ICT Media
Son yıllarda en çok duyduğumuz kavramlardan biri: Veri. Kişisel Verileri Koruma Kurulu (KVKK) Başkanı Cabir Bilirgen’in de vurguladığı gibi “veri” bir güçtür. Kontrolsüz güç ise güç değildir, kişisel verilerin yanlış ellere geçmesi mağduriyetleri de beraberinde getirir. Global şirketler içinde en yüksek ciroya sahip 10 şirketten en az 4’ü cirolarının önemli kısmını kişisel verileri işleyerek elde ettiği günümüzde verilerin düzenlenmesi, koruma altına alınmasının önemi daha da artıyor. Bu sayımızda KVKK ikinci Başkanı Cabir Bilirgen’le kişisel veriler ve bu verilerin korunmasını konuştuk. ICTMEDIATV youtube kanalından da yayınlanan röportajda Bilirgen herkesin tatile hazırlandığı bir dönemde temel bir soruyu da cevapladı: “Otellerde kimlik fotokopisi alma maksadını aşan bir uygulama.”
ICT MEDIA: Sayın Cabir Bilirgen, son zamanlarda veri özellikle önem kazanmaya başladı. Pandemi süreciyle birlikte kişisel veri kavramı yeniden öne çıktı. Veri nedir, kişisel veri ne demektir? Kişisel verilerimizi güvence altına almak için oluşturulan Kişisel Verileri Koruma Kurulu hakkında bize biraz bilgi verir misiniz?
Cabir BİLİRGEN: Veri güçtür diye başlamak istiyorum sözlerime. Kişisel veriler bu nedenle çok önem kazandı. Sizin de söylediğiniz gibi global şirketlere baktığımızda en fazla ciroya sahip firmaların kişisel verileri işleyen firmalar olduğunu görüyoruz. Veri o kadar değerli ki whatsapp buna örnek olarak gösterilebilir. Hiçbir reklam geliri elde etmeden milyar dolarlık bir hacme ulaşan bu şirket, sadece veri işleyerek bu noktaya geldi. Bunun yanı sıra facebook, instagram gibi şirketler de sadece bizlerin beğenilerini takip edip, işleyerek, globalde ciddi gelirler elde ediyor. Kısacası bu şirketler bizlerden ücret almıyor ama bizim paylaşımlarımız dolayısıyle bizleri ücret olarak değerlendiriyor.
Kişisel verilerimiz 2010 yılında yapılan düzenlemede Anayasa’nın 20. maddesine yapılan bir ekleme ile Anayasa güvencesi altına alındı. Buna bağlı olarak 2016 yılında çıkarılan 6698 sayılı Kanun ile kişisel verilerin işlenmesinde kişilerin hak ve özgürlüklerinin korunması hedeflendi. Kanunun amacı kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları belirlemek olarak çizildi. Yani kanun ile biz karayollarını yapmıyor, karayolunda gidecek araçların uyması gereken kuralları belirliyoruz. Bu kuralların konulmasının nedeni ise kişilerin verilerini yani bir anlamda ilgili kişinin mahremiyetini korumak. Kurum olarak bu çalışmayı da bizler yapmıyoruz. Kanunda “veri sorumlusu” olarak tanımladığımız, verilerin işlenmesinden sorumlu kişiler bu sorumluluğu yerine getiriyor. Bizler ise bu konularla ilgili düzenlemeleri gerçekleştiriyoruz.
Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir. Bu bağlamda sadece bireyin adı, soyadı, doğum tarihi ve doğum yeri gibi onun kesin teşhisini sağlayan bilgiler değil, aynı zamanda kişinin fiziki, ailevi, ekonomik, sosyal ve sair özelliklerine ilişkin bilgiler de kişisel veridir. Örneğin ICT Media, bizim için bir gerçek kişiyi tanımlamıyor. ICT Media çalışanlarının her biri bizim için birer gerçek kişi. Bunun yanı sıra bankaların uyguladığı telefon bankacılığı sisteminde, kullanıcı sisteme girerek “uygulamayı onaylıyorum” diyor ise sesin tınısı, vurgusu bir araya geldiğinde bu veriler de kişiyi tanımladığı için, kişisel veri haline dönüşmüş oluyor. Bir adım daha ileri gidecek olursak, velayet davalarında çocuklara ailesine ilişkin yaptırılan resim, çocuğun ailesine karşı his ve tanımlamalarını göstereceğinden, kişisel veri kapsamına alınıyor. Yani resimdeki çizim anne ya da babayı tanımlayacak herhangi bir özneyi ortaya çıkarıyor ise bu konuda özellikle kişisel verilerin korunması kapsamına alınıyor.
Bir kişinin belirli veya belirlenebilir olması, mevcut verilerin herhangi bir şekilde bir gerçek kişiyle ilişkilendirilmesi suretiyle, o kişinin tanımlanabilir hale getirilmesini ifade ediyor. Kanunun gerekçesinde bireyin adı, soyadı, doğum tarihi ve yeri gibi onun kesin teşhisini sağlayan verilerin yanı sıra, kişinin fiziki, ailevi, ekonomik, sosyal ve sair özelliklerine ilişkin verilerin de kişisel veri niteliğinde olduğu belirtilmiştir.
Kişisel veri, bireyin şahsi, mesleki ve ailevi özelliklerini gösteren, o bireyi diğer bireylerden ayırmaya ve niteliklerini ortaya koymaya elverişli her türlü bilgidir. Kanunda kişisel veri; “Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” şeklinde tanımlanmıştır. Bu bilgiler, belli bir kimsenin kimliği, etnik kökeni, fiziksel özellikleri, sağlık, eğitim, istihdam durumu, cinsel yaşamı, aile hayatı, başkaları ile yaptığı haberleşmeler, ikamet adresi, kredi kartı bilgisi, kişisel düşünce ve inançları, dernek, vakıf ya da sendika üyelikleri, alışveriş alışkanlıkları gibi hususları da kapsamaktadır. Yani kişilerin lakapları ya da herhangi bir özelliği, o kişi ile özdeşleşmiş ise buda kişisel veriler kapsamına girmektedir.
Nitekim, Kanunun gerekçesinde de telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, genetik bilgiler gibi verilerin dolaylı da olsa kişiyi belirlenebilir kılabilme özellikleri nedeniyle kişisel veri olarak kabul edilmesi gerektiğine işaret edilmiştir.
KVKK olarak kişisel verilerin korunmasına ilişkin bir tanıtıcı doküman hazırladık. Bu dokümana göre 6698 sayılı kanuna göre, bir verinin gerçek bir veri olabilmesi için öncelikle gerçek bir kişiye ait olması gerekiyor. Ve de bunun Doğum ile Ölüm arasında olması gerekiyor.
ICT MEDIA: AB kapsamında uygulanan; 95/46/EC Sayılı Kişisel Verilerin İşlenmesi ve Serbest Dolaşımı Bakımından Bireylerin Korunmasına İlişkin Avrupa Parlamentosu ve Avrupa Konseyi Direktifi ve sonrasında EU 2016/679 Sayılı Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) baz alınarak bazı düzenlemeler gerçekleştirildi. Bugün geldiğimiz noktada ülkemizde de kişisel veriler ile ilgili kuralların GDPR’ a doğru evrilmesi gündemde. Öncelikle ülkemizde KVKK kurgulanırken bu tür uygulamalardan örnekler alındı mı? Eğer GDPR’a doğru bir evrilme söz konusu olacak ise bu konuda uyum sürecinin ne kadar süreceğini öngörüyorsunuz?
Cabir BİLİRGEN: GDPR bizim kanunumuzdan çok daha yeni. GDPR bizim kanunumuza ilave olarak çok uluslu şirketleri ve özellikle AB üyesi ülkeleri ilgilendirdiği yerde bizden ayrışıyor. Baktığımızda GDPR, uygulandığı ülkelerde kesin hüküm sahibi de değil. Örneğin baktığımızda reşit olma yaşı her AB ülkesi için farklı.
ICT MEDIA: Ülkemizde birçok kuruma gittiğimizde veya tatile gittiğimizde otellerde bizlerden kimliklerimiz isteniyor. İlgili kişi kimliklerimizin fotokopilerini alarak işlemleri gerçekleştiriyorlar. Bu uygulama kişisel verilerimizin korunması açısından ne kadar doğru?
Cabir BİLİRGEN: Otel veya iş merkezlerinde kimlik bilgileri İçişleri Bakanlığı’nın yayınladığı bir karar kapsamında talep edilmekte. İlgili kanun kapsamında bir yere gerçekleştirilen ziyaret kapsamında kişinin kimlik bilgilerinin alınacağı belirtiliyor. Burada dikkat edilmesi gereken nokta şurası. Kanun “ilgilinin kimlik bilgisi alınır” diyor. Yani kimlik fotokopisi alınır demiyor. Burada yapılan olay şu: Resepsiyonda kimlik bilgilerinizi isteyen görevli, sizden alacağı bilgileri önce kendi sistemine sonrasında ise Emniyet Müdürlüğü’nün sistemine girecek. İlgili görevli işlem uzun süreceği için sizin kimlik fotokopinizi alıyor. Bazen size sormadan bile işlemi gerçekleştiriyor. Bu tamamen maksadını aşan bir uygulama. Burada kimlik fotokopisini sizin rızanız ile alması gerekiyor. Diğer türlü sadece sizin kimlik numaranızı sizden isteme hakkına sahipler.
ICT MEDIA: Pandemi sürecinde kişisel veriler ile ilgili ihlaller yaşandı mı? Kurum olarak bu tür bir ihlal yaşandıysa bir müdahaleniz oldu mu?
Cabir BİLİRGEN: Bu süreçte bizlere veya kurumumuza ulaşan herhangi bir ihlal söz konusu olmadı. Kamuoyunda filyasyon takibi ve HES kodu olarak bilinen Hayat Eve Sığar kodu uygulaması var. Bu toplum sağlığını ilgilendirdiği için yapılması gereken bir uygulama idi. Kanun madde 6/3 gereği biz de kurum olarak bu çalışmaya destek verdik. Ne diyor bu madde derseniz “Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.” demektedir.
ICTMEDIA: Kişisel verilerin bazen izinsiz bir şekilde ele geçirildiği, kullanıldığı ve işlendiğini görüyoruz. KVKK’nın bu konuda herhangi bir denetim yetkisi var mı? Diğer taraftan bu tür durumlarda vatandaşların izlemesi gereken yollar nelerdir?
Cabir BİLİRGEN: KVKK olarak bizim şikâyet olmasa bile kanunun 7/1 maddesinde “Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resmen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir.” demektedir. Bir olay bütün toplumu ilgilendiriyorsa burada şikayet olmasa bile resen müdahil olabiliyoruz.
Burada biz KVKK olarak kişisel veri ihlallerinde veri sorumlusunu bu işin sorumlusu olarak alırız. Bunun yanı sıra veriyi işleyenlerde müteselsilen bu ihlallerden sorumlu olarak tutulabilir. Vatandaşlarımız ise verilerinin izinsiz kullanıldığını düşünüyor ise veri sorumlusuna başvurarak kendisiyle ilgili; Kişisel veri işlenip işlenmediğini öğrenme, Kişisel verileri işlenmişse buna ilişkin bilgi talep etme, Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme, öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme, yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme ve Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme, haklarına sahipler.
ICT MEDIA: Açık veri ve verinin anonimleştirilmesi, verilerin işlenerek katma değerli hale getirilmesi noktasında nasıl bir çalışma gerçekleştirilmesi gerekiyor?
Cabir BİLİRGEN: Kanun gereği veri sahibi, verilerin işlenmesinde 4 temel nokta var. Bunlar, verinin hukuk kurallarına uygun olarak toplanması, doğru ve gerektiğinde güncel olması, belirli meşru amaçlar için işlenmesi, işlendikleri amaçla bağlantılı ve sınırlı olması gerekiyor. Fakat, mevzuata göre saklanması gereken süre kadar muhafaza edilmesi gerekiyor. Süre sonunda veri sahibi, kişisel verilerinin silinmesini ya da kanun kapsamında verilerine erişimi engel olunmasını isteyebilir. Burada önemli olan nokta şurası. Bakanlıklarımızın veri saklama konusunda belirli süreleri bulunuyor. Biz verilerin saklanması konusunda ilgili bakanlığın mevzuatına göre hareket ediyoruz. Örneğin, Maliye Bakanlığı bu süreyi 10 yıl olarak belirler, İçişleri Bakanlığı değişik kavramlar ile farklı bir zaman diliminde verilerin saklanmasını isteyebiliyor. Verinin işlenmesini gerektiren sürelerin sonunda veri sorumlusu ilgili kişinin talebi doğrultusunda silmesi gerektiği gibi talep gelmese bile veri işlemeyi gerektiren sebepler ortadan kalkınca belli periyotlarla silme işlemini yerine getirmeleri gibi bir yükümlülükleri var.
Anonim hale getirme veya anonimleştirme konusuna gelecek olursak; verilerin başka verilerle eşleştirilse dahi, hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesini ifade etmektedir.
Bu kapsamda, elde kalan veri üzerinden bir izleme yapılarak başka verilerle eşleştirme ve destekleme sonrasında verinin kime ait olduğu anlaşılabiliyorsa, bu verinin anonim hale getirildiği kabul edilemez. Bu noktada dikkat çekilmesi gereken husus, anonim veri ve anonimleştirilmiş veri arasındaki farktır. Anonim veri başından itibaren belirli bir kişiyle ilişkilendirilmesi mümkün olmayan veriyi ifade ederken, anonimleştirilmiş veri daha öncesinde bir kişiyle ilişkilendirilmiş ancak artık bağlantısı kalmamış veridir.
ICT MEDIA: VERBİS ve uyum süreci adı altında iki farklı uygulamanız mevcut. Özellikle KOBİ statüsünde olan firmalarda bu konuda bir farkındalık oluşmuş durumda değil. Bunun yanında firmalar kişisel verilerin saklanmasından daha çok, mevzuata uyulmaması halinde verilecek cezadan nasıl kurtulma yönünde emek harcıyor. KVKK olarak mevzuata aykırı işlem yapmanın karşılığı olan cezalarda da farklılıklar olduğunu gözlemliyoruz. Bu konuda neler söylemek istersiniz?
Cabir BİLİRGEN: KVKK olarak biz ne kadar verinin ihlal edildiği, ihlal edilen veriden ne kadar kişinin etkilendiği, ihlalin yaşandığı kurumun bu ihlallere karşı aldığı tedbirlere rağmen nasıl bu tür mağduriyetler yaşandığı konularını inceliyoruz. Bu kriterler göz önünde bulundurularak KVKK kurul üyeleri tarafından öngörülen cezalar veriliyor. Verilen cezalara ilişkin düzenleme kanunla düzenlenmiş ve bu doğrultuda gerçekleştiriliyor ve miktarlar da her yıl güncelleniyor.
VERBİS yani Veri Sorumluları Sicil Bilgi Sistemi, veri sorumlularının sicile başvuruda ve sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Başkanlık tarafından oluşturulan ve yönetilen bilişim sistemini ifade ediyor.
Veri sorumluları, kişisel veri işlemeye başlamadan önce sicile kayıt yükümlülüklerini yerine getirmek zorundadır. Kayıt yükümlülüğü altında bulunmayan, sonradan kayıt yükümlüsü haline gelen veri sorumluları, yükümlülük altına girmelerini müteakip otuz gün içerisinde Sicile kaydolurlar.
Ülkemizde KOBİ kavramının anlamı çok uzun tutuluyor. Bir kişi çalıştıran firmalarda, binlerce kişi çalıştıran firmalarda KOBİ statüsünde olabiliyor. KVKK olarak biz bu kavramın sınırlarını belirledik. Çalışan sayısını ve yıllık cirosunu kriter içine aldık. Belirlenen sınırlar içerisinde kalan firmaların VERBİS’e kayıt yapmasını zorunlu kıldık. Diğer firmaları VERBİS’e kayıttan muaf tuttuk. Fakat, sınırlamanın dışında kalan firmaların ilgili kanunlara uymaması diye bir durum söz konusu değil.
