Kişisel Veri En Basit Nasıl Anlatılır?

Türkiye olarak kişisel veriler konusundan yalnızca son 4 yıldır haberdarız. Her ne kadar 2010 yılında yapılan değişiklik ile bu konu Anayasamıza girmiş olsa da Avrupa Birliği adaylık sürecinin bir parçası olarak 2016 yılında çıkan Kişisel Verilerin Korunması Kanunu (KVK) yürürlüğe girene kadar konudan haberdar olan neredeyse yok gibiydi.
Yasanın getirdiği gerçekten ağır para cezaları ve Kişisel Verileri Koruma Kurulu’nun kestiği ağır cezalar sayesinde özel sektör başta olmak üzere ortaya çıkan riskin sebep olduğu büyük bir uyanış yaşıyoruz diyebiliriz. Bu uyanışa en büyük katkıyı ise veri sorumluları siciline (VERBİS) kayıt ve bildirim yükümlülüğü sebep oldu. Son bildirim tarihi ve buna uyulmaması halinde öngördüğü ağır para cezaları sayesinde VERBİS, resimde gördüğünüz gibi yüzümüze çarpılmış bir kova soğuk su etkisi yaptı.

1 milyon 800 bin TL. gibi pek çok kuruluşun onarılamaz derecede ağır hasar almasına sebep olabilecek bu ceza, kamuoyunun dikkatini buraya odakladı. 

İnsan, kendisine karşı bir tehdit yönlendirildiğinde, örneğin size bıçak doğrultarak tehdit eden bir saldırgan olduğunda, saldırgana değil bıçağa odaklanırmış. Bu yüzden çoğu mağdur, saldırganı teşhis etmekte zorlanırmış. Tabii ki topluma düzen getiren yasalarla bir saldırganı karşılaştırmak doğru olmaz. Ama öte yandan VERBİS yüzünden kendilerine doğrultmuş milyonlarca liralık ağır ceza tehdidine odaklanan kuruluşlar, tehdidin kaynağı ve sebebi olan kişisel veriler rejimine tam olarak dikkatlerini veremiyorlar. Sözün kısası, kişisel veriler kapsamında tek ve en önemli yükümlülüklerinin VERBİS bildirimi olduğunu ve bu bildirimi şöyle ya da böyle yerine getirence riskin ortadan kalkacağını zannediyorlar. 

Oysa hukuk ve bilişimin bir araya gelişinin bir ürünü olan “kişisel veriler rejimi” hukuk kadar karmaşık ve bilişim kadar değişken ve dinamik bir alan olarak ortaya çıkıyor. Bu konuda görüş bildirmek ve çözüm üretmek isteyecek kişilerin hem hukuk, hem de bilişime belirli seviyelerde hakim olması gerekiyor. 

Yine de kişisel veriler, çalışma hayatını kökünden etkilediği ve her hücresine ulaştığı için hukuk nosyonuna sahip olsun olmasın, bilişimle arası iyi olsun olmasın bütün profesyonellerin şöyle ya da böyle haberdar olması gereken bir konu.  

Bu yüzden herkesin anlayabileceği ve kendi rolünü rahatlıkla tanımlayabileceği genel bir tanım yapalım. 

Kişisel verilerin korunması, üç kişi yani ilgili kişi (veri sahibi gerçek kişi), veri sorumlusu ve veri işleyen arasındaki veri alışverişini düzenleyen bir yasal bir rejimdir. 83 milyon yurttaşın ve bunların dışında o anda ülkede bulunan on milyonlarca kişinin haklarını ilgilendiren bir konudur. Ve en önemlisi bu üç statü taraflar arasında kurulan ilişkiye bağlıdır ve bu sebeple değişkendir. 

Örneğin Ayşe A isimli bir bilişim şirketinde insan kaynakları müdürü olarak çalışmaktadır.  

• Ayşe yasaya göre bir “ilgili kişi” yani veri sahibi gerçek kişidir. 
• Ayşe’nin çalıştığı bilişim şirketi A ise yasaya göre ona karşı bir “veri sorumlusudur”. Zira çalışanı olan Ayşe’nin kişisel verilerini işlemektedir.  
• A şirketi, elektronik posta hizmetlerini P isimli başka bir şirketten almaktadır. Bu durumda P şirketi, A isimli şirket için bir “veri işleyen”dir. 
• P şirketi ise müşterilerine sunduğu eposta hizmetini, Z şirketi isimli bulut ve saklama hizmetleri sunan bir başka şirketin sunucularında barındırmaktadır.
• Bu durumda Z şirketi, P şirketinin müşteri bakımından bir “alt veri işleyen”dir. 

Kişisel veriler rejimini anlamayı zorlaştıran temel sebeplerden birisi de bir şirketin veya veri sorumlusu olan diğer her türlü kuruluşun, bu rejim kapsamında farklı taraflara karşı farklı yasal statülere girebilmesidir.

Kişisel verilere bu açıdan bakmak konuyu ilk kez anlamaya çalışanlar için büyük bir kolaylık olacaktır. Bu yaklaşımla bir yandan en basit şekilde konu hakkında zihninizde kavramsal bir çerçeve oluştururken, bir yandan da konunun karmaşıklığının içindeki düzeni anlamanız da kolaylaşacaktır.
Ve tabi kişisel verilerin neden basit bir VERBİS bildiriminde bulunmanın çok ötesinde riskler içerdiğini ve entegre bir çözüm setini neden oluşturmanız gerektiği konusunda da  size yol gösterici olacaktır.