Dün haberini verdiğimiz[1] “Kişisel Verilerin Korunması Kanun Taslağı”[2] konusuna, turk-internet.com haber ailesi olarak çok önem veriyoruz. İnternet’in ve bilişim sistemlerinin gelişmesi, kişisel verilerin korunmasının önemini de arttırdı. Ama yılın başında yaptığımız haber yayınlarından da göreceğiniz üzere, bu korumanın “interneti bloklama, engelleme, sansürleme” yoluyla yapılmasını doğru bulmuyoruz. Tam tersine “üzüm yemek yerine bağcıyı dövmek” olarak yorumluyoruz.
Bu nedenle TBMM’ye gelen yasa tasarısını memnuniyetle karşıladık. Ancak tasarıda düzeltilmesi gerektiğini düşündüğümüz hususlar var. Bu konuda çalışanlara yol göstermesi ve “kişisel verileri korumak” konusunda da farkındalık yaratmajk amacıyla, bu konuda okuyucularımıza bir kaç farklı görüş sunmayı planlıyoruz.
Bunlardan ilki için Köksal Partners firmasından Avukat Gürkan Özocak ile konuştuk. Özocak, sorularımıza verdiği cevaplarla, bir hukukçu gözüyle kanun taslağını değerlendirdi;
turk-internet.com : 5ci maddenin 2ci fıkrasını yani istisnaları nasıl değerlendiriyorsunuz?
Avukat Gürkan Özocak : Buradaki verilerin işlenmesine ivaz veren istisnaların kapsamı epey tartışıldı. Ancak, 95/46/AT sayılı Veri Koruma Direktifi’nde[3], özellikle kanunun öngördüğü hallerde veya kişinin açık rızasının bulunduğu hallerde verilerin işlenmesi mümkün kılınıyor. Nitekim Anayasa’nın 20. maddesinde 2010 yılında yapılan değişiklikte de bu ilke kabul edildi.
Bu açıdan, bir istisna hükmü konmasında Anayasa ve AB Direktifi açısından genel bir sorun görünmüyorsa da, bu hükümdeki “zorunluluk” hallerinin yorumu sıkıntı doğurabilir. Bu nedenle “zorunluluk” kriteri uygulamada dar anlaşılmalı ve buna göre verilerin işlenmesi mümkün kılınmalıdır. Eğer zorunluluk durumu geniş yorumlanırsa, AB Direktifi’ndeki koruyucu ilkelerin işlevsiz hale gelmesi tehlikesi söz konusu olabilir.
Bununla beraber, m. 5/2’ye göre verilerin işlendiği hallerde de, kişisel verilerin korunmasına ilişkin genel ilkelere uyulacağı ve verilerin tutulma, saklanma sürelerinin bu kez de maddede belirtilen istisna kapsamındaki amaçların gerçekleşmesi ile sınırlı olacağı unutulmamalıdır.
turk-internet.com : İtiraz ya da kişisel verilerin ihlali konusunda bilgi alma süreçleri konusunda ne düşünuyorsunuz?
Avukat Gürkan Özocak : Tasarı, bununla ilgili yükümlülüğü veri sorumlusuna vermiş. Veri sorumlusu, verilerin elde edilmesi sorasında, verilerin hangi amaçla işleneceği, işlenen verilerin kime ve hangi amaçla aktarabileceği, veri toplamanın yöntemi vs. ile ilgili bilgi verecek. Verilerin silinmesi yahut anonimleştirilmesi ile ilgili de kişiyi bilgilendirecek. Kişiler, veri sorumlusuna yapılan taleplerinin reddolunması halinde ise, Kurul’a şikayet hakkına sahip olacaklardır.
Tasarının, herkese veri sorumlusuna başvurarak, kendisiyle ilgili kişisel veri işlenip işlenmediğini öğrenmesi, işlenmişse bununla ilgili bilgi talep etmesi, bunların amacına uygun olarak kullanılıp kullanılmadığını sorması, yanlış varsa bunun düzeltilmesini veya yok edilmesini istemesi gibi hakları tanımış olması, veri sorumlusunun hukuki niteliği tartışmasından bağımsız olarak, olumlu bir düzenleme. Ancak, öncelikle başvuru ve şikayet ile ilgili hususların sınırları belirsiz, bu açıdan yasal teminat ilkesi çok gözetilmemiş gibi duruyor.
Bunun yanı sıra, aşağıda da açıklayacağımız üzere, verilerin korunmasına ilişkin teknik bir altyapının bulunmuyor oluşu, bu yönüyle güvenli olmayan (non-secure) bir ülke olmamız ve veri sorumlusunun yetki ve görev alanlarının muğlak olması nedeniyle, bu düzenleme uygulamada ciddi sorun yaratacak gibi gözüküyor. Zira, böyle bir veri koruma altyapısı bulunmaksızın yasal düzenlemenin hayata geçmesi halinde, Tasarı’nın 11/5. maddesinin bol bol gündeme gelmesi kaçınılmaz olacaktır.
turk-internet.com : Kanunla oluşturulması planlanan “Kişisel Verileri Koruma Kurulu” konusundaki düşünceleriniz nelerdir?
Avukat Gürkan Özocak : Tasarıdaki en sorunlu düzenlemelerden birisi Kurulun oluşumu ve çalışması ile ilgili kısım. 18. maddede Kurulun bağımsız olduğu söylenirken, 20. maddede tüm üyelerinin Bakanlar Kurulu, yani siyasi iktidar tarafından seçileceği düzenleniyor. AB Temel Haklar Şartı’nın kişisel veri koruma denetimi bakımından kurulmasını öngördüğü bağımsız organ ilkesi karşısında, üyelerin tamamının siyasi irade tarafından göreve getirildiği KVKK’nun yapısal anlamda bu şartı taşıdığını söylemek imkansızdır.
Özerk nitelik taşımayan, üyeleri Bakanlar Kurulu tarafından atanmış ve bağımsız olması mümkün olmayan Kurulun, 19. maddede önlemden yaptırıma kadar geniş bir yetki demetiyle donatıldığını da düşünürsek, AB Direktifi’ne ve uluslararası metinlere uygun oluştuğunu söylemek pek mümkün görünmemektedir.
turk-internet.com : Son olarak, kanunla ilgili söylemek istediğiniz başka bir şey var mıdır?
Avukat Gürkan Özocak : Bu saydıklarımız dışında; 24. maddedeki istisnalar çok tehlikeli görünüyor. Tasarı kapsamı geniş bir istisnalar demeti sunup, bu hallerde Kanunun uygulanmayacağını söylemiş. Özellikle, Şubat ayında 5651 sy. Kanun’da yapılan değişiklikler de dikkate alındığında, bu hükmün fişlemenin bir ayağı olduğunu söylemek mümkün.
Yukarıda yazdığınız veri sorumlusunun, veri işleyenlerle müşterek sorumluluğu maddesinin, AB bazında oturtulan sistemden farklı ve daha karmaşık yapıda olduğu fikrine de katılıyorum.
AB Veri Koruma Direktifi’nde özellikle son yıllarda en çok önem verilen hususların başında unutulma hakkı geliyor. Burada özellikle, verilerin amacına uygun tutulması ve süresinin belirli/belirlenebilir olması, saklanmaktaki amaç ve süre sona erince de verilerin yok edilmesi çok sıkı şartlara bağlanmış, üye ülkelere de bununla ilgili düzenleme yapma zorunluluğu getirilmiştir. Tasarıda, unutulma hakkına ve dolayısıyla veri güvenliği ile kişi hak ve özgürlüklerine ilişkin düzenlemelerin zayıf olduğunu düşünüyorum.
Yaptırımlar ile ilgili olarak, TCKnın yapısına uyularak, suç ve kabahat ayrımı yapılmış. 16. maddede, TCK kapsamına giren fiiller ile ilgili olarak TCK’nın ilgili hükümlerine atıfta bulunulmuş. Burada hapis cezası öngörülmüyor, TCK’ya atıfta bulunuluyor. İlgili fiiller TCK’da suç olarak düzenlendiğinden, buradaki hapis cezası yaptırımının yerinde olduğunu düşünüyorum. Kabahatler için öngörülen idari yaptırımlar ile ilgili ise, söz konusu idari para cezaları AB Direktifi’ne uygun gözüküyor.
Ancak çok önemli bir başka sorun; Türkiye’de verilerin korunmasına ve saklanmasına ilişkin teknik bir altyapı halen kurulabilmiş değil. Örneğin, Almanya’da bu işle ilgili oluşturulan merkez, hem gerçekten bağımsız üyelerden oluşuyor, hem de verilerin ele geçirilmesi ile ilgili önemli bir teknik altyapı oluşturmuş durumda. Ancak bizim ülkemizde bununla ilgili bir çalışma bilindiği kadarıyla halen yok. Bunun için gerekli teknik önlemler alınarak, saklanan verilere ilgililer dışında kimsenin erişememesi ve bununla ilgili tüm güvenlik tedbirlerinin alınması gerekiyor. Aksi halde, veri güvenliğinin sağlanması meselesi sorun yaratacak olup, dahası bu etkin koruma ve denetim mekanizmasının oluşmaması, ileride yabancı ülkelerden özellikle adli işbirliği ile ilgili veri aktarımı talebinde bulunulduğunda olumsuz sonuç alınmasına da yol açacaktır.
Genel olarak bakıldığında; özellikle AB Veri Koruma Direktifi’nin yeterli oranda veri koruması ve güvenliği sağlayamayan ülkelere veri aktarımının yasaklaması nedeniyle, Avrupa devletleri ile ticari ilişkilerde ve adli işbirliğinde sorun yaşanmaması için böyle bir kanunun varlığı ve AB Direktifine paralel düzenlemeler yapılması çok önemlidir. Ancak, mevcut tasarının bu ihtiyaçları karşılamaktan uzak olduğunu söylememiz gerekir. Zira, Tasarıda çok geniş kapsamlı istisnalarla veri korumasının uygulama alanı daraltılmış ve yürütme organına adeta bağımlı halde bir Veri Koruma Kurulu oluşturulmuştur. Siyas otoriteye bağımlı bir Kurul ile, istisnanın kural haline geldiği, muğlak ifadelerle (“zorunluluk” vb.) veri korumasının kolayca sınırlanabildiği bir sistemin AB Direktifine uygun bir veri koruma rejimi getirdiğini söylemek imkansızdır. Bu nedenle de, bugüne dek özellikle uluslararası veri aktarımında yaşanan sorunların devam edeceğini söylemek mümkündür.
[1] 34 Yıldır Beklediğimiz Kişisel Verilerin Korunması Kanunu Bu mu?
