BIRAKIN, KİŞİSEL VERİLERİN KORUNMASI KANUNU TASARISI SAYESİNDE MAHREM KALALIM!
Nilgün Başalp, LL.M. ve Dr. Leyla Keser Berber (Istanbul Bilgi Üniversitesi Bilişim Teknolojisi Hukuku Merkezi) tarafından kamuoyunu aydınlatma amacı ile yazılan 18 Haziran 2008 tarihli yazı BilgiEdinmeHakki.Org tarafından yayınlanmıştır.
Toplumsal yaşamda var olmanın bir parçası olarak düşünülen tüm ilişkilerimiz kişisel bilgilerimizin üçüncü kişilerle ve özellikle devletle paylaşılmasını zorunlu kılmaktadır. Devlet karşısında vergi mükellefi olmak, taşınmaz maliki olmak bu açıdan sadece birer örnektir. Ancak aynı zamanda bir dernekle kurulan üyelik ilişkileri, bir okul ya da üniversite ile kurulan öğrencilik ilişkileri, bankalar ya da şirketlerle kurulan müşteri ilişkileri kişisel verilerimizin işlenmesini zorunlu kılmaktadır. Bu bağlamda düşünüldüğünde bireyi ilgilendiren birçok sosyal etkileşim aslında kendisi hakkında veri toplanabilen bir faaliyete dönüşebilmektedir. Özellikle bilgi çağının beraberinde getirdiği hızlı ve kolay bilgi toplama/edinme olanakları düşünüldüğünde kişisel verilerin korunmasında hukuk düzenimiz önemli bir eksiklik gösterdiğini söylemeliyiz. Zira bugün çevremizin şahsımızla ilgili bildiklerini öğrenme olanağından yoksun olduğumuz gibi, kişi varlığımızı bu bilgiye sahip güçler karşısında etkin bir şekilde koruma olanağına da sahip değiliz. Mevcut hukuk düzenimiz bu korumayı sağlama noktasında yeterli değildir.
Adalet Bakanlığı Kanunlar Genel Müdürlüğü tarafından hazırlanan ve halihazırda mecliste bulunan kişisel verilerin korunması kanunu tasarısı, “amaç” bölümünde; “kişisel verilerin işlenmesinde kişinin dokunulmazlığı, maddi ve manevi varlığı ile temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin uyacakları esas ve usulleri düzenlemektir” şeklinde bir ifadeye sahiptir. Diğer bir deyimle kanunun amacı bir değer olarak kişiyi ve kişiyi belirli veya belirlenebilir kılan ve kişisel veri olarak adlandırdığımız bilgileri (kişinin kimlik bilgileri, ikamet adresi, cep telefonu, email adresi, IP numarası, cinsel tercihleri, ideolojik yaklaşımları, dini görüşleri, ırki kökeni gibi bilgileri) koruma altına almaktır.
Yasa tasarısının hazırlanmasında bu konuda AB içinde yeknesak bir hukuk düzeni yaratmaya çalışan 95/46 sayılı AT yönergesi dikkate alınmıştır. Ancak bunun ötesinde, AB ülkelerinde yürürlükte olan veri koruması yasaları da dikkate alınmaya çalışılmıştır. Bu amaçla tasarıya bakıldığında, tasarının özgürlükçü bir yaklaşımla hazırlanmaya çalışıldığını, ancak yine de bazı pürüzlerin bulunduğunu söyleyebiliriz. Tasarının getirdiği yenilikler özetle aşağıdaki gibidir:
– Kanun tasarısı; kişisel verilerin ancak bu kanunda veya diğer kanunlarda öngörülen hallerde işlenebileceği şeklinde bir düzenleme getirmektedir. Buna gore, kural olarak kişisel verilerin işlenemeyeceğini; eğer işlenecekse bunun ancak kanuna dayanarak yapılabileceği düzenlenmektedir.
– Kişisel verilerin işlenmesinde, hukuka uygunluk aranacaktır. Bunun için tasarıda 6ncı madde altında başta kişinin rızası olmak üzere ayrı ayrı hukuka uygunluk sebepleri sıralanmıştır.
– Kişisel veriler, ancak belirli, açık ve meşru amaçlar için toplanabilecek ve bu amaçlara aykırı olarak yeniden işlenemeyecek. Ayrıca toplandıkları amaçla bağlantılı, yeterli ve ölçülü olarak işlenmeleri gerekecek. Bunun dışında kişisel veriler gerçeğe uygun olarak işlenecek ve gerektiğinde güncellenecek. Saklama süresi bakımından ise, ilgili kişilerin kimliklerini belirtecek biçimde ve kaydedildikleri veya yeniden işlenecekleri amaç için gerekli olan süre kadar muhafaza edilmesi zorunlu olacak. İşlenen verilere sadece kanunen erişim yetkisi olanlar ulaşabilecek, o nedenle herkesin her kişisel veriye ulaşabilmesinin önü kesilmiş olacak.
-Bu kanun çerçevesinde kişisel verileri işleyenler, hangi tür verileri, ne kadar süre ile ve hangi amaçlar doğrultusunda işlediklerini açıklamak zorundalar. Bu amaçla, ayrıca bu kanun ile oluşturulacak kamuya açık sicile veri işleyicisi olarak kaydolmak zorundalar. Bu sayede herkes, kimin, hangi tür verileri, ne kadar süre ile işlediğini bu sicillere bakarak öğrenme imkanına sahip olacak. Tasarının bu hükmünün yanlış anlaşıldığını düşünüyoruz. Burada –birçok yerde yanlış olarak ifade edildiği gibi- kişisel verilerin toplandığı bir havuz oluşturulmamaktadır. Tam aksine, hangi veri kategorilerini veri işleyicilerinin topladığını ve işlediğini öğrenme hakkını elde ediyoruz. Zira bu sicile bizler değil, bizim verilerimizi işleyenler kaydolacaktır.
– Kişi, kendisi hakkında veri işleyenlere doğrudan başvurarak, kendisi ile ilgili hangi verilerin ne amaçla toplandığını ve işlendiğini öğrenme hakkına, yanlışlık varsa da düzeltilmesini ve hatta belirli bazı durumlarda silinmesini dahi isteme hakkına sahip olacak.
– Kanun ile ihdas edilecek Kişisel Verileri Koruma Kurulu da, bu kanunun yürütülmesinde önemli görevler yerine getirecektir. Sahip olacağı denetim yetkisi ile bu kanundan doğan yükümlülüklerin hukuka uygun olarak yürütülmesini sağlama fonksiyonuna sahip olacaktır. Ancak kurulun bunu tarafsız ve bağımsız bir şekilde yapabilmesi için, tasarıda bazı düzenlemelerin gözden geçirilmesi gerekmektedir. Özellikle, Kişisel Verileri Koruma Kurulu’nun yapısı bugün için siyasi etki altında görünmektedir. Bu düzenleme değiştirilmezse, kanunun yapılış amacının önemli ölçüde boşa çıkacağını düşünüyoruz.
– Kanun “özel niteliği olan veriler” olarak tanımladığı bazı veri kategorileri için daha sıkı koruma kurallarının işlerlik kazanacağını görüyoruz. Buna göre, kural olarak, kişilerin ırk, siyasî düşünce, felsefî inanç, din, mezhep veya diğer inançları, dernek, vakıf ve sendika üyeliği, sağlık ve özel yaşamları ve her türlü mahkûmiyetleri ile ilgili kişisel veriler işlenemeyecek. Bu tür veriler, bünyesinde barındırdıkları ayrımcılığa uğrama tehlikesi sebebiyle, ancak belli bazı hallerde işlenebilecek. Bu istisnalardan biri örneğin, suçun soruşturulmasına ilişkin olarak özel nitelikteki kişisel verilerin, ilgili kanunlarda yeterli koruma tedbiri bulunması kaydıyla, yetkili mercilerin kontrolü altında işlenebilmesidir.
Tasarıya İlişkin Tartışmalara Cevaben
Görsel ve yazılı medyadaki veri korumasına ilişkin önemli tartışmalardan birini oluşturan önemli bir konu da, güvenlik güçlerine istisnai olarak kişisel verileri işleme olanağı sunan 22. maddenin içinde özel niteliği olan verilerin sokulmamış olmasıdır.
Maddede kullanılan kavramların sınırlarının belirlenmesinde yaşanan güçlüğe rağmen 22. madde hukuk devleti ilkesi çerçevesinde düşünüldüğünde polisin, jandarmanın ve istihbarat birimlerinin hukuka uygun olarak faaliyet göstermelerine olanak sağlar. Zira suçun soruşturulması bağlamında kendi özel kanunlarında açıkça verilmiş ve sınırları çizilmiş -yani yine hukuka uygun- olarak kişisel verileri işlemeleri mümkün olacaktır. Ancak tasarı, özel niteliği olan verilere ilişkin olarak, suçun önlenmesi bakımından herhangi bir düzenleme içermemiyor. Yani güvenlik güçleri Kişisel Verilerin Korunması Kanunu uyarınca özel niteliği olan verileri işleyemeyecektir.
Güvenlik güçleri ise bu hassas verilerin de, suçla proaktif mücadele bakımından efektiflik sağlayacağı düşüncesiyle madde kapsamın aalınması ve dolayısıyla istisnaların bu yönde genişletilmesi gerektiğini belirtmektedirler.
Ancak suçun önlenmesi amacıyla özel niteliği olan kişisel verilerin işlenebileceğini bu yasa tasarısında hükme bağlanması mümkün değildir. Aksi halde kişisel verileri koruma kanunu mu yoksa korumama kanunu mu çıkartıyoruz diye düşünmek lazım. Yine bu tarz bir hüküm George Orwell’in 1984 adlı kitabını ve oradaki Büyük Birader bizi gözetliyor’u, yasalaştırmak anlamına gelecektir. Bu kanunun yapılmasındaki amaç, “hukuk devleti” ilkesi ile bağdaşır bir hukuk düzeni yaratmak. Ama “suç işlenebilir şüphes”i ile özel niteliği olan verilerin amaçsızca toplanmasına imkan sağlamak, fişlemenin önüne geçemediğimizi gösterir. Ülkedeki vatandaşların potansiyel suçlu olarak görülüp değerlendirilmesini öngören bu yöndeki hükümlerin yeri kesinlikle veri koruması yasaları değildir. Vatandaşın devlete karşı anonim ve mahrem kalmasını sağlayan özel nitelikteki kişisel veriler bakımından, vatandaş olarak hepimizin “hassas” davranması gerekmektedir.
Güvenlik güçlerinin suç ve suçun önlenmesi amacıyla yapacağı çalışmalar bakımından ihtiyaç duyacakları düzenlemeler kendi özel kanunlarında zaten mevcuttur. Bu yetkinin kapsamının ihtiyaç duyulduğunda genişletilebileceğine ilişkin bir yasal düzenleme de 5397 sayılı kanunla tüm güvenlik güçleri için yapılmıştır.
Dolayısıyla özel nitelikteki kişisel verilerin istisna kapsamına sokularak, güvenlik güçlerine açık olmasına ilişkin bir hükme veri koruması yasası izin veremez. Ancak bu yöndeki talepler sadece güvenlik güçlerinden geldi veya gelecek diye bir önyargımızda olmasın. Kısa bir süre sonra basına yansıyacak başka olaylarda da kamudan başka kurumların benzer taleplerde bulunduklarına tanık olacağız.
Tasarıda özel niteliği olan veriler bakımından buna karşın olumlu bir düzenleme yer almaktadır. Aksi yönde bir düzenleme, vatandaşı şeffaf kılmak anlamına gelir. Halbuki kanunun amacı, devleti şeffaf kılmaktır. Amacı bu olan Kanunun, kişisel bilgilerin hangi koşul ve şartlarla güvenlik güçleri tarafından alınabileceğine ilişkin hükümler öngördüğü “istisnalar” bölümünde, bu amaca aykırı düzenlemelerin öngörülmesi kanunun kendisi ile bağdaşmayacaktır. Kişisel verilerin korunması yasa tasarısı özü itibariyle zaten bu tür uygulamaların ve kaygıların önüne geçmek, bunları engellemek için hazırlanmış bir tasarıdır.
Kanaatimize gore, asıl kaygılanılması gereken durum bugünkü durumumuzdur. Verilerimiz şimdiye kadar şu ya da bu şekilde iletişimde bulunduğumuz kamu veya özel sektör tarafından zaten alınmış ve veri tabanlarında saklanıyor durumdalar. Hangimiz örneğin; abonesi olduğumuz cep telefonu operatörüne aldığınız verilerimizi ne yaptınız? Ne kadar süre ile saklayacaksınız? Kiminle paylaştınız? Benim bu veriler üzerindeki haklarım nelerdir? Şeklindeki soruları yönettik? Sanırım hiçbirimiz! O halde asıl karmaşa ortamı bugün için mevcut. Çünkü; alınan bu verilerin nasıl ve ne şekilde işleneceğine, ilgilinin verileri üzerindeki haklarının ne olduğuna, herhangi uyuşmazlık halinde sorunun nasıl çözüleceğine ilişkin spesfik kurallar henüz ülkemizde mevcut değil. Asıl korkulması ve sorgulanması gereken durum bugüne münhasırken, yarın yasalaşacak ve bahsettiğimiz bu sorunlara hukuki bir koruma şemsiyesi getirecek yasa tasarısının, rahmetli Uğur Mumcu’nun “bilgi sahibi olunmadan fikir sahibi olunmaz” sözü göz ardı edilerek hazırlanan yazılar ve yapılan konularla, kanunun amacı ve sistematiği içinde olmayan farklı mecralara çekilerek yanlış kamuoyu oluşturulmaması gerektiğini savunuyoruz.
Unutulmaması gereken önemli bir diğer husus, bu kanun ile ülkemiz, Avrupa Birliği’nin öngördüğü koruma eşiğine eşdeğer bir seviyede bir koruma mekanizması oluşturma imkanına sahip olacaktır. Ayrıca ülkemizin AB’ye karşı ilk kez 2003 Ulusal Programında taahhüt ettiği ve ayrıca 108 sayılı Avrupa Konseyi Sözleşmesi’nden doğan yükümlülüklerini ifa etmiş olacağı ve özellikle AB Katılım Ortaklığı Belgesi’nin gereklerini yerine getirmiş olacağı gözden uzak tutulmamalıdır. Ancak bütün bu uluslararası yükümlülüklerden bağımsız olarak, AB vatandaşlarının veri koruması hukuku çerçevesinde sahip oldukları haklara, bizler de sahip olacağız. Yasanın bizler adına en çok sahip çıkılması gereken yönü ise budur.
Sonuç: Kanunu Bilmemek Mazeret Sayılmaz! Bu nedenle her Türk vatandaşının Kişisel Verilerin Korunması Kanunu Tasarısı’nı aşağıdaki linkten okumasını tavsiye ediyoruz.
( http://www2.tbmm.gov.tr/d23/1/1-0576.pdf )