Başlangıç Noktası, İnternet’in 30. yaş gününü kutlamamız şerefine kaleme aldığı “Yeni Bir İnternet” isimli kısa bildirisinde şu ifadelere yer vermişti:
“Dünyanın en büyük fizik laboratuvarı, İsviçre’deki CERN’de HTML dilini geliştiren ve 1991 yılında (“Information Management: A Proposal” ismi ile taslak teklif ilk kez 1989 yılında yapılıyor) sayfaları “hyperlink”ler (bağlar) kullanarak birbirine bağlayan ve böylece teknik olarak ilk web sitesini yapan Sir Tim Bernes-Lee bugün 65 yaşında ve yola çıktığı zamanki internetin doğru yolda devam ettiği konusunda hayli kuşkulu. Özellikle sosyal medyanın yarattığı “gerçek ötesi” toplum algısından çok bunalmış olacak ki, tüm dünyayı daha dürüst ve doğru çalışan bir “internet sözleşmesi”nin paydaşı olmaya çağırıyor.
Southampton üniversitesinden Kieron O’Hara ve Wendy Hall de internetin dört ayrı dünyasından bahsediyor. John Perry Barlow’un (aynı zamanda Grateful Dead’in eski söz yazarı) hayal ettiği – 1996 yılı Davos buluşmasında “Bağımsız Siberuzay Bildirgesi” ile duyurulan, ucu anarşiye kadar varabilecek her şeye “açık internet”, Alman filozof ve politika bilimci Jürgen Habermas’ın değindiği ve otokratik ülkelerin sansürle birlikte gözetleyen “baskıcı internet”, Avrupa Birliği ilkelerine uygun yapıda şekillenen “denetimli internet” ve parayı verenin daha çok hizmet alabileceği “kapitalist internet”. Kuşkusuz, ne Barlow’un, ne de yolun başındaki internetin kurucu babalarının beklemediği bir gelişmeydi bu…”
Şekilden şekle girse de internet çoktan çoğa iletişim özelliğiyle endüstri sonrası toplumun en önemli değişim aracı oldu. Bilgiyi bir kıt kaynak olma özelliğinden çıkardı ve 2000’li yıllara damgasını vurdu. Aynı zamanda da toplumları hazırlıksız yakaladı. Açığa çıkan yoğun enerji miktarı güzel, doğru, çirkin, kirli, yanlış her türlü bilginin freni kopmuş bir şekilde yayılmasına neden oldu. Toplumun tabularını yırttı ve alışılagelmiş kuralları altüst etti. En basit örneğiyle, ancak kahve köşelerinde fısıltıyla ifade edilen ve insanların tüylerini diken diken edebilecek söylemlerin yayılarak toplumlar düzeyinde kimlik bulmasını sağladı…
Kişisel verilerin korunmasına ilişkin ilk yasal düzenleme 1970 yılında Almanya’nın Hessen eyaletinde yapıldı ve ilk ulusal yasa da 1973’te İsveç’te çıkarıldı. 1981 yılındaysa Avrupa Konseyi nezdinde uluslararası bağlayıcılığı olan ilk metin, 108 sayılı Sözleşme olarak imzaya açıldı. Sözleşme, taraf devletlere söz konusu ilkeleri iç hukuklarına aktarma zorunluluğu getirdi.
1993 yılında yürürlüğe giren Maastricht Anlaşması’yla Avrupa kişilerin, hizmetlerin, sermayenin ve malların serbestçe dolaştığı bir bölge konumuna geldi ve böylece kişisel verilerin korunmasında uyumlulaştırma gereksinimi pekiştirildi.
1993 tarihli anlaşmadan sonra 1995 yılında kişisel verilerin korunması konusunda AB düzeyindeki en önemli düzenleme hayata geçirildi. 95/46 Sayılı Kişisel Verilerin Korunması Hakkındaki Direktif, Avrupa Birliği’ne dâhil tüm ülkelerin kişisel veri işleme ve korunma süreçlerinde uygulayacağı temel esasları belirledi. Bu direktife göre ülkelerin Kişisel Verilerin Korunması Kanunları oluşturuldu veya revize edildi.
İnternetin ve sosyal medyanın geldiği yeri göz önüne alan Avrupa Birliği, verinin ekonomik değerine dayalı kapsamlı bir değişikliğe gitmeye karar verdi ve 2010’ların başında Genel Veri Koruması Regülasyonu (General Data Protection Regulation – GDPR) üzerinde çalışmaya başlandı. Bu çalışmalar uzun tartışmaların neticesinde sonuca erdi. GDPR, Avrupa Birliği’nde 24 Mayıs 2016 tarihinde Avrupa Birliği Resmi Gazetesi’nde yayımlanarak yürürlüğe girdi ve 24 Mayıs 2018 tarihi itibariyle de uygulanmaya başlandı.
GDPR’ın uygulanmaya başlamasıyla birlikte dünyada bu alanda uygulanan en kapsamlı hukuki düzenlemenin veri temelli ekonomiyi nasıl etkileyeceği, dönüştüreceği daha detaylı konuşulmaya başladı. GDPR, ilk defa hukuktaki yetki kurallarını bu derece ağır bir şekilde dönüştüren bir düzenlemenin kapısını açtı. Artık AB pazarını hedefliyorsanız ve hedeflediğiniz bu pazarda hizmetlerinizi sunuyorsanız, belli şartlar içerisinde AB sınırları içinde yerleşik olup olmadığınıza bakılmaksızın GDPR kuralları sizlere uygulanabilir hale geliyor. Bu da “genişletilmiş yetki kapsamı” (extra-terristorial scope) tartışmalarını gündeme taşıdı. Avrupa Veri Koruması Kurulu (European Data Protection Board – EDPB) yayınladığı taslak rehberi görüşe açarak genişletilmiş yetki kapsamından ne anladığını, GDPR’ın bu maddesinin nasıl uygulanacağını örneklerle açıkladı.
Genişletilmiş yetki kapsamı dışında GDPR sadece AB ve AB içerisinde ticari faaliyetleri etkileyen bir düzenleme olmaktan çıkarak AB dışı dünyadaki veri koruması hukuklarını şekillendiren, onları dönüştüren bir düzenleme halini aldı. Özellikle Avrupa Birliği’nin yetkili makamlarının AB dışındaki ülkeler için verdiği “eş değer veri korumasına sahip” (adequate level of protection) ülke kararı (kısaca “Adequacy Decision”) ilgili ülkelerde GDPR benzeri bir veri koruması kanunu olmasını aradığı için, bu kararı almak isteyen ülkeler kendi iç hukuklarını da GDPR’a benzetmeye/uyarlamaya çalışıyorlar.
Daha sonra da değineceğimiz gibi, veri temelli ekonomi anlamında “kişisel verilerin korunması” alanında yaşanan bu gelişmelerin yanında “verinin ekonomik değeri” (Bkz. Ürün Bedavaysa, Ürün Sizsiniz) ve bu ekonomik değerin hukuken dolaşımı noktasında da önemli gelişmeler var. Veri ve dijital dünya üzerinde kişisel mülkiyetin sonunun gelip gelmediğini, bu çerçevede fikri mülkiyet ve mülkiyet hakkının bu “sahipsizlik” teoremi içerisinde nasıl okunması gerektiğini analiz eden çalışmalar olduğu gibi, yeni teknolojiler ve iş modelleri özelinde kullanıcılara verileri üzerinde daha fazla hak sahibi olması gerektiğini ve bu hakkın tipi – kullanım biçimleri etrafında teoriler getiren çalışmalar ve tartışmalar da var.
Veriyi, bir başka deyişle veri temelli ekonomiyi kontrol eden platformların güçlerinin düzenlemeler yoluyla sınırlandırılması konusu bu günlerde çokça tartışılan ve önümüzdeki yıllarda da çokça tartışılacak konular arasında. Özellikle rekabet hukuku bakımından bu platformların sahip oldukları veri ve bu verileri işleme gücü bakımından tekel veya hâkim durum oluşturması ve bunların diğer disiplinlerle olan ilişkisi masaya yatırılıyor.
Avrupa Birliği başta olmak üzere son zamanlarda düzenlemelerin konusu yapılan konulardan biri de içerik regülasyonları ve içerik regülasyonları ile bu içeriklerin yayınlandığı başta sosyal medya platformları olmak üzere bu platformların sorumluluk rejimi. Yaklaşık 20 yıla yakın bir süredir uygulanan temel mantık, aracı konumunda olan bu sitelerin hukuka aykırı içerikten haberdar edilmeden bu içerikten sorumlu tutulamayacakları ve hukuka aykırı içeriği tespit etmek için aktif bir özen sorumluluğu göstermeyecekleri yönündeydi. Oysa Avrupa Birliği Komisyonu tarafından çevrimiçi ortamda terörist içeriklerin yayınlanmasıyla mücadele edilmesi ve yayılmasının engellenmesi hakkında hazırlanan regülasyon tasarısı 4 saat gibi hızlı bir sürede terörist içerikleri yayından kaldırma sorumluluğu getirirken, bu içerikleri tespit etme ve buna ilişkin mekanizmalar yaratmak konusunda da sosyal medya sitelerine aktif özen sorumluluğu getirmektedir. Bu konuda yükümlülükleri ihlal eden sosyal medya sağlayıcılara GDPR’da olduğu gibi çok ağır para cezaları da getirilmektedir.
Benzer bir düzenleme çabası aldatıcı ve yanıltıcı içerikli reklamlar, doğru olmayan haberler ve içeriklerle mücadele edilmesi konusunda da yaşanmakta. Bu konuların yarattığı ekonomik, sosyal ve siyasi etkiler dikkate alınarak hukuki güvenliği sağlayıcı düzenlemelerin ortaya konulmasıyla bu çerçevede sosyal medya şirketlerine yükümlülük getirilmeye çalışılmaktadır.
Özellikle yeni platform ekonomisi başarıları endüstri dönemi şirketlerinin iş modellerini çok zorladı ve onları regüle eden düzenlemeleri de bu iş modelleri özelinde işlevsiz kıldı. İnternet dünyasının iş modellerinde en önemli yenilik ve farklılık mevcut iş modelleri üzerinde yıkıcı etki göstermesi. Ama sonunda gerek regülasyonlarla gerekse de tekellerle korunan mevcut iş modellerinin hukuksal ve toplumsal düzeyde gösterilen tepkilerle yeni aktörlere karşı korunmaya çalışıldığını görüyoruz. Bu çerçevede Uber örneğinde gördüğümüz gibi, kimi zaman şoförleri dövüldü, kimi zaman da yasaklama davaları açıldı.
Dijital ekonomiyle ilgili en fazla değinilen konulardan biri dijital ekonomi şirketleri tarafından yaratılan kazancın ülkeler tarafından ne şekilde vergilendirilmesi gerektiği yolunda, doğru vergilendirme politikalarının geliştirilmesi noktasında yaşanan tartışmalar. Dijital ekonomi şirketlerinin internet vasıtasıyla herhangi bir ülkede fiziksel iş yeri açma ihtiyacı olmadan ticaret yapmaya olanak sağlaması, mevcut vergi düzenlemelerinde dikkate alınan iş modellerinden çok daha karmaşık ve farklı iş modelleri ile ticari kazanç elde edinilmesini sağlaması, dijital ekonomi şirketlerinin yarattığı katma değerin vergilendirilmesi konusunda iki veya çok taraflı vergi ve çifte vergilendirme anlaşmalarının yetersiz kalması bu konuda yeni bir politika ve yeni bir yaklaşım geliştirme ihtiyacını daha şiddetli bir şekilde ortaya konulmasına neden oluyor. Kısa süre önce Ekonomik Kalkınma ve İşbirliği Örgütü (OECD), teknoloji devlerinin vergilendirilebilmesi için 95 farklı yetki alanından otoritelerin “bir prensip anlaşmasında” uzlaştığını açıkladı. “Ekonominin Dijitalleşmesinin Yol Açtığı Mali Zorlukların Giderilmesine Dair Anlaşma” adı altında, ABD, Çin ve Hindistan’ı da kapsayan 100’ün üzerinde ülkenin “dijital devlerin faaliyette bulundukları ve kâr ettikleri yerlerde vergilendirilmesi” prensibi üzerinde anlaştığını duyuran OECD, anlaşmanın 2019 yılı içinde yasal netliğe ulaşmasını ve 2020’de uygulanmasını hedefliyor. Sınır tanımayan platform ekonomisi şirketlerinin vergilendirilmesi konusunda uluslararası konsensüs sağlanması çok önemli bir adım. Nobel ekonomi ödüllü Prof. Joseph E. Stiglitz’in de söylediği gibi, bugünün teknoloji devlerinin üzerinde yükseldikleri İnternet’in, kamu yatırımları ile doğduğunu unutmamamız lazım.
Küresel gelişmelerin politika ve regülatif düzeyde Türkiye’ye de yansımaları oluyor, bu konuda ülkemizde de çeşitli çalışmalar yapılıyor. Kişisel verilerin korunması konusunda ise Türkiye ciddi olarak çalışmaya 2016’da başladı. Ülkemizde yürürlüğe giren Kişisel Verilerin Korunması Kanunu, Avrupa Birliği’nin 1995 tarihli, sonradan köklü olarak revize edilmiş 95/46 sayılı direktifinin temel yaklaşımını yansıtıyor. Dolayısıyla AB’nin Genel Veri Koruması Regülasyonu’nun esas alınarak bizde de ciddi bir revizyon yapılması gerekli.
İnternet hayatın içine girdikçe hukuk sisteminin alması gereken ilave önlemler de bir sonraki yazının konusu olsun…