Uzun bir bekleyişin ardından yürürlüğe giren Kişisel Verilerin Korunması Kanunu ile birlikte gündelik hayatımıza dek yansıyacak bir değişim süreci ufukta görünüyor. Gelişen internet teknolojisi ile yaşamımızın her anı ve alanı internet tabanlı hizmetlerin kapsamı alanında. Üreticisi olmanın henüz oldukça uzağında olduğumuz yeni teknolojiyi ciddi bir şekilde kullanıyoruz, çoğu zaman ne yaptığımızın pek de farkında olmadan..

Farkındalık konusunda belki de en hassas konu, kişisel verilerimiz. Kanun, kişisel veriyi “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her tür bilgi” olarak tanımlıyor. Yani, sizi siz yapan her tür veri, sizin kişisel veriniz. Bir de “özel nitelikli kişisel veriler” var ki, bu verilerin (istisna hükümleri hariç) sizin açık rızanız olmaksızın işlenmesi yasak. Nedir bu özel nitelikli kişisel veriler; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbirleri ile ilgili veriler ile biyometrik ve genetik veriler..

Biraz teknik bir terim gibi görünse de “kişisel veri işlenmesi” de son derece anlaşılır bir kavram; kişisel verilerin otomatik veya diğer yollarla elde edilmesi, kaydedilmesi, depolanması, korunması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, elde edilebilir hale getirilmesi, sınıflandırılması gibi her tür işlem.

Örneğin; mağazada alışveriş yaptıktan sonra, kart almak için müşterilerin doldurduğu kişisel bilgilerin bir program aracılığıyla veri tabanı, ileti listesi oluşturmak gibi amaçlarla bir araya getirilmesi, düzenlenmesi tipik bir kişisel veri işlemesi.

Günümüzde, bilgisayar ve internet kullanımının geldiği nokta, pek çok kişisel verinin otomatik bir şekilde işlenmesine imkan veriyor. Örneğin, internette gezinirken, bir süre sonra sizin ilginizi çeken haber, reklam ve iletilerle karşılaşmaya başlıyorsanız, verilerinizin hızlı bir şekilde işlendiğini, ilgi alanlarınızın web kullanımız ile ölçüldüğünü, takip edildiğini, bu değerli verinin işlenerek ilgilenen şirketlere aktarıldığını ve bu sayede karşınıza tam da ihtiyaç duyduğunuz ve duyabileceğiniz ürün reklamlarının çıkmaya başladığını anlayabilirsiniz. (Bu konuda verilmiş TTNet Phorm kararı için tıklayınız)

Son dönemde artan güvenlik kaygıları ile yeni uygulamalar ile karşılaşmaya başlıyoruz. Bunlardan birisi de “yüz tanıma sistemleri”. Kişilerin, genellikle fotoğraflarından alınan biyometrik verileri kullanılarak oluşturulan bu sistemler, kamu kurumlarında bile uygulanmaya başlandı. Kimi kez güvenlik için kimi kez de çalışanların takibi gibi amaçlarla, işyerlerinin, binaların girişlerine yerleştirilen bu yüz tanıma sistemleri ile biyometrik veriler işleniyor ve kullanılıyor.

Yürürlüğe giren Kişisel Verilerin Korunması Kanunu ile biyometrik verilerin “özel nitelikli kişisel veri” olarak tanımlanması nedeniyle, kanunlarda açıkça belirtilen haller dışında, kişinin açık rızası olmaksızın işlenmesi mümkün değil. Yani, bir işyerinde yüz tanıma sistemi kurmadan önce, özel bir yasal düzenleme olmadıkça, bu işlemin muhataplarının açık rızalarının alınması gerekiyor.

Yüz tanıma sistemleri ile ilgili yakın tarihli sayılabilecek bir Danıştay kararı da bu durumu teyit ediyor. Bir devlet hastanesinde, çalışanların mesai saatlerine uyumunu kontrol etmek için getirilen yüz tanıma sistemi işyerinde örgütlü bir Sendika tarafından (SES) dava konusu ediliyor. İdare Mahkemesi davayı reddetse de, Danıştay 5.Dairesi, bu uygulamayı açıkça Anayasa’ya aykırı buluyor.  Danıştay,

Anayasa’nın özel hayatın gizliliği başlıklı 20 inci maddesi ile Avrupa İnsan Hakları Sözleşmesi’nin “özel hayatın ve aile hayatının korunması” başlıklı 8 inci maddesini anarak; her ne kadar Devlet Memurları Kanunu’nda mesaiye devam durumlarının kontrolü konusunda ayrıntılı bir yasal düzenleme bulunmadığı, gelişen teknolojinin kamuda kullanılmaya başlanmasının doğal olduğu, ancak bu yolla kişisel verilerin işlenmesinde anayasal ilkelere uygun davranılması gerektiği, uygulamanın sınırları ile usul ve esaslarını belirleyen bir yasal dayanağın bulunmadığı, işlenen kişisel veriler için yeterli güvence bulunmadığı ve ölçülülük ilkesinin ihlal edildiği gerekçesiyle,

dava konusu uygulama işlemini hukuka aykırı bulmuştur.

Elbette ki, suç ve suçlulukla mücadele, güvenlik kaygıları temelinde, gelişen teknoloji araçlarının kullanımı önemlidir. Sevdiğimiz bir polisiye dizide, robot resimden yola çıkarak binlerce, onbinlerce resmi kayarcasına tarayıp bir eşleştirme bulan program çoğumuza güven veriyor olabilir. Ancak, mahremiyet hakkı başta olmak üzere kişiliğimizi korumaya yönelik haklar demetini de dikkate almamız, adil bir denge kurmamız gerekiyor. Bu nedenle, önümüzdeki dönemde pek çok mesele bir yönüyle kişisel veri koruması kavramına temas edecek ve tartışmalar bu kavram üzerinde yürüyecek gibi görünmektedir.

Yazdır