TÜRKİYE BÜYÜK MİLLET MECLİSİ AVRUPA BİRLİĞİ UYUM KOMİSYONU. Esas No: 1/ Karar No: 37 TÜRKİYE BÜYÜK MİLLET MECLİSİ BAŞKANLIĞINA

Transkript

1 TÜRKİYE BÜYÜK MİLLET MECLİSİ AVRUPA BİRLİĞİ UYUM KOMİSYONU Esas No: 1/ Karar No: 37 TÜRKİYE BÜYÜK MİLLET MECLİSİ BAŞKANLIĞINA Adalet Bakanlığı tarafından hazırlanan ve Bakanlar Kurulunca Başkanlığınıza sunulan 1/1009 esas numaralı Kişisel Verilerin Korunması Kanunu Tasarısı, 5 Ocak 2015 tarihinde Komisyonumuza havale edilmiştir. Kişisel Verilerin Korunması Kanunu Tasarısı, ilk olarak 23. Yasama Döneminde Türkiye Büyük Millet Meclisine (TBMM) sunulmuştur. TBMM Başkanlığınca 1/576 esas numarasıyla AB Uyum Komisyonuna havale edilen 41 maddelik bu Tasarı, Komisyonun 20/05/2008 tarihli 17. Toplantısı nda görüşülerek karara bağlanmış ve rapor, esas komisyon olan Adalet Komisyonuna gönderilmiştir. Tasarı, Adalet Komisyonunca alt komisyona sevk edilmiş, 23. Yasama Döneminde sonuçlandırılamadığından hükümsüz kalmıştır. 1/1009 esas numaralı Tasarı, Komisyon Başkanı Mehmet TEKELİOĞLU başkanlığında toplanan Komisyonumuzun 14 Ocak 2015 tarihli 24 üncü Toplantısı nda; Adalet Bakanlığı, Avrupa Birliği Bakanlığı, Sağlık Bakanlığı, Bilgi Teknolojileri ve İletişim Kurumu ile Telekomünikasyon İletişim Başkanlığı ve Avrupa Birliği Türkiye Delegasyonu temsilcilerinin katılımıyla görüşülmüştür. Toplantı ya sivil toplum kuruluşları (STK) ciddi düzeyde ilgi göstermiştir. Toplantı da temsilci bulunduran ve katkılarını sunan STK lar şunlardır: Alternatif Bilişim Derneği Bilgi Güvenliği Derneği Denge ve Denetleme Ağı İnsan Hakları Derneği (İHD) İnsan Hakları ve Mazlumlar İçin Dayanışma Derneği (MAZLUMDER) Mobil İletişim Araçları ve Bilgi Teknolojileri İş Adamları Derneği (MOBİSAD) Mobil Servis Sağlayıcı İş Adamları Derneği (MOBİLSİAD), Müstakil Sanayici ve İş Adamları Derneği (MÜSİAD) Serbest Telekomünikasyon İşletmecileri Derneği (TELKODER) Telekomünikasyon ve Enerji Hizmetleri Tüketici Hakları ve Sektörel Araştırmalar Derneği (TEDER) Tüm Telekomünikasyon İş Adamları Derneği (TÜTED) Türk Sanayicileri ve İş Adamları Derneği (TÜSİAD) Türkiye Bilişim Sanayicileri Derneği (TÜBİSAD) Türkiye Bilişim Vakfı (TBV) Türkiye Odalar ve Borsalar Birliği (TOBB) 1

2 Sektörde faaliyet gösteren kuruluşlardan Google, Koç Topluluğu (Tanı A.Ş.), Microsoft, Procter&Gamble, Türk Telekom ve Esin Avukatlık Ortaklığı temsilcileri de Toplantı da hazır bulunmuşlardır. Ayrıca, Komisyonumuza ulaştırılan tüm yazılı görüşler, esas komisyon olan Adalet Komisyonuna gönderilmiştir. Tasarı üzerinde ilk söz Adalet Bakanlığı temsilcisine verilmiştir. Temsilci, sunuş konuşmasında Tasarı ya ilişkin olarak aşağıdaki bilgileri paylaşmıştır: - Kişisel verilerin korunması konusunda Adalet Bakanlığı bünyesinde kurulan bilim komisyonunca hazırlanan Tasarı, Bakanlar Kurulunca 2008 yılında TBMM ye sevk edilmiştir. Adalet Komisyonunun, gündemine alarak alt komisyona sevk ettiği bu Tasarı hükümsüz kalmıştır yılında yeni bir çalışma grubu oluşturulmuş ve önceki Tasarı dan bağımsız bir Tasarı hazırlanarak TBMM Başkanlığına sunulmuştur. - Tasarı hazırlanırken Avrupa Birliği nin 95/46/EC numaralı Kişisel Verilerin İşlenmesi Sırasında Gerçek Kişilerin Korunması ve Serbest Veri Trafiği Direktifi ile 2010 yılında değiştirilen ve kişisel verilerin korunmasını bireysel bir hak olarak anayasal güvenceye kavuşturan Anayasa nın 20 nci maddesi dikkate alınmıştır. - Kişisel verilerin korunması, her bir vatandaşı olduğu gibi kamu sektörünü ve özel sektörü de doğrudan ilgilendiren ve çok dikkatli düzenlenmesi gereken hassas bir alandır. - Tasarı, sadece gerçek kişilerin verilerinin korunmasına yöneliktir. Kişisel veriler, kural olarak ancak ilgililerin rızasıyla işlenebilecektir. - Tasarı, hem Türkiye nin AB üyesi ülkelerle olan operasyonel bağlantılarının daha üst seviyede yürümesini hem de vatandaşların kişilik haklarının azami düzeyde korunmasını temin etmek amacıyla hazırlanmıştır. - Kişisel verilerin korunması alanının bir kanun marifetiyle düzenlenmesi; yerli girişimcilerin yurt dışındaki faaliyetlerinin desteklenmesi ve yabancı yatırımcıların Türkiye ye gelmesinin teşvik edilmesi adına çok önemlidir. - Tasarı yla, kişisel verisi işlenecek olan veri süjesinin ya da ilgili kişi olarak tanımlanan kişinin hakları ve buna karşılık veri işleyen tarafın sorumlulukları ve yükümlülükleri düzenlenmektedir. - Tasarı, kişisel verileri işleyen gerçek ve tüzel kişilerin veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmasını; bu suretle, özel ve kamusal sektörde kimlerin kişisel veri işleyeceğinin bilinmesini öngörmektedir. - Tasarı da, başta istihbari faaliyetler olmak üzere, yargısal faaliyetler, kişilerin aile hayatı içerisinde tutmuş oldukları kişisel veriler ve basın özgürlüğü çerçevesinde işlenen veriler istisna tutulmuştur. - Tasarı yla, yedi üyesinin tamamı Bakanlar Kurulu tarafından atanan, Adalet Bakanlığıyla ilişkili olan ve kendi özel bütçesine sahip bulunan Kişisel Verileri Koruma Kurulu oluşturulmaktadır. - Tasarı, Türk Ceza Kanunu nun 135 ve devamı maddelerinde kişisel verileri haksız olarak kaydeden, ele geçiren ve yayanlarla ilgili öngörülen cezai yaptırımlara atıf yapmakta ve para cezası şeklinde yeni idari yaptırımlar düzenlemektedir. - 95/46/EC numaralı Direktif te yer almayan unutulma hakkı, yani kişinin kendisiyle ilgili verilerin silinmesini talep etme hakkı, AB Genel Veri Koruma Tüzüğü Taslağı nın önemli unsurlarından bir tanesidir. Tasarı, bu anlamda sadece yurt içindeki verilerin silinmesi 2

3 veya anonim hâle getirilmesini düzenlemektedir. Tüzük ün kabulü hâlinde yurt dışında da bu noktada mesafe alınabilecektir. - Hâlihazırda yürürlükte bulunan mevzuata istinaden elde edilmiş kişisel veriler, büyük ölçüde Tasarı nın öngördüğü düzenlemelerle uyum içerisinde olacaktır. - Avrupa ülkelerinin birçoğundaki veri koruma kurullarının üyeleri, hükûmet ya da kral tarafından atanmaktadır. Türkiye deki Kurulun oluşumu da buna uygundur. Ayrıca Kurul, ilişkili olduğu bakana yılda iki kez, TBMM ve Bakanlar Kuruluna da yılda bir kez faaliyetleri hakkında rapor verecektir. - Tasarı nın 24 üncü maddesi düzenlenirken 95/46/EC numaralı Direktif in 13 üncü maddesinde yer alan istisnalar dikkate alınmıştır. 24 üncü maddede sayılan kamu kurumlarına, sadece istihbari faaliyetleri bakımından muafiyet getirilmektedir. Avrupa Birliği Bakanlığı temsilcisi, Tasarı yı AB mevzuatı açısından değerlendirerek şu tespitlerde bulunmuştur: - 95/46/EC numaralı Direktif in temel amaçlarından birisi, kişisel verilerin korunmasına yönelik genel standartları ortaya koymak ve verilerin korunması alanında üye ülkeler arasındaki uygulamaları yakınlaştırmaktır tarihli AB Temel Haklar Şartı nın 8 inci maddesi ile Avrupa Birliği nin İşleyişi Hakkında Antlaşma nın 16 ncı maddesinde de kişisel verilerin korunması bir hak olarak düzenlenmiştir. Üye ülkeler, bahsi geçen mevzuat ışığında kendi kanunlarını hazırlayarak yürürlüğe koymuşlardır. - AB de, 2012 yılından bu yana kişisel verilerin korunması reformu süreci yaşanmaktadır. 95/46/EC numaralı Direktif in, üye ülkelerin kendi mevzuatlarına aktarılmasında ortaya çıkan sorunlar, polis ve adli iş birliği alanının Direktif in kapsamı dışında kalması ve yirmi yıllık süreçteki teknolojik gelişmeler böyle bir reform ihtiyacını beraberinde getirmiştir. Reform çalışmaları, kişisel verilerin korunmasının bireysel bir hak olmasının yanı sıra bu verilerin ekonomik değer ifade ettiği gerçeğini de gözeterek yürütülmektedir. Tüzük Taslağı na yönelik olağan yasama usulü bu çerçevede devam etmektedir. - AB Bakanlığı tarafından 30 Ekim 2014 tarihinde açıklanan AB ye Katılım İçin Ulusal Eylem Planı nın I. Aşaması adlı belgede, kişisel verilerin korunmasına ilişkin kanuni düzenlemenin 2015 yılı Haziran ayına kadar hayata geçirilmesi öngörülmektedir. Öte yandan, 30 Eylül 2013 te açıklanan Demokratikleşme Paketi nin içerdiği tedbirlerden bir tanesi de bu Tasarı nın yasalaşmasıdır. Adalet Bakanlığınca hazırlanan Avrupa İnsan Hakları Sözleşmesi İhlallerinin Önlenmesine İlişkin Eylem Planı nda da kişisel verilerin uluslararası standartlarda korunması için bu Tasarı nın yasalaşmasının önemine dikkat çekilmektedir. - İlerleme raporlarında, Türkiye nin, kişisel verilerin korunması alanında AB müktesebatıyla uyumlu düzenlemeleri hayata geçirmesi, bağımsız bir veri koruma ve denetleme bürosu kurması gerektiği belirtilmiştir. Tasarı, bu doğrultuda 95/46/EC numaralı Direktif dikkate alınarak Adalet Bakanlığı ve AB Bakanlığının istişareleri ile hazırlanmıştır. - Tasarı nın düzenlediği alan, şu beş AB müzakere fasılıyla ilişkilidir: Yargı ve Temel Haklar; Adalet, Özgürlük ve Güvenlik; Bilgi Toplumu ve Medya; Tüketicinin ve Sağlığın Korunması; Sermayenin Serbest Dolaşımı. - Adalet, Özgürlük ve Güvenlik Faslı gayriresmî tarama sonu raporlarında kişisel verilerin korunmasını düzenleyen genel bir kanunun çıkarılması ihtiyacına yer verilmiştir. 3

4 Yine, Bilgi Toplumu ve Medya Faslı kapsamında, özellikle kişisel verilerin elektronik haberleşme sektöründe korunmasına ilişkin bir çerçeve çizilmektedir. - Tasarı nın kanunlaşması, Türkiye nin, AB Polis Teşkilatı EUROPOL ve AB Adli İş Birliği Birimi EUROJUST ile olan ilişkilerinin operasyonel bir boyut kazanması açısından çok önemlidir. - AB ile yürütülmekte olan Vize Serbestisi Diyaloğu kapsamında Türkiye nin atması gereken muhtelif adımlar mevcuttur. Bunlardan bir tanesi de, kişisel verilerin korunmasının kanunla düzenlenmesidir. Bu adımın atılması durumunda Türkiye dört yükümlülüğü daha yerine getirmiş olacaktır. - AB Genel Veri Koruma Tüzüğü Taslağı nın 48 inci maddesinin birinci fıkrasında, veri koruma kurulu üyelerinin parlamento ya da hükûmetler tarafından seçilmesi öngörülmektedir. Tasarı nın 20 nci maddesi bununla uyumludur. Avrupa Birliği Türkiye Delegasyonu temsilcisi, Tasarı yla ilgili şu görüşleri dile getirmiştir: - AB, temel bir hak olarak gördüğü kişisel verilerin korunması konusuna özel bir önem atfetmektedir. Türkiye, sadece AB üyesi ülkelerin iyi uygulamalarından değil aynı zamanda AB kurumları ve bilhassa AB Komisyonunun uzmanlık kapasitesinden de faydalanmayı düşünmelidir. - AB müktesebatı, verilerin korunmasında yetkili kılınan makamın tam bağımsızlığını öngörmektedir. Bu sebeple, AB, Türkiye deki kanun yapıcılara bu modeli referans olarak göstermektedir. Tasarı da, Kişisel Verileri Koruma Kurulunun özel bir bütçeye sahip olmasının öngörülmesi memnuniyet vericidir. Bununla birlikte, Kurulun, Adalet Bakanlığıyla ilişkilendirilmesi ve üyelerinin Bakanlar Kurulu tarafından atanması tam bağımsız olmamasına yol açabilecektir. - Kişisel verilerin korunması ihlallerinde kamu idarelerinin sorumluluğuna yönelik açık ifadelerin Tasarı ya yansıtılması yararlı olacaktır. - Kişisel verilerin 24 üncü madde uyarınca basın özgürlüğü çerçevesinde işlenebilmesi sadece gazetecilerin basın özgürlüğü kapsamında gerçekleştirdiği faaliyetlerle sınırlı olmamalı; aynı zamanda sanatsal, edebî, tarihî ve bilimsel kullanım da maddenin kapsamına dâhil edilmelidir. Zira AB üyesi ülkelerdeki genel eğilim ve yasal düzenlemeler bu yöndedir. Sivil toplum kuruluşu temsilcilerinin Tasarı yla ilgili değerlendirmeleri şöyledir: - AB nin hâlen üzerinde çalışmakta olduğu Genel Veri Koruma Tüzüğü, son derece katılımcı bir yaklaşımla hazırlanmıştır. AB ye uyum sağlamanın bir yolu da bu tür katılımcı süreçleri benimsemekten geçmektedir. - Dünya çapındaki dinlemeler, yurttaşların mahremiyet konusundaki duyarlılıkları ve teknolojik gelişmeler AB yi yeni düzenlemeler yapmaya zorlamaktadır. Tasarı nın hazırlanmasında bu hususların yeterli ölçüde gözetildiğini söylemek güçtür. - Kişisel Verileri Koruma Kurulu bu hâliyle tam bağımsız değildir ve bu durumun AB ilerleme raporlarında eleştiri konusu edileceği muhakkaktır. - Tasarı da, Kurulun yapısı temel sorun olarak görünmektedir. Örneğin 20 nci maddenin birinci fıkrası, Kurulun iki üyesinin avukatlar veya hâkimler arasından seçilebilmesine ve dolayısıyla iki üyenin de hâkim yani kamu görevlisi olabilmesine imkân 4

5 tanımaktadır. Söz konusu madde, Kurulda avukatlardan bir temsilcinin yer almasını garanti etmediği gibi yer alsa bile seçimin barolar tarafında yapılmasına da imkân tanımamaktadır. Avukatlara bir üyeliğin garanti edilmesi ve Bakanlar Kurulunun, baroların belirlediği üç aday arasından tercihte bulunması gibi bir seçenek üzerinde durulmalıdır. - Tasarı da, vefat eden kişinin kişisel verilerinin, varisleri tarafından alınabilmesine ilişkin bir düzenlemeye ihtiyaç vardır. - Sektörde faaliyet gösteren kuruluşların, ilgili kişilerden yazılı muvafakat almak suretiyle oluşturdukları son derece hacimli veri tabanları bulunmaktadır. Yürürlükteki mevzuata uygun olarak oluşturulan bu tür veri tabanlarındaki kişisel verilerin geçerliliğini koruyacağına dair bir geçici maddenin Tasarı ya eklenmesi düşünülmelidir. - Özel nitelikli kişisel verilerin korunması noktasında diğer kanunlara atıf yapılarak istisnalar öngörülmesi, Anayasa nın hakkın özüne dokunulamayacağı ilkesine aykırıdır. Bu atıflar çıkarılmalıdır. - Tasarı da açık rıza kavramı tanımlanmamıştır. Bu eksikliği gidermek adına 2002/58/EC numaralı AB Direktifi nde yer alan açık rıza tanımının Tasarı ya aktarılması yararlı olacaktır. Zira açık rıza kavramının net bir tanımının yapılmamış olması, ispat açısından hukuki sorunlar doğurabilecektir. Bu nedenle, rızanın verildiğinin ses kaydı, yazılı beyan, tanık gibi ispat vasıtalarıyla kanıtlanabileceği açıkça ifade edilmelidir. - Tasarı da ıslak imzanın yanı sıra güvenli elektronik imza bakımından da açıklayıcı bir ifadenin yer alması, Elektronik İmza Kanunu yla uyum sağlaması açısından önemlidir. - Tasarı da yer almayan açık veri ve üçüncü kişi gibi kavramların tanımlarının Tasarı ya ilave edilmesi faydalı olacaktır. - Tasarı nın 3 üncü maddesindeki veri işleyen tanımı, bu kişilerin, veri sorumlusunun otoritesi altında bulunan kişiler oldukları dikkate alındığında sorunludur. Mevcut tanıma göre bu kişiler, tazminat davalarının süjesi olabilecek ve istenmeyen durumlarla karşılaşılabilecektir. - Tasarı nın 3 üncü maddesinde yer alan veri sorumlusu tanımını netleştirmek için 95/46/EC numaralı Direktif in 2 nci maddesinden yararlanılmalıdır. Buna göre, veri sorumlusu, veri koruma hukukunun çok önemli esaslarından bir tanesi olan amaçla bağlantılı olarak, veri işleminin amaç ve araçlarını belirleyen taraf olarak tanımlanmalıdır. - Tasarı nın 4 üncü maddesinin (c) bendinde yer alan meşru amaçlar için işlenmek ibaresi sübjektif değerlendirmelere açık, muğlak bir ifade olduğu için madde metninden çıkarılmalıdır. - Tasarı nın İkinci Bölümünde sadece verilerin işlenmesi düzenlenmiş, verilerin toplanması ele alınmamıştır. 4 üncü maddede, verilerin işlenmesi yanında verilerin toplanmasına yönelik genel ilkelere de yer verilmesi, AB mevzuatına uyum açısından yerinde olacaktır. - Veriye dayalı faaliyet gösteren sektör kuruluşlarının, sektörün gelişimi bakımından bu verilere duydukları ihtiyaç ile bu düzenlemeyle korunması amaçlanan bireysel haklar arasındaki denge çok iyi kurulmalıdır. Bu çerçevede, yasanın yürürlüğe girmesinden sonra temin edilecek verilerle ilgili olarak, 5 inci maddenin (c) bendine, veri sorumlusunun sunduğu hizmet veya benzer bir hizmetle bağlantılı amaçlarla ilgili olma istisnasının getirilmesi yerinde olacaktır. 5

6 - Kişisel verilerin işlenme şartlarını düzenleyen 5 inci maddeye, abonelerin sözleşme imzalarken paylaştıkları kişisel verilerinin, abonelere uygun tarifeler ve çeşitli imkânlar sunabilmek maksadıyla işlenebilmesinin, o sözleşmeye istinaden mümkün olacağı hususunun eklenmesi düşünülmelidir. - Tasarı nın 5 inci maddesine, 95/46/EC numaralı Direktif in 7 nci maddesinin (f) fıkrasına uygun olarak veri işleme faaliyetinin veri sahibinin temel hak ve özgürlükleriyle ilgili menfaatlerini ihlal etmemek kaydıyla veri sorumlusunun meşru menfaatleri doğrultusunda gerekli olması şeklinde bir istisnanın eklenmesi uygun olacaktır. - 5 inci maddenin üçüncü fıkrasıyla getirilen Bir sözleşmenin kurulması ve ifasıyla doğrudan doğruya ilgili olma kaydının yanı sıra, sözleşmenin ifası sırasında sunulan hizmetleri de gözeterek fıkraya ticari hayatı koruyacak şekilde ibaresinin de eklenmesi faydalı olacaktır. - 95/46/EC numaralı Direktif in 7 nci maddesinde necessary kelimesinin tercih edildiği görülmektedir. Tasarı nın 5 inci maddesinde kullanılan zorunlu olması ibaresinin yerine Direktif e uygun bir şekilde gerekli olması ibaresinin kullanılması doğru olacaktır. - Tasarı nın 6 ncı maddesinin birinci fıkrasında düzenlenen özel nitelikli kişisel veriler arasına, cinsel yönelim ve cinsel kimlik kavramlarının da eklenmesi gerekmektedir. - Tasarı nın 9 uncu maddesinin veri sorumlusu için öngördüğü bilgilendirme yükümlülüğü, sektörde çalışan kuruluşlar açısından ciddi bir operasyonel yük getirecektir. Mevcut mevzuatın belirlediği sürelerin sonunda ilgili verilerin otomatik olarak silindiği dikkate alındığında, maddenin Tasarı metninden çıkarılması veya maddeye özel kanundaki hükümler saklı kalmak kaydıyla gibi bir ibarenin eklenmesi faydalı olacaktır. - Tasarı nın 9 uncu maddesinin ikinci fıkrasının öngördüğü, elektronik haberleşme sektörü için son derece maliyetli ve yerine getirilmesi neredeyse imkânsız bilgilendirme yükümlülüğü açısından 95/46/EC numaralı Direktif in 12 nci maddesinin (c) bendinde yer alan bunun imkânsız olduğu gösterilmezse veya orantısız çabayı gerektirmezse veya talep hâlinde şeklinde bir sınırlandırmaya gidilmesi gerekmektedir. - Tasarı nın 14 üncü maddesinin üçüncü fıkrasında devlet sırrından bahsedilmektedir. Devlet sırrı mevzuatta tanımlanmamış olduğundan, kamu kurumlarının keyfî uygulamaları söz konusu olabilecektir. İlgili fıkra bu doğrultuda gözden geçirilmeli ve madde metninden çıkarılmalıdır. - Kişisel Verileri Koruma Kurulunun oluşumunu düzenleyen 20 nci maddenin birinci fıkrası yeniden düzenlenerek özel sektörün Kurulda temsili garanti edilmelidir. Özel sektörden gelecek temsilcilerin, bu kesim tarafından gösterilecek adaylar arasından seçilmesi daha doğru olacaktır. - Yedi üyeli Kurulda, insan hakları alanında faaliyet gösteren sivil toplum kuruluşlarını temsil edecek bir üyenin yer almaması, giderilmesi gereken önemli bir eksikliktir. - Kişisel Verileri Koruma Kurulu üyelerine dokunulmazlık sağlanmalı, özlük hakları müsteşar düzeyine yükseltilmeli ve bunlar, TBMM tarafından seçilmelidir. Kurul, ancak bu şekilde yeterli güvence ve dolayısıyla bağımsızlığa sahip olabilecektir üncü maddede öngörülen muafiyetler, korumanın sınırını daraltmaktadır. En azından özel nitelikli kişisel verilerle ilgili mutlak koruma sağlayacak bir düzenlemenin hayata geçirilmesi elzemdir. 6

7 - Tasarı nın, istisnaları düzenleyen 24 üncü maddesinin kapsamı hayli geniş tutulmuştur. Hâlbuki AB mevzuatında, kamu kurum ve kuruluşları için mutlak değil belirli şartlara bağlı ve sınırlı bir muafiyet öngörülmektedir. Söz konusu muafiyetin, demokratik bir toplumun gereği olarak, ilgili kişiler ve ev sahibinin meşru menfaati dikkat alınarak, yetkili ve görevli kamu kurumlarının vazifelerini ifa edebilmeleri için ölçülü ve orantılı olarak tanınabileceği ifade edilmektedir üncü maddenin birinci fıkrasının (b) bendine, kişisel verilerin alınabilir hâle getirilmesi, maskeleme veya şifreleme gibi yöntemlerin kullanılması hususunun eklenmesi gerekmektedir. - AB Genel Veri Koruma Tüzüğü Taslağı nın 80 inci maddesi, kişisel verilerin korunması ile ifade özgürlüğü arasındaki dengenin gözetilmesini amaçlamaktadır. Buna uygun olarak, Tasarı nın 24 üncü maddesinin birinci fıkrasının (c) bendindeki basın özgürlüğüne ilişkin düzenlemenin daha geniş bir şekilde ele alınması uygun olacaktır. - Geçici 1 inci maddenin üçüncü fıkrasında öngörülen iki yıllık süre çok uzundur ve yeterli güvence vermekten uzaktır. - Geçici 1 inci maddede öngörülen iki yıllık geçiş sürecinden sonra yapılacak her türlü özel düzenlemede bu kanuna hiçbir şekilde istisna getirilmemesi, öngörülebilirlik ve belirlilik açısından sektörde çalışan kuruluşlar için son derece önem arz etmektedir. Komisyon üyesi milletvekillerinin Tasarı yla ilgili değerlendirmelerine aşağıda yer verilmiştir: -Kişisel verilerin korunması alanında hiçbir düzenlemenin olmaması doğru değildir. Bir an önce bu boşluğun giderilmesi ve zaman içerisinde, AB nin getireceği yeni düzenlemelere uygun güncellemelerin yapılması gereklidir. - Tasarı, hukuki bir altyapı oluşturarak bireylerin hâlihazırda özellikle sosyal medya üyelikleri üzerinden toplanan ve amacına uygun veya amacı dışında kullanılan kişisel verileri açısından bir koruma ve sınırlandırma getirmeyi amaçlamaktadır. Tasarı yı, vatandaşı fişlemeye yönelik bir düzenleme gibi yansıtmak haksızlık olacaktır. - Kişisel verilerin kullanımı, paylaşımı ve denetimi hayati konulardır. Bunların, böyle geniş bir platformda tartışılması memnuniyet vericidir. Ciddi bir emek ürünü olduğu anlaşılan bu Tasarı, son derece gerekli ve yerinde bir metindir. - Kişisel verilerin iyi niyetle kullanılması ve hakkında bilgi derlenen kişilerin haklarının korunması çok önemlidir. - Teknolojik gelişmeler ve sosyal medyanın yaygınlaşmasıyla, bilgiye ulaşmanın artık bir zorluğu kalmamıştır. Sadece kamu otoritesi ve kurumsal yapılar değil, şahıslar da herkesin her türlü bilgisine kolaylıkla ulaşabilmektedir. Buna, uluslararası çalışan istihbarat örgütlerini de eklemek gerekir. - Google, yakın zamanda, kendi platformunu, arama motorunu veya e-posta ortamını kullananların ürettikleri ve paylaştıkları bilgileri, istediği zaman, istediği kadar kullanabileceğini belirten bir deklarasyon yayımlamıştır. Bu suretle Google, kişisel verileri kendi uygun gördüğü üçüncü taraflarla paylaşacağını açıkça beyan etmiştir. - Kişiler, neyin kişisel veri olup olmadığını, kısmen de olsa belirleme hakkına sahip olmalıdırlar. 7

8 - Bir verinin silinmesi, yok edilmesi demek değildir. Oluşturulmuş bir veri, mevcudiyetini bir yerlerde mutlaka muhafaza eder. Verinin silinmesi, bu veriye ulaşımın önlenmesi anlamına gelir. Bu örnekten görüleceği üzere, kavramların doğru kullanılması çok önemlidir. - TBMM, Türkiye deki vatandaşların, sivil toplum kuruluşlarının, sektör temsilcilerinin en temel haklarından birine ilişkin bu düzenlemeyi bugüne kadar yapmayarak önemli bir kusur işlemiştir. - Tasarı nın hazırlık safhası yönetişime dayalı değildir ve bu yönüyle AB pratiklerine aykırıdır. AB Uyum Komisyonu, sivil toplum ve sektör temsilcilerine söz hakkı tanıyarak bu eksikliğin giderilmesine yönelik önemli bir adım atmıştır. - Tasarı nın, esasen bireylerin devlet karşısındaki haklarını, yani bireylerin kendileriyle ilgili veri toplayanlar karşısındaki haklarını korumak üzere kaleme alınmış olması gerekirken veri toplayanların bireyler karşısındaki yetkilerini esas alan bir metne dönüştüğü görülmektedir. - Tasarı da, daha ziyade, verileri toplayan veya işleyenlerin, yani devletin ve şirketlerin haklarının korunması, kişilerin haklarının ise geri planda kalması ciddi bir denge sorunu doğurmaktadır. - Türkiye nin imzaladığı 1948 tarihli İnsan Hakları Evrensel Beyannamesi, 1950 tarihli Avrupa İnsan Hakları Sözleşmesi, 1981 tarihli ve 108 sayılı Avrupa Konseyi Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi; 95/46/EC numaralı AB Direktifi nden önce yürürlüğe girmiş üç ayrı bağlayıcı metindir. - 95/46/EC numaralı Direktif, 1995 ten bu yana yürürlüktedir ve esas itibarıyla eskimiş bir metindir. Nitekim 2002 tarihli ve 2002/58/EC numaralı Elektronik İletişim Sektöründe Kişisel Verilerin İşlenmesi ve Mahremiyetin Korunması Direktifi, teknolojik gelişmelere cevap verebilmek için yürürlüğe konmuştur den beri çalışmaları sürdürülen ve henüz tasarı düzeyinde olan Genel Veri Koruma Tüzüğü (Regülasyonu) ise AB çapında tek bir otoritenin olmasını ve AB dışında yer alan ama AB içinde faaliyet gösteren şirketlerin de bu kapsama alınmasını öngörmektedir. Tüzük ün daha etkin uygulanması için çok yüksek miktarlarda cezalar söz konusudur. Tasarı da da buna koşut olarak daha caydırıcı cezalara yer verilmelidir. - Tasarı, birey merkezli değil, devlet merkezli bir düşünüşün hâkim olduğu bir metin olarak hazırlanmıştır. Bireyi özel sektöre karşı korumak için ciddi kısıtlamalar getirilmiş, fakat aynı denge birey-devlet ilişkisinde gözetilmemiştir. 24 üncü maddenin kamuya tanıdığı geniş istisnalar, orantılılık ilkesine göre yeniden düzenlenmelidir. 95/46/EC numaralı Direktif in 25 inci resitalinde kamunun, kişisel veri koruma kapsamı içinde olduğu açıkça belirtilmektedir. Ancak, Tasarı da bu Direktif e uygun bir yapılanma mevcut değildir. Tasarı nın 3 üncü maddesinde kamu kurum ve kuruluşlarının adı dahi zikredilmemiştir. Tasarı, kamuyu bir anlamda sorumluluk sahibi görmeyen ama özel sektöre son derece ağır yükümlülükler getiren bir metindir. Özel sektör ve kamuya eşit mesafede bir koruma mantığı hayata geçirilmek zorundadır. - Devletin bireyleri fişleme geleneği ve arzusu, kişisel verilerin korunmasını düzenleyen bir yasanın bugüne kadar çıkartılamamış olmasının temel sebebidir. Tasarı, bir taraftan yurttaş haklarını güvence altına alırken diğer taraftan fişlemelerle anılan bazı kamu 8

9 kurumlarına muafiyet tanımakta ve bir bakıma bunların faaliyetlerine yasal zemin kazandırmaktadır. - Tanımı net olmayan devlet sırrı kavramının istisnalar arasında yer alıyor olması Tasarı nın öngördüğü korumayı zayıflatan bir diğer unsurdur. - Kanunlar önemli metinlerdir ancak onu uygulayacakların niyetleri ve yorumları çok daha önemlidir. Bilhassa 5 inci maddenin ikinci fıkrasında sayılan durumların, uygulayıcılar tarafından sübjektif değerlendirmelere konu edilmesinden kaçınılması gerekmektedir. - Tasarı nın 6 ncı maddesinde sayılan özel nitelikli kişisel veriler arasında cinsel yönelim ve cinsiyet kimliğinin olmaması önemli bir ihmâldir. - Kişisel Verileri Koruma Kurulu, doğrudan doğruya bir hükûmet kuruluşudur çünkü üyeleri Bakanlar Kurulu tarafından atanmaktadır. Bütçesinin ayrı olması, bağımsızlık açısından yeterli bir güvence değildir. - Kişisel Verileri Koruma Kurulu, mutlaka bağımsız ve özerk olması lazım gelen bir yapıdır. Kurulun Adalet Bakanlığı ile ilişkilendirilmesi, kuvvetler ayrılığı bağlamında sorunludur. - Üyeleri Bakanlar Kurulu tarafından atanacak olan Kişisel Verileri Koruma Kurulunun bağımsız ve tarafsız olamayacağı açıktır. Barolara, öğretim üyelerine ve özel sektöre kendi temsilcilerini seçme imkânı verilmediği takdirde, Kurul üyelerini TBMM nin belirlemesi şeklinde bir düzenlemeye gidilse bile bağımsızlığı temin etmek mümkün olmayacaktır. - Kişisel Verileri Koruma Kurulunun, tam bağımsızlık standartlarından son derece uzak olduğu görülmektedir. 95/46/EC numaralı Direktif in 62 nci resitalinde açıkça tam bağımsızlık ibaresi kullanılmıştır. Tasarı bu şekilde kabul edilirse, önümüzdeki yılın ilerleme raporlarında Türkiye sert eleştiriler ile karşılaşacaktır. - Anayasa nın 20 nci maddesinde açık rıza kavramı yer almaktadır. Bu kavram ile AB mevzuatında kullanılan bilgilendirilmiş rıza kavramının üzerinde durulmalı ve bunlar Tasarı da açıklanmalıdır. - Tasarı da, kişinin siyasi düşüncesinin özel nitelikli kişisel veri olarak ele alınması, siyasi düşünceyi açıklamanın insan haklarının bir gereği olduğu düşünüldüğünde çok anlamlı değildir. - Tasarı, Anayasa nın 20 nci maddesi, yürürlükteki AB mevzuatı ve yürürlüğe girecek olan Tüzük le uyumlu değildir. - 95/46/EC numaralı Direktif in 9 uncu maddesinde; basın özgürlüğü, sanatsal ve edebî kullanımın istisna kapsamına alınması açıkça şart koşulmuştur. Tasarı ya yalnızca basın özgürlüğü dâhil edilmiş; sanatsal, edebî, tarihî ve bilimsel kullanımlar maddeye eklenmemiştir. Bu eksikliğin giderilmesi gerekmektedir. - Tasarı nın 24 üncü maddesinin birinci fıkrasının (ç) bendiyle; MİT, Jandarma ve Emniyete kişisel verileri işleme olanağı getirilmektedir. Tasarı nın ilk hâlinde bu kuruluşların verilere yargısal süreçlerle ulaşabilmesi düzenlenmişken şimdi bundan vazgeçilmiştir. Bu durum, kişileri fişleme geleneğinin var olduğu bir ülke için kaygı vericidir. Keza, 24 üncü maddenin (d) bendinde öngörülen mali araştırma yapmak, veri toplamak ve şüpheli işlem bildirimleri de suistimale açık düzenlemelerdir üncü maddenin ikinci fıkrasının (a) bendiyle yeni bir önleyici veri işleme usulü getirilerek hukuk devletiyle bağdaşmayan bir yapı oluşturulmaktadır. 9

10 - Tasarı nın 4, 7, 15, 21 ve 22 nci maddelerinde, birçok düzenlemenin yönetmeliğe havale edilmesi, yasa koyucunun çıkacak yasanın tamamı hakkında bilgi sahibi olamaması anlamına gelmektedir. - AB direktiflerine ve AB Adalet Divanı kararlarına açık aykırılıklar içeren bu Tasarı nın, kurulacak bir alt komisyon marifetiyle derinlemesine incelenmesi ve AB mevzuatına aykırılıklarının giderilmesi elzemdir. - Türk Ceza Kanunu na yapılan atıflarla özgürlüğü bağlayıcı cezalar öngörülmüş fakat suç ve öngörülen ceza arasında orantısallık kurulmamıştır. Örneğin, Alman Veri Koruma Kanunu, sınırlı hukuk ihlalleri için hapis cezasını bir son çare olarak görürken Türkiye de çok daha geniş hapis cezaları öngörülmektedir. - Direktif in 61 inci resitalinde dile getirilmiş olan özdüzenleme mantığı Tasarı ya yansıtılmalıdır. Tasarı nın tümü üzerinde yapılan görüşmelerde Tasarı yı daha detaylı incelemek üzere bir alt komisyon kurulmasına ilişkin öneri kabul edilmemiştir. Tasarı nın tümü üzerindeki görüşmelerin tamamlanmasının ardından, genel uygunluk bildiriminin, Komisyonda ifade edilen görüşlerle birlikte esas komisyona iletilmesi kararlaştırılmıştır. Rapor umuz, esas komisyon olan Adalet Komisyonuna sunulmak üzere Yüksek Başkanlığa saygı ile arz olunur. 10