“Yeni” Kişisel Veriler Yönetmeliği

Elektronik haberleşme sektöründe “Kişisel Verilerin İşlenmesi ve Giziliğin Korunması Hakkındaki Yönetmeliği”ne, bazı değişikliklerle güncelleme yapıldı ve yeni yönetmelik Resmi Gazete’de yayınlanarak yürürlüğe girdi (http://goo.gl/zyjtd). İlk bakışta, eski yönetmeliğin kenarından bile geçmediği Avrupa Birliği veri koruma standartlarına (95/46/EC sayılı AB Veri Koruma Direktifi) biraz daha yaklaşılmış görünüyor: Kişisel verilerin yurtdışına çıkarılamaması; kullanıcı rızasının sadece alınan hizmete özgü olarak kullanılabilmesi; kişisel veri korunması ve güvenliğinden işletmecilerin sorumlu tutulması ve güvenlik risklerinden kullanıcıları haberdar etme yükümlülüğünün getirilmesi; saklanan verilerin ilgili faaliyetten sonra silinmesi veya anonim hale getirilmesi; kullanıcılara rızalarını istedikleri zaman geri alma imkanı tanınması; veri saklama sürelerinin sınırlandırılması. Ama öte yandan fena halde şaibeli ifadeler de var: “Kurum, gerekli gördüğü hallerde işletmecilerden, kişisel verilerin saklandığı sistemlere ve alınan güvenlik tedbirlerine ilişkin tüm bilgi ve belgeleri isteme, ayrıca söz konusu güvenlik tedbirlerinde değişiklik talep etme hakkını haizdir.” Bu “gerekli gördüğü haller” muğlaklığı ciddi hak ihlallerine gebe. Ayrıca “kişisel veriler yurtdışına çıkarılamaz” şeklindeki uygulama, diğer maddeler 24 Temmuz itibariyle yürürlüğe girerken, 1 Ocak 2014 itibariyle yürürlüğe giriyor. Bu erteleme ile “ne kaçırılmak isteniyor” şüphesi doğuyor. TTNET ortaklığıyla karanlık Phorm şirketinin yurtdışı sunucularına hala akan veriler olabilir mi?

Bu köşede birçok kez Türkiye’yi “kişisel verilerin Vahşi Batı”sı olarak niteledim. Şimdi bu yönetmelik, AB standartlarına biraz yaklaşıyor. Ama yönetmeliğin zamanlaması manidar. Çünkü Ocak 2012’den beri Avrupa Birliği, 1995’ten kalma veri koruma düzenlemelerini reforme edecek ve kullanıcı haklarına odaklanan yeni bir çalışma başlattı (http://goo.gl/eBNMQ). Yani AB standartları yükselecek ve bizim yönetmelik kadük olacak.

AB’nin yeni düzenlemeyi geçirmemesi için ABD destekli lobilerin yoğun bir çalışma yürüttüğü biliniyor. Bunun nedenini, patlayan NSAGate ve PRISM skandalı ile ABD’nin AB ülkelerini ve aralarında Türkiye’nin de bulunduğu başka bir çok ülkeyi hukuk dışı olarak dinlediği ortaya çıkınca daha iyi anladık. Bu skandal AB’nin ABD’ye karşı daha açık bir tavır almasına neden oldu. Şimdi yeni kişisel veri koruma düzenlemesinin geçeceğine kesin gözüyle bakılıyor. Türkiye’de bu konuda çıt çıkmadı ama yeni teknolojilere karşı yeterli koruma sağlamayan bir yönetmelik çıktı. Zaten bu konuda yönetmelikle yetinilmesi abes. Acilen, yeni AB reform önerisi temel alınarak bir Kişisel Verileri Koruma Kanunu’nun yapılması gerekiyor.