Loading...

Taking too long?

Reload document

| Open in new tab

Download [255.71 KB]

Dijital Çağın Yeni Temel Hakkı: Kişisel Verilerin Korunması ve Türk Anayasası’ndaki Güvencesi

Avukat Yalçın Torun

Torun Hukuk Bürosu — Kişisel Veriler ve Anayasa Hukuku Birimi

yalcintorun1966@gmail.com  |  https://yalcintorun.av.tr

Özet

Bu çalışma, kişisel verilerin korunması hakkının Türk Anayasası’ndaki konumunu ve tarihsel gelişimini, uluslararası hukuk standartları ile karşılaştırmalı bir perspektiften ele almaktadır. 2010 anayasa referandumuyla Anayasa’nın 20. maddesine eklenen kişisel veri güvencesi, Türk anayasa hukukunda köklü bir dönüşümün habercisi olmuştur. Bu dönüşüm yalnızca normatif bir tercih değil; aynı zamanda dijital teknolojilerin yarattığı yeni tehdit ortamına verilen zorunlu bir yanıttır. Çalışmada, Avrupa İnsan Hakları Sözleşmesi’nin 8. maddesi, 108 Sayılı Avrupa Konseyi Sözleşmesi ve 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) çerçevesinde anayasal güvencenin kapsamı normatif analiz yöntemiyle incelenmiştir. Anayasa Mahkemesi içtihadı sistematik biçimde değerlendirilmiş; hakkın insan onuru ile özel hayat hakkıyla olan köklü bağı ortaya konulmuştur. Çalışma, kişisel verilerin korunmasının bağımsız bir temel hak olarak Anayasa sistemi içindeki yerini güçlendirmeye yönelik çözüm önerileriyle sonuçlandırılmaktadır.

Anahtar Kelimeler: Kişisel veri, kişisel verilerin korunması hakkı, Anayasa m. 20, özel hayat hakkı, insan onuru, 6698 sayılı Kanun, KVKK, Anayasa Mahkemesi içtihadı, dijital temel haklar, GDPR.

1. Giriş

Kişisel verilerin korunması hakkı, yirmi birinci yüzyılın en tartışmalı ve dinamik temel haklar alanlarından birini oluşturmaktadır. Bilgi ve iletişim teknolojilerinin baş döndürücü hızla gelişmesi; bireylerin davranışlarının, tercihlerinin, sağlık durumlarının, finansal profillerinin ve sosyal ilişkilerinin kapsamlı biçimde kaydedilmesine, saklanmasına, işlenmesine ve aktarılmasına imkân tanımaktadır. Bu süreç, bireyin kendi hakkındaki bilgi akışı üzerindeki denetimini ortadan kaldırma tehlikesini beraberinde getirmektedir.

Tarihsel perspektiften bakıldığında, kişisel verilerin korunması meselesi özel hayat hakkının bir alt kategorisi olarak değerlendirilmiş; uzun süre bu çerçevede ele alınmıştır. Ancak dijital dönüşümün derinleşmesi, kişisel veri korumasını özel hayat hakkının ötesine taşımış ve ona özgün bir temel hak kimliği kazandırmıştır. Artık kişisel verilerin korunması, yalnızca bireysel bir mahremiyet meselesi olmaktan çıkmış; demokratik toplumun temel sütunlarından birini oluşturan bilgiye dayalı özerkliğin (informational self-determination) korunmasının vazgeçilmez koşulu hâline gelmiştir.

Türkiye bu dönüşümü; 2010 yılında Anayasa’nın 20. maddesine kişisel verilerin korunması güvencesini ekleyerek, 2016 yılında 6698 sayılı Kişisel Verilerin Korunması Kanunu’nu yürürlüğe koyarak, 2024 yılında ise 7499 sayılı Kanun’la KVKK’da kapsamlı reformlar gerçekleştirerek hukuki sisteme yansıtmıştır. Ne var ki bu normatif ilerlemenin uygulamaya tam anlamıyla yansıyıp yansımadığı ve anayasal güvencenin içinin gerçek anlamda doldurulup doldurulmadığı hâlâ tartışma konusudur.

Türkiye’nin taraf olduğu uluslararası belgeler ele alındığında, Avrupa İnsan Hakları Sözleşmesi’nin 8. maddesi birincil referans noktasını oluşturmaktadır. Türkiye, AİHS’i 10 Mart 1954 tarihinde onaylamış olup bu tarihten itibaren özel hayata saygı hakkı kapsamında kişisel verilerin korunması, devletin hem negatif hem de pozitif yükümlülüklerini belirleyen temel bir norm hâline gelmiştir. Avrupa İnsan Hakları Mahkemesi’nin bu alandaki zengin içtihadı, Türk Anayasa Mahkemesi kararlarını doğrudan biçimlendirmektedir.

Bu makale, söz konusu soruya yanıt vermek amacıyla önce kişisel verilerin korunması hakkının kavramsal temellerini açıklayacak; ardından bu hakkın Anayasa’daki yerini uluslararası standartlarla karşılaştırmalı biçimde inceleyecek; son olarak Anayasa Mahkemesi içtihadını değerlendirerek normatif düzlemde tespit edilen eksiklikler için çözüm önerileri geliştirecektir. Makalede normatif analiz, karşılaştırmalı hukuk ve içtihat analizi yöntemleri birlikte kullanılmıştır.

2. Kavramsal Çerçeve: Kişisel Veri ve Temel Hak Niteliği

2.1. Kişisel Veri Kavramı

Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir. 6698 sayılı KVKK’nın 3. maddesi bu tanımı benimsemiş olup iki temel unsur öne çıkmaktadır: birincisi gerçek kişiye ilişkin olma koşulu; ikincisi ise kişiyi belirli ya da belirlenebilir kılan nitelik. Ad, soyad, T.C. kimlik numarası, telefon numarası, e-posta adresi, IP adresi, konum bilgisi, biyometrik veri, genetik veri, sağlık bilgisi ve finansal bilgi bu tanımın kapsamına giren başlıca kişisel veri türleridir.

Bu kavram, yalnızca statik bir bilgi kategorisi olarak değil; dinamik, bağlamsal ve giderek genişleyen bir olgu olarak ele alınmalıdır. Büyük veri (big data) uygulamaları, yapay zekâ algoritmaları ve makine öğrenmesi teknolojileri sayesinde tek başına anlamsız görünen veriler bir araya getirildiğinde kişiyi tam anlamıyla tanımlayan kapsamlı profiller oluşturulabilmektedir. “Mozaik etkisi” (mosaic effect) olarak adlandırılan bu olgu, kişisel veri kavramının giderek genişlemesine ve hangi bilginin “kişisel” sayılacağının belirsizleşmesine yol açmaktadır. Bu nedenle kişisel veri tanımı, dinamik ve teknolojiye duyarlı biçimde yorumlanmak zorundadır.

2.2. İnsan Onuru ve Kişisel Veri Korumasının Felsefi Temeli

Kişisel verilerin korunması hakkı, felsefi düzlemde Immanuel Kant’ın geliştirdiği insan onuru anlayışına dayanmaktadır. Kant’a göre insan, bir araç değil, amaç olarak muamele görmeyi hak eden özerk bir varlıktır. Bu özerkliğin dijital çağdaki karşılığı “bilgisel öz-belirlenim hakkı” (informationelle Selbstbestimmung) olarak tezahür etmektedir. Alman Federal Anayasa Mahkemesi, 1983 tarihli Nüfus Sayımı Kararı’nda (Volkszählungsurteil, BVerfGE 65, 1) bireyin kendi hakkındaki bilgilerin toplanması, saklanması, kullanılması ve aktarılması üzerinde temel bir kontrol hakkına sahip olduğunu ilan etmiştir. Türk anayasa hukukunun bu yaklaşımdan doğrudan etkilendiği görülmektedir.

TC Anayasası’nın 17. maddesi, herkesin maddi ve manevi bütünlüğünün dokunulmazlığını güvence altına almaktadır. Bu güvence, kişisel veriler üzerindeki denetim hakkını doğal biçimde kapsamına almaktadır. Zira bireyin kendi hakkındaki bilgi akışını denetleyememesi, onun kimliğini oluşturan en temel unsurların başkaları tarafından şekillendirilmesi anlamına gelmektedir; bu ise insan onuruna açık bir saldırıdır.

2.3. Hakkın Bağımsız Temel Hak Niteliği

Kişisel verilerin korunması hakkının özel hayat hakkından bağımsız bir temel hak olup olmadığı meselesi, hem uluslararası hem de Türk hukuku öğretisinde tartışılmaya devam etmektedir. Bir görüşe göre bu hak, AİHS’in 8. maddesi kapsamındaki özel hayat hakkının bir alt kategorisidir. Karşı görüş ise Avrupa Birliği Temel Haklar Şartı’nın 8. maddesinin kişisel verilerin korunmasını özel hayat hakkından (madde 7) ayrı bir madde olarak düzenlemesinden hareketle bu hakkın özgün bir temel hak kimliği kazandığını savunmaktadır. Türk anayasa hukuku perspektifinden, 2010 anayasa değişikliğiyle Anayasa’nın 20. maddesine eklenen kişisel veri güvencesinin ayrı bir fıkra olarak kaleme alınmış olması, bu hakkın bağımsız niteliğine güçlü bir işaret oluşturmaktadır.

3. Türk Anayasası’nda Kişisel Veri Koruması Güvencesi

3.1. Anayasa Madde 20: Kişisel Verilerin Korunması Hakkı

Anayasa’nın 20. maddesinin üçüncü fıkrası şu hükmü içermektedir: “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.”

Bu fıkra dört temel güvence içermektedir. Birincisi, herkesin kişisel verilerinin korunmasını isteme hakkıdır; bu güvence, devletin hem negatif yükümlülüğünü (müdahaleden kaçınma) hem de pozitif yükümlülüğünü (etkin koruma mekanizmaları kurma) doğurmaktadır. İkincisi, bilgilendirilme, erişim, düzeltme ve silme haklarının açıkça sayılmasıdır. Üçüncüsü, kişisel verilerin yalnızca kanuni dayanak veya açık rıza temelinde işlenebileceği ilkesidir; bu ilke kanuni güvence şartını anayasal bir zorunluluk hâline getirmektedir. Dördüncüsü ise kişisel veri koruma alanının kanunla düzenleneceğine dair anayasal rezervdir.

3.2. Anayasa Madde 17: Maddi ve Manevi Bütünlük

Anayasa’nın 17. maddesi, herkesin yaşama, maddi ve manevi bütünlüğünü koruma hakkına sahip olduğunu güvence altına almaktadır. Bireyin biyometrik verileri, sağlık bilgileri ve genetik verileri, onun maddi bütünlüğünün dijital yansımasını oluşturmaktadır. Bu verilerin rıza olmaksızın işlenmesi, maddi ve manevi bütünlüğe yapılan bir müdahale niteliği taşımaktadır. Anayasa Mahkemesi, 17. ve 20. maddeleri birlikte okuyarak kişisel veri korumasına ilişkin güvencenin kapsamını anlamlı biçimde genişletmektedir.

3.3. Anayasa Madde 22: Haberleşme Hürriyeti ve Meta Veri Koruması

Anayasa’nın 22. maddesi haberleşme özgürlüğünü düzenlemekte ve haberleşmenin gizliliğini anayasal güvence altına almaktadır. E-posta içerikleri, mesajlaşma uygulamaları aracılığıyla gerçekleştirilen iletişim ve telefon görüşmelerine ilişkin veriler bu güvencenin kapsamına girmektedir. AİHM’in Malone – Birleşik Krallık (1984) kararından itibaren yerleşen içtihadı, haberleşme özgürlüğünün yalnızca içerik değil; meta veriler (iletişimin kime yapıldığı, ne zaman, ne kadar sürdüğü) üzerinde de uygulandığını teyit etmektedir. Bu yaklaşım Türk Anayasa Mahkemesi kararlarına da doğrudan yansımıştır.

3.4. Anayasa Madde 13: Temel Hakların Sınırlandırılması

Anayasa’nın 13. maddesi temel hakların sınırlandırılma koşullarını düzenlemektedir. Bu maddeye göre temel haklar, yalnızca kanunla, demokratik toplum düzeninin ve laik Cumhuriyet’in gereklerine aykırı olmaksızın ve ölçülülük ilkesi gözetilerek sınırlandırılabilmektedir. Kişisel verilerin korunması hakkına getirilecek kısıtlamalar da bu koşullara tabidir. Özellikle kamusal güvenlik gerekçesiyle gerçekleştirilen kişisel veri işlemleri, kanuni dayanak, belirlilik, orantılılık ve meşru amaç testlerini ayrı ayrı geçmek zorundadır. Anayasa Mahkemesi, bu testlerin soyut ve geniş kapsamlı kanun hükümleriyle karşılanamayacağını; müdahalenin kapsamını ve sınırlarını öngörülebilir biçimde belirleyen bir yasal düzenlemenin varlığının zorunlu olduğunu kararlı biçimde vurgulamaktadır.

4. Uluslararası Standartlar ve Türk Hukukuna Yansımaları

4.1. AİHS Madde 8 ve AİHM İçtihadı

Türkiye’nin 18 Mayıs 1954 tarihinde onayladığı AİHS’in 8. maddesi özel hayata ve aile hayatına saygı hakkını düzenlemektedir. AİHM bu maddenin yorumunu giderek genişletmiş ve kişisel verilerin korunmasını özel hayat hakkının kapsamına dahil etmiştir. Bu alandaki kilit kararlar şunlardır: Leander – İsveç (1987), Z – Finlandiya (1997), Rotaru – Romanya (2000) ve S. ve Marper – Birleşik Krallık (2008). S. ve Marper kararında Büyük Daire, beraat eden kişilerin DNA profili ile parmak izlerinin poliste tutulmaya devam edilmesinin, bireyin özel hayatına orantısız bir müdahale teşkil ettiğine hükmetmiştir.

AİHM’in bu içtihadından çıkan temel ilke üç koşulu zorunlu kılmaktadır: müdahalenin hukuken öngörülmüş olması, meşru bir amaca dayanması ve demokratik toplumda zorunlu olması. Bu üçlü test, Anayasa’nın 13. maddesiyle örtüşmekte; Anayasa Mahkemesi de kişisel veri koruması davalarında aynı testi benimseyerek uygulamaktadır.

4.2. Avrupa Konseyi 108 Sayılı Sözleşme

Türkiye’nin 17 Mart 1999 tarihinde onayladığı Avrupa Konseyi 108 Sayılı Sözleşmesi, kişisel verilerin meşru ve orantılı biçimde işlenmesini, belirli amaçlar için toplanmasını, doğru ve güncel tutulmasını ile gerektiğinde imha edilmesini devlet partilerine doğrudan yüklemektedir. 2018 yılında modernize edilen 108+ Protokolü, sözleşmenin kapsamını yapay zekâ, biyometrik veri ve algoritmik karar alma süreçlerini de kapsayacak biçimde genişletmiştir. Türkiye bu protokolü henüz onaylamamış olmakla birlikte, KVKK’da 2024 yılında yapılan değişiklikler Protokol’ün temel ilkelerini büyük ölçüde yansıtmaktadır.

4.3. BM Medeni ve Siyasi Haklar Uluslararası Sözleşmesi Madde 17

Türkiye’nin 2003 yılında onayladığı BM Medeni ve Siyasi Haklar Uluslararası Sözleşmesi’nin 17. maddesi, hiç kimsenin özel yaşamına, ailesine, konutuna ve yazışmalarına keyfi biçimde müdahale edilemeyeceğini öngörmektedir. BM İnsan Hakları Komitesi, 16 Numaralı Genel Yorumunda bu maddenin kişisel veri işleme faaliyetlerini de kapsadığını teyit etmiştir. Devletler, bireylerin kişisel verilerini toplama, işleme ve saklama faaliyetlerini açık hukuki düzenlemelerle sınırlamak ve denetlemek yükümlülüğü altındadır.

4.4. Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) ve Türkiye

Türkiye, AB üyesi olmamakla birlikte GDPR normları Türk hukuku açısından kritik bir referans çerçevesi oluşturmaktadır. Bunun iki temel nedeni bulunmaktadır: KVKK’nın hazırlanmasında GDPR’dan doğrudan ilham alınmış olması ve AB ile gerçekleştirilen veri aktarımlarının hukuki güvenceye kavuşturulabilmesi için Avrupa Komisyonu’ndan yeterlilik kararı (adequacy decision) alınması gerekmesidir. 12 Mart 2024 tarihli 7499 sayılı Kanun’la gerçekleştirilen KVKK reformları da GDPR uyumunu ön planda tutmaktadır.

5. 6698 Sayılı KVKK: Anayasal Güvencenin Kanun Düzlemindeki Yansıması

5.1. Temel İlkeler (KVKK Madde 4)

KVKK’nın 4. maddesi, kişisel verilerin işlenmesinde uyulması zorunlu temel ilkeleri sıralamaktadır. Bu ilkeler doğrudan Anayasa’nın 20. maddesinin buyurucu niteliğini hayata geçiren normlar olarak değerlendirilmelidir. Hukuka ve dürüstlük kurallarına uygun olma ilkesi, kişisel veri işlemenin meşru bir hukuki dayanağa sahip olmasını şart koşmaktadır. Doğru ve güncel olma ilkesi, işlenen verinin gerçek durumu yansıtmasını gerektirir. Belirli, açık ve meşru amaçlar için işlenme ilkesi, amacın önceden ve açıkça belirlenmesi zorunluluğunu öngörmektedir. Amaçla bağlantılı, sınırlı ve ölçülü olma ilkesi, GDPR’daki data minimisation ilkesiyle örtüşmektedir. Son olarak, gerekli süre kadar muhafaza edilme ilkesi, gerekliliği ortadan kalkan verinin imha edilmesi yükümlülüğünü doğurmaktadır.

5.2. Veri İşlemenin Hukuki Dayanakları (KVKK Madde 5 ve 6)

KVKK’nın 5. maddesi, kişisel verilerin işlenmesinin hukuki dayanaklarını altı bent hâlinde düzenlemiştir: ilgili kişinin açık rızası; kanunlarda açıkça öngörülmüş durum; hayati menfaat; sözleşme ilişkisi; hukuki yükümlülük; alenileştirme; hakkın tesisi, kullanılması veya korunması; ve meşru menfaat. 12 Mart 2024 tarihli 7499 sayılı Kanun’la “meşru menfaat” dayanağı GDPR’ın 6. maddesiyle uyumlu biçimde yeniden düzenlenmiştir. KVKK’nın 6. maddesi ise hassas kişisel verilerin işlenmesini ayrıca düzenlemiş olup bu verilerin işlenmesi kural olarak yasak olup yalnızca açık rıza veya kanunla öngörülen hâllerde mümkündür.

5.3. Veri Sahibi Hakları (KVKK Madde 11)

KVKK’nın 11. maddesi ilgili kişinin haklarını kapsamlı biçimde düzenlemiştir. Bu haklar: kişisel verilerinin işlenip işlenmediğini öğrenme; işlenmişse buna ilişkin bilgi alma; işlenme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme; yurt içinde veya yurt dışında verilerin aktarıldığı üçüncü kişileri bilme; eksik veya yanlış işlenmiş verilerin düzeltilmesini isteme; şartların varlığı hâlinde silinmesini veya yok edilmesini isteme; yapılan işlemlerin üçüncü kişilere bildirilmesini isteme; münhasıran otomatik sistemlerle analiz sonucunda aleyhine çıkan karara itiraz etme; ve kanuna aykırı işleme nedeniyle tazminat talep etmedir.

6. Yargı Kararları Analizi

6.1. Anayasa Mahkemesi İçtihadı

Anayasa Mahkemesi, kişisel veri koruması alanındaki bireysel başvuruları değerlendirirken sistematik bir test uygulamaktadır: müdahalenin varlığını tespit etme; Anayasa’nın 13. maddesi kapsamında kanuni dayanak, meşru amaç ve ölçülülük koşullarını sırasıyla denetleme. Mahkeme’nin genel yaklaşımına göre, bireyin kendi kişisel verileri üzerindeki denetim hakkı, insan onurunun ve kişilik hakkının ayrılmaz parçasını oluşturmaktadır. Kamuya açık internet ortamında paylaşılan veriler dahi koşulsuz biçimde işlenemez; bu işlemin meşru bir hukuki dayanağa ihtiyaç duyduğu açıkça kabul görmektedir.

Mahkeme norm denetimi alanında da belirleyici kararlar vermiştir. Anayasa’nın 20. maddesinin üçüncü fıkrasının açık buyruğu doğrultusunda kişisel veri işlemenin yalnızca kanunla öngörülebileceği; yürütme organının çıkardığı yönetmelik veya kararname hükümlerinin bu alanda tek başına yeterli bir hukuki dayanak oluşturamayacağı içtihat hâline gelmiştir.

6.2. Danıştay İçtihadı

Danıştay, kamu idarelerinin kişisel veri işleme faaliyetlerini kanunilik ilkesi çerçevesinde denetlemekte; açık kanun dayanağı bulunmayan veri işleme faaliyetlerini hukuka aykırı saymaktadır. Danıştay’ın yerleşik yaklaşımına göre “kamu yararı” gerekçesi, tek başına yeterli bir hukuki dayanak oluşturmamakta; bu gerekçenin yanı sıra yasal bir düzenlemenin de var olması zorunludur. Kamu görevlilerinin sicil dosyaları, disiplin kayıtları ve sağlık bilgileri gibi hassas verilerin yetkisiz biçimde ifşa edilmesi, idarenin tazminat yükümlülüğünü doğurmaktadır.

6.3. Yargıtay İçtihadı

Yargıtay, kişisel veri koruması alanında özellikle iş hukuku ve tazminat davalarında belirleyici içtihat oluşturmaktadır. İşverenin çalışan verilerini toplaması ve işlemesi, iş sözleşmesinden kaynaklanan yönetim hakkı çerçevesinde değerlendirilmeli; ancak bu yetki çalışanın kişisel veri koruması hakkını tamamen ortadan kaldıracak biçimde kullanılmamalıdır. GPS takibi, e-posta izleme ve kamera sistemlerinin meşruiyeti ölçülülük ilkesiyle değerlendirilmektedir.

Kişisel veri ihlalinden kaynaklanan manevi tazminat davalarında Yargıtay, ihlalden doğan zararın soyut nitelikte dahi olsa tazmin edilebilir olduğunu kabul etmektedir. Üçüncü kişilerin erişimine açılan kişisel verilerin olumsuz algı yaratması ya da maddi zarar doğurma potansiyeli taşıması, manevi tazminat talepleri için yeterli zemin oluşturmaktadır. Bu yaklaşım GDPR’ın 82. maddesiyle de örtüşmektedir.

7. Karşılaştırmalı Hukuk Perspektifi

7.1. Alman Modeli: Bilgisel Öz-Belirlenim Hakkı

Alman hukukundaki “bilgisel öz-belirlenim hakkı” (informationelles Selbstbestimmungsrecht), Türk anayasa hukukunun kişisel veri koruma anlayışına en güçlü biçimde ilham veren modeldir. Alman Federal Anayasa Mahkemesi’nin 1983 tarihli Volkszählungsurteil kararında ilk kez tanımlanan bu hak, Grundgesetz’in 2. maddesi kapsamında kişiliğin serbest gelişimi hakkından türetilmiştir. Bu hakka göre birey, kendi hakkındaki bilgilerin kim tarafından, ne zaman ve hangi amaçla kullanılacağına prensip olarak kendisi karar vermek yetkisine sahiptir.

7.2. Avrupa Birliği Modeli: Çift Katmanlı Güvence

Avrupa Birliği hukukunda kişisel verilerin korunması, AB Temel Haklar Şartı’nın 8. maddesi ile GDPR aracılığıyla çift katmanlı bir güvence altına alınmıştır. AB Adalet Divanı’nın Schrems (2015) ve Schrems II (2020) kararları, kişisel verilerin korunması hakkının AB hukukundaki temel niteliğini güçlü biçimde teyit etmektedir. Türkiye açısından bu modelin en pratik yansıması, AB yeterlilik kararı meselesidir. Türkiye, KVKK’yı GDPR ile uyumlu biçimde hayata geçirmesi ve AB yeterlilik standardını karşılaması durumunda Avrupa ile kişisel verilerin serbestçe aktarılmasının önünü açabilecektir.

8. Uygulamadaki Sorunlar ve Tespit Edilen Eksiklikler

Normatif çerçevenin görece olgunlaşmış olmasına karşın, kişisel veri korumasının Türkiye’de uygulamaya yansıması henüz istenilen düzeye ulaşamamıştır. Bu sorunlar birkaç temel başlık altında ele alınabilir.

Birincisi, kurumsal bağımsızlık meselesidir. Kişisel Verileri Koruma Kurulu üyelerinin seçiminde yürütme organının belirleyici rol oynaması, kurumun fiilî bağımsızlığı konusunda ciddi sorular doğurmaktadır. Karşılaştırmalı hukuk deneyimi, gerçek anlamda bağımsız bir veri koruma otoritesinin hem etkin denetim hem de güvenilirlik açısından vazgeçilmez olduğunu ortaya koymaktadır.

İkincisi, kamu sektörü uyumudur. KVKK’nın kamu kurumlarına uygulanmasında bazı belirsizlikler sürmektedir. Güvenlik ve istihbarat gerekçesiyle kişisel veri işleyen kurumların KVKK yükümlülükleri çerçevesinde ne ölçüde denetlendiği yeterince netlik kazanmamıştır.

Üçüncüsü, rıza mekanizmasının araçsallaştırılmasıdır. Uygulamada “açık rıza” kavramının uzun ve anlaşılmaz kullanım koşulları metinleri aracılığıyla araçsallaştırıldığı görülmektedir. Bu durum, rızanın özgür irade üzerine kurulu gerçek bir onay mekanizması olma niteliğini zedelemektedir.

9. Sonuç ve Değerlendirme

Kişisel verilerin korunması hakkı, Türk Anayasası’nda 2010 yılından bu yana müstakil bir temel hak olarak yer almakta ve bu hakkın kapsamı giderek genişlemektedir. Bu çalışma, söz konusu hakkın anayasal dayanağını, uluslararası hukukla bağlantısını, kanun düzeyindeki yansımalarını ve yargı içtihadını kapsamlı biçimde incelemiştir.

Anayasa’nın 20. maddesi, kişisel veri korumasını hem negatif hem de pozitif boyutlarıyla güvence altına alan bütüncül bir norm niteliği taşımaktadır. Bu hakkın uluslararası dayanağı AİHS’in 8. maddesi, Avrupa Konseyi 108 Sayılı Sözleşmesi ve BM Medeni ve Siyasi Haklar Sözleşmesi’nin 17. maddesiyle sağlanmakta; bu belgeler Anayasa’nın 90. maddesi aracılığıyla iç hukukun bütünlüklü parçası hâline gelmektedir.

Çalışmadan elde edilen üç temel öneri şu şekilde sıralanabilir. Birincisi, Kişisel Verileri Koruma Kurulu’nun yasal güvencelerle pekiştirilmiş gerçek bağımsızlığa ve yeterli kapasite ile bütçeye kavuşturulmasıdır. İkincisi, KVKK’nın GDPR ile tam uyumunun sağlanması ve AB’den yeterlilik kararı alınmasına yönelik somut adımların atılmasıdır. Üçüncüsü ise Anayasa Mahkemesi’nin kişisel veri koruması alanındaki yaklaşımını sistematik biçimde ortaya koyan, ilke bazlı ve tutarlı bir içtihat oluşturmasıdır.

Sonuç olarak kişisel verilerin korunması hakkı, salt teknik bir hukuk meselesi olmaktan çıkmış; bireyin dijital çağda özerk, onurlu ve özgür bir birey olarak var olmasının temel güvencesi hâline gelmiştir. Bu nedenle söz konusu hakkın anayasal koruma çerçevesinin güçlendirilmesi, demokratik hukuk devletinin güçlendirilmesiyle doğrudan eş anlamlıdır.

Dipnotlar

1. 5982 sayılı Türkiye Cumhuriyeti Anayasasının Bazı Maddelerinde Değişiklik Yapılması Hakkında Kanun, Resmî Gazete, 13 Mayıs 2010, Sayı: 27580.
2. TC Anayasası m. 20/3: kişisel verilerin korunması güvencesi; m. 13: temel hakların sınırlandırılması koşulları; m. 90: onaylanmış uluslararası sözleşmelerin iç hukuk değeri.
3. AİHS m. 8 — Özel hayata ve aile hayatına saygı hakkı; Türkiye onay tarihi: 10 Mart 1954.
4. AİHM, S. ve Marper – Birleşik Krallık, Başvuru No: 30562/04 ve 30566/04, Büyük Daire, 4 Aralık 2008.
5. Avrupa Konseyi 108 Sayılı Sözleşme; Türkiye onay tarihi: 17 Mart 1999, Resmî Gazete.
6. GDPR (2016/679 sayılı Tüzük), Avrupa Birliği Resmî Gazetesi, L 119/1, 27 Nisan 2016.
7. 6698 sayılı Kişisel Verilerin Korunması Kanunu, m. 4 (temel ilkeler), m. 5 ve 6 (işleme şartları), m. 11 (veri sahibi hakları); Resmî Gazete, 7 Nisan 2016, Sayı: 29677.
8. 7499 sayılı Ceza Muhakemesi Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun; Resmî Gazete, 12 Mart 2024, Sayı: 32487.
9. Kaya, Cemil. Kişisel Verilerin Korunması Hukuku. Ankara: Turhan Kitabevi, 2020.
10. Bundesverfassungsgericht, BVerfGE 65, 1 — Volkszählung Kararı, 15 Aralık 1983.

Kaynakça

AİHM. S. ve Marper – Birleşik Krallık, Başvuru No: 30562/04 ve 30566/04, Büyük Daire, 4 Aralık 2008.

AİHM. Rotaru – Romanya, Başvuru No: 28341/95, 4 Mayıs 2000.

AİHM. Z – Finlandiya, Başvuru No: 22009/93, 25 Şubat 1997.

Avrupa Birliği. AB Temel Haklar Şartı, OJ C 364/1, 18 Aralık 2000.

Avrupa Konseyi. 108 Sayılı Sözleşme — Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Gerçek Kişilerin Korunmasına Dair Sözleşme. Strasbourg, 1981.

Avrupa Parlamentosu ve Konseyi. 2016/679 Sayılı GDPR. AB Resmî Gazetesi L 119/1, 2016.

Bundesverfassungsgericht. BVerfGE 65, 1 — Volkszählung. 15 Aralık 1983.

Dinçkol, Bihterin V. Kişisel Verilerin Korunması Hukukunun Temel Esasları. İstanbul: Beta Yayınları, 2021.

Kaya, Cemil. Kişisel Verilerin Korunması Hukuku. Ankara: Turhan Kitabevi, 2020.

6698 sayılı Kişisel Verilerin Korunması Kanunu. Resmî Gazete, 7 Nisan 2016, Sayı: 29677.

7499 sayılı Kanun. Resmî Gazete, 12 Mart 2024, Sayı: 32487.

Türkiye Cumhuriyeti Anayasası. Resmî Gazete, 9 Kasım 1982, Sayı: 17863.

1966. Medeni ve Siyasi Haklar Uluslararası Sözleşmesi. New York, 1966.

Westin, Alan F. Privacy and Freedom. New York: Atheneum, 1967.

Bu makale, Torun Hukuk Bürosu Akademik Makale Serisi kapsamında hazırlanmıştır.

© 2026 Torun Hukuk Bürosu — Avukat Yalçın Torun. Tüm hakları saklıdır. İzinsiz çoğaltılamaz.