Mersin milletvekili Ertuğrul Kürkçü, AB Uyum Komisyonu’nda görüşülerek AKP’li üyelerin oylarıyla kabul edilen “Kişisel Verilerin Korunması Yasa Tasarısı”na koyduğu muhalefet şerhinde tasarının bu haliyle, “fişlemeler”e dayalı mahkeme kararlarının sonucu olan uzun hapisliklerin; “fişlemeler”e dayanılarak insanların meslek hayatlarının, kişisel şöhretlerinin, itibarlarının zedelenmesi kapısını açık tutarak “yurttaşların hayatlarını bundan böyle de ‘fişlenme korkusu’ ile geçirmelerini güvence altına almakta” olduğunu söyledi.
_________________________________________________________________________________
Kürkçü’nün, AB Uyum Komisyonu’nda görüşülen “Kişisel Verilerin Koruması Kanun Tasarısı”‘na dair muhalefet şerhinin tamamı şöyle:
Bakanlar Kurulunca 26 Aralık 2014’te TBMM Başkanlığına sunulan ve 5 Ocak 2015’te AB Uyum Komisyonuna havale edilen 4 1/1009 esas No.’lu “Kişisel Verilerin Korunması Kanunu Tasarısı”na esastan karşıyım.
Tasarı Anayasa’nın açık hükümlerine aykırıdır
12 Eylül 2010 tarihinde yapılan halkoylaması sonucu kabul edilen 5982 sayılı Kanun’la Anayasa’nın 20’nci maddesine bir fıkra eklenmek suretiyle kişisel verilerin korunması temel bir insan hakkı olarak güvence altına alınmış ve detayların kanunla düzenlenmesi öngörülmüştür. Anayasa’nın 20’nci maddesinin üçüncü fıkrası şöyledir:
“(Ek fıkra: 12/9/2010-5982/2 md.) Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir.”
Sevk gerekçesinde bu anayasa hükmünün kanunla düzenlenmesi gereğince düzenlendiği ileri sürülmesine karşın, bütün olarak değerlendirildiğinde Tasarı kişisel verileri güvenceye almaya yönelik hükümlerine getirdiği sonsuz genişlikteki istisnalar ile güvenlik ve istihbarat kurumlarının yanı sıra “sır tutma yükümlülüğü bulunan” kamu görevlilerini de bireyler karşısında mutlak yetkiyle donatmakta; onları Kanun Tasarısının getirir göründüğü her türlü sorumluluktan ve yasanın ihlali halinde doğacak yaptırımlardan bağışık kılmakta, böylece kişisel verilerin bireylerin rızası ve bilgisi olmaksızın aleyhlerine kullanılmasını güvence altına alarak amacının tam tersi bir sonuca varmakta ve Anayasa’nın 20. Maddesi’nin ihlaline yol açmaktadır.
Tasarı Avrupa mevzuatıyla çelişki içindedir
Öte yandan Tasarı, dayandırıldığı Avrupa Birliği mevzuatına ve bu mevzuatın kilit belgesi olan “Otomatik Olarak İşlenen Kişisel Veriler Bakımından Bireylerin Korunması Hakkında Sözleşme”nin ruhuyla da taban tabana zıt bir anlayışı yansıtmaktadır. Söz konusu sözleşme, her taraf devlet ülkesinde, uyruğu veya ikametgâhı ne olursa olsun tüm gerçek kişilerin temel hak ve özgürlüklerini ve özellikle kendilerini ilgilendiren kişisel nitelikteki verilerin -kamu kurumları ya da özel sektörde işlenmesi bakımından kurumlara özel bir imtiyaz tanımaksızın- otomatik işleme tabi tutulması karşısında özel yaşam haklarını güvence altına alma amacı gütmektedir.
Kişisel veri nedir?
Kanun Tasarısına konu olan korumaya tabi tutulacak kişisel bilgiler; belirli bir kişiye ilişkin olan veya belirli bir kişiye ilişkin olduğu belirlenebilen bütün bilgilerdir. Bütün bilgiler deyimi, kişinin özel, toplumsal ve resmi yaşamına, ailesine, öğrenimine, işine, görevine, gelirine, borçlarına, mallarına, eserlerine, görüşlerine, düşüncelerine, inançlarına vb. ilişkin bilgileri içermektedir.
Kişisel veri, genel anlamıyla veri öznesinin, yani ilgili ve tanımlanabilir gerçek kişinin tanımlanması için kullanılabilecek her türlü bilgidir. Nitekim kişiliğin sosyal, fiziksel, duygusal ve hatta ekonomik boyutuna dair bilgiler kişisel verilerimizi ifade etmektedir.
Kimliği veya kişinin kim olduğunu belirleyebilen bilgi veya enformasyon kişisel veridir. Kişisel veriler denilirken aslında kişisel olması demek bilgi veya enformasyonun ilgili kişi hakkında olduğunu belirlemektedir.
Bu bilgilerden kişinin etnik kökeni, dini, inancı, sağlığı, cinsel yaşamı, siyasal görüşleri özel nitelikleri dolayısıyla duyarlı bilgiler sayılır ve daha katı koruma önlemlerine tabi tutulur.
BM ve Avrupa mevzuatında kişisel hayatın ve verilerin dokunulmazılığı
1948 BM İnsan Hakları Evrensel Bildirgesi’nin 12 inci maddesinde; özel yaşamın gizliliğini şöyle düzenlemektedir: “Hiç kimsenin özel yaşamına, ailesine konut dokunulmazlığına ya da yazışma özgürlüğüne keyfi olarak karışılamaz; kimsenin onur ve ününe karşı kötü davranışlarda bulunulamaz. Herkesin bu karışma ve kötü davranışlara karşı yasalarla korunma hakkı vardır.”
Avrupa İnsan Hakları Sözleşmesi’nin “Özel Yaşamın Ve Aile Yaşamının Korunması” başlığını taşıyan 8 inci maddesinde ise; “Herkes özel ve aile hayatına, konutuna ve haberleşmesine saygı gösterilmesi hakkına sahiptir. Bu hakkın kullanılmasına bir kamu otoritesinin müdahalesi, ancak ulusal güvenlik, kamu emniyeti, ülkenin ekonomik refahı, dirlik ve düzenin korunması, suç işlenmesinin önlenmesi, sağlığın veya ahlakın veya başkalarının hak ve özgürlüklerinin korunması için, demokratik bir toplumda, zorunlu olan ölçüde ve yasayla öngörülmüş olmak koşuluyla söz konusu olabilir.” hükmü yer almaktadır.
Avrupa Konseyi 1973’te kabul ettiği 22 ve 1974 de kabul ettiği 29 sayılı iki kararla kişisel verilerin korunması için göz önünde bulundurulması gereken ilkeleri saptamıştır.
Avrupa Konseyinin “108 sayılı sözleşmesi”
Avrupa Konseyinin 28 Ocak 1981’de kabul edip imzaya açtığı, hukuk kamuoyunda yaygın olarak “108 sayılı sözleşme” olarak anılan “Otomatik Olarak İşlenen Kişisel Veriler Bakımından Bireylerin Korunması Hakkında Sözleşme” bu alandaki en güncel ve en bağlayıcı uluslararası belgelerdendir. 1999’da bazı değişikliklere uğratılan sözleşme, Türkiye tarafından imzalanmış, ancak onaylanmamış, imzacı devletin öngörülen ilkeler çerçevesinde bir yasa kabul etmesi zorunluluğu Türkiye tarafından henüz yerine getirilmemiştir.
Sözleşmenin asıl amacı; bu sözleşmeyi imzalayan devletler sınırları dahilinde tüm vatandaşların, ulus ve ikametleri her ne olursa olsun, hak ve özgürlükleri ile kişiye ait otomatik işleme girmiş tüm kişisel bilgileri ekseninde herkesin özel yaşamını korumaktır. (Madde 1)
Sözleşmeye göre; “Kişisel bilgi”, kişi hakkında belirlenmiş veya belirlenebilecek her türlü bilgidir. Kişisel bilgilerle ilgili işlemler denilince de kişiler hakkında veri depolanması, bu veriler üzerinde mantıksal veya matematiksel işlemler yapılması, kişilerin bu verilerinin düzeltilmesi veya silinmesi ya da yeniden yapılandırılması veya yayılması olarak anlaşılmaktadır. (Madde 2)
Çoğu ülkede bu koruma yalnız ülkenin yurttaşı olmayan kişiler için de geçerli olabilmektedir; bununla beraber, bu bilgilere sağlanan koruma kişinin hayatta olduğu süre ile kısıtlıdır ve kişinin yaşamdan ayrılması ile birlikte bu bilgilerle ilgili koruma önlemleri de kalkar.
Diğer taraftan kişisel verileri bulunduran veya işleme tâbi tutan kişi veya kuruluşlar artık saklanmasına ihtiyaç duyulmayan kişisel verileri, belli koşullarda, kayıtlarından çıkarabilir veya tümüyle yok edebilirler.
Koruma önlemleri öncelikle kişisel verilerle ilgili koruma kararlarını almakla görevli makamlar ile kişisel veri tabanlarını bulunduran ve/veya bunlar üzerinde işlem yapan kişi ve kuruluşlar tarafından uygulanacaktır. Ancak bunlar dışında kalan üçüncü kişilere de bazı görev veya sorumluluk düşebilir.
Kişisel verilerin korunmasına dair uluslararası standartlar
Kişisel verilerin korunmasına ilişkin düzenlemelerde şu esaslar öne çıkmaktadır:
- Kişisel verileri dürüst ve hukuka uygun bir şekilde toplama ve işleme (Dürüst toplama ilkesi) ,
- Kişisel verilerin toplanmasının, verinin toplanma amaç(lar)ının gerçekleştirilmesi için gerekli olduğu miktarla sınırlı tutulması ilkesi( asgarilik ilkesi),
- Kişisel veriler önceden belirlenmiş ve hukuka uygun amaçlarla toplama, işleme ve bu amaçlarla bağdaşmayan şekillerde işlememe ( amaçla bağlılık ilkesi),
- Belirlenen amaçlar dışında bir amaç için kişisel verilerin kullanımın sadece veri sahibinin rızasının veya yasal bir yetkinin varlığı durumunda mümkün olması (kullanımın sınırlandırılması ilkesi),
- Kişisel verilerin doğru, tam ve işleme amaçları ile ilgili olması,
- Kişisel verilerin istenmeyen ya da yetkili olmayan ifşalardan, yok edilmekten veya değiştirilmekten korumak için gerekli güvenlik önlemlerinin alınması (koruma/güvenlik ilkesi),
- Veri öznelerinin, diğerleri tarafından elde tutulan verileri hakkında bilgilendirilmesi, verilere erişim sağlanması ve yanlış veya yanıltıcı olması durumunda düzeltme olanağına sahip olunması ( bireysel katılım ilkesi),
- Kişisel verileri işlemekle sorumlu olan kişilerin, yukarıda sayılan hususlara uyma yönünde sorumlu tutulmasıdır (sorumluluk ilkesi)
Tasarı Anayasa ve AB mevzuatına aykırı fiili duruma yasal güvence getiriyor
AB Uyum Komisyonu’nda görüşülen “Kişisel verilerin Korunması Kanun Tasarısı”nın başlıca referansı “Kişisel Verilerin Otomatik İşleme Tabi Tutulma Sürecinde Bireylerin Korunmasına İlişkin 108 Sayılı Avrupa Konseyi Sözleşmesi” olduğu halde, düzenleme bu sözleşmeyle taban tabana zıt hali hazırda sürüp giden ve yurttaşların başlıca endişesi olan “fişlenme”ye son vermek yerine bu uygulamayı yasa hükümlerinden ebediyen bağışık kılmaktadır.
Adalet ve Kalkınma Partisi hükümetlerinin TBMM’ye dayattığı bu yasama tekniğine daha önce de tanık olmuştuk. “Kamu Denetçiliği Yasası” ve “İnsan Hakları Kurumu Yasası”nın çıkartılması sürecinde de, Avrupa mevzuatına uyum mecburiyetleri dolayısıyla TBMM’ye getirilen Kanun Tasarıları’nın mevzuatın ruhuna uygun olacak şekilde kamu yönetimi karşısında birey ve toplumun haklarının değil, birey karşısında idarenin mutlak otoritesinin korunması ilkesine dayandırıldığını görmüştük. Karşımızdaki yasa tasarısı da aynı şekilde kurgulanmıştır.
Kişisel veriler alanının düzenlenmesi çalışmaları 2008’den beri söz konusu. Kişisel Verilerin Korunması Kanunu Tasarısı ilk olarak 23. Yasama Dönemi içerisinde 24/04/2008 tarihinde Bakanlar Kurulunca TBMM’ye sunulmuştu. TBMM Başkanlığınca 1/576 esas numarasıyla AB Uyum Komisyonuna havale edilen 41 maddelik bu Tasarı, Komisyonun 20/05/2008 tarihli 17. Toplantısı’nda görüşülerek karara bağlanmış ve rapor, esas komisyon olan Adalet Komisyonuna sunulmuştu. Tasarı, Adalet Komisyonunca alt komisyona sevk edilmiş fakat 23. Yasama Döneminde sonuçlandırılamadığından hükümsüz kalmıştı. 2010’da yapılan Anayasa değişikliği ile bu yasanın çıkartılması bir Anayasal zorunluluk haline gelmesine karşın beş yıl boyunca bu yönde adım atılamamış olmasının asıl nedeni Devletin bireyleri fişleme geleneğinin, birer potansiyel suçlu olarak gördüğü yurttaşların hepsini kapsayacak bir “suçlular arşivini” her geçen gün sınırsızca genişletme arzusunun yasama iradesini sürekli olarak engellemesiydi.
Nihayet AKP hükümetince önümüze getirilebilen mevcut kanun taslağı neredeyse her maddesinde bu gerilimleri yansıtmaktadır. Taslak uyum zorunluluğu içinde olduğu Avrupa Birliği sözleşmeleri ve yönergeleriyle, devletin istihbarat ve zor aygıtlarının dayatmaları arasında bir orta yol seçimine işaret etmektedir. Taslak bir yandan demokratik normlara bir rüşveti kelam sunmakta öte yandan bir “milli güvenlik devleti” inşası yolunda iktidarın elini serbest bırakmaktadır. Taslak’ın her maddesi, başlangıç fıkralarıyla güvence altına alır göründüğü yurttaş haklarını, sonuna eklediği istisna hükümleriyle idareye boğdurmaktadır. Bu yasanın mutlak güvenceye aldığı hiç bir gerçek kişi olmadığı halde, milyonlarca yurttaşa ait verileri onların rızası olmaksızın işleyen ve aleyhlerine delil üreten, Türkiye’deki fişleme geleneğinin sürdürücüsü kadim güvenlik ve istihbarat tüzel kişilikleri bu yasanın bağlayıcı hükümlerinden bağışık kılınmaktadır.
Özellikle, Tasarının 24’üncü maddesi, bugüne kadar yurttaşları “fişlemek”le nam salmış bütün kurumların bu işlerine hiçbir yasa korkusu olmaksızın devam etmeleri için tasarlanmıştır.
Tasarı, güvenlik ve istihbarat kurumları dışında veri toplama kabiliyeti olan, bankalar, sağlık kuruluşları, internet hizmet sağlayıcıları, GSM operatörleri, seyahat şirketleri, sanal şirketler vb., kurumların bireysel verilerin bireylerin rızası dışında işlenmesine yönelik bazı tahditler getirmekle birlikte bunlara ilişkin çok sayıda istisna maddesi yardımıyla her hangi bir vatandaş hakkındaki verinin bireyin rızası olmaksızın işlenebilmesine, üçüncü şahıslara, ve uluslararası kuruluşlara aktarılabilmesine yasal güvence sunmaktadır.
Bu durum komisyon toplantısına katılan veya katılmayan birçok demokratik kitle örgütü, sivil toplum örgütü ve hak kuruluşu tarafından da hem komisyon toplantısında hem de konuyla ilgili TBMM dışındaki toplantılarda sıkça dile getirilmiştir.
“Veri sorumlusu” yürütmenin uzantısıdır
Tasarının en önemli açmazlarından biri, kişilerin kendilerine ilişkin verilerin toplanması ve işlenmesine dair şikayet, talep ve itirazları için başvurulabilecekleri kurulun bir Hükûmet kuruluşu olmasıdır. Söz konusu kurul Tasarı’da Adalet Bakanlığı’yla ilişkilendirilmektedir ve Bakanlar Kurulunca atanmaktadır. Her ne kadar ayrı bir bütçeye sahip olacağı düzenlenmişse de ayrı bütçe o kurulun bağımsızlık ya da özerkliğini garanti etmemektedir. Komisyon toplantısında görüşlerine başvurulan Avrupa Birliği Türkiye Temsilciliği görevlileri, sivil toplum kuruluşları ve diğer muhalefet partilerince dikkat çekildiği gibi, bu madde ile tıpkı diğer bağımsız bütçelere sahip bütün kuruluşlar gibi kurulun “veri kurulu”nun da tek elden hükümetçe yönetildiği bir devlet pratiğine zemin hazırlanmakta ve dahası kurulun aslında bir Hükûmet kuruluşu olarak çalışması teminat altına alınmaktadır.
Kişisel sırların “devletleştirilmesi”
“Sır taşıma yükümlülüğü olan kişiler” de bu yasanın getirdiği yaptırımlardan bağışık kılınmıştır. “Devlet Sırrı Kanunu” Mecliste görüşülürken yasa tasarısının gerekçesinde çok açık biçimde ifade edildiği gibi, “Devlet sırrı nedir?” sorusunun cevabı “Devlet sırrı devlet sırrıdır.” diye verilmiştir. Demek ki, “Kişisel Verilerin Korunması Kanunu Tasarısı”nda sözü edilen “Sır taşıma yükümlülüğü olan kişiler” bir “sır” olarak kalacak ve kişisel verileri diledikleri gibi istismar edebilme özgürlüklerini sınırsızca kullanabileceklerdir. Böylece eldeki yasa tasarısı kendisine “devletim” diyen, devlet yetkisini kullanmayı kendisine hak görenler karşısında bireyi savunmasız ve güvencesiz kılmaktadır.
Bir bütün olarak bu tasarı, esasen öngördüğü amaçlara asla hizmet etmeyen, yurttaşların özel yaşantılarına, ticari ve siyasi belgelerine yönelik olarak hazırladıkları andıçlar, fişlemeler ve istihbarat raporlarıyla pek çok kişinin asılsız suçlamalara, kişilik haklarına yönelik suikastlere, yargısız infazlara maruz kalmalarına neden olan MİT’in, JİTEM’in askeri ve sivil istihbarat kuruluşlarının dayatmalarına teslim olan; bu kuruluşların bugüne kadar kişisel veriler bağlamında kişi haklarına yönelik olarak gerçekleştirmiş oldukları bütün ihlalleri aklayan ve yasallaştıran; onlara kendi yasaları dışında hiçbir kural ile sınırlanmış olmayacaklarına dair ebedi güvence veren bir yasayı TBMM’den geçirme iradesini yansıtmaktadır. Tasarı bu haliyle, “fişlemeler”e dayalı mahkeme kararlarının sonucu olan uzun hapisliklerin; “fişlemeler”e dayanılarak insanların meslek hayatlarının, kişisel şöhretlerinin, itibarlarının zedelenmesi kapısını açık tutarak yurttaşların hayatlarını bundan böyle de “fişlenme korkusu” ile geçirmelerini güvence altına almaktadır.
Yukarıda ifade edildiği gibi bu yasaya dayanak kabul edilen Avrupa mevzuatının gerisindeki bütün tartışma, esasen devlet karşısında birey haklarının nasıl korunacağıyla, eldeki tasarıda ise esas mesele bireyin hakları karşısında devletin bu hakları çiğneme yetkisinin kitaba nasıl uydurulacağıyla ilgilidir. Bu durum, temel insan haklarına ve yurttaşlık haklarına ağır bir tehdit olarak karşımıza çıkmaktadır.
Maddeler açısından değerlendiğimizde:
3.Madde: Kanunda yer verilen terimlerin tanımları yapılmış olup kişisel verinin sadece kişinin ad-soyad-doğum yeri-tarihi gibi bilgiler olmayıp kişiye ait fiziki, ailevi, ekonomik, sosyal ve sair özelliklerine ilişkin bilgilerin kişisel veri olarak anlaşılacağı hüküm altına alınmaktadır. Yani verilerin kişinin fiziksel, ekonomik, kültürel, sosyal veya psikolojik kimliğini ifade eden somut bir içerik taşıması veya kimlik, vergi, sigorta numarası gibi herhangi bir kayıtla ilişkilendirilmesi sonucunda kişinin belirlenmesini sağlayan tüm halleri kapsamaktadır. Tasarının amaç bölümüne bakıldığında kişinin tüm biyografisinin, kişiye ait tüm özel bilgilerin bir veri bankasında yer alması öngörülmektedir. Yani kişi hakları, özel hayatın gizliliği kuralları ihlal edilmektedir. Örneğin kişinin kredi borcu vs. gibi bilgiler de bu veri tabanında yer alabilecektir.
Herkesin herkesi takip ettiği, kayıt altına aldığı yasadışı ve kişi haklarının yok sayıldığı bir sistem oluşturulmaya çalışıldığı görülmektedir. Örneğin mağazaların vs. kişilerin doğum tarihi, iletişim bilgileri gibi bilgilerini kendi veri tabanlarına yükleyip reklam vs. gibi amaçlarla sürekli telefon ile yahut telefonlara gönderilen mesajlarla kişileri rahatsız ediyor olmalarının önüne geçecek düzenlemelerin hayata geçirilmesi gerekirken aksine tüm bu hallerin meşrulaştığı bir sistem kurulması öngörülmektedir.
5. Madde: Yasa tasarısına göre, vatandaşların kişisel verileri, ilgili kişinin açık rızası olmaksızın işlenemeyecektir. Ancak, “izin şartına” çok geniş istisnalar getirilmektedir. İstisnalar şunları kapsamaktadır: “yasalarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan kişinin kendisinin veya bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması hallerinde kişisel veriler işlenebilecek.”
Böylece kişilerin isim, telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, genetik bilgiler gibi kişisel veriler, belirli, açık ve meşru amaçlar için işlenmek, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olmak, işlendikleri amaç için gerekli olan süre kadar muhafaza edilmek koşuluyla işlenebilecektir.
Örneğin PVSK’nın 5 inci maddesinde yer alan polisin kişilerin parmak izlerini alması hususu zaten Anayasaya aykırılık teşkil etmektedir ve en başta PVSK-5’in yürürlükten kaldırılması gerekmekte iken parmak izi gibi biyometrik verilerin toplanması bu tasarı ile tamamen meşru bir hal almaktadır. Kişiye ait verilerin hukuki bir işlem yahut hakkın tesisi-kullanılması-korunması için gerekli olması ya da kişi tarafından açıklanması da bu verilerin kayıt altına alınmasının unsurları olarak belirlenmiştir. Kişinin kendisine ait bilgileri açıklaması bu bilgilerin kayıt altına alınmasını gerektirmez. Yine bu madde gerekçesinde de yazdığı üzere şirketlerin çalışanlarına dair birçok bilgiyi rızası olmasa dahi toplayacağı meşru ve hukuki olarak ele alınmış olup vatandaşın tüm özel hayatına ilişkin bilgiler bir şirket çalışanın düzenlediği kayıt listesinde yer alabilecektir. Elbette bu verilerin paylaşımı noktasında da ciddi sıkıntılar yaşanacağı açıktır.
6.ve 24. Maddeler: Yasa tasarısında yer alan “sır saklama yükümlüğü altında bulunan kişiler” ibaresi ile, başta MİT olmak üzere, jandarma, emniyet yani tüm istihbarat birimlerinin, Türkiye Cumhuriyeti vatandaşlarının tüm kişisel verilerini izleme, depolama ve işlemesi yasal hale getirilmektedir. Yasaya eklenen istisna maddelerinin birçoğu devlet birimlerinin ihtiyaçlarına göre şekillendirilmiştir. Bu kurumlar, Türk vatandaşlarının bilgilerini işlerken, kişisel verileri topladıklarına dair bilgi vermek zorunda olmayacaklardır. Kimse, “Benimle ilgili hangi veriler toplanıyor” diye soramayacak, herhangi bir kuruma başvuramayacak. Dolayısı ile bilgilerin silinmesini talep edemeyecektir.
Yasa tasarısında, kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, dernek, vakıf ya da sendika üyeliği, sağlığı veya cinsel hayatıyla ilgili verileri, “özel nitelikli kişisel veriler” kapsamında tutulmaktadır. Ancak bu “özel nitelikli kişisel verilerin” dernek, vakıf, siyasi parti ya da sendikalar gibi, “kar amacı gütmeyen kuruluşlar” tarafından işlenmesine izin verilmektedir.
Bu arada tasarıdaki siyasi parti ve sendikalar gibi oluşumların kişilerin özel verilerini işlemelerine getirilen tek istisna ise, “tabi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak” olarak belirlenmiştir.
Tasarıda, ırk, etnik köken, siyasi, düşünce, felsefe inanç, dini, mezhebi ya da diğer inançları, vakıf, sendika üyeliği, mahkumiyet kararları, sağlığı ya da cinsel hayatı ile özel nitelikteki kişisel bilgiler, veri olarak kaydedilemeyecek. Ancak, tasarı belli hallerde bu bilgileri sınırlı bir işleme ve bunları açıklama hakkı getirmektedir Bir kişi kendisiyle ilgili işlenemeyecek bilgilerden birini kamuoyuna açıklamışsa, fişleme yasağı otomatikman kalkmış olacaktır. Örneğin, bir kişi cinsel tercihi konusunda herhangi bir açıklama yapmışsa, o tercihle fişlenebilecektir. Engelli bireyler ile kişinin sağlık durumuna dair kayıtlar da rızası olmaksızın işlenebilecek veriler arasında yer almaktadır.
Bir başka örnek vermek gerekirse: Herhangi bir panelde, sempozyumda ve konferansta yer alan konuşmacının kendi siyasi düşünce ve felsefi inancına konuşmasında yer vermesi bu verilerin alenileştiği anlamına gelecek ve o kişiye ait kişisel veri tabanına işlenecektir. Tasarının bütünü incelendiğinde görülecektir ki, kişiye ait tüm verilerin çeşitli kaynaklar/kurumlar aracılığıyla kısım kısım toplanması neticesinde kayıtlı geniş bir veri havuzu oluşacaktır.
8.Madde: Yasa tasarısının bir başka önemli maddesi, Türkiye Cumhuriyeti vatandaşlarının kişisel verilerinin, “üçüncü ülkelerle de paylaşılmasını” yasal hale getiren maddedir. Bu madde uyarınca, kişisel veriler, ilgili kişinin açık rızası olmaksızın üçüncü kişilere ve yurtdışına aktarılamayacak. Ancak bu izne geniş istisnalar getirilmektedir, kişinin özel bilgileri, yasa tasarısında tanımlandığı gibi “yabancı ülkede yeterli korumanın bulunması koşuluyla yurtdışına ilgili kişinin rızası aranmaksızın aktarılabilmektedir” maddesine dayanılarak aktarılacaktır.
12.madde: Yasa tasarısı, vatandaşlara kendisiyle ilgili kişisel verilerin işlenip işlenmediğini öğrenme hakkı tanımaktadır ancak yanıt alması, Kurul kararına bağlanmaktadır. Tasarıya göre, veri sorumlusu, başvuruda dile getirilen talepleri, talebin niteliğine göre en kısa sürede ve en geç 30 gün içinde ücretsiz olarak veya işlemin ayrıca bir maliyeti gerektirmesi halinde kurula uygun görülen bir ücret karşılığında yerine getirecek ya da gerekçesini açıklayarak reddedecektir. Başvurusu reddedilen kişi, kurula şikâyette bulunabilecek. Şikâyet tarihinden itibaren 4 ay içinde yanıt verilmediği takdirde talep reddedilmiş sayılacaktır.
Vatandaş, kişisel verilerinin “işlenip işlenmediğini”, özel bilgilerinin “yabancı ülkelere verilip verilmediğini” öğrenmek isterse, “ücret ödemek” zorunda kalabilmektedir. Ayrıca tasarıda, kesinlikle yanıt alınabileceğine dair bir ibare bulunmamaktadır.
18-19-20 maddeler:Verilerin aktarılacağı yabancı ülkede “yeterli koruma olup olmadığına” ise, Bakanlar Kurulu’nun seçeceği kurul karar vermektedir. Yukarıda da söz edildiği gibi bu kurulun hükümetten bağımsız olması gerekliliği hem Avrupa Birliği müktesebatı açısından hem de kurulun güvenilirliği açısından çok önemliyken yasa tasarısını hazırlayanlar bu durumu bir tür “risk” olarak görüp bu kurulu da tıpkı örneği verilen diğer kurumlar gibi Bakanlar Kurulu’nun seçimine bırakmaktadırlar. Oysa komisyon toplantısında birçok muhalefet temsilcisi tarafından dile getirildiği gibi TBMM’nin uzlaşma ile seçeceği bir kurulun bağımsızlığı mevcut duruma göre çok daha yüksek bir olasılık olacakken, yasa yapıcı veya meclis çoğunluğu bunun böyle olmaması için özel çaba sarf etmiştir. Seçilecek 7 kişilik kamu görevlileri, akademisyenler ve özel sektör temsilcilerinin yanı sıra sivil toplumdan da insanların yer alması komisyon toplantılarında önerilen madde değişikliklerinden bir başkasıdır.
Geçici madde 1:Yasa tasarısında yer alan bir başka önemli unsur ise, bugüne kadar yapılan ve dolayısıyla bu yasa kapsamına girmeyen fişlemeleri kapsamaktadır. Yeni yasa tasarısı ile, tasarının yayımı tarihinden önce işlenmiş olan kişisel verilerin “2 yıl içinde bu yasanın hükümlerine uygun hale getirilmesi” öngörülmekte, yasa hükümlerine aykırı olduğu tespit edilen kişisel verilerin ise “derhal silinmesi” hükme bağlanmaktadır.
Bütün bu gerçekler ışığında ve Anayasanın 20 Maddesi’nin başlangıçta ifade ettiğimiz açık hükmü karşısında, öngörülen düzenlemenin “meşru bir sebebe” dayalı olmaması nedeniyle bu kanun tasarısı itirazlarımız dikkate alınmaksızın yasalaştığı takdirde Anayasa Mahkemesi’nce iptal edilmeye mahkumdur.
Tasarı Metni: http://www2.tbmm.gov.
Yorum yazabilmek için oturum açmalısınız.