KİŞİSEL VERİLERİN KORUNMASI KANUN TASARISI

"Kişisel veri sahibinin hakları ikinci planda kalıyor"

FARUK ÇAYIR
15 ŞUBAT 2016
UZMAN GÖRÜŞÜ

Temel bir insan hakkı olan ifade özgürlüğü açısından kişisel verilerin korunması vazgeçilemeyecek bir haktır. Bu konuda hazırlanan son kanun tasarısına ilişkin şunlar söylenebilir:

Tasarıda kişisel veri tanımında “kişisel veya olgusal bilgi” ifadesi kullanılmalıdır. Bu ifade kişiyle ilgili fiili durumları kanaatler, fotoğraflar, sesli ve görüntülü kayıtlar gibi verisi işlenen kişi ile bağlantılı tüm bilgileri açıkça kapsama alınmalıdır.

Tasarıda tüzel kişilere ilişkin herhangi bir düzenleme bulunmuyor.

Tasarıda kişisel verilerin toplanan kişisel verilerin muhafaza edilmeleri ile ilgili süre çok geniş ve yoruma açık.

Tasarıya göre kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez. Ancak tasarıda açık rızanın tanımı yapılmadığı gibi, hangi unsurları içerdiği de belirtilmemiş. Kişisel verilerin işlenmesinde ilgili kişinin yazılı rızasının alınması gerekmelidir.

Tasarıda istisnai haller neredeyse açık rıza kavramını gereksiz ve geçersiz kılacak ölçüde geniş. İstisnalar, ucu açık kavramlarla değil en alt düzeyde olmalı ve tanımı sınırlı bir şekilde yapılmalıdır. Tasarıda özel nitelikli kişisel verilere de istisnalar getirilmiş ve bu istisnalar neredeyse her türlü kişisel verinin ilgili kişinin rızası olmaksızın işlenebilir hale gelmiştir. Yine istisnalar arasına giren konularda kamu kurumlarının örneğin emniyet, jandarma ve istihbarat birimlerinin hangi hallerde veri toplama ve işleme yapabileceğinin sayılmalı ve sınırlandırılmalıdır. İtalya da olduğu gibi Veri Koruma Kurulu emniyet ve istihbarat birimlerince gerçekleştirilen veri işleme faaliyetlerini vatandaşlar adına kontrol etmek görev ve yetkisine sahip olmalıdır.

Bankacılık, sigortacılık, telekomünikasyon, kargo, sağlık, turizm, eğitim, çağrı merkezi ve pazarlama hizmetleri gibi pek çok alanda faaliyet gösteren işletmelerin bilgi sistemleri büyük hacimde kişisel veriyi bünyelerinde barındırıyor. Kanun tasarısında bu şirketlerin, hangi tür kişisel verileri ne şekilde toplayabilecekleri, bunları hangi amaçlarla kullanabilecekleri, kimlerle paylaşabilecekleri, ne kadar süre tutabilecekleri, hangi süre sonunda silecekleri, almaları gereken güvenlik tedbirleri ile kişisel verisi bulunan kişilerin bu verilere erişim, sildirme, düzelttirme gibi haklarını nasıl kullanabileceklerine ilişkin sektörel bazda hiçbir düzenleme bulunmuyor.

Yedi üyeden oluşan kurul üyelerinin dördü Bakanlar Kurulu ve üçü Cumhurbaşkanı tarafından seçiliyor. Kanun tasarısındaki bu düzenlemenin örneğin RTÜK benzeri bir modelle Mecliste grubu bulunan partilerin oy oranlarına göre kurul üyesi seçimi yapılması en azından atama anlamında daha katılımcı bir yapı oluşmasını sağlayacaktır.

Bu alandaki uluslararası literatürü de uygun olarak soruşturma ve müdahalede bulunma yetkisine ve aynı zamanda hukuki surece dâhil olma ve kişisel verilerin işlenmesi ile bağlantılı olarak bireylerin kendi temel hak ve özgürlüklerini korumak amacıyla yaptıkları şikayetleri inceleme yetkisine sahip olan bir denetleyici kurul olmalıdır.

Genel anlamda kanun tasarısı daha çok veriyi toplayan ve işleyenin haklarına yöneldiği, tasarıda kişisel veri sahibinin haklarının ikinci planda kaldığı izlenimi veriyor. Tasarı ile amaçlanan, kişisel verilerin korunması, yani kişisel veri sahibi kişilerin haklarının, bu verileri toplayanlar karşısında ihlalinin engellenmesidir. Ancak korunmak istenen menfaatle getirilen hükümlerin çeliştiği, kişisel veri sahibininin hakları ve faydalanacağı korumalardan ziyade, verileri işleyenlerin hangi hakları ne surette haiz olduklarına ağırlık verildiği görülüyor. Tasarı veri koruma esas ve usulüne yönelik iyileştirme ve düzenlemeler yerine daha çok Veri Koruma Kurulu’na ilişkin düzenlemelere ağırlık veriyor.

 

 

Temel bir insan hakkı olan ifade özgürlüğü açısından kişisel verilerin korunması vazgeçilemeyecek bir haktır. Son yıllarda önemle bahsedilen ve AB ilerleme raporlarında her yıl bir eksiklik olarak belirtilen konulardan olan kişisel verilen korunması alanında en yeni düzenleme 12 Eylül 2010 referandumu ile yapılan Anayasa değişikliği ile Anayasa’nın 20. maddesine getirilen düzenlemedir. Ancak bu düzenleme tek başına yeterli olmayıp bu alana ilişkin özel bir kanun eksikliği dikkati çekmektedir. Belirtmek gerekir ki kişisel verilerin korunması konusunda 1981 yılında imzalanan 108 nolu Kişisel Veriler Hakkında Avrupa Konseyi Andlaşması Türk hukuk mevzuatı açısından önemli bir sorun teşkil etmektedir. 1981’de Avrupa Konseyi bağlamında kısaca “108 No’lu Sözleşme” olarak bilinen “Convention for the protection of individuals with regard to automatic processing of personal data” (Kişisel verilerin otomatik işlemden geçirilme sürecinde bireylerin korunması hakkında sözleşme) [1] imzaya açılmış ve Türkiye tarafından da gecikmeksizin imzalanmıştır. Sözleşme daha sonra 1986’da yürürlüğe girmiştir. Ancak 108 Nolu Sözleşme kişisel verilerin korunması konusunda genel ilkeleri tespitle yetinmektedir. Sözleşmenin uygulanabilmesi için ayrıntıların taraf devletler iç hukuklarında yapılacak düzenlemelerle mümkün olacaktır. Bu nedenle Türkiye henüz bir “Kişisel Verilerin Korunması Hakkında Kanun” yürürlüğe koymuş olmadığından bu sözleşmeye taraf olamamıştır.

2010 yılında Anayasa değişikliği ile Anayasa’nın Özel Hayatın Gizliliği başlıklı 20. maddesine getirilen “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak, kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir” düzenlemesi ile konuya açıklık getirilmeye çalışılmıştır.

 

1- Kişisel veri kavramı

Kişisel veri kavramının tanımlanmasında uluslararası belgelerin hemen hemen tümünde mutabakata varılmış tanım, kişisel verinin doğrudan doğruya ya da dolaylı olarak bir gerçek kişi ile ilintili olabilecek ve onu belirlenebilir kılacak her türlü bilgi olduğudur.

Kişisel Verilerin Korunması Kanun tasarısında kişisel veri kavramı en genel haliyle ele alınmakta olup “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” olarak tanımlanmıştır. Bu tanım 108 nolu Kişisel Veriler Hakkında Avrupa Konseyi Antlaşmasının Türkçe’ye çevrilmiş halidir. Yapılan bu tanım AB ülkelerinde dahi genişletilerek ve daha anlaşılabilir hale getirilerek kullanılmaktadır.

Alman veri koruma mevzuatında kişisel veri tanımlaması yapılırken “kişisel veya olgusal (factual) bilgi” ifadesi kullanılmaktadır. Bu ifade kişiyle ilgili fiili durumları, kanaatler, fotoğraflar, sesli ve görüntülü kayıtlar gibi verisi işlenen kişi ile bağlantılı tüm bilgileri açıkça kapsama almaktadır. [2]

Fransız Bilişim, Dosyalama ve Özgürlükler Kanunu’nda veri koruma terminolojisine ilişkin yapılan tanımlamalar büyük ölçüde VKY ile benzer ifadeler içermektedir. Bununla birlikte kişisel veri tanımı yapılırken “kişinin belirli kılınması değerlendirilirken veri kütüğü sahibinin elinde bulunan veya ulaşabilir durumda olduğu teşhis edici araçların tümü dikkate alınacaktır” ifadesi eklenmiştir. Bu durum kanundaki kişisel veri tanımını göreceli hale getirmektedir. Kişiyi belirli kılan araçlara sahip olan veri kütüğü sahibi için veri kişisel veri olurken, bu araçlara sahip olmayan veri kütüğü sahibi için kişisel veri olarak kabul edilmeyecektir. [3]

Nilgün Basalp’e [4] göre, bir kişinin belirlenebilir kılınması, verilerin doğrudan ya da dolaylı olarak bir gerçek kişiyle ilişkilendirilmesi suretiyle kişinin tanımlanabilmesi, yani sahsın o şahıs olduğunu ortaya çıkarılabilmesi özelliğini ifade eder. Kanun tasarısında kimliği belirli veya belirlenebilir gerçek kişi tanımlamasına açıklık getirilmelidir.

 

2- Tüzel kişiler

Kanun tasarısında tüzel kişilere ilişkin herhangi bir düzenleme yapılmamıştır. Gerek Türk Medeni Kanunu gerekse Türk Ticaret Kanunu tüzel kişileri ayrı bir kişilik olarak tanımlamakta ve tüzel kişilere ilişkin yasal düzenlemeler getirmektedir. 108 sayılı sözleşmede de tüzel kişilere ilişkin herhangi bir düzenleme getirilmemiştir. Ancak tüzel kişilere ait verilere ilişkin Avrupa Birliği’nin çalışmaları bulunmakta olup, Avrupa İnsan Hakları Mahkemesi’nin de bu konuda yol gösterici kararları bulunmaktadır.

Alman veri koruma mevzuatında tüzel kişilikler ve ölüler, kanunun koruması altında değildir. Bununla birlikte mesleki gizlilik kurallarında veya hastanelerle ilgili özel kanunlarda ölülerle ilgili veriler için koruma tedbirleri düzenlenmiştir. Tek kişilik ticari faaliyetler ile ilgili bilgiler ise kişisel veri olarak kabul edilmiştir. [5] Bu konuda kanun tasarısında tüzel kişilere ilişkin tedbir niteliğinde düzenlemeler getirilmesi yerinde olacaktır.

 

3- Muhafaza süresi ve şekli

Kanun tasarısında kişisel verilerin “ilgili mevzuatta öngörülen ve işlendikleri amaç için ön görülen süre kadar muhafaza edilebiliceği” öngörülmüştür. Tasarıdaki bu düzenleme süre olarak çok geniş ve yoruma açık bir süreyi kapsamaktadır. Hangi kurumun ne kadar süre ile kişisel verileri muhafaza edebileceğine bir sınırlama getirilmelidir. Aynı zamanda içerik, yani boyut ve miktar olarak da bir sınırlama getirilmelidir.

Bu konuda Alman Veri koruma Mevzuatında amaçla sınırlılık ilkesi ile ilgili olarak kamu sektörüne yönelik oldukça sıkı hükümler getiren Kanunda özel sektöre yönelik düzenlemeler daha rahat hareket edebilmelerini sağlayacak bir yaklaşımla ele alınmıştır. Kanunda dikkat çeken bir hüküm ise farklı amaçlarla toplanan verilerin birbirinden ayrı olarak işlenmesi zorunluluğudur. Kamu sektörüne yönelik sıkı düzenlemeleri, terörle ve organize suçla mücadele kapsamında esnetmeye yönelik çalışmalara karşı Alman Anayasa Mahkemesinin verilerin (iletişim verilerinin) zorunlu muhafazasına dair 02.03.2010 tarihli kararı, amaçla sınırlılık ilkesine bağlı kalınması gerektiğini ve bu ilkenin sadece “mutlak minimum” düzeyinde esnetilebileceğini ortaya koymuştur. Alman Kanununda iki genel ilkeye daha yer verilmiştir. Bunlardan ilki olan “veriden uzak durma (data avoidance) ve veri minimizasyonu” (veya veri ekonomisi) ilkesi temelde gerekli asgari kişisel veriden daha fazla veri toplanmamasını ve toplanan verilerin de imkanlar ölçüsünde anonim veya psodonim hale getirilmesini şart koşmaktadır. [6]

 

4- Hukuka uygunluk sebepleri ve rıza

Kanun tasarısına göre kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez. Ancak açık rızanın tanımı yapılmadığı gibi, hangi unsurları içerdiği de belirtilmemiştir. Bu haliyle, kişisel verilerin korunması hakkı açısından en temel ilkelerden olan kişinin açık rızasının bulunması ilkesinin uygulanmasında sorunlar yaşanması muhtemeldir. Bu nedenle, uluslararası belge örneklerinde de açıkça görüldüğü üzere, açık rızanın kişinin özgürce, konuyla ilgili yeterli bilgiye sahip olarak, tereddüde mahal bırakmayacak açıklıkta ve sadece işlemin yapılmasına yetecek ve işlemle sınırlı olarak verdiği onay beyanı olarak tanımlanması gerektiği düşünülmektedir. Burada önemle belirtmek gerekir ki ilgili kişinin yazılı rızasının alınması gerekmelidir. Yazılı rızanın aranması kamu ve özel hukuk tüzel kişileri açısından sınırlama getirmiş ve kişisel verilerin korunmasında önemli bir koruma sağlamış olacaktır. Örneğin, abonelik sözleşmesi imzalayan bir kişinin sözleşme hükümlerine rıza gösterdiğinin kabulü gerekecektir. Ancak, bu sözleşme içine serpiştirilmiş kişisel verilerin işlenmesine ilişkin hususlar bulunması, gereğinden çok kişisel veri toplanması, bu verilerin ilgili şirketin grup şirketleri veya pazarlama şirketleri ile paylaşılabileceğine ilişkin hükümlerin bulunması gibi kişisel verilerin korunmasının temel ilkelerine aykırı durumların önüne geçilmiş olacaktır.

 

Türk hukukuna özgü istisnai haller yine asıl koşul olan rıza kavramının önüne geçmektedir. Tasarıya göre ilgili kişinin rızasının aranmayacağı haller:

a) Kanunlarda açıkça öngörülmesi

b) Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması

c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması

ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması

d) İlgili kişinin kendisi tarafından alenileştirilmiş olması

e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması

f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olmasıdır.

 

108 sayılı sözleşmeye göre,

“Eğer Akit Taraf Kanununda öngörülen istisna, demokratik bir toplumda,

(a) Devlet güvenliğinin korunması, kamu güvenliği, devletin mâli menfaatleri veya suçların önlenmesi için zorunlu bir önlem teşkil ediyorsa,

(b) İlgili şahsın korunması ve başkasının hak ve özgürlükleri için zorunlu bir önlem teşkil ediyorsa” istisnalar getirilebilir. [7] Sözleşmede sınırlayıcı bir tanım yapılmış iken kanun tasarısında bu istisnaların genişletilerek el alınması kişisel verilerin korunması mantığı ile bağdaşmamaktadır.

Fransa’ da veri koruma mevzuatına göre kanunda rızanın bulunmaması halinde hukuka uygunluk sebepleri “veri kütüğü sahibinin yasal bir yükümlülüğü ile uyumlu olma” ve “verisi işlenen kişinin hayatının korunması” şeklinde sıralanmıştır. [8]

Alman veri koruma kanununda anonimleştirme tanımı şu şekilde yapılmıştır: “Verileri verisi işlenen kişi ile bağlantısı kurulamayacak (veya çok orantısız bir caba ile bağlantı kurulabilecek) şekilde değiştirmek”. Psodonimleştirme ise “İsim ve benzeri niteleyici bilgilerin yerine verisi işlenen kişinin teşhisini imkansız veya daha zor kılacak şekilde bir numara kullanmak” şeklinde tanımlanmıştır. Buna göre anonimleştirilmiş veriler kişisel veri olmaktan çıkmıştır. Psodonimleştirilmiş veriler ise bunları şifreleyen kişi için kişisel veri iken şifreleme anahtarına sahip olmayan veri kütüğü sahibi acısından kişisel veri değildir. [9]

Yine Alman kanunu rızanın geçerliliği ile ilgili olarak katı bir yaklaşım sergilemektedir. Mal ve hizmet sunumu yapan veri kütüğü sahipleri, ilgili amacın gerektirmediği kişisel verilerin verilmesini on koşul haline getiremezler (bu şekilde alınan rıza geçerli değildir). “Link yasağı” denilen hükme göre örneğin, banka ve benzeri kuruluşlar pazarlama gibi gereksiz ikincil amaçlar için verilerinin kullanılmasına rıza göstermelerini müşterilerinden talep edemeyecektir. Rızanın geçerliliğinde bir başka koşul da verisi işlenecek kişinin duruma özgü ve uygun bir şekilde bilgilendirilmesidir. Ayrıca kanuna göre koşullar başka formatları (telefon veya internet üzerinden) gerektirmediği surece rızanın yazılı olması gereklidir. Ayrıca rıza başka hususlarla birlikte isteniyor veya veriliyorsa rızaya ilişkin bölümler diğerlerinden belirgin olarak ayrılmış olacaktır. [10]

Kamu kurumları görevleri için gerekli olmayan kişisel verileri işlemek amacıyla verisi işlenecek kişilerin rızasını isteyemezler. Veri işlemenin hukuka uygunluk sebeplerinden olan yasal yetki verilmesinin çerçevesi de belirlenmiştir. Buna göre federal veya eyalet düzeyindeki kanunlar ve tüzükler, kamu sektörü toplu iş sözleşmeleri ve AB kuralları bu kapsamda olmakla birlikte, ilgili hükümlerde spesifik olarak ve açıkça veri işleme yetkisi verilmesi veya işlemenin gereklilik olarak belirtilmesi şart koşulmuştur.

Kanun tasarısında yukarıdaki istisnai haller neredeyse açık rıza kavramını gereksiz ve geçersiz kılacak ölçüde geniş niteliktedir. Burada ilgili kişinin açık rızasının alınması kamu kurumları ve özel tüzel kişiler açısından oldukça geniş bir alan oluşturmaktadır. Asıl olan kişisel verinin ilgili kişisinden elde edilmesi olmalıdır. Bu istisnalar kamu kurumlarına kişisel verilerin toplanması ve işlenmesi konusunda en yüksek düzeyde veri toplama yetkisi vermektedir. Yani tasarı, kişisel veri sahibi tüm gerçek kişilerin, önceden verilerinin toplanmasına rıza gösterdikleri gibi bir sonuç yaratmaktadır. Bu sebeple istisnaların ucu açık kavramlarla değil en alt düzeyde ve tanımı sınırlı bir şekilde yapılması gerekmektedir.

Yine istisnalar arasına giren konularda kamu kurumlarının örneğin emniyet, jandarma ve istihbarat birimlerinin hangi hallerde veri toplama ve işleme yapabileceğinin sayılması ve sınırlandırması gerekmektedir. Bilindiği gibi kişisel verilerin korunması kanun tasarısının 2008 yılından bu yana çeşitli tarihlerde meclis gündemine gelmesine rağmen bir türlü yasalaşamamasının sebeplerinden biri ve en önemlisi de emniyet, jandarma ve istihbarat birimlerinin toplamış olduğu bilgileri bir veri kütüğüne kaydetmeyi reddetmesi ve verileri diğer kurumlarla paylaşmayı reddetmesidir. Bilindiği üzere Türkiye’ de devlet sırrı kavramı çok geniş bir alana yayılmış durumdadır. Devlet Sırrı Kanunu Tasarısı ile düzenleme yapılmaya çalışılsa da tıpkı Kişisel Verilerin Korunması Kanun Tasarısı’nda olduğu gibi yıllardır tasarı halinde kalmaktan öteye geçememiştir. Ülkemizde sır ve gizlilik kategorisi oldukça geniş tutulmuş ve bireylerin bilgiye ulaşma hakları sınırlandırılmıştır. Sır kategorisine giren yaklaşık 50, gizlilik kategorisine giren yaklaşık 75 yasal düzenleme mevcut olup, bazı düzenlemeler her iki kategoriye de girecek şekilde kaleme alınmıştır. Örnek olarak, 6183 sayılı Amme Alacaklarının Tahsil Usulü Hakkında Kanunun 107., 6326 sayılı Petrol Kanunu Kanununun 43., 213 sayılı Vergi Usul Kanununun…1982 Anayasasının 26’ncı maddesinde düşünceyi açıklama ve yayma hürriyetinin hangi amaçlar için sınırlandırılabileceği belirtilirken, amaçlardan biri “Devlet sırrı olarak usulünce belirtilmiş bilgilerin açıklanmaması” olarak gösterilerek devlet sırlarından söz edilmiştir. Yine 28’inci maddede devlete ait gizli bilgilere ilişkin her türlü haber veya yazı yazanların, bastıran ve basanların, bunları başkalarına verenlerin bu suçlara ait kanun hükümleri uyarınca sorumlu tutulacakları açıklanmıştır. Bunun dışında devlet sırrını doğrudan düzenleyen yeknesak bir düzenleme bulunmamaktadır.

Prof. Dr. Çetin Özek’e göre, devlet sırrının niteliği su unsurlara işaretle belirlenmektedir:

a) Kabul edilebilen “devlet sırrı”, niteliği nedeniyle sır sayılması gereken bilgidir. Ulusal savunmaya, uluslararası ilişkilere, demokratik düzeni korumaya yönelik bilgi örnek gösterilebilir.
b) Yönetsel gücün kararıyla “devlet sırrı” saptaması genel olarak, demokratik anayasal düzeni korumaya yönelik ve sır sayılması zorunlu bilgiler için kabul edilebilir. Bu saptama da yargı tarafından yapılır.
c) Devlet sırrı ile ulusal savunma güvencesi arasında nedensel bağlantı olması gerekir.
d) Tarihsel olguların, diplomatik ilişkilerin ve bilimsel bilgilerin sır olmayacağı kabul edilir.
e) Hukuka aykırı eylemler “sır” sayılmaz.
f) Sırrın, kitle iletişim araçlarıyla açıklanması, eğer somut tehlike yaratmıyorsa suç sayılmaz.
g) Bireyin kendisine ait bilgi, bilginin niteliği ne olursa olsun “sır” sayılmaz.
h) Bilgilenme hakkı üstün değerde olduğu için, sansür niteliğinde, haber vermek hakkını sınırlayan, “devlet sırrı” saptaması yapılamaz.
i) “Bilgilenme hakkı’ nın, devlet sırrı iddiasına karsı korunması da gerekli görülmektedir. Diğer bir deyişle, “bilgilenme hakkı”na güvence yöntemleri uygulanmalıdır. [11]
108 sayılı sözleşme ile ulusal güvenlik, ulusal savunma ve kamu düzeni gibi alanlarda istisnaların getirilebileceği, ancak bu istisnaların kapsam ve sınırlanın belirli ve denetlenebilir olmasının gereği açıkça görülmektedir. Örneğin İtalya da kişisel verilerin işlenmesi ile ilgili olarak temel hak ve özgürlüklerin korunmasından sorumlu yapı olan Garante (Garante per la Protezione dei Dati Personali) isimli veri koruma otoritesinin “emniyet ve istihbarat birimlerince gerçekleştirilen veri işleme faaliyetlerini vatandaşlar adına kontrol etmek” görev ve yetkisine sahiptir. [12]

Kanun tasarısındaki maddeden anlaşılan, kişiye dair tüm verilerin toplanabilir olduğudur. Bu nedenle belirtmiş olduğum gibi bu tür devlet kurumlarına ilişkin özel bir düzenleme ve sınırlama getirilmesi elzemdir. Aksi taktirde sadece kağıt üzerinde kalan, kadük hale gelmiş bir yasal düzenleme yapılmış olur. Türkiye de asıl olarak veri toplama, işleme ve paylaşma işlemlerini devlet kurumları yapmaktadır. Bu nedenle de vatandaşına güvenmeyen ve potansiyel suçlu olarak gören devlet anlayışından az da olsa sıyrılarak kişileri korumaya yönelik düzenleme getirilmesi Türkiye açısından hayati önem taşımaktadır. İtalya örneğinde olduğu gibi Veri Koruma Kurulu emniyet ve istihbarat birimlerince gerçekleştirilen veri işleme faaliyetlerini vatandaşlar adına kontrol etmek görev ve yetkisine sahip olmalıdır.

 

5- Özel nitelikli kişisel veriler

Kanun tasarısına göre “Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik verileri özel nitelikli kişisel veridir.”

Özel nitelikli kişisel veriler, kurul tarafından belirlenen yeterli önlemler alınmaksızın hiçbir şekilde işlenemez.

Ancak yukarıda belirtmiş olduğumuz gibi yine özel nitelikli kişisel verilere de istisnalar getirilmiş ve bu istisnalar neredeyse her türlü kişisel verinin ilgili kişinin rızası olmaksızın işlenebilir hale gelmiştir. Bu istisnalar arasında özellikle Türkiye açısından büyük tartışmalara yol açan, kişisel sağlık bilgilerinin kişiler ve kuruluşlar tarafından rıza aranmaksızın işlenebilir hale getirilmesi çok büyük istismarlara yol açacak durumdadır. Özel nitelikli kişisel veriler, kişiler açısından kritik öneme sahip olduğu için bu istisnalar açısından kötünün iyisi bir durum oluşturmak adına kişinin özel yazılı iznin alınması şarttır. Bunun dışında hukuka uygunluk sebepleri ve istisnalar açısından getirmiş olduğumuz eleştiriler aynen burada da geçerlidir.

 

6- Özel hukuk tüzel kişilerince kişisel verilerin toplanması

Bankacılık, sigortacılık, telekomünikasyon, kargo, sağlık, turizm, eğitim, çağrı merkezi ve pazarlama hizmetleri gibi pek çok alanda faaliyet gösteren işletmelerin bilgi sistemleri büyük hacimde kişisel veriyi bünyelerinde barındırmaktadır. Bu şirketlerin, hangi tür kişisel verileri ne şekilde toplayabilecekleri, bunları hangi amaçlarla kullanabilecekleri, kimlerle paylaşabilecekleri, ne kadar süre tutabilecekleri, hangi süre sonunda silecekleri, almaları gereken güvenlik tedbirleri ile kişisel verisi bulunan kişilerin bu verilere erişim, sildirme, düzelttirme gibi haklarını nasıl kullanabileceklerine ilişkin olarak sektör bazlı düzenlemelerin bazı istisnalar dışında yapılmadığı, buna bağlı olarak kişisel veri ihlallerine yönelik denetimlerin gerçekleştirilemediği, ihlallerin tespit edilemediği ve yaptırıma bağlanamadığı, bu nedenlerle özel hukuk tüzel kişileri açısından kişisel verilerin korunmasındaki boşluk ve risklerin önemli boyutlara ulaştığı ve bu konuya ilişkin düzenlemeler yapılması gerektiği açıktır. Kanun tasarısında bu konuya ilişkin hiçbir düzenleme yapılmamıştır.

 

7- Veri Koruma Kurumu ve Kurulunun yapısı

Kişisel Verilerin Korunması Kanunu Tasarısı Taslağı’nın 19. maddesi ile Kişisel Verileri Koruma Kurumu’nun kuruluşu düzenlenmektedir. Buna göre, kanunla verilen görevleri yapmak üzere Başbakanlık ile ilişkili Kişisel Verileri Koruma Kurumu oluşturulmaktadır.

AB Genel Veri Koruma Tüzük Taslağında da denetleyici otoriteler ile ilgili hususlar çok daha ayrıntılı olarak düzenlenmiştir. Taslakta denetleyici otoritelerin bağımsızlığına ilişkin olarak getirilen ilave koşullar dikkat çekmekte, denetleyici otorite üyelerinin seçilme koşulları da ayrıntılı olarak sayılmaktadır. Buna göre,

Denetleyici otoritenin üyeleri meclis ya da hükümet tarafından atanacaktır.
Üyeler bağımsızlığı şüphe götürmeyen ve kişisel verilerin korunması alanında deneyimleri ile yeterlilikleri bilinen kişilerden seçilecektir.
Üyenin görevi, görev suresinin dolması, istifa veya zorunlu emeklilik yaşı ile sona erecektir.
Üyenin görevinin gereklerini yerine getirmek için gerekli şartları sağlayamaması veya ciddi bir usulsüzlükten hüküm giymesi durumunda ilgili mahkeme tarafından azledilebilecek veya emekliye sevk edilebilecektir. [13]
Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunmasına Dair 108 Sayılı Sözleşmenin ek Protokolü denetleyici otoriteleri (supervisory authority) düzenlemektedir. Taraf devletlere iç hukuklarında sözleşmeye uygun olarak yürürlüğe koydukları yasal düzenlemelerin uygulanmasını izlemeden sorumlu bir denetleyici otorite oluşturma yükümlülüğü getirmeyen 108 sayılı sözleşmenin bu eksikliği, 2004 yılında yürürlüğe giren ek protokol ile giderilmiştir. Protokolün 1. maddesi, taraf devletlere kendi iç hukuklarında aldıkları önlemlerin sözleşme ve protokolde yer alan ilkelere uygunluğunu güvence altına almaktan sorumlu olacak bir ya da birden fazla denetleyici otorite oluşturma zorunluluğu getirmektedir. Bu denetleyici otoriteler özellikle soruşturma (investigation) ve müdahalede bulunma yetkisine ve aynı zamanda hukuki surece dâhil olma ve kişisel verilerin işlenmesi ile bağlantılı olarak bireylerin kendi temel hak ve özgürlüklerini korumak amacıyla yaptıkları şikayetleri inceleme yetkisine sahip olmalıdırlar. [14]

Veri koruma kurum ve kuruluşları kişisel verilerin korunması açısından güvence sağlayan en önemli unsurlardandır. Uluslararası düzenlemelerde neredeyse bütün ülkelerde bu otoritelerin üzerlerine düşen görevi gerektiği şekilde yerine getirebilmeleri için bağımsız (independent), tarafsız (impartial) ve teknik kapasite açısından yetkin ve yeterli (technically competent) yapıda oluşturulmalarına vurgu yapılmıştır. [15] Kişisel Verilerin Korunması Kanunu Tasarısı Taslağında Başbakanlığa bağlı bir Kişisel Verileri Koruma Kurumu oluşturulması öngörülmektedir. Kelime anlamı olarak özerklik bir topluluğun, bir kuruluşun ayrı bir yasaya bağlı olarak kendini yönetme hakkıdır. Mali özerklik, bir kamu tüzel kişisinin kendi kaynaklarından serbestçe yararlanarak kendi harcamalarını yönetmesi durumudur. İdari ve mali anlamda özerk bir kurum oluşturulması açısından genel bütçede Sayıştay denetimine açık kendi bütçesine sahip bir kurum oluşturulması daha yerinde olacaktır.

Kanun tasarısının 21. maddesine göre “Kurul yedi üyeden oluşur. Kamu veya özel sektörde en az on yıl görev yapanlar arasından Bakanlar Kurulunca dört, Cumhurbaşkanınca üç üye seçilir.” Burada Türkiye’ nin idari yapısı ve hükümet yapısı düşünüldüğünde bu düzenlemenin tartışmalara yol açacağı şüphesizdir. Günümüzdeki tek parti hükümetine dayanan ve yürütmenin tamamen tek partiden oluştuğu gözetildiğinde Bakanlar Kurulunca yapılacak atamalar tartışmaya açık olacaktır. Aynı zamanda yürütme açısından bir nevi imza ve denetim makamı olan Cumhurbaşkanlığınca atama yapılması da daha büyük bir sorun teşkil etmektedir. Günümüz Türkiye’ sinde Cumhurbaşkanlığı makamı ve Başkanlık Sistemi tartışmaları göz önüne alındığında tek bir kişi tarafından atama yapılması kaçınılmaz olacaktır. Bu nedenle kanun tasarısındaki bu düzenlemenin RTÜK benzeri bir modelle mecliste grubu bulunan partilerin oy oranlarına göre kurul üyesi seçimi yapılması en azından atama anlamında daha katılımcı bir yapı oluşmasını sağlayacaktır.

Genel anlamda kanun tasarısı daha çok veriyi toplayan ve işleyenin haklarına yöneldiği, tasarıda kişisel veri sahibinin haklarının ikinci planda kaldığı izlenimi ortaya çıkmaktadır. Tasarı ile amaçlanan, kişisel verilerin korunması, yani kişisel veri sahibi kişilerin haklarının, bu verileri toplayanlar karşısında ihlalinin engellenmesidir. Ancak korunmak istenen menfaatle getirilen hükümlerin çeliştiği, kişisel veri sahibininin hakları ve faydalanacağı korumalardan ziyade, verileri işleyenlerin hangi hakları ne surette haiz olduklarına ağırlık verildiği görülmektedir. Tasarı veri koruma esas ve usulüne yönelik iyileştirme ve düzenlemeler yerine daha çok Veri Koruma Kuruluna ilişkin düzenlemelere ağırlık vermektedir.

KAYNAKÇA

http://www.avrupakonseyi.org.tr/antlasma/aas_108.htm
http://www.abgs.gov.tr/files/pub/antlasmalar.pdf
108 sayılı Sözleşme için Ek Protokol, 2001
AKILLIOGLU, Tekin, İdari Usul ve Kişisel Verilerin Korunması, Makale (http://www.idare.gen.tr/akillioglu-idariusul.htm)
Aksoy, Hüseyin Can, Kişisel Verilerin Korunması, Çakmak Yayınevi, Ankara, 2010
Atak, Songül, Avrupa Konseyinin Kişisel Veriler Açısından Sağladığı Temel Güvenceler, TBB Dergisi, Sayı 87, 2010
BASALP, Nilgün, Kişisel Verilerin Korunması ve Saklanması, Ankara 2004.
BEYLİ Ceylin : “Kişisel Nitelikteki Verilerin Korunmasına İlişkin Kanun Tasarısı Üzerine Eleştiriler” (http://www.bilisimsurasi.org.tr/hukuk/docs/tbs_kisisel_veri_ceylin_beyli_gorus1.) (Erişim tarihi: 15/10/2011)
Devlet Denetleme Kurulu 27-11-2013 Tarih 2013-3 Sayılı Kişisel Verilerin Korunması Raporu
İlkiz, Fikret: Kişisel Verilerin Korunması ve Kanun Tasarısı, Güncel Hukuk Dergisi, Temmuz 2009/7-67, s. 12-23.
Kişisel Verilerin İşlenmesi Ve Serbest Dolaşımı Karşısında Bireylerin Korunması Tüzüğü Taslağı (Genel Veri Koruma Tüzüğü Taslağı)
ÖZEK, Çetin, Basın Özgürlüğünden Bilgilenme Hakkına, Alfa Yayınları, Eylül 1999
ŞİMŞEK, Oğuz, Anayasa Hukukunda Kişisel Verilerin Korunması, İstanbul, 2008.
Yıldırım, A. Ve Simsek, H. Sosyal Bilimlerde Nitel Arastırma Yöntemleri, Ankara: Seçkin Yayınları. 2005

[1] (http://www.avrupakonseyi.org.tr/antlasma/aas_108.htm)

[2] Devlet Denetleme Kurulu 27-11-2013 Tarih 2013-3 Sayılı Kişisel Verilerin Korunması Raporu, sayfa 122

[3] Devlet Denetleme Kurulu 27-11-2013 Tarih 2013-3 Sayılı Kişisel Verilerin Korunması Raporu, sayfa 112

[4] BASALP, Nilgün, Kişisel Verilerin Korunması ve Saklanması, Ankara 2004, s.16

[5] Devlet Denetleme Kurulu 27-11-2013 Tarih 2013-3 Sayılı Kişisel Verilerin Korunması Raporu, sayfa 123

[6] Devlet Denetleme Kurulu 27-11-2013 Tarih 2013-3 Sayılı Kişisel Verilerin Korunması Raporu, sayfa 124

[7] http://www.avrupakonseyi.org.tr/antlasma/aas_108.htm

[8] Devlet Denetleme Kurulu 27-11-2013 Tarih 2013-3 Sayılı Kişisel Verilerin Korunması Raporu, sayfa 113

[9] Devlet Denetleme Kurulu 27-11-2013 Tarih 2013-3 Sayılı Kişisel Verilerin Korunması Raporu, sayfa 122

[10] Devlet Denetleme Kurulu 27-11-2013 Tarih 2013-3 Sayılı Kişisel Verilerin Korunması Raporu, sayfa 125

[11] Prof. Dr. Çetin ÖZEK, Basın Özgürlüğünden Bilgilenme Hakkına adlı kitabı sayfa 61-71 arası. Alfa Yayınları. Eylül 1999

[12] Devlet Denetleme Kurulu 27-11-2013 Tarih 2013-3 Sayılı Kişisel Verilerin Korunması Raporu, sayfa 152

[13] Kişisel Verilerin İşlenmesi Ve Serbest Dolaşımı Karşısında Bireylerin Korunması Tüzüğü Taslağı (Genel Veri Koruma Tüzüğü Taslağı)

[14] 2001 yılında Sözleşme için bir Ek Protokol imzaya açılmış, 2004 yılında yürürlüğe girmiştir. “Additional Protocol to the Convention for the Protection of Individuals with Regard to Automatic Processing of Personal Data, Regarding Supervisory Authorities and Transborder Data Flows, Strasbourg, 8.XI.2001, European Treaty Series No.181”

[15] Devlet Denetleme Kurulu 27-11-2013 Tarih 2013-3 Sayılı Kişisel Verilerin Korunması Raporu, sayfa 714

YAZAR FARUK ÇAYIR

Avukat