Kişisel Verilerin Korunması Kanunu Ve OHAL Kanun Hükmünde Kararnamesi İle Kurulan Coğrafi Veri Merkezine İlişkin Değerlendirme Faruk Çayır1, 1 Avukat, Alternatif Bilişim Derneği [email protected] Özet: Temel bir insan hakkı olan ifade özgürlüğü açısından kişisel verilerin korunması vazgeçilemeyecek bir haktır. Son yıllarda önemle bahsedilen ve AB ilerleme raporlarında her yıl bir eksiklik olarak belirtilen konulardan olan kişisel verilen korunması konusunda, Türkiye çeşitli aşamalar ve vesileler ile bu konuda düzenlemeler yapmış olsa da en son 24/03/2016 tarihinde TBMM de kabul edilen ve 7 Nisan 2016 da resmi gazetede yayınlanarak yürürlüğe 6698 Sayılı Kişisel Verilerin Korunması Kanunu ile koruma altına alınmaya çalışılmıştır. Bu çalışmada da kişisel verilerin korunması konusu bir insan hakkı olarak ele alınacak ve kişilerin kendileri hakkında toplanan verilerin işlenmesi, değiştirilmesi, yayınlanması ifade özgürlüğü kapsamında değerlendirilecektir. Bu kanunun tasarısı Avrupa Konseyi anlaşmasına uygun olarak yapılmaya çalışıldığı belirtilse de kanuna ilişkin eleştiriler tükenmemiş, resmi devlet kurumlarının kişisel veriler konusunda devlet tekelinin devam etmesi yönündeki görüşleri artarak devam etmiştir. Aynı şekilde kişisel verilerin korunmasına yönelik uluslararası çalışmalar halen güncellenmeye devam etmektedir. AB Kişisel Veri Regülasyonu da Kişisel Verilerin Korunması Kanunu TBMM’ de kabul edildiği günlerde yürürlüğe girmiştir. Bu aşamada Türkiye koşullarında kişisel verilerin nasıl korunabileceği, AİHM kararları ve AB deki yeni gelişmeler de dikkate alınarak Kişisel Verilerin Korunması Kanunundaki eksiklikler çalışmada irdelenecek ve öneriler getirilmeye çalışılacaktır. Anahtar Sözcükler: Kişisel Veriler, Özel Nitelikli Veri, Veri Sorumlusu, Özel Hayatın Gizliliği, Devlet Sırrı, Takma Adlı Veri, Veri Koruma Kurulu, 108 Sayılı Sözleşme, Coğrafi Veri Merkezi 1. Giriş Temel bir insan hakkı olan ifade özgürlüğü açısından kişisel verilerin korunması vazgeçilemeyecek bir haktır. Son yıllarda önemle bahsedilen ve AB ilerleme raporlarında her yıl bir eksiklik olarak belirtilen konulardan olan kişisel verilen korunması alanında en yeni düzenleme 12 Eylül 2010 referandumu ile yapılan Anayasa değişikliği ile Anayasa’nın 20. maddesine getirilen düzenlemedir. Ancak bu düzenleme tek başına yeterli olmayıp bu alana ilişkin özel bir kanun eksikliği dikkati çekmektedir. Belirtmek gerekir ki kişisel verilerin korunması konusunda 1981’ yılında imzalanan 108 nolu Kişisel Veriler Hakkında Avrupa Konseyi Andlaşması Türk Hukuk mevzuatı açısından önemli bir sorun teşkil etmektedir. 1981'de Avrupa Konseyi bağlamında kısaca “108 No’lu Sözleşme” olarak bilinen "Convention for the protection of individuals with regard to automatic processing of personal data" (Kişisel verilerin otomatik işlemden geçirilme sürecinde bireylerin korunması hakkında sözleşme)1 imzaya açılmış ve Türkiye tarafından da gecikmeksizin imzalanmıştır. Sözleşme daha sonra 1986’da yürürlüğe girmiştir. Ancak 108 Nolu Sözleşme kişisel verilerin korunması konusunda genel ilkeleri tespitle yetinmektedir. Sözleşme’nin uygulanabilmesi için ayrıntıların taraf devletler iç hukuklarında yapılacak düzenlemelerle mümkün olacaktır. Bu nedenle Türkiye henüz bir "Kişisel Verilerin Korunması Hakkında Kanun” yürürlüğe koymuş olmadığından bu sözleşme’ye taraf olamamıştır. 2010 yılında Anayasa değişikliği ile Anayasa’ nın Özel Hayatın Gizliliği başlıklı 20. maddesine getirilen “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, 1 (http://www.avrupakonseyi.org.tr/antlasma/aa s_108.htm) bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.” düzenlemesi ile konuya açıklık getirilmeye çalışılmıştır. Son dönemlerde gündemde olan Kişisel Verilerin Korunması konusu aslında görüldüğü üzere 1981 yılından bu yana hukuk dünyamızdadır. Ancak Türkiye çeşitli aşamalar ve vesileler ile bu konuda düzenlemeler yapmış olsa da en son 24/03/2016 tarihinde TBMM de kabul edilen ve 7 Nisan 2016 da resmi gazetede yayınlanarak yürürlüğe 6698 Sayılı Kişisel Verilerin Korunması Kanunu ile Kişisel Veriler Koruma altına alınmaya çalışılmıştır. Peki bu kanun ne gibi düzenlemeler içermekte ve eksikleri nelerdir? 1- Kişisel Veri Kavramı Kişisel veri kavramının tanımlanmasında uluslararası belgelerin hemen hemen tümünde mutabakata varılmış tanım; kişisel verinin doğrudan doğruya ya da dolaylı olarak bir gerçek kişi ile ilintili olabilecek ve onu belirlenebilir kılacak her türlü bilgi olduğudur. Kişisel Verilerin Korunması Kanunda kişisel veri kavramı en genel haliyle ele alınmakta olup “ kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” olarak tanımlanmıştır. Bu tanım 108 nolu Kişisel Veriler Hakkında Avrupa Konseyi Antlaşmasının Türkçe’ ye çevrilmiş halidir. Yapılan bu tanım AB ülkelerinde dahi genişletilerek ve daha anlaşılabilir hale getirilerek kullanılmaktadır. Alman veri koruma mevzuatında kişisel veri tanımlaması yapılırken “kişisel veya olgusal (factual) bilgi” ifadesi kullanılmaktadır. Bu ifade kişiyle ilgili fiili durumları; kanaatler, fotoğraflar, sesli ve görüntülü kayıtlar gibi verisi işlenen kişi ile bağlantılı tüm bilgileri açıkça kapsama almaktadır. 2 Fransız Bilişim, Dosyalama ve Özgürlükler Kanununda kişisel veri tanımı yapılırken “kişinin belirli kılınması değerlendirilirken veri kütüğü sahibinin elinde bulunan veya ulaşabilir durumda olduğu teşhis edici araçların tümü dikkate alınacaktır” ifadesi eklenmiştir. Bu durum Kanun’daki kişisel veri tanımını göreceli hale getirmektedir. Kişiyi belirli kılan araçlara sahip olan veri kütüğü sahibi için veri kişisel veri olurken, bu araçlara sahip olmayan veri kütüğü sahibi için kişisel veri olarak kabul edilmeyecektir.3 Bu durumda Kanundaki kimliği belirli veya belirlenebilir gerçek kişi tanımlamasına açıklık getirilmelidir. 2- Muhafaza Süresi Ve Şekli Kanunda kişisel verilerin “ilgili mevzuatta öngörülen ve işlendikleri amaç için ön görülen süre kadar muhafaza edilebileceği” öngörülmüştür. Tasarıdaki bu düzenleme süre olarak çok geniş ve yoruma açık bir süreyi kapsamaktadır. Hangi kurumun ne kadar süre ile kişisel verileri muhafaza edebileceğine bir sınırlama getirilmelidir. Aynı zamanda içerik, yani boyut ve miktar olarak da bir sınırlama getirilmelidir. Bu konuda Alman Veri koruma Mevzuatında amaçla sınırlılık ilkesi ile ilgili olarak kamu sektörüne yönelik oldukça sıkı hükümler getiren Kanunda özel sektöre yönelik düzenlemeler daha rahat hareket edebilmelerini sağlayacak bir yaklaşımla ele alınmıştır. Kanunda dikkat çeken bir hüküm ise farklı amaçlarla toplanan verilerin birbirinden ayrı olarak işlenmesi zorunluluğudur. Kamu sektörüne yönelik sıkı düzenlemeleri, terörle ve organize suçla mücadele kapsamında esnetmeye yönelik çalışmalara karşı Alman Anayasa 2 Devlet Denetleme Kurulu 27-11-2013 Tarih 2013-3 Sayılı Kişisel Verilerin Korunması Raporu, sayfa 122 3 Devlet Denetleme Kurulu 27-11-2013 Tarih 2013-3 Sayılı Kişisel Verilerin Korunması Raporu, sayfa 112 Mahkemesinin verilerin (iletişim verilerinin) zorunlu muhafazasına dair 02.03.2010 tarihli kararı, amaçla sınırlılık ilkesine bağlı kalınması gerektiğini ve bu ilkenin sadece “mutlak minimum” düzeyinde esnetilebileceğini ortaya koymuştur. Alman Kanununda iki genel ilkeye daha yer verilmiştir. Bunlardan ilki olan “veriden uzak durma (data avoidance) ve veri minimizasyonu” (veya veri ekonomisi) ilkesi temelde gerekli asgari kişisel veriden daha fazla veri toplanmamasını ve toplanan verilerin de imkanlar ölçüsünde anonim veya psodonim hale getirilmesini şart koşmaktadır. 4 3- Hukuka Uygunluk Sebepleri Ve Rıza Kanuna göre kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez. Ancak açık rızanın tanımı yapılmadığı gibi, hangi unsurları içerdiği de belirtilmemiştir. Bu haliyle, kişisel verilerin korunması hakkı açısından en temel ilkelerden olan kişinin açık rızasının bulunması ilkesinin uygulanmasında sorunlar yaşanması muhtemeldir. Bu nedenle, uluslararası belge örneklerinde de açıkça görüldüğü üzere, açık rızanın kişinin özgürce, konuyla ilgili yeterli bilgiye sahip olarak, tereddüde mahal bırakmayacak açıklıkta ve sadece işlemin yapılmasına yetecek ve işlemle sınırlı olarak verdiği onay beyanı olarak tanımlanması gerektiği düşünülmektedir. Burada önemle belirtmek gerekir ki ilgili kişinin yazılı rızasının alınması gerekmelidir. Yazılı rızanın aranması kamu ve özel hukuk tüzel kişileri açısından sınırlama getirmiş ve kişisel verilerin korunmasında önemli bir koruma sağlamış olacaktır. Örneğin, abonelik sözleşmesi imzalayan bir kişinin sözleşme hükümlerine rıza gösterdiğinin kabulü gerekecektir. Ancak, bu sözleşme içine serpiştirilmiş kişisel verilerin işlenmesine ilişkin hususlar bulunması, gereğinden çok kişisel veri toplanması, bu verilerin ilgili 4 Devlet Denetleme Kurulu 27-11-2013 Tarih 2013-3 Sayılı Kişisel Verilerin Korunması Raporu, sayfa 124 şirketin grup şirketleri veya pazarlama şirketleri ile paylaşılabileceğine ilişkin hükümlerin bulunması gibi kişisel verilerin korunmasının temel ilkelerine aykırı durumların önüne geçilmiş olacaktır. Türk Hukuku’ na özgü istisnai haller yine asıl koşul olan rıza kavramının önüne geçmektedir. Kanuna göre ilgili kişinin rızasının aranmayacağı haller; a) Kanunlarda açıkça öngörülmesi. b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması. c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması. ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması. d) İlgili kişinin kendisi tarafından alenileştirilmiş olması. e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması. f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması. 108 sayılı Sözleşmeye göre; “Eğer Akit Taraf Kanununda öngörülen istisna, demokratik bir toplumda: (a) Devlet güvenliğinin korunması, Kamu güvenliği, Devletin mâli menfaatleri veya suçların önlenmesi için zorunlu bir önlem teşkil ediyorsa, (b) İlgili şahsın korunması ve başkasının hak ve özgürlükleri için zorunlu bir önlem teşkil ediyorsa.” istisnalar getirilebilir.5 Sözleşmede sınırlayıcı bir tanım yapılmış iken kanunda bu istisnaların genişletilerek el alınması kişisel verilerin korunması mantığı ile bağdaşmamaktadır. Fransa’ da Veri Koruma Mevzuatına göre Kanun’da rızanın bulunmaması halinde hukuka uygunluk sebepleri “veri kütüğü sahibinin yasal bir yükümlülüğü ile uyumlu olma” ve “verisi işlenen kişinin hayatının korunması” şeklinde sıralanmıştır.6 Alman Veri Koruma Kanununda anonimleştirme tanımı şu şekilde yapılmıştır: “verileri verisi işlenen kişi ile bağlantısı kurulamayacak (veya çok orantısız bir caba ile bağlantı kurulabilecek) şekilde değiştirmek”. Psodonimleştirme ise “İsim ve benzeri niteleyici bilgilerin yerine verisi işlenen kişinin teşhisini imkansız veya daha zor kılacak şekilde bir numara kullanmak” şeklinde tanımlanmıştır. Buna göre anonimleştirilmiş veriler kişisel veri olmaktan çıkmıştır. Psodonimleştirilmiş veriler ise bunları şifreleyen kişi için kişisel veri iken şifreleme anahtarına sahip olmayan veri kütüğü sahibi acısından kişisel veri değildir.7 Yine Alman Veri Koruma Kanunu rızanın geçerliliği ile ilgili olarak katı bir yaklaşım sergilemektedir. Mal ve hizmet sunumu yapan veri kütüğü sahipleri, ilgili amacın gerektirmediği kişisel verilerin verilmesini on koşul haline getiremezler (bu şekilde alınan rıza geçerli değildir). “Link yasağı” denilen hükme göre örneğin, banka ve benzeri kuruluşlar pazarlama gibi gereksiz ikincil amaçlar için verilerinin kullanılmasına rıza göstermelerini müşterilerinden talep edemeyecektir. Rızanın geçerliliğinde bir başka koşul da verisi işlenecek kişinin duruma özgü ve uygun bir şekilde bilgilendirilmesidir. Ayrıca Kanuna göre koşullar başka formatları (telefon veya internet üzerinden) gerektirmediği surece rızanın yazılı olması gereklidir. Ayrıca rıza başka hususlarla birlikte isteniyor veya veriliyorsa rızaya ilişkin bölümler 6 5 http://www.avrupakonseyi.org.tr/antlasma/aa s_108.htm Devlet Denetleme Kurulu 27-11-2013 Tarih 2013-3 Sayılı Kişisel Verilerin Korunması Raporu, sayfa 113 7 Devlet Denetleme Kurulu 27-11-2013 Tarih 2013-3 Sayılı Kişisel Verilerin Korunması Raporu, sayfa 122 diğerlerinden belirgin olarak ayrılmış olacaktır. 8 Kanunda yukarıdaki istisnai haller neredeyse açık rıza kavramını gereksiz ve geçersiz kılacak ölçüde geniş niteliktedir. Burada ilgili kişinin açık rızasının alınması kamu kurumları ve özel tüzel kişiler açısından oldukça geniş bir alan oluşturmaktadır. Asıl olan kişisel verinin ilgili kişisinden elde edilmesi olmalıdır. Bu istisnalar kamu kurumlarına kişisel verilerin toplanması ve işlenmesi konusunda en yüksek düzeyde veri toplama yetkisi vermektedir. Yani Kanun , kişisel veri sahibi tüm gerçek kişilerin, önceden verilerinin toplanmasına rıza gösterdikleri gibi bir sonuç yaratmaktadır. Bu sebeple istisnaların ucu açık kavramlarla değil en alt düzeyde ve tanımı sınırlı bir şekilde yapılması gerekmektedir. 4- Özel Nitelikli Kişisel Veriler Kanunun 6. maddesine göre (1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir. (2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır. (3) Birinci fıkrada sayılan kişisel veriler, ilgili kişinin açık rızası aranmaksızın aşağıdaki hallerde işlenebilir: a) Kanunlarda açıkça öngörülmesi. b) Kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesi. (4) Özel nitelikli kişisel veriler, ikinci ve üçüncü fıkrada sayılan hâllerde, Kurul 8 Devlet Denetleme Kurulu 27-11-2013 Tarih 2013-3 Sayılı Kişisel Verilerin Korunması Raporu, sayfa 125 tarafından belirlenen yeterli önlemlerin alınması şartıyla işlenebilir. Daha önce hukuka uygunluk sebepleri ve rıza kavramında belirtmiş olduğumuz gibi yine özel nitelikli kişisel verilere de istisnalar getirilmiş ve bu istisnalar neredeyse her türlü özel nitelikli kişisel verinin ilgili kişinin rızası olmaksızın işlenebilir hale gelmiştir. Çünkü açık rıza içeriğinin ve kapsamının nasıl olacağı net olarak sınırlarının neler olacağı belirtilmediğinden ve özel nitelikli kişisel verilerin işlenmesinde yazılı rıza aranmadığı için telefon, e-mail, SMS yolu ile rıza alınabilecek. Bu istisnalar arasında özellikle Türkiye açısından büyük tartışmalara yol açan, kişisel sağlık bilgilerinin kişiler ve kuruluşlar tarafından rıza aranmaksızın işlenebilir hale getirilmesi açısından çok büyük istismarlara yol açacak durumdadır. Çünkü kanunun 30. madde’ sine göre (6) 7/5/1987 tarihli ve 3359 sayılı Sağlık Hizmetleri Temel Kanununun 3 üncü maddesinin birinci fıkrasının (f) bendi aşağıdaki şekilde değiştirilmiştir. “f) Herkesin sağlık durumunun takip edilebilmesi ve sağlık hizmetlerinin daha etkin ve hızlı şekilde yürütülmesi maksadıyla, Sağlık Bakanlığı ve bağlı kuruluşlarınca gerekli kayıt ve bildirim sistemi kurulur. Bu sistem, e-devlet uygulamalarına uygun olarak elektronik ortamda da oluşturulabilir. Bu amaçla, Sağlık Bakanlığınca, bağlı kuruluşları da kapsayacak şekilde ülke çapında bilişim sistemi kurulabilir.” (7) 11/10/2011 tarihli ve 663 sayılı Sağlık Bakanlığı ve Bağlı Kuruluşlarının Teşkilat ve Görevleri Hakkında Kanun Hükmünde Kararnamenin 47 nci maddesi aşağıdaki şekilde değiştirilmiştir. Kanunun 47 maddesine göre (1) Sağlık hizmeti almak üzere, kamu veya özel sağlık kuruluşları ile sağlık mesleği mensuplarına müracaat edenlerin, sağlık hizmetinin gereği olarak vermek zorunda oldukları veya kendilerine verilen hizmete ilişkin kişisel verileri işlenebilir. (2) Sağlık hizmetinin verilmesi, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması ve maliyetlerin hesaplanması amacıyla Bakanlık, birinci fıkra kapsamında elde edilen verileri alarak işleyebilir. (3) Bakanlık, ikinci fıkra gereğince toplanan ve işlenen kişisel verilere, ilgili kişilerin kendilerinin veya yetki verdikleri üçüncü kişilerin erişimlerini sağlayacak bir sistem kurar. Özel nitelikli kişisel veriler, kişiler açısından kritik öneme sahiptir. Özellikle geçmiş yıllarda karşılaşmış olduğumuz sağlık bilgilerinin Sağlık Bakanlığı tarafından ihale ile şirketler veya 3. Kişilere satılmasının yasal alt yapısını sağlamaya yönelik bir düzenleme olarak gözükmektedir. 5- Kişisel Verilerin Aktarılması Kanunun 8. Maddesine göre - Kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz. (2) Kişisel veriler; a) 5 inci maddenin ikinci fıkrasında, b) Yeterli önlemler alınmak kaydıyla, 6 ncı maddenin üçüncü fıkrasında, belirtilen şartlardan birinin bulunması hâlinde, ilgili kişinin açık rızası aranmaksızın aktarılabilir. (3) Kişisel verilerin aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır. Hukuka uygunluk sebepleri ve rızanın aranmayacağı istisnai hallerde olduğu gibi Açık rıza olmaksızın verilerin aktarılabileceği istisnai haller çok geniş tutulmuştur. Örneğin bir abonelik sözleşmesi yapılması sırasında, sözleşme yapılan şirket veya kurum sözleşme ile ilgisi olmayan kişisel verileri talep edebilecektir. Bunun dışında kişisel verileri depolama yetkisi bulunan veri sorumlusunun “hukuki yükümlülüğünü yerine getirebilmesi” ve “veri sorumlusunun meşru menfaatleri” için veri işlenmesi söz konusu olabilecek, kişisel verilerinizi diğer üçüncü kişilere aktarabileceklerdir. Örneğin abonelik sözleşmesi imzaladığınız şirket veya kurumun bünyesinde istihdam etmekte olduğu veri sorumlusunun talebine göre sözleşme ile alakalı olmayan kişisel veriler toplanabilecek, işlenebilecek (başka bilgileriniz ile bütünleştirilebilecektir)ve diğer üçüncü kişilere aktarılabilecektir. (örneğin telefon numaranız reklam şirketlerine aktarılabilecektir.) Ayrıca özel nitelikli kişisel verileriniz örneğin sağlık bilgileriniz ve bu bilgilerle birlikte vermiş olduğunuz bilgileriniz 3. Kişilere aktarılabilecektir. Örneğin Sağlık Bakanlığı ilaç şirketlerine telefon numaranızı aktarabilecektir. 6- Kişisel Verilerin Yurt Dışına Aktarılması Kanunun 9. Maddesi ile kişisel verilerin yurt dışına aktarılması düzenlenmiş yine aynı şekilde istisnalar geniş tutulmuştur. Telefon, e-mail, SMS yolu ile rızanızın alındığı kişisel verileriniz, özel nitelikli kişisel verileriniz yurt dışına aktarılabilecek. Örneğin rızanızın alındığı sağlık bilgileriniz veya telefon, adres bilgileriniz, kimlik numaranız yurt dışına aktarılabilecek. Başka bir devlet ile Türkiye arasında uluslararaası anlaşmalar “yeterli korumayı sağladığı takdirde”, diğer devlet gerekli koşulları sağlamasa dahi Kurul izni ile kişisel veriler yurt dışına aktarılabilecek. Artık “CIA bizi izliyor” şakasının gerçeğe dönüşmesi işten bile değil. 7- Veri Sorumlusu Kanuna göre Veri Sorumlusu “Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir.” Kanunun 10,11 ve 12 Maddeleri veri sorumlusunun hak ve yükümlülüklerini düzenliyor. Ancak veri sorumlularının hukuki yükümlülükleri ayrıntılı olarak açıklanmamış. Bu hususun yönetmelik aracılığı ile ayrıca ve ayrıntılı olarak yönetmelik ile düzenleneceğine ilişkin herhangi bir düzenleme bulunmuyor. Oysa Kanunun 5. Maddesindeki kişisel verilerin işlenme şartlarındaki istisnalar arasında ç bendinde “Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.” Ve f bendinde “İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.” halinde kişisel veriler rıza aranmaksızın işlenebilir. Bu durumda örneğin abonelik sözleşmesi imzaladığınızda, sözleşmenin tarafı olan şirket benim için telefon, kimlik numarası, adres, e- mail adresi, evde yada iş yerinde kaç kişinin yaşadığı, gece veya gündüz tüketim alışkanlıklarınız v.b. bir çok veriyi işleyebilecektir. Dolayısı ile bu maddeler kişilerin haklarından çok yükümlülük ve sorumluluklarına ağırlık vermektedir. 8- Veri Sorumlusunun Ücret Talep Etmesi Kanunun 13. Maddesine göre “Veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır. Ancak işlemin ayrıca bir maliyeti gerektirmesi hâlinde Kurulca belirlenen tarifedeki ücret alınabilir.” Bu maddeye göre veri sorumlusu kişisel verisinin toplanması, işlenmesi, aktarılması v.b. taleplerle başvuran kişilerden ücret talep etme hakkına sahip olmaktadır. Bu husus uluslararası sözleşmeler ve genel hukuk ilkeleri arasındaki “hak arama” hakkının önünde ciddi bir engel teşkil etmektedir. Haberiniz olmadan veya çeşitli şekillerde rızanızın alındığı kişisel verilerin doğruluğu, niteliği, işlenme şekli, aktarılması konusunda ücret ödeyerek bilgi edinebileceksiniz. 9- Devlet Sırrı Niteliğindeki Bilgiler İncelenemeyecek Kanunun 15. Maddesine göre “Devlet sırrı niteliğindeki bilgi ve belgeler hariç, veri sorumlusu Kurulun, inceleme konusuyla ilgili istemiş olduğu bilgi ve belgeleri on beş gün içinde göndermek ve gerektiğinde yerinde inceleme yapılmasına imkân sağlamak zorundadır.” Madde 28’ e göre (1) Bu Kanun hükümleri aşağıdaki hâllerde uygulanmaz: ç) Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi. Bu maddelere göre veri sorumlularını vatandaşlar adına denetleyecek olan Kişisel Verilerin Korunması Kurulu şikayet konusu olsa dahi “Devlet Sırrı” olarak belirlenmiş bilgileri isteyemeyecek. Bu belge ve bilgiler belirli kurumlarca özellikle MİT, Emniyet ve Jandarma birimleri, İstihbarat Birimleri tarafından devlet sırrı kategorisine sokularak Veri Koruma Kuruluna verilmeyebilecek. Kendi özel kanunları ile bu kurum ve kuruluşların yazışma, kayıt, bilgi ve belgeleri devlet sırrı olarak kabul edilmiştir. Kanunun 5. Maddesindeki istisnalar arasında sayılan “Kanunlarda açıkça öngörülmesi.” durumu burada bir daha pekiştirilmiş. Şayet bahsetmiş olduğumuz devlet kurumları şikayet edilmiş ise Kurul hiçbir inceleme yapamayacak, bilgi ve belge isteyemeyecektir. Bilindiği gibi kişisel verilerin korunması kanun tasarısının 2008 yılından bu yana çeşitli tarihlerde meclis gündemine gelmesine rağmen bir türlü yasalaşamamasının sebeplerinden biri ve en önemlisi de emniyet, jandarma ve istihbarat birimlerinin toplamış olduğu bilgileri bir veri kütüğüne kaydetmeyi reddetmesi ve verileri diğer kurumlarla paylaşmayı reddetmesidir. Bilindiği üzere Türkiye’ de devlet sırrı kavramı çok geniş bir alana yayılmış durumdadır. Devlet Sırrı Kanunu Tasarısı ile düzenleme yapılmaya çalışılsa da tıpkı Kişisel Verilerin Korunması Kanununda olduğu gibi yıllardır halinde kalmaktan öteye geçememiştir. Ülkemizde sır ve gizlilik kategorisi oldukça geniş tutulmuş ve bireylerin bilgiye ulaşma hakları sınırlandırılmıştır. Sır kategorisine giren yaklaşık 50, gizlilik kategorisine giren yaklaşık 75 yasal düzenleme mevcut olup, bazı düzenlemeler her iki kategoriye de girecek şekilde kaleme alınmıştır. Örnek olarak, 6183 sayılı Amme Alacaklarının Tahsil Usulü Hakkında Kanunun 107., 6326 sayılı Petrol Kanunu Kanunun 43., 213 sayılı Vergi Usul Kanununun…1982 Anayasasının 26’ncı maddesinde düşünceyi açıklama ve yayma hürriyetinin hangi amaçlar için sınırlandırılabileceği belirtilirken, amaçlardan biri “Devlet sırrı olarak usulünce belirtilmiş bilgilerin açıklanmaması” olarak gösterilerek devlet sırlarından söz edilmiştir. Yine 28’inci maddede devlete ait gizli bilgilere ilişkin her türlü haber veya yazı yazanların, bastıran ve basanların, bunları başkalarına verenlerin bu suçlara ait kanun hükümleri uyarınca sorumlu tutulacakları açıklanmıştır. Bunun dışında devlet sırrını doğrudan düzenleyen yeknesak bir düzenleme bulunmamaktadır. Prof. Dr. Çetin ÖZEK’e göre, devlet sırrının niteliği su unsurlara işaretle belirlenmektedir: a) Kabul edilebilen “devlet sırrı”, niteliği nedeniyle sır sayılması gereken bilgidir. Ulusal savunmaya, uluslararası ilişkilere, demokratik düzeni korumaya yönelik bilgi örnek gösterilebilir. b) Yönetsel gücün kararıyla “devlet sırrı” saptaması genel olarak, demokratik anayasal düzeni korumaya yönelik ve sır sayılması zorunlu bilgiler için kabul edilebilir. Bu saptama da yargı tarafından yapılır. c) Devlet sırrı ile ulusal savunma güvencesi arasında nedensel bağlantı olması gerekir. d) Tarihsel olguların, diplomatik ilişkilerin ve bilimsel bilgilerin sır olmayacağı kabul edilir. e) Hukuka aykırı eylemler “sır” sayılmaz. f) Sırrın, kitle iletişim araçlarıyla açıklanması, eğer somut tehlike yaratmıyorsa suç sayılmaz. g) Bireyin kendisine ait bilgi, bilginin niteliği ne olursa olsun “sır” sayılmaz. h) Bilgilenme hakkı üstün değerde olduğu için, sansür niteliğinde, haber vermek hakkını sınırlayan, “devlet sırrı” saptaması yapılamaz. i) “Bilgilenme Hakkı’ nın, devlet sırrı iddiasına karsı korunması da gerekli görülmektedir. Diğer bir deyişle, “bilgilenme hakkı” na güvence yöntemleri uygulanmalıdır.9 Prof. Dr. Çetin ÖZEK, Basın Özgürlüğünden Bilgilenme Hakkına adlı kitabı sayfa 61-71 arası. Alfa Yayınları. Eylül 1999 108 sayılı sözleşme ile ulusal güvenlik, ulusal savunma ve kamu düzeni gibi alanlarda istisnaların getirilebileceği, ancak bu istisnaların kapsam ve sınırlanın belirli ve denetlenebilir olmasının gereği açıkça görülmektedir. Örneğin İtalya da kişisel verilerin işlenmesi ile ilgili olarak temel hak ve özgürlüklerin korunmasından sorumlu yapı olan Garante (Garante per la Protezione dei Dati Personali) isimli veri koruma otoritesinin “emniyet ve istihbarat birimlerince gerçekleştirilen veri işleme faaliyetlerini vatandaşlar adına kontrol etmek” görev ve yetkisine sahiptir.10 Kanundaki maddeden anlaşılan, kişiye dair tüm verilerin toplanabilir olduğudur. Bu nedenle belirtmiş olduğum gibi bu tür devlet kurumlarına ilişkin özel bir düzenleme ve sınırlama getirilmesi elzemdir. Aksi taktirde sadece kağıt üzerinde kalan, kadük hale gelmiş bir yasal düzenleme yapılmış olur. Türkiye de asıl olarak veri toplama, işleme ve paylaşma işlemlerini devlet kurumları yapmaktadır. Bu nedenle de vatandaşına güvenmeyen ve potansiyel suçlu olarak gören devlet anlayışından az da olsa sıyrılarak kişileri korumaya yönelik düzenleme getirilmesi Türkiye açısından hayati önem taşımaktadır. İtalya örneğinde olduğu gibi Veri Koruma Kurulu emniyet ve istihbarat birimlerince gerçekleştirilen veri işleme faaliyetlerini vatandaşlar adına kontrol etmek” görev ve yetkisine sahip olmalıdır. 10- Özel Hukuk Tüzel Kişilerince Kişisel Verilerin Toplanması Bankacılık, sigortacılık, telekomünikasyon, kargo, sağlık, turizm, eğitim, çağrı merkezi ve pazarlama hizmetleri gibi pek çok alanda faaliyet gösteren işletmelerin bilgi sistemleri büyük hacimde kişisel veriyi bünyelerinde barındırmaktadır. Bu şirketlerin, hangi tür kişisel verileri ne şekilde toplayabilecekleri, bunları hangi amaçlarla kullanabilecekleri, kimlerle paylaşabilecekleri, ne kadar süre 9 10 Devlet Denetleme Kurulu 27-11-2013 Tarih 2013-3 Sayılı Kişisel Verilerin Korunması Raporu, sayfa 152 tutabilecekleri, hangi süre sonunda silecekleri, almaları gereken güvenlik tedbirleri ile kişisel verisi bulunan kişilerin bu verilere erişim, sildirme, düzelttirme gibi haklarını nasıl kullanabileceklerine ilişkin olarak sektör bazlı düzenlemelerin bazı istisnalar dışında yapılmadığı; buna bağlı olarak kişisel veri ihlallerine yönelik denetimlerin gerçekleştirilemediği, ihlallerin tespit edilemediği ve yaptırıma bağlanamadığı, bu nedenlerle özel hukuk tüzel kişileri açısından kişisel verilerin korunmasındaki boşluk ve risklerin önemli boyutlara ulaştığı ve bu konuya ilişkin düzenlemeler yapılması gerektiği açıktır. Kanunda bu konuya ilişkin neredeyse hiçbir düzenleme yapılmamıştır. 11- Veri Koruma Kurumu ve Kurulunun Yapısı Kanunun 19. Maddesine göre “(1) Bu Kanunla verilen görevleri yerine getirmek üzere, idari ve mali özerkliğe sahip ve kamu tüzel kişiliğini haiz Kişisel Verileri Koruma Kurumu kurulmuştur. (2) Kurum Başbakanlıkla ilişkilidir.” Kanunun 21. Maddesine göre “1) Kurul, bu Kanunla ve diğer mevzuatla verilen görev ve yetkilerini kendi sorumluluğu altında, bağımsız olarak yerine getirir ve kullanır. Görev alanına giren konularla ilgili olarak hiçbir organ, makam, merci veya kişi, Kurula emir ve talimat veremez, tavsiye veya telkinde bulunamaz. (2) Kurul, yedi üyeden oluşur. Kurulun dört üyesi Bakanlar Kurulu, üç üyesi Cumhurbaşkanı tarafından seçilir.” Ancak Kanunun bu maddesi ile ilgili meclis görüşmeleri sırasında yapılan değişiklik ile , Kişisel Verileri Koruma Kurulunun 7 olan üye sayısı 9'a çıkarıldı. Kurulun 5 üyesi TBMM, 2 üyesi Cumhurbaşkanı, 2 üyesi Bakanlar Kurulu tarafından seçilecek. Tasarının mevcut halinde; 4 üyenin Bakanlar Kurulu, 3 üyenin de Cumhurbaşkanı tarafından seçilmesi öngörülüyor. Kurul üyesi, herhangi bir siyasi parti üyesi olmayacak. TBMM'nin, Kurula üye seçimi de belirleniyor. Buna göre, seçim için, siyasi parti gruplarının üye sayısı oranında belirlenecek üye sayısının ikişer katı aday gösterilecek ve Kurul üyeleri, bu adaylar arasından her siyasi parti grubuna düşen üye sayısı esas alınmak suretiyle TBMM Genel Kurulunca seçilecek. Ancak, siyasi parti gruplarında, Meclis'te yapılacak seçimlerde kime oy kullanılacağına dair görüşme yapılamayacak ve karar alınamayacak. Kurul, üyeleri kendi arasından başkan ve ikinci başkanı seçecek. Tasarının mevcut düzenlemesinde, başkan ve ikinci başkanın, üyeler arasından Bakanlar Kurulu tarafından belirlenmesi öngörülüyor. Kurul üyelerinin görev süresi dört yıl olacak. Süresi biten üye yeniden seçilebilecek. Görev süresi dolmadan herhangi bir sebeple görevi sona eren üyenin yerine seçilen kişi, yerine seçildiği üyenin kalan süresini tamamlayacak. AB Genel Veri Koruma Tüzük Taslağında da denetleyici otoriteler ile ilgili hususlar çok daha ayrıntılı olarak düzenlenmiştir. Taslakta denetleyici otoritelerin bağımsızlığına ilişkin olarak getirilen ilave koşullar dikkat çekmekte, denetleyici otorite üyelerinin seçilme koşulları da ayrıntılı olarak sayılmaktadır. Buna göre; Denetleyici otoritenin üyeleri meclis ya da hükûmet tarafından atanacaktır. Üyeler bağımsızlığı şüphe götürmeyen ve kişisel verilerin korunması alanında deneyimleri ile yeterlilikleri bilinen kişilerden seçilecektir. Üyenin görevi, görev suresinin dolması, istifa veya zorunlu emeklilik yaşı ile sona erecektir. Üyenin görevinin gereklerini yerine getirmek için gerekli şartları sağlayamaması veya ciddi bir usulsüzlükten hüküm giymesi durumunda ilgili mahkeme tarafından azledilebilecek veya emekliye sevk edilebilecektir.11 11 Kişisel Verilerin İşlenmesi Ve Serbest Dolaşımı Karşısında Bireylerin Korunması Tüzüğü Taslağı (Genel Veri Koruma Tüzüğü Taslağı) Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunmasına Dair 108 Sayılı Sözleşmenin Ek Protokolü denetleyici otoriteleri (supervisory authority) düzenlemektedir. Taraf devletlere iç hukuklarında Sözleşmeye uygun olarak yürürlüğe koydukları yasal düzenlemelerin uygulanmasını izlemeden sorumlu bir denetleyici otorite oluşturma yükümlülüğü getirmeyen 108 sayılı Sözleşme’nin bu eksikliği, 2004 yılında yürürlüğe giren ek Protokol ile giderilmiştir. Protokol’ün 1. maddesi, taraf devletlere kendi iç hukuklarında aldıkları önlemlerin Sözleşme ve Protokol’de yer alan ilkelere uygunluğunu güvence altına almaktan sorumlu olacak bir ya da birden fazla denetleyici otorite oluşturma zorunluluğu getirmektedir. Bu denetleyici otoriteler özellikle soruşturma (investigation) ve müdahalede bulunma yetkisine ve aynı zamanda hukuki surece dâhil olma ve kişisel verilerin işlenmesi ile bağlantılı olarak bireylerin kendi temel hak ve özgürlüklerini korumak amacıyla yaptıkları şikayetleri inceleme yetkisine sahip olmalıdırlar.12 Uluslararası düzenlemelerde neredeyse bütün ülkelerde bu otoritelerin üzerlerine düşen görevi gerektiği şekilde yerine getirebilmeleri için bağımsız (independent), tarafsız (impartial) ve teknik kapasite açısından yetkin ve yeterli (technically competent) yapıda oluşturulmalarına vurgu yapılmıştır.13 Kişisel Verilerin Korunması Kanunu Tasarısı Taslağında Başbakanlığa bağlı bir Kişisel 12 2001 yılında Sözleşme için bir Ek Protokol imzaya açılmış, 2004 yılında yürürlüğe girmiştir. “Additional Protocol to the Convention for the Protection of Individuals with Regard to Automatic Processing of Personal Data, Regarding Supervisory Authorities and Transborder Data Flows, Strasbourg, 8.XI.2001, European Treaty Series No.181” 13 Devlet Denetleme Kurulu 27-11-2013 Tarih 2013-3 Sayılı Kişisel Verilerin Korunması Raporu, sayfa 714 Verileri Koruma Kurumu oluşturulması öngörülmektedir. Kelime anlamı olarak özerklik bir topluluğun, bir kuruluşun ayrı bir yasaya bağlı olarak kendini yönetme hakkıdır. Mali özerklik, bir kamu tüzel kişisinin kendi kaynaklarından serbestçe yararlanarak kendi harcamalarını yönetmesi durumudur. İdari ve mali anlamda özerk bir kurum oluşturulması açısından genel bütçede Sayıştay denetimine açık kendi bütçesine sahip bir kurum oluşturulması daha yerinde olacaktır. Kanunun 21. Maddesine göre “Kurul, yedi üyeden oluşur. Kamu veya özel sektörde en az on yıl görev yapanlar arasından Bakanlar Kurulunca dört, Cumhurbaşkanınca üç üye seçilir.” Burada Türkiye’ nin idari yapısı ve hükümet yapısı düşünüldüğünde bu düzenlemenin tartışmalara yol açacağı şüphesizdir. Günümüzdeki tek parti hükümetine dayanan ve yürütmenin tamamen tek partiden oluştuğu gözetildiğinde Bakanlar Kurulunca yapılacak atamalar tartışmaya açık olacaktır. Aynı zamanda yürütme açısından bir nevi imza ve denetim makamı olan Cumhurbaşkanlığınca atama yapılması da daha büyük bir sorun teşkil etmektedir. Ayrıca kanun tasarısında yapılan değişiklik ile yine parti grubuna göre AKP milletvekillerinin de TBMM tarafından seçilecek 5 kişi içerinden oy oranına göre öneri de bulunma hakkı olacaktır. Tasarının meclise gönderildiği haline göre kabul edilen maddede kısmen iyileşme olsa da Kurul üyelerinin çoğunluğunun yine hükümet tarafından belirleneceği açıktır. Günümüz Türkiye’ sinde Başbakanlık, Cumhurbaşkanlığı makamı ve Başkanlık Sistemi tartışmaları göz önüne alındığında tek bir kişi tarafından atama yapılması kaçınılmaz olacaktır. 12- Takma Adlı Veri Tasarı’da yer almayan ancak AB Regülasyon Tasarısında yer alan kavramlardan biri takma adlı veri (pseudonymous data) kavramıdır. Kavram özetle şunu ifade etmektedir: "takma adlı veri" ek bilgiler kullanılmadan belirli bir veri sahibi ile ilişkilendirilemeyen ve söz konusu ek bilgilerin ayrı olarak, ilişkilendirilmeyi önleyici önlemler altında saklandığı kişisel veriler anlamına gelmektedir. Takma adlı veri, kişisel veriyi anonim hale getirmeyip bir kimliksizleştirme yöntemidir. Eğer veri sorumlusu tarafından işlenen veri, sorumlunun bir kişiyi doğrudan belirlemesine izin vermiyorsa ya da takma adlı veri oluşturuyorsa, veri sorumlusu yalnızca bu kanuna uyumluluk sağlamak için ilgili kişiyi belirlemek amacıyla söz konusu ek bilgileri alamaz ya da işleyemez. Tek başına kullanıldığında, herhangi bir ek bilgi olmadan, bir bireyi tanımlayamayan ancak en fazla bireyleri tanımlamadan birbirinden ayırabilen veriler gibi veri tipleri de koruma gerektirmektedirler. Çünkü bu veriler ile tekrar tanımlayabilme mümkün hale gelmektedir. Ancak veri sorumlularının alacağı yeterli organizasyonel ve teknik önlemler verinin dolaylı olarak tanımlayabilir kalmasını sağlamaktadır. Direktifte takma adlı veri olarak adlandırılan bu tür kişisel veriler risk bazlı yaklaşım ve sorumluluk açısından iyi bir örnektir. Çünkü verinin takma adlı veri olarak kalmasını sağlamak amacıyla veri sorumlusu verilerin tamamen ilişkilendirilebilir hale gelmesini engellemek amacıyla gereken tüm makul önlemleri almak zorunda kalacaktır. 13Kamu Kurum Ve Kuruluşlarına, Kişisel Verilerin Korunması Kanununa Göre Ceza Uygulaması Bulunmamakta Kanunun 17. Ve18. Maddesinde Suçlar Ve Kabahatler bölümünde düzenlenmiştir. Bu maddelere göre kanuna aykırı hareket eden kamu kurum ve kuruluşlarına ilişkin herhangi bir ceza verilmesi söz konusu olamayacaktır. Suç ve cezaların şahsiliği ilkesi gereğince kanuna aykırı hareket edenlere Türk Ceza Kanunu Kapsamında ve bu kanun kapsamında ceza verilebilecektir ancak kamu kurumlarına idari para cezası uygulaması olmayacaktır. Türkiye’ de en fazla kişisel verilerin toplandığı ve paylaşıldığı yerler kamu kurum ve kuruluşlarıdır. Bu sebeple de her ne kadar suç veya kabahat işleyen kamu çalışanlarının sorumluluğu bulunsa da kamu kurum ve kuruluşlarına da idari para ceza verilebilmesi kesinlikle düzenlenmelidir. 14- Türk Ceza Kanununun 135140. Maddelerinin Uygulanması 2012 değişiklikleri ile Türk Ceza Kanununa giren Kişisel Verilerin Korunması 135-140. Maddelerde düzenlenmiştir. Ancak Türk Ceza Kanunundaki düzenlemeler ile Kişisel Verilerin Korunması Kanununu birbirleri ile çelişen hükümler içermektedir. 6698 sayılı Kişisel Verilerin Korunması Kanununun 2. Maddesine göre “Bu Kanun hükümleri, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır.” Dolayısıyla otomatik olarak işlenmeyen veya herhangi bir veri kayıt sisteminin parçası olmayan yollarla işlenen kişisel veriler bu kanun hükümlerine tabi olmayacaktır. Türk Ceza Kanununun 136. Maddesi otomatik işleme veya herhangi bir veri kayıt sisteminin parçası olmak şartı aramamıştır. Ancak Kişisel Verilerin Korunması Kanunu yukarıda bahsetmiş olduğumuz üzere otomatik işleme veya herhangi bir veri kayıt sisteminin parçası olmak şartını aramaktadır. Bu kanun ile birlikte kurulan Kişisel Verilerin Korunması Kurulunun 22. Maddeye göre görev ve yetkileri “a) Kişisel verilerin, temel hak ve özgürlüklere uygun şekilde işlenmesini sağlamak. b) Kişisel verilerle ilgili haklarının ihlal edildiğini ileri sürenlerin şikâyetlerini karara bağlamak. c) Şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen görev alanına giren konularda kişisel verilerin kanunlara uygun olarak işlenip işlenmediğini incelemek ve gerektiğinde bu konuda geçici önlemler almak. ç) Özel nitelikli kişisel verilerin işlenmesi için aranan yeterli önlemleri belirlemek. d) Veri Sorumluları Sicilinin tutulmasını sağlamak. e) Kurulun görev alanı ile Kurumun işleyişine ilişkin konularda gerekli düzenleyici işlemleri yapmak. f) Veri güvenliğine ilişkin yükümlülükleri belirlemek amacıyla düzenleyici işlem yapmak. g) Veri sorumlusunun ve temsilcisinin görev, yetki ve sorumluluklarına ilişkin düzenleyici işlem yapmak. ğ) Bu Kanunda öngörülen idari yaptırımlara karar vermek. h) Diğer kurum ve kuruluşlarca hazırlanan ve kişisel verilere ilişkin hüküm içeren mevzuat taslakları hakkında görüş bildirmek.” Bu madde metninden de anlaşılacağı üzere Kişisel Verilerin Korunması Kurulu Şikayet üzerine veya görev alanına giren konularda kendiliğinden inceleme ve karar verme yetkisine sahiptir. Türk Ceza Kanununun 139. Maddesine göre “Kişisel verilerin kaydedilmesi, verileri hukuka aykırı olarak verme ve ya ele geçirme ve verileri yok etmeme hariç, bu bölümde yer alan suçların soruşturulması ve kovuşturulması şikayete bağlıdır.” Herhangi bir şikayet olmaması veya şikayetin geri alınması durumunda kişisel verileri kanuna aykırı işleyen ceza almayabilecektir. Türk Ceza Kanununun 136. Maddesine göre “Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi” cezalandırılmaktadır. Görüldüğü üzere gerçek veya tüzel kişi ayrımı yapılmamıştır. Aynı zamanda T.C.K. nın 140. Maddesine göre “Yukarıdaki maddelerde tanımlanan suçların işlenmesi dolayısıyla tüzel kişiler hakkında bunlara özgü güvenlik tedbirlerine hükmolunur.” Dolayısıyla Türk Ceza Kanununa göre tüzel kişilere ilişkin ceza verilebilmektedir. Ancak Kişisel Verilerin Korunması Kanununu sadece gerçek kişilere ilişkin yaptırım uygulamaktadır. Genel hukuk kuralı olarak Genel Kanun ile Özel Kanun Aynı anda aynı olayı düzenleyen biri genel diğeri özel iki ayrı kanun yürürlükte bulunduğu takdirde eğer önceki kanun genel yeni kanun özel ise, bu takdirde olaya özel olan yeni kanun hükümleri uygulanmalıdır. Bu durumda Genel Kanun olan Türk Ceza Kanunu ile Özel Kanun olan Kişisel Verilerin Korunması Kanunu birbiri ile çelişmesi durumunda sonradan çıkarılan özel kanun olan Kişisel Verilerin Korunması Kanunu uygulanacaktır. Ancak görüldüğü üzere birbiri ile çelişen hükümler nedeniyle kanunun uygulamasında bir çok suiistimal ve cezasızlık durumu ortaya çıkacaktır. 13- OHAL Kanun Hükmünde Kararnamesi İle Kurulan Coğrafi Veri Merkezi 1 Eylül 2016 tarihinde resmi gazetede yayımlanan 15/08/2016 tarihli 674 sayılı Kanun Hükmünde Kararname’ nin 43. Maddesine göre 657 sayılı Harita Genel Komutanlığı Kanununa getirilen ek madde ile Coğrafi Veri Merkezi kuruldu. Kurulan bu veri merkezi tamamen TSK ya bağlı Harita Genel Komutanlığı’ na bağlı olarak faaliyet gösterecek. Üstelik bu veri merkezi yalnızca askeri amaç ile kurulmayıp “savunma, güvenlik, istihbarat ve kalkınma maksatlı çalışan kurum ve kuruluşların coğrafi veri ihtiyaçlarının karşılanması amacıyla” kurulan bir merkezdir. Bu tür veri merkezlerinin sakıncaları ve izleme, gözetleme merkezi haline dönüşeceği tartışmasızdır. 15 Temmuz’ un ardından tüm devlet ve hükümet işlemlerini KHK lar üzerinden yürütme kararlılığında olan iktidar, bu derece önemli ve olağanüstü halin amacı ve kapsamıyla bağdaşmayan bir konuyu da kalıcı bir şekilde kanun değişikliği ile yerine getirmiş oldu. 15 Temmuz sonrasında 8 Ağustos 2016 tarihli http://www.memurlar.net/haber/603186/ habere göre kamudaki verilerin tek merkezde toplanacağına dair açıklama ve haberler ile bütünleştirildiğinde bu düzenlemelerin kişisel verilerin korunmasına yönelik düzenlemelere aykırı olacağı çok açıktır. Her ne kadar bu düzenleme ile Coğrafi Veri Merkezi kurulmuş ise de çeşitli uygulamalar, yöntemler ve programlar ile yer tespiti, konum tespiti, GPS tespitleri v.b. alanlara müdahale edilebileceğini şimdiden anlamak çok zor değildir. Üstelik bu kurum tamamen askeri bir kurum olarak düzenleniyor ve faaliyetlerine ve bu faaliyetlerinden hangi kurumların faydalanacağına ilişkin herhangi bir açıklama ve düzenleme bulunmamaktadır. Bu kurumun oluşturacağı coğrafi veriler Jandarma ve Emniyet Güçleri ile kaçınılmaz olarak paylaşılacaktır ki zaten kurumun varlık amacı güvenlik ve istihbarattır. Ancak bu kurumun kalkınma amaçlı olarak bütün bakanlıklar ve resmi kurumlar ile veri paylaşacağı da düzenlenmektedir. Bu verilerin diğer kurumlar ile paylaşılması durumunda izleme, gözetleme ve fişlemelere yol açması kaçınılmazdır. 24/03/2016 tarihinde TBMM de kabul edilen ve 7 Nisan 2016 da resmi gazetede yayınlanarak yürürlüğe 6698 Sayılı Kişisel Verilerin Korunması Kanununun 19. Maddesi ile oluşturulması gereken Kişisel Verileri Koruma Kurumu kurulmadan bu tür düzenlemelerin yapılmasının hukuki dayanağı bulunmamaktadır. Kişisel Verilerin Korunması Kanununun geçici 1. Maddesinde göre kanunun yayım tarihinden itibaren 6 ay içerisinde Kişisel Verilerin Korunması Kurumunun oluşturulması gerekmektedir. Oysa kanunun yürürlüğe girdiği Nisan ayından bu yana gerek Kişisel Verilerin Korunması, gerekse Kişisel Verileri Koruma Kurumu’ na ilişkin herhangi bir açıklama ve yasa gereği yapılması gereken işlemler yapılmamıştır. 15 Temmuz’ u bahane ederek kalıcı kanun değişikliklerine yönelik olarak OHAL Kanun Hükmünde Kararnameleri ile veri kaydı yapan kurum ve kuruluşlarının denetim dışı bırakılması, kalıcı kurum ve kurulların oluşturulması Anayasa’ ya ve AİHS’ ne aykırıdır. Sonuç olarak Kişisel Verilerin Korunması Kanunu daha çok veriyi toplayan ve işleyenin haklarına yöneldiği, tasarıda kişisel veri sahibinin haklarının ikinci planda kaldığı izlenimi ortaya çıkmaktadır. tasarı ile amaçlanan, kişisel verilerin korunması, yani kişisel veri sahibi kişilerin haklarının, bu verileri toplayanlar karşısında ihlalinin engellenmesidir. Ancak korunmak istenen menfaatle getirilen hükümlerin çeliştiği, kişisel veri sahibininin hakları ve faydalanacağı korumalardan ziyade, verileri işleyenlerin hangi hakları ne surette haiz olduklarına ağırlık verildiği görülmektedir. tasarı veri koruma esas ve usulüne yönelik iyileştirme ve düzenlemeler yerine daha çok veri koruma kuruluna ilişkin düzenlemelere ağırlık vermektedir. Kaynaklar [1]http://www.avrupakonseyi.org.tr/antlasma/ aas_108.htm [2]http://www.abgs.gov.tr/files/pub/antlasmal ar.pdf [3] 108 sayılı Sözleşme için Ek Protokol, 2001 [4] AKILLIOGLU, Tekin, İdari Usul ve Kişisel Verilerin Korunması, Makale (http://www.idare.gen.tr/akilliogluidariusul.htm) [5] Aksoy, Hüseyin Can, Kişisel Verilerin Korunması, Çakmak Yayınevi, Ankara, 2010 [6] Atak, Songül, Avrupa Konseyinin Kişisel Veriler Açısından Sağladığı Temel Güvenceler, TBB Dergisi, Sayı 87, 2010 [7] BASALP, Nilgün, Kişisel Verilerin Korunması ve Saklanması, Ankara 2004. [8] BEYLİ Ceylin : “Kişisel Nitelikteki Verilerin Korunmasına İlişkin Kanun Tasarısı Üzerine Eleştiriler” (http://www.bilisimsurasi.org.tr/hukuk/docs/t bs_kisisel_veri_ceylin_beyli_gorus1.) (Erişim tarihi: 15/10/2011) [9] Devlet Denetleme Kurulu 27-11-2013 Tarih 2013-3 Sayılı Kişisel Verilerin Korunması Raporu [10] İlkiz, Fikret: Kişisel Verilerin Korunması ve Kanun Tasarısı, Güncel Hukuk Dergisi, Temmuz 2009/7-67, s. 12-23. [11] Kişisel Verilerin İşlenmesi Ve Serbest Dolaşımı Karşısında Bireylerin Korunması Tüzüğü Taslağı (Genel Veri Koruma Tüzüğü Taslağı) [12] ÖZEK, Çetin, Basın Özgürlüğünden Bilgilenme Hakkına, Alfa Yayınları, Eylül 1999 [13] ŞİMŞEK, Oğuz, Anayasa Hukukunda Kişisel Verilerin Korunması, İstanbul, 2008. [14] Yıldırım, A. Ve Simsek, H. Sosyal Bilimlerde Nitel Arastırma Yöntemleri, Ankara: Seçkin Yayınları. 2005 [15] http://www.memurlar.net/haber/603186/