AVRUPA BİRLİĞİ GENEL VERİ KORUMA TÜZÜĞÜ(GDPR) VE TÜRKİYE’DEKİ KİŞİSEL VERİLERİN KORUNMASI KANUNU’NUN MUKAYESESİ

Özet

            Avrupa’da özellikle sanayinin gelişmesinden sonra dijital hayattaki ilerlemeler ivme kazanmış ve bu minvalde kişiler arasındaki etkileşim de artmıştır. 20. yüzyılın ortalarında internetin yaygınlaşması ve iletişim araçlarının hızlı bir şekilde gelişmesi, toplumsal hayatta kişilere ait verilere kolay bir şekilde erişim sağlanmasını ve bu verilerin paylaşılmasını kolay bir hale getirmiştir. Dijitalleşen dünyada bir yandan özellikle kamu kurum ve kuruluşlarında kişilere ait verilere ihtiyaç duyulurken, diğer yandan da istenilen verilerin tam manasıyla korunamamasından ötürü kişiler, özel hayatlarında temel insan hakları ihlal edilecek derecede saldırılara maruz kalmaktadır. Kişisel verilerin hukuken muhafaza edilmesi amacıyla Avrupa, diğer ulusal ve uluslararası sözleşmelere binaen kişisel verilerin muhafazasının diğer insan hakları ile ilgili sözleşmelerden bağımsız bir hukuk müessesesi olarak ortaya çıkmasına sebep olmuştur. Bu kapsamda ilk olarak 1995 yılında Avrupa Komisyonu tarafından çıkarılan “95/46/AT sayılı direktif[1]” kişisel verilerin muhafazası hususunda öncü olmuştur. Söz konusu direktifin, 21. yüzyılda teknolojinin de gelişimi ile kişisel verilerin korunmasında beklenilen korumayı tam manasıyla sağlayamadığı fark edilmiş ve direktif üzerinde bir reforma gidilmesi kararlaştırılmıştır. Bu çerçevede kişisel verilerin muhafaza edilmesi hususunda en geniş ve en kapsamlı çalışma olan “2016/679 sayılı Avrupa Birliği Genel Veri Koruma Tüzüğü[2]” (GDPR) çıkarılmıştır.Ülkemizin de kişisel verilerin muhafaza edilmesi hususunda hukuki çalışma yapma amacı, Avrupa’da olduğu gibi hem dijitalleşen dünyaya hem de bu minvalde yapılan uluslararası çalışmalara uyum sağlamak olmuştur. Anılan nedenlerle iç hukukumuzda 2016 yılında “6698 sayılı Kişisel Verilerin Korunması Kanunu[3]”çıkarılmıştır. Çalışmamızda hem GPDR hem de 6698 sayılı KVKK ayrı ayrı teferruatıyla incelenerek mukayese edilecektir.

            Anahtar Kelimeler: İnsan hakları, Kişisel veri, Avrupa Birliği, Genel veri koruma tüzüğü, KVKK, Mahremiyet.

            Giriş

            Teknolojinin gelişmesi ve küreselleşmenin de etkisiyle ulusal ve uluslararası kurumlarda hızla artan veri işleme faaliyetleri, kişisel verilere ulaşımı ve bu verileri paylaşma fonksiyonlarını da arttırmıştır. Bunun neticesinde kişisel veri, kişilerin temel hak ve hürriyeti ile de alakalı olması nedeniyle özel hayatı etkileyen birçok riskle karşı karşıya kalmaktadır. Çünkü rızaya dayalı olarak ya da rıza dışı ele geçirilen kişisel verilerin kimler tarafından hangi niyetle kullanılacağı muğlaktır. Nihayetinde bu husus kişilerde, özellikle özel hayatın gizliliği noktasında tedirginlikler oluşturmaktadır. Bu tedirginlik kişilere ait verilerin muhafaza edilmesi gerektiğini, dolayısıyla gerek ulusal gerekse uluslararası alanda birtakım hukuki çalışmaların yapılmasını zaruri hale getirmiştir. Bu doğrultuda ülkeler veya bölgeler kendi yasa mekanizmaları aracılığıyla kendi hukuklarına uygun olacak şekilde birtakım düzenlemeler hazırlamış ve bu düzenlemeler çerçevesinde verilerin denetimini icra edecek mekanizmaları oluşturmuştur.

Dijitalleşen dünyada yapay zekâ teknolojileri, internet ortamının sağladığı iletişim araçları vb. teknolojik gelişmeler kişisel verilerin ele geçirilmesini ve bu verilerin işlenme metotlarını büyük ölçüde etkilemiştir. Bugün, sıradan bir web sitesinde gezinirken dahi farkına varmadan verilerimiz, veri süjelerince sandığımızdan çok daha kolay ele geçirilmekte ve aleyhimize sonuç doğuracak biçimde paylaşılmaktadır. Dolayısıyla böylesi riskli bir durumda devletin yanında artık her türlü özel kuruluş da kişilere ait her türlü bilgiye sahip olur duruma gelmiştir. Bu çerçevede kişisel verilerin ihlali sonucunda meydana gelen menfaat uyuşmazlığının hukuk kurumlarınca göz ardı edilmesi elbette ki mümkün değildir. Kabul etmek gerekir ki bu minvalde ciddi manada ilk yasal düzenlemeler 1990’larda Avrupa’da yapılmaya başlanmıştır. İlk düzenleme ise 95/46/AT sayılı direktiftir. Daha sonra bu direktifin, teknoloji çağına uyum sağlayamaması ve mekanizmaları yönlendirme hususunda yetersiz kaldığı gerekçesiyle yerine daha detaylı, daha yönlendirici ve de çağa daha uyum sağlayabilecek olan 2016/679 sayılı Avrupa Birliği Genel Veri Koruma Tüzüğü düzenlemesi hazırlanmıştır. Söz konusu tüzükle AB’ye üye devletlerin kişisel veriyi muhafaza etme alanında, ulusal mevzuatlarındaki farklılık ortadan kaldırılmaya çalışılmış ve herhangi bir üye devletin sınırları içerisinde yaşayan kişilerin, veri süjelerinin işlemlerine konu olan kişisel verileri muhafaza etmek amaçlanmıştır. Netice olarak GDPR, direktifte olduğu gibi ülkelere yol göstermekten ziyade üye devletler tarafından uyuşmazlıklara direkt olarak uygulanacak kurallar getirmiştir.

            Elbette ülkemizde de hem dijital çağa uyum sağlayabilme adına hem de uluslararası arenadan geri kalmış olmamak adına kişisel veri alanında 1989 yılında çalışmalara başlanmıştır. Ancak Türkiye’de kişisel verilerin muhafaza edilmesi amacıyla yapılan çalışmalar biraz yoğun ve uzun bir serüvenin sonucunda yasa haline gelmiştir. Belirtmek gerekir ki kişisel veri müessesesi, 2016 yılına kadar hukuki metinlerimizde sadece 5982 sayılı Kanun’la yapılan Anayasa değişikliği ile getirilen 20. madde olmuştur. Ayrıca TCK, TMK, TBK gibi bazı genel kanunlardaki birkaç fıkrada da kısmen bulunulmuştur. 2016 yılında ise, uzun süre öylece beklemiş olan söz konusu mesele 6698 sayılı özel bir kanun ile resmen yasa haline getirilmiştir. Kanunumuz AB mevzuatına uyum kapsamında 1995 yılında AB tarafından çıkarılan direktif esas alınarak hazırlanmıştır. 6698 sayılı kanunumuz,  direktifin son yıllarına GPDR’nin de yürürlüğe girme aşamasına denk gelmiştir. Burada şunu da unutmamak gerekir ki kanunumuz her ne kadar direktif ile bir uyum sağladıysa da Mayıs 2018’de yürürlüğe giren Genel Veri Koruma Tüzüğü ile bazı noktalarda farklılıklar göstermektedir.

            Çalışma bu kapsamda dört ana bölümden oluşacaktır. Diğer bölümlerin, dolayısıyla mukayesemizin daha iyi anlaşılması adına ilk bölümde kişisel veri müessesesi, diğer uluslararası metinlere de değinilerek, unsurları ve verilerin işlenme sürecinde uyulması gereken genel ilkeleriyle beraber teferruatıyla açıklanacaktır. İkinci bölümde ise kişisel veri konusunda AB tarafından çıkarılan ve dünyaya emsal teşkil eden Genel Veri Koruma Tüzüğü arka planına da değinilerek ayrıntılarıyla ele alınıp değerlendirilecektir. Üçüncü bölümde ise ülkemizde mevcut bulunan 6698 sayılı Kişisel Verileri Koruma Kanunu (KVKK) yine aynı şekilde ayrıntılarıyla incelenecektir. Son bölümde ise GPDR ve KVKK benzerlik ve farklılıklarına da değinilerek mukayese edilecek ve çalışma nihayete erdirilecektir.

            1.Kişisel Veri

            1.1. Kavram  

Kişisel veri, AB tarafından 1995 yılında çıkarılan direktifte kişileri açıkça belli kılan ya da belirleyebilecek her türlü bilgi olarak tanımlanmıştır[4]. 2018 yılında yine AB tarafından yürürlüğe giren Genel Veri Tüzüğü’ndeki tanıma göre de kişisel veri, “belirli veya belirlenebilecek bir gerçek kişiye münhasır her türlü bilgi ve belgeyi ifade eder.” şeklinde açıklanmıştır[5]. İnsan haklarına, dolayısıyla kişisel verilere de değinen ulusal ve uluslararası sözleşmelerde kişisel veriyi, bu beyanlar ile paralel olarak tanımlamıştır.

Türk hukukunda kişisel veri için yukarıdaki tanımlara benzer bir tanım kullanmıştır. 6698 sayılı Kişisel Verileri Koruma Kanunumuzda kişisel veri, kimliği belirli veya belirlenebilecek olan her türlü bilgi ve veri olarak ifade edilmiştir[6].Tüm bu tanımlar doğrultusunda belirtebiliriz ki kişisel veriden bahsetmek için veri ya da bilginin belli ya da belli olabilecek bir gerçek kişiye ait olması gerekmektedir.

1.2. Uluslararası Sözleşmeler ve Kişisel Veri

Nitekim kişisel veri, herhangi bir ihlal ile karşı karşıya kaldığında bu durum kişinin özel hayatını, dolayısıyla mahremiyetini doğrudan etkilemektedir. Özel hayat kavramı insan haklarının temel bir parçasıdır. Bu kapsamda kişisel verilerin korunması hususu insan haklarını konu alan çeşitli hukuki metinlerde hususi olarak işlenmiştir. Bu metinlerden en önemlileri BM, OECD ve AB çatısı altında kaleme alınan metinlerdir.

Kişisel veriye, insan hakları alanında tüm dünya devletlerine emsal teşkil eden 1948 tarihli İnsan Hakları Evrensel Bildirgesi’nde de “Özel Hayata ve Aile Hayatına Saygı” başlığı altında değinilmiştir. Nitekim söz konusu bildirgenin 12. maddesinde; “Hiç kimsenin özel yaşamına, ailesine, konut dokunulmazlığına ya da yazışma özgürlüğüne keyfi olarak karışılamaz. Kimsenin şeref ve ününe karşı kötü davranışlarda bulunulamaz. Herkesin bu karışma ve kötü davranışlara karsı yasalar aracılığıyla korunma hakkı vardır”[7] şeklinde bir hükümle özel hayatın; kişisel verinin, kişi temel hak ve özgürlüğünün bir parçası olduğunu vurgulamıştır. Pek tabii; İHEB’deki bu tanım kişisel veri müessesesi kapsamında Avrupa ve dünyadaki diğer insan hakları sözleşmelerini de etkilemiştir.

Kişisel veri, temel insan hak özgürlüklerini muhafaza etmek, ayrıca toplumsal inkişafı desteklemek amacıyla kurulan Avrupa Konseyi’nin yasal düzenlemelerine de konu olmuştur. Avrupa Konseyi tarafından 1950 tarafında yürürlüğe giren ve üye sözleşmeye taraf ülkelerin tamamını hukuken bağlayan AİHS, aslında kişisel veriye dolaylı olarak da olsa değinen ilk yasal sözleşmedir.

Kişisel veri, AİHS’in “Özel Hayatın ve Aile Yaşamının Korunması” başlığı altında özel hayatın gizliliği ilkesine ve temel insan haklarına dayandırılarak korunmuştur. AİHS 8. Maddesinde[8]; “Herkes özel ve aile hayatına, konutuna ve haberleşmesine saygı gösterilmesi hakkına sahiptir. Bu hakkın kullanılmasına bir kamu otoritesinin müdahalesi, ancak milli güvenlik, kamu emniyeti, ülkenin ekonomik refahı, dirlik ve düzenin korunması, suç işlenmesinin önlenmesi, sağlığın, ahlakın veya başkalarının hak ve özgürlüklerinin korunması için, demokratik bir toplumda zorunlu olan ölçüde ve yasayla öngörülmüş olmak koşuluyla söz konusu olabilir” denilerek, kişisel verilerin muhafaza edilmesinin önemine vurgu yapılmış; özel hayatın ve mahremiyetin her alanda muhafaza edilmesi amaçlanmıştır.

Kişisel veri hususu Ekonomik İşbirliği ve Kalkınma Teşkilatı (OECD)’nın metinlerinde de ele alınmıştır. Nitekim amacı taraf ülkelerin güncel uyuşmazlıklarına müşterek bir çözüm üretmek olan OECD, 1980 tarihinde uluslararası bir temel teşkil edecek şekilde, “Mahremiyetin Korunması ve Kişisel Verilerin Sınır Ötesi Akışına İlişkin[9]rehber ilke çıkarmıştır. Belirtmek gerekir ki çıkarılan bu veri korunmasıyla ilgili ilkeler taraf ülkeler için herhangi bir bağlayıcılığının bulunmamasına rağmen kişisel veriyle alakalı ilk uluslararası hukuki belgelerdendir diyebiliriz[10]. Kişisel verilerin OECD tarafından düzenlenmesi bu önemli hususun AB bölgesi dışına da taşınması ve gündeme alınması bakımından önemlidir. OECD vesilesiyle ABD, Japonya gibi AB üyesi olmayan ülkelerde bu alanda çalışma yapma ihtiyacı hâsıl olmuştur.

Herhangi bir bağlayıcılığı olmamasına rağmen OECD, çıkarmış olduğu rehber ilkelerin giriş kısmında taraf ülkelere kişisel verilerin korunması gerektiğine vurgu yapmış ve bu konuda taraf ülkelere işbirliği tavsiyesinde bulunuştur. OECD, bunların sonrasında ise kişisel verilerin esasını konu alan sekiz ilke saymıştır. Nitekim 33 yıl boyunca hiçbir değişikliğe uğramadan yürürlükte kalan ilkeler 2013 yılında revizyona uğramıştır[11].

Avrupa Konseyi, 1970’li yıllarda kişilerin temel hak ve özgürlükleriyle doğrudan ilişkili olarak düşündüğü kişisel veriyle ilgili bazı sözleşmelerde atıfta bulunmak yerine direkt olarak bir mevzuat çalışmasına başlamıştır. Nitekim 1973 ve 1974 yıllarında bu minvalde birtakım hukuki metinler hazırlanmıştır. Nihayetinde ise Ocak 1981 yılında “Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi”ni çıkarmış ve 1985 yılında yürürlüğe koymuştur. 1. Maddede açıkladığı üzere sözleşmenin temel amacı ise kişilerin otomatik yollarla işlenen verilerini her türlü tedbiri alarak korumaktır[12]. Sözleşme, kişilerin sadece otomatik yollarla işlenen verilerini kapsam alanında tuttuğu için eksik kalmış ve bu yüzden doktrinde eleştirilmiştir.

Sözleşme belli bir denetleme mekanizması içermediğinden, ayrıca sadece otomatik yollarla işlenen verileri kişisel veri müessesesine dâhil ettiğinden ötürü hukuken eksik kalmıştır. Bununla beraber bu sözleşme, kişisel verilerin korunması kapsamında yürürlüğe giren ilk bağlayıcı uluslararası metin olmasından ötürü de uluslararası hukuk nezdinde ehemmiyet arz etmektedir.

Bütün bu hukuki metinlerde kişisel veri ile alakalı ortak nokta aslında kişiye münhasır herhangi bir bilgi ya da verinin üçüncü kişiler tarafından erişilememesini yani verilerinin muhafaza edilmesini talep etmesidir.

1.3. Kişisel Verilerin Unsurları

Yukarıda izah etmeye çalıştığımız kişisel verilerin genel hatlarıyla hangi unsurlardan oluştuğuna kısaca değinmek, konuyu daha iyi idrak etmemiz açısından yerinde olacaktır. Bu minvalde bu başlık altında kişisel verilerin hangi unsurlardan oluştuğunu kısaca açıklayacağız.

a. Veri

Veri kelimesi kısaca, veri süjesiyle ilgili ya da ilgilendirilebilecek olan ve neticede kaydedilen her türlü bilgi şeklinde tanımlanabilir. Ne var ki; herhangi bir anlam kargaşasına mahal vermemek adına kişilere ait veriler nitelikleri ve muhafazası amacıyla şahsi veriler ve özel nitelikli kişisel veriler şeklinde iki ayrı başlık altında değerlendirilmektedir.

Ulusal ve uluslararası düzenlemelerde kişisel veriler, genel olarak kimliği belirli ya da belirlenebilecek olan gerçek kişilere ait bilgidir. Bu bağlamda isim, soyisim, doğum tarihi, doğum yeri vs. gibi somut bir nitelik taşıyıp kişilerin kimliğinin belirlenebilmesini sağlayacak her türlü bilgi kişisel veridir[13]. Özel nitelikli kişisel veriler ise belirlenmesi halinde söz konusu kişiye karşı toplumda dışlanmasına, saldırıya maruz kalmasına, vb. kötü durumlara sebep olabilecek verilerdir. Sınırlı sayıda belirtilen özel nitelikli kişisel veriler ise kişilere ait etnik köken, siyasi düşünce, dini inanç ve yaşayış, ırk, kılık ve dernek, vakıf ve sendika üyeliği, sağlık, cinsel yaşamla alakalı bilgi ya da verileridir. Dolayısıyla kanunlarda genelde sınırlı olarak belirtilen bu verilerin diğer kişisel verilere göre daha güvenlikli bir biçimde muhafaza edilmesi gerekmektedir. Netice olarak bu hassas verilerin işlenmesi, ilgili kanunun belirttiği istisnalar dışında yasaktır[14].

b. Gerçek Kişiye İlişkin Olma

Gerçek kişi Kişisel Verilerin Korunmasında en temel unsurdur. Nitekim görüldüğü üzere her hukuki düzenlemede korunması gereken verilerin gerçek kişiyle ilişkin olması gerektiği vurgulanmıştır. Gerçek kişi kavramı kişiler hukukunda genel olarak hak ehliyeti olan varlık şeklinde tanımlanmaktadır. Dolayısıyla gerçek kişilerden maksat insandır. Doğal olarak kişiliğin sonra ermesi hallerinde ilgili yasa artık uygulama alanı bulmayacaktır.

Belirli bir amaç doğrultusunda bir araya gelmiş insan veya mal toplulukları olarak tanımlanan tüzel kişiler ise ilgili yasal düzenlemede belirtilen istisnalar dışında kapsam dışında tutulmuştur. Bunun temel sebebi ise kişisel verilerin insan hakları hukukunun bir parçası olmasıdır[15]. Bu husus 95/46/AT sayılı direktif ve AB Genel Veri Koruma Tüzüğü başta olmak üzere birçok yasada da böyle düzenlenmiştir. Söz konusu düzenlemelere göre korunması gereken kişiler sadece gerçek kişilerdir. Nitekim 95/46/AT sayılı direktif, düzenlemenin sadece gerçek kişileri kapsadığını belirterek tüzel kişiler ile ilgili uyuşmazlıkları da ülkelerin kendi iç hukukuna göre belirleyebileceğini ve bu durumun direktifi etkilemeyeceğini belirtmiştir[16]. Yine AB tarafından çıkarılan GPDR’nin 14. Maddesinde de tüzel kişilere ilişkin kişisel verilerin düzenlemesinin kapsamı dışında olduğu açıkça belirtilmiştir[17]. Türk hukukumuzda da 6698 sayılı kanun sadece gerçek kişilere yer vermiştir[18]. Tüzel kişiler kanunun kapsamı dışında tutulmuştur. Ne var ki kanunda yer alan kişisel verinin tanımı gereği, tüzel kişiye ait herhangi bir bilgi ya da verinin bir gerçek kişiye nispet edilmesi halinde bu veriler kanun kapsamına dâhil edilmektedir. Dikkat edilmesi gereken husus burada korunan kişi tüzel kişi olmayıp tüzel kişinin verisiyle belirlenebilecek olan gerçek kişi olduğudur[19].

Özetlemek gerekirse kişisel veri müessesesinin düzenlemelere konu olmasındaki temel amaç insan haklarını korumak olduğu için kişisel veri kurumunun asıl muhatabı sadece insandır.

c. Her Türlü Bilgi

Belirttiğimiz üzere kısaca kişisel veri, kişiyi belirlenebilir kılan her türlü bilgidir. Bu bilgi bir önceki başlıkta değindiğimiz üzere gerçek kişilere ait olabileceği gibi tüzel kişilere de ait olabilir. Nitekim yasalarda bu kavram net olarak açıklanmamış olup ancak somut uyuşmazlığa göre belirlenebilecek niteliktedir. İlgili yasalarda bu kavramın bu kadar açık uçlu bırakılmasının sebebi teknolojinin de aracılığıyla kişisel verilerin korunması hakkının ne tür bir bilgiyle ihlal edilebileceğinin tam olarak kestirilememesidir. Kişisel verilerin düzenlendiği kanunları temel alacak olursak; kimlik bilgileri, etnik kökeni, fiziksel özellikleri, sağlık, eğitim ve ekonomik durum, cinsel yaşam, aile hayatı, başkaları ile yapılan iletişimler, kişisel düşünce ve inançlar, dernek ve sendika üyelikleri vb. gibi kişiyi doğrudan veya dolaylı olarak belirlenebilir kılan her türlü bilginin kişisel veri olarak kabul edilmesi gerektiğini rahatlıkla ifade edebiliriz[20].

d. Kişiyi Belirli ya da Belirlenebilir Kılması

Kişisel veri müessesesinin bir diğer unsuru da kişiyi belirli ya da belirlenebilir kılmasıdır. Yani eldeki verinin ya kişiyi açıkça belirtmesi ya da herhangi bir bilgiyle ilişkili hale getirilmesi neticesinde kişinin belirleyebilecek olması gerekmektedir.

Ele geçirilen verilerin kişiyi belirli hale getirip getirmemesi her somut uyuşmazlığa göre farklı değerlendirilmektedir. Nitekim bir kişinin sadece ismi ile belirlenmesi zor olabileceği açıktır. Fakat bu kişi T.C. kimlik numarasıyla ya da telefon numarasıyla kapsam sınırlandırılarak belirli hale gelebilir. Örnek verecek olursak yaygın bir kullanışı olan bir isim bilgisi, ülke genelinde birini belirlemek için eksik kalırken sınırlı sayıda insanın bulunduğu bir grupta bu bilgi yeterli olabilmektedir. Hukuki düzenlemelerdeki kişisel veri tanımlarında belirtilen fiziki, eğitim, mesleki, ekonomik, psikolojik vb. özelliklerin sayılması bu husustan kaynaklanmaktadır[21]. Kısacası kişilerin kim olduğunu belli eden ve bu bağlamda doğrudan ya da dolaylı olarak kişiye erişilmesini sağlayan her türden veri kişisel veri sayılmaktadır.

1.4. Amacı

Kişisel verilerin muhafaza edilmesinin amacı, gelişen teknoloji aracılığıyla kişilere ait verilerin, kişiye herhangi bir hukuki güvence sağlanmadan gayet rahat bir şekilde işlenebilir hale gelmesi ve kişilerin bu yolla işlenen paylaşılan bilgi ve verilerden ötürü oluşabilecek insan hakları ihlallerinin önüne geçmektir. Uzun süre boyunca yeterli bir düzenleme yapılmayan bu husus, özellikle 21. yüzyılda dijitalleşen dünyada kişilerin artık mahremiyet sınırlarının daha güvenli hale getirilmesi ihtiyacının sonucunda, ulusal ve uluslararası hukukta önem kazanmış ve bu doğrultuda yasalar çıkarılmıştır. Özetle verilere bu denli rahat ulaşılması, kişisel veriler bağlamında özel hayatın da aynı kapsamda güvenliğinin sağlanması mecburiyetini doğurmuştur.

Kişisel verilerin muhafaza edilmesi, özel hayat gizliliği ile yakından ilişkili olduğundan aslında negatif statü haklarından birisidir. Nitekim özel hayatın gizliliği kavramı kişilerin şeref ve haysiyetinin korunması hususunda önemli bir kavramdır. Özel hayatın gizliliği, bugün hukuk devletlerinin iç hukukunda “anayasal ilke” olarak kabul görmüştür. Çünkü hukuk devletlerinde; kişi, özel veya toplumsal yaşamıyla bir bütün olarak kabul edilmiş ve bu doğrultuda özel hayat, gizlilik esas alınarak hukuken koruma altına alınmıştır. Buradaki asıl maksat; kişilerin geleceğini garanti altına alınmasını sağlayıp hiçbir baskı altında kalmaksızın yaşamlarına ait her türlü konuda özgürce tasarruf edebilmek ve bu süreçte de üçüncü kişilerin olası insan hakkı ihlallerine karşı onları muhafaza etmektir. Kısacası kişilerin özel hayatının serbestîsini sağlamak ve saldırılara karşı muhafaza etmek kişi onur ve haysiyetinin korunmasında birer araçtır. Netice olarak kişisel verilerin odağında insanın olmasından kaynaklı olarak insana ait olan ve insanı belirleyen bilgilerden oluştuğundan kişilere ait verileri kullanarak özel hayat ihlal edildiğinde aslında temel insan hakları ihlal edilmiş olmaktadır. Bu bağlamda kişisel veri ihlalini insan hakları ihlallerinden bağımsız tutmak hukuk etiği açısından doğru değildir. Pek tabii kişisel verilerin, yukarıda bahsettiğimiz temelde insan haklarını esas alan uluslararası sözleşmelere de konu olmasındaki temel maksat, esasında yine insan hak ve hürriyetinin güvence altına alınmasını sağlamaktır.

1.5. Kişisel Verilerin Korunmasına İlişkin Temel Terimler

a. Veri Sorumlusu

Veri sorumlusu, kişisel verilerin işleme gayesini ve işleme araçlarını belirleyen, verilerin kaydedildiği veri kayıt sisteminin oluşturulmasında ve idaresinde sorumlu olan gerçek ya da tüzel kişilerdir. Veri sorumlularının en önemli yükümlülüğü aydınlatma yükümlülüğüdür. Yani ilgili gerçek kişileri, verilerinin hangi amaçla ve ne şekilde işleneceği konusunda bilgilendirmekle yükümlü olan kişidir. Çünkü veri sorumlusu, üstlendiği yükümlülük sebebiyle kişilere ait verilerin hukuka aykırı olarak işlenmesini ya da erişilmesini önlemekle, kısacası verilerin muhafazasını sağlamak için gerekli olan tedbirleri almakla mükelleftir. Bu noktada ifade etmek gerekir ki veri sorumlusunun tüzel kişi olması halinde herhangi bir hukuki işlemde yükümlülük, söz konusu tüzel kişiliğe ait olacaktır. Yani veri sorumlusu bizzat tüzel kişiliğin ta kendisidir[22].

Veri sorumlusu kavramına değinirken “veri işleyen” kavramına da değinmek yerinde olacaktır. Nitekim her iki husus birbiriyle bağışık olduğu için uygulamada her iki müessese birbirine çok karıştırılmaktadır. Oysaki veri işleyen veri sorumlusunun kendisine çizmiş olduğu çerçeve içerisinde verileri işleyen gerçek ya da tüzel kişidir. Veri işleyenin sorumluluğu veri işleme sürecinin teknik kısımlarıyla ilgilidir. Burada ehemmiyet arz eden nokta, veri işleyenin veri sorumlusundan aldığı yetkiyle hareket ediyor olmasıdır.

b. Açık Rıza

Açık rıza, veri işleme sürecinin kilit noktasıdır. Çünkü ilgili kişinin veri işlenmesi hususunda hukuken açık rızası yoksa veri işleme faaliyeti başlatılamaz. Yani zımni rıza hukuken kabul edilmemektedir. Bu minvalde açık rızayı, kişinin şahsına münhasır verilerin, herhangi bir tereddüde yer bırakmayacak şekilde konuyla ilgili yeterli bilgi sahibi olarak ve hiçbir baskı altında kalmadan hür iradesiyle işlenmesine verdiği onay olarak ifade edebiliriz. Kısacası veri sahibi olan gerçek kişi, ne için rıza verdiğini bilmeli ve rızasını açık bir biçimde ifade etmelidir. Bu bağlamda açık rızanın, belirli bir konuya ilişkin olması, bilgilendirilmeye dayanması ve hür iradeyle açıklanması şeklinde üç temel unsuru vardır. Bu unsurlar tam manasıyla gerçekleştirilmediği sürece açık rızanın verilmiş olduğu söylenemez[23].

c. Veri Kayıt Sistemi

Veri sorumlularına online olarak ulaşan kişisel verilerin herhangi bir hak kaybına yol açmadan sınıflandırılması birtakım zorlukları da beraberinde getirmektedir. Veri kayıt sistemi bu hususta veri sorumlularına çözüm getirmektedir. Veri kayıt sistemleriyle tüm kişisel veriler teknik bir program üzerinden tek merkezde toplanmakta ve böylece toplanan veriler tek merkezden idare edilebilmektedir. Dolayısıyla veri kayıt sistemini kişisel verilerin belirli kriterlere göre düzenlenip tasnif edilerek işlendiği sistem olarak tanımlayabiliriz. İfade etmek gerekir ki bu sistem online ya da fiziki ortamda oluşturulabilir. Veri kayıt sisteminin kişisel verilerin de düzenlendiği ulusal ve uluslararası düzenlemelere konu olmasındaki temel amaç veri güvenliğini sağlamaktır. Veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan kişi ise veri sorumlusudur[24].

d. Kişisel Verilerin İşlenmesi

Kişisel verilerin hukuka ve dürüstlük kurallarına uygun olarak  kaydedilmesi, depolanması, güvenliğinin sağlanması, değiştirilmesi, revize edilmesi, açıklanması, paylaşılması vs. gibi eldeki veriler üzerinde yapılan her türlü hukuki işlemi, kişisel verilerin işlenmesi olarak açıklayabiliriz. Ne var ki veri işleme kapsamında yapılan işlemleri belirli işlemlerle sınırlamak doğru değildir. Nitekim bu işlemler sayıda olmayıp kişisel verilerin ilgili kişiden ilk defa elde edilmesinden başlayarak veriler üzerinde yapılan tüm işlemler bu kapsamda değerlendirilmektedir[25].

1.6. Kişisel Verilerin İşlenmesine İlişkin Uyulması Gereken İlkeler

Kişisel verilerin işlenmesi noktasında verisi işlenecek olan gerçek kişinin herhangi bir hak ihlali ile karşılaşmaması için veri sorumlusunun ya da yetkilendirdiği kişinin verileri işlerken dikkat etmesi gereken bazı temel ilkeler vardır. Veri işleme faaliyetini daha iyi anlamak için bu ilkelere de değinmek yerinde olacaktır.

a. Hukuka ve Dürüstlük Kurallarına Uygunluk İlkesi

            Hukuka ve dürüstlük kurallarına uygunluk ilkesi gerek iç hukukumuzda gerekse uluslararası hukukta muhtevası fark etmeksizin hukukun en temel ilkesi olarak kabul edilmiştir. Kişi ya da kişiler tarafından yapılan her eylemin hukuka ve genel dürüstlük kurallarına uygun olması ilkesi her dönemde nizamın istikrarı açısından temel prensip olarak kabul edilmiştir. Nitekim hukuka uygunluğun bulunmadığı yerde dürüstlükten de nizamın tam manasıyla tesis edildiğinden de söz edilemez. Hukuka uygunluk ilkesinden kasıt söz konusu işlemin, ilgili yasadaki diğer kanunların herhangi birine aykırılık teşkil etmemesidir. Kişisel veriler ile ilgili de düzenlenen her hukuk normunda bu ilkeye vurgu yapılmıştır.

Dürüstlük kavramında ise verisi işlenecek olan gerçek kişinin süreç hakkında hiçbir hataya, hileye, aldatmaya yer vermeksizin şeffaf bir şekilde aydınlatılmış olması kastedilmektedir. Veri işleme eylemini gerçekleştiren kişinin, kişilerin menfaatlerini ve hukuki beklentilerini göz önünde bulundurması dürüstlük kuralının temel bir gereğidir.

b. Belirli, Açık ve Meşruluk İlkesi

Veri işleme faaliyetinin amacı belli olmalıdır. Belirlenemez olması yani muğlak olması işlemi sakat duruma sokacaktır. Muğlak ifadelere yer verip anlaşılması ilgili kişiye bırakılması hukuken doğru değildir. Ayrıca anlaşılmayan bir ifadeye onay verilmesi kişinin hak ihlaliyle karşılaşmasına sebep olabilmektedir. Nitekim yapılan işlemin meşru/hukuki olması gerekmektedir. Yani sadece ilgili yasanın izin verdiği veriler işlenmelidir. Yasanın izin vermediği verilerin işlenmesi meşru değildir ve dolayısıyla yapılan işlem geçersizdir. Bu doğrultuda belirtebiliriz ki veri işlemenin hangi maksatla, hangi hukuki şarta dayandırılarak yapıldığının ve verisi işlenen kişi tarafından da bunun açık ve net bir şekilde anlaşılmış olması gerekmektedir. Aksi takdirde yapılan işlem hukuka aykırı olacaktır[26].

c. İşlenen Amaç İçin Belirli Bir Süre Saklama İlkesi

Veriyi işleyen kurum ve kuruluşlar veriyi kendi keyfiyetine göre sınırsız bir şekilde tutma yetkisine sahip değildir. Her veri sorumlusunun uymakla mükellef olduğu ilgili hukuki normlarda belirtilmiş saklama süreleri vardır. Veri sorumluları bu sürelere uymak zorundadır. İlgili yasal düzenlemede herhangi bir süre söz konusu değilse de veri sorumlusu, amacın gerçekleşme süresine bağlıdır. Şöyle ki eğer süre belirtilmemişse veriler ancak ve ancak işlendikleri amaç için gerekli olan makul süre kadar saklanabilecektir. Makul süre içerisinde amaca ulaşılamasa dahi veri sorumlusu, işlediği kayıt sisteminde verileri erişilemez hale getirecektir. Yani amacın ileride gerçekleşmesi düşüncesiyle verileri muhafaza etme yoluna başvurmak hukuka aykırıdır. Bu durum hak ihlallerine yol açmaktadır[27].

g. Hesap Verilebilirlik İlkesi

Hukukun gereğini eksik ya da hiç yerine getirmemenin muhakkak bir yaptırımı vardır. Bu hususun hukuki karşılığı hesap verilebilirlik ilkesidir. Bir diğer deyişle hesap verilebilirlik; veri sorumlusunun, ilgili olduğu yasa gereğince gerekli tedbirleri alarak verileri güvence altına almak, bu güvencesini veri süjesine ve ilgili denetim mekanizmasına da ispatlaması olarak tanımlanabilir[28].

Hesap verilebilirlik 6698 sayılı kanunumuzda açıkça ifade edilmemiştir. Açıkça ifade edilmemiş olsa da veri işleme için uyulması gereken şartların ve gerekli olan sürelerin kanunda belirtilmesi ve en küçük bir aykırı işlemde yetkili mekanizmalar tarafından idari para cezası ile cezalandırılması hatta TCK gereğince hapis cezalarının öngörülmesi aslında hesap verilebilirlik ilkesinin bir gereğidir.

2. AB Genel Veri Koruma Tüzüğü (GDPR)

2.1. Genel Olarak

Yıllardır devam eden bir sorun olan kişisel verilerin korunması sorunu teknik imkânların artmasıyla çözüme kavuşturulmaya çalışılmıştır. Teknik gelişmeler doğrultusunda Fransa, İsviçre, Avusturya gibi kimi ülkeler sorunu en asgariye indirmek adına iç hukukunda birtakım düzenlemeler yapmıştır. Pek tabii değişen ihtiyaçlara binaen süreç içerisinde bu düzenlemelerde ya reformlar yapılmış ya da tamamen kanun değişikliği yoluna gidilmiştir. Kısacası verilerin hukuken muhafaza edilmesi her dönemde biraz daha zor hale gelmiştir.

Küreselleşen dünyada ülkeler arasında veri trafiğinin artması ve bu trafikte verilerin muhafaza edilmesi amacıyla AB 1995 yılında, esasında bölgesel uygulamada dünyaya örnek teşkil edecek 95/46/AT sayılı bir Veri Koruma Direktifi’ni çıkarmıştır. Bu direktif kişisel veri açısından öncü bir çalışma olmuştur. Lakin yukarıda da ifade etmeye çalıştığımız üzere AB’ye üye ülkeler tarafından direktifte benimsenen ilkelerin çağa uyum sağlamak adına revize edilmesi, böylelikle kişilerin özel hayatın gizliliği hakkının daha güvenli hale getirilmesi amacıyla kapsamlı bir düzenleme çıkarılması kararlaştırılmıştır. Bu minvalde 2016 yılında AB Genel Veri Koruma Tüzüğü (GDPR) imzalanmıştır.

2.2. Ortaya Çıkışı

GDPR’nin ortaya çıkışı 21. yüzyıla uyum sağlama amacının yanında ek olarak 95/46/AT sayılı direktifin mevcut dijital çağa göre eksik kalmasından ve AB’ye üye her ülkede farklı uygulanışını ortadan kaldırmak için de çıkarılmıştır. İfade etmek gerekir ki direktifin en önemli eksikliklerinden biri de kişisel verilerin tüzükte olduğu gibi teferruatlı bir şekilde düzenlenmemesi ve AB’ye üye ülkeler için kişisel verilerin korunması ile ilgili başlıca belgesi olan 95/46/EC sayılı metnin herhangi bir bağlayıcılığının olmamasıdır[29]. Yani direktif sadece genel sınırları çizmiş, teferruat hususunda ise takdiri üye ülkelerin iç hukukuna bırakmıştır.

Tüm bu gelişmeler ışığında Ocak 2012’de AB tarafından reform çalışmaları başlamıştır. Bu amaç kapsamında çalışmalarına Nisan 2016 tarihinde konsey tarafından kabul edilen tüzük ve ilgili diğer metinler, Avrupa Parlamentosu tarafından onaylanmıştır. Üye devletlerin GDPR hükümlerini ulusal hukuk sistemlerine dahil etmesinin ardından 11 bölüm, 99 madde ve 173 gerekçeden oluşan tüzük, 2018 yılında tamamen yürürlüğe girmiştir[30]. GDPR’nin yürürlüğe girmesiyle beraber 95/46/EC sayılı direktifin herhangi bir hükmü kalmamıştır. Nitekim direktif, üye ülkelerdeki yorum farklılıkları nedeniyle hukuk birliğini sağlayamamış ve kişisel verilerin korunması açısından birtakım sorunlara kapı aralamıştır. Oluşan bu veri güvenliği sorunları nedeniyle devletlerarası ilişkilerde kimi zaman ticari ve iktisadi sorunlar baş göstermiştir. GDPR’nin bağlayıcı olması bu bakımdan önemlidir. Çünkü GDPR’nin müşterek bir hukuk kuralı getirmesi hasebiyle AB’ye üye ülkelerde kişisel veriler konusunda hukuk güvenliği direktiften daha iyi bir şekilde sağlanmıştır.

      GDPR’nin kişisel verileri koruma alanındaki en güncel ve en kapsamlı düzenleme olması, teknoloji alanındaki güncel gelişmeleri de değerlendirerek düzenlenmiş olması ve üye olmasa dahi farklı ülkeler tarafından kabul görmesi GDPR’yi ehemmiyetli kılmaktadır. Nitekim her ne kadar KVKK hazırlanırken 95 tarihli AB direktiflerinden yola çıkılmış olunsa da direktif, yukarıda bahsetmiş olduğumuz hususlar nedeniyle güncelliğini yitirmiştir. Bu nedenle hem Türk hukuku hem de iç hukukunda yeni düzenleme yapacak olan ülkelerin en kapsamlı ve en yetkin düzenleme olan GDPR’yi hem teoride hem de pratikte göz ardı etmemesi elzemdir.

Yönetmeliğin yürürlüğe girmesiyle kişisel veriler üzerinde yapılan işlemlerde köklü değişiklikler yapılmıştır. Çünkü GDPR, Avrupa Birliği üyesi ülke vatandaşlarının kişisel verilerini işleyen dünyanın herhangi bir ülkesindeki kurum ve kuruluşları kendine tabi kılmaktadır. Yani kişisel verileri işleyen en küçük işletme sahipleri dahi AB üyesi ülkelerde ikamet etmese bile kullandıkları program ve sundukları hizmet GDPR ile uyumlu olmak zorundadır.

2.3. GDPR’nin Kapsamı

a. Maddi Kapsamı

Tüzüğün 2. maddesi aslında kapsamı açıkça ortaya koymaktadır. Söz konusu maddede [31];“Bu tüzük, tamamen veya kısmen otomatik vasıtalarla kişisel verilerin işlenmesi ve bir veri kayıt sisteminin parçası olan veya bir veri kayıt sistemi haline gelmesi planlanan kişisel verilerin otomatik vasıtalar dışında işlenmesi hallerine” uygulanır denmiştir. Aslında GDPR’nin maddi kapsamını her türlü kişisel veri oluşturmaktadır. Ne var ki söz konusu bu maddi kapsam maddeden anlaşılacağı üzere tüzüğün tamamen otomatik araçlarla işlenen veriler, kısmen otomatik araçlarla işlenen veriler ve otomatik araçlar dışında işlenen veriler olmak üzere üç farklı statüde değerlendirilmektedir.

Tamamen otomatik işleme, veri işleme eyleminin tüm sürecinin herhangi bir el değmeden otomatik olarak gerçekleştirilmesidir. Kısmen otomatik işleme ise bu sürecin kimi bölümlerine veri sorumlusunun müdahil olmasıdır. Otomatik olmayan yollarla veri işleme, kişinin bizzat eli ile bir veri kayıt sistemi oluşturulması maksadıyla bilgi toplamasıdır. Bu noktada dikkat edilmesi gerekir ki el ile veri işlemenin tüzük kapsamında sayılabilmesi için toplanan bilginin belli şartlar doğrultusunda oluşturulmuş bir veri kayıt sisteminde muhafaza ediliyor olma koşulu aranmaktadır[32].

Kapsam dışı işlemelerin neler olduğu da yine GDPR madde 2’nin devamında açıkça belirtilmiştir. Kısaca özetlemek gerekirse; Avrupa Birliği hukukunun kapsamında olmayan işlemlerde işlenen veriler, tamamen şahsi menfaatler için işlenen veriler, kamu güvenliğine yönelik saldırıları önlemek ve bu minvalde inceleme yapmak amacıyla işlenen veriler ve Avrupa Birliği Antlaşması’nın V. başlığının 2. bölümü kapsamına giren işlemlerde işlenen veriler GDPR kapsamı dışındadır[33].

b. Coğrafi Kapsamı

GDPR teferruatıyla incelendiğinde uygulama alanının çok geniş tutulduğu söylenebilecektir. Nitekim tüzüğün 3. maddesi tüzüğün coğrafi kapsamını net bir şekilde açıklamıştır. Anılan maddeye göre; “Bu tüzük, işleme faaliyetinin birlik içerisinde gerçekleşip gerçekleşmediğine bakılmaksızın, kişisel verilerin birlik içerisindeki bir veri sorumlusu veya veri işleyenin işletmesinin faaliyetleri kapsamında işlenmesine” uygulanır. Maddede açıklandığı üzere coğrafi kapsam, iki temel unsur üzerinden değerlendirilmiştir. Bu iki unsur “işletme” ve “hedefleme”dir. Bu iki unsurdan birinin gerçekleşmesi durumunda GDPR’nin ilgili hükümleri gerçekleştirilen veri işleme faaliyetlerine eksiksiz bir şekilde uygulanacaktır. Yukarıda ifade ettiğimiz üzere tüzüğün AB’ye üye olan her devlet için bağlayıcı olmasına rağmen veri güvenliğini tam manasıyla sağlamak adına coğrafi kapsamın neye göre tespit edileceğine ilişkin olarak sadece tüzüğün “Coğrafi Kapsamı” üzerine bir kılavuz çıkarılmıştır[34].

Burada belirtmek gerekir ki tüzük gerekli şartlar oluştuğunda AB’ye üye olmayan devletleri de bağlayıcı konuma getirebilmektedir. Yani veri işleme eyleminin fiili olarak AB sınırlarında gerçekleşmesinin bir caydırıcılığı yoktur. Hatta kişisel verileri işlenen gerçek kişilerin AB üye devletinin vatandaşı olma mecburiyeti de yoktur. Burada önemli olan husus veri işleme faaliyetinin gerçekleştiği yerdir. Veri işleme AB sınırlarında gerçekleştiriliyorsa hiç şüphesiz GDPR hükümleri uygulanacaktır[35]. Merkezi İstanbul’da olan bir tekstil şirketinin Paris’te bir şubesi var ve bu şube üzerinden o sırada Fransa’da yaşayan vatandaşlara ait veri işleme faaliyetinin GDPR hükümlerine göre gerçekleştirmek zorundadır. Çünkü her ne kadar şirket merkezi İstanbul’da olsa da veri işleme eylemi AB sınırları içerisinde gerçekleşmektedir. Ayrıca veri işleme sürecinde oluşacak herhangi bir uyuşmazlıkta da yine GDPR hükümleri uygulanacaktır.

2.4. Getirdiği Yenilikler

GDPR ile yürürlüğe giren yeni kanunların muhtevası incelendiğinde hemen hemen bütün hükümlerin aslında bireylerin kendi verilerini kontrol edebilmelerini sağlama amacı taşıdığı söylenebilir. GDPR’nin belki de en önemli değişikliği bu amacın gerçekleşmesi için sadece teknik değil eylemsel olarak da bu korumayı sağlamasıdır. Bu çalışmamızın kapsamında pek yeri olmadığından ve önemli kısımları mukayese başlığı altında inceleyeceğimizden biz bu başlıkta sadece GDPR ile getirilen yeniliklerin isimlerini zikretmekle yetineceğiz. GDPR ile getirilen bazı önemli değişiklikleri Müşterek bir veri koruması uygulaması, unutulma hakkı, merkezi AB dışında olan şirketlerinde GDPR’ye tabi olması, bürokrasinin azaltılması, tasarımla veri koruma ve varsayılan ayarlarla veri koruma ilkesinin getirilmesi[36], veri işleyenlerin tamamının veri işlemeden sorumlu tutulması” şeklinde sıralamak mümkündür[37].

3. 6698 Sayılı Kişisel Verilerin Korunması Kanunu (KVKK)

3.1. Genel Olarak

Türkiye’de kişisel verilerin korunması ile ilgili 2016 yılına kadar doğrudan bir yasal düzenleme yoktu. TCK, TMK, TBK, İş kanunu gibi bazı alt yasal düzenlemelerde ilgili kişiyi korumak adına sıklıkla kişisel veri hususuna değinilmiştir lakin teferruatına girilmemiştir. Bu alanda esaslı bir yasal düzenleme ihtiyacının hâsıl oluşu AB’deki gibi dijitalleşen dünyaya uyum sağlamanın yanında daha çok uluslararası etkenlerden kaynaklanmıştır. Bu uluslararası etkenlerin temelinde de Avrupa Birliği’ne uyum süreci gelmektedir. Nitekim bu husus, yeri geldiğinde Avrupa Birliği Komisyonu’nun ilerleme raporları aracılığıyla sıklıkla dile getirilmiştir[38].

Yasal düzenleme yapılırken kişisel verilerin elde edilmesi, paylaşılması, aktarılması vs. konuların sınırları uluslararası standartlara tabi olacak şekilde düzenlenmiştir. Ayrıca düzenleme, Anayasa Mahkemesi’nin kişisel verilerin korunması ile ilgili olarak verdiği karar esas alınarak “insanların en temel hakkı” olduğu bilinciyle yapılmıştır. Dolayısıyla Türkiye’yi, kişisel veriler müessesesini anayasal bir hak olarak ele alan ve bu bağlamda kişisel verilerin korunmasına anayasal düzeyde ehemmiyet veren bir ülke olarak isimlendirmek yerinde olacaktır.

3.2. Ortaya Çıkışı

Türkiye, 1982 Anayasamızda da belirtildiği gibi esasında insan hak ve hürriyetleri ve demokrasiye saygılı bir hukuk devletidir. BM, Avrupa İnsan Hakları Sözleşmesi, İslam işbirliği Teşkilat ve OECD gibi uluslararası örgütlere üye olması bunun en açık göstergesidir. Fakat bu çalışma ve üyeliklere rağmen kişisel veri konusunda uzun bir süre özel bir kanun çıkaramamıştır.

İfade etmek gerekir ki Türkiye’nin evvela Ocak 1981’de Avrupa Konseyi tarafından hazırlanan 108 sayılı sözleşmeye –yukarıda izahatını yaptığımız–  taraf oluşu ve 1989 yılında bu minvalde komisyon kurması aslında kişisel veri konusunu ihmal etmediğini göstermektedir. Fakat taraf olunan sözleşmelerin iç hukukumuza uygulanması için gereken onaylar uzun süre verilmemiştir. Nihayet son dönemde yoğunlaşan çalışmalar neticesinde Ocak 2016 tarihinde bu alandaki en iyi uygulama ilkeleri ve esaslarını yansıtacak şekilde 6698 sayılı KVKK kabul edilmiş ve gerekli düzenlemeler sağlandıktan sonra 2018 yılında yürürlüğe girmiştir[39].

Nitekim kişisel veri mevzuatının hazırlanma sürecinde 6698 sayılı kanundan evvel 5982 sayılı kanunla bazı maddeleri revize edilen anayasaya doğrudan özel hayata değinen 20. Maddesinde kişisel verilerin korunması konusuna açıkça vurgu yapılmıştır. Söz konusu maddede[40]; “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir”  şeklinde eklenen hüküm ile kişisel verilerin korunması hususuna açıkça anayasal güvence sağlanmıştır. Ne var ki her ne kadar bu madde ile kişisel veri hususuna açıkça bir anayasal güvence sağlanmış olsa da teferruatlı bir açıklama ve veri ihlali durumunda süreci denetleyecek bir mekanizma olmadığı için bu maddenin 6698 sayılı kanun yürürlüğe girmeden evvel uygulamada pek karşılığı olmamıştır[41].

3.3. Amacı ve Kapsamı

                a. Amacı

                6698 sayılı kanunun amacı, amaç başlıklı 1. Maddesinde açıkça belirtilmiştir. Söz konusu maddeye göre kanunun amacı, “kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları” düzenlemektir[42]. Bu kapsamda KVKK’nın asıl amacı anayasal güvence sağlanan kişisel verileri, özel hayatın gizliliği kapsamında kişilerin temel haklarını muhafaza etmek ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyması gereken kuralları açıkça belirtmektir. Kanun teferruatıyla irdelendiğinde gerçek kişilerin, oluşabilecek uyuşmazlıklarda kişisel verilerin korunmasını talep hakkını ele alıp bu hakları ne şekilde nereye kullanacağını ve veri işlemenin hangi zamanlarda hukuka uygun olup olmadığı sorularına cevap vermiştir[43].

Ayrıca kanun kişisel verilerin korunmasını kontrol altında tutabilmek için denetim mekanizmaları oluşturarak oluşabilecek en küçük bir veri ihlalinin dahi önüne geçmeyi gütmektedir. Kanun, amaç kısmında anayasal hak olan kişisel veri kavramına doğrudan değinmeyip özel hayatın gizliliği aracılığıyla ona değinmesi doktrinde eleştirilen bir husustur. Çünkü gerek ulusal gerekse uluslararası hukukta kişisel veri temel bir insan hakkı olarak ayrı bir müessese olarak değerlendirilmektedir.

                b. Kapsamı

  Söz konusu kanun ulusal bir düzenleme olduğu için pek tabii sadece Türkiye sınırları içerisindeki gerçek kişiler için uygulama alanı bulmaktadır. Burada dikkat edilmesi gereken husus kanun kapsamına hangi verilerin ve ne şekilde işlenen verilerin dâhil olduğudur. Gerçek kişilere ait olan tüm veriler ile bu verileri işlemekle sorumlu olan gerçek ya da tüzel kişiler bu kanunun kapsamındadır. Ayrıca 6698 sayılı kanun gereğince de tüzel kişilere ait işlenen bir veri gerçek kişiye etki ediyorsa bu veriler de kanun kapsamında değerlendirilmektedir[44].

6698 sayılı kanun, veri işleme biçimleri olarak otomatik olarak işlenen veriler ya da herhangi bir veri kayıt sistemine ait olmak şartıyla otomatik olmayan yollarla işlenmesi durumunda uygulanacaktır. Yani veri, otomatik olarak tutulmamış olsa dahi fiziki olarak belli kriterlere göre tasnif edilip bir dosyada tutulmuş ise, bu veriler de kanunun kapsamında olacaktır. Kısacası verilerin elle ya da bilgisayar ortamında tutulmuş olmasının bir önemi yoktur[45].

4. GDPR ve KVKK’nın Mukayese Edilmesi

4.1. Genel Olarak

Açıklamaya çalıştığımız üzere hem AB Genel Veri Koruma Tüzüğü (GDPR) hem 6698 Sayılı Kişisel Verilerin Korunması Kanunu (KVKK), kişisel verilerin muhafazası hususunda kişinin özel hayatın gizlilik hakkını düzenlemeyi amaçlayan kanunlardır.  İlk bakıldığında her iki yasal düzenleme arasında genel olarak benzerlik olduğu isabetli bir tespit olacaktır. Fakat her ne kadar GDPR ve KVKK esasında aynı amaç için düzenlenen yasal metinler olup birtakım benzerlikler barındırsa da gerek beslendiği hukuk sistemlerinden gerek kapsamlarından kaynakları bazı hükümlerde farklılıklar bulunmaktadır. Bu minvalde her iki kanun arasındaki bu benzerlik ve farklılıkların tam manasıyla idrak edilebilmesi adına çalışmamızda hem genel hatlarıyla kişisel verinin ne olduğunu hem de bu konuda yapılan her iki kanunu teferruatıyla izah etmeye çalıştık.

Anılan nedenlerden dolayı GDPR ile KVKK’nın mukayese edilmesi ehemmiyet arz etmektedir. Nitekim 6698 sayılı kanunumuz hem uzun süren bir çalışma neticesinde ortaya çıkması hem de tanıtım ve uygulanma kısmında yaşanan bazı aksaklıklar sebebiyle birçok kesim tarafından karıştırılmaktadır. KVKK ve GDPR’nin çokça karıştırılmasının bir diğer nedeni ise veri alanında bütün süreci ele alarak ciddi manada hazırlanan sadece bu iki yasal düzenlemenin olmasıdır. Karıştırılan noktalardan bir diğeri de KVKK’nın GDPR’ye binaen hazırlandığı ve GDPR ile tam manasıyla uyumlu olduğudur. Oysaki bu yanlış bir bilgidir. Ne var ki KVKK GDPR’den önce yürürlüğe girmiş ve Türkiye bu alanda birtakım iç sorunlardan dolayı uzun yıllar sonra yasal düzenleme yapmış olsa da 1981 yılında 108 sayılı sözleşmeye üye olarak çalışmalara başlamış ve “ben de bu işte varım” demiştir. Ayrıca resmi olarak AB üyesi olmamamıza rağmen GDPR’nin hükümlerine göre AB üye devleti olmasa dahi veri işleme faaliyeti AB sınırları içerisinde gerçekleştiği zaman GDPR’ye dâhil edilmesinden ötürü Türkiye’deki veri sorumlularının da tamamen bu tüzüğe tabi olduğu sanılmakta ve bu sebeple iki yasal düzenleme birbirinin devamı olarak bilinmektedir. Her iki yasal düzenlemenin açıkladığımız sebeplerden ötürü benzerliklerinden ziyade farklılıkları ele alınarak mukayese edilmesi ehemmiyet arz etmektedir.

4.2. GDPR ile KVKK Arasındaki Temel Farklılıklar

a. Kapsam Farkı

İki yasal düzenleme arasındaki en önemli fark kapsam farkıdır. Pek tabii AB Genel Veri Koruma Tüzüğü’nün hükümleri belirli bir ülke ile sınırlı olmayıp AB üyesi olan tüm devletler için bağlayıcıdır. Türkiye AB’ye dair birçok sözleşme, çalışma vs. taraf ama resmi olarak henüz bir AB üyesi değildir. Bu nedenle GDPR Türkiye için bağlayıcı değildir. Yukarıda açıklamaya çalıştığımız üzere sadece merkezi Türkiye’de bulunan bir veri işleme kurumunun AB üye ülkelerinden birinde bir şubesi var ve bu şube üzerinden de işliyorsa sadece bu hususla sınırlı olmak üzere AB tüzüğüne tabidir. Bu durum dışında herhangi bir bağlılık söz konusu değildir. Nitekim bu husus sadece Türkiye için değil AB üyesi olmayan bir başka devlet için de geçerlidir.

b. Veri Sorumlusu

Veri sorumlularının statüsü de iki yasal düzenlemede farklı düzenlenmiştir. Yerel hukukumuzda veri sorumluları bu husustaki en önemli denetim mekanizması olan Kişisel Verileri Koruma Kurumu’na tabi iken AB tüzüğünde böyle bir durum söz konusu değildir. Tüzüğe göre veri işlemekle sorumlu olan kişiler hesap verilebilirlik ilkesi kapsamında “Veri Kontrolörü” olarak tanımlanmakta ve veri kontrolörü, tüm temel prensiplerden sorumlu tutulmaktadır. Yani kişisel veri işlemine ilişkin yapılan her işlemden ilgili tüm failler sorumlu tutulmaktadır[46].

c. Unutulma Hakkı

Elbette kapsamlı bir şekilde düzenlenen tüzükte veri sahibine düzeltme hakkı, unutulma hakkı, işlemenin kısıtlanması hakkı, itiraz etme hakkı gibi birtakım haklar tanınmıştır. Bu hakların içerisinde en önemli hak unutulma hakkıdır. Çünkü unutulma hakkı ile kişiye geçmişine ait bir bilgi, fotoğraf, belge gibi verilere artık yer verilmemesini talep etme imkânı tanınmaktadır[47]. Kısacası bu hak ile kişi geçmişine çizgi çekmektedir. Söz konusu hak, GDPR 17. maddesinde gerekli şartlar oluştuğu takdirde kişilere açıkça tanınmıştır. Bu husus yerel mevzuatımızda düzenlenmemiştir. Kanaatimizce bu durum düzeltilmesi ehemmiyet arz eden önemli bir eksikliktir. Nitekim iç hukukumuzda gerekli şartlar oluştuğunda bir suçlunun adli sicil kaydı bile silinirken geçmişine ait bir veri aleyhine sonuç doğuracak şekilde karşısına çıkmakta ve kişiye zor durumlar yaşatmaktadır.

Ne var ki bu konuyla ilgili henüz yasal bir düzenleme ya da açık bir hüküm bulunmamasına rağmen Yargıtay kişilik haklarının zedelendiğine değinerek unutulma hakkına değinmiştir[48].  Ayrıca Anayasa Mahkemesi de kişinin şeref ve itibarının korunması gerektiğine yine atıfta bulunarak ilgili kişinin uyuşmazlığa konu olan mecralarda kimliğinin gizli tutulması talebini kabul etmiştir[49]. Son olarak doktrinden ve yargı mekanizmalarından gelen tepkiler üzerine kişisel veriler hususunda doğrudan sorumlu mekanizma olan Kişisel Veri Koruma Kurulu da bu konuda kapsamlı bir karar yayınlamıştır[50]. Fakat bu yargı ya da kurul kararlarının da tam manasıyla bir bağlayıcılığı yoktur. Sadece emsal teşkil etmektedir. Bu konuda ayrıca bir düzenleme yapılması ya da 6698 sayılı KVKK’nın bu doğrultuda revize edilmesi yerinde olacaktır.

d. İdari Para Cezası

KVKK ve GDPR arasındaki farklılıklardan birisi de uyuşmazlıklar neticesinde ilgililere kesilen idari para cezası noktasındadır. KVKK’da veri sorumlularının yükümlülüklerine uymamaları durumunda öngörülen en yüksek para cezası 1 Milyon 800 Bin TL olarak belirlenmiştir[51]. Bu husus GDPR’de çok daha yüksektir. Dolayısıyla caydırıcı bir meblağ olarak düzenlenmiştir. Tüzük kapsamında gerçekleşen uyuşmazlıklarda ilgili kişilere yıllık küresel cironun %4’üne denk gelen meblağ hatta 20 Milyon Euro’ya kadar cezalar kesilebilmektedir[52]. Şüphesiz GDPR hükümlerince düzenlenen böylesi önemli cezai yaptırımların veri işleme faaliyeti noktasında şirketler ve diğer kuruluşların veri ihlallerinden kaçınmasına büyük bir etkisi olmuştur.

4.3. Netice

Netice olarak kişisel veriler ile ilgili uluslararası topluma baktığımızda her dönemde gelişen teknoloji neticesinde oluşabilecek hak ihlallerine karşı verilerin güvenliğini sağlamak adına birtakım yasal çalışmalar yapılmıştır. 1981, 1995 ve son olarak 2016’da çıkarılan hukuki düzenlemeler bunun en açık göstergesidir. 2016 yılında GDPR ise kişisel veri alanında yapılan çalışmaların zirve noktası olmuştur. Nitekim ülkemizde bu çalışmalarda evvela 108 sayılı sözleşmeye taraf olarak ortak olmuş, sonrasında ise 2010 yılında kişisel verilerin korunması hakkına anayasal dayanak kazandırılmış, son olarak 2016 yılında ise 1995 yılında çıkarılan direktifi esas alarak 6698 sayılı kanunu çıkarmıştır.  Nisan 2016’da yürürlüğe giren KVKK her ne kadar direktif esas alınarak hazırlanmış olsa da bu kanunun yasalaşması ile AB’ye üye olma yolunda uyum şartlarından biri daha gerçekleşmiş olup önemli bir adım atılmıştır. İlk bakışta tüzüğün genelinde fark edilebilen ve onu önceki düzenlemelerden ayıran en önemli özellik, tüzüğün AB’de müşterek ve bağlayıcı bir statüye getirme amacıyla oldukça ayrıntılı ve etkili bir sistem kurmuş olmasıdır. Tüzük, kurmuş olduğu bu sistem doğrultusunda gelişen teknolojiyi de esas alarak kişilere yeni haklar tanımış, hem de evvelki düzenlemeleri daha da detaylandırarak somut hale getirmiştir. Bu doğrultuda tüzüğün bölgesel kapsamı artırılmış ve belirli hallerde tüzüğün AB dışındaki ülkelere de uygulanabilir olduğu belirtilmiştir.

Nihayetinde yukarıda açıklamaya çalıştığımız üzere tüzüğün oluşturulma süreci ve amaçları göz önünde bulundurulduğunda 96/46/EC sayılı direktiften temel alınarak hazırlanmış ve tüzükten kısa bir süre önce yürürlüğe girmiştir. Bu kapsamda 6698 sayılı kanunumuzun, tüzük esas alınarak revize edilmesi hem bu konuda güncel olmada hem de AB’ye üyelik sürecinde lehimize oldukça yararlı olacaktır.

Yazar: Av. Abdulkadir TOK

“Big Data ve Kişisel Verilerin Korunması” isimli yazımızı okumak için bağlantıya tıklanıyınız.

Av. Hakan ERİŞ’in “İdari Yaptırımlarda Kanunilik İlkesi ve İdari Yaptırımların Kişisel Verilerin Korunması Anlamında İncelenmesi”isimli yazısını da bağlantıdan okuyabilirsiniz.

KAYNAKÇA

Durmuş, Tezcan, Ceza Hukuku Özel Hükümler, 17. Baskı, İstanbul 2019.

Kaya, Mehmet Bedii, Kişisel Veri Koruma Hukuku, 2. Baskı, İstanbul 2019.

Çekin, Mustafa, Avrupa Birliği Hukukuyla Mukayeseli Olarak 6698 Sayılı Kanun Çerçevesinde Kişisel Verilerin Korunması Hukuku, 3. Baskı, İstanbul 2020

Develioğlu, Hüseyin Murat, 6698 sayılı Kişisel Verilerin Korunması Kanunu ile Karşılaştırmalı Olarak Avrupa Birliği Genel Veri Koruma Tüzüğü Uyarınca Kişisel Verilerin Korunması Hukuku,1. Baskı, İstanbul 2017.

Baysal, Mustafa Kişisel Verilerin Korunması Kanunu, 1. Baskı, Ankara 2020.

K.V.K.K100 Soruda Kişisel Verilerin Korunması Kanunu, 1. Baskı, Ankara 2018.

Akıncı, Ayşe Nur, T.C. Kalkınma Bakanlığı, Avrupa Birliği Genel Veri Koruma Tüzüğü’nün Getirdiği Yenilikler ve Türk Hukuku Bakımından Değerlendirilmesi Çalışma Raporu 6, 2017.

Gür, Akçalı, Uluslararası Hukuk ve AB Hukuku Boyutuyla Kişisel Verilerin Yurt Dışına Aktarılması, Marmara Üniversitesi Hukuk Fakültesi Hukuk Araştırmaları Dergisi,  Cilt 25, Sayı 2, 2019, 850-872

Dülger Volkan,  Avrupa Birliği Genel Veri Koruma Tüzüğü Bağlamında Kişisel Verilerin Korunması,  Yaşar Hukuk Dergisi C.1 S.2, 2019 71-174

Sözüer, Eren, Unutulma Hakkı – İnsan Hakları Hukuku Perspektifinden Bir İnceleme, 1. Baskı, 2017.

Elmalıca, Hasan, Bilişim Çağının Ortaya Çıkardığı Temel Bir İnsan Hakkı Olarak Unutulma Hakkı, Ankara Üniversitesi Hukuk Fakültesi Dergisi, 65 (4) 2016: 1603-1636

Korkmaz, İbrahim, Kişisel Verilerin Korunması Kanunu Hakkında Bir Değerlendirme, TBB Dergisi 2016 (124),  Ankara 82-149

Kılınç, Doğan, Anayasal Bir Hak Olarak Kişisel Verilerin Korunması, Ankara Üniversitesi Hukuk Fakültesi Dergisi, 61 (3) 2012:1089-1169

Avcıoğlu, Halet, Yüksek Lisans Tezi, Karatay Üniversitesi, Türk Hukukunda Kişisel Verilerin Korunması Hakkı, Ankara 2009.

Yörük, Onur, Yüksek Lisans Tezi, İzmir Ekonomi Üniversitesi, (Ab) 2016/679 Sayılı Avrupa Birliği Genel Veri Koruma Tüzüğü Doğrultusunda Kişisel Verilerin Korunması, İzmir 2019

Özkan, Oğulcan, Yüksek Lisans Tezi, Ankara Üniversitesi, Kişisel Verilerin Korunması, Ankara 2020


[1]https://kisiselveri.com/9546ec-turkce

[2]https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32016R0679&from=EN

[3]https://www.kisiselverilerinkorunmasi.org/kanunu-6698-sayili/

[4] AB Veri Koruma Direktifi, Madde 2-a

[5]AB Genel Veri Koruma Tüzüğü, Madde 4/1

[6] 6698 Sayılı KVKK, Madde 3-ç

[7]İHEB Tam Metin için Bkz. 22.01.2021, http://tbbyayinlari.barobirlik.org.tr/TBBBooks/iheb.pdf

[8]Sözleşmenin tam metni için bkz. 22.02.2021, https://www.echr.coe.int/documents/convention_tur.pdf

[9]İlkelerin tam metni için bkz. https://www.oecd.org/sti/ieconomy/32493366.PDF

[10]Hoşnut, Yasime, Uluslararası Düzenlemelerde ve Türkiye’de ̇ Kişisel Verilerin Korunması, Yeni Medya Dergisi, 2019, Sf 32-45

[11]https://www.oecd.org/internet/ieconomy/oecd_privacy_framework.pdf

[12]Atak, Songül, Avrupa Konseyi’nin Kişisel Veriler Açısından Sağladığı Temel Güvenceler, TBB Dergisi, 2010,  Sf.90-120

[13]Novarge A.Ş, Kişisel Verilerin Korunması Kanunu, 2020, Sf. 7 vd.

[14]Yörük Onur, GPDR Doğrultusunda KVKK, İzmir Ekonomi Üniversitesi, Y.L. Tezi, 2019, Sf. 6 vd.

[15]Dülger Volkan, Yaşar Hukuk Dergisi, C.1 S.2, 2019, Sf. 88 vd.

[16]Bkz. Direktif Gerekçe, 24 vd.

[17]Bkz. AB GPDR Madde, 14 vd.

[18]Bkz. 6698 Sayılı KVKK, Md. 13 vd.

[19]Şimşek, Anayasa Hukukunda Kişisel Verilerin Korunması, Sf. 122 vd.

[20]KVKK, 100 Soruda Kişisel Verilerin Korunması Kanunu, 2018, Sf.18 vd.

[21]Özkan, Oğulcan, Kişisel Verilerin Korunması, ASBÜ, Yüksek Lisans Tezi, 2020, Sf. 13 vd.

[22]Tekin Nurullah, Kişisel Verilerin Korunması İle İlgili Türkiye’deki Kanun Tasarısının Avrupa Birliği Veri Koruma Direktifi Işığında Değerlendirilmesi, 2014, Sf. 251 vd.

[23]KVKK, Açık Rıza, 2018, Ayrıca Bkz. 27.02.2021, https://kvkk.gov.tr/yayinlar/A%C3%87IK%20RIZA.pdf

[24]https://unsallaw.com/tr/kvkk-ve-gdpr-kapsaminda-veri-kayit-sistemi/

[25]https://kpveri.com/wp-content/uploads/2017/06/kpveri_KVKK_rehber_ZA_CE.pdf

[26]Novarge A.Ş, Kişisel Verilerin Korunması Kanunu, 2020, Sf. 27 vd.

[27]Bkz. https://www.kvkk.gov.tr/Icerik/4189/Kisisel-Verilerin-Islenmesine-Iliskin-Temel-Ilkeler

[28]Yörük Onur, GPDR Doğrultusunda KVKK, İzmir Ekonomi Üniversitesi, Y.L. Tezi, 2019, Sf. 60 vd.

[29]Aslan, Mithat, Avrupa Birliği Genel Veri Koruma Tüzüğü’nün İncelenmesi Ve Şirketlere Getirdiği Sorumluluklar, 2020, Sf. 10 vd.

[30]https://www.researchgate.net/publication/228152770_The_Law_of_Recitals_in_European_Community_Legisla tion

[31]GDPR Mad.2 vd.

[32]GDPR, Gerekçe 15.

[33]Gül, Esat, KVKK ve GDPR Bağlamında Açık Rızanın Geri Alınması, 2018, Sf. 3 vd.

[34]Kılavuzun tam metni bkz.28.02,2021 https://edpb. europa. eu/our-work-tools/public-consultations/2018/guidelines-32018-territorial-scope-gdpr-article-3_en

[35]Çekin, Serdar, Avrupa Birliği Hukukuyla Mukayeseli Olarak Sayılı Kişisel Verilerin Korunması Kanunu, 2018, İstanbul, Sf. 29 vd.

[36]Bulut, İpek, Avrupa Birliği Genel Veri Koruma Tüzüğü Kapsamında Getirilen Yeni Teknik ve Yaptırım Mekanizmaları, Anadolu Üniversitesi Sosyal Bilimler Dergisi, 2020, Sf. 127-142

[37]Başalp, Nilgün, Avrupa Birliği Veri Koruması Genel Regülasyonunun Temel Yenilikleri, Marmara Üniversitesi Hukuk Fakültesi Dergisi, 2015, Sf. 77-105

[38]Özel, Kadir Can, 6698 Sayılı Kanun Üzerine Genel Bir Değerlendirme, 2016

[39]Gür, Berna, Uluslararası Hukuk ve AB Hukuku Boyutuyla Kişisel Verilerin Yurt Dışına Aktarılması, Marmara Üniversitesi Hukuk Fakültesi Hukuk Araştırmaları Dergisi, 2019, Sf. 850-872

[40]Anayasa Mad. 20 vd.

[41]Korkmaz, İbrahim, Kişisel Verilerin Korunması Kanunu Hakkında Genel Bir Değerlendirme, TBB Dergisi, 2016, Sf. 81-151

[42]6698 sayılı KVKK Mad. 1

[43]Özel, Kadir Can, Ana Hatlarıyla Kişisel Verilerin Korunmasının Tarihsel Süreci ile Amacı ve Kişisel Verilerin Korunması Hakkı, TBB Dergi, Cilt 94, 2020/2, Sf. 241-256

[44] KVKK, 6698 Sayılı Kanunun Amacı ve Kapsamı, 2018

[45]Başalp, Nilgün,  Kişisel Verilerin Korunması ve Saklanması, 2004, Sf. 36 vd.

[46] Akıncı, Ayşe Nur, Avrupa Birliği Genel Veri Koruma Tüzüğü’nün Getirdiği Yenilikler ve Türk Hukuku Bakımından Değerlendirilmesi, Çalışma Raporu 6, T.C. Kalkınma Bakanlığı Yayın No: 2968, 2017. Sf. 8 vd.

[47] Detaylı bilgi için bkz. 03.03.2021, https://www.hukukihaber.net/makale/gecmise-cizgi-cekmek-unutulma-hakkinin-hukuki-temelleri-h440456.html

[48] Yargıtay Hukuk Genel Kurulu’nun 2014/4-56 E. ile 2015/1679 K. Sayılı ve 17.06.2015 Tarihli Kararı

[49] Anayasa Mahkemesi 2013/5653 B. No. 3.3.2016 Tarihli kararı

[50] https://www.kvkk.gov.tr/Icerik/6776/2020-481

[51] 28 Kasım 2020 tarihli ve 31318 sayılı Resmî Gazete ’de 213 sayılı Vergi Usul Kanunu’nun 298. maddesi

[52] GDPR Mad. 18 vd.