Kişisel verilerin korunmasına ilişkin yasal çerçevenin oluşturulması

43. Oturumun devamı niteliğindeki Meclis Daimi Komisyonu, 11 Mart öğleden sonra Kişisel Verilerin Korunması Kanunu Tasarısı hakkında görüş bildirdi.

Kişisel verilerin korunmasına ilişkin 7 ilke

Hükümetin sunduğu görüşte, Vietnam'da kişisel verilerin korunmasıyla doğrudan ilgili 69'a kadar yasal belge bulunmasına rağmen, bunların hiçbirinin kişisel veri ve kişisel veri koruması kavramı ve içeriği konusunda henüz bir mutabakata varamadığı belirtilmektedir. Sadece Hükümetin 17 Nisan 2024 tarihli ve 13/2023/ND-CP sayılı Kişisel Veri Koruma Kararnamesi bu iki içeriğin tanımını sunmaktadır.

Ancak bu bir Kanun değil, yalnızca bir Kararname belgesi olduğundan, uygulamada yeknesak bir şekilde uygulanması gerekmektedir. Anayasa ve kanunların kişisel mahremiyetin korunması ve insan haklarına ilişkin hükümlerinin kurumsallaşmaya devam etmesine katkıda bulunacak ilkelere sahip, "asıl kanun" niteliğinde bir Kanun belgesine ihtiyaç vardır.

Kişisel Verilerin Korunması Kanunu’nun geliştirilmesi, ülkemizde kişisel verilerin korunmasına ilişkin hukuk sisteminin mükemmelleştirilmesi, kişisel verilerin korunması için bir hukuk koridorunun oluşturulması, ulusal düzeydeki kuruluşların ve bireylerin kişisel verileri koruma kapasitesinin uluslararası ve bölgesel düzeye ulaştırılması, kişisel verilerin sosyo -ekonomik kalkınmaya hizmet edecek şekilde hukuka uygun şekilde kullanılmasının yaygınlaştırılması hedeflenmektedir.

Kişisel Verilerin Korunması Kanunu Tasarısı, 7 bölüm ve 69 maddeden oluşmakta olup; kişisel verilerin korunmasını ve ilgili kurum, kuruluş ve kişilerin kişisel verileri koruma sorumluluğunu düzenlemekte olup 7 ana başlık altında ele alınmaktadır.

Kişisel verilerin korunmasına ilişkin terminolojinin birleştirilmesi ve bazı önemli kavramların geliştirilmesi: kişisel veri; kişisel verilerin korunması; temel kişisel veri, hassas kişisel veri, kişisel olmayan veri, kişisel verilerin anonimleştirilmesi kavramlarının ve içeriklerinin açıklığa kavuşturulması; kişisel veri işleme faaliyetlerinin doğru ve eksiksiz olarak belirlenmesi; işleme faaliyetlerinde tarafların rolleri.

Yasallık, şeffaflık, amaçlılık, sınırlama, doğruluk, güvenlik, sınırlı saklama süresi ve hesap verebilirlik olmak üzere kişisel verilerin korunmasına ilişkin 7 ilkeyi geliştirin.

Veri sahiplerinin hak ve yükümlülüklerini belirtir.

Kişisel veri işleme hizmeti veren kuruluşlar, kişisel veri koruma kuruluşları ve kişisel veri koruma uzmanları tarafından verilen hizmetler, kişisel veri koruma kredi derecelendirme hizmetleri ve kişisel veri koruma ehliyetine sahip olma yeterliğini belgelendiren hizmetler için kişisel verilerin korunması şartlarına ilişkin düzenlemeler.

Kişisel veri işleme faaliyetlerine yasal bir taahhüt olarak kişisel verilerin işlenmesinin ve kişisel verilerin yurtdışına aktarılmasının etkisinin değerlendirilmesini gerektirmektedir. Bilim ve teknolojinin gelişimi ve günümüz işletme türleriyle uyumlu olması amacıyla, taslakta kişisel verilerin işlenmesi ve sınır ötesi kişisel veri aktarımı için bir ön denetim (kayıt) şekli öngörülmemekte, ancak bir son denetim (kontrol, değerlendirme) gerçekleştirilmektedir.

Temel kişisel veri koruma tedbirleri, hassas kişisel veriler, kişisel veri koruma faaliyetlerinin sağlanmasına ilişkin koşullar, uzmanlaşmış kişisel veri koruma kuruluşları ve Ulusal Kişisel Verilerin Korunması Bilgi Portalı hakkında kapsamlı düzenlemeler.

Kişisel verilerin korunmasının devlet yönetimine ilişkin düzenlemeler, kişisel verilerin korunmasının devlet yönetiminin uygulanmasını tek bir çatı altında toplayan Hükümet yönünde ilgili bakanlıkların ve birimlerin sorumlulukları; Milli Savunma Bakanlığı kapsamı hariç olmak üzere, kişisel verilerin devlet yönetiminin uygulanmasından Hükümete karşı sorumlu odak kurum Kamu Güvenliği Bakanlığı'dır; kişisel veri sorumlusu, veri işleyicisi, veri sorumlusu ve işleyicisi, üçüncü taraf, ilgili kuruluş ve bireylerin sorumlulukları.

Yasaklanmış eylemleri gözden geçirin ve tamamlayın

TBMM Milli Savunma, Güvenlik ve Dış İlişkiler Komisyonu, taslak kanunun ön incelemesinde, kişisel verilerin özellikle önemli bir rol oynadığını, stratejik bir veri kaynağı olduğunu ve bir ülkenin siyaseti, ekonomisi, toplumu, savunması, güvenliği ve dış ilişkileri üzerinde doğrudan ve kapsamlı bir etkiye sahip olduğunu belirtmiştir. Ancak, geçmişte kişisel verilerin korunması konusunda gevşek davranılmış ve bu durum, kişisel verilerin toplanmasına, saldırıya uğramasına, ele geçirilmesine ve yasadışı ticaretine olanak sağlamıştır.

Milli Savunma, Güvenlik ve Dış İlişkiler Komitesi Başkanı Le Tan Toi.

Kişisel verilerin korunmasına ilişkin halihazırda çok sayıda yasal belge bulunmasına rağmen, içerik hala dağınık ve tutarsızdır. Hükümetin 17 Nisan 2024 tarihli ve 13/2023/ND-CP sayılı Kişisel Verilerin Korunması Hakkındaki Kararnamesi ilk yürürlüğe girmiş olmasına rağmen, bir alt kanun belgesi niteliğinde olup, hukuki değeri garanti altına almamakta, Anayasa hükümleriyle tutarlı olmamakta ve ihlalleri önleyip ele alacak kadar güçlü değildir.

Bu nedenle, kişisel verilerin korunması, kişisel veri ihlallerinin önlenmesi, kurum, kuruluş ve kişilerin sorumluluğunun artırılması, yeknesak bir uygulama için hukuki değer sağlanması ihtiyaçlarını karşılayacak Kişisel Verilerin Korunması Kanunu'nun geliştirilmesi son derece gereklidir.

Yasaklanmış fiiller (Madde 7) konusunda Komite Başkanı Le Tan Toi, bazı görüşlerin, her faaliyet grubunu ve kişisel verileri koruyan her tür konuyu tam olarak kapsayacak şekilde diğer yasaklanmış fiillerin gözden geçirilmesini ve tamamlanmasını önerdiğini belirtti. Hükümetin Sunumunda belirtildiği gibi, kişisel verilerin alım satımının 5 biçimiyle ilgili yasaklanmış fiillerin tamamlanmasını öneren görüşler de vardı.

Pazarlama ve reklam hizmetlerinde kişisel verilerin korunması konusunda, Milli Savunma, Güvenlik ve Dışişleri Komitesi Daimi Komitesi bu düzenlemeye temelde katılmaktadır. Ancak, pazarlama ve reklam sektörünün dijital ekosisteme bağımlı olması nedeniyle, üçüncü tarafların işe alınmasını yasaklayan düzenlemenin uygulanabilir ve uygulamaya uygun olmadığı yönünde görüşler bulunmaktadır.

Gizliliğin sağlanması, sorumlulukların açıkça belirtildiği bir sözleşme yapılması ve Kanun Tasarısı'nın 68. maddesinde yer alan Kişisel Verileri Koruma Kuruluşları ve Kişisel Verileri Koruma Uzmanlarına ilişkin düzenlemelere benzer geçiş hükümlerinin bulunması halinde üçüncü bir kişinin de veri işleyebilmesine olanak sağlanabileceği yönünde görüşler bulunmaktadır.

Ayrıca, denetim kuruluşu, hem devlet yönetim gerekliliklerini sağlamak hem de yaratıcılığı teşvik etmek, tüm üretici güçleri serbest bırakmak ve tüm kaynakları kalkınmaya açmak, idari prosedürleri, üretim ve işletme için yatırım koşullarını kapsamlı bir şekilde kısaltmak ve basitleştirmek, uyumluluk maliyetlerini düşürmek ve insanlar ve işletmeler için en uygun koşulları yaratmak amacıyla kişisel verileri koruma örgütleri (Madde 39), kişisel verileri koruma uzmanları (Madde 40), kişisel verileri koruma örgütlerinin iş hizmetleri, kişisel verileri koruma uzmanları (Madde 41) hakkındaki yönetmeliklerin de dikkatle gözden geçirilmesini önerdi.