Bir Bu Eksikti!

Kişisel Verilerin Korunması Kanunu Tasarısı’nın Getirdikleri – 1

Dürüst olalım. Yeni bir hukuki düzenlemeyi danışmanlık verdiğiniz şirkete anlatırken, pazarlama, satış, IT gibi, esas işi hukuk olmayan iş birimlerinin çalışanlarının gözünde ne kadar saklamaya çalışsalar da, “Nerden çıktı bu şimdi? Bir bu eksikti!” bakışını görürsünüz. Hatta bazı durumlarda, sanki düzenlemeyi avukatın babası yapmış gibi avukata kızıldığı dahi olur. İşte Kişisel Verilerin Korunması Kanunu Tasarısı (Tasarı) da tam bu türden bir düzenleme. Tasarı’nın yasalaşması durumunda; ki çok yakın bir gelecekte yasalaşması bekleniyor, birçok şirketin iş yapış biçimlerinde son derece büyük bir etkisi olacağı kesin. Bu sebeple de bir yazı dizisi şeklinde, konuya ilişkin maruzatımı, siz değerli PH okurları ile paylaşmayı planlıyorum.

200SeptToon12
“İsmimi tahtaya yazmadan önce, bu veriyi ne şekilde kullanmayı planladığınızı bilmeliyim.”

Kişisel verilerin korunması, şirketlerin işlerini zorlaştırmak için getirilen bir düzenleme değil, aksine Anayasa ile korunan temel bir insan hakkı. Yani, devletin herkesin kişisel verilerini koruma yükümlülüğü var. Ülkemizde kişisel verilerin korunmasına ilişkin henüz özel bir düzenleme olmamakla birlikte, Anayasa, Türk Ceza Kanunu, İş Kanunu, Borçlar Kanunu gibi düzenlemelerde genel hükümler bulunuyor. Bunun yanında, elektronik haberleşme ve sağlık gibi alanlarda yönetmeliklerle, bu sektörlerde faaliyet gösteren şirketlere getirilmiş daha detaylı yükümlülükler var. Bunun yanında, geçtiğimiz Mayıs ayında yürürlüğe giren ve firmaların bizi taciz edercesine attığı SMS’lere bir de garip garip harfler, sayılar eklenmesi dışında bir faydası olup olmadığı tartışmalı, 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun var. Bu kanunun da şirketlerin ticari amaçlı iletişimini ve bu konu özelinde kişisel verilerin korunmasını düzenlediği söylenebilir.

Kişisel Verilerin Korunması Kanunu Tasarısı çok uzun süredir kanunlaşmayı bekleyen bir düzenleme. Bunun yanında Tasarı, AB katılım süreci kapsamında, AB’nin 95/46/EC sayılı Veri Koruması Direktifini temel almakta. Hatta temel hükümleri bu Direktifin çevirisi bile diyebiliriz. Bu bizim için bir avantaj, zira nasıl rekabet hukuku uygulamasında AB’de olan biten bize yol gösteriyorsa, kişisel verilerin korunması konusunda da AB uygulamasını kerteriz alma imkanı verecek. Paylaştığım Direktifin sayısında yer alan “95” rakamı, bunun 1995 yılına ait olduğunu gösteriyor ve son 20 yılda AB uygulamasının son derece pekiştiği söylenebilir. Hatta AB mevcut düzenlemesini yakın zamanda değiştirecek. Biz şimdi bir nevi AB’nin yıllardır pişirdiği yemeğin sonuna yetiştik. Bu durum biz uygulamanın öngörülebilirliği açısından büyük bir avantaj sağlıyor; tabi Evrensel Hizmet Kanunu’na feribot seferlerini de dahil edebilen özgün bir hukuk sistemimiz olduğu için çeşitli sürprizlerle de karşılaşabileceğimizi unutmamak lazım.

Kişisel Verilerin Korunması Kanunu Tasarısı neleri değiştirecek?

Tasarının temel muhatapları gerçek kişiler (bildiğin insan) ve Veri Sorumluları. Tasarı ile kişilere bazı haklar tanınıyor ve bunun akabinde Veri Sorumlularına da çeşitli yükümlülükler veriliyor. Kim bu Veri Sorumluları diye soracak olursanız? Kişisel Veriyi işleyen herkes bu kategoriye giriyor. Bunun illa ki bilgisayar ortamında olmasına da gerek yok… İK departmanlarında içinde bordro olan klasörler var ya? İşte onlar da kişisel veri içeriyor (isim, adres, finansal bilgi vb) ve bunların öyle klasörlerin içinde güzel güzel düzenlenmiş olması, ilgili şirketi Veri Sorumlusu yapmaya yetebiliyor.

Aynı şekilde kişisel veri ile yapılan hemen hemen her şey işleme kapsamına giriyor. Sadece elde tutmak bile… Tasarı kişisel verilerin hangi durumlarda hukuka uygun olarak işlenebileceğini de belirtiyor. Doğal olarak, temel kural verisi işlenecek kişinin açık rızasını almak. Ancak açık rıza dışında da, Tasarıda sayılan toplam 7 adet koşuldan  birinin olması durumunda kişisel veriler hukuka uygun bir şekilde işlenebiliyor. Kişilerin ırk, etnik köken, inanç, dil, sağlık, kılık kıyafet, gibi bilgileri özel nitelikli kişisel veri olarak değerlendirildiğinden bunların işlenmesi daha sıkı kurallara bağlanmış. Kısacası kişisel veri işlemekteyseniz, Tasarı’da yer alan kurallara uymanız gerekiyor.

Bu kurallara uyulduğunu her durumda garanti altına alacak basit bir uygulama, frenklerin deyimi ile, bir safe harbour bulunduğu da söylenemez. Konunun temel hak ver hürriyetlerin korunması olması, her bir olayın kendi özelinde değerlendirilmesini gerekli kılıyor. Yani ben tüm müşterilerimden hasbelkader genel bir izin aldım, bunları izinli veri tabanına attım, artık bunlarla her şeyi yaparım demek sizi kurtarmıyor. Alınan iznin kapsamı, verilerin saklanma süresi, bunların gerektiğinde güncelliği ve doğruluğu, ilgili kişinin bilgi edinme hakkı gibi çok sayıda hususa da uymak gerekiyor.

Bu durum, Ali Ilıcak’ın yazısında da belirttiği gibi şirketlerin Tasarı’ya uyum amacıyla yürüttüğü programların da kapsamının son derece geniş olması sonucunu doğuracak. Eğer hukuka tam uyum amaçlanıyorsa, kişisel verilerin kullanıldığı her biOpt In And Out Keys Shows Decision To Subscriber kurgunun tek tek incelenip değerlendirilmesi gerekiyor. İş modellerinin evrimi ve teknolojinin gelişimi gibi faktörler de bu kuralların uygulama alanlarının sık sık değişmesine ve hukuki riskin bir nevi süreklilik arz etmesine yol açıyor.

Ne zaman kişisel verileri işlemiş oluyorum?

Burada Tasarı’nın maddeleri üzerinden teker teker geçip hukuki değerlendirme yapmak niyetinde değilim. Ancak kişisel verilerin işlenmesine ilişkin yurtdışından çeşitli yüksek mahkeme kararlarından bana ilginç gelenlerinin çok kısa hikayelerini yazmak istiyorum. Böylelikle veri işleme kavramının da kapsamının ne kadar geniş ve değişken olabileceğinin altını çizebilmeyi umuyorum.

AB Adalet Divanı (ABAD[1]) Lindqvist kararında, İsveç’te bir kilisede vaiz benzeri bir görevi olan Bayan Lindqvist, vaazını dinlemeye gelen müdavimlerinin (18 kişi) kısa biyografilerini, hobilerini, bazılarının iletişim bilgilerini, internet sitesinde hoşluk, komiklik olsun diye yayınlamaya karar veriyor. Herhalde birisiyle arası bozuk ki, iş AB’nin en yüksek mahkemesine kadar gidiyor. ABAD da, Bayan Lindqvist’in yaptığının kişisel verilerin işlenmesi kapsamına girdiğine hükmediyor. Kıssadan hisse, arkadaşınız dahi olsa kişisel verilerin işlenmesine ilişkin kurallara riayet etmek gerek.

AİHM önündeki Satamedia davasında ise konu zaten yayınlanmış olan kişisel bilgilerin işlenmesinin ve yayınlanmasının kişisel verilerin işlenmesi kapsamına girip girmediği. Finlandiya’da herkesi ödediği vergiler düzenli olarak yayınlamaktaymış. Bunu fırsat bilen Satamedia da, bu bilgileri derleyip toplayıp bir SMS servisi haline getirmiş. Yani istediğiniz kişinin adını soyadını yazıp SMS ile ödediği vergi bilgisini alabileceğiniz bir sistem kurmuş. Finlandiya mahkemeleri, bu veriler her ne kadar kamuya açık olsa da, verilerin sahiplerinin onayı olmadan bu şekilde işlenmesi hukuka aykırı olacağına hükmetmiş. AİHM de Finlandiye mahkemelerini bu hususa ilişkin haklı bulmuş. Yani çeşitli kişisel bilgilerin kamuya açık olması da tek başına bu bilgilerle istediğiniz her şeyi yapabileceğiniz anlamına gelmiyor diyebiliriz.

Son olarak, ABAD’ın konuyla ilgilenen kişiler arasında “Patron Çıldırdı!” nidalarına sebebiyet veren, nereye çeksen oraya gelen Google Spain kararı var. Bu kararın temel özelliği, kişilere, bir nevi “unutulma hakkı” tanınmış olması tabi ki… Unutulma hakkı, söz konusu karar kapsamında arama sonuçlarından kendini sildirme olarak özetleyebiliriz. Ancak Google’a Direktif kapsamına bir yükümlülük yükleyebilmek için Google’ın sunduğu arama hizmetinin kişisel verilerin işlenmesi kapsamında değerlendirilmesi ve dolayısıyla, Google’ın Veri Sorumlusu olarak tanımlanması gerekmekteydi. Kararda, Mahkeme Google’ın yapmış olduğu internet arama işlemi ile kişisel veri işlediğini belirtti. Yani ABAD’a göre;  Google’da “Bulut Girgin” diye aratınca, Google benim kişisel verilerimi işliyor ve dolayısıyla Veri Sorumlulularına getirilen tüm yükümlülüklere uymakla yükümlü. Bu karar ile işleme kavramının tanımı son derece genişletildiği görülebilir. Zira Google araması sonucunda çıkan sonuçların neredeyse hiç biri Google’a ait içerikler değil. Yani bu kararla ABAD, başkasına ait içeriği internette derleyip bir araya getirmek dahi, eğer o içeriklerde kişisel veri bulunuyorsa, veri işleme kapsamına girer diyor. ABAD’ın, AB’nin en yüksek mahkemesi olduğunu ve kararlarına karşı AİHM’e dahi gidilemediğini de hatırlatalım. (Google Spain kararına ilişkin üç, beş kelamımı daha detaylı olarak ilerleyen zamanlarda yazmak üzere bir kenara not ediyorum.)

Sonuç olarak Tasarı, günlük hayatımızda bir çok şeyi değiştirecek, Tasarı’ya ilişkin söylenecek daha birçok şey var. Bunlara da ilerleyen yazılarda değinmeyi planlıyorum.

[1] Evet ben de Dünya’nın en çirkin kısaltması olduğunu düşünüyorum.

 

Reklamlar