TBMM’de gündemde bütçe sonrasını bekleyen kişisel veriler kanunu eleştiren yazımızı okuduysanız[1], bir de başka bir ülkelerin daha doğrusu AB’nin kişisel verilere nasıl yaklaştığına dair bir haberi sunalım. Önceki yazımızı okuyanlar, “Veri Koruma Kurulu”nun oluşturulmasında tarafsızlık ve bağımsızlık özelliklerine dikkat edilmediğini eleştirdiğimizi hatırlayacaklar. Ama eleştirilen bir özellik de vatandaşların verilerinin bizzat devlet tarafından aktarılabilir ya da satılabilir olmasında. Daha kötüsü, bunda vatandaşın “açık rıza”sı bile olmayabilir.
Buna karşılık AB, kendi vatandaşlarının kişisel verileri konusunda hayli hassas. Reuters’ın verdiği habere göre, ABD ile bu ay içinde bir anlaşma yaptı. Bu anlaşma, ABD’li firmaların, AB’li vatandaşların verilerini kullanma sınırlarıyla ilgili.
AB bir süre önce Amerikalı internet devleri tarafından toplanan kişisel verilerin, --Snowden'in ortaya koyduğu belgeler çerçevesinde-- artık güvenli olmadığına karar vermişti. Çünkü Avrupa Adalet Divanı, 2000 yılında imzalanmış olan "Safe Harbour" anlaşmasını yani Avrupalıların verileri için ABD'nin güvenli liman olduğu anlaşmasını iptal etmişti[2].
Tabi durum, Google, Twitter, Facebook gibi pek çok firma için problem yarattı. Çünkü bu firmalar "hedefli reklam" satışı ile para kazanıyor. Ya da mail vs benzeri hizmetler veriyorlar. Yani Avrupa’lı müşteriler önemli. Google mesela Avrupa'da, ABD'de olduğundan daha büyük pazar payına sahip.
Ama Avrupa’lılar akıllı. Kişisel verilerini güven altına almaya dikkat ediyorlar. 2016 martında yayınlanacak olan yeni düzenleme de (şu anda 137 sayfa olarak kamuoyu görüşüne açık) bu konuyu iyice düzenliyor. Sorunun çözüm yolları için firmaların sunucularını Avrupa'ya taşıması gibi olasılıklar konuşulmuştu. Ama anlaşılan ABD olayı toptan çözmeye karar verdi. ABD'ye kişisel verilerin aktarılmasındaki temel şart, AB'nin yeni Kişisel Veriler düzenlemesinin koşullarının gerçekleştirilmesi yani kişisel verilerin "keyfi" ya da "ayrımcı" bir şekilde kullanılmasını engellemek oldu. Not edelim; TBMM'deki kanuna bu "keyfi" ve "ayrımcı" kelimeleri açısından baksak, hayli üzülürüz. Tekarar ABD'ye dönersek, anlaşma çerçevesinde özel şikayetler ya da AB veri koruma kurulundan ulaşacak talepler için özel bir departman kurulacak. Ayrıca mağduriyet durumu için, alternatif bir çözüm mekanizması oluşturulacak. Reuters John Kerry'nin kişisel veri sorunları için bir "Ombudsman" atanacağı şeklindeki taahhütünden de bahsediyor. Avrupalılar böylece ilk defa bir şikayet ve anlaşmazlık çözüm mekanizmasına kavuşmuş olacak. Bütün bunlar ayrıca her yıl ortak bir toplantıda gözden geçirilecek. Avrupalı vatandaşların toplu verilerinin ABD'de siber güvenlik ve terörizm ile savaş dahil 6 özel amaç ile kullanılabileceği belirtiliyor. Ancak Amerikalı ajansların bu verilere erişiminin aşırı olması durumunda tedbir alınacağı şartı var. Ayrıca ABD'nin transatlantik kablolar üzerinden geçen verilerin korunması konusunda da tedbirleri alması bekleniyor. Sınırlar arasındaki kişisel veri transferleri, yukarıda bahsettiğimiz hedefli reklam ya da mail servisleri dışında kredi kart ödemeleri, seyahat ve e-ticaret işlemleri ya da eleman bilgileri gibi konularda olabiliyor.
Yine Reuters'ın verdiği bilgiye göre, Avrupa Birliği anlaşmayı bugün yayınlayarak, üye devletlerin onayına açacak. Ancak bu onay konusunda da sorun olabilir. Çünkü Avrupa'daki bazı "veri koruma düzenleyicileri" bu şartların yeterli olmadığını düşünüyor. Çünkü veriler şirketler arasındaki standart sözleşmelerle farklı şekillerde hareket edebiliyor. Ayrıca Merkel'i, Birleşmiş Milletler Sekreterini dinlediği ortaya çıkan ABD'nin verdiği garantiler ya da kuracağı yeni yapılanmalar da kabul görecek mi, bilemiyoruz.
[1] Farkında mısınız, TBMM kişisel verileriniz hakkında karar veriyor!