İnternet sitemizde yer alan yayınlar, düşünce yazıları niteliğinde olup yazarların ele aldıkları konu hakkındaki bireysel görüşlerini yansıtmaktadır; düşünce ve ifade özgürlüğüne inanan bir Büro olarak her türlü fikre saygı ve dile getirilmelerinden memnuniyet duyuyoruz. Sitemizdeki yazı ve makalelerde yer alan bilgileri spesifik bir hukuki uyuşmazlığa uygulamadan önce mutlaka bir Avukata danışmanızı tavsiye ederiz.
Türkiye Cumhuriyeti Hükümeti İle KKTC Hükümeti Arasında Veri Paylaşımına İlişkin İş Birliği Uygulama Protokolü Hakkında Değerlendirme
KKTC’nin başkenti Lefkoşa’da geçen şubatta imzalanan “Türkiye Cumhuriyeti Hükümeti ile KKTC Hükümeti Arasında Veri Paylaşımına İlişkin İş birliği Uygulama Protokolü” Cumhurbaşkanı tarafından onaylanarak 20/05/2020 tarihli Resmi Gazete’de yayımlandı. Protokol iki ülke arasında veri paylaşımına ilişkin olup protokole ilişkin kısa değerlendirmelerimiz işbu çalışma ile sizlere sunulmaktadır.
Protokol kapsamı, İçişleri Bakanlığına bağlı Emniyet Genel Müdürlüğü ile KKTC Polis Genel Müdürlüğü arasında kara, deniz ve hava hudut kapılarında ve her iki ülke genelinde aranan ve kayıp şahıslar, tahditli şahıslar ve çalıntı oto bilgilerinin tespitini sağlamak amacıyla veri paylaşımına ilişkin çalışmalar yapılması olarak belirlenmiştir. Her iki ülke arasında kurulacak teknik altyapının tamamlanmasından sonra başlayacak veri transferi, noktadan noktaya data hattı ile yapılacaktır. Protokol kapsamında gerçekleşecek veri paylaşımının uygulayıcı birimlerin mevcut altyapısı üzerinden ve/veya ihtiyaç duyulacak yeni bir fiber optik iletişim bağlantı üzerinden her iki uç noktada ileri güvenlik tedbirleri (Kriptolu tünelleme - IPSEC vb.) alınarak yapılmasına karar verilmiştir. Protokolün 6. ve 7. maddelerinde veri güvenliğine ilişkin hususlar düzenlenmiştir.
(6) Taraflar bu Protokol kapsamında kendileriyle paylaşılan verileri kullanırken yürürlükteki Kanunlar ve Uluslararası Sözleşmelerdeki verilerin gizliliğine ilişkin hükümlere uyacak alınan verilerin gizliliği ve güvenliğini koruyacak, verilerin kullanılmasının cezai ve hukuki sonuçlarından sorumlu olacaktır.
(7) Tarafların sisteme erişim ve/veya web servislerin kullanılması için birbirlerine vereceği kullanıcı adı, parola ve sertifikalar ile diğer bilgilerin gizliliğinden ve korunmasından kendi sistemlerinin güvenliğini sağlamak üzere gerekli tedbirlerin alınmasından Taraflar sorumlu olacaktır.
Protokolün “Paylaşılacak Veriler” başlıklı ekinde yer aldığı üzere iki ülke arasında transferi sağlanacak veriler ile kişilerin, ad-soyad, baba adı, doğum yılı, pasaport numaralarından haklarında sakınca bilgisi ve sakınca türü (tahdit, kayıp, aranma) bilgilerine ve araç plaka, motor ve şasi numarasından çalıntı bilgisinin varlığına ulaşılabilecektir.
Görüldüğü üzere aktarımı sağlanan veriler arasında kişilerin 6698 sayılı Kişisel Verilerin Korunması Kanunun (“Kanun”) 6’ncı maddesinde yer alan “ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri” de yer almaktadır. Bireylerin ayrımcılığa uğramalarının önüne geçmek amacı ile Kanun’da özel nitelikli veri olarak sayılan bu tür verilerin işlenmesi, saklanması ve paylaşılması özel şartlara tabi tutulmuştur. Her ne kadar Protokolün uygulayıcısı kurumun Kanun’un 28’nci maddesinin birinci fıkrasının “ç” ve “d” bentlerinde yer alan istisna kapsamında kaldığı anlaşılsa da uygulanma alanı salt veri transferi olan bir Protokol’ün doğrudan bu alanı regüle eden Kanun’a hiçbir şekilde atıf yapmaması en basit ifade ile abes ile iştigaldir.
Protokolün ilgili mevzuatımızla birlikte değerlendirmesi gerektiği açık olup bu konuda 6698 sayılı Kişisel Verilerin Korunması Kanunu ve 108 sayılı Kişisel Verilerin Otomatik İşleme Tabi Tutulma Sürecinde Bireylerin Korunmasına İlişkin Sözleşme (kısaca “Sözleşme”), bu alandaki başlıca düzenlemelerdir. Türkiye, 28 Ocak 1981 tarihinde imzaya açılan Sözleşmeyi, 17 Mart 2016 tarih ve 29656 sayılı Resmi Gazete’de yayımlanarak iç hukuka dâhil edilmiştir. Günümüzde 108 sayılı Sözleşme olarak da bilinen Sözleşmenin temel amacı; her üye ülkede, uyruğu veya ikametgâhı ne olursa olsun gerçek kişilerin, temel hak ve özgürlüklerini ve özellikle kendilerini ilgilendiren kişisel nitelikteki verilerin otomatik yollarla işleme tabi tutulması karşısında özel yaşam haklarını güvence altına almaktır. Her iki düzenlemeye de hiçbir surette atıf yapmayan bu Protokol ise normlar hiyerarşisini yaralamaktadır.
Kişisel Verileri Koruma Kurulunun son dönemde aldığı kararlar düşünüldüğünde özellikle yurt dışına veri aktarımının üzerinde durduğu, bu konuda mevzuata uygun davranmayan veri sorumluları hakkında ağır denilebilecek cezalar verdiği görülmektedir. Bu husus ve tarafı olduğumuz 108 sayılı Sözleşme göz önünde alındığında yürürlüğe giren Protokol’ün istisna kapsamında olsa dahi bu düzenlemelere atıf yapmaması mevzuata uygun bir yurtdışına aktarım yapılıp yapılmadığı hakkında kamuoyunda soru işaretlerinin doğmasına sebep olmaktadır. Protokol’e eklenebilecek bir madde bu mesele rahat bir şekilde çözüme kavuşturulabilecek iken bu şekilde yürürlüğe girmesi; “eğer uygulanmayacak ise hukuki düzenlemelerin ne anlamı var” sorusunu doğurmaktadır. Bu soru ise kural koyucunun kurallarına uymasını talep etmekten öte bir anlam içermemektedir.