Kişisel Verilerin Korunması Kanununun Tarihçesi ve Analizi - II

Hükümetin mart ayında yayınlanacak Avrupa Parlamentosu raporundan önce Meclis onayını alması gereken bir dizi yasal düzenleme var. Düzenlemelerin şubat ayı sonuna kadar TBMM’den geçirilmesi gerekiyor. Bunların arasında, sektörümüzü ilgilendiren düzenlemeler arasında “Kişisel Verilerin Korunması” ve “Siber Suçlarla Mücadele” Yasa Tasarıları var.

Kişisel Verilerin Korunması konulu makalemizin burayı tıklayarak okuyabileceğiniz ilk bölümünde Avrupa’daki tarihsel gelişimi anlattık. Bu bölümde Türkiye’deki tarihsel gelişimi anlatalım;

Türkiye’de Tarihsel Gelişim

Başta da bahsettiğimiz gibi, Avrupa Konseyi bünyesinde hazırlanan 108 sayılı “Kişisel Verilerin Otomatik İşleme Tâbi Tutulması Karşısında Bireylerin Korunmasına İlişkin Sözleşme”, 28.1.1981 tarihinde diğer Konsey üyeleriyle birlikte Türkiye tarafından da imzalanmıştır. [3]

Ancak ondan sonra uzun süre bu konuda bir yaprak kıpırdamadı. Çünkü hakkıyla çıkarılacak bir “Kişisel Verilerin Korunması” aynı zamanda, telefon dinlemeleri, fişleme gibi olaylarda ağır cezalar getirebilir.

Türkiye’de Kişisel Verilerin Korunması Kanunu oluşturmak için ilk çalışmalar 1989 yılında başlamıştır. Avrupa Birliği’ndeki sözleşmeyi ilk imzalayan ülkelerden birisi olmasına karşın, ülkemizde o tarihten sonra, bugüne kadar (en son 4 tanesi 2008-2012-2015 ve 2016) çeşitli tasarılar hazırlanmış ancak kanun çıkarılması mümkün olmamıştır. Yukarıda da belirttiğimiz nedenlerle.

2000 yılında kurulan komisyonun çalışmlarını zamanın Adalet Bakanı Hikmet Sami Türk şu şekilde aktarmaktadır;[2]

Yeni Türk Ceza Kanunu madde 195-198. Kişisel verilerle ilgili yeni düzenlemeler yapıldı
Günümüzde kişisel verilerle ilgili kayıtların bilgisayar ortamına geçirilip muhafaza edilmesi uygulaması giderek yaygınlaşmaktadır. Örneğin hastahanelerde hastalara, sigorta şirketlerinde sigortalılara, bankalarda ve kredili alış-veriş yapılan mağazalarda müşterilere ilişkin kayıtlar böyle tutulmaktadır.
Bilgisayarlarda veya fişliklerde yer alan bu tür bilgilerin amaç dışı kullanılması veya üçüncü kişilerin bu bilgilerden hukuka aykırı olarak yararlandırılması, ilgili kişileri büyük zararlara uğratabilmektedir. Kişilik haklarının korunmasına yönelik olarak klâsik kurallar, bilişim alanındaki hızlı gelişmeler ve ülkeler arasında bilgi akışı karşısında yetersiz kaldığından bu alanda bir uluslararası sözleşmenin hazırlanmasını zorunlu kılmıştır. Avrupa Konseyi bünyesinde hazırlanan 108 sayılı “Kişisel Verilerin Otomatik İşleme Tâbi Tutulması Karşısında Bireylerin Korunmasına İlişkin Sözleşme”, 28.1.1981 tarihinde diğer Konsey üyeleriyle birlikte Türkiye tarafından da imzalanmıştır.
Bu Sözleşme doğrultusunda Tasarı, kanuna aykırı olarak kişisel verileri toplama, bilişim sistemine yerleştirme, muhafaza için gerekli güvenlik tedbirlerini almama, yetkili olmayanlara verme, imha etme, ifşa etme, özel maksatlarla kullanma, ele geçirme, süresinde yok etmeme gibi fiilleri suç hâline getirmiştir.

Ancak o dönem, hükümet değişikliği sonucunda bu tasarı çalışmaları tamamlanamadı. 2004 yılında yeni bir Komisyon oluşturuldu. Bu komisyonun hazırladığı tasarı 28/07/2006 tarihinde Başbakanlığa gönderildi ve Başbakanlık tarafından 22/4/2008 tarihinde Türkiye Büyük Millet Meclisi’ne sevk edildi. 2008 yılını, Adalet Alt Komisyonunda geçiren tasarı, araya TBMM Seçimlerinin girmesi nedeniyle yasalaşamayınca İçtüzüğün 77. Maddesi gereğince hükümsüz hale geldi.

2011 yılında Adalet Bakanlığıtarafından Başbakanlığa yazılan yazıyla Tasarının yenilenmesinin uygun olacağı bildirildi. Bunun üzerine akademisyenlerden kurulu bir bilim komisyonu kuruldu. Onların oluşturduğu taslak da kanun komisyonuna aktarıldı. Bu çalışmalar Avrupa Birliği uyum kapsamındaki fonlarında birisi olan ve fasıllarla ilgili teknik destek için kullanılan Matra Fonu[5] ile Hollanda’lı danışman bir firmanın da teknik desteği ile tamamlandı. Bu tasarı ise 08.06.2012 tarihinde Başbakanlığa gönderildi.

O tarihten sonra 2014 sonuna kadar bu tasarıdan ses çıkmadı. Hatta 5651 sayılı internet kanununa 2014 başında eklemeler yapılırken, “özel hayatın korunması” gerekçesi öne sürülürken [6] bile bu kanunun adı anılmadı.

Ancak Avrupa Birliliği üyeliğinin bir şartı olarak “Kişisel Verilerin Korunması” sürekli önümüze gelen bir konu. Bu nedenle 2014 sonunda yeni bir kanun hazırlandı ve TBMM’ye geldi[2]. Ama yine sonuca eremedi. Orada kaldı.

Şimdilerde ise yeniden gelen bir kanun tasarısı var. Bakalım bu sefer geçebilecek mi?[1]

Devlet Denetleme Kurumu

Türkiye’de kişisel verilerin durumu incelenirken, Devlet denetleme Kurumu’nun Cumhurbaşkanı Gül zamanında yaptığı ve sonuçlarının “dehşet uyandırması” gerektirdiği raporundan bazı alıntılar yapmazsak olmaz[7].

13 bölümlük raporda, Kavramlar, Uluslararası Düzenlemeler, Ülke Karşılaştırmaları, Kurumsal Yapı, Mevzuat incelenmiş, Kişisel Verileri Koruma Kanun Taslağına bakılmış ve ayrıca 6 devlet kurumunda yani Nüfus ve Vatandaşlık İşleri Genel Müdürlüğü, Tapu ve Kadastro Genel Müdürlüğü, Gelir İdaresi başkanlığı, Sosyal Güvenlik Kurumu, Sağlık Bakanlığı, Adalet Bakanlığında yapılan denetimler sonucunda, tespit ve öneriler kendi içlerinde sunulmuş. Son bölümde Genel Değerlendirme ve Öneriler tekrar özetlenmiş[8][9].

Detaylı bir şekilde, dipnot 9’dan okuyabilirsiniz. Ancak biz 7 tespiti belirtelim;

TESPİT VE ÖNERİ 1- Bilgi güvenliği ve kişisel verilerin korunması konusunda gerekli önlemlerin alınması ve gerekli çabanın gösterilebilmesi için öncelikle bu konuda belirli bir farkındalığın oluşması, bilinç düzeyinin gelişmesi gerekmektedir.
TESPİT VE ÖNERİ 2- Bilgi güvenliğI ve kişisel verilerin korunması açısından sadece teknolojik önlemler yeterli değildir. Bu kapsamda, kişisel verilerin toplanması, işlenmesi, kullanılması, muhafazası, paylaşılması, yeni işlemlere tabi tutulması, silinmesi gibi her aşamada etkin bir şekilde korunması amacıyla; kamu kesimi ve özel kesim, sivil toplum ve uluslararası kurum ve kuruluşlar olmak üzere tüm taraflar ile konunun teknik, idari, organizasyonel, sosyal ve ekonomik boyutlarının tamamını dikkate alan bütüncül yaklaşım ihtiyacı bulunmaktadır.
TESPİT VE ÖNERİ 3- Kamudaki bilgi sistemlerinin bir e-Devlet mimarisi genel çerçevesinde şekillendirilmemesi nedeniyle güvenlik riskleri başta olmak üzere, sistemlerin birbirleriyle konuşamaması, hizmet kalitesinin düşmesi, aynı verilerin defalarca farklı sistemlerde tutulması gibi pek çok sorun yaşanmakta, gereksiz maliyetlere katlanılmaktadır.
TESPİT VE ÖNERİ 4- Bilgi sistem donanımlarının ve yazılımlarının ilgili kurumun envanterinde yer alması, söz konusu bilgi sistemlerinin sahipliğinin ilgili kurumda olması anlamına gelmemektedir. Söz konusu bilgi sistemleri üzerindeki en üst sistem yetkilerinin bilişim hizmeti alınan özel firma yetkililerinde bulunması durumunda ilgili kurum, bilgi sistemlerinin sahipliğI konumundan, kullanıcısı konumuna düşebilmektedir. Denetimlerde Türkiye’de pek çok kurumun bilgi sistemlerinin gerçek anlamda sahibi olmadığı, tüm vatandaşların verilerini tutan bazı omurga veri tabanlarında dahi bilgi sistemleri üzerinde en üst sistem yetkisinin bilişim hizmeti alınan yüklenici firma personelinde olduğu görülmüştür.
TESPİT VE ÖNERİ 5- Güvenlik, neyin korunacağı, hangi değerin önemli olduğu, bu değere yönelmiş tehditler, mevcut zafiyetler ve alınabilecek önlemler unsurlarını bünyesinde barındıran bir kavramdır. Kişisel verilerin korunmasında, korunacak değer “veri”, “bilgi” olup öncelikle korunması gereken unsurun nelerden ibaret olduğunun belirlenmesine yönelik envanter çalışması yapılması önem taşımaktadır. Bilgi sistemleri ve bu sistemlerde bulunan veri envanteri çalışması ile korunması gereken veri varlıkları ve bunların niteliği belirlenebilecek, buna göre verilerin kişisel veri, hassas veri, kritik altyapı verisi, gizli veri gibi nitelikleri dikkate alınarak niteliklerine uygun güvenlik önlemleri uygulanabilecektir.
TESPİT VE ÖNERİ 6- Uygulama, yazılım ve sistemlerin oluşturulması sırasında kısa vadede sistemin işleyişi ve çalışır halde bulunmasının daha ön planda tutulduğu anlaşılmıştır. Bilgi sistemlerinin güvenliğinin tasarım aşamasından itibaren dikkate alınması ve bu kapsamda işlevsellik ile güvenlik arasında denge oluşturulması gerektiği düşünülmektedir.
TESPİT VE ÖNERİ 7- Bilgi güvenliği yönetim sisteminin uluslararası standartlara sahip bir yapıya kavuşması, gerekli güvenlik tedbirlerinin belirlenerek hayata geçirilmesi ve bunun bir sistem dâhilinde yürütülmesi açısından sertifikasyon süreçleri kurumlara olumlu katkılar yapmaktadır. Ancak bu tür sertifikasyonlarda nihai amaç, kurumun bilgi sistemlerinin güvenliğine katkı yapılmasıdır. Bu açıdan güvenlik amacına ulaşmada bir araç olan sertifikalar amaç mertebesine yükseltilmemelidir. Kurumda amacın, gerçek anlamda bilgi güvenliğini sağlayacak yeterli, yetkin, kurumsallaşmış ve yeni tehditlere göre sürekli güncellenen dinamik bir bilgi güvenliği yönetim sisteminin oluşturulması olduğu göz önünde bulundurulmalı, bilgi güvenliği yönetimi sertifikasının kapsamı konusunda yanlış algılara yol açabilecek uygulama ve açıklamalardan kaçınılmalıdır.

Bu makalenin devamında, bu kanuna neden ihtiyaç duyulduğuna dair notları burayı tıklayarak okuyabilirsiniz.

[1] Kişisel Verilerin Korunması Kanunu Tasarısı

[2] 34 Yıldır Beklediğimiz Kişisel Verilerin Korunması Kanunu Bu mu?

[3] Data Protection

[4] İnternet Suçları, Yeni Ceza Kanunu’nda

[5] Matra Social Transformation Programme in Turkey

[6] 550 (Ya da 1000+) Politikacının Özel Hayatı, Milyonlarca İnsanın İnternet Özgürlüğünden daha mı Kıymetli?

[7] DDK – Kişisel Verilerin Korunmasına İlişkin Ulusal ve Uluslararası Durum Değerlendirmesi ile Bilgi Güvenliği ve Kişisel Verilerin Korunması Kapsamında Gerçekleştirilen Denetim Çalışmaları

[8] Devlet Denetleme Kurulu’ndan Önemli Bir Rapor; Devlet Kurumları Kişisel Verileri Dikkatsizce Veriyor – 1

[9] DDK’nın, Kişisel Verilerin Korunması ile İlgili Raporunda Yer alan Tespit ve Öneriler – 2