6698 sayılı Kişisel Verilerin Korunması Kanununun (“KVKK”) yayımlanması ile özel hayatın gizliliği esas alınmak suretiyle bireye ilişkin pek çok temel hak ve özgürlük koruma altına alınmaktadır. Nitekim KVKK’ nın amacı gerçek kişilerin mahremiyetlerine önem verilmek suretiyle verilerin korunması ve bu hususun da sağlanması için veri süreçlerine dahil olan gerçek ve tüzel kişilere uymaları gereken usul ve esasların gösterilmesidir.
Kanunda, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” kişisel veri olarak nitelendirilirken, hangi bilgilerin kişisel veri olacağı hakkında bir sınırlama getirilmemiş olup kişinin belirlenebilir olmasını sağlayan her bilgi kişisel veri olarak nitelendirilmiştir.
Örneğin, bir seminer/eğitim sırasında tek bir kişinin sarı saçlı olması durumunda “sarı saç” nitelendirmesi kişiyi belirlenebilir kılmakta iken, daha kalabalık bir ortamda birden fazla kişinin sarı saçlı olması halinde aynı bilgi kişisel veri niteliğini haiz olmayacaktır. Bu konuda Yargıtay 12. Ceza Dairesinin 2013/9043 Esas, 2014/151 Karar sayılı kararı uyarınca; “(…) kişinin kimliğini belirleyen veya belirlenebilir kılan, kişiyi toplumda yer alan diğer bireylerden ayıran ve onun niteliklerini ortaya koymaya elverişli, gerçek kişiye ait her türlü bilginin anlaşılması gerekir; ancak, herkes tarafından bilinen ve/veya kolaylıkla ulaşılması ve bilinmesi mümkün olan kişisel bilgiler, yasal anlamda “kişisel veri” olarak değerlendirilemez, (…)” 2 denilmek suretiyle kişisel verinin kişiyi diğer insanlardan ayıran her türlü bilgi olduğu görülmektedir. Dolayısıyla, bir verinin kişisel veri olup olmadığını belirlerken her bir birey için durum bazında değerlendirme yapılması gerektiği sonucu ortaya çıkmaktadır.
KVKK kapsamında kişisel veri işleme faaliyetini gerçekleştiren gerçek veya tüzel kişilere veri sorumlusu; verisi işlenen gerçek kişiye de ilgili kişi denmektedir. KVKK’nın 5.maddesi uyarınca veri sorumluları kişisel veri işleme faaliyetini gerçekleştirmek için ilgili kişiden açık rıza almalıdırlar. Kanun koyucu, her durumda açık rıza almanın zorluk teşkil ettiğinden bahisle, veri işleme faaliyetine meşruluk kazandırmak adına hukuka uygunluk halleri düzenlemiştir. Kanunun 5.maddesinin 2. Fıkrasında hukuka uygunluk halleri sayılmıştır. Bunlar;
“a) Kanunlarda açıkça öngörülmesi. b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması. c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması. ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması. d) İlgili kişinin kendisi tarafından alenileştirilmiş olması. e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması. f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması”
Belirtilen hukuka uygunluk hallerinin birinin varlığı halinde ilgili kişiden açık rıza alınmaksızın kişisel verisi işlenebilecektir. Burada önemle belirtilmesi gereken husus, hukuka uygunluk hallerinin birinin bulunmasına rağmen ilgili kişiden açık rıza alınmasının dürüstlük kuralına aykırılık oluşturacağı ve hakkın kötüye kullanımı teşkil edeceğidir. Dolayısıyla, her veri işleme faaliyetinde ilk olarak hukuka uygunluk hallerinin oluşup oluşmadığına bakılmalı, işleme faaliyetinin hukuka uygunluk hallerine ilişkin hiçbir fıkra ile ilişkilendirilememesi durumunda ilgili kişiden açık rıza alınmalıdır. Örneğin, ticari ilişkinin yürütülmesi amacı ile imzalanan sözleşmeler kapsamında, sözleşme taraflarının kimlik bilgilerinin öğrenilmesi “bir sözleşmenin 3 kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” hukuki sebebinin gerekliliğidir. Dolayısıyla, sözleşme taraflarının kimlik bilgilerini öğrenmek için birbirlerinden açık rıza almaya çalışmaları hem büyük bir zorluk teşkil etmekte hem de kanunun ruhuna aykırılık oluşturmaktadır. Başka bir örnek vermek gerekirse, şirketlerin genel kurul süreçlerinin yürütülmesi amacıyla şirket yetkililerinin kimlik bilgilerinin alınması ve yetkili kamu kurum ve kuruluşlara aktarılması “kanunlarda öngörülmesi” kapsamında sayılacaktır.
Kanun koyucu genel olarak kişisel veri tanımı yapıp hukuka uygunluk hallerini belirledikten sonra korunma alanının daha fazla sağlanmasının gerekli olduğu özel nitelikli kişisel verilerin tanımını yapmıştır. Özel nitelikli kişisel veriler, öğrenildiği zaman ilgili kişilerin ayrımcılığa uğramasına veya mağdur olmalarına yol açacak verilerdir. KVKK’nın 6.maddesi uyarınca “kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri” özel nitelikli kişisel veri olarak belirtilmektedir. Özel nitelikli kişisel verilerin ilgili kişinin açık rızası olmadan işlenemeyeceği hüküm altına alınmışsa da 6.maddede özel nitelikli kişisel verilerin işlenmesindeki hukuka uygunluk halleri sayılmıştır. “Sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.” denilerek sağlık ve cinsel hayata ilişkin veriler, KVKK’da sayılan diğer özel nitelikli kişisel verilere nazaran daha sıkı işlenme şartlarına tabi tutulduğu görülmektedir. Kanun koyucunun özel nitelikli kişisel verileri bu denli koruma altına almasının nedeni, özellikle ülkemizde bireylerin özel 4 hayatına ilişkin bilgilerinin umursanmadan ve önemsenmeden alınıp yeri geldiğinde de ilgili kişinin rızasını almadan bilgilerin geniş kitlelere yayılabilmesinden kaynaklanmaktadır. Özellikle sağlık verileri ile ilgili KVKK kapsamında çok sıkı korunma şartların öngörülmesi, işverenler karşısında söz sahibi olamayan işçilerin hukuki tabanda artık korunabilmelerini sağlamaktadır.
Örneğin, bir işçiye ait sağlık verilerinin sadece işyeri hekiminin görmesi gerekirken, şirketteki diğer çalışanların görmesinde kamu sağlığını tehdit eden bir durum yok ise bir menfaat bulunmamaktadır.
Kişisel Verileri Koruma Kurul’un (“Kurul”) 05.12.2018 tarihli 2018/143 sayılı kararı uyarınca “Doktor kontrolünde ilaç kullanan ilgili kişinin, özel nitelikli bu sağlık verisinin ilaçların temin edildiği eczane tarafından herhangi bir işleme şartına dayanmadan üçüncü kişiyle paylaşılması hususunda Kuruma yapılan şikâyet başvurusu hakkında;
(…) Bu kapsamda, doktor kontrolünde ilaç kullanan ilgili kişinin sağlığı ile ilgili özel nitelikli kişisel verilerinin, ilaçları temin ettiği eczane tarafından 6698 sayılı Kişisel Verilerin Korunması Kanununun 8 inci maddesinde sayılan şartlar sağlanmadan üçüncü kişiyle paylaşılmasının Kanunun 12 nci maddesinin (4) numaralı fıkrasına aykırılık teşkil etmesi nedeniyle veri sorumlusu eczane hakkında Kanunun 18 inci maddesi uyarınca idari para cezası uygulanmıştır.” 3 Görülmektedir ki, sağlık verileri yalnızca KVKK’ nın 6.maddesinde belirtilen hukuka uygunluk hallerinden birinin varlığı hallerinde işlenebilecek ve aktarılabilecektir. Dolayısıyla, işe alım ve işe devam süreçlerindeki yanlış uygulamaların önüne geçilmesi gerekmektedir. Başka bir örnek verilecek olursa, çalışanların işe girişte adli sicil kayıtlarının işveren tarafından istenmesi ve bu kayıtların özlük dosyalarında saklanmasında veri sorumlusu olan işverenin bir menfaati bulunmamaktadır. Nitekim, işe girerken adli sicil kaydını veren çalışan o an suç işlememiş olsa bile ertesi gün işleyebilecek haldedir. Kısacası, herhangi bir güncel değeri olmayan adli sicil kayıtlarının özlük dosyalarında saklanmaması gerekmektedir. İşverenlerin, KVKK’nın yarattığı koruma şemsiyesi altında bulunan özel nitelikli kişisel verileri işlemelerine gerçekten ihtiyaçları olup olmadığı konusunda bir değerlendirme yapmaları sonucunda pek çok verinin aslında ihtiyaç olunmadan işlendiği görülecektir ki bu da veri minimizasyonu ilkesine aykırılık teşkil edecektir. Dolayısıyla, KVKK’nın öngördüğü düzenlemelere karşılık, iç hukukta da uygun güvenceler sağlanmalı, sair kanunlarda işlenmenin zorunlu olarak öngörüldüğü pek çok özel nitelikli kişisel verinin beyana dayalı olarak öğrenilmesinin yeterli olacağı hüküm altına alınmalıdır.
KVKK’nın yürürlüğe girmesi ile birlikte gündeme gelen her konuda pek çok tartışma mevcutken bunlardan biri özel nitelikli kişisel veriler hakkında açık rıza aranmasının gerek olmadığı hukuka uygunluk sebepleri ile ilgilidir. Bir kısım görüş, 6.maddede belirtilen hukuka uygunluk hallerden birinin varlığı bulunsa bile 5.maddede belirtilen genel hukuka uygunluk hallerinden birinin de bulunması kısacası iki maddedeki hallerin beraber uygulanması görüşündedir. Bu durumla ilgili olarak söylenmesi gereken husus ise, özel nitelikli kişisel verilerin (özellikli sağlık ve cinsel hayat ile ilgili olanların) hukuka uygunluk hallerinin sınırlı olarak belirlenmesi karşısında tekrardan 5.maddede sayılan hukuka uygunluk hallerinin birinin daha aranması özel nitelikli kişisel verilerin açık rızasız işlenemeyecek olmalarına yol açacaktır.
Öğretideki tartışmalardan bir diğeri ise özel nitelikli kişisel verilerin yalnızca KVKK’da sayılanlardan mı ibaret olduğu konusundadır. Kurul yayınladığı rehberlerinde, özel nitelikli kişisel verilerin sınırlı sayıda olduğu ve kıyas yoluyla genişletemeyeceği görüşünü benimsemektedir. 4Özel nitelikli kişisel verilerin “numerus clausus” olduğu ilgili maddede ve gerekçesinde belirtilmemişken, yapılan bu sınırlama çeşitli olumsuzlukları da beraberinde getirmektedir. Zira 6.maddenin gerekçesinde “Kanunun 6 ncı maddesinin (1) numaralı fıkrasında; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veri olarak düzenlenmektedir. Burada, sayılan kişisel verilerin, başkaları tarafından öğrenildiği takdirde ilgili kişinin mağdur olabilmesine veya ayrımcılığa maruz kalabilmesine neden olabilecek nitelikte veriler olmaları dikkate alınmakta ve bu sebeple bu türden veriler özel nitelikli (hassas) veri olarak kabul edilmektedir.” 5denilerek özel nitelikli kişisel verilerin aslında sınırlı sayıda olmadığı “bu türden verilerin özel nitelikli (hassas) veri” olduğu düşünülmektedir. Bu kapsamda 6.maddenin lafzına ve gerekçesine bakıldığında, özel nitelikli kişisel verilerin sınırlı sayıda olmadığının kabul edilebileceği düşünülmektedir. Türkiye’de toplumsal cinsiyet kavramının ön planda olduğu ve toplumda kadın-erkek rollerinin kalıplaşmış olarak belirlendiği düşünüldüğünde özel nitelikli veri kategorisinde sayılmayan kişinin cinsiyetinin veya medeni halinin öğrenildiği anda -istisnai haller haricinde- cinsel tercihinin de ortaya çıktığı sonucuna varılması veya bu veriler kapsamında ayrımcılığa uğraması söz konusu olacaktır. Kişinin ayrımcılığa uğrayacağı düşüncesinin yanı sıra, medeni hal veya cinsiyet bilgilerinin paylaşılması, kişinin cinsel tercihine ilişkin olarak da kesinlik yaratmasa da öğrenildiği takdirde ilgili kişinin mağdur olabilmesine veya ayrımcılığa maruz kalabilmesine neden olabilecek türden bir işleme faaliyeti ortaya çıkaracağı açıktır. Kanun koyucu tarafından özel nitelikli kişisel veriler ile özellikle korunmak istenen menfaat, ilgili kişinin ayrımcılığa uğramasını önlemek olması sebebiyle özel nitelikli kişisel verilerin sınırlı sayıda olmasının kanun koyucunun yaratmak istediği amaçla çeliştiği düşünülmektedir. Bu durum sebebiyle medeni hal veya cinsiyet bilgilerinin de özel nitelikli kişisel veri sayılması gerekmektedir. Başka bir açıdan bakacak olunursa, yapılan anket uygulamalarının çoğunda cinsiyet kısmı için “diğer” seçeneği mevcuttur. Dolayısıyla, “diğer” seçeneğini işaretleyen kişilerin bu verisi başkaları tarafından öğrenildiğinde ayrımcılığa maruz kalacağı kabul edilmemesine rağmen Türkiye şartlarında bu eylemin de özel nitelikli kişisel veri işleme faaliyeti olarak olası nitelendirilmesi gerekmektedir. Her ne kadar Kurul’un yayınladığı rehberlerde özel nitelikli kişisel verilerin kıyas yoluyla genişletilemeyeceği belirtilmiş olunsa da kılık-kıyafetin kişinin kendi alenileştirdiği bir veri olması ve bu verinin özel nitelikli kişisel veri sayılması karşısında cinsiyet ve medeni halin de evleviyetle özel nitelikli kişisel veri olarak kabul edilmesi gerekmektedir. Örnek vermek gerekirse, bir kişinin fotoğrafı kişinin kendi dinini ya da etnik kökenini ortaya çıkardığı takdirde bu veri özel nitelikli kişisel veri sayılmalıdır. 6 Bu değerlendirme kişiden kişiye ve verinin işlenme amacına göre yapılmalıdır. Dolayısıyla kanunda özel nitelikli veri sayılmayan “uyruk” bilgisinin de kişinin kendi milliyetini bazı dış etkenlerle bir bütünlük oluşturarak ortaya çıkaracağından, özel nitelikli kişisel veri sayılması gerekmektedir. Özel nitelikli kişisel verilerin tespitinde her kişi için farklı hususlar hassas veri sayılabileceğinden, bir işleme faaliyet ile herkes için farklı sonuçların ortaya çıkması gibi bir durum söz konusu olacaktır. Dolayısıyla veri sorumluları veri işleme süreçlerini ve veri işlemedeki amaçlarını düşünerek bir verinin özel nitelikli olup olmadığına karar verme konusunda “sınırlı sayı” ilkesine tabi oldukları sürece gözden kaçırılan pek çok özel hayatın gizliliği ihlali doğabilecektir.
Karşılaştırmalı hukukta, KVKK’dan farklı olarak, genel olarak tüm kişisel veriler için değil yalnızca özel nitelikli kişisel verilerin işlenmesi için açık rıza aranacağı öngörülmektedir. Bu açıdan bakıldığında, KVKK’nın Avrupa Birliği düzenlemelerine nazaran kişisel veriler kapsamında daha çok koruma öngördüğü söylenebilmektedir7. Ek olarak, özel nitelikli kişisel verilerin neler olduğuna dair de farklı düzenlemeler mevcuttur. Avrupa Veri Koruma Tüzüğünde (GDPR) “hassas veri” kavramı, temel hakları ve özel hayatın gizliliğini ihlal eden veriler olarak tanımlanmaktadır. 8 Bu tanımda hassas veriler için sınırlayıcı bir yaklaşım benimsenmemiş olsa da 8.maddenin 1.fıkrasında “ırksal ve etnik kökene, siyasal görüşlere, dini ve felsefi inançlara, sendika üyeliğine, sağlık durumuna ve cinsel yaşama” ilişkin veriler hassas veri olarak kabul edilmektedir. Ek olarak aynı maddenin 5.fıkrasında sayılan “suçlar, mahkumiyetler ve güvenlik tedbirleri ile ilgili veriler” de hassas veri olarak nitelendirilmiştir. İlgili maddede sayılanların da sınırlı sayıda olduğu söylense de GDPR’ ın giriş kısmında hassas verilerin temel hak ve özel yaşamı sınırlayan veriler olarak tanımlanmasından dolayı yorum yoluyla hassas veriler genişletilebilmektedir. Ancak KVKK’ da özel nitelikli kişisel veri tanımında biraz daha kısıtlayıcı bir yol izlenerek sadece sınırlı sayıdaki verilerin işlenmesi sonucu kişinin ayrımcılığa veya mağdur olmasına neden olacak verilerin özel nitelikli sayılacağı belirtilmiştir. İki düzenleme arasındaki en büyük fark, GDPR’da dernek ve vakıf üyeliğinin özel nitelikli kişisel veri olarak sayılmamasıdır. Bunun sebebi ise Türkiye’de iş hukuku kapsamında işçinin konumundan bahisle dernek veya vakıf üyeliği bilgisinin öğrenilmesinin kişiler arasında ayrımcılık yaratabileceği düşüncesidir. Düzenlemeler arasındaki farklılıkların sebebinin ülkelerin içinde bulunduğu durum şartlardan dolayı olaylara bakış açısından kaynakladığı söylenebilmektedir. Dolayısıyla, mehaz kanun ya da sair düzenlemelerde yer alan tanımlar ve kavramlar Türkiye’deki somut şartlar düşünülerek iç hukuka alınmalıdır. Örnek vermek gerekirse, İzlanda’nın veri koruma kanununda “ten rengi” ve “alkol, tıbbi ilaç ve uyuşturucu kullanımı”, İngiltere kanunlarında “işlenilen ya da işlenildiği iddia edilen suçlar” hassas veri olarak kabul edilmektedir. 9Avrupa Birliği ülkeleri arasında hassas veri türleri açısından pek çok farklılık bulunduğu görülmesinin sebebi ülkelerin bu belirlemeyi yaparken kendi ideolojilerini esas almalarından kaynaklanmaktadır. Dolayısıyla, özel hayata müdahale edebilecek olan hassas veri türleri her olaya göre farklılık gösterebileceğinden dolayı tüm düzenlemeler bakımından hassas verileri sınırlı sayıda tutmak, temel hak ve özgürlükleri ve özel hayatın gizliliğini koruma amacına aykırılık oluşturmaktadır.
Özel nitelikli kişisel verilerin değerlendirilmesi kapsamında pek çok ülkedeki yargı mecraları nitelendirme konusunda sorunlar yaşamaktadır. Örneğin, İngiltere’de Naomi Campbell v MGN davasında, Mahkeme Naomi Campbell adlı kadının fotoğrafların yayınlanmasını kendisinin ten rengini ortaya çıkardığı için özel nitelikli kişisel veri tartışması yapmıştır. Ancak mahkemenin vardığı sonuç, her ne kadar ırksal kökenle ilgili bir bilgi paylaşımı olduğu görülse de fotoğrafları yayınlamanın amacı karşısında önem arz etmediğine, ilgili kişinin siyahi bir manken olmaktan gurur duyduğu ve fotoğraf çekilmenin mesleğinin bir parçası olması dolayısıyla, ten renginin özel nitelikli kişisel veri sayılmayacağı olmuştur. 10 Somut olayda, veri sahibinin manken olması ve nitekim işi gereği fotoğraflarının çekilmesi ve yayınlanmasına rıza göstermesi olağan hayatın akışına uygun olduğu için ten renginin özel nitelikli kişisel veri sayılmayacağı kabul edilebilir bir yaklaşımdır. 11 Dolayısıyla, ilgili kişiden elde edilen veri ve bu verinin işleme amacı beraber değerlendirilmek suretiyle işlenen verinin özel nitelikte olup olmadığı sonucuna varılmalıdır. KVKK kapsamında özel nitelikli olarak belirlenmiş verilerin sınırlı olduğu ve kıyas yoluyla genişletilemeyeceği yorumunu yapmak, iç hukuka acele bir şekilde alınan kanunun yeniden düzenleme ihtiyacı olduğunu göstermektedir. Verilen örnekte olduğu gibi kişinin siyah tenli olması somut durum açısından özel nitelikli sayılmasa da dış görünüşün önem arz etmediği bir mesleğe kabul edilebilmek için yapılan iş görüşmesinde işçinin ten rengi bilgisinin istenmesi temel hak ve özgürlüklere aykırılık oluşturacağından işlenmemesi gereken bir özel nitelikli kişisel veri sayılacaktır. Uluslararası ve ulusal düzenlemeler kapsamında özel nitelikli kişisel verilerin bu denli korunmasının yegane amacının kişinin temel hak ve özgürlükleri ve özel hayatının gizliliğinin ihlalinin önlenmesi olduğu düşünüldüğünde, özel nitelikli kişisel verileri içinde barındıran unutulma hakkının iç hukukta uygulanabilirliğinin zorluğu büyük bir eksiklik oluşturmaktadır. Kıta Avrupası’nın hukuk düzenlemelerinde unutulma hakkının düzenlenmesinde İsviçre Federal Mahkemelerinin büyük bir etkisi bulunmaktadır. Unutulma hakkı, medya yoluyla şeref, onur ve haysiyeti zedelenen kişilerinin kendi bilgi güvenliklerini sağlamak amacıyla ortaya konan bir hak olarak düzenlenmiş olup özel hayatın gizliliği ile yakından ilgilidir 12. Yargı organları unutulma hakkının sınırını belirlerken, kişinin bilgilerinin erişime açılmasındaki kamu yararı kıstasını esas almaktadırlar. Bu kapsamında, eğer bir suçlunun hangi suçu ne zaman ve ne şekilde işlediğinin kamunun öğrenmesinde bir yarar bulunmakta ise burada artık unutulma hakkının kullanılabilmesinden bahsedilemeyecek, kamu yararı özel hayatın gizliliğine nazaran korunan bir menfaat olacaktır. Ancak güncelliğini yitirmiş olaylar söz konusuysa kişinin unutulma hakkı devreye girecektir. Nitekim, kişinin adının soyadının, fotoğrafının yer aldığı haberler bakımından bu husus önemli bir rol oynayacaktır. Türkiye’deki basın mecralarının haberleşme özgürlüğü çerçevesinde yaptığı haberler ve yayınlar kapsamında artık güncelliğini yitirmiş ve kamunun bilmesinde yarar olmayan durumların unutulma hakkı kapsamında internet ortamında kaldırılması gerekmektedir. Bir kişinin fotoğrafının çekilmesi veya görüntüsünün kaydedilmesi özel nitelikli bir veri işleme faaliyeti sayılıp işlenmesinin açık rızaya bağlı olması karşısında; kimlik bilgisinin, görüntünün ve ceza mahkumiyetinin erişebilir olduğu gazete yayınlarında erişimin engellenmesi hususunda iç hukukta pek çok zorlukla karşılaşılmaktadır. Bu zorluklardan biri bilgiye erişim hürriyeti ve basın özgürlüğü ile kişinin özel hayatının gizliliği arasındaki dengenin oluşturulamamasıdır. Bunun sebebi ise unutulma hakkının sınırlarının net bir şekilde belirlenmemesinden kaynaklanmaktadır.
Sonuç olarak, olması gereken hukuk açısından başkaları tarafından öğrenilmesi halinde ayrımcılığa yol açacak olan özel nitelikli kişisel verilerin belirlenmesinde sınırlı sayı ilkesine tabi olunmaması gerekmektedir. Özel nitelikli veri türlerini ihtiva eden madde uyarınca, her somut olay açısından ayrı bir değerlendirme yapılmalıdır. Bu şekilde hem özel hayatın gizliliği korunacak hem de işlenmesinin gerek olmadığı sadece yıllardır süregelen uygulamalar nedeniyle işlenen kişisel veriler de azaltma yoluna gidilebilecektir.
12 KAYNAKÇA Mehmet Bedii Kaya, Furkan Güven Taştan, Kişisel Veri Koruma Hukuku, Mevzuat-İçtihatBibliyografya, On İki Levha Yayıncılık, 2. Baskı, İstanbul 2019 Kişisel Verileri Koruma Kurulu, Rehberler, Özel Nitelikli Kişisel Verilerin İşlenme Şartları Kişisel Verileri Koruma Kurulu, Diğer Dokümanlar, Madde Ve Gerekçesi İle Kişisel Verilerin Korunması Kanunu (Bilgi Notu) Ve Kişisel Verilerin Korunmasına İlişkin Terimler Sözlüğü Kişisel Verileri Koruma Kurulu, Kişisel Verilerin Korunması Kanunu Ve Uygulaması Nafiye Yücedağ, Medeni Hukuk Açısından Kişisel Verilerin Korunması Kanunu’nun Uygulama Alanı Ve Genel Hukuka Uygunluk Sebepleri, 2017 Cemil Kaya, Avrupa Birliği Veri Koruma Direktifi Ekseninde Hassas (Kişisel) Veriler Ve İşlenmesi, 2011 Serdar Gülener, Dijital Hafızadan Silinmeyi İstemek: Temel Bir İnsan Hakkı Olarak “Unutulma Hakkı,