KİŞİSEL VERİLERİN KORUNMASI KANUN TASARISI

Tasarının 26 maddesi kabul edildi! Peki bu maddeler ne getiriyor?

mecliste.org
24 MART 2016
GÜNCELLEMELER

Kişisel Verilerin Korunması Kanunu Tasarısının ilk bölümü ve ikinci bölümünün 8 maddesi (toplamda 26 madde) Genel Kurulda kabul edildi. Bu maddelerin hayatımızda neleri değiştireceğini merak ediyor musunuz? Av. Faruk Çayır sizler için yazdı:

Özel Nitelikli Kişisel Veriler

Kanun tasarısının 6. maddesine göre (1) Kişilerin ırkı, etnik kökeni, siyasi  düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.

(2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.

(3) Birinci fıkrada sayılan kişisel veriler, ilgili kişinin açık rızası aranmaksızın aşağıdaki hallerde işlenebilir:

  • Kanunlarda açıkça öngörülmesi.
  • Kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesi.

(4) Özel nitelikli kişisel veriler, ikinci ve üçüncü fıkrada sayılan hâllerde, Kurul tarafından belirlenen yeterli önlemlerin alınması şartıyla işlenebilir.

Daha önce hukuka uygunluk sebepleri ve rıza kavramında belirtmiş olduğumuz gibi yine özel nitelikli kişisel verilere de istisnalar getirilmiş ve bu istisnalar neredeyse her türlü özel nitelikli kişisel verinin ilgili kişinin rızası olmaksızın işlenebilir hale gelmiştir. Çünkü açık rıza içeriğinin ve kapsamının nasıl olacağı net olarak sınırlarının neler olacağı belirtilmediğinden ve özel nitelikli kişisel verilerin işlenmesinde yazılı rıza aranmadığı için telefon, e-mail, SMS yolu ile rıza alınabilecek.

Bu istisnalar arasında özellikle Türkiye açısından büyük tartışmalara yol açan, kişisel sağlık bilgilerinin kişiler ve kuruluşlar tarafından rıza aranmaksızın işlenebilir hale getirilmesi açısından çok büyük istismarlara yol açacak durumdadır. Özel nitelikli kişisel veriler, kişiler açısından kritik öneme sahiptir. Özellikle geçmiş yıllarda karşılaşmış olduğumuz sağlık bilgilerinin Sağlık Bakanlığı tarafından ihale ile şirketler veya 3. Kişilere satılmasının yasal alt yapısını sağlamaya yönelik bir düzenleme olarak gözükmektedir.

Kişisel Verilerin Aktarılması

Tasarının 8. Maddesine göre – Kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz.

(2) Kişisel veriler;

  • 5 inci maddenin ikinci fıkrasında,
  • Yeterli önlemler alınmak kaydıyla, 6 ncı maddenin üçüncü fıkrasında, belirtilen şartlardan birinin bulunması hâlinde, ilgili kişinin açık rızası aranmaksızın aktarılabilir.

(3) Kişisel verilerin aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.

Hukuka uygunluk sebepleri ve rızanın aranmayacağı istisnai hallerde olduğu gibi Açık rıza olmaksızın verilerin aktarılabileceği istisnai haller çok geniş tutulmuştur. Örneğin bir abonelik sözleşmesi yapılması sırasında, sözleşme yapılan şirket veya kurum sözleşme ile ilgisi olmayan kişisel verileri talep edebilecektir. Bunun dışında kişisel verileri depolama yetkisi bulunan veri sorumlusunun “hukuki yükümlülüğünü yerine getirebilmesi” ve “veri sorumlusunun meşru menfaatleri”  için veri işlenmesi söz konusu olabilecek, kişisel verilerinizi diğer üçüncü kişilere aktarabileceklerdir. Örneğin abonelik sözleşmesi imzaladığınız şirket veya kurumun bünyesinde istihdam etmekte olduğu veri sorumlusunun talebine göre sözleşme ile alakalı olmayan kişisel veriler toplanabilecek, işlenebilecek (başka bilgileriniz ile bütünleştirilebilecektir)ve diğer üçüncü kişilere aktarılabilecektir. (örneğin telefon numaranız reklam şirketlerine aktarılabilecektir.)

Ayrıca özel nitelikli kişisel verileriniz örneğin sağlık bilgileriniz ve bu bilgilerle birlikte vermiş olduğunuz bilgileriniz 3. Kişilere aktarılabilecektir. Örneğin Sağlık Bakanlığı ilaç şirketlerine telefon numaranızı aktarabilecektir.

Kişisel Verilerin Yurt Dışına Aktarılması

Tasarının 9. Maddesi ile kişisel verilerin yurt dışına aktarılması düzenlenmiş yine aynı şekilde istisnalar geniş tutulmuştur. Telefon, e-mail, SMS yolu ile rızanızın alındığı kişisel verileriniz, özel nitelikli kişisel verileriniz yurt dışına aktarılabilecek. Örneğin rızanızın alındığı sağlık bilgileriniz veya telefon, adres bilgileriniz, kimlik numaranız yurt dışına aktarılabilecek. Başka bir devlet ile Türkiye arasında uluslararaası anlaşmalar “yeterli korumayı sağladığı takdirde”, diğer devlet gerekli koşulları sağlamasa dahi Kurul izni ile kişisel veriler yurt dışına aktarılabilecek. Artık “CIA bizi izliyor” şakasının gerçeğe dönüşmesi içten bile değil.

Veri Sorumlusu

Kanun tasarısına göre Veri Sorumlusu “Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir.” Kanun tasarısının 10,11 ve 12 Maddeleri veri sorumlusunun hak ve yükümlülüklerini düzenliyor. Ancak veri sorumlularının hukuki yükümlülükleri ayrıntılı olarak açıklanmamış. Bu hususun yönetmelik aracılığı ile ayrıca ve ayrıntılı olarak yönetmelik ile düzenleneceğine ilişkin herhangi bir düzenleme bulunmuyor. Oysa tasarının 5. Maddesindeki kişisel verilerin işlenme şartlarındaki istisnalar arasında ç bendinde  “Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.” Ve f bendinde “İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.” halinde kişisel veriler rıza aranmaksızın işlenebilir. Bu durumda örneğin abonelik sözleşmesi imzaladığınızda, sözleşmenin tarafı olan şirket benim için telefon, kimlik numarası, adres, e- mail adresi, evde yada iş yerinde kaç kişinin yaşadığı, gece veya gündüz tüketim alışkanlıklarınız v.b. bir çok veriyi işleyebilecektir. Dolayısı ile bu maddeler kişilerin haklarından çok yükümlülük ve sorumluluklarına ağırlık vermektedir.

Oysa tasarının 5. Maddesindeki kişisel verilerin işlenme şartlarındaki istisnalar arasında ç bendinde “Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.” Ve f bendinde “İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.” halinde kişisel veriler rıza aranmaksızın işlenebilir.

Veri Sorumlusunun Ücret Talep Etmesi

Tasarının 13. Maddesine göre “Veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır. Ancak işlemin ayrıca bir maliyeti gerektirmesi hâlinde Kurulca belirlenen tarifedeki ücret alınabilir.” Bu maddeye göre veri sorumlusu kişisel verisinin toplanması, işlenmesi, aktarılması v.b. taleplerle başvuran kişilerden ücret talep etme hakkına sahip olmaktadır. Bu husus uluslararası sözleşmeler ve genel hukuk ilkeleri arasındaki “hak arama” hakkının önünde ciddi bir engel teşkil etmektedir. Haberiniz olmadan veya çeşitli şekillerde rızanızın alındığı kişisel verilerin doğruluğu, niteliği, işlenme şekli, aktarılması konusunda ücret ödeyerek bilgi edinebileceksiniz.

Devlet Sırrı Niteliğindeki Bilgiler İncelenemeyecek

Tasarının 15. Maddesine göre “Devlet sırrı niteliğindeki bilgi ve belgeler hariç, veri sorumlusu Kurulun, inceleme konusuyla ilgili istemiş olduğu bilgi ve belgeleri on beş gün içinde göndermek ve gerektiğinde yerinde inceleme yapılmasına imkân sağlamak zorundadır.”

Bu maddeye göre veri sorumlularını vatandaşlar adına denetleyecek olan Kişisel Verilerin Korunması Kurulu şikayet konusu olsa dahi “Devlet Sırrı” olarak belirlenmiş bilgileri isteyemeyecek. Bu belge ve bilgiler belirli kurumlarca özellikle MİT, Emniyet ve Jandarma birimleri, İstihbarat Birimleri tarafından devlet sırrı kategorisine sokularak Veri Koruma Kuruluna verilmeyebilecek. Kendi özel kanunları ile bu kurum ve kuruluşların yazışma, kayıt, bilgi ve belgeleri devlet sırrı olarak kabul edilmiştir. Tasarının 5. Maddesindeki istisnalar arasında sayılan “Kanunlarda açıkça öngörülmesi.” durumu burada bir daha pekiştirilmiş. Şayet bahsetmiş olduğumuz devlet kurumları şikayet edilmiş ise Kurul hiçbir inceleme yapamayacak, bilgi ve belge isteyemeyecektir.

Kişisel Verileri Koruma Kurulu

Kanun tasarısının 19. Maddesine göre “(1) Bu Kanunla verilen görevleri yerine getirmek üzere, idari ve mali özerkliğe sahip ve kamu tüzel kişiliğini haiz Kişisel Verileri Koruma Kurumu kurulmuştur.

(2) Kurum Başbakanlıkla ilişkilidir.”

Kanun tasarısının 21. Maddesine göre  “1) Kurul, bu Kanunla ve diğer mevzuatla verilen görev ve yetkilerini kendi sorumluluğu altında, bağımsız olarak yerine getirir ve kullanır. Görev alanına giren konularla ilgili olarak hiçbir organ, makam, merci veya kişi, Kurula emir ve talimat veremez, tavsiye veya telkinde bulunamaz. (2) Kurul, yedi üyeden oluşur. Kurulun dört üyesi Bakanlar Kurulu, üç üyesi Cumhurbaşkanı tarafından seçilir.”

Ancak tasarının bu maddesi ile ilgili meclis görüşmeleri sırasında yapılan değişiklik ile , Kişisel Verileri Koruma Kurulunun 7 olan üye sayısı 9’a çıkarıldı. Kurulun 5 üyesi TBMM, 2 üyesi Cumhurbaşkanı, 2 üyesi Bakanlar Kurulu tarafından seçilecek. Tasarının mevcut halinde; 4 üyenin Bakanlar Kurulu, 3 üyenin de Cumhurbaşkanı tarafından seçilmesi öngörülüyor.

Kurul üyesi, herhangi bir siyasi parti üyesi olmayacak. TBMM’nin, Kurula üye seçimi de belirleniyor. Buna göre, seçim için, siyasi parti gruplarının üye sayısı oranında belirlenecek üye sayısının ikişer katı aday gösterilecek ve Kurul üyeleri, bu adaylar arasından her siyasi parti grubuna düşen üye sayısı esas alınmak suretiyle TBMM Genel Kurulunca seçilecek. Ancak, siyasi parti gruplarında, Meclis’te yapılacak seçimlerde kime oy kullanılacağına dair görüşme yapılamayacak ve karar alınamayacak.

Kurul, üyeleri kendi arasından başkan ve ikinci başkanı seçecek. Tasarının mevcut düzenlemesinde, başkan ve ikinci başkanın, üyeler arasından Bakanlar Kurulu tarafından belirlenmesi öngörülüyor.

Kurul üyelerinin görev süresi dört yıl olacak. Süresi biten üye yeniden seçilebilecek. Görev süresi dolmadan herhangi bir sebeple görevi sona eren üyenin yerine seçilen kişi, yerine seçildiği üyenin kalan süresini tamamlayacak.

AB Genel Veri Koruma Tüzük Taslağında da denetleyici otoriteler ile ilgili hususlar çok daha ayrıntılı olarak düzenlenmiştir. Taslakta denetleyici otoritelerin bağımsızlığına ilişkin olarak getirilen ilave koşullar dikkat çekmekte, denetleyici otorite üyelerinin seçilme koşulları da ayrıntılı olarak sayılmaktadır. Buna göre;

 

  • Denetleyici otoritenin üyeleri meclis ya da hükûmet tarafindan atanacaktir.
  • Üyeler bağımsızlığı şüphe götürmeyen ve kişisel verilerin korunması alanında deneyimleri ile yeterlilikleri bilinen kişilerden seçilecektir.
  • Üyenin görevi, görev süresinin dolması, istifa veya zorunlu emeklilik yaşı ile sona erecektir.
  • Üyenin görevinin gereklerini yerine getirmek için gerekli şartları sağlayamaması veya ciddi bir usulsüzlükten hüküm giymesi durumunda ilgili mahkeme tarafından azledilebilecek veya emekliye sevk edilebilecektir.

 

Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunmasına dair 108 sayılı sözleşmenin ek protokolü denetleyici otoriteleri (supervisory authority) düzenlemektedir. Taraf devletlere iç hukuklarında Sözleşmeye uygun olarak yürürlüğe koydukları yasal düzenlemelerin uygulanmasını izlemeden sorumlu bir denetleyici otorite oluşturma yükümlülüğü getirmeyen 108 sayılı Sözleşme’nin bu eksikliği, 2004 yılında yürürlüğe giren ek Protokol ile giderilmiştir. Protokol’ün 1. maddesi, taraf devletlere kendi iç hukuklarında aldıkları önlemlerin Sözleşme ve Protokol’de yer alan ilkelere uygunluğunu güvence altına almaktan sorumlu olacak bir ya da birden fazla denetleyici otorite oluşturma zorunluluğu getirmektedir. Bu denetleyici otoriteler özellikle soruşturma (investigation) ve müdahalede bulunma yetkisine ve aynı zamanda hukuki sürece dâhil olma ve kişisel verilerin işlenmesi ile bağlantılı olarak bireylerin kendi temel hak ve özgürlüklerini korumak amacıyla yaptıkları şikayetleri inceleme yetkisine sahip olmalıdırlar.

Uluslararası düzenlemelerde neredeyse bütün ülkelerde bu otoritelerin üzerlerine düşen görevi gerektiği şekilde yerine getirebilmeleri için bağımsız (independent), tarafsız (impartial) ve teknik kapasite açısından yetkin ve yeterli (technically competent) yapıda oluşturulmalarına vurgu yapılmıştır. Kişisel Verilerin Korunması Kanunu Tasarısı Taslağında Başbakanlığa bağlı bir Kişisel Verileri Koruma Kurumu oluşturulması öngörülmektedir. Kelime anlamı olarak özerklik bir topluluğun, bir kuruluşun ayrı bir yasaya bağlı olarak kendini yönetme hakkıdır. Mali özerklik, bir kamu tüzel kişisinin kendi kaynaklarından serbestçe yararlanarak kendi harcamalarını yönetmesi durumudur. İdari ve mali anlamda tamamen özerk bir kurum oluşturulması açısından genel bütçede sayıştay denetimine açık ve kendi bütçesine sahip bir kurum oluşturulması daha yerinde olacaktır.

Kişisel Verilerin Korunması Kurulunun Başbakanlık ile ilişkili olması idari anlamda ve mali anlamda özerk bir kurum olamayacağını ortaya koymaktadır.

Günümüzdeki tek parti hükümetine dayanan ve yürütmenin tamamen tek partiden oluştuğu gözetildiğinde Bakanlar Kurulunca yapılacak atamalar tartışmaya açık olacaktır. Aynı zamanda yürütme açısından bir nevi imza ve denetim makamı olan Cumhurbaşkanlığınca atama yapılması da daha büyük bir sorun teşkil etmektedir. Ayrıca kanun tasarısında yapılan değişiklik ile yine parti grubuna göre AKP milletvekillerinin de TBMM tarafından seçilecek 5 kişi içerinden oy oranına göre öneri de bulunma hakkı olacaktır. Tasarının meclise gönderildiği haline göre kabul edilen maddede kısmen iyileşme olsa da Kurul üyelerinin çoğunluğunun yine hükümet tarafından belirleneceği açıktır. Günümüz Türkiye’ sinde Başbakanlık, Cumhurbaşkanlığı makamı ve Başkanlık Sistemi tartışmaları göz önüne alındığında tek bir kişi tarafından atama yapılması kaçınılmaz olacaktır.

Bu nedenle kanun tasarısındaki bu düzenlemenin Bakanlar Kurulu ve Cumhurbaşkanın üye atama yetkisi olmaksızın sadece mecliste grubu bulunan partilerin oy oranlarına göre kurul üyesi seçimi yapılması şeklinde değiştirilmesi en azından atama anlamında daha katılımcı bir yapı oluşmasını sağlayacak idi. Ancak kabul edilen madde ile yine kurul üyelerinin çoğunluğu hükümet tarafından atanmış olacaktır.

EK MADDE

Hükümetin TBMM’ye gönderdiği tasarıda yer almayan, Meclis Adalet Komisyonu’nda da hiç gündeme gelmeyen ancak Genel Kurul görüşmeleri sırasında 23/03/2016 da kabul edilen Ek madde ile “Kişisel veriler, uluslararası sözleşme hükümleri saklı kalmak üzere, Türkiye’nin veya ilgili kişinin menfaatinin ciddi şekilde zarar göreceği durumlarda, ilgili kamu kurum veya kuruluşunun görüşü alınarak, kurulun izniyle yurtdışına aktarılabilir” düzenlemesi getirildi. Bu madde ile kişisel verilerin yurt dışına aktarılması hususunda ciddi kuşkular ortaya çıkmaktadır. Bakanların, milletvekillerinin veya bunlara yakın kişilerin verilerinin yurt dışına aktarılması ilgili kamu kurum veya kuruluşunun görüşü alınarak ve kurulun izniyle yapılacaktır. Vatandaşların kişisel verileri herhangi bir sınırlama olmaksızın yurt dışına aktarılabilirken bu kişilerin verilerinin yurt dışına aktarılması zorlaştırılmaya çalışılmış görünmektedir. Vatandaşın kişisel verilerinin korunmasındaki en önemli güvence olan Veri Koruma Kurulunun belirli kişilerin menfaatine yönelik hareket edeceği şüphesini doğrumaktadır.

mecliste.org için Avukat Faruk Çayır tarafından hazırlanmıştır.

YAZAR mecliste.org

mecliste.org, meclisin yasama, denetim ve temsil işlevleri hakkında ve kanun tasarı ve tekliflerinin içeriği ile ilgili doğru, güvenilir bilgiye sahip olmak, kanun tasarı ve teklifleri ile ilgili farklı bakış açılarını görmek, yasa yapım sürecinde karar vericilere görüşlerini ve önerilerini iletmek isteyenlerin Türkiye’de ilk kez buluşacağı bir platform.