Siber saldırılar nedeniyle, internet sitelerinin kullanıcılarının özel bilgilerinin sızdırılmasına ilişkin örnekler artıyor.
Türkiye’de “Yemek Sepeti”, dünya genelinde ise sosyal paylaşım sitesi “Facebook” bu ihlallerden etkilenen internet siteleri arasında yer aldı.
Her iki siteyle ilgili ihlal bildirimlerinin ardından Kişisel Verileri Koruma Kurumu (KVKK) devreye girerek inceleme başlattı.
Kişisel Verileri Koruma Kurumu Başkanı Faruk Bilir, gündemdeki ihlal iddiaları, kişisel verilerin gizliliğinin önemi ve kurumun çalışmaları konusunda, 7 Nisan Kişisel Verileri Koruma Günü öncesinde AA muhabirinin sorularını cevapladı.
Özel hayatın gizliliği ile doğrudan bağlantılı olan kişisel verilerin korunması hakkının, temel bir insan hakkı olduğu gerçeğinden yola çıkarsak, ülkemizin bu konudaki yaklaşımı nedir, Türkiye’de kişisel verilerin korunmasına yönelik düzenlemeler nelerdir, bununla ilgili temel çerçeveyi anlatır mısınız?
Bilindiği gibi teknolojik gelişmeler, son yıllarda kişisel veriler üzerinde son derece etkili olmuş, kişisel veri işleme faaliyetleri büyük bir hız kazanmıştır. Bu ivmeyle birlikte tüm dünyada mahremiyet hakkının önemi de daha yakından anlaşılmıştır. Ülkemiz de bu gelişmelere kayıtsız kalmamış, kişisel verilerin korunması alanında da birtakım reformlar gerçekleştirmiştir.
Bu reformlara, bu yeniliklere baktığımız zaman aslında kişisel verilerin korunması, genel mevzuat çerçevesinde 2005 yılında yürürlüğe giren Türk Ceza Kanunu ve diğer mevzuatlar kapsamında koruma altına alınmıştır. Ancak bu konudaki asıl dönüm noktası, 2010 Anayasa değişikliği olmuştur. Anayasa’nın 20’nci maddesine, “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir.” ifadesi eklenmesiyle, kişisel verilerin korunmasını isteme hakkı bir anayasal hak olarak tanınmış ve anayasal güvence altına alınmıştır. Tabii anayasa değişikliğinin bir kazanımı olarak 6698 sayılı Kişisel Verilerin Korunması Kanunu 7 Nisan 2016 tarihinde yürürlüğe girmiştir. Kanunla birlikte aslında ülkemizde kişisel verilerin korunması alanında yeni bir dönem başlamıştır diyebiliriz.
İlgili kanundan bahsettiniz. Bu kanun hayatımızda neleri değiştirdi? Kanunun toplum ve bireye kazandırdıkları nelerdir?
Aslında kanun, kişisel verileri işlemeyi yasaklamamış ancak hukuka uygun şekilde veri işlemenin çerçevesini çizmiştir. Kanunla birlikte, ülkemizde veri işleme faaliyetleri disiplin ve düzen altına alınmaya çalışılmıştır. Bu kanun, aslında günlük hayatımıza da dokunan, alışkanlıklarımızı değiştirmemize neden olan bir kanundur. Kişisel verilerin gelişigüzel işlenmesi veya paylaşılması yerine, hukuka uygun işlenmesini, bilinçli paylaşılmasını veya gerektiğinde paylaşılmamasını düzenleyen bir kanundur. Diğer taraftan kanunla, kişisel veriler üzerinde kontrol ve denetim hakkı getirilmiştir. Kişiler, kanunla sahip oldukları haklar vasıtasıyla bu denetimi yapabilmektedirler.
Kişisel verilerin korunmasına Avrupa ülkelerine nazaran çok daha sonra başlandı ülkemizde. Buna rağmen Türkiye’de kısa bir zaman diliminde, konuya ilişkin birçok adım atıldı. Bu süreçte görev üstlenen birisi olarak bulunulan noktayı nasıl değerlendiriyorsunuz?
Kişisel verilerin korunması Avrupa’da 70’li yıllardan itibaren hukuki düzenlemelerin konusu olmaya başlamıştır. Özellikle Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) ile birlikte Avrupa’da uygulama birliği sağlanmıştır. Biz de şu anda KVKK Genel Veri Koruma Tüzüğü uyum çalışmalarını hassasiyetle devam ettiriyoruz. Kanunun yürürlüğe girmesinden bu yana kurumumuz, kendisine verilen görev ve yetkiler çerçevesinde kişilerin temel hak ve hürriyetlerinin korunması ile toplumun tüm kesimlerinde kişisel verilerin korunması alanında farkındalık oluşturulmaya yönelik birtakım çalışmalar yürütmekte. Bu anlamda, toplumdaki bilincin her geçen gün daha da arttığı ve özellikle kişisel veri işlenen tüm sektörlerde kanuna uyum noktasında gayret gösterilmesini memnuniyet verici bir gelişme olarak değerlendirebiliriz.
Sizin de söylediğiniz gibi her ne kadar ülkemizde kişisel verilerin korunması alanındaki çalışmalar Avrupa ülkelerine göre daha sonraki bir tarihte başlanmış olsa da kurumun yaptığı çalışmaların etkisiyle, günümüzde kişisel verilerin korunması konusunda ciddi bir ilerleme sağladığımızı da söyleyebilirim. Elbette kişisel verilerin korunması teknolojik gelişmelerden etkilenen, güncellik gerektiren, dinamik yapıya sahip olan bir alandır. Bu açıdan yolumuz uzun olsa da paydaşlarımızla birlikte atacağımız adımlarla hep birlikte daha iyi noktalara geleceğimizi düşünüyorum.
7 Nisan günü ülkemizde kişisel verilerin korunmasına dikkat çekmek amacıyla Kişisel Verileri Koruma Günü ilan edildi. Kişisel Verileri Koruma Günü bu yıl kaçıncı kez kutlanacak? Bu günün amacı nedir?
1 Eylül 2018 tarihli Resmi Gazete’de yayımlanan Milli Eğitim Bakanlığı Eğitim Kurumları Sosyal Etkinlikler Yönetmeliğinde 7 Nisan gününün “Kişisel Verileri Koruma Günü” olarak kutlanması kararlaştırılmıştır. Bu tarihten itibaren 7 Nisan’da kurumumuz bu günün anlam ve önemini ifade eden etkinlikler düzenlemektedir. Kişisel Verileri Koruma Günü, bu yıl üçüncü kez kutlanacaktır.
Bu günün amacını şöyle sıralayabiliriz kişisel verilerin korunması konusundaki farkındalığı artırmak, veri koruma bilincini zihinlere yerleştirmek, veri koruma kültürünün bireyler, kurum ve kuruluşlar arasında yaygınlaşmasını sağlamak, ülkemizin geleceği olan çocuklar ve gençlerin ilgisini bu yöne çekmek ve onların veri koruma kültürüyle yetişmelerini sağlamak da yine bu günün amaçları arasındadır.
7 Nisan Kişisel Verileri Koruma Günü’nün yanı sıra 28 Ocak Uluslararası Veri Koruma Günü var. İkisi arasındaki fark nedir?
108 sayılı Sözleşme, bizim de taraf olduğumuz ve bu ilk uluslararası bağlayıcı belge olma niteliğini taşıdığı için sözleşmenin imzaya açıldığı 28 Ocak 1981 tarihi baz alınarak bugün, yani 28 Ocak günü Uluslararası Veri Koruma Günü olarak kutlanmakta. 7 Nisan ise ülkemize özgü, kurumumuz ve Milli Eğitim Bakanlığı iş birliği içerisinde, konuya dikkat çekmek ve farkındalık oluşturmak amacıyla Kişisel Verileri Koruma Günü olarak ilan edilmiştir. Bu bize özgüdür.
Kişisel Verileri Koruma Günü dolayısıyla bu yıl hangi etkinlikler düzenlenecek, hangi mesajları vereceksiniz?
Nisan etkinlikleri kapsamında makale, slogan ve karikatür yarışmaları düzenlendi. Bu sonuçları biz ilan ettik ve ödülleri de 7 Nisan günü yapacağımız programda vereceğiz, takdim edeceğiz. Kişisel Verileri Koruma Günü vesilesiyle 7 Nisan’da çevrim içi bir etkinlik düzenleyeceğiz. Bu etkinlikte genel olarak kişisel verilerin korunmasına ilişkin güncel gelişmeleri ele alacağız. Ayrıca sosyal medyada çocukların mahremiyetinin korunması gibi konular da etkinlikte yer alacak. Kurum olarak kişisel verilerin korunması konusunda güvenliğin ancak farkındalıkla mümkün olabileceğine inanıyoruz ve düşünüyoruz. Buradan hareketle sosyal medyada yeni bir farkındalık kampanyası başlatarak bir kez daha “Farkında ol, güvende kal” diyeceğiz.
Kişisel Verileri Koruma Kurumu hangi amaçla, ne zaman kuruldu? Kurumun karar organı olan Kişisel Verileri Koruma Kurulu kaç üyeden oluşuyor?
7 Nisan 2016 tarihinde yürürlüğe giren kanunla birlikte ülkemizde insan haklarını koruma mekanizmalarından biri olarak Kişisel Verileri Koruma Kurumu kuruldu. Kurumun kurulma amaçları arasında kişisel verilerin hukuka uygun olarak işlenmesini sağlamak, veri işlemede uyulması gereken usul ve esasları düzenlemek, kişisel verilere ilişkin ilgili kişilerin haklarının ihlal edilmesi durumunda gerek ihbar yoluyla gerek şikayet yoluyla bu ihbar ve şikayetleri karara bağlamak. Kurul 9 üyeden oluşmakta, kurul üyeleri 12 Ocak 2017 tarihinde yemin ederek görevine başladı.
Kişiler herhangi bir ihlale gerek kalmadan hakkındaki verilerin işlenip işlenmediğini öğrenme hakkına sahip
Kişisel Verilerin Korunması Kanunu vatandaşlara hangi hakları sağlıyor? Hangi durumlarda veri ihlali yapıldığına karar veriyorsunuz? İhlal durumlarında vatandaşlar nasıl başvuru yapabiliyor?
Her şeyden önce bu kanunda gerçek kişilere getirilen haklar tek tek sayılmıştır. Kanunun 11’inci maddesinde şu şekilde belirtiyor; öncelikle veri işlenip işlenmediğini öğrenme. Kişi herhangi bir ihlal olmaksızın kendisi hakkında veri işlenip işlenmediğini öğrenme hakkına sahip. Eğer işlenmişse bilgi talep etme hakkına sahip, buna erişim de diyebiliriz. Bu veri işlemenin amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme hakkına sahip. Bu veriler aktarılmışsa aktarıldığı kişileri öğrenme hakkına sahip. Eksik veya yanlış işlenmişse bunların düzeltilmesini isteme hakkına sahip. Bu veriler yine işlenmişse silinmesini veya yok edilmesini isteme hakkına sahip. Bu işlenen veriler yoluyla kendisi aleyhine bir sonuç doğurulmuşsa bu işleme, itiraz etme hakkına sahip. Kanunda aynen şöyle ifade ediliyor, işlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme. Yani herhangi bir şekilde kişi hakkında bir profilleme yapılmışsa ve kişi hakkında olumsuz sonuç doğuruyor ise buna itiraz etme hakkına sahiptir. Kanuna, hukuka aykırı veri işlemeden dolayı bir zarar meydana gelmişse bu zararın giderilmesini talep etme hakkına sahip.
Hakların kullanılması noktasında kanun, veri sorumlusuna başvuru ve kurula şikayet olmak üzere iki aşamalı bir başvuru usulü getirmişti. Veri sorumlusuna başvuru zorunlu, yani ilgili şirkete veya kamu kurumuna başvuru yapması gerekiyor. Kurula şikayet ise isteğe bağlı. Ama veri sorumlusuna başvuru yolu tüketilmeden kurula başvuru yapılamaz kural olarak. Şunun da altını özellikle çizmek istiyorum, vatandaşlar herhangi bir şekilde veri ihlali veya veri güvenliği ihlali meydana gelmeden de kanunda belirtilen haklarını kullanmak için başvuruda bulunabilirler.
Kişisel verilerle ilgili süreci düzenleyen 6698 sayılı Kanun kapsamında veri sorumlusuna vatandaşlar başvurarak kişisel verilerinin silinmesi talebinde bulunabiliyorlar. Diğer yandan unutulma hakkı var. Unutulma hakkı çerçevesinde kişiler, arama motorları üzerinden çıkan sonuçların indeksten kaldırılmasına yönelik taleplerde de bulunabiliyor. Bu iki işlem; yani verilerin silinmesi hakkı ile unutulma hakkı arasındaki fark nedir, bunu açıklayabilir misiniz?
Unutulma hakkını biz şu şekilde tanımlıyoruz; bireyin geçmişte hukuka uygun olarak yayılmış ve doğru nitelikteki bilgilerin hem işleme hukukuna uygun olacak hem bilgiler doğru olacak, doğru bilgilerin zamanın geçmesine bağlı olarak erişimden kaldırılmasını ya da gündeme getirilmemesini talep etme hakkı olarak nitelendirebiliriz. Kişisel verilerin silinmesi ise teknik bir tabir. Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesidir. Bu ikisi hakkında şöyle bağlantı kurulabilir; unutulma hakkı üst bir kavramdır, istisnai bir haktır. Belirli kriterler çerçevesinde kullanılabilir. Silme hakkı ise unutulma hakkını sağlayan bir araçtır. Yani silme hakkı, yok edilmesini isteme hakkı, bu yöntemler unutulma hakkına hizmet eder. Dolayısıyla silme işlemi veri işlenmesini gerektiren sebepler ortadan kalktıktan sonra resen veya şikayet üzerine, talep üzerine gerçekleştirilen bir uygulamadır. Kanunda silme hakkı düzenlenmiş ama unutulma hakkı doğrudan isim olarak yok fakat bu hem Anayasa’daki silme hakkı hem kanundaki silme hakkı çerçevesinde değerlendirilebilir. Nitekim bununla ilgili de kurulun bir kararı var.
Kurula yapılan 8 bin 728 başvurudan 7 bin 25’i sonuçlandırıldı
Kişisel Verileri Koruma Kuruluna bugüne kadar kaç başvuru yapıldı, bu başvurulardan kaç tanesi sonuçlandırdı? Ayrıca çalışmalarınızla ilgili diğer istatistiksel bilgilerden söz edebilir misiniz?
Bugüne kadar 8 bin 728 başvuru kurula intikal etti. Bunlardan 7 bin 25’i sonuçlandırıldı. Şikayet ve ihbar başvurusu, bunlara yurt içi ve yurt dışı dahil. Yine kuruma 457 veri ihlal bildirimi iletildi, bu bildirimlerden 81 tanesi kurumun internet sayfasında ilan edildi. Kurul bunu takdir ediyor. Kişi bakımından, etkilenen veriler bakımından, risk bakımından bunun duyurulması gerekiyorsa kurul bu konuda bir karar veriyor ve kurumun internet sayfasında ilan ediliyor. Yine birtakım görüş talepleri özellikle kanunla ilgili olarak hukuki görüş talepleri kurula intikal ediyor. Şu ana kadar da 521 hukuki görüş talebi karşılandı. Yine kanunda idari yaptırım, para cezası uygulamaya yetkisi var kurulun, bugüne kadar yaklaşık 41 milyon lira idari yaptırım uygulandı.
45 bin veri sorumlusu, sicil bilgi sistemine bildirimini tamamladı
Veri Sorumluları Sicil Bilgi Sistemi’ne veri sorumlularının zorunlu kayıt yaptırması gerekiyor. Süre 2021 yılı sonuna kadar uzatıldı. Bugüne kadar kaç veri sorumlusu sisteme kayıt yaptırdı?
Tüm dünyada olduğu gibi ülkemizde de etkisini devam ettiren pandemi nedeniyle kısa adıyla VERBİS’e, Veri Sorumluları Sicil Bilgi Sistemi’ne kayıt yükümlülüğünün gereği gibi yerine getirilmesi hususunda zorluklar yaşandığı gerekçesiyle, sizin de belirttiğiniz gibi kayıt süresi, yıl sonuna kadar, 2021 yılı sonuna kadar uzatıldı. Şu ana kadar VERBİS’e yaklaşık 88 bin civarında veri sorumlusu kayıt başvurusu yapmış, yaklaşık 45 bin veri sorumlusu, bildirimini tamamlamış durumdadır. Ayrıca bugüne kadar VERBİS üzerinden 850 bin civarında sorgulama yapılmıştır.
VERBİS’e kayıt; çalışan sayısı, mali bilanço ve ana faaliyet konusu bakımından belirli kriterleri taşıyan veri sorumluları için, kanuna uyum ise bütün veri sorumluları için bir yükümlülüktür. Şöyle söylemek daha doğru olur, VERBİS’e kayıt yükümlülüğünü yerine getirmek, kanuna uyumun yalnızca bir parçasıdır. Dolayısıyla VERBİS’e kayıt yaptırmakla kanuna bütünüyle uyum sağlandığı söylenemez. Yine bir veri sorumlusu, VERBİS’e kayıt yükümlülüğü bulunmasa dahi kanunda belirtilen diğer yükümlülükleri eksiksiz bir biçimde yerine getirmesi gerekir. Bu açıdan kanuna uyum eşittir VERBİS gibi bir yaklaşımın gerçeği yansıtmadığını belirtmek isterim.
İnsan var oldukça kişisel verilerin korunmasına ihtiyaç duyulacak
Kurumun, kişisel verilerin korunması konusunda veri sorumlusu konumundaki gerçek veya tüzel kişilerden beklentileri nelerdir?
Net olarak şunu ifade edebilirim; kanun bir veri sorumlusundan ne bekliyor ise kurum da ne eksik ne fazla aynısını bekliyor. Veri sorumluları hukuka uygun veri işlemeyi ve veri güvenliğini temin etmeyi ön planda tutmalıdır. Bireyin mahremiyetine saygı, temel konulardan biri olmalıdır. Bu kapsamda kişisel veri güvenliğini sağlayabilmek için alınan teknik ve idari tedbirler yeterli düzeyde olmalı ve özenle uygulanmalıdır. Kişisel verilerin güvenliğinin ve siber güvenliğin 7 gün 24 saat esasına dayalı olduğunu unutmamak gerekir. Risk temelli bir yaklaşım benimseyerek sürdürülebilir veri koruma politikalarını uygulamak gerekir diye düşünüyorum.
Kanuna uyum, yalnızca bireylerin kişisel verilerinin güvence altında olmasını değil, aynı zamanda şeffaflığın, hesap verebilirliğin ve güven ilişkisini tesis edecek verimli ekonomik ilişkilerin kurulmasını da sağlamaktadır. Bu bağlamda, kişisel verilerin korunması alanında yeterli farkındalığa sahip, mal ve hizmet sunumlarını bu hususu dikkate alarak tasarlayan ve bireylere haklarını kullandırma noktasında gerekli kolaylığı sağlayan şirketlerin sadece itibarı değil, rekabet gücü de artacaktır. Ulusal ve uluslararası ölçekte rekabet gücünün artması için veri korumanın öneminin yeterince kavranması ve bunu sağlamaya yönelik adımların atılması gerekmektedir. Çünkü kişisel verilerin korunması anlık, günlük veya dönemsel değildir. Süreklidir. İnsan var oldukça kişisel verilerin yolculuğu devam edecek ve bu verilerin korunmasına ihtiyaç duyulacaktır.
Türkiye’de faaliyet gösteren uluslararası veri sorumlularına yönelik bir düzenleme var mı, bu şirketlerin yükümlülükleri neye göre tanımlanıyor?
Kanunun kapsam maddesi olarak yani hangi kişisel veriler ya da nerede işlenen kişisel veriler sorusunu sorduğumuz zaman Türkiye’de veri işlemede bu kanun uygulanacaktır. Bunun için veri sorumlusunun Türkiye’de yerleşik olmasıyla yurt dışında yerleşik olması arasında genel olarak bir fark yoktur. Dolayısıyla burada önemli olan kanunların uygulanmasıyla ilgili olarak mülkilik, Türk Ceza Kanunu’nda, Kabahatler Kanunu’nda belirtilmiş. Dolayısıyla Türkiye’nin, Türkiye sınırları içerisinde veri işlemede uygulanacak bir kanundur. Ama bu veri işlemeyi Türkiye’de kurulu bir şirket de yapabilir, yurt dışında kurulu bir şirkette yapabilir. Hepsi bu kanuna tabiidir ve sorumludurlar.
Veri sorumlularıyla ilgili süreç işliyor. VERBİS’e toplamda kaç kayıt başvurusu yapılmasını bekliyorsunuz?
Burada 3 kategori var. Kamu kurumları, özellikle hastaneler ya da eczaneler, münhasıran özel nitelikli veri esas ana faaliyet kişisel veri işleyenler. Ve ciro çalışan sayısı bakımından bir kategori var. Yani üç kategoride bizim elimizdeki verilere göre yaklaşık 400 bin kayıt yapılması gerekiyor. Tabii bu yaklaşık bir rakam ama bizim genel olarak edindiğimiz bilgiler ve elimizdeki dokümanlara göre 400 bin kayıt yapılmasını bekliyoruz.
Gereksiz veri paylaşımından kaçınılmalıdır
Kişisel verilerin korunmasına yönelik yeterli duyarlılığın oluştuğunu, farkındalığın oluştuğunu düşünüyor musunuz? Veri sorumlularında ve vatandaşlarda yeterli duyarlılık oluştu mu? Mevcut durumu nasıl değerlendiriyorsunuz?
Tabii yeni bir kanun, yeni bir kurum. Aslına bakarsanız 3 yıldır bir faaliyet söz konusu. Elbette tam olarak bir farkındalığın sağlandığı söylenemez. Ama ülkemizde bu alanda yaşanan gelişmeler ya da teknolojik gelişmeler bu konudaki farkındalığın gittikçe arttığını söyleyebiliriz. Ama yeterli mi, tabii ki istediğimiz noktada değil. Ben bu farkındalığın ilerleyen süreçte daha fazla oluşacağını düşünüyorum.
“Kişisel veri” derken kişiyi doğrudan veya dolaylı tanımlayan bilgiler, kişiye ait olan bilgiler. Bunlara sahip çıkmaları gerekiyor. Gerçekten insan değerlidir, o insanın verileri de değerlidir. Dolayısıyla gelişigüzel paylaşmaktan sakınmak gerekiyor. Bu konuda sorgulayıcı olmamız gerekiyor. Her isteyen kişiye kişisel verileri paylaşmadan bunun amacını sorgulamamız gerekiyor. Bu amacı doğrultusunda kullanılıp kullanılmayacağından emin olmamız gerekiyor. Biz hep kurum farkındalık toplantılarında şunu söylüyoruz, “Kişisel veriler sizindir. Size ait olan sizde kalsın.” Elbette veri paylaşılabilir ya da aktarılabilir ama bizim altını çizdiğimiz husus gereksiz, ölçüsüz veri paylaşımından sakınmalarıdır. Dolayısıyla bunlar bize ait olan veriler, bilgiler olduğu için bunlara sahip çıkmamız ve kontrol ile denetimin bizde olması gerekmektedir.