“Kişisel verilerin ekonomik değeri var”

Veriden değer üretme teknolojilerinin, kişisel verinin önemini artırdığını dile getiren Kişisel Verileri Koruma Kurulu Başkanı Prof. Dr. Faruk Bilir, “Kişisel verileri özel yazılımla kullananları savcılığa bildirdik. Veri ihlali yaşayan şirket 72 saat içinde bunu bildirmek zorunda” dedi.

YAYINLAMA
GÜNCELLEME

Hüseyin GÖKÇE

Kişisel Verileri Koruma Kurulu Başkanı Prof. Dr. Faruk Bilir, veriden değer üreten teknolojilerin gelişmesi, kişisel verilerin ekonomik bir değer ifade etmesine yol açtığını bildirdi. Dolayısıyla bu verilerin korunmasının da çok önemli hale geldiğini ifade eden Bilir, bu konuda şirketlerin veri sorumlularının uyması gereken kurallardan bahsetti. Ankara Sohbetleri'ne konuk olan Faruk Bilir, Ankara Temsilcimiz Ferit Parlak’ın sorularını cevaplandırdı.

●Kurumunuza ismini veren ‘kişisel veri’yi tanımlar mısınız?

Ad-soyad, T.C. kimlik numarası, araç plakası, kan grubu, telefon numarası, e-posta adresi gibi bilgileri buna örnek olarak verebiliriz. Bunun yanı sıra kimlik, demografik, konum, sağlık, finans bilgilerimiz, fiziksel, psikolojik ve kişilik özelliklerimizin hepsi birer kişisel veridir. Örneklerden de anlaşılacağı gibi kişisel veri, kısaca kişiye ait olan her türlü bilgidir.

● Ülkemizde kişisel verilerin korunmasına yönelik süreçten bahsedebilir misiniz?

7 Nisan 2016 tarihinde, Kişisel Verilerin Korunması Kanunu’nun yürürlüğe girmesiyle birlikte, daha önce Anayasa ile koruma altına alınan kişisel veriler alanında yeni bir dönem başlamıştır. Kanun; temel hak ve özgürlüklerin korunması, veri işlemenin disiplin altına alınması, kişisel verileri işleyen gerçek ve tüzel kişilerin uymaları gereken usul ve esasların düzenlenmesini amaçlamaktadır. Kanun gerçek kişilerin verilerini korumakta olup, tüzel kişi verileri kanun kapsamında değildir.

● Kişisel Verilerin Korunması Kanunu ile veri temelli ekonomi arasındaki ilişkiden bahseder misiniz?

Dijital dönüşüm süreciyle birlikte yaşanan gelişmeler, tüm dünyada kişisel verilerin öneminin daha iyi kavranmasını sağladı. Veriden değer üreten teknolojilerin gelişmesi, kişisel verilerin ekonomik bir değer ifade etmesine yol açtı. Fakat veri işlemeye dayalı sistemlerin devreye girmesi, bu verilerin korunması ihtiyacını meydana getirmiştir. Kişisel verilerin korunması hakkı ile veri temelli ekonomi arasında bir denge tesis edilmesi ihtiyacı doğmuştur. Kişisel Verilerin Korunması Kanunu ise bu dengeyi tesis etmekte ve gözetmektedir. Dijital dönüşümün ana bileşenlerinden bir tanesi de kişisel verilerin korunmasıdır. Bu nedenle kanun, bir yandan kişisel verisi işlenen gerçek kişilerin haklarını korumakta, diğer yandan da iş dünyasının ulusal ve uluslararası arenada rekabet gücünü artırmaktadır.

● Şirketler, mağazalar, firmalar kişisel verileri koruyabilmek için neler yapabilir?

Buna tabi olanlar, kanunda öngörülen yükümlülüklerin yerine getirilmesi için bir veya daha fazla kişi görevlendirilebilirler. Buna ek olarak veri sorumlusu fiziksel veya elektronik ortamda işlemekte olduğu tüm kişisel verilerin analizini yapmalıdır. Veri işleme faaliyeti kanunun temel ilkelerine uygun mudur, kişisel veriler hangi işleme şartına dayalı olarak işlenmektedir? Bunun tespiti yapılmalı. Kanun hükümlerine aykırı olduğu tespit edilen kişisel veriler varsa bunlar için silme, yok etme veya anonim hale getirme işlemleri uygulanmalıdır.

● Şirketler veri ihlali yaşamamak için neler yapmalı?

Veri ihlali olduğunda neler yapılmalı? Veri ihlali yaşamamak için kanunda ve ikincil mevzuatta öngörülen teknik ve idari tedbirlerin eksiksiz bir biçimde alınması ve bunların güncel tutularak uygulanması gerekiyor. Tabii teknolojinin gelişmesi birçok alanda hayatımızı kolaylaştırırken, kötü niyetli kişi veya grupların elinde farklı amaçlarla da kullanılabiliyor. Bunun bir sonucu olarak siber tehditlerin gün geçtikçe daha nitelikli bir hal aldığı kuşku götürmez bir gerçek. Bu gerçekliğe karşı güncel olmayan, sıradan yöntemlerle hareket etmek adeta veri ihlallerine davetiye çıkarmaktadır. Dünya geneline bakıldığında büyük ölçekli veri sorumlularının dahi siber saldırılara maruz kaldığı ve birtakım veri ihlalleri yaşayabildiği gözlemleniyor. Fakat bu durum, şirketleri karamsarlığa sevk etmemeli. Veri ihlalleri şirketlerin kaderi değildir. Yine dünya geneline bakıldığında henüz veri ihlali yaşamamış olan ve kişisel verilere ilişkin tâbi olduğu mevzuatların gereklerini yerine getiren veri sorumluları da bulunuyor. Burada önemli olan şirketlerin risk ve tehditlere karşı her daim hazırlıklı olmasıdır.

Eğer veri ihlali yaşandıysa veri sorumlusu, kurumun resmi internet sayfasında yer alan Veri İhlal Bildirim Formu’nu kullanarak, bunu en geç 72 saat içerisinde kurula bildirmelidir. Bunun yanı sıra ihlalden etkilenen kişilere de bildirim yapılmalıdır.

● Kişisel Verileri Koruma Kurulu’nun aldığı son İlke Kararı’ndan biraz bahseder misiniz?

Kurula intikal eden ihbarlar kapsamında avukatlar-hukuk büroları ile finans, gayrimenkul danışmanlık, sigorta ve benzeri sektörlerde faaliyet gösteren birtakım kişi ve kuruluşlar tarafından çeşitli yollarla elde edilen veriler üzerinden ilgili kişilerin kimlik ve iletişim bilgileri gibi kişisel verilerinin sorgulanmasına olanak sağlayan yazılım, program ve uygulamaların kullanılmakta olduğu, kurum tarafından tespit edilmiştir.

Bu özellikteki yazılımları, programları veya uygulamaları kullandığı tespit edilenler hakkında TCK kapsamında gerekli adli işlemlerin tesisi için konunun ilgili Cumhuriyet başsavcılıklarına bildirilmesi kararlaştırılmıştır. Öte yandan kurulun görev alanına giren durumlarda Kişisel Verilerin Korunması Kanunu kapsamında idari işlemler tesis edilecektir. Kurul, İlke Kararı’nı oy birliğiyle alarak bu konudaki yaklaşımını net bir biçimde ortaya koymuştur.

● Otellerin kimlik fotokopisi almaları konusunda da bir rahatsızlık var? Bu konuda neler söyleyeceksiniz?

Şimdi otellerin güvenlik amacıyla yasalardan kaynaklanan gerekçelerle, konaklayan kişilerin bazı bilgilerini almaları zorunlu, bunlar da kimlik numarası ve ad-soyad bilgileri. Ancak kimliğin fotokopisinin alınması zorunlu değil. Kişilerin kimlik fotokopisi ancak, bu bilgilerin nasıl kullanılacağı bilgisinin verilmesi ve rızasının alınması şartıyla alınabilir.

İnternette “üye olmadan devam et” seçeneği olmalı

Alışveriş için telefon, işlenmesi gereken bir veri değildir. Özellikle hizmet veren alanların açık rıza şartına bağlanamayacağını her fırsatta anlatıyoruz. Örneğin biz bir internet sitesine giriyoruz ve bir bilet alacağız. Burada bir üyelik formu önümüze geliyor ve doldurmamız isteniyor, doldurmazsak bize bilet satmıyor. Buna ilişkin bir kurul kararımız var. Bu bir hizmettir, açık rızamızın verilmesi şartına bağlanamaz. Aslında olması gereken üye olmadan devam et seçeneğinin olmasıdır.

Veri sorumlusu, tüzel ve gerçek kişiler olabilir

● Kurumlarda veri sorumluları kavramı var, bu kişiler ne yapar?

Kişisel verilerin işleme amacını ve yöntemini belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi; veri sorumlusudur. Bununla birlikte veri sorumlusu bir gerçek kişi olabileceği gibi tüzel kişi de olabilir. Kanunun veri sorumlularına getirdiği yükümlülüklerden birisi de VERBİS’e kayıt olmak. Şirketler VERBİS’e kayıt olurken; hangi tür kişisel verileri ne amaçla işlediklerini, ne kadar süreyle sakladıklarını, aktarım yapıp yapmadıklarını, veri güvenliğini sağlamak amacıyla ne tür tedbirleri aldıklarını ve buna benzer bazı bilgileri beyan etmek zorundadır. Yıllık çalışan sayısı 50’den fazla veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları için son kayıt tarihi kurul tarafından 30 Haziran 2020 olarak belirlendi. Yine yurtdışında yerleşik gerçek ve tüzel kişi veri sorumluları için de aynı tarih geçerli.

Kuruma, toplam 2097 başvuru intikal etti

● Kişisel Verileri Koruma Kurumu’na bugüne kadar kaç adet başvuru geldi, gelen başvuruların ne kadarı sonuçlandı?

Bugüne kadar; 1784’ü şikayet, 113’ü ihbar, 200’ü veri ihlal bildirimi olmak üzere kurula toplam 2097 adet başvuru intikal etti. Bu başvuruların 1050 tanesi sonuçlandırıldı. Kurul tarafından neticelendirilen başvuralar kapsamında veri sorumluları hakkında toplam 18 milyon 396 bin 328 lira idari yaptırım uygulandı. Diğer yandan yurtdışından da gelen başvurular var. Yurtdışından 2185 adet başvuru alındı, bunlardan 2144 tanesi sonuçlandırıldı. Şunu da belirtmeliyim ki vatandaşlar da kişisel olarak başvuruda bulunabilir. Öncelikle veri sorumlusuna başvurulması gerekiyor. Buradan cevap alınamaması halinde ise kurulumuza şikayet hakları bulunuyor.

“Vesile” olmadan, adım atabilmek…

Özellikle bizim gibi ülkelerde, “önlem alınması gereken”, “refahı etkileyecek” birçok konu, “sıkıntılı bir vesile” yaşanmadıkça, görmezden geliniyor…

★ ★ ★

Örneğin kişisel verilerin korunması… Hipokrat, konunun önemini MÖ 460- 370 yılları arasında düşünebiliyor…

Hekimler hala, hastanın sırrını saklayacağına dair “Hipokrat Yemini” edip, mezun olabiliyor…

Bizde ise kredi kartı dolandırıcılığı, alışveriş sitelerinde üye olma/banka bilgileri verme zorunluluğu, kimlik bilgilerinin kopyalanarak özel/resmi kurumlarda aleyhte kullanılması gibi “üçüncü kişilerce verilerin kötüye kullanılması” vakalarındaki artıştan, binlerce kişi mağdur olduktan sonra, akıl başa geliyor… (Ferit PARLAK)