KVKK Başkanı Prof. Dr. Faruk BİLİR: Kişisel verilerin güvenliğinden herkes sorumlu

KVKK Başkanı Prof. Dr. Faruk BİLİR: Kişisel verilerin güvenliğinden herkes sorumlu

Dünyada iletişim araçlarının yaygınlaşması, giderek artan veri temelli ekonomi, kişisel verilerin farklı amaçlarla kullanılması tartışmalarını da beraberinde getiriyor. Şirketler ve şahısların talep ettiği verilerin güvenliği günümüzde önemli bir sorun. Türkiye’de 2010'daki Anayasa değişikliğinde eklenen bir fıkra ile kişisel verilerin korunması hakkı anayasal bağlamda düzenlenerek temel bir hak statüsüne kavuştu. Kişisel verilerin korunmasına ilişkin esas ve usuller 7 Nisan 2016'da Resmi Gazete'de yayımlanarak yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu ile düzenlendi. Kanunun uygulanmasını sağlamak, kanun çerçevesinde düzenleyici işlem yapmak ve Türkiye'deki veri işlemeyi disiplin altına almak için Kişisel Verileri Koruma Kurumu (KVKK) kuruldu. Alışverişlerin kişiselleştiği, şirket ve kurumların müşterilerinden daha fazla bilgi istediği günümüzde KVKK, Türkiye'deki kişisel verilerin korunmasını sağlıyor. KVKK Başkanı Prof. Dr. Faruk Bilir, ICT MEDIA Genel Yayın Yönetmeni Murat Pehlivan'ın sorularını yanıtladı ve kişisel verilerin korunması ile kurumun faaliyetlerine ilişkin bilgiler verdi.

ICT MEDIA: Kişisel veri nedir?

FARUK BİLİR:Kişisel veri, kimliği belirli veya belirlenebilir (1)gerçek kişiye ilişkin (2)her türlü bilgiyi (3)ifade etmektedir.

  1. Kişisel veri, ilgili kişinin doğrudan kimliğini gösterebileceği gibi, o kişinin kimliğini doğrudan göstermemekle birlikte, herhangi bir kayıtla ilişkilendirilmesi sonucunda kişinin belirlenmesini sağlayan tüm bilgileri de kapsar.
  2. Kişisel veriden söz edebilmek için, verinin bir gerçek kişiye ilişkin olması ve bu kişinin de belirli ya da belirlenebilir nitelikte olması gerekmektedir. Kişisel veri, gerçek kişiye ilişkin olup, tüzel kişilere ilişkin veriler kişisel verinin tanımının dışındadır.
  3. Her türlü bilgi ifadesi son derece geniş olup, bir gerçek kişinin; adı, soyadı, doğum tarihi ve doğum yeri gibi bireyin sadece kimliğini ortaya koyan bilgiler değil; telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, e-posta adresi, hobiler, tercihler, etkileşimde bulunulan kişiler, grup üyelikleri, aile bilgileri, sağlık bilgileri gibi kişiyi doğrudan veya dolaylı olarak belirlenebilir kılan tüm veriler kişisel veri olarak kabul edilmektedir. Bir verinin kişisel veri olup olmadığı her somut olayın özelliğine göre “kişiyi tanımlayabilme” kabiliyeti dikkate alınarak değerlendirilmelidir

ICT MEDIA: Kişisel verilerin amacı dışında ve izinsiz kullanıldığını düşünen bireyler haklarını nerede ve nasıl aramalıdır?

FARUK BİLİR:6698 Sayılı Kişisel Verileri Koruma Kanunu, ilgili kişilerin Kanunun uygulanmasına ilişkin taleplerini iletebilmeleri ve kişisel verilerine ilişkin haklarını korumaları için bir takım hak arama yöntemleri getirmektedir. Böylelikle ilgili kişiler, kişisel verilerinin korunmasına ilişkin haklarını kullanmak adına doğrudan yargı yoluna başvurmanın yanı sıra Kanunla getirilen diğer hak arama yöntemlerini de kullanabileceklerdir. Kanun ile getirilen hak arama yöntemlerinden ilki 13. maddede düzenlenen veri sorumlusuna başvuru yöntemidir. İkincisi ise 14. ve 15. maddelerde düzenlenen Kişisel Verileri Koruma Kuruluna şikâyettir. Ayrıca Kişisel verilerinin amacı dışında ve izinsiz kullanıldığını düşünen bireylerin hakları ise 11. Maddesinde tanımlanmıştır. Kanunun 11. maddesi çerçevesinde herkes, veri sorumlusuna başvurarak kendisiyle ilgili;

    1. Kişisel verilerinin işlenip işlenmediğini öğrenme,
    2. Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
    3. Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
    • Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
    1. Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
    2. Kanunun 7. maddesinde öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
    3. Maddenin (d) ve (e) bentlerinde belirtilen düzeltme, silme ve yok etme talepleri doğrultusunda yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
    4. İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
    • Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme haklarına sahiptir.



ICT MEDIA: Dijitalleşme birlikte insanlar kişisel verilerini dijital ortamlarda daha sık paylaşmak zorunda kalıyor. Sosyal medyada, alışveriş yaparken, bir siteye üye olurken... kişisel verileri paylaşırken kullanıcıları ne gibi tehlikeler bekliyor? Bir internet kullanıcısı kişisel güvenliğini korumak için neler yapmalı, nasıl davranmalıdır?

FARUK BİLİR:Dijitalleşmenin hayatımızdaki yeri ve önemi her geçen gün artmaktadır. Akıllı saatler, akıllı telefonlar, akıllı evler, akıllı arabalar, akıllı televizyonlar, sayısal asistanlar, vb. yeni nesil teknoloji kullanımının sonucunda kaçınılmaz olarak dijital ortamlarda kişisel veriler toplanmakta ve işlenmektedir. Bu verilerin işlenmesi taraflar açısından kolaylıklar ve avantajlar sağlasa da verilerin istismar edilme riskini de beraberinde getirmektedir. Kişisel verilerin Kanuna uygun olarak işlenmesinde, güvenlik tehditlerine karşı korunmasında veri üzerinde işlem yapan tüm paydaşların sorumluluğu vardır. Ancak veri sahiplerinin güvenini istismarederek amacı dışında Kanuna uygun olmayan kişisel veri işlemeleri dijital ortamlarda kullanıcıları bekleyen en büyük tehlikelerden biridir. Dijital ortamlarda gerek güven istismarının engellenmesi gerekse kişisel veri güvenliğinin sağlanmasında en önemli koruma veri sahibinin siber ortamlardaki tehditler hakkına bilgi sahibi olması ve güvenli teknoloji kullanım alışkanlıkları edinilmesiyle ortaya çıkan farkındalıkla sağlanır. Ayrıca kişisel veri güvenliği konusunda ortaya çıkan bu farkındalığın gelişen teknoloji ve tehditlere göre güncellenerek sürekliliğinin sağlanması gerekir. Kişisel verilerin güvenliğinin sağlanmasında veri sahiplerinden kurumlara, yazılım geliştiricilerden son kullanıcılara, özel sektörden kamuya kadar her kesimin koordinasyon içerisinde Kanuna uygun önlemler alması gerekmektedir. Ancak internet kullanıcılarının kişisel veri güvenliğini sağlamada en büyük sorumluluk ise kendilerine düşmektedir. Özellikle güvenli olmayan sitelere girilmemesi, bilinmeyen kişilerden gelen e-postaların açılmaması, güçlü şifrelerin kullanılması, güvenlik yazılımlarının güncel olması, orijinal yazılımların kullanılması konularına azami dikkat göstermesi kişisel veri güvenliği açısından önemli konulardır. Hukuki ve teknik tedbirlerin yanında kişisel veri koruma bilinci ve güvenlik kültürünün toplum geneline yaygınlaştırılması alınan idari ve teknik tedbirlerin başarılı bir şekilde uygulanabilmesi açısından önemlidir. Kişisel verilerin korunmasında güvenlik bakış açısının günlük yaşamdaki faaliyetlerin doğal bir parçası haline gelmesiyle en zayıf halka olan insan faktörünün en güçlü halka haline gelmesi sağlanacaktır.

ICT MEDIA: Kişisel verileri korumaya yönelik mevcut kanun ve yönetmelikler yeterli mi? Yasa ve yönetmeliklerinde açıkta kalan noktalar var mıdır?

FARUK BİLİR:Kişisel verilerin korunması hakkı ülkemizde 2010 yılında anayasal teminata bağlanmıştır. Bu tarihe kadarki dönemde ise kişisel veriler daha çok genel hukuki düzenlemelerde yer alan hükümler ile korunmaktaydı. Türk Medeni Kanunu ve Türk Ceza Kanununda kişilik hakkı ile kişisel verilerin korunmasına yönelik hükümler ve yaptırımlar bu düzenlemelere örnek gösterilebilir. 2010 yılında ise, Anayasanın 20. maddesineeklenen “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir...” hükmü ile kişisel verilerin korunması ilk kez anayasal bir hak statüsüne kavuşmuştur. Aynı zamanda Anayasanın 20. maddesinin 3. fıkrasında bu hakkın korunmasına ilişkin usul ve esasların belirlenmesi çıkarılacak bir kanuna bırakılmıştır. Bu kapsamda 24 Mart 2016 tarihinde kabul edilen 6698 sayılı Kişisel Verilerin Korunması Kanunu, 7 Nisan 2016 tarihli ve 29677 sayılı Resmi Gazetede yayımlanarak yürürlüğe girmiştir.

28 Ekim 2017 tarihli Resmî Gazetede yayınlanan yönetmelikle kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin usul ve esaslar belirlenmiştir. Yayınlanan bu yönetmelikle Kişisel Veri Saklama ve İmha Politikasının oluşturulması Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi konusunda gerekli olan düzenlemeler yapılmıştır.30 Aralık 2017 tarihli Resmî Gazetede yayınlanan Veri Sorumluları Sicili Hakkında Yönetmelikle ise KVKK tarafından kamuya açık olarak tutulacak olan Veri Sorumluları Sicilinin oluşturulması, idaresi ile Veri Sorumluları Siciline yapılması öngörülen kayıtlara ilişkin usul ve esaslar belirlenmiştir.

Uluslararası belgeler, mukayeseli hukuk uygulamaları ve ülkemiz ihtiyaçları göz önüne alınmak suretiyle hazırlanan Kanun ve ikincil düzenlemeler ile kişisel verilerin çağdaş standartlarda işlenmesi ve koruma altına alınması amaçlanmıştır. Bu kapsamda, kişisel verilerin işlenme şartlarını, kişisel verilerin işlenmesinde kişilerin temel hak ve özgürlüklerinin korunmasını ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenleyen Kanun ve ikincil düzenlemelerin, kişisel verilerin sınırsız biçimde ve gelişigüzel toplanması, yetkisiz kişilerin erişimine açılması, ifşası veya amaç dışı ya da kötüye kullanımı sonucu kişilik haklarının ihlal edilmesi konularında uluslararası düzeyde yeterli bir koruma altyapısı oluşturmaktadır.

ICT MEDIA: Veri madenciliği ile birlikte kişisel verilerin hangi amaçla kullanıldığı sorun teşkil etmeye başladı. İnternet ortamında üretilen verilerin fiziki anlamda nerelerde tutulduğu önemli midir? Bu manada veri merkezi işlemlerine düşen sorumluluklar nelerdir? Buradan hareketle Türkiye’de veri merkezlerinin geleceğini nasıl görüyorsunuz.

FARUK BİLİR:Teknolojinin ilerlemesi ve veri iletişim hızının artmasıyla fiziki ortamdan bağımsız olarak yerinde herhangi bir yatırım yapmadan bilgi teknolojilerinin (işlemci, depolama, ağ vb.) paylaşımlı olarak kullanılmasını sağlayan Bulut bilgi işlem kavramı ortaya çıkmıştır. Bulut bilgi işlem hizmeti veren yerli ve yabancı firmalar altyapı, platform ve yazılım hizmetlerini müşterilerine kendi fiziki mekânlarından paylaşımlı olarak sunarlar.Ayrıca, son zamanlarda bulut ortamında yaşanan güvenlik ihlalleri incelendiğinde yetkisiz erişime dayalı saldırıların da giderek arttığı görülmektedir. Bulut hizmeti veren veri merkezlerinin çoğunluğunun yurt dışında olması, hizmet sunulan ülkenin kanunlarına tabii olması, fiziksel olarak erişilemeyen bilgi işlem ortamlarındaki tüm ilişkinin hizmeti veren tarafa duyulan güvene bağlı olması ise Bulut ortamlarında dikkat edilmesi gereken stratejik öneme sahip konulardır. Özellikle kişisel ve kritik veriler içeren uygulamaların fiziksel olarak ülke sınırları içerisinde olan, ülkemizdeki Kanun ve yönetmeliklere uygun olarak işletilen, ihtiyaç duyulduğunda fiziksel olarak erişilmesi mümkün olan yerli bulut sistemleri üzerinden verilmesi veri güvenliği ve ülkemiz açısından önemlidir. Türkiye’de az sayıda olan yerli bulut çözümlerinin arttırılması gerek kişisel veri güvenliği gerekse ülkemizin bilgi güvenliği açısından önemli bir konu olup yerli bulut hizmeti veren yeni veri merkezlerinin sayısının arttırılması gerekmektedir.