Anayasa Mahkemesi, Kişisel Verilerin Korunması Kanunu'nun bazı hükümlerinin iptali ve yürürlüğünün durdurulması istemiyle yapılan başvurunun ilk incelemesini yaptı.
CHP'nin, 6689 sayılı Kişisel Verilerin Korunması Kanunu'nun bazı maddelerinin iptali ve yürürlüğünün durdurulması istemiyle Anayasa Mahkemesinde açtığı dava ile ilgili inceleme yapıldı.
Yüksek Mahkeme heyeti, bugünkü gündem toplantısında başvurunun ilk incelemesini yaptı. Başvuruda eksiklik tespit etmeyen heyet, iptal istemini daha sonra belirlenecek bir günde esastan görüşerek karara bağlayacak.
İptali istenen hükümler
CHP, kanunun, "genel ilkeler"i düzenleyen 4. maddesindeki, "kişisel verilerin işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesine" imkan tanıyan hükmünün iptalini istiyor.
Kanunun 5. maddesindeki, "Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olacağını" düzenleyen hükümlerin de iptali isteniyor.
"Kişilerin mezhebi ile kılık ve kıyafetinin özel nitelikli kişisel veri" olduğunu düzenleyen ibareler ile Kişisel Verileri Koruma Kurumu Başkanının, kurul kararlarının kurulca gerekli görülenlerini kamuoyuna duyurulmasını sağlayacağına ilişkin hükmün de iptali talep ediliyor.
Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine, kişisel verilerin aktarılmasına ve kişisel verilerin yurt dışına aktarılmasına ilişkin diğer kanunlarda yer alan hükümlerin saklı olacağına ilişkin hükümlerin de iptali isteniyor.
CHP'nin iptalini istediği diğer hükümler
"Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerinden, sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hallerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir."
"Devlet sırrı niteliğindeki bilgi ve belgeler hariç, veri sorumlusu, Kurulun, inceleme konusuyla ilgili istemiş olduğu bilgi ve belgeleri on beş gün içinde göndermek ve gerektiğinde yerinde inceleme yapılmasına imkan sağlamak zorundadır" düzenlemesindeki, "devlet sırrı niteliğindeki bilgi ve belgeler hariç" ibaresi,
"İşlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebilir."
"Bu Kanun hükümleri aşağıdaki hallerde uygulanmaz: Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi. Kişisel verilerin milli savunmayı, milli güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi."
Sağlık hizmeti alanların kişisel verileri
Sağlık Bakanlığı ve Bağlı Kuruluşların Teşkilat ve Görevleri Hakkında Kanun Hükmünde Kararnameye eklenen şu hükümlerin de iptali talep ediliyor:
"Sağlık hizmeti almak üzere, kamu veya özel sağlık kuruluşları ile sağlık mesleği mensuplarına müracaat edenlerin, sağlık hizmetinin gereği olarak vermek zorunda oldukları veya kendilerine verilen hizmete ilişkin kişisel verileri işlenebilir.
Sağlık hizmetinin verilmesi, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması ve maliyetlerin hesaplanması amacıyla Bakanlık, birinci fıkra kapsamında elde edilen verileri alarak işleyebilir. Bu veriler, Kişisel Verilerin Korunması Kanunu'nda öngörülen şartlar dışında aktarılamaz.
Bakanlık, ikinci fıkra gereğince toplanan ve işlenen kişisel verilere, ilgili kişilerin kendilerinin veya yetki verdikleri üçüncü kişilerin erişimlerini sağlayacak bir sistem kurar.
Üçüncü fıkraya göre kurulan sistemlerin güvenliği ve güvenilirliği ile ilgili standartlar Kişisel Verileri Koruma Kurulunun belirlediği ilkelere uygun olarak Bakanlıkça belirlenir. Bakanlık, bu Kanun uyarınca elde edilen kişisel sağlık verilerinin güvenliğinin sağlanması için gerekli tedbirleri alır. Bu amaçla, sistemde kayıtlı bilgilerin hangi görevli tarafından ne amaçla kullanıldığının denetlenmesine imkan tanıyan bir güvenlik sistemi kurar.
Sağlık personeli istihdam eden kamu kurum ve kuruluşları ile özel hukuk tüzel kişileri ve gerçek kişiler, istihdam ettiği personeli ve personel hareketlerini Bakanlığa bildirmekle yükümlüdür.
Kişisel sağlık verilerinin işlenmesi, güvenliği ve bu maddenin uygulanması ile ilgili diğer hususlar Bakanlıkça yürürlüğe konulan yönetmelikle düzenlenir."