Anasayfa/ Makale/ KVKK: Tarihsel Gelişimi, Ulusal Mevzuat ve...

Makale

Kişisel verilerin korunması, tarihsel süreçte büyük acıların tecrübesiyle şekillenmiş ve ulusal mevzuatlarla yasal zemine kavuşmuştur. Bu makalede, veri koruma hukukunun tarihsel gelişimi, Türk hukukundaki anayasal ve yasal mevzuat altyapısı ile veri işlemeye yön veren evrensel temel ilkeler uzman bir hukuki perspektifle incelenmektedir.

KVKK: Tarihsel Gelişimi, Ulusal Mevzuat ve Temel İlkeler

KVKK GDPR (GENEL VERİ KORUMA TÜZÜĞÜ) HUKUKA AYKIRILIK AÇIK RIZA

Kişisel verilerin korunması hakkı, günümüzde teknolojinin hızla ilerlemesi ve dijitalleşmenin hayatımızın merkezine yerleşmesiyle birlikte hukuk dünyasının en dinamik alanlarından biri haline gelmiştir. Esasında bu hak, bir gecede ortaya çıkmamış; bilakis insanlık tarihinin yakın geçmişte yaşadığı ağır ihlallerin bir neticesi olarak doğmuştur. Hukuk uygulamaları bağlamında değerlendirildiğinde, veri güvenliğinin sağlanması ve bireylerin mahremiyetinin tesisi, sadece bir yasal zorunluluk değil, aynı zamanda temel bir insan hakkı olarak karşımıza çıkmaktadır. Ülkemizde 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ile somutlaşan bu hak, uluslararası normlar ve evrensel ilkeler ışığında şekillenmiştir. Bir avukat olarak müvekkillerimize verdiğimiz danışmanlık hizmetlerinde, veri koruma mevzuatının yalnızca kanun metninden ibaret olmadığını, köklü bir tarihsel arka plana ve katı temel ilkelere dayandığını sıklıkla vurgularız. Bu rehber yazımızda, söz konusu köklü tarihsel süreci, mevzuatımızın gelişimini ve her türlü veri işleme faaliyetinin temelini oluşturan ilkeleri detaylıca ele alacağız.

Kişisel Verilerin Korunması Hukukunun Tarihsel Gelişimi

Hukuk disiplininde kişisel verilerin korunması alanındaki ilk akademik çalışmalar 1880'li yıllara kadar uzansa da somut hukuki adımların atılması İkinci Dünya Savaşı sonrasına rastlamaktadır. Özellikle Nazi Almanya'sında insanların inançları, ırkları ve sağlık durumları gibi nedenlerle fişlenmesi ve bu verilerin kitlesel imha amacıyla kullanılması, Avrupa'da büyük bir travma yaratmıştır. Yaşanan bu ağır insan hakları ihlallerinin tekrarlanmaması amacıyla ilk yasal düzenleme 1970 yılında Almanya'nın Hessen Eyaleti Veri Koruma Kanunu olarak karşımıza çıkmaktadır. Akabinde 1973 yılında İsveç Veri Kanunu ile ulusal çapta ilk düzenleme yürürlüğe girmiş, böylece veri koruma rejimi bölgesel bir farkındalıktan ulusal bir hukuk kuralına dönüşmeye başlamıştır. Hukuk büroları olarak şirket uyum süreçlerini yönetirken, bu kuralların temelinde böylesine derin bir insan hakları mücadelesi yattığını bilmek, mevzuatın lafzını ve ruhunu kavramak açısından kritik öneme sahiptir.

Tarihsel süreç uluslararası arenaya taşındığında, 1980 yılında yayımlanan OECD Rehber İlkeleri karşımıza çıkar. Ancak hukuki bağlayıcılığı olan ilk ve en önemli uluslararası metin, 1981 yılında imzalanan 108 sayılı Sözleşme'dir. Türkiye'nin de ilk imzacılarından olduğu bu sözleşme, Avrupa Konseyi tarafından hazırlanmış olup günümüz modern veri koruma hukukunun temel taşı niteliğindedir. Sonraki yıllarda Avrupa Birliği nezdinde 1995 tarihli 95/46/AT sayılı Direktif ve nihayetinde bugün tüm dünyada altın standart kabul edilen 2016 tarihli Genel Veri Koruma Tüzüğü (GDPR) yürürlüğe girmiştir. Teknolojinin sınır tanımaz yapısı karşısında, hukukun bireyi koruma refleksi sürekli olarak evrim geçirmiş ve Avrupa Birliği standartları dünya genelinde bir model haline gelmiştir. Özellikle sınır aşan veri aktarımlarında bu tarihsel arka plan, uygulayıcılar için yol gösterici bir fener işlevi görmektedir.

Türk Hukukunda KVKK ve İlgili Mevzuat Altyapısı

Türk hukuk sisteminde kişisel verilerin korunması, köklü bir geçmişe dayanmakla birlikte, müstakil ve sistematik bir yapıya kavuşması nispeten yakın bir tarihte gerçekleşmiştir. Ülkemizdeki en büyük hukuki dönüm noktası, 2010 yılında gerçekleştirilen Anayasa değişikliğidir. Bu değişiklikle birlikte 1982 Anayasası'nın 20. maddesine eklenen fıkra sayesinde, kişisel verilerin korunmasını isteme hakkı bağımsız bir anayasal temel hak statüsü kazanmıştır. Anayasal temelin atılmasının ardından, uzun süren bekleyiş sona ermiş ve 7 Nisan 2016 tarihinde 6698 sayılı Kişisel Verilerin Korunması Kanunu yayımlanarak yürürlüğe girmiştir. Bu kanun, genel çerçeveyi çizerken, normlar hiyerarşisinde Türk Ceza Kanunu (TCK m. 135-140) kapsamındaki bilişim ve özel hayat suçları ile Türk Medeni Kanunu'nun kişilik haklarını koruyan hükümleri bu yapıyı destekleyen en önemli diğer hukuki dayanaklardır. Veri ihlallerinde müvekkillerimizin sadece idari para cezalarıyla değil, aynı zamanda ciddi cezai yaptırımlarla karşılaştığını hukuki pratikte sıkça gözlemlemekteyiz.

Kişisel Verilerin İşlenmesine Hakim Olan Temel İlkeler

6698 sayılı Kanun'un kalbini oluşturan dördüncü madde, veri işleme faaliyetlerinin anayasası niteliğindedir. Bir şirketin veya kurumun aldığı açık rıza ne kadar geniş olursa olsun, işleme faaliyeti kanunda belirtilen temel ilkelere aykırı ise hukuka aykırılık kaçınılmazdır. Hukuk pratiğinde, idari yaptırımların iptali davalarında veya kurul savunmalarında en çok başvurduğumuz hukuki dayanaklar bu kanuni ilkelerdir. İlgili evrensel kurallar, veri yaşam döngüsüne şeffaf bir şekilde rehberlik etmektedir. Bu kapsamda uyulması zorunlu olan ilkeler şunlardır:

  • Hukuka ve dürüstlük kurallarına uygun olma: Veri işlemenin mevzuata, genel hukuk kurallarına ve makul beklentilere uygun, şeffaf yapılmasıdır.
  • Doğru ve gerektiğinde güncel olma: Verilerin gerçek durumu yansıtması ve zarar doğuracak yanlışlıklardan arındırılması yükümlülüğüdür.
  • Belirli, açık ve meşru amaçlar için işlenme: İleride lazım olur mantığının reddedilerek hukuki amacın kesin belirlenmesidir.
  • İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma: Hukuki adıyla veri minimizasyonu olup asgari düzeyde işlemeyi emreder.
  • Gerekli olan süre kadar muhafaza edilme: Kanuni saklama süresinin sona ermesiyle verilerin silinmesi veya imha edilmesidir.

Özellikle veri minimizasyonu ilkesi ile hukuka ve dürüstlük kurallarına uygunluk, kurumsal uyum projelerinin en zorlu aşamalarını oluşturmaktadır. Uygulamada, işverenlerin personellerinden veya şirketlerin müşterilerinden gereğinden fazla veri talep etmesi, ihlal sayılarak ağır idari yaptırımlara konu edilmektedir. Bir hukuki danışman olarak her zaman ifade ettiğimiz gibi, verilerin korunması sadece evrak üzerinde alınan onaylarla değil; süreçlerin bu genel ilkeler ışığında baştan sona yeniden tasarlanmasıyla mümkündür. İlgili ilkeler, hukukun üstünlüğünün siber uzaydaki yansıması olup, şirketlerin itibarını koruyan en temel güvence mekanizmalarıdır. İşletmelerin, kişisel verilerin bir metadan ziyade kişilik hakkının ayrılmaz bir parçası olduğunu özümsemesi ve veri haritalarını bu filtreden geçirmesi hukuki bir zorunluluktur.

5 dk okuma Yayınlanma: Güncelleme: