Top

Kişisel Verileri Korumaya Hazır mısınız?

Kişisel Verileri Korumaya Hazır mısınız?

Avrupa Birliği’nde GDPR, Türkiye’de ise KVK gibi yasal düzenlemerle oluşan yeni hukuki rejim, getirdiği ciddi yükümlülükler ve ağır idari para cezaları ile kuruluşları iş stratejilerinde ciddi bir revizyon yapmaya itiyor.

Bilgi çağı bireyler olarak yaşamımızı köklü bir biçimde değiştirdi. Bizi neredeyse mekana ve zamana bağlı olmaktan kurtardı diyebiliriz. Bu imkanlardan yararlanabilmek için biz ve milyarlarca insan kimliklerini dijital dünyaya taşımayı kabul ettiler. İsmimizi, resimlerimizi, anılarımızı, görüşlerimizi, bedensel özelliklerimizi ve bizim kim olduğumuzu tanımlayan saymakla bitmeyecek kadar verimizi sayısallaştırdık. Böylece bilgi ekonomisi ortaya çıkmış oldu. Kamu ve özel sektör olarak, bireylerin kişisel verilerinden oluşan bu devasa potansiyeli parasallaştırmak için yarışa giriştik ve bilgi ekonomisini doğurduk. Bu yeni dönemin “Vahşi Batı”sı denilebilecek ilk zamanlarda kişilerin verilerinin kuruluşlar tarafından işlenmesi ya da derlenmesi, paylaşılması, saklanması çoğunlukla kişinin rızası ve bilgisi olmadan yürütüldü.

Ancak kurum ve kuruluşlar olarak kişilerin verilerini kaygısızca kullanabildiğimiz bu dönem sona erdi. Artık birey kendi kişisel verilerinin hangilerinin nasıl işlenebileceği, hangi amaçla kim tarafından kullanılabileceği ya da kısacası akıbeti hakkında tam yetki sahibi. Kişinin verisini kullanarak iş yürüten bütün kurum ve kuruluşlar ister özel, ister kamu, ister sivil toplum ve hatta isterse birey olsun kişiyi verisini kullanabilmek için rızasını vermesi konusunda ikna etmek zorunda.

Bütün bu yasal çalışmaların, düzenleme ve kontrol kaygılarının bilgi ekonomisinin kaynağı olan bilgi üzerinde ortaya çıkan bir de uluslararası rekabet boyutu da var. Ülkeler bu ekonomideki kaynak savaşlarında aktif olarak pozisyon almaya çalışıyorlar. Avrupa Birliği’nin GDPR rejimini oluşturmaktaki bir amacı da bilgi ekonomisinde tüketim potansiyeli ve dijitalleşme bakımından en önde olan Avrupa bilgi pazarını ABD ve Çin gibi bu potansiyelden sınırsız yararlanmak isteyen rakiplerinden veya bir benzetme yapmak gerekirse bilgi sömürgeciliğinden korumak olduğunu da söyleyebiliriz.

Avrupa Birliği’nin kişisel verilerin ve kişi mahremiyetinin korunması konusunda neredeyse kırk yıla yakın uygulama ve yasal düzenleme tecrübesinin bir sonucu olarak 2016 yılında kabul ettiği Genel Veri Koruma Regülasyonu’nun (GDPR) bu konuda bizi de ilgilendiren temel metin ve oluşturduğu rejimin temel rejim olduğunu söyleyebiliriz. Bu aralar unutmuş olsak bile hala Avrupa Birliği’ne aday bir ülke olarak üyelik uyum sürecinin bir parçası olarak oluşturmak zorunda olduğumuz rejimlerden birisi olan kişisel verilerin korunması alanını düzenlemek için 2016 yılında biz de Kişisel Verilerin Korunması Yasası’nı (KVK) yayınladık.

Birbirleri ile olan bu ilişki ve her şeyden daha önemlisi GDPR’ın da tıpkı KVK gibi, üstelik ondan ayrı ve bağımsız olarak bizi bağlayan bir yasal düzenleme olması boyutuyla hem konunun anlatımındaki teknik gereklilikler, hem de üzerimizde doğuracağı sonuçlar KVK’dan bahsederken bir yandan da GDPR’ın adının tekrarlanmasını haklı kılıyor. Bu durumu lokomotif ve vagona benzetebiliriz. Yasalardaki yükümlülükleri yerine getirmesi gereken kuruluşlar olarak KVK’nın GDPR’dan türeyen ve onu takip eden bir yasal düzenleme olduğunu, GDPR alanında ortaya çıkan her türlü kavram, olgu ve uygulamanın zamanla ülkemizin kişisel verilerin korunması çalışmalarına ve KVK’ya yansıyacağını söylememiz gerekiyor.

HAKLAR VE SORUMLULUKLAR


Kişisel verileri kendi kurumsal veya iş amaçları için kullanan gerçek ve tüzel kişiler yasal olarak artık “veri sorumlusu” olarak tanımlanıyor ve işin bütün yükünü üstlenmeleri bekleniyor. Veri sorumluları olarak gerçek kişilerle ister çalışanımız, ister müşterimiz veya üyemiz, ister okurumuz, ister tedarikçimiz olsun kuracağımız iş ilişkisinde artık kişisel verilerin korunması rejimini hesaba katmak ve ona uygun davranmak zorundayız.

Eğer bir kuruluş veya kişi olarak verileri kendi kararlarımızla ve kendi amaçlarınız için değil de bir başkasının yerine işliyorsanız bir “veri sorumlusu” değil bir “veri işleyen” sayılıyorsunuz. Her ne kadar birincil sorumluluk sizin sırtınızda değilse de ortaya çıkabilecek her hangi istenmeyen bir durumda veri sorumlusu ile birlikte müteselsilen sorumlu tutulacağınızı belirtmek gerekir.

Kişisel verilerin sahibi olan gerçek kişiye ise “veri ilgilisi” diyoruz. Yukarıda da söylediğimiz gibi “veri ilgilisi” aslında sahibi olduğu verinin akıbeti hakkında tam bir söz hakkına sahip olan tek kişi. Veri ilgilisinin bazı temel haklarını saymak gerekirse:

  • Bilgilendirilme,
    • Erişim
    • Düzeltme
    • Silinme
    • Veri işlemeyi kısıtlama
    • Veriyi aktarabilme
    • Veri işlemeye itiraz
    • Otomatik karar alma ve profil çıkarmaya ilişkin

haklara sahip olduğunu görürüz.

YENİ REJİMİN RUHU : AÇIK RIZA


GDPR ve KVK’nın temelinde kişinin yani “veri ilgilisinin” iznini ya da yasal tanımı ile “açık rızasını” alma zorunluluğu olduğunu söyleyebiliriz. Kişilerin açık rızasını alabilmeniz için iki temel ilkeye bağlı kalmanız gerekiyor. Bunlardan birincisi “şeffaflık”. Yani kişiyi hangi kişisel verilerini, hangi amaçla ve ne gibi yöntemlerle işlediğiniz, kimlerle paylaştığınız ve korumak için ne tür önlemler aldığınız konusunda bilgilendirmeniz gerekiyor. İkinci ilke ise görünürlük. Bir başka ifade ile kişinin verisini GDPR ve KVK’ya uygun olarak işlediğinizi ve koruduğunuzu aldığınız önlemler, çıkardığınız kurallar ve prosedürler, yayınladığınız politika ve belgeler ile göstermeniz bir başka ifade ile yasaya uyumlu olduğunuz konusunda isbat mükellefiyetini yerine getirmeniz gerekiyor.

Hem bu yüzden, hem de kişisel veriler konusunun, bilgi ekonomisinin dinamikliği yüzünden günden güne değişip, dallanıp budaklanabilen bir alan olduğunu da hesaba katarak kuruluşunuzu “kişisel verileri” işlerken karşılaşabileceği riskleri yönetebilecek şekilde dönüştürmeniz gerektiğini söyleyebiliriz. Veri sorumlusu olarak yasalar bizi “tehlike sorumluluğu” çerçevesinde yani doğrudan kişiye bir zarar ortaya çıkmasa bile sorumlu tutup cezalandırabiliyor. Bu sebeple konuya hukuki veya teknik bir konu olarak bakmanın ötesinde, hukukun ve teknolojinin birleştiği bir yönetim sorunu olarak bakmak daha fazla yarar sağlayabilir ve olası risklere karşı hazırlıklı olmanıza imkan verebilir.

ÖNEMSEMEMENİN BEDELİ


Belki bunu baştan söylemek daha yararlı olacaktı ama bütün bu konuyu bu kadar riskli yapan şey, işlediğiniz binlerce veri arasından bir teki üzerinden ortaya çıkabilecek ihlal ve yanlış uygulamaların kuruluşumuza çok ağır zararlar verebilme potansiyeli taşıyor olması. KVK, kişisel veri konusunda yükümlülüklerini yerine getirmeyen “veri sorumlusu” ve “veri işleyen”leri zararın ve ihmalin büyüklüğüne göre 1 milyon TL’ye kadar idari para cezası ile cezalandırabilmektedir. Bu işlerin takibi ve yönetimi tüm AB ve AB’ye aday ülkelerde birer “ulusal kişisel veri koruma otoritesi” kurumun kurulması ile takip ediliyor ve Türkiye’de bu görevi Kişisel Verileri Koruma Kurumu (KVKK) üstlendi. Kurumun şimdiden yüzbinlerce TL’lik ceza kesmeye başlamış olduğunu hatırlatalım. Kişisel verilere ilişkin ihlallerin ayrıca Türk Ceza Kanunu’nda da tanımlanmış olduğunu (TCK 135 – 140) ve altı yıla kadar hapis cezasının da söz konusu olduğunu belirtmemek olmaz.

Ancak KVK ve TCK bakmanız gereken tek yer değil. Eğer kuruluşunuzda bir tek kişi olsun Avrupa Birliği’nde ikamet eden bir kişiye ait kişisel veri işliyorsanız KVK’dan bağımsız olarak ayrıca GDPR’a tabisiniz ve GDPR’nin öngördüğü cezaların çok daha acımasız olduğunu kolaylıkla söyleyebiliriz. Nitekim Avrupa Veri Koruma Kurumu (EDPB) bir ihlal durumunda kuruluşa 20 milyon Avro’ya veya yıllık cirosunun %4’üne kadar idari para cezası kesebiliyor.

NE YAPMALI?


Her şeyden önce, en başta söylediğimiz gibi bugüne kadar giderek artan bir şekilde veri güvenliğine karşı gösterdiğimiz özeni ve dikkati artık “kişisel veri” konusuna da göstermemiz gerekiyor. Bir yandan kişisel veri güvenliğini kuruluşumuzun gündelik iş pratiklerinin bir parçası haline getirmemiz, roller ve sorumlulukları buna göre tanımlamamız, iş tanımlarını, iş süreçlerini buna göre elden geçirmemiz, çalışanlarımızı aydınlatmamız gerekirken bir yandan da yasanın yüklediği Veri Sorumluları Sicili’ne (VERBİS) kayıt olma, yaşanan ihlalleri zamanında bildirme, kişiyi bilgilendirme gibi yükümlülüklerimizi de yerine getirmemiz gerekiyor.

Görüldüğü üzere konu yönetim, hukuk ve teknik olmak üzere üç bağımsız alanın birleşiminden oluşuyor. Sadece sözleşmelerinize ek maddeler koyarak veya sadece teknik güvenlik önlemlerini artırarak kuruluşunuzu risklerden koruyabilmeniz mümkün değil. Bu yeni rejime uyum sağlamak için köklü bir dönüşüme ihtiyaç duyacaksınız.

Konu yeni olmasına rağmen şimdiden bu alanda bilgi üreten ben ve benim gibi pek çok meraklı, uzman, kuruluş öne çıkmış durumda. Bloglarda, Linkedin hesaplarında yazılıp, paylaşılanları takip etmek iyi bir başlangıç noktası olabilir.

Melih R. Çalıkoğlu
Melih R. Çalıkoğlu
Yorum Bulunmuyor

Yorum Yapın