Teknolojik ilerlemeler, kamu kurum ve kuruluşları ile şirketler aracılığıyla bilişim teknolojilerinin kullanımının yaygınlaşması, sosyal medyanın açığa çıkması, cep telefonu ve bilgisayar gibi teknolojik cihaz kullanımının yaygınlaşması gibi nedenlerle, kişisel verilerimiz daha çok kişi açısından ulaşılabilir ve işlenebilir duruma getirilmiştir. Devletler tarafından 1970’li yıllardan itibaren hem ulusal hem de uluslararası düzenlemeler yapılmaktadır. Bahsi geçen düzenlemelerle kişisel verilerin korunması bir hak sayılmış ve kişisel verilerin işlenmesi ve iletilmesi ile alakalı ana unsurlar, nitelik ve yöntemler ile kontrol düzenekleri tespit edilmiştir. Bu metinde, kişisel verilerin korunması ile alakalı ulusal ve uluslararası hukuki saptamalardan bahsedilecek ve öncelikle Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) olacak şekilde, kişisel verilerin korunması konusunda önder ve örnek sayılabilecek uluslararası metinlerden bahsedilecektir.
Kişisel Verilerin Korunmasıyla Alakalı Başlıca Düzenlemeler
30 Eylül 1970 tarihinde Almanya – Hessen Eyaleti aracılığıyla kişisel verilerin korunması ile alakalı ilk düzenleme yapılmıştır. 1973 tarihinde çıkarılan İsveç Veri Kanunu ülkenin birçok farklı yerinde gerçekleştirilen ilk kanundur. Ardından 1978 tarihli Fransa ve Federal Almanya Veri Koruma Kanunları çıkarılmıştır. Bahsi geçen kanunlar, kişisel veriler ile alakalı açığa çıkabilecek sorunlara karşı gereken hukuki korumaların gerçekleştirilmesi maksadıyla çıkarılmıştır. Uluslararası kapsamda gerçekleştirilen başlıca düzenlemeler, Avrupa Konseyi aracılığıyla elektronik veri bankalarında saklanan kişisel verilerin korunması amacıyla gerekli standartları saptamak maksadıyla kabul edilen 1973 ve 1974 tarihli önergelerdir. Bu önergeler, kişisel verilerin korunması konusunda sonradan gelen düzenlemelere önderlik etmiş ve kaynak olarak kabul edilmiştir.
4 Kasım 1950 tarihinde çıkarılan Avrupa İnsan Hakları Sözleşmesi
Avrupa Konseyi aracılığıyla düzenlenerek 4 Kasım 1950 tarihinde imzalanan ve 3 Eylül 1953 tarihinde yürürlüğe sokulan Avrupa İnsan Hakları Sözleşmesi çerçevesinde kişisel verilerin korunmasına ilişkin direkt olarak düzenleme bulunmamaktadır. Bunun yanında, Avrupa İnsan Hakları Sözleşmesi’nin 8. maddesinde “Özel ve Aile Hayatına Saygı Hakkı” hazırlanmış ve Avrupa İnsan Hakları Mahkemesi aracılığıyla geliştirilen görüşler ile kişisel verilerin korunması sağlanmıştır.
23 Eylül 1980 tarihinde çıkarılan OECD Özel Yaşamın Korunması ve Kişisel Verilerin Sınır Ötesi Akışına Dair Rehber İlkeler
Kişisel verilerin korunmasına ilişkin OECD aracılığıyla 23 Eylül 1980 tarihinde “Özel Yaşamın Korunması ve Kişisel Verilerin Sınır Ötesi Akışına İlişkin Rehber İlkeleri” yayımlanmıştır. OECD aracılığıyla yayımlanan rehber ilkeler, veri koruma konusunda uluslararası ilk düzenleme olması nedeniyle büyük önem arz etmektedir. Rehber ilkelerin, öneri niteliğinde olması nedeniyle, üye devletler gözünde hiçbir bağlayıcılığı bulunmamaktadır. Bunun yanında, kişisel verilerin korunması konusunda devletler gözünden itici bir güç oluşturduğu düşünülebilir. OECD aracılığıyla yayımlanan rehber ilkeler şunlardır:
- Veri toplamanın sınırlılığı ilkesi
- Veri kalitesi ilkesi
- Belirli amaç ilkesi
- Kullanımın sınırlılığı ilkesi
- Veri güvenliği ilkesi
- Açıklık ilkesi
- Bireyin katılımı ilkesi
- Hesap verilebilirlik ilkesi
28 Ocak 1981 tarihinde çıkarılan ve 108 sayılı Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi
28 Ocak 1981 tarihinde çıkarılan ve 108 sayılı Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi, kişisel verilerin korunması ile alakalı uluslararası alanda gerçekleştirilen ilk sözleşmedir. Sözleşme, 1 Ekim 1985 tarihinde geçerlilik kazanmıştır. Sözleşmenin ana maksadı, her üye ülkede, uyruğu veya ikametgâhı fark etmeksizin gerçek kişilerin, temel hak ve özgürlüklerini ve en başta kendilerini alakadar eden kişisel yeterlikleri verilerin otomatik yollarla işleme tabi tutulması karşısında özel yaşam haklarını garanti altına almaktır. Sözleşme, OECD tarafından yayımlanan ilkelerden ayrı olarak, sadece otomatik yollarla işlenen kişisel verileri içermekte ve taraf devletler açısından bağlayıcı özellik taşımaktadır. Bunun yanında taraf devletler, sözleşme gereğince sözleşmede bahsi geçen ilkeleri kendi iç hukuk düzenlerine devretmekle sorumludurlar.
Sözleşme, Türkiye aracılığıyla 28 Ocak 1981 tarihinde imzalanmış olmasına karşın, kişisel verilerin korunması ile alakalı iç yönetmelikte gerekli düzenlemelerin gerçekleştirilmemesi sebebiyle, Sözleşme’ye uygun bir kanun ortaya konulmamıştır. 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun onaylanmasından sonra, 30 Ocak 2016 tarihinde Sözleşme onaylanmış ve iç hukukumuzun bir parçası sayılmıştır.
14 Aralık 1990 tarihinde çıkarılan BM Bilgisayarla İşlenen Kişisel Veri Dosyaları ile İlgili Rehber İlkeleri
14 Aralık 1990 tarihinde “Bilgisayarla İşlenen Kişisel Veri Dosyalarına İlişkin Rehber İlkeleri”, Birleşmiş Milletler aracılığıyla yayımlanmıştır. Bu ilkelerin maksadı, üye devletlerde kişisel verilerin korunması konusunda asgari ölçütleri saptamaktır. BM Rehber İlkeleri, kişisel verilerin korunması konusunda bağımsız ve tetkikçi bir makam kurulmasını belirten uluslararası ilk belge olarak büyük önem arz etmektedir. Bunun yanında, BM Rehber İlkeleri, kişisel verilerin korunması konusunda OECD Rehber İlkeleri ve 108 sayılı Sözleşme kadar yankı uyandırmamıştır.
24 Ekim 1995 tarihinde çıkarılan ve 95/46/EC sayılı Kişisel Verilerin İşlenmesi ve Serbest Dolaşımı Bakımından Bireylerin Korunmasına İlişkin Direktif
Avrupa Birliği, kişisel verilerin korunmasına ilişkin üye devletlerin yönetmeliklerini uygun duruma getirmek maksadıyla, 1995 yılında 95/46/EC sayılı Kişisel Verilerin İşlenmesi ve Serbest Dolaşımı Bakımından Bireylerin Korunmasına İlişkin Direktifi kabul etmiştir. Avrupa Birliği üyesi devletlerin kişisel verilerin korunmasına ilişkin yönetmelikleri bu yönergeye bağlıdır. Aynı şekilde, ülkemizde 6698 sayılı Kişisel Verilerin Korunması Kanunu düzenlenirken bahsi geçen yönerge temel alınmıştır. Aynı zamanda, Avrupa Birliği aracılığıyla bahsi geçen yönerge temel alınarak, e-haberleşme konusunda kişisel verilerin korunması maksadıyla, 2002 yılında 2002/58/EC sayılı Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Özel Hayatın Gizliliğinin Korunmasına İlişkin Direktif yürürlüğe konulmuştur.
95/46/EC sayılı Kişisel Verilerin İşlenmesi ve Serbest Dolaşımı Bakımından Bireylerin Korunmasına İlişkin Direktifin maksadı, Avrupa Birliğini kapsayan kişisel verilerin benzer seviyede ve benzer ilkeler çerçevesinde korunmasını sağlamak ve Avrupa Birliği sınırlarında özgür ve güvenli bir biçimde dolaşımı gerçekleştirmektir. Yönergeden önce Fransa, Almanya, İsveç gibi Avrupa ülkelerinde kişisel verilerin korunmasına ilişkin düzenlemeler mevcuttu; ancak yasal düzenlemelerde bir birlik mevcut değildi. Avrupa Birliği’ne dahil devletler, Avrupa Birliği aracılığıyla ortaya konulan yönergeler gereğince, iç hukuklarında gereken yasal düzenlemeleri gerçekleştirme konusunda sorumludurlar. Bu yasal düzenlemeler, yönergelerde bahsi geçen asgari ölçütleri sağlamak mecburiyetindedir. Bu sebeple, 95/46/EC sayılı Kişisel Verilerin İşlenmesi ve Serbest Dolaşımı Bakımından Bireylerin Korunmasına İlişkin Direktif ile Avrupa Birliği dâhil olmak üzere tüm ülkelerin kişisel verilerin korunması konusunda denk seviyeye gelmesi ve ortak bir yaklaşımın sürekliliğinin sağlanması hedeflenmiştir.
Yönerge, kişisel verilerin komple veya kısmen otomatik usullerle ya da bir başka veri kayıt sisteminin parçası olmak şartıyla diğer şekillerde işlenmesi durumunda uygulanmak için revize edilmiştir. Yönerge çerçevesinde, sadece gerçek kişilerin kişisel verileri garanti altına alınmış ve kişisel verilerin işlenmesi ile alakalı temel prensipler saptanmıştır. Bununda yanında, kişisel veriler hukuka ve dürüstlük kuralına uyacak şekilde, daha önce saptanmış açık ve yasal amaçlar maksadıyla, amaç ile bağlantılı ve makul olarak, düzgün ve lazım olduğunda güncellenecek şekilde işlenmelidir. Yönergenin maksadı, kapsamı ve temel prensipleri göz önünde bulundurulduğunda, ülkemizde KVKK’nın yönetmeliğe uyacak şekilde düzenlendiği neticesine ulaşılabilmektedir.
7 Aralık 2000 tarihli Avrupa Birliği Temel Haklar Şartı
7 Aralık 2000 tarihinde Nice şehrinde Avrupa Birliği Temel Haklar Şartı, Avrupa Birliği’ne üye ülkelerdeki temel hak ve özgürlüklerin birleştirilmesi maksadıyla, imzalanmıştır. Avrupa Birliği Temel Haklar Şartı’nın özgürlükler adı altında kişisel verilerin korunması hakkı, temel bir hak olarak kabul edilmiştir. Bu hâlde, Avrupa İnsan Hakları Sözleşmesi’nden ayrı bir şekilde, kişisel verilerin korunması hakkının özel hayatın gizliliği hakkından ayrı olarak düşünülmesi konusunda büyük önem arz etmektedir.
8 Kasım 2001 tarihli ve 181 sayılı Denetleyici Makamlar ve Sınır Aşan Veri Akışına İlişkin Ek Protokol
Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi’nin gerçekleştirilmesine ilişkin usul ve esasların saptanması maksadıyla Avrupa Konseyi aracılığıyla şimdiye kadar 20 tavsiye kararı uygulamaya sokulmuştur. Aynı zamanda, 2001 yılında Sözleşmeye ilâve olarak 181 sayılı Denetleyici Makamlar ve Sınır Aşan Veri Akışına İlişkin Ek Protokol kabul edilmiştir. Ek protokol ile kişisel verilerin üçüncü ülkelere aktarılmasına dair yeterli koruma düzeyi garanti edemeyen ülkelere veri transferi yasaklanmış ve taraf devletler, ülkelerinde işleme koymak üzere kişisel verilerin korunması konusunda sorumluluklarını tam bağımsızlıkla gerçekleştirecek denetleyici makam kurmayı üstlenmişlerdir.
18 Mayıs 2018 tarihli 108+ Sözleşmesi
108 sayılı Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi’nin üzerinden takriben 37 sene geçmesi ve bu sürede teknolojik gelişmelere ilişkin kişisel verilerin işlenmesinin yaygınlaşması ve basitleşmesi sonucunda, 108 sayılı Sözleşmenin güncellenmesi gerekli olmuştur. 108 sayılı Sözleşmenin yenilenmesi ve günümüze göre aktarılması sonucunda, 108+ Sözleşmesi açığa çıkmış ve 18 Mayıs 2018 tarihinde Bakanlar Komitesi aracılığıyla onaylanmıştır. Sözleşmede daha kuvvetli bir veri koruma düzeneği saptanmış, 108 sayılı Sözleşmede bulunmayan yeni açıklamalar yapılmış, özel nitelikli veri sınıfı genişletilerek genetik ve biyometrik verilerin de bahsi geçen sınıf çerçevesinde olduklarının altı çizilmiştir, uluslararası organizasyonların da Sözleşmeye taraf olabilecekleri saptanmıştır.
27 Nisan 2016 tarihli Avrupa Birliği Genel Veri Koruma Tüzüğü
Avrupa Birliği, kişisel verilerin korunması durumunda açığa çıkan gereksinimleri karşılamak ve beraberlik içerisinde tekdüzelik sağlamak maksadıyla 2012 yılında bir yönetmelik çalışması başlatmıştır. Düzenlenen EU 2016/679 sayılı yönetmelik “Avrupa Birliği Genel Veri Koruma Tüzüğü” (GDPR) ismi ile 25 Mayıs 2018 tarihinde işleme sokulan ve 95/46/EC sayılı Kişisel Verilerin İşlenmesi ve Serbest Dolaşımı Bakımından Bireylerin Korunmasına İlişkin Direktifini ortadan kaldırmıştır.
Avrupa Birliği Genel Veri Koruma Tüzüğü’nün düzenlenme sebepleri olarak, teknolojik gelişmeler, Direktif ile kişisel verilerin korunması konusunda yeterli ve yetkin bir tekdüzeliğin gerçekleştirilememesi, birtakım üye ülkelerde diğerlerine oranla daha çok veri koruma seviyelerinin kabul edilmesi ve bu ayrılıkların ülkeler arası kişisel verilerin aktarımı neticesinde sorunlar oluşturması, sosyal medya kullanımının artışı ile kişisel verilerin toplanmasında bulut bilişim yöntemlerinin sürekli tercih edilmesi, kişisel verilerin korunması konusunda daha etraflıca tedbirler alınması mecburiyeti saptanabilir.
Düzenleyen: Zehra Betül TAŞKIN
Benzer: https://www.nesilteknoloji.com/kisisel-verilerin-korunmasi-kanunu-kvkk-nedir/
