Ülkemizde özen gösterilmeyen “kişisel gizlilik” konusunda, her geçen gün başka bir konu gündeme geliyor. Bunların bir tanesi de, SGK’nın 2010 Nisan sonlarında yayınladığı bir tebliğ ile internet servis sağlayıcılarının, abonelerin, kimlik bilgileri, çalıştığı yer gibi kişisel verileri dahil tüm bilgilerin düzenli olarak SGK’ya verilmesini gerektiriyordu.
Uygulama bir ISS’in mahkemeye gitmesi ile şimdilik durdu ama SGK bu bilgileri bankalardan uzun bir süredir alıyor. 5510 sayılı kanun 8. Madde hala şöyle diyor ;
Kamu idareleri ile bankalar, Kurumca sağlanacak elektronik altyapıdan yararlanmak suretiyle, Kurumca belirlenecek işlemlerde, işlem yaptığı kişilerin sigortalılık bakımından tescilli olup olmadığını kontrol etmek ve sigortasız olduğunu tespit ettiği kişileri, Kuruma bildirmekle yükümlüdürler.
Yani, banka ya da telekom firmaları, kişisel verileri korumak zorunda ama istendiğinde, isteyen devlet kurumuna da vermeli. Peki devlet kurumu bunu koruyor mu?
70 milyon kişinin kişisel verilerinin, bir veya birden fazla kamu kurumundan çalınarak/hack edilerek, CD’ler haline getirildiği ve para karşılığı, icra yapan avukatlık börolarına satıldığı daha kısa bir süre önce konuştuğumuz ve hafızamızdan henüz silinmeyen bir konu değil mi[1]?
Olayın Gelişimi
Geçtiğimiz günlerde SGK tarafından hazırlanan “5510 sayılı Kanunun 8’inci Maddesinin Yedinci Fıkrasının Uygulanması Hakkında Tebliğde Değişiklik Yapılması Hakkında Tebliğ” 21 Nisan 2010 tarihli Resmî Gazetede yayımlanarak yürürlüğe girdi.
Kayıt dışı istihdamla mücadele etmek amacıyla çıkarıldığı belirtilen bu tebliğ ile internet servis sağlayıcılarına (İSS) abonelerinin meslek ve işyeri bilgilerini Sosyal Güvenlik Kurumu’na bildirme yükümlülüğü getirildi.
Buna göre İSS’lerin gerçek kişi abonelerinin işyeri ünvanı ve adresi ile birlikte meslek bilgisini, çalıştığı yeri, tüzel kişi abonelerinin ise işyeri ünvan ve adres bilgisini Kuruma göndermesi gerekiyordu. Kurum tebliğ öncesinde zaten 5510 sayılı Kanun’un 8’inci maddesine dayanarak bankalardan benzer bilgi ve belgeleri düzenli olarak aldığını da açıkladı.
17 Haziran 2010 tarihinde anılan tebliğin iptali için internet servis sağlayıcı bir firma dava ederek yürütmenin durdurulmasını da talep etti. Davada tebliğin dayanağı olan 5510 sayılı Kanunun 8/7. Maddesine göre sigortalıların Kuruma bildirilmesi konusunun yönetmelikle düzenlenmesi gerektiği, ayrıca aynı hüküm ile yalnızca kamu idareleri ile bankalara “işlem yaptığı kişilerin sigortalılık bakımından tescilli olup olmadığını kontrol etmek ve sigortalı olmadığını tespit ettiği kişileri Kuruma bildirmek” yükümlülüğü getirildiğinden, tebliğ ile bunun dışındaki kişiler bakımından yükümlülük getirilmesinin de kanuna aykırı olduğu tezleri savunuldu.
Aynı zamanda yasa ile öngörülmeyen bir yükümlülüğün tebliğ çıkartılmak suretiyle İSS’lere getirilerek hukuka aykırı biçimde işletmecilere ek mali yük ve çalışma yükümlülüğü getirildiği savunuldu.
Davanın görüldüğü ilk derece mahkemesi olan Danıştay 10. Dairesi tarafından, tebliğin ilgili hükmünün açıkça hukuka aykırı olması ve uygulanmasının telafisi mümkün olmayan zararlara sebep olacağı gerekçeleri ile yürütmesinin durdurulmasına oybirliğiyle karar verildi.
Bu karar ile tüm İSS’lerin, tebliğin ilgili maddesi ile getirilen yükümlülükten, davada esasa ilişkin karar çıkana ya da SGK tarafından konuyla ilgili farklı bir düzenleme yapılana kadar bildirim yükümlülükleri ortadan kalkmıştır. Yürütmeyi durdurma kararının oybirliğiyle alınmış olması esasa ilişkin kararın da tebliğin iptali yönünde olacağına ilişkin kuvvetli bir işaret olarak yorumlanıyor.
Konuyla ilgili yorumlarını sorduğumuz Av.Serhat Turan şunları söyledi :
Bildiğiniz gibi bir kişinin adı, soyadı, yaşı, cinsiyeti, doğum yeri, dini, T.C. kimlik numarası ve benzer bilgileri onun kişisel verilerini oluşturur. Kişisel verilerin, bilgiyi temin eden kurum dışında diğer kurumlarca kullanılmasında bilgiyi veren kullanıcının izni esastır.
Bilgilerin korunmasından ve amacı dışında kullanılmamasından bilgiyi temin eden ve kullanan tüm kurum ve kuruluşlar ortak şekilde sorumludur.
06.02.2004 tarihinde Resmi Gazete‘ de yayımlanan Telekomünikasyon Sektöründe Kişisel Bilgilerin İşlenmesi ve Gizliliğinin Korunması Hakkında Yönetmelik, telekomünikasyon sektöründe kişisel bilgilerin işlenmesi ve gizliliğinin korunmasının güvence altına alınmasına ilişkin usul ve esasları düzenlemektedir. Söz konusu Yönetmeliğin 4. Maddesi, “Bu yönetmelik, şebekelerde telekomünikasyon hizmetlerinin sağlanmasına ilişkin kişisel bilgilerin işlenmesi ve gizliliğinin korunması konusunda uygulanır” şeklinde belirtmek suretiyle kişisel bilgeleri güvence altına almaktadır.
Her ne kadar yetersiz gibi gözükse de yönetmelik kişisel bilgilerin korunması hakkındaki tek yönetmeliktir. Kişisel verilerin korunması hakkındaki kanun tasarısı 2008 yılından beri taslak aşamasındadır ve halen yasalaşamamıştır. Özellikle Anayasal bir hak olan bu hususta Anyasa değişikliği yapılmalı ve daha sonra gerekli düzenlemeler yapılmalıdır.
Öte yandan AİHS‘nin Özel hayatın ve aile hayatının korunması başlıklı 8. Maddesi‘nin 1. Fıkrası “Herkes özel ve aile hayatına, konutuna ve haberleşmesine saygı gösterilmesi hakkına sahiptir.” Şeklindedir. Buna ilişkin AİHM’nin vermiş olduğu bir kararda (Klass Kararı), bireyin özel yaşamına ilişkin verilerin kamusal organlar tarafından toplanmasına ve devredilmesine dayanak oluşturacak önemli ilkeleri içermektedir. Söz konusu kararda AİHM, bireyin özel yaşamı kapsamındaki bilgilere ilişkin kamusal müdahalelerin, bireyi koruyucu uygun ve etkili garantiler içeren kanuni düzenlemeler bulunmadığı sürece, sözleşmenin 8/1. maddesinde belirtilen hakların bir ihlali olarak değerlendirmiştir.
Yine 5237 sayılı TCK ‘ nın 136. Maddesi uyarınca Verileri hukuka aykırı olarak verme veya ele geçirme başlıklı 136. Maddesi “Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, bir yıldan dört yıla kadar hapis cezası ile cezalandırılır” şeklindedir.
Burada önemli olan husus Kişisel bilgi sahibi kişinin iradesiyle dağıtılıp dağıtılmadığıdır. Kişi, güvenirliğine inandığı bir kurumla paylaştığı kişisel bilgileri, kendi iradesi olmaksızın ve herhangi bir yargı kararına dayanılmaksızın dağıtılması Uluslararası sözleşmelere ve Anayasa’ya aykırıdır.
Bankaların bu bilgileri vermesi konusunda ne düşündüğünü sorduğumuz Av.Turan
Sonuçta kamu kuruluşu (devlet) gerçek ve tüzel kişlier karşısındaki ezici gücünü kullanarak istediği şekilde istediği bahaneyi öne sürerek bir takım veriler elde etme yoluna gidebilir. Burada önemli olan hukuki temelin gerçekten oluşup oluşmadığı.
Benim kanaatim topluca kişisel veri toptancılığı yapılamaz. Bir kişinin bilgilerine ulaşılması gerekiyorsa bu mahkeme kararı ile istenmelidir. Kayıt dışı ekonomiyle ilgili şüpheli olduğu kurum veya kuruluşlar var ise bunun denetimini teftiş ve/veya yargı yoluyla yapmalıdır.
Av.Turan’a Bankaların bu bilgileri vermesi konusunda ne düşündüğünü de sorduk :
Anayasamız‘ın 20. madde son fıkrası “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.” demek suretiyle bu sorunuza gayet güzel cevap vermektedir.
Bu noktada bu bir kanun maddesi değildir, tebliğdir ve açıkça Anayasa’ya aykırıdır. Ancak kişilerin kurumlarla imzaladıkları sözleşmeleri de incelemek lazım zira bu sözleşmelerde açıkça bir rıza verilmiş ise, kurumların bunları paylaşmasında yasaya aykırı bir nokta olmadığını düşünüyorum.
Tabii burada yine tüketici hakları ortaya çıkıyor zira tüketicilere, mevduat sahiplerine imzalatılan standart sözleşmelerin değiştirilmesi imkanı olmadığından belki de hepimiz kişisel verilerin dağıtılmasına onay veriyoruz.
Yani görülen şu ki; hala ülkemizde güçlü bir kamuoyu, “bilgilerimi istediğin gibi alamazsın, ya da veremezsin” diyen bir tüketici hareketi oluşamıyor. O halde “müstehak bize”.
[1] Bankalar ve Telekom Firmaları Kişisel Verileri Korumakla Yükümlü, Ya Devlet Kurumları?
Kaynak : 