The whole thing goes: The future’s not set. There is no fate but what we make for ourselves.*
Hayatınızdaki en özel yer neresi? Yatak odanız? E-mailiniz veya sosyal medya hesaplarınız? Peki ya arabanız, mahallenizdeki eczane, arka bahçeniz? Sadece bir süreliğine kimsenin haberi olmadan kaybolup istediğinizi yapabilir misiniz?
Bugünün dünyasında, yukarıda insana özgü olan tüm hal ve eylemlerin hepsi olanaksız hale gelmekte ki, hem felsefi hem de sosyolojik tartışmalara konu olan insanın yalnızlığı biraz daha kablolarla sarıp sarmalanmakta. Bu da aslında sadece fantastik veya post apokaliptik filmlerde gördüğümüz insana hükmeden makine fikrine o kadar uzak da değiliz artık ağlısını yaratmaya yeterli görünüyor.
Şimdilik ibreyi, bilimkurgu filmlerinden çok da uzakta olmayan Türkiye’de ki kişisel veriler sorununa Anayasa Mahkemesi’nin son kararı ışığında bir göz atalım.
Türkiye’de hala kişisel verilerin korunmasına ilişkin kanun olmasa da Mahkemeler çağın hızına ayak uyduramam Türk mevzuatından hızlı davranarak şimdiden içtihatlar oluşturmaya başladı. Bunun son örneği ise Anayasa Mahkemesi’nin 25.12.2014 tarihinde Sosyal Güvenlik Kanunu’nun 78. Maddesinde yer alan sağlık bilgilerinin paylaşımı ile ilgili fıkrada yer alan cümleyi iptal etmesiydi. Söz konusu kararının gerekçesi ise 23 Mayıs 2015 tarihli Resmi Gazete’de yayınlandı.5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu’nun 78. Maddesi aşağıdaki gibiydi:
“Sağlık hizmeti sunucularının kayıt ve bildirim zorunluluğu ve kontrol yetkisi"
MADDE 78- Kurum ile sözleşmesi olan, tüm sağlık hizmeti sunucuları, sağlık hizmeti sunduğu tüm kişilere ait sözleşme hükümlerinde yer verilen bilgileri, belirlenen yöntemlere ve süreye uygun biçimde elektronik ortamda veya yazılı olarak Kuruma göndermek zorundadır. Bu bilgiler gönderilmeksizin talep edilen sağlık hizmeti bedelleri, bilgiler gönderilinceye kadar ödenmez. (2)
Genel sağlık sigortalısı ve bakmakla yükümlü olduğu kişinin sağlık bilgilerinin gizliliği esastır. Sağlık bilgilerinin ne şekilde korunacağı, ulusal güvenlik nedeniyle sağlık bilgisi paylaşıma açılmayacak kişilerin tespiti ilgili bakanlıkların önerisi üzerine Bakanlıkça tespit edilir. (Ek cümle: 17/4/2008-5754/66 md.) Bu kişi ve grupların sağlık bilgilerinin nasıl tutulacağı ilgili kuruluşların görüşleri alınarak hazırlanacak yönetmelik ile düzenlenir.
Kurum, genel sağlık sigortası hükümlerinin uygulanmasıyla ilgili olarak işverenler, sağlık hizmeti sunucuları ve diğer gerçek ve tüzel kişiler nezdindeki defter, belge ve bilgileri inceleyebilir, ibrazını isteyebilir.
Kurum, bu Kanunda belirtilen görevleriyle ilgili olarak sağlık hizmeti sunucularının yürüttüğü hizmet ve işlemleri kontrol yetkisine sahiptir. Kurum, bu yetkisini görevlendirdiği personeli vasıtasıyla veya kamu kurumları ve özel kurumlardan hizmet satın almak suretiyle kullanabilir.”
Anayasa Mahkemesi Danıştay 15. Dairesi’nin Anayasa’nın 2. maddesi1, 7. maddesi2, 13. maddesi3ve 20.maddesine4 dayanak göstererek yukarıda anılan maddenin 1. Ve 2. Fıkralarının iptali istemli başvuruyu inceleyerek sadece 78/2 ‘de yer alan “Sağlık bilgilerinin ne şekilde korunacağı, ulusal güvenlik nedeniyle sağlık bilgisi paylaşıma açılmayacak kişilerin tespiti ilgili bakanlıkların önerisi üzerine Bakanlıkça tespit edilir. (Ek cümle: 17/4/2008-5754/66 md.) Bu kişi ve grupların sağlık bilgilerinin nasıl tutulacağı ilgili kuruluşların görüşleri alınarak hazırlanacak yönetmelik ile düzenlenir.” cümlesini iptal ederek karara bağlamıştır.
Söz konusu fıkranın iptal edilmesinin temel nedeni de hala tasarının yasalaşmamış olmasıdır. Türkiye’de, kişisel verilerin korunması, işlenmesi, depolanması herhangi bir var olan kanuna atfen değil, sınırları ve içeriği her geçen gün gelişen kişisel veriler sorunsalına büyük oranda yetersiz kalan Anayasa veya Ceza Kanunu’nda yer alan hükümlere dayanarak çözülmeye çalışılmaktadır.
Kanun koyucunun bu soruna bulduğu başka bir ihtiyari çözüm yolu ise çıkarılan kanunların eksikliklerini yönetmeliklerle kapatmak olmuştur. Anayasa veya uluslar arası sözleşmelerle belirlenen ve sınırları çizilen temel hak ve hürriyetlerin ruhuna ve lafzına müdahale ederek amaçlarını değiştiren veya orantılık ilkesine halel getirecek düzeyde temel hak ve hürriyetlerin uygulanmasını ve yorumlanmasını zorlaştıran ve asıl olarak kanun koyucu yerine yürütme organı yani Bakanlar kurulu veyahut idari tüzel kişiler tarafından çıkarılan yönetmelikler aracılığıyla olmaktadır.
Anayasanın 13. Maddesinde de belirtildiği üzere, temel hak ve özgülükler sadece kanunla sınırlanabilir. Yani başka bir deyişle, yürütme organın veya idari tüzel kişilerin adeta kanun koyucu gibi davranarak temel haklara ilişkin sınırlar çizmesi veya söz konusu hakların nasıl kullanılacağını belirlemesi Anayasaya aykırılık teşkil edecektir.
Anayasa Mahkemesi 2013/122 E. ve 2014/74 sayılı kararı ile kişisel verileri; “ belirli veya kimliği olmak şartıyla, bir kişiye ilişkin bütün bilgileri ifade etmektedir. Bu bağlamda adı, soyadı, doğum tarihi ve doğum yeri gibi bireyin sadece kimliğini ortaya koyan bilgiler değil; telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, IP adresi, e-posta adresi, hobiler, tercihler ve etkileşimde bulunulan kişiler, grup üyelikleri, aile bilgileri, sağlık bilgileri gibi kişiyi doğrudan veya dolaylı olarak belirlenebilir kılan tüm veriler kişisel verilerdir.” şeklindeki tanımını yine bu kararda da tekrar etmiştir. İlaveten, kişinin bedensel ya da zihinsel sağlığına ilişkin kayıt edilmiş bilgilerin tamamından oluşan sağlık bilgileri, aralarında bireylerin ırk, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançları, dernek, vakıf sendika veya özel yaşamları ve her türlü mahkumiyetleri ile ilgili verilerin de bulunduğu “hassas” veya “ özel niteliği olan” kişisel veriler kategorisinde yer almakta olup, bu yönüyle de özel bir öneme sahip. Mahkeme, söz konusu iptal talebini incelerken, veri korumasının ve aslında büyük başlık olarak özel hayatın gizliliğinin bir seçim ve akabinde bir hak olmasına değinmekte ve ek olarak teknolojik gelişmeler ışığında veri madenciliği5, alınan ve toplanan verilerin veri öznesine veri yoluyla ulaşılması yani veri eşleştirmenin artması ve en önemlisi de kişisel verilerin ticari amaçlı olarak büyük veya küçük ölçekli şirket tarafından kullanılmak üzere veri pazarına açılmaları, veri korumasının günümüzde artık daha da önemli bir yere sahip olduğunu vurgulamıştır.
Mahkemenin yorumundan yola çıkarak altını çizmek gerekirse, günümüzde kişisel verilerin satılması, ve şirketlerin söz konusu verileri almak için büyük miktarlarda ücret ödemesi artık alışılagelmiş olup, Dünya Kişisel Gizlilik Platformu (“The World Privacy Forum”) bugün itibariyle dünya çapında 4.000’den fazla veri simsarı (broker) (verileri satanlar ile alıcıları arasında simsarlık/ aracılık yapanlar) olduğunu tahmin etmektedir.
Büyük ölçekli ticari şirketler, veri simsarcıları; tüketici sağlık bilgileri, internette yapılan anket sonuçları, bağış yapanların listesi, dergi veya gazete abonelik listeleri gibi bilgileri satın almaktadırlar. Fakat özel hayatın gizliliğine saldırı ve veri sahiplerinin/ süjelerinin izni olmadan verilerin satılmasına dair Amerikan Hukuku da dahil olmak üzere hiçbir hukuk metodolojisi tam anlamıyla bu alışverişe hukuki bir çözüm bulamamakta ve yaptırım uygulayamamaktadır. Geçen yıllarda Sosyal Güvenlik Kurumu, 65 bin Türk lirası karşılığında özel şirketlere kişilerin sağlık verilerini sattığına dair haberleri yalanlayarak 2013 yılında yayınlanan Sayıştay Raporu6’na atıfta bulunmuş ve kişisel verilerin paylaşıldığına dair bir tespit bulunmadığını belirtmiştir. Söz konusu açıklamada Sosyal Güvenlik Kurumu aşağıdaki ifadeleri kullanmıştı:
"Tam aksine kişi bilgilerinin yer almadığı, anonimleştirilmiş verilerin paylaşıldığına dair tespitlere yer verildiği açıkça görülmektedir. Sağlık alanında bilimsel ve akademik çalışmaların yapılabilmesi, toplum sağlığının geliştirilebilmesi, hastalık yüklerinin tespit edilebilmesi gibi çalışmalarda anonimleştirilmiş sağlık bilgileri önemli bir kaynak görevi görmektedir. Bahsi geçen anonimleştirilmiş bilgilerin akademisyenlere sunularak bilimsel destek için destek verilmesi konusunun, kişisel verilerin satılması olarak kamuoyuna sunulması yanlı bir tutum anlayışıdır. Paylaşılan verilerde kişilerin isimleri, T.C. kimlik numaraları, hangi hastanelere gittikleri, hangi polikliniklerde muayene oldukları, hangi ilaçları aldıkları gibi veriler kesinlikle yer almamaktadır. Bu husus, 2013 yılı Sayıştay Raporu'nda da yer almıştır.”
Tekrar Anayasa mahkemesi kararına geri dönecek olursak, çıkacak olan Kişisel Verilerin Korunması Kanunu Tasarısı’nın hala mecliste beklediği şu günlerde, kişisel verilerin korunması için az sayıdaki dayanak hükümlerden biri olan Anayasa’nın 20. maddesi; kişisel veri korumasını açıkça ve hiçbir kuşkuya mahal vermeyecek şekilde anayasal güvence altına almakta.
Anayasa Mahkemesi kararına konu Sigortalar Kanunu 78. maddesinde “sağlık bilgilerinin ne şekilde korunacağı, ulusal güvenlik nedeniyle sağlık bilgisi paylaşıma açılmayacak kişilerin tespiti ilgili bakanlıkların önerisi üzerine Bakanlıkça tespit edilir”. Bu kişi ve grupların sağlık bilgilerinin nasıl tutulacağı ilgili kuruluşların görüşleri alınarak hazırlanacak yönetmelik ile düzenlenir” denmektedir.
Yukarıda kişisel verilerin tanımını yapan emsal Anayasa Mahkemesi kararında da belirtildiği üzere, sağlık bilgilerinin hassas kişiler veriler kavramı altında değerlendirildiğini, kişiler verilerin korunması, depolanması ancak kanunla belirlenebileceğinin altını çizmiştik. 78. maddede ve daha bir çok Türk kanununda da yer alan ve keyfiyete açık kapı bırakan “ulusal güvenlik” kavramı yine bu maddede de kullanılmış olup, kamu hukukun temel prensiplerinden olan “öngörülebilirlik” ve Anayasanın 2. maddesinde hükme bağlanan “hukuk devleti” ilkesine de aykırılık teşkil etmektedir. Çünkü, hukuk devleti ilkesi; ülke sınırları içerisinde yaşayan vatandaşların hukuka olan güveninin tam olmasını, kanuni sınırların belirli ve ölçülebilir olmasını ve kişilerin edimleri sonucu hangi cezalara veya yaptırımlara tabi olacağını bilebilme ve öngörebilmesini beraberinde getirir. Bu nedenledir ki, özellikle temel hak ve hürriyetlerin sınırlarının çizilmesinde ve kısıtlanmasında ulusal güvenlik gibi hiçbir açık ve belirgin tanımı olmayan muğlak terimler kullanılmamamladır. Aksi halde, uygulamada keyfiyet kaçınılmaz olacak.
Kişisel verilerin paylaşılması, paylaşıma açılması veya depolanmasına dair iznin bir yürütme organı olan Çalışma ve Sosyal Güvenlik Bakanlığı’na isnat edilmesi, Anayasanın 7. maddesinde yer alan yasamanın devredilmezliği ilkesine aykırılık teşkil edecektir. Kaldı ki, sağlık bilgilerinin paylaşılması yine hali hazırda var olan kanunlarımıza göre kişinin yani veri süjesinin rızasına bağlıdır.
Nitekim, Mahkeme yukarıda da detaylı şekilde gerekçelendirildiği üzere ,ilgili hükmün ikinci fırkasının ikinci cümlesini iptal ederek iptali istenen diğer bir hüküm olan birinci fıkranın iptalini reddetmiştir.
- maddenin birinci fıkrasında;
.. “Kurum ile sözleşmesi olan, tüm sağlık hizmeti sunucuları, sağlık hizmeti sunduğu tüm kişilere ait sözleşme hükümlerinde yer verilen bilgileri, belirlenen yöntemlere ve süreye uygun biçimde elektronik ortamda veya yazılı olarak Kuruma göndermek zorundadır. Bu bilgiler gönderilmeksizin talep edilen sağlık hizmeti bedelleri, bilgiler gönderilinceye kadar ödenmez.”
denmektedir.
Mahkeme, söz konusu fıkranın hukuka uygunluğunu gerekçelendirirken, Kanun’un 3. maddesindeki Sosyal Güvenlik Kurumu’nun görevlerine atıf yaparak işbu görevlerin yerine getirilmesi, sosyal güvenlik politikalarının belirlenmesi için ilgili sağlık verilerine Kurum’un ihtiyacı olduğunu belirtmiş ve bu ihtiyacın bir kamu yararı olduğunu, özel hayatın gizliliğinin kamu yararı amacıyla sınırlandırıldığını ve söz konusu sınırlandırmanın demokratik toplumun gereklilikleri için uygun bir müdahale olduğunu vurgulamıştır. Mahkeme, veri toplama yetkisinin çerçevesinin çizilerek temel hak ve hürriyetler ile kamu yararı arasında bir denge kurulduğu kanaatine vararak, iptal talebini reddetti.
Bugün sadece Türkiye’nin değil tüm dünyanın; verilerin koruması, işlenmesi, depolanması ve veri koruma mevzuatlarının sınırlarının çizilmesi ve en önemlisi verilerin mülkiyetinin kime ait olduğu, en büyük güncel hukuki problemlerinin başında gelmektedir. Hükümetler gibi özellikle çok uluslu şirketler de, kişilerin tüketim alışkanlıklarını, finansal bilgilerini veri süjelerinin izni olmadan toplamakta ve işlenmektedir.
Böylesine bir uluslar arası konjonktürde; Türkiye gibi hala veri koruma yasasına sahip olmayan ülkeler için yargı kurum ve kuruluşlarına, hali hazırda olan kanunların ve anayasanın yorumlanması hususunda büyük görevler düşmektedir.
Anayasa Mahkemesi’nin 78. maddenin birinci fıkrasında yer alan hükmünün iptalini “kamu yararı ile temel hak ve hürriyetler arasında denge kurulduğuna dair” kanaat getirerek, Sosyal Güvenlik Kurum’unun görev ve yetkilerinin sınırlarının çizilmiş olduğunu ve temel hürriyetlere ilişkin hususlarda Kurum’un yetki tecavüzünde bulunmayacağı “temennisinde” bulunarak reddetmesi, hukuki dayanaktan yoksun naif bir karar olarak gözükmekte.
* Terminator 2 : Judgement Day (1991) directed by James Cameron
1 II. Cumhuriyetin nitelikleri
MADDE 2- Türkiye Cumhuriyeti, toplumun huzuru, millî dayanışma ve adalet anlayışı içinde, insan haklarına saygılı, Atatürk milliyetçiliğine bağlı, başlangıçta belirtilen temel ilkelere dayanan, demokratik, lâik ve sosyal bir hukuk Devletidir.
2 VII. Yasama yetkisi
MADDE 7- Yasama yetkisi Türk Milleti adına Türkiye Büyük Millet Meclisinindir. Bu yetki devredilemez.
3 II. Temel hak ve hürriyetlerin sınırlanması MADDE 13- (Değişik: 3/10/2001-4709/2 md.)
Temel hak ve hürriyetler, özlerine dokunulmaksızın yalnızca Anayasanın ilgili maddelerinde belirtilen sebeplere bağlı olarak ve ancak kanunla sınırlanabilir. Bu sınırlamalar, Anayasanın sözüne ve ruhuna, demokratik toplum düzeninin ve lâik Cumhuriyetin gereklerine ve ölçülülük ilkesine aykırı olamaz.
4 IV. Özel hayatın gizliliği ve korunması
- Özel hayatın gizliliği
MADDE 20- Herkes, özel hayatına ve aile hayatına saygı gösterilmesini isteme hakkına sahiptir. Özel hayatın ve aile hayatının gizliliğine dokunulamaz. (Mülga cümle: 3/10/2001-4709/5 md.)
(Değişik: 3/10/2001-4709/5 md.) Millî güvenlik, kamu düzeni, suç işlenmesinin önlenmesi, genel sağlık ve genel ahlâkın korunması veya başkalarının hak ve özgürlüklerinin korunması sebeplerinden biri veya birkaçına bağlı olarak, usulüne göre verilmiş hâkim kararı olmadıkça; yine bu sebeplere bağlı olarak gecikmesinde sakınca bulunan hallerde de kanunla yetkili kılınmış merciin yazılı emri bulunmadıkça; kimsenin üstü, özel kâğıtları ve eşyası aranamaz ve bunlara el konulamaz. Yetkili merciin kararı yirmidört saat içinde görevli hâkimin onayına sunulur. Hâkim, kararını el koymadan itibaren kırk sekiz saat içinde açıklar; aksi halde, el koyma kendiliğinden kalkar.
(Ek fıkra: 12/9/2010-5982/2 md.) Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.
5 Basit bir tanım yapmak gerekirse veri madenciliği, büyük ölçekli veriler arasından bilgiye ulaşma, bilgiyi madenleme işidir. Ya da bir anlamda büyük veri yığınları içerisinden gelecekle ilgili tahminde bulunabilmemizi sağlayabilecek bağıntıların bilgisayar programı kullanarak aranmasıdır. Veri madenciliği deyimi yanlış kullanılan bir deyim olabileceğinden buna eş değer başka kullanımlar da literatüre geçmiştir. Veritabanlarında bilgi madenciliği (İng. knowledge mining from databases), bilgi çıkarımı (İng. knowledge extraction), veri ve örüntü analizi (İng. data/pattern analysis), veri arkeolojisi gibi.
6http://www.sayistay.gov.tr/rapor/kid/2013/Genel_B%C3%BCt%C3%A7e_Kapsam%C4%B1ndaki_%20Kamu_%C4%B0dareleri/BA%C5%9 EBAKANLIK.pdf