KİŞİSEL VERİLERİN KORUNMASI KANUN TASARISI

"Herkes kendisiyle ilgili tutulan veriye ulaşabilmeli"

KAĞAN DORA
15 ŞUBAT 2016
UZMAN GÖRÜŞÜ

Bu dokümanda, 18 Ocak 2016 tarihinde Başbakanlık tarafından Türkiye Büyük Millet Meclisi Başkanlığı’na sevk edilen Kişisel Verilerin Korunması Kanunu Tasarısı hakkında hukuk büromuzun görüş ve önerilerine yer verilmektedir:

 

  • Tasarı’nın amacı 1. madde ve gerekçesinde görüleceği üzere, “kişisel verilerin, özel hayatın gizliliği, mahremiyet hakkı ve bilgi güvenliği hakkı kapsamında korunması” olarak düzenlenmektedir. Kişisel verilerin korunması hakkı, İnsan Hakları Avrupa Mahkemesi (İHAM) kararlarında da sıkça vurgulandığı üzere giderek daha fazla önem kazanan ve korunmasının gerekliliği şüphe götürmez bir haktır. Ancak tasarıda, çoğu zaman kişisel verilerin işlenmesi süreçlerini içeren ve yine Anayasa ile koruma altına alınmış olan ifade özgürlüğü, akademik özgürlük, girişim özgürlüğü gibi hakların korunup geliştirilmesinin önemine vurgu yapılmamaktadır. Oysa ki bir gazetecinin haber yapması, bir bilim insanının sağlık araştırmaları yürütmesi ve kişisel verilerin işlenmesi yoluyla ek bir katma değer elde ederek bunu uluslararası piyasada pazarlayan bir girişimcinin bu faaliyetleri; tıpkı kişisel verilerin korunması gibi kamu yararının bir parçasıdır. Kişisel verileri diğer hakların üzerine yerleştiren tek taraflı bir bakış açısıyla, kişisel verilerin meşru biçimde işlenmesinin sağlayacağı faydalar göz ardı edilmiş olacaktır. Bu yüzden tasarıda dayanak alınan Avrupa Birliği’nin 95/46/EC Direktifi ile de uyumlu olarak, kişisel verilerin meşru amaçlarla işlenmesi ile ülke içinde ve bunları koruma altına almış diğer ülkelerin dahil olduğu uluslararası alanda dolaşımının da kanun kapsamında koruma altına alınmasının amaçlandığı belirtilmelidir. Önerilen düzenleme, kişisel verilerin korunması hakkı ile diğer temel hakların çatışması durumunda bir denge gözetilmesi gerektiğini İHAM kararlarıyla da tutarlı olarak açıkça ortaya koyacak, kişisel verilerin korunmasının diğer meşru amaçları önlemesinin önüne geçmesini engelleyecektir.
  • Tasarı’nın 3. maddesi ve gerekçesinde ‘anonim hale getirmenin’ kişisel verilerin hiçbir surette geri döndürülemeyecek ve kişisel veri ile ilişkilendiremeyecek hale getirilmesini ifade ettiği yönünde ifadeler bulunmaktadır. Teknik imkanların sürekli gelişmekte olduğu günümüzde, kişisel veri niteliğindeki pek çok bilginin hiçbir surette geri döndürülemeyecek şekilde anonimleştirilmesinin makul ve pek çok durumda mümkün olmadığı Avrupa Birliği dahilindeki tartışmalarda ortaya konmuştur. Bu yüzden tasarıdaki anonim hale getirme tanımına ve gerekçeye ‘bilinen ve makul teknik imkanlar kullanılarak’ ibaresinin eklenmesi halinde, anonim verilerle ulaşılan istatistik, sağlık ve teknoloji gibi pek çok alandaki gelişmeye ket vurulması önlenecektir. Yine bu doğrultuda kişisel veri tanımının da yalnızca makul ve olası yollarla kimliği belirlenebilir verileri kapsayacak şekilde düzenlenmesinin yerinde olacağı düşünülmektedir.
  • Yine 5. maddenin (f) fıkrasında düzenlenen “kişinin hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olmasının kişisel veri işlemeyi hukuka uygun kılacağı” yönündeki düzenlemeye ‘veri işlenmesinin gerekli olması’ şeklindeki eklemenin yapılarak düzenlenmesi ve bu surette direktif ile uyumlu hale getirilmesi, bu fıkranın da muhakkak kanunda yer alması tavsiye edilmektedir. Aksi takdirde, mmaç maddesine ilişkin görüşlerimizde açıklandığı üzere, kişisel verilerin korunması hakkı kimi zaman çatışma içine girdiği diğer haklar karşısında bir ezicilik elde edecek ve sosyal, hukuki ve ekonomik etkileri karşılanamaz hale gelecektir. Özellikle de kişilerin güvenlik için aldığı ve kişisel verilere temas ettiği halde ilgili kişinin haklarına bir zarar getirmeyen tedbirlerin hukukiliği tartışmalı hale gelecek, telafi edilmesi imkansız sonuçlar doğacaktır.
  • Özel Nitelikli Kişisel Verilerin İşlenme Şartları başlıklı 6. maddede yer alan özel nitelikli kişisel veri tanımından kılık ve kıyafet ibaresi çıkarılmalıdır. Kişilerin kılık kıyafetleri üzerinden ayrımcılığa tabi tutulmasının geçmişte toplum üzerinde bıraktığı olumsuz etkiler yadsınamaz. Ancak kılık kıyafet aracılığıyla dini ve etnik ayrımcılığın engellenmesi için, özel nitelikli veri sayılmayı gerektiren diğer durumlar yeterli görülmektedir.
  • Tasarı ile kurulması öngörülen Veri Koruması Kurulu’na üye seçiminin demokratik ve çoğulcu bir yaklaşımla yeniden düzenlenmesi elzemdir. Mevcut tasarının üye seçme yetkisini Bakanlar Kurulu ve Cumhurbaşkanı’na vermesi, bağımsız bir düzenleyici otorite ruhu ile bağdaşmamaktadır. Bu yüzden kurula üye seçiminin sivil toplumun, ilgili meslek birliklerinin de katılımını sağlayacak şekilde yeniden düzenlenmesi önerilmektedir.
  • Tasarının düzenlediği istisnaların kapsamının genişliği, kişisel verilerin korunması hakkını yalnızca özel kişiler arasında uygulanacak bir hak durumuna yaklaştırmakta, kamu kurum ve kuruluşlarının neredeyse tüm faaliyetlerini kapsam dışında tutmakla birey ve devlet arasında da gizliliği korunması gereken bilgiler üzerinde devlet açısından bir sorumsuzluk rejimi yaratmaktadır. İstisnalar maddesinin yeniden düzenlenerek, özellikle kişilerin kendileriyle ilgili tutulan verilere ulaşması, kamu kurum ve kuruluşları tarafından tutulan verilerin üçüncü kişilerle paylaşılamaması konularında güvenceler getirilmesi son derece önemlidir.
  • Takma adlı veri kavramı Avrupa Birliği’nde 2016 yılında kabul edilmesi beklenen Genel Veri Koruma Regülasyonu ile uyumlu olarak tasarıya eklenmelidir. Regülasyonda takma adlı veri ek bilgiler kullanılmadan veri sahibi ile ilişkilendirilemeyen ve ilişkilendirilmesini sağlayan ek bilgilerin ayrıca ve güvenli biçimde kullanıldığı veri olarak düzenlenmektedir. Takma adlı verilerin ayrıca düzenlenmesi riske dayanan faydalı yaklaşımı getirmekte ve tüm verileri kategorik düzenleyen sistemden ayrılarak faydalı veri işleme yöntemlerinin ve dolayısıyla inovasyonun önünü açmaktadır. Takma adlı verilerin tek başına kişiyi tanımlamayan veriler olarak tanımlanarak bunların anonim veri ile kişisel veri arasında bir kategori olarak düzenlenmesi, kişisel verilerin korunması hakkıyla diğer haklar arasındaki dengenin kurulmasını sağlayacaktır.

YAZAR KAĞAN DORA

Çiğdem Tekin - Dora - Arancı Hukuk Bürosu