KİŞİSEL VERİLERİN KORUNMASI HUKUKUNUN TARİHSEL GELİŞİMİ

KİŞİSEL VERİLERİ KORUMU HUKUKUNUN

TARİHSEL GELİŞİMİ

Kişisel veriler hukukundaki gelişmeler aslında 1940’larda başlayan bilgisayarların
gelişim süreci ile yakından ilişkilidir. Özellikle 1960’lı yıllarda mikro işlemcilerin keşfi ile
beraber yapılmaya başlanan mini bilgisayarlar sayesinde bunlar işyerlerinde etkin bir
şekilde kullanılmaya başlanmıştır. Bu yıllarda kişisel verileri içeren kayıtlar bilgisayar
ortamına geçirilip burada muhafaza edilmesi, bu bilgilerin bilgisayar ortamında
muhafaza edilmeye başlanması ile beraber, bunların amaç dışı kullanılması veya
üçüncü kişilerin bu bilgilerden hukuka aykırı olarak yararlanması söz konusu
olmuştur. Bu durumlarda kişisel verisi kullanılan kişilerin büyük zararlara uğramasına
neden olmuştur.

Bu kapsamda Avrupa devletleri veri güvenliğini ve özellikle kişisel veri emniyetini
sağlamak için 1970’lerden itibaren somut çalışmalar başlatmışlardır. Bu faaliyetler
kapsamında öncelikle pek çok Avrupa Konseyi üyesi devlet kendi mevzuatlarına
hükümler koyarak veri güvenliğini sağlamaya çalışmışlardır. Bir süre sonra,
uluslararası örgütler de bu konuda faaliyetlerde bulunmaya başlamışlardır.
Kişisel verilerin korunması alanında ilk uluslararası düzenleme, OECD (Ekonomik
İşbirliği ve Kalkınma Örgütü) tarafından 23.09.1980 tarihinde “Özel Yaşamın
Gizliliğinin ve Sınır Ötesi Kişisel Veri Dolaşımının Korunmasına İlişkin Rehber İlkeleri”
kabul edilmiştir.

Kişisel verilerin korunmasında asgari gerekliliğin ortaya konduğu, bu alanda temel
prensipleri içeren ve tavsiye kararı niteliğinde olan bu rehber ilkeler;

Veri toplamanın sınırlı olması ilkesi,
Veri kalitesi ilkesi,
Amacın belirli olması gerektiği ilkesi,
Veri güvenliği ilkesi,
Açıklık ilkesi,
Bireyin katılımı ilkesi,
Hesap verme zorunluluğu ilkesi,

olmak üzere ulusal uygulamalarda temel ilkeler başlığı altında sayılmıştır.

OECD, söz konusu rehber ilkelerle bireysel özgürlüklerin korunmasına yönelik
düzenlemeler getirmiş ve üye ülkelerin bu düzenlemeleri iç hukukunda uygulaması
yönünde tavsiye kararı almıştır.

Avrupa Konseyi tarafından hazırlanan, 28.01.1981 tarihinde Strazburg’da imzaya
açılan 108 no.lu “Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında
Bireylerin Korunması Sözleşmesi” bu alandaki uluslararası bağlayıcılığı olan ilk
sözleşmedir. Bu sözleşme 01.10.1985 tarihinde yürürlüğü girmiştir. Türkiye
28.01.1981 tarihinde bu sözleşmeyi imzalayan ilk ülkelerden birisidir.

OECD tarafından kabul edilen Rehber İlkelere göre daha detaylı düzenlemelere yer
veren Avrupa Konseyi 108 no.lu Sözleşme; kişisel verilerin hukuka uygun elde
edilmesi, elde edildikleri amaçla sınırlı olarak işlenmesi ve bu amacın gerektirdiği
kadar saklanması gibi temel ilkelere yer vermektedir. Fakat bu düzenlemeyi OECD
Rehber İlkelerinden ayıran en önemli niteliği hükümlerinin tavsiye niteliğinde olmayıp
bağlayıcı oluşudur.

Avrupa Konseyi 108 no.lu Sözleşmenin esas amacı, bütün üye ülkelerde uyruğu veya
ikametgahı ne olursa olsun gerçek kişilerin, temel hak ve özgürlüklerini ve özellikle
kendilerini ilgilendiren kişisel nitelikteki verilerin otomatik bilgi işleme tabi tutulması
karşısında haklarının güvence altına alınmasıdır. Sözleşmede kişisel verilerin
korunması, özel hayatın gizliliğinden ayrı bir hak olarak değerlendirilmiş ve üye
ülkelere konuyla ilgili düzenleme yapma yükümlülüğü getirmiştir.
Avrupa Birliğinde kişisel verilerin korunmasına ilişkin 1990’lı yıllarda başlayan
çalışmalar neticesinde 25.10.1995 tarihinde 95/46/EC Sayılı “Avrupa Parlamentosu ve
Avrupa Konseyi Kişisel Verilerin İşlenmesi ve Serbest Dolaşımı Bakımından Bireylerin
Korunmasına İlişkin Direktifi” kabul edilmiştir. Direktifin temel amacı, Avrupa Birliği
üye ülkelerindeki kişisel verilerin korunmasına ilişkin düzenlemelerin
uyumlaştırılmasıdır.

95/46/EC Sayılı Direktifin kabulünün ardından kişisel verilerin korunması temel insan
hakkı olarak Avrupa Birliği Temel Hakları Bildirgesi’nin 8. ve Avrupa Birliği’nin İşleyişi
Hakkında Antlaşma’nın 16. maddelerinde yerini almıştır. 95/46/EC Sayılı Direktif 34
maddeden oluşmakta ve önceki düzenlemelere göre daha ayrıntılı belirlemeler
içermektedir. Temel ilkeler ve tespitler anlamında önceki düzenlemelerden esas
olarak ayrılmamakla birlikte yönerge, hükümlerinin yeknesak biçimde tüm Birlik üyesi
ülkelerde uyum içinde uygulanmasını temin etmek amacıyla ulusal denetim
makamları kurulmasını öngörmüştür. Bununla birlikte söz konusu ulusal denetim
makamlarının yeknesaklığı sağlamak için gerekli çalışmaları yapıp yapmadıklarını
gözlemlemek amacıyla, 95/46/EC Sayılı Direktif doğrultusunda bir Çalışma Grubu
oluşturulmuştur.

08 Kasım 2001tarihinde ise Avrupa Konseyi tarafından kabul edilen 108 no.lu
sözleşmeye ek olarak 181 no.lu “Kişisel Verilerin Otomatik İşleme Tabi Tutulması
Karşısında Bireylerin Korunması Sözleşmesi’ne Ek Denetleyici Makamlar ve Sınır aşan
Veri Akışına İlişkin Protokol” kabul edilmiştir. Bu ek protokolde, taraf devletler
ülkelerinde uygulanmak üzere kişisel verilerin korunması alanında görevlerini tam
bağımsızlıkla yerine getirecek denetleyici makam kurmayı taahhüt etmişlerdir.
Kişisel verilerin korunması hakkındaki, 1981 yılında imzalanan ve 1985 yılında
yürürlüğü giren, ek protokoller ile ilave düzenlemeler yapan ve Avrupa Birliğinin 1995
yılındı kabul ettiği direktiften sonra en kapsamlı değişiklik Avrupa Birliği Genel Veri
Koruma Tüzüğü (GDPR) çıkartılarak yapılmıştır. Avrupa Birliği, kişisel verilerin
korunması alanında ortaya çıkan ihtiyaçları karşılamak üzere 2012 yılında yeni bir tüzük çalışması başlatmıştır. Avrupa Parlamentosu, Avrupa Konseyi ve Avrupa
Komisyonu tarafından yapılan tüzük 2016 yılında kabul edilmiş olup, 25 Mayıs 2018
tarihinde 95/46/EC Sayılı Direktif’i ilga ederek yürürlüğe girmiştir.

GDPR’nin bir “Tüzük” olarak hazırlanmış olmasının ayrı bir önemi daha vardır. Bir
önceki 95/46/EC Sayılı düzenleme, bir Yönerge/Direktiftir. Yönergeler her ne kadar
üye devletleri bağlıyor olsa da uygulanabilmeleri ancak iç hukuk sistemlerine entegre
edilmeleri ile mümkündür. Bu da temelde aynı prensiplere dayanan fakat her ülkenin
kendi belirlemelerine göre şekillenmiş birbirinden ayrı yerel düzenlemelere ve sonuç
olarak birlikteliğin sağlanamamasına yol açmıştır. GDPR ise bir tüzük olması hasebiyle
kendiliğinden tüm birlik üyesi ülkelerin iç hukukunun parçası haline gelmiş ve direkt
olarak bu şekliyle uygulanmaya başlamıştır.

GDPR 25.05.2018 tarihinde itibaren yürürlüğe girmiştir. Avrupa Birliği’ni bu tüzüğü
hazırlamaya sevk eden ana sebep, önceki düzenlemelerin bir kısmının internetin
olmadığı zamanlarda diğer kısmının ise internetin henüz emekleme safhasında olduğu
tarihlerde hazırlanmış olmaları sebebiyle zamanın gerisinde kalmış olmaları ve kişisel
veri ihlallerinin rahatsız edici boyutlara ulaşmış olmasıdır.

Kişilerin ve devletlerin kaygılarını dikkate alan Avrupa Birliği Komisyonu, Avrupa
Parlamentosu ve Avrupa Konseyi bir araya gelerek; gerçek kişileri büyük şirketler
(Örn: Windows, Apple, Facebook, Twitter, WhatsApp, Android vb.) başta olmak üzere
veriye erişim gücü olan her türden kişi, kurum ve kuruluş, hatta devlete karşı
korumak için etkin uygulanabilir ve kuvvetli bir düzenleme hayata geçirmeyi amaç
edinmişlerdir.

GDPR , kişisel verilerin kazara kaybını, yetkisiz kişilerin eline geçmesini ve bu kişilerce
yasadışı bir biçimde imha edilmesini önlemek amacıyla uygun teknik ve kurumsal
önlemlerin alınmasına yönelik hükümler içermektedir. GDPR temelde, bir işletmenin
verilerini korumak ve verilerini sorumlu bir şekilde ele almak için değerlendirme,
önleme ve tespit çalışmalarını kapsamaktadır.

Avrupa’da Ulusal Veri Güvenliği Otoriteleri (NDPA) adı verilen kurullar, GDPR’nin
yürürlüğe girmesi ile birlikte tek bir çatı altında birleştirilmiş ve yetkileri artırılmıştır.
Burada Avrupa’nın farklı ülkelerindeki ulusal değişkenlerin ortadan kaldırılması ve tek
bir veri güvenliği standardı üzerinden tek bir yönetim merkeziyle denetim sağlanması
hedeflenmektedir.

GDPR kuruluşların verileri, özellikle de tüketici verilerini işleme ve kullanma şekillerine
yönelik bir AB yönetmeliği olsa da AB ülkeleri ile ticaret yapan her kuruluşu
etkilemektedir. GDPR ile uyumlu olmayan şirketlerin, küresel cirolarının %4’üne varan
oranlarda yüksek mali cezalarla karşı karşıya kalmaları söz konusu olabilmektedir.

ULUSAL MEVZUATTA KİŞİSEL VERİLERİN KORUNMASI

Yukarıda da belirttiğimiz gibi Avrupa Konseyi tarafından hazırlanan, 28.01.1981
tarihinde Strazburg’da imzaya açılan 108 no.lu “Kişisel Verilerin Otomatik İşleme Tabi
Tutulması Karşısında Bireylerin Korunması Sözleşmesi”ni ilk imzalayan ülkelerden bir
tanesi de Türkiye’dir. İmzalanmasının üzerinden yaklaşık 35 yıl geçmesine rağmen
Türkiye bu alanda kapsamlı bir düzenleme yapmamıştır.

Kişisel verilerin korunması alanındaki ilk düzenlemeler 01.06.2005 tarihinde yürürlüğe
giren 5237 sayılı Türk Ceza Kanunun 135 -140. Maddeleri arasında düzenlenmiştir. Bu
kanunun 135. maddesinde, kişisel verilerin kaydedilmesi, 136. Maddesinde, verileri
hukuka aykırı olarak verme veya ele geçirme, 138. maddesinde, verileri yok etmeme
fiilleri suç olarak düzenlenmiştir. Ayrıca Kanunun 140. maddesinde bu suçlarla ilgili
olarak tüzel kişiler hakkında güvenlik tedbiri uygulanacağı hüküm altına alınmıştır.
12.09.2010 tarihinde 5982 sayılı Kanun’la yapılan Anayasa değişikliği ile Anayasa’nın
20. maddesine ilave bir fıkra eklenmiştir. Söz konusu fıkrada; “Herkes, kendisiyle ilgili
kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili
kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya
silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi
de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla
işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.”
hükmüne yer verilmiştir.

Anayasanın ikinci kısmında yer alan “Kişinin Hakları ve Ödevleri” kısmında, temel
haklardan biriside "Özel Hayatın Gizliliği” olarak yer alır. Özel Hayatın Gizliliği
kavramının yer aldığı 20. Maddede yapılan bu değişikliğe, teknolojik gelişmelerin
temel hak ve hürriyetlere müdahale edebilmeyi kolay hale getirmiş olması ve bu
durumun hukuki bir sorun olarak kendini göstermesi bu konuda yasal düzenlemeler
yapmayı gerekli kılmıştır.

Anayasa’da yer verilen bu düzenleme ile;
• Herkesin, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahip olduğu,
• Bu hakkın; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere
erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda
kullanılıp kullanılmadığını öğrenmeyi de kapsadığı,
• Kişisel verilerin, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla
işlenebileceği hükme bağlanmıştır.

1981 yılında imzalan Avrupa Konseyi tarafından hazırlanan “Kişisel Verilerin Otomatik
İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi” TBMM’de
onaylanmış ve 6698 sayılı Kişisel Verilerin Korunması Kanunu 07.04.2016 tarih ve
29677 sayılı Resmi Gazete’de yayımlanarak yürürlüğe girmiştir. 05.05.2016 tarihinde de 181 no’lu “Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin
Korunması Sözleşmesine Ek Denetleyici Makamlar ve Sınır Aşan Veri Akışına İlişkin
Protokolün” Türk hukukuna dahil edilmiştir.