?nsan Haklar? ve E?itlik Uzmanlar? Derne?i

KİŞİSEL VERİLERİN OTOMATİK İŞLEME TABİ TUTULMASI KARŞISINDA BİREYLERİN KORUNMASI SÖZLEŞMESİ

10 June 2021
KİŞİSEL VERİLERİN OTOMATİK İŞLEME TABİ TUTULMASI KARŞISINDA BİREYLERİN KORUNMASI SÖZLEŞMESİ

KİŞİSEL VERİLERİN OTOMATİK İŞLEME TABİ TUTULMASI KARŞISINDA BİREYLERİN KORUNMASI SÖZLEŞMESİ

Sözleşme’nin Arka Planı

Kişisel verilerin korunması 20. Yüzyılın ikinci yarısında itibaren yoğun bir şekilde gündeme gelmiştir. Ancak esasen bu konunun çok daha uzun bir maziye dayandığını ifade etmek gerekir. 20. Yüzyıl öncesinde de çeşitli nedenlerle kişisel verilerin korunmasına ilişkin yöntemler geliştirilmeye çalışılmıştır. Özellikle belli başlı bazı meslekleri icra edenlerin bu esnada öğrendikleri kişisel verileri paylaşmamalarının binlerce yıllık bir mazisi vardır. Bu meslek gruplarına Hipokrat yemini, sağlık mensuplarının sır saklama yükümlülüğü, avukatların sır saklama yükümlülüğü örnek verilebilir.

Teknoloji alanında yaşanan gelişmeler ile bilim dünyasındaki hızlı gelişim ve değişim, verinin çok daha kısa sürede ve daha büyük miktarlarda ele geçirilmesini mümkün kılmıştır. Ancak diğer taraftan ticari, bilimsel ya da kamusal hizmetlerin verilebilmesi için bilgiye ihtiyaç duyulmaktadır. Hizmetlerin verilebilmesi için ortaya çıkan ihtiyaç ile kişisel verilerinin hukuka aykırı olarak işlenmesi ve kişilerin bundan zarar görmesi riski birbiriyle çatışma halindedir. Bunlar arasında bir denge kurulması gerekmektedir. Bu dengenin kurulabilmesi için 20. Yüzyılın ikinci yarısından itibaren kişisel verilerin korunması amacıyla ulusal ve uluslararası alanda hukuki düzenlemeler yapılarak, sadece kişisel verileri korumaya yönelik kurumlar oluşturulmuştur.  

Bu bağlamda ihdas edilen normlardan birisi de ülkemizin de kurucusu olduğu Avrupa Konseyi tarafından hazırlanan Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi’dir. Bu alanda ilk uluslararası bağlayıcı norm olan Sözleşme, Avrupa Konseyi tarafından hazırlanarak 28 Ocak 1981 tarihinde imzaya açılmış ve yürürlük için öngörülen şartların sağlanması ile 1 Ekim 1985 tarihinde yürürlüğe girmiştir.

Kişisel verilerin korunması ise 1970’lerde hukuki düzenlemelere konu olmaya başlamıştır. Bu alanda ilk hukuki düzenleme, 1970 yılında Almanya’nın Hessen Eyaletinde kabul edilen Veri Koruma Kanunu’dur. 1970’lerden itibaren Avrupa Konseyi de kişisel verilerin korunması üzerine eğilmiştir. Tarihi süreç içerisinde pek çok teknolojik gelişme yaşanmıştır. Özellikle internetin icadı ile internet tabanlı sosyal medya platformları ve alışveriş sitelerinden; resmi olarak tutulan evraklara, özel şirketler ve kamu kurumları tarafından tutulan kayıtlara kadar neredeyse tüm veriler kişisel veri içermektedir. Kişisel verilerin depolanması, yayılması kolaylaşırken verilerin korunması da bir o kadar zorlaşmaktadır. Kişisel veriler özel yaşamımızla yakından ilgilidir. Kişisel verilerin ihlali durumunda temel bir insan hakkı olan özel yaşamımızın gizliliğinin ihlal edilmesiyle karşı karşıya kalmaktayız. Bu nedenle kişisel veriler uluslararası ve ulusal düzenlemelerle korunmaya çalışılmıştır. Bu alanda ilk uluslararası bağlayıcı sözleşme Avrupa Konseyi tarafından hazırlanarak 28 Ocak 1981 tarihinde imzaya açılan ve 1 Ekim 1985 tarihinde yürürlüğe giren Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi’dir.

Sözleşme’nin İmza ve Yürürlüğe Giriş Tarihine İlişkin Bilgiler

 

Avrupa Konseyi tarafından 28 Ocak 1981 tarihinde “Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi” Strazburg’da imzaya açılmıştır. Sözleşme 1 Ekim 1985 tarihinde yürürlüğe girmiştir. Sözleşmeye Konsey'de yer almayan ülkelerin de taraf olma imkânı bulunmaktadır. Türkiye, 28 Ocak 1981 tarihinde bu sözleşmeyi imzalayan ilk ülkelerden birisidir. Ancak Anayasamız gereği sözleşmelerin iç hukukta yürürlüğe girebilmesi için meclis tarafından uygun bulma kanunu çıkartılması gerekmektedir. Uygun Bulma Kanunu 18 Şubat 2016 tarih ve 29628 sayılı Resmi Gazete’de yayımlanmıştır. Sözleşme'nin onaylanmasını kararlaştıran Bakanlar Kurulu Kararı ile Sözleşme'nin resmi Türkçe çevirisi 17 Mart 2016 tarih ve 29656 sayılı Resmi Gazete'de yayımlanmıştır. Onay belgeleri 2 Mayıs 2016 tarihinde Avrupa Konseyi Genel Sekreterliği’ne tevdi edilmiştir. Sözleşme, Türkiye bakımından 1 Eylül 2016 tarihinde yürürlüğe girmiştir. (Yürürlük tarihinin belirlenmesinde Sözleşme’nin 22’inci maddesinde yer alan; “Sözleşme ile bağlı olmak istediğini beyan eden herhangi bir üye devlet bakımından Sözleşme; onay, kabul ya da uygun bulma belgesini teslim etme tarihinden itibaren üç aylık sürenin sona ermesini takip eden ayın ilk günü yürürlüğe girer.” hükmü dikkate alınmıştır.)

Sözleşmenin Konusu, Amacı ve Bazı Önemli Tanımlar

 

Sözleşme’nin 1’inci maddesi “Konu ve amaç” kenar başlığını taşımaktadır. Hükme göre; “İşbu Sözleşmenin amacı, her bir Tarafın ülkesinde, uyruğu veya ikamet yeri ne olursa olsun her gerçek kişinin temel hak ve özgürlüklerini ve özellikle kendisiyle ilgili kişisel verilerin otomatik işleme tabi tutulması karşısında özel hayata saygı hakkını güvence altına almaktır ("verilerin korunması").”

Sözleşme’nin “tanımlar” kenar başlıklı ikinci maddesinde bazı önemli tanımlara yer verilmiştir. Bu tanımlara göre;

  • Kişisel veriler: Kimliği belirli veya belirlenebilir bir gerçek kişi ("ilgili kişi") hakkındaki tüm bilgileri ifade eder.
  • Otomatik veri dosyası: Otomatik işleme konu olan bilgilerin tümünü ifade eder.
  • Otomatik işlemden, tamamen veya kısmen otomatik yöntemlerle gerçekleştirilen; verilerin kaydı, bu verilere mantıksal ve/ veya aritmetik işlemlerin uygulanması, verilerin değiştirilmesi, silinmesi, geri elde edilmesi veya dağıtılması anlaşılır.
  • Dosya yöneticisi: Otomatik veri dosyasının amacının ne olacağı, hangi kişisel veri kategorilerinin kaydedilmesi gerektiği ve bunlara hangi işlemlerin uygulanacağı hakkında karar verebilecek olan gerçek veya tüzel kişileri, kamu kurumunu, birimi veya ulusal kanunlara göre yetkili olan diğer kuruluşları ifade eder.

Verilerin Korunmasında Temel İlkeler

 

Sözleşme’nin “verilerin niteliği” kenar başlıklı 5’inci maddesine göre; Otomatik işleme konu olan kişisel veriler:

  • Adil biçimde ve yasal yoldan elde edilir ve işlenir;
  • Belli ve meşru amaçlar için kaydedilir ve bu amaçlara aykırı şekilde kullanılmaz;
  • Kaydedilme amaçlarına göre uygun ve yerinde olur ve aşırı olmaz;
  • Doğru bilgileri yansıtır ve gerektiğinde güncellenir;
  • Kaydedilme amaçlarını gerçekleştirmek için gerekli olan süreyi aşmayacak şekilde ilgili kişilerin kimliklerini belirlemeye imkân veren bir biçimde saklanır.

Sözleşme’nin 6’ncı maddesi ile özel veri kategorileri belirlenmiş ve bu verilerin otomatik işleme tabi tutulamayacağı belirtilmiştir. Maddeye göre; “İç hukukta uygun güvenceler sağlanmadıkça, ırksal kökeni, siyasi düşünceleri, dini veya diğer inançları ortaya koyan kişisel veriler ile sağlık veya cinsel hayatla ilgili kişisel veriler, otomatik işleme tabi tutulmaz. Aynı şey ceza mahkûmiyetiyle ilgili kişisel veriler için de geçerlidir.”

Yaptırımlar ve Başvuru Yolları

Sözleşme’nin 10’uncu maddesine göre; “Her bir Taraf, işbu bölümde düzenlenen verilerin korunması hakkındaki temel ilkelere işlerlik sağlayan iç hukuk kurallarının ihlaliyle ilgili uygun yaptırımlar ve başvuru yolları getirmekle yükümlüdür.” Sözleşme’nin 11’inci maddesinden ise iç hukukta sözleşmeden daha ileri bir düzenleme olması durumunda iç hukuk hükümlerinin uygulanacağı anlaşılmaktadır.

Danışma Komitesi

Sözleşme’nin 18’inci maddesine göre sözleşme yürürlüğe girdikten sonra bir Danışma Komitesi kurulacaktır. Taraflardan her biri, bu komiteye bir asıl temsilci, bir de temsilci vekili tayin eder. Sözleşmeye taraf olmayan Avrupa Konseyi üyesi her devlet Danışma Komitesinde bir gözlemci tarafından temsil edilme hakkına sahiptir. Danışma Komitesi, oybirliği ile alacağı bir kararla, Avrupa Konseyi üyesi olmayan ve Sözleşmeye taraf olmayan herhangi bir devleti, belli bir oturumunda bir gözlemci tarafından temsil edilmeye davet edebilir.

Danışma Komitesi’nin işlevleri ise 19’uncu maddede yer almıştır. Buna göre;

  • Sözleşmenin uygulanmasını kolaylaştırmak veya iyileştirmek amacıyla önerilerde bulunabilir;
  • Aşağıdaki 21. Maddeye uygun olarak Sözleşmede değişiklik yapılmasını önerebilir;
  • Sözleşmede değişiklik yapılmasına ilişkin olarak 21. maddenin 3. fıkrası uyarınca kendisine sunulan tüm öneriler hakkında görüş bildirir;
  • Taraflardan birinin talebi üzerine, işbu Sözleşmenin uygulanması ile ilgili tüm sorular hakkında görüş bildirebilir.

Çekinceler ve Fesih

Sözleşme’nin 25’inci maddesine göre; “İşbu Sözleşme hükümlerine hiçbir çekince konulamaz.” Sözleşme’nin 26’ncı maddesine göre ise; “Taraflardan herhangi biri, herhangi bir zamanda Avrupa Konseyi Genel Sekreterine muhatap bir bildirim yoluyla bu Sözleşmeyi feshedebilir. Söz konusu fesih, söz konusu bildirimin Genel Sekreter tarafından alınma tarihinden itibaren altı aylık sürenin sona ermesini takip eden ayın ilk günü geçerlilik kazanır.”

Türkiye’nin Sözleşmeye Koymuş Olduğu Beyanlar

Yukarıda da belirtildiği üzere sözleşmeye çekince koymak yasaktır. Ancak Türkiye hassas olduğu birkaç konuda beyanda bulunmuştur. Bu beyanlar şu şekilde sıralanabilir;

  • Türkiye, Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunmasına İlişkin Avrupa Konseyi Sözleşmesinin onaylanmasının, geçerliliği bulunmayan “Kıbrıs Cumhuriyeti” nin anılan sözleşmeye taraf olan Güney Kıbrıs Rum Yönetimi tarafından temsil edildiği iddiasının herhangi bir biçimde kabulü anlamına gelmeyeceğini ve Türkiye’ye sözde Kıbrıs Cumhuriyeti ile işbu Sözleşme kapsamında herhangi bir temasta bulunma yükümlülüğü getirmeyeceğini beyan eder.
  • Sözleşmenin 3 üncü maddesinin 2 inci alt paragrafı c bendi uyarınca, Türkiye Cumhuriyeti bu sözleşmenin otomatik olmayan yollarla işlenen kişisel verilere de uygulayacağını beyan eder.
  • Sözleşmenin 13 üncü maddesinin 2 inci alt paragrafı a bendi uyarınca, Türkiye Cumhuriyeti Kişisel Verileri Koruma Kurulu’nun yetkili makam olduğunu beyan eder.
  • Sözleşmenin 3’üncü maddesinin 2’inci alt paragrafı a bendi uyarınca, Türkiye Cumhuriyeti Sözleşmenin aşağıda belirtilen kişisel verilere uygulanmayacağını beyan eder:

a) Gerçek kişilerin tamamen kişisel veya aynı konutta yaşayanlarla ilgili faaliyetlerine ilişkin olarak işlenmesine,

b) Kanun tarafından öngörülen kamu kayıtlarına,

c) Kanuna uygun olarak kamu bilgisine sunulan bilgilere,

d) devlet kurumlarınca milli güvenlik, savunma ile soruşturma ve suç önleme amacıyla işlenen kişisel verilere.

 

Kişisel Verileri Koruma Kurumuna ilişkin hazırlamış olduğumuz bilgi notuna erişmek için tıklayınız. 

 

Kişisel Verileri Koruma Kurumuna başvuru yollarına ilişkin hazırlamış olduğumuz aşağıdaki videoyu izleyebilirsiniz.