İnovasyona dayalı sürdürülebilir veri koruma politikaları oluşturulmalı

İnsanlığın hikâyesi yazılırken önemli durak noktalarından biri olarak kabul edilebilecek 2020 yılında ‘kişisel verilerin korunması’ ve ‘siber güvenlik’ başlıkları ön plana çıktı. Bu konu başlıklarını ele alıp arasındaki ilişkiyi incelemek, Kurumun yaptığı çalışmaları ve kişisel verilerin korunmasına ilişkin 2021 yılında bizleri nelerin beklediğini öğrenmek için BThaber olarak Kişisel Verileri Koruma Kurumu (KVKK) Başkanı Prof. Dr. Faruk Bilir ile bir röportaj gerçekleştirdik.

Kişisel verilerin korunmasının tüm dünyada ve ülkemizde son yıllarda çok önemli bir konu başlığı olarak gündeme geldiğinin altını çizen Prof. Dr. Faruk Bilir, “Aslında kişisel veri ve kişisel verilerin korunması hep vardı. İnsanlık sadece bunun adını koymamıştı. Bundan dolayı kişisel verilerin yolculuğunun zannedilenden daha eskilere dayandığını söyleyebilirim. Günümüzde ise hem dünyada hem de ülkemizde yapılan düzenlemelerin ve ayrıca dijitalleşmenin de etkisiyle kişisel verilerin korunmasını yoğun bir şekilde konuşuyoruz. Çünkü bilişim teknolojilerinin gelişmesi sonucunda çok daha fazla veri işlendiğini biliyoruz. Daha da önemlisi, kişisel verilerin korunmasının, verilerden ziyade bizzat kişinin kendisinin korunması anlamına geldiğini biliyoruz” değerlendirmesini yaptı.

28 Ocak; Uluslararası Veri Koruma Günü olarak kutlanıyor

Kişisel verilerin Türkiye’deki gelişiminden söz eden Bilir, şu noktalara dikkat çekti: “Ülkemizin serüveni, kısaca ‘108 sayılı Sözleşme’ olarak anılan ve 28 Ocak 1981 tarihinde imzaya açılan ‘108 No’lu Kişisel Verilerin Otomatik İşleme Tâbi Tutulması Karşısında Bireylerin Korunması Sözleşmesi’ni ilk imzalayan ülkeler arasında yer almasıyla başladı. Asıl dönüm noktası, 2010 yılında yapılan Anayasa değişikliği oldu. Temel bir insan hakkı olan kişisel verilerin korunmasını isteme hakkı anayasal bir hak olarak tanınarak güvence altına alındı. 7 Nisan 2016 tarihinde 6698 sayılı ‘Kişisel Verilerin Korunması Kanunu’ yürürlüğe girdi. Öte yandan ülkemizde insan haklarını koruma mekanizmalarından biri olan Kişisel Verileri Koruma Kurumu kuruldu. 108 sayılı Sözleşme, ilk uluslararası bağlayıcı belge olma niteliği taşıdığı için sözleşmenin imzaya açıldığı 28 Ocak günü, Uluslararası Veri Koruma Günü olarak kutlanıyor. 7 Nisan günü ise Kurumumuz ve MEB’in iş birliği içerisinde, konuya dikkat çekmek ve farkındalık oluşturmak amacıyla Kişisel Verileri Koruma Günü olarak ilan edildi.  Kurum her iki günü idrak etmekte ve önemine dair organizasyonlar düzenlemekte”

KVKK’da yurt dışına veri aktarımı diğer kanunlarda yer alan hükümlerde de saklı

Bilir, yurt dışına veri aktarımı konusuna dikkat çekerek “Daha önce yurt dışına veri aktarımıyla ilgili olarak taahhütnameler yayımlanmış ve söz konusu taahhütnamelerde bulunması gereken asgari unsurlar belirlenmişti. Bunun dışında, yeterli korumaya sahip ülkelerin belirlenmesinde esas alınacak kriterler de kamuoyuna duyurulmuştu. Kurul, 2020 yılında da yurt dışına veri aktarımı konusuyla ilgili önemli çalışmalar yaptı. Örneğin; yurt dışına kişisel veri aktarımında hazırlanacak taahhütnamelerde usul ve esasa ilişkin dikkat edilmesi gereken hususlar hakkında duyuru yapılarak, taahhütnamelerin nasıl hazırlanması gerektiği açıklandı. Bunun yanı sıra çok uluslu şirket toplulukları arasında yapılacak veri aktarımları bakımından uygulama pratiğini sağlama amacıyla Bağlayıcı Şirket Kuralları yayımlandı. Bağlayıcı Şirket Kuralları ile ilgili başvuru formu ve yardımcı doküman kamuoyuyla paylaşıldı. Güvenli ülke çalışmaları ise büyük bir hassasiyet içerisinde devam etmekte” dedi. Prof. Dr. Faruk Bilir, 6698 sayılı Kanundaki yurt dışına veri aktarımı konusunda düşüncelerini de paylaşarak “Kişisel Verilerin Korunması Kanunu yasaklayıcı değil, düzenleyici bir Kanundur. Kanun ve ikincil mevzuatı; kişisel verilerin hiçbir şekilde işlenmemesi olarak değerlendirilmemeli. Burada önemli olan, kişisel verilerin hukuka uygun şekilde işlenmesidir” şeklinde konuşarak şunları aktardı: “Kişisel verilerin yurt dışına aktarılmasında; taahhütname bir yöntemdir, bağlayıcı şirket kuralları diğer bir yöntemdir, ilgili kişilerden açık rıza alma yoluna gidilmesi ise başlı başına bir yöntemdir. Öte yandan kişisel verilerin yurt dışına aktarılmasına ilişkin diğer kanunlarda yer alan hükümlerin saklı olduğunu da unutmamak gerekir. Kurul, Kanun gereği yabancı ülkede yeterli koruma bulunup bulunmadığına ve yeterli koruma bulunmaması durumunda veri aktarımına izin verip vermeyeceğine karar verirken bazı hususları göz önünde bulundurmak durumunda. Bu kapsamda Türkiye’nin taraf olduğu uluslararası sözleşmeler, kişisel veri talep eden ülke ile Türkiye arasında veri aktarımına ilişkin karşılıklılık durumu, kişisel verinin niteliğiyle işlenme amaç ve süresi, verinin aktarılacağı ülkenin konuyla ilgili mevzuatı ve uygulaması, ilgili yabancı ülkede bulunan veri sorumlusu tarafından taahhüt edilen önlemler Kurul tarafından değerlendirilmekte.”

KVKK-GDPR uyum çalışmaları için gereken adımları atıyoruz

Devam etmekte olan çalışmalar hakkında da bilgi veren Bilir, “Biyometrik ve genetik veriler, sektörel bazda iyi uygulama örnekleri, çerezler, davranış kuralları, sertifikasyon ve KVKK-GDPR uyum çalışmaları başta olmak üzere; standart sözleşmeler, yapay zekâ alanında kişisel verilerin korunması, 108 sayılı Sözleşmenin modernizasyonu, çevrimiçi seminerler ve çocukların kişisel verilerinin korunmasıyla ilgili çalışmalar vesilesiyle, temellerini atmış olduğumuz veri koruma kültürünün ülkemizde yerleşik bir kültür haline gelmesi için gereken adımları atıyoruz” açıklamasını yaptı ve veri ihlali yaşanması halinde hem Kurula hem de ihlalden etkilenen kişilere ‘bildirimde’ bulunulması gerektiğini hatırlattı. “Siber güvenlik, dijitalleşme çağında veri güvenliğinin temel bileşenlerinden biridir” ifadesini kullanan Bilir, “Veri sorumlularının gerekli teknik altyapıyı kurması ve bunu yönetilebilir hale getirmesi artık bir tercih değil, zorunluluk haline geldi. Siber saldırıların siber felaketlere dönüşmemesi için inovasyona dayalı ve sürdürülebilir veri koruma politikaları oluşturulmalı” dedi. Bilir, dijital ortamlarda barındırılan verilerin güvenliğinin ciddi bir husus olduğunun altını çizerek şunları kaydetti: “Bu noktada insanların yanılgılarından, dikkatsizlik ve tecrübesizliklerinden yararlanmaya çalışan kişilerin, ulaşmaya çalıştıkları amacın önüne geçmek için alınabilecek en hayati önlemin bir ‘insan güvenlik duvarı’ yani bireyin kendi davranışlarıyla, sahip olduğu farkındalıkla meydana getirebileceği bir güvenlik duvarı olduğu unutulmamalı! Burada veri sorumlularına görev düşüyor. Teknik önlemlerin yanı sıra çalışanların eğitilmesine gereken önem verilmeli. Karamsar olmamalıyız. Alınabilecek teknik ve idari tedbirlerle siber tehditlere karşı koymanın mümkün olduğunu düşünüyorum. Daha önce Kurumumuz tarafından yayımlanan Kişisel Veri Güvenliği Rehberi’nde genel çerçevesi çizilen teknik tedbirlerin içerisinde yer alan; yetki matrisi, ağ güvenliği, şifreleme, sızma testi, veri maskeleme ve anahtar yönetimi gibi birtakım önlemlerin, dijitalleşmede katalizör etkisi meydana getiren pandemi döneminde önemi daha da arttı. Hassas veri, hassas koruma gerektirir. Bu nedenle hassas verilerin işlendiği, muhafaza edildiği veya erişim sağlandığı ortamlar elektronik ortam ise kriptografik anahtarlar güvenli ve farklı ortamlarda tutulmalıdır. Bu anlamda ‘derinlemesine savunma’ veya başka bir ifadeyle ‘çok katlı savunma’ anlayışının benimsenmesi ve tatbik edilmesinde fayda görmekteyim. Çünkü bu savunma modeli, siber saldırganların başarıya ulaşması olasılığını en aza indirmeyi hedeflemekte. Özellikle bulut sistemlerinde yer alan kişisel verilerin depolanması ve kullanımı sırasında kriptografik yöntemlerle şifrelenmesi, bulut ortamlarında şifrelenerek saklanması son derece önemli. Bu çerçevede “Türkiye’nin verisi Türkiye’de kalmalı” anlayışının ne kadar önemli olduğunun önümüzdeki süreçte daha da farkına varacağımızı düşünüyorum” değerlendirmesini yaptı.

Siber güvenlik de veri güvenliği de 7 gün / 24 saat esasına dayalı

Prof. Dr. Faruk Bilir, “Siber güvenlik, veri güvenliğinin en önemli enstrümanı olmakla birlikte bunu zaman bakımından ele almak istiyorum. Siber güvenlik ile veri güvenliğinin bence en önemli ortak özelliği; ikisinin de 7 gün / 24 saat esasına dayalı olmasıdır. Başka bir ifadeyle güncelliğe ve sürekliliğe dayanmasıdır. Öte yandan her ikisi için de proaktif bir yaklaşım sergilemek gerekmekte” şeklinde konuşarak şunları kaydetti: “Özellikle son aylarda tüm dünyada bilgi kirliliği ciddi derecede artmış durumda. Bu açıdan yanıltıcı ve zararlı içeriklere itibar etmemeli, resmi açıklamaları dikkate almalıyız. Sosyal medyada bilinçli kullanımı alışkanlık haline getirmeliyiz. Günümüzde açık adres bilgisi, konum bilgisi ve telefon numarası ile e-posta bilgileri kişiyi potansiyel hedef haline getirebilmekte. Yaptığımız paylaşımlar, davranış şekillerimiz ve hassasiyetlerimizi ortaya çıkarmakta. Hassasiyetlerimiz, hiç tanımadığımız ve bilmediğimiz kötü niyetli kişilerin elinde zafiyetlerimiz haline dönüşebilir. Fakat gizlilik ve güvenlik ayarlarını düzenleyerek, güçlü parolalar kullanarak ve hukuka aykırılık teşkil eden paylaşımlardan kaçınarak kendimizi korumamız mümkün. Aksi takdirde sadece kendi verilerimizi değil, yakınlarımızın ve başka kişilerin de kişisel verilerini riske atmış oluruz.”

Açık rızanın hizmet şartına bağlanması, kişinin özgür iradesini sakatlayan bir fiildir

“Kanunumuzda açık rızanın unsurları; belirli bir konuya ilişkin olma, bilgilendirilmeye dayanma ve özgür irade ile açıklanma olarak sayılmıştır” ifadesini kullanan Bilir, “Görüldüğü gibi açık rızanın olumlu irade beyanı içermesi gerektiğinden, kişinin neye ve niçin rıza gösterdiğini bilmesi gerekmekte. Açık rıza, kişinin yaptığı davranışın bilincinde ve kendi kararı olması halinde geçerlilik kazanacaktır. Öte yandan açık rıza; kişinin verileri üzerinde kontrol ve söz sahibi olmasının ve kişinin geleceğini belirleme hakkının bir yansımasıdır. Bundan dolayıdır ki; kişisel verisi işlenen kişiler, verdikleri açık rızayı geri alma hakkına da sahiptir. Açık rızanın hizmet şartına bağlanması ise kişinin özgür iradesini sakatlayan bir fiildir. Veri sorumlusu, kişiye seçme şansı vermelidir. Ancak kişinin yapacağı seçimin sonuçları, kişinin seçimini etki altında bırakıyorsa, kişiyi sunulan ürün veya verilen hizmetten yoksun bırakıyorsa, burada rızanın özgürce verildiğini söylemek mümkün olmayacaktır” dedi.

Dijital çağda veriler mi bizi yönetecek yoksa biz mi verileri yöneteceğiz?

Bilir, “Kişisel veriler hukuka uygun olarak işlenmelidir. Hukuka uygun bir veri işleme için birtakım ilkelere, şartlara uyulması ve amacın gerektirdiği ölçüde veri işlenmesi gerekmekte. Öte yandan geldiğimiz noktada en az veri güvenliği kadar veri yönetimi de önem kazandı. Fiziksel ve dijital deneyimi bir araya getiren yeni bir gerçekliğin ortaya çıktığı veya önümüze sunulduğu bir dönemde şu soruyu sormalı ve bir karar sonucunda hareket etmeliyiz: Dijital çağda veriler mi bizi yönetecek yoksa biz mi verileri yöneteceğiz? Elbette verileri, özellikle kişisel verilerimizi biz yönetmeliyiz. Kısacası kontrol bizde olmalıdır” açıklamasını yaparak konuşmasının sonunda şunları paylaştı: “Kişisel verilerimizin hayatımızı nasıl etkilediğinin farkında olmalıyız. Çünkü sadece geçmişimiz ve bugünümüz değil, geleceğimiz de kişisel verilerimizdedir…”