İDARENİN HİZMETLERİ BAĞLAMINDA KİŞİSEL VERİLERİN KORUNMASI

GİRİŞ

Ülkemiz, kişisel verilerin korunması alanında normatif düzenlemeleri de kapsayan hukuki güvencelere kavuşma sürecinde gelişmiş ülkeler kadar hızlı yol alamamıştır. Ancak 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (KVKK) 2016 yılında[2] yürürlüğe girmesiyle birlikte ülkemizde kişisel verilerin daha etkin korunacağına yönelik umut artmıştır.

Kişisel verilerin korunması alanında genel yaklaşımı ortaya koyan ve “… kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak …” (KVKK m. 1) adına çıkarılan KVKK bir yanda tutulursa, mevzuatımızda kişisel verilerin korunmasına ilişkin hükümlerin dağınık bir şekilde yer aldığı söylenebilir. Nitekim Türk hukukunda kişisel verilerin korunması konusunu, hem özel hukuk hem de kamu hukuku açısından dolaylı veya doğrudan ele alan çeşitli normatif düzenlemeler vardır.

Özel hukukta kişisel verilerin korunması genel anlamda 4721 sayılı Türk Medeni Kanunu’nda[3] yer alan “Kişiliğin korunması” başlığı altındaki 23 vd. maddeler vasıtasıyla korunmaktadır. Bu kapsamda kişisel veriler, kişilerin ismi, resmi, sırları ve özel hayatı olarak sayılabilir. 6098 sayılı Türk Borçlar Kanunu’nda[5] ise, “Kişilik hakkının zedelenmesi” başlığını taşıyan 58. maddede kişisel verilerin korunduğu söylenebilir. Ayrıca 4857 sayılı İş Kanunu’nda[6] “İşçi özlük dosyası” başlığını taşıyan 75. maddede ve idari para cezalarını içeren “İş hayatının denetim ve teftişi ile ilgili hükümlere aykırılık” başlığını taşıyan 107. maddede kişisel veriler güvence altına alınmıştır.

Kamu hukuku alanında ise, kişisel verilerin korunması genel olarak başta Anayasa’nın[7] “Özel hayatın gizliliği” başlığını taşıyan 20/3 hükmünde, KVKK’da, 4982 sayılı Bilgi Edinme Hakkı Kanunu’nda[8], 5237 sayılı Türk Ceza Kanunu’nda (TCK)[9] “Özel Hayata ve Hayatın Gizli Alanına Karşı Suçlar” başlığını taşıyan dokuzuncu bölümde yer alan 135 vd. maddelerde, 5271 sayılı Ceza Muhakemesi Kanunu’nda[12], 2559 sayılı Polis Vazife ve Salâhiyet Kanunu’nda[13], 213 sayılı Vergi Usul Kanunu’nda[14], 5411 sayılı Bankacılık Kanunu’nda, 5429 sayılı Türkiye İstatistik Kanunu’nda[16], 1512 sayılı Noterlik Kanunu’nda[17], 5352 sayılı Adli Sicil Kanunu’nda[18], 5490 sayılı Nüfus Hizmetleri Kanunu’nda[19], 5070 sayılı Elektronik İmza Kanunu’nda[20], 5809 sayılı Elektronik Haberleşme Kanunu’nda[21], 3359 sayılı Sağlık Hizmetleri Temel Kanunu’nda[22] ve diğer çeşitli mevzuat hükümleriyle sağlanmaya çalışılmaktadır.

Normatif anlamda kişisel verilerin Türk hukukundaki genel görünümü bu şekilde olmakla birlikte, çalışmamızda daha ziyade idarenin faaliyetleri ve sunduğu / gördüğü bazı hizmetlerle ilişkili olan kanun ve yönetmelik şeklinde tezahür eden (normatif) düzenlemeler ele alınacaktır. Bu irdeleme yapılırken, yeri geldikçe öğretideki görüşlerden ve yargı kararlarından da yararlanılmaya özen gösterilecektir.

I. GENEL OLARAK

İdare, niteliği gereği kişisel verilere ihtiyaç duymaktadır. İdare ve hatta daha geniş anlamda devletin bireylere yönelik veri ihtiyacının meşru temelinde, sosyal devlet ilkesi uyarınca bireylerin sosyal ve ekonomik refahlarını artırmak için planlama vb. araçlara başvurma şeklinde yaptığı faaliyetler yatmaktadır. Günümüzde, idarenin kişisel verilere ihtiyaç duyması ne kadar önemliyse; bu kişisel verilerin toplanması, işlenmesi, saklanması bakımından hukuka uygun davranmak da o kadar önemlidir. Bu bağlamda idarenin elde ettiği bilgileri KVKK’ya ve daha geniş anlamda hukuka uygun bir şekilde elde etmesi, kullanması ve sadece zorunlu hallerde aktarması bir gerekliliktir. Bu süreçte idare, ulaşmak istediği amaç için gerekli olandan fazla veri toplamamalı, işlememeli ve kullanmamalıdır. Bu aynı zamanda idarenin kanuniliği ilkesinin ve idarenin keyfilikten uzak olmasının da bir gereğidir.

Nitekim günümüzdeki idari usul (yönetsel yöntem) anlayışında, “yönetimin mükemmel ve tam işleyişinin etkisinin sağlanması”nın yanında “bireyin korunması” da amaçlanır. Bu açıdan bakıldığında, bireyin haklarını dışlayan etkinlik yanıltıcı olacaktır. Kişiyle ilgili olarak yapılan idari işlemlerde bireysel hakların korunması gerekmektedir.

II. İDARENİN SUNDUĞU / GÖRDÜĞÜ BAZI HİZMETLER BAKIMINDAN KİŞİSEL VERİLERİN KORUNMASI[26]

Türkiye’de Devlet, üzerine düşen görevleri yerine getirebilmek için kişisel verileri toplamakta, kullanmakta, işlemekte ve kimi zaman da üçüncü kişilere aktarmaktadır. Bu işlemler özellikle bilişim sistemleri aracılığıyla yapılmaktadır.

Ayrıca Devletin sunduğu hizmetler incelenirken idarenin kişisel verileri kullanırken bağlı olduğu mevzuatı tamamıyla ele almak mümkün değildir. Bu sebeple bu bölüm başlığı altında, idarenin faaliyetleri kapsamında değerlendirilebilecek idarenin sunduğu / gördüğü bazı hizmetler, çeşitli kanun ve yönetmelik hükümleri bağlamında, kişisel verilerin korunmasıyla ilgili olarak ele alınacaktır.

A. Adli Sicil Kaydı

Kişilerin geçmişte suçlu olup olmadığına ilişkin bilgi ve belgelerin bulunduğu yer, ‘adli sicil’ olarak isimlendirilmektedir. ‘Adli sicil kaydı’ ise, ‘iyi hal kağıdı’, ‘temiz kağıdı’, ‘sabıka kaydı’ gibi isimlerle anılır ve “adli sicil bürosunda her hükümlü için ayrı ayrı tutulan ve kişinin geçmiş mahkumiyetleri ve cezasının infazıyla ilgili bilgileri içeren kayıtlar” olarak tanımlanabilir.

Bahsedilen önemi sebebiyle, ülkemizde il veya ilçelerdeki adliyelerden fiziki olarak veya e-devlet üzerinden elektronik olarak alınan adli sicil kaydı belgelerinde kişisel verilerin yer aldığı, bu sebeple düzenleyen idare tarafından yahut belgenin sunulduğu ilgili idareler tarafından bu verilerin korunması gerektiği söylenmelidir. Nitekim herhangi bir adliyeden veya e-devletten alınan adli sicil kaydı belgesinde ilgili şahsın ‘Türkiye Cumhuriyeti kimlik numarası’, ‘doğum yeri’, ‘doğum tarihi’ ve ‘nüfusa kayıtlı olduğu yer’ ibareleri bulunmaktadır.

Mevzuatta genel olarak, adli sicil kayıtlarının ve arşiv kayıtlarının tutulmasına ilişkin hükümler, Adli Sicil Kanunu (ASK) ve bu kanuna dayanılarak hazırlanan Adli Sicil Yönetmeliği’nde yer almaktadır.

ASK’ta, kişisel verilerin korunmasına ilişkin belli başlı ilkeler vardır. Bunlardan biri de adli sicil bilgilerinin kimlere verileceğini düzenleyen 7. maddede yer almaktadır. Buna göre,

“(1) Adlî sicil bilgileri, kullanılış amacı belirtilmek suretiyle;

a) İlgili kişiye veya vekâletnamede açıkça belirtilmek koşuluyla vekiline,

b) Kamu kurum ve kuruluşlarına, kamu kurumu niteliğindeki meslek kuruluşlarına verilebilir.

(2) Yabancı devletler tarafından istenilen adlî sicil bilgileri mütekabiliyet esasına göre verilir”.

Belirli koşullar altında adli sicil bilgilerinin silinmesi ve arşiv kaydına alınması da kişisel verilerin korunmasına ilişkin bir diğer önemli düzenlemedir. Kişisel verilerin bulunduğu arşiv bilgilerini isteyebilecek kişiler ve kurumlar da ASK’ta ayrıntısıyla düzenlenmiştir.

ASK’ın “Adli sicil ve arşiv bilgilerinin gizliliği” başlığını taşıyan 11. maddesi ise, kişisel verilerin korunmasına ilişkin en önemli hükümlerden biridir. Zira buna göre, “Adlî sicil ve arşiv bilgileri gizlidir. Bu bilgiler, görevlilerce açıklanamaz ve bu Kanun hükümlerine göre verilen kişi, kurum ve kuruluşlarca veriliş amacı dışında kullanılamaz”.

Bir kişiye ait sabıka ve arşiv kaydının gizliliği, bilgilere ulaşabilecek kişilerin sınırlandırılması, kişilerin yaşamlarına sağlıklı bir şekilde devam edebilmeleri açısından önem arz etmektedir. Zira kişinin geçmişte yaptığı bir hukuka aykırı hareket sonucunda, yaşamının tamamına etki edecek şekilde devlet tarafından kayıtlar tutulması ve bu kayıtların değişik mecralar vasıtasıyla zaman zaman kişinin önüne gelmesi her seferinde cezalandırılmasına neden olabilmektedir. Bu da cezalandırmanın mantığıyla uyuşmaz. Her insanın, hayatında yeni bir sayfa açabilme ve yaşamını sürdürebilme gereksinimi vardır. Nitekim adli sicil kayıtlarının ASK’la belirlenen süreler sonunda silinmesi de bundan kaynaklanmaktadır[34].

B. Güvenlik Soruşturması

Güvenlik soruşturması, idarenin yürüttüğü kolluk faaliyeti kapsamında gerçekleştirilmektedir. İdare tarafından bir kamu görevine alınacak bireylere ait bilgilerin elde edilmesi amacıyla, ulusal güvenlik sebebiyle güvenlik soruşturmaları yapılarak kişisel veriler toplanmaktadır.

‘Güvenlik soruşturması’nın tanımı, Güvenlik Soruşturması ve Arşiv Araştırması Yönetmeliği’nin 4. maddesinin g bendinde yapılmıştır. Buna göre güvenlik soruşturması, “Kişinin kolluk kuvvetleri tarafından halen aranıp aranmadığının, kolluk kuvvetleri ve istihbarat ünitelerinde ilişiği ile adli sicil kaydının ve hakkında herhangi bir tahdit olup olmadığının, yıkıcı ve bölücü faaliyetlerde bulunup bulunmadığının, ahlaki durumunun, yabancılar ile ilgisinin ve sır saklama yeteneğinin mevcut kayıtlardan ve yerinden araştırılmak suretiyle saptanması ve değerlendirilmesi”ni ifade etmektedir.

Avrupa İnsan Hakları Mahkemesi’nin de (AİHM) güvenlik soruşturmasına ilişkin kararları mevcuttur. Nitekim askeri bir deniz üssünde bulunan müzedeki görevine, yapılan güvenlik soruşturması neticesinde son verilen başvurucu tarafından açılan Leander / İsveç davasında AİHM, bir kamu makamının kişinin özel hayatıyla ilgili bilgilerini saklanmasının, Avrupa İnsan Hakları Sözleşmesi’nin (AİHS) “Özel ve aile hayatına saygı hakkı” başlıklı 8. maddesinin ihlaline sebebiyet verdiğini ve saklanan bilgilerin daha sonra kullanılıp kullanılmamasının buna bir etkisinin bulunmadığını vurgulamakla birlikte, bu müdahalenin demokratik bir toplumda, ulusal güvenlik gibi devlete geniş bir takdir yetkisi tanıyan bir konuda ağır basan sosyal ihtiyaç nedeniyle meşru olduğuna karar vermiştir[36].

Bir diğer konu da, güvenlik soruşturmasına bağlı olarak yapılan ve sabıka kaydından farklı olan ‘fişleme’dir. Fişleme, “güvenlik ve istihbaratla görevli kuruluşların, kendiliğinden bilgi toplayıp depolamaları” anlamına gelmektedir. Gizli olarak hazırlanan ve kullanılan fişleme raporları, kişinin kendisi hakkında yanlış bilgiler içermesi durumunda birçok soruna yol açabilmektedir. Nitekim “gelişigüzel fişlemek ve ‘sakıncalı’ sayılmak son derece kolay, bunları değiştirebilmek ise, hemen hemen imkansızdır”.

Fişlemeyle oluşturulan kayıtlara ulaşabilmek ve yanlışları düzeltebilmek oldukça güçtür. Bu sebeple bir hukuk devletinde bu tür sistemlere istisnalar dışında başvurulmamalıdır.

Devletin, bireyler hakkında yürüttüğü gizli araştırmalarının yoğun olması, hukuk devletinden polis devletine doğru kayışın bir göstergesi olur. Bu sebeple böyle uygulamalara otoriter rejimlerde sıklıkla başvurulduğu ve kişilerin ‘sakıncalı’ hukuka aykırı uygulamalara maruz bırakıldığı bilinen bir gerçektir. Böyle durumlara karşın kişisel verilerin korunmasının nedeni ise, bu gibi olası tehditlere karşı bireyin korunmasının gerekli olduğu düşüncesidir.

C. Vergilendirme

Günümüzde devletlerin üzerine düşen görevleri yerine getirebilmesi için vatandaşlarının bilgilerine gereksinim duyduğu bir alan da vergilendirme alanı ve mali araştırmalardır. Vergilendirmeyi ilgilendiren konularda idare genellikle iki nedenle kişisel bilgilere gereksinim duyar. Bu nedenlerden ilki, vergi verecek mükelleflerin saptanabilmesidir. İkincisi ise, mevcut yükümlülerin doğru bir şekilde vergilendirilmesidir. Bu iki amacın gerçekleşebilesi için devletin bilgileri toplama, kullanma, üçüncü kişilere aktarma gibi konularda uyacağı esasların belirlenmesi çok önemlidir.

Ülkemizde de bu konuya ilişkin düzenlemeler incelenirken öncelikle ‘vergi mahremiyeti’ üzerinde durulmalıdır. Vergi Usul Kanunu’nun (VUK) 5. maddesinde düzenlenen vergi mahremiyeti, Anayasal koruma altındaki özel yaşamın gizliliği hakkının yasal düzeydeki yansımalarından biridir. VUK m. 5’te vergi mahremiyetinin ihlali durumu suç olarak düzenlenmiştir. Bunun nedeni, idare tarafından öğrenilen bilgilerin / kişisel verilerin, vergilendirme amacı dışında kullanılmasını önlemek ve bu bilgilerin gizli kalmasını sağlamaktır. Bu düzenlemeyle, bilgiler / kişisel veriler kullanılarak yükümlülere zarar verilmesi engellenmek istenmiştir.

Değinilmesi gereken başka bir husus ise, kişinin mali bilgilerini mesleği dolayısıyla öğrenenlerin bu gizliliği korumalarının gerektiği hususudur. 3568 sayılı Serbest Muhasebeci Mali Müşavirlik ve Yeminli Mali Müşavirlik Kanunu’nun[45] “Meslek sırları” başlıklı 43. maddesinin 1. fıkrasında bu husus düzenlenmiştir. Aynı maddenin 2. fıkrası ise, suç teşkil eden durumların ihbarının zorunlu olmasını düzenleyerek birinci fıkranın istisnası olmuştur. Keza üçüncü fıkrada da, adli veya idari her türlü inceleme veya soruşturmanın da 1. fıkranın dışında olduğu hükme bağlanmıştır.

Devletin vergilendirmeyi etkin ve doğru bir şekilde gerçekleştirebilmesi için kişisel verilere gereksinim duyduğu apaçıktır; ancak devlet bunu yaparken ‘orantılılık ilkesi’ne de uygun davranmalıdır. Zira kişiler hakkında elde edilen bilgilerin, yalnızca amaçları doğrultusunda kullanılması ve üçüncü kişilere aktarılmaması yükümlünün temel hak ve özgürlükleri açısından önem arz etmektedir.

Öte yandan VUK’taki boşlukları KVKK’nın doldurduğu söylenebilir. Nitekim KVKK’da, vergi yükümlüsünün bilgilerinin hangi amaçlar için, hangi usul ve esaslara uygun olarak (KVKK m. 4) ve kimler tarafından kullanılıp işlenebileceği (KVKK 3/1-ğ, 3/1-ı), kendisinden bilgi istenen kişi ve kurumların hangi bilgileri paylaşabileceğinin sınırları (KVKK m. 5, 6) belirlenmiştir.

D. İstatistik

Modern devletler, sosyal ve ekonomik hedeflerini belirlemek, belirledikleri bu hedeflere planlı bir şekilde ulaşmak için istatistik biliminden yararlanmaktadırlar. İstatistiksel çalışmalar çerçevesinde toplanan verilerin bir bölümü herhangi bir kişiyle ilgili olabilmektedir. Bu sebeple konuyu kişisel verilerin korunmasının temel ilkeleri açısından ele almak ve açıklamalarımızı da Türkiye İstatistik Kanunu (TİK) çerçevesinde yapmak gerekecektir. TİK’in 2/1-h ile 2/1-o hükmüne göre, “bireysel veri”, hakkında veri toplanan gerçek ve tüzelkişiler ile kamu kurum ve kuruluşlarını özellikleriyle birlikte tanımlayan veri anlamına gelmektedir. Ayrıca TİK’te, “gizli veri” olarak nitelendirilen bir veri türüne de yer verilmiştir. Bu husus TİK’in 2/1-s hükmünde, “İstatistik birimin doğrudan veya dolaylı bir şekilde özellikleri ile birlikte tanınabilmesine ve bu şekilde bireysel bilgilerin açığa çıkarılmasına imkân sağlayan bireysel veya tablo hâlinde saklı tutulan veri” olarak ifade edilmiştir.

TİK’in 4/2 hükmünde, TİK’in temel esaslarının belirtildiği bu düzenlemede, kişisel verilerin korunması ve buna bağlı olarak bilgi edinme hakkının kullanılması amaçlanmaktadır. Buna göre, “Resmî istatistiklerin gerçekleri yansıtmasının sağlanması, tüm kullanıcılara tarafsız ve eş zamanlı olarak sunulması, gizlilik ilkesine riayet edilmesi, kamuoyunun bilgi edinme hakkının gözetilmesi temel esaslardır”. Buna ek olarak TİK’in 7-15 maddelerinde de, bilgilerin toplanmasına, dağıtımına ve gizliliğine ilişkin hükümler mevcuttur. TİK’e ek olarak, veri gizliliği ve güvenliğine ilişkin Resmi İstatistiklerde Veri Gizliliği ve Gizli Veri Güvenliğine İlişkin Usul ve Esaslar Hakkında Yönetmelik de önemlidir.

Diğer taraftan değinilmesi gereken başka bir husus da, halihazırda TİK’te düzenlenen Türkiye İstatistik Kurumu Başkanlığının, ilgili birimlerden gerekli gördüğü verileri isteme ve gerçek verilere ulaşma yetkisiyle ilgili olan 7/1 ile 7/2 hükümleridir. Buna göre, “Başkanlık, Kurumun görev alanına giren konularla ilgili sayım ve araştırmalarda, istatistik üretimi için gerekli gördüğü her türlü ortamdaki veri ve bilgiyi, tüm istatistikî birimlerden, Başkanlıkça belirlenen şekil, süre ve standartlarda doğrudan isteme yetkisine sahiptir. Başkanlık, gerektiğinde verilen veri veya bilgilerin doğruluğunu araştırmaya, kontrol etmeye, ilgililerden ek bilgi ve belge istemeye, araştırma ve kontroller sonucu düzenlenecek belgelerle gerçek veri ve bilgiyi belirlemeye yetkilidir”. Bu bağlamda denilebilir ki, kişiler hakkında sıhhatli bilgiye, gerçek veri ve bilgiyi güvence altına alan bu hükmün etkin bir şekilde uygulanmasıyla ulaşılabilecektir.

Ayrıca KVKK m. 19 vd. hükümlerle Kişisel Verileri Koruma Kurumu ihdas edilmiştir. Kişisel Verileri Koruma Kurumu da kişisel verilerin korunmasına ilişkin doğru bir şekilde hareket edildiğini inceleme, denetleme görevini yerine getirmektedir.

E. E-Devlet (Elektronik Devlet)

‘Devletin kısayolu’ olarak bilinen e-devlet (elektronik devlet), vatandaşlara devlet tarafından verilen hizmetlerin elektronik ortamda sunulmasıdır. E-Devlet Hizmetlerinin Yürütülmesine İlişkin Usul ve Esaslar Hakkında Yönetmelik’in[50] 4/1-c hükmüne göre, e-devlet hizmeti, “Hizmet süreçlerinin vatandaş odaklı olarak yeniden yapılandırılmasını da içerecek şekilde, kurumlar arası veri paylaşımı esasına dayalı olarak yürütülmesi için kurumlar tarafından, hızlı, güvenli, etkili, verimli, şeffaf ve hesap verebilir, temel hak ve özgürlüklere riayet edilerek ve mahremiyet gözetilecek şekilde elektronik ortama aktarılan her bir kamu hizmetini” ifade etmektedir.

Ülkemizde 2000’li yıllarda başlayan e-devlet çalışmaları günümüzde yoğun bir şekilde devam etmektedir. Cumhurbaşkanlığı, Adalet Bakanlığı, İçişleri Bakanlığı, Dışişleri Bakanlığı, Sağlık Bakanlığı, üniversiteler ve daha birçok kamu kurum ve kuruluşu e-devlet (www.turkiye.gov.tr) üzerinden çeşitli hizmetler vermektedir.

E-devlet projeleri çerçevesinde, kişisel verilerin çeşitli kurum ve kuruluşlarca işlenmesi ve bu bilgilerin internet ortamında yer alması, veri güvenliğiyle ilgili bazı sorunları da beraberinde getirebilmektedir. Bu sebeple kişisel verilere sadece ilgili kişilerin ulaşabilmesine yönelik, kurum ve kuruluşlar bazı önlemler almaktadırlar. Alınan bu önlemler, ancak bütün kurum ve kuruluşların uyacakları ortak standartlar çerçevesinde gerçekleşebilir. Bu standartları gözeten kurum ve kuruluşların sayısı ülkemizde gün geçtikçe artmaktadır. Bu bağlamda e-devlet üzerinde bulunan ‘e-hizmetler’ kısmındaki hizmet listesinde yer alan çeşitli hizmetleri yöneten kurum ve kuruluşların, kişisel verilerin korunması kapsamında önlemler aldığı gözle görülmektedir. Örneğin, İçişleri Bakanlığının merkez teşkilatında yer alan Emniyet Genel Müdürlüğünün sunduğu ‘tescilli araç sorgulama hizmeti’yle ilgili yeni bir düzenleme mevcuttur. Bu düzenlemeye göre, yalnızca kendi e-devlet sistemini kullanan kişi, bizzat maliki olduğu araç bilgisine dair sorgulama yapabilmektedir. Böylece üçüncü bir kişinin kişisel verisi niteliğinde olan tescilli araç bilgisine yabancı bir kişinin ulaşması engellenmiş ve şahsın kişisel verileri korunmuştur. Oysa önceden e-devlet uygulamasında başkası adına tescilli araç olup olmadığı da öğrenilebilmekteydi.

Ayrıca yine İçişleri Bakanlığının merkez teşkilatında yer alan Nüfus ve Vatandaşlık İşleri Genel Müdürlüğünün sunduğu ‘adres değişikliği bildirimi’ hizmetine tıklandığında da, kişisel bilgileri / verileri koruma altına alan bir uyarı yazısı ile karşılaşılmaktadır. Bu uyarı yazısına göre, kişisel bilgilerimizin güvenliği ve işlemlerimizin hukuken geçerli olabilmesi için bu hizmetten faydalanırken, yüksek güvenlikli kimlik doğrulama yöntemlerinden biriyle (ya mobil imza ya da elektronik imza) sisteme giriş yapılmasını zorunlu kılmaktadır.

Merkezi Nüfus İdare Sistemi (MERNİS) Projesi kapsamında kurulan sistemin içinde hassas / duyarlı (kişisel) veriler dahil olmak üzere, birçok önemli kişisel veri mevcuttur. Buna ilişkin Kimlik Paylaşımı Sistemi Yönetmeliği’nin 8. maddesinde yer alan Kimlik Paylaşım Sistemi’nde bulunan kişi bilgileri, nüfus cüzdan bilgileri, nüfus olay bilgileri, ulusal adres veri tabanında yer alan bilgiler ve istatistik bilgilerinin varlığı dikkat çeker. Bu hükümden de anlaşılacağı üzere, sayılan bilgiler kişilerin özel yaşamına etki eden kişisel verilerdir. Bunların en uygun ve doğru yöntemlerle korunması, bu konuda gerekli tedbirlerin alınması gerekli ve önemlidir.

F. E-İmza (Elektronik İmza)

E-imza (elektronik imza), günlük yaşamdaki fiziki imzanın, sanal ortamda atılabildiği ve bu şekilde çeşitli işlemlerin gerçekleştirilebildiği bir uygulamadır. Bu hizmete dayanak oluşturan Elektronik İmza Kanunu’nun “Bilgilerin korunması” başlıklı 12. maddesinde, kişisel verilerle ilgili düzenlemelere yer verilmiştir. Söz konusu maddede,

“Elektronik sertifika hizmet sağlayıcısı;

a) Elektronik sertifika talep eden kişiden, elektronik sertifika vermek için gerekli bilgiler hariç bilgi talep edemez ve bu bilgileri kişinin rızası dışında elde edemez,

b) Elektronik sertifika sahibinin izni olmaksızın sertifikayı üçüncü kişilerin ulaşabileceği ortamlarda bulunduramaz,

c) Elektronik sertifika talep eden kişinin yazılı rızası olmaksızın üçüncü kişilerin kişisel verileri elde etmesini engeller. Bu bilgileri sertifika sahibinin onayı olmaksızın üçüncü kişilere iletemez ve başka amaçlarla kullanamaz” denilmek suretiyle kişisel verilerin korunması sağlanmaya çalışılmaktadır.

G. Elektronik Haberleşme Hizmeti

Elektronik haberleşme hizmetinin uygulanmasına esas olan ve elektronik haberleşme alanında düzenleme yapabilecek kurumu düzenleyen Elektronik Haberleşme Kanunu’nda kişisel verilerden bahsedilmiş ve bu veriler koruma altına alınmıştır. Kanun’un “Kişisel verilerin işlenmesi ve gizliliğin korunması” başlığını taşıyan 51. maddesinde, Bilgi Teknolojileri ve İletişim Kurumunun elektronik haberleşme alanıyla ilgili kişisel verilerin işlenmesi ve gizliliğin korunmasına yönelik usul ve esasları belirlemeye yetkili olduğu hüküm altına alınmıştır. 51. maddenin 1. ve 2. fıkrasına göre, “(1) Kişisel verilerin işlenmesinde; hukuka ve dürüstlük kurallarına uygun olması, doğru ve gerektiğinde güncel olması, belirli, açık ve meşru amaçlar için işlenmesi, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ile işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi ilkelerine uyulur. (2) Elektronik haberleşmenin ve ilgili trafik verisinin gizliliği esas olup, ilgili mevzuatın ve yargı kararlarının öngördüğü durumlar haricinde, haberleşmeye taraf olanların tamamının rızası olmaksızın haberleşmenin dinlenmesi, kaydedilmesi, saklanması, kesilmesi ve takip edilmesi yasaktır”.

H. Noterlik Hizmeti

Günümüzde bireylerin kişisel verilerinin en çok işleme konu olduğu yerlerden biri de noterliklerdir. Bu bakımdan noterliklerde kaydedilen veya çalışanların meslekleri nedeniyle edindikleri kişisel bilgiler / veriler oldukça fazladır. Bu bağlamda kişilerin noterliklerde yaptıkları işlemler sonucunda kişisel verilerinin rızaları olmaksızın kaydedilmemesi veya yetkisiz kişilerle paylaşılmaması gereklidir. Bununla ilgili de, noterlere ve noterlik çalışanlarına birtakım yükümlülükler yükleyen Noterlik Kanunu mevcuttur. Nitekim Kanun’un 54. maddesine göre, ”Noter ve noterlik katipleri, görevleri dolayısıyla öğrendikleri sırları, kanunların emrettiği haller dışında açıklayamazlar”. Burada ‘sır’ kapsamında kalan bilgi ve belgeler kişisel veri olarak kabul edilmeli ve kişisel verilerin korunması gözetilerek kişisel verilerin kanunların açıkça emrettiği haller dışında açıklanmaması bir yükümlülük olarak görülmelidir.

Ayrıca Noterlik Kanunu’nun “Elektronik işlemler” başlığını taşıyan 198/A hükmünün 4. fıkrasında, “Noterlik işlemlerinin elektronik ortamda yapılması sırasında işlenen kişisel verilerin korunması ve bilgi güvenliğinin sağlanması için gerekli tedbirler alınır” denilmek suretiyle kişisel verilerin korunmasına ayrıca vurgu yapılmıştır.

I. Nüfus Hizmeti

Vatandaşların kişisel verileri sayılan nüfus bilgilerinin korunmasıyla ilgili hükümler içeren Nüfus Hizmetleri Kanunu önemli yükümlülükler içermektedir. Bu Kanun’un “Aile kütüklerinde bulunması gereken kişisel bilgiler” başlıklı 7. maddesine göre, ‘Türkiye Cumhuriyeti kimlik numarası’, ‘isim ve soy isim’, ‘doğum tarihi’, ‘doğum yeri’, ‘ana ve baba adı’, ‘fotoğraf’, ‘yerleşim yeri adresi’, ‘medeni hal’, ‘din’ gibi bireylerle ilgili önemli kişisel veriler aile kütüklerine kaydedilmektedir. İçinde hassas verilerin de bulunduğu böylesine fazla kişisel verinin tutulmasına dayanak olan Kanun’un, bu verileri tutanlara yönelik verilerin gizliliğine ilişkin birtakım yükümlülükler getirmemesi düşünülemezdi. Nitekim Kanun’un “Gizlilik” başlığı taşıyan 9. maddesine göre,

“(1) Nüfus kayıtları ve bu kayıtların tutulmasına dayanak olan belgeler gizlidir. Bunlar, yetkili ve sorumlu memurlar ile teftiş ve denetim yetkisi olanlar dışında kimse tarafından görülüp incelenemez. Mahkemeler bu hükmün dışındadır.

(2) Nüfus kayıtlarına bu bilgileri işleyen memurlar ve Kimlik Paylaşımı Sistemi kapsamında nüfus kayıtlarından faydalanan diğer görevliler de bu gizliliğe uymak zorundadırlar. Bu yükümlülük, kamu görevlilerinin görevlerinden ayrılmalarından sonra da devam eder”.

İ. Sağlık Hizmeti - Hasta Hakları

Sağlık hizmetleri sırasında elde edilen kişisel sağlık verileri, bireyin hastalıklı veya sağlıklı olduğuna ilişkin bilgiler içerebileceği gibi, ölümüne ilişkin bilgiler de içerebilir. İdare, sağlık hizmetlerinin sunumu sırasında kişi hakkında birçok veri / bilgi toplamakta, bu bilgileri değerlendirmekte ve kayıt altına almaktadır. Zira kişiye sağlık tedavisinin başarıyla uygulanabilmesi için bu husus gerekli ve önemlidir.

Kişinin sağlığı hakkındaki veriler hassas kişisel veriler sayıldığından, ileri derece koruma altındadır. Bu sebeple sağlık verilerinin işlenmesine diğer verilere göre daha fazla sınırlama getirilmektedir.

Bireyin kişisel sağlık verilerinin korunmasına ilişkin hak ve taleplerini aynı zamanda hasta haklarının bir parçası olarak saymak mümkündür. Çünkü hasta hakları, “sağlıklı ve hastalıklı olarak sağlık hizmetlerinden yararlanan kişilerin hukuk tarafından korunup talep edilebilen, ihlalleri cezai ve / veya tazmini yaptırıma bağlanan yetki ve iradeler” olarak tanımlanabilir.

Kişinin sağlık verileri Avrupa Birliği uygulamasında hassas veriler içerisinde kabul edilmektedir. Hollanda Kişisel Verilerin Korunması Kanunu’nda, İsveç Kişisel Verilerin Korunması Kanunu’nda, İngiltere Kişisel Verilerin Korunması Kanunu’nda, Yunanistan Kişisel Verilerin Korunması Kanunu’nda ve ülkemizdeki KVKK’nın 6. maddesi kapsamında sağlık verileri hassas / özel nitelikli veriler olarak kabul edilmektedir.

Türkiye’de sağlık alanında kişisel verilerin işlenmesine ve korunmasına ilişkin çeşitli düzenlemeler içeren birçok kanun ve yönetmelik vardır. Ancak bunların içinde sağlık verilerinin gizliliğine ilişkin temel kaynaklar Hasta Hakları Yönetmeliği (HHY) ve Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelik (KSVY) olarak görülebilir. Ancak Danıştay 15. Dairesinin 06.07.2017 tarihli ve 2016/10500 esas sayılı kararıyla KSVY’nin yürütmesinin durdurulmasına karar verilmiştir.

Hasta hakları, HHY’nin 1. maddesinde de belirtildiği üzere, “temel insan haklarının sağlık hizmetleri sahasındaki yansıması”dır. Hastalara ilişkin sağlık bilgilerinin saklanmasına ve işlenmesine olanak veren en önemli düzenlemelerden biri de, “Herkesin sağlık durumunun takip edilebilmesi ve sağlık hizmetlerinin daha etkin ve hızlı şekilde yürütülmesi maksadıyla, Sağlık Bakanlığı ve bağlı kuruluşlarınca gerekli kayıt ve bildirim sisteminin kurulacağı”nı öngören Sağlık Hizmetleri Temel Kanunu’nun 3/1-f hükmüdür. Teknolojinin oldukça ilerlemeler kaydettiği günümüzde, hastaların sağlık durumlarına ilişkin kişisel verilerin bilgisayar ortamında ve hekimlerin kolayca erişebilecekleri bir sistemde tutulması normal görülebilir. Ancak kişisel verilerin böyle ortamlarda tutulması, hekimlerin bunlara daha rahat ulaşabilmelerini sağlasa da, dışarıdan yapılabilecek müdahalelere karşı bu veriler savunmasız hale gelebilecektir. Bu sebeple Kanun’un söz konusu 3/1-f hükmü gibi sağlık alanındaki verilerin saklanması için dayanak oluşturan maddelere ek olarak, bu verilerin korunmasına ilişkin hükümler de getirilmiştir.

HHY’nin 5. maddesinde, kişisel verilerin korunmasının temel ilkeleri belirlenmiştir. Söz konusu ilkelerin yer aldığı 5. maddenin d, e, f bentlerinde şöyle denilmektedir:

“d) Tıbbi zorunluluklar ve kanunlarda yazılı haller dışında, rızası olmaksızın kişinin vücut bütünlüğüne ve diğer kişilik haklarına dokunulamaz.

e) Kişi, rızası ve Bakanlığın izni olmaksızın tıbbi araştırmalara tabi tutulamaz.

f) Kanun ile müsaade edilen haller ile tıbbi zorunluluklar dışında, hastanın özel hayatının ve aile hayatının gizliliğine dokunulamaz”.

KSVY’nin 7. maddesinin 1. fıkrasında, kişisel sağlık verileri işlenen kişinin belli durumlarda açık rızasının aranmadığı hüküm altına alınmış; ancak aynı maddenin 2. fıkrasında ise, 7/1 dışında kalan durumlarda ilgilinin açık rızasının alınması düzenlenmiştir. Maddenin 3. fıkrasında ise, kişisel sağlık verilerinin işlenmesi veya aktarılmasına yönelik rızanın, hukuki bir düzenleme veya yargı kararı bulunmaması halinde geri alınabileceği düzenlenmiştir.

Bunun yanı sıra, HHY’nin 16. maddesinde, hastalara sağlık durumuyla ilgili bilgiler bulunan dosyayı ve kayıtları, doğrudan veya vekili veya kanuni temsilcisi vasıtasıyla inceleme ve bir suretini alma hakkı getirmiş olup, bu kayıtların sadece hastanın tedavisiyle doğrudan ilgili olanlar tarafından görülebileceği belirtilmiştir.

Hasta mahremiyetinin korunmasına ilişkin hüküm ise, HHY’nin “Mahremiyete Saygı Gösterilmesi” başlıklı 21. maddesindedir. Maddede, hastanın mahremiyetine saygı gösterilmesinin esas olduğu, hastanın mahremiyetinin korunmasını açıkça talep edebileceği, her türlü tıbbi müdahalenin, hastanın mahremiyetine saygı göstermek suretiyle yapılabileceği ifade edilmiştir. AİHM, 1997 yılında verdiği Z. / Finlandiya kararında, kişisel sağlık verilerinin gizliliğine saygı gösterilmesinin, AİHS’e taraf olan sözleşmeci devletlerin yasal sistemlerinin temel prensibi olduğunu vurgulamıştır[63].AİHM, 2009 yılında verdiği Szuluk / Birleşik Krallık kararında da görüşünü tekrarlamıştır[64]. Hasta kayıtlarının tutulması ve muhafazası şeklindeki sağlık hizmetine ilişkin bir kararda Danıştay, “… sağlık hizmetlerinden yararlananlarla ilgili kayıtların eksikliği, yapılan tedavilerin kayıt altına alınamaması, tetkik ve inceleme sonuçlarının muhafaza edilmemesini hizmetin kusurlu iletildiğinin kabulü için yeterli olduğunu …” kabul etmiştir[65]. Zira Danıştay’a göre, “… hastanın sağlık kayıtlarının korunmaması, tıbbi müdahalenin irdelenme imkanını ortadan kaldırmaktadır. …"[66].

Öte yandan KSVY’de, hastanın mahremiyetinin kişisel sağlık verileri bağlamında korunmasını düzenleyen 6. maddenin 1. fıkrasında, “Veri işleyen; kişisel sağlık verilerinin hukuka aykırı olarak işlenmesini önlemek, kişisel sağlık verilerine hukuka aykırı olarak erişilmesini önlemek, kişisel sağlık verilerinin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri almak, aldığı bu tedbirlerin veri sorumlusu tarafından denetlenmesine izin vermek zorundadır. Veri işleyen, bu görevinin gereği olarak öğrendiği kişisel verileri Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamaz. Bu yükümlülük görevden ayrılmalarından sonra da devam eder” denilmek suretiyle verilerin mahremiyetinin korunması hüküm altına alınmıştır.

Ayrıca HHY’de hastaya ilişkin olarak “Bilgilerin Gizli Tutulması” başlıklı 23. madde mevcuttur. Buna göre,

“(1) Sağlık hizmetinin verilmesi sebebiyle edinilen bilgiler, kanun ile müsaade edilen haller dışında, hiçbir şekilde açıklanamaz.

(2) Kişinin rızasına dayansa bile, kişilik haklarından bütünüyle vazgeçilmesi, bu hakların başkalarına devri veya aşırı şekilde sınırlanması neticesini doğuran hallerde bilginin açıklanması, bunları açıklayanın hukuki sorumluluğunu kaldırmaz.

(3) Hukuki ve ahlaki yönden geçerli ve haklı bir sebebe dayanmaksızın hastaya zarar verme ihtimali bulunan bilginin ifşa edilmesi, personelin ve diğer kimselerin hukuki ve cezai sorumluluğunu da gerektirir.

(4) Araştırma ve eğitim amacı ile yapılan faaliyetlerde de hastanın kimlik bilgileri, rızası olmaksızın açıklanamaz”.

KVKK yürürlüğe girmeden evvel öğretide, hasta haklarına ilişkin kuralların bir yönetmelikle düzenlenmiş olmasının zaman içinde kişisel verilerin korunması kanununa olan ihtiyacı daha fazla artıracağı dile getirilmiştir. Bu bakımdan KVKK’nın yürürlüğe girmesinin, kişisel verilerin ve kişisel sağlık verilerinin etkin bir şekilde korunmasını sağlayacak bir mekanizma oluşturduğu, hastalara güvence sağladığı ve temel ilkeleri / kuralları / kurumları belirleyen böylesi bir Kanun’un kabul edilmesinin hassas ve önemli olan hasta hakları konusunda oluşabilecek boşlukları kayda değer ölçüde giderdiği söylenebilir. Bu açıdan bakıldığında, KVKK’nın yürürlüğe girmesi gecikmiştir; ancak er ya da geç yürürlüğe girmesi, hasta haklarının korunması konusunda olumlu bir adım olarak görülmelidir.

J. Bilgi Edinme Hakkı

Kişisel veri alanı, bilgi edinme hakkıyla yakından ilgilidir. Bu ilgi, birbiriyle ters orantılı iki başlık altında açıklanabilir:

1) Kişisel veriler, bilgi edinme hakkı çerçevesinde erişilebilecek bir kategoridir.

2) Kişisel veriler, bilgi edinme hakkına sınır getiren özel yaşamın gizliliği kapsamında yer almaktadır. Yani her iki kavram bazen birbirini tamamlarken, bazen de biri diğerinin sınırını oluşturmaktadır[69]. Her iki kavram, birbiriyle böylesine bağlantılı olduğu için birçok ülkede bu kavramları düzenleyen kişisel verilerin korunması kanunu ile bilgi edinme hakkı kanunu eş zamanlı olarak yürürlüğe girmiştir; ancak Türkiye’de süreç bu şekilde işlememiştir. Zira ülkemizde Bilgi Edinme Hakkı Kanunu 24.10.2003 tarihinde yürürlüğe girmişken, Kişisel Verilerin Korunması Kanunu ise bundan yıllar sonra, 07.04.2016 tarihinde yürürlüğe girmiştir.

Bilgi edinme hakkının öznesi bireydir. Birey, bu hakkını kullanarak kamu gücü karşısındaki ‘edilgen’ yapısından kurtulup, ‘etken’, ‘soran’, ‘sorgulayabilen’, ‘soruşturabilen’ bir varlık haline gelmekte ve bireyin bu hali hukuk düzeni içinde daha güçlü konuma gelmesini sağlamaktadır. Bu açıdan bakıldığında Bilgi Edinme Hakkı Kanunu, bireye idarenin elinde bulunan kişisel verilerini öğrenme hakkı vermektedir. Bu anlamda bilgi edinme hakkının bir yönüyle kişisel verilerin korunmasının temel ilkelerinden bilgilere erişim hakkını sağladığı söylenmelidir.

Bilgi edime hakkı ile kişisel verilerin korunmasının kaynağını bulduğu özel yaşamın gizliliği arasındaki ilişki ise, AİHM kararlarında ortaya koyulmuştur. AİHM ilk kez Gaskin / Birleşik Krallık kararında bilgilere erişim hakkının AİHS’in özel yaşamın gizliliğinin düzenlendiği 8. maddesi kapsamında değerlendirilebileceğine hükmetmiştir. Bu yaklaşım, AİHM’nin Guerra ve diğerleri / İtalya, Rotaru / Romanya, Amann / İsviçre, Mcginley ve Egan / Birleşik Krallık kararlarında da tekrarlanmış ve devlet tarafından tutulan kişisel verilere erişim talepleri 8. madde kapsamında değerlendirilmiştir[73].

SONUÇ

İdare, bir faaliyet yürütürken veya bir hizmet sunduğu / gördüğü sırada bireylerin kişisel verilerine yönelik işlemler gerçekleştirebilmektedir. Nitekim idare bireylerin kişisel verilerini toplayabilmekte, işleyebilmekte ve daha birçok işleme tabi tutabilmektedir. Ancak idare bunu yaparken, kişisel verileri amacına uygun bir şekilde ve eğer istisnaları yoksa ilgili kişinin açık rızasına dayanarak yapmalıdır. Aksi durumda hak ihlallerinin ortaya çıkması kaçınılmaz olacaktır.

Ayrıca idare, elinde bulundurduğu kişisel verilerin ait olduğu ilgilileri de bu konuda aydınlatmalı ve söz konusu verilerin toplanması, işlenmesi amacı ortadan kalkmışsa artık ilgili kişilerin verilerini elinde tutmamalıdır. Zira bu, temel hak ve özgürlükler bağlamında, özel hayatın gizliliği anlamında bir gerekliliktir.

.

Kadir Can ÖZEL

Öğretim Elemanı

.

KAYNAKÇA

AKDAĞ, Hale, “Türk Ceza Hukukunda Kişisel Verilerin Korunması İlkeleri”, Prof. Dr. Nevzat Toroslu’ya Armağan, Cilt: 1, Ankara Üniversitesi Yayınları, Ankara, 2015, s. 27-48.

AKGÜL, Aydın, “Avrupa İnsan Hakları Mahkemesi Kararlarında Kişisel Verilerin Korunması Hakkı”, Terazi Dergisi, Yıl: 2014, Cilt: 9, Sayı: 92, s. 72-81.

AKGÜL, Aydın, “Danıştay Kararları Işığında Kişisel Sağlık Verilerinin Korunması”, Danıştay Dergisi, Yıl: 2013, Sayı: 133, s. 21-45.

AKGÜL, Aydın, Danıştay ve Avrupa İnsan Hakları Mahkemesi Kararları Işığında Kişisel Verilerin Korunması (Personal Data Protection), Beta Yayınları, İstanbul, 2014.