Kişisel verilerin korunması, dijital çağda temel hak ve özgürlüklerin korunmasının ayrılmaz bir parçası haline gelmiştir. Avrupa Birliği’nde Genel Veri Koruma Tüzüğü (“GDPR”), Amerika Birleşik Devletleri’nde farklı sektörlere yönelik düzenlemeler bu alanın önemini ortaya koyarken Türkiye’de ise 2010 yılında Anayasa’ya eklenen hüküm ve ardından yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) ile kişisel verilerin korunması anayasal güvenceye kavuşturulmuş ve detaylı bir yasal çerçeve oluşturulmuştur. Bu çerçevenin dikkat çekici unsurlarından biri, bireyin kendisine ait kişisel verileri talep edebilmesi ve bu verilere erişebilme hakkıdır.
Kişisel Verilere Erişim Hakkının Hukuki Dayanakları ve Sınırları
Anayasa m. 20. f. 3 ile, herkesin kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahip olduğunu açıkça ifade edilmiştir. Bu hak, yalnızca verilerin işlenmesini engelleme imkânı değil, aynı zamanda işlenen veriler hakkında bilgi alma, verilerin düzeltilmesini veya silinmesini talep etme ve hangi amaçlarla kullanıldığını öğrenme gibi geniş bir korumayı da içerir.
Anayasal güvencenin tamamlayıcı unsuru olarak, KVKK’da ilgili kişi hakları ayrıca ve daha ayrıntılı şekilde düzenlenmiştir. Kanun’un 11. maddesi uyarınca herkes, kendisiyle ilgili kişisel verilerin işlenip işlenmediğini öğrenme, işlenmişse buna ilişkin bilgi talep etme ve verilerin hangi amaçla kullanıldığını sorgulama hakkına sahiptir. Ayrıca, verilerin üçüncü kişilere aktarılıp aktarılmadığını öğrenme, eksik veya yanlış işlenen verilerin düzeltilmesini isteme, işlenme şartları ortadan kalkmışsa silinmesini ya da yok edilmesini talep etme hakkı da bu madde kapsamında açık bir şekilde tanınmıştır.
Kişisel verileri işlenen kişiler, Anayasa ve KVKK ile güvence altına alınan haklarını veri sorumlusuna başvurarak kullanabilir. Veri sorumlusu, kendisine iletilen talepleri en geç otuz gün içinde yanıtlamakla yükümlüdür. Bu süre içinde yanıt verilmemesi veya verilen yanıtın yetersiz bulunması hâlinde ilgili kişi, Kişisel Verileri Koruma Kurulu’na şikâyet yoluna başvurabilir. Böylece bireylere, haklarını yalnızca teorik olarak değil, fiilen de kullanarak kendi verilerine erişme ve verileri üzerinde denetim sağlama imkânı tanınmıştır.
Bu noktada erişim hakkının sınırsız olmadığı da unutulmamalıdır. Kamu düzeninin, ulusal güvenliğin veya üçüncü kişilerin hak ve özgürlüklerinin korunmasının gerekli kıldığı durumlarda bu hak sınırlanabilir. Ancak bu sınırlamanın meşru amaca dayanması, kanuni temelinin bulunması ve ölçülülük ilkesine uygun olması zorunludur. Aksi halde getirilen kısıtlama, hakkın özünü ortadan kaldıracak ve ihlal sonucunu doğuracaktır. Anayasa Mahkemesi’nin son dönemde verdiği kararlar, kişisel verilere erişim hakkının yalnızca bireysel bir talep hakkı olmadığını, aynı zamanda kamu otoriteleri ve özel kurumlar için bağlayıcı yükümlülükler doğurduğunu açıkça ortaya koymaktadır. Bu yönde aşağıda detaylı açıklanan Anayasa Mahkemesi’nin 2019/39889 başvuru numaralı ve 17.07.2024 karar tarihli kararı, kişisel verilere erişim hakkının sınırlarını kamu kurumları ve çalışanları bağlamında, diğer örneklere de uygulanabilecek şekilde çizmiştir.
Anayasa Mahkemesi Kararı
Karara konu somut olayda başvurucu, 4 yıllığına göreve geldiği Buenos Aires Büyükelçiliği’ndeki görevinin; birinci yılının sonunda sonra erdirilmesi üzerine görev yaptığı kurumda özlük dosyasında bulunan sicil ve değerlendirme notlarının avukatı aracılığıyla kendisine verilmesi talebi ile Dışişleri Bakanlığı’na başvuruda bulunmuştur. Ancak bu talep Bakanlık tarafından “Kurumların, avukatın gerek duyduğu bilgi ve belgeleri kurum dışında göndermek suretiyle temin etme yükümlülüğü bulunmamaktadır. Bu itibarla talep etmiş olduğunuz bilgi ve belgelerin tarafınızda gönderilmesi mümkün görünmemektedir.” gerekçesi ile reddedilmiştir.
Bakanlığın bilgi edinme talebini reddetmesi üzerine başvurucu, idari işlemin iptali istemiyle dava açmış; ancak dava Kamu Personel Tebliği’nin (d) bendinin “Özlük dosyalarının tutulması ve muhafazasında özel hayatın gizliliği ilkesine riayet edilir. Özlük dosyasının içeriği hakkında soruşturma ve kovuşturmaya yetkili merciler dışındakilere açıklama yapılamaz, bilgi verilemez. Ayrıca kişinin rızası olmaksızın özlük dosyasındaki bilgiler ve kayıtlar esas alınarak kişi hakkında yayında bulunulamaz” şeklindeki 1. fıkrası dayanak gösterilerek dava reddedilmiştir. Yapılan istinaf başvurusunun da reddi üzerine başvurucu özel hayata saygı hakkı kapsamında kişisel verilerin korunması hakkının ihlal edildiği iddiasıyla Anayasa Mahkemesi’ne bireysel başvuruda bulunmuştur.
Anayasa Mahkemesi, başvurucunun talep ettiği sicil ve değerlendirme notlarının mesleki faaliyetle ilgili olmakla birlikte içerikleri itibarıyla kişisel veri niteliği taşıdığını tespit etmiş; bu nedenle söz konusu talebi Anayasa’nın 20. maddesi kapsamında ‘özel hayata saygı hakkı’ çerçevesinde değerlendirmiştir. Mahkeme, kişisel verilere erişim talebinin, Anayasa’nın 20. maddesinin üçüncü fıkrasında güvence altına alınan “kişisel verilerin korunmasını isteme hakkı”nın doğrudan bir yansıması olduğunu vurgulamıştır.
Anayasal güvence altındaki bu hakkın sınırlanabilmesi ise, Anayasa’nın 13. maddesi gereği, ancak kanunla öngörülmüş olması hâlinde mümkündür. Somut olayda idarenin dayanak gösterdiği Tebliğ’in, gerçekte başvurucuya değil üçüncü kişilerin yetkilerine ilişkin olduğu; dolayısıyla kişisel verilere erişim hakkını sınırlamaya elverişli bir düzenleme niteliği taşımadığı belirlenmiştir. Bu nedenle Mahkeme, Tebliğ’in başvurucunun kendi verilerine erişim talebinin reddine dayanak olamayacağı sonucuna ulaşmış ve alt düzenleyici işlemlerle temel hak ve özgürlüklere sınırlama getirilemeyeceğini açıkça vurgulamıştır.
Bu değerlendirmeler ışığında Mahkeme, başvurucunun kendi verilerine erişiminin engellenmesini, Anayasa’nın 20. maddesinde güvence altına alınan kişisel verilerin korunmasını isteme hakkının ihlali olarak değerlendirmiştir. Kararda ayrıca, hakkın özüne dokunan bu tür sınırlamaların ancak kanunla getirilebileceği, düzenleyici işlemler veya idari teamüller yoluyla erişim hakkının kısıtlanmasının öngörülebilirlik ve kanunilik şartlarını karşılamadığı belirtilmiştir.
Sonuç olarak Anayasa Mahkemesi, bireyin kendi kişisel verilerine erişiminin kişisel verilerin korunması hakkının doğal bir çıktısı olduğunu tespit etmiş, kamu yararı veya üçüncü kişilerin haklarının korunması gibi meşru sebeplerle sınırlanabileceğini kabul etmekle birlikte, bu sınırlandırmaların mutlaka kanuni dayanağa sahip olması gerektiğini ortaya koymuştur. Anayasa Mahkemesinin Kişinin Kendi Verilerine Erişim Hakkı Kararının tam metnine buradan ulaşabilirsiniz.