Yerinde İncelemelerde Dijital Verilerin İncelenmesine İlişkin Kılavuz: Dijital veriler tamam da, ya kişisel veriler?

Haziran ayında yürürlüğe giren 7246 sayılı Rekabetin Korunması Hakkında Kanunda Değişiklik Yapılmasına Dair Kanun ile 4054 sayılı Rekabetin Korunması Hakkında Kanun’da çeşitli değişiklikler yapılmış, bizde bu değişiklikleri yine buradan değerlendirmiştik. Hatırlanacağı üzere 7246 sayılı Kanun; muafiyet, de minimis, birleşme ve devralma testi, davranışsal ve yapısal tedbirler ile taahhüt ve uzlaşma mekanizmaları olmak üzere bazı değişiklikler öngörmüştü. Aynı zamanda, bu değişikliklerin bir kısmına ilişkin yönetmelik, tebliğ gibi ikincil mevzuatı hazırlamak konusunda da Rekabet Kurulu’na (Kurul) görev yüklemişti. 7246 sayılı Kanun sonucu Kurul, de minimis ve taahhüt mekanizmasına ilişkin tebliğ, uzlaşma mekanizmasına ilişkin ise yönetmelik yayınlayacaktı. Bu doğrultuda Kurul, işe de minimis ile başlamış ve 23 Ekim tarihinde de minimis’e ilişkin bir tebliğ taslağı hazırlayarak kamuoyuyla paylaşmıştır. Öte yandan, bu taslaktan iki hafta önce ise Kurul, yerinde inceleme yetkisi kapsamında elde edeceği dijital verilere ilişkin 8 Ekim tarihli bir kılavuz yayınladı. O halde biz de ilk önce kılavuzu ele alalım, de minimis’i ise başka bir yazımıza bırakalım.

Bilişim teknolojilerinde yaşanan gelişmeler sonucu ticari defterler ve muhasebe kayıtları elektronik ortama taşınmaya başlamış, güvenli e-imza ile sözleşmeler elektronik ortamda yapılır hale gelmiş, genel olarak belgelerin elektronik ortamda tutulması yaygınlaşmıştır. Bu gelişim ile paralel olarak rekabet ihlalinin varlığını gösteren delillere şirket bilgisayarlarında, e-maillerde, WhatsApp sohbetlerinde vs. rastlanır hale gelmiştir. Böyle olunca da teşebbüslere ait bilgisayarların, serverların, bulut servislerinin, hatta teşebbüslerin yönetici veya çalışanlarının kullandığı akıllı telefonların rekabet otoritelerince incelenmesi zaruri hale gelmiştir. Bu gerçeğe uygun olarak, 7246 sayılı Kanun ile Kurul’a elektronik ortamda tutulan verileri (dijital veri) inceleme ve bunların örneğini alma yetkisi verilmiştir. Bu değişikliğin ardından Kurul da, yerinde inceleme yetkisi kapsamında teşebbüslerden talep edilebilecek dijital verilere ilişkin usulleri içeren “Yerinde İncelemelerde Dijital Verilerin İncelenmesine İlişkin Kılavuz”u (Kılavuz) yayınlamıştır.

Kılavuzda raportörlerin (görevli meslek personelinin) yerinde incelemeler sırasında dijital verilere nasıl erişeceğine, bu verileri nasıl kopyalayacağına, nerede inceleyeceğine ve nasıl saklayacağına ilişkin açıklamalar yer almaktadır. Kılavuz ağırlıklı olarak raportörler için hükümler içerse de, teşebbüslere de birtakım yükümlülükler yüklemektedir (prg.5), örneğin inceleme yapabilmek için raportörlere sistem yöneticisi yetkilerini sağlamak, çalışanların e-maillerine uzaktan erişim hakkı tanımak, bilgisayar ve sunucuları ağ ortamından izole etmek vs. Kılavuzda belirtilmemişse de yükümlülüklerin ihlali durumunda, yerinde incelemenin engellenmesi nedeniyle teşebbüse cirosunun binde beşi oranında idari para cezası; yerinde incelemenin engellendiği her gün için de nispi (süreli) idari para cezası verilebilecektir. Kılavuzda yerinde incelemelerde adli bilişim araçlarından (forensic IT tools) yararlanılabileceği ortaya koyulmuştur. Buna ek olarak, elde edilen delillerin teşebbüsün ticari sırlarını içermesi halinde 2010/3 sayılı Tebliğ kapsamında işlem yapılacağı (prg.11), avukat-müvekkil yazışmalarının gizliliğine de saygı duyulacağı (prg.12) belirtilmiştir.

Kılavuz uyarınca raportörler, sadece teşebbüse ait bilgisayarları veya diğer cihazları değil, aynı zamanda teşebbüs yönetici ve çalışanlarının akıllı telefon, tablet gibi cihazlarını da inceleyebilecektir. Bu bağlamda bu cihazlarda yer alan WhatsApp gibi mesajlaşma uygulamalarındaki sohbetler incelenebilecektir. Aslında Kılavuz öncesi Kurul kararlarında da WhatsApp yazışmalarının delil olarak değerlendirildiğine rastlanmaktaydı. Genellikle WhatsApp yazışmaları, şirket hatlarını (SIM kartlarını) kullanan telefonlardan veya çalışanların bilgisayarlarından WhatsApp Web üzerinden elde edilmişti. Ancak Kurul bir kararında, mehaz AB rekabet hukuku uygulamasına atıfta bulunarak teşebbüsün faaliyetlerini yürütmek amacıyla kullanılması koşuluyla, teşebbüs yönetici ve çalışanlarının telefonlarının da incelenebileceğini belirtmekten de geri durmamıştı. Kılavuz ile birlikte şahsi hatları kullanan telefonlardan elde edilen teşebbüse ait bilgilerin de açıkça delil olarak kabul edilmesinin önü açılmıştır. Zaten Kılavuzun en çok tartışılan düzenlemesi de “taşınabilir iletişim araçları”nın incelenmesidir (prg.4).

Taşınabilir iletişim araçlarının incelenmesi kapsamında Kılavuz, “teşebbüse ait dijital veri içerdiği tespit edilen cihazlar” ile “tümüyle şahsi kullanıma özgü olduğu tespit edilen cihazlar” şeklinde bir ayrım yapmaktadır. Buna göre teşebbüse ait dijital veri içerdiği tespit edilen cihazlar incelenebilecekken, tümüyle şahsi kullanıma özgü olduğu tespit edilen cihazlar inceleme konusu yapılmayacaktır. Bu incelemenin nasıl hayata geçirileceği noktasında ise Kılavuz, “hızlı gözden geçirme” şeklinde bir kritere gönderme yapmaktadır. Bu kriter, ABD rekabet hukukunda bir anlaşmanın makul olmayan sınırlamalar içerip içermediğini tespit etmek amacıyla başvurulan “quick look” analiziyle ismen benzerlik taşısa da, ondan çok farklı bir işlev görmektedir. Kılavuzdaki düzenleme sonucu raportörler, telefonların ya da hatların mülkiyetinin kime ait olduğuna dair itirazlarla bağlı olmaksızın, doğrudan içeriğin şahsi olup olmadığına bakacaktır. Kılavuzdan anlaşıldığı kadarıyla bu saptama raportörlerin takdirine bırakılmıştır. Yani hangi verinin şahsi olup olmadığına bizzat raportörler karar verecektir.

Aslında “hızlı gözden geçirme”, ilk bakışta kendi içerisinde belli bir mantığa dayanan makul bir kritere benzemektedir. Raportörler telefondaki bilgilere “hızlıca”, yani detaylı ve uzun süreli olmayacak şekilde göz atacak, bunun sonucunda şahsi bilgileri bir kenara bırakarak bir daha onlara geri dönmeyecektir. Örneğin yöneticilerin aile üyeleri veya arkadaşları ile yazışmaları veya sosyal medya hesaplarından paylaştıkları, muhtemelen şahsi nitelik taşıyacağından yerinde incelemenin konusunu oluşturmayacaktır. Buna karşın yöneticilerin, diğer yöneticiler veya çalışanlarla olan yazışmaları veya oluşturdukları sohbet grupları ise muhtemelen şahsi olmaktan ziyade teşebbüse ait veriler içerecektir. Burada “hızlıca gözden geçirilen” bilgilerin yukarıdaki tasnife tabi tutulması çok da zor olmayacaktır. Yöneticilerin aile üyeleri veya arkadaşları ile olan yazışmalarında şirketi ilgilendiren bilgilere yer verilmesi (yani “business” konuşulması) düşük bir ihtimaldir. Bu nedenle esas incelenecek olanın, şahsi bir telefonda bulunan ancak şahsi olmayan, yani teşebbüse ait olma ihtimali yüksek, kurum içi yazışmalar olacağı ortadadır –ki Kurul da yaptığı bir basın açıklamasında bunun altını çizmiştir.

Burada esas sorun, bu tasnifin yapılmaya çalışılması sırasında kişisel verilerin raportörlerin erişimine açılmak durumunda kalmasıdır. En nihayetinde bir verinin şahsi olup olmadığını tespit edebilmek için raportörlerin o veriye, “hızlıca” da olsa, bakması gerekmektedir. Bu da bu kriterin en zayıf tarafını oluşturmaktadır. Bir kez bakıldıktan sonra, verinin şahsi olup olmaması yöneticiler veya çalışanlar açısından önem taşımamaktadır. Bu nedenle kişisel verilerin korunması bağlamında “hızlı gözden geçirme” hususunun sorun oluşturabileceğini söylemek mümkündür. Kişisel veri içerebileceği gerekçesiyle şahsi telefonların hiçbir suretle rekabet soruşturmalarında incelenemeye-ceğini savunmak şahsi telefonlara bağışıklık tanımak anlamına geleceğinden, rekabet ihlallerinin bu telefonlar üzerinde koordine edilmesine zemin hazırlayacaktır. Öte yandan, rekabet ihlaline dair delil bulmak adına raportörlerin, günümüzde belki de en mahrem bilgilerimizi sakladığımız akıllı telefonlarımızın altından girip üstünden çıkması da raportörlere sınırsız (ve gereksiz) bir hareket alanı verecektir. Burada bir dengenin sağlanması gerektiği açıktır. Kılavuzun bunu başarıp başarmadığı ise tartışmalıdır.

Kurul adına yerinde inceleme yapan raportörlere tanınan “hızlı gözden geçirme” yetkisine ilişkin Kılavuzda herhangi bir sınırlamaya yer verilmemiştir. Örneğin raportörler acaba telefonlardaki sosyal ağları ve bu ağlar üzerinden yapılan paylaşımları veya mesajlaşmaları hızlıca gözden geçirebilecek midir? Notlara ya da takvime de erişebilecek midir? Mesela 2004 sayılı İcra ve İflas Kanunu uyarınca borçluya ait tüm mallar takip konusu yapılamamakta olup, borçlunun hangi mallarının haczedilemeyeceğine dair kurallar bulunmaktadır (m.82-83). Benzer bir sınırlamanın, telefonlardaki hangi içeriğin yerinde inceleme kapsamında incelenemeyeceğine dair de öngörülmesi faydalı olacaktır. Teşebbüslere hukuki belirlilik sağlamak amacıyla hazırlanması gereken bir kılavuzda, tam tersine belirsizliğe yol açabilecek bir düzenlemeye yer verilmesi isabetli değildir. Özel bir sınırlama öngörülmediği için buradaki sınırlama ceza hukukunun genel hükümlerine tabi olacaktır. Örneğin yöneticinin, eşinden boşanmakta olduğuna dair bir yazışmayla karşılaşan bir raportörün bu haberi tweet atması halinde, söz konusu yönetici 5237 sayılı Türk Ceza Kanunu’ndaki kişisel verilerin hukuka aykırı olarak ele geçirilmesi suçu uyarınca failler hakkında suç duyurusunda bulunabilecektir (m.136-137).

Peki, ne yapılabilir? Öncelikle konu, hazır 7246 sayılı Kanun yasalaşırken düzenlenebilirdi. Ancak adı geçen kanunda yer verilmemiş olması sonucu, Kurul’un ikincil mevzuatta meseleyi ele almaya çalışması anlaşılabilir olsa da, hukuk tekniği açısından sorunludur. 4054 sayılı Rekabetin Korunması Hakkında Kanun nasıl rekabeti koruyorsa, 6698 sayılı Kişisel Verilerin Korunması Kanunu da adı üzerinde kişisel verileri korumaktadır. Kılavuzla birlikte, hukuken kanun düzeyinde korunan bu iki değerin birbirleriyle çatışma riski doğmuştur. Konunun Rekabetin Korunması Hakkında Kanun ile Kişisel Verilerin Korunması Kanunu arasındaki genel-özel kanun ilişkisine göre çözülmesi gerekirken, kişisel veriler açısından sorunlu bir kritere bir kılavuzda yer verilmesi normlar hiyerarşisine de aykırılık oluşturmaktadır. Bu kritere dayanılarak şahsi kullanıma özgü telefonlardan toplanan teşebbüse ait verilerin hükme dayanak oluşturduğu Kurul kararlarının, idari yargıda iptal edilme riski olduğu söylenebilir. Meseleyi çözüme kavuşturabilecek bir yasa değişikliğinin olmaması halinde, son tahlilde Danıştay içtihadının nasıl şekilleneceğini beklemek gerekecektir.

Bir Bu Eksikti!

Kişisel Verilerin Korunması Kanunu Tasarısı’nın Getirdikleri – 1

Dürüst olalım. Yeni bir hukuki düzenlemeyi danışmanlık verdiğiniz şirkete anlatırken, pazarlama, satış, IT gibi, esas işi hukuk olmayan iş birimlerinin çalışanlarının gözünde ne kadar saklamaya çalışsalar da, “Nerden çıktı bu şimdi? Bir bu eksikti!” bakışını görürsünüz. Hatta bazı durumlarda, sanki düzenlemeyi avukatın babası yapmış gibi avukata kızıldığı dahi olur. İşte Kişisel Verilerin Korunması Kanunu Tasarısı (Tasarı) da tam bu türden bir düzenleme. Tasarı’nın yasalaşması durumunda; ki çok yakın bir gelecekte yasalaşması bekleniyor, birçok şirketin iş yapış biçimlerinde son derece büyük bir etkisi olacağı kesin. Bu sebeple de bir yazı dizisi şeklinde, konuya ilişkin maruzatımı, siz değerli PH okurları ile paylaşmayı planlıyorum.

200SeptToon12
“İsmimi tahtaya yazmadan önce, bu veriyi ne şekilde kullanmayı planladığınızı bilmeliyim.”

Kişisel verilerin korunması, şirketlerin işlerini zorlaştırmak için getirilen bir düzenleme değil, aksine Anayasa ile korunan temel bir insan hakkı. Yani, devletin herkesin kişisel verilerini koruma yükümlülüğü var. Ülkemizde kişisel verilerin korunmasına ilişkin henüz özel bir düzenleme olmamakla birlikte, Anayasa, Türk Ceza Kanunu, İş Kanunu, Borçlar Kanunu gibi düzenlemelerde genel hükümler bulunuyor. Bunun yanında, elektronik haberleşme ve sağlık gibi alanlarda yönetmeliklerle, bu sektörlerde faaliyet gösteren şirketlere getirilmiş daha detaylı yükümlülükler var. Bunun yanında, geçtiğimiz Mayıs ayında yürürlüğe giren ve firmaların bizi taciz edercesine attığı SMS’lere bir de garip garip harfler, sayılar eklenmesi dışında bir faydası olup olmadığı tartışmalı, 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun var. Bu kanunun da şirketlerin ticari amaçlı iletişimini ve bu konu özelinde kişisel verilerin korunmasını düzenlediği söylenebilir.

Kişisel Verilerin Korunması Kanunu Tasarısı çok uzun süredir kanunlaşmayı bekleyen bir düzenleme. Bunun yanında Tasarı, AB katılım süreci kapsamında, AB’nin 95/46/EC sayılı Veri Koruması Direktifini temel almakta. Hatta temel hükümleri bu Direktifin çevirisi bile diyebiliriz. Bu bizim için bir avantaj, zira nasıl rekabet hukuku uygulamasında AB’de olan biten bize yol gösteriyorsa, kişisel verilerin korunması konusunda da AB uygulamasını kerteriz alma imkanı verecek. Paylaştığım Direktifin sayısında yer alan “95” rakamı, bunun 1995 yılına ait olduğunu gösteriyor ve son 20 yılda AB uygulamasının son derece pekiştiği söylenebilir. Hatta AB mevcut düzenlemesini yakın zamanda değiştirecek. Biz şimdi bir nevi AB’nin yıllardır pişirdiği yemeğin sonuna yetiştik. Bu durum biz uygulamanın öngörülebilirliği açısından büyük bir avantaj sağlıyor; tabi Evrensel Hizmet Kanunu’na feribot seferlerini de dahil edebilen özgün bir hukuk sistemimiz olduğu için çeşitli sürprizlerle de karşılaşabileceğimizi unutmamak lazım.

Kişisel Verilerin Korunması Kanunu Tasarısı neleri değiştirecek?

Tasarının temel muhatapları gerçek kişiler (bildiğin insan) ve Veri Sorumluları. Tasarı ile kişilere bazı haklar tanınıyor ve bunun akabinde Veri Sorumlularına da çeşitli yükümlülükler veriliyor. Kim bu Veri Sorumluları diye soracak olursanız? Kişisel Veriyi işleyen herkes bu kategoriye giriyor. Bunun illa ki bilgisayar ortamında olmasına da gerek yok… İK departmanlarında içinde bordro olan klasörler var ya? İşte onlar da kişisel veri içeriyor (isim, adres, finansal bilgi vb) ve bunların öyle klasörlerin içinde güzel güzel düzenlenmiş olması, ilgili şirketi Veri Sorumlusu yapmaya yetebiliyor.

Aynı şekilde kişisel veri ile yapılan hemen hemen her şey işleme kapsamına giriyor. Sadece elde tutmak bile… Tasarı kişisel verilerin hangi durumlarda hukuka uygun olarak işlenebileceğini de belirtiyor. Doğal olarak, temel kural verisi işlenecek kişinin açık rızasını almak. Ancak açık rıza dışında da, Tasarıda sayılan toplam 7 adet koşuldan  birinin olması durumunda kişisel veriler hukuka uygun bir şekilde işlenebiliyor. Kişilerin ırk, etnik köken, inanç, dil, sağlık, kılık kıyafet, gibi bilgileri özel nitelikli kişisel veri olarak değerlendirildiğinden bunların işlenmesi daha sıkı kurallara bağlanmış. Kısacası kişisel veri işlemekteyseniz, Tasarı’da yer alan kurallara uymanız gerekiyor.

Bu kurallara uyulduğunu her durumda garanti altına alacak basit bir uygulama, frenklerin deyimi ile, bir safe harbour bulunduğu da söylenemez. Konunun temel hak ver hürriyetlerin korunması olması, her bir olayın kendi özelinde değerlendirilmesini gerekli kılıyor. Yani ben tüm müşterilerimden hasbelkader genel bir izin aldım, bunları izinli veri tabanına attım, artık bunlarla her şeyi yaparım demek sizi kurtarmıyor. Alınan iznin kapsamı, verilerin saklanma süresi, bunların gerektiğinde güncelliği ve doğruluğu, ilgili kişinin bilgi edinme hakkı gibi çok sayıda hususa da uymak gerekiyor.

Bu durum, Ali Ilıcak’ın yazısında da belirttiği gibi şirketlerin Tasarı’ya uyum amacıyla yürüttüğü programların da kapsamının son derece geniş olması sonucunu doğuracak. Eğer hukuka tam uyum amaçlanıyorsa, kişisel verilerin kullanıldığı her biOpt In And Out Keys Shows Decision To Subscriber kurgunun tek tek incelenip değerlendirilmesi gerekiyor. İş modellerinin evrimi ve teknolojinin gelişimi gibi faktörler de bu kuralların uygulama alanlarının sık sık değişmesine ve hukuki riskin bir nevi süreklilik arz etmesine yol açıyor.

Ne zaman kişisel verileri işlemiş oluyorum?

Burada Tasarı’nın maddeleri üzerinden teker teker geçip hukuki değerlendirme yapmak niyetinde değilim. Ancak kişisel verilerin işlenmesine ilişkin yurtdışından çeşitli yüksek mahkeme kararlarından bana ilginç gelenlerinin çok kısa hikayelerini yazmak istiyorum. Böylelikle veri işleme kavramının da kapsamının ne kadar geniş ve değişken olabileceğinin altını çizebilmeyi umuyorum.

AB Adalet Divanı (ABAD[1]) Lindqvist kararında, İsveç’te bir kilisede vaiz benzeri bir görevi olan Bayan Lindqvist, vaazını dinlemeye gelen müdavimlerinin (18 kişi) kısa biyografilerini, hobilerini, bazılarının iletişim bilgilerini, internet sitesinde hoşluk, komiklik olsun diye yayınlamaya karar veriyor. Herhalde birisiyle arası bozuk ki, iş AB’nin en yüksek mahkemesine kadar gidiyor. ABAD da, Bayan Lindqvist’in yaptığının kişisel verilerin işlenmesi kapsamına girdiğine hükmediyor. Kıssadan hisse, arkadaşınız dahi olsa kişisel verilerin işlenmesine ilişkin kurallara riayet etmek gerek.

AİHM önündeki Satamedia davasında ise konu zaten yayınlanmış olan kişisel bilgilerin işlenmesinin ve yayınlanmasının kişisel verilerin işlenmesi kapsamına girip girmediği. Finlandiya’da herkesi ödediği vergiler düzenli olarak yayınlamaktaymış. Bunu fırsat bilen Satamedia da, bu bilgileri derleyip toplayıp bir SMS servisi haline getirmiş. Yani istediğiniz kişinin adını soyadını yazıp SMS ile ödediği vergi bilgisini alabileceğiniz bir sistem kurmuş. Finlandiya mahkemeleri, bu veriler her ne kadar kamuya açık olsa da, verilerin sahiplerinin onayı olmadan bu şekilde işlenmesi hukuka aykırı olacağına hükmetmiş. AİHM de Finlandiye mahkemelerini bu hususa ilişkin haklı bulmuş. Yani çeşitli kişisel bilgilerin kamuya açık olması da tek başına bu bilgilerle istediğiniz her şeyi yapabileceğiniz anlamına gelmiyor diyebiliriz.

Son olarak, ABAD’ın konuyla ilgilenen kişiler arasında “Patron Çıldırdı!” nidalarına sebebiyet veren, nereye çeksen oraya gelen Google Spain kararı var. Bu kararın temel özelliği, kişilere, bir nevi “unutulma hakkı” tanınmış olması tabi ki… Unutulma hakkı, söz konusu karar kapsamında arama sonuçlarından kendini sildirme olarak özetleyebiliriz. Ancak Google’a Direktif kapsamına bir yükümlülük yükleyebilmek için Google’ın sunduğu arama hizmetinin kişisel verilerin işlenmesi kapsamında değerlendirilmesi ve dolayısıyla, Google’ın Veri Sorumlusu olarak tanımlanması gerekmekteydi. Kararda, Mahkeme Google’ın yapmış olduğu internet arama işlemi ile kişisel veri işlediğini belirtti. Yani ABAD’a göre;  Google’da “Bulut Girgin” diye aratınca, Google benim kişisel verilerimi işliyor ve dolayısıyla Veri Sorumlulularına getirilen tüm yükümlülüklere uymakla yükümlü. Bu karar ile işleme kavramının tanımı son derece genişletildiği görülebilir. Zira Google araması sonucunda çıkan sonuçların neredeyse hiç biri Google’a ait içerikler değil. Yani bu kararla ABAD, başkasına ait içeriği internette derleyip bir araya getirmek dahi, eğer o içeriklerde kişisel veri bulunuyorsa, veri işleme kapsamına girer diyor. ABAD’ın, AB’nin en yüksek mahkemesi olduğunu ve kararlarına karşı AİHM’e dahi gidilemediğini de hatırlatalım. (Google Spain kararına ilişkin üç, beş kelamımı daha detaylı olarak ilerleyen zamanlarda yazmak üzere bir kenara not ediyorum.)

Sonuç olarak Tasarı, günlük hayatımızda bir çok şeyi değiştirecek, Tasarı’ya ilişkin söylenecek daha birçok şey var. Bunlara da ilerleyen yazılarda değinmeyi planlıyorum.

[1] Evet ben de Dünya’nın en çirkin kısaltması olduğunu düşünüyorum.

 

Kişisel verilerin korunmasına dair tasarıdan yeni haber

Kişisel verilerin korunmasına dair kanun tasarısı hakkındaki haberleri Belit Polat aktarıyor.

Daha önceki bir yazımızda kaleme aldığımız üzere, kişisel verilerin Korunmasına dair düzenlemeler AB bünyesinde sıkılaştırılırken, Türkiye’de ise ilk tasarı 22 Nisan 2008 tarihinde sunulmuş ve sonrasında kadük olmuştu.

Ancak geçtiğimiz günlerde tasarıdan yeni bir haber geldi. Buna göre 4 Ocak 2016 tarihli son Kişisel Verilerin Korunması Kanun Tasarısı 18 Ocak 2016 tarihinde TBMM Başkanlığı’na sunuldu.

Tasarı metnine buradan ulaşabilirsiniz.

Kurul kararlarının yayımlanması hakkında görüş

Düzenleyici ve denetleyici kurul kararlarının yayımlanması hakkında Rekabet Kurumu’nun görüşlerini Belit Polat anlatıyor.

Başbakanlık İdareyi Geliştirme Başkanlığının Rekabet Kurumu’na tebliğ etmiş olduğu ve düzenleyici ve denetleyici kurul kararlarının tamamının gerekçeli ve kişisel verilerin korunması suretiyle yayımlanmasına ilişkin yazıya binaen Kurum’un görüş ve değerlendirmelerini içeren yazı Başkanlığa sunulmuş ve Kurum’un internet sitesinde yayımlanmıştı. Kısaca değinelim.

101299251-75780546r.530x298Kurum’un cevabında öncelikle, Rekabet Kanunu hükümleri ele alınıyor ve ilgili maddeler doğrultusunda tarafların iddialarının, tartışılan olayların ve hukuki konuların, ileri sürülmüş olan delillerin ve savunmaların ve bunun yanında gerekçenin ve hukuki dayanağın kararda yer aldığı belirtiliyor. Ayrıca Kanun’da mevcut hükümlerde ticari sır hakkında koruma sağlandığı da ele alınıyor. Zira 2010/3 sayılı Dosyaya Giriş Hakkının Düzenlenmesine ve Ticari Sırların Korunmasına İlişkin Tebliğ ticari sırların belirlenmesi ve buna ilişkin bilgi ve belgelerin korunması hakkında ikincil bir düzenleme olarak karşımıza çıkmakta.

Kurum’un ilgili yazısında Kurul kararları konusunda bir ayrıma gidiliyor. Kurul’un, Kanun’u ihlal eden teşebbüslere idari ceza verilmesine, teşebbüsler arasındaki anlaşmalara menfi tespit veya bireysel muafiyet verilmesine ve ilgili düzenlemelerde belirtilmiş olan birleşme ve devralmalara izin verilmesine veya bunların reddedilmesine dair verdiği nihai kararları ve bu kararlara ilişkin verilen geçici tedbir nitelikli ara kararları, ilk grup kararlar olarak ele alınıyor. Kurul’un ara kararları ve idari nitelikli kararları ise bunlardan ayrılıp ikinci bir grup olarak değerlendiriliyor. Kurum, bahsi geçen görüşünde bunlardan ilki kapsamındaki kararların Başkanlık tarafından Kurum’a gönderilmiş olan yazıda talep edilen gerekçe ve kişisel verilerin korunması gibi unsurları kapsadığını belirtirken, ikinci grupta bulunan kararların ise bu unsurlara sahip olmasının yerinde olmadığını belirtiyor.

Rekabet Kurulu kararlarının ve internet sitesinde yer alan bilgilerin akademik açıdan doyurucu olduğu inkar edilemez. Ancak kararların taraf iddia ve savunmalarına ne derece derinlikte yer verdiği ve Kurul kararlarının giderek daha da kısaldığına dair tartışmalar hala gündemde.

Kişisel verilerin korunmasına dair düzenleme

Belit Polat, kişisel verilerin korunmasına dair düzenlemeleri anlatıyor.

Sanal dünya ile gerçekliğin birbirine girdiği değişen dünyada, nerede olursanız olun, artık mevcut hukuk kuralları tarafından çerçevesi çizilen ve sınırları belirlenen bir dünyada yaşamıyoruz. Yani o kurallar artık bizim gerçekliğimizi kapsamadığı gibi, muhtemel yeni düzenlemelerin bu dünyaya ne süre yetebileceği de tartışmalı.

stanford-program-in-law-science-technology-3-e1438393251909-1200x630Dedemin “bizim zamanımızda fabrikada teklif getirip götüren murahhaslar vardı, şimdi sen ne iş yapıyorsan aynısını bilgisayar da yapacak” sözlerini hatırlayıp bu yaşımda daha fazla duygusallığa bağlamadan, esas meseleye geleyim.

AB Komisyonu, 2012 yılındaki reformu biraz daha ileri götürerek kişisel verilerin korunmasına ilişkin düzenlemeleri yeniden masaya yatırdı ve genişletti. AB’de üç temel kurumun ortak çalışması sonucunda güncellenen kurallar üzerinde uzlaşıldı ve söz konusu düzenlemelerin iki yıl içinde uygulanabilir hale gelmesine karar verildi. Kuralların bir kısmı şöyle:

  • Kişinin rıza olmaksızın bilgi kullanımının yasaklanması,
  • Herhangi bir kişisel verinin hukuka aykırı yol ile elde edilmesi halinde, kullanıcının gerekli zamanda önlem alabilmesini sağlamak amacıyla bilgilendirme yapma yükümlülüğü,
  • 16 yaşından küçük kişilerin Facebook, Instagram, Snapchat gibi uygulamaları kullanması için ebeveyn rızasının  alınması,
  • Bu kuralların, AB dışında bulunsa dahi AB içerisinde kullanıcıya sahip olan tüm şirketlere uygulanması.
  • İhlal sonucunda şirketlere dünya cirosunun %4’üne varan para cezaları verilebilmesi.

Türkiye’deki duruma gelirsek… “Kişisel Verilerin Otomatik İşleme Tâbi Tutulması Karşısında Bireylerin Korunmasına İlişkin Sözleşme” 1981 yılında imzalanmış, Sözleşme gereği taraf devletlerin temel ilkelerle aynı doğrultuda iç hukuk düzenlemesi yapması gerekliliğine yer verilmişti. Yakın dönemde ise Anayasa’ya hüküm getirilmiş ve 2014’te “Kişisel Verilerin Korunması Kanunu Tasarısı” TBMM’ye sunulmuştu. Tasarı’ya göre, kişisel verilerin ancak kişinin rızası alınarak kullanılabilmesine yönelik düzenlemeler yer almakta. Ancak keyfiyete neden olabilecek muğlak ifadelerle bu kurala bazı istisnalar tanınmasına ve Kişisel Veriler Kurulu’nun da bağımsız olup olmayacağına dair eleştiriler halen mevcut.hdbggqlpmcedjyyue53mxrffwco4pi9bfhw9u4kf65dnpl9yuk8fuarn4rbkcbg5

Teknoloji ve yenilik benim için öyle merak uyandıran bir hal aldı ki, bizler acaba hukuk, ve adalet, yavaş mı işliyor noktasındayken, kuralları ve uygulamayı başa baş götürmeye/uygulatmaya uğraşırken, artık geleceği yakalamaya çalışır duruma geldik. Çünkü artık, yaratıcı iş modelleri, ucu bucağı olmayan gerçek/sanal dünya paylaşımları, tek tuşla hayatını kolaylaştıran ve bu sayede belki de hukukla sınırı çizilen farklı adımları da es geçmeni sağlayan servisler, anılarını-işlerini depoladığın bulut teknolojileri hayatımıza girdi. Öyle “ben anlamıyorum o işlerden mişlerden” demekle de olmuyor.

Bulut Bilişim konusunda neler oluyor?

Komisyon, dilimize biraz da IT şirketi ismi gibi duran “bulut bilişim” hakkındaki çalışmalarını hızlandırıyor.

Komisyon, dilimize biraz da IT şirketi ismi gibi duran “bulut bilişim” olarak çevrilen Cloud Computing’in yasal zemine oturtulması hakkındaki çalışmalarını hızlandırıyor.

Gelecekte bilgisayarlarımızdaki hard disklerin yerini almaya aday olan ve çevrimiçi bilgi paylaşımı yoluyla bilgisayarlar, cep telefonları ve tabletler arasında bilgi paylaşımı imkanı sunan cloud computing, ABD’ye kıyasla özellikle AB’ye üye ülkelerde gizlilik kaygısı sebebiyle çekinceyle yaklaşılan bir teknoloji. Özellikle şirketleri yüksek yazılım ve donanım maliyetlerinden kurtaran ve basit tanımıyla ilgili buluta önceden yüklenen bilgi, doküman ya da programa, internet bağlantısı olan herhangi bir cihaz üzerinden ulaşılmasını sağlayan bu teknoloji, en büyük riski de bu unsurların gizliliği ve erişim güvenliğinin sağlanması konusunda barındırıyor.

Komisyon’un Dijital Ajanda’sının önemli başlıklarından biri olan cloud computing, bilişim teknolojilerine ilişkin masrafların azaltılması, yeni iş alanlarının yaratılması ve şirketlerin, kamu kurumlarının ve AB vatandaşlarının daha yenilikçi hizmetler üretmesinin önünü açması sebebiyle, her geçen gün daha çok sayıda firma ve hükümet tarafından tercih ediliyor. Buna karşılık AB’nin bulut bilişim konusunda en büyük endişesi, başta kişisel verilerin gizliliği ve işlenmesi olmak üzere, bulut hizmetlerinin AB düzenlemeleri ile uyumlu olması. Bu amaçlardan yola çıkan Komisyon, 2011 yılı başında Avrupa Bulut Bilişim Strateji’sini açıklamış ve bu kapsamdaki çalışmaları başlatmıştı.

AB’yi sadece “bulut dostu” değil, “bulut aktif” bir topluluk haline getirmek iddiasıyla yola çıkan Komisyon, bulut teknolojisinin etkin bir şekilde çalışmasının ön şartı olarak gördüğü güçlü bir telekomünikasyon ağı ve bu kapsamda data roaming konusundaki çalışmalarını da Bulut Bilişim Stratejisi’nin içine dahil ediyor. Komisyon’un bu çalışmaları devam ederken, bulut hizmeti sunan şirketler, konunun bir an önce yasal zemine oturtulması yönündeki taleplerini gündeme getiriyor. Diğer taraftan bankalar gibi son derece hassas verileri veri tabanlarında bulunduran kuruluşlar da, çok ciddi maliyet avantajları sağlasa da, tüm bu verilerinin yurt dışında bir yerlerde tutulması fikrine mesafeyle yaklaşıyor ve veri güvenliği konusunda somut adımların atılmasını bekliyor. Ancak tüm bu tartışmalar, bulut kullanımının her yıl %24 oranında artarak devam etmesinin önüne geçemiyor.

Kişisel verilerimizin güvenliği Bakanlar Kurulu’nda!

Kişisel Verilerin Korunması Kanunu Tasarısı, uzunca bir bekleyişin ardından Bakanlar Kurulu’na gönderildi.

Kişisel Verilerin Korunması Kanunu Tasarısı, uzunca bir bekleyişin ardından Bakanlar Kurulu’na gönderildi.

Kişisel verilerimizin “korunmasızlığı”, AB Komisyonu tarafından da eleştirilen önemli bir konu. Son olarak 2011 tarihli İlerleme Raporu’nda, 2010 yılında konuyla ilgili olarak gerçekleştirilen Anayasa değişikliğine vurgu yapılmakla birlikte, Türkiye’nin ulusal mevzuatının ilgili AB düzenlemeleri ile uyumlu hale getirmesi gerektiğinin altı çizilmişti. Türkiye’nin ev ödevi bununla bitmiyor, zira Rapor’da, kişisel verilerin işlenmesine ilişkin 108 numaralı AB Konseyi Konvansiyonu ve sınırötesi veri akışına ilişkin olarak bu Konvansiyona ekli 181 numaralı Konvansiyonun da iç hukuka adapte edilmesi gerektiği ifade ediliyor.

Peki Kanun Tasarısı kişisel verilerimizi AB’nin aradığı ölçülerde koruyabilecek mi?

Tasarının Genel Gerekçe bölümünde, 95/46/EC sayılı AB Direktifi’ne sıklıkla atıf yapılıyor. Direktif, bir yandan kişisel verilerin korunmasının, kişilerin temel haklarının bir unsuru olduğuna vurgu yaparken, bir yandan da kişisel verilerin korunmasına ilişkin ulusal düzenlemelerin, üye ülkeler arasındaki tek pazar hedefini sekteye uğratacak nitelikte olmaması gerektiğini belirtiyor. Dolayısıyla kişisel verilerin AB içerisinde serbest dolaşımı da önemli bir öncelik teşkil ediyor.

Tasarıyı incelediğimizde, kişilerin kendileri hakkındaki verilere erişim hakkı, bu verilerin işlenmesi, aktarılması ve bu faaliyetlere ilişkin meslek kuralları, veri kütüğü sicili, veri denetim kuruluşları, yaptırımlar ve Kişisel Verileri Koruma Kurulu’na ilişkin hükümler göze çarpıyor. Dolayısıyla Kanun Tasarısı bu haliyle AB Direktifi’nin belirlediği hedefleri gerçekleştirmeye aday görünüyor.

Bununla birlikte Tasarının kanunlaşması kişisel verilerimizin kaydedilmesi, işlenmesi ve korunmasına ilişkin uygulamaların AB standartlarına uygun hale gelmesi için elbette yeterli değil. Bunun için Tasarı’da öngörülen idari yapıların kurulması ve yaptırım mekanizmalarının da bir an önce hayata geçirilmesi gerekiyor.

Brüksel Etkisi

“Brüksel Etkisi” adı verilen bir teoriye göre aslında AB’nin dünya ekonomisi üzerindeki etkisi her geçen gün biraz daha artıyor.

AB, üye ülkelerinin birçoğunun yaşadığı maddi sıkıntılar, politik olarak geçirdiği zor dönemler ve askeri anlamda bir birlik sağlayamamış olması gibi sebepler dolayısıyla ABD ve Çin gibi süper güçler karşısında oldukça zayıf bir görüntü sergiliyor. Ancak “Brüksel Etkisi” adı verilen bir teoriye göre aslında AB’nin dünya ekonomisi üzerindeki etkisi her geçen gün biraz daha artıyor. Bu etkinin kolayca fark edilememesinin sebebi ise AB’nin gücünün geçmişte görmeye çok da alışılmamış bir araç yoluyla kendini göstermesi.

“The Brussels Effect” başlıklı makalenin yazarı Anu Bradford’a göre, artık dünya ekonomisini şekillendirmenin en önemli araçlarından bir tanesi regülasyonlar haline gelmiş durumda. Bradford’a göre yiyecekler, kimyasallar, rekabet hukuku kuralları ve özel hayatın gizliliğine dair uygulamalar gibi birçok konuda küresel standartlar AB’nin tek taraflı düzenlemeleri yoluyla belirleniyor. Global standartların tek taraflı düzenlemelerle belirlenmesi olgusu, tek bir ülke (veya birlik) tarafından çıkarılan düzenlemeler yoluyla belirlenen standartların, bir zorlama veya diretme olmaksızın, kendiliğinden dünyanın genelinde kabul görmesini ifade ediliyor.

Bradford tarafından ortaya atılan bu teori, küreselleşme sürecini genel olarak eleştiren kesimlerce ortaya atılan, küreselleşme sonucunda tüm ülkelerin en düşük standartları benimsediği ve “en kötüye doğru bir yarışın başladığı” argümanıyla da çok kesin bir biçimde çelişiyor. Çünkü Brüksel Etkisi sonucunda tüm dünya, belirli bazı alanlarda, son derece katı ve detaylı olan AB düzenlemelerini benimsemeye başlıyor. Yani bu teoriye göre küreselleşmenin sonucunda ortaya çıkan yarış asıl olarak “en iyiye doğru” yaşanıyor. Aslında bu çelişkinin dünya literatürü için yabancı olduğu da söylenemez. Zira benzer bir durumla ABD’nin en katı kurallara sahip eyaleti olan California’nın ve en rahat kurallara sahip eyaleti olan Delaware’in ekonomi üzerinde yarattıkları etkileri incelenirken de karşılaşılmış ve ABD’deki kuralların bazı alanlarda Delaware’dekilere yakınsayarak rahatladığı, bazı alanlarda ise California’dakilere yaklaşarak sertleştiği görülmüştü. Brüksel Etkisi esas olarak California etkisinin küresel bazdaki bir yansıması olarak ortaya çıkıyor.

Ancak tabi ki, herhangi bir ülkenin tek taraflı düzenlemelerini tüm dünyaya kabul ettirebilmesi çok da kolay değil. Bradford’a göre bu etkinin doğabilmesi, düzenlemeleri yapan ülkenin ekonomik gücü, düzenleme yapma kapasitesi ve düzenlediği alanların kendine özgü koşulları ile son derece yakından ilişkili. Brüksel Etkisi’nin küresel ölçekte hissedilebilmesi için; öncelikle düzenlemeleri yapan ülkenin son derece büyük bir iç pazara sahip olması gerekiyor. Bunun ötesinde ülke iç pazarına yönelik geniş bir düzenleme yetkisine sahip olmalı. Son olarak, tek taraflı düzenlemelerinin tüm dünyada kabul görmesini amaçlayan bir ülkenin, son derece sıkı kuralları bu kurallardan kaçınmanın çok maliyetli ve zor olacağı alanlarda uygulaması gerekiyor.

AB’nin ilk iki koşulu rahatlıkla sağladığı şüphesiz. Ancak AB’nin ABD ve Çin’den farklı olmasının ve kendi kurallarını tüm dünyaya kabul ettirebilmesinin esas sebebi katı kurallar koyma konusundaki hevesi. Nitekim AB’nin özellikle de AB pazarına girmenin üreticiler için olmazsa olmaz olduğu ve dünyanın geri kalanı ve AB pazarı için farklı standartlarda ürün üretmenin çok zor (hatta bazı durumlarda imkansız) olduğu alanlarda yaptığı düzenlemeler kendiliğinden küresel standartlar haline geliyor. Farklı pazarlar için farklı standartlarda ürün üretmenin zor olması teknik sebeplerden kaynaklanabileceği gibi, hukuki sebeplerden de kaynaklanabiliyor.

Yazıyı bitirmeden önce AB’nin tek taraflı düzenlemelerinin kendiliğinden küresel standartlar haline geldiği pazarlara iki örnek verelim:

–          İnternette kişisel verilerin korunmasına ilişkin AB düzenlemelerine uyum sağlamak zorunda olan Google’ın veri saklama yöntemlerini bu doğrultuda geliştirdikten sonra dünyanın farklı yerlerinde hizmet sunarken farklı uygulamalar yapması teknik olarak mümkün değildir. Dolayısıyla internetteki kişisel verilerin korunmasına yönelik olarak en sıkı kurallar olan AB düzenlemeleri kendiliğinden küreselleşmiştir.

–          Hem AB, hem ABD hem de Asya pazarlarında önemli iş hacmine sahip olan iki teşebbüs birleşmek istemektedir ve bu işlem için tüm bu bölgelerdeki rekabet otoritelerinin izni gerekmektedir. Teşebbüsler görece daha rahat olan ABD ve Asya’daki kurallara aldırış etmezler ve sadece en sert kurallar olan AB kurallarına uyum sağlamaya çalışırlar. Böylece AB’nin birleşme ve devralmaya ilişkin rekabet hukuku kuralları diğerlerinden üstün bir hale gelmiş olur. Bunun sebebi ise işlemin AB, ABD ve Asya pazarları bakımından farklılaştırılmasının hukuken imkansız olmasıdır.

AB’nin tek taraflı düzenlemelerini tüm dünyada kabul ettirmesinin emperyalizmin bir türü olarak değerlendirilip değerlendirilemeyeceği ise tartışılmaya devam ediyor.