Nuray Babacan
Kişisel veriler yurtdışına: BIG BROTHER DEPOLUYOR!
BIG BROTHER sözcüğü bize, ‘gizli saklı yapılan işleri, derin devleti, totaliter yapıları’ çağrıştırır. George Orwell’in herkesin ‘büyük birader’ tarafından izlendiği toplumu anlatan eserinden bize hediye olan bu sözcük, son dönemlerde ‘kişisel verilerin’ gerçekten korunup korumadığı konusundaki endişelere de karşılık geliyor.
Zira, 2016’da yasalaşırken ciddi tartışmalara neden olan Kişisel Verilerin Korunması Yasası’nı değiştirme çalışmaları başlatıldı. Öğrendik ki; uluslararası şirketler, kişisel verileri yurtdışına götürebilmek için kulis yapıyor. Önümüzdeki günlerde tartışmalara neden olacak yeni bir gündem yolda.
Edindiğimiz bilgiye göre, Cumhurbaşkanlığı’nda Kişisel Verilerin Korunması Yasası’nda değişiklik içeren bir yasa çalışma yapılıyor. Yaz ayları boyunca süren çalışmalar, son dönemde biraz hızlandı. Yapılan toplantılara ilgili bakanlıklar ve taraflar çağırılarak, değişiklik taleplerinin masaya yatırıldığını öğrendik.
Taslakta en çok tartışma yaratan konu ise Türkiye’de hizmet veren uluslararası şirketler ve yeni yatırım yapacak şirketlerin, Türklere ait kişisel verileri, korumak amacıyla yurtdışındaki data merkezlerine götürme istekleri. Mevcut yasa, burada elde edilen kişisel verilerin, Türkiye’de kurulacak merkezlerde saklanmasını ve korunmasını öngörüyor. Şirket temsilcilerinin ise yeni data merkezleri kurmanın maliyetinin yüksek olduğu gerekçesiyle, tüm bilgileri birkaç ülkede toplanmış data merkezlerine aktarmak istedikleri belirtiliyor.
Zaten, mevcut yasanın vatandaşın kişisel verilerinin korunması için yeterince işlev görmediği tartışılırken, bir de bunların yurt dışına çıkarılması olasılığı kafaları iyice karıştırmış gibi. Hatırlarsınız, bu düzenleme, ilk kez AB uyum çerçevesinde yasa mevzuatımıza girerken, kişisel verileri işlemek konusunda bazı kurumlara ayrıcalık tanınmıştı.
Örneğin, MİT, Jandarma ve Emniyetin, bu yasa hükümlerine tabi olmadan kişisel verileri işleyebilmesi, toplanan verilerle neler yer aldığını öğrenmek için vatandaşların başvuru yapamayacak olması, bu verilerin silinmesini isteyemeyecek olması, o dönem tartışılmıştı. MASAK’ın suç gelirlerinin aklanması kapsamında yaptığı faaliyetler de bu yasa kapsamında değil. Bu kurumların faaliyetleri, Kişisel Verileri Koruma Kurulu tarafından da denetlenemiyor. Ulusal güvenlik açısından tanınan ayrıcalıklar değil de, bunun ‘bir sınırının ve kontrolünün’ olmaması sorun yapılmıştı.
Yasa kapsamında olan kurumlar ise “İsim, telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, genetik bilgileri” kişisel veri olarak kaydedebiliyor. Sadece bu verilerin kaydedildiği konusunda kişiye bilgi verilmesi gerekiyor. Veriler, ‘bir hakkın tesisi, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve hekim hizmetlerinin’ gereğiyse, sır saklama yükümlülüğü olanlar tarafından izin almadan işlenebiliyor. Veriler, işlenmesini gerektiren sebepler ortadan kalktığında, resen ya da kişinin başvurusu üzerine siliniyor.
O dönemde çok yazıp çizmiştik. ‘Irk, etnik köken siyasi düşünce, felsefe inanç, dini, mezhebi veya diğer inançları, vakıf ya da sendika üyeliği, mahkûmiyet kararları, sağlığı veya cinsel hayatı ile özel nitelikteki kişisel bilgiler’ veri olarak kaydedilemeyecek. Ancak, bir kişi kamuoyuna kendisi ile ilgili işlenemeyecek bilgilerden birini açıklamışsa yasak kalkıyor.
İşte bu yasa ve uygulamaları konusunda 6 yıldan beri bitmeyen tartışmalar var. Yasanın ihlal edildiği, kişisel verilerin kurumlardan kurumlara aktarıldığı, özellikle ticari kuruluşların eline geçen verilerin korumasında ciddi sorunlar yaşandığına ilişkin itirazlar devam ediyor. Bu konuda açılmış çok sayıda dava bulunuyor.
Kişisel verilerin hukuka aykırı şekilde elde edilmesi, kullanılması, yayılması, depolanması Türk Ceza Kanunu (TCK) kapsamında, fiilin niteliğine göre değişmekle birlikte 1 yıldan 4 yıla kadar hapis cezasını gerektirebilecek suçlar olarak düzenlenmişti. Suçun konusu olan verinin kategorisine (özel nitelikli olup olmadığına) ya da suçun faili olan kişilerin görevlerine ve imtiyazlarına bağlı olarak cezalar arttırılabiliyor.
Şimdi, bu yasada güvenceye alınmış görünen, ancak birçok kişinin ‘yeterli’ olmadığı iddiasını taşıyan 2016 tarihli yasada değişikliğe gidiliyor. ‘İçeriği, şirketlere tanıyacağı haklar, kişisel verilerin korunmasına ilişkin yeni kurallar veya kamu kurumlarına tanınacak yeni ayrıcalıkların’ ne olacağına ilişkin endişeler var.
Önümüzdeki günlerde, en az İstanbul Sözleşmesi veya Sansür Yasası kadar önemli olan bu düzenlemeye ilişkin detayları buradan aktarmaya devam edeceğiz.
Seçime giderayak, ‘vatandaşın özel alanı ihlal mi edilecek, yoksa koruma bariyeri güçlendirilecek mi?
Hep beraber göreceğiz…