21 Mayıs 2014 tarihinde “Internet: Privacy and
Digital Content in a Global Context” başlıklı INETIstanbul
etkinliği gerçekleştirildi. Etkinliğin “Privacy and Data Protection: Rebulding
Trust” (Özel Yaşamın Gizliliği ve Veri Koruma: Güvenin Yeniden İnşaası)
başlıklı ilk panelinde kişisel verilerin korunmasına ilişkin çeşitli konular
tartışıldı. Toplantı notlarımı aşağıda bulabilirsiniz. Ancak ondan önce
panelistlerin kimler olduğunu belirtmekte yarar var. Bu oturumda beş panelist
konuya ilişkin görüşlerini iki turda ve daha sonra soru-cevap bölümünde dile
getirdiler:
Introductory Keynote: Giovanni
Buttarelli, Assistant European Data Protection Supervisor
Gonenc Gurkaynak,
Esq., Managing Partner, ELIG Attorneys-at-Law
Sophie Kwasny, Head of
Data Protection, Council of Europe
Mustafa Taşkın,
Associate Professor
Nilgün Başalp, Assistant
Professor, Bilgi University
Panelin özellikle
oturum başkanı Ben Rooney’in esprili ifadeleri ile oldukça dinamik bir biçimde
ilerlediğini söyleyebilirim. Panel Buttarelli’nin açılış konuşması ile başladı.
Konuşması içerisinde özellikle son günlerin gündemden düşmeyen konusu Big
Data’ya ilişkin değerlendirmelere yer verdi. Kişisel olarak konuşmasının ilgimi
çektiğini belirtmeliyim. Bu blog içerisinde yakın zamanda aşağıda kapağı yer
alan kitaba ilişkin de bir değerlendirme yazmak istiyorum. Ancak ilgilenenlere
de kitabı mutlaka okumalarını öneririm.
Buttarelli konuşmasında Big Data’nın yalnızca
kişisel verilerin korunması ile ilişkili bir konu olmadığını, ancak bu kapsamda
yer alan bilgilerin önemli bölümünün kişisel bilgi niteliğinde olduğunu belirtti.
Öte yandan mevzuunun sanıldığı kadar yeni olmadığına da işaret ettikten sonra,
“open data by default”, “Internet of things” gibi bazı yeni konulara işaret
etti. Konuşması sırasında ayrıca big data’ya ilişkin yakın tarihli Beyaz
Saray Raporundan da söz etti.
Ardından panelistlerin
değerlendirmelerine geçildi. Başalp, temelde kişisel verilerin korunması
düzenlemelerinin Türkiye açısından gerekliliği üzerinde durdu. Taşkın, devletin
konuya ilişkin pozitif yükümlülüklerine işaret ettikten sonra, Avrupa’da uzun
yıllardır çalışılan ve gelişen bir alan olmasına karşın, Türkiye’de henüz veri
koruma yasasına sahip olmamamızdan söz etti. Gürkaynak’ın konuşması ise daha
çok bu alandaki hassas bir konuya: kişisel verilerin korunması ile düşünceyi
açıklama özgürlüğü arasındaki dengeye yönelmişti. Kwasny, Türkiye’nin 108
sayılı AK Sözleşmesini imzalamayan Konsey üyesi tek devlet olduğuna dikkat
çekti ve “bir konuda ‘tek’ olmak her zaman iyi değildir” dedi.
Kısa da olsa Edward
Snowden ve Prism konusu da açıldı. Rooney, Viviane Reding’in bir konuşmasında
sarkastik bir yaklaşımla ABD’ye teşekkür ettiğinden, çünkü PRISM skandalı
sayesinde artık daha güçlü veri koruma düzenlemeleri yapmanın mümkün olduğundan
söz etti.
Konuşmalar içerisinde
değerlendirilen önemli konulardan biri ise,elbette, Avrupa Adalet Divanı’nın (ABAD)
geçen hafta verdiği “unutulma hakkı”na ilişkin Google kararıydı. Buttarelli,
aslında ABAD’ın ortaya koyduğu görüşün yeni olmadığını ve pek çok devlette “unutulma
hakkı”nın tanındığını belirtti. Kwasny ise bu bakış açısının AİHM yorumuyla
uyumlu olduğunu belirtti. Yeni olan tek şey ise İnternet çağı ile ilişkili. 108
sayılı sözleşmede de benzer bir yaklaşım bulunduğuna işaret ettikten sonra “hükümlülük
hali bir süre sonra siliniyorsa neden İnternet üzerindeki herhangi bir şey
silinmesin?” sorusunu yöneltti. Gürkaynak, kararın ve uygulamalarının düşünceyi
açıklama özgürlüğüne-olası-etkilerine dikkat çekti. Butarelli’nin konuşmasından
anladığımız kadarıyla, benzer bir hususa Google’ın Global Privacy Counsel’ı
Peter Flesher’ın da 20 Mayıs’ta Privacy Forum’da
yaptığı konuşmada değindiği. Rooney, Reding’in “unutulma hakkı”na önem ve
öncelik veren yaklaşımının şeffaflık ile çatışma halinde olduğundan söz etti:
insanlar hakkında daha az bilgiye ulaşmaya neden olduğu için...
Özellikle Gürkaynak’ın
üzerinde durduğu bir konu ise arama motorlarının konumuna ve sorumluluğuna
ilişkindi. Panelin başlığına da atıfta bulunarak, arama motorlarının
İnternet’in polisine dönüşmesinin güvenin yeniden inşaasına hizmet etmeyeceğini
belirtti. Arama motorlarının yeni bir konu olduğu, özel olarak üzerinde
durulması gerektiği ve bazı sorunları yasal düzenlemeler ile değil, sivil
toplum kuruluşları aracılığıyla çözmenin daha işlevsel olabileceğini söyleyerek
bu konuda yazıkları “Understanding search engines” başlıklı makaleden söz etti.
(Elbette ABAD
kararının ve ilişkili sorunun bir çırpıda değerlendirilmesi ve tartışmanın
neticelendirilmesi kolay değil. Konu, belki başka bir yazıda uzun uzadıya
incelenebilir. Ancak toplantıda tuttuğum notlara devam etmeden once tam da bu
konu tartışılırken hatrıma gelen bir araştırmaya atıf yapmak isterim: Acquisti
tarafından yürütülen bir araştırma, uzun zaman önce gerçekleşen kötü olayların
bugünkü değerlendirmelerde etkisinin, uzun zaman önce gerçekleşen iyi olaylara
göre daha güçlü olduğunu ortaya koyuyor. Bu durum ise insanın hayatında beyaz
bir sayfa açabilmesinin önünde önemli bir engel. Bir tarafta bu sorun durur
iken, diğer tarafta hangi bilgilerin arama motorları aracılığı ile ulaşılamaz
hale getirileceği sorunu duruyor. Konunun bu boyutu tartışmasız bir biçimde
düşünceyi açıklama özgürlüğü ile ilişkili. Zor soruların kolay yanıtları yok.
Ancak bu konuda denge ihtiyacı açık)
Veri Koruma alanında
Türkiye’de gündemdeki önemli konulardan biri de Kişisel Verilerin Korunması
Kanun Tasarısı Taslağı. Bu konuyla ilişkili bir kaç husus da tartışmaya açıldı.
Toplantı tam bitmek üzere iken söz alan bir dinleyici, Taslak’ta veri koruma
otoritesinin doğrudan Adalet Bakanlığı’na bağlı olduğunu belirterek bunun AB
normlarına uygun olup olmadığını sordu. Taşkın, bu noktada siyasal iradenin
karar vereceğini, veri koruma otoritesinin yapısına ilişkin AB’nin
beklentilerine ilişkin bilgilendirme yapıldığını belirtti. Buttarelli ise
ABAD’ın veri koruma otoritesinin “bağımsız” niteliğini değerlendirdiği kararlarının
ve Article 29’un raporlarında açıklanan “yeterlilik” ilkelerinin dikkate
alınması gerektiğini söyledi. Ayrıca küresel düşünmenin ve Avrupa’da
belirlenmiş ilkelerin önem ve gerekliliğine işaret etti. Buttarelli ayrıca
konuşmanın başka bir yerinde Japonya’daki veri koruma çalışmalarına ilişkin olarak Avrupa’daki
düzenlemelerin bir kopyasını yapmamaları
ve detaylı düzenlemelerden kaçınmaları gerektiği yönünde görüş paylaştıklarını
söylemişti. Bu bağlamda, temel ilkelerden vazgeçmeden ülkelerin kendi yaklaşımlarını yansıtmaları
yönünde görüş belirtti.
Dinleyicilerin ve
panel yöneticisinin yönelttiği oldukça ilginç sorular da tartışmaya açıldı.
Bunların bir bölümü şöyle(bazılarını ben sorulaştırdım):
-
Daha fazla
yasaya ihtiyacımız var mı? (Do we need more law?)
-
İnternet’te
ruhumuzu isteyerek teslim mi ediyoruz?
(On the Internet, are we giving our souls willingly?)
-
Konuşmacılara
hitaben: siz İnternet’te kendi verilerinizi koruyabiliyor musunuz? (Is it
possible to protect your own personal data on the Internet?)
Kısa kişisel
değerlendirme: Veri koruma alanında belki de en önemli ve en zorlu çatışan
çıkarlar arasında “denge” sağlamak. Şeffaflık-unutulma hakkı ya da daha genel
bir bakışla düşünceyi açıklama özgürlüğü-kişisel verilerin korunması hakkı
arasında kurulması gereken bir denge olduğu açık. Ancak bir noktada görülen
çatışmanın her alanda gerçekleşeceğini düşünmek bizi yanılgıya sürükler.
Örneğin kişisel verilerin korunması
devletin şeffaflığını da bir oranda sağlamaktadır. Veri koruma hukuku, kamu
kurumlarının hangi bilgileri hangi amaçla topladığı ve bunlara kimlerin
ulaşabildiği gibi konuların açık olmasını gerekli kılmaktadır. Çeşitli
kaynaklardan, çok çeşitli bilgileri toplanan ve adeta dijital akvaryumdaki bir
balığa dönüşen bireyin düşünceyi açıklama özgürlüğünü yaşama geçirmekte sorun
yaşayacağı/yaşadığı da bilinmektedir. Bu noktada kişisel verilerin hukuksal
düzenlemeler ile korunması düşünceyi açıklama özgülüğünü de destkeleyecektir.
“Daha fazla yasaya
ihtiyacımız var mı?” sorusuna gelecek olur isek: yeni teknolojiler ile ilişkili
her türlü sorunu yasalar ile çözmeye çalışmanın kimi durumlarda etkisiz, kimi
durumlarda ise zararlı olacağı düşüncesindeyim. Ancak insan haklarını temel
alan bir bakış açısıyla teknoloji-nötr düzenlemelerin varlığı özellikle de
kişisel verilerin korunması alanında önemlidir. Konuya ilişkin düzenlemlerin
var olduğu Avrupa ülkeleri ile bireylerin verilerinin hemen hemen hiç
korunmadığı Türkiye’deki durum arasındaki farklılık bunu ortaya koymaktadır. Avrupa’da
da kişisel verilerin korunması alanında pek çok sorun yaşanmaktadır, ancak
etkin hukuksal düzenlemelerin bulunmadığı bir ortamda bu sorunların çok daha
boyutlu olduğunu saptamak için günlük yaşama ilişkin genel bir gözlem yapmak
bile yeterli olacaktır.
