Kişisel Verilerin Korunması Kanunu ertelendi ama yeni iş fırsatları devam ediyor

Hakan Cem Topal
 
6698 Sayılı Kişisel Verilerin Korunması Kanunu’nun bilişim teknolojilerine etkisi hakkında daha önce yazılar yazıp çeşitli sunumlar yapmıştım. Bu yazdığım yazılara https://www.linkedin.com/pulse/6698-say%C4%B1l%C4%B1-ki%C5%9Fisel-verilen-korunmas%C4%B1-yasas%C4%B1-n%C4%B1n-bilgi-topal adresinden ve yapmış olduğum sunumlardan birine de  https://www.youtube.com/watch?v=1BtRDUjPcCk  adresinden ulaşabilirsiniz.
Bu yazımda ise yasanın çıkmasından sonraki 6 aylık süreçteki gelişmelerden ve yeni oluşan iş fırsatlarından bahsedeceğim.
Kişisel Verilerin Korunması Kanunu 7 Ekim 2016 tarihinde, resmi olarak açıklanmasa da otomatik olarak ertelendi. Hatırlanacağı üzere yasa 7 Nisan 2016 tarihinde yürürlüğe girmişti .Yasa ve gerekçeli karar incelendiğinde 6 ay sonraya refere eden bir çok madde vardı. Hatta bu maddelerin yerine getirilmemesi durumunda cezaların da devreye gireceği belirtilmişti. Bütün bu cezaların kesilmesi ve özellikle ortada kalan konuların aydınlatılması için yönetmelik çıkarması beklenen Kişisel Verileri Koruma Kurumu’nun kurulması  maalesef bu tarihe yetişemedi. Ülkemizin son zamanlarda içinden geçtiği sürecin buna etkili olduğunu düşünüyorum. Ama yine de yasada belirtilen Kişisel Verileri Koruma Kurulu’nun 9 üyesinden 5 tanesi TBMM tarafından seçildi. Oylama sonucuna göre, AKP'den Cabir Bilirgen, Cengiz Paşaoğlu ve Mehmet Niyazi Tanılır, CHP'den Turan Arık ve HDP'den Yusuf Alataş, Kişisel Verileri Koruma Kurulu üyesi olarak seçildi. Geri kalan 4 üyenin iki tanesini Cumhurbaşkanı, iki tanesini de Bakanlar Kurulu atayacak. Bu seçimler gösteriyor ki yasanın iptal olma gibi bir durumu yok, sadece yaptırımların devreye girmesi için biraz zamana ihtiyaç var.
Yasanın çıkmasından sonra geçen 6 aylık sürede işletmeler çeşitli aksiyonlar almaya başladılar. Bilgi teknolojileri departmanlarına ürün ve hizmet sağlayan şirketler bu yasayı kendilerine göre yorumlayıp yeni iş fırsatları yaratmayı düşünüyorlar. Bu şirketleri alttaki kategorilere göre gruplayabiliriz.

• Veritabanı Yönetimi Yapan Şirketler: Yasa ile beraber veri tekilleştirilmesi çok önemli bir konu oldu. Ortak veritabanlarının kullanılması, özellikle de büyük veri çözümleri ile müşteri bilgilerini birleştirip ve tekilleştirerek gerekli açık rıza onaylarının bu alt yapı üzerinde saklayan ürünler ve hizmetler öne çıktı.
• Özel Uygulama veya Paket Yazılım Yapan Şirketler:  İşletmeler için  özel uygulama geliştiren yazılım şirketleri, uygulamalarına yeni bir modül eklediler. Paket yazılımlar da yine aynı geliştirmeyi kendilerine yeni bir güncelleme şeklinde duyurdular.
• SMS ve E-Posta Gönderimi Sağlayan Şirketler: Açık rıza onaylarının alınması için kişilere yollanacak SMS ve e-postalar için ilgili şirketler paketlerini duyurdular.
• Sistem ve Güvenlik Hizmeti Sağlayan Şirketler: Verinin güvenliği,  ilgili işletmeyi ve veri uzmanını doğrudan ilgilendirdiği için özellikle güvenlik şirketleri Penetrasyon testi, DLP, loglama veya güvenlik duvarı gibi hizmetlerine ağırlık verdiler.
• Çağrı Merkezleri: Açık rıza alınma durumunda kişiler ile yapılan görüşmeler ve bu görüşmelerin ses kayıtlarının özellikle de CRM ile entegrasyonunun yapılması çok önemli oldu. Çağrı merkezler özellikle eski müşterilerin aranıp onay alınması için çeşitli paketlerini sunmaya başladılar.
• Hukuk Şirketleri: Yasa ilk çıktığında herkes bu yasanın gerekliliklerini sadece hukukçuların çözeceğini ve şirketlerde bu iş ile ilgili bölümlerin hukuk departmanları olacağını düşündü. Yasanın detayı yavaş yavaş anlaşılmaya başlandığında, bu işten sorumlu olması gereken departmanın BT departmanı ve destek alacakları bölümün de hukuk ekipleri olduğu ortaya çıktı. Bünyesinde Hukuk departmanı olmayan işletmelere dışardan bu hizmeti vermek için birçok hukuk bürosu çalışmalara başladı.
• Denetim Şirketleri: Finans şirketleri ve borsaya açık şirketler belli dönemlerde bağımsız denetim şirketlerinden (Mahşerin 4 Atlısı) BT denetimi almaktalar. Kurulacak olan Kişisel Verileri Koruma Kurumu tüm şirketleri kendisi denetleyemeyecek. Bu kapsamda ilgili kurum bağımsız denetim şirketleri ile veya denetim görevini üstlenecek yeni şirketler ile çalışacak. Kurulacak olan kurum ile bu pazarın hareketleneceği öngörülmekte.
• Eğitim Şirketleri: Veri Uzmanı kavramı yasa ile hayatımıza giren en büyük değişiklik. Yurtdışı örneklerine baktığımızda veri uzmanlarının belirli sertifikalara sahip olması gerektiği görülmekte. Muhtemelen ülkemizde de tıpkı ISG uzmanlarında olduğu gibi  veri uzmanlarının sınıflandırılıp ilgili eğitim ve sertifikalarını alması istenecek . Bu eğitimlerin içerikleri ve eğitim verecek şirketler yine kurumun oluşmasından sonra netleşecek. Belki de yetkili sınav merkezleri oluşacak.

Yukarıdaki tüm şirketler Kişisel Verileri Koruma Kurumu’nun kurulmasını bekliyor. Özellikle yasada tam net olmayan bazı maddelerin detaylandırılacağı bir yönetmelik çıkması tüm kamuoyunu ilgilendiriyor. Açık rızanın alınma ve saklanma şekli, alınması istenen güvenlik tedbirleri, verinin anonim yapılması ve gerektiğinde geri dönülebilmesi konuları hakkında şu an herkesin bir yorumu var.
Finansal şirketler bağımsız dış denetçi şirketler tarafından çok ciddi bir şekilde denetlenmekteler. Bu denetlemelerden geçmek için Cobit’te yer alan usul ve esasları uygulanmakta. Cobit’in risk yönetimi kapsamı içerisinde incelediğimiz hususlar; risk yönetim çerçevesinin oluşturulması, risk kapsamının kurulması, olay belirleme, risk değerlendirme, risk yanıtlama, risk aksiyon planlarının yürütülmesi ve izlenmesidir. Bu yasa kapsamına bakkalların tuttuğu kara kaplı defterlerin bile girdiğini düşünürsek, denetim şekli de çıkacak olan yönetmelikte belirlenecek diye düşünüyorum.
hakan.topal@sinpasgyo.com.tr