Bilindiği üzere Türkiye'nin AB'ye katılım müzakereleri 3 Ekim 2005 tarihinde başlamıştır. Aynı tarihte, müzakerelerin usul ve esaslarını belirleyen "Müzakere Çerçeve Belgesi" de kabul edilmiş olup müzakereler 35 fasıl üzerinden yürütülmektedir. 

Kişisel verilerin korunması konusu ise bağımsız bir başlık olarak 23. Fasıl olan “Yargı ve Temel Haklar” başlığı altında ele alınmıştır. Ayrıca 24. Fasıldaki Polis Işbirliği başlığı altında “Bilgi Toplumu ve Medya” ve “Tüketici ve Sağlığın Korunması” gibi fasıllar ile kişisel bilgilerin iletilmesi, işlenmesi ve saklanması ile ilgili olan diğer fasıllardaki toplantılarda gündeme gelen kişisel verilerin korunması hususu AB Komisyonunca sürekli üzerinde durulan bir konudur.

Söz konusu müzakereler ve toplantılarda en çok üzerinde durulan konuların başında kişisel verileri korumak üzere kurulması gereken kurumun niteliği olmuştur. Bu bakımdan; kurumsal, işlevsel ve mali yönden bağımsızlık aranan en temel şartlardandır. 

Bu bakımdan, Adalet Bakanlığınca hazırlanarak Başbakanlığa iletilen kanun tasarısının getirmeyi öngördüğü hukuksal düzenleme hakkında kısaca şu ifadelerde bulunmak yerinde olacaktır.

Öncelikle belirtmek gerekir ki bu tasarıyla amaçlanan hususlardan en önemlisinin kişinin mahremiyet hakkı ile bilgi güvenliği hakkının korunması olduğu ifade edilebilecektir. Zira, kişisel verilerin yetkisiz kişiler tarafından elde edilmesi, kullanılması ve ifşa edilmesi gerek taraf olduğumuz sözleşmeler ve gerekse Anayasamızda koruma altına alınan temel hakların ihlali olarak karşımıza çıkmaktadır.

Önceki tasarı metinlerinin aksine yeni tasarıyla sadece gerçek kişilerin verilerinin değil tüzel kişilerin verilerinin de korunması öngörülmektedir. 

Tasarının 4. maddesiyle kişisel verilerin işlenmesi konusu düzenlenmekte, buna ilişkin genel ilkeler belirlenmektedir. Buna göre kişisel verilerin hukuka ve dürüstlük kurallarına uygun olarak işlenmesi, belirli, açık ve meşru amaçlar için toplanması ve bu amaçlara aykırı olarak yeniden işlenmemesi gerekmektedir. Ayrıca bu veriler, toplandıkları amaçla bağlantılı, yeterli ve orantılı olmalı, doğru olmalı ve gerektiğinde güncellenmelidir. Kişisel verilerin, ilgili kişilerin kimliklerini belirtecek biçimde ve gerekli olan süre kadar muhafaza edilmesi zorunludur. Bu ilkelerin tüm veri işlemelerinde dikkate alınması gerekmektedir. 

Kişisel veriler belirli bazı haller haricinde ancak ilgili kişinin açık rızasıyla işlenebilecektir. (m. 5). Kural olarak, kişisel veriler ilgili kişinin açık rızasıyla işlenebilecektir. İlgili kişinin açık rızasının bulunmaması halinde ancak, Tasarıda yedi bent halinde tahdidi olarak sayılan durumlarda veri işlenebilecektir. Bu yedi bent aşağıdaki durumları kapsamaktadır: a) Kanunlarda açıkça öngörülmesi. b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması. c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması. ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması. d) İlgili kişinin kendisi tarafından alenileştirilmiş olması. e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması. f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

Tasarının 6. maddesiyle özel nitelikteki kişisel veriler için işlem yasağı getirilmektedir. Tasarı, kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik verileri “özel nitelikteki kişisel veri” olarak kabul etmiş ve bu tür verilerin kural olarak işlenemeyeceğini hükme bağlamıştır. Bu kapsamda Tasarı, özel nitelikteki kişisel verilerin işlenmesini “yeterli önlemlerin alınması şartına” ve ilgili maddede tahdidi olarak sayılan durumların varlığına bağlamıştır.

Muhafaza edilmesine artık ihtiyaç duyulmayan veriler silinecek, yok edilecek veya anonim hale getirilecektir (m. 7). Bu hususa ilişkin olarak ilgililerin talepleri de dikkate alınacaktır.

Tasarıyla üçüncü kişilere ve yurt dışına veri aktarımı da düzenlenmektedir. (m. 8 - 9). Bu hususlarda aranan öncelikli şart, ilgililarin açık iznidir.

Tasarı ile veri sorumlularına, ilgili kişilere bilgi verme yükümlülüğü; verileri işlenen kişilere ise bilgi edinme, düzeltme isteme gibi bir takım haklar getirilmektedir. (m. 10–11). İlgili kişiler, veri sorumlularına başvurularını yazılı olarak veya Kurulun belirleyeceği yöntemlerle yapacak ve bu başvurulara en geç otuz iş günü içinde cevap verilecektir. Başvurulara cevap verilmediği veya olumsuz cevap verildiği hallerde ilgili tarafından veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve her halde başvuru tarihinden itibaren altmış gün içinde Kurula şikâyette bulunulabilecektir.

Tasarıyla “Veri Sorumluları Sicili” kurulmaktadır (m. 16). “Veri Sorumluları Sicili” ile, kamuoyuna açık olarak tutulacak ve veri işleyen gerçek ve tüzel kişilerin veri kayıt sistemi kurmadan önce kaydolmak zorunda olacakları bir sistem öngörülmektedir. Bu sicilde; veri işleyenlerin kimlik, adres ve iletişim bilgileri, hangi kategorideki verileri işledikleri, bu verileri üçüncü kişilere veya yurtdışına aktarıp aktaramayacağı gibi bilgiler kamuya açık olarak tutulacaktır. 

En önemli noktalardan birisi de, tasarıyla ayrıca Kanunun uygulanmasını sağlayacak ve denetleyecek bir “Kişisel Verileri Koruma Kurumu”  ve “Kişisel Verileri Koruma Kurulu” kurulmaktadır (m. 19 - 20).

Anılan kurum ve kurul teşkilatlanmasının yukarıda belirtilen kurumsal, işlevsel ve mali yönden bağımsızlık kriterlerini karşılayıp karşılamayacağını süreç içerisinde göreceğimizi ümit ediyorum.

Kişisel verilerin işlenme şartlarının, bireylerin aydınlatılmasının ve bilgilendirilmesinin, kanunun uygulanmasını sağlayacak ve denetleyecek, düzenleyecek bir otoritenin oluşturulmasının, veri güvenliğine ilişkin gerekli tedbirlerin önceden alınmasının temel kriterler olarak kabul edildiği kişisel verilerin korunması hukukunda, hazırlanan yasa tasarısının sunmuş olduğu düzenlemeleri takdirlerinize sunuyorum.

Daha özgür, daha güvenli ve daha geniş bir adalet alanı kurmayı hedefleyen yeni Türkiye için söz konusu yasa tasarısının, uygulanabildiği takdirde sağlam bir yasal çerçeve oluşturacağını belirtmek istiyorum.

Saygılarımla,
Avukat Meltem Banko