A. ULUSLARARASI DÜZENLEMELER Kişisel verilerin korunmasına ilişkin uluslararası alanda atılan ilk adımın, Türkiye’nin de üyesi olduğu Ekonomik İşbirliği ve Kalkınma Teşkilatı (OECD) tarafından 23 Eylül 1980 tarihinde yayınlanan “Özel Yaşamın Gizliliğinin ve Sınır Ötesi Veri Akışının Korunmasına İlişkin Rehber İlkeler” oluğu kabul edilmektedir. Üye devletler için bağlayıcı olmamasına karşın bu ilkeler, kişisel verilerin korunmasına ilişkin ulusal ve uluslararası metinlerin içeriğinde etkili olduğu için önemlidir. 2016 yılında kabul edilen 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun gerekçesinde bu ilkeler atıf yapılmış olması ise önemini halen koruduğunun bir göstergesidir. Birleşmiş Milletler (BM) Örgütü insan haklarının korunması alanında ilk olarak 10 Aralık 1948 tarihinde Evrensel İnsan Hakları Bildirisi’ni kabul etmiştir. BM’nin doğrudan kişisel verilerin ve bireyin haklarının, veri işleme faaliyetleri karşısında korunmasına yönelik çalışması, 14 Aralık 1990 tarihinde kabul edilen “Bilgisayara Geçirilmiş Kişisel Veri Dosyalarına İlişkin Rehber İlkeler”dir. AİHS’de kişisel verilerin korunması hakkı, bağımsız bir hak olarak düzenlenmemiş, “özel ve aile hayatına saygı hakkı” kenar başlıklı 8. maddesi çerçevesinde değerlendirilmiştir. Maddeye göre; “1. Herkes özel ve aile hayatına, konutuna ve haberleşmesine saygı gösterilmesi hakkına sahiptir. 2. Bu hakkın kullanılmasına bir kamu otoritesinin müdahalesi, ancak ulusal güvenlik, kamu güvenliği, ülkenin ekonomik refahı, dirlik ve düzenin korunması, suç işlenmesinin önlenmesi, sağlığın veya ahlâkın veya başkalarının hak ve özgürlüklerinin korunması için demokratik bir toplumda gerekli olan ölçüde ve yasayla öngörülmüş olmak koşuluyla söz konusu olabilir. Avrupa Konseyi, doğrudan kişisel verilerin korunmasına yönelik çalışmalarına 1970’li yıllarda başlamıştır. 1981 yılında, 108 sayılı “Kişisel Verilerin Otomatik İşleme Tâbi Tutulması Karşısında Bireylerin Korunması Sözleşmesi” kabul edilmiştir. 108 sayılı Sözleşme, kişisel verilerin korunmasına ilişkin uluslararası alanda bağlayıcı ilk ve tek uluslararası hukuk belgesi olması nedeniyle önemlidir. Türkiye, 28 Ocak 1981 tarihinde 108 sayılı Sözleşmeyi imzalayan ilk ülkelerden birisi olmuştur. Buna karşın sözleşme, uzun bir süre onaylanmamıştır. 17 Mart 2016 tarihli 29656 sayılı Resmi Gazete ’de yayınlanarak iç hukukumuza dâhil edilmiştir. 13 Şubat 1997 tarihli “Tıbbi Verilerin Korunmasına İlişkin R(97) 5 Sayılı Tavsiye Kararı” yayınlanmıştır. Tavsiye Kararında sağlık verilerinin işlenmesine yönelik bazı özel kurallar öngörülmüştür. Bu anlamda sağlık verilerinin sadece sağlık görevlileri tarafından veya sağlık görevlilerinin uymakla yükümlü olduğu gizlilik kuralları ile aynı şekilde bağlı olan ve sağlık uzmanları adına çalışan kişi veya kurumlar tarafından yapılması gerekmektedir. 97/5 sayılı Tavsiye Kararı m.4, m.5 ile uygun koruma seviyesine sahip olmayan bir ülkeye yapılacak tıbbi veri aktarımı açısından ek kurallar öngörülmüştür. 181 Sayılı Ek Protokol 108 Sayılı Sözleşmeye Değişiklik Protokolü Avrupa Konseyi’nin kişisel verilerin korunmasına ilişkin hükümler içeren bir diğer düzenlemesi İnsan Hakları ve Biyotıp Sözleşmesi (Biyoetik Sözleşmesi)’dir. Sözleşmenin 10. maddesinde sağlıkla ilgili kişisel verilerin korunması ve kişilerin sağlıklarına ilişkin bilgileri öğrenme hakkı düzenlenmiştir. 95/46/AT Sayılı Kişisel Verilerin Korunması Yönergesi Madde 29 Çalışma Grubunun Elektronik Sağlık Kayıtlarında Yer Alan Sağlığa İlişkin Kişisel Verilerin İşlenmesi Hakkında Çalışma Dokümanı ise 15 Şubat 2007 tarihinde yayınlanmıştır. Bu belge ile Elektronik Sağlık Kayıtları (ESK) sistemleri bağlamında kişisel sağlık verilerinin korunması hakkının güvenliğinin temin edilmesi amacıyla çeşitli konularda tavsiyelerde bulunulmuştur. Bu konular şunlardır: “(1)Kendi kaderini belirleme hakkına saygı gösterme, (2) Hastaların ve sağlık çalışanlarının kimlik tespitleri ve kimlik denetimleri, (3) ESK sisteminde okuma ve kayıt yapabilme amacıyla erişimler için yetkilendirme, (4) ESK’nın başka amaçlar için kullanılması, (5) Bir ESK sisteminin örgütsel yapılanması, (6) ESK’da depolanan veri kategorileri ve sunu kipleri, (7) Tıbbi kayıtların uluslararası aktarımları, (8) Veri güvenliği, (9) Şeffaflık, (10) Sorumluluk konuları, (11) ESK’da veri işleme bakımından öngörülen kontrol mekanizmaları”. Avrupa Birliği Temel Haklar Şartı Avrupa Birliği Genel Veri Koruma Düzenlemesi B. ULUSAL DÜZENLEMELER Anayasa Özel Hayatın Gizliliği Başlıklı 20. Maddesi “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.” Türk Medeni Kanunu kişiliğin korunmasına yönelik 23,24 ve 25 hükümleri TMK m. 24/2’de belirtilen “kişinin rızası, daha üstün nitelikte özel veya kamusal yarar ya da kanunun verdiği yetkinin kullanılması” sebeplerinden birinin varlığı hâlinde ise hukuka uygun hâle gelebilir. Türk Borçlar Kanunu Haksız fiil veya borca aykırılık kapsamında TBK m. 49 vd. veya TBK m.112 vd. hükümleri uygulama alanı bulur. Türk Ceza Kanunu TCK 135 ila 139. maddeleri arasında düzenlemeler yapılmıştır. 6698 Sayılı Kişisel Verilerin Korunması Kanunu KVKK Genel Gerekçesine göre Kanun’un yürürlüğe girmesini gerekli kılan nedenleri şu şekilde sıralamak mümkündür: “Günümüzde kişisel verilerin korunması alanında yaşanan gelişmeler karşısında ülkemizde konuyu bütüncül olarak düzenleyen mevzuatın olmaması; ülkemizde kişisel verilerin işlenmesi sürecini denetleyecek bir kurumun bulunmaması; 5237 sayılı TCK’nın 135 ve devamı maddelerinde, konuya ilişkin suç ve cezalar belirlenmiş olmasına karşın, kişisel verilerin işlenmesine yönelik özel bir kanunun bulunmaması sebebiyle bu fillerin ne zaman hukuka aykırı olduğunun tespit edilmesinde güçlükler yaşanması; Anayasa’nın 20. maddesi gereği bu konuda bir yasa ile düzenleme yapılmasının gerekmesi; ülkemizin AB’ye tam üyelik sürecinde müzakere fasıllarından dördünün doğrudan kişisel verilerle ilgili olması ve sürecin ilerleyebilmesi için kişisel verilerin korunmasına ilişkin temel bir kanunun yürürlüğe girmesinin gerekmesi; EUROPOL ve EUROJUST ile işbirliği anlaşmasının yapılamaması ve elektronik bilgi değişiminin gerçekleştirilememesi; sağlık kuruluşlarında hastalarla ilgili çok sayıda özel nitelikli verinin tutulması, bunların tutulmasına ilişkin hukuksal bir düzenlemenin olmaması ve verilerin güvenliğinin sağlanamaması nedeniyle AİHM’nin ihlâl kararları vermesi; ülkemizde yaşayan yabancılar ile yurt dışında yaşayan Türk vatandaşları açısından veri paylaşımında sorunlar yaşanması; kişisel verilerin korunmasına ilişkin kanuni düzenlemenin, ülkemizin Katılım Ortaklığı Belgesine cevap olarak hazırladığı 2003 Ulusal Programında taahhüt ettiği yükümlülükler arasında olması; 64. Hükümet 2016 yılı Eylem Planında üç ay içerisinde gerçekleştirilecek reformlar arasında kişisel verilerin korunmasına ilişkin kanuni düzenlemenin yer alması; kişisel verilerin korunması alanında kanuni bir düzenlemenin olmayışının yabancı sermayenin ülkemizde yatırım yapması bakımından caydırıcı bir etken olarak değerlendirilmesi”.