KVKK

2010 yılında yapılan Anayasa değişikliği ile Anayasanın özel hayatın gizliliğini düzenleyen 20. maddesine belirtildiği gibi temel bir hak olarak düzenlenen kişisel verilerin korunmasını isteme hakkı, Anayasanın kişinin hak ve ödevlerine ilişkin bölümünde yer almıştır. Aynı şekilde kişisel verilerin korunmasına ilişkin hak Anayasada çizilen sınırlar çerçevesinde diğer hak ve özgürlükler lehine sınırlandırılabilir. Avrupa Birliğine uyum kapsamında hazırlanan Kişisel Verilerin Korunması Kanunu Tasarısı 18 Ocak 2016 tarihinde TBMM Başkanlığına sevk edildi. KVKK, Kişisel Verilerin Korunması Kanunudur. Aynı zamanda bu kanunu işletebilmek ve süreçleri sürdürebilmek için KVKK kurumu hayatımıza girmiştir. Bu tarihten sonra denetimler başlayarak kişisel verilerin korunması konusunda ciddi adımlar atılmaya başlanmıştır. Uzun bir süredir tasarı halinde bekleyen KVKK kanunu 7 Nisan 2016 tarihinde resmi gazetede yayınlanarak yürürlüğe girmiştir. Bu sayede kişisel verilerin işlenmesinden tutun da özel hayatın gizliliğine kadar kişilerin temel hak ve özgürlüklerini korumak için kişisel verileri işleyen firmaların yükümlülükleri ile uyacakları kurallar belirlenmiştir.

Kişisel Veri Kavramı

Uluslararası düzenlemelere ve uygulamaya paralel olarak KVKK’da kişisel veri, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak” tanımlanmıştır. Kişisel verinin kapsamı ve unsurları ele alınırken veri kavramının yalnızca bilgisayar verisi olarak düşünülmemesi gerekmektedir. Nitekim Avrupa Konseyi Siber Suçlar Sözleşmesi’nde “bilgisayar verisi” terimi, “bir bilgisayar sisteminin belirli bir işlevi yerine getirmesini sağlayan yazılımlar da dahil olmak üzere, bir bilgisayar sisteminde işlenmeye uygun nitelikteki her türlü bilgi ve konsept” şeklinde tanımlanmıştır. Bu nedenle kişisel verilerin korunması alanı, kullanmakta olan teknolojilerden bağımsız olduğundan gerek elektronik ortamda gerekse elle tutulan veriler kişisel veri kavramı kapsamında değerlendirilmelidir. Kişisel verilerin hukuki nitelemesi yapılırken ABD yaklaşımı “ekonomik-teknolojik” odaklı iken Avrupa yaklaşımı, “sosyal değer” odaklıdır. ABD’de ağırlıklı olarak “bilgi ekonomisi”nden bahsedilirken Avrupada “bilgi toplumu” tartışılmaktadır. Yargıtay 4. HD. “Davalı avukatın, davacının oğlunun iyileştirilmesi için yapılan tıbbî araştırmaya verilen karşılıkları, bilgileri ele geçirerek bunları yapıtda kamuoyuna açıklaması, özel yaşamın gizliliğine dokunulamayacağı esasına aykırı bir davranıştır” hükmüne yer vermiştir. Bilgilerin geleceğini belirleme hakkı kavramı ile yeni bir kişilik hakkı görüşü ortaya çıkmıştır. Bu kavramın en önemli dayanaklarından biri ise Federal Almanya Anayasa Mahkemesi’nin 1983 yılında verdiği Nüfus Sayımı kararıdır. Söz konusu kararda anayasada düzenlenen insan onurunun korunması ile kişiliğin korunmasına ilişkin hükümleri birlikte değerlendirmeye alarak “bilgilerin geleceğini belirleme hakkı” (“informationalle Selbstbestimmung”, “the right of infornational self-determination”) şeklinde kavram ortaya atılmıştır. Günümüzdeki teknolojik gelişmeler de dikkate alınarak kararın ne derece önem arz ettiği her halükârda anlaşılmaktadır.

Özel Nitelikli Veri Türleri ve Kapsamı

108 sayılı Sözleşme’nin 6. maddesinde “özellikli veri kategorileri” başlıklı 6. maddesinde, ilgilin “ırksal kökenine, siyasi düşüncelerine, dinî veya diğer inançlarına, sağlığına veya cinsel yaşamına ve ceza mahkûmiyetine” ilişkin verilerin özel nitelikli veriler olduğu belirtilmiştir. Buna karşılık mevzuatımızda KVKK m. 6 uyarınca, “kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri” özel nitelikli veri olarak sayılmıştır.

Kişisel Sağlık Verisi Kavramı

KSVH Yönetmelik m. 4’te kişisel sağlık verisinin tanımı, “kimliği belirli ya da belirlenebilir gerçek kişinin fiziksel ve ruhsal sağlığına ilişkin her türlü bilgi ile kişiye sunulan sağlık hizmetiyle ilgili bilgiler” şeklinde yapılmıştır. Bu kapsamda, kişinin geçirdiği hastalıklar, kullandığı ilaçlar, her türlü tahlil sonucu, muayene raporu, röntgen filmleri, teşhisi, tedavisi, psikolojik belirtileri, bedeni eksiklikleri, engel durumu, kişinin nüfus cüzdanında bulunan kan grubu bilgisi, sosyal güvenlik numarası, hastaneye giriş tarihi ve hatta resmi dahi kişisel sağlık verisidir. Bununla birlikte KSVH Yönetmelik’teki tanımda “kişiye sunulan sağlık hizmetleriyle ilgili bilgiler”in de sağlık verisi olarak kabul edildiğine dikkat çekmek gerekir. Buna göre, kişinin hizmet aldığı sağlık birimi ve kendisine uygulanan tedavinin herhangi bir aşamasına ilişkin bilgi de sağlık verisidir. Örneğin, bir kimsenin onkoloji bölümünde tedavi gördüğüne dair bilgi veya apandisit ameliyatının sona erdiğine dair bilgi, o kişinin sağlık verisi kabul edilir. Keza bazı hâllerde, kişinin tedavi gördüğü hastanenin adının bilinmesi bile sağlık verisidir. Özellikle yalnızca belirli bir alanda sağlık hizmeti veren kurumlar için bu durum geçerlidir. Örneğin; bir kimsenin, ruh ve sinir hastalıkları hastanesi olarak bilinen bir hastaneye gidip tedavi gördüğü bilgisi, sağlık verisidir. Nitekim bu husus Kurul kararında da belirtilmiştir.

Kişisel Sağlık Verilerinin Korunmasının Önemi

Kişinin sağlık verilerinin açığa çıkması karşısında bireylerin farklı işlem görmeleri ve dolayısıyla ayrımcılığa uğramaları tehlikesinin daha çok olduğu kabul edilmektedir. Ayrımcılığa ilişkin uluslararası sözleşmelerde yer alan ilk tanımın ILO’nun 111 No’lu Ayrımcılık (İş ve Meslek) Sözleşmesi’nde yer aldığı kabul edilmektedir. Sözleşme uyarınca ayırımcılık; “iş veya meslek edinmede veya edinilen iş veya meslekte tabi olunacak muamelede eşitliği yok edici veya bozucu etkisi olan ırk, renk, cinsiyet, din, politik inanç, ulusal veya sosyal köken bakımından yapılan her türlü ayrılık gözetme, dışlama veya üstün tutma” şeklinde tanımlanmıştır. Gerçekten de kişinin tanı ve teşhisleri gibi bazı sağlık verileri, yaşam tarzına veya tercihlerine ilişkin pek çok bilgiyi içerebilmektedir. Bu bilgilerin açığa çıkması nedeniyle bireyler işlerinden olabileceği gibi, eşleri tarafından terk edilmek gibi risklerle de karşı karşıya kalabilirler394. Bununla birlikte bireyin, tıbbi verilerinin gizliliğinden şüphe etmesi hâlinde sağlık hizmetlerinden yararlanmaktan çekinmesi bile söz konusu olabilir. Bu durum da gerek bireysel gerek toplumsal olarak ciddi tehlikelere yol açabilecektir. Nitekim AİHM’nin Z., Finlandiya’ya karşı kararı396nda, sağlık verilerinin korunamamasının, birey ve toplum açısından neden olabileceği tehlikelere dikkat çekilmiştir. Mahkeme’ye göre: “Tıbbi verilerin gizliliğine saygı göstermek, AİHS’ne taraf olan bütün Sözleşmeci devletlerin yasal sistemlerinin temel prensibidir. Sadece hastanın özel hayatına saygı göstermek değil, hastanın tıp mesleğine ve genel olarak sağlık hizmetlerine duyduğu güveni de korumak şarttır. Böyle bir koruma olmazsa, tıbbi yardıma ihtiyacı olanlar doğru tedavi görmek için ve hatta tıbbi yardım almak için gerekli olan kişisel veya mahrem bilgileri açıklamaktan cayabilir; bu durumda da hem kendi sağlıklarını hem de bulaşıcı hastalıklar söz konusu olduğundan toplum sağlığını tehlikeye atar.”

Kişisel Verilerin Korunmasına İlişkin Temel Düzenlemeler

A. ULUSLARARASI DÜZENLEMELER Kişisel verilerin korunmasına ilişkin uluslararası alanda atılan ilk adımın, Türkiye’nin de üyesi olduğu Ekonomik İşbirliği ve Kalkınma Teşkilatı (OECD) tarafından 23 Eylül 1980 tarihinde yayınlanan “Özel Yaşamın Gizliliğinin ve Sınır Ötesi Veri Akışının Korunmasına İlişkin Rehber İlkeler” oluğu kabul edilmektedir. Üye devletler için bağlayıcı olmamasına karşın bu ilkeler, kişisel verilerin korunmasına ilişkin ulusal ve uluslararası metinlerin içeriğinde etkili olduğu için önemlidir. 2016 yılında kabul edilen 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun gerekçesinde bu ilkeler atıf yapılmış olması ise önemini halen koruduğunun bir göstergesidir. Birleşmiş Milletler (BM) Örgütü insan haklarının korunması alanında ilk olarak 10 Aralık 1948 tarihinde Evrensel İnsan Hakları Bildirisi’ni kabul etmiştir. BM’nin doğrudan kişisel verilerin ve bireyin haklarının, veri işleme faaliyetleri karşısında korunmasına yönelik çalışması, 14 Aralık 1990 tarihinde kabul edilen “Bilgisayara Geçirilmiş Kişisel Veri Dosyalarına İlişkin Rehber İlkeler”dir. AİHS’de kişisel verilerin korunması hakkı, bağımsız bir hak olarak düzenlenmemiş, “özel ve aile hayatına saygı hakkı” kenar başlıklı 8. maddesi çerçevesinde değerlendirilmiştir. Maddeye göre; “1. Herkes özel ve aile hayatına, konutuna ve haberleşmesine saygı gösterilmesi hakkına sahiptir. 2. Bu hakkın kullanılmasına bir kamu otoritesinin müdahalesi, ancak ulusal güvenlik, kamu güvenliği, ülkenin ekonomik refahı, dirlik ve düzenin korunması, suç işlenmesinin önlenmesi, sağlığın veya ahlâkın veya başkalarının hak ve özgürlüklerinin korunması için demokratik bir toplumda gerekli olan ölçüde ve yasayla öngörülmüş olmak koşuluyla söz konusu olabilir. Avrupa Konseyi, doğrudan kişisel verilerin korunmasına yönelik çalışmalarına 1970’li yıllarda başlamıştır. 1981 yılında, 108 sayılı “Kişisel Verilerin Otomatik İşleme Tâbi Tutulması Karşısında Bireylerin Korunması Sözleşmesi” kabul edilmiştir. 108 sayılı Sözleşme, kişisel verilerin korunmasına ilişkin uluslararası alanda bağlayıcı ilk ve tek uluslararası hukuk belgesi olması nedeniyle önemlidir. Türkiye, 28 Ocak 1981 tarihinde 108 sayılı Sözleşmeyi imzalayan ilk ülkelerden birisi olmuştur. Buna karşın sözleşme, uzun bir süre onaylanmamıştır. 17 Mart 2016 tarihli 29656 sayılı Resmi Gazete ’de yayınlanarak iç hukukumuza dâhil edilmiştir. 13 Şubat 1997 tarihli “Tıbbi Verilerin Korunmasına İlişkin R(97) 5 Sayılı Tavsiye Kararı” yayınlanmıştır. Tavsiye Kararında sağlık verilerinin işlenmesine yönelik bazı özel kurallar öngörülmüştür. Bu anlamda sağlık verilerinin sadece sağlık görevlileri tarafından veya sağlık görevlilerinin uymakla yükümlü olduğu gizlilik kuralları ile aynı şekilde bağlı olan ve sağlık uzmanları adına çalışan kişi veya kurumlar tarafından yapılması gerekmektedir. 97/5 sayılı Tavsiye Kararı m.4, m.5 ile uygun koruma seviyesine sahip olmayan bir ülkeye yapılacak tıbbi veri aktarımı açısından ek kurallar öngörülmüştür. 181 Sayılı Ek Protokol 108 Sayılı Sözleşmeye Değişiklik Protokolü Avrupa Konseyi’nin kişisel verilerin korunmasına ilişkin hükümler içeren bir diğer düzenlemesi İnsan Hakları ve Biyotıp Sözleşmesi (Biyoetik Sözleşmesi)’dir. Sözleşmenin 10. maddesinde sağlıkla ilgili kişisel verilerin korunması ve kişilerin sağlıklarına ilişkin bilgileri öğrenme hakkı düzenlenmiştir. 95/46/AT Sayılı Kişisel Verilerin Korunması Yönergesi Madde 29 Çalışma Grubunun Elektronik Sağlık Kayıtlarında Yer Alan Sağlığa İlişkin Kişisel Verilerin İşlenmesi Hakkında Çalışma Dokümanı ise 15 Şubat 2007 tarihinde yayınlanmıştır. Bu belge ile Elektronik Sağlık Kayıtları (ESK) sistemleri bağlamında kişisel sağlık verilerinin korunması hakkının güvenliğinin temin edilmesi amacıyla çeşitli konularda tavsiyelerde bulunulmuştur. Bu konular şunlardır: “(1)Kendi kaderini belirleme hakkına saygı gösterme, (2) Hastaların ve sağlık çalışanlarının kimlik tespitleri ve kimlik denetimleri, (3) ESK sisteminde okuma ve kayıt yapabilme amacıyla erişimler için yetkilendirme, (4) ESK’nın başka amaçlar için kullanılması, (5) Bir ESK sisteminin örgütsel yapılanması, (6) ESK’da depolanan veri kategorileri ve sunu kipleri, (7) Tıbbi kayıtların uluslararası aktarımları, (8) Veri güvenliği, (9) Şeffaflık, (10) Sorumluluk konuları, (11) ESK’da veri işleme bakımından öngörülen kontrol mekanizmaları”. Avrupa Birliği Temel Haklar Şartı Avrupa Birliği Genel Veri Koruma Düzenlemesi B. ULUSAL DÜZENLEMELER Anayasa Özel Hayatın Gizliliği Başlıklı 20. Maddesi “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.” Türk Medeni Kanunu kişiliğin korunmasına yönelik 23,24 ve 25 hükümleri TMK m. 24/2’de belirtilen “kişinin rızası, daha üstün nitelikte özel veya kamusal yarar ya da kanunun verdiği yetkinin kullanılması” sebeplerinden birinin varlığı hâlinde ise hukuka uygun hâle gelebilir. Türk Borçlar Kanunu Haksız fiil veya borca aykırılık kapsamında TBK m. 49 vd. veya TBK m.112 vd. hükümleri uygulama alanı bulur. Türk Ceza Kanunu TCK 135 ila 139. maddeleri arasında düzenlemeler yapılmıştır. 6698 Sayılı Kişisel Verilerin Korunması Kanunu KVKK Genel Gerekçesine göre Kanun’un yürürlüğe girmesini gerekli kılan nedenleri şu şekilde sıralamak mümkündür: “Günümüzde kişisel verilerin korunması alanında yaşanan gelişmeler karşısında ülkemizde konuyu bütüncül olarak düzenleyen mevzuatın olmaması; ülkemizde kişisel verilerin işlenmesi sürecini denetleyecek bir kurumun bulunmaması; 5237 sayılı TCK’nın 135 ve devamı maddelerinde, konuya ilişkin suç ve cezalar belirlenmiş olmasına karşın, kişisel verilerin işlenmesine yönelik özel bir kanunun bulunmaması sebebiyle bu fillerin ne zaman hukuka aykırı olduğunun tespit edilmesinde güçlükler yaşanması; Anayasa’nın 20. maddesi gereği bu konuda bir yasa ile düzenleme yapılmasının gerekmesi; ülkemizin AB’ye tam üyelik sürecinde müzakere fasıllarından dördünün doğrudan kişisel verilerle ilgili olması ve sürecin ilerleyebilmesi için kişisel verilerin korunmasına ilişkin temel bir kanunun yürürlüğe girmesinin gerekmesi; EUROPOL ve EUROJUST ile işbirliği anlaşmasının yapılamaması ve elektronik bilgi değişiminin gerçekleştirilememesi; sağlık kuruluşlarında hastalarla ilgili çok sayıda özel nitelikli verinin tutulması, bunların tutulmasına ilişkin hukuksal bir düzenlemenin olmaması ve verilerin güvenliğinin sağlanamaması nedeniyle AİHM’nin ihlâl kararları vermesi; ülkemizde yaşayan yabancılar ile yurt dışında yaşayan Türk vatandaşları açısından veri paylaşımında sorunlar yaşanması; kişisel verilerin korunmasına ilişkin kanuni düzenlemenin, ülkemizin Katılım Ortaklığı Belgesine cevap olarak hazırladığı 2003 Ulusal Programında taahhüt ettiği yükümlülükler arasında olması; 64. Hükümet 2016 yılı Eylem Planında üç ay içerisinde gerçekleştirilecek reformlar arasında kişisel verilerin korunmasına ilişkin kanuni düzenlemenin yer alması; kişisel verilerin korunması alanında kanuni bir düzenlemenin olmayışının yabancı sermayenin ülkemizde yatırım yapması bakımından caydırıcı bir etken olarak değerlendirilmesi”.

Kişisel Sağlık Verileri Hakkında Yönetmelik

İlk çıkan yönetmeliğe karşı Türk Tabipleri Birliği ve Türk Dişhekimleri Birliği Danıştay’da dava açmış ve yönetmeliğin durdurulmasına karar verilmiştir. Ancak daha sonrasında 2019 tarihinde, KVKK hükümleri kapsamında sağlık hizmet sunucuları tarafından yürütülen süreç ve uygulamalarda uyulacak usul ve esasları düzenlemek amacıyla “Kişisel Sağlık Verileri Hakkında Yönetmelik” yürürlüğe girmiştir.