“Kişisel Veri” Kavramının Ticaret Şirketleri Bakımından Düşündürdükleri

Thoughts on Term “Personal Data” in the Context of Commercial Companies

Ufuk TEKİN

Kişinin, “kendisine ait bilgileri” olarak ifade edilen kişisel verileri üzerindeki denetimini kaybetmesi, onun bireysel özerkliğini kaybetmesiyle doğrudan ilgilidir. Bu açıdan bakıldığında kişisel verilerin korunması hakkı, insan onuru, özel hayatın gizliliği, kişinin maddi ve manevi varlığını koruma ve geliştirme hakkı gibi kavramlarla yakından ilişkili olması sebebiyle temel bir insan hakkı olarak kabul edilmektedir. Özellikle 1970’li yıllardan sonra teknolojide yaşanan gelişmelerin de etkisiyle kişisel verilerin kolaylıkla ele geçirilebilecek ve istismar edilebilecek olması, onların daha sıkı korunması ihtiyacını da beraberinde getirmiştir. Bu ihtiyaç çerçevesinde ulusal ve uluslararası düzeyde birçok metin oluşturulmuştur. Ülkemizde ise 2010 yılından sonra temel hak ve özgürlüklerden biri olarak kabul edilen kişisel verilerin korunması hakkı, 2016 yılında yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu’yla (KVKK) özel olarak korunmaya çalışılmıştır. Ancak bu Kanun’da kişisel veri terimi, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” şeklinde, tüzel kişileri dışlayacak biçimde kaleme alınmıştır. Dernek ve vakıflara kıyasla ticaret şirketleri bakımından amacın insani olmaktan çok iktisadi olduğu düşünüldüğünde, çalışmamızda özellikle ticaret şirketlerinin kişisel verilerinin söz konusu olup olamayacağı, şayet olacaksa bu verilerin hangi hükümlere göre korunması gerektiği açıklanmaya çalışılacaktır.

Kişisel Veri, İlgili Kişi, Tüzel Kişi, Ticaret Şirketleri.

The loss of the control over one's personal data, which is expressed as his/her own information, is directly related to his/her loss of individual autonomy. In this respect, the right on personal data protection is regarded as a fundamental human right since it is closely related to human dignity, personal privacy and the right to protect and improve one's material and spiritual existence. Especially after the 1970s, the fact that personal data can be easily seized and exploited with the effect of the developments in technology has brought the need for more protection. In accordance with this need, many national and international texts have been created. The most current of these texts is the General Data Protection Regulation (GDPR) of the European Union adopted in 2016. In Turkey, the right on personal data protection, which is accepted as one of the fundamental rights and freedoms after 2010, is tried to be protected by the Code on the Protection of Personal Data (PPDC) numbered 6698. However, according to this Code, the term “personal data” is defined as “any kind of information about an identified or identifiable natural person” and excludes the legal entities. Considering that the purpose is more economic than humanitarian in terms of trade companies compared to associations and foundations, in this study, the issues such as whether commercial companies are able to have personal data or not and if they do, which regulations should protect them, will be examined and discussed.

Personal Data, Related Person, Legal Person, Commercial Companies.

GİRİŞ

Ad, adres, telefon numarası, kişilik, beğeniler ve günlük hayattaki tercihlere kadar uzanan geniş bir alan, kişisel verileri oluşturmaktadır. Başka bir ifadeyle kişisel veriyi, “kişi”ye ilişkin bilgiler olarak tanımlamak mümkündür.¹ Kişinin, kendine ait bu bilgiler üzerindeki denetimini kaybettiği an ise onun bireysel özerkliğini korumak mümkün olmayacaktır. Zira sürekli izlenen, gözetlenen ve davranışları yönlendirilen bireyin haliyle özgürlüğünden de söz edilemeyecektir.² Bireyin özgürlüğünün korunmasına ilişkin bu ihtiyaç, özellikle teknolojideki gelişmelerin ve söz konusu bilgilere daha kolay erişim sağlanmasının da etkisiyle 1970’li yıllardan itibaren iyice artmıştır.³ Gerçekten teknolojideki gelişim, kişisel verilerin öncesine nazaran daha kolay ele geçirilmesine, paylaşılmasına ve kullanılmasına yol açmış⁴; bu durum da bireylere ilişkin bu verilerin özel olarak korunması ihtiyacını beraberinde getirmiştir. İsveç, (Federal) Almanya, Norveç, Belçika, Fransa, Avusturya, Amerika Birleşik Devletleri ve Birleşik Krallık gibi ülkelerde zaman içerisinde kişisel verilerin korunmasına ilişkin özel düzenlemeler birbiri ardına yürürlüğe girmeye başlamıştır.⁵ Konunun uluslararası alana taşınması ise ilk defa 1980’de “Özel Yaşamın Gizliliğinin ve Sınır Ötesi Kişisel Veri Dolaşımının Korunmasına İlişkin Rehber İlkeler⁶”in OECD’de kabul edilmesiyle söz konusu olmuştur. Bu düzenlemeyi 1981’de Avrupa Konseyi tarafından kabul edilen 108 sayılı “Kişisel Verilerin Otomatik Olarak İşlenmesi Sırasında Gerçek Kişilerin Korunmasına İlişkin Sözleşme⁷” izlemiştir. 1980’li yılların ortalarından itibaren Avrupa İnsan Hakları Mahkemesi’nin, kişisel verilerin korunmasını Avrupa İnsan Hakları Sözleşmesi’nin sağladığı güvenceler kapsamında değerlendirmeye başladığı görülmektedir. Bu çerçevede Mahkeme, bireylerin özerkliği ve bilgilerin geleceğini belirleme hakkını, 8. maddeyle getirilen önemli bir temel ilke olarak kabul etmiş; bireylerin kişisel verilerinin kullanımı ve kaydı konusunda denetim hakkının bulunduğu sonucuna varmıştır.⁸ 1995 yılına gelindiğinde ise Avrupa Parlamentosu ve Konseyi’nin “Bireylerin Kişisel Verilerin İşlenmesi ve Serbest Dolaşımına Karşı Korunması Hakkında 95/46 sayılı Direktifi⁹” kabul edilmiştir. Kişisel verilerin korunması hakkı bakımından bir mihenk taşı olarak nitelendirilecek bu Direktif, başta Avrupa Birliği’ne (AB) üye ülkeler olmak üzere çoğu ülkeyi etkileyerek, bu ülkelerin kişisel verilerin korunmasına ilişkin mevzuatına mehaz teşkil etmiştir. Ne var ki söz konusu Direktif’in, üye devletlere bazı açılardan tanıdığı serbesti, Birlik nezdinde yeknesak kuralların oluşmasını engellediğinden ve teknolojideki gelişmeler karşısında yetersiz kaldığı anlaşıldığından 2016 yılında AB Genel Veri Koruma Tüzüğü (GVKT)¹⁰ ile Kolluk Kuvvetleri ve Cezai Yargılama Kurumlarında Verilerin Korunması Yönergesi¹¹ kabul edilmiştir.

Ülkemizde ise 2016 yılına kadar, kişisel verilerin korunmasına ilişkin alanı bütüncül olarak düzenleyen bir kanun bulunmamaktaydı. 2016 yılına gelindiğinde ise, yukarıda belirtilen uluslararası gelişmelerin ve Anayasa’nın 20. maddesinde yapılan değişiklikle kişisel verilerin korunmasının temel bir insan hakkı olarak güvence altına alınmasının etkisiyle 6698 sayılı Kişisel Verilerin Korunması Kanunu¹² (KVKK) yürürlüğe girmiştir. Böylelikle, kişisel verilerin kişi veya kurumlarca yeterli düzenleme ve denetime tabi olarak kullanılması ile hak ihlallerinin yaşanmasının önüne geçilmek istenmiştir.¹³ Çalışmamızda, bir insan hakkı olarak güvence altına alınan kişisel verilerin korunması hakkının, tüzel kişiliği haiz ticaret şirketleri bakımından uygulama alanının bulunup bulunmadığı hususu, çeşitli ihtimaller üzerinde durulmak suretiyle ele alınacaktır.

I. ÖN SORU(N): TÜZEL KİŞİLERİN MANEVİ ZARARI SÖZ KONUSU OLABİLİR Mİ?

Kişisel verilerin korunmasının temelinde aşağıda detaylı bir şekilde ele alınacağı üzere özellikle “insanların” manevi bütünlüğünün korunması düşüncesi yattığından, gerçek kişilerin, kendilerine ait kişisel veriler korunamadığı takdirde, manevi tazminat talep edebilecekleri konusunda herhangi bir tereddüt bulunmamaktadır. Asıl sorun tüzel kişilerin de kişisel verilerin korunması hakkından yararlanıp yararlanamayacağına ilişkindir. Bunun için de öncelikle tüzel kişilerin manevi zarara uğrayıp uğrayamayacakları ile kişisel verilerin korunması hakkının hukuki niteliği üzerinde durulmalıdır.Tüzel kişilerin manevi zararının söz konusu olup olamayacağına ilişkin öğretide çeşitli teoriler geliştirildiği görülmektedir. Bu teorilerden ilki, manevi zararın kişilik haklarının ihlali sebebiyle kişinin yaşadığı elem, ıstırap, yaşama sevinci kaybı ve ruhsal bozukluklardan kaynaklandığına, tüzel kişilerin de yaşadıkları olaylar sebebiyle bu türden duyguları yaşamaları mümkün olmadığından, manevi zararlarının söz konusu olamayacağına ilişkin subjektif teoridir.¹⁴ Subjektif ve duygusal zararın tespitinin oldukça zor olması sebebiyle öğretide bu teoriye alternatif olarak “objektif teori” geliştirilmiş ve bu teori manevi zararı, kişinin kişilik değerinde iradesi dışında gerçekleşen objektif eksilmeler olarak tanımlamış ¹⁵ ve dolayısıyla tüzel kişilerin de manevi zararlarının söz konusu olabileceği sonucuna varmıştır. Gerçek ve tüzel kişiler arasında manevi zarar açısından farkın yalnızca sahip olunan nitelikler sebebiyle ihlal edilen değerler bakımından ortaya çıkabileceği düşünüldüğünde, bu ikisi arasında manevi zararın tazmini bakımından bir fark bulunmamalıdır.¹⁶ Bu çerçevede, itibar ve saygınlıklarına halel gelen durumlarda olduğu gibi, tüzel kişilerin niteliğine uygun düşen durumlarda, tüzel kişilerin manevi zarara uğrayabileceğini söylemek mümkündür.¹⁷ Aksi düşüncenin kabulünün, hukuk düzeni tarafından kişilik tanınmış unsurların hukuk düzeni tarafından korunamaması yahut yetersiz korunması sonucunu doğuracağı açıktır.¹⁸ Tüm bunlardan hareketle, objektif teorinin kabulünün daha isabetli olduğunu ve tüzel kişilerin de manevi zararının söz konusu olabileceğini belirtmek isteriz.¹⁹