HUK124U Bilişim Hukuku Ünite -3

1) Tarihi Gelişim ve Hukuki Arka Plan

Türkiye’de kişisel verilerin korunması konusundaki farkındalık, Avrupa Birliği ile uyum çalışmaları ve küresel düzeyde artan veri ihlallerinin etkisiyle ivme kazanmıştır. Avrupa Konseyi’nin 108 sayılı Sözleşmesi kişisel veri korumasının ilk uluslararası standardını belirlerken, Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) de üye ülkeler ve dünya için önemli bir referans haline gelmiştir. Türkiye’de bu süreç, 2016 yılında yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu ile somut bir yasal çerçeveye kavuşmuştur.

2) Anayasal Dayanak ve Kanuni Düzenlemeler

Türk Anayasası’nın 20. maddesinde özel yaşamın gizliliği ve kişisel verilerin korunması hakkı açık biçimde belirtilmiştir. Bu temel dayanak, 6698 sayılı KVKK başta olmak üzere, Türk Ceza Kanunu (TCK), Elektronik Ticaretin Düzenlenmesi Hakkında Kanun, Elektronik Haberleşme Kanunu gibi pek çok mevzuatta detaylandırılmıştır. Aynı zamanda, Türk Borçlar Kanunu ve Türk Medeni Kanunundaki kişilik haklarının korunmasına ilişkin hükümler de dolaylı veya doğrudan kişisel verilerin korunmasına katkı sunar.

3) Kişisel Veri ve Hassas Veri Kavramları

Kanun, kişisel veriyi “belirli veya belirlenebilir bir gerçek kişiye ilişkin her türlü bilgi” olarak tanımlar. Sağlık verileri, biyometrik veriler veya etnik köken gibi bazı veriler ise “özel nitelikli (hassas) kişisel veriler” kategorisinde yer alır. Bu tür verilerin işlenmesi için, ilgili kişinin açık rızası veya kanuni bir işleme sebebinin bulunması gerekir. Hassas veriler, veri koruma rejiminin en sıkı kurallara tabi olduğu başlıklardan biridir.

4) İşveren ve Çalışan İlişkisinde Veri Koruma

İş hukukunda, işveren ile işçi arasında kurulan hizmet sözleşmesi nedeniyle işverenin çalışanlara ait verileri işlemesi kaçınılmazdır. Ancak bu veri işleme faaliyeti, hizmet sözleşmesinin ifası için zorunlu olan ölçüyle sınırlı olmalıdır. İşveren, topladığı verileri rıza dışı üçüncü kişilere aktaramaz veya amacını aşan şekilde kullanamaz. Aksi haller, hem TCK hem de KVKK ve diğer düzenlemeler kapsamında hukuki ve cezai sorumluluk doğurur.

5) Yaptırımlar ve Kurumsal Yapı

Türk Ceza Kanunu kişisel verilerin hukuka aykırı işlenmesi, yayılması veya ele geçirilmesi hallerinde hapis cezaları öngörür. Öte yandan, 6698 sayılı KVKK ile Kişisel Verileri Koruma Kurumu (KVKKurumu) oluşturulmuş ve idari para cezaları dahil olmak üzere bir dizi yaptırım mekanizması güçlendirilmiştir. Bu Kurumun denetleyici rolü, veri sorumlularının hukuka uygun hareket etmesine teşvik sağlar.

6) Güncel Sorunlar ve Fırsatlar

Türkiye’de kişisel verilerin korunması alanındaki temel zorluklar arasında, veri güvenliğinin tam olarak sağlanamaması, bilinç eksikliği ve mevzuat uygulamasında karşılaşılan belirsizlikler yer alır. Buna karşın, güçlü bir çerçeve niteliğindeki KVKK düzenlemesi, giderek artan farkındalık çalışmaları ve kurumların kendi veri koruma politikalarını oluşturma gayretleri gelecek açısından olumlu bir tablo çizmektedir. Dijitalleşmenin hız kazandığı çağımızda, kişisel verilerin korunması gerek bireysel mahremiyet gerekse kurumsal sorumluluk açısından kritik önem taşımaya devam edecektir.

7) Sonuç ve Değerlendirme

Kişisel veri koruması, dijital çağın en önemli hukuki ve etik konularından biri olarak kabul edilmektedir. Anayasa, KVKK ve diğer ilgili düzenlemeler, bu alandaki temel çerçeveyi oluştururken; idari ve cezai yaptırımlar, mevzuatın etkin şekilde uygulanmasını amaçlar. Kişisel verilerin işlenmesinde açık rıza, kanuni zorunluluk, ölçülülük ve orantılılık gibi ilkeler vazgeçilmezdir. Gerek bireylerin hak arayışı, gerekse kurumların uyum süreçleri ile birlikte, Türkiye’de kişisel verilerin korunması alanında giderek güçlenen bir hukuk kültürünün oluştuğu söylenebilir.

1- Aşağıdakilerden hangisi kişisel verilerin işlenmesinin Anayasa ile belirlenmiş meşru temelidir?

A) İlgili kişinin açık rızası
B) Yönetmelikle öngörülmüş olma
C) İlgili kişinin eşinin onay vermesi
D) Veri işleme gereksiniminin ortaya çıkması
E) İdarenin veri işlemenin gerekliliğine karar vermesi

Cevap : A) İlgili kişinin açık rızası

Açıklama : Türkiye Cumhuriyeti Anayasası ve ilgili mevzuat kapsamında, kişisel verilerin işlenmesi ancak ilgili kişinin açık rızasına veya kanunlarda öngörülen diğer hukuki sebebe dayanılarak yapılabilir. Bu husus, veri işleme faaliyetinin en temel dayanağı kabul edilmektedir.

2- Aşağıdakilerden hangisi Avrupa İnsan Hakları Sözleşmesi’nin 8. maddesi uyarınca özel yaşama müdahalenin hukuka uygun kabul edilebilmesi için gerçekleşmesi gerekli olan koşullardan biri değildir?

A) Veri işleme koşullarının yasa ile belirlenmiş olması
B) Veri işlemenin 8. maddenin 2. fıkrasında belirlenen nedenlerden birine yönelik olması
C) Müdahalenin demokratik bir toplumda gerekli olması
D) Müdahalenin orantılı olması
E) Müdahalenin idarenin bir kararına dayanması

Cevap : E) Müdahalenin idarenin bir kararına dayanması

Açıklama : AİHS Madde 8 uyarınca, özel yaşama veya kişisel verilere yönelik müdahalelerin yasa ile öngörülmesi, meşru amaç taşıması ve demokratik toplum düzeninde gerekli/orantılı olması temel şartlardandır. Ancak salt idarenin takdirine dayanması, hukuka uygunluk için yeterli bir koşul değildir.

3- Türk Ceza Kanunu’na göre aşağıdaki eylemlerden hangisi suç olarak düzenlenmemiştir?

A) Kişisel verilerin hukuka aykırı olarak kayıt edilmesi
B) Kişisel verilerin hukuka aykırı olarak yok edilmesi
C) Kişisel verilerin hukuka aykırı olarak yayılması
D) Kişisel verilerin hukuka aykırı olarak ele geçirilmesi
E) Kişisel verilerin kanunda belirlenen süre geçmiş olmasına karşın sistem içerisinde yok edilmemesi

Cevap : B) Kişisel verilerin hukuka aykırı olarak yok edilmesi

Açıklama : TCK’da kişisel verilerin hukuka aykırı olarak ele geçirilmesi, ifşa edilmesi (yayılması) ve işlenmesi gibi fiiller cezalandırılmakta; ancak “yok etme” fiili doğrudan suç olarak düzenlenmemiştir. Hukuk düzeni, verilerin belirli süre sonunda silinmesini emretse de, “hukuka aykırı yok etme” ceza kanununda ayrıca tanımlanmış bir suç değildir.

4- İşçinin kişisel verilerinin korunması ile ilgili aşağıdaki ifadelerden hangisi doğrudur?

A) İşveren işçinin kişisel verilerini dilediği gibi işleyebilir.
B) İşveren işçiye ilişkin olarak iş yerinde topladığı verileri dilediği gibi aktarabilir.
C) İşveren işçinin kişisel verilerini hizmet sözleşmesinin ifası için zorunlu olduğu ölçüde kullanabilir.
D) İşveren işçinin kişisel verilerini hiçbir durumda işleyemez.
E) İşveren işçinin verilerini gerekçe göstermek kaydıyla her durumda işleyebilir.

Cevap : C) İşveren işçinin kişisel verilerini hizmet sözleşmesinin ifası için zorunlu olduğu ölçüde kullanabilir.

Açıklama : İş ilişkisinde işveren, işin sürdürülebilmesi için gerekli olan kişisel verileri işleyebilir. Bu kapsam, işin veya hizmet sözleşmesinin amacını aşacak şekilde verilerin işlenmesini meşrulaştırmaz. 6698 sayılı KVKK ve ilgili mevzuat, işverenin veri işleme faaliyetini “ölçülülük” ve “zorunluluk” ilkeleri ile sınırlandırmaktadır.

5- Aşağıdaki yasa metinlerden hangilerinde kişisel verilerin korunmasına yönelik düzenlemelere yer verilmemiştir?

A) Türk Ceza Kanunu
B) Türk Borçlar Kanunu
C) Elektronik Ticaret Kanunu
D) Elektronik Haberleşme Kanunu
E) Karayolları Trafik Kanunu

Cevap : E) Karayolları Trafik Kanunu

Açıklama : Kişisel verilerin korunmasına dair çeşitli düzenlemeler TCK, TBK, Elektronik Ticaret Kanunu ve Elektronik Haberleşme Kanunu gibi metinlerde yer alır. Karayolları Trafik Kanunu ise temel olarak trafik düzeni ve kurallarıyla ilgilendiğinden kişisel verilerin korunmasına ilişkin özel hükümler içermez.

6- Türk Ceza Kanunu’nda kişisel verilerin korunmasına yönelik hükümlerde aşağıdaki yaptırımlardan hangisi öngörülmüştür?

A) Uyarma
B) İdari para cezası
C) Para cezası
D) Hapis cezası
E) Meslekten men etme

Cevap : D) Hapis cezası

Açıklama : TCK’da (Örneğin; TCK md. 135 vd.) kişisel verilerin hukuka aykırı işlenmesi, yayılması veya ele geçirilmesine dair suç tiplerinde hapis cezaları öngörülmüştür. İdari yaptırımlar ise 6698 sayılı Kişisel Verilerin Korunması Kanunu çerçevesinde düzenlenir.

7- Kişisel verilerle ilgili aşağıdaki ifadelerden hangisi yanlıştır?

A) Türkiye’de çerçeve nitelikte kapsayıcı bir Kişisel Verilerin Korunması Kanunu yürürlüktedir.
B) Türkiye, kişisel verilerin korunmasına ilişkin 108 sayılı Avrupa Konseyi Sözleşmesini imzalamış ancak onaylanmamıştır.
C) Türkiye Cumhuriyeti Anayasası uyarınca Avrupa İnsan Hakları Sözleşmesi yasa hükmündedir.
D) Türk Medeni Kanunu’nun kişilik haklarının korunmasına ilişkin 24 ve 25. madde hükümleri bazı konularda kişisel verilerin korunmasını destekleyici niteliktedir.
E) Elektronik Ticaret Kanunu uyarınca hizmet sağlayıcı elektronik ticaret işlemleri dolayısıyla elde ettiği kişisel verilerin güvenliğinden sorumludur.

Cevap : A) Türkiye’de çerçeve nitelikte kapsayıcı bir Kişisel Verilerin Korunması Kanunu yürürlüktedir.

Açıklama : Bu ifade soruda “yanlıştır” olarak aranmaktadır. Aslında 6698 sayılı Kişisel Verilerin Korunması Kanunu yürürlüktedir ve bu kanun çerçeve niteliktedir. Dolayısıyla “yanlış” ifadesi burada çelişkilidir gibi görünse de, soru metninin sonundaki yanıt anahtarında 7. sorunun cevabı “A” olarak verilmiştir. Bu, testin kendisinde bir karışıklık olabileceğini gösterse de soru metninde “yanlıştır” olarak işaretlenen seçenek “A”dır.

Not: Orijinal “neler öğrendik yanıt anahtarı”nda 7. sorunun cevabı “A” görünüyor. Bu, test kitabının kendi içerisinde bir hata veya farklı bir bağlam içeriyor olabilir. KVK Kanunu (6698 sayılı) gerçekten yürürlüktedir ve çerçeve niteliktedir. Muhtemelen kaynak, Kanunun yürürlük tarihindeki şartlardan veya onay süreçlerinden söz ediyor. Resmî açıdan günümüzde (2025 itibarıyla) kanun yürürlüktedir. Soru-yanıt tutarsızlığına rağmen orijinal metne uygun olarak şıkkı “A” şeklinde işaretliyoruz.

8- Aşağıdakilerden hangisi kişisel verilerin etkin korunmasını destekleyici unsurlardan biri değildir?

A) Çerçeve nitelikte bir yasal düzenleme
B) Veri korumayı destekleyici teknik önlemlerin alınması
C) Veri korumaya yönelik bireysel önlemlerin alınması
D) Veri koruma alanında farkındalık arttırıcı çalışmaların yapılması
E) Kişisel verilerin sınırsız şekilde işlenmesini sağlayıcı hukuksal düzenlemelerin yapılması

Cevap : E) Kişisel verilerin sınırsız şekilde işlenmesini sağlayıcı hukuksal düzenlemelerin yapılması

Açıklama : Etkin bir korumayı hedefleyen düzenlemeler, kişisel verilerin “sınırsız” veya “keyfi” biçimde işlenmesini değil, aksine veri minimizasyonu, amaçla sınırlılık ve ölçülülük ilkelerini benimser. Sınırsız veri işleme, korumanın tam karşıtını teşkil eder.

9- Kişisel Verilerin Korunması Kanunu uyarınca Kişisel Verileri Koruma Kurulu üyeleri nasıl belirlenir?

A) Bakanlar Kurulu, TBMM ve Cumhurbaşkanı tarafından seçilir.
B) Bakanlar Kurulu ve Cumhurbaşkanı tarafından seçilir.
C) Yüksek Öğretim Kurulu (YÖK) seçer.
D) Türkiye Barolar Birliği tarafından seçilir.
E) Halk seçer.

Cevap : A) Bakanlar Kurulu, TBMM ve Cumhurbaşkanı tarafından seçilir.

Açıklama : 6698 sayılı Kanun, Kişisel Verileri Koruma Kurulu üyelerinin seçimini Bakanlar Kurulu, Cumhurbaşkanı ve TBMM arasındaki belirli paylaşımla düzenlemiştir. (Güncel mevzuat, Cumhurbaşkanlığı Hükümet Sistemine geçişle değişiklikler içerse de, testte yer alan yanıta göre doğru şık A’dır.)

10- Aşağıdakilerden hangisi Türkiye’de kişisel verilerin korunması alanında yaşanan sorunlardan biri değildir?

A) Kişisel verilerin güvenliğine ilişkin eksiklikler
B) Çerçeve niteliğinde bir yasal düzenlemenin bulunması
C) Konuya ilişkin bazı düzenlemelerde yaptırım sistemindeki eksiklikler
D) Kolay ulaşılabilir bazı anahtar bilgiler aracılığıyla başka bilgilere erişilebilmesi
E) Konu hakkındaki yaptırımlarda iyileştirme ihtiyacının sürmesi

Cevap : B) Çerçeve niteliğinde bir yasal düzenlemenin bulunması

Açıklama : Türkiye’de 6698 sayılı Kişisel Verilerin Korunması Kanunu gibi bir çerçeve düzenleme mevcuttur. Bu, bir sorun değil, aksine temel koruma mekanizmalarından birini oluşturmaktadır. Diğer şıklardaki hususlar ise gerçekten koruma alanında eksiklik veya sorun olarak değerlendirilebilir.