Adalet Bakanlığı tarafından hazırlanan ve Bakanlar Kurulu tarafından 7 Nisan 2008 tarihinde kabul edilen “Kişisel Verilerin Korunması Kanunu Tasarısı” 22 Nisan 2008’de TBMM’ne verildi. Tasarı Adalet Komisyonunda tartışılıyor.
Kanun tasarısının amacı, kişisel verilerin işlenmesinde kişinin dokunulmazlığı, maddi ve manevi varlığı ile temel hak ve özgürlüklerinin korunması ve kişisel verileri işleyen gerçek ve tüzel kişilerin uyacakları esas ve usullerin düzenlenmek…
Tasarının amacı nedir?
Yasanın genel gerekçesine göre, çağımızda insan haklarının korunması kavramına dayanan bir “felsefenin” kişisel verilerin korunması alanında da yer alması zorunludur.
Bu haklı ve doğru bir görüş olarak Tasarının gerekçesinde yer almış durumda. Hatta çıkarılacak tüm yasaların benzer ve aynı felsefeye sahip olmaları da yasa koyuculardan beklenen en önemli sonuçlardan birisidir kuşkusuz. Ama bu tasarı açıklanan felsefesine ve amacına aykırı…
Tasarının genel gerekçesinde; Kişisel Nitelikteki Verilerin Otomatik İşleme Tabi Tutulması Karşısında Şahısların Korunmasına Dair Sözleşme, Avrupa İnsan Hakları Sözleşmesi’nin özel yaşamın korunması hakkını düzenleyen 8’inci maddesi, Türk Medeni Kanunu’nun hukuka aykırı olarak kişilik hakları saldırıya uğrayan kişilerin, hakimden saldırıda bulunanlara karşı korunma isteyeceği hakkındaki 24’üncü maddesi, TCK’nin kişisel verileri hukuka aykırı olarak kaydeden kişilerin cezalandırılmasına ilişkin 135’inci maddesi ile kişiler arasındaki muhaberatın gizliliğinin korunmasının esas alındığına özellikle değiniyor.
Kanun Tasarısının amacı nedir? Tasarının 1’inci maddesinde kanunun amacı, kişisel verilerin işlenmesinde kişinin dokunulmazlığı, maddi ve manevi varlığı ile temel hak ve özgürlüklerinin korunması ve kişisel verileri işleyen gerçek ve tüzel kişilerin uyacakları esaslardır.
Kişisel verilerin toplanması, sınıflandırılması ya da işlenmesi
Ancak pek çok tanımı ve tartışmayı da beraberinde getirecek olan bu çok basit ama çok yönlü amaç bakımından tasarı ikiye ayrılarak değerlendirilmekte yarar var.
Öncelikle bu kanun tasarısındaki tanıma göre “kişisel veri”, kimliği belirlenebilir gerçek ve tüzel kişilere ilişkin bütün bilgilerdir. İşte bütün bilgilerin nasıl toplanacağı, nasıl korunacağı, nasıl kullanılacağını bu kanun düzenleyecek.
“Bütün bilgiler” denilence de sadece nüfus kütüğü, öğrenim düzeyi, adres, iş, sabıka, vergi, pasaport gibi ‘teknik’ kayıtlar anlaşılmamalıdır.
Tasarıya göre, ırk, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, dernek, vakıf, sendika üyeliği, sağlık ve özel hayatla ilgili veriler kayıt altında işlenemez. İşte kişisel veri olarak bütün bilgilere bunlarda dahildir ama kayıt altına alınarak veri kütüğüne “işlenmesi” yasaklanmıştır. İstisnası ise; “Ancak kanunun öngördüğü bir zorunluluk dolayısıyla kamu yararına veya resmi olarak verilmiş bir görevin yerine getirilmesi amacıyla işlenebilir.”
Demek ki, kayıt olarak tutulacaktır. Ancak işlenmeyecektir. Ne zaman “kanunun öngördüğü zorunluluk” ortaya çıkarsa ve / veya “kanun yararı” ortaya çıkarsa ve/veya “resmi olarak bir görevin yerine getirilmesi” söz konusu olursa; bu kişisel veriler dahi işlenecek ve gerektiğinde “aktarılabilecektir. Böyle bir düzenleme ile bu tasarının amacını tartışmalı hale getirmektedir.
O halde ilk sorun; kişisel verilerin toplanması ve sınıflandırılması ya da işlenmesidir. Bu işlem “hukuka uygun” yapılmalıdır. Yani, veri toplama meşru ve hukuka uygun yollarla gerçekleşmeli. Özellikle kişilerin bilgisi içinde ve rızasıyla gerçekleştirilmelidir.
Tüm bilgiler doğru ve güvenilir olmalıdır. Çok daha önemli olan ve ilkesel olarak uyulması gereken kural ise; örneğin niçin veri toplandığı konusundaki amacın çok açık ve anlaşılır olmasıdır.
Tasarı, amacına ve uluslar arası sözleşmelerin düzenlemelerine aykırı
Verilerin amaç dışında kullanılması kesinlikle yasaktır. O halde bu konudaki “denetim” demokratik ve temel hakların korunmasındaki temel normlara uygun olmalıdır. Burada sözü edilen “idari denetim” değildir. Asıl olan “yargısal denetim” ve bu denetimin sağlanmasıdır.
Çok daha önemli bir başka sorun ise Türkiye’de her zaman tartışmalara neden olan “ölçülülük” ilkesinin olaylara nasıl uygulanacağı konusundaki ölçüdür. İşte bu noktada bu kanun tasarısı ile kurulması düşünülen idari denetim mekanizmasını sağlama amaçlı “Kişisel Verileri Koruma Kurulu” sorun yaratacak bir yapıdır.
Yetkili olmayan kişilerin, açıklanmaması gereken kişisel verilere ulaşması önlenmeli ve kimin hangi konuda yetkili olduğu net olmalıdır.
Kişisel verilerin yenilenmesi veya imhası en az toplanmaları ve işlenmeleri kadar önemlidir.
Kısacası Avrupa Konseyi’nin kişisel verilerle ilgili sözleşmesi esas alınmalıdır. Tasarı ise, amacına ve uluslar arası sözleşmelerin düzenlemelerine aykırıdır.
Bilgileri kim işleyecek, kim kayıt alltına alacak?
Kanunun uygulanmasında karşılaşılacak en önemli güçlük, kişisel verilerin üçüncü kişilere aktarılmasında karşımıza çıkacak.
Tasarının düzenlemesine göre kabul edilen kıstaslar içinde; kişisel verilerin aktarılmasını isteyen gerçek veya tüzel kişiler için “belirli bir olayda” ve “kanundan doğan bir görevin yerine getirilmesi” amacıyla kişisel verilerin aktarılması uygun görülüyor.
Milli güvenlik, milli savunmanın sağlanması, suçun önlenmesi veya soruşturulması amacıyla yapılan istihbarat faaliyetlerinde de kamu kuruluşlarına bilgilerin aktarılması kabul edilmiştir.
Örneğin Milli İstihbarat Teşkilatı, Emniyet ya da Jandarma “istihbarat” veya “suç soruşturması” faaliyeti nedeniyle bu bilgilerin istisnasız olarak aktarılacağı kurumlar arasındadır.
Bu aktarımları bu tür genel tanımlarla ya da “kanundan doğan görevin yerine getirilmesi” gibi kavramlarla açıklamak zordur.
Doğru bir tanım değildir ve uygulamada çok önemli sorunlar yaratır.
Kim bu bilgileri işleyecektir? Kim kayıt altına alacaktır? Kimler ve hangi gerekçeyle bu bilgileri kime ve nasıl aktaracaktır? Bu sayılan “kimleri” kim denetleyecektir?
Sorunları belirlen bu sorular önemlidir. Kişisel veriler ancak özel amaçlarla bir kütükte toplanabilir. Veriler amaca aykırı olarak açığa vurulamaz. Dolayısıyla bu tür veri açıklaması ya da aktarımında demokratik toplum düzeni ilkelerine aykırı olarak gerçekleşmesi kuvvetle muhtemel görünen, aktarımlardaki “ölçülülük” kuralının aşılması olasılığı çok yüksektir.
O nedenle taslakta her ne kadar “kişilerin ırk, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançları, dernek, vakıf ve sendika üyeliği, sağlık sorunları ve özel yaşamları ile her türlü mahkumiyetleri kişisel veri olarak işlenemez” ilkesi kabul edilmiş ise de; bu ilkeyi esneterek konulan bu tür istisnalarla temel ilkeler işlemez hale gelir.
Asıl temel hak ve özgürlüklerin korunması istisna, bu tür istisnalar ise “kural” olur. O nedenle bu taslak amacına uygun olarak yapılmak istenen kanun anlayışına aykırı olur. Çünkü bu ilkeyi kural olarak kabul ettikten sonra getirdiğiniz her “istisna” asıl kuralı ortadan kaldırır.
İstisnalar, kural olur. Tasarı istisnaları kural yapmaya çok yatkın...
Tasarıyla “Kişisel Verileri Koruma Kurulu” oluşturuluyor. Ancak bu Kurul üyeleri Bakanlar Kurulu tarafından seçilecek. Yürütme, yine çok önemli bir alanda ve yine çok önemli bir kurul oluşturuyor.
Kurulun niteliği ve üyelik nitelikleri fevkalade önemli. Ama tasarı bu kurula yeterli önemi vermiyor. Sadece yüksek öğrenim görmüş olmak, on yıl öğretim üyeliği veya özel veya kamu hizmetinde en az on yıl fiilen görev yapmış olmak yeterli olamaz.
Uzmanlık isteyen, hukuk bilgisi isteyen veya en azından özel yaşam veya kişilik haklarının ihlali konusunda bilgi isteyen kurul üyeliği için, salt bu nitelikler yeterli değildir. Çünkü bu kurul devletin bir kurumu olmamalı. Üyeleri de devlet memuru zihniyeti ile çalışmamalıdır. Ama ortaya çıkan tablo da budur.
Kurulun bağımsız olarak yetki kullanması konusunda kanunen yetkilendirilmesi başkadır; Kurulun yetkilerini kullanmak için bağımsız olması farklıdır.
Eğer bağımsız idari otorite niteliğinde bir kurul isteniyorsa; Kurulun seçiminden yapılanmasına, yetkilerinin belirlenmesinden bağımsızlığına varıncaya kadar düzenlemeyi kurulun kendisine bırakmak gerekir.
Yani kurul özerk ve bağımsız olmadıkça; istediğiniz yetkiyi verin, istediğiniz kadar yetkilerin bağımsız olarak kullanılacağını yazın, yeterli değildir. O nedenle yeni bir kurul oluşumu ile karşı karşıya kalıyoruz ve bu kurulun yetkilerini kullanması yeni tartışmalar yaratır. .
Tasarı tartışmaya açılmalıdır. Aksi takdirde bu haliyle herkesin kişisel verileri ve bu verilerin kullanılması hakkındaki yöntemler yeni sorunlar yaratır.
Uluslararası ilişkiler çerçevesinde diğer devletlere veri aktarımı sırasında bile temel kural, gerçek kişilerin temel hak ve özgürlüklerinin ve özellikle kişilerin kendilerini ilgilendiren kişisel nitelikteki verilerinin otomatik bilgi işleme tabi tutulması karşısında, özel yaşam haklarını güvence altına almaktır.
Bu tasarı, bu hakkı kabul etmesine karşılık, yarattığı istisnai hükümlerle tartışmalara neden olacak, hak ihlallerine potansiyel zemin hazırlayacak özellikler taşıyor. (Fİ/EZÖ)