KİŞİSEL VERİLERİN KORUNMASI KANUNUNUN GETİRDİKLERİ
VE
DENİZCİLİK SÖZLEŞMELERİ
Anayasa’nın 32. Maddesinde düzenlenen özel hayata saygı gösterilmesi ve gizliliğine dair temel anayasal hak 6698 sayılı Kişisel Verilerin Korunması kanunu ile birlikte kanuni bir düzenleme kazanmıştır.
12.10.2010 tarihinde yapılan değişiklikle Anayasa’nın 32. Maddesi 3. Fıkrasına;
“Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.”
Eklenmiştir.
Ayrıca, kişisel verilerin korunmasına yönelik olarak Türk Ceza Kanunu’nun 135. Maddesi ila 140. Maddesinde düzenleme yapılmıştır. Hukuka aykırı şekilde kişisel verileri kaydedilmesi halinde cezai yaptırım uygulanacağı, kişilerin siyasi, felsefi veya dini görüşlerine, ırki kökenlerine; hukuka aykırı olarak ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarının kişisel veri olarak kaydedilmesini halinde daha ağır cezaya hükmolunacağı vurgulanmıştır. Kişisel verilerin hukuka aykırı şekilde başkasına verilmesi, yayılması veya ele geçirilmesi halinde de cezai yaptırım öngörülmüştür. Bunların dışında kişisel verilerin belirlenen sürelerden sonra yok edilmemesi halinde de hapis cezasına hükmolunacağı ifade edilmiştir.
Hem Anayasa hem de Türk Ceza Kanunu kapsamında korunması gereken temel insan haklarından olan kişisel verilerle ilgili açıklayıcı bir yasal bir düzenleme bulunmadığı için uygulamada bir boşluk oluşmuş, bu nedenlerde tam bir işlerlik kazanamamıştır. Nitekim, Yargıtay Ceza Genel Kurulu’nun 10.06.2014 tarih 2012/12-1514 E- 2014/312 K sayılı ilamında “kişisel verilerin ‘neler olduğu, ‘kaydetme’ den neyin anlaşılması gerektiğine dair bir açıklama bulunmadığı gibi TCK’nın 6. maddesindeki tanımlarda da herhangi bir açıklama bulunmamaktadır.” denilmek suretiyle kişilerle ilgili yüzlerce bilginin kişisel veri olarak kabul edildiği düşünüldüğünde, Türk Hukukçuları tarafından hangi verilerin ceza hukuku anlamında kaydı, verilmesi veya ele geçirilmesinin suç olduğu konusunda hiçbir şekilde fikir birliği olmadığı bir ortamda ve Türk Yargı tarihinde de ilk defa Ceza Genel Kurulunun önüne gelmiş, burada da ortak bir tanıma varılmadığı nazara alındığında sanığın haksızlık yanılgısı içinde olduğunu belirtmiştir. Bunun haricinde yargı içtihatları ile tanımlamalar yapılsa da kişisel veri hakkında açık bir düzenleme yapılamamıştır.
Kişisel veri, bireylerin kimliklerini belirli hale getirmeye elverişli her türlü bilgi olarak tanımlanabilir. Bu bağlamda kişinin kimlik, iletişim, sağlık ve mali bilgileri ile özel hayatına, dini inancına ve siyasi görüşüne ilişkin bilgiler, kişisel veri olarak nitelendirilmektedir.
Kanunun 2. maddesine göre bu Kanun hükümleri kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır. Buna göre, tüzel kişilere ait kişisel veriler Kanun kapsamı dışındadır, ancak tüzel kişiye ait verilerden gerçek kişinin belirlenmesinin mümkün olması halinde bu veriler de Kanun kapsamında sayılacaktır.
Öğretide de kişisel verilere ilişkin; “Bireyin şahsi, mesleki ve ailevi özelliklerini gösteren, o bireyi diğer bireylerden ayırmaya ve niteliklerini ortaya koymaya elverişli her türlü bilgiyi ifade eder” [1]“Bir kişinin adı ve soyadı, yaşı, cinsiyeti, doğum yeri, dini, TC kimlik numarası, cinsel hayatı, cep telefonu numarası, medeni durumu, ailesi, işi, geliri, borçları, adresi, geçirdiği hastalıklar, özel zevkleri ve buna benzer bilgileri”[2] şeklinde tanımlar yapılmıştır. Kişilerin, sadece insan olması ve toplumdaki yeri, bazı değerleri kişisel veri haline getirmektedir, örneğin; kişinin adı, adresi, kimlik bilgileri, medeni durumu vb… Bunun yanında teknolojik gelişmeler nedeniyle gittikçe karmaşıklaşan toplum hayatındaki birtakım bilgiler de kişisel veri haline gelmiştir, örneğin; vatandaşlık numarası, banka hesap numarası, telefon numarası, elektronik posta adresi ve şifresi vb… Dolayısıyla farklı gruplandırmalar bulunmakla birlikte kişisel verilerin iki başlık altında toplanması mümkündür. Birinci grupta; insanın varoluşundan kaynaklanan kişiliğine ait bilgiler, ikinci grupta ise; teknolojinin gelişmesiyle insanın modern toplumda yer alması nedeniyle kendisine verilen ya da çeşitli hizmetlere ulaşmasında kullanılan bilgiler yer almaktadır. Ancak her iki grupta yer alan bilgilerin de kişisel veri olarak hukuk düzenindeki değeri ve korunmaları açısından bir fark bulunmamaktadır.[3]
Anayasa Mahkemesi bir kararında “kişisel veri, belirli veya kimliği belirlenebilir olmak şartıyla, bir kişiye ilişkin bütün bilgileri ifade etmektedir. Bu bağlamda adı, soyadı, doğum tarihi ve doğum yeri gibi bireyin sadece kimliğini ortaya koyan bilgiler değil; telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, İP adresi, e-posta adresi, hobiler, tercihler, etkileşimde bulunulan kişiler, grup üyelikleri, aile bilgileri, sağlık bilgileri gibi kişiyi doğrudan veya dolaylı olarak belirlenebilir kılan tüm veriler kişisel veri olarak kabul edilmektedir” denilmektedir.[4]
Bu karışıklıkların önüne geçmek için kanun koyucu Kişisel Verilerin Korunması Kanunu ve mevzuatı düzenlenmiş, mevzuatın uygulamasında çıkabilecek zorlukların önüne geçmek için Kişisel Verilerin Koruma Kurumu ile Kişisel Verilerin Koruma Kurulu oluşturulmuştur.
Kişisel Verilerin Korunması Kanunu, gerçek kişiye ait her türlü bilgi kullanılarak kişinin kimliğinin belirgin olmaması ya da bu bilgiler kullanılarak kişinin kimliğinin belirlenebilir olmasının engellenmesine yönelik olup, kişisel verilerin işlenmesinin disiplin altına alınması ve Anayasada öngörülen başta özel hayatın gizliliği olmak üzere temel hak ve özgürlüklerin korunmasına ilişkindir.
Kişisel verisi işlenen ilgili kişinin bilgilendirmeye dayalı ve özgür iradesi ile açık rıza göstermesi üzerine belirli bir konuya ilişkin olarak kişisel verilerin kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde her türlü işlemin yapılması veri sorumlusu ve onun verdiği yetki ile veri işleyen kişilerce yerine getirilmelidir. Açık rıza genel bir rıza şeklinde olmamalı, belirli bir konuda kişisel verilerin işlenmesine rıza gösterilmesi şeklinde olmalıdır. Açık rızanın veri sorumlusu tarafından aydınlatma yükümlülüğü gereği bilgilendirme yapıldıktan sonra verilmiş olması gerekmektedir. Açık rıza ile ilgili olarak sözleşmenin bir koşulu olarak dayatılmasının ve ayrıca sözleşmenin açık rıza şartına bağlanmış olmasının açık rızayı sakatlayacağı, bu nedenlerle Kanunun 4 üncü maddesinde yer alan hukuka ve dürüstlük kurallarına uygun olma ve işlenme amacı ile bağlı, sınırlı ve ölçülü olma ilkelerine aykırılık teşkil etmesi nedeniyle, Kurul tarafından Kanunun 12 nci maddenin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri alma yükümlülüğünü yerine getirmeyen veri sorumlusu hakkında Kanunun 18 inci maddesi uyarınca idari yaptırım uygulanmasına karar verilmiştir.
Veri sorumlusu kişisel verilerin işlendiği veri kayıt sisteminin kurulmasını ve yönetilmesinden sorumlu gerçek veya tüzel kişidir. Veri sorumlusu ve veri işleyen kişi kişisel verilerin işlenme şartlarına uygun olarak kişisel verileri işlemesi gerekmektedir. Bu şartlar kanunun 5. Maddesinde açıklanmıştır. Öncelikle kişisel verilerin ilgili kişinin açık rızası ile işlenmesi gerektiği ifade edilmiş, ancak kanun gereği, fiili imkânsızlık, kişisel verilerin sözleşmenin kurulması veya ifası için gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi ve hakkın tesisi, kullanılması veya korunması için zorunlu olması ve ilgili kişinin kendisinin alenileştirdiği takdirde açık rıza aranmayacağı istisnai olarak düzenlenmiştir.
Bunun yanında kişisel verilerde sınıflandırma yapılarak özel nitelikteki kişisel verilerle ilgili ayrı bir düzenlemeye gidilmiştir. Özel nitelik arz eden kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri ilgili kişinin açık rızası olmaksızın işlenmesi yasaklanmıştır. Özel nitelikteki kişisel veriler işlenme şartlarında istisnai bir düzenleme yapılmamış, açık rıza olmaması halinde verilerin işlenmemesi gerektiği emredici ve olumsuz bir kuralla ortaya konulmuştur.
Örneğin, kişisel verilerin işlenmesi şartlarında ilgili kişinin açık rızası aranmaksızın bir şirketin çalışanına maaş ödeyebilmesi için, banka hesap numarası, evli olup olmadığa bakmakla yükümlü olduğu kişiler, eşinin çalışıp çalışmadığı, sosyal sigorta numarası veri olarak işlenebilecektir. [5]
Ancak, kanun koyucu, özel nitelikteki sağlık kişisel verisinin işlenmesini ilgilinin açık rızasına ve kurul tarafından belirlenen yeterli önlemlerin alınmasını şartına tabi tutmaktadır. Bu doğrultuda Kişisel Verileri Koruma Kurulu tarafından 31.01.2018 tarihinde kurul kararı alınmıştır. “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” başlıklı düzenleme ile kurul, veri sorumlularının oldukça sıkı önlemler almasını istemiştir.
Özel nitelikteki kişisel verilerin işlenmesi için alınan önlemlerin ilki, verilerin güvenliğine yönelik kuralları belirli, sistemli ve sürdürülebilir bir politika ve işleme prosedürünün oluşturulmasını gerektiğidir. Bu bilgileri işleme süreçlerinde kullanan çalışanların konuyla ilgili olarak düzenli olarak eğitilmeleri, çalışanlarla gizlilik sözleşmesi yapılması, verilere erişim yetkilerinin net olarak tanımlanması ve yetki kontrollerinin yapılması, çalışanlar veri işleme sürecinin dışına çıktığı takdirde derhal yetkilerinin kaldırılması gerektiği ifade edilmiştir. Kişisel verilerin muhafaza edildiği dijital veya fiziki ortama yönelik tedbirler sıralanmış, kişisel verilerin aktarılmasının şifreli olarak kurumsal eposta kanalıyla ve KEP hesabı üzerinden yapılmasını, taşınabilir belleğin şifrelenmesi, kâğıt halinde olması halinde ise başkalarının görmesinin engelleyici tedbirlerin alınması ve “gizlilik dereceli belgeler” formatında gönderilmesi şeklinde düzenlenmiştir. Kurum tarafından yayımlanan Kişisel Veri Güvenliği rehberinde detaylı şekilde teknik ve idari tedbirler açıklanmıştır.[6]
Kişisel veri işlenmesi süreciyle ilgili olarak veri sorumlusuna ilgili kişiyi aydınlatma yükümlülüğü yüklenmiş, ilgili kişiye de kendi bilgileri ile ilgili olarak geniş bir tasarruf yetkisi tanınmıştır. Veri sorumlusu kendi kimliğini, hangi amaçla verilerin işleneceğini, verilerin aktarılması halinde kimlere ve hangi amaçla aktarılacağını, hangi hukuki sebeple verileri topladığını ve ilgili kişiye ait haklarını belirtmesi gerekmektedir. İlgili kişi de kişisel verilerin işlenmesi sürecinde kendine ait bilgilerin işlenip işlenmediğini ve işlenmişse bilgi verilmesini, işlenme amacına uygun kullanılıp kullanılmadığını, verilerin eksik veya yanlış olması halinde düzeltilmesini, silinmesini veya yok edilmesini, kimlere aktarıldığını ve kanuna aykırı işlenme nedeniyle zararın giderilmesini talep edebilmektedir.
Hizmet sözleşmesi örneği üzerinden özetlemek gerekirse; sözleşme kurulmadan muvafakatname düzenlenmeli, önce imzası bulunan çalışan adayının, iş ilişkisinin kurulması halinde işverene gerek talep üzerine gerekse de kendi isteği ile iletebileceği diğer kişisel verilerinin (Örneğin ve belirtilenlerle sınırlı olmamak üzere; özlük dosyasında muhafaza edilen kimlik fotokopisi, adli sicil kaydı, ikametgah, fotoğraf, gemi adamı cüzdanı, iş ilişkisi için istenen sertifikalar, özgeçmiş, diploma, askerlik durumunu gösterir belge, EK 13 dahil sağlık raporları, işe giriş bildirgesi, işten ayrılış bildirgesi, aylık prim ve hizmet belgesi, ücret bordroları, aile durumu bildirimi, engelliliği gösterir rapor, vergi indirim yazısı, eğitim belgeleri, iş sözleşmesi ve iş ilişkisinden kaynaklanan diğer bilgi ve belgeler), 6698 sayılı Kişisel Verilerin Korunması Kanunu ve tali mevzuat kapsamında tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla ve işveren olmaktan kaynaklanan yükümlülüklerin yerine getirilmesine ve benzeri amaçlar dahilinde, kişisel verinin kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, iş ilişkisinin konu olabileceği hususlarla ilgili olarak gerek yurt içinde gerekse de yurt dışında işverenin bağlı olduğu ortaklıklara, grup şirketlere, kamu kurum ve kuruluşlarına ve iş ilişkisinin konu olabileceği her türlü faaliyet ve çalışma kapsamında diğer üçüncü kişilere aktarılması, devralınması, devredilmesi, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinden gerçekleştirilebilecek işlemler, işveren tarafından işlenebileceğine açıkça belirtilmelidir. İşveren özel nitelikteki sağlık bilgisi için çalışan adayından bilgi verilmesi talep edilebileceği açıkça yazılmalıdır. Kişisel verilerin muhafaza edilebileceği süre sözleşme süresi ile sınırlı olup olmayacağı, sözleşme sonunda verilerin muhafaza edilip edilmeyeceği, edilmesi halinde işbu sürenin açıkça belirtilmesi gerekmektedir. İşverenin iş sağlığı ve güvenliği ile işyerinin ve işin kontrol, denetim ve güvenliğini sağlamak amacıyla sesli ve görüntülü kayıt sistemleri kurabileceğini ve bu sistemlerin ses ve görüntüyü kaydedebileceğini, iş görme edimi nedeniyle çalışan adayına tahsis edilecek ve fakat aynı zamanda özel kullanımıma da sunulan her türlü araç ve gerecin işveren tarafından çalışma saatleri ile sınırlı olmaksızın denetim, kontrol ve takibe tabi tutulabileceğini, yukarıda yer alan iradenin açık rızaya, belirli konulara, bilgilendirmeye ve özgür iradeye dayalı olduğunu, diğer yandan gerek iş başvuru formundaki verilerin gerekse de iş ilişkisinin kurulması halinde işverene iletilecek diğer kişisel verilerin iş sözleşmesinin kurulması ve ifasıyla ilgili ve verilerin işlenmesinin çalışma mevzuatı kapsamında gerekli ve kimi durumlarda zorunlu olduğunu, işverenin işbu beyana konu kişisel verilere ilişkin mevzuat tarafından gözetilen meşru menfaatleri olduğunu, ancak işbu muvafakatnamenin ırk, etkin köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyelik, iş sağlığı ve güvenliği ile ilgili olmamak kaydıyla cinsel hayat, işyerinde çalışmak ve çalışmaya devam etmek için zorunlu olmadığı sürece ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ve biyometrik ve genetik veriler gibi özel nitelikli kişisel verileri kapsamadığını, ancak özel nitelikli kişisel veriler konusunda 6698 sayılı Kişisel Verilerin Korunması Kanunu ile getirilen istisnaların uygulanabileceğini, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel verilerin silinebileceğini, yok edilebileceğini veya anonim hale getirilebileceğini (kişisel verilerin başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi), veri sorumlusu ve temsilcisi, kişisel verilerin hangi amaçlarla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği ve özellikle bu haklar konusunda aydınlatıldığını, iş ilişkisinin kurulması halinde ifa edilecek işlerin kişisel veri işlemesini gerekli ve/veya zorunlu kılması halinde öğrenilen veya iş görme edimi sırasında vakıf olunacak diğer kişilere (örneğin ve belirtilenlerle sınırlı olmamak kaydıyla işverene, işverenin çalışanlarına, işverenin müşterilerine, misafirlerine veya her ne ad altında olursa olsun ilişki içerisinde bulunduğu üçüncü kişilere) ait olan kişisel verileri işverenin yazılı onayı olmaksızın başkasına açıklanmayacağı ve işleme amacı dışında kullanılmayacağı, yazılı, sesli veya görüntülü olarak veya elektronik ortamda kullanılmayacağı, saklanmayacağı, ifşa edilmeyeceği, ücret bilgisi dahil iş hayatına ilişkin tüm bilgi ve sırları üçüncü şahıslar ve diğer çalışanlar ile hiçbir sebepten dolayı paylaşılmayacağı, yazılı ve görsel basında veya sosyal iletişim mecralarında bu kapsamda herhangi bir paylaşımda bulunulmayacağı, bu yükümlülüğün iş ilişkisinin sona ermesinden sonra da devam edeceğini hakkında muvafakatname düzenlenmesi gerekmektedir.
Sonuç olarak Kişisel Verilerin Korunması Kanunu 7 Nisan 2016 tarih ve 29677 sayılı Resmi Gazetede yayımlanarak Kişisel Verilerin Aktarılması başlıklı 8. Maddesi, Kişisel Verilerin Yurtdışına Aktarılması başlıklı 9. Maddesi, İlgili Kişinin Hakları başlıklı 11. Maddesi, Kurula Şikayet başlıklı 14. Maddesi, Şikayet Üzerine veya Resen İncelemenin Usul ve Esasları başlıklı 15. Maddesi, Veri Sorumluları Sicili başlıklı 16. Maddesi, Suçlar başlıklı 17. Maddesi ve Kabahatler başlıklı 18. Maddesi yayım tarihinden 6 ay sonra olmak kaydıyla diğer maddeleri yürürlüğe girmiştir. Kanunun yayım tarihinden önceki kişisel veriler hakkında 7 Nisan 2018 tarihinde kanunun öngördüğü geçiş süreci de sona ermiş olup tüm maddeler yürürlüktedir. Anayasal nitelikte korunması gereken kişisel verilerle ilgili düzenleme getirilmek suretiyle kanuni koruma sağlanmış, hukuki olarak oluşabilecek tereddütlerin önüne geçilerek kişisel verilerle ilgili hakların ve yükümlülüklerin çerçevesi oluşturulmuştur.
Bu yazıda genel hatları ile kanunun getirdikleri anlatılmış, gelecek sayıda denizcilik sözleşmeleri özelinde değerlendirmede bulunulacaktır.
[1] Ersan Şen, Türk Ceza Kanunu Yorumu, Vedat Kitapçılık, İstanbul, 2006, s.601
[2] Volkan Sırabaşı, İnternet ve Radyo- Televizyon Aracılığıyla Kişilik Haklarına Tecavüz, Adalet Yayınevi, Ankara, 2007, 2. Bası, s.195
[3] Murat Volkan Dülger, Bilişim Suçları ve İnternet İletişim Hukuku, Seçkin Yayınevi, Ankara, 2014, 4. bası, s.577
[4] Anayasa Mahkemesi’nin 19.03.2015 tarih, 2014/180 E- 2015/30 K Sayılı Kararı
[5] Kişisel Verilerin Korunması Hakkında Uygulama Rehberi s. 78
[6] Kişisel Verilerin Koruma Kurulunun 31.01.2018 tarihli “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” ile ilgili kararı