AB Veri Koruma Reformu: Mehter adımlarıyla yürüyen stratejik bir savaş
AB, uzun bir süredir 1995 tarihli Veri Koruma Direktifinin çizdiği mahremiyet ve veri koruma standartlarının yükseltilmesi ve güncellemesi için bir reform çalışması yürütüyor. Reform sürecinin resmi adımı, uzun tartışma ve savaşların ardından ortaya çıkan taslağın 21 Ekim tarihinde Avrupa Parlamentosu Sivil Özgürlükler Komitesi tarafından oylanarak kabul edilmesi ile atılmış oldu (http://goo.gl/7R0Xav). Şimdi tasarı AB Bakanlar Komisyonu’nda görüşülecek, ardından da Avrupa Konseyi’nde oylanacak. Tasarının Mayıs 2014’deki Avrupa Parlamento seçimleri öncesinde yürürlüğe girmesi hedefleniyor.
Reform sürecinde bir yanda mahremiyet kurallarının sıkılaştırılmasına karşı, birer “veri tekeli” olmaya evrilen çoğu ABD kökenli şirketin yürüttüğü lobi faaliyetleri, diğer yanda mahremiyet ve veri koruma odaklı kullanıcı hakları için mücadele eden sivil inisiyatiflerin gerek AB parlamenterleri gerekse kamuoyu üzerindeki ciddi etkisi, yeni direktif taslağı üzerinde bir savaşın yaşanmasına neden oldu. Ortaya bir taslak çıktı ve oylanarak kabul edildi, ama bu metin nihai değil. Tartışma sürüyor ve sürecin bundan sonraki adımlarında savaş daha da kızışacak. Çünkü taslak iki tarafı da memnun etmişe benzemiyor. AB orta yolu bulmaya çalışıyor, ama kişisel veriler ve mahremiyet söz konusu olduğunda şirket kazançlarıyla kullanıcı hakları arasında bir orta yolun varlığı bile tartışma konusu olduğundan işi zor. Üstelik henüz üye ülkelerin yönetimleri arasında da bir uzlaşı sağlanmış değil, bazı ülkelerin tasarının yerellik ilkesinin ihlalinden AB ölçeğinde yasal uzmanlığın oluşmamış olmasına kadar belli noktalarına itirazları var, yukarda saydığım iki tarafın birbirine şiddetli itirazları var. Dolayısıyla kurumlar ve komisyonlar arasında tartışmalar sürecek.
Sürecin Mayıs 2014’de nihayete ermesi öngörülmüştü. Başta İngiltere olmak üzere ABD etkisinin temsilcisi ülkeler sürecin Avrupa seçimleri sonrasına sarkması ve endüstriyel lobi faaliyetlerine zaman kazandırmak için ellerinden geleni yapıyorlar. Üye devletler arasında tam bir uzlaşının yokluğunda başarıya da ulaşmış görünüyorlar; yani direktifin yasalaşması büyük olasılıkla 2015’i bulacak (http://goo.gl/P3uVnM); sivil inisiyatifler tasarının haklar odağında düzeltilerek zamanında yasalaşması için bastırsalar da. Üstelik bu savaş sadece veri korumayla değil, onunla bağlantılı olarak ABD’nin NSA gözetim skandallarının AB tarafından soruşturulmasını önlemekle de ilgili olunca, işler iyice karışıyor. İşin bu boyutu ayrıca üzerinde durmayı hak ettiğinden konuya girmeyeceğim.
Yeni Direktif, AB içindeki ve AB üyesi ülkelerle diğer ülkeler arasındaki kişisel veri işleme ve değişiminin mevcut yasal çerçevesinin yerini alacak. Önce kısaca yeni tasarıya bir bakalım, neler getiriyor, neler götürüyor? Genel haliyle tasarı AB veri koruma standartlarını güçlendiriyor ve kullanıcı hakları konusunda ilerleme sağladığı için olumlu görünüyor. Mesela Komisyon’un üye devletlerin kullanıcı profilleme kurallarından kendilerini muaf tutabilmeleri yolundaki önerisinin reddedilmesi önemli bir kazanım. Benzeri bir şekilde endüstriye geliştirecekleri ürünlerde mahremiyet korumasını bir tasarım gereği (default by design) olarak dayatması da önemli. Tasarı AB üyesi ülkelere aynı yasal çerçevede çalışacak ulusal ve özerk bir veri koruma otoritesi kurma ve çerçeveyi iç hukuklarına uyarlama yükümlülüğü getiriyor. Bireysel kullanıcılara şirketlerden kendilerine ait verilerin silinmesini veya başka bir platforma taşınmasını talep etme hakkı tanınıyor. Yasal otoriteler kuralları ihlal eden şirketlere yıllık cirolarının %5’i kadar ceza kesebilecek.
Ama öte yandan, tasarı şirketlerin yararlanabileceği öyle yasal boşluklar ve belirsizlikler bırakıyor ki, bunlar da hak inisiyatifleri tarafından veri endüstrisine verilen devasa tavizler olarak görülüyor. Ne yazık ki, belli kazanımlara rağmen Direktif ancak en zayıf halkası kadar etkili olabilir ve sorunlu yasal boşluklar gerçekten de çok zayıf halkalar oluşturuyor (http://goo.gl/bEz4xO). Reform görüşmelerinde sivil inisiyatifleri temsil eden çatı örgütü Avrupa Dijital haklar İnisiyatifi (EDRI) direktörü Joe McNamee’ye göre “bu oylama, eğer karşı çıkılmazsa, online şirketler için rahatça verilerimizi toplayabilecekleri, profiller yaratabilecekleri ve en yüksek fiyatı verene satabilecekleri bir tür ‘açık av mevsimi’nin açılmasıyla sonuçlanacak ve bu şimdiye kadar yürütülen zorlu çalışmaların yok sayılması, altının oyulması anlamına geliyor” (http://goo.gl/LaZgpN).
Yasal boşluklardan biri ve en önemlisi şirketlere profilleme yapmasına (yani otomatik veri işlenmesiyle online davranışların izlenerek profiller oluşturulması) verilerin mahlas (pseudonym) kimlikler altında tutulması koşuluyla izin verilmesi (Madde 20: http://goo.gl/jphWxy). Avrupa Parlamentosu “mahlas”tan anonimliği anlıyorsa da, teknolojinin bugün ulaştığı noktada iki veri setinin birlikte analiz edilmesi sonucunda gerçek kimlikle kolaylıkla ilişkilendirilebileceği de açık (Bu konuda bir çalışma için bkz: http://goo.gl/avgIEC). Cinsel kimlik, siyasi düşünce, yaş aralığı, zeka düzeyi, cinsiyet, etnik köken, sağlık durumu gibi hassas veriler temelinde girişilecek denetimsiz bir profillemenin temsil edeceği riskler kişisel veri korumasının altını oyar nitelikte. Direktifin yasal tanımlar kısmı da (madde 4) ciddi yasal boşluklar yaratabilecek belirsizliklerle dolu (http://goo.gl/Q7EuX2). Madde 6 da şirketlere “meşru menfaat” koşuluyla verilerinizi sizden izin almadan işleyebilme izni veriyor (http://goo.gl/Lcq5mv). Bu “meşru menfaat” (legitimate interest) söylemi, hukuken tıpkı kerameti kendinden menkul “yasal elde etme” (lawful interception) gibi bir belirsizlik ve veri otoritelerinin diledikleri gibi kullanabileceği bir yasal boşluk yaratıyor. Böylece verileriniz izinsiz olarak işlenebilip üçüncü taraflara aktarılabilecek. Madde 6, tek başına veri koruma çerçevesinin altını oymaya aday. Özellikle NSA skandallarıyla toptan gözetim paradigmasının ulaştığı hukuksuzluk boyutu yeri göğü tutmuşken bunu görmemek imkansız.
Yani AB’nin önünde zor bir süreç uzanıyor: AB’nin yapacağı seçim, Joe Mcnamee'nin sözleriyle, “Avrupa vatandaşları ve iş dünyasının yararına olacak açık seçik, uyumlu, öngörülebilir ve uygulanabilir kurallar ile veri tekelleri ve avukatlarının dışında kimsenin yararına olmayacak belirsiz, öngörülemez kurallar arasında” bir seçim olacak (http://goo.gl/5VthwM) ve veri koruma standartlarının uluslararası gelişimini belirleyecek…
Burada Türkiye ile ilgili bir parantez açmak şart. AB Veri Koruma çerçevesi nasıl gelişirse gelişsin, daha şimdiden Türkiye’deki tüm ilgili yasal mevzuatı kadük kılmış durumda. Bu konudaki son düzenleme olan “Kişisel Veriler Yönetmeliği”nin yeni standartların yanına bile yaklaşamayacağı açık (Ayrıntılar için bkz. http://goo.gl/sFJ19). Son “demokrasi paketi”ne sıkıştırılan “yeni” Kişisel Verileri Koruma tasarısının yasalaşmasının akıbeti de AB standartlarına göbeğinden bağlı. Eğer söz konusu tasarı, iki arada bir derede bu son derece karmaşık sorunların arasından başarıyla sıyrılıp mucizevi bir şekilde güncellenmediyse; hala kolluk kuvvetlerinin ve istihbarat örgütlerinin istisna talepleriyle, bırakın şirketleri, kamu kurum ve kuruluşlarının bile verilerimizin satışına gözünü dikmiş ticari hırsıyla delik deşik durumdaysa; daha da kötüsü AB standardının dayattığı “Kişisel Veri Koruma Kurumu”nun özerk olması kuralını ihlal eden hükümete bağımlı kurumsallaşma hala tasarıda korunuyorsa; Meclisin yapacağı düzenleme Türkiye’yi tüm dünyaya “kişisel verilerin Vahşi Batı’sı” olarak ilan etmekten başka bir anlam taşımayacak (http://goo.gl/CjmMa).
Yeni AB standartlarına uymayan bir yasal çerçevenin Türkiye için küresel ekonomi açısından temsil ettiği risk ve tehditler büyük. O yüzden hükümet bu konuda çok da serbest davranamayacak. Zaten bu güne kadar tasarının komisyonlar arasında top misali gidip gelerek gündemden düşmesi, bir türlü yasalaşamamasının nedeni de bu “ekonomik” risklerdi. Yoksa kullanıcının kendisine ait veri üzerindeki hakları kimin umurunda?
Son tasarıda bulunan, üyelerinin çoğunun Hükümet tarafından atanması öngörülen bağımlı veri koruma kurumu, bol miktarda kolluk istisnası, veri korumayla ilgili hukuksal terminolojiye uymayan müphem dil, bilerek isteyerek bırakılmış yasal boşluklar korunarak yasa çıkarılırsa dünyada bunu hiç kimse ciddiye almaz; Türkiye'nin veri korumada “güvensiz ülke” olma durumu da devam eder. Bunun pratikteki bedeli yine önce ekonomik olacaktır: Türk bilgi işlem hizmet şirketleri Avrupa'da iş yapamaz; İstanbul'un dünya finans ve sağlık merkezi olma hayali hayal olarak kalır; İnterpol Türkiye'den veri alır ama veri vermez, vb.
Ama bu “güvensiz ülke” statüsünün bedelini her şeyden önce kullanıcılar, bu ülkenin vatandaşları ödemeye devam edecektir; verilerinin içinde cirit atan çok uluslu veya ulusal şirketler, istihbarat kuruluşları, kamu kurumları karşısında tamamen korumasız kalarak. Kişisel verilerin korunması mantığında, verilerin kim tarafından işlendiği, kimin elinde olduğu ve ne maksatla depolandığı özellikle toplumdaki incinebilir grupları yakından ilgilendirir; hassas verilerin cinsel kimlik, etnik köken, sağlık risk grupları gibi incinebilir gruplara karşı kullanımı çok vahim sonuçlar doğurabilir. Yasamanın sorumluluğu öncelikle vatandaşlara karşıdır, ekonomik çıkarlar sonra gelir. O yüzden otoriteler kullanıcı haklarını umursamasa bile, AB sürecini yakından izleyen ve müdahil olan EDRI üyesi Alternatif Bilişim Derneği başta olmak üzere sivil inisiyatifler ve giderek daha çok kullanıcı umursuyor; yetkililer hesaplarını buna göre yapsınlar.
Cephe açık ve küresel boyutta; savaş da öyle ve kızışıyor. Taraflar çok sayıda, aralarındaki ilişkiler ağı karmaşık ve oyunda kazanılacak kaybedilecek çok şey var. Şimdilik sahne AB ve oyun açıldı. Henüz hiç bir şey bitmiş değil. Daha neler göreceğiz? Kullanıcıya düşen en önemli şey, verisine sahip çıkmak ve hakkını savunmak. Bunun ne kadar hayati olduğunun farkına varacaksınız, merak etmeyin, teknolojik gelişim hızı sizi buna zorlayacak.
Merak etmeyin, ama teslim olmayın da: iyisi mi, aklınızı bu konuya musallat edin…