Bir Konferansın Ardından

Av. Hasan Selçuk Turan

Kişisel Verilerin Korunması Kanunu yürürlüğe gireli bir yılı geçti. Kanun genel itibari ile Avrupa Birliği'nin 95/46/EC direktifinin tercümesi şeklinde. Yıllardır kişisel verilerin nasıl hoyratça kullanıldığını ve devletin bunları korumak için çok da bir çaba içinde olmadığını görünce kanunun yürürlüğe girmesi insanı gelecek konusunda umutlandırıyor. Bir birey olarak beni, bireyler olarak da hepimizi korumayı amaçlayan bir kanunun eleştirilecek çok yönü var elbette. AB'nin de şikayet ettiği konuların başında kanundaki istisnalar geliyor. O kadar çok istisna var ki sonunda kanun kimleri bağlıyor diye bir düşünce de aklınıza gelmiyor değil. Ama bu yine de bir başlangıç. Zaman içerisinde istisnaların azalmaını ve uygulamalar sonucunda herkesin karşısındakinin özeline saygı duyma isteğine kavuşmasını umuyoruz.

Kişisel Verileri Koruma Kurulu göreve başladı ve önemli bir adım atarak kanundan etkilenecek kişilerle buluşmak istedi. Kurul Bilgi Üniversitesi'nde 26 Nisan'da düzenlenen çalıştaya ve Kişisel Verilerin Korunması Konferansı'na katıldı. Çalıştay davet edilen sınırlı sayıda kişi ile gerçekleştirilirken konferansa katılım herkese açıktı. Davetli olmadığım için çalıştayla ilgili izlenimlerimi aktaramayacağım. Ancak konferansa katıldım ve konferans ve katılımcılarla ilgili izlenimlerimi aktarmak istiyorum.

Öncelikle ilk söylemek istediğim şey bu kanundan rahatsız olan ne kadar çok hukukçu varmış onu gördüm. Konferansa katılıp da görüşünü ifade edenlerden sadece bir kişi bizlerden yani gerçek kişilerin haklarından bahsetti. Geri kalan her katılımcı ya kanunla ilgili çekincelerini anlattı ya da bir uygulamanın ucunun kendilerine dokunabileceğini ifade etti. İstisnaların çokluğundan bahseden bir kişi bile çıkmadı. Elbette kanunun yasalaşması sürecinde yer alan tetkik hakimi Tahir Bey'in ve kurul üyelerinden bazılarının hakkını yememek lazım.

Konferansa katılan hukukçulardan bir çoğunun konu hakkında bilgisinin yetersiz olduğu da hemen anlaşılıyordu. Ama bilenlerin de bazı şeyleri yanlış anladıkları da belliydi. Kanunun ceza hukuku ile ilişkisinin çok anlaşılmadığını da gördüm. Mesela kanun çıkmadan kişinin rızası alınmadan toplanan kişisel veriler için iki yıllık süreden bahsedildi. Oysa kanun her ne kadar çok açık ifade etmese de temel hukuk kuralları TCK ile birlikte uygulandığında geçiş sürecinin ilgili kişinin herhangi bir şekilde rızasının alınmadığı kişisel veriler için bir geçiş süreci öngörmediği, rıza olmadan saklanan kişisel veriler için TCK hükümlerinin uygulanacağı kolayca görülebilirdi.

Uzman olduğunu bildiğim bir meslektaşım da müşterilerinin saklanması için kanuni süresi biten kişisel verilerin silinmesinden yakındığını aktardı. MASAK bu bilgileri istediğinde ne yapacaklarını sordu. Kanuni süresi biten verileri silenler hakkında hangi ceza maddesine göre işlem yapılabileceğini bilmiyorum. Bu gereksiz korkunun arkasında aslında kişisel verileri ilelebet saklayıp faydalanmak mı yatıyordu acaba? İnsanımızın her şey için bir bahane üretmekteki ustalığı hepimizin malumu. Kırmızı ışıkta geçeriz acelemiz olur, yasak yerde sigara içeriz "içmezsem çok sinirli oluyorum" deriz. Yani her şeye bir bahanemiz var da hukukçuların bunu yapmaması gerekir diye düşünüyorum.

Bir banka avukatı da istisna istedi. Bir an kurul bu fikre sempati duyar diye korktum ama korktuğum başıma gelmedi ve Faruk Bilir hocamız istisnanın olmayacağını söyleyince gerçekten çok sevindim. Daha önce hiç işim olmayan bir bankada hesap açtırmak istediğimde TC kimlik numaramı söylediğimde adresimi söylemesinden hoşlanmamıştım zaten. Kim bilir daha neleri görebiliyorlar. En acısı da konferansta konuşan bazı hukukçuların bizim kişisel verilerimi işlemelerin en doğal hakları olduğunu düşündüren cümleler kurmaları oldu.

Kurulu karşılarında bulunca her sektörün kendilerine nasıl bir fayda sağlayabileceklerini araştırmaları son derece normal. Hemen her sektörün temsilcisi kurula sorunları ilgili bir rapor vermek istediklerini söyledi. Tek taraflı yazılacak bu raporları kurulun nasıl değerlendirip bir sonuca varacağını da merak ediyorum. Kurul görüşleri sorunca ben de kendi sektörüm adına görüş bildirmek istiyorum. Benim sektörüm elbette kişiler yani herkesin büyük bir keyifle işlediği kişisel verilerle ilgili kişiler.

Kurul üyesi Şaban Baba veri sorumluları sicili konusunda önümüzdeki süreci anlattığında gayri ihtiyari ağzımdan "yıllar var" cümlesi çıkıverdi. Yanımdaki bir iki kişi de "evet" dedi. Yönetmelik bir iki hafta içinde görüşe açılacak. Görüşler toplandıktan sonra değerlendirme aşaması ve sonra yazılacak yazılımın tasarımını ve ihale sürecini düşününce bir yıldan önce çıkacağını düşünmüyorum. Ama belki bir iki ustaca düzenleme ile veri sorumlusu sicili olmadan da çok etkin bir şekilde kanunun uygulanması sağlanabilir.

Konferans boyunca çok duyduğum sözlerden biri de "ülkemize özgü şartlar" oldu. Bu sözden hiç hazzetmem. Çünkü ne zaman muassır medeniyetten bir kural alacak olsak hemen bir yerini değiştirip "ama bizim şartlarımız Avrupa'nınki gibi değil" deriz. "Ülkemize özgü şartlar" yıllardır kullanılan güzel bir kılıf ama en azından kişisel verilerde bundan bahsetmesek daha iyi olur diye düşünüyorum. Bize özgü şart ne olabilir ki? İnsanlarımız daha az internete giriyor diye kişisel verilerini daha hoyratça mı kullanalım? Bize özgü şartlardan biri BKM (Bankalararası Kart Merkezi) mi acaba? Finans kuruluşların insanların kişisel verilerini hiç onay almadan ve istedikleri kadar işlemelerine kanuni koruma sağlanan yapı. Ben bu yapıdan şikayetçiyim mesela. Ama hemen bir açıklama var tabii. "Biz ülkemizin ve kişilerin menfaati için finansal verileri işliyoruz". Bu tür cümleleri görünce kırmızı başlıklı kız için bahaneler üreten hain kurt aklıma geliyor.

Konferansta aynı fikirde olduğum tek konuşma, kanunun güçlü kurum ve kuruluşlara karşı daha zayıf durumda olan kişilerin haklarını korumak için çıkartıldığını hatırlatan konuşmaydı. Ben de tam bir şeyler söyleyecekken birinci kısım bitti. Sonra tekrar söyleme fırsatım olur diye ikinci kısma girdim ama Kişisel Verileri Koruma Kanunu konusunda bildiğim konuların anlatıldığı bir sunum olunca ayrıldım.

İzlenimlerimin sonucu vardığım kanıyı açıklamak gerekirse Kurul'dan umutluyum. Ticari hayatla kişilerin hakları arasında denge kuracaklarını söylemelerini, karşılarındaki kitleye bakınca normal karşılıyorum. Katılan herkes kendi bireysel hakkını savunsaydı Kurul bu sefer de "Sizin (ilgili kişilerin) haklarınızı sonuna kadar koruyacağım" demek zorunda kalırdı. İyi niyetli olduklarını ve durumu anlamaya çalıştıklarını kolayca görebiliyorsunuz. Kurulun geç teşekkül etmesinden ve yönetmeliklerin geç kalmasından dolayı onları suçlamamız mümkün değil. Bir sonraki konferansı Ankara'da ev sahibi olarak düzenleyeceklerini açıkladılar. Mümkün olursa ona da katılıp izlenimlerimi paylaşacağım.

Konferansa katılanlar için ise genel izlenimim tipik avukatlardı. Kendilerini unutup sadece müvekkilleri için konuştular. Söyleyene değil de söyletene bakmak lazım sözü bu konferansta da geçerliydi.

Diğer Haberler

28 Şubat 2018

İstenmeyen Ekstre Gönderilmesine Kurul’dan 30.000 TL Ceza

Kişisel Verileri Koruma Kurulu, Türkiye’nin en büyük bankalarından birinin mahkemece istenmemesine rağmen müşterisine ait 6 aylık kredi kartı ekstresini mahkemeye göndermesine Kanun’un Md.12/1’in b bendine istinaden 30.000 TL idari para cezası verdi

2 Ekim 2017

Veri Sorumluları Sicili’ne Kayıt Ücretsiz Olacak

Kişisel Verileri Koruma Kurumu tarafından tutulacak Veri Sorumluları Sicili’ne kayıt ücretsiz olacak. Yıllık ödeme kaldırıldı.

2 Kasım 2017

KVKK Başkanı Bilir: “125 Bin Lira Ceza Kesildi”

Kişisel Verileri Koruma Kurumu’nun bütçe görüşmeleri TBMM Plan ve Bütçe Komisyonu’nda yapıldı. Bilir 2017’ye ilişkin bilgiler verdi.

2 Ekim 2017

Kanunda yapılması önerilen değişiklikler

TBMM’ye sunulan torba kanun tasarısı ile Kişisel Verilerin Korunması Kanunu’nun dört maddesinde de bazı değişiklikler öngörülmektedir.

12 Temmuz 2017

Kurum kitapçıklar yayınladı

Kişisel Verileri Koruma Kurumu, kişisel verilerin korunması konusunda farkındalık sağlamak ve kanunun uygulamasını anlatmak amacıyla kitapçıklar yayınladı.

5 Mayıs 2017

Veri Sorumuluları Sicili Hakkında Yönetmelik Taslağı Kamuoyuna Sunuldu

Kayıt olunması gereken Veri Sorumluları Sicili’ne (VERBİS) kayıdı düzenleyen Veri Sorumluları Sicili Hakkında Yönetmelik taslağı kamuoyu görüşüne sunuldu.

26 Nisan 2017

Kişisel Verilerin Korunması Konferansı Yapıldı

Kişisel Verileri Koruma Kurulu’nun konunun paydaşları ile buluştuğu Kişisel Verilerin Korunması Konferansı Bilgi Üniversitesin’de gerçekleştirildi.

6 Nisan 2017

BTK kendi çalışanlarına Phishing yaptı

BTK Başkanı Sayan phishing tatbikatı sırasında bazı çalışanlarının aldanarak şifrelerini giriş işleminde kullandığını açıkladı.

31 Ocak 2017

Kişisel Verileri Koruma Kurulu Başkanı Prof. Dr. Faruk Bilir seçildi

Kişisel Verileri Koruma Kurulu’nun yaptığı seçimde Kişisel Verileri Koruma Kurulu’nun ilk başkanı olarak Prof. Dr. Faruk Bilir seçildi.