Fişleme ve kişisel verilerin korunma sorunu nedeniyle eleştiri konusu olan tasarıda, son değişiklikle MİT, Jandarma ve Emniyet’e ‘kişisel veri işleme’ olanağı getirildi. İlk metinde, bu 3 kurumun, kişisel veri toplayamayacağı, ancak yargısal süreçlerde verilere ulaşma imkanı sağlanacağı belirtilmişti.
3 KURUMA YETKİ
Hürriyet Gazetesi'nin gündeme getirdiği tasarıya göre, MİT, Jandarma ve Emniyet, bu yasa hükümlerine tabi olmadan kişisel verileri işleyebilecek. 3 kurum, “Sizin verilerinizi topluyoruz” diye bilgi vermek zorunda da olmayacak. Toplanan verilerde neler yer aldığını öğrenmek için vatandaşlar başvuru yapamayacak, silinmesini isteyemeyecek. MASAK’ın suç gelirlerinin aklanması kapsamında yaptığı faaliyetler de bu yasa kapsamında olmayacak. Bu kurumların faaliyetleri, Kişisel Verileri Koruma Kurulu tarafından da denetlenemeyecek.
NELER VERİ OLACAK?
- Yasa kapsamında olan kurumlar ise “İsim, telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, genetik bilgileri” kişisel veri olarak kaydedebilecek. Bu verilerin kaydedildiği konusunda kişiye bilgi verilecek. Veriler, ‘bir hakkın tesisi, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve hekim hizmetlerinin’ gereğiyse, sır saklama yükümlülüğü olanlar tarafından izin almadan da işlenebilecek. Veriler, işlenmesini gerektiren sebepler ortadan kalktığında, resen ya da kişinin başvurusu üzerine silinecek.
CİNSEL EĞİLİM VERİ OLAMAYACAK
- Irk, etnik köken siyasi düşünce, felsefe inanç, dini, mezhebi veya diğer inançları, vakıf ya da sendika üyeliği, mahkûmiyet kararları, sağlığı veya cinsel hayatı ile özel nitelikteki kişisel bilgiler, veri olarak kaydedilemeyecek. Ancak tasarı belli hallerde sınırlı bir işleme ve bunları açıklama olanağı sağlıyor. Bir kişi kamuoyuna kendisi ile ilgili işlenemeyecek bilgilerden birini açıklamışsa yasak kalkacak. Tasarı, özetle şu unsurları içeriyor:
BİLGİLERİM NİYE İŞLENDİ?
- Kişisel veriler, kişinin rızası alınarak ‘hukuk ve dürüstlük kurallarına uymak, gerektiğinde güncellemek, belirli, açık ve meşru amaçlar için kullanmak amacıyla’ işlenebilecek. Eğer kişisel verilerin korunması konusunda sıkıntı yaşanır ve bunlar başkaları tarafından elde edilirse, kişinin zararı giderilecek. Herkes veri sorumlusundan kendisine ait bilgilerin işlenip işlenmediğini, işlendiyse bunun ne amaçla yapıldığını, amacına uygun kullanıp kullanılmadığını, işlenen bilgiler yanlışsa düzeltilmesini isteme hakkına sahip olacak.
İZİNSİZ YURTDIŞI YASAK
- Kişisel veriler, yurtdışına kişinin onayı yoksa aktarılamayacak. Aktarılması için uluslararası sözleşmelerin öngörmesi, karşılıklılık esası, karşı tarafın gerekli koruma önlemleri alma garantisi vermesi halinde mümkün olacak. Verileri işleyen kişi, vatandaşlara kimliğini, bu verileri ne amaçla işlediğini, bunları ne için kullanacağını ve kimlere aktaracağını, veri toplama hukuk ve kurallarını anlatmakla yükümlü olacak.
KORUMA KURULU
- 7 kişiden oluşan Kişisel Verileri Koruma Kurulu oluşturulacak. Daha önce Başbakanlığa bağlı çalışması öngörülen kurul, Adalet Bakanlığı’na bağlı hale getirildi. Kurul üyeleri, Bakanlar Kurulu tarafından atanacak. Devlet sırrı niteliğindeki veriler kurula gönderilmeyecek. Ancak başkan ya da kurul üyeleri bunları yerinde inceleyebilecek. Üyeler, Yargıtay’da, görevleri için özel hazırlanacak yemini okuyarak göreve başlayacaklar. Tüm veriler, sicil kütüğüne kaydedilecek.
AÇIKLAYANA HAPİS
- Tasarı sadece devlete değil, bankalar ve şirketlere verilen kişisel bilgilerin saklanmasını da içeriyor. Bankaya verilen kişisel bilgiler, hastane kayıtlarındaki tahlil ve test sonuçları gibi bilgiler dahil, her türlü hastalık sonucu, kişisel veri kapsamında olacak. Bu bilgileri şirketler, üçüncü kişilere veremeyecekler. Hem şirketlerdeki hem de devletteki bu bilgileri yasada belirtilen şartlar dışında açıklayanlara 3 yıl hapis verilecek.
DDK’ya inceletmişti
11. Cumhurbaşkanı Abdullah Gül, ilk haliyle bile ‘fişleme’ iddiaları nedeniyle eleştirilen taslağı, Cumhurbaşkanlığı Devlet Denetleme Kurulu’na (DDK) inceletmiş ve kurul, “Kişisel verilerin korunması sorunu olduğu” yönünde rapor vermişti. Raporda şu uyarılar yer almıştı:
- Bilgi güvenliği ve kişisel verilerin korunması açısından sadece teknolojik önlemler yeterli değildir. Koruma için idari düzenleme ve örgütlenme bilgi güvenliği dikkate alınarak yapılmalı, hukuk altyapısı uygun hale getirilmelidir. Kişisel verilerin toplanması, işlenmesi, kullanılması, muhafazası, paylaşılması, yeni işlemlere tabi tutulması, silinmesi gibi her aşamada etkin bir şekilde koruma için teknik ve idari yapı oluşturulmalıdır.
- Bazı kurumlarda, hizmet alınan firmaların, bilgi sisteminin işletilmesi ve verilerin kullanımı, sorgu kayıtlarının tutulması konularında adeta sistemin sahibi gibi hareket etmekte ve müdahale edebilmektedir. Sistemin güvenirliliği nedeniyle kurumlar kendi bilgi sistemlerinin gerçek sahibi olmalıdır. Özel kurumlarla olan ilişkinin doğrudan hizmetin teslimi değil, işbirliği yapma şekline dönüşmesi gerekmektedir.
- Kamu kurum ve kuruluşların, sahip olduğu veri varlığının ‘kritik, kişisel, gizli veya hassas’ olmasına göre alınması gereken güvenlik önlemlerinin belirlenmesi gerekir. Bankacılık, sigortacılık, telekomünikasyon, kargo, sağlık, turizm, eğitim, çağrı merkezi ve pazarlama hizmetleri gibi pek çok alanda faaliyet gösteren işletmelerin bilgi sistemleri büyük hacimde kişisel veriyi bünyelerinde barındırmaktadır. Kişisel verilerin korunması için sektör bazlı düzenlemeler yapılmalı ve yaptırımlar konulmalıdır.HÜRRİYET