Son zamanlarda sıkça duyar olduk kişisel
verilerin korunması lafını. Peki kişisel veri nedir, nasıl korunacaktır?
Türkiye'de bu kapsamda herhangi bir düzenleme mevcut mudur? Kişisel verilerin
korunması kanun tasarısı mecliste kanun haline gelmeyi beklemektedir. Bu yazıda
kısaca kişisel veri nedir ve kişisel verilerin korunması kanun tasarısı neleri
düzenlemektedir sorularına cevap verilmeye çalışılmaktadır.
Kişisel Veri Nedir?
Kişisel veri, sahibi
olduğu kişiyi tanımlayan, kişi hakkında özel ve genel bilgileri içeren her
türlü veridir. Bir kişiyi doğrudan tanımlayabileceği gibi birden çok
kişiyi de tanımlayabilen bir veri şeklidir. Örneğin bir TC Kimlik numarası
sadece bir kişiye aittir, fakat Ali ismi birden fazla kişide hatta binlerce
kişide olabilir. Bu durumda ismin geçtiği olayda doğrudan bir kişiyi işaret
edecek diğer bilgiler önem kazanmaktadır. İstanbul’da yaşayan Ali denildiğinde
bir anlam ifade etmeyecektir, ancak Kayseri'nin merkez Susuz köyünde yaşayan
Ali denildiğinde bir kişiyi nitelemeye yetebilecektir. Bu durumda kişisel veri
Ali ismi değil ismin tarif edildiği bütün ifade olacaktır. Örnekte de görüldüğü
gibi kişisel verinin gerçekten bir kişisel veri olarak değerlendirilip
değerlendirilemeyeceği konusu geçen olaya göre farklılık gösterecektir. Bu
yüzden kişisel verinin tekil olup olmaması (örneğin TC Kimlik No gibi doğrudan
bir kişiyi adreslemesi) çok daha fazla önem arz etmektedir. Türkiye nüfusunun
hızlı artışıyla birlikte kişiyi doğrudan nitelendirecek tekil verinin ihtiyacı
ve kullanımı da aynı oranda artmıştır. Teknolojinin hızla gelişmesiyle birlikte
de tüm kişisel bilgiler dijital ortamlarda tutulmaya başlamıştır. Bu sayede
özellikle kişisel verilere ulaşım ve işleme hızlanmıştır. Bunun neticesi olarak
kamu kurum ve kuruluşlarında, özel kuruluşlarda kişisel veriler işlenerek
kullanılmaya başlamıştır. Hastanelerde, marketlerde, alışveriş merkezlerinde,
bankalarda ve daha birçok alanda kişisel veriler depolanarak işlenmektedir. Bu
verileri kullanarak çeşitli pazarlama yöntemleri deneyen veri kütüğü sahibi
kurumlar veri kullanım sınırlarını aşarak kişisel verileri amacı dışında
kullanmaktadırlar. Son zamanlarda kişilik haklarını ihlal edecek seviyede
görülen bu yanlış kullanımları düzenleme altına almak için hazırlanan kanun
tasarı aşamasında olup yürürlüğe girmesi için son çalışmalar yapılmaktadır.
Ayrıca Türkiye'nin Avrupa Birliği (AB) uyum çalışmaları içinde kişisel
verilerin kullanımının düzenlenmesi yer almaktadır.
Kişisel Verilerin Korunması Kanun
Tasarısı Neleri Düzenlemektedir?
Kişisel Verilerin
Korunması Kanun Tasarısı 22 Nisan 2008 tarihinde son şeklini alarak
kanunlaşmayı beklemektedir. AB vatandaşlarının kişisel verileri üzerindeki
haklarını düzenleyen kanuna benzer şekilde hazırlanan Kişisel Verilerin
Korunması Kanun Tasarısı’nın amacı kişisel verilerin kullanılmasında,
depolanmasında hem kişinin haklarını korumak hem de veri sahibinin uyacağı
kuralları düzenlemektir. Bu yüzden temelde tasarı ile kişilik haklarının
korunması amaçlanmıştır. Türkiye’de çeşitli kamu ve kuruluşlarında, özel
kuruluşlarda kişisel verilerin işlenmesi, depolanması kişisel veri sahibinin
veri üzerindeki haklarını göz ardı etmektedir. Bu eksikliği düzenlemek
amacıyla oluşturulan kanun tasarısı kişisel veri sahibinin haklarını koruyucu
nitelikte düzenlenmiştir. Örneğin, kişisel veri işleyen kurumlar kişisel veri
sahibine talep edildiği zaman hangi bilgileri işlediğini, ne kadar süre ile
işlediğini ve amacının ne olduğunu açıklamak zorunda olacaktır. Ayrıca kişisel
veri sahibi işlenen bu verilerde herhangi bir yanlışlık olması durumunda
silinmesini, değiştirilmesini talep edebilecektir. Bu sistemin işleyişini de
yine oluşturulacak Kişisel Verilerin Korunması Kurul’u kontrol edecektir. Bu
kurul ayrıca olası anlaşmazlıklarda veri kütüğü sahibine çeşitli yaptırımlar
uygulayarak veri sahibinin haklarını koruyacaktır.
Kanun tasarısı kişisel
verilerin korunmasında temel kuralları düzenlediği için kişisel verilerin
işlenmesinde kişisel veriyi işleyen kurumun amaçlarını da düzenlemektedir.
Kişisel verilerin toplanma, işlenme amacı açık olacak. Herhangi bir hukuka
uygunsuzluk olmayacak. Bu da madde 5’te düzenleme altına alınmıştır.
MADDE 5- (1) Kişisel
verilerin;
Hukuka ve dürüstlük
kurallarına uygun olarak işlenmesi, zorunludur.
Örneğin; hastalarının
detaylı bilgilerini tutan bir hastane bu bilgileri kullanırken hukuka uygunsuz
bir şekilde kullanamayacak. Gerektiğinde güncellenebilecek, kullanım süresi
dolduğunda ise yok edilecek.
Kanun tasarısı ayrıca
hassas verileri de kapsam altına alıyor. Hassas veri kişisel verilerden farklı
olarak kişinin toplum içinde dışlanmasına, gruplaştırılmasına yol açabilecek
verilerdir. Siyasi görüş, din, ırk, mezhep, sağlık gibi bilgiler toplumda
ayrımcılığa uğrama tehlikesi içerdiği için kanun hassas verilerin istisnalar
dışında işlenmesini engelleyecektir. Hassas verilerin işlenmesiyle ilgili
olarak kısıtlamalar madde 7’de getirilmiştir.
MADDE 7- (1) Kişilerin
ırk, siyasî düşünce, felsefî inanç, din, mezhep veya diğer inançları, dernek,
vakıf ve sendika üyeliği, sağlık ve özel yaşamları ve her türlü mahkûmiyetleri
ile ilgili kişisel veriler işlenemez.
Sonuç ve Değerlendirme
Kişisel Verilerin
Korunması Kanun Tasarısı Türkiye için büyük önem taşıyan ve son zamanlarda
ihtiyacı oldukça fazla hissedilen konuların başında yer almaktadır. Bilgi
toplumuna hızla uyum sağlamaya çalışan Türkiye’de bilginin doğru ve gerektiği
kadar kullanılmaması sonucu kişisel verilerin kontrolsüz bir şekilde
dağıtılması ve işlenmesi takip edilemez bir hale gelmiştir. Bu durumun geniş
kapsamlı önlemini almak için hazırlanan, özellikle veri sahibinin veri
üzerindeki haklarını düzenleyen ve ayrıca veri kütüğü sahibinin işleme, saklama
esaslarını belirleyen bir kanunun eksiksiz ve çelişkilere izin vermeden
yürürlüğe girmesi beklenmektedir. Bu yüzden bu yazı eleştiri ve
bilgilendirme amacıyla yazılmıştır. Eleştirilen maddelerin kanunlaşması
durumunda yukarıda bahsedildiği gibi aksaklıkların çıkabileceği öngörülmüştür.
Kişisel verilerin
korunması hakkında 1998 yılında İngiltere’de hazırlanan Data Protection Act’ta
da bahsedilen aşağıdaki temel prensipler düşünülmelidir.
· Kişisel verileri
hukuka uygun bir şekilde elde edilmelidir.
· Kişisel veriler hukuka
uygun olarak kullanılmalıdır.
· Kişisel verilerin
kullanımı herhangi bir şekilde kullanım amacını aşmamalıdır.
· Kişisel veriler
gerçeğe uygun olmalıdır, aksi durumlarda güncelliği sağlanmalıdır.
· Kişisel veriler
kullanım amacına uygun bir süre boyunca saklanmalıdır.
· Kişisel veriyi
kullanan kişiler verilerin korunması için gerekli teknik önlemleri almalıdır.
· Kişisel veri sahibinin
veri üzerinde hakları tanımlanmalıdır.
Bu bilgiler ışığında
incelenen Kişisel Verilerin Korunması Kanun Tasarısı genel hatlarıyla kanun
haline gelmeye hazır olarak gözükmektedir. Belirtilen eleştirilerin
giderilmesinden sonra yürürlüğe girmesinin daha sağlıklı olacağı
düşünülmektedir.
Kaynaklar
1. Ceylin
BEYLİ, Kişisel Verilerin Korunması Hakkında Kanun Tasarısı Üzerine Eleştiriler,
2004,
2. Leyla
Keser, Hakkımızda Ne Bilindiğiniz Biliyor muyuz?, 2008
3. Data
Protection Act, İngiltere, 1988,