Kişisel Verilerin Korunmasına İlişkin Anayasa Mahkemesi Kararı

Kişisel verilerin korunması, sadece “bir gizlilik meselesi” değil; bireyin onuru, özgürlük alanı ve güven duygusu ile doğrudan bağlantılı bir anayasal güvencedir. Bu nedenle Kişisel Verilerin Korunmasına İlişkin Anayasa Mahkemesi Kararı ifadesi, tek bir kararı değil; Anayasa Mahkemesinin (AYM) hem norm denetimi (kanunların Anayasa’ya uygunluğu) hem de bireysel başvuru (hak ihlali iddiası) alanında geliştirdiği yaklaşımı anlatır. Uygulamada KVKK süreçleri, idari yaptırımlar, ceza soruşturmaları, kamu kurumlarının veri işlemesi ve özel sektör uyumu aynı başlık altında kesişir. Bu yazıda AYM’nin güncel çizgisini, hangi testleri kullandığını, hangi durumlarda ihlal tespitine gittiğini ve kurumların/kişilerin hangi adımlarla risklerini azaltabileceğini, pratik odaklı şekilde ele alacağız.

Anayasa’da Kişisel Verilerin Korunması Hakkının Çerçevesi

Anayasal düzeyde kişisel verilerin korunması, özel hayata saygı kapsamında değerlendirilir ve bireye “kişisel verilerinin korunmasını isteme” yönünde bir hak tanır. Bu hak, verinin işlenmesi, saklanması, aktarılması ve silinmesi gibi tüm yaşam döngüsünü kapsar. AYM incelemelerinde genellikle şu sorular öne çıkar: Müdahalenin kanuni dayanağı var mı, kural öngörülebilir mi, amaç meşru mu ve müdahale ölçülü mü? Burada ölçülülük; elverişlilik, gereklilik ve orantılılık alt testleriyle somutlaşır. Hak yalnızca “devletin karışmaması” ile sınırlı değildir; devletin, veri ihlali yaşandığında etkili başvuru yolları kurması ve bunları işlevsel işletmesi de beklenir. Bu yaklaşım, hem kamu otoritelerini hem de özel sektör veri sorumlularını dolaylı biçimde etkileyen bir standart üretir.

AYM Karar Türleri: Norm Denetimi ve Bireysel Başvuru

AYM’nin kişisel veriler alanındaki içtihadı iki kanaldan ilerler. Norm denetimi kararlarında Mahkeme, bir kanun hükmünün Anayasa’ya uygun olup olmadığını soyut düzeyde inceler; yani “kuralın yapısı” ve “güvenceleri” merkezdedir. Bireysel başvuruda ise somut olayın nasıl yürütüldüğü, başvurucunun hangi hak kaybına uğradığı ve idarenin/mahkemelerin gerekçelendirme kalitesi ön plana çıkar. Bu ayrım, pratikte şu sonucu doğurur: Bir düzenleme Anayasa’ya uygun bulunsa bile, o düzenlemenin uygulanışı somut olayda ihlal doğurabilir. Dolayısıyla uyum çalışmaları yalnız metin odaklı değil, süreç (log, erişim yetkisi, denetim izi, şikâyet yönetimi) odaklı kurgulanmalıdır.

Güncel Eğilim: KVKK Değişiklikleri ve AYM’nin Yaklaşımı

Kişisel veriler alanında yakın dönemde en çok izlenen başlıklardan biri, KVKK’da yapılan değişikliklerin Anayasa’ya uygunluk denetimidir. AYM’nin 10/07/2025 tarihli ve E.2024/98, K.2025/149 sayılı kararında; KVKK’nın özel nitelikli kişisel verilerin işlenmesi ile yurt dışına aktarım ve bazı idari para cezası çerçevelerine ilişkin iptal taleplerinin reddedildiği görülür. Mahkeme bu tür dosyalarda, kuralın hangi ihtiyaçla getirildiğini, hangi güvenceleri içerdiğini ve belirsizliğe yol açıp açmadığını yoğun biçimde tartar. Buradaki kritik nokta şudur: AYM, “veri işlenebilir” demekten çok, hangi şartlarla ve hangi dengeyle işlenebileceğine bakar; yani kuralın kapsamı, sınırlama mekanizmaları ve denetlenebilirliği belirleyicidir.

Bu karar pratikte neyi değiştirir?

Norm denetiminde iptal çıkmaması, kurumların “rahatlaması” anlamına gelmez. AYM’nin ret gerekçeleri genellikle “kuralın anayasal çerçevede kalabildiği” yönündedir; ancak uygulamada veri minimizasyonu (gereken kadar veri), amaçla bağlılık, saklama süresi ve erişim yetkileri zayıfsa, bireysel başvuruda ihlal riski devam eder. Ayrıca KVKK uyumunda artık sadece aydınlatma metni ve açık rıza toplamak değil; aktarımı belgeleme, risk analizi, etki değerlendirmesi ve olay müdahale planı gibi operasyonel kontroller daha belirleyici hale gelmiştir.

Sağlık Verileri ve Hassas Nitelikli Veriler: İhlal Tespitinde Etkili Soruşturma Standardı

AYM’nin bireysel başvuru kararlarında sağlık verileri gibi özel nitelikli kişisel veriler (kişiyi ayrımcılığa açık hale getirebilen, mahremiyeti yüksek veri) özel bir hassasiyetle ele alınır. Özellikle verinin hukuka aykırı şekilde ele geçirilmesi, yayılması veya üçüncü kişilerin erişimine açılması iddiasında Mahkeme, yalnızca “ihlali yapan kim” sorusuna değil; devletin iddiayı etkili biçimde soruşturup soruşturmadığına odaklanır. Bu yaklaşım, hak ihlali iddialarında kamu makamlarının pasif kalmasının da ihlal doğurabileceği anlamına gelir. Nitekim AYM’nin 2026 yılına ait bir bireysel başvuru duyurusunda, kişisel veri niteliğindeki sağlık bilgilerinin hukuka aykırı şekilde ele geçirilmesine dair iddianın etkili kovuşturulmadığı gerekçesiyle ihlal sonucuna varıldığı açıklanmıştır.

Kuruma şikâyet mi, savcılık mı, dava mı? Başvuru sıralaması

Uygulamada en sık hata, yanlış kanala başvurmak veya kanallar arası süre ve delil yönetimini kaçırmaktır. Kural olarak KVKK bakımından Kurul süreci idari denetim ve yaptırım boyutunu taşırken, veri ihlali aynı zamanda suç teşkil ediyorsa savcılık şikâyeti gündeme gelebilir. Ayrıca somut zararın tazmini hedefleniyorsa hukuk davası seçenekleri değerlendirilir. Sağlık verisi gibi yüksek riskli verilerde, ilk anda ekran görüntüsü, log kaydı talebi, erişim izi ve yazışmalar gibi delillerin toplanması kritik olur. AYM çizgisinde “etkili başvuru” mantığı bulunduğundan, başvurunun şekli kadar somutlaştırma (ne oldu, ne zaman oldu, hangi veri, hangi risk) da belirleyicidir.

Kamu Güvenliği, Gözetim ve Dijital Kayıtlar: Ölçülülük ve Gerekçelendirme

Kişisel verilerin korunması tartışması, kamu güvenliği ve kamu düzeni gerekçesiyle yürütülen veri işlemede daha karmaşık hale gelir. Kamera kayıtları, kurumsal erişim logları, konum verisi, kimlik doğrulama kayıtları gibi kategorilerde AYM’nin beklentisi; müdahalenin “genel ve sınırsız” olmaması, belirli bir amaçla sınırlandırılması ve denetlenebilir bir prosedüre bağlanmasıdır. Özellikle süre sınırlaması (saklama süresi), erişim yetkisinin kademelendirilmesi (need-to-know) ve işlemenin izlenebilirliği (audit trail) yoksa, müdahale ölçüsüz kabul edilebilir. Bu başlıkta kurumların en çok gözden kaçırdığı nokta, “teknik olarak mümkün” olanın “hukuken meşru” olmadığıdır; AYM değerlendirmesinde gerekçe kalitesi ve alternatif daha hafif araçların olup olmadığı kritik rol oynar.

Uygulamada Sık Yapılan Hatalar ve Risk Yönetimi

AYM’nin genel yaklaşımı, kişisel veriyi “tek seferlik” değil “süreklilik arz eden” bir risk alanı olarak görmeyi zorunlu kılar. Bu nedenle uyum, bir dosya teslimi değil; yaşayan bir iç kontrol sistemidir. Aşağıdaki hatalar, hem KVKK yaptırımı hem de bireysel başvuruda ihlal riskini büyütür:

• Belirsiz amaç: “Hizmet kalitesi” gibi muğlak ifadelerle geniş kapsamlı veri işleme.
• Aşırı veri toplama: İş için gerekli olmayan veri alanlarının zorunlu tutulması.
• Süre yönetimsizliği: Saklama sürelerinin tanımsız olması veya otomatik imha/silinme akışının kurulmaması.
• Erişim kontrol zafiyeti: Yetki matrisi olmadan personelin geniş erişimle çalışması.
• İhlal anında refleks eksikliği: Olay müdahale planı, bildirim senaryosu ve delil koruma adımlarının olmaması.

Bu hatalar genellikle “niyet kötü” olduğu için değil, süreç yönetimi kurulmadığı için ortaya çıkar. AYM perspektifinde ise sonuç odaklı değerlendirme ağır basar: Veri ihlali gerçekleştiyse ve etkili telafi kanalları işletilmediyse, ihlal tespitine yaklaşılır.

Kurumsal Uyum İçin Kontrol Listesi

Kamu kurumu veya özel sektör fark etmeksizin, AYM çizgisiyle uyumlu bir veri yönetişimi için asgari kontrol seti şu şekilde kurulmalıdır. Bu liste, “kâğıt üzerindeki uyum” yerine, denetlenebilir bir pratik oluşturmayı hedefler:

• Veri envanteri: Hangi birim hangi veriyi, hangi amaçla işliyor; akış şemasıyla netleştirin.
• Hukuki dayanak matrisi: Açık rıza, sözleşme, hukuki yükümlülük, meşru menfaat gibi dayanakları veri türü bazında eşleyin.
• Özel nitelikli veri protokolü: Sağlık verisi gibi veriler için ayrı erişim, şifreleme ve kayıt politikası uygulayın.
• Aktarım yönetimi: Yurt dışı aktarım senaryolarını sözleşme, risk ve kayıt düzeniyle belgelendirin.
• Log ve denetim izi: Kim erişti, neyi gördü, ne zaman yaptı sorularını cevaplayan iz sistemi kurun.
• Şikâyet ve ihlal akışı: Başvuru kanalı, süreler, iç soruşturma ve bildirim adımlarını tek prosedürde toplayın.

Bu yapı kurulduğunda, olası bir uyuşmazlıkta “kurum özen yükümlülüğünü yerine getirdi mi?” sorusuna somut delillerle cevap verme imkânı doğar; bu da hem idari süreçlerde hem de yargısal incelemede belirleyici olabilir.

Sıkça Sorulan Sorular

AYM’nin kişisel veri kararları KVKK’yı doğrudan değiştirir mi?

Norm denetimi kararlarında AYM, kanun hükmünü iptal ederse düzenleme değişir veya yürürlükten kalkar. Ancak birçok dosyada iptal yerine ret kararı görülebilir. Ret kararı KVKK’yı değiştirmese de, AYM’nin gerekçesinde ortaya koyduğu “kanunilik, belirlilik, ölçülülük” standardı uygulamada yol gösterici olur.

Kişisel verim sızdırıldıysa sadece KVKK Kuruluna mı gitmeliyim?

Her olay tek kanallı değildir. Olayın niteliğine göre Kurul başvurusu idari denetim yönünü, savcılık şikâyeti ceza yönünü, tazminat davası ise zararların giderilmesi yönünü gündeme getirebilir. Kritik olan, delilleri erken toplamak ve başvuruyu somutlaştırmaktır.

Sağlık verileriyle ilgili ihlallerde AYM neden daha hassas?

Sağlık verileri, ayrımcılık ve mahremiyet riskini artıran özel nitelikli verilerdendir. Bu nedenle AYM, sadece ihlalin varlığına değil, ihlal iddiası karşısında kamu makamlarının etkili bir soruşturma yürütüp yürütmediğine de bakar.

Kurumlar AYM riskini azaltmak için en hızlı neyi düzeltmeli?

En hızlı etki yaratan adımlar; veri envanteri ve hukuki dayanak matrisi oluşturmak, özel nitelikli veriler için ayrı güvenlik protokolü kurmak, erişim yetkilerini daraltmak ve log-denetim izini çalışır hale getirmektir. Bu adımlar, “ölçülülük” ve “denetlenebilirlik” beklentisini karşılamada pratik avantaj sağlar.