Eyvah İfşa Oldum !

“Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğinin Korunması Hakkında Yönetmelik” yürürlüğe girdi.

Temmuz’un son haftasında “Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğinin Korunması Hakkında Yönetmelik” yürürlüğe girdi. (Kişisel Verilerin Korunması Kanunu Tasarısı’nın da uzunca bir süredir “tasarı” statüsünde beklemekte olduğunu belirtelim.)

Aslında aynı konuda 2004 tarihli bir Yönetmelik vardı fakat son dönemde “kişisel verilerin pek de gizlenmediği” tartışılır olmaya başlayınca söz konusu düzenlemenin değiştirilmesi gündeme geldi. İyi de oldu aslında, bize de üzerine konuşma fırsatı doğdu. Bu arada Yönetmelik yayınlandı ama 24 Ocak 2013 tarihinde yürürlüğe girecek.

Dijital çağ olarak adlandırabileceğimiz içinde bulunduğumuz bu dönemde kişisel bilgilerin internet gibi bir ağ ile ışık hızıyla yayılması insanı korkutuyor. Çünkü bu durum, kişisel verilerimizin başkasının eline geçerek kullanılması tehdidini de beraberinde getiriyor. Bu noktada birtakım önlemlerin alınması, çeşitli nedenlerle toplanan kişisel verilerin akıbetinin ne olacağı, kimlerce ne amaçlarla toplanabileceği ve işlenebileceğini belirlemek gibi konuları bir zorunluluk haline geldiğinden söz konusu Yönetmelik oldukça faydalı olacak.

Peki, nedir bu kişisel veri?

Yönetmelik’te yazan tanım çok geniş bir çerçeveyi içinde barındırıyor: belirli veya kimliği belirlenebilir gerçek ve tüzel kişilere ilişkin bütün bilgiler. 2004 tarihli Yönetmelik ise daha detaylı bir tanıma sahip: Tanımlanmış ya da doğrudan veya dolaylı olarak, bir kimlik numarası ya da fiziksel, psikolojik, zihinsel, ekonomik, kültürel ya da sosyal kimliğin, sağlık, genetik, etnik, dini, ailevi ve siyasi bilgilerinin bir ya da birden fazla unsuruna dayanarak tanımlanabilen gerçek ve/veya tüzel kişilere ilişkin herhangi bir bilgi.  Eski tanım oldukça karışık gözüküyor. Dolayısıyla “bütün bilgiler” diyelim kolaylık olsun diye düşünülmüş olabilir. İşin şakası bir yana mehaz uygulama niteliğindeki AB Direktifi’nde (95/46/EC) yer alan tanım dikkate alınmış.

Ancak çok enteresan bir ayrıntı da göze çarpıyor. Eski Yönetmelik’te yer almayan ancak yenisinde “amaç ve kapsam” başlıklı 1. maddede yer alan hüküm ilginç: haberleşmenin içeriğine ilişkin verilerin saklanması bu Yönetmeliğin kapsamına dâhil değildir. Bu demek oluyor ki; her gün yaptığımız telefon konuşmaları dikkate alındığında arayan kimlik bilgileri, yer bilgisi ve trafik bilgisi gibi hususlar Yönetmelik kapsamındaki şartlarla korunabilecek iken, görüşme içeriklerinin saklanması kapsam dışı.

Yeni Yönetmelik’te dikkat çeken en önemli husus “kişisel veri ihlalinin” ne anlama geldiğinin tanımlanmış olması. Buna göre; istem dışı, yetki dışı ya da yasa dışı olarak; kişisel verilerin tahrip edilmesine, kaybolmasına, iletilmesine, değiştirilmesine, depolanmasına veya başka bir ortama kaydedilmesine, işlenmesine, ifşa edilmesine ve söz konusu verilere erişilmesine neden olan güvenlik ihlali olarak tanımlanıyor. Eski Yönetmelik’te böyle bir tanım yapılmamıştı. Eskisinden farklı olarak, kişisel verilerin işlenmesinin ne olduğu ve söz konusu işleme ilişkin uyulması gereken prensipler de tek tek sayılmış.

Yönetmelik, kişisel verilerimizin kaydedilmesi, işlenmesi ve korunmasına ilişkin uygulamalar bakımından bize pozitif yönde iyileştirmeler sunacaktır ancak kuralların etkin bir şekilde uygulanması önemli. Bakalım, yeni düzenleme “eyvah ifşa oldum” kaygısının önüne geçebilecek mi?