KVKK Konusunda “Aydınlanma” Metni

Hepimizin bildiği üzere, Kişisel Verilerin Korunması Kanunu (KVKK) 7 Nisan 2016 tarihinden itibaren yürürlükte. Bu sayede vatandaşlarımız önemli kazanımlar elde etmiş, bunun yanında veri işleyen statüsündeki tüzel ve gerçek kişiler ise bu kazanımların hayata geçirilmesine olanak veren bir takım düzenlemelere tabi tutulmuş durumda. Kanunda temel olarak Avrupa Birliği ülkelerinde geçerli olan GDPR (General Data Protection Regulation) baz alınmış olmakla birlikte, daha az detaya sahip ve belirli noktalarda yoruma açık olarak bırakılan bir çerçeve niteliği taşımakta.

Bu hafta Kurum tarafından İstanbul Üniversitesi’nde bu alanda çalışan birbirinden değerli akademisyenlerin katılımıyla “Kişisel Verilerin Korunması Alanında Güncel Gelişmeler Konferansı” düzenlendi. Çoğunlukla hukuk camiasından dinleyicilerin bulunduğu konferansa bir BT çalışanı ve doktora öğrencisi olarak katılmaktan mutluluk duydum ve tam anlamıyla bir aydınlanma yaşadım. Bu nedenle yazımı kişisel “aydınlanma” metnim olarak nitelendiriyorum.

Konferansta aldığım notları ve yaptığım çıkarımları istifadenize sunmak istiyorum:

1- Kanunda belirtilen gereklerin uygulanmasındaki temel motivasyonumuz çeşitli idari ceza ve yaptırımlara maruz kalmamaktan ziyade, daha yaşanabilir bir dünyaya katkıda bulunmak adına vatandaşlarımızın temel hak ve özgürlüklerini gözetmek olmalı.

2- Kanun yalnızca büyük şirketleri değil; küçük şirketleri ve hatta veri işleyen şahısları da ilgilendiriyor. Şu an için bankalar, telekom şirketleri, sigorta şirketleri ve e-ticaret şirketleri yakın markaj altında olmakla birlikte, şahsi görüşüm bir süre sonra bakkalların da bakkal defteri için denetimlere tabi tutulabilecekleri yönünde.

3- KVKK yalnızca hukukçuların uzmanlığı değil, disiplinler arası bir çalışma alanı. Dolayısıyla hukukçular BT’den, BT çalışanları da hukuk dilinden anlamak zorunda. İtiraf etmeliyim ki bu konuda hukukçu arkadaşlar daha öndeler ve teknoloji dünyasına gayet yakınlar. Bizim de ortak çalışmalar yürütebilmek için mevzuata hakim olmamız gerekiyor.

4- Kanun’un tam olarak olgunlaştığını olduğunu söylemek zor, fakat konuyla ilgili ciddi çalışmalar yürütülüyor. Genel bilgilendirme çalışmaları artık yerlerini ilgili kanun çatısı altında spesifik konuların görüşüleceği çalışma gruplarına bırakmaya başlamış.

5- KVKK aslında kültürel bir değişimi de beraberinde getiriyor. Toplumsal farkındalığımız ne yazık ki Avrupa ülkelerinin gerisinde. Çocukların bilinçlenmesi için, TRT Çocuk’ta yayınlanan “Rafadan Tayfa” çizgi filmi karakterleriyle kurgulanan “Veri Tayfa” oyunu çeşitli illerde gösterime girdi. Bu sayede farkındalığın çekirdekten oluşması amaçlanmış.

6- KVKK yükümlülüklerinin uygulanması yalnızca BT birimlerinin sorumluluğu değil. Örnek olarak bina güvenlik görevlisinin ve müşteriyi karşılayan bankodaki gişe görevlisinin de uymak zorunda olduğu yükümlülükler var. Dolayısıyla bu tüm çalışanların katılımıyla yürütülecek bir farkındalık seferberliği. Kanun’da bu eğitimlerin düzenli olarak verilmesi gerekliliği de açıkça belirtiliyor.

7- Kişisel veri işleyen tüm tüzel ve gerçek kişiler, 31.12.2019 tarihine kadar verilen ek süre sonuna kadar VERBİS’e (Veri Sorumluları Sicil Bilgi Sistemi) kayıt olmak zorunda. Tüzel kişiler için sorumluluk görevlendirilmiş bir çalışandan ziyade tüzel kişiliğin kendisine yani Yönetim Kurulu’na ait.

8- Her kurum gerekli zafiyet izleme ve engelleme altyapılarını kurmakla mükellef. Bilgi güvenliği zafiyetlerini önlemek, zafiyeti telafi etmeye çalışmaktan daha kolay ve az masraflı. SIEM (Security Information and Event Management) ve DLP (Data Loss Prevention) ürünleri bu ihtiyacı karşılamak için mutlaka değerlendirmeye alınmalı. Konu hakkındaki teknik çözümlerin yetkinliği kadar, alınacak danışmanlığın kalitesinin de önemli olduğunu unutmamakta fayda var.

9- Öncesinde önlem alınmayan durumlarda oluşan bilgi güvenliği zafiyetleri, taksirden ziyade kasıt olarak nitelendirilebiliyor. Türk Ceza Kanunu’na konu olan olaylar için Yargıtay olay nezdinde değerlendirme yaparak, tüm Yönetim Kurulu’nu cezalandırmak yerine yalnızca ilgili YK üyesini sorumlu tutabiliyor.

10- Kurum duyurularını takip etmekte büyük fayda var (https://www.kvkk.gov.tr/Icerik/2015/Duyurular). Böylece hem çeşitli olaylar karşısında için Kurum’un verdiği kararlar incelenebilir, hem de uygulanan idari para cezalarından ibret alınabilir.

11- Yıllardır dört gözle beklediğim ve yurt dışında bazı ülkelerde uygulanan “Do not call list – aranmama listesi” sisteminin Türkiye’de uygulanması için ihale aşamasına gelinmiş. Devreye alım sonrasında firmalar yapacakları ticari telefon aramaları öncesinde, kişinin bu listede izni olup olmadığını kontrol etmek zorunda olacaklar. Böylece vatandaşlar merkezi ve devlet kontrolünde olan bu sisteme kayıt yaptırarak, izinsiz pazarlama faaliyetine maruz kalmama hakkına sahip olacaklar.

12- Veri işleyenler “unutulma hakkı” konusundaki prosedürlerini yayınlamak zorunda. Bu prosedür VERBİS üzerinden Kurum’a iletilmiyor, fakat bir olay veya denetim durumunda Kurum tarafından şirketten talep edilebilecek.

13- Kanun’da verinin saklanması ve işlenmesi iki ayrı işlem olarak ele alınmayıp, tüm saklama işlemleri de işleme olarak değerlendiriliyor. Böylece “biz veriyi yalnızca saklıyoruz, herhangi bir işleme ve anlamlandırma yapmıyoruz” beyanlarının önü kapatılmış oluyor. Dikkat ederseniz Kanun’da hep “işleme” ifadesi kullanılmış ve “saklama” gibi bir ifadeye yer verilmiyor. Yanıtı doğrudan ilgili Kurum Üyesi’nden aldığım için soru işaretlerim önemli ölçüde giderilmiş oldu.

14- Yapılan veri işlemenin gerekliliği, amacı ve ölçüsü çok önemli. Dilediğimiz her kişisel veriyi (özellikle özel nitelikli olanları) kişinin açık rızası olsa dahi toplayamıyoruz. Bu konuda verilmiş kararlar mevcut (örnek: https://www.kvkk.gov.tr/Icerik/5496/2019-81-165).

15- Kurum denetim yapmaya yetkili, fakat uzman yardımcısı + uzman toplam 50 kişilik kadroya sahip, dolayısıyla yüz binlerce işletmeyi denetleyecek kapasiteye sahip değil. Bu nedenle yakında özel denetim kurumları için akreditaysyon başlayacak ve Kurum’u temsilen denetim gerçekleştirebilecekler.

Güvenli, bilinçli ve zafiyetsiz günler dilerim.

Bir cevap yazın

Your email address will not be published.