Kişisel verilerin işlenmesinin disiplin altına alınması ve Anayasa’da öngörülen temel hak ve özgürlüklerin korunması amacıyla kişisel verilere ilişkin bir kanunun mutlaka çıkarılması gerektiğini daha önce belirtmiştik. Ve nihayet Kişisel Verilerin Korunması Kanun Tasarısı kanunlaşmak üzere TBMM’ye sunuldu. Bu tasarı kanunlaşırsa, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen, otomatik olan veya olmayan yollarla işleyen diğer kişiler arasında artık bir veri işleme disiplini olacak.

Tasarıda göze çarpan en temel ilkeler, kişisel verilerin işlenmesinde, hukuka ve dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine uyulması şeklinde.

Kişisel veri kavramının yeniden tanımlanması gerekiyor

Ancak kanun tasarısında büyük resme baktığınızda, ya bir istisna hükmü konularak, ya da bilinçli olarak bazı ifadelerden arındırılarak, bütün bu temel ilkelerin bir şekilde zedelendiği ve tasarının güncel ihtiyaçlara cevap vermediği ortaya çıkıyor. Bundan böyle büyük veri, sosyal ağlar, bot teknolojileri ve nesnelerin interneti derken kişisel veri anlayışı ile bu kavramın da yeniden tanımlanmasına ihtiyaç var.

Tasarıda eleştirilecek birçok yön var: Bunlardan ilki, veri koruma kurulunun yapısı. Kurul; kişisel verilerin kanuna uygun olarak işlenip işlenmediğine ilişkin ihbar veya şikâyetleri alarak resen inceleme ve denetleme yapmakla yükümlü. Kurulun bağımsız olduğu özellikle vurgulanmış, ancak üyelerinin neden Bakanlar Kurulu tarafından seçildiği ve Adalet Bakanlığı’na bağlı olduğu açıklanmamış.

Tasarıdaki istisnalar dikkat çekiyor

Diğer önemli bir konu ise çokça istisnaların bulunması. Kişisel veri işleme konusunda herkes bir sınırlamaya veya izne tabi olacakken, MİT, Emniyet, Jandarma ve Malî Suçları Araştırma Kurulu (MASAK) kapsam dışında bırakılıyor. Zaten, bazı kurumları istisna tutmakla, bu tasarının hiç kanunlaşmaması arasında bir fark yok. Zira, bu tür bir kanunun çıkmasının amacı, en çok bu kurumların hukuka aykırı olarak veri işlemelerini ve paylaşmalarını engellemek olmalıydı.

Kaldı ki, kanun tasarısında kamudan yani devletten pek bahsedilmiyor. Vatandaş olarak hangi kurumun hangi bilgiyi işleyeceğini, ne kadar süreyle bu verileri tutacağını, ne zaman sileceğini veya silmesi gerektiğini bilmemiz gerek. Ancak, tasarı ne yazık ki devlet kurumlarına karşı geniş bir sorumluluk ve kısıtlama alanı getirmiyor. Kamu kurum ve kuruluşları ile kişisel veri işleme amaç ve araçlarını kullanabilecek diğer kişilerin tanımlara açıkça dâhil edilmesi gerekir.

Tasarı bilgiye serbest dolaşım hakkı vermiyor

Bir diğer husus ise, tasarının, bilgi veya veriye serbest dolaşım hakkı vermeyişi. Tasarıya göre, kişisel veriler herhangi bir şekilde yurt dışına çıkarılamayacak. Çıkarılabilmesi için izin veya taahhütname prosedürlerinin işletilmesi gerekecek ki, günümüz internet ortamında bunun çok da mümkün olmayacağı ve çağdışı bir uygulama olacağı açık.

Bu saydıklarımız temel birtakım sorunlar. Bunlar dışında daha birçok hukuka ve kaynak direktiflere aykırı düzenlemeler olduğunu söylemek mümkün.