Dijital Biz Dergisi | Özel Röportaj
Prof. Dr. Faruk BİLİR
Kişisel Verileri Koruma Kurumu
Başkan
Ağustos 2019
Prof. Dr. Faruk BİLİR: “VERBİS’e Kayıt için Son Tarihi Beklemeyin!”
VERBİS’e kayıt tarihi 01.10.2018 de başlamış olup 30.09.2019 tarihinde kayıt işlemi son bulacaktır. Veri sorumlularının idari yaptırımlarla karşılaşmamaları için kayıt yükümlülüklerini son tarih olan 30.09.2019 tarihine kadar gerçekleştirmeleri önem arz etmektedir. Bizlerin veri sorumlularına tavsiyesi; kayıt için son tarihi beklemeyin…!
Dijital dönüşüm sürecinde kişisel verilerin rolü nedir?
Dijital dönüşümün etkin bir biçimde gerçekleştirilmesi çalışmaları son dönemde önemli ölçüde ivme kazandı. Gelişmelere baktığımızda devam etmekte olan bu süreçte veri odaklı bir anlayışın hâkim olduğunu görüyoruz. Şu bir gerçek ki, dijital teknolojiler kişisel verilerden beslenmektedir. Gelinen noktada veriyi ve özellikle kişisel verileri ‘değerlendirebilen’, analiz edebilen şirketlerin değer kazandığını, adeta son 10 yıla damgasını vurduğunu görüyoruz. Aslında kişisel veriler her zaman değerliydi. Fakat dijitalleşme ile birlikte kendine uygulama alanları bulan veri temelli ekonomi sayesinde bu değer yakından hissedilmeye başlandı. Sadece ekonomik açıdan değil, hizmet kolaylığı açısından da dijital dönüşüm ve kişisel veriler arasında bir ilişki bulunmaktadır. Kişisel verilerin işlenmesi, hayatı kolaylaştırmış ve pratik bir hale getirmiştir. Burada dikkat edilmesi gereken nokta; kişisel verilerin hukuka uygun olarak işlenmiş olması ve bulunduğu her ortamda güvenliğinin sağlanmış olmasıdır.
Peki Kişisel Verileri Koruma Kurumu dijital dönüşümün neresinde?
Bilindiği üzere ülkemiz, dijital dönüşüm ile ilgili çalışmalarını Milli Teknoloji Hamlesi adıyla, ‘’Dijital Türkiye’’ parolasıyla yürütmektedir. Bu kapsamda yerli ve milli projelerin önem kazanması ve başarılı olması insanlarda heyecan ve mutluluk meydana getirdi. Yerli veri merkezlerinin revaçta olması bunun bir göstergesidir. Kurumumuz bu konudaki gelişmeleri yakından takip etmekte olup, kişisel verilerin korunması alanında görev ve yetki alanına giren her konuda üzerine düşeni yapmaya hazırdır.
Son zamanlarda adını sıklıkla duyduğumuz Kişisel Verilerin Korunması ne demektir?
Kişisel verilerin korunması, kişisel verilerin işlenmesinin disiplin altına alınması ile temel hak ve özgürlüklerin korunmasıdır.
Kişisel verilerin korunması, temelde verilerin değil, bu kişisel verilerin ilişkili olduğu kişilerin korunmasını amaçlamaktadır. Başka bir ifade ile verilerin korunması; kişileri, onlar hakkındaki verilerin tamamen veya kısmen otomatik olan ya da otomatik olmayan yollarla işlenmesinden doğacak zararlardan koruma amacına yönelmiş ve kişisel verilerin korunmasına ilişkin ilkelerde somutlaşmış idari, teknik ve hukuki önlemleri ifade eder.
Bu anlamda kişisel verilerin korunmasının, kişilere ilişkin verilerin toplanması, saklanması, kullanılması ve aktarılması gibi veri işleme süreçlerinin bütün aşamalarını kapsar şekilde bireylere kontrol hakkını yeniden kazandırmayı amaçladığı söylenebilir. Bu amaç kapsamında kişisel verilerin korunması, kişinin verilerinin geleceğini bizzat kendisinin belirleme hakkını ifade eder. Aynı zamanda bu koruma insan onurunun ve kişilik hakkının da bir gereğidir.
Kişisel verilerin korunması konusu hakkında ilk düzenleme bu Kanunla mı yapılmıştır?
Kişisel verilerin korunması hakkı ülkemizde 2010 yılında anayasal teminat altına alınmıştır. Bu tarihe kadarki dönemde ise kişisel veriler daha çok genel hukuki düzenlemelerde yer alan hükümler ile korunmaktaydı. Türk Medeni Kanunu ve Türk Ceza Kanunu’nda kişilik hakkı ile kişisel verilerin korunmasına yönelik hükümler ve yaptırımlar bu düzenlemelere örnek gösterilebilir.
2010 yılında ise, Anayasanın 20. maddesine eklenen “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir…” hükmü ile kişisel verilerin korunması ilk kez anayasal bir hak statüsüne kavuşmuştur. Aynı zamanda Anayasanın 20. maddesinin 3. fıkrasında bu hakkın korunmasına ilişkin usul ve esasların belirlenmesi, çıkarılacak bir kanuna bırakılmıştır. Bu kapsamda 6698 sayılı Kişisel Verilerin Korunması Kanunu, 7 Nisan 2016 tarihli Resmî Gazete’de yayımlanarak yürürlüğe girmiştir.
Açık rıza nedir? Kişisel veri işleme amacı değişirse, tekrar açık rıza almak gerekir mi?
Açık rıza belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rızayı ifade etmektedir. Açık rıza ancak bir amaç doğrultusunda alınabilir. Yeni amaçlar kapsamında gerçekleştirilecek işlemler için açık rızanın tekrar alınması gerekmektedir.
Bilindiği üzere birçoğumuza firmalardan kampanya, reklam içerikli mesajlar geliyor. Peki, bu durumda nasıl bir yol izlememiz gerekiyor?
Aslında konuyla alakalı Kurulun almış olduğu bir ilke kararı bulunmaktadır. İlgili kişilerin rızalarını almadan veya Kanunun 5. maddesindeki diğer işleme şartlarını sağlamadan SMS göndermek, arama yapmak veya e-posta göndermek suretiyle reklam içerikli ileti yönlendiren veri sorumluları bu işlemi derhal durdurmalıdır. Aksi takdirde idari yaptırım uygulanacaktır.
Söz konusu ticari elektronik iletilerin gelmesini istemeyen kişilerin öncelikle veri sorumlusuna başvuru yapması gerekmektedir. Eğer veri sorumlusu olan şirket veya kurumlardan cevap alamazsa Kurula şikâyet yolu tercih edilebilecektir.
Kişisel verilerimiz istendiğinde ne yapmamız gerekir?
Kişisel verilerinizi isteyen kişi veya kuruluş hangi verilerinizin işleneceğini, işlenen bu verilerinizin hangi amaçla kullanılacağını, aktarılacaksa kimlere ve hangi amaçla aktarılacağını, verilerinizi elde etme yöntemi ve hukuki gerekçesini, haklarınızın neler olduğunu, gerekmesi halinde nereye başvurabileceğinizi belirterek sizi detaylı olarak aydınlatmak zorundadır.
Aydınlatma yaptıktan sonra eğer Kanundaki diğer işleme şartlarından herhangi biri yoksa açık rızanızı almak zorundadır. Verilerinizi paylaştığınız kişi ya da kurumlardan bilgi talep ettiğinizde başvurunuza en geç 30 gün içerisinde cevap verilmek zorundadır. Netice alamamanız durumunda Kişisel Verileri Koruma Kurumuna şikâyette bulunabilirsiniz. Kanun ve uygulanmasıyla ilgili her türlü bilgi danışmak için ALO 198 Veri Koruma Hattı sizin yanınızdadır.
Kanunun yürürlüğe girmesinden önce işlenen kişisel veriler hakkında ne gibi bir işlem yapılacaktır?
Bu Kanunun yayımı tarihinden önce işlenmiş olan kişisel veriler, yayımı tarihinden itibaren iki yıl içinde bu Kanun hükümlerine uygun hâle getirilir. Dolayısıyla 7 Nisan 2018 tarihine kadar bu Kanun hükümlerine uygun hale gelmiş olması gerekmekteydi. Bu Kanun hükümlerine aykırı olduğu tespit edilen kişisel veriler derhâl silinir, yok edilir veya anonim hâle getirilir. Ancak bu Kanunun yayımı tarihinden önce hukuka uygun olarak alınmış rızalar, bir yıl içinde aksine bir irade beyanında bulunulmaması hâlinde, bu Kanuna uygun kabul edilir.
Kanunda otomatik olan veya otomatik olmayan yollarla kişisel veri işlenmesi mevcuttur. Otomatik olan veya otomatik olmayan yollarla kişisel veri işlenmesi ne demektir?
Kanunda otomatik işlemenin ne olduğu tanımlanmamış olmakla birlikte, gerekçede Kanunun kapsamı açıklanırken, “Günümüzde bu veriler, gerek özel sektör ve gerekse kamu sektörü tarafından bilişim sistemleri üzerinden otomatik yollarla sıkça kullanılmaktadır.” denilerek dolaylı yoldan otomatik işlemenin, bilişim sistemleri üzerinden gerçekleştirilen faaliyetler olduğu belirtilmiştir.
Bu kapsamda, tamamen veya kısmen otomatik olan işleme; insan müdahalesi ya da yardımı konusundaki ihtiyaç asgari seviyeye indirilerek verilerin kaydı, bu verilere mantıksal veya aritmetik işlemlerin uygulanması, verilerin değiştirilmesi, silinmesi, geri elde edilmesi veya aktarılması gibi işlemlerin otomatik veya kısmen otomatik yöntemlerle gerçekleştirilmesi olarak tanımlanabilir.
Bir veri kayıt sistemine bağlı olarak otomatik olmayan yollarla işleme ise manuel olarak hazırlanan ancak erişimi ve anlamlandırmayı kolaylaştıran işleme faaliyetini ifade eder. Kanun, otomatik olmayan yollarla veri işlenmesini tamamen kapsam dışında tutmamakta, otomatik olmayan yolla veri işlenmesi bir veri kayıt sisteminin parçası ise veri işleme faaliyetini Kanun kapsamında kabul etmektedir.
Veri Sorumluları Sicil Bilgi Sistemi (VERBİS) hakkında bilgi verebilir misiniz?
Kanunun veri sorumlularına getirdiği yükümlülüklerden biri de Veri Sorumluları Siciline (VERBİS) kayıt yükümlülüğüdür. Veri işlemekte olan gerçek ve tüzel kişiler VERBİS’e kayıt olmak zorundadır. VERBİS’te kişisel veriler yer almayacaktır. VERBİS, kategorik bazda bilgi girişi sağlanan bir sistemdir. Bu sistem kamuya açık olarak tutulacağından, dileyen herkes veri sorumlularının işlediği kişisel veri kategorileriyle ilgili bilgileri buradan sorgulayabilecektir. Bunun sonucu olarak da, kişisel verisi işlenen kişilerin dolaylı olarak denetim yapması mümkün olacağından veri sorumlularının gelişigüzel veri işlemesi engellenecektir. Kurul tarafından, Sicile kayıt yükümlülüğünün yerine getirilmesi için belirlenen tarihler 2018/88 sayılı Kurul kararının yayımlanmasıyla ilan edilmiştir.
VERBİS ile kişisel veriler güvence altına alınabiliyor mu?
VERBİS, şeffaflık ve hesap verilebilirlik ilkeleri gereğinin bir yansıması olarak kamuya açık olarak tutulmakta; bu sistemde hangi tür veriler ne amaçla işleniyor, veriler ne kadar süre saklanıyor, yurt içinde ve yurt dışında kimlere aktarılıyor gibi çeşitli kategorilerden oluşmaktadır. Kişisel verileri işlenen gerçek kişiler, bu sistem üzerinden sorgulama yaparak veri sorumlusunun veri işleme faaliyetleri hakkında bilgi sahibi olabilecek ve iletişim bilgilerini görerek, gerektiğinde hangi adımlardan başvuru yapabileceğini öğrenebileceklerdir. Şunu da belirtmekte yarar görüyorum; VERBİS’e kişisel veriler girilmeyecek, VERBİS’te veri muhafaza edilmeyecektir. Halihazırda VERBİS’in kurgusu buna imkân tanımamaktadır. Örneğin bir kamu kurumu, Kurumu ziyarete gelen gerçek kişilere aydınlatma yükümlülüğünü yerine getirmek suretiyle ad, soyad, telefon numarası, TC Kimlik numarası, plaka numarası gibi bazı kişisel verilerini işlemekte ise, bu kurum tarafından VERBİS’e bilgi girişi yapılırken; ne bu gerçek kişiye ait tek tek kişisel verileri ne de ad, soyad, telefon numarası, TC Kimlik numarası, plaka numarası gibi daha genel kişisel verileri sisteme girilmeyecek, sadece bunların üst kategorisi olan ve zaten VERBİS’te de seçimlik alan olarak yer alan “kimlik kategorisi” ve “iletişim kategorisi” işlediğine dair bilgi girişi yapılacaktır. Sonuç olarak VERBİS ile birlikte veri sorumluları, veri işleme faaliyetlerini daha özenli ve planlı bir şekilde gerçekleştireceği için bu durum kişisel verilerin korunması açısından son derece önemli bir işlevi yerine getirecektir.
VERBİS’e kayıt olacak veri sorumlularına tavsiyeleriniz nelerdir? Zira ilk grup veri sorumlularının VERBİS’e son kayıt tarihi yaklaşmaktadır.
Veri sorumluları, kişisel veri işlemeye başlamadan önce sicile kayıt yükümlülüklerini yerine getirmek zorundadır. Bu konu üzerine Kurul tarafından getirilmiş istisnalar bulunmaktadır. İstisna dışında kalan veri sorumlularının sicile kayıt yaptırmalarını beklemekteyiz.
Bahsetmiş olduğunuz kriterler için kayıt tarihi 01.10.2018 de başlamış olup 30.09.2019 tarihinde kayıt işlemi son bulacaktır. Veri sorumlularının idari yaptırımlarla karşılaşmamaları için kayıt yükümlülüklerini son tarih olan 30.09.2019 tarihine kadar gerçekleştirmeleri önem arz etmektedir. Bizlerin veri sorumlularına tavsiyesi; kayıt için son tarihi beklemeyin…!
Kanunda veri sorumluları sicili bulunmaktadır. Veri Sorumluları Sicil Bilgi Sisteminin Kurulmasının esas amacı nedir?
VERBİS, Kişisel verisi işlenen gerçek kişilerce verileri üzerinde kontrolün sağlanabilmesi, kişisel verilerini işlediği gerçek kişilere her zaman hesap verebilir olması ve şeffaflık ilkesinin ön plana çıkarılabilmesi için kurulmuş olan bir sistemdir.
Örneğin bir kişi, bir veri sorumlusu tarafından kendisiyle ilgili kişisel verilerinin Kanunumuzda sayılan şartlar olmadığı halde işlendiğini düşünüyorsa bu durumda www.kvkk.gov.tr adresinde, VERBİS ana sayfa içerisindeki “Sicil Sorgulama” bölümünden bunu görüntüleyebilecektir. Bunun için, veri sorumlusunun ad/unvan bilgisini sisteme girmeli, eğer veri sorumlusu VERBİS’e kayıt olmuşsa buradan söz konusu kişisel veri kategorisini işleyip işlemediğini, işleme amacını, saklama süresini, aktarıma ilişkin hususları ve aldığı güvenlik tedbirlerini buradan görebilecektir.
Bu kontrol mekanizması sayesinde, veri sorumlularının gelişigüzel veri işlemesinin önüne geçilmesi ve sadece Kanunda belirtilen işleme şartları mevcut olan kategorik bazda kişisel verilerin işlenmesi sağlanmış olacaktır. Bu da, VERBİS’in şeffaflık ve hesap verebilirlik anlamında iki önemli özelliği ön plana çıkarmaktadır.
Teknolojinin son zamanlarda gelişmesiyle birlikte sosyal medya kullanım oranları bir hayli artış gösterdi. Bu konu hakkındaki önerileriniz, görüşleriniz ya da kişilere vermek istediğiniz mesajlar nelerdir?
Kanunun yürürlüğünden önce birçok noktada kişisel veriler sınırsız ve gelişigüzel bir biçimde işlenmekteydi. Sosyal medya hesapları da kişisel veri işlenen önemli noktalardan birisidir.
Bizler de, kişisel verilerimizin işlendiği her yerde hiç sorgulamadan kişisel verilerimizi paylaşıyoruz. Kanunun yürürlüğe girmesiyle birlikte artık, kişisel veriler konusunda bazı alışkanlıklarımızı değiştirmek zorundayız.
Sosyal medya hesaplarında işlediğimiz kişisel veriler teknolojik cihazlarla gerçekleştirilmektedir. Burada bir ihlal gerçekleşmemesi için hem bilgisayar ve akıllı telefonlar gibi teknolojik cihazların hem de sosyal medya hesaplarının güvenlik politikaları ve gizlilik ayarlarının mutlaka okunması gereklidir.
Burada asıl amaç, kişisel verilerin işlenmesi anlamında kontrol bu teknolojik cihazlarda veya sosyal medya hesapları ve uygulamalarında değil, tamamen kişisel verinin sahibi olan bizlerde olmalıdır. Bir başka deyişle güvenliğimiz için bizlerin bilinçli kullanıcılar olmamız büyük önem arz etmektedir.
Yine son yıllarda adından bahsettiren bir kavramdan daha bahsedelim: Dijital Mahremiyet… Dijital mahremiyet ne demektir?
Mahremiyet genel olarak kişilerin yalnız başına kalabilme, düşünce ve davranışlarını özgürce seçebilme, toplumsal yaşama katılma ve etkileşimde bulunma konusundaki sınırlarını kendilerinin belirleyebilme hakkını içerir. İnsanların kendi hayatlarını diğerlerinin hayatlarına müdahil olmadıkları sürece istedikleri ölçüde yaşayabilme haklarını ve kişinin var olma biçimi üzerindeki egemenliğini ifade eder. Kişinin varoluş biçimi üzerindeki egemenliğini ön plana çıkaran mahremiyet anlayışı, tarihsel süreç içerisinde yaşanan sosyal ve ekonomik değişimler çerçevesinde şekillenmiş ve günümüzün iletişim teknolojileri ile bambaşka bir içerik kazanmıştır. Bu içerik kazanmayla birlikte gündeme gelen kavramlardan biri de, dijital mahremiyettir. Dijital mahremiyet; günlük yaşamdaki mahremiyet kavramının, mahremiyetin dijital dünyada, dijital ortamda tesis edilmesidir. Örneğin, kişiye ait mektubun başkası tarafından açılıp okunmasını mahremiyetin konusu olarak ele alırsak, kişiye gelen e-postanın başka bir kişi tarafından okunmasını dijital mahremiyetin konusu olarak ele alabiliriz.
Dijital bağımlılık ile ilgili neler söylemek istersiniz? Kişisel veri güvenliği ile dijital bağımlılık arasında bir bağlantı kurulabilir mi?
Dijital bağımlılık ve bununla birlikte cereyan eden teknoloji ve internet bağımlılığı, birtakım kişisel verilerimizi çevrimiçi ortamlarda hiç düşünmeden paylaşmamıza sebep olabilir. Bu da normal şartlarda paylaşmayı uygun görmediğimiz fotoğraflarımızı, konum bilgilerimizi ve benzer verilerimizi aleni hale getirebilir. Bugün için sorun teşkil etmeyen bir paylaşım, gelecekte o kişiyi mutsuz edebilir. Artık hepimiz bir şekilde dijital dünyanın bir parçası haline geldik. Dijital dünyadan, teknolojiden soyutlanmış bir hayat düşünmemiz pek mümkün değil, bu yaklaşım doğru da değil. Dolayısıyla kendimizi ve yakınlarımızı dijitalleşmeden, teknolojiden, internetten değil ama bağımlılığından koruyalım. Özellikle çocuklarımızı ve gençlerimizi internet ve oyun bağımlılığının yol açabileceği olumsuz sonuçlara karşı tedbirler alarak koruyalım.
Kanuna uygun hareket edilmemesi durumunda herhangi bir yaptırım uygulanması söz konusu olacak mıdır?
Kurul’un idari para cezası verme yetkisi bulunmaktadır. Miktarları Kanunda açıkça belirlenmiştir. Mesela bazı durumlarda 1.000.000 TL’ye kadar idari para cezası düzenleme yetkisi verilmiştir. Kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları bünyesinde işlenmesi halinde ise disiplin hükümlerine göre işlem yapılır ve sonucu Kurula bildirilir. Ayrıca idari yaptırım olarak veri işleme ve yurt dışına veri aktarımını durdurmak Kurul’un yetkileri arasındadır.
Özel nitelikli kişisel verilerin işlenme şartları neden daha sıkı koruma altına alınmıştır?
Özel nitelikli kişisel veriler, başkaları tarafından öğrenildiği takdirde ilgili kişiler hakkında ayrımcılığa ve mağduriyete neden olma riski taşıyan verilerdir. Bu nedenle, diğer kişisel verilere göre çok daha sıkı şekilde korunmaları gerekmektedir. Öte yandan, tüm temel hak ve özgürlüklerde olduğu gibi, bu koruma mutlak değildir ve diğer hak ve özgürlükler lehine sınırlanabilir. Bu sınırlamanın, demokratik hukuk devletinin gereklerine ve Anayasanın “Temel hak ve hürriyetlerin sınırlanması” başlıklı 13. maddesinde yer alan esaslara uygun olarak gerçekleştirilmesi gerekmektedir.
Özel nitelikli kişisel verilerin hangi durumlarda ve hangi şartlarda işlenebileceği Kanunda açıkça düzenlenmiş, böylece hukuk devletinin bir gereği olan hukuki belirlilik sağlanmıştır. Nitekim yaşam hakkı, ifade özgürlüğü, haberleşme özgürlüğü gibi birçok temel hak ve özgürlüğün kullanılması özel nitelikli kişisel verilerin işlenmesini zorunlu kılmaktadır.
Kişisel Verilerin Korunması Kanunu kapsamında biyometrik verilerin işlenmesi ile alakalı bazı sorular gündemde. Bununla ilgili birkaç soru sormak gerekirse öncelikle biyometrik veri nedir? Kanundaki yeri neresidir?
Biyometrik veriler, yüz görüntüleri veya daktiloskopik veriler gibi benzersiz tanıtıcılarla bir gerçek kişinin özgün bir şekilde teşhis ve teyit edilmesini sağlayan, bireyin fiziksel, fizyolojik ve davranışsal özelliklerine ilişkin spesifik teknik işlemlerden kaynaklanan kişisel verilerdir. Fiziksel ve davranışsal biyometrik veriler olarak iki ana başlık halinde incelenebilir. Parmak izi, iris, retina, avuç içi damar izi, yüz, ses, el geometrisi başta olmak üzere kişinin yürüyüş biçimi, tuşlama ve imza dinamikleri gibi verileri biyometrik verilere örnek olarak gösterebiliriz. Kişisel veriler genel ve özel nitelikli kişisel veriler olarak iki başlık altında incelenebilir. Özel nitelikli kişisel veriler, öğrenilmesi halinde ilgili kişi hakkında ayrımcılık yapılmasına veya mağduriyete neden olabilecek nitelikteki verilerdir. Bunlar; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileridir. Bu verileri hassas veriler olarak da adlandırabiliriz. Bunların dışında kalan bütün kişisel verileri genel nitelikli kişisel veriler olarak düşünebiliriz. Biyometrik veriler Kanunda özel nitelikli kişisel veriler arasında sayılmıştır. İşlenmeleri halinde Kurulun almış olduğu 2018/10 sayılı Karardaki yeterli önlemlerin alınması zorunludur.
Biyometrik veriler hangi şartlarda işlenebilir? İlgili kişinin açık rızasına dayanılarak biyometrik verileri işlenebilir mi?
Biyometrik veriler iki şekilde işlenebilir. Birincisi; kanunlarda açıkça öngörülmesi, ikincisi ise açık rıza alınması. Burada üzerinde asıl durmamız gereken nokta açık rıza konusu. Sadece açık rıza alınarak biyometrik veriler işlenebilir mi? Aslında bu sorunun en güzel yanıtını Kurulumuz 2019/165 sayılı Kararıyla verdi. Buna göre biyometrik veriler işlenirken öncelikli olarak Kanunun ‘’temel ilkeleri’’ ve özellikle ‘’ölçülülük’’ ilkesi göz önünde bulundurulmalıdır. Bu ilke, amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenilmesinden kaçınılmasını gerektirir. Bu kapsamda veri işleme faaliyeti ile amaç arasında makul bir dengenin kurulması gerekir. Bu da ilgili kişiden minimum derecede veri talep edilmesi anlamına gelmektedir. Açık rıza alınması, aşırı miktarda ve ölçüsüz bir biçimde veri toplanmasını meşrulaştırmaz. Dolayısıyla veri sorumluları, biyometrik verileri işlerken ilgili kişilerden açık rıza alsalar dahi bunun Kanunun temel ilkelerine uygunluk gösterip göstermediğini tespit etmeli ve buna göre hareket etmelidir. Bu sadece biyometrik veriler için de geçerli değil. Genel nitelikli kişisel verileri herhangi bir veri işleme şartına dayanarak işlerken de Kanunun temel ilkeleri göz önünde bulundurulmalı. Çünkü temel ilkelere uygunluk, kişisel veri işleme faaliyetlerinin ‘’olmazsa olmazı’’ niteliğindedir.
Kanunla birlikte hayatımıza kişisel verilerin korunması yükümlülüğü de girmiş oldu. Bu Kanunun veri sorumlularına getirdiği yükümlülükler nelerdir?
Kanun ile, kişisel veri işlemekte olan gerçek ve tüzel kişilere bazı yükümlülükler ve uyulması gereken kurallar getirilmiştir.
Öncelikle, Kanunda yer alan genel ilkelere uygun kişisel veri işlenmelidir. İşlenecek verilerin, işlenme şartlarına uygun olarak işlenmesi gerekmektedir. Kanun, herhangi bir işleme şartı bulunmuyorsa o kişisel veriyi işleyemezsin diyor.
Ayrıca, işlenme şartı olduğu için işlenmiş olmakla birlikte, işlenen kişisel verilerin işleme amacı ve şartı ortadan kalktığında kişisel veriler silinmeli, yok edilmeli veya anonim hale getirilmelidir.
Kişisel verilerin yurt içi/ yurt dışı aktarımları için Kanunun belirlediği usul ve esaslara göre hareket edilmesi gereklidir.
Bir diğer yükümlülük, kişisel verisini işlediği kişinin talebine bakılmaksızın aydınlatma yükümlülüğü yerine getirilmesi yükümlülüğüdür.
İşlenen kişisel verilerin güvenliğini sağlamak için gereken her türlü teknik ve idari tedbirlerin alınması da Kanunda ayrıca sayılmış bir yükümlülüktür.
Son olarak, veri sorumluları siciline kayıt yapılması gerektiği de Kanunda düzenlenmiştir.
Kişisel verilerin dijital ortamlarda da korunabilmesi açısından siber güvenliğin önemi nedir?
Günümüzde kişisel veriler, teknolojik gelişmelere bağlı olarak dijital ortamlarda da barındırılabilmektedir. Gerek kamuda gerekse özel sektörde dijitalleşme sürecini göz önünde bulundurursak, dijital ortamlardaki veri işleme faaliyetlerinin gerçek ortama kıyasla daha yoğun olduğunu söyleyebiliriz. Bu sebeple dijital ortamın niteliklerine göre geniş kapsamlı önlemlerin alınması gerekir. Bu hususta en önemli başlıklardan biri siber güvenliktir. Dijital teknolojilerin yaygınlaşması ve sınırları aşabilen yapısı sebebiyle, siber saldırıların boyut değiştirmesine bağlı olarak veri güvenliğinin temin edilmesinde önemli bir kavram haline gelen siber güvenlik konusunda veri sorumlularının; gerekli teknik alt yapıyı kurması ve bunu yönetilebilir hale getirmesi önem arz etmektedir. Siber tehditlerin her geçen gün nitelik kazanması siber güvenliğin, dolayısıyla da veri güvenliğinin sıradan yöntemlerle sağlanamayacağını ortaya koymaktadır. Buna bağlı olarak siber saldırıların siber felaketlere dönüşmemesi adına nitelikli ve sürdürülebilir savunma politikaları oluşturulmalıdır. Dijital dünyada kişisel veri güvenliğini sağlayabilmenin yolu, siber güvenliğin tesis edilmesinden geçmektedir.
Kanunun 5.maddesinde kişisel verilerin işlenme şartlarından bahsedilmiş. Bu şartlar dahilinde kişisel veri işleyen veri sorumlularının, aydınlatma yükümlülüğünü yerine getirmesi gerekir mi?
Veri sorumluları tarafından en geç kişisel verilerin elde edilmesi sırasında aydınlatma yükümlülüğünün yerine getirilmesi gerekmektedir. Veri sorumlularının kişisel veri işleme şartına dayalı olarak veri işleme süreçleri, aydınlatma yükümlülüğünden istisna tutulma gibi bir anlama gelmemektedir. Dolayısıyla ilgili kişinin açık rızasına veya Kanundaki diğer işleme şartlarına bağlı olarak kişisel veri işlendiği her durumda aydınlatma yükümlülüğü yerine getirilmelidir.
Veri sorumlusu kavramından başka bir de veri işleyen kavramı karşımıza çıkıyor. Biraz da veri işleyen kavramını ele alabilir misiniz?
Veri işleyen veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek veya tüzel kişiyi ifade etmektedir. Kanuna göre veri sorumlusu, kişisel verilerin hukuka aykırı olarak işlenmesini ve kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır. Kişisel verilerin veri sorumlusu adına başka bir gerçek veya tüzel kişi tarafından işlenmesi halinde, veri sorumlusu, söz konusu tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur.
Ayrıca, veri sorumluları ile veri işleyenler, öğrendikleri kişisel verileri bu Kanun hükümlerine aykırı olarak başkalarına açıklayamaz, işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder. Kişisel verilerin veri sorumlusu adına başka bir gerçek veya tüzel kişi tarafından işlenmesi halinde, kişisel verilerin hukuka aykırı işlenmesini önlemek, kişisel verilere hukuka aykırı erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla veri işleyen de veri sorumlusu ile birlikte sorumludur.
Kişisel veriler Kanuni olmayan yollarla başkaları tarafından ele geçirilirse, izlenilmesi gereken yol ne olacaktır?
İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.
En kısa süre ifadesi; Kişisel Veri İhlali Bildirim Usul Ve Esaslarına İlişkin Kişisel Verileri Koruma Kurulunun 24.01.2019 tarihli ve 2019/10 sayılı Kararında, 72 saat olarak belirtilmiştir.
Daha önce Kurul, Veri İhlal Bildirimi ile ilgili bir karar yayımladı. Bu Karardan sonra ihlal bildirimlerinde artış yaşandı mı?
Kişisel Verilerin Korunması Kanununun 12. maddesinin 5. fıkrasına göre veri sorumluları, işledikleri kişisel verilerin kanuni olmayan yollarla başkaları tarafından ele geçirilmesi halinde bu durumu, en kısa sürede ilgilisine ve Kurula bildirmek zorundadır. İhlalin Kurula bildirilmesi hususunda ‘’en kısa süre’’ ifadesinden ne anlaşılması gerektiğine yönelik Kurul bir Karar alarak bunu 72 saat olarak belirledi. Bu Karara göre veri sorumlularının ihlal durumunu öğrendikleri tarihten itibaren gecikmeksizin en geç 72 saat içerisinde Kurumun web sitesinde yayımlanan ‘’Kişisel Veri İhlal Bildirim Formu’’nu kullanarak Kurula bildirim yapmaları gerekmektedir. Bu Karar ile birlikte Kurul, hem bu konudaki soru işaretlerini gidermiş, hem de GDPR ile uyum sağlayarak bildirim konusuna bir standart getirilmesini sağlamıştır. Karardan önce de Kanun gereği bildirimler yapılmaktaydı. Fakat Kurul Kararı ile birlikte sağlanan standardizasyon ile bildirimlerde gözle görülür bir artış yaşanmıştır. Şunu da ifade etmek gerekir ki, veri ihlal bildiriminin asıl amacı yaşanmakta olan problemin daha da büyümesinin önüne geçmektir. Bu açıdan veri güvenliği ihlalleriyle ilgili Kurum ile iş birliği çok önemli. Veri sorumluları tarafından itibar kaybı endişesi ile bunun gizli tutulmaya çalışılması kesinlikle düşünülmemeli. Sonuç ne olursa olsun yasal merciiler mutlaka devreye sokulmalı. Kurul haberdar edilmeli. Unutulmamalıdır ki, ilgili kişilere karşı şeffaf olmamak, hem Kanun nezdinde sorunlara yol açar hem de kamuoyu nezdinde çok daha büyük itibar kayıplarına sebebiyet verebilir.
Türkiye’de faaliyet gösteren bulut hizmet sağlayıcısı olan bir firmaya aktarılan verilerin, 6698 Sayılı Kanun kapsamında aktarımı nasıl değerlendirilir?
Burada önemli olan bulut teknolojileri firmalarında depolanan verilerin nerede olduğu değil, bulut teknolojilerine ait firmalara aktarım yapılırken firmanın merkezinin nerede olduğudur. Bulut firmalarında depolanan veriler sürekli yer değiştirerek farklı ülkelerde dolaşmaktadır. Dolayısıyla dikkat çekmek istenen bulut firmasının merkezinin hangi ülke sınırları içerisinde bulunduğudur.
Türkiye’de faaliyet gösteren bulut hizmet sağlayıcısı olan firmaya aktarılan veriler, 6698 Sayılı Kanun kapsamında yurt içi aktarım olarak değerlendirilecek ve Kanundaki yurt içi aktarım hükümleri uygulanacaktır.
Kişisel veriler hangi şartlarda silinmeli, yok edilmeli veya anonim hale getirilmelidir?
Kişisel veriler, işlenmesini gerektiren sebeplerin ortadan kalkması halinde, resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hale getirilir. Başka bir ifade ile Kanunda yer alan kişisel verilerin işlenmesine ilişkin şartların tamamının ortadan kalkması durumunda, kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hale getirilir.
Kurumunuzda yapılan Çarşamba seminerlerinin amacı nedir? Seminerlere katılım ücretli midir? Katılım için herhangi bir ön kayıt yapılması gerekir mi?
Kurumumuzda yapılan Çarşamba seminerleri herkese açık olarak faaliyet göstermektedir. Dileyen herkes herhangi bir şart gözetmeksizin seminerlerimize katılabilirler. Çarşamba seminerlerinin amacı kişisel verilerin korunmasında, bilinç düzeyi olarak farkındalık oluşturmak temellidir.
Aynı zamanda merak edilen soruların cevap bulduğu, gelen konuklarla karşılıklı etkileşimin sağlandığı bir oturumdur. Kurumumuzda gerçekleşen seminerler gerek ilgili akademisyenler gerekse Kurum içi uzmanlarımız, daire başkanlarımız gibi alanında uzman kişiler tarafından gerçekleştirilmektedir. Seminerlerimize katılım için ücret talep edilmemekte, ön kayıt gibi işlemler yapılmamaktadır. www.kvkk.gov.tr adresimizden güncel olarak Çarşamba seminerlerimizin konularını takip edebilirsiniz.
Kurumunuzun farklı şehirlerde gerçekleştirmekte olduğu farkındalık toplantılarının amacı nedir?
Kurumumuzca yürütülmekte olan “KVKK, Vatandaşlarımızın Kişisel Verilerinin Korunmasının Güvencesidir” temalı etkinlikler dâhilinde “6698 Sayılı Kişisel Verilerin Korunması Kanununun Uygulanması ve Uygulama Sürecinde Yapılması Gerekenler” kapsamında illerimizdeki kurumlar, üniversiteler ve sivil toplum kuruluşlarında çalışanlar için farkındalık, bilgilendirme ve bilinçlendirme faaliyetleri gerçekleştirilmesi amacıyla yapılmaktadır. Şu ana kadar farkındalık toplantılarımızı 25 ilde gerçekleştirdik.
Kurumunuzun önümüzdeki dönemde hedefleri nelerdir? Bu doğrultuda ne gibi çalışmalar yapılacaktır?
Önümüzdeki dönemde Kurumumuz,
- Bireylerin temel hak ve hürriyetlerinin korunmasını ve geliştirilmesini, bu çerçevede ilgili paydaşlar nezdinde farkındalık ve kültürün oluşmasını sağlamayı,
- Kişisel verilerin korunması ilke ve kurallarını içselleştirerek bu ilkelerin ne şekilde hayata geçirileceği noktasında tüm sektörlere yol gösterici olabilmeyi ve Kanunun dünyadaki en iyi uygulama ilkeleri ve esasları çerçevesinde, ülkemizin veri temelli ekonomiye geçiş sürecini de hızlandıracak şekilde uygulamaya konmasını sağlamayı,
- Ülkemizin kişisel veri güvenliği açısından güvenilir ülke haline getirilmesini,
- Kamuoyu nezdinde farkındalık oluşturulmasını teminen tanıtıcı film, broşür ve kamu spotlarının yayınlanması, sosyal medyaya ilişkin çalışmaların zenginleştirilmesini,
- Ulusal ve uluslararası alanda panel, konferans ve çalıştayların düzenlenmesini,
- Kamu ve özel kurum kuruluşları ile kişisel verilerin korunması alanında iş birliği yapılabilmesini teminen görüşmeler gerçekleştirilmesini,
- Ülkelerin veri koruma otoriteleri arasında iş birliği ve bilgi paylaşımına yönelik bir platform olan International Conference of Data Protection and Privacy Commissioners’a (ICDPPC) 2017 yılı Eylül ayı itibariyle üye olunmuştur.
- Yurtdışındaki muadil kuruluşlarla uygulamaya ilişkin görüşmeler yapmayı ve diğer uluslararası veri koruma organizasyonlarına üye olunmasına ilişkin çalışmalar yapmayı,
hedeflemektedir.
Hep veri sorumlularının yükümlülüklerinden bahsediyoruz. Kişisel verilerin korunması kapsamında çalışanların neler yapması gerekir? Önerileriniz nelerdir?
Kişisel veri güvenliğini zedeleyecek saldırılar ile siber güvenliğe ilişkin, çalışanların sınırlı bilgileri olsa dahi ilk müdahaleyi yapmaları, kişisel veri güvenliğinin sağlanması konusunda büyük önem taşımaktadır.
Kişisel veri güvenliğini ihlal etmeye yönelik saldırıların yanısıra, kişisel verilerin hukuka aykırı olarak açıklanması ya da paylaşılması gibi konular başlıca kişisel veri güvenliği ihlallerindendir. Bu ihlaller, kullanıcıların dikkatsizlik, dalgınlık veya tecrübesizlik gibi zayıf yönlerinin kullanılması suretiyle kötü amaçlı yazılım içeren elektronik posta ekinin açılması veya elektronik postanın yanlış alıcıya gönderilerek kişisel verilerin üçüncü kişilerin erişimine açılması şeklinde de ortaya çıkabilmektedir.
Bu nedenle çalışanların, kişisel verilerin hukuka aykırı olarak açıklanmaması ve paylaşılmaması gibi konular hakkında eğitim almaları, çalışanlara yönelik farkındalık çalışmaları yapılması ve güvenlik risklerinin belirlenebildiği bir ortam oluşturulması kişisel veri güvenliğinin sağlanması bakımından çok önemlidir.
Veri sorumlusu nezdinde çalışan herkesin hangi konumda çalıştığına bakılmaksızın kişisel veri güvenliğine ilişkin rol ve sorumlulukları, görev tanımlarında belirlenmeli ve çalışanların bu konudaki rol ve sorumluluğunun farkında olması sağlanmalıdır.
Ayrıca kişisel veri içeren ortamlara erişim hakkı verilirken veya bu konuda kurum kültürü oluşturulurken “Yasaklanmadıkça Her Şey Serbesttir” prensibi değil, “İzin Verilmedikçe Her Şey Yasaktır” prensibine uygun hareket edilmesine dikkat edilmelidir.
Öte yandan, çalışanların işe alınma süreçlerinin bir parçası olarak gizlilik anlaşmalarını imzalamaları istenebilir. Çalışanların güvenlik politika ve prosedürlerine uymaması durumunda devreye girecek bir disiplin süreci de mutlaka olmalıdır.
Kişisel veri güvenliğine ilişkin politika ve prosedürlerde önemli değişikliklerin meydana gelmesi halinde; yapılacak yeni eğitimlerle bu değişikliklerin, çalışanların bilgisine sunulması ve kişisel veri güvenliğine ilişkin tehditler hakkındaki bilgilerinin güncel tutulması sağlanmalıdır.
Kişisel Verileri Koruma Kurumu olarak farkındalığın oluşması için ne gibi çalışmalar yapmaktasınız?
Kurumumuzca, bireylerin temel hak ve hürriyetlerinin korunması ve bu konuda gerek veri sorumluları gerekse de ilgili kişiler nezdinde farkındalık oluşması, kişisel verilerin korunmasına ilişkin usul ve esaslarının günlük hayatta tüm alanlara gerçek anlamda yansıtılması gerekmektedir. Dünyada iyi uygulama örneklerinden yola çıkarak, Kanunun tüm yönleriyle ülkemizde uygulanabilmesi, ülkemizin kişisel veri güvenliği açısından “güvenli ülke” haline getirilmesi ve kamuya açık tutulacak Veri Sorumluları Sicil Bilgi Sisteminin tanıtılması gibi amaçlarla; Kurumumuzca tanıtıcı film, rehberler, broşür ve kamu spotlarının yayınlanması, sosyal medya çalışmalarının zenginleştirilmesi, kamu ve özel kurum kuruluşlar ile kişisel verilerin korunması alanında işbirliği yapılabilmesini teminen çeşitli görüşmeler gerçekleştirilmektedir.
Ulusal ve uluslararası alanda panel, konferans ve çalıştaylar düzenlenmesi veya bunlara katılım sağlanması, ülkelerin veri koruma otoriteleri arasında iş birliği ve bilgi paylaşımına yönelik uluslararası platformlara üye olunması, yurtdışındaki muadil kuruluşlarla uygulamaya ilişkin görüşmeler yapılmasını amaçlayan çalışmalar Kurumumuzca yapılmaktadır.
Geçtiğimiz günlerde Kişisel Verileri Koruma Dergisi’nin ilk sayısı yayımlandı. Dergi hakkında neler söylemek istersiniz?
Kurum olarak diğer çalışmaların dışında akademik faaliyetlere de önem veriyor ve bu faaliyetlerin teşvik edilmesi için çeşitli çalışmalar yürütüyoruz. Kişisel Verileri Koruma Dergisi de bu çalışmaların içerisinde yer alıyor. Dergide kişisel verilerin korunması, mahremiyet, veri koruma hukuku ve kişisel verilerin güvenliği ile ilgili konular ele alınmakta. Bu dergiyi yayımlamaktaki amaçlarımızdan biri de, kişisel verilerin korunması alanında çalışmalar yürüten akademisyenlere, meslek uzmanlarına ve konuyla ilgilenen herkese bilimsel nitelik taşıyan bir kaynak sunmaktır. İlgilenenler, Kurumun resmi internet sitesi www.kvkk.gov.tr üzerinden dergiye erişim sağlayabilir.
Son olarak kişisel verileri işlenen biz bireylere ne gibi tavsiyelerde bulunabilirsiniz?
Bireylerin öncelikle bilinçli olmaları gerekmektedir. Kanun gerçek kişilerin verilerini koruma altına almıştır. İlgili kişiler her türlü kişisel verileriyle ilgili bilgi talep etme hakkına sahiptir. Verilerinin neden, niçin işlendiğini sorgulamaları gerekmektedir. Kontrolün her zaman bizim elimizde bulunması biz ilgili kişiler açısından önemlidir.
Eklemek istedikleriniz var mı?
Kurumumuz bünyesinde hizmet vermekte olan ALO 198 Veri Koruma Hattı faaliyet göstermektedir. Kanunla ilgili her türlü soru ve bilgi için ücretsiz olarak çağrı merkezimizi arayabilirsiniz.