2. e-Safe Kişisel Verileri Koruma Zirvesi

2. e-Safe Kişisel Verileri Koruma Zirvesi

Kurumumuz Konferans salonunda gerçekleştirilen  2. e-Safe Kişisel Verileri Koruma Zirvesinde, Kişisel Verileri Koruma Kurumu Başkanı Prof. Dr. Faruk Bilir, "7 Nisan 2016 tarihinde Kişisel Verilerin Korunması Kanununun yürürlüğe girmesiyle birlikte kişisel verilerin korunması adına ülkemizde yeni bir dönem başlamış ve birçok kavram yeniden ele alınmaya başlamıştır. Örneğin; mahremiyet, kişiliğin korunması, bireyin özerkliği, özel hayatın gizliliği gibi kavramlar teknolojinin getirdiği yeniliklerle çeşitli alt başlıklar haline gelmiştir. Bunlardan mahremiyet kavramını baz alacak olursak, dijital mahremiyet, veri mahremiyeti gibi kırılımlar meydana gelmiştir. 6698 sayılı Kanun etki alanı itibariyle tüm bu alt başlıkların hemen hemen hepsinde kendine yer edinmiştir." diyerek şu mesajları vermiştir.

Kanun çeşitli bölümlerden oluşmaktadır. İlk olarak genel ilkeler, yani diğer bir ifadeyle temel ilkelerden bahsedelim. Aslında temel ilkeler için ‘Kanunun Özeti’ diyebiliriz. Çünkü kişisel verilerin işlenmesinde bu ilkelere uyulma zorunluluğu söz konusudur.

Veri işleme faaliyetleri; hukuka ve dürüstlük kurallarına uygun olmak zorundadır. Kişisel verilerin doğru ve gerektiğinde güncel olması gerekir. Yanlış veri işlenmesi ilgili kişi mağduriyet oluşturabilir. Veri işlerken belirli bir amacın ortada olması ve o amacın meşru olması gerekmektedir. İşlenen verinin veri işleme amacıyla bağlantılı olması gerekmektedir. Örneğin kredi talebinde bulunduğunuz bankanın sizden hobileriniz ve alışkanlıklarınız ile ilgili veriler istemesi amaçla bağlılık ilkesiyle bağdaşmaz. Bir diğeri ölçülülük ilkesine uygunluk sağlanmalıdır. Bu kapsamda biyometrik verilerin gelişigüzel bir şekilde, keyfi uygulamalarla işlenmesi ölçülük ilkesiyle bağdaşmamaktadır. Bir başkası da, veriler sonsuza kadar muhafaza edilemez. İlgili mevzuatta öngörülen veya işlendikleri amaç için geçerli olan süre kadar muhafaza edilmelidir. Temel ilkelerin herhangi birine uyulmadığında Kanuna aykırı bir tutum meydana gelmiş olacaktır.

Veriler işlenirken hangi işleme şartına dayanılıyor bunun da iyi tespit edilmesi gerekir. Veri işleme şartlarından kastımız ilk olarak 5. maddenin 2. fıkrası ve 6. maddenin 3. fıkrasındaki hallerdir. Eğer bu şartlardan biri ortada yoksa Açık Rıza alma yoluna o zaman başvurulmalıdır. Açık Rıza da bir işleme şartı olmakla beraber veri sorumlularının bu noktada hukuka aykırı bir işleme gerçekleştirmemek adına temkinli davranmaları gerekmektedir.

Kişisel veriler işlenmeden önce veya işlenmesi esnasında aydınlatma yükümlülüğünün de yerine getirilmesi gerekmektedir. Aydınlatmadan kasıt alelade, genel geçer bir bilgilendirme değil, Kanunun 10. maddesinde belirtilen başlıklara yanıt verme niteliği taşıyan bir bilgilendirme şeklidir. Teknik ve hukuki bir dil değil, günlük yaşamda kullanılan basit, anlaşılabilir bir anlatım biçimi tercih edilmelidir. Çünkü burada amaç verisi işlenen kişinin algılayabileceği bir anlatım düzeyini yakalamaktır. Aydınlatmanın en önemli noktalarından biri de ilgili kişinin haklarını hatırlatmak ve o haklar kapsamında bilgi alabileceğini vurgulamaktır. Kanunun 11. maddesinde bu hakların neler olduğu pekala görülebilir.

Kişisel verilerin en az işlenmesi kadar önemlilik arz eden bir durum var ki; o da kişisel verilerin silinmesi. İşlenme sebepleri ortadan kalktıysa kişisel veriler resen ya da ilgili kişi talebi üzerine silinmeli, yok edilmeli veya duruma göre anonim hale getirilmelidir.

Kişisel verilerin aktarılması da Kanuna göre bir işleme biçimi olduğundan ötürü, kişisel veri işleme şartları burada geçerli kılınmıştır. Fakat veri yurt dışına aktarılacak ise Kurulun yayınladığı taahhütnamelerdeki yeterli koruma taahhüt edilerek Kurulun onayına sunulmalıdır.

Veri güvenliği konusunda ise veri işleyenin de veri sorumlusuyla birlikte müşterek bir sorumluluğa sahiptir. Kişisel verilerin hukuka aykırı işlenmesine, hukuka aykırı erişilmesine ve verilerin muhafazası konusunda uygun güvenlik düzeyini temin etmekle yükümlülerdir. Bu kapsamda gereken her türlü önlemi alma zorunlulukları mevcuttur. Şayet işledikleri kişisel veriler kanuni olmayan yollarla başkaları tarafından elde edildiyse en kısa sürede ilgilisine ve 72 saat içinde ise Kurula bildirmek zorundadırlar. Gönül ister ki işler hiç o noktaya gelmesin, ancak bu tarz bir durumla karşılaşıldığında ise bu durumun Kurula bildirilmesi son derece önemlidir.

En önemli başlıklardan biri de Veri Sorumluları Sicil Bilgi Sistemi yani kısa adıyla VERBİS… Veri sorumlularının ilan edilen tarihler arasında bu Sicile kaydolma zorunlulukları bulunmaktadır. Kurulun almış olduğu 2018/88 sayılı Karardaki kriterleri inceleyerek kayıt yükümlüsü olup olmadıklarını tespit edebilirler. Bu yükümlülüğe uyulmaması halinde veri sorumluları idari yaptırıma tabii tutulacaktır. VERBİS kayıt sadece Kanuna uyum kapsamında değil, çok yönlü ele alınmalıdır. VERBİS’in getirdiği iki önemli prensip var. Biri şeffaflık, diğeri de hesap verilebilirlik. Bu prensipleri yerine getiren ve veri güvenliğini gerekli bir biçimde sağlayan veri sorumlularının kamuoyu nezdinde saygınlıklarının artacağı, veri ihlalleriyle gündeme gelen veri sorumlularının ise itibar kaybına uğrayacağı bir döneme girmek üzere olduğumuzu buradan rahatlıkla söylebiliriz.

 

Kişisel verilerin korunmasına ilişkin olarak dünya genelinde hukuksal düzenlemeler incelendiğinde, özünde bireyin kendisine ait kişisel verileri üzerinde kontrol imkânının sağlanması bulunmaktadır. İnsan odaklı, mahremiyet odaklı bu yaklaşım insana verilen değerin bir göstergesidir. Bununla birlikte teknolojik gelişmeleri de bu konuyla birlikte ele almak gerekir. Yapay zekâyı, dijital dönüşümü, nesnelerin internetini konuştuğumuz bir dünyada güvenliğin anahtarı ‘farkındalık’ olacaktır. Açıkçası bugüne kadar verilerimizi paylaşmaya alıştık veya alıştırıldık. Bundan sonrası için verilerimizi korumaya ve kontrollü şekilde paylaşmaya da alışacağız. Bu bakımdan alışkanlıklarımızı değiştirmeliyiz.

Kişisel Verilerin Korunması Kanuna uyum hem hukuki hem de teknik boyutları olan uzun soluklu bir süreç gerektirmekte olup, kişisel verilerin korunması noktasında teknik ve hukuki olarak alınacak tedbirlerin önemini yadsıyamayız. Ancak kişisel verilerin korunması konusunda en büyük sorumluluğun bireylerin kendisinde olduğunun da altının çizilmesi gerekmektedir. Her saniye kişisel verileri toplanan, işlenen ve aktarılan bireylerin bundan dolayı karşılaşacakları risklerin farkında olmaları, bu yönde kişisel verilerini korumaları ve sahip oldukları hakları noktasında bilinçlenmeleri en az teknik ve yasal düzenlemelerin varlığı kadar önem taşımaktadır. Bu anlamda, kişisel verilerin korunması hukuku açısından toplum genelinde olgunlaşma düzeyinin artmasıyla beraber Kanuna uyum ve kişisel mahremiyete saygı prensibi ile tasarlanan süreçlerin her geçen gün kendini daha da göstereceği düşüncesindeyiz.

Ülkemiz Kişisel Verilerin Korunması Kanununa ilgi ile yaklaşmış ve olumlu bir reaksiyon göstermiştir. Bu da ülkemiz ve Kurumumuz adına mutluluk verici bir gelişmedir. Bu alanda her geçen gün daha da ileriye gideceğimize olan inancımız tamdır.