Madde 2

2010 yılında Anayasa'nın 20. maddesine eklenen üçüncü fıkra, kişisel verilerin korunmasına anayasal temel hak statüsü tanımıştır. Doktrinde bu hakkın, kişilik hakkının bir görünümü olduğu ve asıl işlevinin bireyi dijital çağın veri işleme kapasitesinin yarattığı tehlikelere karşı korumak olduğu savunulmaktadır.

Bireyin kendi verilerinin akıbeti hakkında bilgisiz bırakılması, özerk karar alma yetisini doğrudan etkiler. Verilerinin kim tarafından, hangi koşullarda ve ne amaçla kullanıldığını bilmeyen kişi, davranışlarını buna göre şekillendiremez; bu belirsizlik hâli kişilik hakkına yönelik bir müdahale teşkil eder.

Anayasal güvencenin varlığı, söz konusu hakkın mutlak nitelik taşıdığı şeklinde yorumlanamaz. Hukuk düzeninin koruduğu diğer meşru menfaatlerle bir denge kurulması gerektiğinde, bu temel hak da özüne dokunulmamak kaydıyla sınırlamaya tabi tutulabilir.

Verinin küresel ekonomideki stratejik değeri giderek artmakta ve bu durum, farklı pazarlık güçlerine sahip çok sayıda aktörü veri işleme süreçlerine dahil etmektedir. Bu gelişme karşısında mevcut hukuki çerçevenin, verinin ekonomik önemini ve ilgili tarafların çıkarlarını ne ölçüde karşılayabildiği meselesi önem kazanmaktadır.

Konuya ilişkin kavramsal bir belirsizlik de göz ardı edilmemelidir. Anayasalarda yer alan kişisel veri koruma düzenlemeleri, esasen negatif statü hakları olarak tasarlanmıştır; başka bir deyişle bireye devlet müdahalesine karşı bir savunma kalkanı sunmaktadır. Ancak bu düzenlemeler, verinin ekonomik değerinden yararlanma veya üzerinde tasarrufta bulunma yetkisini güvence altına almamaktadır.

Dolayısıyla kişisel verilerin korunması hakkı, bireye verileri üzerinde ticari anlamda mutlak bir egemenlik tanımamaktadır.

Avrupa Birliği veri hukukunda iki temel düzenleme alanı öne çıkmaktadır.1 Veriyle dolaylı bağlantısı olan çeşitli düzenlemeler bir yana bırakılırsa, doğrudan veriyi konu alan normlar kişisel verilerin korunması ve veri yönetişimi şeklinde iki ana kategoride ele alınabilir.2

Türk hukuku da benzer bir yapı sergilemektedir: kişisel verilerin korunmasına ilişkin temel düzenlemenin yanı sıra çeşitli mevzuat hükümlerinde veri yönetişimine dair kurallara rastlanmaktadır.

Türk hukukunda "veri" kavramı genellikle kişisel verilerin korunması bağlamında ele alınmaktadır. Oysa 6698 sayılı Kanun'un yürürlüğe girmesinden çok önce, özellikle elektronik haberleşme, e-ticaret ve internet hukuku alanlarında veriye ilişkin sektörel düzenlemeler zaten mevcuttu.

Ancak bu sektörel düzenlemelerin ötesinde, genel nitelikli bir yasal çerçeve yalnızca kişisel verilerin korunması alanında oluşturulabilmiştir. Başka bir ifadeyle, veri hukukunun bütüncül bir perspektifle ele alındığı kapsamlı bir mevzuat bulunmamaktadır.

Bu durum önemli bir boşluğa işaret etmektedir: kişisel olan ve olmayan verilere erişim koşullarını, teknik altyapıyı ve usul kurallarını düzenleyen genel bir yasal çerçeve henüz oluşturulamamıştır. Çeşitli projeler hayata geçirilmekte olsa da bu alandaki yasal eksiklik devam etmektedir.

Kanun'un md. 3/1-d hükmü, kişisel veriyi gerçek kişiye ilişkin her türlü bilgi olarak tanımlamaktadır. Bu tanım, koruma kapsamını gerçek kişilerle sınırlandırmakta ve tüzel kişileri dışarıda bırakmaktadır. Kanun koyucu ileride tüzel kişi verilerini ayrı bir düzenlemeyle koruma altına alabilirse de mevcut çerçeve yalnızca gerçek kişileri kapsamaktadır.

Bu tercih uluslararası eğilimle uyumludur. GDPR, Alman ve İsviçre veri koruma mevzuatı da kişisel veri korumasını gerçek kişilerle sınırlı tutmaktadır.

Koruma kapsamı gerçek kişilerle sınırlı olmakla birlikte, yükümlülük boyutunda böyle bir ayrım yapılmamıştır. Kanun, veri işleyen herkese—gerçek veya tüzel kişi olmasından bağımsız olarak—belirli sorumluluklar yüklemektedir. Benzer şekilde ne Kanun ne de Tüzük, kamu tüzel kişileri ile özel hukuk kişileri arasında sistematik bir ayrıma gitmektedir.

Kanun'un maddi uygulama alanını belirleyen md. 2, iki temel kriter öngörmektedir: tamamen veya kısmen otomatik yollarla işlenen kişisel veriler doğrudan kapsama girmekte; otomatik olmayan işlemeler ise ancak bir veri kayıt sisteminin parçası olmaları hâlinde Kanun'a tabi olmaktadır.

Veri kayıt sistemi, md. 3/1-h'de kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği sistem olarak tanımlanmıştır. Tam ve kısmi otomasyon ayrımında belirleyici olan, veri toplama sürecinin tamamen makine tarafından mı yoksa insan müdahalesiyle mi gerçekleştirildiğidir.

Pratikte bilgisayar tabanlı her veri kaydı bu kapsama girmektedir. Bilgisayar, tablet, akıllı telefon, güvenlik kamerası, drone, dijital tarayıcı gibi cihazlarla elde edilen tüm kişisel veriler Kanun'un uygulama alanındadır.

Kanun md. 28/1-a, kişisel ya da ailevi amaçlarla gerçekleştirilen veri işleme faaliyetlerini kapsam dışında bırakmaktadır. Buna göre gerçek kişinin yalnızca kendisi veya birlikte yaşadığı aile bireyleriyle ilgili verileri işlemesi hâlinde Kanun hükümleri uygulanmayacaktır.

Bu istisnanın temel gerekçesi, günlük yaşamda kaçınılmaz olan veri işleme faaliyetlerinin orantısız yükümlülüklerle engellenmemesidir. Her ev ortamındaki veri işlemeyi Kanun kapsamına almak pratik olmadığı gibi düzenlemenin amacıyla da bağdaşmaz.

İstisna hükümlerinin dar yorumlanması ilkesi gereği, bu kural yalnızca tamamen kişisel veya ailevi nitelikteki faaliyetleri kapsamaktadır. İşlenen verilerin bu sınırı aşması hâlinde istisna uygulanamaz.

GDPR'ın yer bakımından uygulama alanını düzenleyen Art. 3, AB dışındaki aktörler için kritik öneme sahiptir. Düzenlemeye göre Tüzük, veri sorumlusu veya işleyenin AB'deki kuruluşunun faaliyetleri kapsamında gerçekleştirilen veri işlemelere—işlemenin fiilen nerede yapıldığından bağımsız olarak—uygulanmaktadır.

Tüzük ayrıca AB dışında yerleşik aktörlerin, AB'de bulunan kişilerin verilerini işlemesi hâlinde de devreye girmektedir. Bunun için veri işlemenin, AB'deki kişilere mal veya hizmet sunumuyla ya da bu kişilerin AB içindeki davranışlarının izlenmesiyle bağlantılı olması gerekmektedir. Sunumun ücretli veya ücretsiz olması bu bakımdan önem taşımaz.