Geçen yılın en güzel haberlerinden biri, Yıldız Holding’in United Biscuits’i satın almasıydı. Böylece Ülker’e Avrupa’da 11, Nijerya, Hindistan ve Suudi Arabistan’da da 1’er olmak üzere toplam 14 fabrikalı bir kardeş gelmiş oldu. Bir Türk şirketinin küresel bir operasyon zinciri kurması benim için son derece mutluluk verici bir haber. İçinden değer zinciri geçmeyen bir ülke olmaktan böyle böyle çıkacağımızı düşünüyorum. Sevindim doğrusu. Ama sonra aklıma bir nokta takıldı. Yıldız Holding, ileriye yönelik bir analiz yapmak için United Biscuits’in 7 binden fazla çalışanının kişisel verilerini Türkiye’ye getirip üzerinde analiz yapabilir ve de bir rapor hazırlayabilir mi? Hemen cevap vereyim: Hayır, yapamaz. Çünkü Türkiye hala kişisel verilerin güvenliği ile ilgili bir yasayı meclisten geçirmedi. Peki, şimdilerde Anayasa Komisyonu’nda görüşülmekte olan Adalet Bakanlığımız tarafından hazırlanmış “Kişisel Verilerin Güvenliği Kanunu” çıktıktan sonra, Yıldız Holding, sahip olduğu bir şirkete ait kişisel verileri Türkiye’ye getirip inceleyebilir mi? Yasa taslağı, eğer şu anda komisyona getirildiği gibi aynen yasalaşırsa, korkarım, o verileri Türkiye’ye getirip inceleyebilmek yine mümkün olmaz. Gelin bakın neden?

Türkiye’den neden hiç küresel değer zinciri geçmiyor? Benim gördüğüm, pek çok nedenin yanında, Türkiye’nin yasal altyapısı küresel bir operasyon kurmaya elverişli değildir. Önce size son derece basit bir örnek vereyim, müsaadenizle. Mesela küresel faaliyet gösterecek bir kurum oluşturmak istiyorsunuz. Başka ülkelerden katılımcıları yönetime alacaksınız ki küresel olsun, herkes operasyonu desteklesin ve katkı versin. Malum G20 sürecinin içindeyiz, küresel gündeme alışmaya çalışıyoruz. Olur ya, ihtiyaç olur. Türkiye’de küresel operasyon gerçekleştirecek bir kurumu zor oluşturursunuz. Baktım, oradan biliyorum. Türkiye’de öncelikle “kar amacı gütmeyen şirket” diye bir düzenleme yoktur. Aradınız taradınız, sonunda, diyelim ki, bir vakıf kurmaya karar verdiniz. Küresel operasyon yürütecek bir vakfı yine Türkiye’de zor kurarsınız. Türkiye’de, Türk yasalarına göre kuracağınız vakfın yöneticilerinin yüzde 51’inin ya Türk vatandaşı olması ya da Türkiye’de yerleşik olmaları gerekir. Neden? Toplantılara gelebilsinler diye. Bu çağda! Dünyanın artık küreselleştiğini ve işlerin küresel ölçekte yapıldığını, memleketin Adalet Bakanlığı, mahkemeleri ve de idarenin kolluk güçleri daha tam olarak duymamışlardır. Altyapımız müsait değildir.

Şimdi geleyim şu kişisel verilerin korunması hadisesine. 2001’deki 9/11 hadisesinden sonra Las Vegas’ın başlattığı reklam kampanyasının sloganını hatırlıyor musunuz? Kampanyanın sloganı, “Burada olan, burada kalır” (What happens here, stays here)’dı. Hâlbuki o yıllarda bile Vegas’ta olanın, Vegas’ta kalmasının mümkün olmadığı bir yeni dünyada yaşıyorduk. Ed Snowden hadisesi, istihbarat örgütlerinin bizi dinlediğini ve hayatımızı nasıl didik didik ettiğini ortaya koydu. Oysa ona bile gerek yoktu. Zira hayatımızın her alanına ilişkin her tür bilgi, internet üzerinden yaptığımız her işlemle birlikte rahatlıkla izlenebiliyor. Kredi kartı kullandıkça, herhangi bir internet sitesinden alışveriş yaptıkça, ne okuduğunuzu, ne seyrettiğinizi, ne yazdığınızı, ne ilaç kullandığınızı, nelerle ilgilendiğinizi, ne tür meraklarınız ve de zaaflarınız olduğunu, ne tür hastalıklarınız olduğunu herkes biliyor. Bilmekle kalmıyor, üzerine analiz de yapıyorlar. İşte tam da bu nedenden, internet ekonomisi büyürken, bir taraftan da kişisel verilerin analizi ile ilgili bir yasal çerçeve gerekiyor.

Diyelim ki yurt dışında şirket alıyorsunuz ve bu şirketin çalışanları ile bu şirketle internet üzerinden iş yapan müşterilerin kişisel verileri üzerinden analiz yapıp sonuç çıkartmak istiyorsunuz. Ne gerekiyor? Kişisel verilerin güvenliği yasası. Avrupa’nın kabul ettiği normları taşıyan bir kişisel veri güvenliği düzenlemeniz yoksa Avrupa’da kurulu bir şirketi satın alsanız bile, o şirketin çalışanlarının ve müşterilerinin kişisel verilerini Avrupa dışına çıkartıp analiz edemezsiniz. Ederseniz suç işlersiniz. Böyle bir ülkenin şirketleri küreselleşemez. O ülkeden küresel değer zinciri zor çıkar.

Peki, meclisteki düzenleme taslağı neden amaca uygun değildir? Gayet basit bir nedenle: Kanun taslağında, tanımlanan Kişisel Verileri Koruma Kurulu, bağımsız idari otoritesi geleneğine uygun değildir. Doğrudan siyasi otoritenin denetimine açıktır. Avrupa Birliği Veri Koruması Direktifi’nin tanımladığı gibi tam bağımsız çalışamaz. Taslağa göre, Kurul’un 7 üyesinin hepsini Bakanlar Kurulu belirlemektedir. Nedir? Kurul, siyaseten bağımsız değildir. Giderler, Adalet Bakanlığı Kişisel Verileri Koruma Genel Müdürlüğü bütçesinden karşılanacaktır. Nedir? Kurul’un mali bağımsızlığı yoktur. Hatta bu kurul Genel Sekreterini kendisi seçememekte, Genel Sekreter, Bakan tarafından atanmaktadır. Nedir? Kişisel Verileri Koruma Kurulu’nun idari bağımsızlığı da yoktur. O vakit, verdiği kararların bir hükmü de olmaz. O kurul, kimseyi kimseden koruyamaz. Beni siyasetten koruyamayan kurul bir işe yaramaz.

Yani bu düzenleme amaca uygun değildir. Ülker, United Biscuits verilerini, bu düzenleme sayesinde Türkiye’ye getiremez. Ancak İngiltere’de inceleyebilir ya da ayrıca izinlerle uğraşması gerekir. Burada yasal koruma yoktur.

Kişisel verilerin güvenliği ile ilgili düzenleme böyle çıkarsa, 17’inci Türk devleti bir cihan devleti olmadığını herkese bir kez daha ilan etmiş olur. Ben yakınlarda, “Türkiye bildiğimiz dünyanın kıyıcığındadır” diye bir yazı daha yazarım. United Biscuits ile Türk girişimcileri sayesinde duyduğum heyecan, miyop Türk siyasetçileri sayesinde her zamanki gibi ortadan kalkar. Olur biter.

*TEPAV'ın İstanbul Bilgi Üniversitesi ile birlikte hazırladığı "Türkiye'de Kişisel Verilerin Korunmasının Hukuki ve Ekonomik Analizi" raporu için tıklayınız.

Bu köşe yazısı 16.01.2015 tarihinde Radikal Gazetesi'nde yayımlandı.