Kişisel verilerin korunması için gecikilmemeli

GEÇEN hafta Avrupa Birliği Adalet Divanı (EJC) çok önemli bir karara imza attı. EJC, 2000 yılında imzalanan ‘Safe Harbour’ yani ‘Güvenli Liman’ olarak adlandırılan ve AB vatandaşlarının kişisel verilerinin ABD’li firmalar (örneğin, Microsoft, Facebook ya da Google) tarafından işlenmesine izin veren anlaşmanın artık geçersiz olduğuna karar verdi.

Neden böyle bir karar alındı derseniz onu da hemen söyleyelim. Bu kararın arkasında Edvvard Snovvden tarafından sızdırılan Prizma hakkmdaki bilgiler var. Hatırlayacaksınız, 2013’de Snowden isimli eski bir CIA ajanı, Amerikan Ulusal istihbarat Ajansı’nın (NSA) Facebook, Google, Microsoft gibi dokuz büyük internet devinin depoladığı tüm kişisel verilere sınırsızca ve mahkeme kararı olmaksızın ulaşabildiğini gösteren belgeleri basma sızdırmıştı. Öyle ki, dünyanın önemli cihaz sağlayıcılarından Cisco’nun önemli uluslararası kuruluşlara yapılan satışlarında, cihazların içine böcek konulduğunu gösteren fotoğraflar bile basma yansımıştı. İşte, EJC, bu nedenle kendi vatandaşlarının verilerinin ABD’de işlenmesinin artık ‘güvenli’ olmadığına karar verdiğini açıkladı.

Bundan sonrasında ne olur, çeşitli tartışmalar var. Avrupa’da iş yapmak isteyen firmaların Avrupa şubelerini açmaları ve sunucuları da Avrupa’da tutması bir çözüm ama bunun maliyeti var. Başka bir olasılık da ABD ile Avrupa arasında yeni bir ‘Safe Harbour’ imzalanması ancak Avrupalı kaynaklar bunun zor olduğu görüşünde.

VERİLER TÜRKİYE’DE TUTULACAK

Bu durumun ülkemize muhtemel yansıması nasıl olur?

Olayın bizi ilgilendiren yönü ‘kişisel verilerin korunması’ konusuna verilen önem. Ülkemizde hala bu konuda bir kanun yok. Defalarca TBMM’ye taslaklar geldi ama çeşitli nedenlerle kanuna dönüşemedi. Oysa bu, Avrupa’ya mal ya da hizmet satan Türk firmalarının önüne çıkan önemli bir ‘ön şart’. Bunun ötesinde vatandaşların kişisel verilerinin korunması, kendi güvenlikleri açısından önemli. Hele ki, konu akçeli işlere dayanıyorsa.

Allahtan, bu konuda en dikkatli kurum BDDK (Bankacılık Düzenleme ve Denetleme Kurulu). Bankalar için koydukları, “Sunucular Türkiye’de olacak” kuralının bir başka uygulamasını, yönetmeliği haziran sonunda yürürlüğe giren 6493 sayılı ‘Elektronik Para ve Ödeme Sistemleri’ başlıklı kanunda da görüyoruz.

Elektronik para ve ödeme sistemleri ile işlem yapmak için BDDK’dan lisans alma zorunluluğu getirildi.

Lisansın önemli bir şartı ise ‘yerel sunucu’, yani verilerin Türkiye’de tutulması…

Verilerin Türkiye’de tutulması neden bu kadar önemli? Bu soruyu, BDDK’dan 6493 Sayılı Kanun kapsamında lisans alan Turk Elektronik Para A.Ş. Yönetim Kurulu Üyesi Hukukçu Özgür Eralp’e sorduk : “Elektronik para ve ödeme sistemleri, işleri kolaylaştıran ama bir o kadar da ciddi konular. Bu işlemleri yapan firmaların sistemlerinin ve teknolojisinin ‘yerel’ olması önemli. Çünkü Türk hukuku, Türk ekonomisi açısından kolaylıkla uygulanabilir ya da değişiklik durumunda ayak uydurabilir olmalıdır. En az bu kadar önemli olan diğer bir husus da, kişilerin maddi, manevi varlıklarının güvenliği. Bugün bunların korunmamasının getirdiği sorunları görüyoruz. BDDK’nm verdiği lisans ve ‘sunucuların Türkiye’de olması’ gibi koşullar bu açıdan büyük önem arz ediyor.”

ÇARE YERLİLİKTE

Peki, sunucular Türkiye’de olmazsa ne olur? Bu soruyu Eralp, bu defa hukukçu gözüyle şöyle yanıtlıyor: “Örneğin, bir ödeme ya da tahsilat anlaşmazlığı yaşadığınızda bunu çözmek için uluslararası düzeyde mücadele etmelisiniz. Bizde eğilim genellikle mücadele etmek değil vazgeçmek yönündedir. Ama yaptığınız ödeme eşliğinde kaydedilen kişisel verilerinizin konulduğu sunuculardan alınması ve başka amaçlarla kullanılması olasılığını unutmamalısınız. Elektronik soygunlar yaşanıyor. Bunları çözmenin yolu, Türk hukuku çerçevesinde işleyen lisanslı firmalarla çalışmak.”

Eralp’ın işaret ettiği ‘kişisel verilerin korunması’, şimdiye kadar çok dikkat etmediğimiz bir konu oldu ama Batı basınında bu verilerin çalınması ile hayatı kararan, varlıkları yok olan ya da kredi kartları ile borçlara batırılan, vergi iadesi çalınan insanlara ilişkin haberler okuyoruz. Bunun olmasını engellemenin yolunu, hükümet zaten kanun çıkararak gösterdi. Fakat bir kanun hala eksik ‘Kişisel Verilerin Korunması Kanunu’. Bir an önce bu konuda da çalışmalar tamamlanmalı ve kanun çıkarılmalı.

Bizden söylemesi…