Kişisel Verilerin Korunması Kanunu, 2016 yılından beri yasal olarak hayatımızda. Akabinde getirilen VERBİS kayıt yükümlülüğü de pek çok kez ertelenmesine rağmen epeydir yürürlükte. Kanunun içeriği iyi, ikincil düzenlemeler de keza öyle. Ancak gel gelelim, uygulama sorunu var. Sorunun bir kısmı düzenlemelerin aslında gerekli olmamasından, diğer kısmı da denetimsizlikten geçiyor. Kanunun gerekçesinde amaç belirtiliyor: Anayasamızda koruma altına alınan temel hakların ihlalinin engellenmesi ve AB ile olan ilişkiler (yatırımcılar ve kolluk kuvvetleri ile veri aktarımı, AB yasalarına uyum vb.) temel sebep. Peki, bugün neredeyiz?
Teknoloji etrafında gelişen her hususa ilgili bir hukukçu olarak ilk çıktığı günden beri takip ettiğim, ABD’de yüksek lisansımda bitirme tezimi de hakkında oluşturduğum bir konu bu. Kişisel verileri koruma elbette çok mühimdir, ve insan hakkı temelli bir hukuk dalıdır. Unutulma hakkı, verilerinizin silinme hakkı, rıza dışında işlenmesi hakkı; bunların kesinlikle düzenlenmesi ve “doğrudan çözümlerle” korunması, ihlallerde ciddi cezaların verilmesi taraftarıyım. Ancak kanunun bazı kısımlarının faydadan çok, zarar getirdiğini düşünüyorum. Örneğin VERBİS konusuna değinelim. VERBİS yükümlülüğü ilk çıktığında, metinlerde yazan soyut amaçlar dışında hakları koruyacağına inandım. Müvekkillerime durumu bir hukukçu iş insanı perspektifinden anlatmak istiyordum, zira her yerde aynı cümleleri okuyorlardı: “VERBİS’i X tarihine kadar tamamlamazsanız milyon lira ceza var”. Doğruydu da, düzenleme öyle diyordu. Ancak bunların bir mağazaya girdiğinizde “yarın indirim sona eriyor acele edin” veya bir emlakçı ile görüştüğünüzde “ev için çok teklif var, bekleyemeyiz” gibi bir FOMO (fear of missing out) yarattığını da biraz düşünüyordum. Hatta bir gün bir hukukçu tanıdığım aradı, müvekkiline KVK Kurumundan “belli bir gün içinde VERBİS’i tamamlamazsanız ceza geleceğini söyleyen bir yazı geldiğini” söyledi. Sonra fark ettik ki yazıyı özel bir danışmanlık şirketi göndermiş ve KVK Kurumu’ndan geldiği yönünde müvekkili kandırıp, korkutmak istemiş. Aynı hafta da, şirkete “VERBİS danışmanlığı” teklifi vermişler. Gel gelelim ki bugün, bir tane dahi VERBİS ihlalinden kamuya açıklanan ceza yok. Çerezler konusunda da benzer “fazla regülasyon” durumu var. İnternet sayfasının yarısını kaplayan ve artık dünyada 2-3 şirketin tekelinde olan “çerez onayı” durumu, aslında bizim değil GDPR’ın yani AB’nin başının altından çıktı. Yine “esasen iyi niyetli” olan bu uygulama, teknolojinin her gün gelişmesiyle beraber, insanların aktivitelerinin farklı yollarla izlenmesini ne denli engelleyebiliyor, soru işareti. Aksine, belli bir tekel yarattığını, insanların yeni girişimlere atılırken pazara giriş engelleriyle karşılaştığını düşünüyorum.
Burada daha farklı uygulamalar; örneğin “kişisel verilerimi komple sil” diye tek bir tıklamayla verilerin silinmesini emredecek düzenlemeler, çok daha işe yarayabilirdi. Kaldı ki bazı ülkelerde bu mevcut. Örneğin ABD’de California eyaletindeki bazı düzenlemeler, doğrudan “kullanıcılara verilerini istediği zaman sildirme hakkı” tanıyor. Geçen ay California’da geçen yeni bir kanun, örneğin, 500’den fazla kayıtlı veri broker’ının (kişisel verilerinizin ticaretini yapan brokerlar) tek bir çatı altında platforma bağlanmasını ve vatandaşların tek bir tıklamayla “broker’lardaki tüm verilerim silinsin” emri vermesine imkan tanıdı. Bu gibi “doğrudan işe yarayacak” düzenlemelerin, VERBİS gibi vatandaşların Anayasal hakları yerine danışmanların faaliyetlerini artıracak işlerden daha etkin olduğunu düşünüyorum.
