KVKK, kişisel verilerin korunmasında ‘Doğru Bilinen Yanlışlar’ı yayımladı

Kişisel Verileri Koruma Kurumu (KVKK), ‘6698 sayılı Kişisel Verilerin Korunması Kanunu Hakkında Doğru Bilinen Yanlışlar’’ adıyla internet sitesinde yeni bir bilgilendirme dokümanı yayımladı. Bununla ve merak edilen diğer konular hakkında KVKK Başkanı Prof. Dr. Faruk Bilir ile bir röportaj gerçekleştirdik.

• KVKK; toplumun çeşitli kesimlerine yönelik farkındalık ve bilgi düzeyini artırıcı rehberler ve dokümanlar yayınlamaya devam ediyor. ‘Kişisel Verilerin Korunması Kanunu Hakkında Doğru Bilinen Yanlışlar’ dokümanı yayımlandı; neden bu çalışmaya ihtiyaç duyuldu?

Kişisel Verilerin Korunması Kanunu 7 Nisan 2016 tarihinden itibaren yürürlükte olan bir Kanun. Bu açıdan bakıldığında yeni bir Kanun sayılır. Kişisel verinin Kanundaki tanımını okuduğumuzda; aslında herkesi yakından ilgilendiren bir Kanunla karşı karşıya olduğumuzu söyleyebiliriz. Dolayısıyla bu Kanunu, başta kamu kurumları ve özel sektör olmak üzere toplumun bütün kesimlerine anlatıyoruz. Bunun bir parçası olarak Kanundan etkilenen her kesim için rehberler, farkındalık videoları ve bilgilendirme dokümanları hazırladık ve bunları kamuoyu ile paylaştık. Örneğin çocukların kişisel verileri eğlenerek öğrenmeleri için birçok ilde ‘Veri Tayfa’ etkinlikleri düzenledik. Düzenlediğimiz bu etkinliklerden paylaştığımız kesitler sayesinde diğer şehirlerde yaşayan çocuklarla etkinliklere gelemeyen diğer çocuklara da ulaşmayı amaçladık. Geçtiğimiz nisan ayı içerisinde çocukların kişisel verilerinin korunması başlığı altında hem çocuklar, hem ebeveynler, hem de ürün ve hizmet geliştiriciler için toplamda 8 adet broşür yayınlayarak çocuklara verdiğimiz önemin altını bir kez daha çizmiş olduk. Kanunla ilgili zaman içinde bazı konularda birtakım yanlış anlaşılmalar olduğunu ve bunların doğru gibi kabul edildiğini gözlemledik. Bu konu başlıklarını derleyerek ‘6698 sayılı Kişisel Verilerin Korunması Kanunu Hakkında Doğru Bilinen Yanlışlar’ ismiyle yayımlamış olduğumuz dokümanı, Kurumun resmi internet sitesi üzerinden kamuoyu ile paylaştık.

• Kurum internet adresini incelediğimizde 23 rehber, 7 doküman ve çocuklara yönelik broşürler görmekteyiz. Bunların yeterli sayıda olduğunu düşünüyor musunuz?

Kişisel verilerin korunması, sürekli güncellik isteyen bir konu. Ortaya çıkan ihtiyaca göre rehber, doküman ve videolara yenilerini ekliyoruz. Rehber ve video yayınlama konusunda nicelikten ziyade nitelikten yanayız. Burada söz konusu olan yayımladığımız rehberin içeriği, niteliği, ihtiyacı karşılaması, farkındalığı artırması ve ulaşmayı hedeflediğimiz kitleye uygunluğu gibi birtakım önceliklerimiz… Bu yaklaşımı kamuoyu duyurularında da gözettiğimizi belirtmek istiyorum. Bununla birlikte şu anda hazırlık aşamasında olan birtakım çalışmalarımız mevcut. Sonuçlandığında yine bunların da paylaşımı yapılacak.

Kişisel Verilerin Korunması Kanunu, kamu sağlığının korunmasına engel olacak bir düzenleme değildir

• Kişisel Verileri Koruma Kurulu, Covid-19 salgını sürecinde çeşitli konu başlıkları özelinde birtakım kamuoyu duyuruları yayımladı. Sonra bu duyuruların Küresel Mahremiyet Konferansı’nın resmi internet sitesinde de yayımlandığını gördük. Bu konuda bizi aydınlatabilir misiniz? Koronavirüs ile mücadele sürecinde kişisel verilerin işlenmesi konusu tüm dünyada konuşuluyor. Siz bu konuda neler söylemek istersiniz?

Yeni koronavirüsün ülkemizde ilk görüldüğü tarih olan 11 Mart’tan itibaren Kurumumuz, ülkemizde ve dünyada kişisel verilerin salgın sürecinde işlenmesi konusunu çok daha yakından takip etmeye başladı ve 12 Mart’ta başlayarak çeşitli tarih aralıklarında gerekli görüldükçe birtakım kamuoyu duyuruları yayımlandı. Tabii bu süreçte Küresel Mahremiyet Konferansı da, bu konuda geniş kapsamlı bir açık kaynak oluşturmak amacıyla üye olan veri koruma otoritelerinin bu süreçte yayımladıkları rehber veya bildirileri bir bilgi havuzunda toplayarak dünya kamuoyunun faydasına sundu. Kişisel Verileri Koruma Kurumu da, bu Konferansın üyelerinden biri olarak Türkiye adına sürece katkıda bulunuyor. Kişisel veriler elbette hukuka uygun olarak işlenmelidir. İçinde bulunduğumuz kontrollü sosyal hayat sürecinde de, öncelikli olarak kamu sağlığının korunması esastır. Kişisel Verilerin Korunması Kanunu, kamu sağlığının korunmasına engel teşkil edecek bir düzenleme değildir.

• Son zamanlarda en çok konuşulan konulardan biri de sosyal medyada kişisel verilerin korunması konusu. Paylaşılan kişisel bilgilerin yoğunluğu, sahte içeriklerin daha da yaygınlaşması gibi hususları da göz önünde bulundurarak bu konuda vatandaşlara hangi tavsiyelerde bulunmak istersiniz?

Sosyal medyada bireylerin kişisel verilerini koruyabilmeleri ve bu çerçevede çeşitli mağduriyetlere karşı güvende olabilmeleri için dikkatli olmaları gerekir. Özellikle salgın süreciyle birlikte tüm dünyada bilgi kirliliği ciddi derecede artmış durumda. O yüzden yanıltıcı ve zararlı içeriklere itibar etmeyelim, resmi açıklamaları dikkate alalım. Sosyal medyada yer alan sahte ve gerçek dışı duyurular, kişisel veri güvenliği için risk teşkil etmekte. Bu tarz kötü niyetli paylaşımların bizleri maddi ve manevi açıdan zor durumda bırakabileceğini unutmayalım. Alacağımız basit tedbirlerin dahi bizleri birçok tehlikeden uzaklaştırabileceğinin bilincine varalım. Kişisel verilerimizin hayatımızı nasıl etkilediğinin farkında olalım ve buna göre hareket edelim. Sosyal medyayı gelişigüzel kullanmak yerine bilinçli bir şekilde kullanmalıyız. Bunu da gizlilik ve güvenlik ayarlarını düzenleyerek, güçlü parolalar kullanarak ve hukuka aykırılık teşkil eden paylaşımlardan kaçınarak gerçekleştirebiliriz. Aksi takdirde sadece kendi verilerimizi değil, yakınlarımızın ve başka kişilerin de kişisel verilerini riske atmış oluruz.

• Kurula bugüne kadar kaç adet şikayet, veri ihlal bildirimi ulaştı? Ne kadar ceza kesildi? Güncel rakamları öğrenebilir miyiz?

1 Haziran 2020 tarihi itibarıyla, Kurula şu ana kadar yurt dışı da dahil 4548 ihbar ve şikayet geldi. Bunlardan 3618 tanesi sonuçlandırıldı. Bugüne kadar Kurula 254 adet veri ihlal bildirimi intikal etmiş olup, bunlardan 48 tanesi Kurul tarafından ilan edildi. Toplamda ise 28 milyon 200 bin 828 Türk Lirası idari yaptırım uygulandı. Öte yandan Kurumun görev ve yetki alanına giren konularda 363 hukuki görüş talebine yanıt verildi.

Vatandaşa hizmet sunulan alanlarda yetkisi olmayan kişilerin yer alması önleniyor

• Kanunda; Kurulun şikayet üzerine veya resen yapılan inceleme sonucunda, ihlalin yaygın olduğunun tespit edilmesi halinde ilke kararı alma yetkisi bulunmakta. Bu şekilde alınan İlke Kararları nelerdir?

Kurulun almış olduğu Kararların, kişilerin günlük yaşamlarına olumlu yansımalarının olduğunu görmekteyiz. Şüphesiz İlke Kararlarının da bunda etkisi büyük. Şu ana kadar İlke Kararı niteliğinde olan 5 adet Karar, Kurum resmi internet sitesinde yayımlanmış vaziyette. Bunlardan ilki; banko, gişe, masa gibi hizmet alanlarında kişisel verilerin korunmasına yönelik ilke kararı. Burada amaç; vatandaşa hizmet sunulan alanlarda yetkisi olmayan kişilerin yer almasının önlenmesi ve aynı anda birbirlerine yakın konumda hizmet alanların birbirlerine ait kişisel verileri duymasını, görmesini, öğrenmesini veya ele geçirmesini engelleyecek nitelikte gerekli teknik ve idari tedbirlerin alınmasıdır. İkinci İlke Kararı; rehberlik hizmeti veren internet sitelerinde/uygulamalarda kişisel verilerin korunmasına yönelik. Kuruma intikal eden ihbar ve şikayetlerin değerlendirilmesi sonucunda; çeşitli uygulamalar, internet siteleri veya sosyal medya hesapları üzerinden kişisel verileri toplayarak bu verilerin paylaşımını sağlayan, isim sorgulandığında telefon numarası bilgisine, telefon numarası sorgulandığında da isim bilgisine erişme ve başkalarının telefon rehberinde nasıl kayıtlı olunduğunu öğrenme gibi konularda hizmet veren birçok uygulamanın ve internet sitesinin bulunduğu tespit edilerek bunların derhal durdurulması için gerekli işlemlerin tesis edilmesi noktasında ilgili adımlar atıldı. Üçüncü İlke Kararı; veri sorumlusu nezdindeki kişisel verilere erişim yetkisi bulunan personelin yetkisi ve amacı dışında söz konusu verileri işlemesi hakkında. Söz konusu İlke Kararı ile, bu kapsamda yer alan eylemlerin önlenmesi amacıyla veri sorumluları tarafından uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirin alınması gerektiği hususunda veri sorumluları bilgilendirildi. Bir diğer İlke Kararı; veri sorumluları ve veri işleyenler tarafından ilgili kişilerin e-posta adreslerine veya SMS ya da çağrı ile cep telefonlarına reklam bildirimleri/aramaları yönlendirilmesinin önüne geçilmesi ile alakalı. Şu an için son yayımlanan İlke Kararı da; hukuka aykırı olarak elde edilen veriler üzerinden vatandaşların kimlik ve iletişim bilgileri gibi kişisel verilerinin sorgulanmasına imkân tanıyan yazılım, program, ve uygulamalara yönelik.

• Geçtiğimiz ay Kurul, özel sektöre ve iş dünyasına yönelik Bağlayıcı Şirket Kuralları hakkında bir duyuru yayımladı. Akabinde yurt dışına veri aktarımında kullanılacak taahhütnamelerle ilgili dikkat edilmesi gereken hususları içeren bir duyuru daha yayımlandı. Kısaca bunlardan da söz edebilir misiniz?

Bilindiği gibi Kişisel Verileri Koruma Kurulu; Türkiye’de yerleşik veri sorumluları tarafından yeterli veri koruması bulunmayan ülkelerde yerleşik veri sorumlusuna/veri işleyene kişisel verilerin aktarımında, tarafların yeterli bir korumayı yazılı olarak taahhüt etmelerine olanak sağlayan yöntemlerden birini ‘Taahhütnameler’ olarak daha önce belirlemişti. Taraflarca hazırlanarak Kurul onayına sunulacak Taahhütnamelerde bulunması gereken asgari unsurları da belirleyerek ilan etmişti. Bu kapsamda söz konusu taahhütnamelerin Kurul tarafından onaylanması akabinde yurt dışına veri aktarımı mümkün. Taahhütnameler; genellikle şirketler arasında gerçekleştirilecek iki taraflı veri aktarımları için geçerlidir. Kurul tarafından, çok uluslu şirket toplulukları arasında yapılacak yurt dışı veri aktarımları bakımından, diğer bir yöntem olarak da ‘Bağlayıcı Şirket Kuralları’ belirlendi. Bağlayıcı Şirket Kurallarını, yeterli korumanın bulunmadığı ülkelerde faaliyet gösteren çok uluslu grup şirketleri için kişisel verilerin yurt dışına aktarımında kullanılan ve yeterli bir korumanın yazılı olarak taahhüt edilmesini sağlayan veri koruma kuralları şeklinde tanımlayabiliriz. Bu kapsama giren şirketlerin, ilgili formu doldurup gerekli talimatları izleyerek Kuruma, Bağlayıcı Şirket Kuralları başvurusu yapması gerekir.

Tüm sektörleri mevcut iş birliğini artırmaya, daha fazla birlikte çalışmaya davet ediyorum

• Kurum olarak kamu ve özel sektör ile iş birliği halinde çalışıyor musunuz?

Kişisel verilerin korunması hususunda proaktif ve çözüm odaklı bir çalışma tarzı benimsenmelidir. Bu durum paydaşlar arasında etkin bir iş birliği ve fikir alışverişi yapmayı gerekli hale getiriyor. Bunun bilincinde olan Kurumumuz, hem kamu hem de özel sektörü içine alacak şekilde çeşitli çalışmalar yürütmekte. Burada temel amaç, güncel gelişmeler ışığında meydana gelen soru ve sorunları ele almak ve çözüm arayışlarında bulunmak. Bu açıdan konuyla ilgisi olan tüm sektörleri mevcut iş birliğini daha da artırmaya, daha fazla birlikte çalışmaya davet ediyorum.

• Kişisel Verileri Koruma Kurumu dijital dönüşümün neresinde?

Bilindiği gibi ülkemiz, dijital dönüşüm konusundaki çalışmalarını Milli Teknoloji Hamlesi adı altında, son derece başarılı bir şekilde devam ettirmekte. Bu kapsamda yerli ve milli projelerin önem kazanması ve hayata geçirilmesi, bunların toplum tarafından sahiplenilmesini sağladı. Birçok alanda artık yerli çözümlerin talep görmesi, tercih edilmesi bunun açık bir göstergesi. Kurumumuz bu konudaki gelişmeleri yakından takip etmekte olup, kişisel verilerin korunması alanında kendisini ilgilendiren her konuda üzerine düşeni yapıyor, gerekli katkıyı sağlıyor.

Veri koruma ve uyum süreçlerinin dijital çağın gerçeklikleriyle örtüşmesi gerekiyor

• Kişisel Verileri Koruma Kurumu çok yakın bir geçmişte İstanbul Teknik Üniversitesi ile yapay zekâ ve veri bilimi konularında iş birliği protokolü imzaladı. Protokolün amacı nedir, bu iş birliği ile hedeflenenler nelerdir?

Kurum olarak üniversiteler ile iş birliği yapmayı önemsiyoruz. Bu önemin getirdiği bir sonuç olarak daha önce Gazi Üniversitesi ve Yıldırım Beyazıt Üniversitesi ile iş birliği protokolü imzalamıştık. İstanbul Teknik Üniversitesi ile yaptığımız iş birliğinin de akademik açıdan ciddi katkılar sağlayacağına inanıyorum. Bu konu hakkında şunu da ifade etmeliyim ki; artık dijital çağın kıyısında köşesinde değil, tam olarak içerisindeyiz. Bu nedenle veri koruma ve uyum süreçlerinin de içinde bulunduğumuz zaman diliminin gerçeklikleriyle örtüşmesi gerekiyor. Kişisel verilerin korunması açısından dijital değişim ve dönüşümleri takip etmeme gibi bir durumumuz kesinlikle söz konusu olamaz. Bu kapsamda İTÜ ile önemli bir iş birliğine gittiğimiz kanaatindeyim. Protokol kapsamında; iki kurum arasında kişisel verilerin korunması, veri mahremiyeti ve veri güvenliğine ilişkin olarak ortak çalışmalar ve yayınlar yapılması, ulusal ve uluslararası projeler yürütülmesi ve eğitim-öğretim konularında iş birliği yapılması hedefleniyor. Bu iş birliklerinin haricinde 15 üniversiteden toplamda 86 öğrenciyle birlikte ‘Kişisel Verileri Koruma Gönüllüsü Yetiştirme Projesi’ adıyla gönüllülük esasına dayalı bir çalışma yaptık ve epey bir mesafe katettik. Umuyorum ki; ilerleyen süreçte bu projemiz de tüm hızıyla kaldığı yerden devam edecektir.

Gereğinden fazla işlenen her veri risk katsayısını artırır

• Veri ihlallerinin önüne geçilebilir mi? Şirketler bu konuda neler yapmalı?

Meydana gelen veri ihlallerini incelediğimizde önemli bir kısmının çalışan hatasından, başka bir ifadeyle insan faktöründen kaynaklandığını görüyoruz. Buradan hareketle veri sorumlusu nezdinde kişisel verilerin korunabilmesi için yapılması gereken en önemli işlerden biri; çalışanların eğitilmesi, bu kapsamda teknik ve idari tedbirlerin alınmasıdır. Diğer taraftan Kanunun genelini temsil eden temel ilkelere uygunluk sağlanmalı ve gerektiğinden fazla veri işlenmemeli. Gereğinden fazla işlenen her veri risk katsayısını artırır. Öte yandan kişisel verilerin işlendiği tüm departmanlarda veri korumanın bir kültür haline gelmesi ve bunun kurumsal kültürün bir parçası haline gelmesi gerekiyor. Bunun için kişisel verilerin korunmasına ilişkin bilgilerin güncel tutulması, farkındalık çalışmalarının etkin bir şekilde sürdürülmesi gerekmekte. Küçük ihmaller, büyük ihlaller meydana getirebilir. Bazen de küçük önlemlerle büyük ihlallerin önüne geçilebilir.

KVKK Başkanı Prof. Dr. Faruk Bilir