ADALET BAKANI BEKİR BOZDAĞ (Yozgat) - Sayın Başkan, saygıdeğer milletvekilleri; sözlerimin başında hepinizi saygıyla selamlıyorum.

Öncelikle, bugün akşam saatlerinde Ankara'da meydana gelen menfur terör saldırısında hayatını kaybeden vatandaşlarımıza Allah'tan rahmet, yakınlarına ve aziz milletimize başsağlığı diliyorum. Yaralı vatandaşlarımıza Cenab-ı Hak'tan acil şifalar temenni ediyorum. Meclisimizin bu terör saldırısı konusunda ortaya koyduğu ortak tavrın çok yerinde ve doğru bir tavır olduğunu ifade ediyor, bu tavra katılan bütün grupları bu yaklaşımlarından dolayı kutladığımı ifade etmek isterim. İnşallah, bundan sonra ülkemizde böylesine menfur terör saldırıları bir daha yaşanmaz.

Değerli milletvekilleri, görüşmekte olduğumuz kanun tasarısı, adı üstünde, Kişisel Verilerin Korunması Kanunu Tasarısı. Türkiye'de böylesi bir yasa bugüne kadar yoktu. Kişisel veriler Türkiye'de işlenmiyor mu? İşleniyor. Bazı özel yasalarda düzenlemeler var, o çerçevede işleniyor. Ama, kişisel verileri koruyan, korumanın esaslarını, usullerini belirleyen, yetkilileri, sorumluları tayin eden ve bu konuda vatandaşımıza yol gösteren bir mekanizma ülkemizde yoktu, bunun da sıkıntılarını çok çektik. 2010 yılında yapılan Anayasa değişikliğiyle herkesin kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahip olduğunu, bu hakkın kişinin kendisiyle ilgili veriler hakkında bilgilendirilmeyi, bu verilere erişmeyi, bunların silinmesini, düzeltilmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenme hakkını da kapsadığını açıkça ifade etti Anayasa hükmü ancak bunun uyum yasası çıkarılamadı. Bu yasa, bir anlamda bunun uyum yasasıdır.

Öte yandan, kişisel verilerin bugün hayatın her alanında kullanılmış olmasına rağmen bu verileri işleyenleri kontrol edecek, denetleyecek ve bu alanı düzenleyecek bir kurumsal yapı Türkiye'de yoktu, bu yasa o kurumsal yapıyı ihdas etmektedir.

Türk Ceza Kanunu'nun 135'inci maddesi hukuka aykırı verilerin işlenmesini suç olarak düzenliyor ancak kişisel verilerin işlenmesinin hukuka uygunluk hâllerini düzenleyen bir hukuk metnimiz yoktu, bu yasa bir anlamda bunun da anayasasını teşkil etmektedir. Türkiye'nin Avrupa Birliğine uyum sürecinde yapması gereken konulardan birisi, bu yasayla bir noktada buna da cevap vermiş olacağız.

Ayrıca, Türkiye'nin Avrupa bölgesel savcılık teşkilatı olarak bilinen EUROJUST ve Avrupa Polis Teşkilatı olarak bilenen EUROPOL'le operasyonel iş birliği anlaşması var fakat bu anlaşmanın gereğini bu anlamda bir kanunumuz olmaması nedeniyle yeterince yerine getiremiyor ve bu anlaşmadan yeterince istifade edemiyorduk.

Dışişleri Bakanlığımızın yabancı ülkelerden vatandaşlarla ilgili istediği askerlik, kimlik, vatandaşlık bilgileri veya o ülkelerin vatandaşlarıyla ilgili bilgilerin paylaşımında sorunlar yaşanıyordu.

Yine, Türk iş adamlarının yurt dışında yaptığı yatırımlar ve yabancı iş adamlarının Türkiye'de yaptığı yatırımlar nedeniyle kişisel veri paylaşımına ihtiyaç duyulması hâlinde, kanunun olmaması nedeniyle veri paylaşımı yapılamıyor, bu da pek çok ciddi sorunlara yol açıyordu. Bu ve benzeri pek çok ihtiyacı karşılamak gerekçesiyle bu kanun tasarısı Meclisimizin huzuruna getirildi.

Bu kanun tasarısının yola çıkış tarihi nedir biliyor musunuz? 1989. Türkiye, kişisel verileri koruma konusunda bir kanun hazırlamak üzere ilk komisyonu 1989'da kurmuş. Aradan tam yirmi yedi yıl geçmiş, bu tasarı bugün Genel Kurulun huzurunda. Çalışılmış, defalarca değişik hükûmetler komisyonları yenilemişler, komisyonlar çalışmalara devam etmiş. AK PARTİ iktidara geldikten sonra bu tasarı, 2006'da Bakanlar Kurulunun gündemine geliyor, 2008'de de ilk defa Türkiye Büyük Millet Meclisine geliyor ancak kanunlaşamıyor, kadük kalıyor. 2011'den sonra kanun tasarısı yeniden hazırlanıp Türkiye Büyük Millet Meclisine 2014'te gönderiliyor ancak seçim nedeniyle yasalaşmayıp kadük kalıyor, yine Genel Kurulun huzuruna gelemiyor.

Şunun için söylüyorum: Bu tasarı, belki de bu çatı altında görüşülen kanun tasarıları içerisinde en uzun süre konuşulan, en uzun süre tartışılan, en uzun süre istişaresi yapılan, sivil toplumla, Avrupa Birliğiyle, pek çok kesimle bir arayış neticesinde ortaya çıkan, müzakere sonucu ortaya çıkan bir kanun tasarısıdır. O nedenle, bu tasarıya dönük "Konuşulmadan, acele bir şekilde buraya geldi." yaklaşımı, bence, bu tasarının hikâyesine baktığımızda isabetli bir yaklaşım olarak durmamaktadır. Keşke her kanun tasarısı bu kanun tasarısı kadar istişare edilebilse, o kadar da zamanımız olsa ama bunun kadar istişare edilen kanun tasarısı sayısının ben çok da az olduğunu düşünüyorum.

Tasarı ne getiriyor diye baktığımızda; bu tasarı, bugün gerek kamu gerek özel sektörde kişisel verileri işleyenlerle ilgili, asgari Anayasa gibi, kişisel verileri işleme kurallarını ortaya koyuyor. Kişisel verileri işleyen, aktaran gerçek ve tüzel kişilerin uyacakları usul ve esasları belirliyor. Hangi kurallara tabi olarak, hangi şartlarda işleneceğini açık açık ifade ediyor. Veri işleme faaliyetini disiplin altına alacak, herkesi istediği veriyi kendi belirlediği şekilde değil, tasarıda öngörülen şekilde ve Kişisel Verileri Koruma Kurulunun belirlediği ilkeler çerçevesinde işleyecek bir disipline, Avrupa Birliği çerçevesinde bir standarda kavuşturmaktadır.

Bu tasarıyla ilgili büyük yanlışlıklar da yapılıyor. Nedir o? Bir: Bu kurumun, Kişisel Verileri Koruma Kurumunun sanki kişisel verileri işleyecek bir kurummuş gibi yanlış algısı var. Çok net ifade ediyorum: Kişisel Verileri Koruma Kurumu veya Kişisel Verileri Koruma Kurulu herhangi bir kişisel veri asla işlemeyecektir, kişisel verileri işleyecekler başkaları. Bu kurum ve kurul bunun denetimiyle ilgili ve bu konuyla alakalı şikâyet ve başvuruları denetlemek, gereğini yapmak, ilke ve esasları belirlemekle ilgili bir koruma, bir denetim, bir düzenleme kurumu ve kuruludur; bunu özellikle ifade etmek isterim. Ayrıca, kişisel verilerin Kişisel Verileri Koruma Kurulu nezdinde veya onların uygun göreceği yerde veya Kişisel Verileri Koruma Kurumunda bir havuzda toplanması diye bir şey de söz konusu değil. Böyle bir havuz yoktur, böyle bir havuzda toplanma kesinlikle söz konusu değildir çünkü bu kurumun kanunda görevleri açıktır, bunların arasında böyle bir şey yok. Her kurum, her gerçek, her tüzel kişi işlediği veriyi koruyacak, yasaların öngördüğü süre içerisinde saklayacak mekanizmaları kurmakla mükelleftir. Böylesi bir veri deposu asla söz konusu değildir, bunu burada özellikle ifade etmek isterim.

Şimdi "Bu kanun tasarısının getirdiği önemli ilkelerden biri, önemli yeniliklerden biri nedir?" derseniz kişisel veri sorumlusunun belli edilmesidir. Her kurumda, her tüzel kişi, her gerçek kişi kim kişisel veriyi işliyorsa orada mutlaka bir kişisel veri sorumlusu olacak. Bunun anlamı ne? Kişisel verileri işlenen kişileri aydınlatma yükümlülüğü bu kişisel veri sorumlusunda olacak. Kişisel verileri korumakla ilgili hangi kurumda, hangi yerdeyse Kişisel Verileri Koruma Kurulunun bu yasanın belirlediği çerçevede gerekli mekanizmaları kurma ve önleme için gerekli tedbirleri alma görev ve yetkisi de bunda olacak. Vatandaşlarımızdan herhangi birisi kişisel verilerle ilgili bir şikâyeti olduğu zaman, bugün kime müracaat edeceğini bilmiyor; kimin yakasından tutacak, kimden hesap soracak belli değil çünkü kişisel verilerden bir sorumlu yok. Hangi kurum işledi, Bakana mı soracak, müsteşara mı soracak, genel müdüre mi soracak, belli değil ama bu yasa tasarısıyla ilk defa vatandaşlarımıza yakasını tutacağı, hesabını soracağı, kapısını çalacağı bir kişisel veri sorumlusu getirilmektedir ve bu kişisel veri sorumlusu hesap verecek, vatandaşın sorduğu sorulara cevap verecek, vatandaşımızın taleplerini değerlendirecektir, son derece önemli bir görevi ifa etmektedir.

Değerli milletvekilleri, kişisel verilerin korunması bakımından önemli olan bir husus da hukuka uygun işlenmiş olmasına rağmen bu, hukuka uygunluk sebeplerinin ortadan kalkması, işlenme amaçlarının ortadan kalkması hâlinde bu verilerin yok edilmesi, silinmesi hususudur. Kişisel verilerin ne kadar süreyle muhafaza edileceği bu kanunda yazmıyor çünkü her veri için ayrı şeyler belli olabilir, onu, Kişisel Verileri Koruma Kurulu tayin edecek ve kamuya ilan edecek, aleni olacak, kişisel verilerle ilgili sorumlular bu süre dolduğu zaman resen bu verileri imha edecek, yok edecek. Eğer imha etmez, yok etmezse ilgili kişinin talebi üzerine de ne yapacak? Bu verileri yok edecek, silecek, imha edecek. Yapmadığı zaman bunun yasal müeyyideleri var, cezaları var bu tasarıda.

Ayrıca, insanlarımız, kişisel verileri var mı, yok mu diye öğrenmek için, şimdi farklı yerlere müracaat imkânı var ama somut bir muhatabı yok, şimdi muhatabını bulmuş olacak. "Benimle ilgili veri var mı, varsa neler? Amacı doğrultusunda kullanılıyor mu, kullanılmıyor mu?" Bakacak, amacı dışında kullanılıyorsa onunla ilgili tazminat hakkı, suç duyurusunda bulunma hakkı, pek çok hakkı var bu tasarıda, kurula şikâyet hakkı dâhil; bütün bunları kullanabilecektir. Eğer eksik bilgi varsa tamamlattıracak, yanlış bilgi varsa düzelttirecek, silinmesi gereken bilgi varsa bunu sildirebilecektir; bu da son derece önemli ve yeni bir haktır, vatandaşımızın imkânlarını, kişisel verilerini daha güvenceli bir şekilde koruma bakımından son derece önemli bir fırsattır.

Yine, şikâyet ve başvuru müessesesi burada düzenleniyor. Kişisel verilerle ilgili, vatandaşımız şikâyetini kişisel veri sorumlusuna yapacak, talebini ona iletecek. Gerekli cevabı alırsa mesele yok ama netice alamazsa Kişisel Verileri Koruma Kuruluna müracaat edecek. Kişisel Verileri Koruma Kurulunun kararı bağlayıcı, onun gereği de ilgili kişiler tarafından derhâl yerine getirilecektir. Bunun için bu tasarıyla güçlü bir Kişisel Verileri Koruma Kurumu ve Kişisel Verileri Koruma Kurulu kurulmaktadır.

Bu kurum idari ve mali özerkliğe sahip bir kurumdur. Kurumun bağımsızlığı sadece idari, mali özerkliğe sahip olmasıyla ilgili değil, aynı zamanda bağımsız görev yapmasıyla da alakalıdır. Şu anda bu kurum Başbakanlıkla ilişkili bir kurum olarak düzenleniyor tasarıda. Tam bağımsız, hiçbir yerle bağlantısız düzenleyebilir miydik? Anayasa'mızın 123'üncü maddesi idarenin bütünlüğü ilkesini düzenlediği için, Anayasa'ya göre hiçbir yerle bağlı olmayan idari yapı içerisinde bir kurum kurma imkânı maalesef yoktur. Şu anda bizde bağlı kuruluşlar var, ilişkili kuruluşlar var. Bağlı kuruluşlar, esasında hiyerarşik bir yapıyla bağlılığı ifade ediyor ama ilişkili kuruluş ise hiyerarşik yapı dışında esnek bir ilişkiyi ifade ediyor. Esasında, sadece görüntüde bir bağlılığı, özde ise tam bağımsızlığı ifade ediyor. Bu kurum kendi bütçesini kendi hazırlayacak, ne Maliye Bakanlığının ne de bir başkasının denetimine sunmadan doğrudan Türkiye Büyük Millet Meclisine sunacak ve Türkiye Büyük Millet Meclisinin onayından sonra da kendi bütçesini dilediği gibi harcama imkânına sahip olacaktır. Bu açıdan da bu kurum önemli bir güce sahiptir.

Kurumun Başkanı ve kurumun üyeleri bağımsız bir şekilde görevlerini yapacak. Görev süresi içerisinde üyelerden herhangi birinin görevden alınması söz konusu değil, tasarı görevden alınamayacağını açık açık düzenliyor. Görev yaparken herhangi bir makam, merci veya kişinin bu kurula emir, talimat, tavsiye ve telkinde bulunamayacağı açıkça ifade ediliyor. Bütün bunlar bu kurulun görevini bağımsız ve tarafsız bir şekilde yapması için yasaya konulmuş güvencelerdir. Kurumun başkan ve üyeleriyle ilgili bir suç isnadı olduğu zaman soruşturma izninin verilmesinin Başbakanın iznine tabi tutulması eleştiri konusu yapılabilir ama bu bir güvencedir. Neden güvence? Kurulun başkanı ve üyeleri görevlerini daha rahat bir şekilde yapsınlar, tarafsız, bağımsız, baskısız yerine getirsinler diye onlar açısından bir başka teminat olarak düzenlenmiştir. Bu da son derece önemlidir çünkü bizim idari yapımız içerisinde soruşturma izni genellikle zaten belli amirler tarafından verilmektedir, istisnai suçlardan da doğrudan soruşturma yapılabilmektedir.

Bu yasada önemli bir husus da istisnalar konusudur. Belki ileriki zamanda konuşulacak ama istisnalarla ilgili birkaç hususu burada ifade etmekte fayda görüyorum. İstisnalar sınırlı sayıdadır, bu istisnaları yasamızın ilgili maddesine dercederken hem bu konudaki mevcut yürürlükteki direktifi hem önümüzdeki günlerde yürürlüğe girecek olan taslak direktifi inceledik hem de AB yetkilileriyle bu konuda görüşmeler yaptık. Bütün bunlar çerçevesinde, ayrıca mukayeseli hukuku da inceleyerek oralarda bu konular nasıl düzenlenmiş, onlara da bakmak suretiyle yasaya bu maddeyi yazdık. Şimdi, burada deniyor ki: "İstisnalar var, bunlar herkesle ilgili kişisel verileri bu kanunun kurallarına tabi olmaksızın tutabileceklerdir." diye bir eleştiri var. Bu eleştiri şu yönüyle doğru: Bu kanunun istisnalarına bunlar tabi olmayacak ama kim bunlar?

Baktığınız zaman bir tanesi Millî İstihbarat Teşkilatı. Dünyanın hiçbir ülkesinde millî istihbarat teşkilatlarının kişisel veri işlemesi konusunda sınır koyan bir ülke yok. Eğer bir ülke var, Türkiye o ülkeyi örnek almıyorsa o zaman Türkiye'yi eleştirebilirsiniz, başkaları da eleştirebilir. Dünyanın her yerinde güvenlikle ilgili, millî güvenlikle, kamu güvenliğiyle ilgili konularda istisnalar var, direktifte istisnalar var, ilgili yasalarda istisnalar var. Biz bu yasalardaki istisnalara, direktifteki istisnalara uyduk. Şimdi, bir istihbarat teşkilatını düşünün, veriye ulaşamıyor; böyle bir istihbarat teşkilatı olabilir mi, vazifesini yapabilir mi? Onun için, bu, bir zaruretten, ülkenin güvenliği için, hepimizin huzur ve güvenliği için, istihbarat teşkilatımızın görevini rahat yapabilmesi için konulmuş istisnadır.

Öte yandan, biri, gazetelerimizin özgürce faaliyette bulunması, üniversitelerimizin araştırma yapması, TÜİK ve benzeri anket yapan yerlerin anketlerini rahatlıkla yapabilmesi için getirilmiş istisnalardır. Eğer biz bu istisnaları getirmemiş olsak üniversitelerin araştırma yapma imkânı, gazetelerin haber ve yorum yapma imkânı önemli ölçüde sınırlanmaktadır; bu onların daha rahat görev yapması için getirilmiştir ancak hem bilimsel araştırma hem basın özgürlüğüyle ilgili konuda da ayrıca pek çok kısıt da bu yasanın içerisine konmuştur. Bu istisnalar zaruretten dolayı konan istisnalardır, bunu özellikle burada ifade etmek isterim.

Sürem doluyor. Sözlerimin sonunda şunu ifade etmek isterim: Bu yasa tasarısı bir fişleme yasa tasarısı değildir. Bu yasa tasarısı, fişlemelere son verme, fişlemenin panzehiri bir yasa tasarısıdır. Kim derse ki bu tasarıya "Fişleme tasarısıdır." insafsızlık yapıyor, bu tasarıya karşı haksızlık yapıyor, bu düzenlemeye haksızlık yapıyor.

AYTUĞ ATICI (Mersin) - Ben diyorum.

ADALET BAKANI BEKİR BOZDAĞ (Devamla) - Fişlemelere son vermek, insanların kişisel verilerinin haksız hukuksuz bir şekilde işlenmesini ortadan kaldırmak ve kişisel verilerin yasal düzeyde -Anayasa'da olduğu gibi- korunmasını sağlamak için bir düzen kurulmaktadır.

(Mikrofon otomatik cihaz tarafından kapatıldı)

BAŞKAN - Mikrofonunuzu açıyorum, sözlerinizi tamamlayınız Sayın Bakan.

ADALET BAKANI BEKİR BOZDAĞ (Devamla) - Bu yasanın getirdiği yeni düzenin hepimiz için, milletimiz için hayırlı olmasını diliyor...

AYTUĞ ATICI (Mersin) - Hayırlı olmaz Sayın Bakan, hayırlı olmaz.

ADALET BAKANI BEKİR BOZDAĞ (Devamla) - ...Parlamentomuzun bu yasaya vereceği katkılara şimdiden teşekkür ediyor, yüce heyetinizi saygıyla selamlıyorum. (AK PARTİ sıralarından alkışlar)