New York ve İstanbul barolarına kayıtlı avukat olan Ünsal aynı zamanda Boğaziçi Üniversitesi Yönetim ve Bilgi Sistemleri Bölümünde Siber Hukuk dersleri veriyor. Geçtiğimiz günlerde yaşanan kişisel verilerin sızdırılmasına dair önemli detayları anlatan Ünsal, kurumların ve bireylerin bu konuda yapması gerekenleri sıraladı. 2 bölümden oluşan röportajımızın ilk kısmı şöyle:
En son kabul edilen Kişisel Verilerin Korunması Kanunu söylendiği gibi AB mevuzatına uyumlu ve güncel mi? Neler getiriyor?
Veri koruması zannedilenden çok daha hassas olan kamuya, bireye ve şirketlere ait menfaatlerin birbiri ile çatıştığı bir alandır.
7 Nisan’da Resmi Gazete’de yayınlanan Kanun’a kadar Türkiye’de veri korunmasına ilişkin spesifik bir mevzuat bulunmamaktaydı. Kişisel veriler ve mahremiyet Anayasa, Medeni Kanun, Ceza Kanununu, telekomünikasyon hizmetlerine, bankacılık hizmetlerine ve tıbbi hizmetlere ilişkin bazı yönetmelikler ile korunuyordu.
2008’den beri Meclis önünde Sayın R. Tayyip Erdoğan imzasıyla duran Kişisel Verilerin Korunması Kanunu tasarısı 2016 yılında, yani sekiz yıl sonra metni güncellenerek ancak kanunlaşabildi. Yasalaşan metin ise uygulama ve esaslar bakımından ihtiyaçlara cevap vermekten çok uzak.
14 Nisan’da Avrupa Birliği, AB Yönetmeliği 95/46/EC, AB Komisyonu 4 Kasım 2010 tarihli bildirisi ve AB Komisyonu’nun 25 Ocak 2012 tarihli Veri Koruma Direktifini son metni ile kabul etti. Bu yeni düzenleme 24 Nisan’da yürürlüğe girecek. Yani biz ilk Kanunumuzu AB’ye uyumlu diye 7 Nisan’da çıkarmış iken bir hafta sonra AB aslında üzerinde yıllardır çalıştığı yeni veri koruma mevzuatını çıkardı.
Yeni Kanunumuz, kişisel verilerin ve hassas verilerin işlenebilme halleri istisnalarını AB mevzuatına ve olması gerekene göre daha geniş tutuyor. Kişisel Veri Koruma Kurulu’nun kompozisyonu da ciddi tereddütler yaratıyor, zira 9 kişiden müteşekkil olması gereken Kurul’da iki üyeyi Cumhurbaşkanı, iki üyeyi hükumet (bakanlar kurulu), 5 üyeyi de RTÜK’te olduğu gibi meclisteki sandalye sayısına oranla TBMM seçiyor. Bu da ülkemizdeki erk konsantrasyonu sebebiyle sonuçları bakımından eleştirilere konu oluyor.
Kişisel veri konusunun çok hassas olduğunu, kamu/şirket/birey üçgeninin çatışan menfaatleri olduğunuzu söylediniz. Bunu açar mısınız?
ABD ve İngiltere dahil dünyanın her yerinde kamu otoritesi başta kamu güvenliği ve kamu sağlığı gerekçeleriyle kişisel haklar ihlal edilir. Ya mevzatın tanıdığı sınıra tecavüz edilir, ya da bu gerekçelerle bambaşka istismarlar yapılır. Bunları yaparken sadece bireylerin temel hakları değil, şirketlerin sistemleri de kırılı, başta güvenlik ve prestiş olmak üzere zarar verilir.
Şirketler ise teknolojik ARGE’yi sürdürmek ve kamunun yapamadığı teknolojik geliştirmeleri yapabilmek için kar etmek zorundadır. Kar için yine bireylerin ve bazen de kamunun (vergi ve sair mevzuatlarının dolanması şeklinde) haklarını ihlal ederler. Bireyler ve birey verileri emtia haline gelir.
Bunlara karşı birey ise hem şirketlere hem de kamu otoritesine karşı mahremiyet, haklarının garantisi ve güvenlik bekler çünkü devlete vergi verir, kanunlarına uyar, şirketlere de abonelik ücretleri öder ve reklamlarına aldanan marketing faaliyeti süjesi tüketici pozisyonları vardır.
İşte bu üçgenin üç noktası bu menfaat çatımaları içindedir.
Çocukluktan ve gençlikten itibaren geçirilen fiziksel veya mental hastalıklar, gidilen okullar veya dersaneler, herhangi bir dil, mesela Kürtçe, veya bir enstrüman çalmayı öğrenmek için alınan özel dersler, alınan notlar, öğrenci kayıtları, iş başvuruları, işveren dosyaları, trafik kayıtları, seyahat kayıtları, başvurulup da alınan veya alınamayan krediler, kredi kartları, cep telefonunuzdan veya bilgisayarınızdan ziyaret ettiğiniz Internet sayfaları, indirdiğiniz filmler, oyunlar ya da diğer veriler, lokasyon verileriniz, dijital medya hesaplarınız, telefon ettiğiniz/telefon aldığınız numaralar (hatta görüşme içerikleri), bir markette yaptığınız alış veriş içinde domuz ürünü, alkollü içecek ürünü olup olmadığı, oy verdiğiniz, varsa üye olduğunuz siyasi partinin hangisi olduğu, katıldığınız STK etkinlikleri, mesela bir LGBT derneğine destek olsun diye aldığınız küçük bir şey veya bağış, nerede oturduğunuz ve nerelerde mülk sahibi olduğunuz, nüfus sayım memurlarına veya TÜİK’e verdiğiniz cevaplardan ve diğer kaynaklardan bulunabilecek etnik orijininiz, eşinizle çocuk yapmak için başvurduğunuzda alınıp kaydedilen üreyebilme kapasitenizi gösteren veriler ve sair tüm sağlık verileri…
Bunlar verirsiniz, kime verdiğiniz, hangi şartlarda verdiğiniz, bunların nerede tutulduğu, nasıl kullanıldığı, kiminle paylaşıldığı ve diğer hemen hiçbirşeyi bilmezsiniz hatta belli dahi değildir. Bunların acısı başınıza veya en yakınınızın başına bir şey geldiğinde hatta bir gün en yakınınızı sigorta ettiremeyecek hale geldiğinizde çıkar.
HUKUKİ HABER - ÖZEL
NOT!
Yarın:Ülkemizdeki siber güvenlik ve veri hırsızlığı olayları? Kişisel verilerin güvenliği açısından kurumlar ve bireyler nasıl kendilerini koruyabilir?
Uluslararası Bilişim Hukuku Uzmanı Ünsal'dan Hukuki Haber'e önemli açıklamalar...
Bunlar da ilginizi çekebilir