Bir önceki yazımızda, “Kişisel verilerimiz neden ortalarda dolaşıyor?” diye sormuştuk. Çünkü hem satıldığına dair bazı emareler ve söylentiler var, hem de Devlet Denetleme Kurulu’nun 2013 yılında bu konuda eleştirel bir raporu var.
Yani, e-Devlet ya da fiziksel devlet, sosyal medya, arama motorları, mesajlaşma uygulamaları derken, hepimizin kişisel verileri bir yerlerde duruyor. Peki bu verileri bizim adımıza koruması gereken devlet koruyor mu? Şimdiye kadar TCK 135-140 arasındaki maddelerle ‘eh-meh’ korunuyordu ama dünya ve Avrupa Birliği sadece buna yönelik kanun yapıyor ve yapılmasını istiyor. (En azından o ülkelerle ticaret yapacaksanız size bu kanunu “var mı?” diye soruyor)
Yazılarımızı okuyanlar bilir, 5651 sayılı kanuna “özel hayat” başlığı ile getirilen yeniliklerden itibaren yoğun bir şekilde, hani “Kişisel Verilerin Korunması Kanunu” diyoruz.
İşte 35 yıldır sahip olamadığımız veya en azından 1989’dan bu yana TBMM’ye gelip bir türlü kanunlaşamayan bu “Kişisel Verilerin Korunması Kanunu (KVK)” ocak itibariyle yeniden TBMM gündemine girdi. Ancak içine baktığımızda, soracağımız soru şu; bu kadar yıldır beklediğimiz kanun bu mudur? Bu kanun kişisel verilerimizi gerçekten koruyabilir mi?
TBMM kayıtlarından ve görüştüğümüz kişilerden gelen bilgiler, pek de öyle olmadığını gösteriyor. AKP hükümetinin hazırladığı kanun taslağına, hem muhalefet partilerinden, hem de hukuk camiasından tepki ve “değişiklik önerileri” var ama hükümet bunlara aldırıyor gibi gözükmüyor.
Kanun taslağının en ilginç yönü, aynen 5651 sayılı internet kanununa ya da MİT kanununa yapılan muamele gibi, komisyonlardan ve TBMM’den acilen geçirilmeye çalışılması. Komisyondan 1,5 günde geçmiş durumda. TBMM’de ise geçen perşembe gece yarısı 5 maddesi, salı günü de 1 maddesi geçti bile.
Neden 1995’e uygun yapılıyor da, 2016 gözardı ediliyor?
Kanun taslağı ile ilgili ilk sorun, 1995’deki eski AB çerçevesine göre hazırlanması. Mart ayında yayınlanacak düzenlemeden nedense kaçınılıyor. Adalet Bakanı, Komisyon Başkanı ya da diğer yetkililer bunun neden böyle olduğuna dair “net” bir cevap veremiyorlar. Bu nedenle bir şeyler döndüğü düşüncesi hakim.
Avrupa Birliği 95/46 sayılı direktifi, üye ülkelerin kanun hazırlarken uyacakları çerçeveyi çiziyordu. Oysa 1-2 hafta sonra yani mart 2016 içinde yayınlanması beklenen düzenleme üye ülkelere ve tabi ki aday ülkelere, kanunun “şöyle” olmasını söyleyen bir düzenleme.
Üye ya da aday ülkelerin, KVK kanunları varsa bu düzenlemeye uyarlaması için 2 yıl süresi var. Ama kanun yoksa, doğrudan bu düzenlemeye uygun kanun yapılması şartı var. CHP Eskişehir Milletvekili ve Adalet komisyonu üyesi Cemal Okan Yüksel, AKP’nin 2 yıl vakit kazanmak için kanun taslağını marttaki düzenleme yayınından önce TBMM’den geçirmeye çalıştığını iddia ediyor.
Kişisel verilerin yoğun bir şekilde işlenmesi, bildiğiniz gibi son 10+ yılda gündeme geldi. 1995’de Facebook, Google, Twitter, Youtube vsvs yoktu. Ama 2016 regülasyonu, bütün bunları gözönüne alan bir düzenleme. Dolayısıyla da 2016 düzenlemesine uygun bir kanun daha iyi olur.
Kişisel veriler üzerindeki kontrolümüzü kaybediyor muyuz?
Türkiye’de bugüne kadar KVK Kanunu yapılmaması büyük bir eksiklik. Zaten hem Adalet Bakanı Bekir Bozdağ, hem diğerleri TBMM’de acele etmelerinin nedenini “1989’dan bu yana çok geciktik” diye veriyorlar. Ama bu kadar gecikmişken 2 hafta sonra yayınlanacak 2016 regülasyonunu neden uygulamadığımızın ya da neden bu kadar acele edildiğinin cevabını veremiyorlar.
Ama kanun taslağına bakıldığında, 2016 Avrupa regülasyonuna uymasında zorluk olacak maddeler olduğu görülüyor. Örneğin, “açık rıza”nın ispatı bunlardan birisi. Açık rıza verdiğinize dair bir ispat olanağı (eylem tanımı) taslağa alt komisyonda konulmuş ama Bakan Bozdağ komisyonda “firmaların zorluk çekeceğini” belirterek bunu kaldırtmış. Yarın sizin hassas verinizle “A” devlet kurumu ya da “B” özel şirket işlem yapsa, bu işlemde sizin rızanız olduğuna ya da olmadığına dair bir eylem tanımı yok.
Dolayısıyla verilerinizi verdiğiniz kurum ya da firma, bir yere satar ya da aktarırsa, bu verileri verdiğiniz andan itibaren “ben istemiyorum” deme olanağınız yok. Bugün yaşanan bir kaç örnekte, sağlık firması tarafından hassas hastalıkları nedeniyle aranan bazı kişilerin bu verilerinin bu firmalara –istekleri dışında—mesela bizzat SGK tarafından satıldığını görüyoruz. Peki ama bu kişi o hastalığını saklamak istiyorsa? Hekim-hasta gizliliği dediğimiz olay nerede kaldı? Ya da bu veriler aktarılırken demek ki “anonimleştirilerek” aktarılmamış.
Ayrıca, bu kanun taslağında, AB düzenlemesinin aksine verdiğimiz verileri “geri çekmek” ile ilgili bir madde yok.
Ya da verilerin nasıl kullanıldığına dair bir “bilgi edinme” maddesi düzenlenmiş ama sizin para almadan verdiğiniz bu bilginin nasıl kullanıldığını bildiren firmanın sizde, Veri Koruma Kurulu’nun tespit edeceği bir parayı istemesi söz konusu. Bu para makul olur mu, olmaz mı soru işareti !!
Uzmanlar ayrıca kişisel veri ve hassas veri ayrımı yapıyor. Örneğin din, mezhep, ırk, cinsel tercih, politik tercih gibi konular hassas veri. Kişisel verilerin korunması kanunu, ticari olarak veri işleyecek kurum ve firmalara karşı koruma anlamına geliyor. Peki din, mezhep, cinsel tercih, felsefi tercih, politik tercih vs gibi hassas veriler ticari işlenen veriler midir?
Veri Koruma Kurulu'nun bağımsızlığı nasıl sağlanacak?
Verilerin korunmasının teminatı bir “Veri Koruma Kurulu” oluşturulması ama başka ülkelerdeki örneklere de bakıldığında bu kurulun bağımsızlığının soru işareti olduğu görülüyor.
Bunu hem muhalefet partisinin ilgili üyeleri, hem de kişisel verilerle ilgili hukukçular ikaz ediyor.
Çünkü veri kurulunun 3 üyesi Cumhurbaşkanı, 4 üyesini ise Bakanlar Kurulu atıyor. Yani baştan kurulun atanmasında oy verenlerin eşit temsili mümkün olmuyor.
Ama bu kadar değil. Bu kurulun başkanı ve başkan yardımcısı da Bakanlar Kurulu tarafından atanıyor.
Bu kurul, bazen sizin rızanız olmadığı durumlarda karar verebiliyor.
İlaveten, bu kurulun bir uygulaması konusunda şikayet söz konusu olduğunda, ancak Başbakan izin verirse soruşturma yapılabiliyor. Yoksa yapılamıyor. Neden bu kadar önemli veriler için şikayet yapılması zorlaştırılıyor? Ya da belki verilerinizle ilgili sorun için gidecek bir merci bulamayabilirsiniz. Çünkü atayan da, sorumlu olması durumunda sorgulayan da aynı kurumlar. Bu durumda, kurulun bağımsız olmasını nasıl bekleyeceğiz?
Fişleme mi?
Muhalefet partilerinin iddiası bu kanun taslağının fişleme olduğu şeklinde. Bunun 3 nedeni var. Birincisi, “ticari” olamayacak din, ırk, cinsel tercih gibi hassas verilerin de taslakta yer alması.
İkincisi, veri koruma kurulunun bağımsız olmayışı ve sorgulanamasındaki “izin” konusu.
Üçüncüsü ise, verilerin korunmasının öneminin daha çok anlaşılmaya başlandığı 2016 regülasyonu öncesi alelacele bir kanun çıkarmaya çalışıyor olmaları.
Parasız ise ürün sizsiniz
2000 sonrasının küresel internet devleri, iş modellerini “parasız hizmet verme” üzerine kurdular. Facebook, Twitter, Google ya da Whatsapp, hep bu tür firmalar. Hizmeti parasız vererek çektikleri milyon hatta milyar düzeyindeki kullanıcının özelliklerini sunarak reklam satan firmalar bunlar. Dolayısıyla mottoları da bu “parasız ise ürün sizsiniz.”
Ama bunun anlamı, bu bilgileri “anonimleştirerek” satmaları. Fakat geçtiğimiz dönemde SGK’nın hasta verilerini 65 milyon TL’ye bir sağlık firmasına sattığı ortaya çıkmıştı. Kanunda bu aktarıma karşı bir belirteç de yok.
Ya da diğer yandan "parasız ise, ürün sizsiniz" felsefesi ile sunulan uygulamaların bizim hakkımızda öğrendikleri, yani girdiğimiz web sayfaları, maillerimiz, sayfalara koyduğumuz düşüncelerimiz ya da fotoğraflarımız, ya günün birinde bizim aleyhimizde kullanılabilir araçlar haline dönüşürse! 1995 uygulaması bunu nasıl koruyacak?
Tabi kişisel verilerimizle dolandırıcılık yapanlar ya da bizim üzerimizden para kazananlar da cabası. Telefon dolandırıcılıkları bunun bir örneği.
İstisnalar?
Tabi bir de istisna problemi var. Kanun tanımını yaptığı maddelerle ilgili bol miktarda istisna vermiş. Bu istisnalar kanunun yazılmasını boşa çıkaracak. Yani biz koruyoruz derken, arka planda tam tersine çalışabilecek bir durum. Zaten Veri Koruma Kurulu da, bu konularda karar verebilecek ve kararın sorgulanması da ancak izne bağlı.
Kaç kişi farkında?
İşte kişisel verilerimiz bu kadar önemli. Ama bu verilerin önemini kaç kişi farkında?
Ya da kaç kişi şu anda TBMM'de sürmekte olan "Kişisel Veriler Kanunu" görüşmeleri ile ilgileniyor?
Verilerimizin, özellikle de hassas verilerimizin rızamız dışında aktarılması görüşülüyor ve ispat olanağı ortadan kaldırılıyor. Kaç kişi farkında?
Avrupa Birliği'nin mart regülasyonu hemen önümüzde, 2 hafta ilerimizdeyken, kaptıkaçtı methoduyla bu regülasyon çıkmadan kendi istekleriyle kanun çıkarmaya uğraşanlar var. Bunu kaç kişi farketti?
Bir ülkenin demokratik olmasının yolu, haklarımızı bilmekten geçer. Yoksa birileri sizin için Ankara'da sizi düşünmez.
Onun için herkesi "kişisel verileri koruma kanunu"nun şu anda TBMM'de görüşülen taslağını dikkatle okumaya davet ediyorum.
Ne Olmalı?
Olması gereken, STK’ların, akademisyenlerin ve muhalefetin bu konudaki kanunu birlikte elden geçirmeleri ve taleplerin dinlenmesi, kanunda önemli konuların yeniden düzenlenmesi. Bu düzenlenmenin yapılması sırasında da, AB 2016 düzenlemesi ile uyumlu bir kanunun hazırlanması.
Hükümetin, sayısal üstünlüğe değil, kendisine oy vermemiş vatandaşların da taleplerine kulak vermesi gerekli. Bu kanun herkesin kendi verilerini ilgilendiriyor. Bu ülkenin en önemli “asset”lerinden birisi.