MERNİS'in Hukuki İncelemesi
MERNİS'in Hukuki incelemesini merak ediyorsanız bu yazıyı kaçırmayın. MERNİS ne getiriyor?
Yıllardan beri ağır ve aksak işleyen bürokrasiden yakınılır. Bir türlü düzenli tutulamayan kayıtlar, bulunamayan evraklar, 3 ay – 1 yıl süren yazışmalar, yaşadığı halde ölü gözüken, öldüğü halde yaşıyor gözükenler, askere çağrılan dedeler, isim benzerliğinden yanlışlıkla cezaevine konulanlar ve benzerlerini her gün gazetelerden okuduğumuz daha neler neler?
Artık bunları geride bırakacağımız günlere hazır olmalıyız. Çünkü, kendisi de bürokrasiye takılmış 31 yıllık bir MERNİS projesinin uygulamasına merhaba demek üzereyiz.
Proje tamamlandığı takdirde, bireylere ilişkin bilgiler elektronik ortama işlenmiş olduğu için birbirinden değişik kurumların tuttuğu kayıtlar arasındaki tutarsızlıklar giderilecek, saniyelerle ölçülen zaman diliminde kurumlar arasında elektronik bilgi alışverişi sağlanacak, bireyler ve kurumlar tüm resmi işlerini, ölü ve yaşayan 110 milyon insana verilmiş 11 haneli kimlik numaralarıyla yapabilecektir. Tüm bunların sağlanmasıyla kamu hizmetleri daha etkin, daha çabuk ve daha ucuz olacaktır.
Halihazırda, vatandaşlara ilişkin kişisel bilgileri tutan bir çok kurum vardır. Örneğin Vergi Daireleri, Sosyal Güvenlik Kurumları, Adli Sicil Kurumu, Emniyet, Muhtarlıklar, Eğitim Kurumları, Sağlık Kurumları gibi bir çok merkezde birbirinden ayrı ve bağımsız kayıtlar mevcuttur. Mernis Projesi gerçekleştiğinde tüm bu kayıtlar tek elde toplanmış olacağından ortaya dev bir veritabanı çıkacaktır. Elektronik ortamda bulunan bu dev veritabanına kolay ulaşılabilmesi sözkonusu olduğundan ve veriler kolay işlenebildiğinden her zaman için bir çok kötüniyetli yaklaşım ve tehlikeye de kolay bir ortam hazırlayabilmektedir.
Vatandaşlar hakkındaki bu bilgiler, 3.kişilerin eline geçebilir, ticarete konu olabilir, oy ve nüfus sahteciliklerinin yanı sıra vergi borcunu silme, ölü birisini canlandırma, sınavı kazanmış gibi gösterme, emekli maaşı bağlama gibi bir çok sahtecilik yapılabilir. Ya da başkasının zararına olarak kayıtlar değiştirilebilir ve de en önemlisi bireylerin evrensel ve anayasal hakkı olan özel hayatın gizliliği ihlal edilebilir.
Örneğin, Nüfus Kanunu'na göre, nüfus kütüklerinde kişinin mensubu olduğu ailesine ait bütün fertlerinin cinsiyeti, adı, soyadı, baba ve anası adiyle soyadları, sağ olup olmadıkları, il ve ilçe itibariyle doğum yeri ve tarihleri, vücutlarındaki belirli değişiklikleri, dini, okur-yazar olup olmadıkları, medeni halleri ve doğum, evlenme, boşanma, ölüm, gaiplik, nesep tashihi, tanıma, evlat edinme ve evlatlık sözleşmesinin kaldırılması gibi diğer şahsi hal değişiklikleri bilgileri bulunmaktadır. Bu bilgilere diğer kurumların elindeki bilgiler de eklendiğinde, vergi ödemeleri, banka hesapları, ikamet bilgileri, tapu kayıtları, banka hesap kayıtları, eğitim bilgileri ve dereceleri, adliye soruşturma ve mahkeme kayıtları, disiplin dosyaları, sağlık durumu, askerlik durumu, emniyet geliş kayıtları gibi akla gelebilecek her tür konuda bilgilerin Türkiye Cumhuriyeti vatandaşı olan her birey hakkında bir merkezde toplandığını düşünürsek bu kayıtların ne tür tehditler ve tehlikeler altında bulunduğunu düşünmek pek zor olmayacaktır.
Mernis Projesi'nde bilgilere ulaşımın ve veritabanına bilgi işlenmesinin sınırları belirlenmedikçe bireyler korumasız bir durumda kalacaktır. Düzenlemeler, kuşkusuz sadece Mernis'le sınırlı tutulmayacaktır, diğer kişisel veri içeren özel ve kamusal tüm veritabanlarını kapsar şekilde yapılacaktır.
Dünyanın bir çok ülkesinde benzer kamusal veritabanları oluşturulmaktadır. Bireylerin yukarıda saydığımız tehlikelerden korunması için elektronik ortamda tutulan veriler hukuki olarak korunmak istenmiş, bu sebeple uluslararası sözleşmeler ve direktifler kaleme alınmıştır. Hazırlanan bu belgelerde, kişinin fiziksel özellikleri; kişisel düşüncesi, görüş ve inançları; sağlık, öğrenim, istihdam durumu ile ilgili bilgileri ve birey olarak sürdürdüğü yaşam veya aile içi yaşantısı, başkaları ile yaptığı haberleşmelerin kendi isteği dışında bahis konusu yapılamayacağı, başkalarına açıklanamayacağı, kendisi tarafından açıklanmış olan bilgilerin de ancak açıklandığı amaç ve bağlamla ile sınırlı olarak kullanılabileceği belirtilmiştir.
Bu konuda oluşturulan ilk belge, 1981 tarihli Avrupa Konseyi'nin 108 sayılı sözleşmesidir. Otomatik olarak işlenen kişisel veriler bakımından bireylerin korunmasına ilişkin sözleşme adını taşıyan bu sözleşme 1985'te yürürlüğe girmiştir. Sözleşme, sadece Avrupa Konseyi ülkelerinde değil, konsey dışında kalan bir çok ülkece de benimsenmiştir. Bu sözleşmenin başka bir özelliği ise bağlayıcı nitelikteki tek belge olmasıdır. Sözleşmeyle sadece kamusal veriler koruma altına alınmamış, geniş kitlelerin bilgilerini barındıran özel ticari kurumlara da bilginin işlenmesi, değiştirilmesi ve açıklanmaması konusunda sınırlamalar getirilmiştir. Kısaca, elektronik ortamda bulunan ve bireylere ait tüm kişisel veriler hukuken korunmak istenmiştir. Türkiye, bu sözleşmeye imza atmış olmasına rağmen hâlâ iç hukukunda bu konuda bir yasa ihdas etmiş değildir. Adalet Bakanlığı ve bilişim sivil toplum örgütlerinin katkısıyla hazırlanan bir taslak mevcuttur.
Kişisel Verilerin Korunması Hakkında Kanun Taslağı, Mernis Projesi hayata geçmeden önce kanunlaşmadığı takdirde tüm bu veritabanındaki bilgilerin korumasız kalacağı düşünülebilir. Ancak, mevcut kanunlara göre Mernis'in hukuki koruma altında olduğunu kesinlikle söyleyebiliriz. Fakat, aynı şeyi özel kurumlarda tutulan veriler için söylemek mümkün değildir. Banka, cep telefonu operatörü ve internet servis sağlayıcılar gibi bazı özel kurumlar, kişisel bilgilerin gizli kalacağını ve açıklanmayacağını taahhüt etmektelerse de, kişisel verilerin hukuki olarak korunmadığı düşünüldüğü takdirde olası sakıncalar her zaman için bireyleri tehdit etmektedir.
Esas olarak düzenlenmesi gereken hususlar bu bilgilerden hangi kurumların ne oranda yararlanacağı, bilgilerin kullanımına ne kadar sınır getirileceği, bireylerin kendisi hakkında tutulan bilgileri inceleme ve yanlışlık varsa düzeltme hakkına sahip olup olmayacağı şeklindedir. Bu düzenlemeler yapılmadığı takdirde, gizlilik hakkı ve bilgi edinme hakkı sözkonusu olmaksızın kişisel verilerin kamu kurumlarınca her tür işlenmesi ve değerlendirilmesi hukuka uygun olarak kabul edilmek zorunda kalınacaktır.
Mevcut mevzuata göre kişisel verilerin nasıl korunduğunu incelersek:
Nüfus Kanunu, Adli Sicil Kanunu, Bankalar Kanunu ve Noterlik Kanunu'nda bireylere ait bulunan kişisel verilerin görevli memur tarafından açıklanması, üçüncü kişilere verilmesi, üzerinde kanunsuz değişiklik yapılması özel olarak suç olarak tanımlanmıştır. Adları sayılan kanunlara tabi olmayan diğer kamu kurum ve kuruluşlarına ait veritabanlarında meydana gelebilecek kötüniyetli kullanım dolayısıyla Türk Ceza Kanunu'nun memurlar hakkında görevi kötüye kullanma suçundan dolayı ceza verilmesi mümkün olmaktadır.
Kamusal veritabanındaki bilgilerin memur tarafından değil de, herhangi bir 3. kişi tarafından ele geçirilmesi, açıklanması, veri ticaretine konu olması da Türk Ceza Kanunu'nun 525. maddesine göre suçtur. Ayrıca birileri sistemde bulunan bir bilgiyi kendi menfaatine veya başkasının zararına olarak d
eğiştirirse yine 525. maddedeki suç işlenmiş olur.
Kişisel verilerin açığa çıkması, değiştirilmesi veya yanlış işlenmesinden doğan zararlarda ve kişilik haklarının ihlalinde, genel tazminat prensipleri ve Medeni Kanun'un kişilik haklarının korunmasını sağlayan 24 ve 25. maddesi dahilinde, bireylere ihlali durdurma, ihlali tespit etme, maddi ve manevi tazminat talep etme hakları vardır.
O halde, Mernis veya benzeri sistemlerde bulunan kişisel verilerin kötüye kullanılması bakımından Türk hukukunda bir problem yok diyebiliriz.
Fakat, kamusal veritabanında bilgilerin ne şekilde tutulacağı, bireylerle ilgili hangi kişisel verilerin tutulacağı, bu kişisel verilere hangi kurumun ne ölçüde erişeceğini, bireylerin kendi haklarında tutulan verilerden heberdar olup olmayacağı, bilgi alma hakkı olup olmadığı, kayıtlardaki yanlışlıkların ne şekilde düzeltileceği gibi hususların acil olarak düzenlenmesi zorunluluğu vardır. Keza, Nüfus ve Vatandaşlık İşleri Genel Müdürlüğü, İçişleri Bakanlığı'na, o da bir siyasi partiye bağlı demektir. Siyasi partinin de bu bilgilere istediği gibi sahip olabileceği düşünülürse, bu konuda yargı ve hukuk denetiminin çok ciddi olarak gündeme getirilmesi gerekmektedir.
Kişisel Verilerin Korunma Kanunu Taslağı da az önce sayılan sorunları çözmek amacı ile yapılmıştır. Daha önce de belirttiğimiz gibi tasarının büyük ölçüde kaynağı 108 sayılı Avrupa Konseyi Sözleşmesidir.
Taslakta, Avrupa Birliği'nin 20 Temmuz 1995 tarih ve 95/EC sayılı direktifi de gözönünde bulundurulmuştur.
Avrupa Konseyi Sözleşmesi kişisel verilerin dürüst ve yasal bir şekilde toplanarak kullanılması konusunda bir dizi ilke ihtiva etmektedir. Sözleşmeyi onaylayan devletlerin iç hukuk düzenlemelerinin bu ilkelere uygun olması zorunlu olduğundan, Taslakta bu ilkelere yer verilmiştir; şöyle ki;
-Kişisel veriler ancak özel bir maksatla toplanabilir ve başka amaçlarla kullanılamaz.
-Veriler güncel, amaca uygun olmalı ve ancak gerektiği sürece muhafaza edilmelidir.
-Hakkında veri toplanan kişi bunları öğrenme ve gerektiğinde yanlış olanlarını düzeltme hakkına sahiptir.
-Kişilerin dini, siyasi inancı, genetik ve tıbbi özellikleri gibi özel niteliği olan hassas veriler özel yöntemlerle korunmalıdır.
Kişisel Verilerin Korunması Kanun Tasarısının kapsamı ise aşağıdaki şekilde özetlenebilir:
Tasarıda, "kişisel veri" kavramı, belirli veya kimliği belirlenebilir bir kişiye ilişkin bütün bilgiler olarak tanımlanmaktadır. "Kişisel verilerin işlenmesi kavramı" ise, kişisel verilerin toplanması, elde edilmesi, kaydedilmesi, düzenlenmesi, depolanması, değiştirilmesi, değerlendirilmesi, kullanılması, açıklanması, aktarılması, silinmesi, yok edilmesi olarak tanım bulmuştur.
Tasarı, hem özel sektör hem de kamu sektörünü kapsamına almıştır. Dolayısıyla, kişisel verilerin gerçek kişiler, tüzel kişiler ve kamu kurum ve kuruluşlarınca işlenmesinde uygulama alanı bulacaktır. Söz konusu veriler geleneksel dosyalama ve arşivleme yöntemleriyle işlenebileceği gibi, otomatik işleme de tabi tutulabilir. Her iki yöntem de Taslak kapsamındadır.
Taslakta belirlenen kişisel veri işleme yöntem ve ilkeleri şunlardır:
-Kişisel veriler yasal ve dürüst olarak toplanacak ve işlenecektir.
-Veriler ancak belirli ve meşru amaçlarla muhafaza edilebilir.
-Veriler amaca aykırı olarak açığa vurulamaz.
-Veriler, güncel olarak ve kullanış amacına yeterli sürede muhafaza edilecektir.
-Kişinin hakkındaki verileri öğrenme yanlışları düzeltme ve sildirme hakkı vardır.
Taslakta ayrıca, kişilerin ırkları, sağlığı, cinsel yaşamı, siyasi düşünceleri dini ve diğer inançlarına ilişkin hassas verilerle ilgili düzenlemeler getirilmektedir. Bu bilgiler tutulurken kişiye verinin hangi amaçla tutulacağı, verinin kimlere aktarılabileceği, bu verileri dilediği zaman öğrenme ve gerekiyorsa bunları düzeltme hakkı olduğu bildirilecektir.
Bu özel veriler dışında kalan genel veriler için, herkes belirli ve makul aralıklarla kendine ait bilginin nelerden ibaret olduğunu, kaydı tutulan verilerin hukuksal amacını, bilgileri hangi kurumun işleme tabi tutacağını ve işleme tabi tutacak kurumların kimliklerini öğrenme hakkı vardır. Ancak, üstün nitelikte bir kamu yararı veya devlet sırrı nitelikleri varsa bu hakkın kullanımı sınırlanmaktadır.
Taslakta, belirlenen görevleri yapmak üzere tüzel kişiliğe, idari ve mali özerkliğe sahip ve doğrudan Başbakana bağlı "Kişisel Verileri Koruma Kurumu"nun kurulması da öngörülmektedir.
Sonuçta ne tür düzenleme yapılırsa yapılsın, tüm düzenlemelerin hak ve özgürlükleri kısıtlayıcı değil, aksine hak ve özgürlükleri koruyucu olması gerekmektedir. Ancak, taslakta kişinin kendi verileri hakkında bilgi edinme hakkı, devlet sırrı, milli güvenliğin gerektirmesi gibi sınırları kanunda açıkça çizilmeyen ve elinde siyasi gücü bulunduranlarca her dönem için farklı anlamda kullanılan takdir hakkına bırakılmıştır. Sınırlamaların muğlak olmaktan kurtarılıp daha açık olarak ifade edilmesi gerekir. Zira, hiçbir üstün kamu yararı kişinin kendisi hakkında olan bilgileri öğrenmesini engellememelidir.
Ayrıca, taslakta hangi kurumun hangi tür verilerden ve hangi tür bilgilerden ne oranda yararlanacağı açıklanmış değildir. Örneğin, Tarım Bakanlığı çiftçi bir vatandaş hakkında bilgi toplarken adli sicil kaydına ihtiyaç duymayacaksa, bu kurumun ulaşabileceği bilgiler ihtiyacı doğrultusunda sınırlandırılmalıdır.
Bilgi paylaşımı kuralları ve bilgi yönetimi politikasının belirlenmesi, Mernis'i ve diğer kamusal veritabanı sistemlerini üzerindeki "fişleme aracı" suçlamasından da kurtaracaktır. Sistemin sınırlarının ayrıntılı çizilmesi, temel hak ve özgürlüklerin korunması amacına hizmet edecektir.
Bu sebeple, bir an önce taslağın tasarı haline gelmesi ve daha sonra da kanunlaşması gerekmektedir. Ayrıca, elektronik belgelerin devlet tarafından kabul edilmesi ve bu belgelerde kimlik kanıtlanması, sanal kurum kimliğinin tanımlanması ve elektronik imzanın kabulü de Mernis ve diğer kamusal veritabanlarının kullanımı için öncelikle gerekli yasal düzenlemelerdendir.
Yararlanılan Kaynaklar:
– Elektronik Ticaret Hukuk Çalışma Grubu Raporu
– Türkiye Bilişim Şurası Taslak Raporu
– Prof. Dr. Eşref Adalı – Bireysel Bilgilerin Korunması – TBD Bilişim Dergisi 82. sayı
– TBV Ulusal Birey Kayıt Sistemi (UBKS) Çalışma Raporu
Gökhan AHİ
gokhan@hukukcu.com