Veri koruma şirketlerde yerleşik bir kültür haline gelmeli

Veri koruma şirketlerde yerleşik bir kültür haline gelmeli

Bilişim teknolojilerinin gelişmesi kişisel verilerin işlenmesini kolaylaştırdı. Bu ise beraberinde çeşitli sorunları getiriyor. Bütün ülkeler karşılaşılan sorunlara karşı veri güvenliğini sağlamak için önlemler alıyor. Türkiye kişisel veriler konusunda öncü ülkeler arasında. 2010 yılında yapılan değişiklikle “kişisel veriler” Anayasa’ya girdi. 2016 yılında ise KVKK Meclis’ten geçti. KVKK Başkanı Prof. Dr. Faruk Bilir, kanunun yürürlüğe girdiği tarihten itibaren kişisel veriler konusunda farkındalık oluşturmaya çalıştıklarını söyledi. ICTMEDIA’nın sorularını cevaplandıran Prof. Dr. Bilir, veri korumanın şirketlerde yerleşik bir kültür haline gelmesi gerektiğini vurguladı.

ICT MEDIA: Öncelikle son dönemde Türkiye'de kişisel verilerin korunması alanında katedilen mesafeyi değerlendirir misiniz?

Prof. Dr. Faruk BİLİR: Kanunun yürürlüğe girmesinden bu yana Kurum, kendisine verilen görev ve yetkiler çerçevesinde kişilerin temel hak ve hürriyetlerinin korunması ile toplumun tüm kesimlerinde kişisel verilerin korunması alanında farkındalık oluşturulmasına yönelik çalışmalarına devam etmektedir. Bu anlamda, kişisel verilerin korunması alanında toplumdaki bilincin her geçen gün daha da arttığı ve özellikle kişisel veri işlenen tüm sektörlerde Kanuna uyum için yapılan çalışmaların hız kazanması memnuniyetle gözlemlenmektedir. Her ne kadar ülkemizde kişisel verilerin korunması alanındaki çalışmalara Avrupa ülkelerinden çok daha sonraki tarihlerde başlanmış olsa da, Kurumun ilgili sektörlerle birlikte gerçekleştirdiği seminer, eğitim, çalıştay ve farkındalık toplantıları, bu alanda aydınlatıcı ve yol gösterici olan Kurul Kararlarının kamuoyuna duyurulması ile Kurumca hazırlanıp yayımlanan rehber, kılavuz, doküman ve broşürler, kamu spotları ve farkındalık videolarının da etkisiyle, günümüzde kişisel verilerin korunması konusunda ciddi bir ilerleme sağladığımızı söyleyebilirim.

ICT MEDIA: Koronavirüs, birçok konuda hayatı olumsuz etkiliyor. Bunlardan biri de kişisel verilerin korunması. Salgın kişisel verileri ve bu verilerin korunmasıyla ilgili uygulamaları nasıl etkiledi?

Prof. Dr. Faruk BİLİR: Tüm dünyayı etkileyen koronavirüs salgınının yayılmasını engellemek ve etkilerini hafifletmek adına kamu kurumları ve özel sektör gerekli adımları atmakta ve çeşitli önlemler almak suretiyle salgınla mücadele etmektedir. Bu önlemlerin alınması sırasında özel nitelikli kişisel veriler de dahil olmak üzere pek çok kişisel verinin işlenmesi kaçınılmazdır. Bu süreçte işlenen kişisel sağlık verileri ile ilgili olarak Kurumun resmi internet sayfasında yayımlanan kamuoyu duyurularında, öncelikli olarak sağlık hizmetlerinin sağlanmasının ve kamu sağlığının korunmasının esas olduğu vurgulanmıştır. Yine, kişisel verilerin işlenmesi gerektiği durumlarda Kanun hükümlerine uygun işlenmesinin sağlanması ile veri güvenliğine yönelik gerekli teknik ve idari tedbirlerin alınmasının önem arz ettiği ifade edilmiştir. Ayrıca veri sorumlularının, Kurulun COVID-19 sürecinde yayımladığı kamuoyu duyurularını dikkate alarak kişisel veriler konusunda azami özen göstermesi gerektiğini bu vesileyle hatırlatmak isterim.

ICT MEDIA: Kanunun uygulanması ve eksikliklerin giderilmesine yönelik paydaşlarınızla bir araya geliyor musunuz?

Prof. Dr. Faruk BİLİR: Kişisel verilerin korunmasında proaktif ve çözüm odaklı bir yaklaşım benimsenmelidir. Bu durum paydaşlar arasında etkin bir iş birliği ve fikir alışverişi yapmayı gerekli hale getiriyor. Bunun bilincinde olan Kurumumuz, hem kamu hem de özel sektörü içine alacak şekilde çeşitli çalışmalar yürütmekte. Burada temel amaç, güncel gelişmeler ışığında meydana gelen soru ve sorunları ele almak ve çözüm arayışlarında bulunmak. Bu çerçevede 2020 yılı içerisinde 64 etkinlikte yer alarak paydaşlarımızla bir araya geldik.

İnanıyorum ki; gösterilen çabaların karşılığını alarak bireylerin en üst düzeyde korunmasını, teknolojik gelişmelere ve zamanın ruhuna uygun olarak veri koruma kültürünün yaygınlaşmasını sağlayacağız.

ICT MEDIA: Sizce, Kişisel Verilerin Korunması Kanununa uyum sağlamanın şirketler açısından ne gibi avantajları var? Kanuna uyumun bireyin korunmasından başka artıları var ise bunlar nelerdir?

Prof. Dr. Faruk BİLİR: Kanuna uyum süreci yalnızca bireylerin kişisel verilerinin güvence altında olmasını değil, şeffaflığı ve güven ilişkisini tesis ederek verimli ekonomik ilişkilerin kurulmasını da sağlamaktadır. Bu bağlamda, kişisel verilerin korunması alanında yeterli farkındalığa sahip, mal ve hizmet sunumlarını bu hususu dikkate alarak tasarlayan ve bireylere kişisel verileri üzerinde gerekli kontrol imkanını hakkıyla sağlayan şirketlerin sadece itibarı değil, rekabet gücü de artacaktır. Ulusal ve uluslararası ölçekte rekabet gücünün artması için veri korumanın şirketlerde yerleşik bir kültür haline gelmesi gerekir.

Veri koruma kültürü; aslında Kanunun günlük hayatımıza ve davranışlarımıza yansıması, kişisel verileri korumanın kurumsal kültürün bir parçası haline gelmesidir. Uygulama alanının genişliği ve kişisel veri işleme faaliyetinde bulunacak firmaların organizasyonlarının ve iş süreçlerinin farklılık göstermesi nedeniyle Kişisel Verilerin Korunması Kanunu, bu alana ilişkin temel ilkeler ile usul ve esasları belirleyen çerçeve nitelikte bir Kanundur. Bu anlamda Kanun, yalnızca prensipleri belirlemekte, bunları uygulamada ve hukuka uygun bir işleme faaliyetinin gerçekleştirilmesinde takip edilecek yol haritasını seçmede veri sorumlusu şirketlere hareket alanı tanımaktadır.

ICT MEDIA: Son zamanlarda çevrimiçi ortamlarda paylaşılan kişisel bilgilerin yoğunluğu ve sahte içeriklerin yaygınlaşması dikkat çekici boyutta. Bu duruma karşı tavsiyeleriniz nelerdir? Bilgilerimizin güvenliği için neler yapabiliriz?

Prof. Dr. Faruk BİLİR: Dikkat ve farkındalık, veri güvenliği açısından son derece önemlidir. Bu, hem veri sorumlusu şirketler hem de kişisel verisi işlenen kişiler için geçerlidir. Çevrimiçi ortamlarda bireylerin kişisel verilerini koruyabilmeleri ve çeşitli mağduriyetlere karşı güvende olabilmeleri için ‘dikkatli’ olmaları gerekir. Özellikle salgın süreciyle birlikte tüm dünyada bilgi kirliliği ciddi derecede artış göstermiştir. Bu açıdan yanıltıcı ve zararlı içeriklere itibar etmemek, resmi açıklamaları dikkate almak gerekmektedir. Sahte ve gerçek dışı duyurular, kişisel veri güvenliği için risk teşkil etmektedir. Bu tarz kötü niyetli paylaşımların bizleri maddi ve manevi açıdan zor durumda bırakabileceğini unutmayalım. Alacağımız basit tedbirlerin dahi bizleri birçok tehlikeden uzaklaştırabileceğinin farkına varalım. Kişisel verilerimizin hayatımızı nasıl etkilediğinin farkında olalım ve buna göre hareket edelim. Sosyal medyayı gelişigüzel kullanmak yerine bilinçli bir şekilde kullanalım. Bunu da gizlilik ve güvenlik ayarlarını düzenleyerek, güçlü parolalar kullanarak ve hukuka aykırılık teşkil eden paylaşımlardan kaçınarak gerçekleştirebiliriz. Aksi takdirde sadece kendi verilerimizi değil, yakınlarımızın ve başka kişilerin de kişisel verilerini riske atmış oluruz.

ICT MEDIA: Dikkat ve farkındalık için ‘‘çok önemli’’ dediniz. Bu ifadenizden yola çıkarak sormak istiyoruz; güvenlik için başka neler önemlidir?

Prof. Dr. Faruk BİLİR: Diğer önemli husus da teknik ve idari tedbirlerin alınmasıdır. Fakat bilinç, dikkat ve farkındalık gibi kavramları içselleştirmek ve bu kavramların anlamına uygun şekilde hareket etmek, kişisel veri güvenliğinin temini bakımından neredeyse teknik ve idari tedbirlerin varlığı kadar önemlidir.

ICT MEDIA: Kişisel verilerin korunması alanında güncel konu başlıklarından birisi de yurt dışına veri aktarımı. Kurulun yurt dışına veri aktarımı ile ilgili yaptığı çalışmalardan söz edebilir misiniz? Bunun dışında 6698 sayılı Kanunun yurt dışına veri aktarımını zorlaştırdığı zaman zaman öne sürülüyor. Bu konuda neler söylemek istersiniz?

Prof. Dr. Faruk BİLİR: Daha önce yurt dışına veri aktarımıyla ilgili olarak taahhütnameler yayımlanmış ve söz konusu taahhütnamelerde yer alacak asgari unsurlar belirlenmişti. Bunun dışında, yeterli korumaya sahip ülkelerin belirlenmesinde esas alınacak kriterler de kamuoyuna duyurulmuştu. Kurul, 2020 yılında da yurt dışına veri aktarımı konusu ile ilgili önemli çalışmalar yaptı. Örneğin; yurt dışına kişisel veri aktarımında hazırlanacak taahhütnamelerde usul ve esasa ilişkin dikkat edilmesi gereken hususlar hakkında duyuru yapılarak, taahhütnamelerin nasıl hazırlanması gerektiği açıklandı. Bunun yanı sıra, çok uluslu şirket toplulukları arasında yapılacak veri aktarımları bakımından uygulama pratiğini sağlama amacıyla Bağlayıcı Şirket Kuralları yayımlandı. Bağlayıcı Şirket Kuralları ile ilgili başvuru formu ve yardımcı doküman kamuoyu ile paylaşıldı. Diğer taraftan, veri aktarımı konusunda veri sorumlularına yol gösterici nitelikteki çeşitli Kurul Kararları başta olmak üzere konuyla ilgili bilgilendirmelerin yer aldığı broşür ve rehberler Kurum internet sayfasında yayımlanmaktadır. Güvenli ülke çalışmaları ise devam etmektedir.

Diğer sorunuza gelecek olursak; Kişisel Verilerin Korunması Kanunu yasaklayıcı değil, düzenleyici bir Kanundur. Bu anlamda Kanun, bir yandan temel hak ve özgürlüklerin korunmasını, diğer yandan ise veri işlemenin disiplin ve düzen altına alınmasını amaçlamaktadır. Bundan dolayı Kanun ve ikincil mevzuatı; kişisel verilerin hiçbir şekilde işlenmemesi olarak değerlendirilmemelidir. Aksine Kurumumuz, veri temelli ekonominin gün geçtikçe önem kazandığı günümüzde, kişisel verilerin hukuka uygun, bireylerin kontrolünden ödün vermeden ve şeffaf bir biçimde işlenmesi sonucu elde edilecek katma değerin öneminin farkındadır ve bu farkındalıkla faaliyetlerini sürdürmektedir.

Bu kapsamda kişisel verilerin yurt dışına aktarılmasında; taahhütname bir yöntemdir, bağlayıcı şirket kuralları diğer bir yöntemdir, ilgili kişilerden açık rıza alma yoluna gidilmesi de başlı başına bir yöntemdir. Özellikle açık rıza, yurt dışına veri aktarımında tek başına yeterli olan bir hukuka uygunluk sebebidir. Öte yandan kişisel verilerin yurt dışına aktarılmasına ilişkin diğer kanunlarda yer alan hükümlerin saklı olduğunu da unutmamak gerekir.

ICT MEDIA: Kişisel verilerin 108 sayılı Sözleşme dayanak gösterilerek yurt dışına aktarılması hakkında Kurulun almış olduğu bir karar var. Az önceki soruyla birlikte düşünecek olursanız, bu hususta neler söylemek istersiniz?

Prof. Dr. Faruk BİLİR: Kişisel Verileri Koruma Kurulu, yabancı ülkede yeterli koruma bulunup bulunmadığına ve yeterli koruma bulunmaması durumunda veri aktarımına izin verip vermeyeceğine karar verirken bazı hususları göz önünde bulundurmak durumundadır. Bu kapsamda Türkiye’nin taraf olduğu uluslararası sözleşmeler, kişisel veri talep eden ülke ile Türkiye arasında veri aktarımına ilişkin karşılıklılık durumu, kişisel verinin niteliği ile işlenme amaç ve süresi, verinin aktarılacağı ülkenin konuyla ilgili mevzuatı ve uygulaması, ilgili yabancı ülkede bulunan veri sorumlusu tarafından taahhüt edilen önlemler Kurul tarafından değerlendirilmektedir. Bu bilgiler ışığında; 108 sayılı Sözleşmeye taraf olmanın Kurul tarafından yapılacak değerlendirmede olumlu bir unsur teşkil edeceği aşikardır. Ancak söz konusu Sözleşmeye taraf olma, AB uygulamasında olduğu gibi 6698 sayılı Kanun kapsamında güvenli ülke statüsü tayini bakımından tek başına yeterli değildir. Dolayısıyla, sadece 108 sayılı Sözleşmeye dayanılarak kişisel verilerin yurt dışına aktarılması mümkün değildir. Bununla birlikte Kurulun, davranış kuralları ve standart sözleşmeler hakkında çalışmakta olduğunu da belirtmek isterim.

ICT MEDIA: Kurulun 2020 yılında aldığı en dikkat çekici kararlardan biri kuşkusuz unutulma hakkı ile ilgili alınan karar. Öncelikle unutulma hakkı ne demektir? Kurulun unutulma hakkına yönelik karar almasındaki ana etken nedir?

Prof. Dr. Faruk BİLİR: Unutulma hakkı; “bireyin geçmişte hukuka uygun olarak yayılmış ve doğru nitelikteki bilgilerinin zamanın geçmesine bağlı olarak erişimden kaldırılmasını ya da gündeme getirilmemesini talep edebilmesi” olarak tanımlanmaktadır. Unutulma hakkını tamamen yeni bir hak olarak düşünmemek lazım. Geçmişte benzer yaklaşımlarla bilginin silinmesi hakkı, bilinmeme hakkı ve toplumsal unutkanlık gibi kavramların kullanıldığına rastlamak mümkün. Ancak unutulma hakkının bunlardan daha farklı olduğunu da belirtmeliyim. Kuruma intikal eden çeşitli başvurularda; kişilerin medya kuruluşlarına ait çeşitli internet sitelerinde yer alan haberlerde geçen isim ve soy isimlerinin ya da haberlerin Kişisel Verilerin Korunması Kanunu hükümleri kapsamında silinmesinin talep edildiğini görmekteyiz. Yoğun şekilde gelen bu tür taleplerin “unutulma hakkı” kapsamında bir bütün olarak ele alınması ve bu çerçevede değerlendirilmesi ihtiyacı ortaya çıkmaktadır. Unutulma hakkı üst bir kavramdır. Kişisel Verilerin Korunması Kanununda yer alan silme ve anonim hale getirme işlemleri ise söz konusu unutulma hakkını tesis etmeye yönelik bir araçtır.

ICT MEDIA: Unutulma hakkından yararlanmak isteyen kişiler nasıl bir yol izlemeli?

Prof. Dr. Faruk BİLİR: Karara göre; arama motorları, 6698 sayılı Kanunun 3. maddesinde yer verilen tanım çerçevesinde “veri sorumlusu’’ olarak kabul edildi, arama motorları tarafından gerçekleştirilen faaliyetler de “kişisel veri işleme’’ faaliyeti olarak değerlendirildi. Buradan hareketle; Kanun gereği ilgili kişilerin, arama sonuçlarının indeksten çıkarılmasına yönelik talepleri ile ilgili olarak öncelikle arama motorlarına başvuruda bulunmaları gerekmektedir. Veri sorumlusu arama motorlarının söz konusu talepleri reddetmeleri veya başvuru sahibine cevap vermemeleri halinde Kurula şikâyette bulunulabilir. Bu kişiler, Kurula şikâyet seçeneğini tercih ederken, aynı zamanda doğrudan yargı yoluna da gidebilir.

ICT MEDIA: Kurul unutulma hakkı ile ilgili Kararla birlikte birtakım kriterler de yayımladı. Bu kriterlerin yayımlanmasındaki amaç nedir?

Prof. Dr. Faruk BİLİR: ‘‘Arama sonuçlarının öznesi bir çocuk mu’’, ‘‘bilginin içeriği doğru mu’’, ‘‘arama sonuçlarında yer alan bilgi özel nitelikli kişisel veri niteliği taşıyor mu’’, ‘‘arama sonuçlarında ulaşılan bilgi güncel mi’’, ‘‘arama sonucunda yer alan bilgi kişi açısından bir risk doğuruyor mu’’, ‘‘orijinal içerik gazetecilik faaliyeti kapsamında işlenen verileri mi kapsıyor’’, ‘‘ilgili kişiye ilişkin bilgi ceza gerektiren bir suçla mı ilgili’’ gibi 13 kriter belirlendi. İhtiyaç duyulması halinde bu konuda ilave kriterlerin de gündeme gelebileceği açıklandı. Unutulma hakkı istisnai bir haktır. Kurul, bu yöndeki taleplerin değerlendirilmesinde; kişinin temel hak ve özgürlükleri ile kamunun söz konusu bilgiyi edinmesinden sağlayacağı menfaatler arasında bir denge testinin yapılmasını ve yarışan menfaatlerden hangisinin ağır bastığının gözetilmesi gerektiğini Kararında açıkça ifade etmiştir.

ICT MEDIA: Kurum olarak yurt dışındaki muadil kurum ve kuruluşlarla da temas halindesiniz. Kurumun bu yılki yurt dışı faaliyetlerinden de söz eder misiniz?

Prof. Dr. Faruk BİLİR: Kişisel verilerin korunması alanında diğer ülkelerin veri koruma otoriteleri ile iş birliği ve bilgi paylaşımına yönelik faaliyetler yürütmekteyiz. Bu kapsamda, Avrupa Konseyi Toplantıları ile Uluslararası Veri Koruma ve Mahremiyet Otoriteleri Konferansına katılım sağlanarak bilgi alışverişinde bulunduk. Bilindiği gibi Kurumumuz, kişisel verilerin korunması ve mahremiyet alanında önemli çalışmalar yapan ve uluslararası bir organizasyon olan Küresel Mahremiyet Konferansına üyedir. Bu yıl Konferansa üçüncü kez katılım sağlandı. Hatta daha önceki süreçte, salgın döneminde kişisel verilerin korunması hakkındaki çalışmalarımızın önemli bir bölümü Küresel Mahremiyet Konferansı’nın tüm dünya ülkelerinin erişimine açtığı bilgi havuzunda yerini aldı. Bunun yanı sıra Kurumumuz, Avrupa Veri Koruma Otoriteleri Konferansına akredite olma hakkı kazanmış olup, 2020 yılında toplamda 17 yurt dışı çevrimiçi çalışma toplantısına katılım sağlamıştır.

ICT MEDIA: Biraz da VERBİS'ten bahsetmek istiyoruz. VERBİS'te son durum nedir? VERBİS’e kayıtlar devam ediyor mu?

Prof. Dr. Faruk BİLİR: VERBİS; yeni kayıt başvurusu, bildirim girişi veya güncellemeler nedeniyle sürekli açık bir sistem. Dolayısıyla VERBİS'e kayıtlar şu anda devam ediyor. Bugüne kadar yaklaşık 60.000 kayıt gerçekleşti. VERBİS'e kayıt yükümlülüğünün yerine getirilmesi esnasında veri sorumluları ve irtibat kişilerine rehberlik edilmesi, kayıt ve bildirim girişi aşamaları ile ilgili detayların görüntülenebilmesi amacıyla hazırlanan rehber, kılavuz ve videoları, kamuoyunun kullanımına sunduk. Veri Sorumluları Siciline kayıt yükümlülüğü bulunanlar, bu çalışmalardan da faydalanabilirler.

ICT MEDIA: Dijitalleşme süreciyle birlikte siber risk ve tehditlerde artış meydana geldi. Bunun sonucunda yaşanan veri ihlalleri de zaman zaman konuşulmakta. Kanuna göre veri ihlallerinin Kuruma bildirilmesi gerekiyor. Bugüne kadar Kuruma iletilen veri ihlal bildirimi sayısı nedir? Bunlardan kaç tanesi kamuoyuna duyuruldu? Buna ek olarak diğer istatistiksel bilgilerden de söz edebilir misiniz?

Prof. Dr. Faruk BİLİR: Veri sorumlusu; kişisel verilerin hukuka aykırı olarak işlenmesini, erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla gerekli olan her türlü teknik ve idari tedbirleri almak durumundadır. Veri ihlali gerçekleşmesi halinde Kurula ve ilgili kişilere bildirimde bulunmak, Kanun açısından veri güvenliğine ilişkin yükümlülükler arasındadır. Bugüne kadar Kurula 366 veri ihlal bildirimi intikal etmiş olup, bunlardan 67 tanesi Kurum internet sayfasında ilan edildi. Bununla birlikte 6187 ihbar ve şikâyet başvurusu alındı. Bunlardan 4468 tanesi sonuçlandırıldı. Kurulun görev ve yetki alanına giren 457 konuda ise hukuki görüş verildi.

ICT MEDIA: Veri ihlali yaşanması halinde hem Kurula hem de ihlalden etkilenen kişilere bildirimde bulunmak gerekiyor. Bir gerçek veya tüzel kişi veri sorumlusunun ihlal bildirimini hangi süre zarfında yapması gerekir?

Prof. Dr. Faruk BİLİR: Kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirmek zorundadır. Kanunda geçen ''en kısa sürede'' ifadesi, Kurulun almış olduğu karar neticesinde AB Genel Veri Koruma Tüzüğüne (GDPR) uyumlu olacak şekilde 72 saat olarak belirlenmiştir. Burada dikkat edilmesi gereken nokta şudur; 72 saatlik süre, Kurula bildirim için geçerli olan süredir. İhlalden etkilenen kişilere yapılacak bildirim ise makul süre içerisinde, yani en kısa sürede gerçekleştirilmelidir.

ICT MEDIA: Veri ihlal bildiriminde bulunmanın temel amacı nedir? İhlalden etkilenen kişilere bildirim yapılırken hangi bilgiler paylaşılmalıdır?

Prof. Dr. Faruk BİLİR: Kurula ve ilgili kişilere bildirim yapılmasındaki amaç; ihlal nedeniyle ortaya çıkan veya çıkması muhtemel olan olumsuz sonuçların ivedilikle önüne geçilmesi veya bu olumsuz sonuçların etkilerinin minimum seviyeye indirilmesidir. Bu sebeple Kurul, veri ihlallerinde verisi ele geçirilen kişilerin maddi ve manevi zararlarla karşı karşıya kalma ihtimali olduğundan, ihlal bildirimlerini öncelikli olarak gündemine almaktadır. Veri ihlalinden etkilenen kişilere bildirim yapılırken anlaşılır, açık ve yalın bir dil kullanılmalıdır. Asgari olarak; ihlalin ne zaman gerçekleştiği, kişisel veri/özel nitelikli kişisel veri şeklinde kategorize edilerek hangi verilerin ihlalden etkilendiği, ihlalin olası sonuçları, olumsuz etkilerin azaltılması için alınan ve ilgili kişiler tarafından alınması önerilen tedbirler konusunda bilgiler verilmelidir. Buna ek olarak ihlalden etkilenen kişilerin bilgi almalarını sağlayacak iletişim kanalları da yine bu kişilerin dikkatine sunulmalıdır. Ayrıca veri sorumluları, veri ihlali bildirim formunu doldururken tereddüt edilen hususlarda Kurumla iletişime geçebilirler.

ICT MEDIA: Bir veri sorumlusu Kanunda öngörülen teknik ve idari tedbirleri almasına rağmen yine de bir ihlal ile karşı karşıya kalmış ise, Kurulun bu konuya yaklaşımı ne şekilde olacaktır?

Prof. Dr. Faruk BİLİR: Meydana gelen her veri ihlali, veri sorumlusu tarafından gerekli tedbirlerin alınmadığı anlamına gelmez. Teknolojinin gelişmesiyle doğru orantılı olarak siber saldırılar da gün geçtikçe artış göstermekte ve karmaşık bir yapıya bürünmektedir. Kişisel Verileri Koruma Kurulu her ihlal bildirimini kendi özel şartları içerisinde, olay bazlı olarak inceler. Gerekli bütün önlemlerin alınmasına rağmen yine de bir veri ihlali ile karşılaşılmış ise; veri sorumlusu proaktif bir yaklaşım sergilemiş mi, Kurum tarafından yayınlanan Kişisel Veri Güvenliği Rehberi’nde belirlenen tedbirleri uygulamış mı, özel nitelikli kişisel veri işlemiş ise bunlar için gerekli olan ek tedbirleri uygulamış mı, kişisel verilerin gizliliği ve bütünlüğü için yeterli aksiyonları almış mı, bunlar göz önünde bulundurulur.

ICT MEDIA: Yapılan çalışmalara ve verdiğiniz bilgilere baktığımızda Kurulun yoğun bir şekilde çalıştığını söyleyebiliriz. Devam eden çalışmalarınız var mı? Varsa bunları paylaşabilir misiniz?

Prof. Dr. Faruk BİLİR: Kanunun amaç ve kapsamı doğrultusunda kurumsal faaliyetlerimizi aralıksız sürdürmekteyiz. Biyometrik ve genetik veriler, sektörel bazda iyi uygulama örnekleri, çerezler, davranış kuralları, sertifikasyon ve KVKK-GDPR uyum çalışmaları gibi devam eden ve diğer yapacağımız çalışmalarla, temellerini atmış olduğumuz veri koruma kültürünün ülkemizde yerleşik bir kültür haline gelmesi için gereken adımları atmaya devam edeceğiz. Bunların dışında Kurumumuzda gelenekselleşen fakat pandemi nedeniyle ara verdiğimiz Çarşamba Seminerlerine de önümüzdeki haftadan itibaren çevrimiçi (online) olarak devam edeceğiz.

ICT MEDIA: Son olarak eklemek istedikleriniz?

Prof. Dr. Faruk BİLİR: Kişisel verilerin korunması alanında sorumluluk sadece kamu kurumları ile şirketlerde olmayıp, kişisel verisi işlenen kişilere de bu anlamda sorumluluk düşmektedir. Kanun, gerçek kişilerin kişisel verilerini koruma altına almış olup herkes, kişisel verilerini işleyen gerçek ve tüzel kişilerden kendi kişisel verileriyle ilgili bilgi talep etme hakkına sahiptir. Bireyler, kendi kişisel verilerinin neden işlendiğini sorgulamalı, gerçekten gerekliyse ve Kanunda belirtilen işleme şartlarından birisi varsa işlenmesinin hukuka uygun olduğunu bilmelidir. Kısacası kontrol, bizde olmalıdır. Çünkü bireyin hayatına hâkim olması, kişisel verileri üzerinde kontrol ve söz sahibi olmasıyla mümkündür.