Kişisel verilerin korunma süreci hızlanıyor mu?
Başbakan Recep Tayyip Erdoğan tarafından açıklanan paketin içerisinde geçen “kişisel veri güvenliği” başlığı yıllardır bekleyen yasa tasarısı konusunda yeni bir umut ışığı yaktı.
Türkiye’de kişilerin verilerin nasıl tutulacağı, nasıl işleneceği ve hangi verilerin saklanabileceği konusunda atılan somut bir adım bulunmuyor. Bu durum özel sektörün istediği gibi hareket etmesine sebep olurken, mecliste bekleyen yasa tasarısı ve oluşturulmak istenen kurumun ilgili düzenlemeleri yapması bekleniyor.
Bir süredir Türkiye gündemini meşgul eden ve Başbakan Recep Tayyip Erdoğan tarafından açıklanan “Demokratikleşme Paketi”nde kişilerin veri güvenliğiyle ilgili haklarına da yer verildi. Kişisel verilerin korunmasını konu alan Başbakan şu açıklamalarda bulundu:
“Demokratikleşme paketiyle getireceğimiz bir başka yenilik, kişisel verilerin korunması hakkında. Kişisel verilerin korunmasına yasal güvence getiriyoruz. 12 Eylül 2010’da yaptığımız Anayasa değişikliğiyle, kişisel verilere Anayasal güvence getirmiştik. Şimdi bu Anayasa maddesinin uygulamasını sağlamak için, taslağı hazır olan kanunu meclisimize gönderiyoruz. Kişilerin özel bilgileri ilgisiz kişiler tarafından kullanılamayacak, ilgisiz kişilerle paylaşılamayacak.”
2010 yılında bu konuyla ilgili referandumla onaylanması sonucunda ‘kişisel veri’ kavramı Anayasa’nın 20’inci maddesine girmişti. Başbakanın da sözünü ettiği madde şu şekilde:
“Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.”
Avrupa Birliği’nden hareketle Veri Koruma Kurulu oluşturuluyor
Paketle birlikte anayasada yer alan kişisel veri güvenliği ile ilgili tartışmalar özellikle Avrupa’da sıkça tartışılıyor ve sıkı kanunlarla korunuyor. İstanbul Bilgi Üniversitesi Bilişim ve Teknolojisi Hukuku Enstitüsü Direktörü Yrd. Doç. Dr. Leyla Keser Berber’in verdiği bilgilere göre, sözü edilen yasayla ilgili çalışmalar 2003 yılından bu yana sürüyor. Avrupa Birliği’nde verilerin korunmasına ilişkin 1995 yılında çıkarılmış 46 sayılı direktifi hatırlatan Berber, Türkiye’nin bu direktiften hareketle kendi iç hukukuna uyarlamaya çalıştığını ifade ediyor.
Anayasaya vatandaşların kişisel verilerinin korunmasıyla ilgili bir madde girmesi büyük önem taşıyor. Leyla Keser Berber, bundan sonraki süreçle ilgili şu bilgileri veriyor:
“Bu tasarı yasalaştığında vatandaşların temel anayasal hakkı yasalarla da kanıtlanmış olacak. Bu hakka ilişkin;
• Hukuki koruma çerçevesi ne olacak,
• Bireylerin hakları nelerdir,
• Kişisel verileri işleyecek olan kamu ya da özel sektör şirketlerinin rolleri, görevleri ve yükümlülükleri nelerdir,
• Sayısal veriler hangi hallerde işlenebilir,
• Normal kişisel veriler nedir,
• Hassas kişisel veriler nedir gibi sorulara yanıtların bulunacağı bir Kişisel Verileri Koruma Kurulu oluşturulmaya çalışıyor.
Bu kurul veri işleyen her şirketin veri sicilini tutacak. Bireyin kendi verilerini hangi şirket işliyor, hangi tür verileri işliyor ve bunları hangi amaçlar için kullanıyorlar gibi soruların cevaplarını gelip soracakları, verilerin hukuka aykırı bir şekilde işlendiğine dair bir şikâyetleri varsa şikâyetlerini iletecekleri bir kurum halinde çalışacak.”
Berber’in sözüne ettiği kurul, 2008 yılından bu yana oluşturulmaya çalışılıyor. Kurulun Türkiye’de oluşturulma sürecinde bazı Avrupa Birliği üyesi ülkelerin oluşturduğu verilerin korunması hakkındaki ilkelerin uygulanmasını izleyen ve yönlendiren bağımsız kuruluşlar olarak Almanya’daki Federal Verileri Koruma Görevlisi, Avusturya’da Verilerin Korunması Komisyonu, Fransa’da Enformatik ve Özgürlükler Milli Komitesi, İngiltere’de Veri Koruma Komisyonu gibi kuruluşlar örnek olarak gösteriliyor.
Türkiye’deki kurumun bağımsızlığından endişe ediliyor
Türkiye’de ise oluşturulacak kurulun tamamen bağımsız olup olmayacağından endişe ediliyor. Şu anda Adalet Bakanlığı, daha önce Bakanlar Kurulu’ndan dönen kurumla ilgili yeniden çalışarak Adli Tıp Kurumu’na benzer bir yapı oluşturmayı hedefliyor.
Berber’e göre, tam bağımsız bir kurul oluşmayacak ancak hiç olmamasından daha iyi bir konuma geleceğiz. Zira şu anda kişisel verilerin nasıl işlendiği ya da hangi kurumlarda olduğunu takip eden bir yapı bulunmuyor.
Şu anda sadece elektronik ve haberleşme sektöründe hizmet veren şirketler BTK’ya bu konuda hesap veriyor. Ancak diğer sektörlerdeki verilerle ilgili BTK’nın bir yetkisi bulunmuyor. Yasayla birlikte Adalet Bakanlığı’na bağlı oluşturulacak bu kurul, tüm sektörlerdeki şirketleri takip edebilecek.
Berber, kurulun bakanlığa bağlı olduğu için kamu kurumlarına sadece “tavsiye” verebilecek konumda bulunacağını ifade ederek, kamu kurumları üzerinde yaptırım gücü olmayacağını belirtiyor.
Özel sektör yeniden düzenlenecek
Kanunun çıkmasının ardından bireylerin özel sektöre yönelik kişisel verilerin işlenmesiyle ilgili şikâyetler oluşturulacak kurumda değerlendirilecek. Konulan kurallara uymayan özel şirketler hakkında bu kurumun verdiği kararlar doğrultusunda yasal işlemler uygulanabilecek.
Avrupa Birliği’ndekine benzer şekilde oluşturulan yasa tasarısı verilerin kişisel güvenliğini güvence altına alıyor. Uzun süredir çıkması beklenen yasanın tek eksik yanı denetleyici kurumun doğrudan bakanlığa bağlı olması gibi görünüyor. Bağımsız bir kurul oluşturulamasa da veri güvenliği konusunda atılan adımlar, NSA gibi skandallarla kişisel verilerin toplandığı haberlerinin yayıldığı şu günlerde büyük önem taşıyor.
“Açıklama kanuna dönüşürse değer kazanır”
Bilişim Hukuku Uzmanı Avukat Gökhan Ahi, açıklamanın hiçbir hukuki bağlayıcılığı olmadığının üzerinde durarak “Belki, Kişisel Veriler Hakkında Kanun Tasarısı, bu açıklama doğrultusunda görüşülmek üzere kısa zamanda Türkiye Büyük Millet Meclisi’ne gelebilir. Bu durumda da çok uzun yıllardır bekleyen tasarı, kanunlaşmış olacak” dedi.
Veri güvenliği için hukuki düzenlemeler yapılmasının yeterli olmadığına değinen Ahi, “Teknik ve stratejik önlemlerin de alınması gerekiyor. Hukuk bu konuda sadece sınırları çizer, hakları ve sorumlulukları belirler. Ancak, esas koruma teknikle olabilir” diyerek bilişim sektörüne de önemli görevler düştüğünü ifade etti.
Ahi’ye göre, tasarı kanunlaşırsa, veri toplama, saklama ve analiz işlemleri belirli standartlara bağlanacak, aynı zamanda kimin ne kadar ve ne şekilde veri işlediğinin belli olması sağlanacak.