Kişisel verilerin korunmasına ilişkin uluslararası hukuk ve Vietnam'a etkileri

Dünyada internet geliştirme ve uygulama hızı en yüksek ülkelerden biri olan ve nüfusun yaklaşık %80'inin internet kullandığı Vietnam'da, nüfusun 2/3'ünün kişisel verileri siber uzayda birçok farklı biçimde ve ayrıntı düzeyinde saklanıyor, yayınlanıyor, paylaşılıyor ve toplanıyor.

2022 ve 2023 yıllarında Vietnam, binlerce GB veri ve milyarlarca kişisel bilginin alınıp satıldığı 5 ceza davası açmıştır. Bu durum, kişisel veri koruma yasasının araştırmalara ve uluslararası hukuka dayanarak acilen iyileştirilmesi gerektiğini göstermektedir.

Kişisel verilerin korunmasına ilişkin uluslararası hukuk

GDPR, günümüz dünyasında kişisel bilgilerin korunması konusunda en sıkı mekanizmayı oluşturan önemli bir hukuki adım olarak değerlendiriliyor.

Avrupa Birliği (AB) Genel Veri Koruma Tüzüğü (GDPR), günümüz dünyasında en sıkı kişisel veri koruma mekanizmasını oluşturarak ileriye doğru atılmış önemli bir yasal adım olarak kabul edilmekte olup, AB vatandaşlarının kişisel verilerini işleyen tüm kuruluşlar ve işletmelere uygulanmaktadır.

GDPR, blok genelindeki işletmelere tek tip cezalar uygulamaktadır. Küçük ihlaller için cirolarının %2'sine veya 10 milyon avroya kadar para cezası, büyük ihlaller için ise cirolarının %4'üne veya 20 milyon avroya kadar para cezası uygulanmaktadır. Para cezalarına ek olarak, GDPR'yi ihlal eden işletmeler, veri işlemeyi durdurmaya veya GDPR'ye aykırı olarak işlenen verileri silmeye zorlanma gibi başka yaptırımlara da tabi tutulabilir.

AB'nin kişisel veri koruma otoritesi, üyeleri arasında deneyimli avukatlar, BT uzmanları ve yöneticilerin bulunduğu bağımsız bir kuruluş olan AB Veri Koruma Denetçisi'dir (EDPS).

Bu kurumun temel işlevi, AB kurum ve kuruluşlarında kişisel verilerin işlenmesini denetlemek ve kişisel verilerle ilgili konularda danışmanlık yapmaktır. GDPR ayrıca, her üye devlette Ulusal Kişisel Verileri Koruma Komisyonu (Fransa, İrlanda...) veya Veri Koruma Müfettişliği (Finlandiya, Letonya...) gibi bir Kişisel Verileri Koruma Kurumu kurulmasını da şart koşmaktadır.

AB, EDPS'nin yanı sıra, üye devletlerin ulusal veri koruma otoritelerinin temsilcilerinden ve AB temsilcilerinden oluşan ve kişisel verilerin korunması konularında başlıca bağımsız danışma organı olarak görev yapan ve GDPR'nin birlik genelinde tutarlı bir şekilde uygulanmasından sorumlu olan Avrupa Veri Koruma Kurulu'nu (EDPB) da kurmuştur.

GDPR, hem maddi hem de manevi olmak üzere son derece caydırıcı yaptırımlar öngörmektedir. Ayrıca, Komisyon/Komiser modeliyle çalışan AB kişisel veri koruma otoritesi, kuruluşların kişisel veri koruma yönetmeliklerini ihlal etmesi durumunda yaptırım uygulama konusunda geniş ve bağımsız yetkilere sahiptir ve kişisel verilerin işlenmesini bağımsız olarak değerlendirip karar verebilir.

2021 yılında yürürlüğe giren Çin Kişisel Bilgilerin Korunması Kanunu (PIPL), Çin'deki ilk kapsamlı, ulusal düzeydeki kişisel bilgilerin korunması kanunu olarak kabul edilmektedir. PIPL, kişisel verilerin/kişisel bilgilerin, Çin sınırları içindeki dar bir birey grubunu hedef alan, belirli bir kişiyi tanımlayan veya tanımlayan bilgiler olarak nispeten birleşik bir bakış açısı sunmaktadır (PIPL, Madde 4, Bölüm 1). Aynı zamanda, daha spesifik veri gruplarıyla ilgili olarak tarafların hak ve yükümlülüklerine ilişkin düzenlemeler oluşturmak için hassas kişisel veriler konusunu düzenlemektedir.

Kişisel Veri Koruma Kanunu (PIPL) kapsamındaki kişisel veri haklarının ihlal edilmesi durumunda uygulanan yaptırımlar oldukça ağırdır. Bunlar arasında zorunlu düzeltme, yasadışı gelire el konulması, hizmetlerin askıya alınması, işletme veya iş ruhsatlarının iptali ve 50 milyon yuana veya kuruluşun bir önceki mali yıldaki yıllık gelirinin %5'ine kadar para cezası yer almaktadır. Ayrıca, ihlaller ulusal sosyal kredi sistemi kapsamındaki işlem biriminin "kredi dosyasına" da kaydedilebilir.

Ayrıca, işlem birimleri, kuruluşların ve bireylerin hak ve çıkarlarını ihlal etmeleri halinde zararları tazmin etmekle yükümlü olacaklardır. Bu tür ihlaller için cezai yaptırımlar, bilgileri gizli tutmakla yükümlü olanlar için daha ağır cezai sorumluluk öngören, mal varlığına el koymayı da içeren ve en ağır hapis cezası olarak müebbet hapis cezasını öngören Çin Ceza Kanunu'nda da özel olarak düzenlenmiştir.

Singapur Kişisel Verilerin Korunması Kanunu (KVKK) 2012 yılında kabul edilmiştir (2020 yılında değiştirilmiştir). Singapur yasaları, kişisel verilerin korunması hakkının yanı sıra belirli durumlarda uygun amaçlar için bilgilerin toplanması, kullanılması ve ifşa edilmesinin düzenlenmesi ihtiyacını da tanımaktadır.

KVKK ayrıca veri ihlalleri için ağır mali cezalar öngörmektedir. Bireysel ihlalciler para cezasına veya hapis cezasına çarptırılacaktır. Para cezaları, ihlalin niteliğine ve ciddiyetine bağlı olarak 2.000 SGD ile 100.000 SGD (1,6 milyar VND'ye eşdeğer) arasında değişmekte ve/veya 12 ayı geçmeyen hapis cezası veya ciddi durumlarda 3 yıla kadar hapis cezasına çarptırılabilmektedir1; ihlal eden kurum ve şirketler ise yıllık cirolarının %10'una kadar para cezasına çarptırılabilmektedir.

KVKK'nın uygulanmasını sağlamada önemli rol oynayan kurum, Kişisel Verileri Koruma Kurulu'dur (KVKK). Bu kurum, geniş yetkilere ve uygulama yetkilerine sahip, uzmanlaşmış bir kurumdur. Kurum, kişi ve kuruluşlardan kişisel verilerin işlenmesine ilişkin bilgi ve belgeleri talep etme, ihlaller için mali cezalar uygulama ve diğer tedbirleri uygulama hakkına sahiptir.

Singapur'da kişisel veri korumasının etkili bir şekilde uygulanmasının koşullarından biri de, ihlalleri tespit etme, ele alma ve yaptırım uygulama konusunda bağımsız ve proaktif bir şekilde çalışan, uzmanlaşmış bir kurum olan Singapur Kişisel Verileri Koruma Komisyonu'nun kurulmasıdır.

Vietnam'da kişisel veri koruma yasalarının iyileştirilmesine yönelik öneriler

Vietnam'da şu anda Anayasa, Kanun (4), Kanun (39), Tüzük (1), Kararname (2), Genelge/Ortak Genelge (4), Bakanlık Kararı (1) dahil olmak üzere çeşitli belgelerde yer alan kişisel verilerin korunması konusuyla doğrudan ilgili 69 yasal belge bulunmaktadır.

Bu belgeler, kişisel verilerin korunması konusuna temel olarak, veri sahibinin mahremiyetinin sağlanması ilkesini teşvik etme yönünde yaklaşmaktadır; ancak kişisel verilerle ilgili bilgiler, veri sahiplerinin hak ve yükümlülükleri, bilgi işleme ve kişisel veri koruma yöntemleri konularına değinerek farklı düzenlemeler içermektedir. Vietnam'da kişisel verilerin korunması konusunu düzenleyen yasa, özellikle 17 Nisan 2023 tarihinde Hükümetin kişisel verilerin korunmasına ilişkin 12/2023/ND-CP sayılı Kararname'yi yayınlamasıyla dikkat çekici sonuçlar elde etmiştir; bu, ülkemizde bu konuyu düzenleyen ayrı bir belgedir. Bu yasal belgeler, kişisel verilerin korunması çalışmalarında yasal bir koridor oluşturmuştur; veri sahiplerinin ve veri işleyen tarafların haklarını belirlemekte, kişisel veri koruma ihlalleri için yaptırımlar öngörmekte ve kişisel veri koruma konusunda uzmanlaşmış kurumu Kamu Güvenliği Bakanlığı'na bağlı Siber Güvenlik ve Yüksek Teknoloji Suç Önleme Dairesi olarak belirlemektedir.

Vietnam, siber uzaydan kaynaklanan pek çok risk, zorluk ve tehlikeyle karşı karşıyadır; özellikle de kişisel bilgi ve verilerin sızdırılması ve ele geçirilmesi, vatandaşlar ve toplum üzerinde pek çok zararlı etkiye yol açmaktadır.

Ancak bu belgelerin fiili uygulaması, mevcut ayrı yasal belgelerin yalnızca Kararname düzeyinde olması, kişisel verilerin korunmasının önemini karşılamaması, birçok içeriğin halihazırda genel ve belirsiz bir şekilde düzenlenmesi ve her bir özel durum için özel bir kılavuzun bulunmaması, yaptırımların hala hafif ve caydırıcı olmaması gibi birçok sınırlamayı da ortaya koymuştur...

Bu durumda, Vietnam'da kişisel verilerin korunmasına ilişkin mevzuatın sürekli iyileştirilmesi, diğer ülkelerin deneyimlerine dayanarak incelenmesi gereken bir konu olmuştur ve olmaya devam etmektedir. Özellikle:

Öncelikle, kişisel verilerin korunmasına ilişkin bir kanun çıkarılmalıdır . 4.0 sanayi devrimi bağlamında, bölgesel ve ulusal ölçekte 80 ülke kişisel verileri korumak için ayrı yasal düzenlemeler çıkarmıştır. Vietnam'ın, AB, Çin veya Singapur gibi, kişisel verilerin korunmasına ilişkin temel konuları ve ilkeleri belirleyen Veri Gizliliği Kanunu gibi genel ve özel bir veri koruma kanunu üzerinde araştırma yapması ve çıkarması gerekmektedir. Ülkemizde bu konuyla ilgili yasal belgelerin terminoloji ve içerik düzenlemeleri açısından henüz birlik içinde olmadığı bir ortamda, ayrı bir kişisel veri koruma kanununun çıkarılması, kişisel verilerin korunması için önemli bir yasal dayanak oluşturacaktır.

İkinci olarak, kişisel veri ihlallerine yönelik yaptırımları, ihlalin niteliğine ve ciddiyetine uygun şekilde daha ağır bir şekilde değiştirin ve tamamlayın. Ülkemizde kişisel veri ihlallerine yönelik yaptırımlar idari, hukuki ve cezai yaptırımları içerse de, genellikle oldukça hafiftir ve caydırıcılık etkisi yüksek değildir. Şu anda temel yöntem idari ihlallere yönelik yaptırımlar uygulamaktır, ancak düzenlemeler oldukça düşük para cezaları içeren birçok Kararname'de dağınık bir şekilde yer almaktadır; en yüksek cezalar bireyler için 100 milyon VND ve kurumlar için 200 milyon VND'dir.

Kişisel verilerin idari olarak ihlal edilmesinin yol açabileceği zarar yalnızca maddi zarar değil, aynı zamanda onur ve haysiyetin de zedelenmesidir. İdari yaptırımların yanı sıra, kişisel verilerin ihlali nedeniyle cezai yaptırımlar yalnızca mevcut Ceza Kanunu'nun 159. ve 288. maddelerinde yer alan gizlilik ve bilgi teknolojileri ile ağ güvenliği alanındaki düzenlemelerde, 7 yılı aşmayan nispeten düşük hapis cezaları ve 1 milyar VND'yi aşmayan para cezasıyla yansıtılmaktadır. Bu para cezası, AB'nin 20 milyon Avro, Singapur'un 1 milyon SGD veya Çin'in müebbet hapis cezasıyla karşılaştırıldığında, hala çok düşük olup birçok ihlalle orantılı değildir.

Aynı zamanda, büyük ölçekli veri ticareti, veri ihlallerine yönelik sistemlerin kurulması, pazarlama hizmet işletmelerindeki ihlaller vb. gibi şu anda kanunda yer almayan birçok davranış grubunun da düzenlenmesi gerekmektedir.

Üçüncüsü, Vietnam'daki kişisel veri koruma kurumu örneğinde olduğu gibi . Şu anda, Kamu Güvenliği Bakanlığı'na bağlı Siber Güvenlik ve Yüksek Teknoloji Suçlarını Önleme Dairesi, kişisel veri koruma konusunda uzmanlaşmış kurumdur. Uluslararası düzenlemelere bakıldığında, Kişisel Verilerin Korunması Kanunu'nu uygulamaktan, denetim ve incelemeler yapmaktan, kılavuz ve tavsiyelerde bulunmaktan ve ihlaller halinde yaptırımlar uygulamaktan sorumlu bağımsız bir kişisel veri koruma kurumu kurulması düşünülebilir.

Kişisel verilerin korunmasına ilişkin yasaların etkin bir şekilde uygulanması, kişisel hakların korunması ve ağ güvenliğinin sağlanması arasında denge kurulması için bu modellere AB'de veya Singapur'da başvurabiliriz.

Kişisel verilerin korunması, özellikle entegrasyon bağlamında ele alındığında, kişisel veri izleme ve toplama faaliyetlerinin geniş çapta gerçekleştiği ve bu konuyu düzenleyen Vietnam hukuk sisteminin hala inşa ve mükemmelleştirme sürecinde olduğu bir ortamda, basit bir konu değildir.

Bu konuda uluslararası hukukun Vietnam'daki pratik durum göz önünde bulundurularak araştırılması, uluslararası hukukla uyumlu ve etkili bir şekilde uygulanan kapsamlı kişisel veri korumasına yönelik yasal çerçevenin yakın zamanda oluşturulmasına yardımcı olacaktır.

1 https://nhandan.vn/chu-trong-bao-ve-du-lieu-ca-nhan-post780834.html