Dijital Biz Dergisi | Özel Röportaj

 

Prof. Dr. Faruk BİLİR

Kişisel Verileri Koruma Kurumu

Başkan

Eylül 2022

 

44. Küresel Mahremiyet Konferansı Türkiye’de Yapılacak

 

6698 sayılı Kişisel Verilerin Korunması Kanunu 7 Nisan 2016 tarihinden beri yürürlükte. Bu Kanun hayatımızda neleri değiştirdi?

Kanunla birlikte, ülkemizde kişisel veri işleme faaliyetlerinin disiplin ve düzen altına alınması amaçlanmıştır. Kişisel Verilerin Korunması Kanunu, kişisel verilerin gelişigüzel işlenmesi veya paylaşılması yerine; kişisel verilerin hukuka uygun işlenmesini, bilinçli paylaşılmasını veya gerektiğinde paylaşılmamasını düzenleyen bir kanundur. Kanunla, bireylere verileri üzerinde denetim hakkı getirilmiştir. Kişiler, kanunla birlikte sahip oldukları haklar vasıtasıyla bu denetimi yapabilmektedirler.

Kişisel verilerin korunması, temel hak ve özgürlüklerin güvence altına alınmasında bireylere üst düzeyde koruma sağlayan araçlardan biridir. Bu açıdan kişisel verilerin korunmasını isteme hakkı, ülkemiz ve insanımız açısından büyük bir kazanımdır.

Kanunun amacı yalnızca kişisel verilerin korunması mıdır? Bunun dışında başka bir amaç söz konusu mudur? Bu konuya açıklık getirebilir misiniz?

Aslında Kanunun temel amacı, verinin korunması aracılığıyla verinin ait olduğu kişinin korunmasıdır. Dolayısıyla Kanuna göre kişisel verilerin korunması araç, kişinin temel hak ve özgürlüklerinin korunması ise amaçtır. Buradan hareketle Kanunun amacını iki başlıkta ele alabiliriz. Bunlar; temel hak ve özgürlüklerin korunması ve kişisel verilerin işlemesinde usul ve esasların düzenlenmesidir.

Kişisel Verilerin Korunması Kanunu, insan haklarının korunmasına hizmet eden araçlardan biridir. Kanun, gelişigüzel veri işlemeye ve veri işlemede keyfiliğe son vererek kişisel verilerin belirli kurallar dahilinde; yani hukuka uygun şekilde işlenmesini öngörmektedir.

Kanunun uygulanması bakımından gelinen noktayı nasıl değerlendiriyorsunuz?

 Kurumumuz, kamu ve özel sektör ayrımı gözetmeksizin Kanunun doğru uygulanmasına ve kişisel verilerin korunmasına yönelik birtakım çalışmalar yürütmekte. Bu anlamda, veri koruma bilincinin her geçen gün arttığını gözlemliyor ve kişisel veri işlenen tüm sektörlerde Kanuna uyum noktasında gayret gösterilmesini memnuniyet verici bir gelişme olarak değerlendiriyorum.

Elbette kişisel verilerin korunması uzun soluklu bir yolculuk. Kurum olarak bu yolculuğu sürdürürken kişisel verilerin korunması anlayışını daha üst noktalara taşımayı amaçlıyor, bu bilinçle hareket ediyoruz.

Kanunda, kişisel verilerin analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme hakkı bulunmaktadır. Bu hakkın kapsamı nedir?

Günümüzde kişisel veriler çoğunlukla otomatik sistemler vasıtasıyla işlenmektedir.

Elde edilen farklı nitelikteki veriler birleştirilerek kişiye ait veriler kategorize edilmekte, analizler yapılmakta ve bunun sonucunda kişiye ait bir profil oluşturulabilmektedir. Profilleme işlemi neticesinde kişinin kendisi aleyhine bir sonucun ortaya çıkması durumunda sonuca itiraz edebilme hakkı tanınmıştır.

İtiraz hakkının kullanılabilmesi için kişisel verilerin yalnızca otomatik sistemler vasıtasıyla işlenmesi ve bu işleme sonucunda kişi aleyhine sonuç çıkmış olması şartlarının birlikte sağlanması gerekir. Yalnızca otomatik sistemlerle veri işleme dediğimizde, herhangi bir insan müdahalesi bulunmaksızın otomatik sistemlerin kendiliğinden sonuca ulaşması aranmaktadır.

Örneğin, çevrimiçi kredi başvurusunda bulunan bir kişinin yanlış analiz edilmesi nedeniyle başvurusunun reddedilmesi halinde, kişi bu düzenleme kapsamında itiraz hakkına sahip olacaktır.

Bilindiği gibi Kişisel Verileri Koruma Kurulunun unutulma hakkına yönelik almış olduğu bir karar mevcut. Söz konusu kararın alınması ihtiyacını ortaya çıkaran gelişmelerden söz edebilir misiniz?

Kuruma gelen birçok başvuru sonucu, kişilerin ad ve soyadı ile arama motorları üzerinden yapılan aramalarda çıkan sonuçların indeksten çıkarılması taleplerinin “unutulma hakkı” çerçevesinde ele alınmasına ve bu kapsamda bir değerlendirme yapılmasına yönelik çalışmalar yapıldı. Kurulun büyük bir titizlik içerisinde sürdürdüğü çalışmalar sonucunda konuyla ilgili bir karar yayımlandı. Kararda, Kanunda yer alan silme ve anonim hale getirme işlemlerinin unutulma hakkının tesis edilmesine yönelik bir araç olduğu belirtildi.

Karara göre arama motorları veri sorumlusu olarak kabul edildi. Arama motorları tarafından gerçekleştirilen faaliyetler ise “kişisel veri işleme” faaliyeti olarak değerlendirildi. Karar üzerine sıklıkla kullanılan bazı arama motorları, Türkiye’den yapılacak başvurular için başvuru kanalları oluşturmuştur.

Peki unutulma hakkı kapsamında indeksten çıkarılan bilgiler artık erişilemez hale mi gelmektedir?

Unutulma hakkı, genel olarak bireylerin kişisel verilerine erişimin engellenmesini talep edebilmesi hakkını ifade etmektedir. Dolayısıyla bireylerin itibarlarını kötü etkileyecek haber, yorum ve içeriklere erişimi azaltma taleplerini yerine getirmek adına unutulma hakkı uygun bir araç sağlamaktadır.

Unutulma hakkı kapsamında internetten ulaşılan verilere ilişkin içerik kaldırma işlemi yapılmamakta, söz konusu bilgiler internet ortamında tamamen yok olmamaktadır.

Bu çerçevede, arama motorlarında konuya ilişkin farklı kelimelerle arama yapıldığında ortaya çıkan sonuçlarda, ilgili içeriğe erişilebilmesi mümkündür. Dolayısıyla ilgili kişinin talebi üzerine bir arama sonucunun bağlantısının kısmen kaldırılmış olması, yayımlanan içeriğe hiçbir şekilde erişim sağlanmayacağı anlamına gelmemektedir.

Bahse konu verilere farklı kombinasyonlarla yapılan aramalarda ya da doğrudan kaynaktan erişilebilecektir. Bununla birlikte unutulma hakkı ilgili kişiler tarafından her koşulda ileri sürülebilen mutlak bir hak olmayıp istisnai bir hak niteliğinde olduğundan, her somut olay özelinde kriterler çerçevesinde değerlendirme yapılarak karar verilmektedir.

Kanuna göre kişiler yalnızca kendileri ile ilgili mi şikayette bulunabilir? İlgili kişi kendi verilerini ilgilendirmeyen fakat birçok kişinin verisinin ihlal edildiğine şahit olduğu takdirde bu konuyu Kurula nasıl iletebilir?

Kanunun 11. maddesinde, herkesin veri sorumlusuna başvurarak kendisiyle ilgili, bu maddede sayılan hakları ileri sürebileceği düzenleme altına alınmıştır. Dolayısıyla üçüncü bir kişi adına temsil yetkisi bulunmayan bir kişi tarafından Kurula şikayet mümkün değildir. Ancak kişiler toplumun genelini ilgilendiren bir ihlale şahit oldukları takdirde kanıtlayıcı nitelikte bilgi ve belgelerle 3071 sayılı Kanuna uygun bir dilekçe ile Kurula ihbarda bulunabilirler.

Kanun’un 15’inci maddesinin birinci fıkrasında yer alan “Kurul, şikayet üzerine veya ihlal iddiasını öğrenmesi durumunda resen, görev alanına giren konularda gerekli incelemeyi yapar” hükmü gereğince Kurul şikayet veya ihbar üzerine inceleme yapabilir.

Kurula iletilen şikayetlerde genel olarak yapılan hataları dikkate aldığınızda, kişiler haklarını kullanabilmeleri için şikayet oluştururken nelere dikkat etmelidir?

İlgili kişinin hak arama yöntemleri Kanunun 13 ve 14’üncü maddelerinde belirlenmiştir. Şikayet yoluna başvurulabilmesi için ilk olarak; kişinin veri sorumlusuna yapmış olduğu başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya otuz gün içinde başvuruya cevap verilmemiş olması gereklidir. İlgili kişinin Kurula şikayette bulunmasında öngörülen süre, veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve her hâlde başvuru tarihinden itibaren altmış gündür. Dolayısıyla kişilerin öncelikle “Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğe” uygun bir şekilde veri sorumlularına başvuruda bulunmaları gerekmektedir.

Kurula şikayet oluşturulurken ise; sürelere riayet edilmesi, veri sorumlusuna yapılan başvuruların, alınan cevapların ve bu belgelere dair gönderi belgelerinin tarihlerinin açık ve anlaşılır olması, şikayete konu edilen iddiaları tevsik edici belgelerin eklenmesi, Kurumun görev alanı dışında taleplere yer verilmemesi, 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanun gereğince yazılı başvurularda mutlak surette ad, soyad, imza, iş veya ikametgah adresine yer verilmesi ve vekil aracılığı ile yapılan başvurularda; başvuru ekinde, ilgili kişiye ait vekâletnamenin eksiksiz bir şekilde ve süresine dikkat edilerek sunulması usule uygun bir başvuru için önem arz etmektedir.

Veri sorumlusu ve veri işleyenin tespitinde göz önünde bulundurulması gereken hususlar nelerdir?

Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder. Yani işleme faaliyetinin “neden” ve “nasıl” yapılacağı sorularının cevabını verecek kişidir.

Veri sorumlusu kişisel verilerin toplanması ve toplama yöntemi, toplanacak kişisel veri türleri, toplanan verilerin hangi amaçlarla kullanılacağı, hangi bireylerin kişisel verilerinin toplanacağı, toplanan verilerin paylaşılıp paylaşılmayacağı, paylaşılacaksa kiminle paylaşılacağı, verilerin ne kadar süreyle saklanacağı gibi hususların kararını veren taraftır.

Veri işleyen ise, veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen, veri sorumlusunun organizasyonu dışındaki gerçek veya tüzel kişiler olarak tanımlanmaktadır.

Açık rızaların Kanuna aykırı olmaması için nelere dikkat edilmelidir?

İlgili kişilerin açık rızasının alınacağı hallerde açık rızanın tanımı üzere; rızanın belirli bir konuya ilişkin olması, bilgilendirmeye dayanması ve özgür iradeyle açıklanması gerekir.

Veri işlemek üzere verilen açık rızanın geçerli olması için, açık rızanın öncelikle belirli bir konuya ilişkin ve o konu ile sınırlı olarak verilmesi ve veri sorumlusu tarafından açık rıza beyanının hangi konuya ilişkin olarak istenildiğinin açıkça ortaya konulması gerekir.

Bununla birlikte açık rıza bir irade beyanı olduğundan, kişi özgür bir şekilde rıza verebilmek için neye rıza gösterdiğini bilmeli ve sadece konu üzerinde değil, aynı zamanda rızasının sonuçları üzerinde de tam bir bilgi sahibi olmalıdır.

Bu sebeple bilgilendirmenin veri işleme ile ilgili bütün konularda açık ve anlaşılır bir biçimde mutlaka verinin işlenmesinden önce yapılması, açık rızanın geçerlilik kazanabilmesi için kişinin yaptığı davranışın bilincinde ve kendi kararı sonucunda olması ve açık rızanın özgür iradeyle açıklanması, herhangi bir hususun ilgili kişi tarafından açık rıza verilmesi şartına bağlanmaması ve ayrıca tarafların eşit konumda olmadığı veya taraflardan birinin diğeri üzerinde etkili olduğu durumlarda rızanın özgür iradeyle verilip verilmediğinin dikkatle değerlendirilmesi gerekecektir.

Sadakat kart programı kapsamında alınan açık rızalar için açık rızanın hizmet şartına bağlanmasından söz edilebilir mi?

Açık rızanın hizmet şartına bağlanmasından bahsedilebilmesi için açık rızanın koşul olarak dayatılması ve ilgili kişinin açık rızasının bir ürün veya hizmetin sunulmasının ya da yararlandırılmasının ön şartı olarak ileri sürülmesi gerekir.

Ancak veri sorumlusu tarafından sunulan ürün ve hizmetlerin erişiminin herkese açık olduğu ve belirlenen fiyatlar üzerinden herkesin temin edebildiği durumda açık rızanın hizmet şartına bağlanmasından bahsedilemeyecektir. Ürün veya hizmetlerde sadakat kart programı dahilinde ilgili kişiler tarafından açık rıza verilmesi halinde yararlanılabilen indirimler ana ürün veya hizmetin sunumuna ilişkin olmayıp ek menfaat niteliğindedir.

Kurulumuz, sadakat kart programlarının kişisel verilerin korunması mevzuatı kapsamında incelenmesine ilişkin rehber çalışması yürütmektedir. Çalışma tamamlandığında bu konuyla ilgili bir rehber yayınlanacaktır.

Biyometrik veriyi nasıl tanımlarsınız? Biyometrik verilerin işlenmesinde açık rıza alındığı takdirde, “hukuka uygun bir veri işleme faaliyetidir” denilebilir mi? 

Kanun ile özel nitelikli kişisel veriler arasında sayılan biyometrik veriden bahsedilebilmesi için kişinin fizyolojik, fiziksel veya davranışsal özellikleri gibi ayırt edici özellikleri veri işleme sonucunda ortaya çıkarılmalı, ortaya çıkarılan özellikler kişinin kimliğini tanımlamaya yarayan ya da kişinin kimliğini doğrulayan kişisel veriler olmalıdır. Biyometrik veriler kişiye özgü, benzersiz ve tektir.

Biyometrik verilerin işlenmesinde, biyometrik veri işleme şartlarının mevcudiyeti ve Kanunun 4’üncü maddesinde düzenlenen genel ilkelere riayet edilmesi önem arz etmektedir. Kanunun 6’ncı maddesinin üçüncü fıkrasına göre, sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hallerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Bu çerçevede, biyometrik veriler açık rıza yoksa kanunlarda öngörülen hallerde işlenebilecektir. Söz konusu hükmün şüpheye yer bırakmayacak kadar açık olması gerektiği değerlendirilmektedir.

Biyometrik verilerin işlenmesinde her zaman Kanunun 4’üncü maddesinde düzenlenen genel ilkelere uyulması gerekmektedir. Daha önce yayımlanmış olan Kurul kararlarında açık rıza ve ölçülülük hususuna ilişkin değerlendirmeler yer almaktadır. Açık rıza alınmış olsa dahi genel ilkelere uygun olmadığı takdirde, hukuka uygun bir veri işleme faaliyetinden söz edilemeyecektir.

Çerezler aracılığı ile kişisel veri işleme faaliyetlerinde dikkat edilmesi gereken unsurlar nelerdir?

Çerezler yoluyla kişisel verilerin işlenmesinde öncelikle veri sorumluları tarafından tüm veri işleme faaliyetlerinde olduğu gibi genel ilkelere uygun hareket edilmelidir. Çerezlere dair aydınlatma metinlerinin hazırlanması gerekir. Açık rıza alınmasını gerektiren çerez uygulamaları söz konusu ise açık rızanın üç unsuruna uygun olarak “kabul et” ve “reddet” seçeneklerinin bulunduğu açık rıza metinlerinin sunulması gerekir.

Veri sorumları kadar verileri işlenen ilgili kişilerin de dikkat etmesi gerekenler bulunmaktadır. Ziyaret edilen internet sitelerinde aydınlatma metinlerinin okunması, açık rıza metinlerinin kendilerine sunulan bilgilendirme doğrultusunda değerlendirilmesi önemlidir.

Kurumumuz, çerezler yoluyla kişisel verileri işleyenlere pratik tavsiyeler sunmak amacıyla “Çerez Uygulamaları Hakkında Rehber” yayımlamıştır. Söz konusu rehberde, çerezlere dair iyi ve kötü uygulama örneklerine yer verilmiştir. Bu sayede çerezler yoluyla kişisel verileri işleyenlerin doğru hukuki sebeplere dayalı olarak veri işlemeleri, uygulamada eksiklikler varsa bu eksiklikleri gidermeleri amaçlanmaktadır.

Çerezlere ilişkin aydınlatma ve açık rıza metinlerini daha çok e-ticaret sitelerinde görmekteyiz. Çerezler yoluyla kişisel veri işleme faaliyeti yalnızca e-ticaret siteleri için mi geçerlidir?

Hayır, çerezler yalnızca e-ticaret sitelerinde değil, kişilerin ziyaret etmiş olduğu birçok masaüstü ve mobil web siteleri veya web uygulamalar tarafından kullanılabilmektedir.

E-ticaret siteleri gibi web siteleri çerezleri kullanan sitelerdir. Bazı çerez türlerinin kullanımı web sitelerinin düzgün çalışması için zorunludur. Genel olarak bu çerez türleri için açık rıza gerekmeyebilir. Bu nedenle bazı sitelerde çerezlere ilişkin yalnızca aydınlatma metinlerinin sunulması yeterlidir. Örneğin Kişisel Verileri Koruma Kurumu’nun resmi web sitesi gibi…

Veri sorumluları tarafından çerezler vasıtasıyla kişisel veri işlenmesinde, her durumda açık rıza alınması gerekli midir?

Farklı çerez çeşitleri ve bu çerezlerin farklı kullanım amaçları bulunmaktadır. Veri sorumlusunun çerezler yoluyla kişisel veri işleme faaliyeti özelinde yapacağı değerlendirme neticesinde, Kanun’un 5’inci ve 6’ncı maddelerinde sayılan diğer veri işleme şartlarını da göz önünde bulundurması gerekmektedir.

5’inci veya 6’ncı maddelerdeki işleme şartlarının uygulanması kapsamında, kişisel veri işlemenin Kanun’da bulunan açık rıza dışındaki şartlardan birine dayanması halinde, ilgili kişiden açık rıza alınmasına gerek bulunmamaktadır. Çerez Uygulamaları Hakkında Rehber’de, açık rıza dışındaki diğer işleme şartları dahilinde çerez kullanım senaryoları ve açık rıza işleme şartı dahilindeki çerez kullanım senaryoları mevcuttur.

Bazı internet sitelerine giriş yapıldığında çerezlere ilişkin yalnızca “kabul et” seçeneğinin olduğu ve kabul edilmediği takdirde sitede ilerlemeye izin vermeyen “çerez duvarları” ve rıza alımları söz konusu. Bu yönde bir uygulamanın doğru olduğundan bahsedilebilir mi? 

Bir ziyaretçinin internet sitesinde yer alan tüm çerezlerin kullanılmasına onay vermedikçe internet sitesinin içeriğini görüntülemesini engelleyen uygulamalar, her şeyden önce Kanunun temel ilkeleriyle bağdaşmamaktadır.

Kişisel verilerin işlenmesine imkan tanıyan çerezlerin yerleştirilmesinden önce uygun veri işleme şartının tespit edilmesi gerekir. Eğer bu veri işleme şartı açık rıza ise Kurulun yaklaşımı; açık rızaya dayanan kişisel veri işleme faaliyetlerinde açık rızanın hizmet şartına bağlanamayacağı yönündedir.

Açık rızanın hukuken geçerli olabilmesi için “belirli bir konuya ilişkin olma, bilgilendirmeye dayanma ve özgür irade” unsurlarının eksiksiz olarak varlığı gerekmektedir.

Dolayısıyla açık rızanın özgür bir biçimde verilebilmesi kapsamında, çerez duvarlarının ilgili kişinin rızasını ortaya koyarken gerçek bir seçim yapmasını engellemesi söz konusu olabilir.

Böyle bir durumda kişiye tercih yapma imkanı tanınmadan yalnızca “kabul et” seçeneğinin sunulması kişinin özgür iradesini ortadan kaldıracağından, bu tür uygulamaların Kanuna aykırılık teşkil edebileceğini belirtmek gerekir.

İlgili kişiler çerezleri kabul ettikleri takdirde, söz konusu kişilerin yurt dışına kişisel veri aktarımına da onay verdiklerinden bahsedilebilir mi? 

Bu ziyaret edilen internet sitesine göre değişebilir. Türkiye’de faaliyet gösteren internet sitelerinin yurt dışında yerleşik birtakım şirketler vasıtasıyla çerez kullandığı ve bu çerezler aracılığıyla yurt dışına veri aktarımı faaliyeti gerçekleştirdiği durumlarda, bu veri aktarım faaliyetinin 6698 sayılı Kanun’un 9’uncu maddesindeki şartlara uygun şekilde yapılması gerekecektir.

Kişisel verilerin yurt dışına aktarımı Kanun’un 9’uncu maddesinde hükme bağlanmış olup, söz konusu maddenin birinci fıkrasına göre ilk aktarım şartı, ilgili kişinin açık rızasının alınması hususudur. İlgili kişilerin ziyaret ettikleri internet sitesinde çerezler vasıtasıyla yurt dışına kişisel veri aktarımı söz konusu ise buna yönelik açık rızaların ilgili kişilere sunulması gerekir.

Kişisel Verileri Koruma Kurulunun güvenli ülkelerin ilan edilmesine ilişkin çalışmaları sürmekte midir? Güvenli ülkeler ilan edildiği takdirde veri sorumluları bu ülkelere aktarımı şart gerekmeksizin yapabilir mi?

Kişisel Verilerin Korunması Kanunu’nun 9’uncu maddesinde; kişisel verilerin, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamayacağı, kişisel verinin aktarılacağı yabancı ülkede yeterli korumanın bulunması veya yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kişisel Verileri Koruma Kurulu’nun izninin bulunması kaydıyla, ilgili kişinin açık rızası aranmaksızın söz konusu verilerin yurt dışına aktarılabileceği düzenlenmiştir. Henüz yeterli korumaya sahip ülkeler açıklanmamıştır. Kurulun bu konudaki çalışmaları devam etmektedir.

Kişisel Verilerin Korunması Kanunu’nun doğru anlaşılması ve daha etkin uygulanması için çeşitli çalışmalar yapılıyor. Kurum, bu çalışmalar kapsamında bankacılık sektöründe kişisel verilerin korunmasına yönelik iyi uygulamalar rehberi yayımladı. Öncelikle rehberin yayımlanma amacını öğrenebilir miyiz?

Rehber ile bankacılık sektörü tarafından yürütülen kişisel veri işleme faaliyetlerinin Kanuna uygun olarak gerçekleştirilmesi konusunda bankacılık sektörünün yönlendirilmesi ve iyi uygulama örneklerinin oluşturulması amaçlanmaktadır.

Rehber, bankaların kişisel verilerin korunması alanında uyması gereken usul ve esaslar ile yerine getirmesi gereken yükümlülüklere ilişkin genel açıklamaları içermektedir.

İyi uygulamalar rehberinin kişisel verilerin korunmasında; 6698 sayılı Kanunun daha etkin uygulanmasına, sektör bazında uygulama birliğine gidilmesine, kişisel verilerin korunmasında sürdürülebilirliğin sağlanmasına olumlu katkılar sunması beklenmektedir.

Rehber hazırlanırken sektörün düşünceleri dikkate alındı mı? Sektörün konuya yaklaşımını nasıl buluyorsunuz?

Birçok sektörde olduğu gibi bankacılık sektöründe de yoğun bir şekilde kişisel veri işleme faaliyeti gerçekleştirilmektedir. Kişisel verilerin korunması hakkı bağlamında ilgili kişilerin maruz kaldığı risk derecesi göz önünde bulundurularak; Kurumumuz ile Türkiye Bankalar Birliği bünyesinde çalışma grupları kuruldu. Bu süreçte sektörün yapıcı bir yaklaşımı oldu.

Söz konusu çalışma grupları arasında periyodik toplantılar gerçekleştirildi. Bu kapsamda yapılan ortak çalışmalar sonucunda rehber, sektör ile iş birliği içinde hazırlandı.

Bankacılık sektörü dışında diğer sektörlerle ilgili buna benzer çalışmalar var mı?

Sektör bazlı iyi uygulamalar rehberi çalışmaları yalnızca bankacılık sektörüyle sınırlı değil. Turizm, havacılık, telekomünikasyon ve reklamcılık gibi birtakım sektörlerde kişisel verilerin korunmasına yönelik iyi uygulamalar rehberlerinin hazırlanmasıyla ilgili çalışmalarımız devam ediyor. Bu çalışmalarda da bir hayli mesafe katettiğimizi söyleyebilirim.

Veri sorumlusu nezdinde bir ihlal meydana geldiği takdirde veri sorumlusunun yapması gerekenler nedir? 

Bilindiği üzere veri sorumluları veri güvenliğine ilişkin her türlü teknik ve idari tedbirleri almak durumundadır. İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, veri sorumlusunun bu durumu en kısa sürede ilgilisine ve Kişisel Verileri Koruma Kuruluna bildirmesi gerekir.

Kurula bildirmek için en kısa süre veri sorumlusunun bu durumu öğrendiği tarihten itibaren gecikmeksizin ve en geç 72 saat olarak belirlenmiştir. İlgili kişilere de makul olan en kısa süre içerisinde, ilgili kişinin iletişim adresine ulaşılabiliyorsa doğrudan, ulaşılamıyorsa veri sorumlusunun kendi web sitesi üzerinden yayımlanması gibi uygun yöntemlerle bildirim yapılması gerekir. Kurul gerekmesi halinde kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ihlal bildirimini ilan edebilir.

Veri işleyen nezdinde bir ihlal meydana geldiğinde veri işleyene idari yaptırım uygulanabilir mi?

Veri sorumlusu ile veri işleyen arasında imzalanan sözleşmeler çerçevesinde veri işleyene belirli yükümlülüklerin yerine getirilmesi konusunda yetki verilmesi mümkündür.

Fakat bu tür bir yetkilendirmenin varlığı, veri sorumlusunun Kanun ve ilgili mevzuattan doğan sorumluluğunu ortadan kaldırmayacaktır.

Kanunda, kişisel veri işleme faaliyetlerine ilişkin hukuki yükümlülüklerin yerine getirilmesinde veri sorumlusu esas alınmaktadır. Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. Veri işleyen ise, veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek veya tüzel kişidir. Buna göre, veri işleyenin veri sorumlusunun talimatlarını yerine getirdiği açıktır.

Kanunda gerek aydınlatma yükümlülüğü gerek veri güvenliğine ilişkin yükümlülükler, veri sorumlusu üzerinden tanımlanmış olup ilgili kişinin, haklarını “veri sorumlusuna” karşı ileri sürebileceği düzenlenmiştir. Kişisel verilerin veri sorumlusu adına başka bir gerçek veya tüzel kişi tarafından işlenmesi halinde veri sorumlusu, söz konusu tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur.

İdari para cezalarındaki artış miktarı ve uygulanan idari yaptırımların miktarı nasıl belirlenmektedir?

İdari para cezalarına ait rakamlar, Kabahatler Kanununun 17. maddesinin yedinci fıkrası gereği her yıl yeniden değerleme oranında artırılmaktadır. Cezai yaptırımların miktarına ilişkin öngörülen idari para cezalarının alt ve üst sınırları arasında karar alınırken, Kabahatler Kanunu dikkate alınmak üzere ihlalin boyutu, kabahatin haksızlık içeriği, veri sorumlusunun kusuru ve ekonomik durumu da göz önünde bulundurulur.

Bu kriterlerin yanı sıra, Kurula intikal eden her vaka kendi içinde ayrıca değerlendirilmekte, hukuka aykırılığın gerçekleşme biçimi, bu aykırılıktan geniş bir kitlenin etkilenip etkilenmediği, etkilenen kişisel verilerin niteliği gibi ilave kriterler de göz önünde bulundurulmaktadır. Burada amaçlanan, kabahatlerin farklı ekonomik güce sahip gerçek ve tüzel kişiler hakkında uygulanacak olması nedeniyle, yaptırım uygulanmasında hakkaniyeti sağlamaktır.

Buna göre, küçük ölçekli bir aile şirketiyle ülke çapında faaliyet gösteren bir holdingin Kanun hükümlerini ihlal etmesi durumunda uygulanacak idari para cezasının miktarının belirlenmesinde, kabahatin niteliği de göz önünde bulundurulmak suretiyle, farklılıklar olacağı kesindir.

Kurumun internet sitesi www.kvkk.gov.tr’de yer alan ihlal bildirimlerine bakıldığında ihlallerin genellikle zararlı yazılımlar sonucu olduğu görülmektedir. Siber saldırılara karşı alınabilecek önlemlerden kısaca bahseder misiniz?

Siber saldırılara karşı veri sorumluları tarafından alınması gereken teknik ve idari tedbirler bulunmaktadır.

Kişisel veri içeren bilgi teknoloji sistemlerinin internet üzerinden gelen izinsiz erişim tehditlerine karşı korunmasında alınabilecek öncelikli tedbirler, güvenlik duvarı ve ağ geçididir.

Bunlar, internet gibi ortamlardan gelen saldırılara karşı ilk savunma hattı olacaktır. Teknik tedbirlerin yanı sıra idari tedbirlerin de alınması gerekmektedir. Kişisel veri farkındalığı eğitimleri ile çalışanların farkındalığının artırılması da veri güvenliği açısından büyük önem arz etmektedir.

Belediyelerin ödeme ve borç sorgulama hizmetlerine ilişkin verilmiş olan İlke Kararı neticesinde belediyelerden beklenen uygulama nedir?

Belediyeler tarafından emlak vergisi ödeme, hızlı ödeme veya borç sorgulama gibi sayfalar aracılığıyla çevrimiçi olarak sunulan hizmetler kapsamında Kanunun 12’nci maddesinde yer alan veri güvenliğine ilişkin yükümlülüklerin yerine getirilmesi ve herhangi bir veri ihlalinin önlenmesi amacıyla; çift faktörlü doğrulama için ilk doğrulamanın TC kimlik no, ad soyad, vergi no, sicil no gibi verilerle yapılırken, ikincil düzeydeki doğrulamanın kişiye özel oluşturulmuş SMS ya da e-postaya iletilen şifre gibi bir sistemle gerçekleştirilmesi, ikincil düzeyde kişiye ait başkalarının da erişebileceği telefon no, doğum tarihi, anne baba adı, sicil no gibi bilgiler yerine sadece kişiye özel olarak belirlenecek ve sadece ilgili kişinin erişebileceği verilerin istendiği sistemler ya da üyelik sistemi ile söz konusu hizmetlerin sunulması uygun olacaktır.

Siber saldırılara ve veri ihlaline karşı veri sorumlularının yanı sıra ilgili kişilerin de alabileceği önlemler var mıdır?

İlgili kişilerin de veri güvenliği noktasında dikkat etmesi gereken hususlar bulunmaktadır. Kişiler kendilerine sunulan aydınlatma ve açık rıza metinlerini okuyarak bilgileri kimlerin hangi amaçlarla topladığını ve bilgilerin paylaşıldığı takdirde sonuçlarının neler olabileceğini düşünerek veri paylaşımında bulunmalıdır.

Üyelik gerektiren platformlarda büyük-küçük harf, noktalama işaretleri ve sayılar içeren güçlü parolalar oluşturulmalı, parolalar düzenli aralıklarla değiştirilmeli ve aynı parola birçok platformda kullanılmamalıdır. Bağlantılara tıklamadan önce düşünülmeli, web siteleri ve sosyal ağ uygulamaları üzerinde kullanım tercihleri düzenlenmelidir. Ayrıca iki faktörlü doğrulama gibi yöntemler de tercih edilebilir.

Unutulmamalıdır ki; kişiler tarafından alınacak bu önlemler sayesinde ileride doğabilecek zararların önüne geçilebilir.

Gün geçtikçe yapay zekanın kullanımı oldukça yaygın hale gelmekte ve bunun bir sonucu olarak kişisel veriler doğrudan veya dolaylı olarak söz konusu uygulamalar kapsamında işlenmektedir. Yapay zekâ kapsamında veri güvenliği için nelere dikkat edilmelidir?

Yapay zekâ, bireyler ve toplum için önemli faydalar üretmekle birlikte, bireyin temel hak ve özgürlükleri kapsamında kişisel verilerin korunmasını isteme hakkı bakımından doğru biçimde yönetilmelidir.

Kişisel veri işlemeyi temel alan yapay zekâ çalışmaları ve uygulamaları Kişisel Verilerin Korunması Kanununa ve ikincil mevzuata uygun olmalıdır.

Bu uygulamalar veri mahremiyetini esas alan, temel hak ve özgürlüklere saygı gösteren ve ilk aşamadan itibaren kişisel verilerin korunması mevzuatına uyum sağlayan veri koruma ilkesine göre geliştirilmeli ve yönetilmelidir. Bu konuya ilişkin yapay zekâ alanında yapılacak çalışmalara yönelik tavsiyeleri içermekte olan “Yapay Zekâ Alanında Kişisel Verilerin Korunmasına Dair Tavsiyeler” internet sitemizde yayınlanmıştır.

Sosyal medyada kişilerin diledikleri gibi paylaşımlarda bulunması kişisel verilerin korunması açısından nelere yol açabilir?

Sosyal ağlarda yapılan paylaşımlar istemeden de olsa kişilerin kendilerinin ya da bir başkasının mağdur olmasına yol açabilmektedir. Bu nedenle paylaşımlar yapılmadan önce bir kez daha düşünülmeli ve mahremiyet hakkı göz önünde bulundurulmalıdır.

Sosyal medya paylaşımlarının herkese açık olması, kötü niyetli kişilerin hedefi haline gelme riskini artırmaktadır. Bu da kişilerin mağduriyete uğramalarına neden olabilmektedir. Ayrıca Türk Ceza Kanunu’na göre kişisel verilerin hukuka aykırı şekilde kaydedilmesi, hukuka aykırı olarak verilmesi veya ele geçirilmesi ile yok edilmemesi suç teşkil etmektedir.

Kişisel Verilerin Korunması Kanununda çocuklar için ayrı bir düzenleme bulunmamakta. Çocukların kişisel verilerinin korunması noktasında tavsiyeleriniz nelerdir?

Öncelikle çocukların kişisel verilerin korunması konusunda farkındalık kazanmaları önem arz etmektedir. Yetişkinler gibi çocukların da güçlü parolalar oluşturmaları gerekir. Çocuklar söz konusu olduğunda ailelerin çocukları veri paylaşımına ilişkin bilgilendirmeleri, çevrimiçi ortamlarda yalnız bırakmamaları ve internet tarayıcılarında gizlilik ayarlarının kontrolünü sağlamaları çocukların mahremiyeti için gereklidir.

Diğer yandan veri sorumluları, çocukların kişisel verilerinin işlenmesi söz konusu ise, Kanuna uyum konusunda buna yönelik özen göstermelidir. Çocuklara özel aydınlatmaların yapılması ve çocukların haklarını bilmelerini ve kullanabilmelerini sağlayacak uygun politika ve mekanizmaların geliştirilmesi son derece önemlidir.

Çocukların verilerinin işlendiği durumlarda, teknik ve idari tedbirlerin en üst seviyede alınmasına yönelik bir yaklaşım benimsenmelidir. Ürün ve hizmetlerin sunumunda çocukların kişisel verilerinin işlenmesi gerekli ise veri minimizasyonu ilkesine uygun olarak gereğinden fazla veri işlenmemelidir.

Küresel Mahremiyet Konferansı’na bu yıl Kişisel Verileri Koruma Kurumu ev sahipliği yapacak. Kişisel verilerin korunmasıyla ilgili böylesine önemli bir organizasyonun ülkemizde yapılacak olması, aslında bu alanda ciddi bir ilerleme sağlandığının da göstergesi olarak düşünülebilir. Konferans’tan ve öneminden biraz bahseder misiniz?

Küresel Mahremiyet Asamblesi veya bir diğer ifadeyle Küresel Mahremiyet Konferansı, her yıl 130’dan fazla ülkenin veri koruma otoritesini bir araya getiren, kişisel verilerin korunması konusunda önemli kararlar alabilen, uluslararası bir organizasyon.

Kurumumuz 2017 yılında Konferansa akredite oldu. O tarihten itibaren kişisel verilerin korunmasıyla ilgili yapılan bazı çalışmalara destek verdi. Kurumumuzun 44. Konferans için başvuru yaptığı adaylık süreci olumlu sonuçlandı ve bu yılki Konferansa ülkemiz ev sahipliği yapmaya hak kazandı. Bunun kişisel verilerin korunması adına önemli bir gelişme olduğuna inanıyorum.

Biz de Kurum olarak misafirperverliğimizi en iyi şekilde sergilemeye çalışacağız. Konferansı 25-28 Ekim 2022 tarihlerinde İstanbul’da gerçekleştirmeyi planladık. Bununla ilgili gelişmeleri kamuoyu ile paylaşmaya devam edeceğiz.

Konferansın amacı nedir? Konferansa kimler katılabilecek?

Konferans genel olarak, kişisel verilerin korunmasıyla ilgili güncel gelişmeler ışığında alanında uzman isimleri bir araya getirerek mahremiyet sorunlarına çözüm aramayı, mahremiyetin korunması bakımından öncü ve yol gösterici nitelikte raporlar ve kararlar yayımlamayı amaçlamakta.

Öte yandan Konferans açık ve kapalı oturumlardan oluşuyor. Açık oturuma üye otoritelerin ve gözlemci kuruluşların yanı sıra veri koruma alanındaki ilgililer, iş dünyası, akademisyenler, sivil toplum kuruluşları, meslek kuruluşları ve basın mensupları katılabilmekte.

Kapalı oturumlara ise yalnızca üye veri koruma otoritelerinin ve gözlemci kuruluşların temsilcileri katılmaktadır.

44. Küresel Mahremiyet Konferansı’nda başlıca ele alınacak konular nelerdir?

Konferans kapsamında; yapay zekâ, metaverse, büyük veri, blok zincir, sınır ötesi veri transferi ve dijital çağda çocukların kişisel verilerinin korunması gibi birçok konu ele alınacak. Gelişmekte olan teknolojiler, mahremiyet ilkeleri ışığında değerlendirilecek. Aynı zamanda kişisel verilerin kötüye kullanımının önlenmesi adına veri güvenliğinin sağlanması hususunda alınabilecek tedbirler de konuşulacak.

Kişisel Verileri Koruma Kurumu’nun Küresel Mahremiyet Konferansı’na sağladığı katkılardan kısaca bahseder misiniz?

Kurumumuz, Küresel Mahremiyet Konferansı’nın bünyesinde oluşturulan ve kişisel verilerin korunması alanında öncü nitelikte raporlar sunan çalışma gruplarının faaliyetlerini titizlikle takip etmekte ve aynı zamanda bu çalışmalara katkı sağlamaktadır. Üyesi olduğumuz çalışma gruplarına; “Küresel Standartlar ve Çerçeveler Çalışma Grubu”, “Dijital Ekonomi Çalışma Grubu” ve “Uluslararası Uygulama İşbirliği Çalışma Grubu”nu örnek olarak verilebilirim.

Ayrıca belirtmek isterim ki, “Küresel Mahremiyet Konferansı Uluslararası Uygulama İşbirliği Çalışma Grubu” üyesi olarak; “Doküman Kütüphanesi” çalışmasının güncellenmesi faaliyetini Kurumumuz üstlenmiş ve 2021 yılı içinde bu görevini başarıyla tamamlamıştır.

Kişisel Verileri Koruma Kurumu Başkanı olarak ve aynı zamanda şu an Küresel Mahremiyet Konferansı’nın temsil edilmesinden sorumlu olan organı; İcra Komitesi’nin bir üyesi olarak Konferans’ın geleceği hakkında neler düşünüyorsunuz?

Küresel Mahremiyet Konferansı’nın misyonu; veri koruma ve mahremiyet alanında uluslararası düzeyde liderlik sağlamaktır. Vizyonu ise; veri koruma otoriteleri arasında bir forum oluşturmak suretiyle bilgi ve tecrübe paylaşımı yoluyla ortak çalışmalar yürütmek ve otoriteleri bu kapsamda desteklemektir.

Bu misyon ve vizyona uygun olarak her yıl düzenlenen Konferanslar sonucunda kişisel verilerin korunmasına ilişkin dünya kamuoyunda farkındalık artırılmakta, öncü nitelikte “İlke Kararları” ve “Ortak Beyanlar” ilan edilmekte, “Çalışma Grubu Raporları” yayımlanmaktadır. Bu çalışmalar uluslararası forumlara ve akademik çalışmalara konu olmakta, hem ulusal hem de uluslararası alandaki uygulamalara rehberlik etmektedir.

İcra Komitesi üyesi olarak, Konferans’ın yeni üyeleri ve gözlemcileri ile büyümeye devam edeceğini, veri koruma alanına yön verecek nitelikte çalışmalarını etkin bir biçimde sürdüreceğini ifade edebilirim.