Enstitümüzün periyodik olarak düzenlediği Gelecek Konuşmaları konferansımızda bu kez kişisel verilerin korunmasını ele aldık. Amacımız; ülkemizde yürürlükte olan Kişisel Verilerin Korunması Kanunu ile Avrupa Birliği’nin düzenlemesi olan Genel Veri Koruma Tüzüğü’nün karşılaştırmak, benzerliklerini ve farklarını değerlendirmek, Sanayi kuruluşlarının yükümlülüklerini ele almaktı.
Kişisel Verileri Koruma Kurumu 2. Başkanı Cabir Bilirgen, KVKK Kurul Üyesi Şaban Baba, KVKK Başuzmanı Seçil Koyuncu, Ankara Barosu Başkanı Hakan Canduran, Internet Society Avrupa Bölüm Başkanı Ceren Ünal, Enstitü danışmanlarımızdan Ege Erkoçak, Enstitü kurucu üyelerimiz Yılmaz Kayaaslan ve Samet Çelik ile konuyu etraflıca değerlendirmeye çalıştık.
Ankara Barosu Başkanı Hakan Canduran konuşmasında KVKK ve GDPR’ın oldukça güncel, hukukçular dahil herkesi ilgilendiren önemli konular olduğunu vurguladı. Canduran’ın konuşmasından öne çıkan notları şöyle sıralayabiliriz:
Her iki düzenlemenin amaçları aynı ve içerikleri paralellik arz etmektedir.
Bu düzenlemelere veri koruma hukukunun yanısıra yeni dünya düzeni ve ekonomik politikalara etkisi açısından da bakmak gerekir. AB Genel Veri Koruma Tüzüğü (GDPR) ile AB vatandaşlarına ait kişisel verilerin sınır ötesi aktarımı çok daha sıkı kurallara bağlanmaktadır.
GDPR sadece AB’de kurulu olan şirketlerin değil AB içinde faaliyet gösteren yabancı menşeili şirketleri de etkilemektedir. Bu nedenle bu kapsamda sayılan Türk şirketlerinin de gerekli aksiyonları almaları ve hukuksal yönlendirmelere ihtiyaçları bulunmaktadır.
Kişisel Verileri Koruma Kurumu 2. Başkanı Cabir Bilirgen, veri madencilerinin üretilen verileri değerlendirip bilgiye dönüştürdüklerini, veri madenciliğinin günümüzün ve geleceğin en gözde mesleklerinden olduğunu vurguladı.
Konuşmasından öne çıkan notlar şöyle:
20 sene sonra dünyada belki de hukukçuya ihtiyaç kalmayacak, yapay zekanın gelişmesi ile hukuki sorunlara cevap bulunabilecek ama bilişimle alakalı 40’a yakın yeni meslek oluşacak.
Kişisel verilerin korunması, 2010 yılında yapılan Anayasa değişikliği ile anayasal güvence altına alınmıştır.
6698 sayılı kanunun yürürlüğe girmesiyle kişisel verilerin kanuna uygun olarak işlenmesi, kişisel verinin amacına uygun ve yeteri kadar toplanması, amacına uygun depolanması, ancak açık rıza ya da hukuka uygun diğer nedenlerle paylaşılması, günü geldiğinde veya talebiniz ve yasaların izin verdiği süre sonunda silinmesi, yok edilmesi, anonimleştirilmesi gibi kurallar koyulmuştur.
Enstitümüz kurucularından Yılmaz Kayaaslan ise konuya farklı bir bakış açısıyla yaklaşmak istediğini belirterek, evrenin veri akışından meydana geldiğini ve her olgunun ya da varlığın veri işleme sürecine yaptığı katkıyla belirlendiğini öne süren dataizm kavramından ve bu kavramın yarattığı en büyük değerin bilgi edinme özgürlüğü olduğundan bahsetti. Kayaaslan’a göre 21. yüzyılın geleneksel siyasi yapısı, veriyi anlamlı bir bilgi elde etmek için işleyemezse yerini daha etkin ve yeni yapılara devredecektir.
Kurucularımızdan Samet Çelik ise mahremiyetimizin sona erdiğini söyleyerek başladığı konuşmasında dijitalleşen dünyada bireyin genel durumundan ve KVKK ile ilgili Türkiye’de yapılan algı araştırmasının sonuçlarından bahsetti. Öne çıkan notlar şunlar:
Google’a sorduğumuz her 6 sorudan biri daha önce hiç kimseye sormadığımız sorular, Google’a güvendiğimiz kadar başka kimseye güvenmiyoruz artık.
Google, Facebook gibi dijital devlerin insanlığın yararına çalıştığını söyleyemeyiz, zira tüm çevrimiçi ve çevrimdışı hareketlerimizi kaydedip bunları paraya dönüştürdükleri bir iş modelleri var.
Facebook, psikolojinin kullandığı teknikleri de kullanarak sosyal medya üzerinden kullanıcıları profilliyor, hem kendi işleri için hem diğer mekanizmalar için bu veri setlerini kullanıyor ve insanları manipüle ediyor. Cambridge Analytica skandalıyla ayyuka çıkan gerçek, budur.
Bu duruma internet reklamları yoluyla geldik, karmaşık işleri başarabilen makine öğrenimi algoritmaları dijital reklamları yönetmek için geliştiriliyor ve garip olan artık bu algoritmaların nasıl çalıştığını tam olarak bilememiz. Yani insan, kendinden üstün bir bilinç geliştirmek üzere.
İnternet reklamları yoluyla milyarlarca insan manipüle ediliyor ama bunu pek önemsemiyoruz.
Bir diğer sorunumuz da sosyal ağların ‘uygun gördüğü içerikleri’, akışta ‘uygun gördüğü kişilere’ göstermesidir. Bu durum; başkalarının neler gördüğünü ve aynı bilgileri görüp görmediğimizi bilemememiz, dolayısıyla kolektif bilgiye ulaşamamamız ve toplumsal tartışma imkanlarından uzaklaşmaya başlamamız anlamına geliyor.
ZENNA Araştırma ve Digital Age dergisinin yaptığı araştırmadan çıkan bazı sonuçlar ise şunlar:
Kişisel Verileri Koruma Kurumu Kurul Üyesi Şaban Baba, yürürlükte olan 6698 sayılı kanundan ve kurumun yaptığı çalışmalardan bahsetti. Şaban Baba’ya göre bu kanunla anlamamız gereken, kişisel verilerin aslında bireylerin mahremiyetinin bir parçası ve verinin de ekonomik bir değer olduğudur. KVKK’ya ilişkin genel notları şöyle sıralayabiliriz:
Verilerin işlenmesi konusunda kısıtlayıcı bir anlayışa sahip değiliz.
Kanunun içindeki temel ilkeler göz önünde bulundurulmalıdır.
Veri Sorumluları, veri işlemeye başlamadan önce Veri Sorumluları Sicili’ne (VERBİS) kaydolmak zorundadır. Sicil, kurulun gözetiminde başkanlıkça kamuya açık tutulan kayıt sistemidir. Veri sorumluları, kanunun 16. madde ve yönetmelikte sayılan hususları kategorik düzeyde sicile bildireceklerdir. Sicile açıklanan bilgiler Veri İşleme Envanteri’ne dayanmalıdır. Veri İşleme Envanteri, veri sorumlusunun kanuna uyumluluğunu gösteren en önemli dokümandır.
GDPR’da KVKK’dan farklı olarak ellinin üzerinde ihlal çeşidi öngörmektedir.
Enstitü danışmanımız Ege Erkoçak; verilerin kullanılması ve korunması konusunun Avrupa Birliği süreciyle de doğrudan bağlantılı, önemli ve güncel bir konu olduğunu ifade etti. Erkoçak’ın konuşmasından notlar şöyle:
1989 yılından itibaren çeşitli komisyonlar ortaya çıkarılarak düzenlemeler yapılmış, ulusal programa dahil edilmiştir.
Sanayi Odası ve Sivil Toplum kuruluşlarının bu konuya ilgisi bugün çok önemlidir. Çünkü önceki dönemlerde böyle bir ilgi olsaydı, süreç çok daha hızlı ilerlerdi.
Günümüze baktığımızda ‘’Vize Serbestisi’’ için 72 kriter vardı. Veri Güvenliği yasalarının çıkmasıyla aslında AB kriterlerini karşılamakta birçok adım atılmış oldu. Bu konudaki önemli noktalar şunlardır:
Şirketlere ne gibi yenilikler getiriyor? Teknolojik dönüşüm getirecek. Kullanıcılarla aradaki sözleşmelerin yenilenmesi gerekecek.
Kişilerin rızası alınırken, özgür irade ve açık sorular ile alınması gerekmektedir.
Veri ihlali bildirimi, içerideki bilgilerin dışarıyla paylaştığıyla bunu 72 saat içinde otoriteye ve kullanıcılarını bildirmesi gerekmektedir.
Algoritmaların karar verdiği ortamlara doğru gidiliyor. Nihai kararları algoritmaların değil kişilerin vermesi beklenecektir.
Türkiye KVKK’yı çıkarmakta gecikti ancak e-devlet çalışmalarında önde gelen ülkelerden biridir.
Internet Society Avrupa Bölüm Başkanı Ceren Ünal, GDPR’ın küresel etkilerinden bahsetti, veri güvenliği alanında nereden gelip nereye gittiğimiz konusunda bilgiler verdi. Öne çıkan notlar şunlar:
Analogdan dijitale bir dönüşüm olmadan, eski usul yöntemlerle tutulan kayıtlar üzerinde uygulanmaya başlanmıştır.
Dünyaya bakıldığında Avrupa’nın her zaman daha hızlı ilerlediğini görmekteyiz.
Mahremiyet bir temel haktır. Amerika’da senelerden beri süregelen bir tanımla, ‘Rahat Bırakılma Hakkı’ olarak adlandırılmıştır.
Sosyal medya ve nesnelerin interneti ile birlikte çevrimiçi olmanın anlamı tamamen değişmiştir.
GDPR’ın yapmaya çalıştığı şey, bireyi tekrar yetkin konuma getirmek ve bu yetki sürecinin merkezine almaktır. Yani enformasyonel self-determinasyon, demek oluyor ki bilgilerimiz üzerinde hakkı olan tek kişi, bilginin sahibi olan bizlerdir. Bu mülkiyet hakkı ticari anlamda değildir.
GDPR kişiyi veri sürecinin merkezine oturturken, iki temel araçla bunu denetlemektedir:
1- Ceza,
2- Yeterli koruma bulunmayan üçüncü dünya ülkelerine veri transferinin engellenmesi.
AB ile iletişilmek isteniyorsa buna uygun düzenlemeler ve değişiklikler yapılması gerekmektedir.
GDPR neden tüzük değil de regülasyon? Çünkü yönerge olarak çıkardığınızda ülkeler düzenlemeler yapmak zorundadır.
Veri günümüzde petrolün yerine mi geçmiştir? Petrolün aksine veri, kıt bir kaynak değildir; ham verinin çok büyük bir değeri yok, işlenmesi çok kolay.
Eğitim: KVKK’nın getirdikleri ve GDPR karşılaştırması
Konferansımızın eğitim bölümünü, Kişisel Verilerin Korunması Kurulu Başuzmanı Seçil Koyuncu gerçekleştirdi. Koyuncu KVKK ile getirilen düzenlemeler ve GDPR ile benzerliklerini ve farklılıklarını aktardı. Öne çıkan notlar şöyle:
Günümüzde veri daha hızlı aktarılmakta ve kullanılmaktadır. Bu durumun faydası olduğu kadar zararı ve oluşabilecek riskleri de bulunmaktadır.
Özellikle mahremiyet konusundaki ihlaller ön plandadır. Bizim Kanunumuz kaynağını, 95/46 sayılı direktiften almaktadır. Teknolojinin ilerlemesi, bulut yazılım gibi yeni sistemlerin oluşturulması ve geliştirilmesi Direktifin de güncellenmesi ihtiyacını doğurmuştur. Tüzük, 2016’da yayınlanmakla birlikte 25 Mayıs 2018'de uygulama alanı bulacaktır.
GDPR ile KVKK farklılıklarına geçecek olursak, ilk söyleyeceğimiz şey bizim kanunumuz yani KVKK’da bölgesel kapsam belirlenmemiştir. Oysa GDPR’da belirli bir bölgesel kapsam tanımlanmıştır. Bu da AB dışındaki ülkelerde AB vatandaşlarının verisini işleyenlerin de bu kapsamda olduğunu öngörmektedir. 3. maddede bu bölge kapsamı açıklanmış, ilk fıkrada yer verilen işletme kavramı ile sadece işletme ana merkezi olarak tanımlanmamıştır, işletmenin bir şirketi de AB’de etkin ve gerçek bir faaliyette bulunuyorsa gerçekleştirdiği veri işleme faaliyeti ile ilgili Tüzük uygulama alanı bulacaktır. Yani AB işletme kavramını daha geniş kapsamda kullanmıştır. Önemli olan etkin bir faaliyet olmasıdır.
GDPR’ın uygulanabilmesi için AB içinde AB vatandaşlarının verisinin işlenmesi halinde, veri işleyen AB’de olmasa bile AB’deki ilgili kişilere mal ve hizmet sunulması halinde ve ayrıca AB’deki kişilerin yine AB’deki davranışlarının gözlemlenmesi halinde de tüzük uygulama alanı bulmaktadır. Burada dikkat edilmesi gereken şey, AB vatandaşı kişilerin hedef alınmasıdır. Mesela; Antalya’da bir yazlık satış ilanı var, ancak bu ilan Almanca olmakla birlikte bedel Euro şeklinde belirtilmiş ve Alman vatandaşına satış yapılacağı ayrıca ifade edilmiş. Bu noktada, “AB vatandaşını hedef almış mal ve hizmet söz konusudur”, diyebilmekteyiz.
Bir verinin elde edilme aşamasından silinmesi aşamasına kadar geçen süreçteki her türlü faaliyet, veri işleme faaliyetidir.
Bir veriyi elinde tutmak, o kişiyi veri sorumlusu yapmamaktadır. Veri sorumlusunun verdiği yetkiye dayanarak ve onun adına işleme faaliyetinde bulunan gerçek veya tüzel kişi ise “veri işleyendir” diyebilmekteyiz. Her somut olayda vasıta ve amaca dikkat etmek gerekmektedir.
Veri sorumlusu, şirketin kendisidir. Ancak bir şirketler topluluğu içindeki veriyi işleyen her şirket, veri sorumlusu olabilir.
İlkeler arasında veri minimizasyonu ilkesi çok önemlidir. Bu ilke, amacın gerektirdiğinden fazla veri işlenmemesi anlamına gelmektedir. Mesela; bir alışveriş yaptık ve elektronik bir fatura düzenleniyor. İletişim numaramız ve adresimiz alınıyor ancak kimse bizim kan grubumuzu bu noktada istemiyor. Çünkü, bu amaçla bağlantılı ve ölçülü bir veri değildir.
KVKK kapsamında ancak belirli durumlarda veriler işlenebilmektedir, bu durum kanunun 5. ve 6. maddelerinde açıklanmıştır. Veri sorumlusu, rıza istemeden önce diğer şartları değerlendirip incelemelidir.
Açık rıza, hem GDPR hem KVKK’da neredeyse aynı şekilde tanımlanmıştır. Zımni rıza kabul edilmemektedir. Açık rıza, belirli bir konuya ilişkin olmalıdır ve belirli bir şekle tabi değildir; elektronik ortamda da rıza alınmış olabilir ve bunun ispat yükümlülüğü veri sorumlusuna aittir. Dikkat edilmesi gereken şey, hizmetin açık rıza şartına bağlanamayacağıdır. Buna örnek vermek istersek; spor salonuna üye olmak istiyorsunuz, parmak iziyle salona giriş yapmak zorundasınız. Bunun için önceden rıza alınamaz, spor salonuna üye olmak için bu şart koşulamaz.
GDPR’da çocuklardan açık rıza alınabilmesi için 16 yaş sınırı getirilmiştir. Çocuk 16 yaşından küçük ise velisinden açık rıza alınmaktadır.
Özel nitelikli kişisel veriler, kişisel verilerin daha sıkı korunan bir alt grubu gibi görmekteyiz. Bunlar iki kanunda da sınırlı sayma yoluyla belirlenmiştir.
Verinin ve işlemenin niteliği de önemlidir. KVKK’da veri aktarımı, “yurt içi ve yurt dışı aktarım” şeklinde yer almaktadır. Bir şirket içerisinde birimler arası aktarım, bu birimler tüzel kişiliğe sahip olmadığından, Kanunun 8. maddesindeki aktarım hükümlerine tabi değildir. GDPR’da uygunluk tedbirlerine göre aktarım kuralları belirlenmiştir.
GDPR kapsamında kişinin bazı hakları vardır. Bunlar şu şekilde ifade edilmiştir: Erişim hakkı, bilgilendirme hakkı, düzeltme hakkı, silinme (unutulma) hakkı, bildirimde bulunulmasını talep hakkı, işlemeye itiraz hakkı, işlemlerin sınırlandırılmasını talep hakkı ve veri taşınabilirliği hakkı. Bu haklar KVKK bünyesinde düzenlenmiş olmakla birlikte işlemlerin sınırlandırılmasını talep hakkı ve veri taşınabilirliği hakkı, GDPR düzenlemesiyle gelen yeni haklardır. KVKK’da bilgilendirme hakkı, aydınlanma hakkı olarak düzenlenmiştir.Kişiler bu haklarını; önce veri sorumlusuna, sonuç alamazlarsa Kişisel Verilerin Korunması Kurulu’na başvuru yaparak kullanabilirler. Ancak öncelikle veri sorumlusuna başvuru yolunun tüketilmesi gerekmektedir.Veri sorumlusu talebi, en geç 30 gün içinde sonuçlandırmalıdır. Ancak veri sorumlusu cevaplamadı, reddetti ya da verilen cevap yeterli olmadı ise ilgili kişi cevap itibariyle 30 gün içinde Kurum’a başvurabilmektedir. Bilinmesi gereken bir nokta, Kurum’un resen inceleme yetkisinin de bulunmasıdır.
GDPR kapsamında uygulanacak idari yaptırım cezalarının miktarı çok yüksektir. Bunun da veri güvenliğinin korunması için caydırıcı olacağı düşünülmektedir.
KVKK ve GDPR kapsamında unutulmaması gereken husus, kanunların sadece gerçek kişileri korumasıdır.
Tüm katılımcılarımıza, konuşmacılarımıza ve desteğini hiçbir zaman esirgemeyen Ankara Sanayi Odası’na teşekkür ederiz. Önümüzdeki süreçte veri güvenliği, mahremiyet ve ağ tarafsızlığı gibi konuları ele almaya devam edeceğiz.
Görüşmek üzere 🖖🏼