Belirtilen kriterlere sahip işletmeler, VERBİS’e kayıt olmazlarsa 20 bin TL’den 1 milyon TL’ye kadar para cezasını da içeren idari yaptırımlarla karşı karşıya kalacak. Ancak buradaki asıl amacın kişisel veri koruma kültürünün yerleşmesi olduğu belirtiliyor.

RÖPORTAJ: ŞEREF KILIÇLI (İTOHABER)

Veri ekonomisiyle birlikte kişisel verilerin korunması ve bu kapsamda yapılan düzenlemeler de gündelik hayatımıza girdi. Gelişmiş ülkelerle beraber Türkiye de bu konuda hukuki altyapıya yönelik adımlar attı. Kişisel Verilerin Korunması Kanunu’nun, 7 Nisan 2016 yılında yürürlüğe girmesi ile düzenleyici ve denetleyici bir kurum olarak Kişisel Verileri Koruma Kurumu’nun (KVKK) oluşturulması kuşkusuz bu adımların en önemlisi oldu. KVKK Başkanı Prof. Dr. Faruk Bilir, kişisel verilerin korunması hakkında merak edilenleri İstanbul Ticaret okurları için anlattı.

Kişisel verileri koruma kültüründen başlayalım. Neden böyle bir ihtiyaç var ve KVKK’nın bu konuda üstlendiği misyon nedir?

Bu zamana kadar günlük hayatta veya internet üzerinde kişisel verilerimizi gelişigüzel bir şekilde paylaşmaya alıştık veya alıştırıldık. Artık alışkanlıklarımızı değiştirmeliyiz. Bu da veri koruma kültürünün benimsenmesi ile mümkün. Kişisel verilerini düşünmeden, sorgulamadan, sonunun nereye varacağını hesaplamadan her an ve her yerde paylaşan bir kişiden ziyade, ‘farkında’ ve ‘bilinçli’ bir şekilde paylaşan veya gerektiğinde paylaşmayan bireyler hayal ediyoruz. Bu konuda sadece bugünlerimizi değil, yarınlarımızı da düşünmeliyiz. Özellikle çocuklarımızın ve gençlerimizin veri koruma kültürüyle yetişmesi gelecek nesillerin veri güvenliğinin tesis edilmesi açısından kritik bir öneme sahip. Kişisel verilerin korunması ciddi bir iştir. Veri koruma kültürü ise bu işi günlük yaşantımızla buluşturacak olan ve kolaylaştıracak olan kavramın adıdır. Elbette Kanunu bileceğiz, haklarımız nelerdir, veri sorumlusuna nasıl başvurulur bileceğiz ancak bunları uygulayabilmemiz için evvela ‘farkındalık’ kazanmamız gerekir. Farkındalığı da eğitimle, veri koruma kültürünün gelişmesiyle, hayatımıza yerleşmesiyle kazanabiliriz. Bu açıdan son derece önem verdiğimiz bir kavramdır veri koruma kültürü. Verdiğimiz önemin sonucu olarak bu kültürün oluşmasını kendimize misyon edinerek bu yönde çeşitli faaliyetler yürütüyoruz.

VERİ SORUMLULARININ YÜKÜMLÜLÜKLERİ

İşletmeler, kişisel verilerin korunması için hangi yükümlülükleri yerine getirmeliler, neler yapmalılar?

İşletmeler, Kanunun deyimiyle veri sorumluları her şeyden önce Kanunun yürürlüğe girmesinden önce işlemiş oldukları kişisel verileri mümkün olan en kısa sürede Kanuna uygun hale getirmeli. Normalde bu uyum sürecinin Kanunun yayım tarihinden itibaren iki yıl içerisinde, yani 7 Nisan 2018 tarihine kadar tamamlanmış olması gerekiyordu. Ancak yine de hatırlatmakta yarar görüyorum. Bununla birlikte kişisel veri işleme faaliyetleri Kanunun temel ilkelerine uygun olmalı. Veri sorumlusu, kişisel verileri hangi işleme şartına dayalı olarak işleyebilir bunu tespit etmeli. Eğer Kanuna uygun bir şekilde özel nitelikli kişisel veri işleyecekse Kurulun belirlediği yeterli önlemleri almalı. İşlemeyi gerektirecek sebeplerin ortadan kalkması halinde kişisel verileri imha yoluna gitmeli. En önemli hususlardan biri de “aydınlatma yükümlülüğünün” yerine getirilmesi ve bu kapsamda kişisel verileri işlenen ilgili kişilere 6698 sayılı Kanunda belirtilen haklarının hatırlatılmasıdır. Öte yandan Kanun kapsamındaki bütün veri sorumluları kişisel verilerin; hukuka aykırı olarak işlenmesini önlemek, hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.

VERBİS’E KAYIT ZORUNLU

Bununla birlikte çalışanların kişisel veri güvenliği konusunda eğitilmesi ve farkındalık kazanmaları son derece kritik bir öneme sahip. Çünkü kurumsal güvenliğin sağlanmasında insan faktörü çok önemlidir. Son küresel araştırmalardan çıkan sonuçlar çalışanlarını yeterince eğitmeyen, bilinç düzeylerini güncel tutmayan ve bünyesinde gerekli denetimleri yapmayan veya yaptırmayan veri sorumlularının, veri güvenliği konusunda sorun yaşamamasının neredeyse imkansız olduğunu ortaya koyuyor. Bu açıdan sadece büyük işletmelerin değil, küçük ve orta ölçekli işletmelerin de bu konu üzerinde önemle durması gerekiyor. Bir diğer başlık da kısa adıyla VERBİS olan Veri Sorumluları Sicil Bilgi Sistemi konusu. Gerekli kriterleri taşıyan veri sorumlularının VERBİS’e kayıt olmaları kanuni bir yükümlülük. Bütün bunların dışında Kurulun almış olduğu ilke kararları var. Bu ilke kararlarının uygulanması noktasında gerekli adımlar gecikmeksizin atılmalı ve Kanuna uyum konusunda varsa aksaklıklar, eksiklikler tespit edilerek hızlı bir şekilde giderilmelidir.

VERBİS’İN İŞLEYİŞİ

VERBİS konusunu biraz açabilir miyiz?

Kişisel veri işlemekte olan gerçek ve tüzel kişiler VERBİS’e kayıt olmak zorunda. VERBİS’te kişisel veriler yer almamaktadır. Sadece kategorik bazda bilgi girişi sağlanan bir sistemdir. Bu sistem kamuya açık olarak tutulacağından, dileyen herkes, veri sorumlularının işlediği kişisel veri kategorileriyle ilgili bilgileri buradan sorgulayabilecektir. Bunun sonucu olarak da, kişisel verisi işlenen kişilerin dolaylı olarak denetim yapması mümkün olacağından, veri sorumlularının gelişigüzel veri işlemesi engellenecektir. Kurul tarafından, Sicile kayıt yükümlülüğünün yerine getirilmesi için belirlenen tarihler Resmi Gazetede yayımlanarak ilan edildi. Buna göre; örneğin mali bilanço toplamı veya çalışan sayısı belli rakamların üzerinde olan şirketlerin (yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan veri sorumluları ile yurtdışında yerleşik tüm veri sorumluları) VERBİS’e kaydolması için tanınmış olan süre 31 Aralık 2019 tarihinde sona erecek. Bu tarih itibariyle kayıt yükümlülüğünü yerine getirmeyenler hakkında idari yaptırım uygulanacak. Ayrıca VERBİS ile ilgili tüm sorular için kvkk.gov.tr adresinde bulunan ‘’Sorularla VERBİS’’ dokümanı incelenip detaylı bilgi edinilebilir.

1 MİLYON TL’YE KADAR PARA CEZASI VERİLEBİLİYOR

İşletmeler Kişisel Verileri Koruma mevzuatına uymadıklarında ne gibi yaptırımlarla karşı karşıya kalıyorlar?

Kişisel verilere ilişkin kabahatler, Kanunun 18. maddesinde düzenlendi. Buna göre 5 bin TL’den başlayan ve 1 milyon TL’ye varan idari yaptırımlar mevcut. Örneğin, Veri Sorumluları Sicili’ne (VERBİS) kayıt ve bildirim yükümlülüğüne aykırı hareket eden gerçek ve tüzel kişi veri sorumluları hakkında 20 bin TL’den 1 milyon TL’ye kadar idari para cezası verilir. Bu işin bir de itibar yönü var. Dolayısıyla Kişisel Verilerin Korunması Kanunu’na sadece teknik açıdan yaklaşmak doğru değildir. Tüzel ya da gerçek kişi farketmez, bir veri sorumlusunun Kanuna uyum göstermesi aynı zamanda o veri sorumlusunun kurumsal imajına olumlu bir katkı sağlayacaktır.

AMAÇ CEZA DEĞİL ‘FARKINDALIK’

KVKK, Facebook’a verilen cezadan sonra daha çok gündeme geldi. Ardından uluslararası bir otel zincirine verilen ceza da yine gündem oldu. Bugüne kadar ne kadar ihlal bildirimi yapıldı ve ne kadar ceza kesildi?

Açıkçası Kurum olarak uyguladığımız idari para cezalarından ziyade, yaptığımız farkındalık çalışmalarıyla gündeme gelmeyi tercih ederiz. Bununla birlikte, bugüne kadar Kuruma 116 veri ihlal bildirimi yapıldı ve 9 milyon 26 bin TL tutarında da idari para cezası uygulandı. Veri ihlalinin ilgili kişiler üzerinde oluşturabileceği mağduriyetin boyutu da önemli. Teknolojinin gelişmesi etkili güvenlik önlemlerinin alınmasına olumlu katkılar sağladı. Fakat siber saldırıların da boyutu ve niteliği değişti. Bu da günümüzde veri güvenliğinin konvansiyonel önlemlerle sağlanamayacağını bizlere göstermektedir. Sonuç olarak her veri sorumlusu kendi özelliklerini, niteliklerini göz önünde bulundurarak hareket etmelidir.

*********************************************************

Türkiye’nin verisi Türkiye’de kalmalı

Son yıllarda yerli veri merkezlerindeki artışı büyük bir memnuniyetle izlediklerini vurgulayan KVKK Başkanı Prof. Dr. Faruk Bilir, “Türkiye’nin verisi Türkiye’de kalmalıdır” vizyonuyla hareket edildiğini vurguladı. Prof. Dr. Faruk Bilir sorularımızı yanıtlamaya şöyle devam etti:

Veri işlemek için hukuki ve makul şartın ölçüsü nasıl olmalı, nelere dikkat edilmeli?

Veri sorumluları kişisel verileri işlerken öncelikle Kanunun temel ilkelerine uygun şekilde hareket etmeli. Kanunumuzun 4. maddesinde yer alan bu ilkelere eksiksiz bir biçimde uyum sağlanmalı. Bu nedenle temel ilkeler için, kişisel veri işlemenin olmazsa olmazı denilebilir. Ardından veri işleme faaliyeti 5. ve 6. maddede yer alan kişisel veri işleme şartlarından en az birine dayanmalı. Bu şartlar, hukuka uygunluk sebepleri olarak da adlandırılabilir. “açık rıza” kavramı da bunlardan biri. Eğer mevcutta veri işleme amacına denk gelen bir işleme şartı varsa, veri işleme bu şarta göre gerçekleştirilmelidir. İşleme amacı herhangi bir şarta denk gelmiyorsa o zaman açık rıza alma yoluna gidilebilir. Dolayısıyla açık rıza, en son başvurulacak hukuka uygunluk sebebidir. Açık rıza ise; belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı ifade eder.

KONTROL SİZDE OLSUN

Daha önce bir konuşmanızda, “klavyeyi tuşlamamızdan, izlediğimiz filmlerden, okuduğumuz gazetelerden, girdiğimiz sitelerden yola çıkarak bir algoritma çerçevesinde profilimizi oluşturabiliyorlar. Ama bizim Kanunumuzda kişinin, bu profillemeye itiraz hakkı var” demiştiniz. Bu konuyu biraz açar mısınız? Bunu kimler yapıyor ve ‘big data’ ile ilişkisi var mı?

Son teknolojik gelişmelerle birlikte gittikçe dijitalleşen dünyada bireyin; tercihleri, kullanım alışkanlıkları, davranışları ve davranışsal biyometrisi, hobileri ve düşüncelerinin analiz edilerek sonuçlar çıkarılması ve buna bağlı otomatik karar alma mekanizmalarının devreye girerek bir ‘profil’ oluşturulması söz konusu. Bu da çeşitli araçlarla yapılabiliyor. Web sitelerinin çerez politikalarıyla, arama motorlarının, akıllı telefon uygulamalarının, sosyal medyanın veri politikalarıyla bir algoritma çerçevesi içerisinde bu ‘profiller’ meydana getiriliyor. Kurulan bu sistemin yapı taşını kişisel verilerimizin oluşturduğu kuşku götürmez bir gerçek. Kanunumuzun
11. maddesinin (g) bendine göre ilgili kişinin bu ‘profilleme sonucunda’ kendisi aleyhine çıkan ‘sonuçlara’ itiraz hakkı mevcuttur. Bu anlamda bizlerin çok dikkatli olması gerekir. İnternet tarayıcı ayarlarının, akıllı cihazların gizlilik ayarlarının bireysel tercihlere göre düzenlenmesi ve belli aralıklarla kontrol edilerek güncel tutulması kişisel veri güvenliği açısından basit ama etkili adımlardan biridir. Bununla birlikte son günlerde çokça popüler olan bazı uygulamalar ve sosyal medya akımlarına karşı da bilinçli olmamız gerekir.

“Büyük Veri” ile ilintili olan bu tarz faaliyetler, kişilerin çeşitli mağduriyetler yaşamalarına sebebiyet verebilir. O yüzden sıklıkla dile getirdiğimiz gibi, “kontrol cihazda değil, sizde olsun” diyoruz.

VERİ TEMELLİ EKONOMİ

Kişisel verilerin korunması ile veri temelli ekonominin dengesi nasıl sağlanmalı? Bu konuda uluslararası mevzuatın geldiği durumu nasıl değerlendiriyorsunuz?

Ekonomilerin içine girdiği dijital dönüşüm ve inovatif yaklaşımla birlikte verilerin, ekonomik faaliyetlerin neredeyse en önemli unsuru haline geldiğini söyleyebiliriz. Bunun sonucunda meydana gelen veri temelli ekonomi gerçeğini görmezden gelmek, içinde bulunduğumuz dijital çağın gerçekleri ile bağdaşmıyor.

Bu durum kişisel verilerin korunmayacağı, korunamayacağı anlamına gelmez. İnsanı merkeze alan uygulama ve yaklaşımlarla kişisel verilerin korunması ile veri temelli ekonomi arasında bir denge kurulabilir ve bu kapsamda çalışmalar yapılarak kurulan bu dengenin güncelliği sağlanabilir.

Son tahlilde, kendini güncelleyen mekanizmalar kurularak iki tarafın da sorun yaşamayacağı ya da risklerin en aza indirgenebileceği yapılar meydana getirilebilir. Nitekim uluslararası mevzuatın geldiği seviyeye baktığımızda da veri temelli ekonominin dayanak noktasının kişisel verilerin korunması olduğunu görüyoruz.

YERLİ VERİ MERKEZLERİ

Son zamanlarda ‘Yerli Veri Merkezi’ yatırımlarındaki artış dikkat çekiyor. Bu konudaki ilerlemeyi nasıl görüyorsunuz?

Ülkemizin ‘’Dijital Türkiye’’ parolasıyla başlattığı dijital dönüşüm faaliyetleri, ‘’Milli Teknoloji Hamlesi’’ adı altında başarılı ve aynı zamanda heyecan verici bir şekilde devam ediyor. Bu kapsamda yerli ve milli teknolojilerin, yazılımların yanı sıra yerli veri merkezlerinin kurulması ve bu merkezlerin revaçta olması memnuniyet verici bir gelişme. Kişisel veri güvenliği açısından da son derece önemli buluyorum.

“Türkiye’nin verisi Türkiye’de kalmalıdır” vizyonundan hareketle bu tarz olumlu girişimlerin artarak devam edeceğini düşünüyorum. Kurumumuz ise gelişmeleri yakından takip etmekte olup, yetki ve görev alanına giren her konuda gerekli katkıyı sağlamaya da hazır.
 

ALO 198 VERİ KORUMA HATTI

ALO 198 uygulaması konusunda bilgi verebilir misiniz?

ALO 198 Veri Koruma Hattı, 6698 sayılı Kişisel Verilerin Korunması Kanunu, ikincil düzenlemeleri ve VERBİS hakkında hem ilgili kişileri hem de veri sorumlularını, yani kısacası herkesi bilgilendiren ve yönlendiren, alanında uzman kişilerden oluşmuş bir bilgi danışma merkezi olup, Kurum bünyesinde faaliyet gösteriyor. Dileyen vatandaşlarımız mesai saatleri içerisinde Türkiye’nin her yerinden ücretsiz olarak arayabilirler. Şunu da ayrıca belirtmek gerekir ki, ALO 198 Veri Koruma Hattı sadece bilgi danışma hizmeti vermektedir. Dolayısıyla şikâyetler veri koruma hattına yapılmamaktadır.

CUMHURBAŞKANLIĞI GENELGESİNE DİKKAT

Cumhurbaşkanlığı tarafından yayımlanan “Bilgi ve İletişim Güvenliği Tedbirleri”ne ilişkin genelge kişisel verilerin korunmasını nasıl etkileyecek?

Kamu hizmeti veren bilgi sistemlerinde güvenlik risklerinin en aza indirgenmesine yönelik tedbirleri içeren Bilgi ve İletişim Güvenliği Tedbirleri’ne ilişkin 2019/12 sayılı Cumhurbaşkanlığı Genelgesi’nin içeriğinde çeşitli konu başlıkları var. Örneğin, siber güvenlik ve veri güvenliği gibi. Genelge kapsamında “Bilgi ve İletişim Güvenliği” rehberi hazırlanacak. Tabii bu değerli çalışmanın kişisel verilerin korunmasına da çok önemli katkılar sağlayacağını düşünüyorum. Kurumumuz, kişisel verilerin korunması söz konusu olduğunda, yetki ve görev alanına giren her konuda üzerine düşeni yapabilecek hazırlığa ve donanıma sahip. Ülkemiz dijital dönüşüm sürecinde önemli aşamalar kaydetti ve kaydetmeye devam ediyor. Bütün bunlar olurken kişisel veri güvenliğinin de gözetilerek bu sürecin devam ettirilmesi, geleceğimiz adına çok kıymetli. Bu bakımdan ben bu çalışmanın ülkemiz için çok faydalı olacağını düşünüyor ve hayırlı olmasını diliyorum.

G20 VE KİŞİSEL VERİLERİN KORUNMASI

Japonya’daki G20 Zirvesi’nde kabul edilen ‘güvene dayalı serbest veri dolaşımı’ kavramını, kişisel verilerin korunması açısından nasıl değerlendirebiliriz?

Serbest veri dolaşımının G20 deklarasyonunda yer alması, verinin kalkınma için öneminin kabul edildiği anlamına gelmektedir. Ayrıca inovasyon ve dijitalleşme konularının da vurgulanması, sürdürülebilir veri politikalarının daha da önemli bir hale geleceğini işaret etmektedir. Burada kritik olan, öncelikle kişisel veriler ile kişisel olmayan verilerin ayırt edilebilmesi ve çıkacak tabloya göre hareket edilmesidir. Bu aşamadan sonra mekanizma daha hızlı ve sağlıklı işleyecektir. Meydana gelebilecek zorlukların ise karşılıklı fikir alışverişi ve samimi iş birliği ile çözümlenebileceği kanısındayız. Kişisel verilerin korunması, artık ülkemizde ve tüm dünyada kendine hem hukuksal hem de toplumsal çerçevede sağlam bir biçimde yer edinmiş bir haktır. Bu hakkın zedelenmeyeceği şekilde dijital ekonominin tesis edilebileceğini düşünüyorum.