Kişisel Verilerin Korunmasına Neden İhtiyaç Duyulmuştur?
Kamu ve özel sektör; uzun yıllardır bir görevin yerine getirilmesi, bir hizmetin sunulması veya bir sözleşmenin ifası kapsamında kişisel veriler toplamaktadır. Bu veri işleme faaliyetleri kimi zaman doğrudan kanundan, kimi zaman ilgili kişinin rızasından, kimi zaman da yapılan işlemin niteliğine uygun sözleşmesel ilişkilerden kaynaklanmaktadır. Ancak modern toplumda veri işleme hacmi ve hızı arttıkça, kişilerin temel hak ve özgürlüklerinin korunması daha kritik hâle gelmiştir.
Sosyal ve ekonomik hayatın düzenli işlemesi, kamu hizmetlerinin etkin sunulması, mal ve hizmetlerin ekonominin gereklerine uygun şekilde geliştirilmesi, dağıtılması ve pazarlanması için kişisel verilerin toplanması kaçınılmazdır. Buna karşılık, kişisel verilerin sınırsız ve keyfî toplanması, yetkisiz kişilerin erişimine açılması, ifşa edilmesi veya amacı dışında kullanılması bireylerin temel hak ve özgürlükleri üzerinde ciddi riskler doğurmaktadır. İşte bu nedenle, kişisel verilerin korunmasına sistematik bir hukuki çerçeve ile yaklaşılması zorunluluk hâline gelmiştir.
Kişisel verilerin korunması ihtiyacı; kamu ve özel sektörün artan veri işleme faaliyetleri, kişisel verilerin sınırsız ve keyfî toplanmasının yarattığı hak ihlali riski, verilerin otomatik sistemlerle işlenmesi, 108 Sayılı Sözleşme ile gelen uluslararası yükümlülükler ve Anayasa Mahkemesi kararlarında vurgulanan insan onurunun korunması gerekliliği sonucunda ortaya çıkmıştır.
1. Kişisel Verilerin Korunmasına Duyulan İhtiyacın Arka Planı
Kamu kurumları, belediyeler, bankalar, sigorta şirketleri, e-ticaret siteleri ve daha pek çok aktör; uzun süredir görev ve hizmet ifası kapsamında kişisel veri işlemektedir. Bu işleme faaliyetleri:
- Kanundan doğan yükümlülükler,
- İlgili kişinin rızası,
- Bir sözleşmenin kurulması veya ifası,
- Meşru menfaat veya benzeri hukuki sebepler
gibi dayanaklara oturtulsa da, zaman içerisinde veri işleme hacmi ve çeşitliliği o kadar artmıştır ki, bireylerin kişisel veriler üzerinde kontrol kaybı yaşaması ve bu verilerin kötüye kullanılma riski ciddi bir sorun alanı hâline gelmiştir.
| Alan | Veri İşleme İhtiyacı | Koruma İhtiyacı |
|---|---|---|
| Kamu Hizmetleri | Nüfus, sağlık, eğitim, sosyal yardım kayıtları | Özel hayatın gizliliği, ayrımcılığın önlenmesi |
| Özel Sektör | Müşteri yönetimi, pazarlama, risk analizi | Verilerin amacı dışında kullanılmaması, ticari istismar riski |
| Dijital Platformlar | Profil oluşturma, kişiselleştirilmiş hizmet | Takip ve gözetim algısının sınırlandırılması, şeffaflık |
Bu tablo, kişisel verilerin hem düzenli bir sosyal ve ekonomik hayat için zorunlu olduğunu, hem de korunmadığı takdirde ciddi hak ihlallerine yol açabileceğini gösteren bir denge problemine işaret eder. Kişisel verilerin korunması ihtiyacı tam da bu denge ihtiyacından doğmuştur.
2. Kişisel Verilerin Sınırsız Toplanmasının Riskleri
Günümüzde; sosyal ve ekonomik hayatın düzenli sürdürülebilmesi, kamu hizmetlerinin etkin sunulması, ürün ve hizmetlerin geliştirilmesi için kişisel verilerin toplanması çoğu durumda zorunludur. Ancak sorun, bu verilerin:
- Sınırsız ve keyfî şekilde toplanması,
- Yetkisiz kişilerin erişimine açılması,
- İfşa edilmesi veya sızdırılması,
- Toplama amacı dışında ve çoğu zaman veri sahibinin bilgisi olmadan kullanılması
durumunda ortaya çıkar. Bu tür uygulamalar, kişilerin:
- Özel hayatının ihlali,
- Finansal zararlara uğraması,
- İtibarının zedelenmesi,
- Ayrımcılığa maruz kalması
gibi sonuçlara yol açabilmektedir. Bu nedenle kişisel verilerin sınırsız toplanmasının önüne geçmek, veri güvenliğini sağlamak ve amacı dışında kullanım riskini azaltmak, veri koruma hukukunun var oluş nedenlerinden biridir.
3. 108 Sayılı Sözleşme ve Kişisel Verilerin Otomatik İşlenmesi
Kişisel verilerin korunmasına duyulan ihtiyacın uluslararası boyutu, Avrupa Konseyi tarafından hazırlanan “Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunmasına İlişkin 108 Sayılı Sözleşme” ile somutlaşmıştır. Bu sözleşmenin amacı:
- Tüm üye ülkelerde kişisel verilerin aynı asgari standartlarla korunmasını sağlamak,
- Veri işleme ilkelerini tanımlamak ve ortak bir çerçeve oluşturmak,
- Sınır ötesi veri akışında bireylerin haklarını güvence altına almaktır.
Sözleşme, 28 Ocak 1981 tarihinde imzaya açılmış; ülkemizde ise 17 Mart 1981 tarihli ve 29656 sayılı Resmî Gazete’de yayımlanarak iç hukuka dâhil edilmiştir. 108 Sayılı Sözleşme’nin 4. maddesi, taraf devletlerin iç mevzuatlarında kişisel verilerin korunmasına ilişkin yasal düzenlemeler yapmasını öngörmektedir.
Bu hüküm, ulusal veri koruma yasalarının –Türkiye örneğinde KVKK’nın– ortaya çıkmasında doğrudan etkili olmuş; otomatik işleme tabi tutulan veriler açısından yazılı bir hukukî çerçevenin zorunluluğunu gündeme taşımıştır.
Dijitalleşen iş modelleri, web siteleri, mobil uygulamalar ve çerez teknolojileriyle birlikte kişisel veriler yoğun biçimde otomatik sistemler üzerinden işlenmekte; bu nedenle web sitelerinde kullanılan çerezler, çevrimiçi davranış verileri ve profil oluşturma faaliyetleri de veri koruma hukukunun doğrudan ilgi alanına girmektedir.
4. Kişisel Verilerin Korunması Hakkının Anayasal Boyutu
Kişisel verilerin korunmasına duyulan ihtiyaç yalnızca uluslararası sözleşmelerden değil, anayasal düzeydeki hak ve özgürlük anlayışından da beslenmektedir. Anayasa Mahkemesi’nin 9 Nisan 2014 tarihli ve E:2013/122, K:2014/74 sayılı kararında; “Kişisel verilerin korunması hakkının, kişinin insan onurunun korunması ve kişiliğini serbestçe geliştirebilmesi hakkının özel bir biçimi olarak, bireyin hak ve özgürlüklerini kişisel verilerin işlenmesi sırasında korumayı amaçladığı” açıkça vurgulanmıştır.
Kararda ayrıca:
- Özel sektörün kişisel verileri ticari bir varlık olarak kullanması sonucu ortaya çıkan risklerin daha yaygın ve önemli hâle geldiği,
- Terör ve suç örgütlerinin kişisel verilere erişim faaliyetlerinin arttığı,
- Bu nedenle kişisel verilerin geçmişe kıyasla çok daha fazla korunmaya ihtiyaç duyduğu
belirtilmiştir. Böylece kişisel verilerin korunması hakkı, yalnızca sıradan bir mahremiyet meselesi değil, insan onuru ve kişiliğin serbestçe geliştirilmesi hakkının ayrılmaz parçası olarak değerlendirilmiştir.
5. Neden Bugün Daha Fazla Korunmaya İhtiyaç Var?
Dijitalleşme, büyük veri, bulut bilişim, yapay zekâ ve çevrimiçi platform ekonomisi, kişisel verilerin ölçek ve derinlik anlamında geçmişte görülmemiş düzeyde işlenmesine neden olmaktadır. Bu durum:
- Kişisel verilerin profil çıkarma, puanlama, hedefli reklamcılık gibi uygulamalarla ekonomik değere dönüştürülmesini,
- Kimlik hırsızlığı, dolandırıcılık, siber saldırılar gibi risklerin artmasını,
- Sosyal medya ve dijital izler üzerinden gözetim ve takip algısının güçlenmesini,
- Terör ve organize suç örgütlerinin verileri suç planlama ve yürütme süreçlerinde kullanma riskini
beraberinde getirir. Bu bağlamda kişisel verilerin korunması, artık yalnızca bir güvenlik politikası değil, demokratik toplum düzeni, hukuk devleti ilkesi ve insan hakları perspektifinden de ele alınması gereken stratejik bir başlık hâline gelmiştir.
6. Kurumsal Uyum, KVKK ve Sonuç
Tüm bu tarihsel, uluslararası ve anayasal çerçeve; Türkiye’de 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (KVKK) yürürlüğe girmesi ile kurumsal düzeyde somutlaşmıştır. KVKK;
- Kişisel verilerin işlenmesine ilişkin temel ilke ve kuralları tanımlamış,
- Veri sorumluları ve veri işleyenler için açık ve bağlayıcı yükümlülükler getirmiş,
- Veri sahiplerine, verileri üzerinde bilgilendirilme, erişim, düzeltme, silme, itiraz gibi güçlü haklar tanımıştır.
Böylece kişisel verilerin korunmasına duyulan ihtiyaç; soyut bir ilke olmaktan çıkıp, hem bireyler hem de kurumlar açısından uygulanabilir, denetlenebilir ve yaptırımla desteklenen bir hukuk düzenine dönüşmüştür.
7. Sık Sorulan Sorular
Kişisel verilerin korunmasına ihtiyaç duyulmasının temel nedeni nedir?
Temel neden; kişisel verilerin sınırsız ve keyfî şekilde toplanması, işlenmesi ve paylaşılması sonucu bireylerin özel hayatlarının, insan onurunun ve temel hak ve özgürlüklerinin ciddi şekilde zarar görme riskidir. Kişisel verilerin korunması, bu riskin hukuk devleti ilkeleri çerçevesinde yönetilmesini amaçlar.
108 Sayılı Sözleşme veri koruma ihtiyacında neden kritiktir?
108 Sayılı Sözleşme; kişisel verilerin otomatik işlenmesi karşısında bireylerin korunması için uluslararası asgari standartları belirler ve taraf devletlere iç hukuklarında veri koruma yasaları çıkarma yükümlülüğü getirir. Bu yönüyle KVKK gibi ulusal düzenlemelerin temel referanslarından biridir.
Anayasa Mahkemesi kişisel verilerin korunmasını nasıl tanımlamaktadır?
Anayasa Mahkemesi; kişisel verilerin korunması hakkını, insan onurunun korunması ve kişiliğin serbestçe geliştirilmesi hakkının özel bir görünüm biçimi olarak değerlendirmekte ve veri işleme süreçlerinde bireyin hak ve özgürlüklerini korumayı amaçladığını vurgulamaktadır.
Kişisel verilerin korunması sadece hukuki bir zorunluluk mudur?
Hayır. Kişisel verilerin korunması; hukuki bir yükümlülük olmanın ötesinde, kurumsal itibar, müşteri güveni, iş sürekliliği ve rekabet avantajı açısından da stratejik bir unsurdur. Uyum sağlamayan kurumlar hem yaptırım hem de itibar kaybı riski ile karşı karşıya kalmaktadır.
Daha fazla bilgi ve kurumsal destek için ne yapabilirim?
KVKK, ikincil düzenlemeler, rehberler ve Kurul kararları ile ilgili detaylar için Kişisel Verileri Koruma Kurumu’nun resmî internet sitesini inceleyebilir; kurumunuz için kapsamlı bir KVKK uyum projesi kurgulamak isterseniz uzman danışmanlarla iletişime geçebilirsiniz.
