18 ocakta TBMM'ye gelen Kişisel Verilerin Korunması kanunu,  24 mart 2016 itibariyle yani -aradaki bütçe görüşmeleri gözönüne alınmazsa- 1 ay gibi bir sürede Alt Komisyon, Adalet Komisyonu ve TBMM Genel Kurulu süreçlerini geçti. (Kanunun TBMM Genel Kuruluna gelen halini buraya tıklayarak görebilirsiniz.

Bu kanun şimdi Cumhurbaşkanı onayına sunulacak. Ondan sonra da yürürlüğe girecek. Ancak hukukçular, muhalefet partileri ve sivil toplum örgütleri, bu kanunun bazı sorunlu alanlarına işaret ediyorlar. Dolayısıyla kanunun Anayasa Mahkemesi'ne gitmesi şaşırtıcı olmayacak. 

Çünkü kanunun uygulanmasında, Avrupa Birliği'nin uygulamaları ve özellikle Article 29 olarak bilinen emsal kararları söz konusu. TBMM Genel Kurulu'nda kabul edilen kanunun içinde bazı hususlar bunlarla çelişiyor. Zaten daha önce bir çok kez belirttiğimiz üzere, kanun yeni olduğu halde, Avrupa Birliği'nin 2012'den bu yana üzerinde çalıştığı regülasyona (düzenlemeye) uymayan tarafları var. AB aralık ayında düzenlemenin Mart 2016'da çıkacağını açıklamıştı. Daha sonra bu tarih Mayıs 2016 olarak (turk-internet.com AB yazışmalarında aldığımız tarih) olarak güncellendi.

"Para ödemiyorsanız, ürün sizsiniz" ama nereye kadar ve kontrolü var mı?

Bugünün dünyasında, parasız kullandığımız sosyal medya ya da Gmail / Google gibi diğer internet olanakları var. Bunlar sundukları ve sürekli geliştirdikleri müthiş teknolojilere karşı sizden para istemezler. Ama bu teknoloji devleri herhalde "suyla çalışmıyor." Maaşlarını, kiralarını, hele sunucu/yayın maliyetlerini ve diğer masraflarını nasıl ödüyorlar?

Bunun için sizin anonimleştirilmiş verilerinizi kullanarak reklam alıyorlar. Örneğin, bir seyahat sitesinde otellere baktığınızda, önünüze o şehrin otellerine dair reklamların gelmesi, bunun bir tezahürüdür.

Peki, bu firmalar –bazen de iş ya da özel bilgilerimizi yazdığımız-- maillerimizi ya da halka açık olarak koysa bile resimlerimizi, diğer bilgileri koruyorlar mı? Ya da nasıl ve ne kadar koruyacaklar?

İşte Avrupa Birliği bu konuda ilk zamanlardan beri uyanık davranmış ve "Veri Koruma (Data Protection) konusunda kurallar koymuş;

·       1981'de Bilgisayarların yaygınlaşmasına, 108 sayılı sözleşme ile

·       1995'de İnternetin yaygınlaşmasına karş,ı 95 çerçevesi ile

·       2012'den itibaren Sosyal medyanın yaygınlaşmasına, 2016 regülasyonu ile cevap veriyorlar.

Türkiye bunların sadece ilkinde vardı. Yani 1981'de 108 nolu sözleşmeye imza atmıştı. Ama yaygınlaşan internet ve çılgınlık haline gelen sosyal medyaya karşın, bugüne kadar "Kişisel Verilerin Korunması" konusunda korunmasız durumdaydık. TCK 135-140 arasındaki maddeler ve BTK'nın elektronik verilerin korunması yönetmeliği vardı ama böylesine önemli bir konuya dair temel bir kanun yoktu.

2011 yılında yapılan anayasa referandumundaki maddelerden birisi de, anayasaya kişisel verilerle ilgili madde eklenmesiydi. Bu değişiklik nedeniyle de, o günden bu yana bir kanun yapılması gerekiyordu. Geçen yıl gelen bir tasarı, sonuca erememişti.

18 ocakta gelen yeni tasarının TBMM'den geçmesi yani bir “Kişisel Verilerin Korunması” kanunumuz olması bu nedenle olumludur. Hem bireyler için, hem de Avrupa ve benzeri kanuna sahip ülkelerle ticaret yapmak isteyen kurumlar için bu kanun önemlidir.

Peki 35 yıldır beklediğimiz kanun bu mudur?

Bu kanun gereklidir ve önemlidir dedik. 1981 yılından bu yana yani 35 yıldır beklenen bir kanundur. Ama TBMM'den geçen kanunda önemli problemler gözüküyor. Uzmanlar, bu haliyle Anayasa Mahkemesine taşınmasının çok muhtemel olduğunu ve aday ülke sıfatıyla sürdürülen AB uyum çalışmaları açısından da sorun çıkacağını öngörüyorlar. 

Neler sorun ya da iyi olarak görülüyor bakalım (temel sorunlara ve olumlu noktalara bakıyoruz);
 

Veri Koruma Kurulu oluşumu açısından siyasi gözüküyor,

Kişisel verilerin korunması için, 200 civarı rekor sayıdan oluşan bir Veri Koruma Kurulu oluşturuluyor. Bu kurulun kadroları ve hakları, kanun tasarısının içindeki en büyük bölümü oluşturuyor.

Kurul ilk taslakta 7 kişiydi. İtirazlar üzerinde sayı 9 kişiye çıkarıldı. Cumhurbaşkanı 2 kişiyi, Bakanlar Kurulu 2 kişiyi, TBMM 5 kişiyi seçiyor. Bu haliyle hayli siyasi gözüküyor.

Gerçi "herhangi bir siyasi partiye üye olamayacak" gibi maddeler de var ama bu kurulun neredeyse 7 kişisinin tek bir partiye yakın olma olasılığı yüksek. 

Bu kurul, veri işlemede istisnalar tanımlayabiliyor. Bunu da "yeterli önlemler alınarak" diye tarifliyorlar. Ama bu tedbirler nedir bilemiyoruz. tedbir alınsa bile, siyasi bir kurulun hangi verilerimizi, nasıl işleyeceği önemli bir sorun. 

Bugünkü durumu düşünmesek ve TBMM'de sayısal üstünlüğü olan partinin TBMM içinden gelen kişilerin çoğunluğunu ve Bakanlar Kurulu da 2 kişiyi seçtiğini düşünsek bile yine de Veri Koruma Kurulu'nun çoğunluğunun taraflı olabileceğini görmek lazım. Bu kurulun "din, mezhep, siyasi tercih, cinsel tercih" gibi hassas konularda istisna kararları verebileceğini düşünürseniz, bu kişisel veriler açısından sorunlu bir alan.

Ayrıca bu kurulun soruşturulmasının da, başbakan iznine bağlı olması, şeffaf olamayabileceğini düşündürtüyor.
 

Açık rıza tanımlı değil
 

Kanuna baktığınızda "kişisel verilerin ancak rıza halinde işlenebileceği" bilgisi var. Bu çok olumlu bir durum. Ama bu rızanın nasıl tanımlandığı da önemli. Hukukçular ve muhalefet ilk günden bu yana, bu konuya dikkat çekiyorlar.

Verilerinizi alan bir kuruluşun, istisna ya da izin ile başka bir kuruma aktarma hakkını alabildiğine dair maddeye bakarsanız, açık rızanın daha da önemli olduğu ortaya çıkar. Bu aktarma ile ilgili sorun yaşarsanız, "açık rızanız" olmadığını ispatlama şansınız yok.

Açık Rıza, "bir eylemle" tanımlanan rıza cinsi olarak veriliyor. Bu eylem bir yazılı belge, sözlü ise kayıt ya da elektronik bir belge olabilirdi. Ama yeni oluşan kanunumuz bunu atladı. Daha doğrusu alt komisyondan tanımlı geldi ama Adalet Bakanı Bekir Bozdağ'ın talebiyle "Açık Rıza" tanımı "firmalara zorluk çıkarmasın" denilerek metinden çıkarıldı.
 

 Hassas verilerin işlenmesi için istisnalar var

Bir başka konu da, işlenmesi durumunda kişilerin ayrımcılığa uğramasından korkulduğu için "hassas veri" olarak adlandırılan aşağıda sıralanan verilerin, Veri Koruma Kurulu'nca alınacak önlemlerle (bu önlemlerin ne olduğunu henüz bilemiyoruz) işlenebilir olması. Bunlar;
 

• Irk, 
• Etnik köken, 
• Siyasi düşünce, 
• Felsefi inanç, 
• Din, 
• Mezhep veya diğer inançlar, 
• Kılık ve kıyafet, 
• Dernek, vakıf ya da sendika üyeliği, 
• Sağlık, 
• Cinsel hayat, 
• Ceza mahkumiyet ve güvenlik tedbirleriyle ilgili veriler 
• Biyometrik veriler 

şeklinde sıralanıyor. Daha önceki uygulamada bu veriler hiçbir şekilde işlenemiyordu. 

Taslağa bakılırsa, bu veriler kişinin rızası olmasa bile “Veri Koruma Kurulu” önlem alırsa, işlenebiliyor. Oysa Veri Koruma Kurulu oluşturulma yönteminin “siyasi” olması bir yana, “hassas veriler” istisnai durumlarda bile işlenmemesi gereken veriler. Hele ki, "din", "ırk", "mezhep" gibi hassaslıkların olduğu ülkemizde bu veriler neden işlensin ki?

Zaten aday ülkelerin uyması gerekn Avrupa regülasyonuna göre de işlenmemesi gereken veriler. Muhalefet partileri ve uzmanlar, bu konuya özellikle dikkat çekiyorlar.
 

Olumlu bir gelişme; verilerin silinmesi, yok edilmesi, anonim hale getirilmesi

Daha önce pek çok kere, verilerin toplanabildiğini yaşadık, gördük. Buna karşılık bu verilerin silinmesi, yok edilmesi, anonim hale getirilmesi gibi konular yoktu. Kanunda bu durum “yönetmelikle düzenlenecek” şeklinde tanımlanmış. Yönetmeliğin nasıl maddeler içereceğini bilmiyoruz ama yine de olumlu bir gelişmedir. Benzer olduğu için Avrupa Birliği’nin “Unutulma Hakkı” konusundaki çabasını hatırlatalım. 

 

Üçüncü partilere aktarım ama nasıl?

Yukarıda "Açık Rıza" bölümünde bundan bahsettik ama önemli olduğu için kendi başına da sorun olduğunu tekrar vurgulayalım, “Veri Koruma Kurulu” önlem alırsa, şartlar oluşursa, veriler üçüncü partilere de aktarılabiliyor, satılabiliyor. Yani vatandaşlarının verilerini koruması gereken devlet, tasarıya göre bu verilerden para kazanılmasını ve hatta kendisinin de kazanmasını hedefleyebiliyor. Oysa devletten beklenen, verilerin korunmasıdır.

Verilerin yurtdışına aktarılması

Kanundaki olumlu bir diğer madde ise, Kişisel Verilerin açık rıza olmadan yurt dışına aktarılmaması. Gerçi "Açık Rıza" konusunda halen sorun var ama bu konu son günlerde popülist bir yaklaşımla ifade edildiği gibi "Rıza Sarraf" maddesi değil. Bu madde herkes için gerekli olabilecek bir madde.

Kişisel veriler, uluslararası sözleşme hükümleri saklı kalmak üzere Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, ancak ilgili kamu kurum veya kuruluşunun görüşü alınarak Kurulun izniyle yurt dışına aktarılabilecek.

Verilerde bilgi hakkı

Kanun sayesinde herkes, kendisiyle ilgili kişisel veri işlenip işlenmediğini öğrenebilecek, kişisel verileri işlenmişse buna ilişkin bilgi talep edebilecek, kişisel verilerin aktarıldığı üçüncü kişileri bilebilecek, kişisel verilerin eksik veya yanlış işlenmesi halinde bunların düzeltilmesini isteyebilecek, kişisel verilerin silinmesini veya yok edilmesini isteyebilecek, kişisel verilerin ilgili kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep edebilecek.

Tasarıyla, veri sorumlusunun veri güvenliğinin sağlanmasına ilişkin yükümlülükleri düzenleniyor. Buna göre, veri sorumlusu, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, bu verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alacak.

 

MİT, istisma kapsamında veri işleyebiliyor

Kişisel veriler, milli savunmayı, milli güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görevli ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi de istisna kapsamına alınmış. Buna göre, Milli İstihbarat Teşkilatı ile diğer istihbarat birimlerinin milli savunmayı, milli güvenliği, kamu güvenliğini, kamu düzenini ve ekonomik güvenliği sağlamaya yönelik faaliyetler kapsamında işlediğiveriler düzenleme kapsamı dışında olacak.
 

Veri Koruma Kurulu ve gelirleri

Veri koruma üyeleri kanunun yayınlanmasından sonraki 6 ay içinde seçilecek. İlk başkan, başkan yardımcısı ve kurayla belirlenen 2 üye 6 yıl, diğer üyeler ise 4 yıl süreyle görev yapacaklar. Kurumun gelirlerini, Hazine yardımları, taşınır ve taşınmazdan elde edilen gelirler, alınan bağış ve yardımlar oluşturacak.
 

Hipokrat yemini ne oluyor?

Baştan beri Türk Tabibler Birliği'nin hassaslıkla sağlık verileri konusunda çalışıyor. Biraz onların çabaları, biraz da muhalefetin çalışması sayesinde, istenilen düzeyde olmasa da kanunda sağlık verileri ile ilgili bazı iyileştirmeler yapıldı. Bakanlık, sağlık hizmetinin verilmesi, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması ve finansmanı amacıyla elde edilen verileri alarak işleyebilecek. Bu veriler Kişisel Verilerin Korunması Kanunu'nda öngörülen şartlar dışında aktarılamayacak. Bakanlık, toplanan ve işlenen verilere, ilgili kişilerin kendilerinin veya yetki verdikleri üçüncü kişilerin erişimlerini sağlayacak bir sistem kuracak.

Bakanlık, düzenleme uyarınca elde edilen kişisel sağlıkverilerinin güvenliğinin sağlanması için gerekli tedbirleri alacak. Bu amaçla, sistemde kayıtlı bilgilerin hangi görevli tarafından ne amaçla kullanıldığının denetlenmesine imkan tanıyan bir güvenlik sistemi kuracak.

TBMM'den geçen haliyle sorun olan bazı konuların çözülmesi lazım. TBMM’den geçerken maalesef bu yapılmadı. Bu kanun sadece bireyleri değili firmaları da ilgilendiriyor. Bugüne kadar kanun olmadan önce, yönetmelik çerçevesinde ya da değil, veri toplayan firmalar var. Bunlar ne şekilde davranmaları gerektiğine dair çeşitli sorular sormaya başladılar.