Abad Schrems Kararı
Kişisel Veri Korumasında Yeni Türkiye Ölçütü Olarak Nasreddin Hoca’nın Türbesi Yaklaşımı
Önümüzde seçim var; heyecanı, coşkusu ve ümidi olmayan bir seçim. Nedeni, niçini tartışılan ve tartışılacak bu yenilenen seçim, ülkenin hedef ve umutlarının iyice belirsizleştiği bir ortamda gerçekleşecek.
Müzakere yürütüyor göründüğümüz Avrupa Birliği ile olan ilişkilerimizde geldiğimiz nokta, hedeflerimizin silikleştiğinin en büyük göstergesi. Avrupa Birliği’ne girecek miyiz, bir başka söyleyişle bizi Avrupa Birliği’ne alacaklar mı sorusunun bir muhatabı yok. Aksine, kendi ilan ettiği “Avrupa değerlerini” hiçe sayma pahasına, yaratılmasına sebep olduğu mülteci sorununun çözümü için Türkiye’nin kapısını çalmaya başlayan AB, “demokrasi ve hukuk devleti” önceliğini rafa kaldırmaya bile hazır.
Bu ortamda “kişisel verilerin korunmasını” tartışmak anlamsız gelebilir. Ancak, hiç de öyle değil; özgürlük-güvenlik ikileminde en kilit araçlardan birisi kişisel verilerin korunması. Kişisel verilerin korunmasını bir insan hakkı olarak tanımlayan AB bünyesindeki pek çok ülkede, terörizmle mücadele kapsamında iletişimin ve verilerin kamu otoriteleri erişimine -daha fazla ve hızlı- açılması için tartışma yürütülüyor. Dolayısıyla kişisel veri korumasına bakış açısı önümüzdeki süreci doğrudan etkileyebilecek önemde.
Avrupa Birliği’nin en üst yargı organı konumunda olan Avrupa Birliği Adalet Divanı (ABAD) 6 Ekim 2015 tarihinde verdiği “Schrems kararı” ile, AB yurttaşlarının kişisel verilerinin ABD’ye transferine izin “Safe Harbor” anlaşmasının geçersiz olduğuna hükmetti. Bu karar önemli, zira AB yurttaşlarının kişisel verilerinin AB sınırları dışına çıkarılması mümkün değil. Ancak, kişisel verilerin aynı düzeyde korunduğu ülkelere izin verilmesi söz konusu ki 2000 yılına AB ile ABD arasında imzalanan anlaşma da bunu sağlıyordu.
Ancak, özellikle Snowden olayı ABD kurumlarının (başta NSA olmak üzere) kişisel verilere erişmek için hukuku dolanma imkanına sahip olduğunu ortaya koyunca, bir hukuk öğrencisi olan Max Schrems tarafından açılan dava ile “Safe Harbor” anlaşması geçersiz kabul edildi. (detaylı bilgi için http://www.turk-internet.com/portal/yazigoster.php?yaziid=51120) Bu karar AB ve ABD’de ciddi bir tartışmaya yol açtı. Zira başta Facebook, Google ve Apple olmak üzere ABD menşeili şirketler, AB bünyesinde topladıkları verileri son aşamada kendi ülkelerinde saklıyorlar. Bu karar nedeniyle sosyal medya üzerinden bu şirketlerde toplanan verilerin akıbeti ciddi bir merak konusu..
ABAD’ın bu yaklaşımı elbette yeni değil. 2014 yılında verilen bir başka kararda da, telefon ve internet verilerinin özel bir neden olmaksızın kaydedilmesi ve belirli süre saklanmasının AB düzenlemelerine aykırı olduğu sonucuna varmıştı Mahkeme.
Peki, biz bu tartışmanın neresindeyiz? AB üyesi olmaya çalışan Türkiye ile AB arasında, tıpkı ABD ile olduğu gibi, bir özel anlaşma yapılması (kişisel verilerin transferi için) mümkün mü?
Bu soruların cevabı için yasal düzenlemelere bakmak gerekiyor. Ve ne yazık ki Türkiye, özel bir kişisel veri koruması yasası olmayan tek OECD ülkesi. Yirmi yılı aşkın bir süredir kadük hale gelen en az üç-dört tasarı var. Son olarak; Elektronik Haberleşme Kanunu’nda yer alan hükmü iptal eden 09.04.2014 tarihli Anayasa Mahkemesi kararı üzerine bir tasarı hazırlandı. TBMM Komisyonlarında tartışıldı ancak nedense yasalaşması söz konusu olmadı. Yerine, Anayasa Mahkemesi’nin iptal kararının etkisiz bırakılması anlamına gelen bir maddelik yeni bir düzenleme yapıldı Elektronik Haberleşme Kanunu’na.
Konunun anlam ve önemini kavramaktan uzak bu yaklaşım nedeniyle Türkiye, “kişisel verilerin korunması” kapsamında dünyanın en yetersiz mevzuatına ve dolayısıyla uygulamasına sahip ülkelerinden birisi.
Basit bir örnek verelim? Türkiye Cumhuriyeti yurttaşlarının kişisel verileri yurt dışına çıkarılabilir mi? Pratikte, sosyal medya üzerindeki işlemlerimiz dikkate alındığında son derece gülünç olan bu sorunun cevabı mevzuata göre, olumsuz. Mart 2015’de Elektronik Haberleşme Kanunu’na eklenen ve iptal edilmesi olasılığı yüksek olan maddede “Kişisel verilerin yurt dışına aktarılmasına ilişkin ilgili mevzuat hükümleri saklı kalmak kaydıyla, trafik ve konum verileri ancak ilgili kişilerin açık rızaları alınmak koşuluyla yurt dışına aktarılabilir.” deniyor ama Bilgi Teknolojileri ve İletişim Kurumu (BTK) tarafından yürürlüğe sokulan kişisel verilerin korunması hakkında Yönetmelik’e göre “kişisel veriler yurt dışına çıkarılamaz.”
Kendi yurttaşlarının TC kimlik numaralarını Resmi Gazete’den yayımlayan bir yönetim tarafından getirilen bu Nasreddin Hoca’nın türbesini anımsatan kuralın uygulamada kimsenin dikkate almadığı bir hüküm olduğu açık. Ama, bir yasamızın olmaması sandığımızdan daha çok sıkıntı yaratan bir durum. Pek çok kurum ve kişi, kişisel verilerin ticareti ile ilgili işlemler yapıyor, sözleşmeler imzalıyor. Reklamını yapmak, ürününü tanıtmak, siyasi mesajlar vermek isteyenler, ellerinde binlerce kişinin ad/soyadı, iletişim bilgileri olan şirketlerle sözleşmeler yapıyor ki bu anlaşmalar ne yazık ki hukuka aykırı. Ötesinde, Türk Ceza Kanunu anlamında da suç oluşturuyor.
İçeride yarattığı sorunlar bir tarafa, uluslararası alanda da olumsuz sonuçları tartışmasız. Kişisel veri korumasının önemini vurgulayan Anayasa Mahkemesi, yukarıda aktarılan 9 Nisan 2014 tarihli kararında “Kişisel verilerin korunması hakkı, kişinin insan onurunun korunmasının ve kişiliğini serbestçe geliştirebilmesi hakkının özel bir biçimi olarak, bireyin hak ve özgürlüklerini kişisel verilerin işlenmesi sırasında korumayı amaçlamaktadır. Bilişim teknolojilerindeki gelişmeler sonucunda, geleneksel yöntemlerle mümkün olmayan çok sayıda verinin toplanabilmesi; daha önce birbirinden ilişkisiz şekilde tutulan pek çok verinin merkezi olarak bir araya getirilebilmesi; verilerin, veri eşleştirme ve veri madenciliği gibi ileri teknolojik imkânlarla analize tabi tutulmak suretiyle, veriden yeni veriler üretme kapasitesinin artması; verilere erişim ve veri transferinin kolaylaşması; kişisel verilerin ticari işletmeler için kıymetli bir varlık niteliği kazanması neticesinde, özel sektör unsurlarınca yaratılan risklerin daha yaygın ve önemli boyutlara ulaşması ve terör ve suç örgütlerinin kişisel verileri ele geçirme yönündeki faaliyetlerinin artması gibi etkenler, günümüzde kişisel verilerin en üst seviyede korunmasını zorunlu kılmaktadır” diyerek uluslararası ekonomi ve terörizm ile mücadelede kişisel veri korumanın önemini ortaya koymuştur.
Peki, neden Türkiye Cumhuriyeti kendi yurttaşlarının kişisel verilerini korumak için gerekli adımı atmaktan kaçınmaktadır? Yurttaşlarının her tür kişisel verisinin, anlamsız Yönetmelik hükümlerine rağmen her yere, dilediğince transfer edilmesine/aktarılmasına ve gerek ticari gerekse istihbari olarak işlenmesine neden izin verilmektedir? Türkiye’yi internet üssü, kavşağı yapma hedefini ileri sürenler, kişisel veri koruması ile ilgili bir yasal düzenlemesi bile olmayan ülkemize kimin geleceğini öngörmektedirler? Niyet nedir?
Umutla değil belki ama sorularla gidiyoruz bir seçime daha..