Avrupa Komisyonu, 2009 yılında yürürlüğe giren Lizbon Anlaşması’ndan aldığı yetkiyle, daha önce ağırlıklı olarak ülkelerarası işbirliği konusunu teşkil eden içişleri ve adalet alanını ilgilendiren konularda son iki yıldır mevzuat taslağı hazırlama işlevini üstlenmiştir. Bu kapsamda, Komisyonu’nun kişisel verilerin korunması konusunda hazırladığı yeni taslak mevzuat, 25 Ocak 2012 tarihinde AB Konseyi ve Parlamento’nun onayına sunulmuştur. Önümüzdeki günlerde AB’nin gündemini meşgul edecek olan bu paketin onaylanmasıyla, 1995 yılında kabul edilen Veri Koruma Direktifi güncellenmiş ve kapsamı genişletilmiş olacaktır.
Kişisel verilerin korunması konusu, AB bünyesinde insan hakları bağlamında en fazla tartışılan konuların başında gelmektedir. Günlük yaşamın ayrılmaz parçası haline gelen bilgisayar, internet, cep telefonu ve bilgisayar tabanlı diğer teknolojiler, hayatı kolaylaştırıcı ve basitleştirici bir rol oynasalar da, bunları kullanmak için ya da kullanırken girilen kişisel bilgileri depolama özelliği de bu bilgilerin korunması meselesini ortaya çıkarmaktadır.
Örneğin, bir banka hesabı açarken, bir sosyal paylaşım sitesine üye olurken, herhangi bir online rezervasyon yaparken, mağazadan bir ürün alırken, internet, telefon, elektrik ya da doğal gaz aboneliği yaptırırken, kimlik numarası, ad-soyad, adres, telefon, elektronik posta, meslek, doğum yeri ve tarihi, kredi kartı numarası gibi pek çok kişisel bilgiyi karşı tarafla paylaşmak durumunda kalmaktayız. Dolayısıyla, dijital aygıtlar bu şekilde bize özgü izlerimizi kaydetmekte ve özel hayatın konusu olan birçok bilgiyi muhafaza edebilmektedir.
Hayatın akışı içinde bu tür bilgilerin paylaşılmaması mümkün değildir. Asıl önemli olan bunların nasıl muhafaza edildiği, yanlış ellere geçmemesi için ne gibi kural ve kaidelere bağlı olduğu ve suiistimali halinde ne gibi müeyyidelerin devreye girdiğidir.
Pratik hayata baktığınızda, kişisel bilgiler şirketler arasında müşterilerin bilgisi dışında el değiştirip durmaktadır. Örneğin bir mobilya alırken verdiğiniz cep numaranız bir hafta sonra bir banka ya da internet servis sağlayıcı şirket tarafından aranıp, çok cazip kampanyalarımız var diye başlayan cümleler duymanız mümkündür. Kişisel bilginin korunması hakkının çok açık ihlali olan bu tür uygulamalar yeterli düzenlemelerin olmamasından dolayı artarak devam etmektedir.
AB çapında yapılan bir ankete göre Avrupalıların yüzde 70’i kişisel bilgilerinin suiistimal edildiği, özellikle şirketlerin bu tür bilgileri başka şirketlere verdiği yönünde endişelerini dile getirmektedir. İnternet kullanıcılarının bir çoğu da örneğin sosyal ağlarda profil açarken gizlilik politikaları hakkında hiçbir şey bilmemekte ve nette yaptıkları gezintilerinin online reklamlar için kullanıldığının farkına varmamaktadır. Ayrıca, insanların büyük bir çoğunluğu, internet aracılığıyla yapılan işlemlerde gereğinden fazla kişisel bilgi istendiğinden ve bu bilgiler üzerinde hiçbir kontrollerinin olmadığından şikâyetçidir.
[1]
Avrupa İnsan Hakları Sözleşmesi’nde ‘özel hayatın ve aile hayatının korunması’ başlığı altında değerlendirilen kişisel bilgilerin korunması hakkı, Avrupa Birliği’nin Temel Haklar Şartı’nın 8. maddesinde daha açık, net ve müstakil bir biçimde düzenlenmiştir. Hazırlanan yeni mevzuat da bu hakkın en uygun şekilde hayata geçirilmesi amacını taşımaktadır.
1995 tarihli Direktif, bu alanı düzenlemiş olsa da, her üye ülkede farkı şekilde yorumlanarak uygulamaya konulduğundan dolayı, bugüne kadar AB çapında tutarlı ve standart bir veri koruma mekanizmasına dönüşebilmiş değildir. Ayrıca, 1995 yılından günümüze kullanım yaygınlığı, teknoloji ve online ticaret bakımından sanal dünyada çok büyük ilerlemeler yaşanmıştır.
Bu yeni paketin en önemli unsuru olan veri korumaya ilişkin genel çerçeve regülâsyonu (General Data Protection Regulation) kişilere kendi kişisel bilgileri üzerinde daha fazla söz hakkı verirken, bu bilgileri depolayan ve işleyen yerlere daha fazla sorumluluk yüklemektedir.
Regülâsyonda kişisel bilgi, bir kişinin özel, iş ve kamusal hayatıyla ilgili her türlü bilgi olarak tarif edilmektedir. Bu bir isim, fotoğraf, elektronik posta adresi, banka hesabı, yazışmaları, sağlık bilgileri, kullandığı bilgisayarın IP adresi, cep telefonu numarası olabilir.
Yeni düzenlemeyle kişiler, ‘unutulma hakkına’ sahip olacaktır. Yani bu tür bilgilerin tutulmasındaki meşru gerekçeler ortadan kalkmasıyla, kişi bu bilgilerin silinmesini isteyebilecektir. Bilginin işlenmesinde izin alınması gereken durumlarda bu izin ilgili kişiden açık bir şekilde istenecektir. Diğer bir ifadeyle bilgiyi verenin aynı zamanda bunun işlenmesine de izin verdiği gibi yanlış bir varsayımın arkasına saklanmak artık mümkün olmayacaktır. Ayrıca kişiler, bilgilerini bir servis sağlayıcıdan alıp diğerine transfer etme hakkına sahip olacaktır. Bu da ilgili şirketler arasında rekabeti güçlendirecek güzel bir yeniliktir.
[2]
Kişisel verilerin korunmasıyla ilgili ulusal denetim organının yetki ve kabiliyetleri güçlendirilecektir. Buna uygun olarak, şirketlerin ve servis sağlayıcıların sorumlulukları artacak; bir ihlal durumunda denetim organına bilgi verme yükümlülüğü getirilecektir. Diğer taraftan, tüm AB ülkelerinde aynı kuralların uygulanması sağlanarak birden çok ülkede iş yapan şirketlerin farklı yükümlülükleri yerine getirmesi önlenmiş olacaktır. Böylece şirketler, sadece merkezlerinin bulunduğu ülkenin veri koruma otoritesiyle muhatap olacaktır. Bu kurallar sayesinde müşterilerin online ticarete olan güveni artacak ve yeni iş olanakları ve pazarlar açılabilecektir.
[3]
Cezalar ise ilk ihlalde uyarı mektubu gönderilmesi şeklinde olurken ikinci ihlalde ya da ağır ihlallerde 1 milyon Dolar ya da şirketin yıllık toplam kazancının yüzde ikisine kadar çıkabilecektir. Bu para cezaları, ulusal veri koruma otoriteleri tarafından verilecektir.
Taslak veri koruma mevzuatı, Konsey ve Parlamento’nun onayından geçtikten sonra 2 yıl içinde yürürlüğe girecektir. Ayrıca, üye ülkelere kendi iç mevzuatlarını yeni kurallara uygun hale getirmeleri yönünde 2 yıllık mühlet verecektir.
Ülkemizdeki duruma baktığımızda, Avrupa Birliği’nde 17 yıl önce mevzuatlaşan kişisel verilerin korunması hakkı, ülkemizde henüz bu amaca matuf bir yasayla garanti altına alınmış değildir. Bu yönde yapılan kanun çalışması, Avrupa Birliği’ne uyum sürecinin de etkisiyle 2008 yılında TBMM’ye sevk edilmiştir. Hazırlanması aşamasında istifade edilen kaynaklar arasında AB ve üye ülkelerin ilgili mevzuatı da yer almaktadır. Dolayısıyla, yeni regülasyonun bu gözle de incelenmesi gerekli görülmektedir.
Araştırmacı*
[1] http://ec.europa.eu/home-affairs/news/intro/news_intro_en.htm
[2] http://ec.europa.eu/justice/newsroom/data-protection/news/120125_en.htm
[3] http://ec.europa.eu/justice/data-protection/document/review2012/com_2012_11_en.pdf