26 Aralık 2014 Cuma günü Başbakan Ahmet Davutoğlu imzasıyla TBMM'ye taslağı gönderilen "Kişisel Verilerin Korunması Kanunu"[1], Türkiye'nin tam 34 yıldan bu yana beklediği bir kanun. Bu nedenle "hele şükür" diyebilirdik, ya da "devlet nihayet özel hayatları, interneti sansürleyerek değil, kişisel veriler kanunu ile koruyacak" diye de sevinebilirdik. Ama bu kanun taslağında soru işaretleri var.
Kanun taslağındaki sorunları özet olarak yazının sonunda göreceksiniz. Daha detaylı analizi hukukçulara bırakıyoruz. Ama kanun taslağının önemini daha iyi vurgulamak açısından, bu konudaki tarihsel gelişimi de özetlemek istiyoruz.
2014 yılı içinde 5651 sayılı İnternet Kanunu'na getirilen düzenlemeler, yargı ile ilgili yeni düzenlemeler, yeni MİT kanunu ve "makul şüphe" kavramını gündemimize sokan TCK ve CMK'daki değişikliklerle birlikte düşünüldüğünde ise, bu soru işaretleri daha çok gözümüze batıyor.
Türkiye Avrupa Konseyi Sözleşmesine 1981'de imza attı
Türkiye'nin Kişisel Verilerin Korunması ile ilgili yolculuğu, aslında çok erken yani 1981 yılında başladı. Bilgisayarların gelişmesi karşısında, Avrupa'da bu alanda bir uluslararası sözleşmenin hazırlanması düşünülüyor ve Avrupa Konseyi bünyesinde hazırlanan 108 sayılı “Kişisel Verilerin Otomatik İşleme Tâbi Tutulması Karşısında Bireylerin Korunmasına İlişkin Sözleşme”, 28.1.1981 tarihinde diğer Konsey üyeleriyle birlikte Türkiye tarafından da imzalanıyor.
Ancak o günden bu yana, Avrupa Birliğine üye 28 ülkenin aksine Türkiye'de Kişisel Verilerin Korunması Kanunu yapılamadı. Sadece bazı kanunlarda düzenlemeler yapılarak göz boyandı ama Türk hukukunda bir "Kişisel Verilerin Korunması" kanunu bir türlü yer alamadı. Bunun önemli bir nedeni, Avrupa Birliğinde imzalanan sözleşmeye ragmen, 1980'lerdeki askeri yönetimden başlayarak (tabi ki öncesi de var), bugüne kadar bütün hükümetlerin çeşitli fişlemeler ve takipler yapmasıdır. Doğal olarak da, bu takipleri yapmalarını engelleyecek bir kanunu çıkarmadılar.
Oysa, ülkemizin üyelik çabalarını sürdürdüğü Avrupa Birliği "kişisel veriler" konusundaki bir kanunu yapılmasını gerektiriyor. Ayrıca 2010'da yapılan Anayasa Referandum'unda da Kişisel Veriler 20ci madde olarak Anayasa'mıza girmiş durumda.
Aradaki dönemde, bu kanunu çıkartmak yerine, BTK'nın 2012'de yayınladığı bir yönetmeliği ile durumu idare etmeye çalıştılar[2]. Ancak Anayasa Mahkemesi, bu yıl nisan ayında 5809 sayılı Elektronik Haberleşme Kanunu'nun BTK'ya kişisel veriler konusunda yetki veren 51ci maddesini iptal etti[3].
Bu maddeyi iptal etmesinin nedeni ise, Anayasa Mahkemesi'nin, Anayasa'ya dayanarak, bu konunun yönetmelikle düzenlenmesi yerine, kanunla düzenlenmesi gerektiğine işaret etmesiydi.
Yeni taslağı nasıl değerlendirmeliyiz?
Okuyucularımız hatırlayacaklar; bu yılın başında 5651 sayılı kanuna hükümet tarafından yapılan eklemelerin nedeni, hep "özel hayatın korunması" şeklinde sunuldu. Biz de her seferinde "özel hayatları korumak istiyorsanız, neden "kişisel verilerin korunması kanunu"nu çıkarmıyorsunuz?" diye cevapladık.
Şimdi bu konudaki kanunu sonunda TBMM'ye gönderdiler ama gördüğümüz kadarıyla kanun taslağı bu haliyle kişisel verileri korumak bir yana, bir özerk olmayan kurul eliyle adeta hükümetin kullanımına sunuyor. Bu nedenle sakıncalarının düzeltilmesini ve gerçekten kişisel verileri koruyan bir kanun bekliyoruz.
Taslakla ilgili olarak hemen göze çarpan sorunlar özetle şu şekilde;
6. maddede, kişinin rızası olmadan kişisel verilerinin işlenebilmesinin yolu açılıyor.
Kişisel verilerin korunması ile ilgili itiraz ya da taleplerin karşılanması konusunda müphem ifadeler var.
18. maddede Kişisel Veriler Kurulu oluşturuluyor. Bu kurulun siyasi olacağı görülüyor. Çünkü "özerk" değil, Adalet Bakanlığı'na bağlı olarak kuruluyor.
24. maddede İstihbari amaçlı fişlemenin devamı olacak gibi gözüküyor.
[1] Kişisel Verilerin Korunması Kanun Taslağı
[2] ELEKTRONİK HABERLEŞME SEKTÖRÜNDE KİŞİSEL VERİLERİN İŞLENMESİ VE GİZLİLİĞİNİN KORUNMASI HAKKINDA YÖNETMELİK
[3] ANAYASA MAHKEMESİ KARARI