olarak güvence altına alınmıştır. Böylece kişisel veriler kişinin  şekilde bir gerçek kişiyle ilişkilendirilmesi suretiyle, o kişinin
özel hayatının bir parçası haline getirilmiş ve konuyla ilgili     tanımlanabilir hale getirilmesini ifade ettiği belirtilmektedir.
ayrıntılı düzenlemenin kanunla yapılacağına yer verilmiştir.       Bu itibarla, isim, telefon numarası, motorlu taşıt plakası,
                                                                   sosyal güvenlik numarası, resim, kimlik, görüntü ve ses
4721 sayılı Türk Medeni Kanunu (“TMK”) ve 6098 sayılı Türk         kayıtları, parmak izleri ve genetik bilgiler gibi verilerin dolaylı
Borçlar Kanunu (“TBK”) hükümleri gerek kişilik haklarına           da olsa kişiyi belirlenebilir kılabilme özellikleri nedeniyle
yönelik saldırıların önlenmesi gerekse de kişisel verilerin        kişisel veri olarak kabul edilmesi gerektiği Tasarı’nın
korunması açısından kanuni dayanak oluşturmaktadır.                gerekçesinde ifade edilmiştir.
Kişilik haklarının korunmasına ilişkin hükümler TMK’nın
23 ilâ 25’inci maddelerinde düzenlenmiştir. Bu kapsamda            Tasarı’daki kişisel veri tanımı uyarınca, tüzel kişilerin
kişilik haklarına hukuka aykırı olarak saldırıldığı iddiasında     verilerinin kapsam dışı tutulduğu görülmektedir. Başbakanlık
olan kişiler TMK hükümlerinden yararlanarak bu ihlalin             tarafından TBMM Başkanlığına 22.04.2008 tarihinde
durdurulmasını isteyebilmektedir. Öte yandan haksız fiilleri       gönderilen eski Tasarı’da ise tüzel kişilere ilişkin veriler
düzenleyen TBK’nın 49. ve devamı maddeleri kişisel verilerin       de kişisel veri kapsamında değerlendirilmekte idi. Önceki
ihlali halinde açılacak tazminat davalarında dayanak olarak        Tasarı’nın ilgili madde gerekçesinde Avrupa Komisyonu’nun
kullanılabilecek hukuk normlarındandır.                            2002/58 sayılı Direktifiyle tüzel kişilere ait kişisel verilerin de
                                                                   koruma kapsamına dâhil edileceği belirtilerek, 30.06.2003
5237 sayılı Türk Ceza Kanunu (“TCK”)’nun 135 ilâ 140’ıncı          tarihli İtalyan Veri Koruma Kanunu’nun “Tanımlar” başlıklı
maddelerinde de, kişisel verilerin hukuka aykırı olarak            4/1-(b) maddesinde kişisel verinin “gerçek veya tüzel kişilere”
kaydedilmesi, ele geçirilmesi, üçüncü kişilere ifşa edilmesi       ait veriler olarak tanımlanması örnek gösterilmekte idi.
ve verilerin süresinde yok edilmemesi fiilleri suç olarak          Ancak “tüzel kişiler” ifadesi 201 sayılı ve 06.12.2011 tarihli
düzenlenmiş ve hürriyeti bağlayıcı cezalara bağlanmıştır.          mevzuatın 40/2-(a) maddesi ile İtalyan Veri Kanunu’ndan
                                                                   çıkarılmış olup, 2016 tarihli Tasarı’nın kişisel veriler
Kişisel verilerin işlenmesi ve paylaşımına ilişkin yukarıda        tanımında da “tüzel kişiler” ifadesine yer verilmemiştir.
yer verilen kanun hükümlerinin yanında Elektronik Ticaretin
Düzenlenmesi Hakkında Kanun, Vergi Usul Kanunu, İş                 Tasarı’da kişisel verilerin işlenmesi, “Kişisel verilerin
Kanunu, Bilgi Edinme Kanunu, Polis Vazife ve Salahiyet             tamamen veya kısmen otomatik olan ya da herhangi bir veri
Kanunu, Elektronik Haberleşme Kanunu, Elektronik İmza              kayıt sisteminin parçası olmak kaydıyla otomatik olmayan
Kanunu, Ceza Muhakemesi Kanunu, Bankacılık Kanunu gibi             yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza
muhtelif kanunlarda da konuya ilişkin özel düzenleme ve            edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması,
sınırlamalar yer almaktadır.                                       aktarılması, devralınması, elde edilebilir hale getirilmesi,
                                                                   sınıflandırılması ya da kullanılmasının engellenmesi gibi
Bununla birlikte, Anayasa ve çeşitli kanunlardaki genel            veriler üzerinden gerçekleştirilen her türlü işlem” olarak
hükümler, bu kanunlarda kişisel verilerin tam bir tanımının        tanımlanmıştır. Hükümde işleme yöntemleri sınırlı olarak
yapılmaması, bu verilerin işlenmesine ilişkin usul ve              sayılmamış olup, bu durum, Tasarı gerekçesinde yer alan,
esaslara yer verilmemesi ve bu konuda uzman bir kurumun            “… kişisel verilerin işlenmesi, verilerin ilk defa elde
öngörülmüş olmaması gibi nedenlerle kişisel verilerin              edilmesinden başlayarak veriler üzerinde gerçekleştirilen
korunması ve gizliliğinin gereği gibi sağlanması açısından         tüm işlem türlerini ifade etmektedir” vurgusundan da tespit
eksik kalmaktadır. Öte yandan, teknolojideki hızlı gelişmeler      edilebilmektedir.
karşısında kişilik haklarının korunması konusunda diğer
kanunlardaki hükümler yetersiz kalmakta ve kişisel verilerin       Tasarı’nın “Genel ilkeler” başlıklı 4’üncü maddesinde kişisel
kontrolsüz şekilde işlenmesi ile bazı temel hakların ihlal         verilerin yalnızca bu Tasarı ve diğer kanunlarda öngörülen
edilmesi sonucu doğabilmektedir. Kişisel verilerin işlenmesine     usul ve esaslara uygun olarak işlenebileceği öngörülmektedir.
yönelik özel bir kanuni düzenlemenin bulunması ve özellikle        Bu itibarla, kişisel verilerin işlenmesine yönelik olarak bir
bu düzenleme kapsamında kişisel veri tanımının yapılmış            kanunilik ilkesinin kabul edildiği görülmektedir. Bu noktada,
olması bağlamında kişisel veri kavramı daha somut ve               “diğer kanunlar” ifadesine yönelik olarak hem yukarıda
anlaşılır hale gelmiş, bu sayede kişisel veri kavramı ile TCK      II numaralı başlıkta bahsedilen bir kısım düzenlemelerin, hem
uyarınca kişisel verinin hukuka aykırı kullanımına bağlanan        de Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında
yaptırımlar arasında suç ve cezaların kanuniliği ilkesine uygun    Bireylerin Korunması Sözleşmesinin birlikte değerlendirilmesi
olarak objektif bir bağ kurulmuş olacaktır.                        gerekmektedir. Örneğin Kişisel Verilerin Otomatik İşleme Tabi
                                                                   Tutulması Karşısında Bireylerin Korunması Sözleşmesinde
III. Tasarı’nın getirdiği yenilikler                               kişisel verilerin işlenmesine ilişkin olarak “otomatik işlem”
                                                                   tanımı getirilmiş; Tasarı’da yer alan veri sorumlusu tanımının
Yukarıda açıklandığı üzere, mevzuatımızda kişisel verilerin        yanında, “otomatik veri dosyasının amacının ne olacağı, hangi
korunmasına ilişkin bir kısım düzenlemeler bulunmakla              kişisel veri kategorilerinin kaydedilmesi gerektiği ve bunlara
birlikte, “kişisel veri” kavramının içinin doldurulmamış olması    hangi işlemlerin uygulanacağı hakkında karar verebilecek olan
nedeniyle uygulamada sorunlar çıkabilmektedir. Tasarının           gerçek veya tüzel kişileri, kamu kurumunu, birimi veya ulusal
“Tanımlar” başlıklı 3’üncü maddesi uyarınca “kişisel veri”,        kanunlara göre yetkili olan diğer kuruluşları” ifade eden dosya
kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her      yöneticisi teriminin tanımına da yer verilmiştir.
türlü bilgiyi ifade etmektedir. İlgili hükümde “belirli veya
belirlenebilir” terimine ilişkin bir açıklık bulunmamakla          Tasarı’nın 5’inci maddesi, 4’üncü madde uyarınca kişisel
birlikte, Tasarı’nın gerekçesinde, bir kişinin belirli veya        verilerin işlenme şartlarını düzenlemektedir. Buna
belirlenebilir olmasının, mevcut verilerin herhangi bir            göre, kişisel veriler ilgili kişinin açık rızası olmaksızın

10 Mart 2016