tasarı bir türlü TBMM Adalet Komisyonuna gelememiştir.
İhtiyaç ortada, ulusal ve uluslar arası alanda ilgi kabarmakta ve fakat tasarı beklemektedir. Nitekim ABD’de yayınlanan büyük gazetelerden biri olan New York Times muhabirleri sık sık arayarak tasarının akıbetini sormuşlar; bunlardan biri ile yapılan yazılı söyleşi anılan gazetede geniş bir şekilde yayınlanmıştır10 .
Nihayet Adalet Bakanlığında hazırladığımız tasarı taslağı 2008 yılının Nisan ayında tasarı haline gelebilmiş ve tasarı Başbakan Recep Tayip Erdoğan imzası ile 22 Nisan 2008 de TBMM Başkanlığına sunulmuş; ancak çeşitli nedenlerden dolayı uzunca bir süre yasalaşamamıştır. Ancak çalışmalar durmamış; 10 Şubat 2001611 Çarşamba günü beklenen olmuş ve TBMM Adalet Komisyonu, daha önce TBMM Adalet Alt Komisyonunda kabul edilen tasarı metnini oy çokluğu ile kabul etmiştir.
O tarihi günde TBMM’de birlik ve beraberlik beklerdik. Zira ilk kez özel hayatımız ve kişilik haklarımız yasal güvenceye kavuşturuluyordu. Ama olmadı ve muhalefet partileri, özellikle de ana muhalefet partisinin itirazlarına rağmen, tasarı kabul edilerek TBMM Başkanlığı’na gönderildi; 24 Mart 2016’da da TBMM Genel Kurulunda kabul edilen tasarı, 6698 sayılı “Kişisel Verilerin Korunması Kanunu” olarak yasalaştı ve Cumhurbaşkanımız tarafından onaylanıp 7 Nisan 2016 tarih ve 29677 sayılı Resmi Gazete’de yayımlanarak yürürlüğe girdi.
Tabiidir ki, bundan önce; 17 Mart 2016 da, 108 No.lu Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi12 ile; 5 Mayıs 2016’da da 181 No.lu Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi’ne Ek Denetleyici Makamlar ve Sınır aşan Veri Akışına İlişkin Protokol de13 Türk hukukuna dahil edildi.
Ana muhalefet partisi, TBMM’de engel olamadığı yasanın iptali için Anayasa Mahkemesine; kanunun neredeyse tamamına yönelik bir iptal başvurusu yaptı. Bunu yaparken TBMM Adalet Alt Komisyonu ve TBMM Adalet Komisyonunda ileri sürdüğü itirazları ve gerekçeleri, iptal başvurusuna da gerekçe olarak gösterdikleri görüldü. Ancak bir bakıma bu başvuru iyi oldu denebilir. Zira bu suretle, Yüksek Mahkemenin Kişisel Veriler Kanunu konusunda ne düşündüğünü öğrenmiş olduk. Aşağıda Kanunu incelerken, bu konuya da özellikle temas edilerek; Anayasa Mahkemesi’nin madde bazında nasıl ve hangi gerekçe ile karar verdiği belirtilecektir14 .
Anayasamızın İkinci Kısmında “kişinin temel hak ve ödevleri” düzenlenmektedir. Özel hayatın gizliliği de kişinin temel haklarından biridir. Bu hak, Anayasanın 20. maddesinde güvence altına alınmıştır. Teknolojik gelişmelerin, özellikle dijitalizasyon alanında yaşananlar, temel hak ve hürriyetlere müdahale edebilmeyi kolay hale getirmiş olması ve bu durumun hukuki bir sorun olarak kendini göstermesi bu konuda yasal düzenlemeler yapmayı gerekli kılmıştır.
Bunun bir gereği olarak, yukarıda da ifade edildiği üzere, önce 2010 yılında yapılan Anayasa değişikliği ile Anayasa’nın 20’nci maddesine yeni bir fıkra eklenerek kişisel verilerin korunmasına ilişkin önemli bir düzenleme yapılmış; 2016 yılında da, Anayasa değişikliği ile zorunlu hale geldiği için, Kişisel Verilerin Korunması Kanunu TBMM’de kabul edilerek yürürlüğe girmiştir.
II. Kişisel Verilerin Korunması Kanunu
Çalışmanın bu bölümünde kısaca, kanunun teşkilat dışında kalan ve günlük hayatımız bakımından can alıcı nitelik taşıyan noktalarını ve Anayasaya aykırılık sorununu ele alabiliriz.
Bu Kanunun amacı, kişisel verilerin işlenmesinde, başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir (m.1 KVKK).
