Dijital tekelleşme, kişisel veri mahremiyeti üzerinde risk ve tehditler meydana getiriyor

Dijital tekelleşme, kişisel veri mahremiyeti üzerinde risk ve tehditler meydana getiriyor

İnternette girdiğimiz her site, bilgisayar ve cep telefonunda kullandığımız her program, yaptığımız bütün aramalarda sanal alemde bir iz bırakıyoruz. Bu “dijital ayak izlerimiz”, Kişisel Verileri Koruma Kurumu (KVKK) Başkanı Prof. Dr. Faruk Bilir’in de dikkat çektiği gibi “karda yürürken ardımızda bıraktığımız izlere” benzemiyor. Çünkü karda bıraktığımız izler bir süre sonra siliniyor, fakat dijital ayak izlerimiz kolay kolay kaybolmuyor. Ve uzun seneler sonra bile hiç beklemediğimiz bir anda olumlu veya olumsuz yönde karşımıza çıkabiliyor. ICT MEDIA Dergisi’nin sorularını cevaplandıran Prof. Dr. Bilir’e göre; veri işlemede şeffaflık son derece önemli. Ancak dünya genelinde yükselen “dijital tekelleşme” kişisel veri mahremiyeti üzerinde çeşitli risk ve tehditleri beraberinde getiriyor.

ICTMEDIA: Bilindiği gibi kişisel verilerin korunmasını isteme hakkı, 2010 yılında yapılan Anayasa değişikliği ile ülkemizde Anayasal güvence altına alındı. Bu hakkın Anayasal güvenceye kavuşturulmasının getirileri, kazanımları nelerdir?

Faruk BİLİR: 2010 Anayasa değişikliği, ülkemizde kişisel verilerin korunması alanında son derece önemli bir reform, hatta dönüm noktası olmuştur.

Bu değişikliğin öncesinde de kişisel veriler ülkemizde çeşitli mevzuat kapsamında koruma altındaydı. Fakat Anayasa değişikliği, kişisel verilerin korunması noktasında bireylere; bilgilendirilme, kişisel verilere erişim, düzeltme ve silme gibi birtakım haklar getirmiştir.

Yine Anayasa değişikliği ile eklenen ilgili hüküm gereği, kişisel veri işlemede uyulacak usul ve esasların Kanunla düzenleneceği öngörülmüştür. Bu açıdan bizzat kişisel verilerin korunması alanına özgü bir düzenlemenin önü açılarak, ülkemizde kişisel verilerin korunmasının temeli atılmıştır. Bunun en önemli kazanımı ise Kişisel Verilerin Korunması Kanununun yürürlüğe girmesidir.

Anayasa, temel hak ve özgürlüklerin garantisi olma niteliği taşımaktadır. 2010 Anayasa değişikliği, kişisel verilerin korunmasını isteme hakkını beraberinde getirirken, aynı zamanda bu hak için üst düzey bir hukuki koruma sağlamıştır.

ICTMEDIA: 6698 sayılı Kişisel Verilerin Korunması Kanunu, yalnızca 33 maddeden oluşmasına rağmen özellikleri ve önemi nedeniyle adından sıkça bahsettiren bir Kanun. Bu durum, bazen Kanunda yer alan hükümlerle ilgili soru işaretlerinin ortaya çıkmasına neden olabiliyor. Bu soru işaretlerinin giderilmesine yönelik yapılan çalışmalar nelerdir?

Faruk BİLİR: Çeşitli etkinlikler düzenleyerek Kanunu, başta kamu kurumları ve özel sektör olmak üzere vatandaşlara, toplumun bütün kesimlerine anlatıyoruz. Bu çalışmaların bir parçası olarak çeşitli rehberler, farkındalık videoları hazırladık ve kamuoyu ile paylaştık. Paylaşmaya devam ediyoruz.

Kanunla ilgili bazı konularda yanlış anlaşılmaların meydana geldiğine ve bunların doğru gibi kabul edildiğine biz de rastlıyoruz. Geçtiğimiz yıl içerisinde, Kanunla ilgili yanlış anlaşılmaları derleyerek ‘Kişisel Verilerin Korunması Kanunu Hakkında Doğru Bilinen Yanlışlar’ ismiyle bir doküman yayımladık. Şimdi ise ‘Doğru Bilinen Yanlışlar 2’ adıyla ikinci dokümanın hazırlanması çalışmalarını başlattık.

Diğer yandan Kurul, Kanunla ilgili görev ve yetki alanına giren çeşitli konularda görüş vermektedir. Bugüne kadar 502 adet hukuki görüş verilmiştir.

Kurul, bir şikâyet veya resen yapılan inceleme sonucunda, bir ihlalin yaygın olduğunu tespit etmişse ilke kararı almakta ve kamuoyunun bilgisine sunmaktadır. Bununla birlikte, şikâyet veya ihbar şeklinde Kuruma gelen başvuruların Kurulca incelenmesi sonucunda alınan kararlara ilişkin Kurul karar özetlerini kişisel veri içermeyecek şekilde anonim hale getirerek belli periyotlarda Kurum internet sayfasında yayımlayarak hem Kurulun görüş ve bakış açısını kamuoyuna yansıtıyor hem de farkındalık oluşturuyoruz.

Ayrıca kişisel verilerin korunmasına yönelik farkındalığı artırmak, Kanun ve ikincil mevzuatın doğru anlaşılmasını sağlamak amacıyla Çarşamba Seminerleri düzenliyoruz. Çarşamba Seminerlerini artık çevrimiçi yayınlayarak daha fazla kişiye ulaşmasını hedefliyoruz.

Özellikle yoğun şekilde kişisel veri işlenmekte olan bazı sektörlerle birlikte gerçekleştirilen çalışmalar sonucunda o sektörde kişisel verilerin korunmasına yönelik iyi uygulama örneklerini içeren kılavuz hazırlanması çalışmasına başladık. Bu sayede ilgili sektör üst kuruluşlarının yönlendirmeleri doğrultusunda, sektörde faaliyet gösteren kurum kuruluş ve işletmelerin Kanuna uyumunu ve farkındalığı geliştirmeye çalışıyoruz.

Ayrıca gençlere, çocuklara ve ailelere yönelik çeşitli programlar hazırlamaktadır. Karikatür, slogan, makale, kısa film gibi yarışmalar düzenlenmekte, kamu spotu ve eğitici video ve animasyonlarla kişisel verilerin korunması mevzuatını daha farklı ve eğlenceli şekillerde anlatılmasını sağlamaya çalışıyoruz.

ICTMEDIA: Aydınlatma yükümlülüğü nedir? Aydınlatma metni, gizlilik politikası ve veri ilkeleri gibi başlıklar altında çok uzun ve okunması zor metinlere rastlanabiliyor. Hayatın olağan akışı içerisinde kişilerin uzun metinlere vakit ayırması pek mümkün görünmüyor. Buna karşı nasıl bir çözüm üretilebilir?

Faruk BİLİR: Aydınlatma yükümlülüğü; veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, kimlere ve hangi amaçla aktarılabileceği, veri toplamanın yöntemi ve hukuki sebebi ve de son olarak kişinin Kanunda sayılan hakları konularında bilgilendirilmesidir. Özetle; en geç verinin elde edilmesi esnasında kişinin bilgilendirilmesidir. Veri işlemede şeffaflık son derece önemlidir. Veri sorumlusu, kişilere karşı şeffaf olmalıdır. Aydınlatmanın olmadığı bir yerde şeffaflıktan bahsedilemez.

Aydınlatma metinleri mümkün olduğu ölçüde kısa, net ve anlaşılır olmalıdır. Herhangi bir şekil şartı bulunmadığından, çeşitli yöntemlerle kişinin bilgilendirilmesi sağlanabilir.

Günümüz şartlarında uzun, okunması ve anlaşılması zor metinler aydınlatmanın mantığıyla bağdaşmamaktadır. Bu tür durumlarda ‘katmanlı aydınlatma’ dediğimiz yöntem uygulanabilir.

ICTMEDIA: Katmanlı aydınlatma nedir, nasıl yapılır?

Faruk BİLİR: Katmanlı aydınlatma; kısaca ön bilgilendirmedir. Verilerin elde edilmesi sırasında, kişiye verilerinin elde edildiği konusunda ön bilgilendirme yapılarak, aydınlatma metinlerine yönlendirilmesini sağlamaktır.

Ön bilgilendirmeden sonra aydınlatma metnini incelemek veya incelememek artık kişinin kendi tercihindedir. Bu yöntem etkin bir biçimde uygulandığı takdirde hem verisi işlenen kişiler için hem de kişisel veri işlemekte olan gerçek veya tüzel kişiler için büyük kolaylık sağlayacaktır.

Katmanlı aydınlatmada sembol ve işaretler kullanılabilir, afiş veya pano şeklinde ise kişi ön bilgilendirmenin ardından web sitesine yönlendirilebilir, kare kod tekniği uygulanabilir, web sitesi üzerinde ise açılır pencere yoluyla veya çağrı merkezi ise tuşlama yoluyla kişi yönlendirilebilir. Burada önemli olan Kanuna aykırı olmayacak şekilde, aydınlatmanın amacına uygun yolların izlenmesidir.

Katmanlı aydınlatmanın, kişisel veri işlenen platformda yapılması önemlidir. Örneğin telefonla çağrı merkezini aradığınızda adınız soyadınız gibi kişisel verileriniz işleniyorsa aydınlatmanın da telefonda tuşlama gibi bir yöntemle yapılması uygun olmakla birlikte tuşlama yerine farklı bir platform olan internet sayfasına yönlendirilmesi doğru bir yöntem olmayacaktır. Hangi platformda kişisel veri işleniyorsa aydınlatma da aynı platformda yapılmalıdır.

ICTMEDIA: Kişisel Verileri Koruma Kurulu bir duyuru yayınlayarak taahhütname başvurusunda bulunan bir şirkete yurt dışına veri aktarımı için izin verildiğini açıkladı. Dolayısıyla ilk defa bir şirketin taahhütname başvurusunu onaylanmış oldu. Böylelikle ''Kurul taahhütnameleri onaylamıyor'' şeklindeki önyargı kırılmış oldu. Bu konuda neler söylemek istersiniz?

Faruk BİLİR: Kanun, kişisel verilerin korunması ile veri temelli ekonomi arasında bir denge gözetmektedir. Doğal olarak Kurul da bu dengeyi göz önünde bulundurarak Türkiye’de yerleşik şirketlerin yurt dışında rekabet gücünün artmasından yanadır. Kurulun daha önce veri sorumlularına yardımcı olması amacıyla taahhütname hazırlama sürecinde usul ve esasa ilişkin dikkat edilmesi gerekenler konusunda bir duyuru yayımlaması, bunun göstergesidir.

Taahhütnamelere izin vermek veya güvenli ülkeleri ilan etmek, Kurulun görev alanı içerisindedir. Ancak Kurul, buna karar verirken Kanunda düzenlenen hükümlere uygun hareket etmek zorundadır. Bu işlemler için Kanunda açıkça kriterler sayılmıştır. Kurulun bu kriterleri göz ardı etmesi beklenemez.

Bahse konu şirket, taahhütnamede yer alan hususları yerine getirdiği için aktarım izni almıştır. Bu izin, bir ilktir ve önemlidir. Çünkü taahhütname yöntemiyle yurt dışına kişisel veri aktarımının imkânsız olmadığını göstermiştir. Bir başka veri sorumlusu da taahhütnamedeki hususları yerine getirdiği takdirde, pek tabii ki Kuruldan izin alacaktır.

ICTMEDIA: Yurt dışına veri aktarımı konusunda başka hangi yollar izlenebilir?

Faruk BİLİR: Kanun, yurt dışına veri aktarımını engellemediği gibi, veri sorumlusuna izleyebileceği yol konusunda seçme şansı vermektedir. Mesela taahhütnamelerin dışında, çok uluslu şirket toplulukları arasında yapılacak veri aktarımları için Bağlayıcı Şirket Kuralları da bir yöntemdir.

İlgili kişilerden açık rıza alma yoluna gidilmesi ise başlı başına bir yöntemdir. Bilindiği gibi yurt dışına kişisel veri aktarımında açık rıza yönteminin tercih edilmesi halinde, ayrıca Kurul iznine gerek bulunmamaktadır.

Bir diğer yöntem ise güvenli ülke mekanizmasıdır. Ancak önemle belirtmek gerekir ki; bu ciddi bir süreçtir. Kurul, Kanunun ilgili hükmüne istinaden güvenli ülkelerin belirlenmesinde dikkate alınacak kriterleri belirlemiş olup, güvenli ülke çalışmaları büyük bir hassasiyetle sürdürülmektedir.

Öte yandan kişisel verilerin yurt dışına aktarılmasına ilişkin diğer kanunlarda yer alan hükümlerin de geçerli olduğunu unutmamak gerekir.

ICTMEDIA: Yurt dışına veri aktarımının olmazsa olmazlarından biri de veri güvenliğiyle ilgili yükümlülüklerin yerine getirilmesidir. Kişisel veri güvenliğinde temel öğeler nelerdir? Bunun yanı sıra veri güvenliğini temin etmenin hukuka uygun veri işleme ile bağlantısı var mıdır?

Faruk BİLİR: Veri güvenliği; gizlilik, bütünlük ve erişilebilirlik olmak üzere üç temel öğeden meydana gelmektedir. Bu öğelerden herhangi biri zarar gördüğü takdirde, veri ihlalinin meydana gelebildiğinden söz edilebilir.

Hukuka uygun veri işleme Kanundaki temel ilkelerden biridir. Bu ilke, Kanundaki diğer temel ilkelerin kaynağını oluşturmaktadır. Hukuka uygun veri işleme bir süreçtir. Dolayısıyla veri işlemenin her aşamasında esas alınmalıdır.

Veri güvenliği, verinin ilk elde edildiği andan itibaren başlar ve imhasına kadar devam eder. Veri güvenliğini temin etmek, hukuka uygun veri işlemenin adımlarından biridir. Kanuna göre veri sorumluları; kişisel verilerin hukuka aykırı işlenmesini, erişilmesini önlemek ve muhafazasını sağlamak için gerekli teknik ve idari tedbirleri almak durumundadır. Bu ifadeden hareketle, teknik ve idari tedbirlerin alınması da aslında hukuka uygun veri işlemeyi meydana getiren unsurlardan biridir diyebiliriz.

ICTMEDIA: Her veri güvenliği ihlali yaptırıma tâbi midir? Eğer değilse bunun için nelere dikkat etmek gerekir?

Faruk BİLİR: Her veri güvenliği ihlali, veri sorumlusu tarafından gerekli tedbirlerin alınmadığı anlamına gelmez.

Teknolojinin gelişmesiyle siber saldırılar da gün geçtikçe nitelikli hale gelmekte ve karmaşık bir yapıya bürünmektedir. Bundan dolayı her ihlal bildirimi kendi özel şartları içerisinde incelenmektedir.

Gerekli bütün önlemlerin alınmasına rağmen yine de bir veri ihlali ile karşılaşılmış ise; veri sorumlusu proaktif bir yaklaşım sergilemiş mi, teknik ve idari tedbirleri uygulamış mı, özel nitelikli kişisel veri işlemiş ise bu hususta Kurulca belirlenerek ilan edilmiş olan “Yeterli Önlemler”i almış ve uygulamış mı, kişisel verilerin gizliliği ve bütünlüğü için yeterli aksiyonları almış mı, bunlar göz önünde bulundurulmaktadır.

Geçtiğimiz günlerde Kurulun yayımladığı bir Karar Özetinde; meydana gelen ihlalin veri sorumlusunun tedbir eksikliğinden kaynaklanmadığı ve gerekli teknik ve idari tedbirlerin alındığı belirtilmiş, gerçekleşen veri ihlal bildirimi ile ilgili yapılacak bir işlem bulunmadığına karar verildiği ifade edilmiştir.

Veri sorumlusu olası bir ihlalin öncesinde ve ihlal sonrasında gerekli olan yükümlülükleri yerine getirmişse, burada idari yaptırım uygulanmayabilir. Buna rağmen bir yaptırım uygulansaydı, o zaman teknik ve idari tedbirleri almanın ve diğer yükümlülükleri yerine getirmenin bir anlamı kalmazdı. Yasal işleyişin önüne set çekilmiş olurdu.

ICTMEDIA: Teknik ve idari tedbirlere örnekler verebilir misiniz?

Faruk BİLİR: Tedbirler, risk ve tehditlerin her zaman bir adım önünde olmalıdır.

Kişisel verilerin güvenliğinin sağlanmasına yönelik teknik ve idari tedbirlerin genel çerçevesi, Kurumumuzun hazırlayıp yayınladığı Kişisel Veri Güvenliği Rehberi’nde çizilmiştir. Buna göre veri sorumlusu konumundaki gerçek veya tüzel kişiler; yetkisiz erişimin önlenmesi, ağ ve uygulama güvenliği, şifreleme, sızma testi, veri maskeleme, güvenlik duvarları, anahtar yönetimi gibi teknik tedbirlerin yanı sıra; gizlilik sözleşmeleri, risk analizleri, periyodik denetimler, çalışanların eğitilmesi ve farkındalık faaliyetleri gibi idari tedbirlerin uygulanması noktasında gereken hassasiyeti göstermelidir.

Bununla birlikte daha önce Kurul Kararıyla yayımlanan özel nitelikli kişisel verilerin işlenmesinde alınması gereken önlemleri de teknik ve idari tedbirlerle birlikte düşünmek gerekir.

ICTMEDIA: Geçtiğimiz günlerde gerçekleştirilen 4. Siber Güvenlik Ekosisteminin Geliştirilmesi Zirvesi'nde yaptığınız konuşmada “Dijital tekelleşmenin kişisel veri güvenliği üzerinde meydana getirdiği risk ve tehditlere karşı veri mahremiyetini savunmalıyız.” şeklinde bir ifade kullandınız. Bu ifadeyi biraz açar mısınız, dijital tekelleşmenin veri mahremiyetine karşı meydana getirebileceği olumsuz etkiler nelerdir?

Faruk BİLİR: Dijital tekelleşme, birçok açıdan irdelenmesi gereken bir konu olmakla birlikte kişisel veri mahremiyeti üzerinde de çeşitli risk ve tehditler meydana getirebilmektedir. Elbette veriden değer üretilebilir, veri temelli bir ekonomik düzende üretilmelidir de.

Ancak dünya genelinde, başta KVKK ve GDPR olmak üzere bu alandaki birçok hukuki düzenlemeyi incelediğimizde karşımıza çıkan sonuç gayet açıktır: Kişisel veriler işlenebilir, fakat işleme faaliyeti hukuka uygun olmalıdır. Bunda bir problem yok. Problem, dijital tekelleşmenin kişisel verilerin sömürülmesi hatta dijital sömürü aracı haline getirilmesi riskini meydana getirmesidir. Dijital tekelleşme, bireylerin kişisel verilerine dair haklarının korunması açısından hukuki muhataplık mekanizmasını da tehdit eder hale gelmiştir.

Dijital ayak izlerimizin geleceğimizi şekillendirebildiği bir dünyada, kişisel verilerin korunması, ''dijital çağda insan kalabilme'' idealine hizmet eden önemli araçlardan biridir. Dolayısıyla bizler, teknolojinin faydalı amaçlarla, insan odaklı bir anlayışla kullanılması gerektiğine inanan insanlar olarak; dijital tekelleşmenin kişisel veri güvenliği üzerinde meydana getirebileceği olumsuzluklara karşı veri mahremiyetini savunmalıyız diye düşünüyorum.

ICTMEDIA: Öne sürdüğünüz bu yaklaşıma karşı, veri koruma kanunları kastedilerek ‘‘regülasyonlar, inovatif çabaları engelliyor’’ denilebiliyor. Dünyada da tartışılan bir konu bu. Sizce hukuki düzenlemeler teknolojinin gelişmesini veya etkin bir şekilde kullanımını sekteye uğratıyor mu?

Faruk BİLİR: Regülasyon, inovasyona engel değildir. Başka bir ifadeyle; kanunlarla getirilen düzenleme ve denetleme mekanizmaları, inovasyona; yani yeniliğe, yeni fikir ve alanların oluşmasına engel değildir. Bilakis regülasyon, yeniliklerin önünü daha güvenli bir şekilde açar. Örneğin Kişisel Verilerin Korunması Kanunu... Amacına uygun şekilde yorumlandığı ve uygulandığı takdirde, hukuki düzenlemelerin teknolojik yeniliklere engel teşkil etmeyeceğinin ve bu yeniliklere itibar kazandırabileceğinin en güzel örneklerinden biridir.

Kanunun uygulanabilirliğini sağlamak, sektörün önünü açar ve itibarı artırır. Kanunun uygulanabilirliği için ise, sektörel bazlı uygulamaların hayata geçirilmesi gerekmektedir.

ICTMEDIA: Biraz önce dijital ayak izlerinden bahsettiniz. Dijital ayak izlerinden yola çıkılarak kişi hakkında önemli bilgiler elde edilebiliyor. Çevrimiçi ortamda geride bıraktığımız izleri azaltmamız mümkün müdür? Eğer mümkünse neler yapabiliriz?

Faruk BİLİR: Dijital ayak izlerimiz, karda yürürken ardımızda bıraktığımız izlere benzemez. Karda yürürken bıraktığımız izler bir süre sonra kaybolur, fakat dijital ayak izlerimiz kolay kolay kaybolmaz. Uzun seneler sonra bile hiç beklemediğimiz bir anda olumlu veya olumsuz yönde karşımıza çıkabilir. Tabii dijital ayak izlerimizi azaltmak için yapabileceğimiz şeyler de var.

Kullanmadığımız uygulamaları silmek, önemli olmayan e-postaları ve internet geçmişimizi temizlemek, kullanmadığımız zaman internet bağlantısını kapatmak, alınabilecek önlemlerden bazılarıdır. Böylelikle internet üzerinde dolayısıyla da bizim kontrol edemeyeceğimiz birçok alanda daha az iz bırakmış oluruz.

Kişi, bazen hiç farkında olmadan kendi veri mahremiyetini zedeleyici davranışlarda da bulunabilir. Bu bakımdan interneti bilinçli ve ölçülü kullanmalı, paylaşımlarımızı farkındalık süzgecinden geçirmeliyiz. Unutmayalım ki; internet sır saklamaz…

ICTMEDIA: Biraz da VERBİS’ten bahsedelim. Kurul, daha önce birtakım kararlar yayımlayarak bazı veri sorumlularını VERBİS’e kayıt yükümlülüğünden muaf tutmuştu. Bu muafiyet hangi kriterlere göre belirleniyor?

Faruk BİLİR: İşlenen kişisel verinin niteliği, sayısı, amacı, muhafaza edilme süresi, verinin işlendiği faaliyet alanı, veri konusu kişi grubu veya kategorileri, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu ile veri sorumlusunun yıllık çalışan sayısı veya yıllık mali bilanço toplamı bilgisi kriterleri göz önüne alınmak suretiyle Kurul tarafından, VERBİS'e kayıt zorunluluğuna istisna getirilebilmektedir.

Ancak şunu da burada vurgulamak gerekir ki, ilgili Kurul Kararlarında belirtilen veri sorumlularının VERBİS'e kayıtla yükümlü tutulmaması, bu veri sorumlularının Kanunda belirtilen yükümlülüklerini ortadan kaldırmaz. Kanundaki yükümlülüklerden sadece birinden istisna tutulmuş olup aydınlatma, veri güvenliği, silme yok etme, genel ilkelere uyum gibi Kanunda belirlenmiş olan diğer yükümlülükler mutlaka yerine getirilmelidir.

ICTMEDIA: Kanuna uyum zorunluluğu bakımından VERBİS yükümlüsü olup olmamanın bir farkı var mıdır?

Faruk BİLİR: VERBİS'e kayıt, belirli kriterleri taşıyan veri sorumluları için, Kanuna uyum ise tüm veri sorumluları için bir yükümlülüktür. VERBİS yükümlülüğünü yerine getirmek, Kanuna uyumun yalnızca bir parçasıdır. VERBİS yükümlülüğü bulunsa da bulunmasa da bir veri sorumlusunun eksiksiz bir biçimde Kanuna uyum sağlaması gerekir.

Aslında VERBİS’e kayıt olduğumuzda ve bildirimleri gereği gibi doğru ve güncel bir şekilde yerine getirdiğimizde kişisel veri işleme süreçlerimizi baştan sona kontrol etmiş oluyoruz. Zira envanter hazırlama ve VERBİS’e kayıt esnasında iş süreçlerimiz çerçevesinde Kanuna aykırı bir kişisel veri işleme faaliyetimiz varsa bunu görüyoruz. Bu da bize Kanuna uyum sağlamak için bir fırsat sunuyor, hatalı iş süreçlerimizi Kanuna uygun bir şekilde dizayn etmemiz gereken alanları bize söylüyor. Bu anlamda VERBİS’e kayıt olmak, bir külfet değil bir fırsat ve otokontrol sağlama aracı olarak görülmelidir.

ICTMEDIA: VERBİS deyince ilk akla gelen şeylerden biri şeffaflık ve hesap verebilirlik. Bu ilkeler sadece VERBİS için mi geçerli, yoksa Kanunun uygulanmasında da bu ilkeleri dikkate almak gerekiyor mu? Özellikle hesap verebilirlik ilkesinin kişisel verilerin korunmasındaki önemi nedir?

Faruk BİLİR: Sizin de bahsettiğiniz gibi VERBİS, şeffaflık ve hesap verebilirlik ilkelerine dayanmaktadır. Kişisel verilerin korunması alanı genel olarak incelendiğinde, hesap verebilirliğin çok daha geniş bir bakış açısıyla düşünülmesi gerekir.

Kanuna uyumun ispatı, en az Kanuna uyum kadar önemlidir.

Hesap verebilirlik, veri sorumlularının Kanuna uyum için yeterli tedbirleri almalarını ve talep edilmesi halinde bunu ispat edebilmelerini gerektiren bir ilkedir.

Dolayısıyla hesap verebilirlik, aslında VERBİS’ten bağımsız olarak Kanunun getirdiği bir yaklaşımdır. VERBİS, hesap verebilirliği temin eden önemli araçlardan biridir.

Daha önce de ifade ettiğim üzere, kişisel veriler hukuka uygun işlenmelidir. Veri sorumlusu, kişisel verileri hukuka uygun işlediğini gerektiğinde ispat edebilmelidir. Örneğin; aydınlatmanın ve açık rızanın ispat yükümlülüğü veri sorumlusundadır. İşte hesap verebilirlik ilkesi, bu ispat yükümlülüğünün yerine getirilmesini tesis etmektedir. Bu yönüyle hesap verebilirlik ilkesi sadece VERBİS ile değil, aynı zamanda veri sorumlusunun yükümlülüklerinin bütünüyle birlikte anılmalıdır. Söz konusu yükümlülüklerin yerine getirildiğinin ispat edilebilir olması, haklı bir beklentidir.

ICTMEDIA: Hesap verebilirlik ilkesinin GDPR’da yer aldığını fakat KVKK’da açıkça yer almadığını görüyoruz. Bunun sebebi nedir?

Faruk BİLİR: Kanun, 95/46 sayılı AB Veri Koruma Direktifi esas alınarak hazırlanmış ve bilindiği gibi 7 Nisan 2016 tarihinde yürürlüğe girmiştir. GDPR (AB Genel Veri Koruma Tüzüğü) ise bundan iki yıl sonra 25 Mayıs 2018’de yürürlüğe girmiştir.

Hesap verebilirlik ilkesi Kanunumuzda açıkça yer almamış olsa da hukuka uygun kişisel veri işleme ilkesiyle ilişkilidir. Kanunda ve Kurul uygulamalarında hesap verebilirlik ilkesinin yansımaları net bir şekilde görülmektedir.

ICTMEDIA: Kanunun dışında Kişisel Verileri Koruma Kurulunun hesap verebilirlik ilkesine yaklaşımı ne şekildedir?

Faruk BİLİR: Kurul, hem Kanunun uygulanmasında hem de ikincil mevzuat kapsamında hesap verebilirliği ve risk temelli yaklaşımın sergilenip sergilenmediğini göz önünde bulunduran bir yaklaşım içerisindedir.

‘Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’e göre, aydınlatmanın yerine getirildiğinin ispatının veri sorumlusuna ait olduğu ifade edilmiştir.

Diğer yandan Kurul, bir veri sorumlusunun kanuni yükümlülüğünü yerine getirmek için işlediği kişisel verileri meşru menfaat çerçevesinde kullanma talebiyle yapmış olduğu başvuruya ilişkin verdiği kararda, hesap verebilirliği açıkça vurgulamıştır.

Öte yandan Bağlayıcı Şirket Kuralları başvurusu için hesap verebilirlik ile ilgili ayrıca bir başlık açılmış, bu kapsamda gerçekleştirilecek veri işleme faaliyetlerinin kaydının ne şekilde tutulacağına dair açıklama talep edilmiştir.

Kurulun gerekli denetimleri yapabilmesi için de veri sorumluları, Kanuna ilişkin yükümlülüklerin yerine getirilmesi noktasında hesap verebilirlik ilkesine uygun şekilde hareket etmelidir. Zira Kanuna göre veri sorumluları, Kurulun inceleme konusuyla ilgili istemiş olduğu bilgi ve belgeleri 15 gün içinde göndermek ve gerektiğinde yerinde inceleme yapılmasına imkân sağlamak durumundadır.

Bu süreçleri pratik bir biçimde yönetebilmenin arka planında hesap verebilirlik ilkesi yatmaktadır. Kurul, bu ilkeyi KVKK-GDPR uyumunu gözeterek ele almaktadır.

ICTMEDIA: Kurul, geride bıraktığımız 2020 yılında kamuoyunda unutulma hakkı olarak bilinen önemli bir karara imza attı. Bu karar sonrasında çok sayıda başvurunun Kurula intikal ettiğini duyuyoruz. Kararla birlikte unutulma hakkına ilişkin kriterler de yayımlandı. Bu kriterlerin amacı nedir?

Faruk BİLİR: Kurul, unutulma hakkına ilişkin taleplerin değerlendirilmesinde; kişinin temel hak ve özgürlükleri ile kamunun söz konusu bilgiyi edinmesinden sağlayacağı menfaatler arasında bir denge testinin yapılmasını ve yarışan menfaatlerden hangisinin ağır bastığının gözetilmesi gerektiğini Kararında açıkça ifade etmiştir.

Bu çerçevede; ‘‘orijinal içerik gazetecilik faaliyeti kapsamında işlenen verileri mi kapsıyor’’, ‘‘arama sonuçlarının öznesi bir çocuk mu’’, ‘‘arama sonuçlarında yer alan bilgi özel nitelikli kişisel veri niteliği taşıyor mu’’, ‘‘arama sonuçlarında ulaşılan bilgi güncel mi’’, ‘‘ilgili kişiye ilişkin bilgi ceza gerektiren bir suçla mı ilgili’’ gibi toplamda 13 kriter belirlendi. İhtiyaç duyulması halinde bu konuda ilave kriterlerin de gündeme gelebileceği açıklandı.

Unutulma hakkı konusunu Kurum olarak biz de çok önemsiyoruz ve geçtiğimiz haftalarda bir Çarşamba seminerini sadece unutulma hakkı konusuna ayırdık, konu hakkında kamuoyunu detaylıca aydınlatmaya çalıştık.

ICTMEDIA: Unutulma hakkı; ifade özgürlüğü, basın özgürlüğü ve kamuoyunun bilgiye erişim hakkını kısıtlar mı?

Faruk BİLİR: Basın özgürlüğü kavramı, toplumun bilgiye ulaşması ve kendi düşüncelerini açıklayabilmesi açısından ifade özgürlüğü kavramıyla bir bütün halinde değerlendirilmelidir.

Anayasamızda koruma altına alınan onur ve itibarın korunmasını isteme hakkı ile basın özgürlüğü ve bu özgürlükle bağlantılı olarak ifade özgürlüğü arasında belli kriterler çerçevesinde bir denge kurulmalıdır.

Kamunun arama sonuçlarına erişiminin sağlanması önemli olmakla birlikte, başkalarının özel ve aile hayatlarının korunması için konulan sınırların da aşılmaması gerekmektedir. Bu durumda, gazetecilik içeriğiyle ilgili olan arama sonuçlarının kaldırılması mümkün olabilir.

Sonuç olarak unutulma hakkı istisnai bir haktır. Dolayısıyla her bir şikâyet özelinde, yarışan menfaatler arasında dengeli bir değerlendirme yapılmalıdır. Doğru açıdan ele alındığında, unutulma hakkının, kamuoyunun bilgiye erişim hakkını kısıtlamadığını düşünüyorum.

ICTMEDIA: Kurulun çeşitli zamanlarda İlke Kararı yayımladığını görüyoruz. Kurul neye göre ve hangi şartlar altında İlke Kararı alabiliyor? Bununla birlikte Kurulun yeni yayımlanan İlke Kararını açıklayabilir misiniz?

Faruk BİLİR: Herhangi bir şikâyet üzerine veya resen yapılan inceleme sonucunda, Kurul ihlalin yaygın olduğunu tespit etmişse ilke kararı alma yetkisine sahiptir. Bugüne kadar 6 İlke Kararı yayımlanmıştır.

Son yayımlanan İlke Kararı; kişilerin telefon numarası, e-posta adresi gibi iletişim kanallarına Kanuna aykırı biçimde gönderilen üçüncü kişilere ait kişisel veriler hakkındadır.

Çeşitli sektörlerde faaliyet gösteren veri sorumluları tarafından; fatura, ekstre, rezervasyon belgesi gibi kişisel veri içeren dokümanların gönderiminde kişi beyanından kaynaklanan yanlışlıkların olabildiği veya başka kişilere ait bilgilerin beyan edilmesi neticesinde, söz konusu dokümanların üçüncü kişilere iletildiği görülmüştür.

Kurul, veri sorumluları tarafından kendilerine bildirilen iletişim bilgilerinin doğruluğunu teyit edecek mekanizmaların oluşturulması adına gerekli teknik ve idari tedbirlerin alınması gerektiğini karara bağlamıştır.

ICTMEDIA: Kurum zaman zaman gençlere yönelik yarışmalar da düzenliyor. Şu anda devam eden yarışmalar var. Bunlarla ilgili bilgi paylaşabilir misiniz?

Faruk BİLİR: Bütün ortaöğretim kurumları öğrencilerinin katılabileceği karikatür ve slogan yarışmalarının yanı sıra yüksek lisans ve doktora öğrencilerinin katılabileceği makale yarışmamız devam ediyor.

Amacımız kişisel verilerin öneminin çeşitli şekillerde anlatılmasını sağlayarak bu konudaki farkındalığı artırmak ve çeşitli eğitim düzeylerinde öğrenim gören gençlerin ilgisini kişisel verilerin korunmasına çekmek ve bu kültürü hayatlarında tatbik etmelerini sağlamak. Yarışmaya katılım gösteren bütün öğrencilere şimdiden teşekkür ediyor, başarılar diliyorum.