1948 tarihli BM İnsan Hakları Evrensel Beyannamesi’nin 12.maddesinde;
“Hiç kimse özel hayatı, ailesi, meskeni veya yazışması hususlarında keyfi karışmalara, şeref ve şöhretine karşı tecavüzlere maruz bırakılamaz. Herkesin bu karışma ve tecavüzlere karşı kanun ile korunmaya hakkı vardır.“
denilirken, 1966 tarihli BM Kişisel ve Siyasal Haklar Uluslararası Sözleşmesi’nin “mahremiyet hakkı” başlıklı 17.maddesinde;
- Hiç kimsenin özel ve aile yaşamına, konutuna veya haberleşmesine keyfi veya hukuka aykırı olarak müdahale edilemez; onuru veya itibarı hukuka aykırı saldırılara maruz bırakılamaz.
- Herkes bu tür saldırılara veya müdahalelere karşı hukuk tarafından korunma hakkına sahiptir.
ifadesine yer verilerek en temel insan haklarından birisi olan mahremiyet hakkı tanınmış ve korunmuştur.
Dijital Çağda Mahremiyet Hakkı
BM İnsan Hakları Komitesi kararları ile yukarıda aktarılan “mahremiyet hakkı” başlıklı 17.maddenin “kişisel bilgilerin bilgisayarlarda, veri bankalarında ve diğer cihazlarda toplanması ve tutulmasını” kapsadığı kabul edilmiştir. Zira, günümüz dijital dünyasında yaşanan teknolojik gelişmeler bir yandan insan hayatını kolaylaştırıp refahı artırırken diğer yandan da bu teknolojinin farklı kullanımlarıyla ortaya yeni tehditleri de beraberinde getirmiştir.
Hukukun teknolojinin hızına yetişmesi çoğu durumda imkansız olmakla beraber, uzun bir süreden bu yana, insanların bildiğimiz, çevrimdışı hayatta sahip oldukları hakların çevrimiçi ortamda da korunması gerekliliği vurgulanmaktadır.
Böylelikle, hukuk devleti kuralları içerisinde, internet üzerinden kurulan çevrimiçi dünyanın sağladığı fırsatlardan en üst düzeyde yararlanmayı mümkün kılan bir genel çerçevede, ortaya çıkan yeni nesil tehditlerle demokratik usul ve yöntemler kapsamında, temel hakları –özellikle de mahremiyet hakkını- her koşulda koruyarak başa çıkılması gibi zorlu bir görev ortaya çıkmaktadır.
Bu zorluğun pratikte ne anlama geldiği ve nasıl değerlendirildiğini gösterebilmek için güncel bir yargı sürecini sizlerle paylaşmak isterim.
BTK’nın Abone Deseni ve ISS Logu Kararları
5809 sayılı Elektronik Haberleşme Kanunu ile belirlenen görevleri yerine getirmek üzere kurulan Bilgi Teknolojileri ve İletişim Kurumu (BTK), 2018 ve 2019 yıllarında aldığı “abone deseni” başlıklı bir dizi Kurul kararı ile “5397 sayılı Kanun kapsamındaki önleyici-istihbari amaçlı işlemler ile 5271 sayılı Ceza Muhakemesi Kanunu kapsamında adli amaçlı iletişim tespiti, dinlenmesi, sinyal bilgilerinin değerlendirilmesi ve kayda alınmasına dair işlemlerle ilgili kendisine verilen “görevleri” yerine getirebilmek” amacıyla düzenleme yapmıştır.
Kurul kararları ile ekinde yer alan “abone teknik detay dokümanı”na bakıldığında; sabit telefon hizmeti aboneleri, internet servis sağlayıcıları (İSS) aboneleri, altyapı hizmeti sağlayıcıları, uydu haberleşme hizmeti ve GMPCS (mobil uydu) aboneleri olmak üzere, 5809 sayılı Elektronik Haberleşme Kanunu uyarınca hizmet alan bütün abonelerin kişisel ve ticari çok sayıda ve detayda verilerini (müşteri tipi, abone başlangıcı, abone ad/soyadı, TC kimlik numarası, pasaport numarası, unvanı, vergi numarası, MERSİS numarası, cinsiyeti, uyruğu, baba adı, ana adı, anne kızlık soyadı, doğum yeri, doğum tarihi, mesleği, tarifesi, kimlik ve adres bilgileri, kurumsal aboneliklerde kurum yetkilisinin ad/soyadı, TC kimlik numarası) içerir “abone dosyaları”nın sürekli ve düzenli olarak BTK’ya aktarımı koşulu getirilmiştir.
Bu Kurul kararlarını, 2021 yılında BTK tarafından tesis edilen bir başka işlemle birlikte değerlendirmek gerekmektedir. BTK, Kasım 2021 tarihli yazıları ile tüm internet servis sağlayıcılığı (İSS) hizmeti sunan işletmecilerin “ISS Trafik Log Kayıtlarını” BTK’ya göndermelerini istemiştir.
Günümüz dünyasının vazgeçilmezi olan internet kullanımına dair ISS trafik log kayıtları ile herhangi bir kişinin hangi gazeteyi okuduğu, hangi takımı tuttuğu, hangi siyasi düşünceye yakın olduğu, kişisel ilişkileri, sorunları, sağlık durumu hakkında çok net bilgiler edinmek mümkündür. Zira, ISS Trafik Logu “içerik bilgisidir”, yani; kullanıcı adı, IP bilgisi, trafik başlama zamanı, trafik bitiş zamanı, hedef (erişilen ) IP, indirilen veri miktarı, yüklenen veri miktarı gibi bir internet kullanıcısını tanımlamaya yönelik her tür bilginin, bu kapsamda BTK’ya iletilmesi istenmiştir.
Dolayısıyla, anılan Kurul kararları, sadece belirli kişilerin DEĞİL TÜM TÜRKİYE CUMHURİYETİ VATANDAŞLARININ KAYIT ALTINA ALINMASINA İMKAN VEREN ve mahremiyet hakkı ihlaline neden olan bir süreç oluşturmuştur. Yani, şu anda, BTK kayıtlarında, hakkında mahkeme kararı olup olmadığına bakılmaksızın HERKESİN, her tür elektronik haberleşme verisi, internet kullanım detayları, takip ettiği web sayfaları bilgisi mevcuttur, saklanmaktadır ve sınırlı sayıda kişi dışında bu kayıtlarla ilgili ne tür işlemler tesis edildiği bilgisine kimse sahip değildir.
Üstelik, tüm Türkiye’yi, mahremiyet hakkı kapsamında hiçbir değerlendirme yapılmaksızın profilleyemeye yarayacak ve ne yazık ki yıllardan bu yana uygulanmakta olan bu kararların BTK web sayfasında yayımlanmaması kararlaştırılarak kimsenin süreçten haberdar olmaması sağlanmak istenmiştir.
Kurul Kararlarının “Belirtilen” Yasal Dayanakları
BTK, Kurul kararlarının 5809 sayılı Kanun’un 6 ve 12 inci maddeleri, 5397 sayılı Kanun, 5271 sayılı Ceza Muhakemesi Kanunu ve 5651 sayılı Kanun “ilgili” maddeleri ile Elektronik Haberleşme Sektörüne İlişkin Yetkilendirme Yönetmeliği’nin 19 uncu maddesine dayanılarak alındığı belirtmiştir.
5809 sayılı Elektronik Haberleşme Kanunu’nun 6 ıncı maddesinin başlığı “Kurumun görev ve yetkileri” iken 12 inci maddesinde de “işletmecilerin hak ve yükümlülükleri” düzenlenmiştir.
5397 sayılı “Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun” ile 2559 sayılı Polis Vazife ve Selahiyet Kanunu, 2803 sayılı Jandarma Teşkilat, Görev ve Yetkileri Kanunu, 2937 sayılı MİT Kanunu hükümlerinde değişiklikler yapılmıştır.
5271 sayılı Kanun ”Ceza Muhakemesi Kanunu” iken, Yetkilendirme Yönetmeliği’nin 19 uncu maddesinin başlığı “işletmecilerin hak ve yükümlülükleri” olarak ifade edilmiştir.
Danıştay’da Görülen Dava Süreci
Yukarıda içerikleri belirtilen ve Anayasa Mahkemesi’nin iptal kararları ile kişisel verilerin korunmasına dair Anayasal ilkelere aykırılık temelinde hukuka aykırı olduğunu düşünülen BTK kararlarına karşı sektörde faaliyet gösteren bir dernek tarafından 2019 yılında Danıştay’da yürütmenin durdurulması talepli iptal davası açılmıştır.
Danıştay 13. Dairesi, önce yürütmenin durdurulması istemini, ardında da 23.05.2023 tarihli kararıyla davayı, ikiye karşı üç oyla, oy çokluğuyla reddetmiştir. Kararın çoğunluk gerekçesinde;
“Davacı tarafından, abonelere ait bütün kişisel verilerin Kuruma aktarılması suretiyle kullanıcı profillerinin çıkarılmaya çalışıldığı, elde edilen büyük verinin (big data) veri mühendisliği sayesinde mali ve siyasi analizlerde kullanılmaya son derece müsait olduğu ileri sürülmekteyse de;
Dairemizin …. ara kararı ile “Kuruma aktarılan abonelere ait söz konusu kişisel veriler üzerinde, yetkili Kurum ve kuruluşlar tarafından herhangi bir hukuki incelemeye veya talep bulunmaksızın “veri işleme” yapılıp yapılmadığının davalı idareden sorulduğu; davalı idarece verilen … ara karar cevabında, yetkili kurum ve kuruluşlar tarafından herhangi bir hukuki inceleme talebinde bulunulması durumunda sorgulanmaya hazır olarak tutulmasını teminen ilgili sorgu işlemleri için işlendiği, bunun haricinde … veri işleme yapılmadığı gibi talep olmaksızın hiçbir veri hakkında sorgulama yapılmadığı, yetkili kurum ve kuruluşlardan gelen talep üzerine görevli personel tarafından yapılan sorgulamaların LOG kayıtlarının tutulduğu, söz konusu kayıtlarda hangi sorgulamanın hangi talep üzerine yapıldığının yer aldığı belirtildiğinden davacının bu yöndeki iddialarına itibar edilmemiştir..”
denilerek, bir anlamda iki husus ikrar edilmiştir;
- ülkedeki tüm telefon, internet hizmetlerinden faydalanan milyonlarca aboneye ait, özel nitelikli veriler dahil kişisel verilerin Kurul kararına dayalı olarak işletmecilerden alınarak “sorgulanmaya hazır olarak tutulmasını teminen ilgili sorgu işlemleri için” işlendiği,
- veriyi işleyen ile bunu “denetleyen” kurumun aynı olduğu, BTK’nın hem işlemeden hem de buna dair güvenlik denetiminden sorumlu tutulduğu.
Nitekim, karara karşı oy kullanan yargıç; “BTK’ya adli, önleyici, istihbari amaçlarla ve belli bir hukuki sürece bağlı olmak kaydıyla verilen görevlerin, abone desen yapısı adı kullanılarak, hakkında adli, önleyici, istihbari herhangi bir hukuki süreç bulunmayan tüm aboneleri kapsayacak şekilde “sınırsız bir yetkiye” dönüştürülmek suretiyle ikincil mevzuat ile yapılan düzenlemelerin, kanuni dayanaktan yoksun olduğu, temel hak ve özgürlükleri doğrudan ilgilendiren bu düzenlemelerin, üst hukuk normlarıyla değil de Kuruma verilen genel yetki kapsamında, Kurul kararları ile tesisinin hukuken mümkün olmadığı” diyerek işlemin iptalini istemiştir.
Dosyaya sunulan Danıştay Savcısı düşüncesinde “aboneye ait trafik bilgisinin idarece, işletmecilerden temin edilmesine yönelik kanuni düzenlemeler Anayasa Mahkemesi tarafından iptal edildikten sonra benzer düzenlemenin dava konusu Kurul kararlarıyla yapılmak istendiği, bu nedenle Kurul’un “yetkisiz” olduğu bir konuda “genel yetkisine” dayanarak işlem yapmasının mümkün olmadığı” gerekçesiyle, dava konusu kararların iptaline karar verilmesi gerektiği, ifade edilmiştir.
Danıştay Tetkik Hakimi de, görüşünde “Kurul kararlarının “T.C. Kimlik Numarası bilgisi dışındaki kişisel verilerin Kuruma aktarılmasına ilişkin kısımlarında hukuka uygunluk bulunmadığını” belirterek kısmi iptal talebinde bulunmuştur.
Danıştay 13.Dairesi kararına karşı temyiz yoluna gidilmişse de Danıştay İdari Dava Daireleri Kurulu’nun 05.02.2024 tarihli, üçe karşı sekiz oyla, oy çokluğuyla verdiği kararla, ret kararı, kesin bir şekilde, onanmıştır.
Karşı oy kullanan üç üye, ilk derece kararında karşı oy kullanan üyenin görüşleri doğrultusunda, dava konusu düzenlemenin Anayasa Mahkemesi tarafından iptal edilen düzenlemelerin alt düzey işlemle (Kurul kararı ile) yapılması niteliğinde olduğu temelinde, Kurul kararlarının iptali gerektiğini savunmuşlardır.
Anayasa’ya Aykırı Düzenleme
Anayasa’nın 20. maddesi “Herkes, özel hayatına ve aile hayatına saygı gösterilmesini isteme hakkına sahiptir. Özel hayatın ve aile hayatının gizliliğine dokunulamaz.” şeklinde hükmedilerek özel hayatın gizliliği güvence altına alınmıştır.
Anılan maddeye 2010 yılında eklenen 3.fıkrada ise “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel verileri hakkında bilgilendirme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak Kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.” denilerek, özel hayatın unsurlarından birisi olan kişisel verilerin de Anayasal koruma kapsamında olduğu hükme bağlanmıştır.
Uyuşmazlık konusu “abone desen yapısı” adı altında çıkarılan BTK kurul kararları adeta elektronik haberleşme hizmetinden yararlanan abonelerin “profillerinin oluşturulması” mahiyetindedir.
Bütün temel haklar gibi, kişisel verilerin korunması hakkına yönelik herhangi bir müdahalenin hukuka uygun kabul edilebilmesi; kanunla öngörülmüş olma, meşru bir amaca yönelik olma ve demokratik toplumda gerekli olma şeklindeki üç kriteri kümülatif olarak karşılaması gerekir.
6698 sayılı “Kişisel Verilerin Korunması Kanunu” na dayanak oluşturan 108 No’lu Sözleşme’nin istisnalara ilişkin 9. Maddesine göre, Sözleşme ile öngörülen güvencelere istisna getirilebilmesi devlet ve/veya kamu güvenliği, devletin ekonomik çıkarlarının korunması ve suçla mücadele edilmesi ile veri sahibinin ve/veya diğerlerinin hak ve özgürlüklerinin korunması söz konusu olduğunda, ancak ve ancak bu amaçlara yönelik önlemler taraf devlet hukuku ile öngörülmüş ve demokratik toplumda gerekli iseler mümkün kabul edilmiştir.
108 No’lu sözleşme bağlamında, kişisel verilerin korunması hakkına yönelik herhangi bir müdahalenin hukuka uygun kabul edilebilmesi, ancak yukarıda sayılan amaçlar çerçevesinde yapılmış olması, yasa ile öngörülmüş ve demokratik toplumda gerekli olması halinde mümkündür. İstisnalar değerlendirilirken bu üç koşulun kümülatif olarak bir arada bulunmaları gerektiği konusunda herhangi bir şüphe bulunmamaktadır.
AİHM Yaklaşımı
Böylesi bir uygulamanın ne anlama geldiğine dair AİHM’in 28341/95 başvuru numaralı Rotaru v. Romanya başvurusunda verilen 04.05.2000 tarihli kararda; “Mahkemenin yerleşik içtihadına göre, “kanuna uygun” kavramı ile yalnızca müdahale niteliğindeki önlemin iç hukukta yasal bir temeli olması gerekliliği değil aynı zamanda, bu yasal temelinin kalitesi de kastedilmektedir. Bu bağlamda, yasal düzenlemenin ilgili kişi açısından ulaşılabilir ve sonuçları bakımından da öngörülebilir olması gerekmektedir.” denilerek, Romanya yasalarının ulusal güvenlik gerekçesiyle kişisel verilerin gizli istihbarat dosyalarında toplanmasına, kaydedilmesine ve arşivlenmesine, herhangi bir sınırlama öngörülmeksizin, takdir yetkisini tamamen idari otoritelere bırakacak şekilde izin verilmesinin AİHS 8.maddesinin ihlali anlamına geldiğine hükmedilmiştir.
İstihbarat önlemlerinin hangi kategorideki bireyler için alınabileceğini, hangi tür verilerin bu kapsamda işlenebileceğini, hangi koşullarda bu önlemlere başvurulabileceğini, verilerin ne kadar süre ile saklanacağını ve izlenecek prosedürü İÇERMEYEN BİR YASAL DÜZENLEME, ÖNGÖRÜLEBİLİRLİK kuralının ihlalini doğuracağına hükmeden AİHM, Roman Zakharov v. Rusya kararında da (Baş.No: 47143/06, 04.12.2015 tarihli karar) “milli güvenliğin ve kamu güvenliğinin korunması, suçun önlenmesi ve ülkenin ekonomik refahının korunması amaçları ile bu tarz istihbari faaliyetlerin yapılabileceğini ama BU UYGULAMALARIN SINIRSIZ OLAMAYACAĞINA“ hükmetmiştir.
Avrupa Adalet Divanı Yaklaşımı
Avrupa Adalet Divanı’nın C293/12 ve C594/12 sayılı birleştirilmiş başvurular üzerine vermiş bulunduğu 8 Nisan 2014 tarihli kararıyla da, 2006/24/EC sayılı ve 15.3.2006 tarihli, Verilerin Saklanmasına ilişkin AB Direktifi, bu yönden hukuka aykırı bulunmuştur.
Söz konusu Direktif hükümlerinin Divan tarafından özel yaşamın gizliliği hakkına ve ifade özgürlüğüne aykırı bulunmasının en önemli gerekçelerinden ikisi; Direktif’te yetkili kamu otoritelerinin verilere erişimiyle ilgili kişisel, coğrafi, konu yönünden vb, herhangi bir sınırlama getirilmemiş olması ve bu otoritelerin verilere erişiminin öncelikli yargı denetiminden çıkarılması olarak gösterilmektedir.
Mahkemenin yerleşik içtihadına göre, verilerin saklanmasıyla ilgili özel hayatın gizliliği ilkesinden her türlü sapma yalnızca katı bir gereklilik arz ettiği ölçüde kabul edilebilir. Bu çerçevede veri saklama düzenlemelerinin kapsamı ve uygulanmasına ilişkin açık ve net kuralların yanı sıra, verileri saklanan kişilere, verilerinin istismar ve hukuksuz erişim/kullanımlara karşı minimum güvenceler getirilmelidir. Direktif ise, ciddi suçlarla, örgütlü suçlarla ve terörle mücadele kapsamında getirilmiş olsa da her hangi spesifik ayrım, sınırlama ya da istisna öngörmeksizin herkesin ve bütün verilerin saklanmasını, aynı 5651 sayılı kanunun yeni düzenlemesi gibi GENEL BİR ŞEKİLDE öngörmektedir.
Sonuçta, Avrupa Adalet Divanı; herhangi bir coğrafi/zamansal/kişisel/konu yönünden sınırlama öngörmeyen, meslek sırları gibi konulara herhangi bir istisna getirmeyen, devletlerin suçla mücadele amacı ile veri saklanması arasında objektif kriterler koyması yükümlülüğünü yerine getirmeyen, prosedürler ve devlet içinde tam olarak kimlerin verilere erişebileceğine dair hüküm içermeyen Direktif’i iptal etmiştir.
Avrupa Birliği Adalet Divanı’nın başka kararlarında da (Tele2 Sverige ve Home Department-Tom Watson ve Diğerleri davası, CJEU, 2016) “tutulacak veri ve toplum güvenliğine yönelen tehdit arasında illiyet kurulmadan, veriyi tutmaya ilişkin süre koşulu, bölge koşulu, ağır suçların şüphelisi olması muhtemel kişi grupları gibi herhangi bir koşul olmaksızın “genel ve ayrım gözetmeksizin” veri toplamaya ilişkin düzenlemelerin demokratik bir toplumda meşru sayılamayacağı” vurgulanmıştır.
Anayasa Mahkemesi Yaklaşımı
Ülkemizde Anayasa Mahkemesi’nin (AYM) konuya yaklaşımı da benzer çerçevededir. AYM, 5651 sayılı “İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun” a 2014 yılında eklenen bazı hükümlerin iptali istemiyle açılan davada verdiği ve aşağıda detaylı olarak alıntılanacak 08.12.2015 tarihli kararda,
…Özel hayat bütün unsurlarıyla tanımlanamayacak kadar geniş bir kavram olup devletin yetkili temsilcileri tarafından ilgililer hakkında rızaları olmaksızın bilgi toplanmasının her zaman söz konusu kişinin özel hayatını ilgilendireceği kuşkusuzdur.
diyerek kişisel veri işlemesinin özel hayatın korunması özgürlüğü temelinde ele alınması gerektiğini kabul etmiştir.
AYM’nin yukarıda aktarılan 08.12.2015 tarihli kararına konu 5651 sayılı Kanun’un 4.maddesinin 3.fıkrasına 2014 yılında 6518 sayılı Kanun ile eklenen hüküm,
(3) İçerik sağlayıcı, Başkanlığın bu Kanun ve diğer kanunlarla verilen görevlerinin ifası kapsamında; talep ettiği bilgileri talep edilen şekilde Başkanlığa teslim eder ve Başkanlıkça bildirilen tedbirleri alır.
şeklindeyken, 5 inci maddesinin 5 inci fıkrasına eklenen hüküm de,
(5) Yer sağlayıcı, Başkanlığın talep ettiği bilgileri talep edilen şekilde Başkanlığa teslim etmekle ve Başkanlıkça bildirilen tedbirleri almakla yükümlüdür.
şeklindedir. Anılan hükümlerin hukuki güvenlik ilkesi kapsamında “belirsizlik” içermesi nedeniyle anayasaya aykırılığını 2014/87 E. sayılı dosyada değerlendiren AYM, 2015/112 K. sayılı 08.12.2015 tarihli kararı ile yukarıda aktarılan iki hükmü anayasaya aykırı bularak iptal etmiştir.
28.01.2016 tarihli Resmi Gazete’de yayımlanan ve bir yıl sonra yani 28.01.2017 tarihi itibariyle yürürlüğe giren İPTAL kararında, anılan dönemde BTK bünyesinde faaliyet yürüten ama 2016 yılında kapatılan TİB tarafından internet hizmetinden yararlanan abonelerin tüm bilgilerinin istenilmesinin Anayasa’nın 20.maddesi ile düzenlenen “özel hayatın gizliliği ve korunması” kapsamında olduğu, bu özgürlüğün kullanılmasının demokratik bir toplumda, Anayasa’nın 13.maddesinde yer alan güvencelere aykırı düşmeksizin, KANUNLA, BELLİ KOŞULLARLA SINIRLANDIRILABİLECEĞİ, getirilen sınırlamaların her koşulda hakkın özüne dokunamayacağı ve ölçülülük ilkesine aykırı olamayacağı belirtilmiştir.
AYM, anılan kararda, TİB tarafından istenilen bilgilerin “işlenmiş veri” olduğunu, yani kişisel verilerin söz konusu olduğunu (karar madde 164), kişisel verilerin anayasanın 20.maddesi ile korunduğunu belirterek, kanunlarda sayılan hallerde bu kişisel verilerin işlenmesinin de mümkün olduğu vurgulandıktan sonra;
169. Telekomünikasyon İletişim Başkanlığının, internet ortamında yapılan yayınların düzenlenmesi ve bu yayınlar yoluyla işlenen suçlarla mücadele edilmesi ve kendisine verilen görevleri yerine getirebilmesi için kişisel veriler de dâhil olmak üzere bir takım bilgi ve belgelere ihtiyacının bulunması kaçınılmazdır.
Ancak iptali istenilen kurallarda, TİB’in Kanun’daki görevlerini yerine getirme noktasında içerik, yer ve erişim sağlayıcılardan isteyeceği bilginin kapsamı ve getirebileceği yükümlülüklerin çerçevesi belirlenmemiş, içerik, yer ve erişim sağlayıcılardan bilgi talep etme yetkisinin kapsamı kişisel verilerin korunmasına ilişkin gerekli teminatlar sağlanarak sınırlandırılmamış ve bildirilen tedbirleri alma noktasında da kapsamı belirlenemeyen yükümlülükler yüklenmiştir. Kanun’un 4. maddesinin iptali istenilen (3) numaralı fıkrasında “Başkanlığın bu Kanun ve diğer kanunlarla verilen görevlerinin ifası kapsamında;” denilerek genel bir belirleme yapılmıştır. Ancak bu genel belirleme, Kanun’un; iptali istenilen 5. maddesinin (5) numaralı fıkrası ile 6. maddesinin (1) numaralı fıkrasının (d) bendinde yer almamaktadır.
Bu çerçevede iptali istenilen kurallarda, TİB’in hangi koşullarda ve hangi gerekçelerle istediği bilgilerin içerik, yer ve erişim sağlayıcılar tarafından Başkanlığa teslim edileceğine ya da verilen bilgilerin ne kadar süre ile TİB’de saklanacağına, talep edilen bilgilerin mahiyetine, içerik, yer ve erişim sağlayıcılara bildirilecek tedbirlere ilişkin herhangi bir belirlilik bulunmamaktadır. Kurallar bu yönleriyle belirli ve öngörülebilir değildirler.
diyerek, belirli ve öngörülebilir olmayan kuralın Anayasa’ya aykırı olduğunu ifade etmiştir. Ötesinde, her ne kadar anılan dönemde 6698 sayılı KVKK yürürülükte olmasa da, bu şekilde abone verilerinin işlenmesinin Anayasa’nın 20.maddesinde düzenlenen “açık rıza” olmadan mümkün olamayacağı üzerinde de durulmuştur;
170. …İptali istenilen kurallar, kişinin açık rızası olmaksızın kişisel verilerine ulaşılmasına ve bu kişisel verilerin işlenip, bilgi halinde TİB’e teslim edilmesine olanak tanımaktadır. Anayasa’nın 20. maddesinin üçüncü fıkrasında “Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.” denilmektedir. Anayasa’nın bu hükmünde yer alan kişisel verilerin işlenmesine ilişkin “kanunda öngörülen hallerim nelerden ibaret olduğu 5651 sayılı Kanun’da açıkça belirtilmemiştir.
İptali istenilen kurallar, Anayasa’da yer alan güvenceye rağmen, kişilere ait her türlü kişisel veri, bilgi ve belgelerin konu, amaç ve kapsam bakımından yeterli sınırlamaya tabi kılınmaksızın koşulsuz olarak TİB’e verilmesine imkân tanımakta, böylece kişiler idareye karşı korumasız hale getirilmektedirler. Dolayısıyla iptali istenilen kurallar, belirli ve öngörülebilir olmadığından kişilerin kişisel verilerin korunması hakkını ölçüsüzce sınırlandırmakta ve Anayasa’nın 20. maddesine aykırılık teşkil etmektedir.
Görüleceği üzere Anayasa Mahkemesi; AİHM ve Avrupa Birliği Adalet Divanı yaklaşımına eş bir bakış açısıyla, elektronik haberleşme hizmetinden yararlanan abonelere ait kişisel verilerin ölçüsüz ve sınırsız bir şekilde Kuruma aktarılmasına dair düzenlemeyi Anayasa’nın 2., 13. ve 20. maddelerine açıkça aykırı bulmuştur.
Anayasa Mahkemesi’nin 2.10.2014 tarih ve 2014/149 E. 2014/151 K.sayılı kararı da benzer yöndedir. 5651 sayılı Kanun’un 3. maddesine eklenen “ Trafik bilgisi Telekomünikasyon İletişim Başkanlığı tarafından ilgili işletmecilerden temin edilir ve hâkim tarafından karar verilmesi hâlinde ilgili mercilere verilir.” hükmünü Anayasa’nın 2,13 ve 20. maddelerine aykırı bularak iptal eden AYM karar gerekçesinde şu hususları vurgulamıştır;
“Anayasa’nın 20. Maddesi, kişisel verilerin korunmasını isteme hakkına sağlanan anayasal güvenceyi, kişisel verilerin ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebileceği şeklinde belirtmiştir.
Dolayısıyla bu hakkı ilgilendiren yasal düzenlemelerin, çerçevesi çizilmiş, açık, anlaşılabilir, kişilerin söz konusu haklarını kullanabilmelerine elverişli ve özel hayatlarını ilgilendiren veri, bilgi ve belgelerin resmi makamların keyfi müdahalelerine karşı korunmasını olanaklı hale getirilmesi gerekmektedir.
Bu durumda, verilerin işlenebileceği hallerin kanunda açıkça yer alması zorunluluğu bulunmasına karşın, kuralda herhangi bir belirleme ve sınırlama yapılmaksızın doğrudan kişisel veri niteliğindeki trafik bilgisinin temin edilmesine ve işlenmesine olanak sağlanmasının Anayasa’nın 20. Maddesine aykırı olduğu açıktır.”
Bu düzenlemelerle BTK; dava konusu edilen Kurul kararının alındığı 2018 yılı itibariyle 80,1 milyon mobil, 11,6 milyon sabit telefon ve 74,5 milyon genişbant internet abonesi olmak üzere toplam 166 milyonun üzerinde abonenin verilerini işleyebilecek imkana kavuşmuştur. Anayasa Mahkemesi’nin istikrar kazanmış kararlarına rağmen, bu uygulamanın yıllardan bu yana sürdürülüyor olması dahi bir hukuk devletinde düşünülemeyecek bir durumdur.
Kişisel verilerin işlenmesinde “milli güvenlik ve kamu düzeni” bir istisna oluşturmakla beraber, bu istisnanın Kurul kararlarıyla “genel kural” haline getirilmesi ve Türkiye Cumhuriyeti’ndeki HERKESİN, HER TÜR KİŞİSEL VERİSİNİN, SÜRESİZ VE SINIRSIZ bir şekilde BTK teslim edilmesi, tek bir kaynaktan bu bilgilere erişimin mümkün hale gelmesi, esasında, amaçlananın tam tersi bir şekilde ciddi bir güvenlik açığı oluşturacaktır.
5809 Sayılı Kanun BTK’ya Bu İçerikte Bir Yetki Veriyor mu?
2016 darbe girişimi sonrasında BTK bünyesinde bulunan TİB bu sebeple kapatılmış, BTK’dan ciddi sayıda personel işten çıkarılmış ve tutuklanmıştır. Anımsanacağı üzere gizli “olması” gereken görüşmeler, kayıtlar ortalığa saçılmış ve ülkemizin temellerine saldırılmıştır ki bu kayıtların büyük bir çoğunluğunun BTK üzerinden dışarı sızdırıldığı açıktır.
Bu noktada öncelikle sorulması gereken bir diğer soru da, BTK’ya bu yönde yetki veren bir yasal düzenleme olup olmadığıdır.
BTK ve işletmecilerin yetki, görev ve sorumluluklarını düzenleyen 5809 sayılı Kanun’un “Kişisel Verilerin İşlenmesi ve Gizliliğin Korunması” başlıklı 51.maddesinde,
MADDE 51 – (1) Kişisel verilerin işlenmesinde; hukuka ve dürüstlük kurallarına uygun olması, doğru ve gerektiğinde güncel olması, belirli, açık ve meşru amaçlar için işlenmesi, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ile işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi ilkelerine uyulur.
(2) Elektronik haberleşmenin ve ilgili trafik verisinin gizliliği esas olup, ilgili mevzuatın ve yargı kararlarının öngördüğü durumlar haricinde, haberleşmeye taraf olanların tamamının rızası olmaksızın haberleşmenin dinlenmesi, kaydedilmesi, saklanması, kesilmesi ve takip edilmesi yasaktır….
(4) İşletmeciler şebekelerinin, abonelerine/kullanıcılarına ait kişisel verilerin ve sundukları hizmetlerin güvenliğini sağlamak amacıyla uygun teknik ve idari tedbirleri alır.
(8) İşletmeciler konum verilerinin işlenmesinde abonelere/kullanıcılara bu verilerin işlenmesini reddetme imkânı sağlar.
(12) Bu Kanun kapsamında kişisel verilerin gizliliğinin, güvenliğinin ve amacı doğrultusunda kullanılmasının temininden işletmeciler sorumludur.
hükmü bulunmaktadır.
Bu hükümler, BTK’ya İŞLETMECİLERDE abonelere dair BULUNAN BÜTÜN kişisel veriyi (hatta ilk kez bu düzenlemeler nedeniyle işletmeciler tarafından abonelerden talep edilmek zorunda kalınan kişisel veriler de söz konusudur), hiçbir özel amaç ve sınırlama olmaksızın ve süresiz olarak işleme yetkisi vermediği gibi, tam aksine kamu yararının zorunlu kıldığı hallerde, zorunluluğu doğuran sebep, süre ve koşullarla sınırlı larak işleme yetkisi açıkça yazılarak, sınırsız işlemenin MÜMKÜN OLMADIĞI yasakoyucu tarafından vurgulanmıştır.
Nihai Karar Anayasa Mahkemesi’nin
Hukuk devletinde, önemli olan husus, yetkinin, gücün demokratik teamüllere uygun bir şekilde dağıtılması, böylelikle suistimallere karşı tedbirlerin daha çok sayıda kişinin bilgisi/denetimi ile sağlanmasıdır. Bu nedenle, zaten sunulan hizmet kapsamında her bir işletmecinin kendi abone bilgileri kendilerinde, dağıtık bir şekilde saklanmakta iken, bu verilerin bu şekilde BTK’ya aktarılması, amacının tersi bir sonuç doğurmaya mahkum bir girişimdir.
Bakalım, Anayasa Mahkemesi, milyonları ilgilendiren bu işlemlerle ilgili nasıl ve ne kadarlık bir sürede karar verecek…
