Kişisel Verilerin Korunması Projesi

Türk Hukuk Sistemi’nde özel hayatın anayasal düzeyde korunmasına rağmen (1982 Anayasası’nın 5., 20. ve 22. maddeleri), kişisel verilerin korunmasıyla ilgili (ne kişisel verilerin korunması yasasıyla, ne de diğer düzenleyici işlemler anlamında) bir düzenleme AB tarafından her yıl yayınlanan ilerleme raporlarında da işaret edildiği üzere halen bulunmamaktadır. Kişisel verilerin korunması, hem elektronik ticaretin gelişmesi, hem de çevrim-içi (“online”) tüketicilerin ve kullanıcıların güvenliğinin ve yeni ortama güveninin sağlanması için bir ön-koşuldur.

Aslında veri koruması Türkiye’nin gündemine 1981 yılında imzalanan “Kişisel Verilerin Otomatik Olarak İşlemesine İlişkin Olarak Bireylerin Korunması Hakkındaki 1981 tarihli Avrupa Konseyi Sözleşmesi” ile girmiştir. Ancak imza tarihinden itibaren günümüze kadar geçen süre zarfında Türkiye söz konusu Sözleşmeyi onaylamadığı gibi, AB Direktifleri doğrultusunda da veri korumasına ilişkin olrak iç hukukta herhangi bir yasal düzenleme yapmamıştır. Bu alanda bir çok yasalaştırma denemesi yapılmasına rağmen, kişisel verilerin korunması konusunda Türkiye’de dikkate değer herhangi bir gelişme 2008 yılına kadar yaşanmamıştır.

Bugün itibarı ile Avrupa Birliği üyesi bütün ülkelerde kişisel veriler kanun yolu ile korunma altındadır. Aynı şekilde Türkiye’nin üye olduğu Avrupa Konseyi’nin 46 üyesinden sadece 4 tanesinde (Türkiye, Andorra, Armenia, ve Ukrania) kişisel verilerin korunması konusunda kanun yoktur. Bu durumun sakıncalarına gelincei AB İlerleme raporlarında da işaret edildiği üzere mevcut Türk hukuk sistemi AB veri koruması mevzuatı ile uyumlu olmadığı için AB ülkelerinden veri transferi bakımından önemli sıkıntılar yaşanmaktadır. Bu durum etkisini gerek ticari yaşamda (Türkiye’de de faaliyet gösteren AB şirketleri açsından) gerek resmi kurumlar arası ilişkilerde (örneğin; uluslararası organize suçlarla yapılan mücadele de Türkiye’de veri transferi bakımından AB ile eşdeğer koruma kuralları mevcut olmadığı için EUROPOL tarafından veri transferinin ülkedeki kolluk kuvvetlerine yapılamaması gibi) ve gerekse hukuk hayatında göstermektedir. Veri Korumasına ilişkin ayrı ve özel bir kanunun mevcut olmaması yüzünden, uygulamadaki acil ve önemli ihtiyaçları karşılamak amacıyla Telekomünikasyon Kurumu tarafından, normlar hiyerarşisine aykırı da olsa 2004 yılında “Telekomünikasyon Sektöründe Kişisel Bilgilerin İşlenmesi ve Gizliliğinin Korunması Hakkında Yönetmelik” çıkartılmış; 5070 Sayılı Elektronik İmza Kanunu gibi muhtelif kanunlara veri korumasına ilişkin hükümler konulmuş ve Türk Ceza Kanununda veri korumasına ilişkin olarak bazı şuçlar ve cezalar öngörülmüştür. Ancak tüm bu düzenlemeler tek başına yeterli olmadığı gibi, “veri korumasının tanımı, kapsamını ve özelliklerini” belirleyemedikleri için yasa uygulayıcılarda kafa karışıklığı yaratmaktadırlar.

Bu belirsizliklere son vermek amacıyla Adalet Bakanlığı tarafından 7.9.2003 tarihinde “Kişisel Verilerin Korunması Kanunu Tasarısı” hazırlanmış ve gerek AB  raporlarında gerek e-Dönüşüm Türkiye Projesi Kısa Dönem Eylem Planlarında yasalaşması öngörülmesine rağmen yasalaşmamıştır. Veri Korumasına ilişkin yasa yapma görevi 28.7.2006 tarihinde 26242 sayılı Resmi Gazetede yayımlanan Bilgi Toplumu Stratejisi Raporu Eylem Planında yer alan 87 numaralı eylemle Adalet bakanlığına verilmiş ve bunun için 2006 yılından başlamak üzere Bakanlığa 9 aylık süre verilmiştir. Söz konusu süre de geçmesine rağmen veri korumasına ilişkin henüz yasalşmaış bir metin elimizde mevcut değildir.

Adalet Bakanlığı 2003 yılında hazırlanan bu ilk tasarının geçen süre zarfında üzerinde çok çalışmış ve nihai metni Başbakanlığa iletmiş ve Başbakanlık tarafından da 22.4.2008 tarihi itibariyle Meclis’e gönderilmiştir. Şu an yasalaşma sürecine doğru olumlu adımlar atılmaktadır ve tasarının Sonbahar’da kanunlaşması beklenmektedir.

Kanunun yasalaşma süreci çok uzun sürdüğü için konu Türkiye’de özellikle özel sektör tarafından çok iyi takip edilmesi gerekmesine rağmen, Telekomünikasyon Kurumu’nun Yönetmeliği dolayısıyla GSM operatörleri dışında hiçbir zaman diğer özel sektör firmalarının ve kamunun gündeminde olmayı başaramamıştır. Ancak Kanun yasalaştıktan sonra bu defa gerek veri koruması denetim organlarına ilişkin yapılanma gerek özel/kamu sektöründe konu ile ilgili olarak birçok farklı açıdan farkındalık yaratılması ve bilgilendirme ihtiyacı kaçınılmaz olacaktır.

Bu gerekçelere istinaden söz konusu ihtiyaçlara cevap verebilmek amacıyla İstanbul Bilgi Üniversitesi Bilişim Teknolojisi Hukuku Uygulama ve Araştırma Merkezi ile Leeds Üniversitesi Hukuk Fakültesi CyberLaw Research Unit arasında temel olarak Türkiye’de Kişisel Verilerin Korunması Alanında Farkındalık Yaratma Ve Bilinçlendirme Projesi adı altıdan 2008-2009 yılları arasında bazı projeler gerçekleştirilecektir.Projeye Internet üzerinde BilgiEdinmeHakki.Org ev sahipliği yapacaktır.