Kişisel veriler konusunda ABD ne kadar güvenli?
Geçen hafta Avrupa Birliği Adalet Divanı (EJC) çok önemli bir karara imza attı. EJC, 2000 yılında imzalanan “Safe Harbour” yani “Güvenli Liman” olarak adlandırılan ve AB vatandaşlarının kişisel verilerinin ABD’li firmalar (Örneğin: Microsoft, Facebook ya da Google) tarafından işlenmesine izin veren anlaşmanın artık geçersiz olduğuna karar verdi.
Neden böyle bir karar alındı derseniz onu da hemen söyleyeylim. Bu kararın arkasında Edward Snowden tarafından sızdırılan Prizma hakkındaki bilgiler var. Hatırlayacaksınız, 2013’de Snowden isimli eski bir CIA ajanı, Amerikan Ulusal İstihbarat Ajansı (NSA)’in Facebook, Google, Microsoft gibi 9 büyük internet devinin depoladığı tüm kişisel verilere sınırsızca ve mahkeme kararı olmaksızın ulaşabildiğini gösteren belgeleri basına sızdırmıştı. Öyle ki, dünyanın önemli cihaz sağlayıcılarından Cisco’nun önemli uluslararası kuruluşlara yapılan satışlarında, cihazlarının içine böcek konulduğunu gösteren fotoğraflar bile sızdırılmıştı.
İşte EJC bu nedenle kendi vatandaşlarının verilerinin ABD’de işlenmesinin artık “güvenli” olmadığına karar verdiğini açıkladı.
Bundan sonrasında ne olur, çeşitli tartışmalar var. Avrupa’da iş yapmak isteyen firmaların Avrupa şubelerini açmaları ve sunucuları da Avrupa’da tutması bir çözüm ama maliyeti var. Ya da ABD ile Avrupa arasında yeni bir “safe harbour” imzalanacak ama Avrupa’lı kaynaklar bunun zor olduğu görüşünde.
Bu durumun ülkemize muhtemel yanısması nasıl olur?
Bizi ilgilendiren yönü ise “kişisel verilerin korunması” konusuna verilen önem. Ülkemizde hala bu konuda bir kanun yok. Defalarca TBMM’ye taslaklar geldi ama çeşitli nedenlerle kanuna dönüşemedi. Ama Avrupa’ya mal ya da hizmet satan Türk firmalarının önüne çıkan önemli bir “önşart” budur.
Olmasa bile, ülkemizin vatandaşlarının kişisel verilerinin korunması, kendi güvenlikleri açısından önemli. Hele ki konu “akçeli” işlere dayanırsa. Allahtan, bu konuda en dikkatli kurum BDDK. Bankalar için koydukları “sunucular Türkiye’de olacak” kuralının bir başka uygulamasını, yönetmeliği haziran sonunda yürürlüğe giren 6493 sayılı “elektronik para ve ödeme sistemleri” başlıklı kanunda görüyoruz. Elektronik para ve ödeme sistemleri ile işlem yapmak için BDDK’dan lisans alma zorunluluğu getirildi. Lisansın önemli bir şartı ise “yerel sunucu”. Yani verilerin Türkiye’de tutulması.
Verilerin Türkiye’de tutulması neden bu kadar önemli? BDDK’dan 6493 kapsamında lisans alan Türk Elektronik Para A.Ş., yönetim kurulu üyesi hukukçu Özgür Eralp’e sorduk : “Elektronik para ve ödeme sistemleri, işleri kolaylaştıran ama bir o kadar da ciddi konular. Bu işlemleri yapan firmaların sistemlerinin ve teknolojisinin “yerel” olması önemli. Çünkü Türk hukuku, Türk ekonomisi açısından kolaylıkla uygulanabilir ya da değişiklik durumunda da ayak uydurabilir olmalıdır. Ama en az bu kadar önemli olan diğer husus, kişilerin maddi, manevi varlıklarının güvenliğidir. Bugün bunların korunmamasının getirdiği sorunları görüyoruz. BDDK’nın verdiği lisans ve “sunucuların Türkiye’de olması” gibi koşullar bu açıdan çok önemli.”
Peki “Sunucular Türkiye’de olmaz ise ne olur?” Bu soruya ise hukukçu Eralp şöyle cevap verdi : “Örneğin bir ödeme ya da tahsilat anlaşmazlığı yaşadınız. Çözmek için uluslarası düzeyde mücadele etmelisiniz. Zaten genellikle de etmez, vazgeçersiniz. Ama yanısıra, yaptığınız ödeme eşliğindeki kişisel verilerinizin konulduğu sunuculardan alınması ve başka amaçlarla kullanılması olasılığını nasıl değerlendiriyorsunuz? Önümüzde elektronik soygunlar duruyor. Bunları çözmenin yolu, Türk hukuku çerçevesinde işleyen lisanslı firmalarla çalışmak.”
Eralp’ın işaret ettiği “Kişisel Verilerin Korunması”, şimdiye kadar çok dikkat etmediğimiz bir konu oldu ama batı basınında bu verilerin çalınması ile hayatı kararan, varlıkları yok olan ya da kredi kartları ile borçlara batırılan, vergi iadesi çalınan insanlar okuyoruz. Bunun olmasını engellemenin yolunu, hükümet zaten kanun çıkararak gösterdi ama bir başka kanun hala eksik; “Kişisel Verilerin Korunması” kanunu. Bir an once bu konuda da çalışmalar tamamlanmalı ve kanun çıkarılmalıdır.
Biz söylemiş olalım.
(Bu yazının bir kısmı 1 Kasım 2015 tarihli Para dergisinde yayınlanmıştır.)