Yürürlüğe giren ‘Kişisel Verileri Koruma Kanunu’, vatandaş bilgilerinin özel şirketler tarafından kullanılmasını denetlerken aynı hassasiyeti kamu kurumları için göstermiyor. Hukukçulara göre, özellikle din, etnik köken, siyasi düşünce gibi hassas verilerin devlet tarafından kullanılmasının yolu ilk defa resmen açıldı.
Kişisel Verilerin Korunmasına İlişkin Kanun, 7 Nisan’da Resmi Gazete'de yayımlanarak yürürlüğe girdi. Böylece, Türkiye’nin 1981 yılında imzaladığı Avrupa Konseyi’ne ait “Kişisel Verilerin Otomatik İşleme Tâbi Tutulması Karşısında Bireylerin Korunmasına İlişkin Sözleşme”den tam 35 yıl sonra, kişisel verilerin kullanımını düzenleyen bir kanun ilk defa hazırlandı. Amaç, özellikle son yıllarda eleştirilere konu olan, özel şirketlerin vatandaşların kimlik bilgilerini rıza olmadan kullanması ve işlemesi sorununu çözmek. Fakat bilişim hukukçularının belirttiği üzere, kanun özel şirketlerin verileri işlemesini engellerken aynı hassasiyeti devlet kurumları için göstermiyor. Hatta, bazı maddeler uyarınca Kişisel Verileri Koruma Kanunu, devletin vatandaşlar hakkında özel nitelikli verileri toplamasını ilk defa ‘meşru’ bir zemine oturtuyor.
Rızaya gerek olmayacak
‘Özel nitelikli veri’ kavramı, kanunun 6.maddesinde düzenleniyor. Buna göre kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik veriler, kişinin açık rızası olmaksızın işlenemiyor. Fakat maddeye konan istisnalar, özel nitelikli verilerin devlet tarafından işlenmesine kapı aralayabilir. Buna göre, “kanunlarda açıkça öngörülmesi” veya “bir hakkın tesisi, kullanılması veya korunması için veri işlenmesinin zorunlu olması” gibi gerekçeler olması halinde nitelikli kişisel verileri, açık rıza almaksızın işlemek mümkün olacak. Öte yandan kanunun 28. maddesinde kamu kurumları lehine geniş istisnalar getiriliyor. Örneğin maddeye göre kişisel verilerin “milli savunmayı, milli güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi” mümkün olacak.
“Etnik köken, dil, inanç toplanabilir ama..”
Kanun yürürlüğe girdikten sonra, daha önce ‘soykodu’ gibi devletin gayri resmi uygulamalarıyla gündeme gelen, “Özel nitelikli verilerin devlet tarafından toplanması artık meşru mu olacak?” sorusu gündeme geldi. Agos’a konuşan Uluslararası Azınlık Hakları Grubu Türkiye Koordinatörü Nurcan Kaya, kamusal hizmetlere erişim, istihdam gibi konulara katkı sağlaması için etnik verilerin toplanmasına ihtiyaç olduğunu; fakat kanundaki düzenlemenin bu haliyle ihtiyacı ne kadar karşılayacağı konusunda soru işaretleri olduğunu belirtiyor: “Kişilerin etnik kökeni, dili, inancı gibi veriler toplanabilir. Bunun için kanuni bir düzenleme olması; ayrımcılıkla mücadele gibi, verilerin toplanmasının meşru bir amacı olması, gizlilik ve güvenlik şartına uyulması ve kişilerin rızasının olması gerekir. Türkiye'de sıklıkla azınlıklara mensup kişilerin, Romanların veya başka etnik, dinsel veya dilsel grupların kamuda ne kadar istihdam edildiği, eğitim kurumlarına erişimlerinin ne kadar olduğu yönünde sorularla karşılaşıyoruz ve buna verecek cevabımız yok, çünkü bu konuda, en azından resmi olarak, veriler toplanmıyor. Sivil toplum kuruluşları olarak araştırma yaparken, raporlar yazarken hep sınırlı veriler kullanmak zorunda kalıyoruz.”
Kişisel veriler konusunda Avrupa standartlarında bir düzenleme yapılması gerektiğinin altının çizen Nurcan Kaya, yürürlüğe giren kanunun özellikle 6. maddesinin standartları ihlal edebileceği görüşünde: “Türkiye gibi bir ülkede uygulamada pek çok suistimalin yasal yoldan gerçekleşmesine neden olabilir. Hem toplanacak veriler arasında "siyasi düşünce, felsefi inanç, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı’ gibi konuların olması hem de bu konularla ilgili verilerin kişinin rızası olmaksızın dahi toplanabilmesi özel hayatın gizliliğini ihlal edebilir. Daha önemlisi, Türkiye gibi ayrımcılığın had safhada olduğu bir ülkede bu kadar genel düzenlemelerin kabul edilmesi azınlık mensuplarında ve 'makbul vatandaş' olarak görülmeyen her kişide daha fazla ayrımcılığa uğrayacakları konusunda kaygı uyandıracaktır. İnsanların belirli bir sendikaya üye olma, belirli şekilde giyinme, belirli bir siyasi düşünceye sahip olma gibi bir konu nedeniyle ayrımcılığa uğramayacakları nasıl garanti edilebilir?”
“Kanuna göre MİT verilerimizi işleyebilir”
Bilişim hukukçusu Yaman Akdeniz’e göreyse, kişisel verilerin kullanımının denetlenmesi pozitif bir uygulama olsa da kanunun veri toplanmasıyla ilgili düzenlemesi yapısal olarak sorunlu: “Avrupa’daki örneklere baktığımızda bu kanun özel sektörü düzenlemek için hazırlanır. Yani banka, dijital platform gibi kurumların vatandaşların verilerini kullanmasını denetler, engeller. Türkiye’de çıkan kanundaysa kamu düzenlemeye girdi. Vatandaşın her tür verisi toplanamaz. Açık rıza konusu oldukça önemli, herhangi bir kurumda bir form imzalarken verilerimizin kullanılmasına izin vermiş olabiliriz, bu kanunda açık değil. Özellikle kamu kurum ve kuruluşlarının istisnasını düzenleyen 28. madde çok muğlak. Kullanılan terimlerin hiçbirinin karşılığı yok. Bu maddeye göre MİT ne zaman istese her türlü verimizi alıp işleyebilir. Unutmamak lazım ki bu alan artık denetlendiği ve düzenlediği için daha fazla veri toplanacak.”
Akdeniz, nitelikli verilerin işlenmesinin sakıncalarının yanısıra, kanunun işleyişinden sorumlu kurumların bağımsız ve özerk olmayıp, Başbakanlık’a bağlı olarak kurulmasını eleştiriyor; “vatandaş olarak kamu kurumlarının olası bir ihlalinde bu kurulun şikayetlerimi yerine getirmesini nasıl bekleyebilirim?’ diye soruyor.