Danışmanlık Hattı +90 (850) 302 33 86

Kurumsal Yönetim Danışmanlık Hizmetleri

ORC Danışmanlık, Kişisel Verilerin Korunması Kanunu, Bilgi Güvenliği hakkında eğitimler vermekte ve aynı zamanda KVKK Danışmanlığı hizmeti sağlamaktadır.

KVKK Danışmanlarımızla Tanışın

10 yılı aşan tecrübemizle, zamanızı doğru kullanarak en hızlı, en verimli ve en ekonomik çözümler, sunuyoruz...

Danışman ile iletişime geç

KVKK Danışmanlığı

6698 sayılı kanunun amacı KVKK kişisel verilerin işlenmesinde gizliliği kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemesi yönündedir.

KVKK ile İlgili Temel Kavramlar Nelerdir?

Açık Rıza: Belirli bir konuya ilişkin bilgilendirilmeye dayanan ve özgür irade ile açıklanan rıza.
Anonim hale getirme : Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirelemeyecek hale getirilmesi.
İlgili Kişi : Kişisel verisi işlenen gerçek kişi.
Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi.
Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi.
Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen,veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi.

KVKK Uyum Süreci Adımları:
  • Stratejik planlama, GAP analizleri, soru formları
  • Farkındalık eğitimleri
  • Veri envanteri hazırlanması ve sorumlulukların belirlenmesi
  • Politika ve prosedürlerin gözden geçirilmesi ve geliştirilmesi
  • Uyum raporunun sunulması
  • Yönetişim, izleme, denetim ve güncellemeler

Bilgi Güvenliği Danışmanlığı

Bilgi güvenliği, bilgilerin izinsiz kullanımından, izinsiz ifşa edilmesinden, izinsiz yok edilmesinden, izinsiz değiştirilmesinden, bilgilere hasar verilmesinden koruma veya bilgilere yapılacak olan izinsiz erişimleri engelleme işlemidir. Bilgi güvenliği, bilgisayar güvenliği ve bilgi sigortası terimleri, sık olarak birbirinin yerine kullanılmaktadır.

Bilgi güvenliğini oluşturan unsurlardan gizlilik, bilginin yetkisiz kişilerin eline geçmemesi için korunmasıdır. Başka bir deyişle gizlilik, bilginin yetkisiz kişilerce görülmesinin engellenmesidir. e-posta hesap bilgisinin bir saldırgan tarafından ele geçirilmesi buna örnek verilebilir. Bütünlük, bilginin yetkisiz kişiler tarafından değiştirilmesi ya da silinmesi gibi tehditlere karşı korunması ya da bozulmamasıdır. Bir web sayfasında yer alan bilgilerin saldırgan tarafından değiştirilmesi, bütünlük ilkesinin bozulmasına örnek verilebilir. Erişilebilirlik ise bilginin yetkili kişilerce ihtiyaç duyulduğunda ulaşılabilir ve kullanıma hazır durumda olmasıdır. Bir web sitesine erişimin saldırı sonucunda engellenmesi erişilebilirlik ilkesinin ihlal edilmesine örnek olarak verilebilir.

Zararlı Programlara Karşı Alınacak Tedbirler
  • Bilgisayara antivirüs ve İnternet güvenlik programları kurularak bu programların sürekli güncel tutulmaları sağlanmalıdır.
  • Tanınmayan/güvenilmeyen e-postalar ve ekleri kesinlikle açılmamalıdır.
  • Ekinde şüpheli bir dosya olan e-postalar açılmamalıdır. Örneğin resim.jpg.exe isimli dosya bir resim dosyası gibi görünse de uzantısı exe olduğu için uygulama dosyasıdır.
  • Zararlı içerik barındıran ya da tanınmayan web sitelerinden uzak durulmalıdır.
  • Lisanssız ya da kırılmış programlar kullanılmamalıdır.
  • Güvenilmeyen İnternet kaynaklarından dosya indirilmemelidir.

Danışmanlık Hizmetleri

KVKK, Kişisel Verilerin Korunması Kanunudur ve veri işleme faaliyetlerinin önceden belirlenen kurallar gözetilerek yapılması ve kişinin temel hak ve özgürlüklerinin zarar görmemesi için bir disiplin sağlanmasıdır.

Eğitim Hizmetleri

IT altyapısındaki bileşenler üzerinde meydana gelmesi muhtemel bir şüpheli durumun nasıl tespit edilebileceği, bu olaya nasıl müdahale edilebileceği ve bu olaya ilişkin sayısal delillerin ne şekilde elde edilebileceğini kapsar.

Bilgi Güvenliği Hizmetleri

ORC Danışmanlık ekibi, uzun yıllardır siber uzayda ve sektörde edindiği penetrasyon testi tecrübelerini siz değerli müşterilerimizin ihtiyaçları doğrultusunda kullanarak kaliteli hizmet sunmayı hedeflemektedir.

Hizmetlerimiz

Danışmanlık, eğitim ve bilgi güvenliği alanlarında her zaman yenilenerek sürekli hizmet sağlamaya devam ediyoruz.

KVKK Danışmanlığı

6698 sayılı kanunun amacı KVKK kişisel verilerin işlenmesinde gizliliği kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemesi yönündedir. KVKK DANIŞMANLIĞI NEDİR? Yakın zamanda kabul edilen 6698 sayılı yasaya göre, kişisel verilerin kullanımından kaynaklanacak olan sorunlar nedeniyle yaşanacak sorunlara ağır cezalar getirildi. İşte bu noktada KVKK danışmanlığı birçok kurum ve birey tarafından önemli hale geliyor. 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 24.03.2016 tarihinde Resmi Gazete’de yayımlanarak yürürlüğe girmesiyle birlikte Kişisel Verileri Koruma Hukuku günlük hayatımızın birçok noktasında karşımıza çıkmaya başladı. Ülkemizde Kişisel Verileri Koruma Hukukunun birincil kaynağı niteliğinde olan 6698 sayılı Kanun ve bunun yanı sıra yönetmelikler, tebliğler ve Kişisel Verileri Koruma Kurulu’nun kararları bulunmakla birlikte, uygulamada hala birçok sorun yaşanmakta ve çok sayıda soruya yanıt aranmaktadır. Bunlar özellikle özel sektör bakımından ticari hayatın hukuka uygun işlemesi ama bir yandan da ticaretin engellenmemesi açısından hayati önemi haizdir. İşte bu yazıda \’KVKK uygulamasında ve uyum sürecinde ortaya çıkan sorunları\\’ ele almaya ve aslında bu işle ilgilenen hemen hemen herkesin kafasında olan soruları yüksek sesle dile getirmeye çalışacağım. Her şeyden önce belirtmeliyim ki, 6698 sayılı Kanun, 2016 yılında yürürlüğe girmiş olup uygulama açısından henüz tam oturmamıştır. Kanun’un eleştirildiği ve uygulama açısından yetersiz kaldığı birçok husus bulunmaktadır. Bu hususların bir kısmı Kurul kararlarıyla netleştirilmiş olsa da uygulama açısından halen giderilmesi gereken birçok eksiklik bulunmaktadır. Aşağıda tespit ettiğim sorunlara ana başlıklar çerçevesinde değinecek ve bazılarına getirilebildiğim çözüm önerilerini açıklayacağım. Ancak bunlar kesin çözümler olmayıp, bu konudaki tartışmaların başlaması için birer öneri niteliğindedir.

Bilgi Güvenliği Danışmanlığı

Bilgi güvenliği, bilgilerin izinsiz kullanımından, izinsiz ifşa edilmesinden, izinsiz yok edilmesinden, izinsiz değiştirilmesinden, bilgilere hasar verilmesinden koruma veya bilgilere yapılacak olan izinsiz erişimleri engelleme işlemidir. Günümüzde bilgi ve iletişim teknolojileri işletmelerin iş süreçlerinde çok önemli bir hale gelmiştir. Fakat, özellikle internetin kullanımının yaygınlaşmaya başlamasıyla müşteri bilgilerinin ve işletme sırlarının başkaları tarafından ele geçirilmesi, sayısal verilerin değiştirilmesi, veri hırsızlığı, bilgisayar virüsleri ve korsanlar gibi güvenlik tehditleri de artmıştır. Ayrıca, birçok sektörde bu teknolojilerin çeşitli nedenlerle belli bir süre çalışmaması işletmeler için büyük zararlara sebebiyet verebilmektedir. Günümüz bilgi ve iletişim teknolojileri ve sistemleri birçok güvenlik tehdidi ile karşı karşıyadır. Bu tehditlerden bazısı yazılım ve donanım gibi teknik unsurları içerirken, bilgi güvenliğinde en önemli tehdit unsurlarından birisi olarak insan faktörü kabul edilmektedir. İşletme içinde çalışan insanlar birçok açıdan bilgi güvenliğini tehdit edebilmektedir. Bunlardan birisi de sosyal mühendisliktir. Bu çalışmada işletmelerde bir bilgi güvenliği tehdidi olarak sosyal mühendislik ele alınmaktadır. İşletmelerin sosyal mühendislik tehdidi ile karşılaşabileceği durumlar ve bunlara karşı uygulanabilecek önlemler ele alınmaktadır.Bilgi çağı olarak da adlandırılan günümüzde bilgi ve iletişim teknolojilerinin kullanımı dünya genelinde yaygınlaşmıştır. Bu teknolojiler, gerek bireylerin yaşantısında gerekse işletmelerin iş süreçlerini gerçekleştirmesinde önemli değişikliklere ve yeni iş modellerinin ortaya çıkmasına neden olmuşlardır. Internet World Stats Kasım 2015 verilerine göre 2000 yılından 2015 yılına kadar internet kullanıcı sayısı 832,5 artarak yaklaşık olarak 3,37 milyar kişiye (dünya nüfusunun yaklaşık 46,4\’ü) ulaşmıştır. Türkiye\’de Internet World Stats verilerine göre 46,3 milyon kişi (nüfusun yaklaşık 59,6\’sı) internet kullanıcısı olduğu tahmin edilmektedir. Türkiye İstatistik Kurumu (TÜİK) tarafından gerçekleştirilen Hanehalkı Bilişim Teknolojileri Kullanım Araştırması sonuçlarına göre ise 2015 yılı Nisan ayında bilgisayar ve internet kullanım oranları 16-74 yaş grubundaki bireylerde sırasıyla 54,8 ve 55,9 olarak saptanmıştır. Bilgi ve iletişim teknolojilerinin dünya genelinde yaygınlaşması ile birlikte bu teknolojiler, çok sayıda faydanın kaynağı olduğu gibi, kişisel gizliliği ihlal etmek için yeni fırsatlara da olanak oluşturmakta ve kişisel enformasyonların kayıtsızca kullanılabilmesini mümkün kılabilmektedir Gelişen bilgi ve iletişim teknolojileri ile bilginin saklanması, iletilmesi ve paylaşılmasının kolaylaşması ile birlikte aynı zamanda bilginin kolaylıkla değiştirilmesi, silinmesi, iletilmesi ve yanlış ellere geçmesi gibi önemli güvenlik tehditleri de ortaya çıkmıştır. Veri elektronik olarak saklandığı zaman, manüel olarak bulunmalarına kıyasla çok daha fazla tehdit türüne karşı savunmasızdır ve günümüzde internet başta olmak üzere ağ teknolojilerinin yaygınlaşması, enformasyon sistemlerinin gittikçe daha çok bir birine bağlanması, güvenlik tehdidini de arttırmaktadır Bireyler ve işletmeler kullandıkları bilgi ve iletişim teknolojileri ile ilgili çok farklı güvenlik tehditleri ile karşı karşıyadır. İşletmeler bilgisayar donanımının bozulmasından kaynaklanan sistem arızaları ve programlama hataları, yanlış kurulum veya yetkisiz değiştirmeler ve yazılım sorunları gibi sorunlarla da karşılaşabilir. Ayrıca elektrik kesintisi, seller, yangınlar veya diğer doğal afetler de bilgisayar sistemlerine zarar verebilir Cep telefonu, tablet vb. mobil cihazların bireysel amaçlarla olduğu gibi işletme amaçları için de kullanımının yaygınlaşması da çeşitli güvenlik sorunlarını ortaya çıkarabilmektedir; mobil cihazların, kaybedilmesi, çalınması kolaydır ve internete bağlı diğer cihazların karşılaşabileceği tehditlere de açıktır Günümüze kadar birçok virüs, Truva atı, solucan vb. kötü amaçlı yazılımlar dünya genelinde çok büyük maddi zarara neden olmuştur ve bunlara her geçen gün yenileri eklenmektedir. Diğer bir güvenlik tehdidi de bilgisayar sistemine yetkisiz erişim sağlamaya çalışan bilgisayar korsanlarıdır.Dünya genelinde, bilgisayar suçu sorununun büyüklüğü, kaç bilgisayar sisteminin saldırıya uğradığı, kaç kişinin fiili olarak bununla meşgul olduğu veya bilgisayar suçunun neden olduğu toplam ekonomik hasar bilinmemekte olup; çoğu işletme, suçlara çalışanların karışmış olabildiği için veya işletme itibarına, şöhretine zarar vereceğinden endişe ettiği için bilgisayar suçlarını rapor etmeye isteksizdir Bilgi güvenliği, bilginin; gizliliğinin, bütünlüğünün ve erişilebilirliğinin korunması olarak tanımlanabilir Bilginin gizliliği, bilginin ulaşmaya yetkisiz kişilerin eline geçmemesi, bilginin bütünlüğü: bilginin yetkisiz kişilerce değiştirilmemesi, doğruluğu ve tamlığının sağlanması, bilginin erişilebilirliği: bilginin ulaşmaya yetkili kişiler tarafından gerektiği zaman ulaşılabilir ve kullanılabilir olmasıdır. Bilgi güvenliği, her sektör ve büyüklükteki organizasyonun sürekliliğinin sağlanmasında büyük önem taşımakta olup, organizasyonun başta elektronik olmak üzere, farklı ortamlardaki kritik bilgilerinin ve diğer bilgi varlıklarının korunmasına yardımcı olur (Eminağaoğlu Gökşen, 2009). Sadece büyük şirketler, holdingler değil bunun yanı sıra bireyler, küçük ve orta büyüklükteki işletmeler (KOBİ\’ler), devlet kurumları veya kar amacı gütmeyen herhangi bir organizasyon, eğitim kurumları, sağlık kurumları vb. de bilgi güvenliği sorunları ve risklerini farklı düzeylerde de olsa sürekli yaşamaktadır Her büyüklükteki işletme, bilgisayar kullandığı ve internete bağlı olduğu müddetçe güvenlik tehditleri ile karşı karşıya olmakla birlikte büyük işletmeler, bilişim güvenliğini sağlayacak teknik bilgi ve maddi güce sahipken, KOBİ’ler genel olarak bu kaynaklara ve yeteneklere tamamıyla sahip olamamaktadır İşletmelerde bilgi güvenliğinin sağlanması, sadece bilişim uzmanlarını ilgilendiren teknik bir konu değildir, işletmede çalışan herkesin bilgi güvenliğinin sağlanması ile ilgili sorumluluğu bulunmaktadır Bir işletmeye yönelik güvenlik tehditlerinin örgüt dışından geldiğini düşünme eğiliminde olsak bile aslında işletme içinde çalışanların ciddi güvenlik sorunlarına yol açtıkları görülmektedir Bilgi güvenliğini tehlikeye sokan en önemli tehditler, sanıldığı gibi kurum dışından gelen saldırılar değil, çalışanların yanlış işlem ve davranışlarıdır İşletmede çalışanlar, ayrıcalıklı enformasyona erişebilir ve yetersiz iç güvenlik kuralları varsa örgütün tüm sisteminde hiç bir iz bırakmadan dolaşmaları mümkündür Pek çok çalışan bilgisayar sistemlerine erişmek için kullanılan şifrelerini unutur veya çalışma arkadaşlarına bu şifreleri kullanmaları için izin verir, bu durum da sistemi tehlikeye düşürür İşletme sistemine erişmek isteyen kötü niyetli saldırganlar bazen işletmenin bir çalışanı gibi davranarak çalışanları kandırarak şifrelerini elde edebilirler, bu yönteme sosyal mühendislik denir İşletmelerde bilgi güvenliğinin sağlanması için sadece yazılım, donanım ve fiziki güvenlik tedbirlerinin alınması yeterli değildir, bunlarla birlikte işletmede çalışan herkesin bilgi güvenliğinin sağlanmasında önemli görev ve sorumlulukları vardır. İşletmede bilgi güvenliği sağlanırken gerekli teknik önlemlerin alınmasının yanında bilgi güvenliğinde en zayıf halka olarak da kabul edilen insan faktörü de unutulmamalıdır. Farklı güvenlik sorunlarına karşı çok miktarda teknolojik yöntem geliştirilmiş olmasına rağmen önemli güvenlik ihlallerine neden olabilen insan faktörleri alınan teknolojik tedbirlere göre ihmal edilmiştir Güvenlik ürünlerinin tek başlarına tam bir güvenlik sağlayacağına inanmak, ancak hayal aleminde görülebilecek bir durum olup, güvenlik konusunda kendi kendini kandırmaktır ve er ya da geç, kaçınılmaz olarak bir güvenlik sorunu yaşanmasına neden olur Bu çalışmada, işletmelerde bir bilgi güvenliği tehdidi olarak sosyal mühendislik ele alınmakta olup, işletmelerin sosyal mühendislik tehdidi ile karşılaşabileceği durumlar ve bunlara karşı uygulanabilecek tedbirler sunulmaktadır

ISO Belgelendirme

Ülkeler arası standartlar organizasyonu\’nun kısaltılmış şeklidir. 1947 senesinde kurulmuş olmak ile birlikte, İsviçre\’nin Cenevre Şehri bu organizasyonun merkezidir. İso belgesi; Hizmet alanı olarak farklı sektörlerde faaliyette olan işletmelerin belirli bir standarda uygun olarak hizmet sunduklarının ispatında bulunan ve alanlarında yetkinliğinin bulunduğunu belirten bir belgedir. İso örgütü nezdinde yazılan standartlara göre verilen belgelerine tümüne iso belgesi ismi verilir. İso belgesi danışmanlık, faaliyet gösterilen alanı veya sektörü ile ilgili standartlara uygunluk konusunda rehberlik ve belgelendirme hizmetinin verilmesidir. Bu konuda Sistem Kalite belgelendirme ve test danışmanlığı kuruluşu olarak yılların verdiği deneyim ve profesyonel mühendislerimiz ile kaliteli bir hizmet vermekteyiz.

LİDER DANIŞMANLIK

https://www.orcdanismanlik.com/2009 yılında kurulan ORC Danışmanlık Şirketi kuruluşundan bu yana hizmetlerini profesyonel deneyim ve titizlikle sürdürmektedir.

Danışmanlık hizmeti ile tecrübelerini, çok uluslu şirketler, çeşitli kurum ve kuruluşlara Bilgi Teknolojileri konusunda, baştan sona süreç kontrolü sağlayarak proje desteği vermektedir.

Kişisel verilerin korunması hakkı aslında geçmişten beri var olan, fakat günümüzde çok hızlı değişen ve gelişen teknoloji ile birlikte daha görünür hale gelen, önemi artan ve kapsamı genişleyen bir haktır. Bu hak, başlı başına bağımsız bir hak veya diğer bazı hakların bir parçası olarak, yarım asır önce düzenlenmiş belgeler ile dahi korunmaya çalışılmıştır. Makalenin I. Bölümünde, kişisel verilerin korunması hakkının farklı dönemlerde farklı uluslararası organizasyonlar tarafından nasıl değerlendirildiği, ardından da bu hakkın uluslararası mahkemelerce nasıl yorumlandığı incelenecektir.

işilerin sağlığına ilişkin veriler GDPR ve 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında özel nitelikli kişisel veri kategorisinde sayılmış olup kural olarak açık rıza olmaksızın işlenmesi özel şartlara bağlanmıştır. Sağlığa ilişkin veriler kişilerin mahremiyet hakkı gibi temel hak ve özgürlükleriyle yakından ilgili olup bu niteliği sebebiyle hukukumuzda da bu alanda etkili bir koruma mekanizması oluşturulmaya çalışılmıştır.

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun uygulamasında ve uyum sürecinde ortaya çıkan soru ve sorunların yukarıda açıklanan hususlar çerçevesinde değerlendirilmesi sonucunda varmış olduğum sonuçlar şu şekildedir:

VERBİS Sicil Yönetmeliği’nin 13. maddesinde düzenlenen 7 günlük sürenin başlayacağı zamanın açıkça düzenlenmesi gerekir. Bana göre bu sürenin değişikliğin tespit edilmesinden itibaren başlaması gerekir.

Açık rıza alınırken rıza karşılığı ek avantaj getirilmesinde bir engel bulunmaz. Ayrıca bu husus açık rızanın kişinin özgür iradesinin ürünü olması şartının oluşmasına engel teşkil etmez.

Kurul ve Ticaret Bakanlığı Elektronik ortamda işlenen veriler açısından 6563 sayılı Kanun ile 6698 sayılı Kanun arasından çelişkiler ve soru işaretlerinin giderileceği ortak bir tebliğ yayınlamalıdır. Bu konu bakımından; hem özel kanun - genel kanun ilişkisinden hem de 6698 sayılı Kanun’un 5. maddesinde “kanunda öngörülmüş olma” halinin istisna olarak sayılmasından dolayı elektronik ortamda işlenen kişisel veriler için 6563 sayılı Kanun’un uygulanması gerekir.

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun yürürlük tarihinden önce hukuka uygun rıza ile alınmış verilerin akıbetinin ve hukuka uygun alınmış rıza kavramının açıklığa kavuşturulması gerekir. Özellikle bu dönemde alınan zımni rızaların akıbetinin belirlenmesi önemlidir.

6698 sayılı Kişisel Verilerin Korunması Kanunu ile Kurul Kararlarının yayınlandığı süre arasında işlenen verilerin hukuka uygunluğu bakımından, 6698 sayılı Kanun’a uygun olarak işlenmişse bu verilerin hukuka uygun kabul edilmesi gerekir.

Uygulamada sorun yaratmaması ve kişisel verilere sunulan korumada, koruma altına alınmayan bir husus bırakılmaması amacıyla veri işleyen kavramı açısından belirli bir standart getirilmelidir. Bu durum özellikle şu anki düzenleme kapsamında veri işleyen kategorisine girmeyen ancak kişisel verilere ulaşımı çok fazla olan oluşumlarda, söz konusu verilerin korumasının sağlanabilmesi için oldukça önemlidir.

Alanında lider olan ORC Danışmanlık, hepsi uzman ve özverili ekibi ile tüm çözüm süreçleriyle, değerli müşterilerine hizmet vermektedir.

Tüm bireyler için vazgeçilmez hale gelen teknoloji, her geçen gün büyük bir hızla gelişmeye ve değişmeye devam etmektedir. Söz konusu gelişmeler bireylerin hem birbirleri ile daha kolay iletişim kurmalarına hem de kamusal alanda ya da hayatın diğer alanlarında gerçekleştirilecek işlemlerde büyük bir sürat kazanmalarına imkân tanımıştır. Popüler kültürün de etkisi ile kişiler özel hayatları, sağlık durumları, aile hayatları gibi oldukça kişisel alanlarda daha fazla bilgiyi dış dünyayla paylaşmaya başlamışlardır.Bilgiye ulaşmanın bu denli kolay olduğu günümüzde bireylerin isteyerek ya da birtakım işlemleri gerçekleştirmek için zorunlu olarak paylaştıkları kişisel veriler, kötü amaçlı kullanımlara da açık hale gelmiştir. İnternet bankacılığının kullanılabilmesi için internet sitesi üzerinden paylaşılan şifre ve hesap numaraları çeşitli programlar kullanılarak 3. kişiler tarafından ele geçirilmiş, şubeye gitmeksizin bankacılık işlemlerini gerçekleştirmek isteyen kullanıcılar hesaplarındaki paraların rızaları dışında 3. kişilerin hesaplarına aktarıldığını görmüşlerdir. Herkesin birbirine bir ağ üzerinden bağlı olduğu günümüzde bu yöndeki örnekleri arttırmak mümkündür. Kişilere ait bu şahsi bilgiler yalnızca kötü niyetli 3. Kişiler tarafından ele geçirilmemekte yanı sıra devlet organları, sosyal medya kuruluşları, e-ticaret siteleri gibi birçok platform tarafından da toplanılmaktadır. Öyle ki hemen hemen tüm işlemlerin internet üzerinden gerçekleştirilebilmesi insanları büyük bir zaman kaybından kurtarmış, bu işlemler için interneti kullanmaya sevk etmiştir. Bu işlemler sırasında ad, soyad, adres, cinsiyet, medeni durum, yaş, meslek gibi bireyi bir diğerinden ayırt etmeye yarayan önemli unsurlar bu kuruluşlarla paylaşılmakta ve kurum ve kuruluşların data arşivlerinde yerlerini almaktadırlar.Kişisel verilere ulaşım kolaylığı, bu bilgilerin 3. kişiler ya da kurum ve kuruluşlarca toplanması, işlenmesi, belirli amaçlarla kullanılmak için büyük data havuzlarında saklanmaları bu alanda bir hukuki düzenleme yapılması ihtiyacını da beraberinde getirmiştir.

Kişisel verilerin korunması alanına dair esas düzenleme olan 6698 sayılı Kişisel Verilerin Korunması Kanunu, 7 Nisan 2016 tarihinde yürürlüğe girdi. Bu konuda daha önce de yasalaştırma çalışmaları yapılmış ancak uzun yıllar özellikle politik ve idari nedenlerle bu çalışmalar olumlu bir sonuca ulaşamamıştı. Nihayet AB’ye uyum çerçevesinde 95/46/EC sayılı Direktifin de büyük ölçüde esas alınmasıyla Kanun çıkarılmış ancak çeşitli yönlerden eleştiriye uğramıştır. Kanun’un çıkarıldığı sırada Avrupa Parlamentosu’nun Direktifi değiştirerek tüzük için onay vermiş olması ve Kanun’un hem eski Direktife göre hazırlanması hem de bu Direktife tam uyum sağlayamaması temel eleştiri noktalarıdır. Bununla birlikte kişisel verilerin korunmasına ilişkin temel bir düzenlemenin yapılmamış olması büyük bir eksiklikti. Bu nedenle, her ne kadar ben de Kanun’u çeşitli yönlerden eleştirsem de; Kanun’un kişisel verilerle ilgili en açık ve en somut adım olması ve kişisel verilerin korunması hukukunun oluşmasında ilk ve temel basamak olmasından dolayı, yayınlanmasını olumlu bir gelişme olarak değerlendiriyorum. Nitekim devam eden süreçte, Kanun’da detaylı bir biçimde açıklanmayan konular hakkında çeşitli yönetmelikler çıkarılmış ve konunun daha iyi anlaşılması sağlanmaya çalışılmıştır.

Bu çalışmamda TBMM’nin bazı üyeleri tarafından 6698 sayılı Kanun’un çeşitli hükümlerinin hukuka aykırı olduğu iddiası ve bu hükümlerin iptali istemiyle Anayasa Mahkemesi’ne yapılan iptal başvurusunu ve başvuru üzerine Anayasa Mahkemesi’nin vermiş olduğu 28.9.2017 tarihli, 2016/125 E., 2017/143 K. sayılı kararını ele alacağım. İptali istenen hükümleri başlıklar halinde açıklayıp, bu hükümlerin iptal isteminin gerekçesini, Anayasa Mahkemesi’nin hükümlere ilişkin verdiği karar ile karar gerekçesini ve son olarak da kendi görüşümü belirteceğim.Kişisel verilerin işlenmesinde uyulması gereken temel ilkelerin belirtildiği maddede bulunan söz konusu ibarenin, kişisel verilerin temel güvencesi olan verilerin muhafaza süresinde belirsizliğe neden olduğu ve sübjektif, geniş ve yorumlayana göre değişebilecek nitelik taşıdığı gerekçesiyle iptali istenmiştir.Anayasa Mahkemesi, Anayasa’nın 2. maddesine atıf yaparak hukuk devleti ilkesinde belirlilik ilkesinin egemen olduğu noktasında fikir birliği içerisinde olmuş ve bu ilkenin bireye hukuksal güvenlik sağladığını ve bu ilke gereği bireyin hangi somut eylem ve olguya, hangi hukuksal yaptırımın veya sonucun uygulanacağını bilmeyi sağladığını açıklamıştır. Bununla birlikte iptali istenen hükmün belirlilik ilkesine aykırı olmadığı, çünkü buna göre veri sorumlularının ilgili mevzuatta verilerin saklanması için öngörülen bir süre varsa, bu süreye uyacağı yoksa verileri ancak işlendikleri amaç için gerekli olan süre kadar muhafaza edebileceği ve en son verinin saklanmasında bir sebep kalmamış olması halinde de bu verilerin artık saklanamayacağı öngörülmüştür.İptali istenen ilkenin kişisel veriler için esasen önemli bir ilke olduğu, verilerin belirlenen amaç dahilinde kullanılabileceği ve bu amacın ortadan kalkması halinde o verinin kullanılmasını yasakladığı ve dolayısıyla kişilere verilerin süresiz olarak muhafaza edilemeyeceği güvencesini vermeyi amaçladığı açıklanmıştır. Diğer taraftan kişilerin öngörülen şartlar çerçevesinde kişisel verilerinin silinmesini, yok edilmesini veya anonim hale getirilmesini isteyebileceği hususundan bahsedilmiştir. Bu nedenlerle Mahkeme, iptali istenen maddenin Anayasaya aykırı olmadığına kanaat getirmiş ve iptal talebini reddetmiştir.Öncelikle Anayasa Mahkemesi’nin kararına katıldığımı söylemeliyim. Bu noktada ilk olarak kişisel verilerin işlenmesinin belirli bir amaca yönelik olması ve belirlenen amaca göre işlenmesi gerektiği bilinmektedir. Bu amaç için mevzuatta öngörülmüş olan süre varsa veri sorumlusu söz konusu veriyi o süre kadar işleyebilecek ve muhafaza edebilecektir. Ancak ilgili kanunlarda herhangi bir süre öngörülmemiş olması da mümkündür. Zira kişisel veriler çok geniş kapsamlı bir konu olup; her somut olaya göre önceden belli bir sürenin belirtilmiş olması mümkün değildir. Böyle durumlar için de verilerin işlendikleri amaç için gerekli olan süre kadar muhafaza edilip; ardından silinmesi, yok edilmesi veya anonimleştirilmesi çözümü yerinde ve mecburidir. Kaldı ki, veri sorumluları Kanun’un 16. maddesi gereğince, işledikleri verilerinin işledikleri amaç için gerekli olan süreyi Veri Sorumluları Sicil kayıt başvurusunda belirtmelidir. Dolayısıyla sürenin belirsiz olduğu düşünülse de aslında bu süre her somut duruma göre belirlenecektir. Ayrıca kişilerin Kanun’un 11. maddesi kapsamında veri sorumlusuna verilerinin hangi amaçlarla işlendiğine dair başvuru hakkı da düzenlenmiştir. Bunların yanı sıra hem ilgili yönetmeliklerde belirtildiği hem de uygulamada yapıla geldiği üzere veri sorumluları tarafından oluşturulan Kişisel Veri Envanterinde hangi veri kümesinin hangi nedenle ne kadar süre tutulacağı ve işleneceği belirlenmektedir. Bu da verileri kaydedilen ve işlenen kişiler açışından ayrı bir güvence oluşturmaktadır. Kişisel verilerin kaydedileceği ve işleneceği sürelerin ne kadar olacağının bu Kanun ile tek tek belirlenmesi mümkün olmayıp, bu konunun doğasına aykırıdır. Dolayısıyla iptali istenin ibarenin, başvuru gerekçelerinin aksine verilerin süresiz bir biçimde işlenemeyeceğine dair güvence verdiğini düşünüyorum. Açıkladığım nedenlerle hükmün belirlilik ilkesine aykırı ve sübjektif niteliğine sahip olmadığı kanaatinde olup, Anayasa Mahkemesi’nin vermiş olduğu red kararına katılmaktayım.İptali istenen bentlerin yer aldığı Kanun’un 5. maddesinin 2. fıkrası kişisel verilerin işlenme şartlarının istisnalarına ilişkindir. İptal talebi ise; istisnaların sınırları belirlenmiş bir şekilde sayılması gerektiği ancak bu kurallarla istisnaların esas düzenleme haline getirildiği ve açık rıza istenmesine neredeyse gerek kalmadığı, bu hükümlerin açık ve anlaşılabilir olmadığı ve özellikle hükümler içerisinde yer alan “meşru menfaat” kavramından ne anlaşılması gerektiğinin belli olmadığı dolayısıyla da bu bentlerin hakkın özüne zarar verip; kamu yararı ve hakkaniyet ilkelerine aykırılık oluşturduğu gerekçelerine dayanmaktadır.Anayasa Mahkemesi ilk olarak kamu yararı kavramını açıklamıştır. Buna göre, kamu yararı özel çıkarlardan ayrı ve bunlara üstün olan toplumsal yararı ifade eder. Devlet kamu yararını gözeterek çeşitli kurallar koyabilmekle birlikte kamu yararı düşüncesi olmaksızın özel çıkarlar gözetilerek konulan kurallar bu ilkeye aykırılık oluşturur. Ayrıca temel hak ve özgürlüklerin yalnızca Anayasada öngörülen şartlar çerçevesinde sınırlandırılabileceği, hakkın özüne zarar verecek ve kullanılmasını güçleştirecek sınırlamaların mümkün olmadığı belirtilmiştir. Mahkeme, dava konusu kuralların kişisel verilerin korunmasına yönelik sınırlama getirdiğinin açık olduğunu ancak bu sınırlamanın kişinin her türlü verisine ilişkin olmayıp; yalnızca dava konusu kurallarda belirtilen şartların varlığı halinde söz konusu olabileceği ve dolayısıyla istisnaların esas düzenleme haline getirildiği gibi bir durumun olmadığını düşünmektedir. Bu kuralların hak ve menfaat kayıplarını önlemek amacıyla getirildiği belirtilmiş; bunun ihlali ve kötü kullanımı halinde şikâyet ve başvuru yollarının açık olduğunun altı çizmiştir. Mahkeme ayrıca dava dilekçesinde özellikle belirtilen meşru menfaat kavramını açıklamış ve bu kavramdan veri sorumlusu ile ilgili kişinin menfaat dengesinin gözetilmesi çerçevesinde değerlendirilmesi gerekli olan bir dengenin anlaşılması gerektiğini açıklığa kavuşturmuştur. Bütün bu nedenlerle Anayasaya aykırı olduğu iddia edilen bentlerin herhangi bir aykırılık oluşturmadığı ve bu nedenle de bu talebin reddi kanaati ve sonucuna ulaşmıştır.

Öncelikle iptali istenen istisnaya ilişkin hükümler sırasıyla aşağıdaki gibidir:

  • Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,

  • Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,

  • Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,

  • İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun

    meşru menfaatleri için veri işlenmesinin zorunlu olması.

    Kişisel verilerin işlenmesinde esas olan ilgili kişinin yani veri sahibinin açık rızasının alınmasıdır. Açık rıza kavramı Kanun, içtihat ve 95/46/EC sayılı Direktif birlikte dikkate alındığında, veri sahibinin açık beyan veya açıkça onay anlamına gelecek bir eylemle verinin işlenebileceğine ilişkin o veriye özgü ve bilinçli bir onay verme işlemidir. Ancak bazı hallerde bu rıza alınmadan verilerin işlenebileceği kişisel verilerin korunmasına ilişkin ulusal ve uluslararası tüm mevzuatlarda öngörülmüştür.

    Anayasaya aykırı olduğu iddia edilen ilk istisna, kişisel verinin sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması haline ilişkindir. Buna örnek olarak hizmet sözleşmesiyle iş görenin para alacaklısı konumuna gelmesi halinde, bu kişinin hesap numarasının hizmet veren tarafından hizmet bedelinin ödenmesi amacıyla alınabilmesi gösterilebilir. Burada yalnızca veriyi kullananın değil, o verinin sahibinin de menfaatine olan bir istisna halinin mevcut olduğunu görüyoruz.

    İkinci olarak veri sorumlusunun hukuki yükümlülüklerini yerine getirebilmesi için zorunlu olması hali, veri sahibinin açık rızası olmaksızın, verinin işlenme istisnaları arasında sayılmıştır. Burada ise veri sorumlusunun yükümlülüklerini yerine getirmesini zorlaştırmama amacı güdülmüştür. Günümüzde veri sorumlularının faaliyetlerini etkin bir şekilde yürütebilmesi için sürekli olarak açık rıza almak durumunda kalmaları uygulamada problem yaratacaktır. Bu nedenle bu halde de açık rızaya ihtiyaç olmadığına dair hüküm getirilmiştir.Diğer iptali istenen istisna hali bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olmasıdır. Buna en güzel ve uygulamada en çok karşımıza çıkan örnek işverenlerin işçilerine ait verileri, işçi çıktıktan sonra dahi bir süre tutabileceğidir. Bunun nedeni ise işçinin işverene karşı dava açması halinde bu verilerin ispat aracı olarak kullanılmasıdır. Bu istisna halinin veri işlenmeden hakkın tesisi, kullanılması veya korunmasının hiçbir şekilde sağlanamayacağı zorunlu durumlarda kullanılması halinde, her iki tarafın da menfaatleri gözetildiğinden hakkaniyete uygun bir düzenleme olduğu söylenebilir. Ancak bent amacından daha geniş yorumlanmamalıdır. Aksi takdirde veri sahibi açısından ihlaller oluşacaktır.Veri sorumlusunun meşru bir menfaati bulunduğu takdirde de veri sahibinin temel hak ve özgürlüklerine zarar vermemek şartıyla kişinin verileri açık rızası olmadan işlenebilecektir. Burada veri sahibinin özgürlüklerine zarar vermeden veri sorumlusunun da menfaati gözetilmek istenmiştir. Meşru menfaat kavramının geniş bir şekilde yorumlanma tehlikesi söz konusu olmakla beraber, ilgili Kanun ve diğer düzenlemeler birlikte değerlendirildiğinde bu ibarenin geniş bir biçimde yorumlanmaması gerektiği açıktır. Kaldı ki ilgili kişinin haklarına zarar geldiği takdirde meşru menfaatin bir önemi olmaz. Bunun ihlali halinde başvuru ve şikâyet yolları da açıktır. Nitekim Anayasa Mahkemesi, kararında meşru menfaat kavramından ne anlaşılması gerektiğini açıklamış, veri sorumlusu ile ilgili kişinin menfaat dengesine ilişkin olduğunu belirtmiştir. Kavramların belirsiz olması halinde bunun içtihatlarla açıklanması mümkündür. Zira Kanunda metinde geçen bütün ibarelerin tek tek açıklanması mümkün değildir. Böylece meşru menfaate ilişkin anlam karmaşası önlenmiştir.Anılan istisnaların, istisna olmaktan çıkarılarak esas düzenleme haline getirildiği gerekçesiyle iptali istenen bentlerin Anayasaya aykırılık teşkil ettiğini düşünmüyorum. Yukarıda tek tek açıkladığım üzere bu istisna halleri gereklilik ve zorunluluk halleri için geçerli olup, ihtiyaçları karşılamak üzere öngörülmüştür. Aksi takdirde gündelik yaşamın devam etmesi ve ekonomik faaliyetlerin yürütülmesi imkânsız hale gelir. Bu yüzden kişisel veri sahibinin haklarını ihlal etmeden ve hakkını kullanmasını zorlaştırmadan mecburi hallerde açık rıza şartının esnetilmesi gerekli ve yerindedir. Kaldı ki bu istisnalar yalnızca veri işleyeni değil, somut duruma göre veri sahibini de korumaya yöneliktir. Dolayısıyla Anayasa Mahkemesinin istisnalara ilişkin bentlerin iptali istemini reddetmiş olmasını haklı buluyorum.

    3. Kanun’un 6. maddesinin 1. fıkrasında yer alan “mezhebi” ve “kılık kıyafeti” ibareleri ile aynı maddenin 3. fıkrası

    Anayasaya aykırı olduğu iddia edilen ibarelerin yer aldığı 6. madde özel nitelikli verilere ilişkin olup, bu verilerin işlenme şartlarını belirtmektedir. Bu kavramların OECD Rehber İlkeleri, Direktif ve ilgili uluslararası sözleşmelerle bağdaşmadığı, eşitlik ilkesine aykırılık teşkil ettiği ve din ve vicdan özgürlüğü ile düşünce özgürlüğü haklarına zarar verecek nitelikte olduğu ileri sürülerek iptali istenmiştir.

    Anayasa Mahkemesi bu iptal istemini, ibarelerin özel nitelikli kişisel veriler arasında sayıldığını ve iddia edilenin aksine kişilerin bu hakları üzerinde daha sıkı bir koruma sağladığı gerekçeleriyle reddetmiştir. Bununla beraber kişilerin mezhep ve kılık kıyafetine ilişkin verilerin işlenebileceğine dair düzenlemelerin Anayasada öngörülen hakların özüne dokunmaması gerektiğinin altını çizmiştir. Ancak kanun koyucunun salt kişilerin mezhebi ve kılık kıyafeti ile ilgili verileri özel nitelikli kişisel veri olarak kabul etmesinde Anayasaya aykırılığın söz konusu olamayacağını belirtmiştir.Dava konusu hükümle kişinin mezhebi ve kılık kıyafeti özel nitelikli veriler arasında sayılmıştır. Bu nitelikte verilerin koruma alanı daha geniş olup; işlenmesi de daha özel şartlara bağlanmıştır. Öyleyse iptali istenen ibareler esasen bu verilerin işlenmesini kolaylaştırma amacında değildir; tam aksine bu verileri, hassas niteliklerinden dolayı özel olarak koruma altına almaktadır. Dolayısıyla bu noktada Anayasaya aykırı bir düzenlemenin olduğu söylenemez.Aynı maddenin açık rıza olmaksızın özel nitelikli kişisel verilerin işlenme şartlarını düzenleyen 3. fıkrası da iptal davasına konu olmuştur. Buna göre sağlık ve cinsel hayata ilişkin kişisel veriler, ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilecektir. Bu fıkranın, kişilerin sağlık hakkına erişmelerine engel olacağı, insan haklarına saygılı devlet olma ilkesiyle bağdaşmadığı ve etkin bir koruma sağlamaktan uzak olduğu iptal isteminin gerekçesi olarak gösterilmiştir.

    Anayasa Mahkemesi, sağlık ve cinsel hayata ilişkin verilerin söz konusu durumlarda ilgilinin açık rızası aranmaksızın işlenebileceğini düzenleyen kuralla özel hayatın gizliliği ve kişisel verilerin korunması haklarına bir müdahale olduğunu kabul etmiştir. Ancak kuralla kişisel verilerin işlenmesinin amaç bakımından sınırlandığı dikkate alındığında, getirilen sınırlamanın hakkın kullanımını son derece zorlaştıran veya onu kullanılamaz duruma düşüren kayıtlara bağlandığını söylenemeyeceğini belirtmiş ve hakkın özüne dokunulmadığından iptali istenen fıkraların Anayasaya aykırı olmadığına kanaat getirmiştir.

    Kişisel verilerin işlenmesinde açık rıza esas ise de; açık rıza olmaksızın bu verilerin işlenebileceği istisnalar da kabul edilmiştir. Bununla birlikte özel nitelikli veriler açısından durum biraz daha farklıdır. Bu veriler, ihlal edilmesi halinde sahibi açısından daha büyük mağduriyetlere yol açabilecek ve ayrımcılığa neden olabilecek nitelikte olduğundan açık rıza olmaksızın işlenebileceği istisna halleri konusunda oldukça dikkatli olunması gerekir. Aksi takdirde kişisel verilerin korunması hakkının kişilere verileri üzerinde güvence sağlama amacının sağlanabilmesi mümkün değildir.Kişisel Verilerin Korunması Kanunu hazırlanırken büyük ölçüde dikkate alınan Direktif ve diğer uluslararası mevzuatta da istisnai hallerde özel nitelikli kişisel verilerin, veri sahibinin açık rızası olmadan işlenebileceği kabul edilmiştir. Çünkü salt açık rızanın aranması ve hiçbir istisnaya yer verilmemesi kişileri korumayı sağlamayacağı gibi bu kişilerin menfaatlerinin zarar görmesine neden olur. Dolayısıyla istisna hallerinin öngörülmesi bir gerekliliktir. Ancak bu istisnalar, kişilerin özellikle sağlık bilgileri ve cinsel hayatına ilişkin olduğundan temel hak ve özgürlüklerin sınırlandırılması niteliğinde olup; bu özgürlükleri zedeleme ihtimalini barındırır. Bu nedenle sınırlandırma yapılırken Anayasanın temel hak ve özgürlüklerin sınırlandırılması başlıklı 13. maddesinde öngörülen demokratik toplum düzeninin gerekleri ve ölçülülük ilkesi ihlal edilmemelidir. Aksi bir düzenleme Anayasaya aykırı bir sınırlandırma olur.Kanun’un 6. maddesinin 3. fıkrasında öngörülmüş olan istisnalara baktığımızda bu istisnaların büyük ölçüde kamu sağlığının korunması amacına yönelik olduğunu görüyoruz. Maddede sayılan verilerin açık rıza olmadan işlenebilmesi için fıkrada sayılan faaliyetlerin gerçekleştirilmesi için bu verilerin işlenmesinin zorunlu olması ve bu veriler olmaksızın kamu sağlığının korunmasının mümkün olmaması gerekir. Bu amaç açık rıza olmadan işlenebilmesi için haklı bir amaç gibi görünse de bu konuda oldukça dikkatli olunmalıdır. Kanun’un ruhundan ve özünden anlaşılan, amacın dışında ve bu amacı aşacak biçimde kullanılmamasının gerektiğidir. İptali talep edilen fıkra, Anayasaya aykırılık taşımasa da; bu hükmün belirttiğim şekilde yorumlanması ve amacını aşmaması gerekliliği Kurul tarafından veya diğer mahkemeler tarafından verilecek kararlarla net bir şekilde ortaya konulmalıdır.

    4. Kanun’un 7. maddesinin 2. fıkrası, 8. maddesinin 3. fıkrası ve 9. maddenin 6. fıkrası

    Anayasaya aykırı olduğu iddiasıyla iptali istenen bu üç fıkrayı düzenleme konusu aynı olduğundan tek başlık altında ele alacağım. Söz konusu fıkralar şunlardır:

    • m.7/2: “Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin diğer kanunlarda yer alan hükümler saklıdır.”

    • m.8/3: “Kişisel verilerin aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.”

    • m.9/6: “Kişisel verilerin yurt dışına aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.”

    Bu fıkralar kişisel verilerin silinmesi yok edilmesi, anonim hale getirilmesi ve yurtiçi ve yurtdışına aktarılmasına ilişkin diğer kanunlarda yer alan hükümleri saklı tutmuştur.

    Kişisel Verilerin Korunması Kanunu’nun ilgi alanına giren konularda bu Kanun’un esas alınması gerekirken; diğer kanunlarda yer alan hükümlerin saklı tutulması gibi bir kuralın çok geniş kapsamlı olduğu, bireylerin bu hususlara ilişkin hangi kanun ve düzenlemelere göre hareket edeceklerinin belirsizleşmesi ve dolayısıyla kamu yararı ve ölçülülük ilkelerinin gözetilmediği nedeniyle söz konusu hükümlerin Anayasaya aykırı olduğu iddia edilmiştir.

    Buna karşılık Anayasa Mahkemesi her özel durumun Kanun’da belirtilmesinin mümkün olmadığını ve her özel durum karşısında ona ilişkin Kanun’a bakılmasında herhangi bir belirsizlik olmadığını belirtmiştir. Ayrıca takdir yetkisi içerisinde düzenlenen bu kuralların elverişlilik, gereklilik ve oranlılık ilkelerine uygun olduğu kanaatine varıldığından bu hükümlere ilişkin iptal talebini reddetmiştir.Kişisel Verilerin Korunması Kanunu kişisel verilerin korunması hakkına ilişkin esas düzenleme olmakla birlikte her hukuk dalına özgü konulara ayrı ayrı yer vermesi mümkün değildir, aksi halde yasa yapma tekniği açısından hatalı olan kazuistik bir yöntem izlenmiş olur. Kanundan beklenmesi gereken kişisel verilerin korunması hakkını genel hatlarıyla düzenlemesi, konunun çerçevesini belirlemesidir. Özel bir hukuk dalıyla ilişkilendirilen somut olaylarda o konuya ilişkin mevzuata bakılacak ancak 6698 sayılı Kanun’un belirlediği usul ve esaslara uygun hareket edilecektir. İşçi işveren ilişkisi içerisinde işçinin kişisel verilerinin silinmesi için İş Hukuku ve Borçlar Hukuku; ticari ilişkilerden dolayı kişisel verilerin yurtiçi veya yurtdışına aktarılması için Ticaret Hukuku; genel sözleşmelerden dolayı kişisel verilerin işlenmesi için Borçlar Hukuku ve dolayısıyla bu hukuk disiplinlerine ilişkin yasa ve diğer hukuk kaynakları esas alınacaktır. Bunun gibi örnekler çoğaltılabilir. Kişisel Verilerin Korunması Kanunu’nun bütün bu hukuk disiplinlerine tek tek yer vermesi mümkün olmayıp; yapılması gereken bu Kanun hükümlerine atıf yapmaktır. Dolayısıyla Anayasa Mahkemesi’nin bu hükümlere ilişkin red kararına katılmaktayım.

    5. Kanun’un 13. maddesinin 2. fıkrasının ikinci cümlesi

    Kanun’un veri sorumlusuna başvuru usul ve esaslarını düzenleyen 13. maddesinin iptali istenen cümlesi, başvurunun ayrıca bir işlemi gerektirmesi halinde ilgili kişiden Kurulca belirlenen tarifedeki ücretin alınabileceğini öngörmektedir. Başvurucular tarafından bu ücret alımının kişinin temel haklarından olan özel hayatın gizliliği hakkından etkin bir biçimde yararlanmasını engelleyeceği ve bu hakkı sosyal hukuk devleti ve adalet ilkeleriyle bağdaşmayacak şekilde sınırlayacağı iddia edilmiştir.Anayasa Mahkemesi dava konusu kuralla kişisel verilerin korunması hakkına sınırlandırma getirildiğini kabul etmekle beraber bu sınırlandırmanın sadece işlemin ayrıca bir maliyet gerektirmesi halinde söz konusu olmasından dolayı hakkın özüne zarar vermediğini dolayısıyla Anayasa’nın 13. maddesine aykırılık olmadığını düşünmektedir. Veri sorumlusunun bu maliyetten sorumlu tutulmasının hakkaniyete uygun düşmeyeceği ayrıca bu ücretin belirsiz değil; Kurulca belirlenecek olması nedeniyle Anayasada belirlenen temel insan haklarına aykırılık oluşmadığından kanaatle ilgili cümlenin iptal talebi Mahkemece reddedilmiştir.İlgili kişinin veri sorumlusuna başvuru noktasında ücret alınıp alınmayacağı veya bu ücretin gerekli olup olmadığı, hangi durumlarda gerekli olacağı büyük bir soru işaretidir. Kanun ve Anayasa Mahkemesi kararı gerekçesinden anlaşılan, işlemin yalnızca ayrıca bir maliyet gerektirmesi halinde bu maliyetin veri sorumlusuna yükletilmesi haksız olacağından ilgili kişinin bu ücrete katlanmasıdır. Bunun tek istisnası, veri sorumlusunun hatasından kaynaklanan bir başvuru olması halinde bu ücretin ilgili kişiye iade edilmesidir.İlgili kişinin veri sorumlusuna başvurmak için belli bir bedel ödemesini şu noktada haklı ve gerekli bulmaktayım: Kişisel Verilerin Korunması Kanunu’nun temel amacı her ne kadar bireyi kişisel verileri üzerinde olası hukuka aykırı ihlalleri karşı korumak ise de veri sorumlusunun da menfaatini tamamen hiçe saymak gibi bir amaç gözetilmemiştir. Bu nedenle veri sorumlusu açısından hakkaniyet ilkesiyle bağdaşmayacak fiillerin ilgili kişinin menfaatlerinin korumak adına hukuka uygun olarak değerlendirilmesi kabul edilmemelidir. Buradan hareketle veri sorumlusuna başvuru hakkının da çeşitli noktalarda sınırlandırılması gerektiği sonucuna varıyoruz. Aksi takdirde bu başvuru hakkının ilgili kişi tarafından, kişisel verisiyle ilgili gerçekten bilgi almak istemediği halde veya bu bilgiyi almasında herhangi bir menfaati olmadığı halde sırf hakkı olduğundan hareketle suiistimal edilmesi gibi bir tehlike doğmaktadır. Böyle bir tehlike esasen Kanun’un da amacına aykırıdır. Bu nedenle veri sorumlusuna başvuru karşılığında ayrıca bir işlem gerektirmese dahi asgari bir ücret alınması mümkündür. Bununla beraber veri sorumlusunun bu başvuruya cevap vermesinden sonra; ilgili kişinin bu başvuruyu yapması haklı bir gerekçeye dayandığı anlaşılıyorsa bu ücret iade edilebilir. Bu noktada veri sorumlusunun kusurunun olup olmaması da tartışılmalıdır.

    6. Kanun’un 15. maddesinin 3. fıkrasında yer alan “devlet sırrı niteliğindeki bilgi ve belgeler” hariç ibaresi

    Anayasaya aykırı olduğu iddia edilen ibarenin yer aldığı 15. maddede Kişisel Verileri Koruma Kurulu tarafından yapılacak incelemenin usul ve esasları düzenlenmiştir. Buna göre veri sorumlusu devlet sırrı niteliğindeki bilgi ve belgeleri Kurul’a gönderemez ve bunlar üzerinde inceleme yaptıramaz. Bu düzenlemenin belirli ve ölçülü olmadığı ve idarenin keyfi uygulamalarına sebep verecek nitelikte olduğu gerekçeleriyle hukuka aykırı olduğu ileri sürülmüştür.Anayasa Mahkemesi, temel hak ve özgürlüklerin mutlak anlamda sınırlı olmayıp; o özgürlüğün doğasından kaynaklanan bazı sınırları bulunduğunu kabul etmiştir. Devlet sırrı niteliğindeki bilgi ve belgelerden anlaşılması gereken devletin iç ve dış güvenliği ile milli savunmasını sağlamaya ve anayasal düzenini korumayı sağlayan bilgi ve belgelerdir. Bu nedenlerden ötürü yapılan sınırlandırmanın da Anayasanın 13. maddesine uygun bir sınırlandırma olduğunu kabul eden mahkeme, söz konusu ibarenin iptali talebini reddetmiştir.Devlet sırrı kavramı CMK’nın 47. maddesinde; açıklanması, Devletin dış ilişkilerine, milli savunmasına ve milli güvenliğine zarar verebilecek; anayasal düzeni ve dış ilişkilerinde tehlike yaratabilecek nitelikteki bilgiler şeklinde tanımlanmıştır. Kişisel Verilerin Korunması Kanunu bu anlama gelecek bilgi ve belgelerin Kurul tarafından incelenemeyeceğini hüküm altına alınmıştır. Bu hükümle, Kurul’a şikâyet yoluyla başvuran ilgili kişinin kişisel verisinin ihlal edilip edilmediği hususunun, bu nitelikteki bilgi ve belgelerin incelenmesini gerekli kılması noktasında kişisel verilerin korunması hakkının sınırlandırıldığı açıktır. Ancak bu sınırlandırma devletin güvenliği ve kamu düzeninin sağlanması ile suç işlenmesinin önlenmesi gerekçelerine dayanmaktadır. Dolayısıyla Anayasa’nın 13. maddesinde belirtilen şartlara uygun bir sınırlandırmanın mevcut olduğunu söylemek mümkündür. Nitekim 108 sayılı sözleşmenin 9. maddesinde de devlet ve kamu güvenliği ve devletin menfaatlerinin korunması gibi nedenlerden olayı kişisel verilerin korunması hakkına sınırlama getirilebileceğini belirmiştir.Devlet sırrı niteliğindeki belgeler CMK’nın 125. maddesi gereğince Mahkeme’ye karşı gizli tutulamasa da; bu madde hükmü hapis cezasının alt sınırı beş yıl veya daha fazla olan suçlarda uygulama alanı bulur. Buna karşın kişisel verilere ilişkin düzenlenmiş bulunan suçlar için öngörülen hapis cezası daha kısa sürelidir. Öyleyse kişisel verilerin ihlaline ilişkin bir suç oluşup oluşmadığının tespiti; devlet sırrı niteliğindeki bilgi ve belgelerin incelenmesini gerekli kılıyorsa, bu mümkün olamayacaktır. Bu da kişinin verilerinin korunması hakkının ölçüsüzce sınırlandırılması anlamına gelir. Zira bu halde kişinin hakkı kullanılamaz hale getirilmiş ve hakkın özüne zarar verilmiştir. Bu nedenle bu nitelikteki belgelerin Kurulca incelenememesi noktasında Anayasa Mahkemesi ile aynı fikirde olup, söz konusu iptal talebinin reddini yerinde bulsam da; Mahkemelerin kişisel verilerin ihlalinin bir suça konu olup olmadığının tespiti amacıyla bu bilgi ve belgeleri inceleyebilmesi gerekir. Ancak bu değişiklik 6698 sayılı KVKK’da değil, CMK’nın 125. maddesinde yapılmalıdır.

    7. Kanun’un 16. maddesinin 2. fıkrasının ikinci cümlesi;

    Kanun’un veri sorumluları sicili başlıklı 16. maddesinde veri işleyen gerçek ve tüzel kişilerin veri işlemeye başlamadan önce veri sorumluları siciline kaydolmak zorunda olduğu öngörülmüştür. İptali istenen cümlede ise bu kayıt yükümlülüğüne Kurul tarafından çeşitli objektif kriterler esas alınarak istisna getirilebileceği belirtilmiştir. Ancak Kurula tanınan bu takdir yetkisi başvurucular tarafından veri sahibini korumasız hale getireceği ve hukuk devleti ilkesiyle bağdaşmadığı gerekçeleriyle iptal davasına konu edilmiştir.Buna karşılık Mahkeme, Kurul’un işlenen verilerle ilgili farklılıkları dikkate alarak vereceği kararla, gerekli görmediği hallerde kayıt yükümlülüğüne istisna getirebileceği hususunu amaç ve araç arasında orantı bulunduğundan Anayasaya uygun bulmuştur. Ayrıca istisna kapsamında olan veri sorumlularının da Kanun ile belirlenen yükümlülükleri yerine getirmesi gerektiğini belirtmiştir.Veri sorumluları siciline kaydolması gereken veri sorumlularına çeşitli hallerde istisna getirilmiş olup, bu istisnalar Kanun’un 28. maddesinde tek tek sayılmıştır. Ayrıca Kanun’un ardından yayınlanan Veri Sorumluları Sicil Yönetmeliği’nin 15. maddesinde de bu haller belirtilmiştir. Bu haller dışında Kurul’a tanınan bir de takdir yetkisi söz konusudur. Buna göre Kurul, veriye ilişkin esasları dikkate alarak veri sorumlularına kayıt yükümlülüğü konusunda istisna getirilebilecektir. Bu noktada altı çizilmesi gereken husus bu istisnanın sadece veri sorumluları siciline ilişkin olup, Kanun’un veri sorumlusunun yükümlülüklerini düzenleyen 12. maddesi ile ilgili olmamasıdır. Bunun anlamı, sicile kayıt zorunluluğu olmayan veri sorumlularının da Kanun’da kendisine verilen görevleri yerine getirmek zorunda olduğudur. 95/46/EC sayılı Direktif de belirlenen diğer yükümlülüklerin ortadan kalkmadığını belirterek, ulusal veri koruma otoritelerinin bildirim yükümlülüğünü kaldırıp basitleştirebileceğini öngörmüştür.Kanun’da kayıt yükümlülüğüne istisna getirilecek haller ayrıca tek tek sayılsa da kayıt olmayı gerektirmeyen bütün hallerin Kanun tarafından önceden öngörülmesi mümkün değildir. Bu nedenle Kurula bu noktada takdir yetkisi tanınması yerindedir. Ancak bu takdir yetkisinin denetim ve gözetim altında olup; bu yetkiye karşı başvuru veya şikâyet gibi yargı yollarının açık olması gerekir. Aksi bir durum idarenin keyfi uygulamalarına yol açabilecek niteliktedir.

    8. Kanun’un 24. maddesinin 3. fıkrasının b bendinde yer alan “Kurulca gerekli olanların” ibaresi

    Kişisel Verileri Koruma Kurulu Başkanı’nın görevlerini belirten 24. maddenin ilgili ibaresi, başvurucular tarafından Kurul’a başvuran kişi ve kamuoyu bakımından belirsizlik yarattığı, Kurula yapılan başvurular arasında ayrım yapılıp; bu ayrımın kriterlerinin belirlenmediği gerekçesiyle dava konusu edilmiştir.Mahkeme, kuralın belirsiz olmadığı, Kurul’un çalışma usul ve esaslarının belirlenmesiyle objektif kriterlerin anlaşılabileceği ve söz konusu kuralın takdir yetkisi çerçevesinde olduğundan bahisle ilgili ibareyi Anayasaya aykırı bulmayarak iptal istemini reddetmişse de bu kararını net bir biçimde gerekçelendiremeyip; yeterli bir açıklama yapamamıştır.Kişisel Verileri Koruma Kurulu kişisel verilerinin ihlal edildiğine dair kendisine yapılan şikayetleri karara bağlamalıdır. Verilen bu kararlardan gerekli gördüğünü kamuoyuna bildirme konusunda Kanun’un kendisine tanıdığı takdir yetkisine sahiptir. Bu gerekli görmenin ise neye göre olacağı açıklanmamıştır. Konu türü, veri niteliği ve büyüklüğü veya ihlalin derecesi gibi hususlardan hangisi veya hangilerinin kamuoyuna duyurmada esas alınacağı noktasında belirsizlik vardır. Kanaatimce burada ihlalin derecesinin esas alınması doğru olacaktır. Küçük çaplı ilk ihlalde bunun yayınlanması gerekmezken; büyük ihlallerden kamuoyunun bilgilendirilmesinde kamu yararının olduğunu düşünüyorum. Ayrıca Kurulun kararları kişisel verilerin korunması hukuku bakımından içtihat ve yol gösterici nitelikte olduğundan küçük çaplı ihlallerde dahi şikâyet edenin ve veri sorumlusunun ad ve/veya unvanları gizlenerek yayınlanmalıdır.Hukuk devletinin gereklerinden olan belirlilik ilkesi elbette her şeyin yalnızca Kanun ile belirli olması anlamına gelmez. Bu ilke kanuni belirlilik değil; hukuki bir belirlilik aramaktadır. Öyleyse Kanun’un genel çerçeve çizdiği bir hususun içtihat veya düzenleyici işlemlerle de açıklanması ve belirlenmesi mümkündür. Buna karşın konuya ilişkin herhangi bir düzenleme yapılmış değildir. Bu nedenle verilen kararlardan Kurulca gerekli görülenlerin kamuoyuna sunulması Kurulun takdir yetkisine bırakılmış olsa da, bu yetkinin nasıl kullanılacağının belirlenmesi ve kararların sunulmasının gerekli olup olmadığının hangi kriterlere göre tespit edileceği hukuki güvenlik ve öngörülebilirliğin sağlanması için zorunludur. Bu bakımdan yapılan başvuruyu haklı buluyorum.

    9. Kanun’un 28. maddesinin 1. fıkrasının (a) ve (ç) bentleri;

    Kanun’un istisnalar başlıklı 28. maddesinde hükümlerinin uygulanmayacağı haller sayılmıştır. İptal davasına konu olan (a) bendi; “Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi” şeklindedir. Bu halde Kanun hükümleri uygulanmayacaktır.Başvurucular, sadece aynı konutta yaşamanın kişisel alana müdahale edilebileceği anlamına gelmediği ve kişisel özerkliğin önemli bir ilke olduğu gerekçeleriyle Anayasaya aykırılık iddiasında bulunmuştur. Mahkeme ise dava konusu kuralla birlikte yaşamanın kolaylaştırılmasının amaçlandığı ve bu hakkı kullanılamaz duruma getirmediği dolayısıyla da hakkın özüne dokunmadığı düşüncesindedir. Getirilen bu istisnanın ölçülülük ilkesine uygun olduğu kanaatine varan Mahkeme, iptal talebini reddetmiştir.Kişisel verilerin tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyet kapsamında işlenmesini Kanun dışında tutan hüküm ile ilgili olarak Anayasa Mahkemesi’nin karar ve gerekçesine katılmaktayım. Zira bu istisna hem veri sahibini hem de veri işleyen kişinin menfaatlerini gözetmektedir. Ayrıca bu durum aynı evde birlikte yaşamanın doğal bir sonucudur. Gündelik yaşam içerisinde aynı konutta yaşayan aile fertlerinin faaliyetlerini yerine getirebilmesi için diğer fertlere ilişkin verileri işlemesi gerekebilir. Her gereklilikte açık rıza zorunluluğunun olması gündelik yaşamı zorlaştıracağı gibi veri sahibi açısından da herhangi bir kolaylık sağlamayacaktır. Mahkemenin de kararında belirttiği gibi bu husus tamamen veri işleme prosedürünü kolaylaştırmaya yöneliktir. Kaldı ki bu verilerin işlenmesi her ne kadar Kanun kapsamı dışında tutulsa da; madde metninde verilerin üçüncü kişilere verilmesi yasaklanmış ve veri güvenliğine ilişkin yükümlülüklere uyulması gerektiğinin altı çizilmiştir. Dolayısıyla Kanun koyucu tarafından gündelik yaşamı kolaylaştırmak amacıyla makul bir denge gözetilerek düzenlenen hükmün Anayasaya aykırı herhangi bir yönünün olduğunu düşünmüyorum.Aynı maddenin Anayasaya aykırı olduğu iddia edilen (ç) bendine göre; “Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi” halinde Kanun hükümleri uygulanmayacaktır.Başvurucular kuralın belirlilik ilkesine aykırı olduğu ve idarenin keyfi uygulamalarına yol açabilecek nitelik taşıdığı iddiasında bulunmuştur. Mahkeme bu hükümle kişisel verilerin korunması hakkının sınırlandırıldığını kabul etmekle beraber; bu sınırlandırmanın haklı gerekçelere dayanıp ölçülülük ilkesiyle bağdaştığı sonucuna ulaşmıştır. Mahkemeye göre ulusal güvenlik temel hak ve özgürlüklerin sınırlandırılabilmesi için haklı bir gerekçedir.Kanun hükümlerinin uygulanmayacağı diğer bir istisna hali “milli savunma”, “milli güvenlik”, “kamu güvenliği”, “kamu düzeni” ve “ekonomik güvenlik” amaçları ile kamu kurum ve kuruluşlar tarafından yürütülen “önleyici, koruyu ve istihbari faaliyetler” olarak öngörülmüştür. Kişisel verilerin bu kapsamda işlenmesi 6698 sayılı Kanuna tabi olmayacaktır.Temel hak ve özgürlükler mutlak ve sınırsız olmayıp ya Kanun’dan ya da hakkın doğasından kaynaklanan birtakım sınırlamaları mevcuttur. Ancak bu sınırlar demokratik toplum düzeni ve hukuk devleti ilkeleriyle bağdaşmalıdır. Temel hak ve özgürlüklere milli güvenlik ve kamu düzeninin sağlanması ile suç işlenmesinin önlenmesi amaçları gözetilerek getirilen sınırlamalar uluslararası mevzuatlarda da yaygındır. Özellikle AİHM kararlarında istihbari faaliyetler kapsamında özel hayatın gizliliği ve kişisel verilerin korunması gibi haklara yapılan müdahalelerin hukuka uygun kabul edildiğini görüyoruz. Çünkü bu müdahalenin olmaması halinde kamu düzeni ve milli güvenlik açısından daha kötü sonuçların doğması muhtemeldir. İşte bu noktada kişinin verilerinin işlenmesi ile kamu ve milli güvenlik arasında makul bir menfaat dengesi gözetilmelidir. Dava konusu kuralın makul bir denge gözettiğini düşünmekle beraber, hükümde yer alan kavramlardan ne anlaşılması gerektiğinin belirlenmesinin faydalı olacağını ve bu kavramların geniş yorumlanması halinde ihlallerin hukuka aykırılık oluşturacağını belirtmeliyim.

    10. Kanun’un 30. maddesinin 7. fıkrası ile değiştirilen 663 sayılı KHK’nın 47. maddesi

    İptal davasına konu olan hükmün yer aldığı 663 sayılı KHK Sağlık Bakanlığı ve bağlı kuruluşlarının teşkilat, görev, yetki ve sorumluluklarını düzenlemektedir. Bilgi toplama, işleme ve paylaşma yetkisi başlıklı 47. maddesinde;

    • Bakanlık ve bağlı kuruluşların kanun ile belirlenen görevlerini yerine getirebilmek için bütün kamu ve özel sağlık kurum ve kuruluşlarından; sağlık hizmeti alanların, aldıkları sağlık hizmetinin gereği olarak ilgili sağlık kurum ve kuruluşuna vermek zorunda oldukları kişisel bilgileri ve bu kimselere verilen hizmete ilişkin bilgileri her türlü vasıtayla toplamaya, işlemeye ve paylaşmaya yetkili olduğu,

  • Bakanlık ve bağlı kuruluşların, işlediği kişisel sağlık verilerini ilgili üçüncü kişiler ve

    kamu kurum ve kuruluşları ile ancak bu kişi ve kurumların bu verilere erişebileceği hususunda kanunen yetkili olması halinde ve görevlerini yapmalarına yetecek derecede paylaşabileceği,

  • Bakanlık ve bağlı kuruluşların, kanun ile belirlenen görevleri yerine getirebilmek için gereken bilgileri, kamu ve özel ilgili bütün kişi ve kuruluşlardan istemeye yetkili olduğu,hüküm altına alınmıştır.

    Başvurucular bu maddenin sağlık ve yaşam hakkına müdahale niteliğinde olduğunu, kişilerin sağlıkla ilgili bilgilerinin kamu yararı sayılan bazı durumlar dışında devletten dahi gizli tutulmasını isteme hakkı bulunduğunu ancak kuralda sayılan amaçların kamu yararını aşacak kadar geniş düzenlendiğini iddia ederek ilgili maddenin iptalini talep etmiştir.Mahkeme, hükmün sağlık hizmetlerinin yerine getirilmesi, hasta takip sisteminin iyi bir şekilde işleyebilmesi ve hastaların sağlık hizmetlerinden en iyi biçimde yararlanabilmesi amacı taşıdığını ve Anayasanın 5. maddesine göre insanın maddi ve manevi şartlarının gelişmesi için Devletin gerekli şartları sağlamakla görevli olduğunu gerekçe göstererek bu iptal talebini de reddetmiştir.Dava konusu kuralla Sağlık Bakanlığı ve bağlı kuruluşlara özel nitelikli veri sayılan sağlık verilerinin işlenmesi için geniş bir yetki verildiği son derece açıktır. İlk olarak kuralın amacı kamu sağlığının geliştirilmesi olsa da bu kadar geniş bir yetkinin KHK ile düzenlenmesini doğru bulmadığımı söylemeliyim. 6698 sayılı Kanun ile özel nitelikli verilerin işlenme şartları; kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi olarak belirlenmişken, KHK ile bu şartlar oldukça genişletilmiştir. Oysa Anayasa ve yasalarda yer alan bir hükmü geçersiz kılmak mümkün olmadığı gibi; burada olmayan yeni hükümler ve yeni düzenlemeler getirilmesi de hukuken mümkün değildir. Bu açıdan bakıldığı zaman dava konusu kuralın içerik ve niteliğini incelemeye geçmeden önce; Kanun ile öngörülmemiş hususları öngörmesi bakımından düzenleniş biçimiyle hukuka aykırı olduğu görülmelidir. Nitekim böylesine bir tutum Anayasanın 91. maddesiyle de bağdaşmaz. Buna göre;

  • Sağlık bakanlığı ve bağlı kuruluşlarına tanınan bu geniş yetki olağan dönem KHK’sı ile değil de Kanun ile düzenlenmiş bulunsaydı da, içerik bakımından hukuka aykırılık oluşturacağını düşünüyorum. Zira denetim yolunun açık olup olmadığı, açıksa nasıl olacağı gibi hususların belirlenmediği bir konuda böylesine ucu açık bir yetkinin idarenin keyfi uygulamalarına yol açmasından kaçınılamaz. Bu nedenle Mahkemenin söz konusu hükmün iptal talebini red kararına ilişkin gerekçelerini yeterli bulmayıp; hükmün Anayasaya aykırı olduğu kanaatindeyim.

    Sonuç

    6698 sayılı Kişisel Verilerin Korunması Kanunu’nun çeşitli madde, fıkra ve ibarelerinin Anayasaya aykırılığı iddiasıyla Anayasa Mahkemesi’nde açılmış olan iptal davasını; iptal talebinin gerekçesi, Anayasa Mahkemesinin karar ve gerekçesi ve son olarak kendi görüş ve değerlendirmemi yukarıda detaylı bir biçimde açıkladım.İptal davasının konusunu genellikle kişisel verilerin korunması hakkını sınırlandıran veya sınırlandırma ihtimali bulunan hükümlerin oluşturduğunu görüyoruz. Zira kişisel verilerin korunması kişinin temel hak ve özgürlüklerinden olup; bu hakka ilişkin yapılan sınırlandırmalar konusunda dikkatli olunması gerekir. Bu nedenle söz konusu Anayasa Mahkemesi kararını kişisel verilerin korunması hukukunun gelişmesi açısından önemli görüyorum.Kişisel verilerin korunması bilincinin henüz tam anlamıyla yerleşmemiş olması ve konuyla ilgili düzenlemelerin çok yeni olması nedeniyle bu düzenlemelerin eleştirilmesi, eksi ve artılarının tespit edilmesi veya bazı noktalarda eksik bulunması doğaldır. Burada önemli olan yapılan eleştirileri veya başvuruların dikkate alınıp; mevzuatı geliştirmeye çalışmaktır. Zira hukuk, her zaman kendini yenilemeli ve gelişen dünyaya ayak uydurmalıdır. Hele ki teknolojiyle bu kadar sıkı bir ilişki içerisinde olan kişisel verilerin korunmasına ilişkin düzenlemelerin yenilenmesi kaçınılmazdır.Dava konusu yapılan hükümlerin uygulamadaki yansımasının, yalnızca bireyler üzerinde değil; çeşitli sektörlerdeki veri sorumlularına etkisinin de nasıl olacağı değerlendirilmelidir. Her türlü kişisel verinin işlenmesinin açık rızanın varlığı şartına bağlanması ya da bu konuda hiçbir istisnanın düzenlenmemesi, günümüzün tamamen dijitalleşmiş dünyasında gerçekçi bir yaklaşım değildir. Ekonominin, güvenliğin, sağlığın, eğitimin ve hatta adaletin dijitalleştiği ve kişisel verilerin yoğun biçimde kaydedildiği, işlendiği ve paylaşıldığı bir dünyada aşırı kısıtlayıcı hükümler getirmek ve bunu kanun yoluyla yapmaya çalışmak gerçekçi olmadığı gibi akıntıyı tersine çevirmekle eş anlamlıdır. Oysa akıntı tersine çevrilemez, akıntıya uymak ama nehirde sağa sola çarpmadan düzgün yol almak gerekir. Üzerinde bulunduğumuz teknenin akıntıyla birlikte düzgün yol alması ise 6698 sayılı Yasadan çok, bireyler, veri sorumluları, Kurul ve mahkemelerin görevidir.

  • KVKK Danışmanlığı

  • KVKK DANIŞMANI

  • KVKK 

  • www.orcdanismanlik.com

 

vrupa İnsan Hakları Sözleşmesi

Avrupa Konseyi, İkinci Dünya Savaşı'ndan sonra Avrupa'daki ülkeleri hukukun, demokrasinin, insan haklarının ve sosyal gelişimin öne çıkarıldığı bir amaç etrafında toplamak üzere kurulmuştur. Bu amaca yönelik olarak 1950 yılında kabul edilen Avrupa İnsan Hakları Sözleşmesi (AİHS), 1953 yılında yürürlüğe girmiştir.17 AİHS hükümleri, taraf devletler için bağlayıcı niteliktedirler. Avrupa Konseyi ülkelerinin tamamı günümüze dek ya AİHS’i kendi ulusal hukuklarının bir parçası haline getirmiş ya da sözleşmeyi ulusal hukuklarında etki gösterecek biçimde tanımışlardır. Başka bir ifadeyle günümüzde sözleşmeye uygun hareket etme yükümlülüğü altındadırlar. Taraf devletler, yetkilerini ve güçlerini kullanırken sözleşme ile sağlanmış haklara saygı göstermek zorundadırlar. Buna ulusal güvenlik sebebiyle kullanılan yetkiler de dahildir. Nitekim Avrupa İnsan Hakları Mahkemesinin (AİHM) bazı emsal kararları, devletlerin hassas ulusal güvenlik meselelerini korumak üzere icra ettikleri bazı faaliyetlerini de kapsamaktadır. 18 Kişisel verilerin korunması hakkı, kaynağını AİHS’in 8. maddesi ile düzenlen aile ve özel yaşamına saygı duyulmasını isteme hakkından almaktadır.19 Bunun bir sonucu olarak AİHM, kişisel verilerin gizliliğinin ihlali iddiasıyla önüne gelen uyuşmazlıkları, AİHS’in 8. maddesine göre çözümlenmektedir. Mahkeme, öncelikle 8. Maddede düzenlenen “özel alan” kavramını somutlaştırmakta ve aynı maddenin ikinci fıkrası kapsamında bu alana yapılan müdahaleleri incelemektedir. Başka bir ifade ile AİHM, 8. Maddenin birinci fıkrası ile öngörülen özel alanının sınırlarını, maddenin ikinci fıkrasını yorumlamak suretiyle çizmekte ve buradan hareketle somut olayda özel alana yapılan müdahalenin meşruluk kazanıp kazanmadığını değerlendirmektedir.20 AİHM bu yöntem ile iletişimin dinlenmesi, özel veya kamu kuruluşları tarafından gerçekleştirilen çeşitli izleme yöntemleri, kamu otoriteleri tarafından kişisel verilerin depolanması da dahil olmak üzere veri güvenliğini ilgilendiren birçok duruma ilişkin karar vermiştir. Belirtmek gerekir ki özel hayatın gizliliğine saygı duyulmasını isteme hakkı, mutlak bir hak değildir. Zira bu hakkın kullanımı ifade özgürlüğü veya bilgiye erişim hakkı gibi diğer bazı hakların kullanılmasına engel olabilir. Bu sebeple mahkeme somut olayda yarışan haklar arasında bir denge bulmayı amaçlamaktadır. Buna ek olarak AİHM’in verdiği kararlarda devletlere yalnızca bu hakkı ihlal edebilecek davranışlardan kaçınmak yükümlülüğü vermediğini, aynı zamanda bazı durumlarda bu hakkı güvence altına almak üzere aktif çaba gösterme görevi yüklediğini de görmekteyiz. 21 Avrupa İnsan Hakları Sözleşmesinde yer alan düzenlemenin yoruma açık olmasından bahisle, kimilerince kötüye kullanılabileceği de dile getirilmiştir. Yukarıda ifade edildiği üzere hakkın kullanımı bazı diğer haklarının kısıtlanması anlamına gelmektedir. Bu durum hakkın kötüye kullanımının önünü açtığı gibi, yine 8. maddeye dayanarak yapılacak yasal veya idari düzenlemeler neticesinde bazı kurum veya kuruluşlara adaletsiz yükler getirilmesi veya bu maddeye dayalı kapsamlı davalar açmak yoluyla AİHM’in devletler üzerinde sahip olduğu gücü kullanarak devletlerin egemenliğinin sınırlanması gibi problemlerin ortaya çıkabileceği söylenmiştir. Ne var ki düzenlemenin, her iki cepheden de eleştiriler almasına rağmen bugüne dek tüm tarafların çıkarlarını gözetecek şekilde dengede kaldığı da söylenebilir. Bu yüzdendir ki AİHS’nin özel hayatın gizliliği hakkına ilişkin ortaya koyduğu emsal, modern yasal düzenlemelerimizi dahi etkileyecek kadar uzun bir süredir etkisini sürdürmektedir 

KVKK DANIMANLIK

KVKK DANIŞMANI

ORC DANIŞMANLIK

Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi 

Bugün 108 numaralı sözleşme olarak da bilinen Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi; 1960'lardan sonra teknolojide yaşanan gelişmeler neticesinde ülkelerin ve uluslararası kuruluşların kişisel verilerin gizliliği ve korunması kavramlarıyla tanışmaları neticesinde ortaya çıkmıştır. Avrupa Konseyi, 108 No’lu sözleşmeyi 1985 yılında kabul etmiştir. Bu sözleşme, özel olarak kişisel verilerin toplanması ve işlenmesine karşı yapılan bağlayıcı nitelikteki ilk uluslararası sözleşmedir. Aynı zamanda ilk kez bu sözleşme ile kişilerin ırkı, siyasi görüşü, dini ve adli kayıtları gibi hassas verilerinin işlenmesi hukuka aykırı kabul edilmiştir. Bu sözleşme gerek özel sektör tarafından toplanan gerekse yargı ve kolluk unsurları gibi kamu araçlarınca toplanan ve işlenen tüm verileri kapsamaktadır. 108 No’lu sözleşme vatandaşları yetkisiz veri toplanması ve işlenmesi gibi kötüye kullanımlara karşı korumakta ve sınır dışına veri aktarımını düzenlemektedir. 108 No’lu sözleşme kişisel veriyi; kimliği belirli veya belirlenebilir bir kişiye ait olan veri olarak tanımlandığından doğru biçimde anonimleştirilmiş edilmiş veriler, 108 No’lu sözleşme kapsamında değillerdir. 23 108 No’lu sözleşmenin kişilerin verilerin hukuka aykırı bir şekilde toplanması ve işlenmesi neticesinde zarara uğramasını engellemek için asgari bazı standartlar koyduğunu söylemek yanlış olmayacaktır. Sözleşmenin diğer bir görevi, kişisel verilerin sınır ötesi akışının düzenlenmiş olmasıdır. Bu sözleşmenin yapılması ile aynı tarihlerde OECD, Özel Yaşamın Korunması Ve Kişisel Verilerin Sınır Ötesi Akışına İlişkin Rehber İlkeleri yayınlamıştır. Avrupa Konseyi'nin ve OECD’nin çalışmaları, birçok Avrupa ülkesinin harekete geçmesine ve kişilerin veri güvenliği hakları ile kamu otoriteleri ve işverenler gibi veri toplama ve işleme ihtiyacı duyanların bu ihtiyaçları arasında dengeleyici ulusal düzenlemeler yapmalarına sebep olmuştur.24 108 No’lu sözleşme, kendisinden sonra gelecek olan Avrupa Birliği 95/46/EC Kişisel Verilerin İşlenmesi Ve Bu Tür Verilerin Serbest Dolaşımına Dair Bireylerin Korunması Direktifin’in temelini oluşturmuştu 

KVKK DANIŞMANLIĞI

 

 

 

Kurumsal
Danışmanlık Hattı +90 (850) 302 33 86

Blog Yazılarımız

Güncel yazılarımızı ve ücretsiz paylaştığımız dökümanlarımızı blog kısmından takip edebilirsiniz.


ISO 37001

Yolsuzluk ve rüşvet maalesef ki karşılaştığımız en hoş olmayan sorunlardır. Dünya çapında yolsuzlukla mücadele için yapılan tüm çalışmalara rağmen halen sorun teşkil etmektedir. Bu sebeple ISO yani uluslararası standartlar teşkilatı dünyanın yolsuzlukla mücadele çabasına yardım etmek ve etik bir iş kültürüne sahip olmalarını sağlamak amacıyla ISO 37001 standardını geliştirmiştir. ISO 37001, rüşvetle ve yolsuzlukla mücadele için asgari ihtiyaçları sağlayan bir standarttır.

sayfaya git

Penetrasyon Testi

Penetrasyon yani sızma testi içerden ya da dışardan sisteme zarar vermek için yapılan siber saldırıları önceden görebilmek ve duruma göre tedbirleri alabilmek amacıyla planlanan bir saldırı simülasyonudur. Tıpkı gerçek bir siber suç işleniyormuş gibi saldırganların kullandığı yöntemler kullanılarak bilişim altyapısını ele geçirilmeye, sızılmaya çalışılır. Saldırganların yapabileceği her türlü sızma ya da saldırı senaryosu denenerek bilgisayar sisteminde, web uygulamasında ya da ağda bulunan tüm güvenlik eksikleri ve açıklara önlem alınması sağlanmış olur.

sayfaya git

KVKK

KVKK Nedir? Kişisel verileri koruma kanununun amacı nedir? Kişisel veri nedir? Özel nitelikli kişisel veriler. Açık rıza beyanı nedir?

sayfaya git