içinde

Alfa Veri Danışmanlık

Kişisel verilerin korunması neden önemlidir?

Bilindiği üzere bilişim teknolojilerinin hayatımıza girmesi ile birlikte hizmet alma koşulları ve standartları şekil değiştirmiş, bu durum da bireyin değişimle temasını kaçınılmaz hale getirmiştir. Gerçekleşen bu değişiklik, beraberinde akla gelebilecek her türlü kişisel verinin, özel şirket ve kamu kurumları bünyesinde depolanmasının kapılarını açmış ve bu durum gerek toplumun gerekse ticari yaşamın güven duygusunu tatmin edebilmek için bir zorunluluk haline gelmiştir. Bunları özellikle de pandemi dönemindeyken hayatın çok içinden bir örnekle somutlaştıracak olursak hasta bir arkadaşınızın durumunu iyi niyetli olarak dahi paylaşmanız, hassas nitelikteki kişisel bir durumun, hukuki tabiriyle kişisel bir verinin paylaşılmasını ifade eder. Bu paylaşımlar sanılanın aksine çok komplike konular olmak zorunda da değil. Mesela bir sohbet esnasında çok rahat ve olağan bir şekilde paylaşılan cep telefonu numarası, aidiyet, etnik köken hatta kılık kıyafet bilgisinin dahi paylaşılması bu kapsamda değerlendirilir. Bu tip ihlaller günlük yaşama o kadar entegre olmuş vaziyetteler ki, bu farkındalığa sahip olmayan biri, çoğu zaman bir hakkı ihlal ettiğinin dahi farkında değildir.

Sosyal medya hesaplarında kişisel verilerin korunması mümkün müdür?

Bu soruyu farklı opsiyonlar doğrultusunda ele almak mümkün. Öncelikle sosyal medya kullanıcılarının yaptıkları paylaşımları kendi iradeleriyle bu platformlara yükledikleri gerçeği unutulmamalıdır. Kişi, kendisiyle ilgili paylaşımları, platformun da kendisine sunmuş olduğu çeşitli kısıtlama olanaklarıyla, tercih ettiği kişilerle paylaşır. Bu da, platformun veri işleme ve aydınlatma faaliyetleri gibi yasal yükümlülüklerini yerine getirdiği varsayıldığında; bireyin, verilerinin paylaşılmasına rıza verdiği şeklinde değerlendirilebilir. Burada sıkıntılı olabilecek nokta kişinin kendi hür iradesiyle yapmış olduğu paylaşımların daha sonra kendi iradesi ve paylaşım amacının dışında, kişilik haklarına saldırı teşkil edecek şekilde ele geçirilmesi, saklanması veya transferinin gerçekleşmesi ya da oluşan açık sebebiyle sayılan durumların gerçekleşmesi ihtimalidir. Tabi ki burada bu işlemleri hukuka uygun kılan sebeplerin olup olmadığının tespiti, başkaca bir araştırma konusudur. Bunun dışında paylaşımı yapan hesabın bir şirket ya da işletme adına hareket etmesi veya sosyal medyayı ticari, politik ya da bağış toplama amaçlarıyla kullanması, ailevi içerikli paylaşımlarda bulunması gibi durumlar, kişisel verilerin korunması hususuna istisna teşkil edebilecek ya da şartları değiştirebilecektir. Uzun lafın kısası, sosyal medya hesaplarında da kişisel verilerin korunması tabi ki mümkündür ve ideal olanı da budur. Sadece sosyal medya, doğası itibariyle ihlallerin odak noktası olmaya çok müsait, kaygan bir zemin. Ancak tabi ki doğru adımlar atılarak koruma her zaman mümkün.

Kişisel veriler yurtiçi ve yurtdışında hangi koşullarda paylaşılabilir?

Bu koşullar ilgili Kişisel Verilerin Korunması Kanunu’nda (KVKK) düzenlenmiş durumda. Yurt içi yurt dışı fark etmeksizin genel yükümlülükler zaten söz konusu. Bunlar neler? Veri güvenliğine ilişkin yükümlülükler, aydınlatma yükümlülüğü, açık rıza, her koşulda olduğu gibi hukukun genel ilkelerine uygunluk… vb gibi. Tabi ki çoğaltılabilir. Bunlar ifadesi kolay ancak içi çok dolu ifadeler. Hepsinin ayrıntılarını ve şartlarını bilmek, paylaşımların yasal ve standartlara uygun bir şekilde yapılmasının sağlanması açısından çok önemli. Bu kapsamda verilerin, ilgili kişinin hukuka uygun şekilde, özgür iradesiyle verdiği açık rıza ile paylaşılmasının yanı sıra yapılan paylaşımların, verilerin işlenmesindeki amaca uygun olması ve ilgilinin şahsi verilerinin kimlerle, ne şekilde, ne kadar süre ile ve ne kadarının paylaşılacağı bilgisini,, karışıklığa mahal vermeyecek şekilde edinmiş olması gerekmektedir.

Kanun çıkmadan önce toplanan kişisel verilerin durumu ne olacak?

Bu hususa ilişkin olarak kanun aslında çok net bir düzenleme getirdi. Bildiğiniz gibi Kişisel verilerin Korunması Kanunu 2016 yılında yürürlüğe girdi. Dolayısıyla  çiçeği burnunda bir kanun. Kanun koyucu da haliyle bu durumu öngörmüş ve  yapmış olduğu düzenlemede, daha önceden işlenen verilerin, kanunun yayım tarihinden itibaren iki yıl içinde ilgili hükümlere uygun hale getirilmesi şartını getirmiş. Şöyle bir güzellik de yapmış ama demiş ki “Sen daha önce bu verileri eğer hukuka uygun olarak almış ve işlemişsen yani sen bu kanun yürürlüğe girmeden önce de rızanı almışsan, genel ilkeleri gözetmişsen, dürüstlük kurallarına riayet etmişsen ve bu süre zarfında da ilgili kişi, işlemiş olduğun bu veriler hakkında daha önceki beyanının aksi yönde bir beyanda bulunmamışsa, ben de senin işlediğin bu verileri hukuka, kanuna uygun kabul ederim.”. Aslında kanun koyucu burda bir nevi işini düzgün bir şekilde yerine getiren sorumluyu kayırmış. Öte yandan da kanun yürürlüğe girmeden önce, ilgili hükümler gözetilmeden işlenen verilerin ise derhal silinmesi, daha hukuki bir ifadeyle “anonim hale getirilmesi” gerektiği şerhini düşmüş. Bu anlamda kanun koyucu çok net. Kurumun sitesinde yayımlanan kararları da incelediğiniz takdirde açıkça görebileceğiniz üzere kimsenin gözünün yaşına bakmamış. Kamu kurumu, özel şirket ayrımı gözetmeksizin tüm veri sorumlularına çok ciddi yaptırımlar uygulamış.

Kişisel Verilerin Korunması Kanunu kapsamında şirketlerin yükümlülükleri nedir?

Tabi ki bu çok kapsamlı bir konu. Her şeyden önce çok fiks yükümlülükler var. Az önce de bahsetmiştik bunlardan. Aydınlatma yükümlülüğü, kurul kararlarının yerine getirilmesi, veri güvenliği, VERBİS’e kayıt yükümlülüğü gibi. Bunun dışında şirketlerin yükümlülükleri, faaliyet alanlarına ve işlenen verilerin niteliğine göre değişiyor, artıyor, şekil değiştiriyor. Tahmin edersiniz ki dar bir çevreye yönelik mal ve hizmet sunan küçük ölçekli bir işletme ile bir perakende zinciri şirket tarafından sunulan veri işleme amaçlarının aynı detayda olması beklenemez. Örneğin danışmanlık hizmeti verdiğimiz ve yatırım anlamında ülkenin göz bebeği olan TMSF, mevduatın korunmasına ilişkin günümüze kadar oluşturulan kurumların en gelişmişi. Hal böyleyken kurumun başarısı ve pozisyonu yükseldikçe, işlenen verilerin hacmi, iş yükü ve olası bir ihlal durumunda karşılaşacağı yaptırımların yoğunluğu bu anlamda paralel bir grafik oluşturuyor. Biz de bu sorumluluğun getirmiş olduğu hassasiyetin bilinciyle, maksimum özen ve özveriyle büyük bir hizmet sunuyoruz onlara.

İşletmeler, kişisel verilerin korunması için hangi yükümlülükleri yerine getirmeliler, neler yapmalılar?

Takdir edersiniz ki işletmelerin yapısı gereği şirketler kadar yoğun yükümlülükleri söz konusu değil. Ancak bu bizi yanıltmamalı. Dediğim gibi bu kanun çok yeni bir kanun, dolayısıyla çok basit gibi görünen ve bu sebeple gözden çok rahat kaçabilecek hususlar, işletme sahiplerine sorumluluklar doğuruyor aslında. Bu bağlamda işletme sahipleri, işletmelerinin yeniden yapılandırılması sürecinde görev ve rol dağıtımında esas alınmak üzere çalışanlarının kişisel verilerini işleyebilecekler. Ve bu işleme faaliyetini gerçekleştirirken hareket kabiliyetlerinin sınırı kanun tarafından belirlenmiş. Az önce de ifade ettiğim gibi işlenen verilerin amaçla bağdaşması, verilerin ilgili kişilerin açık rızasının gözetilerek işlenmesi ve verilerin işlendiğine dair kanun anlamında tam ve hukuka uygun bir aydınlatmanın yapılması gibi yükümlülükler söz konusu. Bunların dışında yine her zaman olduğu gibi özellikle hizmet sektöründe yer alan örnek vermek gerekirse kafe, restoran gibi işletmelerde işletme sahipleri, çalışanları ile birlikte müşterilerinin de bu anlamda güvenliklerini sağlamak durumundalar. Somutlaştırarak ifade etmem gerekirse mesela Wi-Fi hizmeti sunan tüm işletmeler, bu hizmeti karşılarken işledikleri kişisel verilerin her türlü güvenlik altyapısını ve özellikle KVKK olmak üzere ilgili kanunlar için de uyum sağlamakla yükümlüler. Bu örnekler de çoğaltılabilir tabi.

İşletmeler Kişisel Verileri Koruma mevzuatına uymadıklarında ne gibi yaptırımlarla karşı karşıya kalıyorlar?

Bu aslında kanunda çok kısa olarak düzenlenmiş olsa da, asgari ve azami sınır arasındaki farklar ve caydırıcılığı dolayısıyla bir o kadar da önemli ve parmak basılması gereken bir konu. Yaptırımların asgari sınırı 9.000 TL iken yeni düzenlemeyle azami sınır 1.800.000 TL civarlarında. Bu çok ciddi bir fark. Yapılan ihlalin büyüklüğü, kapsamı, şirketin cirosu gibi birçok etken bu yaptırımın tutarının belirlenmesinde rol oynuyor. Bunun dışında takdir edersiniz ki cezai yaptırımlar da söz konusu. Tabi bunların yanında Kurul’un internet sitesinde kamuoyuyla yaptığı paylaşımlar dolayısıyla, işletmelerin karşı karşıya kalacakları itibar zedelenmelerinin de altının çizilmesi gerektiğini düşünüyorum. Çünkü işletmenin, yapısı gereği toplum ile iç içe bir doğası var. İşletmenin kar elde etme ve topluma hizmet etme amacı döngü halindeki iki unsuru. Yani birinin varlığı diğerini besliyor. Bu bağlamda, toplum nezdinde itibarı zedelenen bir işletmenin piyasada tutunması, hele ki bu rekabet ortamında, siz de takdir edersiniz ki çok güç. Toparlamak gerekirse çok ciddi ve her yıl üst sınırı giderek artan idari para cezaları ve TCK anlamında cezai yaptırımlar mevcut. Ancak bunların yanında kanunda geçmeyen ama en az diğerleri kadar keskin bir manevi yaptırım da söz konusu.

KVKK alanında sizin firmanızın kurumsal çalışmalarından bahseder misiniz?

Öncelikle burada kendimden ve ekibimden emin olmaya hakkım olduğunu düşünerek bu anlamda son derece profesyonel bir kadroyla çalıştığımın altını çizmek isterim. Şirketimiz, bünyesinde öğretim üyesi uzman danışmanlarımız ve Avrupa Birliği’nde uygulanmakta olan GDPR uyumunun sağlanması için Queen Mary Üniversitesi’nde de Bilişim Hukuku alanında yüksek lisans yapmış ve halen bu konuda çalışan avukat meslektaşlarımız da dahil olmak üzere alanlarında uzman avukat ve stajyer avukatları barındırmakta. Bunun dışında Av. Mehmet Gedikbaş tarafından kurulmuş olan Türkiye’nin önde gelen hukuk firmalarından Gedikbaş Hukuk Bürosu ile partner ofis olarak çalışıyoruz. Bu birliktelik de bizim için çok kıymetli. Kadromuz genişledikçe verdiğimiz hizmetin hacmi de genişliyor çünkü. Ayrıca Av. Mehmet Gedikbaş’ın Yönetim Kurulu Başkanı olduğu benim de  kurucu üyesi olarak yer aldığım Adaletin Yapı Taşı Avukatlar Derneği, kısa adıyla AYTAD ile de sıkı temas halinde çalışmaktayız. Dernek bünyesinde kurduğumuz KVKK masası ile AYTAD’a üye tüm avukatların dahil olabileceği bir havuz da oluşturmuş oluyoruz. Bu havuzda kişisel veri kavramının gelişmesine hizmet edecek raporlamalar ve düzenlemelere yer veriyoruz.. Kapsamı sürekli genişleyen KVKK alanında kapsamı sürekli genişleyen ekiplerle çalışmanın yanı sıra bu tarz faaliyetlerle diyaloglarımızı da geniş tutarak alanı çok sıkı takip altına almış bulunuyoruz. Bu sayede mevzuatı ve Kişisel Verileri Koruma Kurumu’nun vermiş olduğu kararları en doğru şekilde yorumlayarak uygulamakta ve nitelikli bir danışmanlık hizmeti vermekteyiz. Diğer bir ifadeyle bu alanda yaşanan herhangi bir gelişmenin ya da Kurul Kararı’nın gözümüzden kaçması mümkün değil yani. Az önce de bahsettiğim gibi ülkenin önde gelen kamu kurumlarının yanında özel sektöre de hizmet sunuyoruz. Mesela İstikbal, Bellona, Mondi gibi alt şirketleriyle tanınan ve halk arasında daha çok Boydaklar olarak bilinen ancak yeni adıyla Erciyes Holding’in KVKK çalışmalarını da yürütüyoruz. Ekibimiz bu alanda en büyüklere hizmet verebilecek yetkinlikte. Doğal olarak kendi alanlarında vizyonu ve performansıyla fark atmış birçok firmaya da hizmet vermekteyiz.