4 Şubat 2013 Pazartesi

Kişisel Verilerin Korunması Kanun Tasarısı Neleri Düzenliyor?

Son zamanlarda sıkça duyar olduk kişisel verilerin korunması lafını. Peki kişisel veri nedir, nasıl korunacaktır? Türkiye'de bu kapsamda herhangi bir düzenleme mevcut mudur? Kişisel verilerin korunması kanun tasarısı mecliste kanun haline gelmeyi beklemektedir. Bu yazıda kısaca kişisel veri nedir ve kişisel verilerin korunması kanun tasarısı neleri düzenlemektedir sorularına cevap verilmeye çalışılmaktadır.

Kişisel Veri Nedir?

Kişisel veri, sahibi olduğu kişiyi tanımlayan, kişi hakkında özel ve genel bilgileri içeren her türlü veridir.  Bir kişiyi doğrudan tanımlayabileceği gibi birden çok kişiyi de tanımlayabilen bir veri şeklidir. Örneğin bir TC Kimlik numarası sadece bir kişiye aittir, fakat Ali ismi birden fazla kişide hatta binlerce kişide olabilir. Bu durumda ismin geçtiği olayda doğrudan bir kişiyi işaret edecek diğer bilgiler önem kazanmaktadır. İstanbul’da yaşayan Ali denildiğinde bir anlam ifade etmeyecektir, ancak Kayseri'nin merkez Susuz köyünde yaşayan Ali denildiğinde bir kişiyi nitelemeye yetebilecektir. Bu durumda kişisel veri Ali ismi değil ismin tarif edildiği bütün ifade olacaktır. Örnekte de görüldüğü gibi kişisel verinin gerçekten bir kişisel veri olarak değerlendirilip değerlendirilemeyeceği konusu geçen olaya göre farklılık gösterecektir. Bu yüzden kişisel verinin tekil olup olmaması (örneğin TC Kimlik No gibi doğrudan bir kişiyi adreslemesi) çok daha fazla önem arz etmektedir. Türkiye nüfusunun hızlı artışıyla birlikte kişiyi doğrudan nitelendirecek tekil verinin ihtiyacı ve kullanımı da aynı oranda artmıştır. Teknolojinin hızla gelişmesiyle birlikte de tüm kişisel bilgiler dijital ortamlarda tutulmaya başlamıştır. Bu sayede özellikle kişisel verilere ulaşım ve işleme hızlanmıştır. Bunun neticesi olarak kamu kurum ve kuruluşlarında, özel kuruluşlarda kişisel veriler işlenerek kullanılmaya başlamıştır. Hastanelerde, marketlerde, alışveriş merkezlerinde, bankalarda ve daha birçok alanda kişisel veriler depolanarak işlenmektedir. Bu verileri kullanarak çeşitli pazarlama yöntemleri deneyen veri kütüğü sahibi kurumlar veri kullanım sınırlarını aşarak kişisel verileri amacı dışında kullanmaktadırlar. Son zamanlarda kişilik haklarını ihlal edecek seviyede görülen bu yanlış kullanımları düzenleme altına almak için hazırlanan kanun tasarı aşamasında olup yürürlüğe girmesi için son çalışmalar yapılmaktadır. Ayrıca Türkiye'nin Avrupa Birliği (AB) uyum çalışmaları içinde kişisel verilerin kullanımının düzenlenmesi yer almaktadır.

Kişisel Verilerin Korunması Kanun Tasarısı Neleri Düzenlemektedir?

Kişisel Verilerin Korunması Kanun Tasarısı 22 Nisan 2008 tarihinde son şeklini alarak kanunlaşmayı beklemektedir. AB vatandaşlarının kişisel verileri üzerindeki haklarını düzenleyen kanuna benzer şekilde hazırlanan Kişisel Verilerin Korunması Kanun Tasarısı’nın amacı kişisel verilerin kullanılmasında, depolanmasında hem kişinin haklarını korumak hem de veri sahibinin uyacağı kuralları düzenlemektir. Bu yüzden temelde tasarı ile kişilik haklarının korunması amaçlanmıştır. Türkiye’de çeşitli kamu ve kuruluşlarında, özel kuruluşlarda kişisel verilerin işlenmesi, depolanması kişisel veri sahibinin veri üzerindeki haklarını göz ardı etmektedir.  Bu eksikliği düzenlemek amacıyla oluşturulan kanun tasarısı kişisel veri sahibinin haklarını koruyucu nitelikte düzenlenmiştir. Örneğin, kişisel veri işleyen kurumlar kişisel veri sahibine talep edildiği zaman hangi bilgileri işlediğini, ne kadar süre ile işlediğini ve amacının ne olduğunu açıklamak zorunda olacaktır. Ayrıca kişisel veri sahibi işlenen bu verilerde herhangi bir yanlışlık olması durumunda silinmesini, değiştirilmesini talep edebilecektir. Bu sistemin işleyişini de yine oluşturulacak Kişisel Verilerin Korunması Kurul’u kontrol edecektir. Bu kurul ayrıca olası anlaşmazlıklarda veri kütüğü sahibine çeşitli yaptırımlar uygulayarak veri sahibinin haklarını koruyacaktır.
Kanun tasarısı kişisel verilerin korunmasında temel kuralları düzenlediği için kişisel verilerin işlenmesinde kişisel veriyi işleyen kurumun amaçlarını da düzenlemektedir. Kişisel verilerin toplanma, işlenme amacı açık olacak. Herhangi bir hukuka uygunsuzluk olmayacak. Bu da madde 5’te düzenleme altına alınmıştır.

MADDE 5- (1) Kişisel verilerin;
Hukuka ve dürüstlük kurallarına uygun olarak işlenmesi, zorunludur.
Örneğin; hastalarının detaylı bilgilerini tutan bir hastane bu bilgileri kullanırken hukuka uygunsuz bir şekilde kullanamayacak. Gerektiğinde güncellenebilecek, kullanım süresi dolduğunda ise yok edilecek.  
Kanun tasarısı ayrıca hassas verileri de kapsam altına alıyor. Hassas veri kişisel verilerden farklı olarak kişinin toplum içinde dışlanmasına, gruplaştırılmasına yol açabilecek verilerdir. Siyasi görüş, din, ırk, mezhep, sağlık gibi bilgiler toplumda ayrımcılığa uğrama tehlikesi içerdiği için kanun hassas verilerin istisnalar dışında işlenmesini engelleyecektir. Hassas verilerin işlenmesiyle ilgili olarak kısıtlamalar madde 7’de getirilmiştir.
MADDE 7- (1) Kişilerin ırk, siyasî düşünce, felsefî inanç, din, mezhep veya diğer inançları, dernek, vakıf ve sendika üyeliği, sağlık ve özel yaşamları ve her türlü mahkûmiyetleri ile ilgili kişisel veriler işlenemez.

Sonuç ve Değerlendirme

Kişisel Verilerin Korunması Kanun Tasarısı Türkiye için büyük önem taşıyan ve son zamanlarda ihtiyacı oldukça fazla hissedilen konuların başında yer almaktadır. Bilgi toplumuna hızla uyum sağlamaya çalışan Türkiye’de bilginin doğru ve gerektiği kadar kullanılmaması sonucu kişisel verilerin kontrolsüz bir şekilde dağıtılması ve işlenmesi takip edilemez bir hale gelmiştir. Bu durumun geniş kapsamlı önlemini almak için hazırlanan, özellikle veri sahibinin veri üzerindeki haklarını düzenleyen ve ayrıca veri kütüğü sahibinin işleme, saklama esaslarını belirleyen bir kanunun eksiksiz ve çelişkilere izin vermeden yürürlüğe girmesi beklenmektedir.  Bu yüzden bu yazı eleştiri ve bilgilendirme amacıyla yazılmıştır. Eleştirilen maddelerin kanunlaşması durumunda yukarıda bahsedildiği gibi aksaklıkların çıkabileceği öngörülmüştür.

Kişisel verilerin korunması hakkında 1998 yılında İngiltere’de hazırlanan Data Protection Act’ta da bahsedilen aşağıdaki temel prensipler düşünülmelidir.
·       Kişisel verileri hukuka uygun bir şekilde elde edilmelidir.
·       Kişisel veriler hukuka uygun olarak kullanılmalıdır.
·       Kişisel verilerin kullanımı herhangi bir şekilde kullanım amacını aşmamalıdır.
·       Kişisel veriler gerçeğe uygun olmalıdır, aksi durumlarda güncelliği sağlanmalıdır.
·       Kişisel veriler kullanım amacına uygun bir süre boyunca saklanmalıdır.
·       Kişisel veriyi kullanan kişiler verilerin korunması için gerekli teknik önlemleri almalıdır.
·       Kişisel veri sahibinin veri üzerinde hakları tanımlanmalıdır.
Bu bilgiler ışığında incelenen Kişisel Verilerin Korunması Kanun Tasarısı genel hatlarıyla kanun haline gelmeye hazır olarak gözükmektedir. Belirtilen eleştirilerin giderilmesinden sonra yürürlüğe girmesinin daha sağlıklı olacağı düşünülmektedir.

Kaynaklar

1.    Ceylin BEYLİ, Kişisel Verilerin Korunması Hakkında Kanun Tasarısı Üzerine Eleştiriler, 2004,
2.     Leyla Keser,  Hakkımızda Ne Bilindiğiniz Biliyor muyuz?, 2008 
3.     Data Protection Act, İngiltere, 1988,