Lizbon Anlaşmasının yürürlüğe girmesinden sonra Avrupa Birliği anlaşmaları ile eşdeğer statü tanınan Avrupa Birliği Temel Haklar Şartı'nın 8. maddesinde kişisel verilerin korunması, özel hayatın gizliliğinden bağımsız ve ayrı bir hak olarak ortaya çıkmış ve pek çok Avrupa ülkesinin anayasasında yerini almıştır. Avrupa Birliği ve dünyadaki gelişmelere paralel olarak Türkiye’de de 2004 yılında kabul edilen Türk Ceza Kanunu’nda kişisel veriler koruma altına alınmış (TCK md.135 vd.) ve ardından 2010 yılında yapılan referandum ile kişisel verilerin korunması anayasal güvenceye kavuşturulmuştur (AY md 20/3).
Kişisel verilerin korunması meselesi özellikle Avrupa Birliği seviyesinde uluslararası polis ve adli işbirliğinin de ön şartıdır. Bunun da etkisiyle uzun bir zaman zarfı boyunca kurumlarımız AB müktesebatı ile tam uyumlu bir tasarı hazırlama çabalarını sürdürmüştür. Bu sürecin sonuna gelinmiş, tasarı Başbakanlık tarafından TBMM’ye sevk edilmiş ve Meclis gündemindeki yerini almıştır.
Asıl önemli husus şudur: Neden bir kişisel verilerin korunması kanununa ihtiyaç duyulmaktadır?
Öncelikle kişisel verinin neyi ifade ettiğini belirtmek gerekmektedir. Kişisel veri, kişilerin isimleri, adresleri, telefon numaraları, hastalıkları, banka hesap numaraları, kredi kartları, şifreleri, mali kayıtları, aldığı cezalar, arkadaşları, akrabaları gibi belirli veya belirlenebilir bir kişiyle ilgili tüm bilgilerdir. Bu veriler, bugün hayatın her alanında gerek kamu ve gerekse özel sektör tarafından yaygın olarak kaydedilmekte, başkalarına transfer edilmekte ve paylaşılmaktadır. Özellikle bilgisayar ve internet aracılığıyla bu bilgilerin yaygın olarak kullanıldığı görülmektedir.
Ülkemizde kişisel verilerin işlenmesiyle ilgili yeterli ve açık bir yasal düzenleme bulunmamaktadır. Bu verilerin kontrolsüz şekilde işlenmesi, bazı temel hakların ihlal edilmesine sebep olabilmektedir. Örneğin, kamuoyunda “fişleme” olarak bilinen; yasal dayanağı olmaksızın kişilerin çok özel ve hassas bilgilerinin kaydedildiğine ve arşivlendiğine ilişkin yaygın bir kanaat bulunmaktadır.
Tam bu noktada gerçekten de ülkemizde kişisel verilerin işlenmesi sürecini düzenleyen mevzuat olmadığı, bu süreci kontrol edecek ve denetleyecek bir kurumun da bulunmadığı görülmektedir.
5237 sayılı Türk Ceza Kanununun 135 ve devamı maddelerinde, kişisel verilerin hukuka aykırı olarak elde edilmesi, kaydedilmesi veya ifşa edilmesi fiilleri suç olarak düzenlenmiş ve yaptırıma bağlanmıştır. Bununla birlikte, kişisel verilerin işlenmesine yönelik bir kanunun bulunmaması sebebiyle, bu fillerin ne zaman hukuka aykırı, ne zaman hukuka uygun olduğunun belirlenmesinde tereddütlerin yaşandığı görülmektedir.
2010 yılında 5982 sayılı Kanunla Anayasada yapılan değişiklikle kişisel verilerin korunması temel bir hak olarak anayasal güvence altına alınmış ve detayların kanunla düzenleneceği belirtilmiştir (Anayasa m. 20/3). Yine de AB İlerleme Raporları, Katılım Ortaklığı Belgesi, 23. Fasıl Tarama Sonu Raporu gibi belgelerde bu konuda bir kanun bulunmaması önemli bir eksiklik olarak nitelendirilmektedir.
Ülkemizde kişisel verilerin korunması konusunda yasal bir düzenleme olmadığı ve kişisel verilerin korunmadığı gerekçesiyle, Avrupa Polis Teşkilatı Europol ile “operasyonel işbirliği anlaşması” yapılamamaktadır. Mevcut işbirliği ve bilgi belge değişimi elektronik iletim hattından yapılamamakta, bu sebeple suç ve suçlularla mücadelede gecikmeler ve başarısızlıklar yaşanmaktadır. Ayrıca Ülkemiz, çalıntı oto, pasaport, Avrupa tutuklama müzekkeresi, aranan şahıslar ve istenmeyen yabancılar vb. konularda Avrupa Birliği üyesi ülkeler arasında kullanılan ve önemli verilerin paylaşıldığı Schengen Bilgi Sistemi imkânlarından yararlanamamaktadır.
Benzer şekilde Dışişleri Bakanlığı ile yabancı ülkeler arasında gerçekleştirilen askerlik, kimlik ve vatandaşlık gibi konulara yönelik bilgi paylaşımında tereddütler ve sorunlar yaşanmaktadır. Yabancı ülkelerden bu nitelikli veriler alınamamaktadır.
Sınır aşan organize suçlar konusunda Avrupa Bölgesel Savcılık Teşkilatı olarak bilinen EUROJUST ile “operasyonel işbirliği” yapılamamaktadır. Bu nedenle yargı alanında suçluların iadesi, bilgi ve belge paylaşımı konularında sıkıntılar yaşanmaktadır.
Kişisel verilerin korunmasına yönelik bir kanunun olmaması, yabancı sermayenin Ülkemizde yatırım yapmasını zorlaştırmakta ve hatta engellemektedir. Özellikle Avrupa’daki yabancı sermaye sahipleri, ellerindeki kişisel verileri Türkiye’deki iştiraklerine aktaramamaktadırlar. Avrupa ülkelerindeki mevzuat, buna izin vermemektedir. Diğer yandan işadamlarımız, yabancı ülkelerdeki ortaklarından veri alamamakta ve sorun yaşamaktadırlar. Bazı Avrupa ülkelerindeki ulusal ve uluslararası ihalelere girmek için kişisel verilerin etkin şekilde korunması koşulu aranmaktadır. Ülkemiz, kişisel verilerin korunmasına ilişkin mevzuat alt yapısına sahip olmadığından veri transferi konusunda “güvenilmez ülke” olarak nitelendirilmektedir.
Tüm bu hususlar artık bu konuda bir kanuni düzenlemenin mevcut olması gerektiğine zaten işaret etmektedir.
Peki söz konusu kanuni düzenleme hangi yenilikleri ihtiva etmektedir, sonraki yazımda bu konuya değineceğim.
Saygılarımla
Avukat Meltem Banko
