Büyük veri işliyoruz derken aman kişisel verileri ihlal etmeyin

Dünya Gazetesi, 10 Şubat 2016

Yeni çağın simgesi olan “büyük veri”, kişilerin durumlarına ve davranış yapılarına ilişkin bilgilerden oluşuyor. Hem şirketler hem de kafası çalışan kamu yöneticileri, topladıkları bu verileri kullanarak tüketicilerinin ve seçmenlerinin hangi durumlarda ne tepki verebileceğini önceden tahmin etmeye başladılar bile. İnternette gezinirken yaptığımız hareketlerden tutun, web sitelerine üye olmak için gönüllü olarak doldurduğumuz formlara; market kartı sayesinde profil bilgilerimizle eşleştirilen alışverişlerden elektrik şirketinin tuttuğu bilgilere kadar, büyük bir veri havuzunun dolmasını sağlıyoruz. Yeni ekonomi şirketleri bu verilerin reklam yeri ya da veri analizi adı altında üçüncü kişilere satılması sayesinde büyüyorlar. Ancak bu bilgilerin kişinin rızası olmadan toplanması, işlenmesi ve üçüncü kişilere aktarılması gibi konular, gelişmiş ülkelerde uzun zamandır temel kişisel hakların ihlali olarak sınıflandırılıyor.

Evrensel anlamada kişisel verilerin korunması

Kişisel verilerin korunması Avrupa Birliği’nde 1995’den beri bir direktifle düzenleniyor. Avrupa’daki uygulamasında, kişisel verilerin korunması mutlak bir hak olarak görülmüyor. Örneğin terörle mücadele ya da kamu yararı konuları gündeme geldiğinde kişisel verilerin korunması ilkeleri ikinci planda kalıyor. Ancak yine de, Avrupa Birliği mahkemeleri kişileri şirketlerden olduğu kadar devletlerin amaca aykırı, oransız ve keyfi faaliyetlerinden de korumaya çalışıyor.

Bizdeki düzenlemelere baktığımızda, 2003’den beri bir kanun tasarısı gündeme gelip gittiğini görüyoruz. Hatta aşağıda detaylı bir şekilde anlatacağımız gibi, Ceza Kanunu’nda hukuka aykırı şekilde veri işlemeye dair cezalar yer almaktaydı. Ancak hukuka uygun veri işlemenin ne şekilde olacağına dair ilke ve kuralları öğrenmek için Kişisel Verilerin Korunması Kanun’una ihtiyaç var.

Yasa Tasarısında neler var?

Tasarıda öngörülen Veri Koruma Kurul’u, kişisel verilerin temel hak ve özgürlüklere uygun şekilde “işlenmesini” sağlamakla yükümlü. Kişisel verilerin işlenmesi tabiri Tasarı’da, verilerin ilk defa elde edilmesinden başlayarak veriler üzerinde gerçekleştirilen tüm işlem türleri, olarak tanımlanmış. Tasarı’da belirtilen ilkelere göre, Kkişisel veriler hukuka ve dürüstlük kurallarına uygun ve doğru olarak, açık ve meşru amaçlar için işlenmeli; işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olmalı ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmeli.

Verilerin ancak kişinin açık rızası ile toplanması, üçüncü kişilere aktarılması ya da yurtdışına aktarılması mümkün. Aynı şekilde, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kendiliğinden ya da kişinin talebi üzerine silinmesi gerekiyor. Kişisel verileri işlemek isteyen gerçek ya da tüzel kişiler Kurul tarafından tutulacak sicile, hangi amaçla veri işleyecekleri, veri konusu kişi grupları ile bu kişilerin hangi verilerinin işlendiği, verilerin kimlere ve hangi yabancı ülkelere aktarılabileceği, verilerin güvenli bir biçimde tutulacağına ilişkin alınan tedbirleri ve veri sorumlularının kimlik ve adresleri ile başvuracak.

İşlemlerin hukuka uygun olarak yapılıp yapılmadığının muhatabı, yukarıdaki cümlenin sonunda geçen veri sorumlusu. Veri sorumlusu, yasa tasarısında, verilerin ne şekilde işleneceğine karar verecek olan gerçek ya da tüzel kişi olarak tanımlanıyor. Yani veriyi işleyen bir şirket ise, veri sorumlusu olarak kendi tüzel kişiliğini ya da bir çalışanını gösterebilir.

Kurul, kamu ve özel sektör kuruluşlarının hukuka uygun biçimde veri işlemesini sağlamak için 1 milyon TL’ye varan idari para cezası verme yetkisine sahip olacak.

İstisnalar

Kanunun işleyişinde birçok istisna tanınmış. Şu hallerde veri işlenmesi için kişinin açık rızası aranmayacağı düzenlenmiş: Kanunlarda açıkça öngörülmesi halinde (Polisin şüphelinin parmak izini alması gibi), bir sözleşmenin kurulması ya da ifası için gerekliyse (bankanın kredi vermek için belge istemesi gibi), hukuki yükümlülüklerin yerine getirilmesi için zorunluysa (çalışanlara maaş ödemek için banka hesap numaralarını almak gibi), veri kişinin kendisi tarafından alenileştirildiyse (ah o sosyal medya kendini ifşa tutkusu!) bir hakkın tesisi, kullanılması veya korunması için zorunlu olması (kayyımın, tayin edildiği kısıtlının mali bilgilerini tutması gibi) ve son olarak kişinin hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaati için zorunlu olan bir iş için tutuluyorsa (çalışanın özlük bilgileri gibi).

Hata yapan hapse girer mi?

Tasarı, hukuka uygun olmayan iş yapmanın yaptırımını suç ve kabahat olarak ikiye ayırıyor. Kabahatler için 1 milyon TL’ye kadar idari para cezası verme yetkisinin Kurul’a verildiğinden yukarıda bahsetmiştik. Ancak asıl caydırıcılık kişisel verilere ilişkin suçlara ilişkin Ceza Kanunu’ndaki düzenlemelerle sağlanıyor. 2004 tarihli Ceza Kanunu, hukuka aykırı olarak kişisel verilerin kaydedilmesinden, bunların hukuka aykırı olarak yayılması ve ele geçirilmesine, kanunlarla belirlenen süresi geçen verilerin sistem içinde yok edilmemesine kadar bir dizi suçu düzenliyor ve bir ila iki yıldan başlayan hapis cezaları ile cezalandırıyor. Bu suçları tüzel kişilerin işlemesi halinde bunlara özgü güvenlik tedbirlerine hükmolunacağı da yine Ceza Kanunu’nda düzenlenmiş.

Bu noktada, “hukuka uygun olmayan şekilde veri işlemekten dolayı 2004 yılından beri hapse giren olmuş mu?” sorusu akla gelecektir. Yanıt: hayır. Bu suçların cezalandırılması için, Tasarı yasalaşıp Kurul oluştuğunda, yaptığı incelemeler sonucunda Savcılığa yukarıdaki suçlar için suç duyurusunda bulunması gerekecek.

Şirketlerin alması gereken aksiyonlar

Her yeni düzenlemede olduğu gibi kişisel verilerin korunmasında da şirketlerin mevcut faaliyetlerini gözden geçirip süreçlerini uyumlu hale getirmesi gerekiyor. Hangi veriyi ne amaçla topladığı, bunları kimlere aktardığı vb konuların masaya yatırılması şart. Konu veri koruması olunca, inşaat şirketinin saklamaya tenezzül etmediği, ev sahibi verilerinin emlakçıların elinde gezmesi bile hapse girmeyi gerektirecek bir suç oluyor. Uyum sağlaması gerekenler kurumsal şirketlerle sınırlı değil yani.

Sonuç

Muhtemelen tasarı yasalaşırken, hem mevcut hem de bundan sonra toplanacak verilerin hukuka uygun şekilde işlenmesi için bir geçiş süresi öngörülecektir. Kurul’un oluşması, Kanun’da belirtilen bir dizi kuralın ayrıntılarının belirlenmesi için yönetmeliklerin çıkarılması, politika önceliklerinin belirlenmesi, Kurum personelinin eğitilmesi vb işler zaten belirli bir süre alacaktır. Şirketler kendi süreçlerini gözden geçirip uyum programları uygulamaya şimdiden başladılar zaten. Uygulamanın başlamasıyla birlikte de akıllardaki bazı soruların yanıtları kolayca oluşacaktır. Sonuçta, eğer müstakbel Kurul Avrupa Birliği’ne uyumlu bir yaklaşım benimserse, orada yıllar içinde oluşmuş devasa bir kişisel verilerin korunması külliyatı hazır bekliyor

Reklamlar