Hukukun «Kevgir»e dönüştürüldüğü casusluk dünyasında…


Türkiye’nin «ahval i umumiyesi!»

ikv1

© photocredit

***

TTYO MÜZAKERELERİNDE KİŞİSEL VERİLER: ODADAKİ FİL Mİ? YENİ PETROL MÜ?

Ahmet_Ceran

©Ahmet Ceran

 

 

Genel Tespitler

• Mega ölçekte bir ticaret anlaşmasına, kişisel verilerin korunması gibi hak temelli bir konuyu eklemenin şüphesiz ki büyük zorlukları bulunuyor.

• Güncel konjönktürde, uluslararası ticaret kapsamında karşılıklı veri akışının en yoğun gerçekleştiği coğrafyalar ABD ve AB.

• TTYO müzakerelerinde; e-ticaret, bulut bilişim, fikri mülkiyet, uluslararası mali veriler ve PNR gibi konular tartışılırken kişisel verilerin korunması ve gizlilik meselesinin mutlak suretle masada olacağı aşikar.

• Mega ölçekte bir ticaret anlaşmasına, kişisel verilerin korunması gibi hak temelli bir konuyu eklemenin şüphesiz ki büyük zorlukları bulunuyor.

• Herhangi bir kişisel verinin AB’den ABD’ye ulaştırılabilmesi için, ABD’nin AB mevzuatına ve standartlarına uyum sağlaması gerekiyor.

• PRISM skandalı ve gizlilik ihlallerinin gün yüzüne çıktığı dönemin ardından imzalanan Şemsiye Anlaşma, TTYO müzakereleri kapsamında veri güvenliğinin müzakere edilmesi ve AB kamuoyunun ve karar vericilerin güveninin kazanılması yönünde atılan en önemli adım.

• Güncel konjönktürde, uluslararası ticaret kapsamında karşılıklı veri akışının en yoğun gerçekleştiği coğrafyalar ABD ve AB.

• TTYO müzakerelerinde; e-ticaret, bulut bilişim, fikri mülkiyet, uluslararası mali veriler ve PNR gibi konular tartışılırken kişisel verilerin korunması ve gizlilik meselesinin mutlak suretle masada olacağı aşikar.

• Mega ölçekte bir ticaret anlaşmasına, kişisel verilerin korunması gibi hak temelli bir konuyu eklemenin şüphesiz ki büyük zorlukları bulunuyor.

• Herhangi bir kişisel verinin AB’den ABD’ye ulaştırılabilmesi için, ABD’nin AB mevzuatına ve standartlarına uyum sağlaması gerekiyor.

• PRISM skandalı ve gizlilik ihlallerinin gün yüzüne çıktığı dönemin ardından imzalanan Şemsiye Anlaşma, TTYO müzakereleri kapsamında veri güvenliğinin müzakere edilmesi ve AB kamuoyunun ve karar vericilerin güveninin kazanılması yönünde atılan en önemli adım.

21’inci Yüzyılın Yeni Petrolü: Veriler

Kişisel verilerin korunması, AB tarafından temel hak ve özgürlükler arasında kabul edilse de; isim, kredi kartı bilgileri, doğum tarihleri ve telefon numaraları gibi çeşitli kişisel veriler, uluslararası ticaretin de önemli bir parçası. Kişisel verilerin ticaretteki önemi, bilişim ve iletişim teknolojilerindeki hızlı gelişmeyle birlikte uluslararası tartışmaların her geçen gün daha da merkezine oturuyor. Veriler, şirketlerin, tüketicilerin eğilimlerini anlamak için kullandığı iyi bir araç, bunun yanı sıra ürünün de kendisi haline geliyor. Avrupa Komisyonu’nun Adalet ve İçişlerinden Sorumlu Eski Üyesi Viviane Reding, Kasım 2013 tarihinde konuya ilişkin yaptığı açıklamada, 2020 yılında AB vatandaşlarının kişisel verilerinin değerinin yıllık 1 trilyon avroya ulaşacağını ifade etmişti. [1] Öte yandan pek çok güncel tartışmada, kişisel verilerden, yeni bir para birimi hatta yeni petrol olarak bahsediliyor.

Kişisel verilerin uluslararası ticaretteki konumuyla paralel olarak, bu alanda AB vatandaşlarının temel haklarının garanti altına alınıp alınamadığı yönündeki kaygılar da artıyor. Avrupa Komisyonu’nun konuya ilişkin kamuoyu algısını ölçmek için gerçekleştirdiği 24 Haziran 2015 tarihli Eurobarometer anketinin sonuçlarına göre, AB vatandaşlarının sadece %4’ü, internet sağlayıcılarının ve telefon şirketlerinin, kişisel verilerini koruduğuna tamamen güveniyor. Öte yandan katılımcıların sadece %3’ü arama motorlarının ve sosyal ağların AB vatandaşlarının kişisel verilerini koruma altına aldığını düşünüyor. [2]

Odadaki Fil: Kişisel Verileri Müzakere Etmek

Güncel konjönktürde, uluslararası ticaret kapsamında karşılıklı veri akışının en yoğun gerçekleştiği coğrafyalar ABD ve AB. ABD tarafından paylaşılan resmi rakamlara göre, ABD ile AB arasındaki mal ve hizmet ticareti, yıllık 1,06 trilyon dolara ulaşmış durumda. Başka bir ifadeyle, dünya çapında bir yıl içerisinde gerçekleşen uluslararası ticaretin üçte biri, ABD ile AB arasında. Öte yandan 2010 yılı verilerine göre, ABD’de dijital ortamda sunulan hizmetler, ABD’nin toplam hizmet ihracatının yüzde 61’ini oluşturuyor. Dolayısıyla, ABD ile AB arasındaki karşılıklı ticarette hukuki engellerin kaldırılmasını ve mevzuatı karşılıklı olarak uyumlaştırılmasını öngören, mega ticaret anlaşması müzakereleri TTYO’nun da en tartışmalı ve kritik alanlarından biri, veri akışı ve veri güvenliği meselesi. Uluslararası ticaret sisteminde köklü değişikliklere sebep olması öngörülen TTYO müzakerelerinde; e-ticaret, bulut bilişim, fikri mülkiyet, uluslararası mali veriler ve PNR gibi konular tartışılırken kişisel verilerin korunması ve gizlilik meselesinin mutlak suretle masada olacağı aşikar.
Fakat temel hak ve özgürlükler boyutundan dolayı, konunun TTYO kapsamına girmediği mesajı verilerek bir süredir deyim yerindeyse top taca atılıyor. Yapılan yorumlarda, TTYO müzakereleri kapsamında kişisel verilerin korunması tartışmalarından “odadaki fil” veya müzakerelerin “olağan şüphelisi” olarak bahsediliyor.

ikv2

[3]

Lisbon Council ve Progressive Policy Institute işbirliğiyle hazırlanan bir çalışmaya göre ise, AB’nin dört büyük ekonomisini oluşturan Fransa, Almanya, İtalya ve İspanya, dijital verileri işleme ve veri akışı kapasitelerini İngiltere seviyesine ulaştırırsa, ulusal ekonomilerine yıllık yüzde iki oranında, ABD seviyesine ulaştırırsa da yıllık yüzde dört oranında katkı sağlamış olacak. [4] Diğer yandan mesele, sadece Atlantiğin iki tarafındaki devletlerin çıkarlarını ilgilendiren bir konu olmanın çok ötesinde bir boyut kazandı. Uluslararası pazarın %85’ini oluşturan ABD merkezli, Google, Amazon gibi bulut bilişim şirketleri ve bağlantılı diğer sektör temsilcileri; AB’nin Gümrük Birliği ortağı Türkiye gibi, taraflarla geniş kapsamlı ikili ticaret anlaşmaları yürüten ülkeler; Çin, Rusya, Brezilya, Hindistan, Güney Afrika gibi, yakın gelecekte internet ve küresel bilişim sektörüne ilişkin konularda karar verici konuma gelmeyi hedefleyen ülkeler; açık toplum, insan hakları, gizlilik hakkı ve yolsuzlukla mücadele gibi alanlarda çalışmalarını sürdüren uluslararası sivil toplum ve Avrupa değerlerinin korunduğunu garanti altına almaya çalışan AP de müzakerelerin veri güvenliği boyutunu, taraflar kadar yakından ve ilgiyle takip ediyor.

Mega ölçekte bir ticaret anlaşmasına, kişisel verilerin korunması gibi hak temelli bir konuyu eklemenin şüphesiz ki büyük zorlukları bulunuyor. Ticaret anlaşmaları, ruhu gereği, taraflar arası uyumun artırılması ve engellerin kaldırılmasını hedeflerken, bu kapsamda kişisel verilerin korunması gibi hak temelli ve taraflar arası yaklaşım farklılığı bulunan konularda standartlar belirlemek oldukça zor. [5] Kişisel verilerin korunmasına ilişkin olarak AB, kapsayıcı ve kuralcı bir yaklaşım benimserken; ABD’de konuya ilişkin kapsayıcı bir düzenlemenin bulunmamasının yanı sıra, konuya ilişkin düzenlemeler sektörel bazda gerçekleşiyor ve eyaletlere göre farklılık gösteriyor. [6] Durum böyle olunca, güncel gelişmelerle de birlikte, müzakerelerin tarafları, müzakere turlarını her fırsatta bu sorunun kenarından dolanarak geçmeyi tercih ediyor.

İnce Çizgi: İnsan Hakları

TTYO müzakerelerinin tarafları, kişisel verilerin korunması meselesini gündeme getirmemeye meyilli olsa da, özellikle AB, yakın geçmişte bu konuda oldukça net değerlendirmelerde bulundu. Avrupa Komisyonu’nun Adalet ve İçişlerinden Sorumlu eski Üyesi Viviane Reding, veri güvenliği konusunun TTYO kapsamında müzakere edilmeyeceğini, insan haklarıyla bağlantılı bu konunun bir ticaret anlaşmasından bağımsız ele alınması gerektiğini belirtmiş, üst düzey AB yetkilileri de bu yaklaşımı zaman zaman vurgulamıştı. Hatta, Avrupa Komisyonu’nun AB kamuoyunu TTYO müzakerelerinde hizmetler sektörüne ilişkin bilinçlendirmek üzere hazırladığı bilgi notunda dahi, veri güvenliği standartlarının müzakere konusu olmayacağı ve AB hukukunun korunacağı açıkca belirtiliyor. [7]

AB’nin transatlantik ilişkilerde, veri güvenliğine dair korumacı yaklaşımı ise temel bir sebebe dayanıyor. ABD Ulusal Güvenlik Ajansı (NSA)’nın, PRISM adlı sistem aracılığıyla Google, Facebook ve Outlook gibi internet devlerinde depolanan kişisel verileri kullanabildiğini öne süren gizli belgelerin uluslararası basına sızması, ABD ve AB arasındaki siyasi ve ticari ilişkileri de doğrudan etkiledi. Hatırlanacağı üzere PRISM programına ilişkin gizli bilgilerin sızdırılması, uluslararası kamuoyunda büyük yankı bulmuştu. PRISM programına ilişkin spekülasyonlara, Almanya Şansölyesi Angela Merkel’in telefonunun NSA tarafından dinlendiği yönündeki sızıntılar da eklenince, ABD-AB arası kişisel veri akışı konusu, AB’nin resmi gündemine taşınmıştı. Hatta, ABD ile AB arasındaki etkin, hızlı ve güvenli veri akışını düzenleyen anlaşmanın askıya alınması bile gündeme gelmişti. Öte yandan ABD yönetimi de PRISM programına ve üst düzey AB yetkililerinin verilerinin sızdırılmasına ilişkin iddiaları yalanlamadı. Bu durum, veri güvenliğinde kapsamlı ve temel hak ve özgürlüklere dayalı, bireyin korunmasını önplanda tutan yaklaşımı benimseyen AB kurumları ve başta Almanya olmak üzere AB ülkeleri tarafından büyük eleştiriye ve güvensizliğe sebep oldu. Dolayısıyla bu güvensizlik atmosferinde, AB’nin konuya ilişkin temel yaklaşımına göre, herhangi bir kişisel verinin AB’den ABD’ye ulaştırılabilmesi için, ABD’nin AB mevzuatına ve standartlarına uyum sağlaması gerekiyor. Başta Yeşiller Grubu ve Sosyalist ve Demokratlar İttifakı olmak üzere AP de süreci yakından takip ediyor ve ABD’nin hukuk dışı gözetlemelerini eleştirilerinin merkezine koyuyor. AP Medeni Haklar Komitesi (LIBE) ise AB vatandaşlarının kişisel verileri garanti altına alınmadığı takdirde, TTYO’ya destek vermeyecekleri yönünde bir görüş benimsiyor. [8]

Diğer bir yaklaşıma göre, AB’nin kişisel verilerin korunmasına ilişkin hukuki düzenlemelerde aşırı korumacı bir tutum benimsemesinin çeşitli çekinceli yönleri bulunuyor. ABD merkezli Skyhigh Network adlı danışmanlık şirketinin gerçekleştirdiği bir çalışmaya göre, tasarı halindeki AB tüzüğünün kabul edilmesi durumunda, dünya çapında sadece 11 ülke AB ile veri transferi yapabilecek. AB standartlarıyla uyumlu olduğu öne sürülen bu 11 ülke ise şunlar: Andora, Arjantin, Kanada, Faroe Adaları, Guernsey, Man Adası, İsrail, Jersey, Yeni Zelanda, İsviçre ve Uruguay. [9] İkinci olarak ise, halihazırda küresel sistemde bulut bilişim firmalarının önemli bir bölümüne ev sahipliği yapan ABD’nin AB ile karşılıklı veri akışı tesis edememesi durumu, bilişim alanındaki küresel gelişimi olumsuz etkileyecek ve kişilerin bilgi edinme hakkı dahil çeşitli hak ve özgürlükleri zedeleyecek. Dolayısıyla, bu alanda gerçekleştirilecek hukuki düzenlemelerin çok yönlü ele alınması ve geçerli konjonktürden daha olumsuz bir duruma sebep olmaması gerekiyor.

Konunun Temel Hukuki Dayanağı

Konuya ilişkin iki tarafı da bağlayıcı nitelikteki en temel uluslararası düzenleme olarak ise BM Sivil ve Medeni Haklar Sözleşmesi’nin 17’nci maddesi öne çıkıyor. Fakat daha detaylı düzenlemeler dikkate alındığında 95/46/EC sayılı AB Yönergesi büyük önem taşıyor. Çünkü ilgili Yönergenin 25’inci ve 26’ncı maddeleri, AB merkezli olmayan veri işleme firmalarının AB’de iş yapabilmeleri için gerekli kriterleri ortaya koyuyor.

AB ülkelerinde iş yapmak isteyen ABD firmaları, kişisel verilerin korunmasına ilişkin AB düzenlemelerini dikkate almak, bu kriterlere uyum sağlamak zorunda. Fakat AB ile ABD arasında kişisel verilerin paylaşımı alandaki etkileşimin artırılması ve kolaylaştırılmasına yönelik olarak taraflar, uzun bir süredir Yönerge ile uyumlu çeşitli ikili anlaşmalara imza atma yoluna gidiyor. Özellikle ABD şirketleri ile AB ülkeleri arasındaki sınır ötesi veri akışını kolaylaştırmaya yönelik üç mekanizmadan bahsetmek mümkün; Güvenli Liman (Safe Harbour) Anlaşması, Standart Sözleşme Maddeleri (the Standard Contractual Clauses) ve Bağlayıcı Şirket Yasaları (Binding Corporate Rules). [10] Bununla birlikte, taraflar arasında kabul edilen bir dizi ikili anlaşma ile birlikte, özellikle adli kovuşturma ve suçla mücadele alanlarında da tarafların yetkili birimleri arasında karşılıklı veri paylaşımı sağlanıyor.

TTYO müzakereleri ile birlikte, yukarıda bahsi geçen bütün bu sınırötesi veri paylaşımı anlaşmalarının kapsamı, gerekliliği ve önemi tekrardan tartışmaya açıldı. Özellikle ABD istihbarat birimi NSA ve PRISM Programına ilişkin sızıntılar, Güvenli Liman (Safe Harbour) Anlaşmasının durdurulması veya güncellenmesi meselesini AB’nin ana gündemine taşıdı. [11]

Güvenli Liman ve Şemsiye Anlaşma Çerçevesinde İşbirliğinin Tesisi

AB’den

ABD’ye kişisel veri akışının önünü açan Güvenli Liman (Safe Harbour) Anlaşması, taraflar arasında 2000 yılında imzalandı. O tarihten itibaren 4.000’e yakın ABD şirketi, Güvenli Liman mekanizmasının parçası oldu. Mekanizma kapsamında AB ile veri transferi gerçekleştirmek isteyen ABD şirketlerinin, AB’de geçerli veri güvenliği hukukuna yeterli ölçüde uyum sağlaması gerekiyordu.

ABD şirketlerinin Güvenli Liman mekanizmasına uyumunu ve ihlallerini, ABD’de Federal Ticaret Komisyonu inceliyordu. Öte yandan AB ülkelerindeki ulusal veri koruma kurumları da prosedürü yakından takip ederken bu alanda çok sayıda ihlalin gerçekleşmekte olduğuna işaret ediyordu. AP ise uzun süredir Güvenli Liman’a yönelik temkinli bir tutum sergiliyor. PRISM skandalının gün yüzüne çıkmasının ardından AP, Avrupa Komisyonu’nu Güvenli Liman Anlaşması’nı gözden geçirmeye çağırmıştı. AP temsilcileri, ABD şirketlerinin kişisel verilerin korunmasına ilişkin standartları ihlal ettiğini ve AB vatandaşlarının kişisel verilerinin ABD istihbarat birimlerine servis edildiğini öne sürdü.

2015 yılına gelindiğinde ise, TTYO müzakerelerinin hız kazandığı bu dönemde, eş zamanlı olarak Güvenli Liman mekanizmasına ilişkin de büyük kırılmalar yaşanıyor. Özellikle 23 Eylül 2015 tarihinde ABAD Başsavcısı Yves Bot, Maximilian Schrems v Data Protection Commissioner C-362/14 başlıklı davaya ilişkin sunduğu istişari mütalaada, bu haliyle Güvenli Liman Anlaşması’nın AB hukukuna uygun olmadığını ve ABD’de geçerli kişisel verilerin korunması düzenlemelerinin AB standartlarının altında olduğunu ifade etti. Bağlayıcı olmamasına rağmen bu görüş, AB ve ABD kamuoylarında çok büyük yankı buldu. [12] Edward Snowden’ın PRISM programını ifşasının ardından, Maximilian Schrems v Data Protection Commissioner C-362/14 başlıklı davanın tarafı Max Schrems, Facebook’un AB merkezi olan Facebook İrlanda’nın, vatandaşların kişisel verilerini, hukuk dışı şekilde ABD’ye aktardığı iddiasıyla, ilgili İrlanda mahkemesine dava açmıştı. İrlanda Mahkemesinin, Facebook’un veri aktarımının Güvenli Liman’a dayandığına hükmetmesinin ardından Schrems, davasını ABAD’a taşımıştı. [13] Başladığı tarihten bu yana dava, Güvenli Liman mekanizmasının geleceği açısından büyük önem taşıyor. Dolayısıyla, ABAD Başsavcısının bağlayıcı olmayan ve Güvenli Liman mekanizmasını eleştiren istişari mütalaası, ABAD’dan nasıl bir karar çıkabileceğinin de ipucu niteliğindeydi. Sürecin devamında ABAD, 6 Ekim 2015 tarihinde Schrems Davasına ilişkin verdiği kararında, ABD merkezli özel şirketler ile AB arasında karşılıklı veri akışının önünü açan Güvenli Liman Anlaşması’nı (Safe Harbor) geçersiz kıldı. ABAD’ın kararına göre, üçüncü ülkelerin AB ile karşılıklı veri akışı sağlayabilmesi için AB Temel Haklar Şartına ve ilgili AB Yönergesi’ne uyumlu kişisel verilerin korunması mevzuatına sahip olması gerekiyor. Öte yandan ABAD, kişisel verilerin korunması gibi temel haklara ve gizliliğe ilişkin bir konuda, Güvenli Liman gibi ikili anlaşmaların, AB üye ülke yetkili makamlarını veri güvenliği ihlallerini soruşturmaktan alıkoyamayacağını öne sürdü. ABAD’ın bu kararının, transatlantik ticaret ilişkilerinde bir takım belirsizliklere sebep olacağını söylemek şimdiden mümkün.
Güvenli Liman Kararı, ABAD’ın kişisel verilerin korunması konusunda ABD merkezli bilişim devleriyle karşı karşıya geldiği ilk karar değil. Hatırlanacağı üzere, Costeja González isimli İspanyol vatandaşı, kendisiyle artık bağlantısı olmayan verilerin, dünya devi arama motoru Google’ın arama sonuçlarından silinmesine yönelik olarak 2010 yılında İspanyol yargı mercilerine başvurmuş, ABAD’a sevkedilen davanın sonucunda, AB vatandaşlarının arama motorlarından veya diğer veri depolayıcılarından, verilerinin silinmesini talep etme hakkı (right to be forgotten) bulunduğu yönünde karara varılmıştı.
Öte

PRISM Sızıntıları

2013 yılında the Guardian gazetesi tarafından, ABD Ulusal Güvenlik Teşkilatı’nın (NSA) 10 milyonlarca kişinin kişisel verilerini topladığı yönündeki gizli belgelerin kamuoyu ile paylaşılması, uluslararası gündemi her yönüyle etkiledi. The Guardian gazetesi, kısa bir süre sonra, sızıntıların kaynağının Edward Snowden isimli, CIA’da sözleşmeli sistem analistliği yapan, Booz Allen Hamilton personeli olduğunu açıkladı. Snowden’ın sızdırdığı gizli sunum dosyalarında en öne çıkan konu ise NSA’nın yürüttüğü PRISM Programı oldu.

PRISM Programı; Gmail, Facebook, Outlook, Yahoo gibi ABD merkezli internet hizmet sağlayıcılarının kullanıcılılarına ilişkin verilere, NSA tarafından ulaşılabilmesini sağlayan bir sistem. Başka bir değişle, PRISM programı, ABD Hükümetinin internet üzerinden ABD vatandaşı olmayan kişilerin kişisel verilerine ulaşabilmesini sağlıyor. PRISM Programı’nın ABD’deki hukuki dayanağını, Yurtdışı İstihbarat Gözetimi Kanunu’nun 702’nci bölümü oluşturuyor. Snowden’ın sızdırdığı dokümanlarda öne çıkan diğer bir konu ise ABD’nin, AB’nin Washington’daki daimi temsilciliklerini ve BM binasındaki ofislerini de gözetlemesi oldu. Öte yandan Almanya Şansölyesi Angela Merkel’in de aralarına dahil olduğu 35 dünya liderinin ABD tarafından dinlendiği yönündeki iddialarla da birlikte, Almanya Hükümeti, ABD Büyükelçisini geri çağırmıştı.

Güvenli Liman Anlaşması’nı (Safe Harbor) geçersiz kıldı. ABAD’ın kararına göre, üçüncü ülkelerin AB ile karşılıklı veri akışı sağlayabilmesi için AB Temel Haklar Şartına ve ilgili AB Yönergesi’ne uyumlu kişisel verilerin korunması mevzuatına sahip olması gerekiyor. Öte yandan ABAD, kişisel verilerin korunması gibi temel haklara ve gizliliğe ilişkin bir konuda, Güvenli Liman gibi ikili anlaşmaların, AB üye ülke yetkili makamlarını veri güvenliği ihlallerini soruşturmaktan alıkoyamayacağını öne sürdü. ABAD’ın bu kararının, transatlantik ticaret ilişkilerinde bir takım belirsizliklere sebep olacağını söylemek şimdiden mümkün.

Güvenli Liman Kararı, ABAD’ın kişisel verilerin korunması konusunda ABD merkezli bilişim devleriyle karşı karşıya geldiği ilk karar değil. Hatırlanacağı üzere, Costeja González isimli İspanyol vatandaşı, kendisiyle artık bağlantısı olmayan verilerin, dünya devi arama motoru Google’ın arama sonuçlarından silinmesine yönelik olarak 2010 yılında İspanyol yargı mercilerine başvurmuş, ABAD’a sevkedilen davanın sonucunda, AB vatandaşlarının arama motorlarından veya diğer veri depolayıcılarından, verilerinin silinmesini talep etme hakkı (right to be forgotten) bulunduğu yönünde karara varılmıştı.

Türkiye’nin “koca kulağı” nerede?

Öte yandan, AB ve ABD arasında veri aktarımı alanındaki işbirliğinin geleceğine olumlu bakanar da var. Avrupa Komisyonu tarafından Güvenli Liman’ın güçlendirilmesine yönelik ABD’ye sunulan 13 tavsiyenin 12’sinin yerine getirildiği öne sürülüyor. Özellikle tarafların kolluk kuvvetleri arasında işbirliğinin güçlendirilmesi amacıyla yüksek seviye veri güvenliği standartlarının oluşturulması için bir süredir devam eden müzakereler 8 Eylül 2015 tarihinde sonuçlandı. ABD-AB Veri Güvenliği Şemsiye Anlaşması’nın (USA-EU Data Protection Umbrella Agreement) imzalanmasıyla, suç fiilinin önlenmesi, tespiti, kovuşturması ve cezalandırılmasına yönelik her türlü karşılıklı kişisel veri paylaşımının önü açıldı.

Anlaşma kapsamında veri paylaşımı sadece yukarıda belirtilen amaçlar doğrultusunda gerçekleşebilecek. Bu çerçevede, ticari sebeplerle veri paylaşımı kapsama dışında kalıyor. Anlaşmanın imzalanması ile birlikte ortaya çıkan en önemli gelişme, gizlilik ilkesinin ihlali halinde AB vatandaşları da ABD vatandaşları ile eşit şartlara sahip olarak ABD mahkemelerine başvuruda bulunabilecek. Bu hallerde, AB vatandaşlarının ABD’de ikamet etmesi gerekmeyecek. PRISM skandalı ve gizlilik ihlallerinin gün yüzüne çıktığı dönemin ardından imzalanan Şemsiye Anlaşma, TTYO müzakereleri kapsamında veri güvenliğinin müzakere edilmesi ve Güvenli Liman mekanizmasına ilişkin AB kamuoyunun ve karar vericilerin güveninin kazanılması yönünde atılan en önemli adım kabul ediliyor.

Sürecin devamında, taraflardan, TTYO müzakerelerinde kişisel verilerin korunması tartışmalarına ilişkin daha şeffaf olmaları bekleniyor. Tartışmalardan en çok etkilenen, Facebook, Google ve Microsoft gibi bilişim devleri; kişisel verileri tartışmaların merkezinde olan vatandaşlar ve süreci büyük bir tedirginlik ve tedbirle takip eden uluslararası sivil toplum ancak yeterli seviyede şeffaflık ve açıklık sağlanabilirse sürece dahil olabilir. Nihayetinde veri güvenliği meselesinin müzakerelerin önemli bir parçası olmadığı yönünde gösterilen tavrın gerçeği yansıtmadığı ortada. Veri devrimi olarak addedilebilecek bu dönemde, bütün paydaşların süreçten kazanımlarının garanti altına alınması gerekiyor. Müzakerelere ilişkin verilerin açık ve ulaşılır olması, Avrupa Komisyonu’nun benimsediği ve önem verdiği “açık veri (open data)” politikasıve vatandaşların karar alma süreçlerine katılımı açısından da büyük önem taşıyor. Bilindiği üzere bu konuda AB Ombudsmanlık Makamı, TTYO müzakerelerindeki şeffaflık sorununa ilişkin bir soruşturma başlatmış ve Komisyon’a, müzakerelerde şeffaflığın artırılmasına yönelik tavsiyelerini sunmuştu. [14]

Sonuç Yerine: Türkiye Bu Tartışmaların Neresinde?

Bütün dünyanın dikkatle takip ettiği TTYO müzakerelerinden en fazla etkilenecek üçüncü ülkelerin başında Türkiye geliyor. Dolayısıyla veri güvenliği meselesinin müzakereler kapsamına alınmasının ve AB-ABD arasında kişisel verilerin paylaşımına ilişkin etkin bir mekanizma oluşturulmasının şüphesiz ki Türkiye’ye önemli etkileri olacağını öngörmek mümkün. Bu etkileri iki çerçevede özetlenebilir: Türkiye-AB Gümrük Birliği ve Türkiye-AB Vize Serbestliği Diyaloğu.

Türkiye ile AB arasındaki Gümrük Birliği’nin güncellenmesi tartışmalarının gündemin merkezine oturduğu konjönktürde, Türkiye’nin önümüzdeki dönemde bir takım ileri adımlar atması, çeşitli hukuki düzenlemeler gerçekleştirmesi bekleniyor. TTYO’nun imzalanması halinde, anlaşmanın ortaya koyduğu yüksek hukuki standartlar sebebiyle, Türkiye’nin Gümrük Birliği için gerçekleştireceğinin de ötesinde bir takım adımlar atması zorunlu olabilir. Bilindiği üzere, Gümrük Birliği’nin güncellenmesi tartışmaları kapsamında fikri mülkiyet hukuku standartlarının ve kamu alımlarının da tartışmaya açılması bekleniyor. Bu iki alan, kişisel verilerin korunmasına ilişkin hukuki çerçeveyle doğrudan bağlantılı ve TTYO müzakereleri kapsamında da müzakere edilen konular. Özellikle Türkiye’de elektronik ihale mekanizmalarının kurulmasına ve işleyişine ilişkin çalışmalar kapsamında depolanan kişisel verilerin korunması ve transferi konusu, hem Türkiye-AB katılım müzakereleri, hem Gümrük Birliği’nin güncellenmesi hem de TTYO çerçevesinde gündeme gelebilecek konular arasında. İkinci olarak, TTYO müzakerelerinde e-ticaret ve bulut bilişim teknolojileri kapsamında kişisel verilerin korunması ve aktarımı konusunun gündeme gelebileceği belirtilmişti. Dolayısıyla Türkiye’nin de müzakerelerin bu boyutunu dikkatle takip etmesi ve mevzuatını bu alanda AB standartlarına şimdiden, TTYO öncesi dönemde yakınlaştırması gerekiyor.

AB ve ABD arasında kişisel verilerin korunması ve paylaşımına ilişkin etkin bir mekanizmanın kurulması, Türkiye ile AB arasında sürmekte olan ve Türk vatandaşlarına yönelik vize uygulamasının kalkmasıyla sonuçlanması öngörülen diyalogla da bağlantılı. ABD gibi Türkiye de halihazırda AB standartlarında kapsayıcı kişisel verilerin korunması düzenlemelerine sahip olmayan ülkeler arasında yer alıyor. Dolayısıyla bu durum, Türkiye ile AB arasındaki veri paylaşımını ve işbirliğini büyük ölçüde sınırlıyor. Fakat Avrupa Komisyonu’nun Türk yetkili makamlara sunduğu Vize Serbestliği Yol Haritası dahilinde Türkiye’nin yerine getirmekle yükümlü olduğu kriterler arasında AB standartlarında, kapsayıcı bir Kişisel Verilerin Korunması Kanunu oluşturması yer alıyor. Ancak bu şekilde Türk kolluk birimleri ile AB’deki paydaşları arasında cezai süreçlerde ve sınır kontrolünde veri paylaşımı mümkün olabilecek. AB ile ABD arasında imzalanan Şemsiye Anlaşma, Türkiye için önemli bir model oluşturabilir. Bilindiği üzere ABD de, Türkiye gibi AB standartlarında kapsayıcı bir veri güvenliği kanununa sahip değil. Yine de Şemsiye Anlaşma sayesinde AB ile ABD arasında karşılıklı veri paylaşımı alanında kapsamlı işbirliğinin önü açılmış durumda. Dolayısıyla Türkiye’nin ABD gibi diğer örnekleri dikkate alarak, bu tıkanıklığın aşılmasına yönelik alternatif yollar bulması gerekiyor.

Leave a Reply

Please log in using one of these methods to post your comment:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: