Bahçeşehir Üniversitesi, Sabancı Üniversitesi ve İstanbul Bilgi Üniversitesi işbirliği ile gerçekleştirilen “Kişisel Verilerin Korunmasının Geleceği: Büyük Umutlar” başlıklı iki günlük panelleri düzenleyenler ve emeği geçen herkesi kutlamak gerekiyor.  

 

Kişisel verilerin korunmasında “Büyük Umutlar” başlığı altında 4-5 Nisan 2013 tarihlerinde İstanbul’da yapılan bu panellerde teknoloji, hukuk ve özel yaşamın gizliliği konuşuldu. Biraz hafızalarımızı tazeledik. Çok yararlı bir toplantı oldu. Bizim içinde bulunduğumuz “durumu” Tasarıyı hazırlayan Adalet Bakanlığı yetkililerinden öğrendik. Çok samimi, hukuka uygun ve öz eleştiri de içeren açık yanıtları fevkalade olumluydu.

 

1981’den 2013 yılına kadar otuz iki yıllık “Büyük Umutlar” hakkındaki bu serüvenimiz satırbaşları ile hatırlayalım.  Nereden nereye geldik ve “tıkanma” noktası ne?

 

28 Ocak 1981 tarihinde imzaya açılmış olan ve 1985 yılında yürürlüğe giren 108 sayılı Otomatik Olarak İşlenen Kişisel Veriler Bakımından Bireylerin Korunması Hakkında Sözleşme Türkiye tarafından imzalanmıştır. Ancak onaylanamamıştır. Çünkü Türkiye’nin bu Sözleşmeyi onaylanabilmesi için Sözleşmeye imza atan devletin öngörülen ilkeler çerçevesinde bir kanun kabul ederek iç hukukunda yürürlüğe koyması zorunludur.

 

Türkiye bu zorunluluğu o gün bugündür yerine getirmemiştir.   

 

Sözleşmenin asıl amacı; sözleşmeyi imzalayan devletler sınırları dâhilinde tüm vatandaşların, ulus ve ikametleri her ne olursa olsun, hak ve özgürlükleri ile kişiye ait otomatik işleme girmiş tüm kişisel bilgileri ekseninde, herkesin özel yaşamını korumaktır (Madde 1). Sözleşmeye göre; "kişisel bilgi", kişi hakkında belirlenmiş veya belirlenebilecek her türlü bilgidir. Kişisel bilgilerle ilgili işlemler denilince de kişiler hakkında veri depolanması, bu veriler üzerinde mantıksal veya matematiksel işlemler yapılması (işlenmesi), kişilerin bu verilerinin düzeltilmesi veya silinmesi ya da yeniden yapılandırılması veya yayılması olarak anlaşılmaktadır. (Madde 2)

 

Avrupa Konseyinin “24 Ekim 1995 Tarihli Kişisel Nitelikli Verilerin Değerlendirilmesi ve Bu Verilerin Serbest Dolaşımına Karşı Gerçek Kişilerin Korunması Üzerine 95/46 Sayılı Direktifi önemlidir. Bilişim teknolojisinin hızlı gelişimi nedeniyle bu Direktifi takiben yetersizliklerin önlenebilmesi amacıyla 2002 yılında; “Elektronik İletişim Sektöründe Kişisel Verilerin İşlenmesi ve Mahremiyetin Korunması”na ilişkin 2002/58/EC sayılı Direktif kabul edilmiştir.

 

Türkiye tarafından uyum mevzuatı çerçevesinde Adalet Bakanlığı tarafından “Kişisel Verilerin Korunması Hakkında Kanun Tasarısı” hazırlanmıştır. Bakanlar Kurulunca 7.4.2008 tarihinde kabul edilerek TBMM Başkanlığına 22.04.2008 tarihinde gönderilmiştir. Ama Tasarı kanunlaşamamıştır.  

 

“Büyük Umutlar” toplantısında 2008 yılında 95/46 sayılı Direktif ile 108 sayılı Sözleşme dikkate alınarak Türkiye’nin yapısına göre ve iç hukukuna uyarlanarak bir “Tasarı” hazırlandığı, kanunlaşamadığı ama 2012 yılında yeniden gözden geçirilerek Bakanlar Kuruluna sunulduğu panellere katılan Adalet Bakanlığı yetkililerince açıklandı.

Türkiye, 1981 yılından itibaren kişisel verilerin gizliği hakkında bir kanun kabul etmek suretiyle sorunu çözmüş değildir. Hatta ve hatta hem 2010 yılı Anayasa değişikliği ile “anayasal koruma” altına alınmış olan kişisel verilerle ilgili olarak 2005 yılında yürürlüğe giren yeni Türk Ceza Kanununda kişisel verilerin kayda alınması, tespiti ve başkalarına verilmesi gibi yeni suç tipleri kabul edilmiştir. Buna rağmen Türkiye’de kişisel verilerle ilgili “özel bir kanun” yoktur.

 

Bütün devletler bambaşka tartışmalar içinde. Artık kişisel veriler sadece AİHS’nin 8 inci maddesi ile korunan değerde bir hak olmaktan öte; herkesin kişisel verilerinin gizliliği ve korunması hakkı olduğunu benimsemiş ve hukuki düzenlemeler gerçekleştirmektedir. Veri Koruma ile ilgili oluşturulan kurullar ise bağımsızdır.

 

2012’de revize edilmiş olan 2008 Tasarısı ise halen Bakanlar Kurulu incelemesi altındaymış. Bakanlar Kurulu bu Tasarıyı TBMM Başkanlığı’na sevk edene kadar içeriği hakkında bilgi edinmemiz mümkün görünmüyor. Yani siyaseten durum budur. Yürütme, veri koruma kurulunun gücü, oluşumu ve yetkisi hakkında tercihini yaptıktan sonra Tasarı gün ışığına çıkacak.  

 

Çünkü Adalet Bakanlığı yetkililerin bu toplantılarda verdiği bilgilere göre (ve eğer yanlış anlamadıysam) Tasarı ile oluşturulacak olan “Veri Koruma Kurulu”nun gücü, oluşumu ve yetkileri hakkında bir tıkanma var(mış). Buna “tartışma” demem daha doğru olacak galiba.

 

Acaba veri koruma hakkında görevli, yetkili ve hatta idari yaptırım gücüne sahip olacak “Veri Koruma Kurulu” bağımsız mı olsun yoksa yürütmeye bağımlı mı olsun? Tasarının gün ışığına çıkmasına mani olan tartışma bu. Veri Koruma Kurulu’nun bağımsızlığı tartışma konusu. Ya da tartışma “bağımsız mı olsun yoksa olmasın mı” üzerine.

 

Acaba kişisel verilerin gizliliğin korunması ile ilgili Veri Koruma Kurulu’nun bağımlı olması mı isteniyor?  Bağımlılığın yaratacağı sonuçları düşünmek bile istemem.

 

Adalet Bakanlığının web sitesinde bir görünüp bir kaybolan 2012 Tasarısında nelerin “revize” edildiğini, değişikliklerin çok olmasa bile ne olduğunu, veri koruma kurulunun nasıl oluşturulduğunu, nasıl düzenlendiğini bilmiyoruz, her ne kadar bilgi edinme hakkımız varsa da!

 

Kişisel verilerin gizliliğini korunması, veri toplanması ve işlenmesi konusunda kanunen görev ve yetkileri belirlenecek olan Veri Koruma Kurulu’nun “bağımsızlığı” veya “bağımlılığı” hakkında verilecek karar; yürütme organının “bağımsız idari otorite” kavramına nasıl baktığı hakkında hepimize bir fikir verecektir.

 

Kişisel verilerin korunması hakkında bir kurul oluşturulacaksa eğer, üzerinde bir tartışmaya gerek dahi olmadan kabul edilmesi gereken hukuk devleti ilkesine göre; kişisel verilerin gizliliğini korumakla görevli olan kurul mutlaka bağımsız olmalıdır.

 

Aksi takdirde, büyük umutlarla beklenen kişisel verilerin gizliliğinin korunması hakkı büyük hayal kırıklıkları yaratacaktır. Hatta Kurul’un bağımsız olmaması demek, temel insan hakları ihlallerinin denetimsizliği ve hukuki güvencenin yok olması demektir.

 

Buna karşın “veri koruması” adı altında Yürütmenin kendisine bağımlı bir Kurul oluşturmak suretiyle eline geçireceği gücü, hayal bile edemezsiniz.