21. yüzyılın “petrolü” olarak tanımlanan ve ekonomiye yön vermesi beklenen kişisel “veri” lerin önemi konusunda herkes hemfikir. Geleceğe yönelik toplantı ve zirvelerde ilk gündem maddesi “veri”. Haliyle, büyük bir ekonomik ve siyasi değer atfedilen kişisel verilerin işlenmesi ve korunmasına dair düzenlemeler de tartışmalar da gündemden düşmüyor.
6 Temmuz 2019 tarihli Resmi Gazete’de yayımlanan Cumhurbaşkanlığı Genelgesi (2019/12) ile
“bilgiye erişimin kolaylaşması, altyapıların dijital hale gelmesi ve bilgi yönetim sistemlerinin yaygın olarak kullanılmasının getirdiği ciddi güvenlik risklerinin azaltılması, kritik verilerin güvenliğinin sağlanması”
amacıyla bazı tedbirler ilan edilirken de gündemde olan yine kişisel veriydi.
Pek çok özel şirket ve kurumun epeydir uygulamaya koyduğu güvenlik tedbirlerinin belki de özellikle “kamu kurumlarına” anımsatılması anlamında bu Genelge olumlu bir girişim olarak görülebilir ama bir yandan da inanılmaz sayıda veriyi toplamak ve işlemek için yasal veya yasal olmayan işlemlerle hareket eden kamunun, işin “güvenlik” boyutunu bu denli yetersiz bir şekilde ele almasının nedeni üzerinde düşünülmesi gerekiyor.
Her ne kadar kişisel verilerin korunmasına dair Kanun 2016 yılında kabul edilmiş olsa da, ülkemizde yıllardan bu yana kişisel veri ticareti açık veya örtük bir şekilde yapılageldi. Örneğin,
“sosyal yardıma başvuran kişi ve hanelere ilişkin verilerin toplanması, işlenmesi, kamu kurum ve kuruluşları ile veri paylaşımı yapılması “uygun” bulunan gerçek ve tüzel kişilerle paylaşılması”
amacıyla hazırlanan Yönetmelik 2014 yılında yürürlüğe girdi. Yani, güvenlik ve korumaya dair Kanun yokken verilerin işlenmesi, paylaşılmasına dair bu ve benzeri pek çok Yönetmelik vardı. Üstelik de sosyal yardımlardan yararlanan milyonlara ait “kişisel verilerin” işlenmesi için. Bunlar “bilinen, eski hikayeler” olabilir. Ama bu etkisini azaltmıyor.
2016 yılında yasalaşan 6698 sayılı Kişisel Verilerin Korunması Kanunu ile deyim yerindeyse büyük bir boşluk doldurulmuş olurken, yasa ile kurularak faaliyetlerine başlayan Kişisel Verileri Koruma Kurumu’da (KVKK) hızlı bir şekilde işlem süreçlerine dahil olmaya başladı.
Hassas nitelikte kişisel verilerin en fazla işlendiği alanlardan birisi elektronik haberleşme sektörü olup, gerek sektöre özgü “trafik verisi” gerekse de hizmet alabilmek için işletmecilere sunulan geniş kapsamlı kişisel verilerin işlenmesi ve korunması epeydir tartışma konusu. Özellikle 2016 yılında gerçekleşen darbe girişimi sonrasında, zamanında işletmecilerden toplanan neredeyse tüm Türkiye’ye ait kişisel verilerin bizzat Bilgi Teknolojileri ve İletişim Kurumu (BTK) ve BTK bünyesinde yer alan TİB görevlileri tarafından dışarıya servis edildiği/aktarıldığına dair itham ve iddiaların ortaya çıkması -ki ciddi sayıda çalışanı ihraç edilmiştir- milyonlarca vatandaşın kişisel verilerinin “emin” ellerde olup olmadığı, BTK’nın bunca kişisel verinin kendisinde toplanmasını isteme hak ve yetkisinin bulunup bulunmadığı gibi önemli soruları gündeme getirmiştir.
Bu tartışmayı alevlendiren bir gelişme ise, kamuoyuna açıklanmamak, Kurum web sayfasında yayımlanmamak üzere tesis edilen BTK kararlarıyla, işletmecilerde bulunan tüm abone kişisel verilerinin sürekli ve güncel olarak BTK’ya aktarılmasının istenmesi oldu.
Diğer pek çok BTK kararı Kurum web sayfasında yayımlanırken, özellikle yayımlanmaması istenilen ilki Ekim 2018 tarihli olmak üzere “abone desen yapısı” başlıklı bir dizi BTK kararıyla, Turkcell, Vodafone ve Avea gibi mobil, Türk Telekom ve alternatif sabit telefon işletmecileri ile genişbant internet hizmeti sunan işletmecilerde abonelere dair bulunan
Hat no, hat durumu, hizmet tipi, müşteri tipi, abone başlangıcı, abone ad/soyadı, TC kimlik numarası, pasaport numarası, unvan, vergi numarası, MERSİS numarası, cinsiyet, uyruk, baba adı, ana adı, anne kızlık soyadı, doğum yeri, doğum tarihi, meslek, tarife, kimlik ve adres bilgileri, kurumsal aboneliklerde kurum yetkilisinin ad/soyadı, TC kimlik numarası
gibi kişisel verilerin bir kısmının günlük, bir kısmının aylık olarak BTK’ya aktarılması zorunluluğu getiriliyor.
Bireysel aboneliklerin yanı sıra kurumsal aboneliklerde de detaylı olarak kullanıcı bilgilerinin BTK’ya aktarılmasını öngören düzenleme 02.07.2019 tarihi itibariyle uygulanmaya başladı.
Bu yeni uygulama ile bir yandan milyonlarca abonenin işletmecilerde bulunan neredeyse tüm kişisel verileri BTK’ya aktarılırken, TC kimlik numarası olmayan bireysel aboneler ile vergi kimlik numarası olmayan kurumsal abonelere bu eksiklikler tamamlanmadığı taktirde hizmet sunumunun durdurulması gibi ciddi bir risk söz konusu.
BTK’nın, diğer ülkelerde de olduğu gibi, suç ve suçlulukla mücadele kapsamında bir takım yetkileri bulunmakla beraber, elektronik haberleşme hizmetinden yararlanan tüm abone kişisel verilerinin profillemeye elverişli olacak şekilde, sürekli ve düzenli olarak talep edilmesi, yasal olmamanın ötesinde BTK’nın elinde sektöre özgü trafik bilgileri ile birlikte “işlenmeye hazır” bir büyük veri havuzu olması anlamına da geliyor.
6698 sayılı Kişisel Verilerin Korunması Kanunu sonrasında, Kanun’un tam anlamıyla yürürlüğe girdiği bir dönemde, Kanun ile kurulan Kurum (KVKK) görüş ve onayı olmaksızın bu denli büyük çapta veri işlenmesine girişilmesi yasal bir girişim gibi görünmemektedir.
Anayasa’nın 20.maddesi ile koruma altına alınmış özel hayatın gizliliği ile kişisel verilerin korunması temel haklarına “ölçüsüz bir müdahale” niteliği taşıyan, özel hayatın gizliliği/mahremiyet hakkı kapsamında hiçbir sınırlamaya tabi tutulmaksızın kişisel verilerin işlenmesini hedefleyen bu Kurul kararlarına karşı Danıştay 13.Dairesi’nde iptal davası açılmıştır.
Elbetteki nihai karar yargıya aittir. Ama bu büyüklükte bir veri işleme girişiminin, talepte bulunan BTK tarafından kamuoyundan saklanarak yapılmak istenmesi, şeffaflık ve iyi idare ilkeleri açısından sorunlu olduğu kadar, Cumhurbaşkanlığı Genelgesi ile kamuda yeni yeni oturmaya başlayan “veri güvenliği” konusunda alınması gereken çok mesafe olduğunun da işaretidir.
Kamu hizmetinin etkin, zamanında ve doğru bir şekilde sunulabilmesi için işlenmesi gereken vatandaş kişisel verilerinin güvenliği bir numaralı öncelik halini almalıdır. Bunu sağlamanın yolu ise şeffaf ve açık bir şekilde, bu tür büyük veri işleme faaliyetlerinin olduğu kurumlarda kural ve sorumlulukları önceden kamuoyuna deklare etmekten geçiyor. BTK, kişisel veri işleme faaliyetlerinin amaç, yöntem ve usullerini kamuoyuna açıklamalı, kurumda kimlerin ne ölçüde veri güvenliğinden sorumlu olduğunu ilan etmeliyken, tam bir gizlilik ve hesap vermeme kültürü içinde tesis edilen işlemler Türkiye Cumhuriyeti’nin “hukuk devleti” ilkesi ile hukuki güvenlik ilkesine bağlılığı konusunda varolagelen şüpheleri güçlendirmiyor mu?