Cumhurbaşkanlığı Devlet Denetleme Kurulu (DDK) zaman zaman önemli raporlara imza atıyor. 2010’da DDK’nın yayınladığı BTK (Bilgi Teknolojileri ve İletişim Kurumu) raporunu takdir etmiştik[1]. Şimdi de Kişisel Verilerin Gizliliği ile ilgili olarak, ikaz edici mahiyette 800+ sayfa ve 39 tespit ve öneri sunan bir rapor yayınladılar[2].
13 bölümlük raporda, Kavramlar, Uluslararası Düzenlemeler, Ülke Karşılaştırmaları, Kurumsal Yapı, Mevzuat incelenmiş, Kişisel Verileri Koruma Kanun Taslağına bakılmış ve ayrıca 6 devlet kurumunda yani Nüfus ve Vatandaşlık İşleri Genel Müdürlüğü, Tapu ve Kadastro Genel Müdürlüğü, Gelir İdaresi başkanlığı, Sosyal Güvenlik Kurumu, Sağlık Bakanlığı, Adalet Bakanlığında yapılan denetimler sonucunda, tespit ve öneriler kendi içlerinde sunulmuş. Son bölümde Genel Değerlendirme ve Öneriler tekrar özetlenmiş.
Ama bu 6 kurum için en önemli tespit; günümüzde bu kurumların kapılardan giriş yapılırken kimlik ve işlem yapılırken de kimlik fotokopisi alınmasından vazgeçilmiyor. Kimlikleri verdiğimiz kişiler, bazen devlet memuru da olmayabiliyor; taşaron (mesela güvenlik firması) elemanı olabiliyor.
Biliyorsunuz, ABD’de internetle birlikte gelişen en önemli alanlardan birisi “kimlik hırsızlığı”. Bu konuda, insanların hayatlarının bir kimlik bilgisi ile nasıl çalındığına dair filmler bile mevcut. Ama ülkemizde, bir aldırmazlık sözkonusu. Hem devlet tarafında (ki kişisel verilerin gizliliği kanun tasarısı hala beklemede), hem de tüketici tarafında farkındalık zayıf.
Bu açıdan bakıldığında böyle bir rapor yayınlanmasının önemli olduğunu belirtmek lazım.
Ayrıca Devlet Denetleme Kurumu ise, sorumluluğu çerçevesinde, olayın sadece devlet kurumları tarafına bakmış. Biz merak ettik; özel sektör tarafına bakan birileri olsa, acaba neler görürdü?
Kişisel Veri Kapsamına Neler Giriyor
Raporda Kişisel Veriler için şu tanım yapılıyor;
Kişisel veri, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilgili her türlü veri olarak tanımlanmaktadır. Bu bağlamda adı, soyadı, doğum tarihi ve doğum yeri gibi bireyin sadece kimliğini ortaya koyan bilgiler değil; telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, genetik bilgiler, IP adresi, e-posta adresi, cihaz kimlikleri, hobiler, tercihler, etkileşimde bulunulan kişiler, grup üyelikleri, aile bilgileri gibi kişiyi doğrudan veya dolaylı olarak belirlenebilir kılan tüm veriler kişisel veri kapsamındadır.
Kişisel veriler dâhil, özel hayatın anayasal güvence ile koruma altına alınmasında temel amaç, insan kişiliğinin serbestçe gelişmesine imkân vermek, kişiye kendisi ve yakınları ile baş başa kalabileceği, devlet veya başkaları tarafından rahatsız edilemeyeceği özerk bir alan sağlamaktır.
Kişisel Verilerin Korunması Kanunu
Raporda, İsveç’de bu konudaki kanunun 1973 yılında çıkarıldığına ve halen 99 ülkede bu konuda bir kanun olduğuna işaret ediliyor ve kanun olmaması nedeniyle yaşanabilen sıkıntı ifade ediliyor :
Kişisel verilerin korunmasına ilişkin ulusal düzeydeki düzenlemelerin artması, özellikle kişisel verilerin korunması alanında yeterli düzenlemesi bulunmayan ülkelerle veri paylaşımı ve verilerin sınır ötesine aktarılmasında sorunlar yaşanmasına neden olmuştur. Ülkeler arasında veri paylaşımında yaşanan sıkıntılar ve sınırlamalar, uluslararası ticaretten vergilemeye, polisiye ve adli nitelikteki alanlara kadar pek çok işbirliği alanını olumsuz etkilemektedir.
Uluslararası düzeyde Avrupa Konseyi, Ekonomik İşbirliği ve Kalkınma Teşkilatı (OECD), Birleşmiş Milletler başta olmak üzere çeşitli uluslararası kuruluşlar kişisel veriler konusunda uluslararası nitelikte bağlayıcı olan veya olmayan sözleşme ve benzeri metinler üretmeye başlamıştır. Avrupa Birliği de, üye ülke mevzuat ve uygulamalarını uyumlaştırmaya yönelik olarak düzenlemeler yapmıştır.
Türkiye, kişisel verilerin korunması alanında ilk uluslararası belge olan Avrupa Konseyinin 28.01.1981 tarihinde imzaya açtığı 108 sayılı Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunmasına Dair Sözleşmeyi imzaya açıldığı gün imzalayan ilk ülkelerden birisidir. Günümüz itibariyle ise San Marino Sözleşmeyi imzalamayan, Türkiye ise imzalamasına rağmen onay sürecini işletmemiş tek ülke konumundadır.
Türkiye’de Kişisel Verilerin Korunması konusunda kanun çalışmaları hakkında da şu bilgiler veriliyor;
Türkiye’de kişisel verilerin korunması alanını düzenleyen çerçeve bir kanun bulunmamaktadır. 1989 yılından itibaren sürdürülen kişisel verilerin korunmasına ilişkin kanun hazırlama çalışmaları halen devam etmekte olup henüz kanun tasarısı, taslak halindedir.
26.09.2004 tarihli ve 5237 sayılı Türk Ceza Kanunu’nda kişisel verilerin korunmasına ilişkin hükümlere yer verilmiştir. Ancak, kişisel verilerin korunmasına yönelik çerçeve bir kanunun bulunmaması 5237 sayılı Kanun’la getirilen ceza müeyyidesine bağlı korumaların hayata geçirilmesindeki etkiyi azaltmıştır.
Kişisel verilerin korunması hakkı 12.09.2010 tarihinde yapılan Anayasa Referandumu sonucunda kabul edilen 07.05.2010 tarih ve 5982 sayılı Kanun’un 2. maddesi ile Anayasanın Kişinin Hakları ve Ödevleri başlıklı İkinci Bölümünde yer alan “Özel hayatın gizliliği” başlıklı 20. maddesine eklenen son fıkra ile Anayasa’da güvence altına alınmıştır. Söz konusu fıkra hükmü, kişisel verilerin korunması hakkına ilişkin uluslararası belgelerde yer alan temel unsurları bünyesinde barındırması itibariyle önemli olup aşağıdaki gibidir:
“Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.”
Söz konusu düzenleme, kişisel verilerin korunması hakkının temel ilkelerini ve kişilerin haklarını açıkça belirtmesi açısından önemlidir. Ancak, Anayasa ile güvence altına alınan bu hakkın etkin bir şekilde korunması açısından; kişisel veri, açık rıza ve benzeri tanımların, kişisel verilerin işlenmesinin genel ilke ve esaslarının, kişilerin haklarını korumalarına yardımcı olacak mekanizmaların ve ilgili kurum ve kuruluşların kişisel verilerin işlenmesi sırasında bu hakkın korunmasına aykırı davranışta bulunmamalarını sağlamak amacıyla gerekli ikincil düzenlemeleri ve denetimleri yapacak, şikâyetleri değerlendirecek, idari yaptırım uygulama yetkisine sahip kurumsal yapılanmanın ne şekilde olacağını belirleyen çerçeve bir kanunun bir an önce hukuk sistemimize kazandırılması ihtiyacı bulunmaktadır.
Elektronik Haberleşme Sektörü için Kişisel Bilgilerin Gizliliği Yönetmeliği Yürürlülükte ama Uygulanması Nasıl?
BTK, 2012 temmuz ayında sadece Elektronik Haberleşme Sektörü için bir yönetmelik yayınladı[3]. Yönetmelik 6 ay sonra yürürlülüğe girecekti ama 6 ay da uzatıldı (ilgili firmaların hazırlıklarını tamamlaması için)[4]. 24 temmuz 2012’de yayınlanan yönetmelik, 11 temmuz 2013’de yapılan değişikliklerle birlikte (kişisel verilerin yurtdışında saklanamayacağı gibi) 24 temmuz 2013’den itibaren uygulamada[5].
Bugüne kadar ülkemizde “kimlik hırsızlığı” olarak tanımlayabileceğimiz olaylardan bazıları “GSM Hattı tahsisi” konusunda yapılanlar. Cep telefonları ile pek çok suç (şantaj, tehdit, hatta bombalama) işlenebildiği için, cep telefonu aboneliği kimlik fotokopisi karşılığında verilebiliyor. Ama bu kimliği verdiğiniz kişilerin/firmaların ne yaptığını bilemiyoruz. Ordan sonra kontrol elden gidiyor.
Bu kimlik fotokopileri kullanılarak, adınıza bilmediğiniz telefon hatları açılabiliyor ve bu hatlar nedeniyle de borca giriyor olabilirsiniz. Sahte kredi kartı çıkarılabilir. Şirket kurulabilir ya da dernek, siyasi parti üyeliği gibi sahtekarlıklar yapılabilir.
Haziran 2013 itibarıyla ülkemizde mobil abone sayısının 68 milyon 25 bin 878 olduğu düşünüldüğünde, 9 yaş üzeri nüfusun önemli bir kısmının kimlik fotokopilerinin, değişik abonelikler nedeniyle GSM operatörlerinde bulunduğu anlaşılıyor. Bu fotokopilerin sadece GSM firmalarının elinde olması gerekiyor ama halka dokunan taraf olan bayiler kanalıyla elde ediliyor. Dolayısıyla da bir kısmı bayilerin ve hatta elemanlarının ellerinde kalıyor olabiliyor. Zaten hatırlayalım; adınıza açılmış ama sizin haberiniz olmayan ikinci hat olayı da genellikle prim almaya çalışan bayi elemanlarının bu kimlikleri kullanmasıyla meydana geliyor.
BTK’nın kişisel verilerin korunması yönetmeliği çıkarması olumlu ama geç kalmış bir adım. Yukarda da belirttiğimiz üzere, 68+ milyon kimlik zaten bir yerlere verilmiş durumda.
Siyasi Partiler 50 Milyon Seçmenin Kimlik Bilgilerine Ulaşabiliyor
DDK raporuna bakıldığında ise, seçmen niteliğindeki yaklaşık 50 milyon kişinin tüm adres ve kimlik bilgilerinin, “talep eden” siyasi partiye verilldiği ortaya çıktı. Paylaşılan elektronik ortamdaki verilerin çoğaltılmasını ve başkalarıyla paylaşılmasını engelleyecek hiçbir mekanizma yok. Çünkü yapılan araştırmalar, insanların banka hesapları ya da mail hesapları gibi yerlerde, kullandıkları şifrelerin kimlikleri ile ilintili olduğunu (doğum tarihi gibi) gösteriyor.
Seçimlerin Temel Hükümleri ve Seçmen Kütükleri Hakkında Kanun’da yer alan düzenleme kapsamında her seçim döneminde, Nüfus ve Vatandaşlık İşleri Genel Müdürlüğü, seçmen niteliğine sahip olan 18 yaş ve üzerindeki kişilerin nüfus ve adres bilgilerini Yüksek Seçim Kurulu ile paylaşmakta, talep etmeleri halinde de Yüksek Seçim Kurulu söz konusu verileri siyasi partilerle toplu olarak elektronik ortamda paylaşmaktadır. Dolayısıyla seçmen niteliğine sahip 50 milyonun üzerindeki vatandaşın, adı, soyadı, ana ve baba adı, doğum yılı, doğum yeri, adres bilgisi seçimlere girme yeterliliğini taşıyan onlarca partiyle paylaşılmaktadır. Paylaşılan elektronik ortamdaki verilerin çoğaltılmasını ve başkalarıyla paylaşılmasını engelleyecek hiçbir mekanizma öngörülmemiştir. Bu verileri alan partilerin bu verileri koruma yeterlilikleri ve almaları gereken önlemler konusunda da herhangi bir belirleme yapılmamıştır.
DDK’nın 39 tespit ve önerilerinden bazılarını “DDK’nın, Kişisel Verilerin Korunması ile İlgili Raporunda Yer alan Tespit ve Öneriler – 2” başlığı altında okuyabilirsiniz.
[4] Kişisel Verilerin İşlenmesi ve Gizliliğin Korunması Temmuz’a Kaldı