KİŞİSEL VERİLERİN KORUNMASI KANUNU
Kişisel verilerin korunması kanunu 6698 kanun numarası ile 24/03/2016 tarihinde kabul edilmiştir.
- Amaç
- Bu Kanunun amacı, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir.
- Kapsam
- Bu Kanun hükümleri, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır.
KİŞİSEL VERİLERİN İŞLENMESİ
Genel İlkeler
- Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.
- Kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması zorunludur:
1) Hukuka ve dürüstlük kurallarına uygun olma.
2) Doğru ve gerektiğinde güncel olma.
3) Belirli, açık ve meşru amaçlar için işlenme.
4 ) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.
5) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.
- Kişisel Verilen İşlenme Şartları
- Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez.
- Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür:
- Kanunlarda açıkça öngörülmesi.
- Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
- Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
- İlgili kişinin kendisi tarafından alenileştirilmiş olması.
- Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
- İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
- Özel Nitelikli Kişisel Verilerin İşlenme Şartları
- Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.
- Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.
- Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.
- Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.
- Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hâle Getirilmesi
- Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir.
- Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin diğer kanunlarda yer alan hükümler saklıdır.
- Kişisel verilerin silinmesine, yok edilmesine veya anonim hâle getirilmesine ilişkin usul ve esaslar yönetmelikle düzenlenir.
- Kişisel Verilerin Aktarılması
- Kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz.
- Kişisel verilerin aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.
- Kişisel verilerin yurt dışına aktarılması
- Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz.
- Kişisel veriler, kişisel verinin aktarılacağı yabancı ülkede;
- Yeterli korumanın bulunması,
- Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması
kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir.
- Yeterli korumanın bulunduğu ülkeler Kurulca belirlenerek ilan edilir.
- Kişisel veriler, uluslararası sözleşme hükümleri saklı kalmak üzere, Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, ancak ilgili kamu kurum veya kuruluşunun görüşü alınarak Kurulun izniyle yurt dışına aktarılabilir.
- Kişisel verilerin yurt dışına aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.
SUÇLAR VE KABAHATLER
- Suçlar
- Kişisel verilere ilişkin suçlar bakımından 26/9/2004 tarihli ve 5237 sayılı Türk Ceza Kanununun 135 ila 140 ıncı madde hükümleri uygulanır.
- Bu Kanunun 7 nci maddesi hükmüne aykırı olarak; kişisel verileri silmeyen veya anonim hâle getirmeyenler 5237 sayılı Kanunun 138 inci maddesine göre cezalandırılır.
- Kabahatler
- Bu Kanunun; 10 uncu maddesinde öngörülen aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar,
- 12 nci maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar,
- 15 inci maddesi uyarınca Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar,
- 16 ncı maddesinde öngörülen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar, İdari para cezası verilir.
KİŞİSEL VERİLERİN KORUNMASI KANUNU HAKKINDA BİR DEĞERLENDİRME
Çeşitli kişiler ve örgütlerce kişilere ilişkin bilgilere gereksinim, tarihin çok eski dönemlerinden beri bulunan bir gerçekliktir.¹
İnsanlar tarih boyunca, tehlikeden ve riskten kaçınmak, uygunsuz davranışları tespit etmek, başkalarının ne yaptığını kontrol etmek, kaydettikleri ilerlemeyi görmek ve toplumsal örgütlenme ve koruma amacıyla, etrafındakilerin yaptıklarına bakmışlar, gözetlemişlerdir.²
Bu sebeple kişiler hakkında bilgi toplama, onları izleme veya gözetleme için geliştirilmiş birçok araç bulunmaktadır. Çağımızda teknolojik olanakların gelişmesiyle, gözetim çok daha etkili bir hal almıştır.³
Bireylerin kimliklerini belirlemeye elverişli her türlü bilgi olarak tanımlanabilecek kişisel verilere karşı gelişen tehditler, gözetim teknolojilerine karşı bir savunma mekanizmasının geliştirilmesini zorunlu kılmış ve kişisel verilerin korunması hukukunun⁴ gerekliliği anlaşılmıştır.
Kişisel veriler üzerinde ilgili kişinin denetimini amaçlayan düzenlemeler, bilgisayarların hızla gelişmesi ve merkezi veri bankalarının oluşturulması ile birlikte, ilk olarak 1970’li yıllarda Avrupa’da ortaya çıkmış ve zamanla Dünyaya yayılmıştır. ⁵
1982 Anayasası’nın 2. maddesinde belirtildiği gibi insan haklarına saygılı, demokratik bir hukuk devleti olan ülkemiz, Birleşmiş Milletler, Avrupa Konseyi, OECD gibi örgütlerin de üyesi olmasına rağmen, uzun bir süre kişisel verileri koruyan özel bir kanunun bulunmaması nedeniyle, bu alanda uluslararası kuruluşlarca benimsenen ilkeleri ulusal hukukumuza aktaramamıştır. 2010 yılında yapılan referandumdan sonra
¹ David Lyon, Surveillance After September 11, Polity, 2003, s.2
² Zygmunt Bauman, Yasa Koyucular ve Yorumcular, Çev. Kemal Atakay, Metis Yayınevi, İstanbul 1996, s. 51 vd.
³ Daniel J. Solove, The Digital Person, Technology and Privacy in the Information Age, New York University Press, ABD 2004, s. 2.; David Lyon, Surveillance Studies an Overview, Polity Press, 2007, s. 12. Kişisel verilerin korunması ile ilgili normlar, kişilerin toplumun bir bireyi olmasını engelleyen bu tip baskılar altında kalmalarını engellemek ve gözetleyen ve gözetlenen arasındaki güç dengesini eşitlemek açısından önemlidir.
⁴ Kişisel verilerin korunması, özde verinin kendisinin değil, verinin sahibi olan bireyin temel hak ve özgürlüklerinin, kişilik hakkının ve özel alanının korunmasını amaçlamaktadır. Oğuz Şimşek, Anayasa Hukukunda Kişisel Verilerin Korunması, Beta Basım, İstanbul 2008, s. 4, Bundan sonra “Anayasa Hukukunda Kişisel Verilerin Korunması” olarak anılacaktır.
⁵ Vemon Bogdanor, Blackwell’in Siyaset Bilimi Ansiklobedisi, C.II, Çev. Erhan Yükselci, Sema Yükselci, Bülent Peker, Ümit Yayımcılık, Ankara 2003, s. 426.
5982 sayılı Kanunla⁶ Anayasa’nın özel hayatın gizliliğini düzenleyen 20. Maddesine;
“Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir”
şeklinde bir fıkra eklenerek kişilerin kişisel verilerinin korunması açıkça anayasal güvence altına alınmıştır.
Bu düzenleme doktrinde kişisel verilerin korunması hakkının hangi şartlarda sınırlanabileceğinin belirtilmediği⁷ ve kişisel verilerin işlenmesi hususunu denetleyecek bağımsız bir organ öngörülmediği⁸ için eleştirilmiştir.
Avrupa Konseyi bünyesinde hazırlanarak 28 Ocak 1981 tarihinde Strazburg’ta imzaya açılan ve 1 Ekim 1985 tarihinde yürürlüğe giren 108 sayılı Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi ⁹ ülkemiz tarafından 28 Ocak 1981 yılında imzalanmış olmasına karşın, uzun süre onaylanmamış ve 30 Ocak 2016 tarihinde kabul edilen 6669 sayılı Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesinin Onaylanmasının Uygun Bulunduğuna Dair Kanun ile onaylanarak 18 Şubat 2016 Tarihli ve 29628 Sayılı Resmî Gazetede yayımlanmış ve aynı tarihte yürürlüğe girmiştir.¹⁰
Avrupa’da birçok devletin mevzuatında kişisel verilerin korunması ile kanunlar kırk yıldan fazladır yer almaktadır.
Çağdaş devletlerin neredeyse tamamı, bu konuda temel kanunlar çıkarmıştır.
⁶ Türkiye Cumhuriyeti Anayasasının Bazı Maddelerinde Değişiklik Yapılması Hakkında Kanun, Kanun No: 5982; Resmi Gazete Tarihi: 13.05.2010, Sayı: 27580.
⁷ Elif Küzeci, Kişisel Verilerin Korunması, Turhan Kitabevi, Ankara 2010, s.266; Sultan Tahmazoğlu Uzeltürk, “Kişisel Verilerin Korunması Hakkında Anayasa Değişikliği”, Legal Hukuk Dergisi, Sayı 93, Eylül 2010, s. 3155.
⁸ Küzeci, s. 266
⁹ Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesinin Uygun Bulunduğuna Dair Kanun Gerekçesi, (Çevrimiçi) http:// www2.tbmm.gov.tr/d26/1/1-0320.pdf (Erişim Tarihi: 07 Mart 2016)
¹⁰ Türkiye Sözleşmeyi imzalamasına rağmen, 30/1/2016 tarihine kadar onaylayıp yürürlüğe koymayan tek ülke konumundaydı. Kanun metni İçin bakınız. (Çevrimiçi)
http://www.resmigazete.gov.tr/main.aspx?home=
http://www.resmigazete.gov.tr/eskiler/2016/02/20160218.htm&main=
http://www.resmigazete.gov.tr/eskiler/2016/02/20160218.htm
KİŞİSEL VERİLER İLE İLGİLİ ÖNEMLİ VE AÇIKLAYICI YARGITAY KARARLARI
Yargıtay 12. Ceza Dairesi
2015/4349 E. 2016/5349 K. T.30.03.2016
Mahkemesi: Asliye Ceza Mahkemesi
SUÇ: Kişisel verilerin kaydedilmesi
ÖZET:
Sanığın, “Birol Güven” isimli sahte facebook profili oluşturarak ilgi duyduğu katılana
arkadaşlık isteği göndererek bir süre yazıştıkları, katılanın, sanık tarafından kullanılan profilin sahte hesap olduğunu anladıktan sonra, sanığın kullandığı sahte profili arkadaşlık listesinden çıkardığı, sonrasında sanığın kullandığı sahte profile, katılanın facebook hesabından elde ettiği resimleri koyarak, kişisel verilerin kaydedilmesi suçunu işlediği iddiasına konu olayda, TCK’nın 135 ve 136. maddelerinde düzenlenen “Kişisel Verilerin Kaydedilmesi” ve “Verileri Hukuka Aykırı Olarak Verme veya Ele Geçirme” suçlarının konusunu oluşturan kişisel veri kavramından, kişinin, yetkisiz üçüncü kişilerin bilgisine sunmadığı, istediğinde başka kişilere açıklayarak ancak sınırlı bir çevre ile paylaştığı, herkes tarafından bilinmeyen ve/veya kolaylıkla ulaşılması ve bilinmesi mümkün olmayan, kişinin kimliğini belirleyen veya belirlenebilir kılan, kişiyi toplumda yer alan diğer bireylerden ayıran ve onun niteliklerini ortaya koymaya elverişli, gerçek kişiye ait her türlü bilginin anlaşılması gerektiği, belirli veya belirlenebilir bir kişiye ait her türlü bilginin, hukuka aykırı olarak kaydedilmesi, TCK’nın 135. maddesinde “Kişisel verilerin kaydedilmesi” başlığı altında, belirli veya belirlenebilir bir kişiye ait her türlü bilginin, başkasına verilmesi, yayılması ya da ele geçirilmesi, aynı Kanunun 136/1. maddesinde “Verileri hukuka aykırı olarak verme veya ele geçirme” başlığı altında birbirinden bağımsız iki ayrı suç olarak tanımlanmıştır.
KARAR:
Verileri hukuka aykırı olarak verme veya ele geçirme suçunun maddi konusunu oluşturan “kişisel veri” kavramından, kişinin, yetkisiz üçüncü kişilerin bilgisine sunmadığı, istediğinde başka kişilere açıklayarak ancak sınırlı bir çevre ile paylaştığı nüfus bilgileri (T.C. kimlik numarası, adı, soyadı, doğum yeri ve tarihi, anne ve baba adı gibi), adli sicil kaydı, yerleşim yeri, eğitim durumu, mesleği, banka hesap bilgileri, telefon numarası, elektronik posta adresi, kan grubu, medeni hali, parmak izi, DNA’sı, saç, tükürük, tırnak gibi biyolojik örnekleri, cinsel ve ahlaki eğilimi, sağlık bilgileri, etnik kökeni, siyasi, felsefi ve dini görüşü, sendikal bağlantıları gibi kişinin kimliğini belirleyen veya belirlenebilir kılan, kişiyi toplumda yer alan diğer bireylerden ayıran ve onun niteliklerini ortaya koymaya elverişli, gerçek kişiye ait her türlü bilginin anlaşılması gerekir.
Herkes tarafından bilinen ve/veya kolaylıkla ulaşılması ve bilinmesi mümkün olan kişisel bilgiler de, yasal anlamda “kişisel veri” olarak kabul edilmekte ise de, anılan maddenin uygulama alanının amaçlanandan fazla genişletilerek, uygulamada belirsizlik ve hemen her eylemin suç oluşturması gibi olumsuz sonuçların doğmaması için, maddenin uygulamasında, somut olayın özellikleri dikkate alınarak titizlikle değerlendirme yapılması, olayda herhangi bir hukuk dalı tarafından kabul edilebilecek bir hukuka uygunluk nedeni veya bu kapsamda nazara alınabilecek bir hususun bulunup bulunmadığının saptanması ve sanığın eylemiyle hukuka aykırı hareket ettiğini bildiği ya da bilebilecek durumda olduğunun da ayrıca tespit edilmesi gerekir.
Bu bilgiler ışığında somut olayımız açısından, sanık tarafından oluşturulan sahte facebook profilinde, katılanın facebook profilinden elde edilen resimlerin yayınlanması eyleminin suç olarak kabul edilmesi halinde, eylemin kişisel verilerin kaydedilmesi suçunu değil, verileri hukuka aykırı olarak verme veya ele geçirme suçunu oluşturabileceği, bahse konu resimlerin dosya kapsamında bulunmadığı, ancak; Sanığın kovuşturma aşamasında verdiği ifadesinde
“Davaya konu fotoğrafları ben facebook isimli sosyal paylaşım sitesinden aldım. Ben bu sitede kendisi ile arkadaştım. Zaten bu fotoğrafları herkese açıktı, müştekinin benim elimde herhangi bir fotoğrafı yoktur.” şeklindeki savunması, katılanın kovuşturma aşamasında verdiği ifadesinde “benim fotoğraflarım arkadaşım olmayanlara engelliydi. Sadece bir tane profil fotoğrafım herkese açıktı. Sanık büyük ihtimalle o fotoğrafımı almış olabilir.”
şeklindeki beyanı dikkate alındığında, bahse konu fotoğrafın, katılanın herkese açık profilinden elde edildiği, bu fotoğraflara kolaylıkla ulaşılabildiği, fotoğrafın özel hayata ilişkin olduğuna dair bir iddiada da bulunulmadığı dikkate alındığında, özel hayata ilişkin olmayan, herkese açık facebook profilinden kolaylıkla elde edilen fotoğrafların, ilgilinin isim ve soy ismi kullanılmadan, sadece başka bir facebook profilinde yayınlanması eyleminin suç olarak kabul edilemeyeceği, bu eylemlerin yalnızca özel hukuk yaptırımlarına konu olabileceği göz önüne alındığında mahkemece sanık hakkında beraat kararı verilmesinde bir isabetsizlik görülmemiş olup, yapılan yargılama sonunda yüklenen fiilin kanunda suç olarak tanımlanmamış olması, gerekçeleri gösterilerek mahkemece kabul ve takdir kılınmış olduğundan, mahalli Cumhuriyet savcısının, atılı suçun unsurlarının oluştuğuna ve mahkumiyet istemine ilişkin temyiz itirazlarının reddiyle, beraate ilişkin hükmün isteme uygun olarak ONANMASINA, 30.03.2016 tarihinde oyçokluğuyla karar verildi.
Yargıtay Ceza Genel Kurulu
2014/139 E. 2014/445 K. T.05.05.2011
“İçtihat Metni”
Mahkemesi : Pütürge Asliye Ceza
Sayısı : 13-34
SUÇ: Kişisel verileri hukuka aykırı olarak verme veya ele geçirme suçu
ÖZET:
Kişisel verileri hukuka aykırı olarak verme veya ele geçirme suçundan sanık K.. Y..’ın beraatına ilişkin, Pütürge Asliye Ceza Mahkemesince verilen 05.05.2011 gün ve 13-34 sayılı hükmün o yer Cumhuriyet savcısı tarafından temyiz edilmesi üzerine dosyayı inceleyen Yargıtay 12. Ceza Dairesince 07.10.2013 gün ve 3189-22716 sayı ile;
Cumhuriyet savcılarının nezdinde görev yaptıkları Asliye Ceza Mahkemesi kararlarına karşı, 5271 sayılı CMK’nın 260/2 ve 5320 sayılı Kanun’un 8. maddesi uyarınca halen uygulanmakta olan 1412 sayılı CMUK’un 310. maddesi uyarınca tefhimden itibaren bir hafta içinde kanun yollarına başvuru hakkı mevcut iken, 14.04.2011 tarihinde yürürlüğe giren 6217 sayılı Kanun’un 26. maddesi ile 5320 sayılı Kanun’a eklenen Geçici 3. maddesi ile 01.01.2014 tarihine kadar Asliye Ceza Mahkemesinde yapılan duruşmalarda Cumhuriyet savcısının bulunmayacağı; ancak verilen hükümlere karşı kanun yollarına başvurabilmesi amacıyla dosyanın Cumhuriyet Başsavcılığına gönderileceği hüküm altına alınmıştır.
Bu açık yasal düzenlemeler uyarınca, Cumhuriyet savcılarının nezdinde görev yaptıkları asliye ceza mahkemesi kararlarına karşı hükümlerin Cumhuriyet Başsavcılığına gönderildiği tarihten itibaren bir hafta içinde kanun yollarına başvuru haklarının bulunduğunun kabulünde zorunluluk bulunmaktadır.
Bu itibarla, Pütürge Asliye Ceza Mahkemesince verilen 05.05.2011 tarihli hükmün 07.06.2011 tarihinde görüldüsünü yapan mahalli Cumhuriyet savcısının 08.06.2011 tarihli temyiz isteminin süresinde olduğu anlaşılmakla, tebliğnamedeki süresinde olmadığı düşüncesiyle temyiz isteminin reddine karar verilmesi gerektiğine dair görüşe iştirak edilmeyerek yapılan incelemede:
1– Dosya kapsamına göre; katılanın, bilgisi ve rızası dışında, adına bir arkadaşlık sitesinde üyelik işlemleri yapılarak, elektronik posta adresi oluşturulan sitede, başka kişilere tanışma ve görüşme isteğini içerir elektronik ileti gönderilip, katılanın aktif kullanımındaki cep telefonu numarası ile elektronik posta adresinin yazılması nedeniyle tanımadığı kişilerin 13.02.2008 tarihinden itibaren kendisini telefonundan arayarak ve elektronik ileti göndererek rahatsız ettiği iddiasını içeren 25.03.2008 tarihli şikayet dilekçesi üzerine başlatılan adli soruşturma kapsamında, katılanın şikayet dilekçesinde geçen arkadaşlık sitesindeki üye profiline son olarak 23.03.2008 günü saat 03:41:05’te, sanığın abonesi olduğu telefona bağlı IP adresinden giriş yapıldığının belirlendiği olayda,
Sanık savunmasında, internet ortamında tanıştığı arkadaşı tanık Semanur’un, görüntülü sohbet yaptıkları sırada, şikayete konu arkadaşlık sitesine üye olmak istediğini belirtip, kendisinden yardımcı olmasını istemesi nedeniyle ve üyelik işlemlerini onun adına yaptığı düşüncesiyle söz konusu üye profilini oluşturduğunu ve giriş için gerekli şifreyi aynı gün tanık Semanur’a verip, bu profile bir daha giriş yapmadığını, katılanla eşi arasında duygusal boyutta arkadaşlık ilişkisi olduğunu düşünen tanık Semanur’un, katılana zarar vermek kastının olduğunu bilmeden hareket ettiğini, katılanı da tanımadığını beyan etmiş ise de, Tanık Semanur’un, istinabe yoluyla Manavgat 1. Asliye Ceza Mahkemesinde alınan 17.02.2010 tarihli ilk beyanında, eşinin kendisini katılanla aldattığını sanığa anlattığında, sanığın, bir talebi olmadığı halde, katılanı arkadaşlık sitesine üye yapabileceğini söyleyip, kendisinden aldığı bilgilerle, şikayete konu üye profilini oluşturduğunu, sonuçta internet kullanıcısı olması sebebiyle isteseydi kendisinin de bu işlemi gerçekleştirebileceğini, aynı mahkemede alınan 22.09.2010 tarihli ikinci beyanında ise, katılan adına üye profili oluşturma fikrinin kendisinden çıkmakla beraber sanığın da bu hususta yardımcı olabileceğini söylemesi üzerine katılana ait resimleri sanığa gönderdiğini ve üyelik işlemlerinin sanık tarafından gerçekleştirildiğini, kendisinin sadece şifresini bildiği üye profili üzerinden başka kişilere elektronik ileti gönderip, katılanın GSM numarasını verdiğini ifade etmiş olması; katılanın şikayet dilekçesinde geçen arkadaşlık sitesinin sahibi olduğunu belirten tanık Elvan’ın Cumhuriyet Savcılığında alınan 23.09.2008 tarihli beyanında, şikayete konu profile son olarak 23.03.2008 günü, saat 03:41:05’te, 85.110.23.34 numaralı IP adresinden giriş yapıldığını tespit ettiklerini belirttiği, Telekomünikasyon A.Ş. İstanbul Yakası İl Telekom Müdürlüğünün 04.11.2008 tarihli yazısıyla söz konusu numaranın sanığın abonesi olduğu telefona bağlı IP adresi olduğunun belirlendiği ve katılanın 13.02.2008 tarihinden itibaren rahatsız edildiğini beyan ettiği nazara alındığında, savunmanın aksine, sanığın üyelik işlemlerini gerçekleştirdikten sonra da şikayete konu üye profiline giriş yaptığının kuvvetle muhtemel olması karşısında, Maddi gerçeğin kuşkuya yer bırakmayacak şekilde belirlenebilmesi için; aynı olaydan dolayı tanık Semanur hakkında yürütülen soruşturma dosyasının akıbeti araştırılıp, ilgili arkadaşlık sitesinden, söz konusu üyelik işlemlerinin hangi zaman aralığı içerisinde ve hangi IP numarası tarafından gerçekleştirildiğini gösteren kayıtların mevcut olup olmadığı sorularak, varsa temini, ayrıca; katılan adına elektronik posta adresi hesabının oluşturulduğu sırada elektronik posta hizmeti veren şirkete beyan edilen kimlik bilgileri, elektronik posta adresi oluşturulurken kullanılan IP adresi ve bağlantı için kullanılan telefon numarası, elektronik posta adresinin aktive edilmesi için elektronik posta adresinin alındığı şirkete verilen diğer elektronik posta adresi ve bu adresin kullandığı IP adresleri ve bağlantı telefon numaraları, suça konu elektronik posta adresi ve bunun aktive edilmesi için şirkete bildirilen diğer elektronik posta adresi ile başka adreslere gönderilen iletilerin tespit edilmesi için dosyadaki tüm bilgi ve belgelerin Türkiye İletişim Kurumu Başkanlığına gönderilerek, alınacak yazı cevabından sonra, gerektiğinde sanığın iş yerinde ve evinde kullandığı bilgisayarlar üzerinde bilişim uzmanı üç kişilik bilirkişi marifetiyle inceleme yapılıp, katılanın aktif kullanımındaki cep telefonu numarası ile elektronik posta adresinin yazıldığı ve katılanın resimlerinin konulduğu bilgisayar tespit edilip, sonucuna göre sanığın hukuki durumunun takdir ve tayini gerekirken, eksik incelemeye dayalı olarak, yazılı şekilde sanığın beraatine karar verilmesi kanuna aykırı,
2– Hükümden sonra 05.07.2012 tarihli Resmi Gazete’de yayınlanarak yürürlüğe giren 6352 sayılı Yargı Hizmetlerinin Etkinleştirilmesi Amacıyla Bazı Kanunlarda Değişiklik Yapılması ve Basın Yayın Yoluyla İşlenen Suçlara İlişkin Dava ve Cezaların Ertelenmesi Hakkında Kanunun Geçici 1. maddesinin, ‘31.12.2011 tarihine kadar, basın ve yayın yoluyla ya da sair düşünce ve kanaat açıklama yöntemleriyle işlenmiş olup; temel şekli itibarıyla adlî para cezasını ya da üst sınırı beş yıldan fazla olmayan hapis cezasını gerektiren bir suçtan dolayı; a) Soruşturma evresinde, 04/12/2004 tarihli ve 5271 sayılı Ceza Muhakemesi Kanununun 171 inci maddesindeki şartlar aranmaksızın kamu davasının açılmasının ertelenmesine, b) Kovuşturma evresinde, kovuşturmanın ertelenmesine, c) Kesinleşmiş olan mahkûmiyet hükmünün infazının ertelenmesine, karar verilir.’ hükmü gereğince, sanığın hukuki durumunun yeniden tayin ve takdirinde zorunluluk bulunması” isabetsizliklerinden bozulmasına karar verilmiştir.
Yargıtay Cumhuriyet Başsavcılığı ise 02.12.2013 gün ve 405980 sayı ile;
05.05.2011 tarihinde verilen hükmü bir aylık yasal süresi geçtikten sonra ve 08.06.2011 tarihinde temyiz eden o yer Cumhuriyet savcısının temyiz talebinin 16.01.2013 tarihli tebliğnamemiz uyarınca reddine karar verilmesi gerekirken, temyizin başlangıcının görüldü tarihinden itibaren başlatılması ve o yer Cumhuriyet savcısının temyiz talebinin yasal süresinde olduğunun kabulü ile esastan inceleme yapılarak hükmün bozulmasına karar verilmesi isabetsizdir” görüşüyle itiraz kanun yoluna başvurmuştur.
5271 sayılı CMK’nun 308. maddesi uyarınca inceleme yapan Yargıtay 12. Ceza Dairesince 23.12.2013 gün ve 28891-30246 sayı ile, itiraz nedenlerinin yerinde görülmediğinden bahisle reddine karar verilerek Yargıtay Birinci Başkanlığına gönderilen dosya, Ceza Genel Kurulunca değerlendirilmiş ve açıklanan gerekçelerle karara bağlanmıştır.
Özel Daire ile Yargıtay Cumhuriyet Başsavcılığı arasında oluşan ve Ceza Genel Kurulunca çözümlenmesi gereken uyuşmazlık; o yer Cumhuriyet savcısının temyiz isteminin süresinde olup olmadığının belirlenmesine ilişkindir.
5271 sayılı Ceza Muhakemesi Kanununun kanun yoluna başvurma hakkını düzenleyen 260. maddesinde; “Hâkim ve mahkeme kararlarına karşı Cumhuriyet savcısı, şüpheli, sanık ve bu Kanuna göre katılan sıfatını almış olanlar ile katılma isteği karara bağlanmamış, reddedilmiş veya katılan sıfatını alabilecek surette suçtan zarar görmüş bulunanlar için kanun yolları açıktır.
Asliye ceza mahkemesinde bulunan Cumhuriyet savcıları, mahkemenin yargı çevresindeki sulh ceza mahkemelerinin; ağır ceza mahkemelerinde bulunan Cumhuriyet savcıları, ağır ceza mahkemesinin yargı çevresindeki asliye ve sulh ceza mahkemelerinin; bölge adliye mahkemesinde bulunan Cumhuriyet savcıları, bölge adliye mahkemelerinin kararlarına karşı kanun yollarına başvurabilirler.
Cumhuriyet savcısı, sanık lehine olarak da kanun yollarına başvurabilir”,
1412 sayılı CMUK’nun 5320 sayılı Kanunun 8. maddesi uyarınca halen yürürlükte bulunan 310. maddesinde de; “Temyiz talebi, hükmün tefhiminden bir hafta içinde hükmü veren mahkemeye bir dilekçe verilmesi veya zabıt katibine yapılacak beyanla olur. Beyan tutanağa geçirilir ve tutanak hakime tasdik ettirilir.
Hükmün tefhimi sanığın yokluğunda olmuşsa bu süre tebliğ tarihinden başlar.
Sulh mahkemelerinin temyizi kabil kararları, yargı çevresi içinde bulundukları asliye ve ağır ceza mahkemeleri nezdindeki Cumhuriyet savcıları tarafından, tefhim tarihinden itibaren bir ay içinde temyiz edilebilir” hükümlerine yer verilmiştir.
6217 sayılı Kanunun 26. maddesi ile 5320 sayılı Ceza Muhakemesi Kanununun Yürürlük ve Uygulama Şekli Hakkında Kanununa eklenen Geçici 3. maddede ise; “01.01.2014 tarihine kadar, asliye ceza mahkemelerinde yapılan duruşmalarda Cumhuriyet savcısı bulunmaz ve katılma hususunda Cumhuriyet savcısının görüşü alınmaz. Ancak, verilen hükümler ile tutuklamaya veya salıverilmeye ilişkin kararlara karşı Cumhuriyet savcısının kanun yoluna başvurabilmesi amacıyla dosya Cumhuriyet başsavcılığına gönderilir” şeklinde düzenleme yer almaktadır.
Buna göre, asliye ceza mahkemelerince verilen kararlara karşı bulundukları asliye ve ağır ceza mahkemeleri nezdindeki Cumhuriyet savcıları için kanun yolunun açık olduğu hususunda bir tereddüt bulunmamakla birlikte, 6217 sayılı Kanun ile yapılan değişiklik sonrası 01.01.2014 tarihine kadar asliye ceza mahkemelerince verilen temyiz edilebilir nitelikte hükümlerin Cumhuriyet savcıları tarafından hangi süre içinde temyiz edilebileceklerine ilişkin bir düzenleme bulunmamaktadır. Bu durumda, Cumhuriyet savcılarının mevcut temyiz haklarını hangi süre içinde kullanabilecekleri ve bu sürenin ne zaman başlayacağı belirlenirken bu husustaki mevcut hukuki boşluk, yürürlükteki hukuk düzeninin bütünlüğü de dikkate alınarak kıyas metodu ile en uygun hukuk kuralı bulunup doldurulmalıdır.
01.06.2005 tarihinde yürürlüğe girmiş bulunan 5271 sayılı CMK’nun istinaf başvurusunun süresini belirleyen 273 ve temyiz süresini düzenleyen 291. maddeleri, 5320 sayılı Kanunun 8. maddesinde öngörüldüğü üzere bölge adliye mahkemelerinin göreve başladığının resmen ilan edilmemesi nedeniyle henüz uygulanma yeteneği kazanamadıkları için kıyaslamada da dikkate alınamayacaktır. Aksi düşüncenin kabulü, kanun koyucunun açık bir irade sergileyerek henüz uygulanmasını arzu etmediği bir kanun normunun kıyas yoluyla ve dolaylı biçimde uygulanması anlamına gelecektir. Bu durumda sorun, 1412 sayılı CMUK’nun “Temyiz talebi ve süresi” başlıklı 310. maddesi kıyasen uygulanarak çözümlenmelidir. Bu maddenin birinci fıkrasında, temyiz süresinin tefhimle başlayacağı ve bir hafta olduğu belirtilerek genel kural vurgulanmıştır. Ancak, Cumhuriyet savcılarının duruşmasına iştirak etmediği sulh ceza mahkemesi kararlarını bu süre içinde temyiz etmeleri çoğu kere mümkün olamayacağı için, bunlar yönünden özel bir prensip benimsenerek daha uzun bir süre öngörülmüş, bu nedenle maddenin üçüncü fıkrasında, bu kararların tefhimden itibaren bir ay içinde temyiz edilebileceği hükme bağlanmıştır. O halde, bölge adliye mahkemelerinin göreve başladığının resmen ilan edilmesinden önceki evrede aleyhine temyiz yoluna başvurulan kararlar söz konusu olduğunda, diğer bir ifadeyle 1412 sayılı CMUK’nun 305 ila 326. maddelerinin uygulanması gereken hallerde, o yer Cumhuriyet savcılarının duruşmalarına iştirak etmediği asliye ceza mahkemesi kararlarına yönelik temyiz süreleri de bu kanunun 310. maddesinin 3. fıkrası kıyasen uygulanmak suretiyle belirlenmeli ve bu sürenin “tefhim tarihinden itibaren bir ay” olduğu kabul edilmelidir. Nitekim Ceza Genel Kurulunun 10.06.2014 gün ve 834-321 sayılı kararında da aynı sonuca ulaşılmış, 06.11.2007 gün ve 167-222 sayılı kararda ise üst Cumhuriyet savcıları açısından aynı sürenin geçerli olacağı kabul olunmuştur.
Bu açıklamalar ışığında uyuşmazlık konusu değerlendirildiğinde;
Pütürge Asliye Ceza Mahkemesince 05.05.2011 tarihinde tefhim edilen hükme karşı, o yer Cumhuriyet savcısı tarafından tefhim tarihinden itibaren, son günün hafta sonu tatiline denk gelmesi nedeniyle 06.06.2011 günü sona eren bir aylık süre geçtikten sonra 08.06.2011 tarihinde temyiz başvurusunda bulunulduğu anlaşılmaktadır.
Bu itibarla, itirazın kabulüne, Özel Daire bozma kararının kaldırılmasına, o yer Cumhuriyet savcısının temyiz talebinin süresinden sonra yapılmış olması nedeniyle 1412 sayılı CMUK’nun 5320 sayılı Kanunun 8. maddesi uyarınca halen yürürlükte bulunan 310 ve 317. maddeleri uyarınca reddine karar verilmelidir.
KARAR:
Açıklanan nedenlerle;
1- Yargıtay Cumhuriyet Başsavcılığı itirazının KABULÜNE,
2- Yargıtay 12. Ceza Dairesinin 07.10.2013 gün ve 3189-22716 sayılı bozma kararının KALDIRILMASINA,
3- O yer Cumhuriyet savcısının kanuni süreden sonra gerçekleşen temyiz talebinin 1412 sayılı CMUK’nun 5320 sayılı Kanunun 8/1. maddesi uyarınca halen yürürlükte bulunan 310 ve 317. maddeleri uyarınca REDDİNE,
4- Dosyanın, mahalline gönderilmek üzere Yargıtay Cumhuriyet Başsavcılığına TEVDİİNE, 21.10.2014 tarihinde yapılan müzakerede oybirliğiyle karar verildi.
AİHM ÖRNEK KARAR İNCELEMERİ
Leander / İsveç Davası
Leander adlı kişinin İsveç aleyhine AİHS’nin 8. maddesiyle korunan haklarının devlet eliyle ihlal edildiğine yönelik yaptığı şikâyet¹ üzerine mahkemece verilen karardır.
Söz konusu karar temelde kişisel verilerin toplanması ve saklanmasına ilişkin olup, başvuruya sebep olay başvurucu Leander’in, polis teşkilatındaki gizli bilgilerinin kullanıldığı, ancak kendisine bilgilerin içeriği hakkında bilgi verilmediği, bu bilgiler yüzünden işine son verilmiş olmasına rağmen işlemin iptal edilmediği için başvuruda bulunmasıdır.
Şikâyetçi Leander bir müze çalışanıdır. Leander’in çalıştığı müzenin binalarının bazı bölümleri askeri güvenlik bölgesi sınırları içindedir. Geçmiş zamanda polis tarafından edinilmiş ve halen muhafaza edilen gizli bilgiler nedeniyle Leander kişisel güvenlik kontrolü olarak adlandırılan güvenlik önlemini geçememiş ve işten çıkarılmıştır. Burada şikayete temel oluşturan husus ise söz konusu bilgilerin ne olduğunun Leander’e açıklanmamış olmasıdır. AİHM tarafından yapılan tespite göre; Leander’e yapılan kişisel kontrol ulusal mevzuata uygun olarak yapılmıştır.
Leander’in iddiası; söz konusu bilgiler yanlış ise kendisine bu hususu kanıtlama imkanı verilmediği ve özel yaşamın gizliliğinin bu suretle ihlal edildiğidir. Zira Leander’e bilgiler açıklanmadığından kendini savunma hakkı ya da bilgilerin yanlışlığını kanıtlama hakkı da verilmemiştir.
Yapılan değerlendirmelerde poliste Leander’e ait olan bilgilerin Leander’in özel hayatına ilişkin olduğu tespit edilmiştir. İsveç ulusal mevzuatı bu bilgilerin ulusal güvenlik söz konusu olduğunda kullanılabileceğine cevaz vermektedir. Bu nedenle söz konusu mevzuatın sonuçları Leander için öngörülebilirdir. Mevzuat hükmü nezdinde yapılan incelemede; hükmün yalnızca bağlantılı bilgiler toplanabilmesine izin verdiği ve bu bilgilere dayalı alınan idari kararlara kişilerin itiraz hakkının mevcut olduğu sonucuna ulaşılmış ve ulusal yasa açısından yeterli güvenceyi sağlandığı kanaatine varılmıştır. Sonuç olarak; ortada bir müdahalenin var olduğu ancak AİHS’ne aykırı bir müdahalenin bulunmadığı sonucuna varılmıştır. Burada devletin takdir yetkisinin olması gerektiği ve söz konusu müdahalenin izlenen meşru amaçla orantılı olduğunun altı çizilmiştir. ²
¹ Başvuru No: 9248/81, Karar Tarihi: 26.03.1987
² İşbu karar; değerlendirme yapılırken, Leander’in ne vasıfla çalışacağı ve pozisyonunun ulusal güvenlik açsından tehlike oluşturup oluşturmayacağı irdelenmediğinden eleştirilmektedir.
- / Finlandiya Davası
Finlandiya davasında; Z. kod adlı kişinin Finlandiya aleyhine AİHS’nin 8. maddesiyle korunan haklarının devlet eliyle ihlal edildiğine yönelik yaptığı şikâyet¹ üzerine mahkemece verilen karardır.
Söz konusu karar temelde tıbbi verilerin saklanması ve açıklanmasına ilişkin olup, başvuruya sebep olay başvurucu Z’nin eşi X’ten boşanma aşamasında edinilen her ikisinin de HIV virüsü taşıyıcısı olduğu bilgisinin, doktorlar tarafından ceza dosyasına sağlandığı ve bu bilgilerin uzun süre açıklanmasının engellenmesidir.
Buna göre; Z.’nin kocası X tecavüz nedeniyle yargılanmakta ve yargılama sırasında HIV pozitif taşıyıcısı olduğu tespit edildiğinden bahisle taksirle adam öldürme suçuyla itham edilmiştir. Z ve X’e ait boşanma davalarında kullanılan teşhis ve tedavi belgeleri ceza dava dosyasına sunulmuş/sağlanmış ve bu bilgiler yargılama sonunda hüküm kurulmasında kullanılmıştır. Yargılama sonunda X suçlu bulunmuş ve hapis cezasına mahkûm edilmiştir. Bu mahkûmiyetin yanında dosyadaki bilgi ve belgeler hakkında 10 yıllık gizlilik kararı verilmiştir.
AİHM somut olayda yaptığı değerlendirmede söz konusu bilgilerin kişisel veri olduğunu şüphesiz kabul etmiştir. Bu anlamda kişinin kişisel verilerinin korunması hakkına bir müdahale olduğu nitelemesi yapılmıştır. Bu tür verilerin korunmasının çok önemli olduğu, zira, bulaşıcı hastalıklarla mücadelenin önemli bir kamu menfaati barındırdığı ve bu mücadelede bilgilerin gizliliği konusunda verilecek bir firenin hasta insanların tedaviye yanaşmamaları sonucunu doğurabileceği belirtilmiştir. Ancak AİHM’e göre; somut olayda bu değerlerden daha ağır basan bir husus bulunmaktadır. Kamu menfaati kapsamında olan suçların soruşturulması ve suçluların bulunması, bu gibi durumlarda kişisel menfaatten üstündür. Kamu menfaatinin sağlanması, demokratik toplumlarda gerekli ve meşru amaç temellidir.
Sonuç olarak AİHM, ceza yargılamasında üçüncü kişilerden bilgi ve veri istenmesi meşru amaçlarla orantılı olduğu, suçluların bulunmasında üstün nitelikte kamu menfaati olduğu ve bir müdahale söz konusu olsa da AİHS 8.maddenin ikinci fıkrası kapsamında sayılacağından sözleşme ihlali olmadığına karar vermiştir. Ancak ceza dosyasında kullanılan bilgi ve belgeler hakkında verilmiş olan gizlilik kararının kişilerin özel hayatlarının gizliliğine devletin orantısız bir müdahalesi olduğu tespiti yapılmıştır.
¹ Başvuru No: 22009/93, Karar Tarihi: 25.02.199
KİŞİSEL VERİLERİN KORUNMASI KONUSUNDAKİ ULUSLARARASI KAYNAKLARI
Kişisel verilerin korunması hususu, çeşitli hukuki metinler kapsamında ele alınmıştır. Bu metinlerden en önemlileri BM, Avrupa Konseyi ve Avrupa Birliği çatısı altında kaleme alınmıştır.
A) BİRLEŞMİŞ MİLLETLER KAPSAMINDA VERİ KORUMAYA İLİŞKİN YAPILMIŞ DÜZENLEMELER
BM II. Dünya Savaşı sonrasında uluslararası barışın devamı ve güvenliğin sağlanması, sürdürülebilir kalkınmanın desteklenmesi ve insan haklarının güvence altına alınması amacıyla Türkiye dahil 51 ülke tarafından 24 Ekim 1945 tarihinde kurulmuş ve günümüzde üye sayısı 192’ye ulaşmış bir örgüttür.
Birleşmiş Milletler İnsan Hakları Evrensel Bildirisi, hukuki açıdan bağlayıcı bir nitelik taşımasa da uluslararası düzeyde birtakım ideallere hizmet etmesi dolayısı ile uluslararası arenada siyasi ve moral açıdan etkiye sahiptir. Bildirinin 12nci maddesinde, özel yaşamın gizliliği hakkı düzenlenmiştir. 12. madde hükmü şöyledir:
“Hiç kimse, özel yaşamına, ailesine, konutuna ya da haberleşmesine yönelik keyfi müdahalelere ya da onur ve şöhretine yönelik saldırılara maruz bırakılmayacaktır. Herkesin, bu tür müdahale ya da saldırılara karşı yasa ile korunma hakkı vardır”. BM İnsan Hakları Komitesi 16. Genel Yorumu ile 17. maddenin kapsamına açıklık getirmiştir.
Buna göre: “Tüm insanların toplum içerisinde yaşamalarının sonucu olarak, özel hayatın gizliliğinin korunması kaçınılmaz şekilde görecelidir. Ancak, Sözleşme’den anlaşıldığı üzere yetkili kamu otoriteleri, bilinmesi toplumun çıkarlarının korunması açısından gerekli olan, bireyin özel hayatıyla ilgili bir bilgiyi öğrenme talebinde bulunabilmelidir. … Kamu otoritelerinin, özel kişi ve kurumların bilgisayarlarda, veri bankalarında veya benzeri cihazlarda kişisel bilgileri toplaması veya saklaması hukuki düzenlemeye tabi olmalıdır. Devletler, bir kimsenin özel hayatına dair bilgilerin hukuken bu bilgilere sahip olma ve kullanma yetkisine sahip olmayanların eline geçmesini ve bu bilgilerin Sözleşme’nin amaçlarına aykırılık teşkil edecek şekilde kullanılmasını engellemek için etkili tedbirler almalıdır.
Özel hayatın gizliliğinin en etkili şekilde korunabilmesi için, her birey kişisel dosyalarda veya veri tabanlarında kendisiyle ilgili bilgiler saklanmışsa bu bilgilerin ne tür bilgiler olduğunu ve ne amaçla saklandığını öğrenme hakkına sahiptir. Ayrıca, her birey hangi kamu otoritelerinin, özel kişilerin veya kurumların bu dosyaları kontrol altında tuttuğunu veya tutabileceğini öğrenebilmelidir.
Söz konusu dosyaların, yanlış kişisel bilgilere yer vermesi halinde veya bu bilgilerin hukuka aykırı şekilde toplanması veya kullanılması halinde her birey düzeltme veya bilgilerin ortadan kaldırılmasını talep etme hakkına sahiptir” Görüldüğü gibi İnsan Hakları Komitesi, 17 nci madde ekseninde geliştirdiği yorum ile kişisel verilerin korunmasını özel yaşamın gizliliği hakkı içerisinde gördüğünü açıkça ortaya koymuştur. Komite’nin 17nci madde hükmünü değerlendirirken kişisel verilerin korunmasına ilişkin ulusal ve uluslararası düzenlemeleri dikkate aldığı görülmektedir. BM, kişisel verilerin korunmasına ilişkin belli bir standart çalışmayı ortaya koymak maksadı ile 45/95 sayılı Bilgisayara Geçirilmiş Kişisel Veri Dosyalarına İlişkin Rehber İlkeler (Guidelines for the Regulation of Computerized Personal Data Files) adıyla kılavuz bir belge yayınlamıştır.
On maddeden oluşan ve üye devletlerin veri korunması alanında asgari bir standarda kavuşmasını amaçlayan bu ilkelerin uygulanması üye ülkelerin inisiyatifine bırakılmıştır. Bahsi geçen Rehber İlkeler’de yer alan temel esaslara ve kısa açıklamalarına şu şekilde yer verilmiştir.
Yasallık ve dürüstlük: Kişisel veriler kanuna aykırı ve dürüst olmayan yollarla toplanmamalı ve toplanış amacına ve temel haklar ve özgürlüklerle ilgili ilkelere aykırı olarak kullanılmamalıdır.
Doğruluk: Toplanan verilerin doğruluğu kontrol edilmeli ve doğru ve eksiksiz olarak saklanmasını ve güncelliğini sağlamak için saklandığı süre zarfında düzenli olarak kontrol edilmelidir.
Amacın belirli ve haklı olması: Kişisel verilerin hangi haklı amaçla toplandığı başlangıçta kesin olarak belirlenmeli ve bu amaç bütün ilgililere açık olarak bildirilmelidir.
İlgili kişilerin erişme hakkı: Kişisel veri ile ilgili kişi kimliğini kanıtlamak koşulu ile kendisi hakkında toplanan bilgilerin ne gibi bir işleme tabi tutulduğunu öğrenebilmeli ve bunların bir anlaşılabilir biçimdeki bir örneğini aşırı bir masraf ve zaman kaybı olmadan elde edebilmelidir.
Ayrımcılıktan kaçınma: Kişinin etnik kökeni, ırkı, cinsel yaşamı, dini veya felsefi inançları gibi duyarlıklı konularla ilgili bilgiler ancak yasanın izin verdiği haklı ve gerekli durumlarda toplanmalıdır.
İstisna koyma yetkisi: Görevli makamlara, milli güvenliği, kamu düzenini, halk sağlığını, genel ahlakı korumak veya diğer kişilerin hak ve özgürlüklerine zarar vermemek amacıyla yasallık ve dürüstlük, doğruluk, amacın belirli ve haklı olması, ilgili kişilerin erişme hakkı ilkeleri ile ilgili önlemlerden ayrılma yetkisi tanınabilir. Ancak bu yetkinin kapsamı ve sınırları kanunda açıkça belirlenmelidir. Ayrımcılıktan kaçınma ilkesine getirilecek istisnanın her durumda temel hak ve özgürlüklere aykırı olmaması gerekir.
Güvenlik: Kişisel verilerin toplanması, saklanması ve işlenmesi ile görevli bütün kurum ve kişiler, bu verilerin doğal afetler, kazalar ve insanların işleyecekleri hata, kusur ve suçların yaratacağı tehlikelere karşı korunması için her türlü önlemi almalıdır.
Denetim ve yaptırım: Kişisel verilerin korunması ile ilgili düzenlemelerde öngörülen ilke ve kuralların uygulanması ve önlemlerin alınması ve gerekli denetimlerin yapılması sorumluluğu tarafsız, yetkin ve adil bir makama verilmelidir.
Sınır ötesi veri transferi: Kişisel verilerin saklanmakta olduğu ülkeden başka bir ülkeye aktarılması için öncelikle her iki ülkenin ulusal mevzuatlarının bu aktarmaya izin vermesi gerekir. Ayrıca, bu veriler için verinin gönderileceği ülkenin bu veri için sağladığı korumanın verinin bulunduğu ülkede sağlanan korumadan daha aşağı düzeyde olmaması da gerekir.
Uygulama Alanı: Mevcut ilkeler kamusal ve özel sektör için bilgisayar aracılığıyla işlenen kişisel verileri kapsamakla birlikte, manuel olarak işlenen kişisel verilerde isteğe bağlı olarak dahil edilebilir. Tüzel kişilere ait verilerin gerçek şahıslara ilişkin kişisel verileri içermesi durumunda, isteğe bağlı olarak bu verilerde kişisel veri kapsamına dahil edilebilir BM’nin Rehber İlkeleri, kişisel verilerin korunmasına ilişkin ilkelerin uygulamasını denetleyecek yetkili ve bağımsız bir veri koruma organının kurulmasını öngören ilk uluslararası hukuk belgesidir. Ancak bu öncü rolüne karşın metnin, Avrupa Konseyi Sözleşmesi ve OECD Veri Koruma İlkelerine göre çok daha sınırlı bir etkisi olmuştur. Bu durumun nedenlerinden biri olarak ilkelerin hukuksal açıdan bağlayıcı olmaması, yalnızca tavsiye niteliğinde bulunması düşünülebilir. OECD Veri Koruma İlkelerinin de aynı şekilde bağlayıcılığının bulunmamasına karşın, bu alandaki ilk uluslararası düzenleme olması dolayısıyla daha geniş bir etki yarattığı söylenebilir.
- B) AVRUPA KONSEYİ KAPSAMINDA VERİ KORUMAYA İLİŞKİN YAPILMIŞ DÜZENLEMELER
Avrupa Konseyi, II. Dünya Savaşı sonrasında Avrupa’da meydana gelen parçalanmışlığın ve savaşın ortaya çıkardığı çatışma atmosferinin yok edilerek barışın tesis edilmesi amacıyla başlatılan çalışmaların neticesinde 5 Mayıs 1949 tarihinde kurulmuştur. Konsey Türkiye’nin de üyelerinin arasında yer aldığı hükümetler arası bir örgüttür.
Avrupa Konseyi tarafından yapılan çalışmaların neticesinde ortaya çıkan sözleşmeler, daha çok ulusal yasal düzenlemelerin birbirleriyle ve Konsey standartları ile uyumlu hale gelmesi için yapılan çalışmalardır.
Avrupa Konseyi, Bakanlar Komitesi, Parlamenterler Meclisi ve Sekreterlikten oluşmaktadır. Avrupa Konseyi işleyişi, 47 üye hükümeti temsil eden Bakanlar Komitesi ile 47 milli parlamentoyu temsil eden Parlamenterler Meclisi’nin ortak çalışmalarına dayanmaktadır. Üye hükümetler Konsey çalışmalarını, örgütün karar organı olan Bakanlar Komitesi aracılığıyla doğrudan yönlendirmektedir.
Avrupa Konseyi tarafından alınan kararlar sözleşmeler ve tavsiye kararları ile şekillenerek somut hale gelmektedir. Konsey uygulamalarında temel araç sözleşmelerdir. Sözleşmelerin bağlayıcılığı vardır. Tavsiyeler bağlayıcı nitelikte olmasa dahi, Statü’nün 15/b maddesine göre Bakanlar Komitesi üye devletlerden tavsiyelerin uygulanma şekli hakkında bilgi talep edebilir.
Avrupa Konseyi tarafından kişisel verilerin korunması ile ilgili 1981 tarihli ve 108 Sayılı Sözleşme düzenlenmiş olduğu gibi kişisel verilerin işlenmesi ile ilgili olarak veya 108 sayılı Sözleşmeyi güncellemek amacıyla ihtiyaca binaen birçok karar almıştır. Bu kararlar şu şekilde yer almaktadır.
1995, 4 sayılı tavsiye kararı ; Telekomünikasyon ve özellikle telefon hizmetlerinde kişisel verilerin korunması.
1997, 5 sayılı tavsiye kararı ; Tıbbi verilerin korunması.
1997, 18 sayılı tavsiye kararı ; İstatistik amaçlı toplanan ve işlenen kişisel verilerin korunması.
1999, 5 sayılı tavsiye kararı ; İnternet üzerinde gizliliğin korunması.
2002, 9 sayılı tavsiye kararı ; Sigorta amaçlı toplanan ve işlenen kişisel verilerin korunması.
2010, 13 sayılı tavsiye kararı ; Profil bilgisi içindeki kişisel verilerin otomatik işleme karşısında korunması.
2012, 3 sayılı tavsiye kararı ; Arama motorları ile ilgili insan haklarının korunması.
2012, 4 sayılı tavsiye kararı ; Sosyal ağ hizmetleri ile ilgili insan haklarının korunması.
Kişisel verilerin korunması bağlamında Avrupa Konseyi tarafından yapılan en önemli çalışma 1981 yılında kabul edilen 108 Sayılı Kişisel Nitelikteki Verilerin Otomatik İşleme Tabi Tutulması Karşısında Şahısların Korunmasına Dair Sözleşme’dir.
Bu sözleşmenin en önemli tarafı, kişisel verilerin korunması konusunda hukuksal bağlayıcılığı olan ilk uluslararası belge olmasıdır. Türkiye tarafından da imzalanmış olan sözleşme, ülkemizde henüz onaylanmamıştır. Avrupa Konseyi tarafından kabul edilen Sözleşmeler, konusuna göre sınıflandırıldığında, iki durum söz konusudur, birincisi Avrupa‟da standart bir kurallar bütünü oluşturulmasına katkı sağlayacak anlaşmalar, ikincisi ise üye ülkeler arasında işbirliğine katkı sağlayacak anlaşmalar şeklindedir.
Standardize olmuş kuralları belirleyen 108 Sayılı Sözleşme birinci kategoride yer almaktadır. 108 sayılı Sözleşme, Avrupa Konseyi üyesi olmayan devletlerin de imzasına açıktır. Bu nedenle, yalnızca üye devletler için değil, Sözleşme’ye taraf olan üçüncü ülkeler için de konuya ilişkin bir çerçeve sunmaktadır. Nitekim Sözleşmenin 23ncü maddesinde Avrupa Konseyi Bakanlar Komitesinin maddede belirtilen şartların sağlanması durumunda üye olmayan her devleti bu sözleşmeye katılmaya davet edebileceğini belirtmektedir.
Diğer taraftan Sözleşme, halen kişisel verilerin korunması alanında bağlayıcı olan tek uluslararası metindir. Sözleşmenin amacı, taraf devletlerde her gerçek kişinin temel hak ve özgürlüklerini ve özellikle kişisel bilgilerinin otomatik bilgi işleme tabi tutulması karşısında özel yaşamın gizliliği haklarını, kısacası kişisel verilerinin korunmasını güvence altına almaktır.
Avrupa Konseyi Sözleşmesi’nin koruma kapsamında hem kamusal hem de özel sektör tarafından işlenen veriler bulunmaktadır. Bununla birlikte yalnızca otomatik yolla işlenen veriler için güvence öngörüldüğünden, elle işlenen veriler kapsam dışında kalmaktadır. Ancak bunu mutlak bir dışlama olarak düşünmemek gerekir. Nitekim Sözleşme’ye göre “otomatik işleme”den söz edebilmek için sürecin tamamının otomatik olması gerekmemektedir. Kısmen otomatik işlenen veriler de güvenceden yararlanmaktadır. Bu, Sözleşme’nin uygulama alanını oldukça genişletmektedir.
Sözleşmede belirlenen temel ilkeler şöyle sıralanabilir:
Verilerin belirli bir nitelikte olması (madde 5): Buna göre otomatik olarak işlenecek kişisel verilerin meşru ve yasal yoldan elde edilmesi ve işlenmesi; belirli ve meşru amaçlar için tutulması ve bunlarla bağdaşmayan amaçlar için kullanılmaması; bu amaçlar için yalnızca ilgili ve gerektiği kadar verinin saklanması; doğru ve gerektiğinde güncel olması; ilgili kişinin kimliğini belirtecek şekilde amaç için gerekli olandan uzun süre saklanmaması, kısaca “kaliteli” olması gerekir.
Veri güvenliği (madde 7): Verilere yetkisiz erişimin, bunların değiştirilmesinin ya da ortadan kaldırılmasının önlenmesi için veri güvenliği sağlanmalıdır.
İlgili kişinin bilgi alma, verilere ulaşma ve gerektiğinde onları düzeltme hakkı (madde 8): İlgili kişinin kendisine ilişkin otomatik olarak işlenmiş veriler hakkında bilgi alma, eğer bu veriler hukuka aykırı bir şekilde işlenmişse onları sildirtme, yanlış verileri düzeltme, eğer bu taleplerine uyulmazsa hukuksal yollara başvuru hakkı bulunmaktadır. Sözleşmede bu hakların kullanımına bazı sınırlamalar getirildiği görülmektedir. Ancak burada sınırlamaların sınırlarına da yer verilmiştir. Buna göre, sınırlamalar ancak,
- a) Yasa ile devletin ya da kamunun güvenliği,
- b) Devletin ekonomik çıkarlarının korunması,
- c) Suçlarla mücadele veya ilgili kişinin ya da başkalarının hak ve özgürlüklerinin korunması, amaçlarıyla ve eğer demokratik bir toplumda gerekli ise yapılabilir.
Sözleşme, taraf devletler arasında kişisel verilerin serbest aktarımını öngörmektedir. Buna göre taraf devletler arasında özel yaşamın gizliliğinin korunması gerekçesiyle, veri aktarımı yasaklanamaz ya da özel bir izne tabi tutulamaz. Ancak bu kurala iki durumda istisna getirilmiştir: İlki; belirli veri kategorileri için özel bir koruma getirilmiş olması ve aktarımın yapılacağı Sözleşmeci devlette buna “eşdeğer” korumanın bulunmaması, ikincisi ise Aktarımın, Sözleşme’nin tarafı olmayan üçüncü bir devlet aracılığıyla yapılacak olması.
Sözleşme ile bu metinde yer alan hükümleri yorumlamaktan ve uygulamaları geliştirmekten sorumlu bir Danışma Komitesi de oluşturulmuştur. Danışma Komitesi, 108 numaralı Sözleşme’ye ek 181 sayılı Ek Protokolü kabul etmiştir. Bu Protokol ile Sözleşme’deki önemli bir eksiklik giderilmeye çalışılmış ve veri işleme etkinliklerini denetleyecek bağımsız bir organ öngörülmüştür. Bu organ, niteliği bakımından AB’nin 95/46/AT sayılı Yönergesi’nde yer alan nitelikler ile paralellik göstermektedir. Ek Protokol 1 Temmuz 2004’te yürürlüğe girmiştir. Protokolün 3 üncü maddesinde,
Protokolün kabul edilebilmesi için ön koşul olarak 108 sayılı sözleşmenin imzalanmış ve yürürlüğe girmiş olması şartı bulunmaktadır. Türkiye bu protokolü 8 Kasım 2001 tarihinde imzalamış olmasına rağmen henüz onaylayamamış ve yürürlüğe sokamamıştır. Protokol’de ayrıca Sözleşme’nin üçüncü ülkelere veri aktarımına ilişkin hükümler de yer almaktadır. Yine AB Yönergesine benzer bir şekilde Protokol ile “yeterli” düzeyde veri koruma sağlamayan üçüncü ülkelere kişisel verilerin aktarımı yasaklanmaktadır. Protokol iki ana bölümden oluşmaktadır. Birinci bölümde denetim otoritelerinden ikinci bölümde ise sözleşmeye taraf olmayan üçüncü ülkelere yönelik sınır aşan veri trafiğinden bahsedilmiştir.
Birinci bölümde, taraf ülkelere kişisel verilerin korunmasında etkin görev alacak bağımsız hareket eden kişisel verilerin korunması otoritelerinin kurulması gerekliliğinden bahsedilmiştir. Bu otoritelerin görevlerini yerine getirirken tam bir bağımsızlık içinde hareket etmeleri gerektiği ve bireylerden gelecek şikayetleri soruşturabilecek şekilde yetkilendirilmiş olmaları gerektiği belirtilmiştir. Gerektiği durumlarda adli makamlara başvur yapılabilmesini veya adli makamlar nezdinde itiraz edebilmesini sağlayacak mekanizmaların bulunması gerektiği ifade edilmiştir. Yasalaşmayı bekleyen Kişisel Verilerin Korunması Kanun Tasarısı (KVKKT) içerisinde Türkiye için tasarlanmış tüzel kişiliği olan, bağımsız hareket edebilen, kendi özel bütçesi olan Kişisel Verileri Koruma Kurumu’nun kurulması için düzenleme yapılmıştır.
Protokolün ikinci bölümde sözleşmeye taraf olmayan üçüncü ülkelere sınır aşan veri trafiğinden bahsedilmektedir. Sınır aşan veri paylaşımında sözleşmeye taraf olmayan ülkelerde yeterli seviyede veri korumanın söz konusu olup olmadığına bakılarak paylaşımda bulunulabileceği, aksi takdirde bireyin kişisel verilerinin paylaşılmayacağı ifade edilmiştir.
Bu transferin; veri sahibi bireyin özel bir yararının olması, kamu yararı ya da meşru bir yararın bulunması ve güvenlik tedbirleri için ülkelerarası anlaşmalar söz konusu ise, kişisel veriler üçüncü ülkelere veya milletlerarası organizasyonlara gönderilebileceği belirtilmektedir. Bu durumda yeterli seviyede veri korumanın olması yani uygunluğun olması şartının aranmayacağı ifade edilmiştir. Bu istisnalar ile sınır aşan veri trafiğinin net çizgiler çekilerek engellenmesinin önüne geçilmiş olmaktadır.
- C) AVRUPA İNSAN HAKLARI SÖZLEŞMESİ KAPSAMINDA VERİ KORUMAYA İLİŞKİN YAPILMIŞ DÜZENLEMELER
5 Mayıs 1949’da 10 Avrupa ülkesinin bir araya gelmesiyle oluşturulan Avrupa Konseyi, insan hakları ve özgürlüklerinin devletlerce korunmasına ve geliştirilmesine vurgu yaparak insan haklarına saygı yükümlülüğünü üyelik koşulu olarak belirtmiştir. Avrupa Konseyi’nin bu anlamda ilk adımı 4 Kasım 1950’de Roma’da imzalanan ve 3 Eylül 1953’te yürürlüğe giren İnsan Hakları ve Özgürlüklerinin Korunmasına İlişkin Avrupa Sözleşmesi (AİHS)’dir. Sözleşme. İnsan haklarının korunmasını ve geliştirilmesini amaç edinir.
AİHS hazırlık aşamasında Avrupa’daki demokratik rejimlerin devam ettirilmesi açısından gerekli olan asgari hak ve özgürlükleri güvenceye alarak işe başlamış, zamanla insan hakları listesini genişletmiştir. AİHS ekonomik, sosyal ve kültürel haklardan çok sivil ve politik hakların korunmasına öncelik vermiştir. Bu sözleşmeyi sosyal ve ekonomik hakları içeren “Avrupa Sosyal Şartı” izlemiştir. Türkiye 10 Mart 1954’te sözleşmeyi onaylamış, 28 Ocak 1987’de de bireysel başvuru hakkını tanımıştır. Mahkemenin zorunlu yargı yetkisini ise 28 Ocak 1990’da kabul etmiştir. AİHS, 45 Avrupa Konseyi üyesi devletin 44’ü tarafından onaylanmıştır. Avrupa İnsan Hakları Sözleşmesi’nde kişisel verilerin korunmasının bağımsız bir hak alanı olarak yer almamaktadır. Ancak Sözleşme’nin 8 inci maddesinde özel yaşamın gizliliği hakkı düzenlenmiştir.
Buna göre,
Herkes özel ve aile yaşamına, konutuna ve haberleşmesine saygı gösterilmesi hakkına sahiptir.
Bu hakkın kullanılmasına bir kamu otoritesinin müdahalesi, ancak ulusal güvenlik, kamu emniyeti, ülkenin ekonomik refahı, dirlik ve düzenin korunması, suç işlenmesinin önlenmesi, sağlığın veya ahlakın veya başkalarının hak ve özgürlüklerinin korunması için, demokratik bir toplumda gerekli olan ölçüde ve yasayla öngörülmüş olmak koşuluyla söz konusu olabilir”.
Avrupa İnsan Hakları Mahkemesi’nin verdiği pek çok kararında bazı temel ilkeleri Sözleşme’nin 8’inci maddesi kapsamında değerlendirdiğini görülmektedir.
Buna göre:
Bireylere ilişkin kişisel bilgilerin resmi makamlarca toplanarak arşivlenmesi, ¹
Toplanan verilerin toplanma amacı dışında kullanılması, ²
Kişisel verilerin gerektiğinden uzun süre tutulması, ³
gibi konular Mahkeme’nin çeşitli kararlarında 8/1 hükmü kapsamında değerlendirilmiştir.
¹ Amann İsvçre’ye karşı, b.n. 27798/95; k.t. 16 Şubat 2000;
Rotaru Romanya’ya karşı, b.n. 28341/95, k.t. 4 Mayıs 2000.
² Leander, İsviçre’ye karşı, b.n. 9248/81, k.t. 26 Mart 1987
³ S. ve Marper, Birleşik Krallığa karşı, b.n. 30562/04, 30566/04, k.t. 4 Aralık 2008.
AİHS 8/2 hükmü uyarınca özel ve aile yaşamına müdahale, burada sınırlı sayımla belirtilmiş amaçlardan bir ya da bir kaçına yönelik; yasada öngörülmüş, aynı zamanda demokratik toplum için gerekli ve öngörülen amaç ile orantılı olması, durumlarda meşrudur.
Sınırlı sayımla belirlenen ve özel ve aile yaşamına saygı hakkına istisna getiren meşru amaçlar şunlardır:
Ulusal güvenlik, Kamu güvenliği, Ülkenin ekonomik refahı, Dirlik ve düzenin korunması, Suç işlenmesinin önlenmesi, Sağlığın veya ahlakın veya başkalarının haklarının korunması.
Görüldüğü gibi meşru amaçlar oldukça geniş bir şekilde belirlenmiştir. O kadar ki herhangi bir müdahalenin burada belirlenen meşru amaçları karşılayamaması oldukça zordur. Mahkeme içtihadında yer alan “gerekli” deyimi “zorlayıcı toplumsal gereksinim”(pressing social need) ve yöneldiği amaç ile “orantılılık” olarak anlaşılmak durumundadır. Mahkeme, bunun belirlenmesinde üye devletlere bir “takdir marjı” tanımıştır. Bu gerekliliğin saptanmasında Mahkeme’nin yetkisi ikincil niteliktedir. Mahkemeye göre “ülke ve toplum gerçekleriyle dolaysız ve devamlı temasta olan ulusal merciler” ilk olarak bu değerlendirmeyi yapar. Ancak bu takdir yetkisi sınırsız olmayıp Sözleşme organlarının denetimine tabidir.
KAYNAKÇA:
Kişisel verilerin korunması Yener Ünver
Elif Küzeci Kişisel Verilerin Korunması