+ Konuyu Yanıtla
1 den 1´e kadar toplam 1 ileti bulundu.
-
18-10-2008, 19:16:24 #1
Hukukçu Üye
- Kayıt Tarihi
- Mar 2007
- Nerede
- Ankara
- İletiler
- 1.607
- Dilekçeler Sözleşmeler
- 0
- Dosya Yükleme
- 0
Türk Medeni Yargılama Hukukunda Adli Bilişim
BİLİŞİM HUKUKU
9-10 EKİM 2008, ANKARA
Türk Medeni Yargılama Hukukunda Adli Bilişim
Delilleri Muhafaza Yükümlülüğü
Türk Medeni Yargılama Hukukunda kural olarak, davacı ve davalı ellerinde bulunan yazılı
delilleri (belgeleri) ve bu arada tüm elektronik kayıtları, dava dilekçesi veya cevap layihası ile
birlikte mahkemeye vermek zorundadır (HUMK. md. 180; md. 195; md. 200/f. II)5. HUMK
md. 244 ve 306’ya göre ise; taraflardan biri dava açarken veya davaya cevap verirken elinde
bulunmayan belgeleri veya elektronik kayıtları sonradan mahkemeye verebilir. Ancak bunun
için hakimin muvafakati gereklidir6.
Hukuk Usulü Muhakemeleri Kanunumuzun delillere ilişkin hükümleri incelendiğinde açıkça
tarafların davadan önceki dönemde aralarındaki hukuki ilişki hakkında düzenledikleri
belgeleri, kendi aleyhlerine olsa dahi dava sırasında mahkemeye ibrazla yükümlü oldukları
görülecektir. HUMK md. 326, 327, 328 hükümlerine göre;
“Türk Medeni Kanunu ve Ticaret Kanunu gereğince mahkemeye ibrazı zorunlu olan
belgelerin mahkemeye verilmesi zorunlu olduğu gibi, ayrıca aşağıda yazılan vesikaları da
taraflar ibraz ile mükelleftir” (md. 326/ ilk cümle)7:
a) Mahkemeye verilen dilekçe ve layihalarda dayanılan senetlerin ve diğer her türlü
belgelerin istek halinde mahkemeye verilmesi zorunludur (md. 326/b. I).
b) Bir tarafın diğer taraftan davaya ilişkin olarak gerek davadan önce gerek dava
sırasında aldığı mektup ve telgrafların istek halinde mahkemeye verilmesi zorunludur
(md. 326/b. II).
c) İki taraf için müşterek olan muamele ve menfaatlere ilişkin olarak düzenlenen
belgelerin, istek halinde mahkemeye zorunludur (md. 326/b. III).
d) İki tarafın müstakilen veya müştereken malik oldukları belgelerin, istek halinde
mahkemeye verilmesi zorunludur (md. 326/b. IV).
e) Hesap defterlerinin onaylı sayfalarının istek halinde mahkemeye verilmesi zorunludur
(md. 327, 328).
Görüldüğü üzere her bir taraf talep halinde, dava konusu hukuki ilişki hakkında sahip olduğu
tüm elektronik kayıtları, kendi aleyhinde olsa dahi talep halinde, mahkemeye ibrazla
mükelleftir.
Taraf elektronik bir belgenin orijinal formatını mahkemeye verirse sorun yoktur. Ancak
belgenin elektronik versiyonunu değil de, hard copy’sini mahkemeye ibraz ederse bu takdirde
şu şekilde hareket edilecektir: Karşı taraf hard copy’ye itiraz etmezse, yani bunun elektronik
versiyona uygun olmadığını, elektronik versiyon yerine geçemeyeceğini ileri sürmezse,
mahkeme hard copy ile yetinebilir. Ancak mahkeme, belgenin elektronik versiyonun
verilmesini kendiliğinden de (re’sen) talep edebilir (HUMK. md. 321).
Ancak karşı taraf hard copy’e itiraz ederek elektronik versiyonun mahkemeye verilmesini
isterse; bu takdirde belgenin elektronik versiyonu kasten veya ihmal sonucu yok edilmediyse,
bilgisayarda veya yedekleme kasetlerinde mevcut olduğu sürece, senede dayanan taraf bunu
mahkemeye vermek zorundadır. Belgenin elektronik versiyonu mahkemeye verilmezse, hard
copy’si delil niteliğinde sayılamayacaktır. Elektronik belgelerin zayi veya telef olabileceği
her türlü duruma karşı (sistem çökmesi, doğal afetler vs.), yedekleme işleminin yapılması
gerekmektedir. Dolayısıyla md. 321’in aradığı zayi veya telef olma gerekçelerinin kağıt
belgelerden farklı olarak, elektronik belgelere karşı ileri sürülebilmesi olanağı son derece
sınırlıdır. Bir tarafın kendi aleyhinde dava açılabileceğini öngörebileceği hallerde (örneğin;
kendisine bir noter ihtarı tebliğ edilmişse, bir ihtiyati tedbir veya delil tespiti yapılacağına
ilişkin bir karar tebliğ edilmişse) veya dava açıldıktan sonra (dava dilekçesinin tebliği
üzerine); bu tarihlerden itibaren bilgisayar ve yedekleme kasetleri üzerinde yapacağı her türlü
belge yok etme işlemi, mahkemede artık elektronik belgelerin zayi veya telef olduğu
gerekçesine dayanılmasını imkansız kılacaktır. Ancak davadan önceki dönemlerde bir taraf,
şirket politikası olarak uyguladığı rutin geri dönüşüm veya belge yok etme işlemine istinaden,
elektronik kayıtları silmişse, ancak bu halde md. 321’deki gerekçeye istinad edebilir.
Bir elektronik belge ona istinad eden tarafın elinde ise; bu elektronik belgeyi o kişinin
kendisinin mahkemeye vermesi gerekir. Aksi takdirde elektronik belge elinde bulunan taraf
iddiasını ispat edememiş sayılır. Karşı taraf, o elektronik belgenin mahkemeye ibrazını talep
etmedikçe, burada elektronik belgenin mahkemeye ibrazı zorunluluğu yoktur8.
Bir tarafın dayandığı ve mahkemeye verilmesini istediği elektronik belge karşı tarafın elinde
ise; belirli şartların gerçekleşmesi halinde karşı tarafın bu belgeyi mahkemeye vermesi
zorunludur: Burada Hakim ilk önce, mahkemeye ibrazı istenen elektronik belge ile ispat
edilmesi istenen hususun davanın ispatı bakımından gerekli olup olmadığını inceler. Hakim,
bu elektronik belgenin davanın ispatı için gerekli olmadığı kanısına varırsa, bu takdirde
senedin mahkemeye verilmesini istemeye gerek kalmayacaktır.
Hakim, mahkemeye verilmesi istenen elektronik belgenin davanın ispatı bakımından gerekli
olduğu kanaatine varırsa, bu takdirde karşı taraftan elektronik belgeyi mahkemeye ibraz
etmesini talep edecektir. Burada şu iki olasılık akla gelebeilecektir:
a) Karşı taraf, istenen elektronik belgenin elinde olduğunu ikrar ederse (yazılı talebe
cevap verilmemesi de ikrar sayılmaktadır); bu durumda mahkeme elektronik belgeyi
mahkemeye vermesini emreder (md. 330) ve karşı tarafa bir süre verir. Karşı taraf
elinde olduğunu daha önce ikrar ettiği elektronik belgeyi mahkemeye vermez ve
vermemesinin nedeninin gerçek bir mazerete dayandığını ispat edemezse (örneği; rutin
belge yok etme politikası gereğince bu belgenin davadan önceki bir tarihte yok edilmiş
olduğunu), mahkeme elektronik belgenin mahkemeye verilmesini isteyen tarafın,
belgenin içeriği hakkındaki sözlerini gerçek kabul edebilir (md. 332). Örneğin; diğer
tarafın vermiş olduğu hard copy’nin aslına uygun olduğunu kabul edebilir.
b) Mahkemenin talebi üzerine karşı taraf, istenen elektronik belgenin elinde olduğunu
inkar ederse, bu halde, elektronik belgenin mahkemeye verilmesini isteyen taraf, karşı
tarafa: “böyle bir belgenin elinde bulunmadığına ve özenle aradığı halde
bulamadığına (örneğin; sadece iş yerindeki bilgisayarda ve yedekleme kasetlerinde
değil; disket, CD, laptop bilgisayar, evdeki kişisel bilgisayarı veya PDA’i üzerinde
araştırma yaptığı halde bulamadığına) ve hasmının kullanmasına imkan vermemek
amacıyla ortadan kaldırmadığına, yok etmediğine veya saklamadığına ve elektronik
belgenin nerede ve kimin elinde olduğundan bilgisi bulunmadığına dair” yemin teklif
edebilir. Mahkeme davanın durumuyla, yeminin biçimini bağdaştırmak için gerekise
yeminin şeklini değiştirebilir (md. 331)9.
HUMK. md. 331’e göre yapılan bu yemin teklifi üzerine karşı taraf yemin ederse, artık
elektronik belgeyi mahkemeye verme zorunluluğu yoktur. Ancak md. 331’in öngördüğü bu
sonucun kağıt belgeler bakımından kabulü bile bugün için artık kabul edilmezken, elektronik
belgeler bakımından bu sonucun kabul edilmesine olanak yoktur. Yani yemin teklifi ve md.
331’deki elektronik belgenin artık mahkemeye ibrazı zorunluluğunun ortadan kalkması ancak
çok istisnai hallerde artık uygulama alanı bulacaktır. Çünkü; bugün artık özellikle kağıt
dokümanların arşivlenmesinin yarattığı olumsuzluklardan kaçınmak için, bu belgelerin de
tarayıcıdan geçirilip TIFF veya PDF formatında, yani elektronik ortamda saklanması
benimsenmektedir. Bu nedenle kağıt dokümanlar eskiden alışageldimiz şekillerden biri ile yok edilmiş olsa da (örneğin; yakma, yırtma vs.), eğer bir şekilde elektronik ortama
geçirilmişse, artık md. 331’deki sonuç hemen uygulama alanı bulmayacaktır. Kağıt belgeler
bakımından durum bu iken, elektronik belgeler bakımından bugün gelişmiş adli bilişim
yöntemleri kullanılarak her türlü belgenin kurtarılması mümkün iken, hakimin elektronik bir
belgenin talep edildiği davalarda, karşı tarafın inkarı üzerine, hemen yemin teklifini araya
sokup sonuca ulaşmaması; aksine elektronik belgenin gerçekten yok edilip edilmediği, yok
edilmişse adli bilişim yöntemleri ile kurtarılmasının mümkün olup olmadığını araştırması, bir
adli bilişim uzmanına müracaat ederek (bilirkişi, md. 275-286) inceleme yaptırması ve alacağı
cevap doğrultusunda karar vermesi daha doğru olacaktır. Dolayısıyla elektronik belge
saklama yöntemlerinin mevcut olmadığı dönemlerde kanunlarımızda yer verilmiş olan bu
çözümlerin, teknolojik gelişmeler doğrultusunda tekrar gözden geçirilmesi gerekmektedir.
c) Davada dayanılan ve mahkemeye verilmesi istenen belge, davanın tarafları dışında bir
üçüncü kişinin elinde de olabilir. Bu durumda da elektronik belgeye dayanan taraf,
üçüncü kişinin bu belgeyi mahkemeye vermesini isteyebilir. Talep eden tarafın bu
isteminde üçüncü kişideki elektronik belgenin içeriğini belirtmesi ve açıklaması
gereklidir (örneğin; word, PDF dokümanı, bir e-mail’e eklenerek üçüncü kişiye
gönderilmiştir şeklinde) (md. 334/f. I). Bunun üzerine hakim; bu talebin davayı
uzatmak amacıyla yapıldığı veya ağır ihmal sonucu olarak bu talebin zamanında
yapılmadığı kanısına varırsa ve karşı taraf da üçüncü kişideki belgenin mahkemeye
verilmesini istemezse, üçüncü kişide olduğu bildirilen belgenin incelenmemesine karar
verebilir (md. 306)10. Bunun dışında hakim, üçüncü kişide olduğu bildirilen belgenin
davanın ispatı için gerekli olduğu kanısına varırsa, talebi kabul ederek üçüncü kişinin
o belgeyi mahkemeye vermesine karar verir (md. 334/f. II; md. 333). Davanın tarafları
dışında ayrıca herkes (üçüncü kişiler), başkaları arasındaki davanın ispatı için gerekli
olan ve elinde bulunan bir elektronik belgeyi mahkemeye vermek veya elektronik
belgenin nerede olduğunu bildirmek için tanık sıfatıyla mahkemeye çağrılabilir (md.
335). Ve kanunen tanıklıktan çekinme hakkı (md. 245-246) olmayan üçüncü kişi,
hakimin bu kararına uymak zorundadır. Aksi takdirde tanıklar gibi cezalandırılır ve
mahkemeye zorla getirilir (md. 336, 253). Yine bir elektronik belgenin aslı
kendilerinde olan noterler ve memurlar (md. 322) ile resmi daireler (md. 324) belgenin
aslını mahkemeye vermek zorundadır11. Buna göre örneğin; yukarıdaki maddelerde
sayılan elektronik belgeleri ibrazla yükümlü olan tarafın, belgenin kendi elinde
olmadığını iddia etmesi üzerine, diğer taraf; ihtilaflı hukuki ilişkiyi ilgilendiren
elektronik belgelerin veya yapılan yazışmaların bir üçüncü kişiye e-mail’le
gönderildiğini veya e-mail’lerin bu üçüncü kişiye yönlendirildiğini iddia etmişse,
mahkeme üçüncü kişiyi md. 335’e göre tanık sıfatıyla çağırarak bilgisine
başvurabilecektir.
Elektronik Belgelerin Talep Edilmesi (Keşfi)
Gerek davadan önce gerek dava sırasında bir mahkeme kararına istinaden icra edilecek olan
bu elektronik keşif prosedürü, Türk Usul Hukuku Uygulamasında da mümkündür. Ancak
şöyle küçük bir terminoloji farkı ile: İngilizcedeki keşif “discovery” kavramı, teknik olarak
kullanıldığında Türkçe “keşif” kavramını karşılamaktadır. Ancak “keşif” terimi hukuk
bilimine özellikle Medeni Usul Hukukuna taşındığında bu terim ile, sadece gayrımenkullerin
hakim tarafından yerinde görülüp incelenmesinin kastedildiği görülecektir (md. 363).
Hakimin gayrımenkuller dışındaki çekişmeli şeyler hakkında bütün duyularıyla bilgi
edinmesine ise kanun hususi (özel) hüküm sebepleri demektedir (geniş anlamda keşif) (md.
367)12. Dolayısıyla Medeni Yargılama Kurallarımız bakımından keşif terimi, daha sınırlı bir
uygulama alanına sahiptir. Buna “dar anlamda keşif”’te denmektedir13.
Biz burada yine baştan beri izlediğimiz yönteme sadık kalarak Türk Hukukunda da elektronik
belgeler bakımından “keşif” kavramını kullanacağız.
Doktrinde bir fikre göre; özel hüküm sebepleri günümüzde gittikçe geniş bir kullanım alanı
bulan elektronik iletişim araçları (e-mail, internet, faks, PDA, cep telefonları) ve yazılı ve
görsel kayıt cihazları (cep telefonları, PDA’ler, web kamera) ile oluşan delillerin incelenmesi
bakımından oldukça önem taşımaktadır. Elektronik delillerin incelenmesini de bu anlamda
özel hüküm sebebi olarak değerlendirmek gerekir14. Kanunun yaptığı bu ayrım nedeniyle
kanaatimizce özel hukuk davalarında, elektronik delillerin keşfi, bakımından şöyle bir ayrım
yapılması gerekecektir: Eğer talep edilen elektronik belgeler dijital imzalı ise bunlar senet
hükmünde olduğundan (md. 287 vd.)15, yukarıdaki açıklamalarımız ve kanun hükümleri
doğrultusunda bunların mahkemeye ibrazı gereklidir. Ancak; dijital imzalı bir elektronik
belgenin rutin belge yok etme politikası çerçevesinde veya diğer herhangi bir şekilde yok
edildiği iddiasını ileri sürmek, bu şirketin bilgisayar ve yedekleme sistemine birşey olmadığı
sürece hemen hemen imkansızdır. Eğer dijital imzalı olmayan bir elektronik belgenin keşfi
söz konusu ise; bu durumda hakimin bu belgelerin keşfini özel hüküm sebeplerine istinaden
(md. 367), eğer bu konuda bilgili ise ya kendisinin yapması ya da bir bilirkişiye (adli bilişim
uzmanı) bunu yaptırması ve elde ettiği sonuçlar doğrultusunda kararını vermesini
gerekecektir.
İhtiyati Tedbir Ve Delil Tespiti
Gerek davadan önce gerek dava sırasında bir tarafın, diğer tarafın bilgisayarlarında bulunan
elektronik belgelerin incelenmesini mahkemeden talep etmesi, Hukuk Usulü Muhakemeleri
Kanunumuza göre ihtiyati tedbir (md. 101-113) ya da delil tespiti (md. 368-374) ile mümkün
olabilecektir.
a. İhtiyati Tedbir
Bilgisayar tabanlı delillerin muhafazası amacıyla ihtiyati tedbir istenecekse, bunun davadan
önceki dönemde istenmesi faydalı olacaktır. HUMK. md. 101 ihtiyati tedbir çeşitlerini ve
ihtiyati tedbire karar verilebilmesi için gerekli olan şartları genel olarak saymıştır16. Buna göre
mahkeme, ilgili tarafın davadan önceki veya dava sırasında yapacağı ihtiyati tedbir talebi
üzerine, bilgisayar tabanlı delillerin içinde bulunduğu bilgisayarlara veya yedekleme
kasetlerine el konulmasına karar verebilecektir (md. 101/b. I). Ancak bunun için
bilgisayarların veya yedekleme kasetlerinin bunları elinde bulunduran taraftan alınması ve bir
yeddiemine tevdi edilmesi gerekecekecektir ki; böyle bir karar amaca uygun olmayacaktır.
Çünkü; bilgisayarlara el konulması gerektiren dava eğer bir şirketi ilgilendiriyorsa, bu ihtiyati
tedbir kararı icra edildiği zaman o şirketin faaliyeti hemen hemen son bulmuş olacaktır.
İşlemlerin çoğunun elektronik olarak yürütüldüğü günümüzde bu yönde verilecek bir karar, o
şirkete telafisi mümkün olmayan zararlar verebilecektir. Yine yedekleme kasetlerine de el
konulması ve bir yeddiemine verilmesi de pratik olmayan bir karardır. Çünkü; dava ile ilgili
olabilecek bilgilerin hangi yedekleme kaseti veya kasetlerinde bulunduğunun tespiti çoğu
zaman mümkün olamayacağı için, mahkeme tüm yedekleme kasetlerine el konulması
yönünde karar verecektir. Bu durumda şirket rutin yedekleme işlemini yapabilmek için masraf
yaparak yeni kasetler satın almak zorunda kalacaktır. O nedenle bu da amaca çok uygun bir
ihtiyati tedbir kararı olmayacaktır. Madde 101/b.2’deki “çekişmeli şeyin olduğu gibi
muhafazası için gereken tedbirlerin alınması” şeklindeki ihtiyati tedbir kararı da, işlevsel
olmayacaktır. Çünkü; bu durumda da örneğin; çekişmeli şeyin olduğu gibi muhafazasını
sağlamak için, örneğin; bilgisayarların veya yedekleme kasetlerinin mühürlenmesi, kilit altına
alınması gibi az önce söylediğimiz sakıncalara yol açabilecek kararlar söz konusudur. Bu
nedenle md. 103’de öngörülen geciktirilmesinde tehlike veya önemli zarar olacağı anlaşılan
hallerde mahkeme, bu tehlike veya zararı önlemek için gerekli ihtiyati tedbirlerin alınmasına
karar verebilir şeklindeki ihtiyati tedbir kararının, elektronik keşif bakımından daha isabetli
olduğu kanaatindeyiz. HUMK. md. 103’teki bu ifadeden de anlaşılacağı üzere HUMK’nun
saydığı ihtiyati tedbirler tahdidi nitelikte değildir. Gecikmesinde tehlike veya önemli zarar
olacağı anlaşılan hallerde mahkeme, olayın niteliğine uygun bir ihtiyati tedbir kararı
verebilir17. Örneğin; davadan önce veya dava sırasında bir tarafın yapacağı talep üzerine,
diğer tarafın bilgisayarları veya yedekleme kasetleri üzerinde hemen bir elektronik keşif
yapılması ve bunun için bir adli bilişim uzmanının tayin edilmesi, yedekleme kasetleri
bakımından ise şirketin belge saklama/yok etme politikası öğrenilinceye kadar geri
dönüştürme veya belge yok etme işleminin geçici olarak durdurulması yönünde bir ihtiyati
tedbir kararı verebilir. Bu karar özellikle şirketler bakımından normal iş akışlarının
aksamaması ve yedekleme süreçlerinin dava sonuna kadar durdurulması açısından önem
taşıcaktır.
b. Delil Tespiti (md. 368-374)
Delil tespiti ileride açılacak veya açılmış olan bir dava ile ilgili delillerin, bazı şartlar altında
zamanından önce toplanıp güvence altına alınmasını sağlamak için kabul edilmiş bir
kurumdur. Yine bilindiği üzere delil tespiti bir dava olmayıp, deliller hakkında bir çeşit
ihtiyati tedbirdir. Fakat ihtiyati tedbirde dava konusu olan mal veya hakkın güvence altına
alınması için, o mal veya hakka tedbir konulduğu halde; delil tespitinde, davanın karara
bağlanmasına yardımcı olacak delillerin kaybolmasını önlemek için tedbir alınmaktadır,
deliller önceden tespit edilmektedir18.
Delil tespiti için aranan şu şartların somut olayda gerçekleşmiş olması koşuluyla, elektronik
delillerin de davadan önce veya dava sırasında tespitinin istenmesi mümkündür:
a) Delil tespiti yoluna kendisine inceleme sırası gelmemiş olan elektronik deliller için
başvurulabilir (md. 368). Delil tespiti davadan önce veya dava sırasında istenebilir.
Özellikle dava açıldıktan sonra, ancak kendisine inceleme sırası gelmemiş olan
elektronik delillerin tespiti istenebilir. Dava açılmadan önce ise, ileride açılacak
davada ileri sürülecek vakıların tanık (örneğin; bilgi işlem departmanı çalışanlarının),
özel hüküm sebepleri (bilgisayarda veya yedekleme kasetlerinde inceleme yapılması),
bilirkişi (bir adli bilişim uzmanı yardımıyla elektronik delillerin açığa çıkartılması)
veya diğer deliller ile tespiti istenebilir. Buna göre her türlü delilin tespiti
mümkündür19. Ancak tespiti istenen deliller ileride açılacak veya açılmış olan dava ile
ilgili olmalıdır. Bu nedenle, delil tespiti isteyen kişi, delil tespiti talebinde, ileride
açacağı davayı somut olarak belirtmelidir20.
b) Delil tespiti isteyenin, delillerin önceden tespitinde hukuki yararı bulunmalıdır.
Şimdiden tespit edilmemesi halinde ileride kaybolacağı (yok olacağı) (örneğin;
elektronik deliller elinde bulunan tarafın bunları sileceği, yok edeceği) veya
gösterilmesi çok güç olacağı (örneğin; tanık olarak bilgi işlem departmanı sorumlusu
olarak çalışan kişinin ifadesine başvurulacak olması, ancak bu kişinin yurt dışında
yaşamak üzere işinden ayrılacak olması) tahmin edilen delillerin, önceden tespit
edilmesinde hukuki yarar vardır (369)21.
Böyle bir talep üzerine mahkeme (md. 370) vereceği delil tespiti kararında, ya karşı tarafın
bilgisayarları veya yedekleme kasetlerinde mevcut olan elektronik delillerin bir uzman
(bilirkişi) yardımıyla tespit edilmesine, tanık olarak dinlenmesi istenen kişinin ifadesinin
alınmasına şeklinde her bir somut olaya ilişkin olarak karar verebilecektir.
Yargılama Giderleri (Md. 413-426) Ve Elektronik Keşfin Maliyetlerinin Taraflara
Arasında Paylaşımı
Hukuk Usulü Muhakemeleri Kanununun yargılama giderlerine ilişkin hükümleri
incelendiğine, bu hükümlerde masraf paylaşımına olanak veren birkaç düzenlemenin mevcut
olduğu görülecektir. Yargılama giderleri bakımından benimsenen ilkelere göre:
HUMK. md. 414’e göre; taraflardan her biri dinlenilmesini istediği tanık ve bilirkişi ile
yapılmasını istediği keşif ve sair işlemlerin masraflarını mahkeme veznesine peşin olarak
yatırmaya mecburdur. Örneğin; karşı tarafın bilgisayarlarının veya yedekleme kasetlerinin
mahkeme tarafından inceletilmesi veya karşı tarafın bilgi işlem departmanı çalışanlarının
tanık olarak görüşlerine başvurulmasını talep eden taraf, bu taleplerin gerektirdiği giderlerin
mahkeme veznesine yatırılmasından sorumludur. Hakim tarafından belirtilen süre içinde
yapılmasını talep ettiği işlemin gerektirdiği giderleri vermeyen taraf, talebinden vazgeçmiş
sayılır. Ancak mahkeme bir işlemin yapılmasına re’sen karar vermişse, örneği; re’sen
bilgisayarların inceletilmesine karar vermişse, bu işlem için gerekli giderlerin taraflardan her
ikisi veya biri tarafından ödenmesine karar verebilir ve bu giderlerin mahkeme veznesine
yatırılması için bir süre tespit eder. Bu süre içinde mahkemenin istediği gider ödenmezse,
mahkeme, ileride haksız çıkan taraftan alınmak kaydıyla (md. 417), giderin şimdilik devlet
hazinesinden ödenmesine karar verir (md. 415)22. HUMK. md. 415 “taraflardan biri veya her
ikisi...” dediği için, bu ihtimalde hakim elektronik keşfin gerektirdiği masrafları taraflar
arasında paylaştırabilecektir.
Hukuk Usulü Muhakemeleri Kanunu md. 423, yargılama giderlerinin neler olduğunu
saymıştır. Bu yargılama giderlerinden sorumluluk konusunda ise md. 417/f. I’e göre;
yargılama harç ve giderleri kural olarak davada haksız çıkan, yani aleyhinde karar verilen
taraf yükletilir. Yine md. 417/f. I, c. ‘’ye göre; davada her iki taraf da kısmen haklı ( ve
dolayısıyla kısmen haksız) çıkarsa, mahkeme yargılama harç ve giderlerini haklı çıkma
nispetinde taraflar arasında paylaştırır.
Madde 417/f. I’e göre; yargılama harç ve giderlerinin davada haksız çıkmış olan tarafa
yükletileceğine ilişkin bu ana kuralın bazı istisnaları vardır23. Bunlardan md. 418’de
düzenlenen istisnaya göre; davada haklı çıkmış olan taraf için şu hallerden biri söz konusu ise,
davayı kazanmış olmasına rağmen yargılama harç ve giderlerinin bir kısmını veya tamamını
ödemeye mahkum edilebilir: 1) bilerek ve isteyerek davayı uzatmak 2) lüzumsuz masraf
yapmak 3) elinde bulunup da hükme etkisi olan belgeleri zamanında karşı tarafa bildirmemek
Elektronik belge keşfinin sebep olduğu yargılama giderlerine hükmederken hakim, md.
418’in özellikle 2. ve 3. bentlerinde sayılan hususları dikkate alabilecektir. Buna göre;
kendisinden elektronik belge hazırlaması istenen taraf, bu iş için gereksiz yere masraflar
yapmışsa örneğin; bilgisayarında kayıtlı bulunan dosyaları bir disket veya CD ile mahkemeye
ibraz etmek yerine, bunun için, dosyaların bilgisayarda mevcut olmadığını iddia ederek bir
uzmana müracaat edilmesini sağlayıp, yedekleme kasetlerindeki dosyaları bilirkişi vasıtasıyla çıkartmışsa; dosyaların bilgisayarda mevcut olduğunun öğrenilmesi üzerine, bu iş için yaptığı
tüm masrafalara, kendisinin katlanması gerekecektir (md. 418/b. 2). Yine kendisinden
elektronik belge talep edilen taraf, kendisinde bulunan ve hükme etkisi olan elektronik
belgeleri zamanında karşı tarafa bildirmemişse, yine yargılama harç ve giderlerinin tamamı
veya bir kısmını ödemeye mahkum edilebilecektir (md. 418/b. 3).
Kişisel Verilerin KorunmasıAvrupa Birliği 95/46 Sayılı Veri Koruması Direktifi
Veri Koruması Direktifinin AmacıVeri Korumasına24 ilişkin 95/46/EC Sayılı AB Direktifinin temel amacı; gerçek kişilerin
temel hak ve özgürlüklerini korumaktır. Gerçek kişiler; şirketler veya topluluklar gibi hukuki
kişiliklerin dışında kalan bireylerdir. Bu mevzuat kapsamında gerçek bir kişi, veri öznesi25
olarak, diğer bir ifade ile kişisel verilerin ilişkin olduğu şahıs olarak tanımlanmıştır.
Ancak; Direktifin bunun ötesinde bir amacı daha mevcuttur: İç Pazar bağlamında kişisel
verilerin AB kapsamında serbest dolaşımına izin vermek. Bu nedenle Direktifin amacı bir
yandan bireylerin mahremiyetlerini korumak iken, öte yandan iç pazarın gelişimine katkıda
bulunmak amacıyla, AB çapında veri akışına özgürlük tanımaktır26.
Veri Koruması Direktifinin kabul edilmesinin arkasında yatan düşünce, Direktifin tüm üye
devletlerin iç hukuklarına uyarlanması ve bu sayede tüm üye devletlerde kişisel verilerin
işlenmesine dair gerçek kişilerin hak ve özgürlüklerinin korunması konusunda geniş ölçüde
aynı seviye yaratarak, AB ulusal mevzuatlarını uyumlaştırmaktır27.
Direktif hangi veri çeşitlerine uygulanmaktadır?Direktif en geniş anlamıyla mahremiyetin korunmasına, kişisel verilerin işlenmesi
bakımından genel bir çerçeve getirmektedir. Ancak; Direktif tarafından sunulan korumanın
veri işlemedeki mahremiyet esasına dayandığı, yoksa bizatihi mahremiyete dayanmadığı not
edilmelidir. Bu nedenle Direktif, üye devletlerin anayasaları tarafından hüküm altına alınmış
olan bireylerin mahremiyetlerine ilişkin olarak, herhangi bir özel hak vermemektedir. Bunun
yerine; işlemenin bireylerin mahremiyetlerini ihlal etmeyecek şekilde nasıl gerçekleştirileceği
konusunda kurallar öngörmektedir.
Bu bağlamda ele alındığında Direktifteki kurallar gerçek kişilerin gizliliklerinin
korunmasından örneğin; özel hayatlarının korunmasından daha öte bir anlam taşımaktadır.
Çünkü; kişisel veri tanımı, bu bilginin bireyin özel, kamu veya mesleki yaşantısı bağlamında
olup olmadığına bakılmaksızın, bir gerçek kişiye ilişkin olan tüm verileri kapsamaktadır.
Verinin Direktif kapsamında olup olmadığını saptamak için ilk önce sorulması gereken soru,
bu tür verilerin belirli bir gerçek kişinin belirlenebilmesine olanak tanıyıp tanımadığı ve ikinci
olarak da başkası (gerçek veya tüzel kişi gibi) tarafından işlenecek olup olmadığıdır.
Tüm Veriler Direktifte Aynı Şekilde mi İşlem Görmektedir?
Genel ilke olarak; Direktifin kişisel verilere ilişkin olarak sunduğu koruma seviyesinin
bilginin içeriğine değil de, veri işleme bakımından güdülen amaca bağlı olduğu
belirtilmektedir. Diğer bir ifadeyle, veri öznesinin mahremiyet ve otonomi (özerklik)
şeklindeki temel hak ve özgürlüklerinin potansiyel veya gerçek ihlali, kişisel verilerin işlenme
amacı doğrultusunda değerlendirilecektir.
Fakat bazı veriler özel nitelikte kabul edilmekte ve bu yüzden özel bir korumayı
gerektirmektedir. Bu kişisel veriler ırki ve etnik orijine, siyasi düşüncelere, dini veya felsefi
inançlara, sendika üyeliklerine ve aynı şekilde sağlık veya cinsel yaşama ve yargısal verilere
ilişkindir. Bu veriler bakımından koruma, bilginin içeriğine ve veri işlemenin amacına bağlı
olmaktadır.
Ayrıca bazı veri işlemeler veri öznesinin hak ve özgürlükleri bakımından özel riskler
taşımaktadır. Bu veri işlemelerin, işlemeye başlamadan önce kontrol edilmesi gerekmektedir.
Veri Koruması Sorumluluğu Kime Aittir?
Veri koruması kuralları esas olarak veri koruması görevlisine işaret etmektedir. Bu kişi
işlemenin amacına ve araçlarına karar verecek ve verilerin uygun bir şekilde kullanıldığını
sağlamakla hukuken görevli olacaktır. Birçok durumda bu kişi, organizasyon tarafından
toplanacak ve saklanacak verilerden sorumlu olacak üst düzey, kıdemli bir çalışan olacaktır.
Küçük şirketlerde veya serbest meslek mensuplarında, veri koruması görevlisi genel olarak
organizasyon için teknik veya hukuki veya vergisel anlamda sorumlu olan kişidir. Gerçek
kişiler veya tüzel kişiler veri koruma görevlisi olabilir29.
Kişisel Verileri Kontrol Eden Bir Kişinin Ana Yükümlülükleri Nelerdir?
Veri koruması görevlisinin mesleki aktivitesi dolayısıyla işlemek ihtiyacında olduğu herhangi
bir kişisel verinin, belirli bir nitelik seviyesini karşılaması ve veri toplama ve işlemeye ilişkin
farklı ilkelere ve aynı şekilde veri işlemeye dair ilkelere uyması gerekmektedir30.
Veri Toplama Ve İşlemeye İlişkin Yükümlülükler
Verilerin belirli, açık ve meşru amaçlar için toplanması gerekir (md.6/f.1). Bu ilke, kişisel
verilerin işlenmesinden önce veri koruması görevlisinin, verilerin hangi amaçla işleneceğini
açık ve kesin olarak belirlemesini gerektirmektedir31.
Bunun yanısra işlemenin şeffaf olması gereklidir. Veri koruması görevlisinin bu yüzden ilgili
ulusal veri koruması kontrol birimine (bildirim yükümlülüğü) ve veri öznesine (bilgilendirme
yükümlülüğü) işlemeye ilişkin belirli bilgileri vermesi gerekmektedir.
İşlemenin amacının meşru olması gerekir. Direktif, hangi genel koşullar altında işlemenin
meşru olarak kabul edileceğini listelemiştir. Direktife göre; ulusal hukuklar hangi tür veri
işlemelerin meşru olacağını belirleyeceklerdir.
Veri koruması görevlisinin sadece toplanmalarını gerektiren amaç için gerekli olan verileri
işlemesi ve bu başlangıç (ilk, orjinal) amaçla uyumlu olmayan bir şekilde verileri tekrar
işlememesi gereklidir. Orjinal amacından farklı amaçlar için verileri işlemek isteyen bir veri
koruması görevlisinin, kişisel verilerin tekrar kullanılmasını gerektiren koşulları yerine
getirmesi gereklidir. Kişisel verilerin tekrar kullanımına ilişkin olarak genel kuralı yumuşatan
kurallara yer verme yetkisi üye devletlere verilmiştir. Örneğin; istatistiki, tarihi veya bilimsel
amaçlarla verilerin tekrar kullanılması olanağı gibi.
Verinin hukuka ve dürüstlük kurallarına uygun bir şekilde işlenmesi gereklidir. Bunun
yanısıra toplanacak kişisel verinin çeşidi ve niteliğinin, öngörülen amaca uygun ancak aşırı
(ölçüsüz) olmayacak şekilde dikkatlice seçilmesi gerekir.
Buna göre; eğer bir araştırmacı belirli bir araştırma projesini gerçekleştirmek için veri
toplamakta ise, mevcut çalışma için gerekli olmayan, fakat belki daha sonraki bir tarihte
faydalı olabilecek verileri toplayamaz ve işleyemez.
2. Veri Depolamaya İlişkin Görevler (Sorumluluklar, Yükümlülükler)Veriler bir kez toplandıktan sonra, veri koruması görevlisi görevlisi onları doğru bir şekilde
muhafaza edecek ve gerekirse güncelleyerek saklayacaktır. Kişisel verilerin belirli bir zaman
dilimi için depolanması (saklanması) ve işleme için önceden belirlenen amaca ulaşıldıktan
sonra da silinmesi, bloke edilmesi, anonimleştirilmesi veya yok edilmesi gerekmektedir.
Direktife göre; veri öznesine kendisi hakkında tutulan bilgiler üzerinde belirli bir seviyede
kontrol yetkisi tanınmalıdır. Bu amaç doğrultusunda, veri öznesinin kendi kişisel verileri
hakkındaki spesifik bilgileri talep etmesine olanak sağlayan, veriler üzerinde erişim hakkı,
doğru ve tam olmayan verilerin düzeltilmesini isteme hakkı ve bazı koşullar altında işlemeye
itiraz hakkı mevcuttur. Bu yükümlülüklere istinaden birçok AB ülkesi hastalara kendi tıbbi
kayıtlarına erişmelerine ve kayıtların düzeltilmesini talep etmelerine izin verecek yasal
düzenlemeler yapmışlardır33.
Veri koruması görevlisine yüklenen sorumluluklar arasında, elinde bulundurduğu kişisel
verileri korumak ve bu amaçla verilerin güvenlik ve gizliliklerini sağlamaya yarayacak teknik
ve organizasyonel önlemleri alması yer almaktadır. Veri koruması görevlisi, veri işleyicisi
olarak hareket eden üçüncü bir kişiye, kendi adına veri işleme yetkisi verebilir. Ancak veri
koruması görevlisinin bunu yapmaya izinli olabilmesi için, bazı isterleri yerine getirmesi
gerekmektedir. Öncelikle veri işleyicisinin veri gizliliğini sağlayabilmesi bakımından hukuki
veya akdi bir yükümlülük altında bulunmasıdır. Bu uygulamada şu anlama gelecektir: Veri
koruma görevlisi ve veri işleyicisi arasındaki sözleşmenin, veri işleyicisinin sadece veri
koruma görevlisinin talimatları altında hareket edeceğini ve veri gizliliğinde söz konusu
olabilecek herhangi bir ihlal durumunda aynı zamanda bundan hukuken sorumlu olacağını
hükme bağlayan bir kloz içermesi gerekmektedir.
Direktifin Hukuki Hukuki Analizi
A. Önemli Kavramlar
1. Kişisel Veri (md. 2.a)
Kişisel veri, belirli veya belirlenebilir bir gerçek kişiye ilişkin herhangi bir bilgidir.
Belirlenebilir bir kişi uygun araçlar kullanılarak, doğrudan veya dolaylı olarak, özellikle bir
kimlik numarasına veya kişinin fiziksel, psikolojik, zihinsel, ekonomik, kültürel veya sosyal
kimliğine atıfla belirlenebilen bir kişidir34.
Aşağıdaki şu veriler kişisel veri olarak değerlendirilebilir:
(a) veri öznesinin adı, e-mail adresi, veri öznesinin özel, mesleki veya kamusal
yaşantısına ilişkin olup olmadığına göre bir görüş, bir vaka, bir ölçüm, bir ses veya
bir görüntü veya kişisel durumları gibi veri öznesine ilişkin olabilecek herhangi bir
bilgi;
- Tıbbi veriler durumunda bu bilgiler, tıbbi bir müdahaleye, bir teşhise, bir
reçeteye, genetik profile, bir X-ray’e, bir ekogram’a, bir kan sayımına ve
benzeri bir konuya ilişkin bir kaydı kapsamaktadır.
(b) gerçek bir kişiye ilişkin olmalıdır. Mutlak bir şekilde şirketlere, kamu kurumlarına
vs. ilişkin veriler kişisel veri değildir. Buna karşın bazı ülkelerde (Avusturya,
Lüksemburg, İtalya ve Türkiye –Kişisel Verilerin Korunması Hakkında Kanun
Tasarısı-) şirketlere ilişkin olan veriler kişisel veri gibi korunmaktadır;
(c) işleme anında hayatta veya ölü olan kişiye ilişkin olabilir. Ancak bazı üye
devletlerde (İrlanda, İsveç ve İngiltere), kişisel veriler sadece hayatta olan kişilere
ilişkin olabilir;
(d) Veri öznesinin doğrudan veya dolaylı olarak belirlenmesine olanak sağlamalıdır;
- Doğrudan belirlemeye olanak sağlayan veriler kolayca veri öznesi ile
ilişkilendirilebilen ve veri öznesinin kimliğini ortaya çıkaran verilerdir.
Bunlar örneğin; ad, adres, doğum tarihi veya hatta genetik veriler gibi bir
başka veriyle ilişkilendirildiklerinde belirlemeye çok az bir yanılma payıyla
olanak sağlayan verilerdir.
- Dolaylı belirleme ise belirli bir kişi ve işlenen veri arasında bir bağlantı
kurmak için başka adımları gerektirmektedir. Bu yüzden bir kişiyle doğrudan
ilişkin olmayan verilerin mevcudiyeti, bunların kişisel veri oluşturmadığı
şeklinde bir çıkarım yapılmasını gerektirmemektedir.
- Direktifte ve birçok Avrupa ülkesinde, bu kavram in abstracto
uygulanmaktadır. Yani; veriler aracılığıyla bir kişinin kimliğinin belirlenmesi
olanağı sadece, veri ve kişi arasında bir bağ kurma olasılığının mevcudiyeti
olarak tanımlanmaktadır. Bu bağ kurma olasılığı veri koruma görevlisi veya
hatta bir üçüncü kişi tarafından da yapılabilir.
- İngiltere, İrlanda, Avusturya ve Hollanda gibi bazı üye devletlerde, bu
değerlendirme in concreto olarak yapılmaktadır. Yani; veriler aracılığıyla
veri öznesini belirlemek için gerekli olan veya olabilecek verilerin sadece veri
koruması görevlisinin zilyetliğinde olduğu veya olabileceğini bu ülkeler
hesaba katmaktadırlar.
2. Anonim Veri
Anonim veri, uygun vasıtalar kullanılarak veri öznesinin doğrudan veya dolaylı olarak
belirlenmesine olanak vermeyen, kişisel veri olarak sınıflandırılamayacak olan veriler olarak
tanımlanmaktadır. Bu nedenle verilerin anonimleştirilmesi işlemi, veri koruması isterlerinin
kapsamına girmektedir. Kişisel verilerin işlenmesinden kaynaklanan hukuki gerekliliklerle
karşı karşıya kalmamak için, işlenmiş verilerin her zaman anonim hale getirilmesi gereklidir.
Verinin anonimleştirileceği ana kadar, veri koruması görevlisinin, kişisel verileRİn işlenmesi
ile ilgili tüm yasal gerekliliklere uygun hareket etmesi gerekecektir.
Üzerinde durulması gereken bir soru da şudur: Anonimleştirme işleminin başlangıçtaki (ilk)
veri işleme amacına uygun olup olmadığı ve bu anonimleştirmenin nasıl yapılacağı (bunun ilk
veri koruması görevlisi veya bir üçünü kişi tarafından mı yapılması gerekir? Hangi teknikler
kullanılarak yapılması gerekir?). Ulusal hukuklardaki istisnai durumlar ve özel kurallar saklı
kalmak kaydıyla, (örneğin; üçüncü bir kişi (taraf) tarafından anonimleştirme yapılmışsa tıbbi
sır saklama yükümlülüğü) veri koruması görevlisi tarafından yapılacak anonimleştirme
işleminin her halükarda uygun olması gereklidir. Bu soruya ilişkin olarak ayrıca, kişisel
verilerin her halükarda veri işlemenin en azından en sonunda yapılması gerekir.
3. Özel Veri Kategorileri (md. 8)
Bu kavram Direktifte, bir veri öznesi hakkındaki hassas bilgileri açığa çıkaracak spesifik veri
kategorileri için kullanılmaktadır. Bu veriler, “normal” kişisel verilerden daha sıkı kurallara
tabidir. Özel niteliği olan veri kategorileri şunlardır37:
- Hassas veriler
o etnik veya ırki kökeni açığa çıkaracak olan veriler
o siyasi görüşleri açığa çıkaracak olan veriler
o dini veya felsefi inaçları ortaya çıkaracak olan veriler
o sendika üyeliğini ortaya çıkaracak olan veriler
- Tıbbi veriler
o sağlık (ruh sağlığı da dahil) ve cinsel yaşama ilişkin veriler
- Yargısal (adli) veriler
o suç, mahkumiyet veya güvenlik tedbirlerine ilişkin veriler
o idari yaptırımlar veya özel hukuk davalarındaki mahkeme kararları
4. Genetik Veri
Genetik veri Avrupa Konseyi’nin 97/5 sayılı Tavsiye Kararı tarafından tanımlanmıştır. Buna
göre; hangi çeşit olursa olsun bir bireyin kalıtımsal karakteristiklerine ilişkin olan veya ilgili
bir birey grubu içinde bu karakteristiklerin kalıtım örüntüsüne (pattern of inheritance) ilişkin
olan verilerdir. Bu aynı zamanda, bir bireydeki herhangi bir genetik bilgiyi (genler) taşıyan
tüm verilere veya belirlenebilir karakteristikler olarak mevcut olup olmadığına bakılmaksızın
hastalık veya sağlığın herhangi bir yönüne ilişkin genetik bağlantıya da atıf yapmaktadır.
Genetik veriler genel olarak tıbbi veri olarak düşünülse de, bu her zaman böyle değildir. Bu
veriler, daha sıkı koşullarda veri işlemeye konu teşkil edebilirler.
5. Kişisel Veri İşleme (md. 2.b)İşleme kavramı son derece geniş bir kavramdır. Bu kavram, otomatik olarak yapılıp
yapılmadığına bakılmaksızın kişisel veriler üzerinde gerçekleştirilen herhangi bir işlem veya
işlem dizisine de uygulanmaktadır. Veri işleme; kişisel verilerin toplanmasını,
kaydedilmesini, organize edilmesini, depolanmasını, uyarlanmasını veya değiştirilmesini, geri
erişimini, konsültasyonunu, kullanılmasını, iletim yoluyla açıklanmasını, yayılmasını veya
diğer herhangi bir şekilde kullanılır halde bulundurulmasını, sıralanmasını veya
kombinasyonunu, bloke edilmesini, silinmesini veya yok edilmesini ifade eder38.
Veri koruması mevzuatının uygulanması otomatik işleme ve otomatik olmayan işleme ile
sınırlıdır.
6. Amaç
“Amaç” kavramı veri koruması düzenlemelerinde, işlemenin meşru olup olmadığını
belirleyen kilit bir kavramdır. Amaç kavramı, kişisel verilerin spesifik işlenmesinde güdülen
gayeye atıfta bulunur.
7. Veri Koruma Görevlisi (md. 2.d)
Veri koruması görevlisi, tek başına veya başkalarıyla ortaklaşa kişisel veri işlemenin
amaçlarını, araçlarını ve yöntemlerini belirleyen gerçek veya tüzel kişidir.
8. Veri Öznesi
Veri öznesi genel olarak, kişisel verilerin ilişkin olduğu kişi olarak tanımlanmaktadır.
9. Veri İşleyici (md. 2.e)
Veri işleyici, veri koruması görevlisi namına kişisel verileri işleyen gerçek veya tüzel kişi,
kamu kurumu, makam veya diğer herhangi bir merciidir. Veri işleyici tipik olarak, kişisel
verilerin sıralanması ve kombinasyonu gibi işlemenin teknik yönlerini yürütmek üzere, veri
koruması görevlisi tarafından görevlendirilmiş uzman(laşmış) taraf olacaktır39. Veri koruması
görevlisinin bilgisayar sisteminin güvenlik ve yönetimi ile görevli çalışanı, veri işleyici olarak
düşünülemez.
10. Üçüncü Taraf (md. 2.f)
Üçüncü taraf:
• veri öznesi,
• veri koruma görevlisi,
• veri işleyici
• ve veri koruması görevlisinin veya veri işleyicinin doğrudan hakimiyeti altında olan,
veri işlemekle yetkilendirilmiş kişiler dışında kalan, herhangi bir gerçek veya tüzel
kişi, kamu kurumu, makam veya merciidir.
11. Alıcı (md. 2.g)
Alıcı, üçüncü bir taraf olup olmadığına bakılmaksızın, verilerin açıklandığı gerçek veya tüzel
kişiler, kamu kurumları, makam veya diğer merciilerdir. Ancak, özel bir soruşturma
çerçevesinde veri alabilecek olan kurumlar alıcı olarak addedilmeyecektir.
12. Veri Öznesinin Rızası (md. 2.h)
Rıza, veri öznesinin kendisine ilişkin olan verilerin işlenmesine izin verdiğini belirten,
spesifik ve aydınlatılmış özgür iradesinin göstergesidir
13. Kişisel Veri Dosyalama Sistemi (md. 2.c)
Veri koruması mevzuatı kapsamına giren işleme operasyonları, elektronik dosya veya veri
tabanları gibi otomatik işleme ile sınırlı değildir. Aynı zamanda bir dosyalama sisteminin bir
bölümünü oluşturan veya oluşturması düşünülen otomatik olmayan (manüel kağıt dosyalar)
işlemeleri de kapsamaktadır. Bir dosyalama sistemi, fonksiyonel veya coğrafi bir esasa
istinaden merkezi, dağıtılmış veya dağınık olup olmadığına bakılmaksızın, spesifik kriterlere
göre erişilebilir yapılandırılmış herhangi bir veri dizisidir. Bu nedenle belirli kriterlere göre
yapılandırılır yapılandırılmaz manüel işleme de veri koruması mevzuatı kapsamına girecektir.
14. Kontrol Birimi (md. 28)
Bağımsız ulusal kontrol birimleri, kendi sınırları içinde ulusal veri koruması mevzuatının
uygulanmasını kontrol etmekle sorumludurlar. Kontrol birimi, veri koruması görevlisi
tarafından yapılan işlemeye ilişkin bildirimi alır ve özellikle inceleme yapma, yasal süreçlere
angaje olmak ve görüş bildirme yetkisine sahiptir40.
B. Veri Koruması Mevzuatının KapsamıAB Veri Koruması Direktifine ve aynı şekilde Avrupa Konseyinin 108 no’lu Konvansiyonuna
göre; veri koruması ilkeleri kamu ve özel sektöre eşit şekilde uygulanır41. AB Veri Koruması
Direktifi, kişisel verilerin tamamen veya kısmen otomatik araçlarla veya otomatik olmayan
araçlarla işlenmesine (bir dosyalama sisteminin bir parçasını oluşturan veya bir dosyalama
sisteminin bir parçasını oluşturması düşünülen) uygulanmaktadır. Bir dosyalama sisteminin
bölümü olmayan veya bir bölümünü oluşturması öngörülmeyen manüel işlemeler Veri
Koruması Direktifi kapsamına girmemektedir (md. 3.1). Bir gerçek kişi tarafından salt kişisel
amaçlarla veya ailevi ilişkiler münasebetiyle yapılan işlemeler de Direktif tarafından
düzenlenmemektedir (md. 3.1).
C. İşlemenin Meşruluğu: İşlemenin Meşruluğuna İlişkin Koşullar
1. Hassas Olmayan Veriler
İşlemenin meşru olarak kabul edilebilmesi için, hukuk tarafından öngörülen hukuka uygunluk
sebeplerinden birine uygun olması gerekir. Veri koruması görevlisi, işlemenin bu hukuka
uygunluk sebeplerinden birinin kapsamına girdiğini garanti etmesi gerekir (md. 6).
(a) veri öznesi (veya yasal temsicisinin) açık bir şekilde verilmiş rızasının mevcudiyeti;
veya
(b) Veri öznesinin taraf olduğu bir sözleşmenin gerçekleştirilmesi için işlemenin gerekli
olması veya veri öznesinin talebiyle sözleşme ilişkisi öncesi dönemde gerekli adımların
atılabilmesi için işlemenin gerekli olması; veya
(c) Veri koruması görevlisinin bağlı oldukları hukuki bir yükümlülüğün yerine
getirilmesi için işlemenin gerekli olması; veya
(d) veri öznesinin hayati çıkarlarının korunması için işlemenin gerekli olması; veya (e) Veri koruması görevlisi veya verilerin ifşa edildiği bir üçüncü kişinin yükümlü
olduğu, kamu menfaati veya kamu düzeni gereği bir görevin ifası için veri işlemenin
gerekli olması; veya
(f) Veri koruması görevlisi veya kendilerine veri ifşa edilen üçüncü bir taraf veya
taraflarca güdülen haklı çıkarların korunması için işlemenin gerekli olması. Ancak bu
haklı çıkarların veri öznesinin temel hak ve özgürlükleri bakımından söz konusu olan
çıkarlarını ihlal etmemesi şarttır.
Sonuncu hukuka uygunluk sebebinin (f) uygulanması bakımından veri koruması görevlisinin:
(i) işlemede güdülen menfaatlerin neler olduğunu belirlemesi,
(ii) menfaatlerin meşru olup olmadığını tespit etmesi, ve
(iii) İşlemenin veri öznesinin hak ve özgürlükleri üzerindeki etkisinin orantısız
olmadığını doğrulaması gerekir. Bu hak ve özgürlükler, veri koruması görevlisinin
veri işlemede güttüğü menfaatlerine tercih edilmelidir. Bu üstünlüğün
değerlendirilmesinde, veri koruması görevlisinin, verilerinin işlenmesinin veri
öznesine verebileceği olası zarar veya tehlikeleri gözönünde tutması gerekir.
Ayrıca; farklı işleme şemaları ile amaca ulaşılabilecek olan durumlarda, veri
koruması görevlisinin bunlardan her zaman veri öznesi için en az zarara sebebiyet
verebilecek veya en az mahsurlu olanı tercih etmesi gerekecektir.
D. Verinin Niteliğine İlişkin Koşullar
Daha önce de değinildiği üzere; verilerin hukuka ve dürüstlük kurallarına uygun bir şekilde
işlenmesi ve belirli, açık ve meşru amaçlar doğrultusunda toplanması gereklidir. Veri koruma
görevlisinin işlemeye ihtiyaç duyduğu herhangi bir kişisel verinin belirli bir nitelik seviyesini
karşılaması ve aşağıdaki ilkelere uygun olması gerekir:
1. Veriler Hukuka ve Dürüstlük Kurallarına Uygun İşlenmelidir (md. 6.1.a)
Dürüstlük kuralına uygun olmak, işlemenin veri öznesine karşı şeffaf olması gerekliliğini
ifade etmektedir. Bu kural veri koruma görevlisinin bilgilendirme ve uyarı görevlerine uygun
hareket etmesini de kapsar. Veri koruma görevlisi aynı zamanda davranış kurallarında yazılı
olan iyi uygulama örnekleri ilkelerine de uymakla yükümlüdür.
Hukuka uygun olmak, işlemenin veri koruması yasalarına ve aynı zamanda iyi uygulama
örnekleri de dahil olmak üzere, diğer hukuki isterlere (örneğin; tıbbi sır saklama yükümlülüğü
gibi tıp sektörüne ilişkin özel hukuki metinlere) uygun olması gerekliliğini ifade eder.
2. Veriler Belirli, Açık ve Meşru Amaçlar Doğrultusunda Toplanmalıdır (md. 6.1.b)
Verilerin belirli, açık ve meşru amaçlar doğrultusunda toplanması ve bu amaçlarla
uyuşmayacak şekilde (sonradan) işlenmemesi gerekir. Verilerin tarihi, istatistik veya bilimsel
amaçlarla sonradan işlenmesi; üye devletlerin uygun güvenceleri sağlamış olması kaydıyla,
amaca aykırılık olarak kabul edilmeyecektir. Veri koruma görevlisinin işleme amacını tam olarak belirlemesi ve bunu veri öznesine (bilgi edinme hakkı) ve ulusal kontrol birimine
(bildirim yükümlülüğü) bildirmesi gerekir.
Veri işlemenin amacının meşru olması gerekir. Yani; veri koruması görevlisi tarafından veri
işlemede güdülen yararların veri öznesinin menfaatini aşması gerekir.
3. Kişisel Verilerin Uygun, İlgili Olması ve Aşırı Olmaması Gerekir (md. 6.1.c)
Verinin açıklanan işleme amacı bakımından yararlı ve gerekli olması gerekir. İşleme amacıyla
ilgili olmayan veya gereksiz olan, ilgisiz verilerin toplanması veya kullanılması yasaktır. Veri
koruması görevlisinin bu nedenle, amaca onlar olmadan da ulaşılabilecek olan kişisel verileri
kullanmaktan kaçınması gerekir. Bundan başka, işin sadece kişisel verilerin işlenmesi yoluyla
gerçekleştirilmesi mümkün olsa dahi, veri koruması görevlisinin bu verilerin kullanımını
minimum seviyede (gereklilikte) tutması gerekir.
Ayrıca verilerin aşırı olmaması gerekir. Yani; veri öznesinin çıkarlarını tehlikeye düşürecek
bir orantsızlık riski yaratmaması gerekir. Amaç için zaruri olmayan verilerin aşırı olarak
değerlendirilmesi gerekir44.
4. Kişisel Verilerin Doğru Olması ve Eğer Gerekli İse Güncel Olarak Muhafaza
Edilmesi Gerekir (md. 6.1.d)
Veri koruması görevlisinin, hatalı, eksik veya güncel olmayan verilerin işlenmemesi
şeklindeki bu görevi yerine getirmek için uygun uygun önlemleri alması gereklidir. Veri
koruması görevlisinin verilerin doğru olmadığını bildiği veya bilmesi gereken hallerde,
bunların silinmesi veya düzeltilmesi gerekir.
5. Kişisel Verilerin Belirli Bir Zaman Dilimi İçin Saklanması Gereklidir (md. 6.1.e)
Kişisel verilerin, veri öznesinin teşhis edilmesine olanak verecek şekilde, verilerin toplandığı
veya sonradan işlendiği amaçlar için gerekli olandan daha uzun süre saklanmaması gereklidir.
Kişisel veriler olmaksızın amaca ulaşılır ulaşılmaz, bu tür verileri muhafaza etme ihtiyacı
sona ermiş sayılmalı ve bu nedenle verileirn anonim hale getirilmesi veya yok edilmesi
gerekir.
Direktif üye devletleri bilimsel, tarihi veya istatistiki amaçlarla uygun güvenceler sağlanmak
kaydıyla, verilerin daha uzun süre saklanması konusunda yetkilendirmektedir. Birçok üye
devletin yasalarında bu yetkiye istinad eden düzenlemeler mevcuttur.
Bakanlar Komitesinin, 13 Şubat 1997 yılında kabul edilen, tıbbi verilerin korunmasına ilişkin
üye devletlere yönelik (97)5 sayılı Tavsiye kararı, kamu sağlığı yararı adına uzun süreli
saklamaya izin vermektedir, ayrıca veri koruması görevlisinin bir davayı savunması veya
yürütmesini de olanaklı kılmaktadır. Uzun süreli saklamanın olanaklı olduğu durumlarda,verinin doğru muhafazası ve güvenliği için gerekli güvenlik tedbirlerinin alınmış olması
gerekir.
E. Veri Öznesinin Haklarına Riayet EdilmesiVeri öznesine genel olarak, kişisel verilerinin işlenmesine ilişkin olarak belirli haklar
verilmiştir. Bunlar: bilgi edinme hakkı, kişsel verilere erişim hakkı, verilerin düzeltilmesini
talep etme hakkı ve belirli koşullar altında veri işlemeye itiraz etme hakkı46.
Veri koruması görevlisinin bu yüzden bu hakların kullanılabileceğini öngörmesi ve veri
öznesi tarafından bu hakların efektif bir şekilde kullanılabilmesini sağlamak amacıyla gerekli
teknik ve oragnizasyonel önlemleri alması gerekir. Bu pratikte örneğin; verilerin yazdırılarak
çoğaltılabilecek formatta hazır bulunması veya çıplak gözle okunabilir halde bulundurulması
anlamına gelmektedir47.
1. İlgilinin Bilgilendirilmesi (md. 10)
Veri öznesi (veya yasal temsilcisinin) işleme operasyonun mevcudiyetini öğrenir durumda
olması gerekir ve bu yüzden veri koruması görevlisinin işleme hakkında veri öznesine bazı
bilgiler vermesi zorunludur. Veri koruması görevlisinin asgari olarak; kendisinin veya varsa
temsilcisinin adı, adresi, unvanı veya ticaret unvanı gibi kimlik bilgilerine ve işlemenin
amacına ilişkin bir açıklama yapması gerekir48. Bazı ilave bilgilerin de zaman zaman
verilmesi gerekir, örneğin; ilgili veri kategorileri, alıcılar veya veri alıcılarının kategorileri,
erişim hakkının mevcudiyeti ve veri öznesinin kendisine ilişkin verilerde düzeltme yapmak
hakkı, sorulara cevap vermenin zorunlu veya gönüllü olup olmadığı, aynı şekilde cevap
vermemenin olası sonuçları.
İlave bilgilerin, verilerin toplandığı spesifik koşullar gözönünde tutularak bazı hallerde
verilmesi zorunludur. Bu veri öznesi bakımından adil bir işleme yapılmasını garanti etmek
için gereklidir. Veri koruması görevlisinin, işlemenin koşulları ve karakteristiklerine
dayanarak, veri öznesine ilave bilgi verilmesine gerek olup olmadığını değerlendirmesi
gerekir. Hassas veya tıbbi verilerin işlenmesi normal olarak ilave bilgilerin verilmesini
gerektirir. Bakanlar Komitesinin 13 Şubat 1997 tarihinde kabul edilen tıbbi verilerin
korunması hakkındaki (97)5 Sayılı Tavsiye Kararı, işlemenin tıbbi verilere ilişkin olduğu
durumlarda, veri koruması görevlisinin kendisinden veri toplanan veya toplanacak olan kişi
veya kurumlara bilgi vermesi gerektiğini hükme bağlamaktadır. Genetik analizler durumunda
veri öznesinin, analizin amaçları ve öngörülmeyen bulguları konusunda bilgilendirilmesi
gereklidir.
Bilgi vermenin veya aynı şekilde bu hakka getirilebilecek olası istisnaların zamanı, toplanan
verilerin çeşidine bağlıdır. Gerçekte kişisel veriler ya doğrudan doğruya veri öznesinden elde
edilir (birincil toplama) veya farklı alternatif veri kaynaklarından elde edilir (ikincil toplama).
Genetik analiz durumunda bilgilerin, genetik analiz yapılmadan önce verilmesi gerekir49.
a. Birincil Toplama
Verilerin doğrudan veri öznesinden toplandığı durumlarda, bilginin de verinin toplanma
anında verilmesi gerekir. Tıbbi verilerin tıbbi acil durumlar için toplandığı durumlarda, tıbbi
tedavi için gerekli olan verilerin bilgi verilmesinden önce de toplanması mümkündür.
Bilgi verme yükümlülüğü, veri öznesinin zaten bilgilendirildiği veya halihazırda bu bilgileri
bildiği durumlarda uygulanmaz50.
b. İkincil Toplama
Kişisel verilerin doğrudan veri öznesinden elde edilmediği durumlarda, veri koruması
görevlisinin, bu kişisel verileri nasıl işleyeceğini veya veri öznesini ne zaman
bilgilendireceğini düşünmeden önce, bunların bu tür verilerin tekrar kullanımı için öngörülen
isterlere uygun olup olmadığını değerlendirmesi gerekir.
Veri koruması görevlisinin veri öznesini en azından kayıt anında veya verilerin üçüncü bir
tarafa açıklanması öngörülmekte ise, verinin ilk defa açıklandığı andan daha geç olmayacak
bir zamanda, herhangi bir ikincil toplama hakkında bilgilendirmesi gerekir. Bilgi verme
görevi özellikle istatistiki veya tarihi veya bilimsel amaçlarla işleme yapılacak durumlarda
uygulanmayacaktır51.
2. Bilgi Edinme (Erişim) Hakkı (md. 12)
Her veri öznesi, veri koruması görevlisi tarafından işlenen kişisel verilerini talep etme hakkına
sahiptir. Eğer tıbbi veriler işlenmişse, veri öznesi sağlık uzmanlarından erişim hakkını
kullanma talebinde bulunabilir. Talep üzerine, veri koruması görevlisi veri öznesine herhangi
bir sınırlama olmaksızın uygun aralıklarla ve aşırı gecikme olmaksızın ve aşırı masrafa neden
olmaksızın aşağıdaki şu bilgileri vermekle yükümlüdür52:
• veri koruması görevlisi tarafından işlenen verilerin kendisine ilişkin olup olmadığı
• işlemenin amacı
• işlenen veri kategorileri ve veriler
• verilerin ifşa edildiği alıcılar veya alıcı kategorileri
• işlenen veriler hakkında bilginin anlaşılır bir şekilde sunulması
• verilerin kaynağı
• veri işlemenin arkasında yatan mantık hakkında bilgi53.
Eğer işleme bilimsel araştırma amacıyla yapılmışsa veya veriler sadece istatistik oluşturmak
amacıyla gerekli olan periyodunu aşmayacak bir süre zarfında kişisel formda tutulmuşsa,
erişim hakkı sınırlandırılabilecektir. Ancak; erişim hakkına böyle bir istisna getirilebilmesi
ancak veri öznesinin mahremiyetini ihlal etme riskinin açıkça mevcut olmadığı ve verilerin
herhangi belirli bir bireye ilişkin olarak önlem veya karar almak amacıyla kullanılmayacağı
hallerde tanınabilecektir.
Tıbbi verilere erişim, ulusal hukukun aşağıdaki şekilde istisnalar öngördüğü hallerde
reddedilebilecektir (md. 13.1):
• Devlet güvenliğinin sağlanması, kamusal güvenlik veya suçla ilgili durumlara ilişkin
olarak gereklilik söz konusu ise
• Bilginin öğrenilmesi veri öznesinin sağlığına ciddi şekilde zarar verebilecek ise; veya
• Veri öznesi hakkındaki bilgi, üçüncü kişilerle ilgili bilgileri açığa çıkarıyorsa veya
genetik veriler bakımından, bu bilgiler akrabalar, aile bireyleri veya bu genetik bağla
doğrudan ilgili olan kişiler açısından bu bilgiler ciddi zarar doğurabilecek ise.
3. Düzeltme, Silme Ve Bloke Etme Hakkı (md. 12)
Direktif kapsamında veri öznesinin, işlenmeleri Direktif’teki hükümlerle uyumlu olmayan
veriler bakımından bu verilerin düzeltilmesini, silinmesini veya bloke edilmesini isteme hakkı
mevcuttur. Bu özellikle kişisel verilerin noksan veya güncel olmadığı durumlarda söz
konusudur55. Bu hak, veri öznesi tarafından talep edilmesi halinde, veri koruma görevlisinin
uygun bir süre zarfında verileri düzeltme, silme veya bloke etmesini gerekliliğini ifade
etmektedir. Bloke edilmiş veriler veri öznesinin rızası olmaksızın tekrar işlenemezler,
kullanılmazlar veya iletilemezler. Ayrıca eğer veri koruması görevlisi verileri üçüncü taraflara
ifşa etmişse, veri koruması görevlisinin bu kişileri yapılan düzeltmeler, silinmeler veya
blokajlar konusunda bilgilendirmesi gerekir. Üçüncü tarafın bilgilendirilmesi, eğer imkansız
ise veya aşırı bir çaba gösterilmesini gerektiriyorsa yapılmak zorunda olmayacaktır.
Direktif üye devletlere, veri öznesinin düzeltme hakkı bakımından veri koruması görevlisinin
yükümlülüklerine, bilimsel amaçlarla yapılan işlemeler söz konusu ise veya kişisel verilerin
kişisel formda sadece istitistik oluşturma amacı için gerekli olan süreyi aşmayacak bir dönem
içintutulduğu hallerde istisna öngörme yetkisi vermektedir.
4. İtiraz Hakkı (md. 14)
Veri öznesinin verilerinin işlenmesine itiraz etme hakkı vardır ve haklı bir itiraz söz konusu
ise, veri koruması görevlisinin artık bu verileri işlememesi veya alıcılarla paylaşmaması
gereklidir57. Bakanlar Komitesinin 23 Eylül 1983 tarihinde kabul edilen, bilimsel araştırma ve
istatistik amacıyla kullanılan kişisel verilerin korunmasına ilişkin (83)10 sayılı Tavsiye
Kararına göre; bilimsel veya istatistiki nedenlerle işleme yapılan hallerde, veri öznesi
işbirliğinden vazgeçebilir. Bu faraziyede, veri öznesi toplanan verilerin silinmesini talep
etmeye yetkilidir.
F. Veri Koruması Görevlisinin Yükümlülükleri
1. Ulusal Kontrol Birimine Bildirim (md. 18 - 19)
İşlemenin yapılışı ve kapsamı konusunda şeffaflığı sağlamak için, veri koruması görevlisinin
işlemeyi gerçekleştirmeden önce, işlemeye ilişkin belirli bazı bilgileri ilgili ulusal kontrol
birimine vermesi gerekmektedir. Bildirimin içeriğinin normal olarak veri özneleri veya
üçüncü taraflara açık olması gerekir. Bildirim genel olarak; veri koruması görevlisinin
kimliği, işlemenin amacı, veri öznesi kategorileri, alıcılar ve üçüncü ülkelere transfer gibi
konuları kapsamaktadır. Bildirimin tam olarak içeriğinin ne olacağı ilgili ulusal hukuk
tarafından belirlenecek ve takiben Ulusal Veri Koruması Kurulları tarafından
somutlaştırılacaktır.
2. Kişisel Verilerin Gizliliğini ve Güvenliğini Sağlamak (md. 16 - 17)
Veri işlemenin gizliliğini korumak amacıyla Direktif, kişisel verilere erişim hakkı olan ve veri
koruması görevlisinin veya veri işleyicisinin talimati ile hareket eden herhangi bir kişinin,
bizzat veri işleyici de dahil olmak üzere, ulusal hukuk tarafından aksi öngörülmediği üzere,
veri koruması görevlisinin talimatı hariç olmak üzere, bu verileri işleyemeceklerini
öngörmüştür60.
Veri işlemenin güvenliğini sağlamak için, veri koruması görevlisinin kişisel verileri örneğin;
kazara veya hukuka aykırı tahribatlara veya yanlışlıkla söz konusu olabilecek kayıplara,
değişikliklere, özellikle işlemenin verlerin bir ağ üzerinden iletimine ilişkin olduğu hallerde
yetkisiz ifşa veya erişimlere karşı ve diğer tüm hukuka aykırı işleme şekillerine karşı
koruyacak uygun teknik ve organizasyonel önlemleri alması gereklidir.
Uygun koruma seviyesi teknolojinin son durumuna, uygulama masraflarına, işlemenin ortaya
çıkardığı risklere ve işlenecek olan verilerin niteliğine bağlıdır61 (örneğin; tıbbi veriler gibi
hassas veriler en yüksek seviyede koruma gerektirir). Organizasyonel önlemlere örnek olarak;
veri koruması konularıyla ilgilenecek bir veri koruması görevlisi çalıştırılması verilebilir.
Teknik önlemler olarak; yedekleme, veri tabanına sadece yetkilendirilmiş kişilerin girmesini
öngören kısıtlı erişim şemaları öngörmek ve sistemi hacking veya virüslere karşı koruyacak
yazılımlar kullanmak sayılabilir. Bunun yanısıra veri koruması görevlisinin bilgi sistemlerinin
güvenliğinden ve veri korumasından sorumlu olacak bir kişiyi de ataması gerekecektir62.
Veri İşleyicinin Müdahalesi
Veri koruması görevlisi işlemenin bir bölümünü bir (alt) işleyiciye devretmişse, veri
işleyicinin işlemenin kendisine uygun olarak gerçekleştirilmesi gereken yeterli teknik
güvenlik önlemleri ve organizasyonel tedbirleri sağladığını garanti etmesi gerekir. Ayrıca veri
işlemenin mutlaka bir sözleşme veya diğer bir hukuki metinle düzenlenmesi gerekir. Veri
işleyiciyi veri koruması görevlisine tabi kılan bu sözleşme veya hukuki metinde;
a) Veri işleyicinin sadece veri koruması görevlisinin talimatları ile hareket edeceğinin, ve
b) Uygun teknik ve organizasyonel önlemler aynı şekilde veri işleyicisi bakımından da
zorunlu olduğunun
hükme bağlanması gerekmektedir.
Delil niteliği taşıması adına sözleşme veya diğer bir hukuki metnin yazılı veya diğer eşdeğerli
bir şekilde yapılması gereklidir.
G. Verilerin Üçüncü Taraflarla Paylaşılması
Veri koruması görevlisi, kişisel verilerin transferi veya açıklanması öngörülen veri işleme
bakımından normal bir iş (işlem) olmadığı veya sonraki işlemlerle uyumlu olmadığı sürece,
kişisel verileri üçüncü taraflarla paylaşamaz. Yukarıda açıklandığı üzere; veri koruması
görevlisinin AB sınırları içinde kişisel verileri hukuka uygun olarak transfer edip
edemeyeceğini veya ifşa edip edemeyeceğini belirleyebilmesi için, bu transfer veya
açıklamanın veri işlemedeki ilk (başlangıç, asli) amaç kapsamında olup olmadığını veya bu
amaca uygun olup olmadığını kontrol etmesi gereklidir. Anonim veriler spesifik isterler
gerektirmeden transfer edilebilirler.
H. AB (ve EEA) Üyesi Olmayan Ülkelere Kişisel Verilerin Transferi
Avrupa Ekonomik Alanı (EEA) dışında kalan ülkelere kişisel verilerin transfer edilmesi,
kişisel verilerin üçüncü taraflara transfer edilmesi için gerekli olan isterleri de ayrıca
karşılaması gereken spesifik koşullara tabidir. EEA ülkelerinde yerleşik olmayan bir alıcıya
kişisel verilerin transfer edilmesi, ancak (hedef, varış) transferin yapılacağı ülkenin uygun
seviyede bir koruma garanti etmesi durumunda mümkündür (md. 25.1). Bazı ülkeler
(Arjantin, Isle of Man, Guernsey ve İsviçre) AB Komisyonu tarafından uygun seviyede koruma sağlayan ülkeler olarak ilan edilmişlerdir. Kişisel verilerin Amerikan şirketlerine
transferine ise Amerikan Ticaret Bakanlığı’nın Safe Harbour Mahremiyet İlkeleri
çerçevesinde izin verilmektedir. AB Komisyonu ayrıca kişisel verilerin Kanada Kişisel
Bilgilerin Korunması ve Elektronik Belgeler Yasasına (PIPED Act)65 tabi olan alıcılara da
gönderilmesine izin vermektedir.
Direktif, uygun bir veri koruması seviyesine sahip olmayan ülkelere kişisel verilerin
transferinin yasak olması şeklindeki kurala bazı istisnalar getirmektedir. Bu istisnalar
şunlardır:
(a) öngörülen transfere veri öznesinin açıkça rıza göstermiş olması; veya
(b) transferin veri öznesi ve veri koruması görevlisi arasındaki bir sözleşmenin ifası
veya veri öznesinin talebi üzerine sözleşme öncesi tedbirlerin uygulanması için transferin
gerekli olması; veya
(c) Veri öznesinin yararına olmak üzere, veri koruması görevlisi ve üçüncü taraf
arasında aktdilen veya ifa edilecek olan bir sözleşme için transferin gerekli olması; veya
(d) önemli kamu yararı nedeniyle veya bir davanın açılması, yürütülmesi veya
savunulması için transferin zorunlu veya hukuken gerekli olması; veya
(e) transferin veri öznesinin hayati çıkarlarının korunması için zaruri olması; veya
(f) transferin aleniyet ilkesi çerçevesinde herkese ya da ilgisini ispat eden herkese açık
bulunan kamu sicillerinden yapılmış olması ve bu konuda somut transferin veri koruması
mevzuatının aradığı şartları taşıması.
Bunun yanısıra Direktif, veri koruması görevlisinin mahremiyetin, bireylerin temel hak ve
özgürlüklerinin korunmasına ve bu hakların icrasına ilişkin olarak yeterli garantileri sağladığı
durumlarda, üye devletleri uygun koruma seviyesine sahip olmayan üçüncü bir ülkeye kişisel
veri transferi veya transfer dizileri yapma konusunda yetkilendirmektedir. Bu garantiler
özellikle uygun akdi klozlardan kaynaklanabilir66.
AB Komisyonu, uygun koruma seviyesinin özellikle kişisel verilerin gönderici ve alıcıları
arasında yapılacak bir sözleşme ile sağlanabileceğini karara bağlamıştır. AB Komisyonu,
şdeğerli koruma eviyesi sağlayacak standart sözleşme klozları önermiştir.
J. Kişisel Verilerin Bilimsel Araştırma ve İstatistiki Aktiviteler Amacıyla İşlenmesine
İlişkin Diğer Spesifik Kurallar
Bakanlar Komitesinin, Bilimsel Araştırma ve İstatistik Amacıyla Kullanılan Kişisel Verilerin
Korunması hakkındaki (83)10 Sayılı Tavsiye Kararı; kişisel verilerin araştırma ve istatistiki
amaçlarla işlenmeleri bakımından farklı ilkeler öngörmektedir:
(a) Eğer mümkünse, araştırmaların anonim verilerle yapılması gerekir. Ancak; eğer bu
ister araştırmayı imkansız (olanaksız) kılacak ise, kişisel veriler kullanılabilir. Bu durumda;
eğer tıbbi veriler söz konusuysa, Bakanlar Komitesinin üye devletlere yönelik, tıbbi verilerin korunmasına ilişkin, 13 Şubat 1997 tarihinde kabul edilen (97)5 Sayılı Tavsiye Kararı özel
koşullar önermektedir.
(b) Kişisel veriler mevcut araştırma dışında diğer bir amaç için kullanılamazlar ve
doğrudan veri öznesini etkileyecek kararlar almak veya harekete geçmek için kullanılamazlar.
Bunun yanısıra kişisel veriler, veri öznesinin rıza göstermiş olması hali hariç olmak üzere, ilk
araştırma projesinden yapısı veya amaçları gereği tamamen farklı olan diğer araştırma
projelerinde kullanılmazlar.
(c) Kişisel veriler yayınlanamazlar, meğer ki veri öznesi bu yayınlamaya rıza
göstermiş olsun veya ulusal hukuk buna izin vermiş olsun.
Dr. Leyla Keser Berber
lkeser@bilgi.edu.tr ; www.leyla.keser.org
Hukuki NET Güncel Haber
-
18-10-2008 19:16:24 # Nedir?
Tavsiye Soru Cevap- Kayıt Tarihi
- Bugün
- Nerede
- Avukat Dünyası
- İletiler
- Ne kadar?
Alıntı ile YanıtlaBu sayfada bulunan kavramlar:
*
ForumBenzer Konular :
-
Türk Medeni Yargılama Hukukunda Sulh [Kitap Fiyat bilgisi]
Ayşe Soy - Adalet - 2017 Nisan - 45,00 TL Türk Medeni Yargılama Hukukunda Sulh hakkındaki işbu hukuki kitap Hukuk Market tarafından satılmakta...Yazan: Hukuk Kitapçısı Forum: Hukuk Kitapları TanıtımıYanıt: 0Son İleti: 04-05-2017, 01:00:02 -
Islah ( Medeni Yargılama Hukukunda ) [Kitap Fiyat bilgisi]
6100 sayılı HMK'na göre değiştirilmiş 4. bası - Ejder Yılmaz - Yetkin - 2013 Ocak - 65,00 TL Islah ( Medeni Yargılama Hukukunda ) hakkındaki...Yazan: Hukuk Kitapçısı Forum: Hukuk Kitapları TanıtımıYanıt: 0Son İleti: 13-01-2013, 03:20:11 -
Medeni Yargılama Hukukunda Yemin [Kitap Fiyat bilgisi]
Ejder Yılmaz; Yetkin; 2012; 30,00 TL Medeni Yargılama Hukukunda Yemin hakkındaki işbu hukuki kitap Hukuk Market tarafından satılmakta olup, ...Yazan: Hukuk Kitapçısı Forum: Hukuk Kitapları TanıtımıYanıt: 0Son İleti: 26-06-2012, 02:30:09 -
Medeni Yargılama Hukukunda İstinaf [Kitap Fiyat bilgisi]
Murat Özgür Çiftçi; On İki Levha Yayıncılık; 2011; 125,00 TL Medeni Yargılama Hukukunda İstinaf hakkındaki işbu hukuki kitap Hukuk Market...Yazan: Hukuk Kitapçısı Forum: Hukuk Kitapları TanıtımıYanıt: 0Son İleti: 04-08-2011, 13:40:13 -
Islah ( Medeni Yargılama Hukukunda ) [Kitap Fiyat bilgisi]
Ejder Yılmaz; Yetkin; 2011; 65,00 TL Islah ( Medeni Yargılama Hukukunda ) hakkındaki işbu hukuki kitap Hukuk Market tarafından satılmakta olup, ...Yazan: Hukuk Kitapçısı Forum: Hukuk Kitapları TanıtımıYanıt: 0Son İleti: 27-06-2011, 11:50:16
Wmic Windows Activation Key and...
03-05-2025, 14:36:12 in Aile Hukuku