Peki, Veri Koruma Konusunda Uluslararası Düzenlemeler Ne Demektedir? (12)

Bağlayıcı olan ve olmayan çok çeşitli düzenlemelerle 80’li yılardan itibaren bilgisayar ve internet teknolojilerinin gelişmesiyle eş güdümlü şekilde kişisel verilerin korunması özellikle uluslararası aktarımların entegrasyonunu sağlamak adına birçok uluslararası örgüt tarafından düzenlenmiştir.

Bu düzenlemelerden ilki, dünyanın her bölgesinden üyeleri bulunan Ekonomik İşbirliği ve Kalkınma Teşkilatı (OECD) tarafından 1980 yılında kabul edilen tavsiye niteliğinde bir rehber olan ‘Özel Yaşamın Gizliliğinin ve Sınır Ötesi Kişisel Veri Dolaşımının Korunmasına İlişkin Rehber İlkeler’di. OECD tavsiye niteliğinde kararları ile oluşan grup baskısı ile üye ülkeleri yönlendirmektedir. Bu rehberde üye ülkelerin yasal düzenlemelerinde ölçüt olarak kullanması için; Veri Toplamanın Sınırlı Olması İlkesi, Verilerin Belirli Bir Niteliği Karşılaması İlkesi, Amacın Belirliliği İlkesi, Kullanımın Sınırlı Olması İlkesi, Veri Güvenliği İlkesi, Açıklık İlkesi, Bireyin Katılımı İlkesi, Hesap Verilebilirlik İlkesi olmak üzere 8 temel ilke kararlaştırılmıştır. Bu temel ilkeler düzleminde uluslararası veri aktarımı ve güvenliğine katkıda bulunmayı hedefleyen OECD daha sonra da gelişen teknolojilere uygun rehberler yayınlayarak üye ülkelere yol gösterici olmaya devam etmektedir.

Dile getirilmesi gereken diğer bir örgüt ise Birlemiş Milletler (BM) olup, Evrensel İnsan Hakları Bildirgesi ve Uluslararası Bireysel ve Siyasal Haklar Sözleşmesi’nde ayrı ayrı olmak üzere benzer ifadelerle özel yaşamın gizliliği hakkını tanımış ve üye devletlere bağlayıcı olarak hazırlanan bu hakkın değerlendirildiği 1988 tarihli İnsan Hakları Komitesi 16. Genel Yorumu ile kişisel verilerin korunması meselesine de değinmiştir. Şöyle ki, üye devletlerin, bireyin özel hayatına dair bilgilerinin hukuken bu bilgilere sahip olma ve kullanma yetkisine sahip olmayanların eline geçmesini ve bu bilgilerin Sözleşme’nin amaçlarına aykırılık teşkil edecek şekilde kullanılmasını engellemek için etkili tedbirler alması gerektiği, özel hayatın gizliliğinin en etkili şekilde korunabilmesi için, her bireyin kendisiyle ilgili bilgiler saklanmışsa bu bilgilerin ne tür bilgiler olduğunu ve ne amaçla saklandığını öğrenme hakkına sahip olduğunu ve her bireyin bu bilgilerle ilgili düzeltme veya bilgilerin ortadan kaldırılmasını talep etme hakkına sahip olduğu ifade etmişlerdir. Hemen iki yıl sonra ise tavsiye niteliğinde olan “Bilgisayara Geçirilmiş Kişisel Veri Dosyalarına İlişkin Rehber İlkeler” kabul edilmiştir. Bu ilkeler ise, “Yasal ve Dürüst Yollarla Toplama ve İşleme İlkesi, Verilerin Doğruluğu İlkesi, Amacın Belirliliği İlkesi, İlgili Kişinin Erişimi İlkesi, Ayrımcılık Yapmama İlkesi, Veri Güvenliği İlkesi, Denetim ve Yaptırım (Bu konuda bağımsız veri koruma otoritesi kurulması öngörülmüş.), Verilerin Sınır Ötesi Akışı” olarak sınıflandırılabilir. Genel anlamda BM rehber ilkelerinin OECD rehber ilkeleri kadar üyelerine düzenleme konusunda etki etmediği söylenebilir.

Kurulma amaçlarının temelinde insan hakları olan ve kişisel verilerin korunması ile ilgili çalışmaları olan diğer bir uluslararası örgüt ise Avrupa Konseyidir. Öncelikle Avrupa Konseyi’nin Avrupa Birliği’nin dışında başka bir örgüt olduğunu belirtmenin faydalı olacağını düşünüyorum. Avrupa Konseyi denince akla gelecek ilk metin bizimde tarafı olduğumuz insan haklarına ilişkin Avrupa İnsan Hakları Sözleşmesi’dir. Bu sözleşmenin özel ve aile yaşamına, konuta ve haberleşmeye saygı hakkını düzenleyen 8. Maddesi kapsamında Avrupa İnsan Hakları Mahkemesi tarafından yapılan yorum doğrultusunda 80’li yıllardan itibaren kişisel verilerin korunması da bir hak olarak tanınmıştır. Ancak Avrupa Konseyi tarafından 1981 yılında kabul edilen “108 sayılı Kişisel Verilerin Otomatik Olarak İşlenmesi Sırasında Gerçek Kişilerin Korunmasına İlişkin Sözleşme” bu alanda kendisinden sonraki düzenlemelerin hepsine etkide bulunmuş ve temel olarak her üye ülkede, uyruğu veya ikametgâhı ne olursa olsun gerçek kişilerin, temel hak ve özgürlüklerini ve kişisel nitelikteki verilerinin otomatik yollarla işleme tabi tutulması karşısında özel yaşam haklarını güvence altına alınmasını amaçlamıştır. Bu amaçla, meşru olarak elde edilen verilerin yalnızca elde edilme amacına uygun süre ve şekilde tutulması ve işlenmesi ile verilerin doğru ve güncel olmasının sağlanması, veri güvenliğinin sağlanması ile veri güvenliğini sağlayan taraf devlet arası veri aktarım serbestisi ve kişinin kendisine ilişkin veriler hakkında bilgi alma, sildirme ve düzeltme gibi haklarının olduğu düzenlenmiştir. Daha sonra ise 181 sayılı sözleşme ile üye ülkeler Türkiye’de ki Kişisel Verilerin Korunması Kurulu gibi bağımsız idari denetleyici kurullar kurmayı taahhüt etmişlerdir. Son olarak ise 2018 yılında 108+ olarak bilinen ve 108 nolu sözleşmede birtakım değişiklikler öngören Kişisel Verilerin İşlenmesi Karşısında Bireylerin Korunması için Sözleşme’yi değiştiren protokol imzalanmıştır. Yeni bilgi ve iletişim teknolojilerinin tehditlerine cevap verebilmek, işleme faaliyetlerinin küreselleşmesi ve bunun doğurduğu sorunlara yanıt verebilmek, gizlilik problemlerinin daha iyi ele alınması gibi amaçlarla protokolde ilgili değişiklikler kabul edilmiştir.

Avustralya, Kanada, Japonya, Güney Kore, Rusya, Amerika Birleşik Devletleri, Çin gibi birbirinden çok farklı hukuk ve insan hakları koruma sistemleri olan üyelerden oluşan Asya Pasifik Ekonomik İşbirliği Teşkilatı’nın (APEC) üye ülkelere tavsiye niteliğinde 2004 yılında kabul ettiği “Mahremiyete İlişkin Çerçeve Belgesi” ise bu teşkilatın kişisel verilerin korunmasına bakışını yansıtmakta olup, kişisel verilerin korunmasının teşkilat üyesi ülkelerde ekonomik kalkınmayı sağlaması için sınır ötesi veri akışını serbestleştirmeyi amaçlamaktadır. Bildirim zorunluluğu, veri ile ilgili faaliyetlerin sınırlı tutulması ve bireye bu süreçlerle ilgili erişim, düzeltme ve silme gibi bir seçim hakkı tanınması, güvenlik önlemlerinin alınması ve hesap verilebilirlik ile birlikte diğer metinlerde bulunmayan ancak çerçeve belgede yer alan zarar ilkesine göre, kişisel verilerin toplanması, kullanılması ve aktarılması dolayısıyla ortaya çıkabilecek zarar riski ile bunun yarattığı zararın telafisi birbiri ile orantılı olmalıdır. Tamamen ticari bir bakış açısı ile hazırlanan ve AB düzenlemelerinin gerisinde olan bu düzenlemeye göre zarar oluşturma tehlikesi bulunmayan bir hukuka aykırı işleme faaliyeti bu ilkeler kapsamında bir yaptırımla karşılaşmayabilir.

Uluslararası düzenlemelerin yanında küresel güçlerinde veri koruma ve veriye bakışlarının değerlendirilmesi de faydalı olacaktır. Öncelikle ABD’de kişisel verilerin korunması veya özel hayatın gizliliği hakkı anayasada yer bulan haklar olmayıp özel hayatın gizliliği mahkeme kararları ile kendine hukuk düzeninde yer bulmuş ve kişisel verilerin korunması da ancak yine mahkeme kararlarında yer bulabilecek bir hak olarak karşımıza çıkmaktadır. Bunun yanında kişisel verilerin korunması için gerekli kanuni düzenlemelerin ise telekomünikasyon ve teknoloji endüstrisinin bu düzenlemelere karşı yürüttükleri lobi faaliyetleri ve bu faaliyetler sonucu sektörün kendi kendini etik kurallar ve öz düzenlemelerle düzenliyor olmasının yeterli olduğuna ilişkin oluşturulan kanaat nedeniyle AB seviyesinde olmadığı ifade edilmektedir. Ancak devletin kendisine karşı belirli durumlarda bireyin kişisel verilerin korunmasına yönelik hak talebinde bulunabilmesine ilişkin bir takım yasal düzenlemeler yapılmıştır. Kişilerin devlet tarafından kendisi hakkında tutulan bilgileri öğrenmesine yönelik olarak hazırlanan Bilgi Edinme Özgürlüğü Hakkındaki Kanun bunlardan ilkidir. Ancak bu düzenlemede de güvenlik, istihbarat gibi istisnalar bulunmakla beraber kişilerin sağlık verilerinin de kendileri dışında paylaşılamayacağı bir diğer istisna hükmü olarak düzenlenmiştir. Diğer düzenleme ise Mahremiyet Kanunu’dur. Bu kanunda ise kamu kurumları tarafından sadece ilgili ve gerekli kişisel verilerin depolaması, bilgi toplamanın ölçülü olması, kayıtların doğru ve eksiksiz ve güncel bir şekilde muhafaza edilmesi, kayıtların güvenliğinin en iyi şekilde sağlanması gibi kurallar düzenlenmişse de Kongre’nin bu kanundan bağışık tutulması gibi hükümlerle kanunun zaten ölü doğduğu ve asıl uygulanması gereken yerlerde uygulanmadığı çoğunlukla ifade edilmektedir. Bunun yanında kredi raporlamalarının doğruluğu ve ilgili kişinin bilgi talep edebilmesine yönelik adil kredi raporlama düzenlemesi yapılmış ve finansal bilgilerin gizliliğinin korunması sağlanmıştır. Yine telefon, e-mail gibi iletişim yollarının mahkeme kararı olmaksızın dinlenmesi, takibi ve ifşasının yasaklanmasına yönelik 1986 tarihli Elektronik Telekomünikasyonun Mahremiyeti Yasası bulunmakta olup Edward Snowden’ın ifşaatlarından istihbarat ekiplerinin hem kamu gücünü kullanarak hem de ilgili özel şirketlerde istihdam edilerek ilgili iletişimlerin takip edildiği bilinmektedir. 1991 tarihli Telefon Kullanıcılarının Korunması Yasasında ise, tele pazarlama ile uğraşan tüm gerçek ve tüzel kişilerin bu amaçla aranmak istemeyen aboneler hakkında bir liste muhafaza etmelerini şart koşarak abonelere pazarlamadan bağışık tutulma ve vazgeçme hakkı tanınmıştır. Ticari ifade özgürlüğü olarak adlandırılan reklamın telefon yolu ile yapılması durumu ise Telekomünikasyon Yasası’nda düzenlenmiş ve reklamın yanlış yönlendirici olmaması, amacıyla orantılı olması ve ilgili kişinin bilgilendirmeye dayalı şekilde rızasının olması gibi ilkeler getirmiştir. Son olarak ise sorumluluk hukuku kapsamında kişilerin isimlerinin veya onurlarının lekelenmesi durumlarında gerçek anlamda bir zarar oluşması ihtimalinde zararın tazmini konusunda da birçok yargı kararı bulunmakta ve bu anlamda zarara sebebiyet verecek boyutta kişisel veri koruma ihlalleri yasaklanmaktadır.

Kişisel verilerin korunmasında AB ile ABD arasındaki güvenlik farklılığına ilişkin örnek davalardan biri de Avusturyalı hukuk fakültesi öğrencisi Max Schrem’in Facebook’a karşı açmış olduğu davadır. Bu davada Schrem, Facebook’la paylaştığı verilerinin AB sınırları içerisinde bulunan Facebook İrlanda şirketinden ABD’de bulunan serverlara aktarıldığını ve ABD’nin ulusal güvenlik gibi bahanelerle kendisinin verilerine rahatlıkla erişebildiğini ifade etmiştir. Mahkeme (ABAD) ise, ABD’nin Safe Harbor isimli bağışıklık anlaşması ile bildirim, secim, aktarım, güvenlik, doğruluk, erişim ve uygulamaya ilişkin olarak AB kurallarına uygun şekilde veri transferi yapılacağını taahhüt etmiş olmasına rağmen uygulamada sürecin böyle olmadığını, ulusal güvenlik bahanesinin tüm kapıları açtığını ifade ederek ilgili Safe Harbor sözleşmesini iptal etmiş ve Max Schrem’i haklı bulmuştur. ABD’nin federal anlamda kişisel verilere bakışını özetlemekle beraber birçok eyalette kişisel verilerin korunmasına özgü düzenlemeler içeren başka yasalar bulunmaktadır. Bunların en bilineni ise 2020 itibari ile uygulanmaya başlanan Kaliforniya Tüketici Mahremiyeti Yasası olup, bu yasa GDPR’da düzenlenen birçok hakkı içermekte ve tüketicilere şirketlere karşı verilerinin silinmesini talep etme, bilgi alma ve verilerin korunması gibi haklar tanımaktadır.

Çin’de Kişisel Verilerin Korunmasına yönelik bir yasa bulunmamakla beraber Siber Güvenlik Yasası bulunmakta ve bu yasa doğrultusunda yayınlanan kılavuz standartlarda şirketlerin verileri en iyi şekilde korumaları gerektiği düzenlenmekte, Medeni Kanun ve Haksız Fiil Kanunu kapsamında zarar oluştuğunda yaptırım uygulanabilmektedir ancak ayrıntılı ve devletin veri korumaya etkisine ilişkin bir düzenleme göze çarpmamaktadır. Rusya’da ise mahremiyet anayasal bir hak olup bireylerin bu konuda talepte bulunmaları mümkündür. Ayrıca 2006 yılında Veri Koruma Yasası kabul edilmiştir. Bu yasa kapsamında en dikkat çekici kural ise Rusya vatandaşlarının verilerinin yalnızca Rusya’da işlenebileceği ve depolanabileceğine ilişkin kuraldır. Bu anlamda bahsedeceğim son ülke olan Japonya ise 2003 yılında Kişisel Bilgilerin Korunması Yasası’nı kabul etmiş ancak teknolojik gelişmeler ve veri işleme faaliyetlerinin gelişmesi ile 2017 yılında kanunu güncellemiştir. Daha önce ilgili bakanlıklar arasında dağıtılan denetim görevi yeni düzenleme ile ülkemizde bulunan Kişisel Verilerin Korunması Kurulu gibi bir idari otoritede birleştirilmiş ve genel anlamda GDPR ile benzer bir düzenleme yapılmıştır.

Tüm bu açıklamalar ışığında ülkelerin genel anlamda hukuka ve insan haklarına bakışlarının kişisel verilerin korunması meselesine de yansıdığını, ABD’nin serbest piyasaya yönelik ekonomi temelli yaklaşımı ile devlete karşı kişisel verileri koruyacak düzenlemeler yaptığını, Rusya’nın daha milliyetçi bir bakışla vatandaşlarına ait verilerin yurtdışına çıkmasını engelleme gayreti içerisinde olduğunu, Çin’in ise kişisel verilerin korunmasına ilişkin devletin sorumluluklarını düzenlemek yerine standart kılavuzlarla yalnızca şirketleri denetim altında tutma gayreti içerisinde olduğu söylenebilir.

Önceki İçerikKişisel Verilerin Korunması Hakkı Nasıl Ortaya Çıkmıştır? (11)
Sonraki İçerikDevletin Ekonomik Hayattaki Rolü Ne Olmalıdır?
Liseye başlayana kadar yaşamım Kocaeli’de geçti. Sonrasında liseyi Bursa’da Işıklar Askeri Lisesi’nde, üniversiteyi ise İstanbul Üniversitesi Hukuk Fakültesi’nde tamamladım. Bir süre uluslararası ticaret, şirketler ve enerji hukuku alanlarında çalıştıktan sonra Marmara Üniversitesi AB Enstitüsü AB Hukuku Yüksek Lisans programından mezun oldum ve tezim ‘Türk ve AB Hukukunda Acentenin Denkleştirme İstemi’ ismiyle kitaplaştı. Yenilenebilir enerji projelerinin hukuki süreçlerinde ve şirketlerin kişisel verilerin korunması kanununa uyum süreçlerinde onlarca proje yürüttüm. Bir süredir Özyeğin Üniversitesi Sosyal Bilimler Enstitüsünde "Enerji ve Regülasyon", "Yenilenebilir Enerji Hukuku" ve "Uluslararası Çevre Hukuku" derslerinin yürütücülüğünü üstleniyorum. Şimdi ise çalıştığım ve ilgili olduğum alanlarla ilgili bir blog tutmaya başladım. Yazılarla ilgili eleştiri, yorum ve sorularınız için mehmet@legelaw.com adresi üzerinden iletişime geçebiliriz.