Avrupa Konseyi ülkeleri arasında Kişisel Verilerin Korunması kanunu bulunmayan ender ülkelerden biri olan Türkiye sonunda bu konuda somut bir adım atıyor. Kişisel veri ihlallerinin önüne geçmeyi hedefleyen kanun tasarısı geçtiğimiz günlerde Bakanlar Kurulu’nda imzaya açıldı. Tasarı önümüzdeki günlerde Meclis’e taşınacak.

2010’daki taslak değiştirildi

Bilindiği gibi yeni internet düzenlemelerini içeren torba kanuna gösterilen tepkinin nedenlerinden biri de fişlemeye ve kişisel verileri kayıt altına almaya yönelik bazı maddeler içermesiydi. İlk kez 23. dönemde Meclis’e taşınan ancak şimdiki hali o günkü taslaktan oldukça farklı olan Kişisel Verilerin Korunması kanunu, fişlemeyi hukuk dışı hale getirmesi bakımından bir hayli önemli.

Kişisel verilerin kullanılmasını yasal güvence altına alacak kanuna göre bilgiler sadece belirli bir süre kayıt altında tutulabilecek. Önemine göre muhafaza edilen kişisel veriler bir süre sonra silinecek. Bu noktada Avrupa İnsan Hakları Sözleşmesi ve Avrupa İnsan Hakları Mahkemesi kararlarına göre hazırlanan kanun taslağının “kişisel veriler” “kimliği belirtilen veya belirlenebilen bir kişiyle ilgili bütün bilgiler” şeklinde yaptığını da belirtelim.

Taslakta kişisel veri kapsamına giren bilgiler ise “cinsiyet, medeni hal, doğum yeri gibi nüfus bilgilerini, kişilerin polis kayıtlarını, tıbbi verileri, vergi makamlarınca kaydedilen kişisel harcamaların, ekonomik kayıtlar” şeklinde sıralanıyor.

Özel yaşamın gizliliği ve haberleşme hakkı koruma altına alınacak

Kişisel Verilerin Korunması kanunu özel yaşamın gizliliğini ve haberleşme hakkını da koruma altına alıyor. Henüz tüm detaylarına hakim olmadığımız taslağa göre gerektiğinde bireyler, kişisel verilerinin toplandığı konusunda bilgilendirilebilecek.

Bireylerin verilerinin kötüye kullanmalara karşı nasıl korunacağına da bir düzenleme getiren tasarı aynı zamanda kişisel verilerin hukuka aykırı olarak kaydedilmesinin önüne geçecek. Verilerin kötüye kullanımı ya da kullandırılmasına yasayla cezalar gelecek.

Tasarı, kişisel veri ihlallerinin engellenmesinin yanı sıra elektronik ticaretin desteklenmesi, AB hukukuyla bütünleşmenin sağlanması ve uluslararası adli işbirliğinin sağlanması konularında da düzenlemeler içeriyor.

“Dijital Paylaşım ve Güven Projesi” adını taşıyan çalışması kullanıcıların internete girdiklerinde gerçek hayattaki kimliklerinden sıyrılarak farklı online kimliklere büründüklerini ortaya koyuyor. Online alışveriş alışkanlıkları, kişisel verilerin güvenliği ve değeri konusundaki bilinç, online ortamda paylaşım yapma alışkanlıkları üzerine verileri ortaya çıkaran bu araştırma internet ve sosyal medya kullanıcılarının “Açık Paylaşımcılar”, “Salt Etkileşimciler”, “Sadece Alışveriş Yapanlar”, “Pasif Kullanıcılar” ve “Proaktif Koruyucular” olmak üzere beş ana online kişiliğe sahip olduğunu gösteriyor.

Genel olarak araştırma sosyal medya kullanıcılarının kişisel bilgilerini paylaşmakta temkinli oldukları ve sadece güvendikleri platformlara bu bilgilerini vermeye rıza gösterdiklerini ortaya koysa da online kişilikler kendi içinde farklı ayrıntıları barındırıyor.

Online Kişilik Grupları

Online tüketicilerin %21’ini oluşturan Açık Paylaşımcıları ağırlıklı olarak erkek kullanıcılar oluşturuyor. Online yaptıkları işlemlerde en fazla risk almaya yatkın grup olan Açık Paylaşımcıların yarısı günde 10 defadan fazla online olurken kişisel bilgilerini paylaşırken bunun karşılığında özel fiyatlar, erişim ve teklifler almayı bekliyor.

Salt Etkileşimciler teknolojiyi çok yakından takip etmiyor. Sosyal medya ve internetin içinde aktif olarak yer alsalar da alışverişlerinde fiziki mağazaları tercih ediyorlar. Bunu sayıya dökersek %80 oranında salt etkileşimci ürünleri internetten araştırıyor ancak bunun %63’ü gerçek mağazalardan alışveriş yapmaya yöneliyor.

Sadece Alışveriş Yapanlar grubu alışveriş konusunda direkt olarak internetten besleniyor. Bu grubun %90’ı ürünleri internetten araştırırken yarısı mağaza içindeyken cep telefonları ile internete bağlanıp araştırma yapmaya devam ediyorlar. Bu gruptaki %37 oranındaki tüketicinin sosyal medya kanallarının kişisel bilgilerinden beslenerek onlara fırsat sunduğundan habersiz olması ise ilginç bir ayrıntı.

Pasif Kişilikler ise internet ve sosyal medyada en az zaman geçiren grubu oluşturuyor. Bu grubun sadece %48’i sosyal ağ üyesiyken internetten alışverişi pek tercih etmiyorlar. Ancak bu grubun diğer kişiliklere nazaran mobil cihazlarından alışveriş yapıyor olması da dikkati çeken bir veri.

Proaktif Koruyucular internette gizliliklerine en dikkat eden ve kişisel bilgilerini paylaşmaktan çekinen grubu oluşturuyor. Ancak hedef kitle pazarlaması konusunda en bilinçli grup olarak göze çarpan bu kişiliklerin %82’si pazarlamacıların arama ve tarama geçmişlerini baz alarak kendilerini hedefleyebileceği konusunda bilgi sahibi.

Online Tüketicilerin Çoğu Kişisel Verilerini Paylaşmaktan Memnun

Grupların geneline yani tüm online kişiliklere bütün olarak bakıldığında ise değişik sonuçlara ulaşılıyor. Örneğin tüketicilerin yüzde 64’ü kişisel verilerinin satıcılar ve reklamcılar için değerli olduğuna inanıyor. Ayrıca tüketicilerin yüzde 60’ı gizlilik ayarlarının web tarayıcıları üzerinden nasıl değiştirileceğini bilirken %55 oranında online tüketici marka ve pazarlamacıların kişisel bilgilerinden yola çıkarak onlara özel teklifler göndermesine sıcak bakıyor. Tüketicilerin neredeyse yarısı ise mağaza içinde alışveriş yaparken cep telefonlarından fiyat kontrolü yapmayı tercih ediyor.

Resmi Gazete‘de de yayınlanan yeni yönetmelik, genel itibarıyla AB standartlarına uygunluğuyla dikkat çekiyor. Yeni düzenlemede kişisel bilgilerin korunması, güvenliğinin sağlanması ve yurt dışına çıkarılmaması maddelerinin öne çıkarılması ise yönetmeliğin 95/46/EC sayılı AB Veri Koruma Direktifi’ne uyumluluğu bakımından dikkat çekiyor.

Yapılan değişikliklere göre bundan böyle anonimleştirme kapsamında kişisel veriler, belirli veya kimliği belirlenebilir bir gerçek ya da tüzel kişiyle ilişkilendirilemeyecek veya kaynağı belirlenemeyecek hale getirilecek.

Bunun yanı sıra kişisel verilerin işlenmesi konusunda abone tarafından işletmeciye verilen rıza, sadece alınan hizmete özgü olmak koşuluyla, kişisel verilerin işletmeci tarafından yetkilendirilen taraflar marifetiyle işlenebilmesi sağlanacak. Ayrıca tarafların yönetmeliğe aykırı davranışları ve gizlilik ya da güvenlik ihlallerinde de işletmeci sorumlu tutulacak.

Yönetmelik kişisel verilerin güvenliği konusunda birçok madde içeriyor. Yönetmeliğin 6. ve 8. maddelerinde de işletmecilere kişisel verileri koruma konusunda daha fazla yaptırım getirildiği görülüyor. Bunlara ek olarak işletmeciler artık bilgilerin saklanması konusunda da bazı süre sınırlandırmalarına uymak durumda kalacak. İşletmeciler soruşturma, inceleme, denetleme veya uzlaşmazlık söz konusu olmadığı sürece verileri bir yıldan daha fazla saklayamayacak.

Yeni yönetmelikteki çok tartışılacak maddeler

Yapılan değişiklikler sonucu elde edilen yeni yönetmelik, AB standartlarına uygunluğu nedeniyle kullanıcıların haklarını daha fazla gözeten bir hale bürünse de esasında bazı soru işaretlerini de beraberinde getiriyor. Örneğin; bulut bilişimin geldiği bugünkü nokta, şirketleri yerleşik arşiv çözümlerinden kurtarmayı hedeflerken, yeni yönetmelikteki bilgilerin yurt içinde saklanma koşulu nedeniyle Türkiye’de bu durumun nasıl çözüleceği belirsizliğini koruyor.

Diğer yandan değişikliklerin genel anlamda 24 Temmuz itibarıyla yürürlüğe gireceği belirtilen yönetmelikte, düzenlemedeki “Kişisel veriler yurt dışına çıkarılamaz.” fıkrasıyla başlayan belki de en önemli maddesinin, 1 Ocak 2014 tarihiyle birlikte uygulanacağının ifade edilmesi ise görünürde sektöre zaman kazandırmak gibi görünse de Özgür Uçkan’ın BThaber‘deki dünkü yazısında da dikkat çektiği üzere başta Phorm olmak üzere bazı çok uluslu şirketlere verileri taşımak için zaman kazandırıldığı düşüncesini de akıllara getiriyor.