Kişisel Verileri Koruma Kurumu Başkanı Prof. Dr. Faruk BİLİR İle Söyleşi
Kişisel Verileri Koruma Kurumu Başkanı Prof. Dr. Faruk BİLİR İle Söyleşi
CyberMag: Öncelikle Kanunun koruma altına aldığı kişisel veri kavramından bahsedebilir misiniz? Hangi bilgiler kişisel veri kapsamına girer?
Prof. Dr. Faruk Bilir: Kanundaki ifadeye göre kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiye kişisel veri denilmektedir. Başka bir deyişle, kişiyi doğrudan veya dolaylı olarak tanımlanabilir kılan bilgilere de kişisel veri denilebilir. Kişisel veriler, kişiyi ‘diğerlerinden’ ayırt edebilme özelliğine sahiptir. Özetle; kişiye ait olan her türlü bilgi kişisel veridir. Kimlik, sağlık, iletişim, finans bilgileri, fiziksel, sosyal, konum bilgileri, davranış bilgileri, alışkanlıklar, hobiler, fotoğraflar, sosyal medya paylaşımları, kişinin yaşam biçimi ve buna benzer daha birçok bilgi kişisel veri kapsamında ele alınabilir. Bu kapsamda ad-soyad, T.C. kimlik numarası, araç plakası, kan grubu, doğum günü, banka hesap numarası, telefon numarası, ev adresi vb. hepsi birer kişisel veridir. Örneklerden de anlaşılabileceği gibi kişisel veriler; bize ait olan bilgiler, bizi biz yapan özelliklerdir. Bu yönüyle kişisel verilerin hayatımızın ayrılmaz bir parçası olduğunu söyleyebiliriz.
CyberMag: Kişisel verilerin korunması, aslında toplum içerisinde birlikte yaşayan insanların özgürlüklerinin korunması anlamını taşımaktadır. Kişisel verilerin korunması ve işlenmesi artık yasalarla ve kurumunuzca güvence altına alınmış durumdadır. Dolayısıyla kişisel verilerin en çok ihlale maruz kalmakta olduğu teknoloji alanında ve internet dünyasında meydana gelen gelişmeler ile hukuki açıdan yaşanan ihlaller de göz önünde bulundurulduğunda, kişisel verilerin doğrudan devlet tarafından korunması büyük önem arz etmektedir diyebilir miyiz?
Prof. Dr. Faruk Bilir: Kişisel verilerin korunması, bireylerin ve bireylerden meydana gelen toplumun özgürlüğüne katkıda bulunduğu gibi, esas olarak kişinin bizzat kendisinin korunması anlamına gelmektedir. Kişisel verilerin korunmasını isteme hakkı, her şeyden önce temel bir insan hakkıdır ve bu hak ülkemizde 2010 Anayasa değişikliğiyle birlikte anayasal güvence altına alınmıştır. Bu değişikliğin bir başka anlamı da, bu alanın düzenlenmesi ve disiplin altına alınması amacıyla kabul edilen Kişisel Verilerin Korunması Kanunu olmuştur. Kanunla birlikte kurulan Kişisel Verileri Koruma Kurumu ise söz konusu anayasal hakkın icrasına yönelik bir kurum olup, ülkemizde insan hakları koruma mekanizmalarından da biridir. Kurumun görev ve yetki alanı, idari açıdan özerk bir yapıya sahip olması da dâhil bütün bu gelişmeler, aslında devletimizin bu konuya vermiş olduğu önem ve hassasiyetin bariz bir göstergesidir.
CyberMag: Ülkemizde Kişisel Verilerin Korunması Kanunu çıkartılmadan önce Anayasanın temel hak ve özgürlükler bölümü ile Medeni Hukukun ve Borçlar Kanunu’nun bazı maddeleriyle kişisel veriler güvence altına alınmıştı fakat bununla yetinilmedi. 7 Nisan 2016 tarihinde 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun yürürlüğe girmesi ve 12 Ocak 2017 tarihinde Kurul üyelerinin Yargıtay’da yemin etmesiyle birlikte faaliyetlerine başlayan Kişisel Verileri Koruma Kurumu’nun bahse konu Kanunun iyileştirilmesi adına yapmış olduğu temel faaliyetler nelerdir?
Prof. Dr. Faruk Bilir: Kurul üyelerinin görevlerine başlamasıyla birlikte yoğun bir çalışma temposuna giren kurum, Kanun’da öngörülen ikincil mevzuat çalışmaları kapsamında birtakım yönetmelik ve tebliğler yayımlamıştır. Bununla birlikte gerekli durumlarda ilke kararları ve kurul kararları alınarak uygun yöntemlerle kamuoyuna duyurulmuştur. Öte yandan hem ilgili kişiler, hem de veri sorumluları nezdinde Kanun’un daha iyi anlaşılabilmesi ve oluşabilecek soru işaretlerinin giderilmesi bakımından çeşitli rehber, doküman ve broşürler başta olmak üzere eğitici ve bilgilendirici animasyonlar hazırlanarak kurumsal web sitesi ve resmi sosyal medya hesapları aracılığıyla erişime sunulmuştur. Diğer yandan sektörel bazda çalıştaylar, güncel gelişmeler ışığında sempozyumlar düzenlenerek meydana gelen ve gelebilecek sorunlar ele alınmaktadır. Bütün bunların yanında geçtiğimiz Temmuz ayında Türkiye Cumhuriyeti Cumhurbaşkanlığı tarafından yayımlanan ‘‘11. Kalkınma Planı’’ ve ‘‘Bilgi ve İletişim Güvenliği Tedbirleri Genelgesi’’ kapsamında, kurumun görev alanını ilgilendiren konulardaki çalışmalar büyük bir titizlikle sürdürülmektedir. Çalışmalarımızı sürdürürken kişisel verilerin korunması alanında uluslararası gelişmeleri de takip ediyor, gerektiren durumlarda ise ülkemiz adına sürece dâhil oluyoruz. Bu kapsamda en son 2019’un Ekim ayında 41.’si düzenlenen küresel mahremiyet konferansına katılım göstererek burada alınan 6 ilke kararından 2 tanesine eş sponsorluk yaptık ve konferansla ilgili diğer platformlarda da düşüncelerimizi dile getirerek çeşitli fikir alışverişlerinde bulunduk.
CyberMag: GDPR düzenlemelerinde AB vatandaşlarının verilerini işleyen AB dışı şirketler de yükümlü tutuluyor. Türkiye’deki oteller, hastaneler, bankalar vb. kuruluşlar bu kapsamda GDPR yükümlüsü müdür?
Prof. Dr. Faruk Bilir: Bilindiği gibi GDPR’ın etki alanı ‘bölgesel kapsam’ başlıklı 3. maddede ele alınmıştır. Buna göre AB Genel Veri Koruma Tüzüğü; (GDPR) veri işleme faaliyetinin Avrupa Birliği içerisinde gerçekleşip gerçekleşmediğine bakılmaksızın Avrupa Birliği içerisindeki bir veri sorumlusunun veya veri işleyenin işletmesinin faaliyetleri kapsamında kişisel verilerin işlenmesine uygulanmaktadır. Öte yandan AB bünyesinde kurulu olmayan veri sorumluları ve veri işleyenler de işleme faaliyetlerinin; AB bünyesindeki ilgili kişilere bir ödeme yapılmasının zorunlu olduğuna bakılmaksızın mal veya hizmetlerin sunulması, yine AB bünyesindeki ilgili kişilerin davranışlarının izlenmesi durumunda GDPR’a uyum sağlamakla yükümlüdür. Sonuç olarak AB vatandaşlarının kişisel verilerini işleyen AB dışındaki veri sorumluları ve veri işleyenler GDPR kapsamında yükümlü olabilmektedirler. Ancak şunu da hatırlatmakta fayda görüyorum; gerek yurt içi gerekse de yurt dışı yerleşik olsun, Türkiye’de veri işleme faaliyetinde bulunan veri sorumluları, öncelikle Kişisel Verilerin Korunması Kanunu’nu göz önünde bulundurmalıdır. Özellikle aydınlatma metinleri hazırlanırken bu hususa son derece dikkat edilmelidir.
CyberMag: “Aydınlatma metinleri hazırlanırken dikkat edilmeli’’ dediniz. Metinlerde GDPR’la ilgili bir problem mi var?
Prof. Dr. Faruk Bilir: Kurumun yapmış olduğu birtakım incelemelerde çeşitli kurum, kuruluş, firma ve benzeri veri sorumlularının internet sayfalarında sunulan aydınlatma metinlerinde kişisel verilerin işlenmesi hususunda uygulanan politika ve kurallara yönelik açıklamalarda doğrudan AB Genel Veri Koruma Tüzüğü’ne (GDPR) atıf yapıldığı görülmüştür. Bir veri sorumlusunun GDPR'a uyum sağlamış olması, o veri sorumlusunun Kişisel Verilerin Korunması Kanunu kapsamındaki yükümlülüklerini ortadan kaldırmaz. Dolayısıyla GDPR’a yapılan atıfların yanı sıra söz konusu aydınlatma metinlerinde belirtilen politika ve kuralların öncelikle 6698 sayılı Kanun’a uygun olduğunun belirtilmesi gerekmektedir. Bununla birlikte aydınlatma metinlerinde ucu açık, belirsiz, muğlak ifadelerden kaçınılmalı; kişisel verisi işlenen ilgili kişilerin anlayabileceği düzeyde ve net ifadeler kullanılmalıdır.
CyberMag: KVKK’nın GDPR’a göre güncellenmesi 11. Kalkınma Planı’nda yer alıyor. Bu güncelleme sürecine kamu kurumlarının yanı sıra STK, üniversite ve uzman şirket/kişiler de davet edilecek mi?
Prof. Dr. Faruk Bilir: Hâlihazırda çeşitli konularda kamu kurum ve kuruluşları başta olmak üzere sektörü yakından ilgilendiren konularda iş birliği içerisinde düzenlediğimiz çalıştay ve sempozyumlarla zaten bu bağlantıyı kurmuş durumdayız. Güncelleme sürecinde de gerektiren durumlarda benzer bir mekanizmanın kurulması mümkün olabilir.
CyberMag: Kişisel verilerin gerek kamu kuruluşları gerekse şirketler tarafından toplanıyor olması, saklanması ve eşleştirilmesi, gizlilik tartışmalarını da beraberinde getirmektedir. Gizlilik, bireyin ve onun özgürlüğü üzerine odaklanmaktadır. (Fuchs, 2011b:144). Bu kapsamda değerlendirildiğinde şirketlerin daha fazla sermaye birikiminde bulunmak isterken, çalışanları ve tüketicileri konusunda olabildiğince çok bilgi sahibi olmak istemeleri gözetime yol açmaktadır. Kurumunuzun bu noktada gözetim mekanizmaları, kullanıcı ve müşteri verilerini ticari amaçla kullanan firmalara yönelik takip çalışmalarını anlatır mısınız? Böyle bir durumla karşılaşıldığında veya sade bir vatandaş üzerinden gelen bir şikâyet üzerine almış olduğunuz aksiyon sürecini okuyucularımızla paylaşır mısınız?
Prof. Dr. Faruk Bilir: Kurulun aldığı son ilke kararı bu konuya yeni bir soluk getirmiştir. Kuruma intikal eden ihbarlar kapsamında avukatlar-hukuk büroları ile finans, gayrimenkul danışmanlık, sigorta ve benzeri sektörlerde faaliyet gösteren bazı kişi ve kuruluşlar tarafından çeşitli yollarla elde edilen veriler üzerinden ilgili kişilerin kimlik ve iletişim bilgileri gibi kişisel verilerinin sorgulanmasına imkân tanıyan yazılım, program ve uygulamaların kullanılmakta olduğu tespit edilmiştir. Bu özellikteki yazılım, program veya uygulamaları kullandığı tespit edilenler hakkında Türk Ceza Kanunu kapsamında gerekli adli işlemlerin tesisi için konunun, ilgili Cumhuriyet Başsavcılıkları’na bildirilmesine karar verilmiştir. Bununla birlikte Kişisel Verilerin Korunması Kanunu kapsamında idari işlemler tesis edilmeye devam edilecektir.
CyberMag: Diğer konu başlıklarında son rakamlar nelerdir? Basında yer alan haberleri incelediğimizde 2019 yılının kurum açısından hareketli ve yoğun geçtiğini tahmin etmek zor değil. Şu ana kadar kuruma ulaşan ihbar ve şikayet sayısı nedir? Bunun yanında faaliyette olan bir bilgi danışma merkeziniz mevcut: Alo 198… Bu konuda neler söylemek istersiniz?
Prof. Dr. Faruk Bilir: 2020 yılı Ocak ayı başında gelen son raporlara göre 2019 yılında 1114 ihbar ve şikâyet kurula intikal etmiş olup, bu zamana kadar toplamda 1483 adet ihbar ve şikâyet kuruma ulaşmıştır. Kurulun yaptığı incelemeler sonucunda veri ihlal bildirimleri de dâhil olmak üzere 2017-2019 yılları arasında 14 milyon 100 bin 828 lira idari yaptırım uygulandı. Diğer yandan 2019 yılında verilen hukuki görüş sayısı 162 olup, bugüne kadar ise 334 adet hukuki görüş talebine yanıt verilmiştir. Bugüne kadar 167 veri ihlal bildirimi kuruma intikal etti ve bunların 41 adedi kurum resmi web sayfasında ilan edildi. Kanun ve ikincil mevzuatı hakkında alanında uzman kişilerden oluşturulan Alo 198 Bilgi Danışma Merkezi ise geçtiğimiz 2019 yılında yaklaşık 100.000 civarında çağrıyı yanıtlamış, gelen sorulara istinaden görev alanı çerçevesinde hem ilgili kişilere hem de veri sorumlularına çeşitli yönlendirmelerde bulunmuştur.
CyberMag: Kişisel Verileri Koruma Kurumu olarak bugüne kadar yürüttüğünüz faaliyetlerden kısaca bahsedebilir misiniz?
Prof. Dr. Faruk Bilir: Kişisel Verileri Koruma Kurumu, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun kendisine verdiği görev ve yetki alanı dâhilinde hem ulusal hem de uluslararası platformlarda Türkiye’nin örnek alınan kurumlarından biri olma yolunda çalışmalarına devam etmektedir. Ülkemizin her alanda 2023 hedeflerine doğru ilerlediği bir zaman diliminde, kurumumuz da bu yaklaşıma uygun bir biçimde hareket etmekte, kişisel verilerin korunması alanında sadece bugünleri değil, yarınları da düşünerek faaliyetlerini sürdürmektedir. Buradan hareketle, ilk olarak ikincil mevzuat çalışmaları kapsamında gerekli yönetmelik, tebliğ, ilke kararları ve kurul kararları yayımlanmış olup aynı zamanda gerçek kişi, kurum ve kuruluşlardan gelen görüş taleplerine de cevap verilmektedir. İlgili kişilerin hak arama yöntemlerinden olan şikâyet başvurusu veya kurulun resen inceleme yetkisi çerçevesinde, veri sorumlularının Kanun’a uygun bir şekilde faaliyet göstermelerini tesis etme amacıyla, kurulca ilgili mevzuat çerçevesinde inceleme işlemleri gerçekleştirilmekte ve Kanun’a aykırılık tespit edildiğinde gerekli idari işlemler yerine getirilmektedir. Kurumun görev ve yetki alanına giren konularda yapılan çalışmaların neticesinde, kişisel verilerin korunması konusunda veri koruma bilincinin gün geçtikçe arttığı, bilhassa kişisel verilerin işlenebildiği tüm sektörlerde Kanun’a uyum çalışmalarının hız kazandığı memnuniyetle gözlemlenmektedir.
6698 sayılı Kanun’un ve kurumun bilinirliğinin artırılmasına ve tanıtılmasına yönelik olmak üzere birçok ilde farkındalık toplantıları, seminerler, konferanslar, sempozyumlar şeklinde çok sayıda etkinlik düzenlenmiştir. Bu tür etkinliklerin 2020 yılında da devam ettirilmesi planlanmaktadır. Faaliyetleri kapsamında kişisel veri işlemekte olan şirketler, kamu kurumları ve kamu kurumu niteliğindeki meslek kuruluşları ile gerçek kişilerin, kişisel veri işlemeye başlamadan önce kaydolmak zorunda olduğu Veri Sorumluları Sicil Bilgi Sistemi (VERBİS) kurum tarafından hazırlanmıştır. Sisteme kayıt ve bildirim yükümlülüğü 1 Ekim 2018 tarihi itibariyle başlamıştır. Öte yandan kurum bünyesinde yer alan konferans salonunda genel olarak her hafta veya iki haftada bir çarşamba seminerleri adı altında bilgilendirici ve eğitici seminerler düzenlenmekte olup, bu seminerler herkesin katılımına açık vaziyettedir. Yine kurum bünyesinde kişisel verilerin korunması temalı bir kütüphane oluşturulmuş ve bu alanla ilgilenen herkesin hizmetine sunulmuştur. Kurumun yürütmüş olduğu farkındalık çalışmaları kapsamında çok sayıda rehber, broşür, animasyon film, doküman, kamu spotu vs. hazırlanmakta, kurum internet sayfası ve kurum resmi sosyal medya hesaplarında yayımlanmaktadır. Kurumumuz ‘‘Veri Koruma ve Mahremiyet Komiserleri Uluslararası Konferansı’’ ICDPPC (yeni adıyla Global Privacy Assembly) ''Küresel Mahremiyet Konferansı''na üyedir. Veri koruma ve mahremiyet konularında uluslararası arenada söz sahibi olan otoriteleri bir araya getiren konferans, bu yıl yaklaşık 122 veri koruma otoritesinin üst düzeyde katılım göstermesiyle gerçekleştirilmiştir.
|
Kurumumuz, üyesi olduğu bu önemli konferansa ikinci defa katılım sağlamış olup, konferansın ‘kapalı oturum’ bölümünde ele alınan ve kabul edilmiş olan 6 adet ilke kararından 2 tanesine (Sınır Ötesi Uygulamada Etkin İş Birliği İçin Yeni ve Uzun Dönemli Pratik Araçlar ile Devam Etmekte Olan Hukuki Çalışmaların Teşviki İçin İlke Kararı ve 2019-2021 Stratejik Planı Üzerine İlke Kararı) kurumumuzca eş sponsorluk yapılmıştır. Yurt içinde ise Rekabet Kurumu ve Gazi Üniversitesi ile iş birliği anlaşması imzalanmış olup, bu kapsamda yapılması öngörülen faaliyetlerin hayata geçirilmesi noktasında gerekli adımlar atılmaktadır. Kurumumuz, ülkemizin geleceğinin teminatı olan çocuklar ve gençler için ayrı bir çaba göstermektedir. Veri koruma bilincinin erken yaşlarda zihinlere yerleşmesi ve toplumumuzun geleceğini oluşturan bireylerin veri koruma kültürüyle yetişmesi bakımından çocuklara yönelik veri tayfa etkinliği, üniversite gençliğine yönelik ise kişisel verileri koruma gönüllüsü projesi devam etmektedir. Veri tayfa etkinliği, ‘Rafadan Tayfa’ isimli çizgi filmin kişisel verilere uyarlanmasıyla müzikli gösteri şeklinde meydana gelmiş ve 13 ilde 48 seans olarak planlanmış ve gerçekleştirilmiştir. Etkinliğin amacı 6-12 yaş grubundaki çocuklar ve ebeveynlerinin dikkatini ve ilgisini, kişisel verilere ve bunların korunmasına çekmektir. Kişisel verileri koruma gönüllüsü projesi ise 15 üniversiteden 86 öğrenci ile başlamış olup, proje devam etmektedir. Projenin amacı; üniversite gençliği arasında veri koruma bilincinin ve farkındalığının meydana getirilmesi, bu farkındalığın önce kendilerinde ve üniversitelerinde, sonra ise yakınları ve çevresinde yaygınlaştırılması, bu kapsamda kurum kimliğine uygun ölçülerde çeşitli seminer ve faaliyetlerin gerçekleştirilmesidir.
CyberMag: Kurum olarak; yurt dışına veri aktarımı konusunda daha önce bir yönetmelik yayımlamış ve hangi ülkelerin daha güvenli olduğuna dair bir açıklama getirmiştiniz. Fakat bildiğiniz üzere, veri depolama çözümleri sunan firmaların salt çoğunluğu yabancı menşeli ve veri merkezleri yerel bile olsa, üretim mekanizmaları yurt dışında. Bu minvalde, yurt dışına veri aktarımı konusunda yeni bir yönetmelik yayımlamayı düşünüyor musunuz?
Prof. Dr. Faruk Bilir: Bununla ilgili 2019/125 sayılı Kurul Kararı yayımlandı. Kararda yeterli korumaya sahip ülkelerin belirlenmesinde esas alınacak kriterler belirlendi. Buna göre; karşılıklılık durumu, ilgili ülkenin kişisel verilerin işlenmesine ilişkin mevzuatı ve uygulanması, bağımsız veri koruma otoritesinin bulunması, kişisel verilerin korunması ile ilgili uluslararası antlaşmalara taraf olma ile uluslararası kuruluşlara üye olma durumu gibi birtakım kriterlerin gözetilmesi kurul tarafından karara bağlandı. Burada, kamuoyunda Gmail kararı olarak bilinen 2019/157 sayılı Karar özetinden de bahsedebiliriz. İlgili karar özetinde; Google firmasına ait Gmail e-posta hizmeti altyapısının kullanılması durumunda gönderilen ve alınan e-postaların dünyanın çeşitli yerlerinde bulunan veri merkezlerinde tutulması söz konusu olacağından, böyle bir durumda kişisel verilerin yurt dışına aktarılmış olacağına ve veri sorumlularının söz konusu uygulamayı Kişisel Verilerin Korunması Kanunu’nun “kişisel verilerin yurt dışına aktarılması” başlıklı 9. maddesi hükümlerine uygun olarak gerçekleştirmesi, bununla birlikte sunucuları yurt dışında bulunan veri sorumlularından ve veri işleyenlerden temin edilen saklama hizmetlerinin de Kanun’un 9. maddesi hükümlerine uygun olarak gerçekleştirilmesi istenmiştir.
CyberMag: Diğer yandan, alanın güncel ve dinamik bir yapıya sahip olması, teknolojik gelişmelerden çok hızlı etkilenmesi, uluslararası mevzuatın da bir taraftan sürekli değişmesi, bu alanda faaliyet gösterenlerin ve onların faaliyetlerinden etkilenenlerin ihtiyaçlarının da bu etkenlere bağlı olarak farklılaşması, hem konuya ilişkin daha fazla çalışma yapılmasını, hem karşılıklı bilgi alışverişini güncel tutmayı hem de kurum olarak sahadaki son gelişmeleri takip etmeyi gerektirmektedir. Bu bakımdan kurum olarak gerek kamu sektörü ile gerek özel sektör ile iş birliği halinde çalışıyor musunuz?
Prof. Dr. Faruk Bilir: Sizin de belirttiğiniz gibi kişisel verilerin korunması alanı teknolojik gelişmelerden etkilenen, dinamik bir yapıya sahip olan ve devamlı güncellik isteyen bir alan. Bu durum paydaşlar arasında etkin bir iş birliği ve fikir alışverişi yapmayı gerekli hale getiriyor. Bunun bilincinde olan kurumumuz, hem kamu hem de özel sektörü içine alacak şekilde çeşitli çalışmalar yürütmektedir. Çalıştay ve sempozyumlar başta olmak üzere “güncel gelişmeler’’ başlığıyla çeşitli konferanslar organize ediyoruz. Burada temel amaç, güncel gelişmeler ışığında meydana gelen soru ve sorunları ele almak ve çözüm arayışlarında bulunmak. Bir sorunu çözmek, o sorunu sahibinden dinlemekle başlar. Bu bakımdan konuyla ilgisi olan tüm sektörleri bu vesileyle iş birliğine, birlikte çalışmaya davet ediyorum.
CyberMag: Kişisel veri işlemekte olan gerçek ve tüzel kişi veri sorumlularını, kişisel veri işlemeye başlamadan önce kısa adı VERBİS olan Veri Sorumluları Sicil Bilgi Sistemi’ne kaydolma noktasında zorunlu hale getirdiniz. Bu sistemi kurmanızdaki temel amaç nedir? Sistemi kullanmayı bilmeyen kurum ve kişilere önerileriniz nelerdir? Cezai yaptırımlarınız bulunuyor mu?
Prof. Dr. Faruk Bilir: Aslında bunu kurumdan ziyade Kanun’un 16. maddesi zorunlu hale getiriyor. Kurum ise Kanun’un uygulanmasına yönelik bir amaçla kurulduğundan, bahse konu yükümlülüğün yerine getirilmesi noktasında üzerine düşen uyarı, bilgilendirme ve yaptırım vazifesini ifa etmek durumundadır. VERBİS, şeffaflık ve hesap verilebilirlik ilkeleri gereğinin bir yansıması olarak kamuya açık olarak tutulmaktadır. Bu sistemde hangi tür veriler ne amaçla işleniyor, veriler ne kadar süre saklanıyor, yurt içinde ve yurt dışında kimlere aktarılıyor gibi çeşitli kategorilerden oluşmaktadır. Kişisel verileri işlenen gerçek kişiler, bu sistem üzerinden sorgulama yaparak veri sorumlusunun veri işleme faaliyetleri hakkında bilgi sahibi olabilecek ve iletişim bilgilerini görerek, gerektiğinde hangi adımlardan başvuru yapabileceğini öğrenebileceklerdir. Bu da ilgili kişilere kolaylık sağlayacaktır. VERBİS'e kayıtla asıl hedeflenen; kişisel verilerin işlenmesinde şeffaflığın sağlanması, veri sorumlularının Kanun’a uyum konusunda özen göstermeleri, kişisel veri işlenmesinin disiplin altına alınması, kişisel verisini işlediği kişilere hesap verebilmesi, kişisel verilerin gelişigüzel işlenmesinin önüne geçilmesi ve bu konuda bir kültür ve farkındalık oluşmasının sağlanmasıdır. VERBİS’e kayıt ve bildirim yükümlülüğüne aykırı hareket eden veri sorumluları hakkında 20 bin ile 1 milyon TL arasında değişen miktarda idari yaptırım uygulanacaktır.
CyberMag: Kişisel Verileri Koruma Kurulu daha önce ilk iki grup veri sorumlusu için kayıt süresini uzatmıştı. Bu kez ise tüm veri sorumluları için kayıt süreleri uzatıldı. Kurulu böylesine radikal sayılabilecek bir karar almaya yönelten ana etken nedir?
Prof. Dr. Faruk Bilir: Sicile kayıt ve bildirim yükümlülüğü, sadece süresinde VERBİS’e kayıt olunmasını değil, bununla birlikte VERBİS’e beyan edilen bilgilerin tüm kişisel veri işleme faaliyetlerini kapsayacak şekilde doğru, güncel ve güvenilir bilgilerin de beyan edilmesini kapsamaktadır. Kurul tarafından yapılan değerlendirme sonucunda, bazı veri sorumluları tarafından VERBİS başvuru formlarının kuruma iletilmesi ile yükümlülüğün yerine getirilmiş olduğu düşünülerek bildirim yapılmadığı tespit edilmiştir. Diğer yandan yine veri sorumluları tarafından, kurul kararında öngörülen sürede kayıt ve bildirim yükümlülüğünü yerine getirmek amacıyla yoğun bir şekilde başvuru ve VERBİS üzerinden bildirim iletildiği gözlemlenmiştir. Bunun yanı sıra VERBİS veri tabanı üzerinden iletilen bildirimlerle ilgili olarak yapılan araştırmada, bazı bildirimlerde işlendiği beyan edilen kişisel verilerle işleme amaçlarının, aktarım gerçekleştirildiği beyan edilen alıcı veya alıcı gruplarının, veri konusu kişi gruplarının, alınan teknik ve idari tedbirlerin, özel nitelikli kişisel veriler için alınması gereken yeterli önlemlerin, yurt dışına veri aktarımının ve saklamaya ilişkin beyan edilen sürelerin örtüşmediği, bu konuda ciddi yanlışlıkların ve yönetmeliklere aykırılıkların olduğu görülmüştür. Tüm bu etkenler, kurulu süre uzatımı konusunda bir karar almaya yöneltmiştir. Kararla birlikte tüm veri sorumlularının Kanun’a ve yönetmeliklere uygun bir biçimde kayıt ve bildirim yükümlülüğünü yerine getirebilmesi bakımından 6 aylık ek süre ve toplamda 21 aylık bir süre tanınması öngörülmüş ve bu kapsamda son kayıt tarihleri güncellenmiştir.
CyberMag: Kişisel Verilerin Korunması Kanunu’nun hayatımıza girmesiyle birlikte, kurumlar son kullanıcılardan izin alma yarışına girdi. Ancak bu yarışta sanıldığının aksine sadece müşteri verileri bulunmuyor. Şirketlerin İK departmanlarının elinde bulunan çalışan verileri; hatta başvuru esnasında alınan CV’ler de KVKK kapsamında. Kanunun kurum içi süreçlere sorunsuz bir şekilde adapte edilebilmesi için çalışanlar ve işverenler için önerileriniz nelerdir?
Prof. Dr. Faruk Bilir: Dünya genelindeki veri ihlallerini incelediğimizde hatırı sayılır bir kısmının çalışan hatasından, yani insandan kaynaklandığını görüyoruz. Buradan hareketle veri sorumlusu nezdinde kişisel verilerin korunabilmesi için yapılması gereken en önemli işlerden biri de çalışanların eğitilmesidir. Bununla birlikte veri sorumluları ve bünyelerinde yer alan İK departmanları Kanun’un genelini temsil eden temel ilkeleri baz alarak, özümseyerek hareket etmeli. Bu aşamada veri minimizasyonu ilkesi çok önemli. Yani veri sorumlusu gerektiği kadar veri işleyecek. Zaten bunu yaptığında Kanun’a uygunluk açısından sorun teşkil edebilecek verileri imha edecek veya bu verileri hiç işlemeyecektir. Bu da mevcut riski azaltacaktır. Öte yandan kişisel verilerin işlendiği tüm departmanlarda veri korumanın bir kültür haline gelmesi ve bunun kurumsal kültürün bir parçası haline gelmesi gerekiyor. Bunun için de bilgilerin güncel tutulması, farkındalık çalışmalarının etkin bir şekilde sürdürülmesi gerekmektedir.
CyberMag: “İşlenen verinin veri işleme amacıyla bağlantılı olması gerekmektedir. Örneğin kredi talebinde bulunduğunuz bankanın sizden hobileriniz ve alışkanlıklarınız ile ilgili veriler istemesi amaçla bağlılık ilkesiyle bağdaşmaz. Bir diğeri ölçülülük ilkesine uygunluk sağlanmalıdır. Bu kapsamda biyometrik verilerin gelişigüzel bir şekilde, keyfi uygulamalarla işlenmesi ölçülülük ilkesiyle bağdaşmamaktadır. Bir başkası da, veriler sonsuza kadar muhafaza edilemez. İlgili mevzuatta öngörülen veya işlendikleri amaç için geçerli olan süre kadar muhafaza edilmelidir. Temel ilkelerin herhangi birine uyulmadığında Kanun’a aykırı bir tutum meydana gelmiş olacaktır.” açıklamalarında bulunmuştunuz. Bu doğrultuda veri işlerken belirli bir amacın ortada olması, o amacın meşru olması ve veri işleyenlerin bu konuda açık bir anlatımla kişilerin rızasının alınması gerekir diyebilir miyiz?
Prof. Dr. Faruk Bilir: Az önce de ifade ettiğim gibi Kanun’da yer alan temel ilkeler bu Kanun’un genelini ve ruhunu temsil etmektedir. Bu çerçevede temel ilkelere uygunluk veri işleme faaliyetinin adeta olmazsa olmazı niteliğindedir. Bir diğer önemli husus ise veri işleme şartlarına uygunluk sağlanmasıdır. Açık rıza veri işleme şartlarından biridir. Kişisel veri işlemeden önce tüm veri işleme şartlarına bakılmalıdır. Eğer veri işleme amacı mevcut şartlardan birini karşılamıyorsa açık rıza alma yoluna gidilebilir. Diğer kişisel veri işleme şartlarının varlığı halinde açık rıza alınmasının ilgili kişinin yanıltılması ve yanlış yönlendirilmesi, dolayısıyla veri sorumlusu tarafından hakkın kötüye kullanılması anlamına gelecektir. Bir diğer önemli konu da, en geç veri işleme esnasında amacın belirlenmiş olması ve kişisel verilerin elde edilmesi esnasında aydınlatma yükümlülüğünün yerine getirilmesi gerekmektedir.
CyberMag: Geçtiğimiz ay çok önemli bir gelişme oldu. Veri sorumlularının yapabileceği veri ihlal bildirimleri ile ilgili kişilerin yapacakları şikayetlerin çevrimiçi (online) olarak kuruma iletilebilmesinin önü açıldı. Bu konuya açıklık getirir misiniz?
Prof. Dr. Faruk Bilir: Veri ihlal bildirimlerinin ve ilgili kişilerin şikâyetlerinin dijital ortamlarda yapılabilmesi son derece önemli bir gelişme ve büyük bir kolaylık. Sistemin sorunsuz işleyebilmesi adına uzunca bir süredir bunun altyapısını hazırlamak için çalıştık ve nihayet çalışmalarımızın sonucunda bu mekanizmayı devreye soktuk. Açıkçası kurum olarak bu üzerimizde büyük bir sorumluluktu ve bunu yerine getirdiğimiz için mutluyuz.
CyberMag: 2019 yılının son günlerine doğru Kişisel Verileri Koruma Dergisi’nin 2. sayısı yayımlandı. Makalelere bakıldığında bayağı bir emek verildiği görülüyor. Bu derginin yayımlanmasındaki temel amaç nedir?
Prof. Dr. Faruk Bilir: Kişisel Verileri Koruma Dergisi, kurum tarafından yılda iki kez yayımlanan bilimsel-akademik nitelikli hakemli bir dergidir. Dergide kişisel verilerin korunması, mahremiyet, veri koruma hukuku ve kişisel verilerin güvenliği ile ilgili araştırma ve derleme makaleleri yayımlanmaktadır. Derginin yayımlanmasındaki amaç; kişisel verilerin korunması alanında çalışmalar yürüten akademisyenlere, meslek uzmanlarına ve diğer tüm ilgililere faydalanabilecekleri disiplinler arası bilimsel bir yayın ortamı sunmaktır. Derginin ilk sayısı 2019 Haziran, ikincisi ise 2019 Aralık ayında yayımlandı. 2020 yılında da yine iki defa yayımlanması planlanmaktadır.
CyberMag: Kişisel verilerin korunması açısından düşünecek olursanız sizce 2020 yılında en çok konuşulacak olan konu ne olacak?
Prof. Dr. Faruk Bilir: Tüm dünyada 2020 yılının dijitalleşme konusunda yeni bir döneme kapı aralayacağını, kişisel verilerin korunması alanında ise başta yapay zekâ ve nesnelerin interneti olmak üzere blok zincir teknolojisi ve artırılmış gerçeklik gibi konulardan çokça söz edileceğini düşünüyorum. Özellikle yapay zekânın günlük hayatımıza her zamankinden daha fazla etki edeceğini varsayarsak kişisel verilerin bu durumdan önemli ölçüde etkilenebileceğini düşünmek mümkün. Elbette teknolojiden yararlanılmalı. Fakat yararlanılırken veri güvenliği de ön planda tutulmalıdır.
CyberMag: CyberMag Dergisi, siber dünyadaki riskler ve siber güvenlik konusuna odaklanmış Türkiye’nin ilk basılı ve elektronik dergisi olarak farkındalığı artırmayı ve insanları bilgilendirmeyi amaç edinmektedir. Bu amaçla yola çıkan ve yayın hayatına dört seneyi aşkın bir süredir devam eden dergimiz hakkında düşünceleriniz nelerdir?
Prof. Dr. Faruk Bilir: Dijital çağda veri güvenliğinin tesis edilebilmesi için siber güvenliğin temin edilmesi, siber risk ve tehditlerin farkında olunması ve buna yönelik çözümlerin oluşturulması gerekmektedir. Bunun için de en önemli hususlardan biri bilgi ve bilinç düzeyinin artırılması ve bilgilerin güncel tutulması gerekliliğidir. CyberMag Dergisi gerek zengin konu içeriği gerekse de ciddi yayın politikasıyla alanında beğeni toplayan bir dergi. Güncel gelişmeler ışığında uzun yıllar boyunca yayın hayatına devam etmesini temenni ediyorum.
CyberMag: Eklemek istediğiniz başka bir konu var mı?
Prof. Dr. Faruk Bilir: Kişisel Verilerin Korunması Kanunu’na uyum gösterilmesi hem hukuki hem de teknik boyutları olan bir süreç olup, bu çerçevede kişisel verilerin korunmasına ilişkin alınacak tedbirlerin önemi inkâr edilemez. Kişisel verilerin korunmasına yönelik risk ve tehditlerin her geçen gün artarak nitelikli bir hal aldığı gerçeği göz önünde bulundurulduğunda, sürdürülebilir veri koruma ve uyum politikalarının benimsenmesi gerekmektedir. Buna bağlı olarak, gelişmekte olan tüm ülkelerin içinde yer aldığı süreçlerden biri olan dijital dönüşüm süreci gözlemlendiğinde, söz konusu gereklilik daha da önem kazanmıştır. Bu açıdan ülkemiz dijital dönüşüm sürecine 'milli teknoloji hamlesi' adıyla ve 'dijital Türkiye' parolasıyla katılmış ve bu konuda başarılı adımlar atarak şimdiden dünyadaki yerini almıştır. Dolayısıyla yapay zekâ, blok zincir teknolojisi, nesnelerin interneti gibi veriden değer üretebilen teknolojilerden yararlanılırken ‘’Türkiye’nin verisi Türkiye’de kalmalıdır’’ düşüncesi benimsenerek, veri güvenliği bu süreçlerin ayrılmaz bir parçası olarak görülmüş ve bu kapsamda hareket edilmiştir. Kişisel Verileri Koruma Kurumu ise ‘‘insan değerlidir, değerli bir varlık olan insanın verileri de değerlidir’’ anlayışıyla hareket ederek, 6698 sayılı Kanun’un kendisine verdiği görev ve yetkiler çerçevesinde çalışmalarını sürdürmüştür ve önümüzdeki yıllarda da sürdürmeye devam edecektir.