Kişisel verilerin korunması için yasal bir koridor oluşturulması

43. Oturum programına devam eden Meclis Daimi Komisyonu, 11 Mart öğleden sonra Kişisel Verilerin Korunması Kanunu Tasarısı hakkında görüş bildirdi.

Kişisel verilerin korunmasına ilişkin 7 ilke

Hükümetin sunduğu görüşte, Vietnam'da kişisel verilerin korunmasıyla doğrudan ilgili 69'a kadar yasal belge bulunmasına rağmen, bunların hiçbirinin kişisel veri ve kişisel veri koruması kavramı ve içeriği konusunda henüz bir mutabakata varamadığı belirtilmektedir. Sadece Hükümetin 17 Nisan 2024 tarihli ve 13/2023/ND-CP sayılı Kişisel Veri Koruma Kararnamesi bu iki içeriğin tanımını sunmaktadır.

Ancak bu bir Kanun değil, yalnızca bir Kararname belgesi olduğundan, uygulamada yeknesak bir şekilde uygulanması gerekmektedir. Anayasa ve kanunların kişisel mahremiyetin korunması ve insan haklarına ilişkin hükümlerinin kurumsallaşmaya devam etmesine katkıda bulunacak ilkelere sahip, "asıl kanun" niteliğinde bir Kanun belgesine ihtiyaç vardır.

Kişisel Verilerin Korunması Kanunu’nun geliştirilmesi, ülkemizde kişisel verilerin korunmasına ilişkin hukuk sisteminin mükemmelleştirilmesi, kişisel verilerin korunması için bir hukuk koridorunun oluşturulması, ulusal düzeydeki kuruluşların ve bireylerin kişisel verileri koruma kapasitesinin uluslararası ve bölgesel düzeye ulaştırılması, kişisel verilerin sosyo-ekonomik kalkınmaya hizmet edecek şekilde hukuka uygun şekilde kullanılmasının yaygınlaştırılması hedeflenmektedir.

Kişisel Verilerin Korunması Kanunu Tasarısı, 7 bölüm ve 69 maddeden oluşmakta olup; kişisel verilerin korunmasını ve ilgili kurum, kuruluş ve kişilerin kişisel verileri koruma sorumluluğunu düzenlemekte olup 7 ana başlık altında toplanmaktadır.

Kişisel verilerin korunmasına ilişkin terminolojinin birleştirilmesi ve bazı önemli kavramların geliştirilmesi: kişisel veri; kişisel verilerin korunması; temel kişisel veri, hassas kişisel veri, kişisel olmayan veri, kişisel verilerin anonimleştirilmesi kavram ve içeriğinin açıklığa kavuşturulması; kişisel veri işleme faaliyetlerinin doğru ve eksiksiz olarak belirlenmesi; işleme faaliyetlerinde tarafların rolleri.

Kişisel verilerin korunmasına ilişkin yasallık, şeffaflık, amaçlılık, sınırlama, doğruluk, güvenlik, sınırlı saklama süresi ve hesap verebilirlik olmak üzere 7 ilke geliştirin.

Veri sahiplerinin hak ve yükümlülüklerini belirtir.

Kişisel veri işleme hizmeti veren kuruluşlar, kişisel veri koruma kuruluşları ve kişisel veri koruma uzmanları için kişisel verilerin korunması şartlarına ilişkin düzenlemeler; kişisel veri koruma kredi derecelendirme hizmetleri; kişisel veri koruma yeterlilik belgelendirme hizmetleri.

Kişisel veri işleme faaliyetlerine yasal bir taahhüt olarak, kişisel verilerin işlenmesi ve kişisel verilerin yurtdışına aktarılmasının etkisinin değerlendirilmesini gerektirir. Bilim ve teknolojinin gelişmesi ve günümüz işletme türlerine uyum sağlamak amacıyla, taslakta kişisel verilerin işlenmesi ve kişisel verilerin sınır ötesi aktarımı için ön denetim (kayıt) şekli öngörülmemekte, ancak son denetim (denetim, değerlendirme) yapılmaktadır.

Temel kişisel veri koruma tedbirleri, hassas kişisel veriler, kişisel veri koruma faaliyetlerinin sağlanmasına ilişkin koşullar, uzmanlaşmış kişisel veri koruma kuruluşları ve Ulusal Kişisel Verilerin Korunması Bilgi Portalı hakkında kapsamlı düzenlemeler.

Kişisel verilerin korunmasının devlet yönetimine ilişkin düzenlemeler, kişisel verilerin korunmasının devlet yönetiminin uygulanmasını tek bir çatı altında toplayan Hükümet yönünde ilgili bakanlıkların ve birimlerin sorumlulukları; Milli Savunma Bakanlığı kapsamı hariç olmak üzere, kişisel verilerin devlet yönetiminin uygulanmasından Hükümete karşı sorumlu odak kurum Kamu Güvenliği Bakanlığı'dır; kişisel veri sorumlusu, veri işleyicisi, veri sorumlusu ve işleyicisi, üçüncü kişiler, ilgili kuruluşlar ve bireylerin sorumlulukları.

Yasaklanmış eylemleri gözden geçirin ve tamamlayın

TBMM Milli Savunma, Güvenlik ve Dış İlişkiler Komisyonu, yasa tasarısının ön incelemesinde, kişisel verilerin özellikle önemli bir rol oynadığını, stratejik bir veri kaynağı olduğunu ve bir ülkenin siyaseti, ekonomisi, toplumu, milli savunması, güvenliği ve dış ilişkileri üzerinde doğrudan ve kapsamlı bir etkiye sahip olduğunu belirtmiştir. Ancak, geçmişte kişisel verilerin korunmasına yönelik çalışmalar yetersiz kalmış ve bu durum, kişisel verilerin toplanması, saldırıya uğraması, ele geçirilmesi ve yasadışı yollarla alınıp satılmasına olanak sağlamıştır.

Milli Savunma, Güvenlik ve Dış İlişkiler Komitesi Başkanı Le Tan Toi.

Kişisel verilerin korunmasına ilişkin halihazırda çok sayıda yasal belge bulunmasına rağmen, içerik hala dağınık ve tutarsızdır. Hükümetin 17 Nisan 2024 tarihli ve 13/2023/ND-CP sayılı Kişisel Verilerin Korunması Hakkındaki Kararnamesi ilk yürürlüğe girmiş olmasına rağmen, bir alt kanun belgesi niteliğinde olup, hukuki değeri garanti altına almamakta, Anayasa hükümleriyle tutarlı olmamakta ve ihlalleri önleyip ele alacak kadar güçlü değildir.

Bu nedenle, kişisel verilerin korunmasına ilişkin gereklilikleri karşılayan, kişisel veri ihlallerini önleyen, kurum, kuruluş ve kişilerin sorumluluğunu artıran, yeknesak bir uygulama için hukuki değer sağlayan Kişisel Verilerin Korunması Kanunu'nun geliştirilmesi son derece gereklidir.

Yasaklanmış fiiller (Madde 7) konusunda Komite Başkanı Le Tan Toi, bazı görüşlerin, her faaliyet grubunu ve kişisel verileri koruyan her tür konuyu tam olarak kapsayacak şekilde diğer yasaklanmış fiillerin gözden geçirilmesini ve tamamlanmasını önerdiğini belirtti. Hükümetin Sunumunda belirtildiği gibi, kişisel verilerin alım satımının 5 biçimiyle ilgili yasaklanmış fiillerin tamamlanmasını öneren görüşler de vardı.

Pazarlama ve reklam hizmetlerinde kişisel verilerin korunması konusunda, Milli Savunma, Güvenlik ve Dışişleri Komitesi Daimi Komitesi bu düzenlemeye temelde katılmaktadır. Ancak, pazarlama ve reklam sektörünün dijital ekosisteme bağımlı olması nedeniyle, üçüncü tarafların işe alınmasını yasaklayan düzenlemenin uygulanabilir ve uygulamaya uygun olmadığı yönünde görüşler bulunmaktadır.

Güvenliğin sağlanması, sorumlulukların açıkça belirtildiği bir sözleşmenin bulunması ve Kanun Tasarısı'nın 68. maddesinde yer alan Kişisel Verileri Koruma Kuruluşları ve Kişisel Verileri Koruma Uzmanlarına ilişkin hükümlere benzer geçiş hükümlerinin bulunması halinde üçüncü bir kişinin de veri işleyebilmesine olanak sağlanabileceği yönünde öneriler bulunmaktadır.

Ayrıca, denetim kuruluşu, hem devlet yönetim gerekliliklerini sağlamak hem de yaratıcılığı teşvik etmek, tüm üretim kapasitesini serbest bırakmak ve tüm kaynakları gelişime açmak, idari prosedürleri, üretim ve işletme için yatırım koşullarını kapsamlı bir şekilde kısaltmak ve basitleştirmek, uyumluluk maliyetlerini düşürmek ve insanlar ve işletmeler için en uygun koşulları yaratmak amacıyla kişisel verileri koruma kuruluşları (Madde 39), kişisel verileri koruma uzmanları (Madde 40), kişisel verileri koruma kuruluşu hizmet işletmeleri, kişisel verileri koruma uzmanları (Madde 41) ile ilgili düzenlemelerin de dikkatle gözden geçirilmesini önerdi.