Türkiye Cumhuriyeti'nin “Kişisel Verileri Korumama” Israrı [II. Bölüm]

Türkiye’nin yasalaşma serüveni/sürüncemesi en uzun olan kanunu niteliğini haiz olacak Kişisel Verilerin Korunması Hakkında Kanun’un tasarı metni de pek çok defa değiştirildi, bazı yasama dönemlerinde kadük kaldı ve güç bela nihayet TBMM’nin 26. döneminde ilgili komisyonlarda kabul edilerek Genel Kurul’a sunulabildi.

Hukukçu Serhat Koç, Türkiye Cumhuriyeti'nin “Kişisel Verileri Korumama” Israrı yazısının ilk bölümünde, kanun tasarısının 35 yıllık "hazırlanama" sürecini, gündemdeki tasarının ise neler getirip götürdüğünü yazmıştı. Yazının ikinci bölümünü yayınlıyoruz.

Tasarının hiç mi olumlu yanı yok? Olmaz olur mu?

Tasarıda olumlu bir yön bulmaya çalışırsanız aslında şu anda kişisel verilerin nasıl işlendiği ya da hangi kurumlarda ve nasıl tutulduğunu takip eden bir yapının olmayışı ve elektronik haberleşme sektörü dışında bu konuda ciddi bir yaptırım olmaması gibi nedenlerle yasayla birlikte Adalet Bakanlığı’na bağlı da olsa, oluşturulacak yeni kurul tüm sektörlerdeki şirketleri takip edip gerekli denetimleri yapacak, mevzuat çalışmasının en azından vatandaşın haklarının korunması anlamında bir ilerleme kaydedecek. Ancak kurulun Adalet Bakanlığı’na bağlı olması demek, kurulun kamu kurumlarına sadece ve sadece tavsiye verebilecek bir hiyerarşide bulunabilecek olması ve onlar üzerinde yaptırım gücü olmayacağı anlamına geliyor. Öyle ki, bu da devletin kişisel verilerin toplanması, saklanması ve işlenmesi konusunda tüm organlarıyla tam yetki sahibi haline gelmesi demek oluyor.

Bir diğer olumlu(!) gelişme de istisnalar maddesindeki makyaj çalışmaları. Öyle ki tasarının bir önceki halinde Jandarma Genel Komutanlığı, İçişleri Bakanlığı, Milli İstihbarat Teşkilatı, Sağlık Bakanlığı ve diğer sayılan devlet kurumlarının tamamına kişisel verilere ulaşma, saklama ve işleme noktalarında kanunla doğrudan istisna sağlanıyordu. Biz de bu nedenle o dönemde tasarının o halinin AB mevzuatıyla örtüşmediğini söylemiş ve "Tasarı asla bir kişisel verileri koruma kanunu değil, aksine devlet kişisel verilerinizi nasıl toplar, işler ve siz de hiç bir şey diyemezsiniz kanunu. Yasa esasen kişisel verileri korumayı amaçlarken eklenen istisna maddeleri sayesinde sanki devlet birimlerinin ihtiyaçlarına göre yeniden şekillendirilerek devlet vatandaşını nasıl kanuni bir şekilde fişleyebilir kanununa dönüştürülmüş” demiştik. TBMM genel kurulundaki son haline bakıldığında ise aradan geçen süre zarfında tasarıdan bu kurumların isimleri çıkartıldığını ve fakat kurumların ismi zikredilmeksizin yaptıkları faaliyet çeşitlerinin sayılması suretiyle yine aynı kapıya çıkan bir düzenlemeye gidildiği anlaşılıyor.

Bizce tasarının başında yazan tüm o haklara, bağlı sorumluluklara ve diğer olumlu maddelerin hepsini bir anda işlemez hale getirme özelliğini haiz olması nedeniyle en önemli maddesi olan istisnalar maddesinin son hali şu an itibarı ile aşağıdaki gibi:

Neler öneriyoruz?

Esasen baştan sona her maddesi ve hatta her virgülü hakkında detaylıca fikir beyan edip, eleştiri getirebileceğimiz tasarının bu haliyle TBMM’den geçmemesi için en başta sıralanması gereken önerilerimiz şunlar:

* Özel/mutlak nitelikli kişisel verilerin (ırk, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, dernek, vakıf ve sendika üyelikleri, sağlık, özel yaşam ve mahkûmiyetlere ilişkin veriler) kişinin açık rızası olsa bile işlenmemesi ya da en azından açık rızanın mutlak surette yazılılık unsuruna bağlı kılınmalı.

* Kişisel verilerin anonimleştirmek suretiyle açık rıza aranmaksızın işlenmesine izin verilmemeli.

* Kişisel verilerin anonim hale getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesinin önünü açan maddeler kabul edilmemeli.

* Kişisel verilerin silinmesine, yok edilmesine veya anonim hale getirilmesine ilişkin usul ve esasların düzenleneceği ikincil mevzuat olan kanuna bağlı yönetmelikler kanunla birlikte yürürlüğe girmeli ve bu yönetmelikler silme, yok etme ve anonim hale getirme noktalarında teknik anlamda dünya standartlarına atıf yapacak şekilde düzenlenmeli.

* Kurulun bağımsızlığını ve tarafsızlığını bozacak şekilde üye belirleme ve çalışma usullerine sahip olmasını ön gören hukuksuz maddeler AB normlarına uygun hale getirilmeli.

* Kamu kurum ve kuruluşlarına tanınan istisnalar nedeniyle kurulun yaptırım gücünün bu kamu kurum ve kuruluşları lehine azaltılması, kurulun neredeyse danışma organı düzeyine indirilmesi engellenmeli.

* Kişisel verilerin milli savunmayı, milli güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesine hiçbir şart olmaksızın izin veren muğlak maddeler asla kabul edilmemeli.

Sonuç olarak:

Anayasal özgürlükleri çerçevesinde kanunlara uygun şekilde yayın yapan hükümete muhalif basın kuruluşlarına ya da hukuka uygun durumdaki eğitim kurumlarına “devlet imkanlarıyla” hukuksuz baskınların yapıldığı, yasa dışı kayyımların atandığı, hükümet yanlısı yayın yapmaya zorlandığı ve de Cumhurbaşkanı’nın Anayasa Mahkemesi gibi en üst yargı organının kararını tanımadığını, karara saygı duymadığını açıklayıp ilgili davanın görüldüğü esas mahkemeye Anayasa’ya aykırı şekilde açıkça talimat verdiği bir ülkenin Anayasa’sında ya da kanunlarında nelerin yazdığı esas olarak hiçbir fark yaratmayacak.

Kanunlarda ya da Anayasa’da ne yazarsa yazsın, bizler ne söylersek söyleyelim; gün gelip Kişisel Verileri Koruma Kurulu ya da Anayasa Mahkemesi kendisi aleyhine bir karar (örneğin: vatana ihanet) verdiğinde elbette bu kararı da tanımayacağını, bu karara da saygı duymayacağını önceden haber ve ikaz ediyor.

Bir hukukçunun boynunun borcu: dost uyarısı

Yasama ve/veya yürütme ve hatta yargı organları ya da bunların üyeleri açık bir hukuksuzluk halinde bulunsa bile hukukçuların bu hukuksuzluğa bizatihi alet olmaları ya da edilmeleri olabilecek en vahim tehlike. Öyle ki bir mezunu olmaktan gurur duyduğum Ankara Üniversitesi Hukuk Fakültesi’nin girişinde vatandaşı olduğumuz devletin kurucusunun hafızamdan hiç silinmeyen şu sözleri yazıyor:

“Cumhuriyetin müeyyidesi olacak bu büyük müessesenin küşadında hissettiğim saadeti başka hiçbir teşebbüste duymadım.”

Dipnot: kişisel verilerin önemi nereden kaynaklanıyor?

Bugün itibarı ile son derece basit kodlama alt yapılarına sahip olan yazılımların/uygulamaların/programların/web sitelerinin milyonlarca dolara el değiştirdiğini ve fakat kullanıcılar açısındansa bunları kullanmanın hep ücretsiz olduğunu görüyoruz. Peki öyleyse bunlar nasıl oluyor da gelir elde edebiliyor ve/veya nasıl bu kadar değerli olabiliyor?

Bu soruların cevapları kişisel verilerin dünyanın bugün gelinen noktada “bilgi ekonomisi”, “bulut bilişim”, “büyük veri” ve “nesnelerin interneti” gibi ifadelerle süslemeye çalıştığı fakat aslında kullananları sömüren bir çarktan başka bir şey olmayan kişisel veri ile dönen bir pazarın dinamiklerinde gizli. Dolayısıyla teknik açıdan basit yazılımların değil de o yazılımların üzerinde bulunan veri tabanlarında tutulan milyonlarca kullanıcının “rıza göstererek” sitelerin/uygulamaların kullanımına sunduğu kişisel verilerin milyon dolarlar değerinde olduğunu anlamak hiç de zor değil.

Bizler kendi kişisel verilerimizle, yani kimliklerimizle, benliklerimizle, kullanım alışkanlıklarımızla, sevdiğimiz şeylerle, yani doğrudan doğruya kendimizle, insanlığımızla ödediğimiz uygulama/site kullanma ücretimizin yani bütün bu verdiklerimizin o kapitalist dişlilerin birbirine satarak ve reklam sektörü açısından simyacıların altınlarından bile değerli olan o “büyük veri”ye dönüştürülüp bir meta olarak bir piyasa yarattığının farkında mıyız?

Bizatihi bizler birer piyasa değeriyiz ve her an bunun bedelini kendimizle ödüyoruz. 21. yüzyılın insanlığa en büyük hediyesi ve internet gibi insanlığın bulabildiği en demokratik kitle iletişim aracına en kötü sürpriz bu olmuştur belki de. (SK/EA)

* Türkiye Cumhuriyeti'nin “Kişisel Verileri Korumama” Israrı yazısının ilk bölümü için tıklayın.

* Görseller özgür lisansa tabidir.