NÜFUS HİZMETLERİ KANUNUNDA DEĞİŞİKLİK YAPILMASINA İLİŞKİN KANUN KİŞİSEL VERİLERİN KORUNMASI KANUNU İLE UYUMLU MU?
03/11/2017 tarihli ve 30229 sayılı Resmi Gazete’de yayımlanarak yürürlüğe giren 7039 sayılı “Nüfus Hizmetleri Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun”un bazı maddeleri 6698 sayılı Kişisel Verileri Koruma Kanunu ile ilişkili olduğundan, kişisel verilerin korunması hukuku açısından incelemesi gerektiği düşüncesindeyim. Zira başlıkta yer verdiğim “kişisel verilerimiz devlet eliyle mi satılacak?” sorusu hem sosyal medyada bugünlerde sıklıkla karşılaştığım hem de bana en çok sorulan soru. Bu yazımda kısaca bu konuya değinmek istiyorum.
7039 sayılı Kanunun 2. maddesinde; 5490 sayılı Kanunun 5 inci maddesine aşağıdaki fıkra eklenmiştir:
“(3) Bakanlık, elektronik ortamda tutulan aile kütüklerinde kişiye ait tek bir kaydın tutulmasına, kişi ve olay kayıtlarının Türkiye Cumhuriyeti kimlik numarası ile ilişkilendirilmesine yetkilidir. Bu durumda diğer kanunların bu maddeye aykırı hükümleri uygulanmaz.”
Bu düzenlemeye göre, Bakanlık, birtakım kişisel verileri kaydedebilir, ayrıca diğer kanunların bu maddeye aykırı hükümleri uygulanamaz. Bu noktada, 6698 sayılı Kanunun işlevsiz hale getirilmeye çalışıldığını söylemek yerinde olacaktır. Zira temel amacı, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek olan 6698 sayılı Kanunun, söz konusu Nüfus Kanunundaki maddeye aykırılık teşkil etmesi halinde uygulanamayacak olması, 6698 sayılı Kanunun ve kişisel verilerin korunması hukukunun felsefesine açıkça aykırıdır. Bu konudaki en kapsamlı düzenleme olan Kişisel Verileri Koruma Kanunu’nun konuyla ilgili bütün hükümlere uygulanabilir olması gerekir. Bunun yanında diğer kanunlarda yer alan kişisel veriler ile ilgili hükümlerin de 6698 sayılı Kanuna atıf yapması veya aykırı düzenlemelere yer vermemesi gerekir. Aksi takdirde hem 6698 sayılı Kanun ile getirilmek istenen sistem bozulmuş olacak hem de her kurum ya da kuruluş için istisna getirilerek -bu haliyle bile çeşitli eleştirilerin hedefi olan- 6698 sayılı Kanun uygulanamaz hale getirilecektir. Bu ve benzeri istisnaların yaratılması, sınırlı ve uygulaması belirgin olan bir kişisel verilerin korunması hukuku’nun gelişmesini de engelleyecektir.
Eleştirilmesi gereken bir diğer husus ise 7039 sayılı Kanunun 11. maddesidir. Buna göre; “Bakanlık, merkezî veri tabanında tutulan verileri bu Kanunda belirtilen usul ve esaslar çerçevesinde kurumlarla; kimlik verilerini, kamu hizmeti sunan tüzel kişilikler, …, ile paylaşabilir.”
Anılan maddeyle hem verilerin birtakım kurum ve kuruluşlarla paylaşılabileceği hem de bu paylaşımın maddenin düzenlendiği kanunda belirtilen usul ve esaslara göre yapılacağı belirtilmiştir. Öncelikle kişisel verilerin işlenme şartları 6698 sayılı Kanunun 5. ve 6. maddesi ile düzenlenmiş ve ilgili kişinin açık rızası olmaksızın işlenemeyeceği; açık rıza olmaksızın da birtakım istisnai hallerde işlenebileceği hüküm altına alınmıştır. Bu haller de ilgili maddede tek tek sayılmıştır. Dolayısıyla açık rıza veya istisnai haller dışında kişisel verileri işlemek mümkün olmamalıdır. Ancak 11. maddeyle bu husus dikkate alınmamış ve hukuka aykırı bir durum ortaya çıkmıştır. Bununla beraber veri paylaşımının, 6698 sayılı Kanuna atıf yapılmadan; bu maddeye göre yapılacağı düzenlemesi yerinde değildir. Bahsedilen kişisel veriler, gerçekten belirtilen şekilde paylaşılabilecek bile olsa, bunun Kişisel Verileri Koruma Kanunu’nun ruhuna ve özüne uyumlu bir şekilde yapılması gerekir. Dolayısıyla 7039 sayılı Kanunun 11. Maddesi, 6698 sayılı Kanun yok sayılarak düzenlenmiştir; yukarıda yapmış olduğumuz ilke ve uyumluluğa yönelik eleştirilerim bu madde bakımından da geçerlidir.
Ayrıca, Tanımların belirtildiği ilk maddede geçen “Veri Paylaşımı Kurulu” ifadesi de ilk kez 11. maddenin 2. fıkrasında karşımıza çıkmaktadır. Buna göre; “Veri paylaşımından yararlanacakları belirlemeye, paylaşımın kapsamına ve hangi yöntemle yapılacağına karar vermek üzere Genel Müdürlük bünyesinde Veri Paylaşımı Kurulu oluşturulur. Veri Paylaşımı Kurulunun çalışma usul ve esasları Bakanlıkça çıkarılan yönetmelikle belirlenir”.