Avrupa Birliği’nin uyum görüşmeleri ile ilgili olan ve TBMM’ye Ocak ayında gelen son 34 maddelik Kişisel Verilerin Korunması ile ilgili kanun taslağının Genel Kuruldaki görüşmelerinin bugün yarım kaldığı yerden devam edeceğine dair Anadolu Ajansına bilgi verildiği görülüyor. Bu nedenle, her vatandaş için çok önemli olan “Kişisel Verilerin Korunması” kanununa dair a) son gelişmeleri gözden geçirelim ve b) kanunla ilgili eleştirileri yeniden hatırlatalım.
A- Değişiklik; eleştiriler üzerine
üye sayısı 9’a çıkıyor
Kanunla kurulacak olan “Kişisel Verileri Koruma Kurulu”, muhalefetin ve sivil toplum örgütlerinin tepkisine neden olmuştu. Eleştiriler 3 noktada toplanıyordu;
- Kurulun 7 kişilik üyelerinin 3’ünün Cumhurbaşkanı, 4’ünün Bakanlar Kurulu tarafından seçilmesi;
- Başkan ve Başkan Yardımcısının, kurulun kendi içinden seçimle değil, Bakanlar Kurulu tarafından atanması
- Kurulun şikayet halinde soruşturulmasının ancak Başbakan izni ile yapılabilmesi
Şimdi, hükümetin bu şikayetlerden 1 tanesi için bir şey yapmadığı, 2'sini ise makyajlama ile değiştirmeye gideceği ve değişiklik önergesi vereceği görülüyor. Yani;
- Kurul üye sayısı 9’a çıkarılıyor ve 3 üyenin TBMM’de seçilmesini öne sürüyorlar. Bu değişiklik eleştirilere yeterli cevap değil. Çünkü; bugünkü kompozisyonda Cumhurbaşkanı + Bakanlar Kurulu 6 üye seçtikten sonra, TBMM’den de seçimle gelecek 3 kişi, yine üye sayısının yüksek olması nedeniyle hükümete yakın seçilmesi ihtimali yüksektir. Yani bu değişiklik anlamlı değil.
- Başkan ve Başkan Yardımcılarının Bakanlar kurulu tarafından atanmasından vazgeçiliyor. Kendi içlerinde seçim yapılması öngörülüyor. Başkan ve başkan yardımcısının seçimle gelmesi, atanmıyor olması olumlu bir görüntü çizse de, kurul üyelerinin seçimi demokratik olmadıktan sonra, onların içinden yapılan seçimin anlamlı olmayacağı açıktır.
Ayrıca başta da bahsettiğimiz gibi, bu kurulun şeffaflığı yoktur. Bu kadar hassas verilerin işleneceği bir kurulun, --şikayet durumunda— soruşturulması hala Başbakanlık iznine bağlıdır. Demokrasi açısından sorunlu bir uygulama olacaktır.
B- Eleştiriler; açık rıza, hassas veri,
3. partilere aktarım vs
64. Hükümet Eylem Planı'nda yer alan Kişisel Verilerin Korunması Kanunu Tasarısı, kamuoyuna “kişisel verilerin işlenmesinin disiplin altına alınması ve anayasada öngörülen başta özel hayatın gizliliği olmak üzere temel hak ve özgürlüklerin korunması amaçlanıyor” ifadesiyle sunuldu. Ama gerçekten böyle mi? Kişisel Verilerin Korunması kanunu ile ilgili sorunları daha önce yazmıştık [1]. Sosyal medya devlerinin topladığı veriler nedeniyle, daha da hassas hale gelen bu konuya Avrupa Birliği gitgide daha çok önem veriyor. 1995 yılında sadece bir “çerçeve” olan yaklaşım, bu ay içinde Avrupa Parlamentosundan geçirilmesi beklenen bir “düzenleme”ye dönüşecek ve tüm AB üyesi ya da adayı olan ülkelerin kanunlarının bu düzenleme kapsamında olması beklenecek. Bunu şu nedenle ifade ettik. Şu anda TBMM’de bulunan yasa tasarısı, bir çok açıdan bu düzenlemeye değil, internetin henüz yaygınlaşmadığı ve sosyal medya devlerinin adının bile olmadığı 1995 çerçevesine uygun hazırlanmış durumda. Burada sorulması gereken soru şudur; NEDEN? TBMM Genel Kurulu’nda görüşülmeye devam edecek olan kanun tasarısı için bunun dışındaki eleştirileri ise özetle belirtelim;
- “Açık rıza” tanımı açık değil, dolayısıyla açık rızasız kullanılan tespit edilemez
Tasarıda, açık rıza olmadan veriler aktarılmayacaktır satırı var. Ama yasa tasarısı alt komisyondan geçerken eklenen “açık rıza”nın “bir eylemle tanımlanmalı” şartı, Adalet Bakanı tarafından “firmalara zorluk çıkar” nedeni gösterilerek ortadan kaldırılmış bulunmaktadır. Yani verilerinin izinsiz kullanılmasından şikayetçi olacak bir kişi, bu verilerin kullanımında “açık rıza”sı olmadığını gösteremeyecektir. - Kullanılmaması gereken “hassas kişisel veriler” yeni tasarıya göre kullanılabilir
Şu anda “kişisel veriler” TCK 135-140 arasındaki maddelerle korunuyor. Bu maddelerde önemli bir husus “hassas kişisel veriler ile ilgili. Hassas veriler, kişilerin ayrımcılığa uğramasına neden olabileceği için “hassas”tır. Hassas veriler elde edilemez, tutulamaz, kaydedilemez ve hatta sorulamaz. Hassas veriler olarak ; alınıyor. Bu verileri; 135-140 kullanılamaz olarak sınıflandırırken, yeni kanun tasarısı “Veri Koruma Kurulu”nun bu verileri kullanabileceğine işaret ediyor. “Önlemleri Almak” şartı getirilmiş ama Bu “hassas veriler”in hiçbir şekilde kullanılmaması gerekir. Üstüne üstlük, bu kadar taraflı seçilen bir kurula güvenebilir miyiz? Hele “din”, hele “ırk”, hele “siyasi düşünce” konularında.. Muhalefet partileri, bu konu nedeniyle kanun tasarısını “fişleme” diye adlandırıyorlar. Yani kişisel verileri koruma kanunu, verileri koruma bir yana, verilerin verilmesini kolaylaştırıyor.- Irk,
- Etnik köken,
- Siyasi düşünce,
- Felsefi inanç,
- Din,
- Mezhep veya diğer inançlar,
- Kılık ve kıyafet,
- Dernek, vakıf ya da sendika üyeliği,
- Sağlık,
- Cinsel hayat,
- Ceza mahkumiyet ve güvenlik tedbirleriyle ilgili veriler
- Biyometrik veriler
- Anonimleştirme ama Nasıl?
Bu arada tasarıda “anonimleştirme” yani verilerin 3'üncü partilere aktarımında kişinin kimliğini belirten verilerin silinmesinden bahsediliyor ama bunun nasıl olacağı ya da hangi bilgilerin silineceği yani hassas verilerin ne kadar silineceği belirsiz. - Kişisel verilerin nasıl kullanıldığı için bilgi edinme hakkı ama ücretli
İlginç bir madde de, kişisel verilerimizi kullanması için verdiğimiz ticari firmalara, bu verileri nasıl kullandığına dair bilgi sorduğumuz zaman bir ücret ödeyecek olmamız. Yani verilerimizi kullansınlar diye para istemeden veriyoruz ama nasıl kullandıkları konusunda para ödemek zorundayız. - Kişisel verilerin 3'üncü partilere aktarılmasının yolu açılıyor
Bu kanun tasarısında bir madde de, kişisel verilerin 3'üncü partilere aktarılıyor olabilmesi. "Açık rıza" ile bir yere verilen verileri, aktarmak mümkün. İlk maddede “açık rıza” tanımlı değil ifademize bakarsanız da, bunu sorgulamanın ya da “açık rızanız olmadığını” göstermenin bir yolu yok.
2011 yılındaki referandum ile “kişisel verilerin korunması temel bir haktır” maddesi Anayasa’ya girdi. Bu nedenle de hükümetin görevi bu verileri alıp, satmak ya da işlemek değil, sadece korumaktır. Bu korumayı da vatandaşları rahatsız edecek, kafasında sual bırakacak, taraflı kurulların eline verecek ya da vatandaşlar yerine şirketleri koruyacak şekilde yapılmamalıdır. Bu konuda herkesin söz hakkı vardır ve herkes kullanmalıdır. [1] Farkında mısınız? TBMM, kişisel verileriniz hakkında karar veriyor!