AB üye devletlerinin Web 2.0 çağının gerçeklerine hitap edebilmesi için veri korunması çerçevesini reforme etmeleri gerekir. David Erdos yazıyor.
1960’ların sonundan itibaren veri korunması (VK) düşüncesi, özellikle Avrupa’da olmak üzere bilgisayar kullanımın herhangi bir düzenlemeye tabi olmamasının bireylerin kendi kendilerini idare etme haklarına, saygınlıklarına ve mahremiyetlerine kabul edilemez bir tehdit oluşturabileceği korkusuna karşı tepki olarak gelişti. Yasal olarak bağlayıcı ilk uluslararası VK dökümanı olan Avrupa Konseyi Sözleşmesi’nin son halini almasından bu yana otuz yıldan fazla zaman geçti. O dönemde bilgisayarların yaratabilecekleri riskler, özellikle de İngiltere ve ABD’de, büyük ölçüde varsayıma dayanıyordu. Ayrıca VK, büyük kamu ve özel kurumlarda uzmanlık gerektiren sistemleri yöneten uzmanlara bırakılan teknik bir konuydu.
O zamandan bu zamana durum önemli ölçüde değişti. Bugün bilgisayarların gücü, hem iyi hem de kötü anlamıyla, çok geniş olmakla kalmayıp her yere nüfuz eder hale geldi. Bugün dizüstü bir bilgisayara erişimi olan herhangi bir birey, otuz yıl evvelki en gelişmiş endüstriyel makinelere kıyasla çok daha fazla işlem gücüne sahip. Ayrıca bu kişi internet aracılığıyla bilgiyi anında ve geriye dönüşü olmayan bir şekilde başkalarına aktarabiliyor, bu bazen kötü sonuçlara yol açsa da. Bu arada Google gibi internet devleri, bireyleri geçmişleriyle başbaşa bırakan ya da en azından saklanacak hiçbir yer kalmadı hissiyatı uyandıran ve her geçen gün daha da karmaşık hale gelen ürünleri geliştiriyorlar. Şahsi verilerin daha etkin ve gerçekçi bir şekilde korunması için hiçbir zaman bu kadar sağlam bir gerekçe olmamıştı. Ve bu giderek daha da büyüyen bir sorun olacak.
Tam da bu bağlamda, Avrupa Komisyonu yakın zamanda bu konuyu Avrupa Birliği bazında kontrol altına almak için Veri Korunması Yasası’nı önerdi. Bu yasa, 1995’te geçen Veri Korunması Yönergesi’nde (ve yukarda bahsi geçen sözleşmede) özetlenen mevcut yasal çerçeve üzerinden geliştirildi. Ancak yeni yasa, daha yüksek düzeyde bir genel korumayı getirirken, çeşitli ulusal yaklaşımları için fazla alan bırakmıyor ve daha ziyade kuralların etkili bir şekilde uygulanmasını sağlamaya çalışmaya daha büyük bir önem veriyor.
Fakat önerilen yasa paketinin en temel sorunu, mevcut rejimin yol açtığı çifte yapısal problemlere çözüm getirememesidir. Bu sorunlar yasanın çok geniş bir alanı kapsaması ve genellikle ‘‘kamu makamlarına ve engellemelere takılmadan bilgi ve düşünceleri alma ve paylaşma’’ hakkına gereğinden fazla küffetli bir şekilde genel sınırlandırmalar getirmesidir (10. Madde, Avrupa Sözleşmesi). Öyleyse hem halihazırda mevcut olan hem de önerilen AB planı, kimliği belirlenmiş ya da belirlenebilir her bireyle ‘‘ilgili’’ ya da ‘‘alakalı’’ tüm bilgiler için geçerli olacaktır.
Bunun hatta yazar ve kitap adı gibi kütüphane kataloglarında yer alan zararsız kamusal bilgileri bile içerebileceği söyleniyor (Ticker, 2001, p. 7). Bu kamusal bilgiler arasında ölen şahısların bilgileri ve bir şekilde kimliği saptanabilir kişilere ait canlı olmayan nesneleri, örneğin apartmanları da kapsayabilir (İngiltere, ustalaşmış bir yasa tasarlama ve sağlam bir hukuki yorumlama geleneklerinin birleşimi sonucu bu oldukça kapsayıcı yaklaşımdan bugüne kadar pek etkilenmedi – ancak bunun gibi geçiçi bir çözüm, uyum yasaları altında kesinlikle mümkün olmayacaktır).
Bilgilerin işleme konmasını idare eden genel kurallar da eş derecede muhteşemlikten uzak, fakat yasalar aracılığıyla daha da güçlü hale gelecekler. Bu suretle 14. Madde, veri öznelerinden bilgi toplanırken dokuzdan daha az olmamak kaydıyla farklı bilgilerin sunulmasını şart koşuyor. Bu durumda birinin fotoğrafını çekmek dahi bunun gibi amaçlarla doğrudan bilgi toplanması anlamına geliyor (s. 21). Dahası 5. Bölüme göre, veri öznesinin vereceği anında ve iptal edilebilir rıza olmaksızın, komisyon tarafından ‘‘yeterli düzeyde (veri) korunmasına’’ sahip olmadığına kanaat getirilen ülkelere bilgilerin aktarılması genellikle ulusal veri koruma otoritesine en azından bir uyarı gönderilmesini ve çoğunlukla onay istenmesini gerektirecek.
Bu arada siyasi görüşler, din ve inançlar ya da ırk/etnik köken (çeşitli Avrupa mahkemeleri renkli fotoğrafların da buna dahil olmasını önerdiler) gibi şahsi veri kategorilerini gösteren bilgilerin işleme konulması, veri öznesi anında ve geri alınabilir bir onay vermediği ya da veri kendisi tarafından ‘‘alenen kamusal alana konulmadığı’’ durumlarda genellikle yasaklanacaktır (özellikle de ikincisinin yol açtığı gerginlikler düşünülürse, bireylerin kamusal alandan bu bilgileri daha sonra geri çekebilmelerinin de önü açılmış oluyor). Tabii ki bu değişiklerin çoğu var olan çerçevede kendilerine zaten yer bulabiliyorlar. Öyleyse nasıl oluyor da bilgi işlem yapan pek çok özel şirket bunları yapmaya devam etmekle kalmayıp, önemli ölçüde büyümeye devam ediyorlar?
Aslında esas olan ama çok da hoş olmayan bir doğru da en başından beri bu yasaların düzenli olarak ve çoğunlukla da mecburiyetten göz ardı edilmesi, yanlış uygulanması ya da bundan kaçınılmasıdır. Profesör Lucas Bergkamp’ın etkileyici bir şekilde öne sürdüğü gibi, ‘‘Avrupa endüstrisi bu rejim altında hayatta kalabildi çünkü yasanın uygulamaya konulması oldukça gevşekti. AB tarafında şimdiki haliyle ortaya konan veri korunması yasası yanlış bir mantığa dayanıyor’’ (2001, p. 31). Fakat her şekilde başarısız ve istikrarsız olan bu geçici anlaşma büyük baskı altında olacaktır. Çünkü bu çerçevenin çeşitli kısımlarını ihlal edenlerin cezalandırılmasını öneren yasa taslağına göre, cezalar 1 milyon avroya ya da şirketin tüm dünyadaki kazancının %2’sine çıkabilecektir (ki bu durumda Google ve Facebook gibi toplamda 1 milyon avrodan çok daha fazla kazancı olan dev şirketler için bu miktar çok daha fazla olacaktır).
Bu noktada böylesi bir güçlüğü dengelemek adına 83. Madde, AB üye ülkeleri ‘‘şahsi verilerin korunması hakkı ile ifade özgürlüğünü kurallarını uzlaştırmak adına sadece haber amaçlı ya da sanatsal ve edebi amaçlarla yapılan’’ bilgi işlemler için istisnalar sağlamalıdır diyor. (82. Madde’de kayda değer bir şekilde daha sınırlı istisnalar ‘‘araştırma’’ için zorunludur ve 21.1. Madde’de ‘‘başkalarının özgürlüğü ve hakları’’ için isteğe bağlıdır. 121 numaralı Rapor’a göre 83. Madde kapsamındaki istisnalar ‘‘bu temel hakları dengelemek amacıyla gerekli’’ olanlar olmalıdır. Ancak iki temel sorun aynen devam ediyor. İlk olarak hangi aktivitelerin ‘‘sadece’’ haber nitelikli, sanatsal ya da edebi sayılabileceği oldukça belirsiz. Avrupa Adalet Divanı’nın 2008’in sonlarında verdiği bir karardan yola çıkarsak, 121 numaralı Rapor bu terimlerin oldukça ‘‘geniş’’ yorumlanması gerektiğini söylüyor.
Ancak Avrupa Adalet Divanı’nın bu müdahalesinden sonrasında dahi, akademik araştırmalar, siyasetçiler tarafından verilen konuşmalar, değerlendirme siteleri, haritalandırma servisleri ve araştırma motorları gibi oldukça büyük farklılık gösteren aktivitelerin bu korumalardan yararlanıp yararlanamacağı konusunda Avrupa’da bir mutabaka varıldığı söylenemez. Hatta daha da sorunlu olanı, veri korunmasıyla ilgili şimdi geçerli olan istisnalar AB ülkeleri arasında bile büyük derecede farklılık gösteriyor. AB ülkelerin yaklaşılk %20’si bu alanda –ifade özgürlüğü – neredeyse hiçbir istisna gözetmiyor, yani bu ülkelerde ifade özgürlüğü daha yaygın bir biçimde bu yasaları uygulamaya koymayarak yola devam ediyor. Diğer bir %20’lik bölümdeyse, yasalar veri korunmasından neredeyse tamamen muaf tutuluyor –bilgilerin uygun olmayan biçimde yayılmasının veri özneleri üzerinde yaratabileceği büyük zarar düşünüldüğünde pek de hoşgörülmeyecek bir liberallik durumu.
Bu arada, çevrimiçi gerçekleşen bariz ifadelere hangi ulusal yasaların uygulanabildiğini belirlemek daha da güç hale geliyor. 1995 çerçevesinin mimarları büyük ihtimalle aşırı uçtaki bu iki çözümü planlamamıştı. Ancak buna rağmen, böyle devam etmelerine izin verilmişti. En azından şu anki haliyle, bu alanda yapılacak yasa düzenlemelerden sonra daha da açık olmayacaktır. Aslında sosyo-teknolojik değişiklerin yarattığı ve gittikçe büyüyen sorunlar düşünüldüğünde, veri korunması ile ifade özgürlüğü arasındaki çatışma daha da kötü bir hâl alabilir.
Bunların hiçbiri, kitlesel ifade çağında bireylere gayri resmi ve uygun bir koruma sağlanması görevinin önemsiz olduğu anlamına gelmemelidir. Aksine, bu mesele tam da çok önemli olduğu için yasa tasarısıyla ilgili güncel tartışmalarlarda, AB üye ülkeleri çağın gereklerine uyum sağlayabilmek ve bu sayede güçlü ve etkili bir veri korunması çerçevesi kurabilmek için halihazırdaki çerçeveyi temelden değiştirme yolunda karar almalıdırlar. Bu yasanın kapsamının daraltılması, özellikle de külfetli hükümleri çıkartılması ve bazı icraatler için (ve hatta kamusal ifade biçimleri de dahil olmak üzere) yasada verilen istisnaların gerçekten uygun olduğuna emin olunması gerektiği anlamına geliyor. Böyle bir görev Herkül gibi kuvvetli olmayı gerektirir, çünkü veri korunması için durum her zaman böyleydi. Ancak Web 2.0 çağında hayatın karmaşık gerçekleri de bundan daha aşağısını kabul etmeyecektir.
David Erdos, Oxford Üniversitesi Sosyo-Hukuki Çalışmalar Bölümü’nde ve Balliol Koleji’nde hukuk araştırmacısı ve siyaset bilimcidir. Özel hayatın korunması ve veri korunması yasası incelediği başlıca konulardır. Oxford Üniversitesi’ndeki pozisyonu Leverhulme Vakfı tarafından sağlanmaktadır.
reply report Report comment
I believe one of the most difficult circumstances is just how quickly technology is progressing. How or when will legislation ever catch up to what is needed within the moment?
I believe the time it takes for legislations to deal with such issues could perhaps lead to an even bigger debate about how and if democracy is a system meant for the future and if it is even the best system (as that is a widely given assumption). Because with the length it requires to pass laws, etc.- some writings never see the light of day. And once they do, they don’t matter anymore. There’s just not enough time within US government positions to actually focus on the issues.
I also would like to discuss how challenging it might be to set up a legislation for the future concerning technology and privacy, simply because of how it will be interpreted. For in order to meet the requests of so many different internet outlets, for example, would most likely require a legislation based on an ambiguous pretence.
It could take years, decades even, for this current legislation to be challenged enough for it to become the power-for-good that it needs to be- and by then, would it be too obsolete and overshadowed by another issue that requires greater attention concerning data protection and freedom of expression?