Görüş
Kişisel Verilerin Korunması Kanunu ne vadediyor?
Şu sıralar Meclis gündeminde yer alan Kişisel Verilerin Korunması Kanun Tasarısının kısa sürede yasalaşması bekleniyor. Peki, bu kanun nasıl ortaya çıktı, bireyler ve şirketler açısından neler getiriyor ve hangi noktaları eksik bırakıyor?
kişisel verilerin korunması serüveni 80’li yıllarda başladı. dünyada hızla yayılan dijitalleşme akımıyla, eski zamanlarda kâğıtlara basılan ve kilitler arkasında muhafaza edilen bilgilere erişim kolaylaştı. 1981 yılında avrupa konseyi bünyesinde hazırlanan “kişisel verilerin otomatik işleme tâbi tutulması karşısında bireylerin korunmasına ilişkin sözleşme”, kişisel verilerin korunması alanında bir ilki gerçekleştirdi. sözleşme uyarınca, dijital ortama aktarılan ve hızla dolaşıma giren verilerin/bilgilerin korunması sağlanacak, korunamadığında ise bunun sorumluları bilinebilecekti. türkiye aynı yıl diğer konsey üyeleriyle birlikte sözleşmeyi imzaladı. ancak sözleşmeyi onaylamayı 35 yıl boyunca erteledi. böylece sözleşmenin imzacı devletlere yüklediği yükümlülüklerden de bugüne dek muaf kaldı.
2000’lerin başlarına gelindiğinde türk ceza kanunu, türk borçlar kanunu gibi muhtelif kanunlara “kişisel verilerin korunması” ile ilgili bazı genel hükümler yerleştirildi. 2010 yılındaki referandumla ise bu konuya özel anayasal hak ve koruma getirildi ki bu çok önemli bir gelişmeydi. bunların yanı sıra haberleşme, bankacılık vb. sektörlere yönelik ikincil mevzuat (yönetmelikler vb.) oluşturulmasına da devam edilmekteydi. anayasa değişikliğinin üzerinden 5 yıl gibi uzun bir süre geçmesine rağmen, kişisel verilen korunmasına dair özel bir kanun çıkartılmadı; böylelikle düzenleme ve denetleme yapacak bağımsız bir otorite hayata geçemedi.
bu uzun serüvenin ardından, tozlu raflarda bekleyen, metni pek çok defa değiştirilen ve düzeltilen kişisel verilerin korunması kanun tasarısı, meclis komisyonlarında kabul edilerek genel kurul’a sunuldu. maddeler üzerinde müzakereleri devam etmekte olan kanunun kısa bir süre içerisinde kabul edilerek yürürlüğe girmesi bekleniyor.
nereden nereye
her ne kadar almanya ve isviçre gibi ülkeler özelinde daha erken başlamış olsa da, 1981 sonrasında avrupa’da gerek üye ülkeler, gerekse de birlik politikaları düzeyinde bu alanda muhtelif düzenlemeler hızla hayata geçirilmeye başlandı. 1995 yılında çıkarılan 95/46/ec sayılı veri koruma direktifi (ab direktifi), sektörel direktifler ile ab temel haklar şartı’nda ve avrupa birliği’nin işleyişi hakkında antlaşma’da yer alan kişisel verilere ilişkin hükümler bu konuda hâlâ önemli bir temel oluşturuyor. ayrıca avrupa konseyi tavsiye kararları da kişisel verilerin korunması sürecini hızlandıran bir etkiye sahip.
avrupa’da hayata geçirilen düzenlemelerin özellikle türkiye açısından dikkate değer olduğunu söyleyebiliriz. zira ab’ye üyelik sürecinin olmazsa olmaz müzakere başlıkları, doğrudan kişisel verilerin düzenlenmesini ve korunmasını da öngörüyor. dolayısıyla, bu kanunun çıkarılması, ab uyum sürecinin ilerlemesi için türkiye tarafından atılması gereken adımlardan biriydi. öyle ki, ab ilerleme raporları, türkiye’nin kişisel verilerin korunması alanında ab müktesebatıyla uyumlu düzenlemeleri hayata geçirmesi ve bağımsız bir “veri koruma ve denetleme kurumu” oluşturması gerektiğini sürekli vurguluyordu. ek olarak, hâlihazırda devam eden vize serbestisi diyaloğu bağlamında da böylesi bir kanun gerekliydi.
nedenleri çoğaltmak mümkün, ama herhalde en can alıcı nokta, "bu kanunun yürürlüğe girmesiyle hayatımızda neler değişecek?” sorusuna verilecek cevapta yatıyor. öncelikle belirtmek gerekir ki, yeni kanunla en azından sağlık ya da iletişim verilerimiz üçüncü kişilere usulsüz olarak devredildiğinde sorumluları muhatap alabileceğiz. zira kişisel verilerin kanuna aykırı olarak üçüncü kişilerle paylaşılması ya da şahsi çıkar için kullanılması da bu tasarıda geçen yasaklar arasında.
kanun, belirli ya da belirlenebilir kişilere ait verileri “kişisel veri” olarak tanımlıyor. örneğin, adınız ile birlikte yaşınızın bir dosyada kaydedilmesi kişisel veri olarak değerlendirilmiyor. zira sadece ad ve yaş bilgisinden yola çıkarak kişinin kimliğinin saptanabilmesi mümkün değil. en önemlisi, kişisel verilerin işlenmesi için veri sahibinden açık rıza alımının şart olması. fakat mehaz alınan ab direktifi’ne paralel birtakım istisnalar da mevcut. hassas veriler olarak nitelenen kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik veriler, açık rıza olsa da birtakım ilave tedbirlerle işlenebilecek.
öte yandan tasarının 28. maddesinde kamu kurumları lehine getirilen geniş istisnalar, kişisel veriler alanında bireylerin daha ziyade özel kuruluşlara karşı korunmasının esas alındığını gösteriyor. yine de özel yasanın olmadığı mevcut durumun devam etmesindense, eksik de olsa bu yasa ile bir yerlerden başlamaya razı olacağız gibi duruyor.
“olsaydı” dediklerimiz
kanun, 1995 tarihli ab direktifi’ne uyumlu hazırlandı, ancak hâlihazırda ab’de kişisel verilerin korunmasına dair 2012’de başlayan, verilerin ekonomik boyutunu da hesaba katan bir reform süreci yaşanıyor. geçtiğimiz yirmi yıl içerisinde yaşanan teknolojik gelişmeler ve verilerin ekonomik değer ifade eder hâle gelmesi, bu reformu kaçınılmaz kıldı. hatırlanacağı gibi, birkaç yıl önce sosyal medya devi facebook, 19 milyar dolar vererek bugün son derece yaygın kullanım ağına sahip olan whatsapp uygulamasını satın almıştı. bu uygulama, epey basit bir yazılımdan oluşuyor, dolayısıyla teknik açıdan pek de cazip değil. ancak facebook’un yatırımı, bu basit yazılımdan ziyade, milyonlarca kullanıcının “rıza göstererek” uygulamanın kullanımına sunduğu kişisel verilerdi. bu açıdan bakıldığında bu satın almanın ne denli geniş bir kullanılabilir/işlenebilir veri bankasının el değiştirmesi anlamına geldiği görülecektir.
ab’deki reform süreci, birlik içerisinde toplanan kişisel verilerin yine birlik sınırları dâhilinde tutulması ve “unutulma hakkı”nın tanınması gibi dikkate değer başlıkları da gündeme getiriyor. ab’de işleyen reform sürecinde öngörülen unutulma hakkı, ilgili ab direktiflerinden ilhamla hazırlanan yasa tasarısında “keşke olsaydı” dediğimiz eksikliklerden birisi. bu hak, hiçbir zaman kaybolmayan ama hatırlamak istemediğiniz verilerin silinmesine imkân sağlıyor. örneğin, bir şirketin yöneticisi ya da çalışanı tarafından işlenen bir suç, o şirketin ticari itibarına, marka değerine zarar verdiği için, internette yapılan arama sonuçlarında bu içeriklerin kaldırılması talep edilebilir. kararda, her ne kadar yargılamalar herkese açık olsa da, cinsel saldırı suçundan mağdur olan bir kişinin ad ve soyadının kitap, dergi, makale, dijital yayınlar ve arama sonuçlarında “anonimleştirilerek ya da rumuzlanarak” yer alması gerektiği belirtiliyor. olumlu bir gelişme olarak geçtiğimiz haziran ayında, yargıtay bu konuda önemli bir içtihat oluşturdu ve ilk defa unutulma hakkını tanımladı. dolayısıyla, ileride bu hakkın açık bir şekilde düzenlenmesine ihtiyaç duyulacağı kesin görünüyor. ancak unutmamak gerekir ki, ifade özgürlüğü ve özel hayatın gizliliği ile kişisel verilerin korunması arasında dengeli bir yaklaşım geliştirilmesi, bu hakkın kullanılması için belirleyici olacaktır.
kanun resmî gazete’de yayınladıktan sonra, adaptasyon için bir geçiş dönemi belirlenecek. bu sürede, (özel hastaneler, bankalar, telekom şirketleri gibi) kişisel veri tutan şirketler, önce veri siciline kaydolmak, ardından hâlihazırda tuttukları verileri kanunla uyumlu hâle getirmek zorunda olacaklar. bir başka deyişle, kişisel veriler işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olacak tutulabilecek. aksi takdirde hapis veya idari para cezaları gündeme gelecek.
sonuç olarak, kişisel verilerin korunması konusunda ülkemiz için geç de olsa artık yeni bir dönem başlıyor. kişisel verilerin korunmasına dair toplumsal farkındalık oluşması ve ilgili kurumların hayata geçirilmesi ile bu önemli kanunun tam olarak uygulanması mümkün olacak. teknolojinin gelişimi, sosyal medya kullanımının yaygınlaşması, mahremiyet ve güvenlik dengesi arayışı gibi olgu ve tartışmalara bakacak olursak, kişisel verilerin korunması konusunun gündemimizi meşgul etmeye devam edeceği aşikâr. ancak bir yandan da ab’ye üyelik süreci yönünden önem arz eden kişisel verilerin korunması kanunu’nu memnuniyetle karşılıyor ve bu hukuk sisteminin sosyal ve ekonomik hayatımızda en kısa sürede yerleşmesini temenni ediyoruz.
avukat oğuz kaan pehlivan, bilkent üniversitesi hukuk fakültesi’nden mezun oldu. uluslararası hukuk ve siber güvenlik alanlarında uluslararası stratejik araştırmalar kurumu’nda araştırmacı olarak çalıştı. ingiliz hükümet bursuyla gittiği ingiltere’de kişisel verilerin korunması alanında queen mary university of london’da yüksek lisans yaptı. yükselkarkınküçük avukatlık ortaklığı’nda kişisel verilerin korunması, siber güvenlik ve bilişim hukuku konularında avukatlık ve hukuki çalışmalar yapıyor.
twitter'dan takip edin: @ouz_pehlivan
bu makalede yer alan görüşler yazara aittir ve al jazeera'nin editöryel politikasını yansıtmayabilir.
Yorumlar