GDPR’IN 70 YILLIK SERÜVENİ

Kişilerin özel hayatlarının gizliliğinin sağlanması ve kişisel verilerinin korunmasına yönelik düzenlemeler 1940lı yılların sonundan bugüne gelişerek gelmektedir. Bu konuda öncü olan Avrupa Birliği’nde kişisel verilerin korunmasına ilişkin düzenlemelerin geçmişi 70 yıl öncesine dayanmaktadır. Bireylerin “özel hayatın korunması hakkı” temel insan hakları arasında kabul edilmiş olup, kişisel verilerin korunması da bu kapsamda değerlendirilmiştir. 2018 yılında Avrupa Birliği Genel Veri Koruma Tüzüğü’nün de yürürlüğe girmesi ile birlikte, kişisel verilerin korunmasına yönelik hassasiyet giderek artmaktadır.

İnsan Hakları Evrensel Beyannamesi - 1948

1948 yılında Birleşmiş Milletler Genel Kurulu tarafından İnsan Hakları Evrensel Beyannamesi ilan edilmiş ve insan haklarının bir hukuk rejimi ile korunmasının esaslı bir zorunluluk olduğu ortaya konulmuştur. 1945 yılında İkinci Dünya Savaşı sonrasında kurulan ve bir dünya örgütü olan Birleşmiş Milletler’in kurucu üyelerinden olan Türkiye’de de “İnsan Hakları Evrensel Beyannamesi” 1949 yılında Resmi Gazete’de yayımlanarak iç hukuka aktarılmıştır.

İnsan Hakları Evrensel Beyannamesi özel ve aile hayatının gizliliğine ilişkin spesifik düzenlemeler içermekte ve Beyannamenin 12. maddesinde, “Hiç kimse özel hayatı, ailesi, meskeni veya yazışması hususlarında keyfî karışmalara, şeref ve şöhretine karşı tecavüzlere maruz kalamaz. Herkesin bu karışma ve tecavüzlere karşı kanun ile korunmağa hakkı vardır.” denilmektedir. Kişisel verilerin korunması da, özel hayatın gizliliğinin bir parçası olarak değerlendirilmektedir. Bu doğrultuda, İnsan Hakları Evrensel Beyannamesi bu yolculuğun başlangıcı olarak kabul edilebilecektir.

Avrupa İnsan Hakları Sözleşmesi – 1950

İnsan Hakları Evrensel Beyannamesi’nin ilanından bir yıl sonra, Londra Antlaşması ile 1949 yılında kurulan ve Türkiye’nin de üye ülkelerinden olduğu Avrupa Konseyi tarafından, 1950 yılında Avrupa İnsan Hakları Sözleşmesi (“AİHS”) imzaya açılmış ve AİHS 1953 yılında yürürlüğe girmiştir. AİHS’ni imzalayan üye ülkeler; AİHS ile ortaya konulan tüm hak ve özgürlükleri kendi yargı alanları içindeki kişilere tanımayı taahhüt etmişlerdir.

AİHS yaşam hakkı, işkence yasağı, özgürlük ve güvenlik hakkı gibi temel haklara ilişkin düzenlemeler içermektedir. Bu temel hakların yanı sıra, kişisel verilerin korunmasının da bir parçasını oluşturduğu özel ve aile hayatına saygı hakkı AİHS’nin 8. maddesinde düzenlenmiştir. AİHS’ne uygun hareket edilip edilmediği Avrupa İnsan Hakları Mahkemesi’nin (“AİHM”) tarafından denetlenerek söz konusu temel hakkın korunma seviyesi bir adım öteye götürülmüştür.

108 sayılı Konvansiyon – 1981

Her üye ülkede, uyruğu veya İkametgâhı ne olursa olsun bireylerin, temel hak ve özgürlüklerini ve özel yaşam haklarını güvence altına alınması amaçlanmış ve 1981 yılında Strazburg’da imzaya açılan “Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi (“108 Sayılı Konvansiyon” veya “Konvansiyon”) 1 Ekim 1985 tarihinde yürürlüğe girmiştir. Konvansiyon’u imzalayan ve onaylayan ülkelerin sayısı günümüzde 55 olup tüm Avrupa Birliği (“AB”) üye ülkeleri Konvansiyon’a taraftır. Türkiye 108 Sayılı Konvansiyon’u imzaya açıldığı gün 28 Ocak 1981 tarihinde imzalayan yed ülkeden biridir ve Konvansiyon ülkemiz tarafından 2016 yılında iç hukukumuza aktarılmıştır.

108 Sayılı Konvansiyon ile halen GDPR’da yer verilmekte olan birtakım ilkeler getirilmiştir; kişisel verilerin kanunla belirlenen süreçlere uygun olarak ve belirli bir amaç için işlenmesi, amaç için gereken süreyi aşarak saklanmaması ve saklanmalarına temel teşkil eden amaçlara göre aşırı olmaması.

108 Sayılı Konvansiyon, kişisel verilerin işlenmesi ve ilgili kişilerin korunması alanında bağlayıcılığa sahip ilk mevzuat olma özelliğini taşımaktadır. Bu doğrultuda, 108 Sayılı Konvansiyon’a taraf ülkelerin ulusal mevzuatlarında Konvansiyon’a uygun düzenlemeleri yapmaları gerekmektedir.  

Kişisel Verilerin İşlenmesi Direktifi - 1995

1980’li yılların sonunda, Konvansiyon’a taraf ülkelerden iç hukuklarında gerekli düzenlemeleri yapan ülke sayısının az olduğu ve düzenleme yapan ülkelerin de düzenlemeleri arasında farklılıklar olduğu gözlemlenmiştir.

Bu durumun bireylerin temel hak ve özgürlüklerine ilişkin kuralların uygulanmasında kolektif bir yaklaşımdan uzaklaşma riskini doğurması üzerine, 1990’lı yıllarda yürütülen çalışmalar sonucunda 1995 yılında “95/46 Sayılı Kişisel Verilerin İşlenmesi ve Serbest Dolaşımı Bakımından Bireylerin Korunmasına İlişkin Avrupa Parlamentosu ve Avrupa Konseyi Direktif” (“95/46 Sayılı Direktif” veya “Direktif”) kabul edilmiştir.

95/46 Sayılı Direktif ile üye ülkelerin kişisel verilerin korunmasına ilişkin ulusal mevzuatlarının uyumlaştırılarak kişisel verilerin tüm AB üye ülkelerinde aynı düzeyde ve benzer ilkeler çerçevesinde korunması ve bu yolla kişisel verilerin söz konusu ülkelerde herhangi bir güvenlik riski bulunmaksızın serbest dolaşımının sağlanması amaçlamaktadır. Böylece bireylerin mahremiyetinin yüksek koruma altına alınması ile bilginin serbest dolaşımının sağlanması arasında bir denge oluşturmaya çalışılmaktadır. Ülkemizde de 2016 yılında yürürlüğe giren Kişisel Verilerin Korunması Kanunu (“6698 sayılı Kanun”) da Direktif düzenlemeleri mehaz alınarak hazırlanmıştır.

Direktif 72 resital ve 34 maddeden oluşmaktadır. Resitaller maddelerde ortaya konulan düzenlemelerin yorumlarını içermektedir. Direktif kişisel verilerin korunmasına ilişkin genel çerçeve ve kuralları çizmiş bu kuralların uygulanmasını üye ülkelere bırakmıştır. 108 Sayılı Konvansiyon’a da paralel olarak Direktif’te kişisel verilerin hukuka uygun işlenmesi için uyulması gereken temel prensipler belirlenmiştir.

Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) - 2018

Direktif’in uygulamaya alınmasında üye ülkelerde farklılıkların oluşması ve Direktif’in yürürlüğe girdiği zamandan sonra teknolojinin gelişmiş olması gibi sebeplerle AB Komisyonu 2010 yılında kişisel verilerin korunması düzenlemelerinde reform stratejisi benimsediğini duyurmuştur.

2012 yılında; teknolojik gelişmeler ve globalleşmenin verinin toplanma, erişilme ve kullanılma yöntemini değiştiğini, internet kullanan Avrupalı sayısının katlanarak arttığını, kişisel verilerin korunmasının ise tüm Avrupalılar için temel hak olduğu buna karşın vatandaşların kendilerini tamamıyla güvende hissetmediğinin gözlemlendiği gibi sebepler ortaya konularak reform gerekliliği belirtilmiştir. Bu reformun içerdiği temel değişikler ise aşağıdaki gibi sıralanmış ve GDPR çalışmalarının başlatıldığı ilan edilmiştir:

• Tüm AB’de doğrudan uygulanabilir tek bir çerçeve düzenleme
• Tüm şirketlere getirilen ve şirketlerin veri işleme faaliyetlerini yetkili otoritelere bildirmeye yönelik yükümlülüğün maliyetli olması sebebiyle hesap verilebilirliği öne çıkaran bir modele geçilmesi
• Veri sorumlularını önemli veri güvenliği ihlallerinde yetkili otoriteleri en kısa sürede bilgilendirmesi
• AB dışında olmasına rağmen AB’yi hedefleyen veri sorumlularının da yeni kurallara uyması gerektiği.

Çalışmaların yürütülmesi sonrasında Avrupa Parlamentosu, Konseyi ve Komisyonu 2015 yılında yeni düzenlemelerde mutabık kalmış ve GDPR 25 Mayıs 2018 tarihi itibarıyla yürürlüğe girmiş ve Direktif’in yerini almıştır.

Böylelikle, 173 resital ve 99 maddeden oluşan GDPR’ın yürürlüğe girmesi ile çeşitli yenilikler getirilmiştir. GDPR ile AB mevzuatının etki alanı genişlemektedir. AB'de yerleşik bir kuruluşu olmayan ancak AB'de yaşayanları hedef alan mal ve hizmetler geliştiren veri sorumlularının GDPR kapsamına alınmıştır ve bu veri sorumlularının GDPR düzenlemelerine uyum sağlamaları gerekmektedir.

Belirli hacmin üstünde veri işleyen ya da veri koruması bakımından riskli sayılabilecek alanlarda faaliyet gösterenlerin, faaliyetlerinin yeni düzenlemeler ışığında ne tür riskler oluşturduğunu tespit etmek amacıyla Mahremiyet Etki Analizi (Privacy Impact Assessment) gerçekleştirmesi zorunlu hale gelmiştir.

Veri sorumlusunun veya veri işleyenin esas faaliyetinin veri işlemek ve bununla bağlantılı aktivitelerden oluşması veya veri sorumlusunun veya veri işleyenin esas faaliyeti çok büyük miktarda özel nitelikli kişisel veri işlenmesini gerektirmesi durumunda, şirketin Veri Koruma Sorumlusu (Data Protection Officer) atama gerekliliği getirilmiştir.

Türkiye’de;  GDPR’ın yürürlüğe girmesi ve 6698 sayılı Kanun’un mehaz düzenlemesi olan 95/46 sayılı Direktif’in yürürlükten kalkması ile birlikte uluslararası platformlarda benimsenen yeni yaklaşımlara uyumun benimseneceği öngrülmektedir.