Kişisel Verilerin Korunması Yasa Tasarısı: Zehir mi panzehir mi?

Kişisel Verilerin Korunması Yasa Tasarısı, Türkiye Büyük Millet Meclisi Adalet Komisyonundan geçti ve Genel Kurulda yasalaşması beklenmektedir.

Bu Tasarı, birey olarak hepimizin sahip olduğu, kendimize ilişkin verilerin korunması amacıyla çıkartılmakta ise de içerdiği istisnalar ve denetim mekanizmasının yürütmeye bağlılığıyla ciddi biçimde eleştirilmektedir.

Bireylerin kişisel bilgileri içinde sağlıkla ilgili bilgiler özel önem taşımaktadır. Bu bilgilerin ilgilisiyle paylaşılması yaşamsal olabilirken ilgisiz paylaşımları da kişilik haklarının önemli ölçüde ihlaline sebep olabilecektir. Bu bakımdan, genel olarak kişisel veriler, özel olarak da sağlık verilerinin paylaşılmasına ilişkin sınırların net, katı ve mümkün olduğunca dar biçimde belirlenmesi bireylerin kişisel alanlarının korunmasına yardımcı olabilecektir.

Komisyon sunuşunda Adalet Bakanı, bu Tasarı’nın Fişleme Yasası olarak nitelenmesini art niyetli bulmuş ve esasen Tasarının fişlemenin panzehiri olduğunu belirtmiştir. Kişisel verilerin korunmasına yönelik bu düzenleme, 4 ayrı fasıl ile ilgisi de gözetildiğinde Avrupa Birliğine uyum açısından büyük önem taşıdığı belirtilmektedir. Ayrıca güvenlik ve adliye birimlerinin uluslar arası veri paylaşımı ile yabancı sermaye girişi bakımından gerekli olduğu belirtilen Yasa Tasarısı incelendiğinde verilerin korunmasından çok paylaşılmasına şemsiye olacak nitelikte düzenlemeler içerdiği görülmektedir.

Kişisel verilerin korunmasıyla ilgili bir yasa düzenlemesi yerinde olmakla birlikte düzenlemenin mevcut Yasa Tasarısındaki gibi olması, veri korumanın sağlanması bakımından olumlu bir gelişme olarak değerlendirilememektedir. Tasarı bu haliyle yasalaştığında, mevcut hukuka aykırılıkların meşrulaştırılmasının kaynağı olabilecektir.

Her şeyden önce kişisel verilerin sahibinin kim olduğunu belirlemek; bu verilerin sahibinin bireyin kendisi olduğu ve ancak açık rızasıyla paylaşılmasının mümkün olduğuna karar vermek gerekir. Bu yaklaşımla, birey kendi verilerini mümkün olduğunca koruyabilecek; böylece, unutulma hakkı da yaşamda yer bulmuş olacaktır. Tasarı’da ise buna olanak veren bir düzenleme bulunmamaktadır. Aksine, bireyin kişisel verilerinin en geniş istisnai düzenlemelerle paylaşılıp kullanılmasını sağlayacak kurallara yer verilmiştir.

Diğer yandan, Yasa Tasarısında kişisel verilerin korunmasıyla ilgili düzenleme ve denetim yetkileriyle donatılmış bir Kurul oluşturulmuştur. Kurul’un bağımsızlığı, Yasa Tasarısı’nın uygulamada alacağı biçimi belirleyecek olması nedeniyle çok önemlidir. Yasa Tasarısı ile Kurul’un bağımsızlığına vurgu yapan hükümler düzenlenmiş ise de üyelerin seçiminden yetkilerin dağıtımına kadar pek çok noktada, söz konusu bağımsızlığın göstermelik kalacağının işaretleri bulunmaktadır. Zira, Kurul üyelerinin dördü Bakanlar Kurulu tarafından üçü ise Cumhurbaşkanı tarafından neredeyse hiçbir ölçüte tabi olmaksızın belirlenmektedir. Seçilecek Kurul üyelerinin niteliğine ilişkin o  kadar az ölçüt belirlenmiştir ki, Yürütme, istediği kişiyi kişisel verilerimizle ilgili her türlü kararı verecek Kurula üye yapabilecektir. Oysa, üyelerin seçileceği kaynağa ilişkin sınırlamalar yapılması, üniversite ve yargı organlarından üye seçilmesinin zorunlu tutulması gibi ölçütlerle, esasen yürütmenin işlemlerini denetleyecek olan Kurul’un yürütmenin dışında gelişmesini olanak sağlayabilecektir.

Bütün bunlardan başka, Yasa Tasarısının ayrıntılarına bakıldığında vahim bazı düzenlemeler göze çarpmaktadır. Örneğin, halihazırda yasal düzenleme olmadığı için korunabilen (!) verilerin mevcut Tasarı ile işlenmesi ve satılması da mümkün hale gelebilecektir. Nitekim; Tasarının Özel nitelikli kişisel verilerin işlenme şartları başlıklı 6. maddesinde özel nitelikli kişisel veri, “Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri” olarak belirlendikten sonra kişinin açık rızası aranmaksızın sağlık hizmetlerinin finansmanı amacıyla sır saklama yükümlülüğü altında bulunan kişiler, veya yetkili kurum ve kuruluşlar tarafından işlenebilecektir (m.6/4-d). Tasarının gerekçesinde, Sağlık Bakanlığı ile her türlü sağlık kuruluşunun ve Sosyal Güvenlik Kurumunun bu bentte yazılı amaçlarla tuttukları veriler ve kayıtlar bu kapsamda değerlendirileceği ifade edilmektedir. Hükmün kapsamının ne derece geniş olduğu, herkesin bütün kişisel ve sağlık verilerini içerdiği anlaşılmaktadır.

Anılan hükümlerle düzenlenen şeyi anlaşılır biçimde söylemek gerekirse, kişisel verilerimizle, rızamız da aranmaksızın sağlık hizmetleri finanse edilebilecektir. Maddede belirtilen ve her biri bütünüyle hassas kişisel veri niteliğinde olan bilgilerin satışına imkan veren bu düzenlemeler kabul edilemez.

Yine Yasa Tasarısının 30. Maddesiyle şu değişikliklerin yapılması öngörülmektedir:

 (6) 7/5/1987 tarihli ve 3359 sayılı Sağlık Hizmetleri Temel Kanununun 3 üncü maddesinin

birinci fıkrasının (f) bendi aşağıdaki şekilde değiştirilmiştir.

“f) Herkesin sağlık durumunun takip edilebilmesi ve sağlık hizmetlerinin daha etkin ve hızlı şekilde yürütülmesi maksadıyla, Sağlık Bakanlığı ve bağlı kuruluşlarınca gerekli kayıt ve bildirim sistemi kurulur. Bu sistem, e-devlet uygulamalarına uygun olarak elektronik ortamda da oluşturulabilir. Bu amaçla, Sağlık Bakanlığınca, bağlı kuruluşları da kapsayacak şekilde ülke çapında bilişim sistemi kurulabilir.”

(7) 11/10/2011 tarihli ve 663 sayılı Sağlık Bakanlığı ve Bağlı Kuruluşlarının Teşkilat ve Görevleri Hakkında Kanun Hükmünde Kararnamenin 47 nci maddesi aşağıdaki şekilde değiştirilmiştir.

“MADDE 47- (1) Sağlık hizmeti almak üzere, kamu veya özel sağlık kuruluşları ile sağlık mesleği mensuplarına müracaat edenlerin, sağlık hizmetinin gereği olarak vermek zorunda oldukları veya kendilerine verilen hizmete ilişkin kişisel verileri işlenebilir.

(2) Sağlık hizmetinin verilmesi, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması ve maliyetlerin hesaplanması amacıyla Bakanlık, birinci fıkra kapsamında elde edilen verileri alarak işleyebilir.

(3) Bakanlık, ikinci fıkra gereğince toplanan ve işlenen kişisel verilere, ilgili kişilerin kendilerinin veya yetki verdikleri üçüncü kişilerin erişimlerini sağlayacak bir sistem kurar.

(4) Üçüncü fıkraya göre kurulan sistemlerin güvenliği ve güvenilirliği ile ilgili standartlar Kişisel Verileri Koruma Kurulunun belirlediği ilkelere uygun olarak Bakanlıkça belirlenir. Bakanlık, bu Kanun uyarınca elde edilen kişisel sağlık verilerinin güvenliğinin sağlanması için gerekli tedbirleri alır. Bu amaçla, sistemde kayıtlı bilgilerin hangi görevli tarafından ne amaçla kullanıldığının denetlenmesine imkân tanıyan bir güvenlik sistemi kurar.

(5) Sağlık personeli istihdam eden kamu kurum ve kuruluşları ile özel hukuk tüzel kişileri ve gerçek kişiler, istihdam ettiği personeli ve personel hareke