Avrupa Birliği Hukukunda Kişisel Verilerin Korunması

Bilişim sistemlerinin kullanımının yaygınlaşmasıyla birlikte, özellikle internetin ve diğer iletişim araçlarının hayatımızdaki yerinin önemi her geçen gün artmaktadır. Teknolojinin sağladığı imkanlar arttıkça saniyeler içinde terabaytlarca bilgiyi Dünya’nın dört yanına tek tuş ile aktarmak mümkün hale gelmiştir. İnternet kullanıcıları kimi zaman bu aktarımı kendileri bilerek ve isteyerek yapmakta, kimi zaman ise toplumsal hayatın bir parçası olmaktan kaynaklanan işlemlerin yerine getirilebilmesi için verilerimiz, bilgimiz veya kontrolümüz dışında işlenmektedir. Modern toplumlarda yaşayan gerçek kişilerin, çoğu zaman herkes tarafından bilinmek dürtüsüyle ortaya çıkan kişisel verilerine ilişkin internet paylaşımları veya verilerin olağan hayat akışı içinde çeşitli kişi ve kurumlarca elde edilmesi, kişisel özgürlükler ve temel hakların korunması alanında bir takım sorunları da beraberinde getirmektedir. Bu sorunların ortaya çıktığı noktada ise çözüm olarak kişisel verilerin korunmasına yönelik hukuki düzenlemeler gündeme gelmektedir.

Gelişen teknoloji ile birlikte hayatımıza pek çok kolaylık girmiş ve sahip olduğumuz bilgi ve veri akışı sınırsız denebilecek bir boyuta ulaşmıştır. Ancak bu bilgi ve veri akışı bolluğunun aynı zamanda kişisel verilerimizden ve dolayısıyla bireysel özgürlüğümüzden vazgeçme anlamını da beraberinde getirdiğini kabul etmek en temelde insan haklarına aykırı bir tutum olacaktır. Günlük hayata ayak uydururken, teknoloji ile birlikte yaşamın içine dahil olan kolaylıklardan faydalanmak karşılığında kişinin kendi verilerini takas etmesi fikri de insan onuru ve bireyin kendini gerçekleştirmesi için tüm gerekliliklere ters düşecektir.

Gelişen teknoloji ile birlikte artan farkındalığa bağlı olarak temel haklar ve özgürlükler bilinci de oldukça yol kat etmiştir. Bu durumda, bir hizmet kullanıcısı olan veri sahibinin yalnızca bu hizmeti kullandığı hatta bizzat kendisi kullanmasa bile vatandaş olmanın gerekliliklerinden dolayı bir hizmete maruz kaldığı durumlarda; bu hizmetin karşılığı olarak verilerini sunmasını beklemek demokratik bir toplum anlayışına aykırılık teşkil eder. Bu nedenle birey ne bir hizmet ne de bir kimlik sahibi olma dolayısıyla mahremiyet alanına müdahaleye maruz bırakılabilir. Bu düşüncenin ortaya attığı bilinç de kişisel verilerin korunması hakkının doğmasından sonra, hızlı bir şekilde gelişmesini sağlamıştır.

Kişisel verilerin korunmasına ilişkin önemli adımlar Avrupa’da atılmıştır. Kişisel verilerin korunmasına ilişkin ilk yasal düzenlemelerin adımları Avrupa’da atılmış olmakla birlikte; Avrupa Birliği içerisinde özel yaşamın korunmasına gösterilen saygının da etkisiyle veri koruma başlı başına bir hukuk dalı haline gelmiştir. Avrupa’da önem verilen bu hususlar önderliğinde dünya çapında kişisel verilerin korunmasına yönelik pek çok çalışma yapılmış, pek çok yasal düzenleme oluşturulmuştur.

Çalışmamız iki ana bölümden oluşmaktadır. Bu ana bölümler, inceleme ve açıklamada bütünlüğü sağlamak adına alt başlıklara ayrılarak ortaya konmuştur. Birinci bölümde kişisel verilerin daha çok teorik yönü açıklanarak temel haklar ve özgürlükler bağlamında yeri incelenmiştir. İkinci bölüm ise daha uygulama odaklı olup kişisel verilerin korunmasının karşımıza nasıl çıktığı üzerinde durulmuştur. Öncelikle kişisel verilerin tarih içerisinde ortaya çıktığı düşünülen ilk dönemlerden günümüze kadar geçirdiği süreç, özellikle temel haklar ve özgürlükler boyutuyla ele alınmıştır. Zira artık üzerine pek çok çalışma ve yasal düzenleme yapıldığı üzere, kişisel verilerin korunması bir temel hak olarak hukuk gündeminde yerini almıştır. Biz de kişisel verilerin temel niteliğinden hareketle konumuz doğrultusunda, Avrupa’da kişisel verilerin tarihsel gelişimi ile yola çıkarak çalışmamızı hazırladık. Bu tarihsel gelişim süreci içinde kişisel verilerin bugünkü öneme kavuşmasını sağlayan temel bilinci de işleyerek kişisel verilerin özünü oluşturan olguları da açıklamaya çalıştık.

Kişisel verilerin gündeme gelmesinde etkili olan süreçleri inceledikten sonra, kişisel verilerin korunmasında önemli rol oynayan temel kavramlar gelmektedir. Bu temel kavramlar içerisinde kişisel verinin tanımından yola çıkarak yer alan alt birimleri de ayrı başlıklar halinde ele alınmıştır. Çalışmamızın konusu itibariyle asli kaynağımız olan Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR)’nde yer alan tanıma göre kişisel veri, “bir gerçek kişiye ait her türlü bilgi”dir. Bu tanımda yer alan her bir unsur tek tek incelendikten sonra, kişisel verilerin içinde özellikli bir konuma sahip olan hassas verilere değinilmiştir. Hassas veriler, içerdiği bilgi kategorileri bakımından özel bir ayrıma tabi tutulmuş ve hassas verilerin korunması için daha ayrıcalıklı önlemler öngörülmüştür. Hassas verilerin özelliklerini de açıkladıktan sonra, kişisel verilerin işlenme sürecinde etkin olan unsurlara yer verilmiştir. Öncelikle çalışmanın asıl konusunu oluşturan veri işleme faaliyeti kavramına değinilmiş, devamında veri işleme sürecine katılan gruplar açıklanmıştır.

Kişisel verilerin korunması hususuna tam anlamıyla açıklık getirebilmek için kişisel verilerin korunmasına hakim olan temel ilkeleri ele almakta fayda vardır. Kişisel verilerin düzenlendiği uluslararası belgelerde, kişisel verilerin işlenmesi için izlenmesi gereken yollara ve uyulması gereken kurallara yer verilmiştir. Uluslararası kuruluşlar tarafından kabul edilen düzenlemeler ile her bir ilke günden güne hukuk sistemine katılmış, en son GDPR tarafından tüm ilkelerin kabul edilmesi ve yeni ilkeler öngörülmesi ile süreç günümüze kadar gelmiştir. Farklı hukuk sistemlerinde farklı ilkelerin benimsenmesi de mümkün olmakla birlikte, günümüzde en geniş haliyle yer verilen ve Avrupa Birliği’nde kişisel verilerin korunmasında kabul edilen temel ilkeler hukuka uygunluk, adalet, şeffaflık, amaç ile sınırlılık, en az seviyede bilgi, doğruluk, sınırlı süre ile saklama, bütünlük ve gizlilik, hesap verilebilirlik olarak ayrı başlıklar halinde açıklanmıştır.

Kişisel verilerin günümüze kadar gelişinde geçirdiği değişimlerde, kuşkusuz kişisel verilere farklı hukuk sistemleri tarafından getirilen farklı yaklaşımlar öncü olmuştur. Asıl inceleme alanımız olan Avrupa Birliği Hukuku’nda belirlenen kişisel verilerin hukuki niteliğine ilişkin yaklaşımların yanı sıra, faklı hukuk sistemlerince benimsenen farklı görüşler de mevcuttur. Kişisel verilere yönelik benimsenen bu görüşlerin en etkin olanları kişisel verilerin hukuki niteliği başlığı altına ele alınmıştır. Buna göre üç farklı teori olarak ortaya konan yaklaşımlarda kişi hakkı, fikri hak ve mülkiyet hakkı başlıklarına yer verilmiştir. Bu başlıklandırma yapılırken kişisel verilerin korunmasına yönelik geliştirilen ekonomik hak kişi hakkı ayrımı temel alınmıştır. Kişisel verilerin korunmasına bir kişi hakkı olarak yer veren Avrupa Birliği Hukuku ile ekonomik hak olarak kabul eden Anglo Amerikan Hukuku görüşleri açıklanmaya çalışılmıştır.

Kişisel verilerin işlenmesinde asıl olan işlemenin hukuka aykırılığıdır. Bu sayede yetkisiz ve kötü niyetli işlemelerin önene geçmek adına kişisel verilerin mümkün olan en az seviyede işlenmesi hedeflenmiştir. Ancak ilerleyen teknoloji ile birlikte kişisel verilerin işlenmesi bir mecburiyet halini aldığında, bu işlemenin hukuka uygun bir hale gelmesini sağlamak için işlemenin sahip olması gereken temel unsurlar mevcuttur. Bu unsurlar kişisel verilerin işlenmesinde hukuka uygunluk halleri başlığı altında ele alınmıştır. Buna göre işlenmesi temelde hukuka aykırı olan kişisel verilerin, hangi durumlarda hukuka uygun bir şekilde işlenebileceği açıklanmıştır. Genel olarak kişisel verilerin işlenmesini hukuka uygun hale getiren nedenler veri sahibinin rızası, sözleşmenin gereğinin yerine getirilmesi, hukuki yükümlülüğün yerine getirilmesi, hayati menfaatin korunması, kamu görevinin yerine getirilmesi, meşru menfaatlerin korunması başlıkları altında ele alınmıştır. Kişisel verilerin işlenmesini hukuka uygun hale getiren sebeplerde hassas verileri diğer verilerden ayırma yoluna gidilmiştir. Sahip olduğu önem nedeniyle, işlenmesi daha güç gerekçelere bağlanan hassas verilerin işlenmesinde hukuka uygunluk nedenleri ayrı bir başlık altında ele alınmıştır.

Kişisel verilerin yaygın kullanım alanına sahip olması nedeniyle pek çok hukuk dalının alt başlığına dahil olacak biçimde ele alınması da mümkündür. Çalışmamızda kişisel verilerin korunması bir temel hak olarak kabul edilmiş olup temel haklar ve özgürlükler boyutuyla ayrı bir başlık altında incelenmiştir. Kişisel verilerin disiplinler arası yönü olması nedeniyle bir hak olarak da birden çok başlık altına dahil olması gündeme gelmektedir. Bu yönüyle kişisel veriler, en sıkı ilişkili olduğu haklar olarak öne çıkan özel hayatın gizliliği hakkı, düşünce ve ifade özgürlüğü, unutulma hakkı ve bilgi edinme hakkı olarak ayrı gruplar içerisinde incelenmiştir.

İkinci bölümde kurumlar ve düzenlemeler bazında kişisel veriler konuları ele alınmıştır. Geçmişten günümüze kişisel verilerin geçirdiği süreç ve bu sürecin uluslararası belgelere yansıması, kurumlar bazında kişisel verilerin işlenmesi konusunda incelenmiştir. Kronolojik sıra ile bakıldığında kişisel verilerin korunması hususunda ortaya çıkan ilk uluslararası belge uygulamada “OECD Rehber İlkeleri” olarak da anılan OECD Mahremiyetin Korunması ve Kişisel Verilerin Sınır Ötesi Akışına İlişkin Rehber İlkeler’dir. OECD Rehber İlkeleri’nden sonra, kişisel verilerin korunması hususu Avrupa Birliği’nde 108 Sayılı Avrupa Konseyi Sözleşmesi ile düzenlenmiştir. Teknolojinin gelişmesi ile birlikte önemi artan kişisel verilerin korunmasına yönelik kapsamlı bir düzenleme ihtiyacı doğmuştur. Bu ihtiyacı karşılamak üzere, “95/46/EC Sayılı Yönerge” olarak da anılan 95/46/EC Sayılı Kişisel Verilerin İşlenmesi Sırasında Gerçek Kişilerin Korunması ve Serbest Veri Trafiği Yönergesi yürürlüğe konmuştur. Avrupa Birliği bünyesinde, Temel Haklar Şartı, kişisel verilerin korunmasını bir temel hak olarak kabul eden ilk düzenleme olmuştur. 95/46/EC Sayı Yönerge’nin üye ülkelerin içi hukukunda uygulanması ile ilgili sorunlar ve ilerleyen teknolojinin de etkisiyle, en son kişisel verilerin korunmasının düzenlendiği metin olarak Avrupa Birliği Genel Veri Koruma Tüzüğü ( General Data Protection Regulaton GDPR) 2016 yılında kabul edilmiştir.

Kişisel verilerin korunmasıyla ilgili düzenlenen belli başlı uluslararası belgeler tek tek başlıklar altında incelendikten sonra, GDPR’nin kişisel verilerin korunması amacıyla taraflara yüklediği haklar ve yükümlülükler ele alınmıştır. İlk olarak veri sahibinin hakları başlıklar altında açıklanmaya çalışılmış, devamında veri sorumlusu ve veri işleyenin yükümlülüklerine değinilmiştir.