Türkiye Cumhuriyeti'nin “Kişisel Verileri Korumama” Israrı [I. Bölüm]

Türkiye’nin yasalaşma serüveni/sürüncemesi en uzun olan kanunu niteliğini haiz olacak Kişisel Verilerin Korunması Hakkında Kanun’un tasarı metni de pek çok defa değiştirildi, bazı yasama dönemlerinde kadük kaldı ve güç bela nihayet TBMM’nin 26. döneminde ilgili komisyonlarda kabul edilerek Genel Kurul’a sunulabildi.

Kişisel verilerin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olacak  şekilde tutulup işlenebilmesinin detaylarına dair olan kanun tasarısının maddeleri üzerinde devam eden genel kurul müzakerelerine, bu sefer de altıncı maddesine gelinebildiğinde başlayan bütçe görüşmeleri yüzünden ara verilmiş olsa da, tasarı belki de artık gerçekten de bugüne kadar geçirdiği serüvenin uzunluğuna oranla “kısa” bir süre içerisinde kabul edilerek kanunlaşıp yürürlüğe girecek gibi gözüküyor.

Kanunun getireceği yararı çok basit olarak belirtmek gerekirse; yeni kanunla örneğin sağlığımızla ya da iletişimimizle ilgili verilerimiz bu konuda izin vermediğimiz üçüncü kişilerin eline geçtiğinde buna neden olan kişiler artık hukuken sorumlu tutulabilecekler, hapis ve idari para cezaları gündeme gelecek ve de bu hususları izleyen, denetleyen ve inceleyen özel bir kurul olacak. Kişisel veri kaydeden şirketler de hali hazırda ellerindeki verileri kanunla uyumlu hâle getirmek zorunda kalacak.

Peki bu konu neden bu kadar uzun süre bir kanun çerçevesine alınamadı? Madem vatandaş için bu kadar yararlı bir durum söz konusu, bu kadar gecikmenin ve yazıda detaylarını bulabileceğiniz tartışmaların nedeni nedir?

Her şeyin üstünde de aslında kanunun şu an bulunduğu haliyle çıkmasının aslında neden “hiçbir şey” ifade etmediğini ya da daha doğrudan bir deyimle tasarının nasıl olup da kanunun başlığının tam aksini, yani “kişisel verileri korumamayı” amaçlayan bir hale getirildiğini ve de bizatihi şirketlerin bunları toplamasını/kaydetmesini/işlemesini kolaylaştıran ve bu konuda kanunda sayılan son derece geniş istisnalar sayesinde kişisel veri toplama/kaydetme/işleme konusunda devlete adeta tam yetki sunan bir düzenlemeye dönüştürüldüğünü okuyacaksınız ilerleyen satırlarda.

Öyle ki teknolojinin gelişimi, yeni medya araçlarının yaygınlaşması biz hukukçulara uzundur mahremiyet/güvenlik terazisinde denge arayışları/tartışmaları yaptırsa da, kişisel verilerin korunmasına dair devlet düzeyinde yaşanan umarsızlığın nedeni de aslında bu konuda toplumsal farkındalığın bile henüz oluşmamış/oluşturulmamış olmasından kaynaklanıyor.

Bir devlet düşünün vatandaşlarının verisini koruma-ma-k için 35 yıldır çalış-m-ıyor

Aslında Türkiye Cumhuriyeti, üyesi olduğu Avrupa Konseyinin 28 Ocak 1981 tarihinde imzaya açtığı 108 sayılı Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunmasına Dair Sözleşmeyi, imzaya açıldığı gün ilk imzalayan devletlerden birisi olmasına rağmen aradan -dile kolay- 35 yıl geçmiş olmasına rağmen, günümüz itibarı ile halen kişisel verilerin korunması alanını düzenleyen temel bir kanuna sahip değil.

Aradan geçen zaman içerisinde Avrupa Konseyi’nin konuyla ilgili tavsiye kararları da kişisel verilerin korunması sürecini hızlandıran bir etkiye sahip olamadı. Acaba böyle bir kanunun olması isteniyor mu? Öyle ki böylesi temel haklarla ilgili bir kanunun 35 yıldır çıkartıl-a-mamış olmasının bir nedeni olsa gerek. Öyle değil mi? Bu konuda daha önce de defalarca çeşitli mecralarda yazdık. Tasarının aslında bizatihi Anayasa’ya aykırı olduğuna ve uluslararası standartların neler olduğuna da bianet üzerindeki şu yazıda yer verilmişti.

Peki 35 yıl içerisinde kişisel verilerin korunması için hiç mi çalışma yapılmadı?

Türkiye’de kanunlaştırma yönünde ilk temel çalışmalar 1989 yılında başlamış, çeşitli tasarılar hazırlanmış ancak çalışmalar bugüne kadar sonuçlandırılamadı. Öyle ki sonra “kişisel verilerin korunması” konusu ülkenin gündemine ciddi şekilde, ilgili uluslararası sözleşme imzalandıktan yaklaşık 20 yıl sonra 2000’li yılların başında Türk Ceza Kanunu, Türk Borçlar Kanunu gibi kanunlara genel hükümlerin yerleştirilmesi bağlamında ilk kez gelebildi.

Bu sırada tabi ki özellikle bankacılık, haberleşme gibi alanlarda ikincil mevzuatlarda kişisel verilerin korunmasına yer verildi. Devamında ise hatırlanacak(?) olursa 12 Eylül 2010 tarihindeki referandumda ise kişisel verilerin korunması bir hak olarak Anayasa’ya eklendi ki bu aslında çok özel ve son derece önemli bir ilerlemeydi. Bu değişiklikle Anayasa’nın “Özel hayatın gizliliği” başlıklı 20. maddesine eklenen son fıkra ile kişisel verilerin korunması Anayasal güvenceye kavuşturmuştur ki gündemdeki kanun tasarısı da bu hükümde bahsi geçen kanun olacaktır:

“Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.”

Bu süre zarfında Avrupa Birliği’nde neler oldu?

Avrupa Birliği bünyesindeki hukuki düzenlemelerin Türkiye açısından AB’ye üyelik sürecinin olmazsa olmaz müzakere başlıklarına dönüştüğü bilinen bir gerçek. Bu anlamda AB bünyesinde 1995 yılında çıkarılan 95/46/EC sayılı Veri Koruma Direktifi’nde düzenlenen, sektörel direktiflerde değişik şekillerde yer alan ve de AB Temel Haklar Şartı’nda ve Avrupa Birliği’nin İşleyişi Hakkında Antlaşma’da da yer verilen kişisel verilerin düzenlenmesine ve korunmasına ilişkin hükümler Türkiye açısından üyelik basamaklarında ve hatta vize serbestisi konusunda bile ayrı ayrı ciddi bir öneme sahip durumda.

Herkesin malumu olduğu, yaşanan teknolojik gelişmeler ve verilerin ekonomik değerinin son derece yüksek olması neticesinde AB bünyesinde 2012 yılı ile birlikte artık verilerin ekonomik boyutunu da düşünen ve özellikle de “unutulma” gibi güncel hakları tartışan yeni bir düzenleme yapım süreci var ki Türkiye Cumhuriyeti tabii ki aynı Fikir ve Sanat Eserleri Kanunu’nun değişiklik tasarısında aradan geçen 15 yıla rağmen hala AB’nin 2001 yılında çıkardığı 2001/29 sayılı Bilgi Toplumu Direktifi’ne uyma çabasında olduğu için kişisel veriler konusunda da unutulma hakkı gibi güncel haklara elbette kanun tasarısında yer vermiyor. Bunun yerine, 1995 tarihli Veri Koruma Direktifi’ni aradan geçen 21 yıla rağmen kanunlaştırma çalışmasına ana temel olarak alıyor. Bu anlamda konu AB üyelik süreci açısından değerlendirildiğinde; ileride uyumsuzluk sorunlarının yaşanmaması ve kanunda tekrar tekrar değişiklik yapılmaması için kanunlaştırma sürecinde AB’nin şu an gündeminde olan kişisel verilerin korunmasına ilişkin tüzüğün çıkarılmasının beklenmesi de düşünülmeli.

Tüm bu anlattıklarımıza rağmen, neyse ki bazı kurumlar hükümetlerin hantallığından bazen de olsa etkilenmiyor ve örnek olarak Yargıtay Hukuk Genel Kurulu 2015 yılında verdiği bir kararda ilginç bir şekilde Unutulma Hakkı’nı; “Davacının geçmişte yaşadığı kötü bir olayın toplum hafızasından silinmesini unutularak geleceğini serbestçe şekillendirmek istediği/ bu hakkın yalnızca dijital ortamdaki kişisel veriler için değil kamunun kolayca ulaşabileceği yerde tutulan kişisel verilere yönelik olarak da kabul edilmesi gerektiği - davacının isminin rumuzlanmadan kitapta yer almasının unutulma hakkını ihlal ettiği” ve “Dört yıl önce gerçekleşen bir olayın mağduru olan kişinin adının açık bir şekilde yazılarak kitapta yer alması halinde unutulma hakkının bunun sonucunda da davacının özel hayatının gizliliğinin ihlal edildiğinin kabulü gerektiği” ve de “Davacının unutulma hakkı ile özel hayatına ilişkin kişisel verilerinin üçüncü kişiler tarafından bilinmemesini aradan geçen süre nedeniyle toplum hafızasından silinmesini istediği - davacının isminin rumuzlanmadan kitapta yer almasının unutulma hakkını ihlal ettiği”  gibi ifadelerle tanımlama çabasına girişmiş (E. 2014/4-56, K. 2015/1679, T. 17.6.2015) netice itibarı ile de Türkiye yargısında konu hakkında özel bir düzenleme olmamasına rağmen AB hukuku seviyesinde karar çıkabileceğini gösterdi.

Gündemdeki yasa tasarısı ne getiriyor ne götürüyor?

Komisyonlarda yeterince tartışılmadan genel kurul gündemine getirilen bu yasa tasarısı aslında bizim kucağımıza tam olarak hangi olumlu ve olumsuz hediyeleri(!) bırakıyor?

Esasen kanun tasarısına konu olan korumaya tabi tutulacak kişisel bilgiler; belirli bir kişiye ilişkin olan veya belirli bir kişiye ilişkin olduğu belirlenebilen bütün bilgilerdir. Bütün bilgiler deyimi, kişinin özel, toplumsal ve resmi yaşamına, ailesine, öğrenimine, işine, görevine, gelirine, borçlarına, mallarına, eserlerine, görüşlerine, düşüncelerine, inançlarına vb. ilişkin bilgileri içermektedir. Kişisel veri, genel anlamıyla veri öznesinin, yani ilgili ve tanımlanabilir gerçek kişinin tanımlanması için kullanılabilecek her türlü bilgidir.

Nitekim kişiliğin sosyal, fiziksel, duygusal ve hatta ekonomik boyutuna dair bilgiler kişisel verilerimizi ifade ediyor. Kimliği veya kişinin kim olduğunu belirleyebilen bilgi veya enformasyon kişisel veridir. Kişisel veriler denilirken aslında “kişisel olması” demek bilgi veya enformasyonun ilgili kişi hakkında olduğunu belirlediği anlamına geliyor. Bu bilgilerden kişinin etnik kökeni, dini, inancı, sağlığı, cinsel yaşamı, siyasal görüşleri özel nitelikleri dolayısıyla duyarlı bilgiler sayılır ve daha katı koruma önlemlerine tabi tutulacaktır.

Yine tasarıya göre “anonim hale getirme”, kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesini ifade etmekteyken, kişisel verilerin işlenmesi ise; kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi olarak tanımlanıyor.

Peki hükümetin aklına karpuz kabuğu neden düştü?

Çünkü bir taşla iki kuş vurmak hiç bu kadar kolay olmamıştı. Esasen kişisel verileri AB Direktifi’ne göre korumayan ülkelere veri transferinin yapılmamasına ilişkin AB düzenlemeleri nedeniyle, kişisel verileri koruyan çerçeve bir kanun çıkarılması Türkiye açısından hayati bir zorunluluk. Gelinen noktada kanunun çıkarılması serüveninde son kulaçlara gelindi, fakat hükümetin amacı kişilerin ve vatandaşların verilerini korumaktan çok AB müktesebatı ile uyum çabası, AB üyelik müzakereleri ve de temel olarak AB’nin veri transferi yapabileceği bir ülke haline gelebilmek oldu.

Zaten bilinen bir gerçek ki; Katılım Ortaklığı Belgesi ve 23. Fasıl Tarama Sonu Raporu’nda konunun ciddi bir eksiklik olarak ele alınması dışında da 2001 yılından beri Türkiye hakkında hazırlanan ilerleme raporlarının hepsinde de kişisel verilerin korunması alanında yaşanan mevzuat eksikliğinin giderilmesi zorunluluğu vurgulanıyordu.

Öyle ki tasarıda kamu kurumları lehine getirilen geniş istisnalar, bize kişisel veriler alanında bireylerin daha ziyade özel kuruluşlara karşı korunmasının esas alındığını gösteriyor. Bu da hükümetlerin sürekli olarak Kişisel Verilerin Korunması Hakkındaki Kanun Tasarısı’nın yasalaşmamasının ülkemize ekonomik anlamdaki maliyetine atıf yapmalarının altındaki nedenleri bize açıklıyor.

Türkiye’nin uluslararası veri transferinde, AB hukukuna göre “güvensiz ülke” kabul edilmesinden kaynaklanır şekilde ülkede AB’ye bilgi teknolojileri hizmetlerinin verilebilmesini zorlaştığından ve hatta bazı hallerde de imkansız hale geldiğinden sürekli bahsetmelerinin nedeni de bununla bağlı olsa gerek.

Devlet, bu kanun tasarısı ile vatandaşlarının verilerini korumaktan ziyade kendi ekonomik çıkarlarına uygun bir mevzuat yapma çabasında. Bunu yaparken de kendisini kurumlarına tanıdığı istisnalarla kanundan muaf tutmuş, fakat özel sektörü ise bazı küçük istisnalar hariç her bakımdan bağlamış gözükebilmiştir.

Aslında daha önceki yazılarımızda ve açıklamalarımızda altını çizerek değindiğimiz üzere Cumhurbaşkanlığı Devlet Denetleme Kurulu’nun 27 Kasım 2013 tarihli raporunda da kişisel verilerin korunması konusundaki kanun ihtiyacının aciliyeti belirtilmiş ve de uygulamada vatandaşların kimlik ve adres bilgilerinin pek çok şirketin ve kişinin elinde oyuncağa dönüşmesine neden olan vahim hatalara ve ciddi eksikliklere dikkat çekilmişti.

Ama tüm bunlara rağmen kanunun şu anki taslak hali 2012’den beri bekletilmiş ve bir nedenden ötürü bir türlü TBMM’ye sevk edilmedi. Bunun nedeni elbette ki hükümetin kanunu hem AB’nin kabul edebileceği hem de kendi işine yarayabilecek bir konuma sokabilme çabasının seçimler vb. nedenlerle henüz bitmemiş olmasından kaynaklanıyordu.

Aynı 5651 Sayılı Kanun’da yaşandığı gibi ülkenin özellikle son 10 yılında AB’yle/dünyayla uyum sağlayacağız ve de çocukları/vatandaşı/özel hayatı/kişilik haklarını koruyacağız söylemleriyle başlayan kanunlaştırma ya da kanun değişikliği süreçleri hep sonunda hükümetin kendi elinde “karşıtlarına” karşı bir silah olarak kullanma alışkanlığını geliştirdiği mevzuatlara dönüş-türül-üyor.

Temelde incelendiğinde tasarının düğüm noktasının, kanunla kurulması amaçlanan Kişisel Verileri Koruma Kurulu’nun yapısı ve de bu kurulun üyelerini atama yetkisine ilişkin olduğu görülüyor.

Kişisel Verileri Koruma Kurulu nedir?

Tasarının ilk hallerinde ilgili kurulun AB mevzuatına uygun olarak özerk ve de siyasi otoritenin kontrolü dışında olmasına ve kurulun yetkilerinin ve kontrolünün siyasi otoritenin dışında ve doğal olarak bağımsız düzenlenmesi, kurula talimat ve emir veremeyecek olan siyasi otoriteyi rahatsız etmiş olacak ki 2014 yılında genel kurula sevk edilen halinde kurulun Adalet Bakanlığı ile ilişkili olduğuna ilişkin hükümlere yer verilmiş ve hatta 2016 yılında şu an oylanan son sürümde ise bununla da yetinilmeyip kurul doğrudan Başbakanlık’a bağlandı.

Tasarının genel kurula sevk edilen ilk versiyonunda “Kurul, yedi üyeden oluşur, kurul üyelerinin ikisi mesleğinde en az on yıl çalışmış olan avukatlar veya hakimler, biri yükseköğretim kurumlarında en az on yıl çalışmış olan öğretim üyeleri, dördü ise kamuda veya özel sektörde en az on yıl çalışmış olanlar arasından Bakanlar Kurulunca seçilir” denilmekteyken şu anki halinde; “Kurul, yedi üyeden oluşur. Kamu veya özel sektörde en az on yıl görev yapanlar arasından Bakanlar Kurulunca dört, Cumhurbaşkanınca üç üye seçilir” deniliyor. Başkaca hiçbir açıklamaya dahi esasen gerek bırakmayan bu değişim, kanunlaştırma çalışmalarının TBMM’de değil de sırça saraylardaki “millet iradesi” gölgesindeki otoriterler tarafından yapıldığının en özet göstergesi.

Tasarının ilk halinde; “Kurul, kendi üyeleri arasından bir Başkan seçer “ ifadesi varken şu anki halinde ise; “Kurul Başkan ve İkinci Başkanı, üyeler arasından Bakanlar Kurulu tarafından belirlenir” ifadesi bulunuyor. Bunların tamamı zorunlu bir unsur olan bağımsızlığı zedeleyen nitelikler. Avrupa Birliği üyelerinde, bu alanda yasama/yürütme organlarına karşı bağımsız görev yapacak kurullar oluşturuldu. Tasarının son halindeki kurulun hem üyelerin seçilmesinde belirlenen usul hem de kurulun sahip olduğu yetkiler birlikte değerlendirildiğinde, kurulun bağımsız ve tarafsız çalışamayacağı ve bu nedenle de asla beklenen etkinlikte olamayacağı açık.

İlk halleri dahi ne demokratik düzenlere ne de kaynak düzenlemeler olan bahsettiğimiz AB müktesebatına ve de Bulgaristan, Romanya gibi son üye olmuş ülkelerin dahi uygulamalarına ters olan tasarının son hali bir hukuk katliamı ve açıkça yine ihtiyaç duyulan ve buna göre “hukukçulara” sipariş edilen siyasi silahların oksimoron şekilde yasama organı eliyle meşrulaştırılması. (SK/EA)

* Görseller özgür lisansa tabidir.