SAYI 06 / HUKUK MAKALESİ / DOÇ. DR. METE TEVETOĞLU
Kişisel verilerin korunması konusu ülkemiz için maalesef hala çok yeni ve yabancı bir konu. Vatandaş açısından bakınca ise pek çoğunun ne konudan ne de konuyu düzenleyen Kanun’un sağladığı haklardan haberdar olduğunu sanmıyoruz. Oysa kişisel verilerin korunması konusu Almanya’da 1970’lerde başlayan bir tartışma. AB’de ise sürekli gündemde olan bir başlık.
Ülkemizin AB üyeliği adaylığından ötürü 10 yıla yakın bir süredir ülkemizin de gündeminde. Fakat uzun yıllardan bu yana TBMM bu konuda yasal düzenleme yapma sonucuna bir türlü varamadı. Kişisel veri korumasının bulunmaması sebebiyle ülkemiz, yabancı devletler ve milletlerarası şirketler tarafından, kendilerinden veri talep edildiğinde, yıllarca veri koruma bakımından güvenilmez ülke olarak ilan edildi ve taleplerimiz bu sebeple yıllarca red olundu. Meğer çözüm vize serbestisindeymiş. Schengen vize bölgesine katılım şartlarının arasına kişisel verilerin korunmasının hukuken düzenlenmesi eklenince, TBMM gündeminde yıllardır bekletilen yasa tasarısı bir anda gündeme alındı, pek anlaşılmadan aynı hızla kabul edildi. Edildi edilmesine fakat neredeyse hiç kimsenin, belki de hiç bir zaman yasalaşmayacağına kanaat getirmesinden midir bilinmez, ne yasa hakkında net bir fikri ne de yasaya uyum adına atılmış bir adımı bulunmuyordu. Hal böyle olunca yasanın yürürlüğüne bir kaç hafta kala Kanun’un kapsamına girenleri bir telaş aldı. Hep bir anda kişisel verilerin korunması eğitimleri, uyum programları, aydınlatma metinleri, muvafakatnameler, veri aktarım çerçeve sözleşmeleri, veri politikaları gibi konu, kavram ve uygulamaları hızlı bir ivme ve gündem kazandı. Buna karşın, aradan geçen süre zarfında, kişisel gözlemim, neredeyse hiç kimsenin Kanun ile yapılmak istenileni tam olarak anlayamamış olduğu yönünde. Zira kişisel veri mevzuatının uygulanmasına dair tartışmalara her gün yeni başlıklar ve örnekler ekleniyor. Bu yapılırken de ortaya çıkan görüşler, açıkçası, ağırlıklı şekilde derinlik ve objektiflikten uzak bir görünüm arz ediyor. Bu yazıda konuya yabancı olanlar için hem KVKHK hem de GDPR ile getirilen düzenlemeleri en önemli yönleriyle kısaca ele almaya gayret edeceğiz. Bunu yaparken bir yandan da az sonra okuyacağınız yeni kuralların elektronik ticarette, dijital reklamcılıkta, online habercilik ve yayıncılıkta yeni bir çağın başlangıcı mı yoksa sonu mu olduğunu da düşünmeye ve değerlendirmeye gayret edeceğiz.
Ülkemizde 6698 sayılı Kişisel Verilerin Korunması Hakkında Kanunun bir bütün halinde kısa bir süre evvel yürürlüğe girmesinden yine kısa bir süre sonra bu defa Avrupa Birliği Veri Koruma Yönergesi (EU General Data Protection Regulation) yürürlüğe girdi. Önce KVKHK açısından konuyu ele almak gerekirse, KVKHK, temelde 95/46/ EC Sayılı Kişisel Verilerin İşlenmesi ve Serbest Dolaşımı Bakımından Bireylerin Korunmasına İlişkin Avrupa Parlamentosu ve Avrupa Konseyi Direktifini esas almıştır. AB’de kişisel verilerin korunmasına ilişkin 1995’te AP ve AK tarafından, Kişisel Verilerin İşlenmesi ve Serbest Dolaşımı Bakımından Bireylerin Korunmasına İlişkin Direktif kabul edildi. Direktif temel amaç olarak, AB üye ülkelerindeki kişisel verilerin korunmasına ilişkin düzenlemelerin uyumlaştırılması amacıyla kaleme alınmıştır. AB üyeleri, kişisel verilerin korunmasına ilişkin kanuni düzenlemelerini bu Direktifi esas alarak yapmışlardır. İşte bizim KVKHK, AB’nin 95/46 Direktifinin yerel versiyonudur. Kişisel verilerin korunması konusunda kimi, ne mesafeden takip ettiğimiz sanıyoruz bu şekilde daha açık ve anlaşılır şekilde ortaya konulmaktadır. Bu noktada daha sağlıklı bir bilgi ve veri olarak, ülkemizde 95/46 Direktifi KVKHK olarak yasalaşırken, AB 95/46 Direktifini, ortaya çıkan yeni ihtiyaçları karşılamadığı için 2012’den itibaren planlı şekilde yürürlükten kaldırmıştır.
Temel olarak kişisel verilerinin korunmasını istemek Anayasal bir haktır. Anayasa’mızda da bu hak tanınmış fakat uygulanması için Kanun referans gösterilmiş, Kanun çıkartılmadığı için Anayasal olarak tanımlanan hakkın uygulanması ve sağlanması uzun süre mümkün olmamıştır. İşin ilginç yanı, KVKHK, vatandaşa Anayasal hakkını kullanması için değil az evvel işaret ettiğimiz gibi Schengen bölgesine giriş şartı olduğu için kabul edilmiştir. Gerçi vatandaşın da bu anayasal hakkına dair yoğun bir talep içinde olmadığını da dikkatten kaçırmamak gerekir fakat bu husus apayrı bir konu olduğu için bu yazımızda üzerinde durmayacağız. Nihayet, KVKHK kabul edilirken dayanağı AB Direktifi, eskidiği için, yürürlükten kalkmıştır. Amaç, veri güvenli ülke olmaktıysa da GDPR uyumsuzluğundan dolayı kısa bir süre içinde KVKHK’dan öncesindeki gibi, yeterli ve etkin yasal düzenleme ve etkin ve uyumlu uygulama olmadığı için, veri güvenilir ülke kabul edilmeme riski, konunun farkındaki kimi yazarlarca bugünlerde sık sık dile getirilmektedir.
Tabi ki 95/46 Direktifi ve bu Direktifin ülkemize yansıması KVKHK ile GDPR arasında taban tabana zıt ve farklı hükümler bulunmamaktadır. Fakat kabaca ifade etmek gerekirse 95/46 ve KVKHK, zamanın güncel veri koruma ihtiyaçlarını karşılamaya yeterli, uygun görünmemektedir. GDPR ise kişisel verilerin korunması konusunda uygulama alanını hem coğrafi hem de hak türleri ve bu hakların içerikleri noktasında oldukça ileri taşımıştır. Bunun ana gerekçesi 95/46 kabul edilirken bulut bilişimin, sosyal ağların, konum bazlı verilerin ve akıllı cihaz ve araçların bulunmaması ve kişisel verilere erişim araç, usul ve süreçlerinin oldukça değişmesidir.
Bu noktada GDPR ile KVKHK arasında kısa bir mukayese yapmak faydalı olabilir. KVKHK ile temelde kişisel verilerin tanımı oldukça geniş şekilde yapılmıştır. Yine ana prensip, kişisel verilerin, sahibinin izni olmadan toplanamaması, işlenememesi, aktarılamaması, depolanamaması, elde edilmemesi, muhafaza edilmemesi, değiştirilmemesi, yeniden düzenlenmemesi, açıklanmaması, aktarılmaması, devralınmaması, elde edilebilir hâle getirilmemesi, sınıflandırılmaması ya da kullanılmamasıdır. Özetle, kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez. İşleme ile yukarıda sayılanların tamamı kastedilir. KVKHK ulusaldır. Sadece Türkiye için geçerli ve yürürlüktedir. GDPR ise sadece AB üyelerinin coğrafi sınırlarını hedef almamakta, bunu aşan bir uygulama alanı ön görmektedir. GDPR, veri işleme faaliyeti kapsamında sunulan mal veya hizmetin AB içerisinde sunuluyor olması veya AB içinde sunulan ürün – hizmet sunumunun AB dışından takip ediliyor veya daha doğru bir ifadeyle gözlemleniyor olması halinde de uygulama alanı bulmaktadır. GDPR, AB içerisinde veri sahiplerine, ücretli olup olmadığına bakılmadan, mal veya hizmet sunan veya bu veri sahiplerinin davranışlarını gözlemleyen veri kontrolörleri ve işleyiciler bakımından uygulanır. AB içerisinde mal veya hizmet sunmak yalnızca bir internet sitesi ile olabilir. Ancak bundan ibaret değildir. Örneğin, AB’de kullanılanlardan birini içeren çok dilli bir web sitesi, AB’de tedavülü olan alternatif ödeme birimlerinin web sitesine entegre edilmesi, AB’deki müşterilerin izlenmesi vasfındadır. Bir veri kontrolörü veya işleyicisinin bir veya daha fazla AB üyesi ülkede bireylere veri hizmeti sunması durumunda GDPR uygulama alanı bulur.
GDPR, KVKHK’dan kişisel verilerin tanımı bakımından ayrılmamakta, sadece gerekçelerinde ilgili örnek sayısını çoğaltmaktadır.
KVKHK’dan farklı olarak GDPR AB üye ülkelerinde doğrudan uygulanacak, KVKHK gibi 20 sene sonra iç hukuka aktarılması beklenmek zorunda kalınmayacaktır.
GDPR’da, KVKH’dan farklı olarak, veri işleyen kavramının kapsamı genişlemektedir. Alt hizmet sağlayıcılar da verinin hukuka uygun işlendiğini kontrol etmekle mükellefi kılınmaktadır.
GDPR, para cezaları 200 Milyon Euro veya hizmet sağlayıcının global gelirinin %4’ü üzerinden hesaplanabilecektir ki bu KVKHK yaptırımları ile karşılaştırılınca ciddi miktarda bir artışı ifade etmektedir.
GDPR, veri ihlallerinde class action davalarını mümkün kılarken KVKHK hala bireysel ihlallerde bireysel yaptırım ve idari para cezası yaptırımı perspektifiyle sınırlıdır.
GDPR onay şartını ve unutulma hakkını somut ve güçlü şekilde kullanıma sokarken KVKHK unutulma hakkına doğrudan değinmemektedir. AYM’nin 2014/10685 numaralı Unutulma Hakkı esasındaki bireysel başvuruya mukabil güncel kararındaki gerekçe ve red sonucu hatırlanırsa GDPR ile unutulma hakkına sağlanan geniş uygulanabilirliğin kıymeti sanıyoruz daha net anlaşılacaktır.
KVKHK ve somut uygulama itibarıyla Kurul, avukatlar, mali müşavirler gibi bazı meslek gruplarını KVKHK’dan muaf tutarken GDPR aksine bu mesleklere yönelik düzenlemeler ve sorumluluklar getirmektedir.
GDPR’in özellikle e ticaret platformları için önerdiği yükümlülüklerin neredeyse hiçbiri KVKHK’da yer almamaktadır.
GDPR, KVKHK’dan farklı ve daha net şekilde, Silme Hakkı, Erişim Hakkı, Düzeltim Hakkı, Veri Taşıma Hakkı, İşlemenin Kısıtlanması Hakkı, Otomatik Profillenmeme Hakkı şeklinde özel ve yeni hak süjelerini de tanımlamaktadır.
KVKHK’da bulunmayan bir diğer önemli düzenleme, yaş sınırı ve yaşa göre aydınlatma ve muvafakat meselesidir. Her ne kadar onay usulü ve şekli henüz tam anlamıyla net değilse de GDPR, kişisel verilerin işlenmesine muvafakat etme yaşını 16 yaşın üstündekiler için kabul etmiş, altındakiler içinse ebeveyn onayının yolunu sadece istisnai olarak açık tutmuştur.
Böylece KVKHK’da ana kavram veri işleyenken, GDPR’da ilgili kişi yani verileri işlenen kişi haline gelmiş olmaktadır.