Turkiye ’de kişisel verilerin korunmasına yonelik temel ilkeleri belirleyerek onleyici koruma sağlayacak Kişisel Verilerin Korunması Kanunu uzun zamandır beklenmektedir. Turkiye, taraf devletlerin metinde yer alan ilkeleri mevzuatlarına yansıtmalarını zorunlu kılan Avrupa Konseyi Kişisel Verilerin Korunması Sozleşmesi ’ni 28 Ocak 1981 ’de imzalamıştır. Bu gereklilik hÂlen yerine getirilmediği icin Turkiye, bugun 46 devletin taraf olduğu bu Sozleşme ’yi imzalayıp onaylamayan Avrupa Konseyi uyesi tek devlettir.

Veri koruma alanında temel ilkeleri belirlemeye yonelik yasa hazırlıkları ise 1989 yılında başlamıştır. 2008 yılında TBMM ’ye bir tasarı sevk edilmiş, ancak kaduk olmuştur. 2010 yılı Anayasa değişiklikleri kapsamında kişisel verilerin korunmasını isteme hakkının anayasal bir hak olarak acıkca duzenlenmesi ile veri koruma alanında cerceve nitelikte bir yasal duzenleme bir beklenti olmaktan ote anayasal bir zorunluluk hÂline gelmiştir. 2012 yılında Adalet Bakanlığı bunyesinde yeni bir komisyon kurulmuş ve bu komisyonun calışmaları neticesinde şekillenen yeni taslak uzerinde ceşitli değişiklik ve duzenlemelerin yapılmasının ardından 26 Aralık 2014 tarihinde hÂlen gundemde bulunan Kişisel Verilerin Korunması Kanun Tasarısı Meclise sevk edilmiştir.

Kişisel Verilerin Korunması Kanun Tasarısı dokuz bolumden oluşmaktadır. Buna gore birinci bolumde Kanunun amac ve kapsamı belirlenmiş; ayrıca kişisel veri, verilerin işlenmesi gibi konuya ilişkin son derece onemli tanımlara yer verilmiştir. Tasarının “kişisel verilerin işlenmesi” kenar başlıklı ikinci bolumunde ise veri işlemede hakim olan temel ilkelere, kişisel verilerin işlenme şartlarına, ozel nitelikli (hassas) kişisel verilere, verilerin silinmesi yok edilmesi ve anonim hÂle getirilmesi duzenlenmiştir.

Ancak ikinci fıkrada altı bent altında belirlenen istisnalardan biri “yeterli onlemlerin alınması şartıyla (...) kanunlarda acıkca ongorulmesi” halidir.

Hassas kişisel verilerin işlenmesini sağlayan bir başka istisna uyarınca sivil toplum kuruluşları amaclarına uygun olarak, faaliyet alanlarıyla sınırlı olmak kaydıyla kendi uyelerine ilişkin verileri işleyebilir. Dernek, vakıf ya da sendika uyeliği hassas veri kategorisinde sayıldığı icin bu makul bir istisnadır. Dikkat cekici olan ise bu turdeki verilerin ancak kanunda acıkca ongorulmesi, ilgili kişinin acık rızası ile Kurulun izninin birlikte bulunması hallerinde ucuncu kişilere ve yeterli koruma bulunması koşuluyla yurtdışına aktarılabilmesidir. Diğer hicbir ozel nitelikli veri icin boylesine bir koşul belirlenmemiştir. Nitekim kişinin acık rızasının bulunduğu hÂllerde, bunun yeterli gorulmeyerek bir de Kurulun onayının gerekmesinin nedeni acık değildir.

Tasarının ikinci bolumunde ayrıca kişisel verilerin ucuncu kişilere ve yurt dışında aktarımına ilişkin hukumler yer almaktadır. İstisna hukmu “ilgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerinin işlenmesi”ne ilişkindir. “İlgili kişi tarafından alenileştirilen ve boylelikle herkes tarafından bilinen bu tur verilerin işlenmesinde, korunması gereken hukuki yararın ortadan kalktığı kabul edilmektedir.” Oncelikle “alenileştirme” ile neyin kastedildiği belirlenmelidir. Orneğin birkişinin İnternet sitesinde e-posta adresini yazması, kartvizitinde telefon numarasının bulunması, İnternet ’te yayımlanan bir bildiriye imza atması, kamusal alanda gercekleştirilen bir gosteri yuruyuşune katılması, bir sokak roportajında siyasal goruşunu soylemesi kendisi tarafından ilgili bilgilerin alenileştirildiği anlamına mı gelir?

Tasarının ucuncu bolumunde veri sorumlusunun aydınlatma yukumluluğu ve veri guvenliğine ilişkin yukumlulukler ile birlikte ilgili kişinin hakları duzenlenmiştir.

Tasarının 18. maddesi ile “gorev ve yetkilerini kendi sorumluluğu altında, bağımsız olarak” yerine getireceği belirtilen bir Kişisel Verileri Koruma Kurulu oluşturulması on gorulmektedir. Tasarının 20/1 hukmu uyarınca: “Kurul, yedi uyeden oluşur, Kurul uyelerinin; ikisi mesleğinde en az on yıl calışmış avukatlar ve hakimler, biri yuksekoğretim kurumlarında en az on yıl calışmış olan oğretim uyeleri, dordu ise kamuda veya ozel sektorde en az on yıl calışmış olanlar arasından Bakanlar Kurulunca secilir. Kurul, kendi uyeleri arasından bir başkan secer. Başkan, Kurulun en ust yoneticisi olup, kurulun genel yonetim ve temsilinden sorumludur.” Avrupa mevzuatı uyarınca denetim organı “tam bağımsız” olmalıdır. Tasarının sekizinci bolumunde yer alan istisnalar, yani Kanun yururluğe girdikten sonra butuncul olarak kapsam dışında kalacak alanlar en cok tartışılan hukumleri arasındadır. Bu noktada ilk dikkat ceken istisna istihbarat gibi bazı etkinliklerin kapsam dışında tutulmasıdır. İstihbaratın niteliği gereği gizli yurutulen bir etkinlik olduğu kabul edilse bile, hukuka ve durustluk kurallarına uygun olmak, belirli acık ve meşru amaclar icin işlenmek ya da işlendikleri amac icin gerekli olan sure kadar muhafaza edilmek gibi ilkeler bu alanda da oncelikle ve mutlaka gecerli olmalıdır. 2014 AB İlerleme Raporunda da MİT ’in ve TİB ’in yetkilerini genişleten duzenlemelerin kabul edilmesinin “kişisel verilerin korunmasına ilişkin bir mevzuatın ve bağımsız bir denetleme organının olmaması ile birlikte, Turkiye ’de kişisel verilerin yeterli duzeyde korunmadığı” yonundeki endişeleri artırdığı belirtilmektedir.