Sınıraşan Kişisel Verilerin Korunmasına İlişkin Uyuşmazlıklara Uygulanacak Hukuk
Applicable Law to Transborder Personal Data Protection Conflicts
Cahit AĞAOĞLU
Yabancılık unsuru içeren kişisel verilerin korunmasına ilişkin gerek Kişisel Verilerin Korunması Kanunu (KVKK) gerek Milletlerarası Özel Hukuk ve Usul Hukuku Hakkında Kanun hükümlerinde açık bir düzenleme yer almamaktadır. Sadece kişisel verilerin yurt dışına aktarılmasında ilgili kişinin rızasını arayan KVKK m 9 hükmü bulunmaktadır. Rızaya aykırı bir şekilde kişisel verilerin aktarılması durumunda uyuşmazlığın hangi hukuka göre çözüleceği, kişisel verilerin korunmasına ilişkin kuralların doğrudan uygulanan kural niteliğinde olup olmamasına bağlı olarak tarafların burada hukuk seçme imkânının olup olmadığı konularında herhangi açık bir düzenleme bulunmamaktadır. Ancak Avrupa Birliği (AB) nezdinde mehaz 95/46 sayılı Direktif ile onu yürürlükten kaldıran Genel Verilerin Korunması Tüzüğü bu konuda düzenlemeler içermektedir. AB nezdindeki düzenlemeler daha çok bu düzenlemelerin AB dışında uygulanıp uygulanamayacağı konusunda yoğunlaşmıştır. Çalışmamızda milletlerarası özel hukuk sistematiğine uygun olarak öncelikle, kişisel verinin ne zaman yabancılık unsuru içerdiği, buna bağlı olarak vasıflandırmanın nasıl yapılacağı üzerinde durulacaktır. Doktrinde kişisel verilerin korunması hakkının hukuki niteliği hakkında farklı teoriler ortaya atılması sonucu bağlama noktaları da farklılıklar göstermektedir. Buna bağlı olarak sınır aşan kişisel verilerin korunmasına ilişkin düzenlemelerden kaynaklanan kanunlar ihtilafı ve uygulanacak hukuk konusu tartışılmaya çalışılacaktır. Bunu yaparken mehaz AB düzenlemeleri başta olmak üzere karşılaştırmalı hukuk ve Türk Hukuku’ndaki düzenlemeler incelenecektir. Uygulamada çıkan sorunlara ilişkin olarak AB Adalet Divanı kararlarından yararlanılarak bir çözüm bulunmaya çalışılacaktır. Karşılaştırmalı hukukta her ne kadar kendi milli yasalarının ülke dışı uygulanması olarak bir çözüm bulunsa da bu çözümün her zaman geçerli olamayacağı bu nedenle yabancı ülke kişisel verileri koruma düzenlemelerinin Türkiye’de doğrudan uygulanmasını engellemek için kişisel verilerin korunmasına ilişkin hükümlerin doğrudan uygulanan kural olarak kabul edilmesi gerektiği üzerinde durulacaktır.
Kişisel Verilerin Korunması, Kanunlar İhtilafı, Uygulanacak Hukuk, Doğrudan Uygulanan Kural, Sınıraşan Veri.
Personal Data Protection Act (PDPA) and Code on International Private and Procedure Law do not include an explicit regulation regarding the protection of personal data containing foreign elements. There is only article 9 of the PDPA seeking the consent of the person for transfer of personal data abroad. In case of a transfer of personal data contrary to consent, there is no clear regulation on the law under which the dispute will be resolved, on whether the parties have the opportunity to choose the law in such case, depending on whether the rules regarding the protection of personal data are in the nature of directly applicable rules or not. However, the Directive 95/46 referred in the European Union (EU) and the General Data Protection By-law, which repealed it, contain regulations on this issue. Regulations in the EU mostly focused on whether these regulations can be applied outside the EU. In our study, pursuant to the private international law system firstly, when personal data contains a foreign element and how classification will be made accordingly will be discoursed. As a result of different theories put forward concerning legal nature of the right to protect personal data in the doctrine, the connecting factors also differ. Accordingly, the conflict of laws arising from regulations on the protection of transborder personal data and the applicable law will be reviewed. The regulations in the comparative law and Turkish Law, especially the referred EU regulations, will be examined meanwhile. It will be endeavored to arrive at a solution to the problems in practice by referring to the decisions of the Court of Justice of the EU. Although the solution in comparative law is the extraterritorial application of their own national laws, this solution will not always be valid though. Therefore, it will be emphasized that the provisions on the protection of personal data should be accepted as a mandatory rule to prevent the direct application of foreign country personal data protection regulations in Turkey.
Protection of Personal Data, Conflict of Laws, Applicable Law, Mandatory Provisions, Transborder Data.
Giriş
Günümüzde sosyal ve ekonomik faaliyetler gün geçtikçe çevrimiçi hale gelmektedir. Buna bağlı olarak mahremiyet ve veri korumanın önemi giderek artmaktadır. Birleşmiş Milletler Ticaret ve Kalkınma Konferansı (United Nations Conference on Trade and Development) verilerine göre dünya ülkelerinin %71’i kişisel verilerin korunmasına ilişkin olarak yasal bir mevzuata sahip olup, %9’luk bir kesimde ise kişisel verilerin korunmasına ilişkin taslak halinde düzenlemeler bulunmakta, ülkelerin %15’inde ise bu konuda hiçbir düzenleme bulunmamakta ve %5’lik bir kesimde ise veri kavramına yer verilmemektedir. Dolayısıyla 194 ülkeden 137 tanesi, verilerin korunmasını güvence altına almak için yasalar çıkarmıştır.1 Ülkeler arasındaki bu farklılıklar yabancılık unsuru içeren kişisel verilerin korunmasına ilişkin uyuşmazlıklar konusunda hangi hukuk sisteminin devreye gireceği konusunu da akla getirmektedir.
Ülkemiz açısından konuya yaklaştığımızda kişisel verilerin korunmasına ilişkin yasal düzenleme 5982 sayılı Kanun2 m.2 hükmü ile Anayasa m.20 hükmüne eklenen düzenleme ile teminat altına alınmıştır. Özel olarak da 2016 yılında yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) çerçevesinde bir düzenlemeye sahip olmuştur.3 KVKK ile kişisel verilerin hangi hal ve şartlar altında işlenebileceği özel olarak düzenlenmiş ve kişisel verileri işleyen kişilerin hukuki, idari ve cezai sorumluluğuna ilişkin hükümlere yer verilmiştir. Ancak yabancılık unsuru içeren kişisel verilerin işlenmesine ilişkin gerek KVKK gerekse MÖHUK4 nezdinde açık bir hüküm yer almamaktadır. Sadece kişisel verilerin yurt dışına aktarılmasında ilgili kişinin rızasını arayan KVKK m.9 hükmü bulunmaktadır. Ancak bu rızaya aykırı bir şekilde kişisel verilerin aktarılması durumunda uyuşmazlığın hangi hukuka göre çözüleceği konusunda herhangi açık bir düzenleme bulunmamaktadır. Bu nedenle çalışmamızda tarafların burada hukuk seçme imkânının olup olmadığı, kişisel verilerin korunmasına ilişkin kuralların doğrudan uygulanan kural niteliğinde olup olmadığı gibi sorulara yanıt aranacaktır. Bu bakımdan mukayeseli bir hukuk incelemesi yaparak, özellikle de mehaz (KVKK hazırlanırken esas alınan) AB düzenlemelerinin konuya ilişkin hükümleri de ele alınarak bir sonuca varmaya çalışılacaktır.
AB Hukukunda, 95/46 EC sayılı Kişisel Verilerin İşlenmesi ve Serbest Dolaşımı Bakımından Bireylerin Korunmasına İlişkin Avrupa Parlamentosu ve Avrupa Konseyi Direktifi (Direktif) önemli bir yere sahiptir.5 O tarihlerde “Google” gibi veri operatörlerinin dahi hayatımızda olmaması nedeniyle teknolojinin gelişmesi ve sosyal medya kullanımının artması sonucu kişisel verilerin depolanmasında bulut bilişim yöntemlerinin tercih edilmesi gibi yenilikler kişisel verilerin korunmasının kapsamının genişletilmesini gerektirmiştir.6 Bu amaçla, 2012 yılında başlanan Direktif’i yeni ihtiyaçlara göre iyileştirme çalışmaları, 27 Nisan 2016 tarihinde kabul edilip 4 Mayıs 2016 tarihinde yayınlan Genel Veri Koruma Tüzüğü (GVKT) ile sona ermiştir.7 Ancak uyum çalışmalarının tamamlanması amacıyla yaklaşık 2 yıl kadar süren bir geçiş süreci sonunda 25 Mayıs 2018 tarihinde yürürlüğe girmiştir. GVKT’nın yürürlüğe girmesi ile birlikte Direktif yürürlükten kalkmıştır. GVKT, Direktif’ten farklı olarak Tüzük olarak düzenlenmesinin sonucu üye devletler bakımından doğrudan uygulanma gücüne sahip olmuştur.8 Sınır aşan verilere uygulanacak hukukla ilgili olarak Direktif m.4 nezdinde açık bir düzenleme yer almaktadır. Benzer bir düzenleme GVKT m.3 çerçevesinde bölgesel uygulanabilirlik başlığı altında yer almaktadır. Dolayısıyla AB düzenlemeleri daha çok kendi hükümlerinin AB dışında da uygulanıp uygulanmayacağına dair düzenlemeler ortaya koymuştur.
Çalışmamızda öncelikle kişisel veri kavramına yer verilecektir. Çalışmamızın kapsamı sınır aşan kişisel verilere uygulanacak hukuk olduğu için öncelikle bir kişisel verinin ne zaman sınır aşan veri olabileceği üzerinde durulacak ve bu doğrultuda yer ve kişi bakımından yabancılık unsuruna değinilecektir. Daha sonrasında ise bu yabancılık unsuru taşıyan kişisel verilerin vasıflandırılması hususu incelenecek ve doktrinde kişisel verilerin hukuki niteliğine ilişkin ileri sürülen görüşlere yer verilecektir. Vasıflandırmanın niteliğine göre bağlama noktalarında da farklılıklar kendini gösterecek olup bu bağlama noktalarına ilişkin olarak kanunlar ihtilafı ve uygulanacak hukuk konusu incelenecektir. Bu incelemeler yapılırken başta mehaz Direktif ve onu yürürlükten kaldıran GVKT olmak üzere AB Hukuku, Anglo-Sakson Hukuk sistemini belirleyen ülkeler ve hem kapsamı hem de kişisel verilerin korunmasına ilişkin kanunu yeni kabul eden Çin Hukukundaki düzenlemeler ile Türk Hukuku karşılaştırmalı olarak incelenmeye çalışılacaktır. Özellikle AB nezdindeki çalışmalarımızda, konumuzla ilgili uygulamaya konu olmuş ancak yoruma ihtiyaç duyulan noktalarda başvurulan Avrupa Birliği Adalet Divanı (ABAD) kararlarına değinilmeye çalışılacaktır. Son olarak da gerek karşılaştırmalı hukuk, gerek ABAD kararları, gerekse de doktrindeki görüşlerle kişisel verilere ilişkin kanun hükümlerinin aynı zamanda doğrudan uygulanan kural niteliği olup olmadığı üzerinde durulacaktır.
I. Kişisel Veri Kavramı
Kişisel veri kavramı gerek ulusal gerekse uluslararası birçok metinde tanımlanmış bir kavramdır. OECD tarafından 23 Eylül 1980 tarihinde çıkarılan ve daha sonra 11 Temmuz 2013 tarihinde revize edilen “Özel Yaşamın Korunması ve Kişisel Verilerin Sınır Ötesi Akışına İlişkin Rehber İlkeleri” kapsamında yapılan tanıma göre kişisel veri “belli veya belirlenebilir bir kişiye ilişkin her türlü bilgi” olarak tanımlanmıştır.9 Aynı şekilde “108 sayılı Kişisel Verilerin Otomatik İşlenmesi Karşısında Bireylerin Korunması Sözleşmesi” çerçevesinde kişisel veri kavramı “kimliği belli veya belirlenebilir gerçek kişiyi ilgilendiren tüm bilgiler” olarak tanımlanmıştır.10
GVKT nezdinde ise kişisel veri “tanımlanmış veya tanımlanabilir bir gerçek kişiye ait her türlü bilgi” olarak tanımlanmıştır. Ülkemize baktığımızda ise KVKK nezdinde kişisel veri “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” şeklinde tanımlanmıştır. Bu ve benzeri tanımlar birçok yerde karşımıza çıkmakla birlikte11 doktrinde son derece ve belirsiz olması sebebiyle eleştirilmiştir.12 Bu durum da kişisel verinin tanımından ziyade kapsamı bakımından araştırılması gerektiği konusunda ışık tutmaktadır.
Tanımlardan da anlaşılacağı üzere, kişisel veri son derece geniş bir alanı kapsadığı için bu kapsam içerisine hangi kişisel bilgilerin veya unsurların girdiği sorusunu gündeme getirmektedir. KVKK kişisel verilerin kapsamına sadece bireyin adı, soyadı, doğum yeri ve tarihi gibi onu diğerlerinden ayıran özellikler değil ayrıca kişinin fiziksel, ekonomik ve sosyal özellikleri ile ailesine ilişkin bilgileri de kişisel veri kapsamına sokmaktadır.13 Dolayısıyla verilerin kişiye ilişkin somut bir içeriğe sahip olması veya kimlik, sigorta, vergi numarası gibi bir kayda bağlı olarak o kişinin belirlenmesini sağlayan tüm veriler kapsama dâhildir.14
GVKT m.4 hükmü çerçevesinde ise kişisel veri kapsamına isim, kimlik veya konum verileri, çevrimiçi tanımlayıcı veya kişinin fizyolojik ve psikolojik tüm bilgileri, ekonomik, kültürel veya toplumsal kimliğine ilişkin bilgiler girmektedir. Doktrinde ise kişinin o kişi olduğunu ortaya çıkaran sağlık, genetik, etnik, dini, ailevi ve siyasi görüşleri, ismi, telefon numarası, araç plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, ses, parmak izi gibi özellikli veriler ile dolaylı olarak kişiyi belirleyen örneğin yaş, meslek, medeni durum, adres gibi veriler de kişisel veri kapsamına dâhil edilebileceği belirtilmiştir.15 Buna ek olarak kişisel veri kapsamına yukarıda sayılanlara ek olarak kişinin öğrenim ve istihdam durumu adli arşiv ve genel bilgi toplama kayıtları, alışveriş alışkanlıkları, telefon rehberi, fotoğrafları, bilgisayar IP adresi, parmak izi, cep telefonundan gönderdiği kısa mesajları, e-mailleri, sosyal paylaşım sitelerindeki aktiviteleri, gittiği restoran, müze, bar gibi ilgilisi olduğu ve kişiyi tanımlayan her bilginin girdiğini ileri süren yazarlar da bulunmaktadır.16 Kişiyi dolaylı yollardan tanımlayan ve işlenen kamera kaydı, ses veya görüntü kaydı, biyometrik yollarla tanımlama yapan parmak izi, yüz, iris, yazı ve ses tanıma gibi yöntemlerle elde edilen bilgiler de kişisel veri kapsamındadır.17
II. Yabancılık Unsuru
Bilindiği gibi bir uyuşmazlığın milletlerarası özel hukuk alanına girebilmesi için öncelikle yabancılık unsuru içermesi gerekmektedir. Yabancılık unsuru şahıs ve yer bakımından ortaya çıkmaktadır. Şahıs bakımından yabancılık unsuru kişinin milliyetine, yer bakımından yabancılık unsuru ise yargılamayı yapan devletin dışında bir devlette gerçekleşen hukuki işlemler için söz konusu olmaktadır.18 Dolayısıyla bir kişisel verinin ne zaman yabancılık unsuru içerdiğini tespit etmek gerekecektir. Bu sorunun cevabı KVKK m.9 çerçevesinde kişisel verilerin yurt dışına aktarılması şeklinde verilmektedir.19 AB nezdindeki düzenlemeler çerçevesinde ise yabancılık unsuru bakımından verinin sınır ötesi akışına ilişkin düzenlemeler daha çok GVKT m.3 hükmünde olduğu gibi Tüzüğün bölgesel uygulanabilirliği şeklinde düzenlenmiştir.
