Otomotiv Firmasına Verilen 900.000 TL’lik Bulut Cezası “Bulut Trendleri ve KVKK” Webinar’ında Değerlendirildi
Data Center Cities Webinar Serisinde ‘Bulut Trendleri ve Kişisel Verilerin Korunması Kanunu (KVKK)’ webinar’ı yoğun katılımla 22 Ekim 2020 tarihinde gerçekleşti. Global Bilişim Derneği (BİDER) Başkanı Şenol Vatansever, sektörün neredeyse tamamı tarafından yanlış bilinen ve dolayısıyla yanlış uygulanan bazı bulut ve KVKK konularının doğrularını anlattı. Bir otomotiv firmasına düzenlenen 900.000 TL’lik KVKK idari para cezası ile ilgili diğer firmaları da uyarıcı nitelikte çözüm önerilerinde bulundu.
· Global Bilişim Derneği (BİDER) Sektöre Hızlı Giriş Yaptı
· Türkiye Genel Bulut Pazarı 2019 Yılında Yüzde 29 Büyüdü
· Hayatı Kolaylaştıran Bulut Hizmeti Modelleri: IaaS, PaaS ve SaaS
· Siber Güvenlik ve KVKK’ya Uyumluluk Gündeme Damgasını Vurmaya Devam Edecek
· Hibrit Bulut Kullanımı Artmaya Devam Edecek
· Otomotiv Firmasına 900.000 TL’lik Bulut Cezası
Global Bilişim Derneği (BİDER) Sektöre Hızlı Giriş Yaptı
Data Center Cities Webinar Serisinde ‘Bulut Trendleri ve Kişisel Verilerin Korunması Kanunu (KVKK)’ webinar’ı yoğun katılımla 22 Ekim 2020 tarihinde gerçekleşti. Global Bilişim Derneği (BİDER) Başkanı Şenol Vatansever, BİDER hakkında bazı özet bilgiler aktardı: “Data Center Cities Webinar Serisinde ‘Bulut Trendleri ve Kişisel Verilerin Korunması Kanunu (KVKK)’ webinar’ı için bir araya geldik. Organizasyon için emeği geçen herkese teşekkür ederim. İsmim Şenol Vatansever. Global Bilişim Derneği (BİDER) Başkanıyım. Dijital Biz Dergisi Genel Yayın Yönetmeniyim. Vatansever Bilişim A.Ş. ve Patriot Teknoloji A.Ş. Yönetim Kurulu Başkanıyım.
Aktarmak istediğim birçok başlık var. Webinar’ın son bölümünde zamanımızın kalması durumunda sorularınıza da cevap vermekten memnuniyet duyarım, sistem üzerinden yazıp gönderebilirsiniz. Ayrıca panelde aktaracağım konularla ilgili habere www.dijitalbiz.com adresinden bu hafta içerisinde ulaşabilirsiniz. Dijital Biz Dergisi Kasım Sayısında da habere yer vereceğiz. Turkcell Dergilik ve Türk Telekom e-dergi’den de erişebilirsiniz.
Yakın tarihte kurulmuş olan BİDER’den özet olarak bahsederek sözlerime başlamak isterim. Global Bilişim Derneği, kısa ismiyle BİDER, 21 Eylül 2020 tarihinde kuruldu. Çok yeni bir derneğiz. Tabi ki derneğin Kurucu Üyelerini oluşturan yaklaşık bin üyesi olan BİLİŞİM GRUBU ve Bilişimciler gruplarımızın 3 yıllık beraberliğini saymazsak… Genelde 8-10 kişi bir araya gelir, önce dernek kurar, sonra da üye sayısını artıramadıklarından ya da aktif olamadıklarından maalesef tabela derneği olmaktan öteye geçemezler. Türkiye’deki derneklerin büyük bir kısmı bu durumda. Biz öncelikle bin üyeye yakın aktif gruplar oluşturduk. Şu an yüzlerce başvuru bekliyor durumda. Gruplarımızdaki üyelerimizin büyük bir kısmı daha önce bir derneğe üye olmamış, dernekçilik konusunda tecrübesi olmayan arkadaşlarımızdan oluşuyor. Ama bizim için en önemli temel kriterlere sahipler. Heyecanları, istekleri ve enerjileri var.
Global Bilişim Derneği, bilişim alanında Türkiye’nin en önde gelen sivil toplum kuruluşu olmayı hedefliyor. Dernek adında geçen ‘global’ kelimesinin hakkını vererek yurt dışındaki sivil toplum kuruluşları ile ortak çalışmalar ve iş birliği yapacağız. Üniversiteler, kamu kurumları, diğer STK’lar, özel şirketler gibi tüm paydaşlar ile ortak projeler yürüteceğiz. Sektörü birleştirmek ve etki alanını artırmak amacıyla platform, federasyon ve konfederasyon yapıları kurulması ya da dahil olunması için gerekli çalışmaları yapacağız. Üyelerimizin talep, görüş ve değerlendirmelerini ilgili paydaşlara iletip süreçleri takip edeceğiz. Üyelerimiz arasındaki etkileşimi, yardımlaşmayı, dayanışmayı, iş birliğini ve ticari ilişkileri artıracağız. Bilişim alanında faaliyet gösteren yetişmiş insan kaynağının oluşturulması için gençlere ilerleyen dönemde staj, iş imkanları ve eğitim bursları vermeyi planlıyoruz. Bilişimle ilgili toplumsal sorunlara çözüm önerileri geliştireceğiz. Gelişmelerden haberdar olmak isteyenler www.bilisimdernegi.org web sitemizi ziyaret edebilirler.”
Türkiye Genel Bulut Pazarı 2019 Yılında Yüzde 29 Büyüdü
Vatansever Bilişim’in iş ortakları arasında yer alan Bulutistan’ın sunumundan bazı bilgiler paylaşmak istediğini belirten Vatansever Bilişim Yönetim Kurulu Başkanı Şenol Vatansever bulutla ilgili araştırmaların sonuçlarını da aktardı: “IDC’ye göre 2022’ye kadar, dijital dönüşümün merkezindeki işlemci gücünü sağlayan bulut bilişim harcamaları şirket temel bilişim bütçelerinin %40’ına ulaşacak. 2028’e kadar %80’e ulaşması bekleniyor. Gartner’a göre Bulut İş Süreci Hizmetleri (BPaaS), Bulut Uygulama Altyapı Hizmetleri (PaaS), Bulut Yazılım Hizmetleri (SaaS), Bulut Yönetimi Hizmetleri, Bulut Donanım Hizmetleri (IaaS) ile global genel bulut pazarı 2019’da %17,5 büyürken, Türkiye genel bulut pazarı 2019’da %29 Büyüdü. Bu çerçevede;
- Bulut sağlayıcılara ve brokerlara olan talep artacak.
- Hibrit bulut uygulamalarının artması ile bulut orkestrasyon ve bulut yönetimi çözümlerine ihtiyaç duyulacak.
- 2022 yılına kadar, tüm kurumsal pazarın %50’si çoklu bulut kullanacak.
- Buluta geçiş için bir kanal ihtiyacı oluşacak.
- Esneklik ve entegrasyon CIO’lar için kritik bir gündem haline gelecek.”
Hayatı Kolaylaştıran Bulut Hizmeti Modelleri: IaaS, PaaS ve SaaS
Bulut sağlayıcılarının Altyapı hizmetleri (IaaS), Platform hizmetleri (PaaS), Yazılım hizmetleri (SaaS) şeklinde üç temel modelde hizmet sunduğunu belirten BİDER Başkanı Şenol Vatansever, bu modeller hakkında bilgiler verdi: “IaaS modelinde; bulut sağlayıcıları, sunucuları, fiziksel veya sanal makinalar olarak sunar. Bulut hizmeti alan müşteriler makinalara işletim sistem imajlarını ve uygulama yazılımlarını yükler. Bu modelde işletim sistemlerinden ve uygulama yazılımlarından bulut hizmeti alan sorumludur.
PaaS modelinde; bulut sağlayıcıları genellikle işletim sistemleri, programlama dili yürütme ortamları, veri tabanları ve web sunucularını içeren bilgi işleme platformlarını dağıtır. Uygulama geliştiricileri bulut platformunda kendi yazılım çözümlerini donanım ve yazılım katmanlarını yönetmesine gerek olmadan geliştirebilir ve çalıştırabilir.
SaaS modelinde, bulut sağlayıcıları bulutta uygulama yazılımlarını yükler ve işletir. Bulut kullanıcıları yazılıma erişir, uygulamanın üzerinde çalıştığı bulut altyapısı ve platformunu yönetmez. Böylece uygulamanın bulut kullanıcısının kendi bilgisayarında kurulu olmasına ve çalıştırılmasına gerek kalmaz. Bakım ve destek kolaylaşır. Değişen iş taleplerini karşılamak için görevlerin çoklu sanal makinelerde klonlanması ile esneklik sağlanır. Sanal makineler kümesi üzerinde yük dengeleyiciler ile işin dağıtılması bulut kullanıcısı tarafından fark edilmez.”
Siber Güvenlik ve KVKK’ya Uyumluluk Gündeme Damgasını Vurmaya Devam Edecek
Geçmişte ve günümüzde gündemi bir anda değiştiren güvenlik kaygılarının ve güvenlik önlemlerinin her zaman en önemli konular arasında yer aldığını belirten Patriot Teknoloji Yönetim Kurulu Başkanı Şenol Vatansever sözlerine şu şekilde devam etti: “Siber korsanlara ek olarak yapay zekânın da özellikle otonom araçlar gibi otonom sistemler ve nesnelerin interneti için tehdit oluşturacağını ve can güvenliğimize kast edebileceğini belirtmek isterim. Google’ın global orta ve büyük ölçekteki şirketlerle yaptığı araştırmaya göre karar vericilerin yüzde 70’i 2029 yılına kadar bulut güvenlik işlemlerinin otomasyona bağlanacağını, karar vericilerin yüzde 72’i ise bulut üzerinde daha çok güvenlik uygulamaları beklediklerini ifade ediyor. Siber güvenliğin sağlanmasında ve kişisel verilerin korunmasında adeta bir komuta merkezi olan güvenlik bilgi ve olay yönetimi (SIEM) yazılımlarının çok kritik olduğunu vurgulamak isterim. Olası risklerin sürekli geliştirilmesi gereken korelasyonlarla minimum seviyelere getirilmesi sağlanmalı. Bu yaklaşım bulut bilişimde de kendini gösteriyor. Bulut yatırımlarına paralel olarak güvenlik yatırımları da artmaya devam ediyor. Forrester’a göre bulut odaklı güvenlik yatırımları 2021’de 3,5 milyar dolara ulaşacak.
Kişisel Verileri Koruma Kurumu Başkanı Prof. Dr. Faruk Bilir’e Dijital Biz Dergisi olarak yaptığımız özel röportajda, kişisel verilerin dijital ortamlarda da korunabilmesi açısından siber güvenliğin önemini sorduk. Başkan Bilir günümüzde kişisel verilerin, teknolojik gelişmelere bağlı olarak dijital ortamlarda da barındırılabildiğini belirterek şu açıklamalarda bulundu: ‘Gerek kamuda gerekse özel sektörde dijitalleşme sürecini göz önünde bulundurursak, dijital ortamlardaki veri işleme faaliyetlerinin gerçek ortama kıyasla daha yoğun olduğunu söyleyebiliriz. Bu sebeple dijital ortamın niteliklerine göre geniş kapsamlı önlemlerin alınması gerekir. Bu hususta en önemli başlıklardan biri siber güvenlik. Dijital teknolojilerin yaygınlaşması ve sınırları aşabilen yapısı sebebiyle, siber saldırıların boyut değiştirmesine bağlı olarak veri güvenliğinin temin edilmesinde önemli bir kavram haline gelen siber güvenlik konusunda veri sorumlularının; gerekli teknik alt yapıyı kurması ve bunu yönetilebilir hale getirmesi önem arz ediyor. Siber tehditlerin her geçen gün nitelik kazanması siber güvenliğin, dolayısıyla da veri güvenliğinin sıradan yöntemlerle sağlanamayacağını ortaya koyuyor. Buna bağlı olarak siber saldırıların siber felaketlere dönüşmemesi adına nitelikli ve sürdürülebilir savunma politikaları oluşturulmalı. Dijital dünyada kişisel veri güvenliğini sağlayabilmenin yolu, siber güvenliğin tesis edilmesinden geçiyor.’”
Hibrit Bulut Kullanımı Artmaya Devam Edecek
Hibrit bulutun hem özel hem de genel bulutun tek bir mimaride kullanılmasını ifade ettiğini belirten Dijital Biz Dergisi Genel Yayın Yönetmeni Şenol Vatansever, bu kavramlarla ilgili detayları paylaştı: “Şirketler özel bulut altyapılarını genelde hassas uygulamalar ve veriler için kullanırken, genel bulutu şu an için daha çok önem derecesi düşük görevler için kullanıyor. Altyapılarının bir kısmını bulut tabanlı sistemlerde bulunduran şirketler böylelikle ek esneklikler elde ediyor. RightScale’e göre, bin veya daha fazla çalışanı olan şirketlerin yüzde 81’inin çok platformlu bir stratejisi mevcut, 2024 yılına kadar bu sayının yüzde 90’ın üzerine çıkması bekleniyor. Koronavirüs ile beraber ön plana çıkan sağlık sektöründe de bulut kullanımı artacak. İrlanda merkezli Research and Markets’in ‘Sağlık Bakımında Bulut Bilişim – Küresel Pazar Görünümü’ raporuna göre küresel sağlık bakımında bulut bilişim piyasa hacminin 2027 yılına kadar 92,24 milyar dolara yükselmesi bekleniyor.
2018 Yılı Türkiye Organize Sanayi Bölgeleri Yatırım Engelleri Araştırmasına göre bürokrasi her on firmadan yaklaşık yedisinin yatırım kararını olumsuz olarak etkiledi. Bürokrasi, ıslah OSB’lerdeki firmaların yüzde 62,5’inin, ihtisas OSB’lerdeki firmaların yüzde 67,3’ünün, karma OSB’lerdeki firmaların ise yüzde 66,1’inin yatırım kararını olumsuz etkiledi. Ülkemizde bürokrasinin azaltılması eylem planı kapsamında e-devlet uygulamalarının kapsamının giderek genişlemesi ve resmi yazışmaların bulut (internet) üzerinden yapılması hem kamu tarafında hem de kullanıcı tarafında büyük avantajlar getirdi. Bu avantajlar uluslararası arenada ülke olarak skorlarımıza da olumlu yönde yansıdı. 2020 yılı Birleşmiş Milletler tarafından yayınlanan e-Devlet Gelişmişlik Endeksi’ne göre ülkemiz 93 ülke arasında, e-Katılım Endeksi’nde 23. Sıraya, Çevrim İçi Hizmet Endeksi’nde ise 22. sıraya yükseldi.”
Otomotiv Firmasına 900.000 TL’lik Bulut Cezası
Global Bilişim Derneği Başkanı Şenol Vatansever yakın tarihte bir otomotiv firmasına KVKK kapsamında düzenlenen 900.000 TL’lik para cezası ile ilgili süreç hakkında detaylı bilgilendirmelerde bulundu: “31 Mayıs 2019 tarihinde kurumsal e-posta hizmetinin, Google (gmail) üzerinden yine aynı uzantıya sahip olarak kullanılıp kullanılamayacağı ilişkin Kişisel Verileri Koruma Kurulunun 2019/157 Sayılı Karar Özeti www.kvkk.gov.tr web sitesinde yayınlanmıştı. Kanunun çeşitli maddelerini referans olarak veren ve ceza içermeyen kısa metinli bir karar olduğu için belki de çok dikkat çekmedi. Ya da şirketler ve kurumlar görmezden gelmeyi tercih etmiş de olabilir.
Ancak 22 Temmuz 2020 tarihinde ‘Kişisel verilerin 108 sayılı Sözleşme dayanak gösterilerek yurt dışına aktarılması hakkında’ Kişisel Verileri Koruma Kurulunun 2020/559 sayılı Karar Özeti 900.000 TL idari para cezası ile www.kvkk.gov.tr web sitesinde yayınlanınca bulut konusunun hassasiyetle değerlendirilmesi gereken bir başlık olduğu çok net olarak anlaşıldı. Bugüne kadar her ortamda ‘idari tedbirler şakaya gelmez, kopyala-yapıştır metinler ile ilerleyemezsiniz, şirkete ve kuruma özel uyum çalışmaları yapılması gerekir’ diye belirttik. Bu vakaya konu olan otomotiv sektöründe faaliyet gösteren şirketin aydınlatma metninin bile Kanuna uygun olmadığı ve benzer şekilde ‘açık rıza’nın bile Kanuna uygun olarak alınmadığı ortaya çıktı. www.1kvkk.com ve www.vatanseverbilisim.com web sitelerinden idari ve teknik tedbirler ile ilgili bilgiler alabilir, danışmanlık ve çözümler için iletişime geçebilirsiniz.
Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesi idari tedbirler tarafını da ilgilendirmekle beraber, Kanuna uygun olduğundan emin olmanız gereken teknik tedbirlerle sağlanabilir. Kişisel Verileri Koruma Kurumu Başkanı Prof. Dr. Faruk Bilir’e Dijital Biz Dergisi olarak yaptığımız özel röportajda kişisel verilerin hangi şartlarda silinmesi, yok edilmesi veya anonim hale getirilmesi gerektiğini sorduk. Başkan Bilir sorumuzu şu şekilde cevapladı: ‘Kişisel veriler, işlenmesini gerektiren sebeplerin ortadan kalkması halinde, resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hale getirilir. Başka bir ifade ile Kanunda yer alan kişisel verilerin işlenmesine ilişkin şartların tamamının ortadan kalkması durumunda, kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hale getirilir.’ www.patriotkvkk.com web sitesinden konuyla ilgili teknik tedbirleri inceleyebilir ve yazılım çözümleri için iletişime geçebilirsiniz.
Şimdi gelin hep beraber 900.000 TL’lik cezanın detaylarını inceleyelim. Otomotiv sektöründe faaliyet gösteren veri sorumlusu tarafından reklam/bilgilendirme amaçlı gönderilen bir kısa mesaj (SMS) hakkında ilgili kişinin şikayeti üzerine yürütülen inceleme sürecinde, veri sorumlusundan alınan savunma yazısında şirketleri tarafından pazarlama amacıyla işlenmesi yönünde rıza alınmış kişisel verilerin veri işleyen konumunda bulunan yurt dışındaki bir firmaya aktarılmasının ve sadece söz konusu hizmetin yerine getirilmesi amacıyla bu firma tarafından işlenmesinin, 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 5. maddesinin (2) numaralı fıkrasının (f) bendi doğrultusunda ‘veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması’ şartı kapsamında değerlendirildiğinin ifade edilmesine rağmen, aynı savunmada veri sorumlusunun ‘veri gizliliği metni’nin Şikayetçi tarafından onaylandığı diğer bir ifade ile verilerinin yurtdışına aktarımına rıza verildiğine yönelik bir önceki ifadesi ile çelişen açıklamaların yer aldığı tespit edilmiştir. Bu duruma istinaden Kişisel Verileri Koruma Kurulu’nun (Kurul) 08.07.2019 tarihli ve 2019/203 sayılı Kararı ile veri sorumlusu hakkında müşterilerinin kişisel verilerini yurtdışındaki veri tabanlarında saklaması ile ilgili olarak Kanunun 15. maddesinin (1) numaralı fıkrası kapsamında resen inceleme başlatılmasına karar verilmiştir.
Bu itibarla, 6698 sayılı Kanunun ilgili maddeleri hakkında veri sorumlusuna bilgi verilerek kişisel verilerin yurtdışına aktarılmasının Kanunun 9. maddesindeki hangi hukuki gerekçeye dayandırıldığına dair açıklamaları ile konuya ilişkin tüm bilgi, belge ile kayıtların tarafımıza gönderilmesi talep edilmiştir. Konuya ilişkin veri sorumlusundan savunma yazısı alınmıştır. Savunma yazısının bir kısmına özet olarak ilgili karar metninde yer verilmiştir. İncelemenizi öneririm.
Resen inceleme konusu kapsamında veri sorumlusundan alınan bilgi ve belgelerin ilgili mevzuat çerçevesinde incelenmesi neticesinde Kurulun 22/07/2020 tarih ve 2020/559 sayılı Kararında biraz sonra bir kısmını aktaracağım değerlendirmelere yer verilmiştir. Önce Kurul kararının sonucunu 3 madde ile aktararak başlayacağım:
- Veri sorumlusunun, kişisel verilerin yurtdışına aktarılması ile ilgili olarak yurtdışına veri aktarımı konusunu düzenleyen Kanunun 9. maddesinde belirtilen hususlara uygun bir veri aktarımı gerçekleştirilmediği ayrıca 108 sayılı Sözleşmeye taraf olmanın AB uygulamasında olduğu gibi 6698 sayılı Kanun kapsamında güvenli ülke statüsü tayini bakımından tek başına yeterli olmadığı ancak Kurul tarafından yapılacak değerlendirmede olumlu bir unsur teşkil edeceği, dolayısı ile gerekli şartlar sağlanmadan kişisel verilerin yurt dışına aktarılması suretiyle hukuka aykırı bir kişisel veri işleme faaliyeti gerçekleştirildiği, bu sebeple Kanunun ‘Veri Güvenliğine İlişkin Yükümlülükler’ başlıklı 12. maddesinin (1) numaralı fıkrasının (a) bendinde öngörülen ‘Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek’ yükümlülüğünün yerine getirilmediği kanaatine varıldığından, tüzel kişi veri sorumlusu hakkında, Kanunun ‘Kabahatler’ başlıklı 18. maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 900.000 TL idari para cezası uygulanmasına,
- Öte yandan, hukuka aykırı olarak yurtdışına aktarılan söz konusu kişisel verilerin 6698 sayılı Kanunun 7. maddesine uygun olarak silinmesi/yok edilmesi ve sonucundan Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına,
- Veri sorumlusunun, aydınlatma metnini 6698 sayılı Kanunun 10. maddesi ve bu maddeye dayanarak çıkarılan Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğin 5. maddesinde belirtilen hükümlere uygun olacak şekilde güncellemesi ile aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerini ayrı ayrı yerine getirmesi gerektiği yönünde talimatlandırılmasına
karar verilmiştir.
Şimdi gelin hep beraber cezanın detaylarını incelemeye devam edelim. 6698 sayılı Kişisel Verilerin Korunması Kanununun ‘Kişisel Verilerin İşlenme Şartları’ başlıklı 5. maddesinin birinci fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, ikinci fıkrasında ise Kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümleri yer almaktadır.
Bu kapsamda kişisel veri işleme faaliyetinin öncelikli olarak açık rıza dışındaki işleme şartlarından birine dayanıp dayanmadığı değerlendirilmeli, eğer bu faaliyet Kanunda belirtilen açık rıza dışındaki şartlardan en az birine dayalı olarak gerçekleştirilemiyorsa, bu durumda veri işleme faaliyetinin devamı için kişinin açık rızasının alınması yoluna gidilmelidir. Açık rıza alınmasına gerek olmayan hallerden biri de Kanunun 5. maddesinin (2) numaralı fıkrasının (f) bendinde yer alan ‘ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması’ şeklinde belirtilen durumdur. Anılan bendin uygulanabilmesi için kişisel verilerin korunmasına ilişkin temel ilkelere uyulması, veri sorumlusunun meşru menfaati ile ilgili kişinin temel hak ve özgürlüklerinin gözetilmesi ve yarışan menfaatler arasında yapılacak olan değerlendirmenin sonucunda kişisel verilerin belirtilen fıkra kapsamında işlenip işlenemeyeceğine karar verilmesi gerekmektedir.
Burada bir parantez açmak isterim. Kişisel Verileri Koruma Kurumu Başkanı Prof. Dr. Faruk Bilir’e Dijital Biz Dergisi olarak yaptığımız özel röportajda açık rızanın ne olduğu ve kişisel veri işleme amacı değişirse tekrar açık rıza alınması gerekir mi sorularını yöneltmiştik. Başkan Bilir; açık rızanın belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rızayı ifade ettiğini söylemişti. Açık rızanın ancak bir amaç doğrultusunda alınabildiğini, yeni amaçlar kapsamında gerçekleştirilecek işlemler için açık rızanın tekrar alınması gerektiğini ifade etmişti. Parantezi kapatıyorum.
Kanunun 5. maddesinin (2) numaralı fıkrasının (f) bendinin uygulanabilmesi için iki aşamalı bir testin ele alınması gerekir. Yapılacak olan ilk değerlendirmede veri sorumlusunun meşru menfaatinin varlığı tespit edilmeli, ikinci olarak da, bu menfaatin ilgili kişinin temel hak ve özgürlüklerine zarar verip vermediği belirlenmelidir. Ancak Kurul tarafından yapılan değerlendirmede, resen incelemeye taraf olan veri sorumlusu tarafından açık rıza dışındaki kişisel veriler açısından yurt dışına aktarımda Kanunun 5. maddesinin (2) numaralı fıkrasının (f) bendindeki işleme şartı dayanak gösterilirken meşru menfaatin ne olduğu hakkında ve bu menfaati ile kişilerin temel hak ve özgürlükleri arasında bir denge testi uygulanıp uygulanmadığına ilişkin herhangi bir açıklamaya yer verilmediğinden, kişisel verilerin veri sorumlusu tarafından yurt dışına aktarılmak suretiyle işlenmesinde geçerli bir meşru menfaatin bulunduğu kanaatinin hasıl olmadığı belirtilmiştir.
Bununla birlikte, 6698 sayılı Kanunun 3. maddesinin (1) numaralı fıkrasının (a) bendinde tanımına yer verilen ‘açık rıza’nın özgür irade ile açıklama, bilgilendirmeye dayanma ve belirli bir konuya ilişkin olma şeklinde üç unsuru bulunmaktadır. Bu kapsamda eğer birden çok kategoriye ilişkin verinin işlenmesine dair açık rıza beyanında bulunulacaksa, açık rızanın hangi verilerin hangi amaçlarla işleneceği gibi hususlara ilişkin verilmiş olması gerekmektedir. Veri sorumlusunun, veriyi kullanımı sonrasında gerçekleştireceği ikincil işlemler için ise (örneğin yurtdışına veri aktarımı gibi) ayrıca açık rıza alması gerekmektedir. Bununla birlikte, kişisel veri işleme faaliyeti, Kanunda bulunan açık rıza dışındaki şartlardan birine dayanıyorsa, ilgili kişiden açık rıza alınması yoluna gidilmeyecektir. Nitekim, veri işleme faaliyetinin, açık rıza dışında bir dayanakla yürütülmesi mümkün iken açık rızaya dayandırılması, aldatıcı ve hakkın kötüye kullanımı niteliğinde olacaktır.
Burada yine bir parantez açmak isterim. Kişisel Verileri Koruma Kurumu Başkanı Prof. Dr. Faruk Bilir’e Dijital Biz Dergisi olarak yaptığımız özel röportajda ‘Türkiye’de faaliyet gösteren bulut hizmet sağlayıcısı olan bir firmaya aktarılan verilerin, 6698 Sayılı Kanun kapsamında aktarımı nasıl değerlendirilir’ diye sormuştuk. Başkan Bilir şu şekilde açıklamıştı: ‘Burada önemli olan bulut teknolojileri firmalarında depolanan verilerin nerede olduğu değil, bulut teknolojilerine ait firmalara aktarım yapılırken firmanın merkezinin nerede olduğudur. Bulut firmalarında depolanan veriler sürekli yer değiştirerek farklı ülkelerde dolaşmaktadır. Dolayısıyla dikkat çekmek istenen bulut firmasının merkezinin hangi ülke sınırları içerisinde bulunduğudur.
Türkiye’de faaliyet gösteren bulut hizmet sağlayıcısı olan firmaya aktarılan veriler, 6698 Sayılı Kanun kapsamında yurt içi aktarım olarak değerlendirilecek ve Kanundaki yurt içi aktarım hükümleri uygulanacaktır.’ Parantezi kapatıyorum.
Kurul konuyla ilgili olarak; Veri sorumlusunun, Kurula verdiği savunma yazısında, kişisel verilerin işlenmesinin hukuki sebebinin ‘ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması’ şartına dayandığını belirtmekle birlikte; ilgili kişilere sunduğu aydınlatma ve rıza metninde ‘… Şirketimiz tarafından sunulan ürün ve hizmetlerin sizlerin beğeni, kullanım alışkanlıkları ve ihtiyaçlarınıza göre özelleştirerek sizlere önerilmesi ve tanıtılması, kabulünüz kapsamında paylaşmış olduğunuz iletişim bilgilerinize reklam, promosyon vb ticari elektronik ileti gönderilmesi, saklanmasını ve … gönderim sağlanması için hizmet aldığı üçüncü kişilerle paylaşılması amaçlarıyla işbu metni kabul etmeniz halinde vermiş olduğunuz açık rızanız kapsamında işlenebilecektir.’ şeklinde bir bilgilendirmede bulunduğu dikkate alındığında, kişisel veri işleme faaliyetinin asıl olarak ve yalnızca ilgili kişilerin açık rızalarına dayanılarak geçekleştirildiği izlenimine neden olduğu değerlendirilmiştir.
Bahse konu savunma yazısının devamında ise, yurt dışına veri aktarımının 6698 sayılı Kanunun 9 uncu maddesinin (2) numaralı fıkrasının atfı ile 5. maddenin (2) numaralı fıkrasının (f) bendinde yer alan ‘ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması’ hukuki gerekçesine dayanılarak dış kaynak firmaya yapıldığı; pazarlama iletişimlerine izin vermiş kişilere/müşterilere e-posta/sms gönderimi yapılabilmesi için müşteri verilerinin sunucuları Avrupa Birliği üyesi ülkede bulunan bir bulut veri tabanına aktarıldığı ifadelerine yer verildiği görülmüştür. Ancak Kurulun değerlendirmesinde, aydınlatma metninde ve açık rıza metninde ilgili kişiler tarafından pazarlama amaçlı ileti gönderilmesine rıza verilmesi halinde bu kişisel verilerin yurtdışına bulunan bir firmaya aktarılacağına ilişkin herhangi bir açıklamaya yer verilmediğinden yurtdışına veri aktarımının veri sorumlusunun Kanunun 5. maddesinin (2) numaralı fıkrasında belirtilen açık rıza dışındaki meşru menfaatleri kapsamında mı yoksa, ilgili kişilerin açık rızalarına istinaden mi gerçekleştirildiğinin anlaşılır olmadığı ya da söz konusu kişisel verilerin hangilerinin meşru menfaat çerçevesinde hangilerinin ise ilgili kişilerin açık rızalarına istinaden işlendiğinin açıkça belirtilmemiş olduğu kanaatine varılmıştır.
Kanunun ‘Kişisel Verilerin Yurt Dışına Aktarılması’ başlıklı 9. maddesinde de kişisel verilerin ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamayacağı ancak, kişisel verilerin 5. maddenin (2) numaralı fıkrası ile 6. maddenin (3) numaralı fıkrasında belirtilen şartlardan birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkede; a) Yeterli korumanın bulunması, b) Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kişisel Verileri Koruma Kurulu’nun (Kurul) izninin bulunması kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabileceği hükümleri düzenlenmektedir. Anılan maddenin devamını kanunda inceleyebilirsiniz.
Veri sorumlusu tarafından Kurula sunulan bilgi, belge ve açıklamaların incelenmesi neticesinde, veri sorumlusunun dijital pazarlama iletişimlerinde web tabanlı bir yazılım kullandığı, söz konusu yazılım üzerinden müşterilerine e-posta/sms gönderimi yapılabilmesi için müşteri verilerini (müşterilere ilişkin; (1) müşteri bilgisi, (2) kendilerine e-posta ve SMS gönderim bilgisi dolayısıyla pazarlama bilgisi ve (3) iletişim bilgilerini) sunucuları Avrupa Birliği üyesi bir ülkede bulunan, bulut veri tabanına aktardığı anlaşılmıştır.
Veri sorumlusu Kurula verdiği savunmasında; müşteri bilgilerinin dış firmaya aktarılmasındaki hukuki gerekçenin Kanunun 5. maddesinin (2) numaralı fıkrasının (f) bendi kapsamındaki “veri sorumlusunun meşru menfaati için veri işlemenin zorunlu olması” olduğu, Kanunun 9. maddesindeki gerekçesine ilişkin olarak ise; tüm Avrupa Birliği üye devletlerinin iç hukukumuza aktarılan 108 sayılı Sözleşmeye taraf olduğu, Anayasanın 90. maddesi uyarınca “usulüne göre yürürlüğe konulmuş Milletlerarası Antlaşmaların kanun hükmünde” olduğunun kabul edildiği ve Milletlerarası antlaşmalarla kanunların aynı konuda farklı hükümler içermesi nedeniyle çıkabilecek uyuşmazlıklarda Milletlerarası antlaşma hükümlerinin esas alınacağı düzenlemesine yer verildiği, bu doğrultuda kişilerin temel hak ve özgürlüklerinden olan kişisel verilerin korunması hakkına ilişkin 108 sayılı Sözleşme ile diğer kanunlar arasında çıkan uyuşmazlıklarda 108 sayılı Sözleşmenin esas alınması gerektiği kanısında olunduğu, Kanun hükmünde olan 108 sayılı Sözleşmenin, serbest aktarım ilkelerini benimseyen 12. maddesinin (3) numaralı fıkrasının (a) ve (b) bentleri istisnasına dayanılan herhangi bir sınırlandırma veya özel izne tabi tutulmaya ilişkin şu zamana kadar Türkiye tarafından yapılan herhangi bir işlem bulunmadığı, bu kapsamda Kanunun 9. maddesinin (5) ve (6) numaralı fıkraları da dikkate alındığında 108 sayılı Sözleşmenin 12. maddesine dayanılarak 108 sayılı Sözleşmenin Taraflarına veri aktarımı yapılmasına ilişki herhangi bir hukuki sınırlandırma ve/veya engelin bulunmadığı kanısında olunduğu, bununla birlikte “Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesine Ek Denetleyici Makamlar ve Sınıraşan Veri Akışına İlişkin Protokol”un 2. maddesinin (2) numaralı fıkrasında (1) numaralı fıkraya hangi koşullarda çekince getirilebileceğinin düzenlendiği, buna karşın ülkemizin ilgili düzenleme hakkında herhangi bir beyanda bulunmadığı, Kurul tarafından yeterli koruma sağlayan ülkelere ilişkin somut değerlendirmenin de henüz yapılmamış olduğu, bu minvalde 108 sayılı Sözleşme’nin Taraflarından olan bir ülkede bulunan Dış Kaynak Firmaya yapılan kişisel veri aktarımının 108 sayılı Sözleşme ve ilgili Ek Protokol’de belirtilen hukuki gerekçelerle yapıldığı ifade edilmiştir.
Öncelikle, 108 sayılı Sözleşmenin 12. maddesinde, Sözleşmeye taraf devletlerin yalnızca özel hayatın korunması gerekçesiyle diğer taraf devletlere gerçekleşecek kişisel veri aktarımlarını yasaklayamayacaklarını veya özel bir izin öngörmek suretiyle kısıtlayamayacaklarının öngörüldüğünü belirtmek yerinde olacaktır. 108 sayılı Sözleşmeye İlişkin Açıklayıcı Rapor’un (Açıklayıcı Rapor) ikinci fıkrasında, bu düzenlemenin amacının Sözleşmeye taraf ülkelerin kişisel verilerin korunması bakımından yeterli düzeyde güvenceleri sağladığı yönündeki ön kabulden hareketle taraf ülkeler arasında veri akışının kolaylaştırılması olduğu, bununla birlikte, bu hükmün taraf devletler arasındaki veri akışının bildirime tabi kılınmasına veya tarafların iç hukuklarında belirli durumlarda yurt içinde veya sınır aşan nitelikte aktarımları yasaklamaya yönelik düzenlemeler yapabilme imkanını ortadan kaldırmadığı öngörülmektedir. Bahse konu Açıklayıcı Raporda Sözleşmenin 12. maddesinin Avrupa Birliği’ndeki (AB) uygulamasına ilişkin olarak ise, AB’nin gerek mülga 95/46/AT sayılı Direktif gerek 27/04/2016 tarih ve 2016/679 sayılı Avrupa Parlamentosu ve Konsey Tüzüğü (Genel Veri Koruma Tüzüğü-GVKT) hükümleri uyarınca 108 sayılı Sözleşmeye taraf olan ülkeleri herhangi bir başka değerlendirmede bulunmadan yeterli korumaya sahip ülke olarak nitelendirmediği ve Sözleşmeye taraf olmayı yalnızca yeterlilik değerlendirmesinde dikkate alacağı bir kriter olarak kabul ettiği hususlarına yer verildiğini de belirtmekte fayda görülmektedir.
Bu kapsamda, Kanunun 9. maddesinin (2) numaralı fıkrasında öngörülen düzenleme uyarınca, Kurul tarafından güvenli ülke olarak ilan edilmemiş ülkelere ilgili kişinin açık rızası olmaksızın yapılacak kişisel veri aktarımlarının ancak Kanunun 5. maddesinin (2) numaralı fıkrasında veya 6. maddesinin (3) numaralı fıkrasında belirtilen şartlardan birinin varlığı ve tarafların yeterli korumayı yazılı olarak taahhüt etmeleri ve Kurul tarafından aktarıma izin verilmesi halinde gerçekleşmesine imkan tanındığını belirtmek yerinde olacaktır.
Diğer taraftan, Kanunun “Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesi” başlıklı 7. maddesinde, “(1) Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir. (2) Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin diğer kanunlarda yer alan hükümler saklıdır. (3) Kişisel verilerin silinmesine, yok edilmesine veya anonim hâle getirilmesine ilişkin usul ve esaslar yönetmelikle düzenlenir.” hükmü yer almaktadır. Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’in 7. maddesinde de Kanunun 5. ve 6. maddelerinde yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması halinde, kişisel verilerin veri sorumlusu tarafından resen veya ilgili kişinin talebi üzerine silinmesi, yok edilmesi veya anonim hâle getirilmesi gerektiği düzenlemesine yer verilmektedir.
Bu kapsamda, veri sorumlusu tarafından yurt dışına veri aktarımı konusunda ilgili kişilerden hukuka uygun bir açık rıza alınmamış olduğu, açık rıza dışındaki işleme şartlarından ise geçerli bir meşru menfaatin bulunduğuna dair denge testinin yapılmamış olduğu, bununla birlikte yurt dışına aktarımda Kanunun 9. maddesine uygun olarak taahhütname hazırlanmamış ve Kurulun izni alınmak üzere Kurumumuza iletilmemiş olduğu dolayısıyla yurt dışına veri aktarmak suretiyle hukuka aykırı veri işlemenin söz konusu olduğu kanaatine varıldığından, veri sorumlusunun yurt dışına veri aktarımında geçerli bir hukuki işleme şartının bulunmaması sebebiyle Kanunun 7. maddesinin (1) numaralı fıkrası ve ilgili Yönetmelik uyarınca, bu kişisel verilerin silinmesi veya yok edilmesi gerektiği kanaatine varılmıştır.
Bu vakayı biraz daha detaylandırmak isterdim. Ancak süremiz kısıtlı olduğu için ufak bir özet ile tamamlamak isterim. Kişisel Verileri Koruma Kurulunun 2020/559 sayılı Karar Özeti 900.000 TL idari para cezası ile www.kvkk.gov.tr web sitesinde yayınlanınca bulut konusunun hassasiyetle değerlendirilmesi gereken bir başlık olduğu webinar’ın başında da belirttiğim gibi çok net olarak anlaşıldı. Bugüne kadar her ortamda ‘idari tedbirler şakaya gelmez, kopyala-yapıştır metinler ile ilerleyemezsiniz, şirkete ve kuruma özel uyum çalışmaları yapılması gerekir’ diye belirttik. Bu vakaya konu olan otomotiv sektöründe faaliyet gösteren şirketin aydınlatma metninin bile Kanuna uygun olmadığı ve benzer şekilde ‘açık rıza’nın bile Kanuna uygun olarak alınmadığı ortaya çıktı. www.1kvkk.com ve www.vatanseverbilisim.com web sitelerinden idari ve teknik tedbirler ile ilgili bilgiler alabilir, danışmanlık ve çözümler için iletişime geçebilirsiniz. Tamamlayıcı olarak www.patriotkvkk.com web sitesinden konuyla ilgili teknik tedbirleri inceleyebilir ve yazılım çözümleri için iletişime geçebilirsiniz.”