Ünite 2: Bilişim, İnsan Hakları ve Kişisel Verilerin Korunması

Bilişim Teknolojileri ve İnsan Hakları

Bilişim ile doğrudan ilgili ilk hukuksal düzenleme 1970 yılında Almanya’nın Hessen eyaletinde kişisel verilerin korunmasına ilişkin olarak gerçekleştirilmiştir. Kişisel verilerin korunması hakkı, teknolojinin sağladığı olanakları güçlendirmek ile değil, yarattığı yan etkiler ile ilişkilidir. Bilişim ile insan hakları arasında dengenin kurulması açısından da kırk yıldan uzun bir süre içerisinde gelişen, çeşitlenen, yaygınlaşan hukuksal düzenlemelerden ulusal ve uluslararası düzeyde çok çeşitli örnekler sunmaktadır.

Kişisel Veri ve Kişisel Verilerin İşlenmesi

Kişisel verilerin korunması, veri işleme teknolojileri ile temel hak ve özgürlükler arasında denge kurmayı hedefler. Bu denge veri işlemenin meşru temellerinin ve uyulması gereken ilkelerin hukuksal güvence altına alınmasını gerektirir.

Kişisel verilerin korunması hakkı, bilişim teknolojilerindeki gelişmeler ile ortaya çıkan bir insan hakkıdır. Bu yeni ve önemi her geçen gün artan hak alanının tanımlanmasında “veri” (data) kavramının kullanılmasının nedeni de budur. Ancak “kişisel veri” kavramının doğrudan kişi ile ilgili olduğu unutulmamalıdır.

Kişisel veri, en genel tanımıyla, belirli ya da belirlenebilir bir kişiye ilişkin her türlü bilgidir. O halde kişisel veriden söz edebilmek için, verinin (i) bir kişiye ilişkin ve (ii) bu kişinin de belirli ya da belirlenebilir nitelikte olması gerekir. Bu tanımda “her türlü” bilgi ifadesinin kullanılması oldukça geniş bir alanın hedeflendiğinin işaretidir. Burada bilginin türüne ilişkin herhangi bir ayrım yapılmamaktadır. Sayı, yazı, ses ya da görüntüden oluşan bir bilgi bu kapsamda yer alabilir.

Unutulmamalıdır ki kişiyi doğrudan ya da dolaylı olarak belirlenebilir kılan bütün bilgiler kişisel veridir. Bir kişinin adresi, telefon numarası, pasaport numarası, resmi, ses kaydı, genetik bilgileri, cinsel tercihleri, dini inançları, sabıka kaydı, hobileri, ziyaret ettiği İnternet siteleri gibi bilgiler bu kapsamda değerlendirilecektir. Dolayısıyla bu kapsamdaki bilgiler, kişisel verilerin korunmasında hâkim olan temel ilkelere göre işlenmelidir.

Bu noktada kısaca kişisel verilerin işlenmesi kavramını da açıklamak gerekir. Yukarıdaki tanıma uygun olan bir bilgi ya da bilgi kümesi, yani kişisel verilerin, üzerinde gerçekleştirilen her türlü işlem bu kapsamdadır.

Dikkat çekmek gerekir ki verilerin işlenmesi ile kastedilen yalnızca bu bilgilerin kayıt edilmesi ya da kullanılması değildir. Kişisel verileri değiştirme, silme, yok etme gibi işlemlerin de veri koruma hukuku açısından “işleme” olarak nitelendirilen etkinliğin kapsamında olduğuna şüphe yoktur.

Kişisel Verilerin Korunmasının Önemi

Kişisel verilerin korunması hukukunun ortaya çıkışında temelde üç etkenin bulunduğu söylenebilir: çeşitli örgütlerce kişisel verilere duyulan gereksinim, teknolojideki gelişmeler, gözetim teknolojilerindeki gelişmeler nedeniyle duyulan kaygı.

Kişisel verilerin korunması, bireyleri, kendilerine ilişkin bilgilerin bilişim teknolojileri ya da dosyalama gibi geleneksel yöntemlerle işlenmesinden doğacak zararlardan koruma amacına yönelmiş ve bazı temel ilkelerde somutlaşmış bir dizi önlemi ifade eder.

Özellikle son on yılda iş yaşamımızın, alışveriş yapma şeklimizin, bankacılık faaliyetlerimizin ve sosyal ilişkilerimizin teknolojinin sunduğu yeni olanaklarla dönüşüme uğradığına tanık olmaktayız. Bunu görebilmek için cüzdanlarımızdaki onlarca indirim ve kredi kartına, e- postalarımızı ve cep telefonlarımızın mesaj kutularını dolduran reklamlara, her gün biraz daha sıklıkla karşılaştığımız el izi, parmak izi, retina tarayan sistemlere ya da yalnızca en yakın mesai arkadaşımıza, yani bilgisayar(lar)ımıza bakmamız yeterlidir. Bu araçların tamamı kişisel verileri içermekte ve yeni veri işleme alanları yaratmaktadır. Bunun yanında ilk aşamada dikkatimizi çekmeyen başka bazı araçların da izlenmemize hizmet edebileceğini unutmamalıyız. Bunun en açık örneğini son dönemlerde hızla yaygınlaşan RFID oluşturur. İngilizce bir deyim olan “Radio Frequency Identification”ın kısaltması olarak kullanılan RFID’nin tam Türkçe karşılığı: Radyo Frekanslı Tanımlamadır. Bu aracın kullanımı her geçen gün yaygınlaşmaktadır. Giysilerin etiketlerinin içine ya da kartlara yerleştirilmiş olan bu yongalar şu an belki bizlerin sürekli izlenmesine hizmet etmiyor, ancak bu teknolojinin hızla yaygınlaştığı, geliştiği ve ucuzladığını düşünüldüğünde yakın zamanda bu ve benzeri teknolojiler ile ilgili daha fazla sorunla karşılaşabileceğimiz ortadadır. Bu örnek, izlemenin görünür araçlar yanında, saptamamızın daha zor olduğu araçlarla da yapılabileceğini ortaya koymaktadır.

Kişisel Verilerin Korunması Hakkı

Kişisel verilerin korunması, kendisinden daha köklü bir tarihe sahip başka hak alanları ile yakından ilişkilidir. Bunların başında özel yaşamın gizliliği hakkı gelir. Ayrıca, kişisel verilerin korunması; düşünceyi açıklama özgürlüğü, bilgi edinme hakkı, haberleşme özgürlüğü gibi başka bazı değerlerle de kimi zaman karşılıklı destekleme, kimi zaman çatışma halindedir.

İnsan Onuru, Bireysel Özerklik ve Bilgilerin Geleceğini Belirleme Hakkı

Bilişim teknolojilerinin ortaya çıkardığı tehlikeler karşısında kişiliğin korunması ise özel bir önem kazanmaktadır. Mahkemeye göre kendisine ilişkin bilgilere hangi kapsamda ve kimler tarafından erişildiğini öğrenebilme olanağına sahip olmayan bir kişi, bireysel özerkliğin gereklerini yerine getiremeyebilir.

Özel Yaşamın Gizliliği Hakkı

Avrupa Birliği Temel Haklar Şartı’nda özel yaşamın gizliliği ile kişisel verilerin korunması farklı maddelerde ayrı ayrı hüküm altına alınmıştır. Nitekim Şartın 8. maddesi “Kişisel verilerin korunması” kenar başlığı ile şu düzenlemeyi içermektedir:

“(1) Herkes, kendisini ilgilendiren kişisel verilerinin korunması hakkına sahiptir. (2) Bu veriler, adil bir şekilde, belirli amaçlar için ve ilgili kişinin rızasına veya yasa ile öngörülmüş diğer meşru bir temele dayanarak tutulur. Herkes, kendisi hakkında toplanmış verilere erişme ve düzelttirme hakkına sahiptir. (3) Bu kurallara uyulması, bağımsız bir makam tarafından denetlenir”.

Özel yaşam, tanınması kolay, tanımlanması güç bir olgudur (Cavoukian, Tapscott, 1997). Bu güçlüğü aşabilmek için, bireyin çevresi ile ilişkileri iç içe geçmiş alanlara, çemberlere benzetilmiş ve bu şekilde özel yaşamın sınırlarını belirlemeye çalışılmıştır. Bu çemberler ortak özellikleri bakımından üç grupta toplanabilir. “Genel yaşam alanı” olarak adlandırılabilecek dış çember, kişinin herkesle paylaşabileceği, kamuya açık yaşam alanlarını içerir. İkinci olarak “kişinin özel yaşam alanı”, belirli kimselerle ve belirli ölçüde paylaştığı yaşam parçalarını kapsar. En içte kalan “sır alanı” ise kişinin yalnızca kendine saklamak istediği alanı oluşturur ve özel yaşam içinde değerlendirilir.

Özel yaşamın gizliliğine duyulan gereksinim, yalnızca kişilerin gizlemek isteyebilecekleri ya da onları utandırabilecek bilgiler çerçevesinde de düşünülmemelidir. Bireylerin, özel olarak utanç duymalarını ya da gizlemelerini gerektirmeyecek durumlarda, bunlar yalnızca “başkalarını ilgilendirmediği” için kişilerin özel yaşamlarını gizli tutma hakları bulunmaktadır.

Düşünceyi Açıklama Özgürlüğü

Bu noktada özellikle üzerinde durulması gereken ilk temel hak, düşünceyi açıklama özgürlüğüdür. Düşünceyi açıklama özgürlüğü, “insanın serbestçe düşünce ve bilgilere ulaşabilmesi, edindiği düşünce ve kanaatlerden dolayı kınanması ve bunları tek başına ya da başkalarıyla birlikte (dernek, toplantı, sendika vb.) çeşitli yollarla (söz, basın, sinema, tiyatro vb.) serbestçe açıklayabilmesi, savu- nabilmesi, başkalarına aktarabilmesi ve yayabilmesi anlamına gelir”. Düşünceyi açıklama özgürlüğü, bu kapsamda özgürce yayın yapan kitle iletişim araçları olmadan açık ve aydınlanmış bir toplumdan söz edilemez. Ancak Immanuel Kant’ın da belirttiği gibi, sorumlulukla özgürlüğü birbirine bağlamak gerekir. Bu nedenle düşünceyi açıklama özgürlüğünün belirli sınırları olduğu kabul edilmektedir. Bu sınırlardan biri de kişisel verilerin korunması hakkının da temel dayanaklarından olan kişiliğin geliştirilmesine ilişkin ilkelerdir. Nitekim düşünceyi açıklama özgürlüğü, demokratik bir toplumun eksen özelliklerinden biri olsa da, bu özgürlük, “Bireylerin öğrenmek istedikleri her şeyi bilme hakkı olduğu anlamında yorumlanamaz.”

Verilerin korunması hakkı ile düşünceyi açıklama özgürlüğü arasında kaçınılmaz bir gerilim bulunsa da her iki hakkın bir arada gerçekleşmeyeceğine dair herhangi bir neden bulunmamaktadır. Şöyle söylenebilir; veri koruma ve düşünceyi açıklama özgürlüğü arasında temel bir çatışma yoktur, ancak her iki hakkın da diğeri karşısında dengelenmesi gerekir.

Hem düşünceyi açıklama özgürlüğü, hem de özel yaşamın gizliliği hakkı ekseninde tartışılan anonimlik genel olarak, bir kişi ya da grubun görüş ve düşüncelerini kimliğini ortaya çıkarmadan açıklaması ve yayması olarak tanımlanabilir. İhbarcılar, muhalifler, utangaç kişiler, görüşlerini açıklamalarının kendilerini olumsuz bir şekilde etkileyeceğini düşünenler, kişisel verilerinin toplanmamasını ve hareketlerinin izlenmesini istemeyenler için anonimlik oldukça yararlıdır. Anonimlik hakkı, özellikle İnternet kullanımının yaygınlaşmasıyla güncellik kazanmış ve tartışılmaya başlanmıştır. Özellikle yeni yeni yaygınlaşmaya başladığı dönemde İnternet ortamında kişilerin kimliklerini gizleyebilmelerinin kolaylığı dolayısıyla görüşlerini ortaya koymada daha özgürce hareket edebilecekleri dile getirilmiştir. Binlerce insan, İnternet’te kendi özel yaşamlarına ilişkin yalnızca kim oldukları bilinmediği takdirde söyleyebilecekleri şeyleri açıklamaktadır.

Özel Haberleşmenin Gizliliği

Özel haberleşmenin gizliliği ile kişilerin telefon, telgraf, mektup, elektronik posta gibi araçlarla gerçekleştirdikleri özel iletişiminin gizliliğini ve güvenilirliğini korumak hedeflenmektedir. Özel haberleşmenin gizliliğinde ilke, bireyin dilediği kişilerle dilediği şekilde haberleşmesinin engellenmemesi ve bu haberleşmelerin ilgilinin onayı ya da yasal gereklilikler olmaksızın üçüncü kişilerin müdahalesinden korunmasıdır.

Diğer Bazı Hak ve Özgürlükler

Özellikle, “hassas kişisel veriler” olarak adlandırılan ve özel koruma gerektiren bazı veri türlerinin, kökenleri oldukça eskiye dayanan bazı ilkelerle korunduğu görülmektedir. Hassas kişisel verilerin özel olarak korunmasında hareket noktası, bu verilerin hukuka aykırı ve keyfi bir şekilde toplanmasının, saklanmasının, işlenmesinin ve yayılmasının doğurabileceği zararın daha büyük olduğu düşüncesidir. Bu noktada ilk akla gelen “ayrımcılık yasağı” dır. Kişilerin ırkları, etnik kökenleri, cinsel tercihleri dolayısıyla bu kimselere ayrımcılık yapılamayacağı ilkesi, insan haklarının eksen kavramlarından “eşitlik” in bir gereğidir. Bu ilke, pek çok devlette anayasal düzeyde korunmaktadır.

Din ve inanç özgürlüğünün kapsamında dinini açıklamaya zorlamama da yer alır. Gerçekten kimsenin dini inanç ve kanaatlerini açıklamaya zorlanamayacağı konuya ilişkin pek çok metinde de belirtilmiştir. Böylece inanç ve kanaate öğrenme biçiminde bile olsa müdahale edilemeyeceği saptanmıştır (Kaboğlu, 2002). Bu bağlamda din ve inanç özgürlüğü ile kişisel verilerin korunması hakkının birbirinin desteklediği söylenebilir.

Kişisel Verilerin Korunmasında Hâkim Olan Temel İlkeler

Kişisel Verilerin Niteliğine İlişkin İlkeler

“Verilerin kaliteli olması ilkesi” olarak da ifade edilebilecek bu gerekliliğin içeriği beş alt başlıktan oluşur:

  • Hukuka ve dürüstlük kurallarına uygun işleme
  • Belirli, açık ve meşru amaçlar için toplanma
  • Toplanma ve sonrasında işlenme amaçlarına uygun, ilgili olma, aşırı olmama
  • Doğru ve eğer gerekli ise güncel olarak tutulma
  • Amacın gerektirdiğinden daha uzun süre tutulmama

İlgili Kişinin Katılımı ve Denetimine Yönelik İlkeler

Bu kapsamda kişiye bazı haklar tanındığı, veri işleyenlere ise yükümlülük yüklendiği görülür. Bu hak ve yükümlülüklere örnek olarak şunlar verilebilir:

  • İlgilinin bilgilendirilmesi
  • İlgilinin kendisine ilişkin bilgilere erişim hakkı
  • İlgilinin kendisine ilişkin bilgileri düzeltme hakkı
  • İlgilinin veri işlemeye itiraz hakkı
  • İlgilinin otomatik kararların konusu olmama hakkı

Özel Kategorideki Verilerin Nitelikli Korunması

Bu kategoride yer alan veri türleri bazı farklılıklar gösterse de genel olarak ilgili kişinin,

  • Irksal veya etnik kökenine,
  • Siyasal görüşüne,
  • Dinsel ya da felsefi inancına,
  • Sendika üyeliğine,
  • Sağlık ya da cinsel yaşamına ilişkin bilgiler

Bu kategoride sayılmaktadır. Bu bilgilerin işlenmesi kural olarak yasaktır, ancak bazı sınırlı durumlarda ve veri koruma ilkelerini güçlü bir biçimde uygulayarak işlenmeleri olanaklıdır.

Veri Güvenliğinin Sağlanması

Veri güvenliği ilkesi çerçevesinde kişisel verilerin;

  • Kazara veya hukuka aykırı tahribine,
  • Kaybolmasına,
  • Değiştirilmesine,
  • Yetkisiz yayımı veya erişimine

Ve bunlara benzer diğer güvenlik açıklarına karşı teknik ve örgütsel önlemleri alması öngörülmektedir.

İstisnalar ve Sınırlamalar

Kişisel verilerin korunması hakkı, sınırsız bir hak alanı değildir. Yukarıda incelenen temel ilkelere belirli durumlarda istisna getirilmesi olanaklıdır. Bu, her şeyden önce buradaki temel hakkın göreceli yapısından kaynaklanır. Hem diğer hak ve özgürlüklerle hem bireysel ya da kolektif olarak başkalarının hak ve özgürlükleriyle dengeli bir yaklaşım benimsenmelidir.

Kamu çıkarının ağır bastığı bazı durumlarda kişisel verilerin korunmasına yönelmiş ilkelere istisna getirilmesi olanaklıdır. İstisnaları oluşturan kavramların sınırları belirsizdir. Bu nedenle istisna ve sınırlamaların geniş yorumlanması kişisel verilerin korunması ilkelerinin özüne zarar verebilir. Ancak temel hak ve özgürlüklere ilişkin bütün metinlerde olduğu gibi burada da sınırlamaların dar yorumlanması gerektiği unutulmamalıdır.