Veri, dijital dönüşümün gerçekleştirilmesinde kilit rol oynuyor

Kişisel Verileri Koruma Kurumu (KVKK) Başkanı Prof. Dr. Faruk Bilir, “VERBİS’e kayıt kaybettirmez, kazandırır” ifadesini kullanarak veri sorumlularına seslendi: “Önümüzdeki dönemde veri sorumlularının saygınlığı ve kurumsal itibarı, ürün ve hizmet kalitelerinin dışında kişisel verilerini işledikleri ilgili kişilere karşı sorumluluklarını yerine getirmeleriyle de ölçülecek. Bu anlamda 6698 sayılı ‘Kişisel Verilerin Korunması Kanunu ve Mevzuatı’na uyum göstermek, veri sorumluları için eşsiz bir fırsat. Veri sorumlularını, 31 Aralık 2019 tarihine kadar VERBİS’e kayıt ve bildirim yükümlülüğünü yerine getirmeye davet ediyorum.”

‘Kişisel Verilerin Korunması Kanunu’ sürecini anlatarak konuşmasına başlayan Prof. Dr. Faruk Bilir, “Teknolojinin ilerlemesiyle birlikte gerek kamu kurumlarında gerekse özel kurum ve kuruluşlarda bir görevin yerine getirilebilmesi veya bir hizmetin sunulabilmesi açısından kişisel verilerin işlenmesi, gözle görülür bir biçimde artış gösterdi. Özellikle son yıllarda dünyada olduğu gibi ülkemizde de dijital dönüşüm sürecinin hız kazanması ve buna bağlı olarak birçok alanda dijitalleşmenin hayata geçirilmesiyle birlikte, kişisel veriler kolaylıkla işlenebilir hale geldi. Bu durum hem gerçek ortamda hem de dijital ortamda çeşitli yöntemlerle işlenebilen kişisel verilerin güvenliği konusunu gündeme getirdi” açıklamasını yaptı. “Gelinen noktada kişisel verilerin sınırsızca ve gelişigüzel işlenmesi, yetkisiz kişilerin erişimine açılması, amaç dışı ve kötüye kullanımının engellenmesi gerekliliği, bu alanda hukuki düzenlemelerin yapılması ihtiyacını ortaya koydu” bilgisini veren Bilir, konuşmasını şöyle sürdürdü: “Bu yaklaşımın bir sonucu olarak, Türk Ceza Kanununda kişisel verilere ilişkin suçlar bakımından 135 ila 140’ıncı maddede yer alan hükümler uygulamaya konuldu. 2010 yılında yapılan Anayasa değişikliği ile ‘kişisel verilerin korunmasını isteme hakkı’ anayasal bir hak olarak tanınarak Anayasada güvence altına alındı ve yine bu Anayasa değişikliğinin gereği olarak, 7 Nisan 2016 tarihinde 6698 sayılı ‘Kişisel Verilerin Korunması Kanunu’ yürürlüğe girdi.”

‘Çarşamba Seminerleri’ kurum geleneği haline geldi

Bilir, KVKK’nın görevleri hakkında şu detayları paylaştı: “Görev alanına giren konularda şikayet ve ihbarlar hususunda gerekli incelemelerin yapılması, ikincil mevzuat düzenlemelerinin yerine getirilmesi, kişisel verilerin korunması alanındaki uluslararası gelişmelerin takip edilmesi, gerekmesi halinde kurum ve kuruluşlarla iş birlikleri gerçekleştirilmesi, öte yandan mevzuattaki gelişmelere ilişkin değerlendirmelerde bulunularak gerekli araştırma ve incelemelerin yapılması Kurumun görevleri arasında bulunuyor.” Kurumun konferans salonunda herkesin katılımına açık olarak gerçekleştirilen ‘Çarşamba Seminerleri’ne dair düşüncelerini aktaran Bilir, “Kişisel verilerin korunmasıyla ilgili konu çeşitliliği ve katılımcı grupları açısından zengin bir içeriğe sahip olduğunu söyleyebilirim. ‘Çarşamba Seminerleri’ndeki amacımız; ilgili kişilerin kişisel verilerin korunması alanında değerli bilgilere erişimini sağlamak ve farkındalık düzeyinde artış meydana getirmek. Bugüne kadar 49 defa ‘Çarşamba Semineri’ düzenledik. Artık bir Kurum geleneği haline geldi diyebiliriz. Önümüzdeki süreçte de bunları devam ettireceğiz” dedi. Bilir, farkındalıkla ilgili başka çalışmaları olduğuna da dikkat çekerek “Farkındalık düzeyinin geliştirilmesine son derece önem veriyoruz. Çünkü farkındalık, kişisel verilerin korunmasında güvenliğe açılan kapıdır. Farkındalık hususunda dünya genelindeki gelişmeleri incelediğimizde, ülkemizde kısa zamanda önemli bir mesafe alındığını görüyoruz ve bu gerçekten de memnuniyet verici bir durum. Tabii gelinen nokta bizler için yeterli mi? Elbette hayır… Veri koruma kültürünün, veri koruma bilincinin toplumda yerleşik bir hale gelmesi için Kurumumuz tarafından sağlam bir temel atıldığını düşünüyorum. Veri koruma kültürünün, farkındalık düzeyinin, veri koruma bilincinin artırılması ve zihinlere yerleşmesi idealiyle hedeflediğimiz noktaya ulaşmak için çok çalışmaya devam etmeliyiz. Gelecek nesillerin verilerini korumayı bir alışkanlık haline getirmesi ülkemizin geleceği açısından da çok önemli. Bu düşünceyle, çocukların ve gençlerin yeterli farkındalık düzeyine erişebilmeleri için ayrı bir çaba gösteriyoruz. Açıkçası kısa ve orta vadede bu çabalarımızın sonucunu alacağımıza inanıyorum” değerlendirmesini yaptı.

Kişisel verileriniz ‘sizinle’ güvende

“Kişisel verilerimiz bize ait olan her türlü bilgi olduğundan, bu verileri bir parçamız olarak görmemiz mümkün. Bu açıdan bize ait olan bu değeri en iyi biz koruyabiliriz. Veri sorumluları, Kanundan doğan yükümlülüklerini yerine getirmek ve almaları gereken güvenlik önlemlerini hayata geçirmek zorunda. Fakat ilgili kişilerin de kendi içlerinde bazı önlemler almaları gerekebilir. Örneğin, akıllı cihazların ve sosyal medya hesaplarının gizlilik ve güvenlik ayarlarının düzenlenmesi yahut güçlü parolaların kullanılması ve bunların güncellenmesi hatta aydınlatma metinlerinin okunması gibi önlemleri sayabiliriz ve bu örnekler artırılabilir” şeklinde konuşan Bilir, “Mahremiyet, her zaman dış etkenlerle ihlal edilmez” ifadesini kullandı. Bilir, “Kişinin kendisi de farkında olmadan mahremiyetine, veri güvenliğine zarar verebilir. Buradan hareketle, ne kadar önlem alınırsa alınsın eğer birey ‘alenileştirme iradesinin dışında’ kişisel veri güvenliğine tehdit oluşturabilecek nitelikte hareket ediyorsa, bir aşamadan sonra bunun önüne geçilemeyebilir. Bu nedenle ‘kişisel veri güvenliği kişinin kendisiyle başlar’ ve ‘kişisel verileriniz ‘sizinle’ güvende’ şeklinde ilgili kişilerin menfaatinin korunmasına yönelik bazı mesajlar verme gereğini hissediyorum” dedi.

VERBİS, şeffaflık ve hesap verilebilirlik ilkelerine dayanıyor

‘Veri Sorumluları Sicil Bilgi Sistemi’, kısa adıyla VERBİS’ten söz eden Prof. Dr. Faruk Bilir, VERBİS’in kamuya açıklık ilkesinin bir yansıması olarak şeffaflık ve hesap verilebilirlik ilkelerine dayandığını kaydetti. Bilir, şu bilgileri aktardı: “İlgili ‘Kurul Kararı’ndaki kriterlere sahip olan veri sorumluları, belirtilen tarihler aralığında ‘Sicil’e kaydolmak zorunda. Şeffaflığa dayalı bir hizmet anlayışı sunan kurum ve kuruluşlar, bu sistem sayesinde ilgili kişiler nezdinde daha başarılı bir sınav verecek. Küresel ve ulusal ölçekte yapılan ciddi araştırmalar da bunu doğrular nitelikte. Bu tabloya dayanarak konuyu şöyle özetleyebilirim; VERBİS’e kayıt kaybettirmez, kazandırır. Önümüzdeki dönemde veri sorumlularının saygınlığı ve kurumsal itibarı, ürün ve hizmet kalitelerinin dışında kişisel verilerini işledikleri ilgili kişilere karşı sorumluluklarını yerine getirmeleriyle de ölçülecektir. Bu anlamda 6698 sayılı ‘Kişisel Verilerin Korunması Kanunu ve Mevzuatı’na uyum göstermek, veri sorumluları için eşsiz bir fırsat. Bu fırsatın değerlendirilmesi hem ilgili kişilerin hem de kişisel verileri işleyen veri sorumlularının çıkarına olacaktır. Bu maksatla çalışan sayısı 50’den çok olan ‘veya’ yıllık mali bilanço toplamı 25 milyon TL’nin üzerinde olan veri sorumluları ile yurt dışında yerleşik olan veri sorumlularını 31 Aralık 2019 tarihine kadar VERBİS’e kayıt ve bildirim yükümlülüğünü yerine getirmeye davet ediyorum.” ‘Kişisel Verileri Koruma Kurulu’nun da yerinde bir Karar verdiğinin altını çizen Bilir, “Sürenin 31 Aralık 2019’a kadar uzatılması birçok veri sorumlusunu harekete geçirdi ve bunun sonucunda ‘Kanun ve Yönetmeliğe’ uygun şekildeki kayıt başvurularında büyük bir artış yaşandı. Öncelikle VERBİS yükümlülüğünü yerine getiren ve getirmekte olan veri sorumlularına bu vesileyle teşekkür ediyorum. Yükümlülüğünü henüz yerine getirmeyen veri sorumlularının ise bu konuda sorun yaşamamaları ve idari yaptırımlarla karşılaşmamaları adına son kayıt tarih tarihinden önce kayıt işlemlerini tamamlamalarını tavsiye ediyorum.”

Kişisel verilerin korunması, güncel gelişmeler ekseninde yeniden ele alınmalıdır

“Kişisel verilerin korunması tek bir çizgide hareket edilerek çözümlenebilecek bir olgu değildir” ifadesini kullanan Bilir, “Her sektörün kendi içinde karşılaşabileceği soru ve sorunlar olabilir. Bunların çözülmesi noktasında Kanunun, Kuruma verdiği yetki ve görevler çerçevesinde karşılıklı fikir alışverişlerine ve iş birliklerine önem veriyoruz. Çünkü bu iş birliklerinin fayda getirdiğine ve getireceğine inanıyoruz. Bu konuda yurt içindeki kurum ve kuruluşlar başta olmak üzere yurt dışındaki veri koruma otoriteleri ve organizasyonlarla yakın ilişkiler içerisindeyiz. Örneğin, bu yıl 41.si düzenlenen ‘Veri Koruma ve Mahremiyet Komiserleri Uluslararası Konferansı’nda (ICDPPC) ülkemizi temsil ettik ve bu konferansta ele alınan ve kabul edilen 6 adet ‘İlke Kararı’ndan 2 tanesine Kurum olarak eş sponsorluk yaptık. Son derece verimli geçen bu tür organizasyonlarda katılımcı ve söz sahibi olmak, yürütmekte olduğumuz çalışmalara da katkı sağlamakta. Kişisel verilerin korunması, her daim güncel gelişmeler ekseninde yeniden ele alınmalıdır. Bu sebeplerle, ulusal ve uluslararası düzeyde gerçekleştirdiğimiz iş birliklerimizi artırarak devam ettireceğiz. Bununla birlikte konferans, seminer, sempozyum, çalıştay, farkındalık toplantıları, eğitim programları ve benzeri faaliyetlerimizi devam ettirme niyetindeyiz” açıklamasını yaptı.

Kişisel verilerin korunmasına yönelik olarak ‘Alo 198 Veri Koruma Hattı’ bulunuyor

Bilir, “Dijital bağımlılık, bireyin gerçek yaşamdan koparak zamanının önemli bir kısmını dijital dünyada geçirmesi ve bunun olmaması durumunda yoksunluk duygusu hissetmesidir” tanımını yaptıktan sonra konuşmasına şöyle devam etti: “Bireyin çevrimiçi oyunlar ve sosyal medya başta olmak üzere birtakım uygulamalar üzerinde makul ölçülerin dışında zaman geçirmesi, dijital bağımlılığın belirtileri arasında sayılabilir. Bu durum psikolojik, fiziksel ve sosyal açıdan birtakım problemleri beraberinde getirebilir. Kişisel veriler açısından ise; dijital bağımlılık birçok kişisel verinin hiç düşünülmeden, gelişigüzel olarak paylaşılmasına neden olabilir. Bu da, ilgili kişinin telafisi zor veya mümkün olmayan mağduriyetler yaşamasına sebebiyet verebilir. Bu hususta büyük bir gayretle dijital bağımlılıkla ve teknoloji bağımlılığıyla mücadele etmekte olan kamu kurum ve kuruluşlarından destek alınabilir. Kişisel verilerin korunmasına yönelik olarak ‘Alo 198 Veri Koruma Hattı’ ile Kurumumuz da ilgili kişilerin yanındadır. Ülkemiz ‘Milli Teknoloji Hamlesi’ adıyla, ‘Dijital Türkiye’ sloganıyla hareket ederek dijital dönüşüm sürecini gerçekleştirmekte olan ülkeler arasında yerini aldı. Bu alanda birbiri ardına gelen başarılı çalışmaların süreceğine inanıyorum. Öte yandan veri, bu dönüşümün gerçekleştirilmesinde kilit rol oynamakta. Bu çerçeveden bakıldığında, ‘Türkiye’nin verisi, Türkiye’de kalmalıdır’ anlayışından yola çıkılarak yerli ve milli çözümlerin, teknolojilerin tercih edilmesi gerektiğini bu vesileyle bir kez daha ifade etmek istiyorum.”

Gerekli olmayan kişisel veriler; toplanmamalı veya işlenmemeli

“Ölçülü veri işleme başlı başına bir ilkedir” değerlendirmesini yapan Prof. Dr. Faruk Bilir, şu detayları aktardı:”Her şeyden önce ölçülülük ilkesi anayasal dayanağı olan, anayasal bir ilke olup birçok alanda etkin bir kriter olarak gözetiliyor. Bununla birlikte, 6698 sayılı Kanunun 4. maddesinde kişisel verilerin korunmasında uyulması gereken temel/genel ilkeler arasında da sayılıyor. Kanunun temel ilkeleri, kişisel veri işleme faaliyetlerinin adeta ‘olmazsa olmazı’ niteliğindedir. Bu ilkeler aslında kanunun ruhunu da yansıtıyor. Dolayısıyla bunlara uyulmaması, işleme faaliyetinin Kanuna aykırılığını gündeme getirecektir. Ölçülük ilkesi de bunlardan biridir. Buna göre kişisel veriler, bu ilkeye uygun olarak işlenmelidir. Kanun kapsamında bakacak olursak ölçülülük ilkesi; veri işleme faaliyetiyle gerçekleştirilmesi istenen amaç arasında makul bir dengenin kurulması, diğer bir ifadeyle veri işlemenin amacı gerçekleştirecek ölçüde olması anlamına gelmekte. Bu kapsamda, kişisel veri işleme faaliyetinin gerçekleşmesi için gerekli olmayan kişisel verilerin toplanmaması veya işlenmemesi gerektiği, veri sorumlusunun amacı çerçevesinde ölçülülük ilkesine uygun olarak ilgili kişiden ‘en düşük düzeyde’ bilgi talep etmesi gerekiyor.”

Verilerin güvenliği açısından siber güvenliğin önemi ortaya çıkıyor

Kişisel verilerin korunmasıyla, siber güvenlik arasındaki ilintiyi açıklayan Prof. Dr. Faruk Bilir, “Siber güvenlik geniş kapsamlı bir terim. Verileri, sunucuları, bilgisayarları, ağları, elektronik sistemleri, mobil cihazları ve benzeri yapıları kötü amaçlı yazılım ve saldırılardan korumanın genel adı olarak ifade edebiliriz” tanımını yaptıktan sonra konuşmasına şöyle devam etti: “Buna ‘bilgi teknolojisi güvenliği’ adı da verilebilmekte. Şu bir gerçek ki; dijitalleşme süreci öncesinde kişisel veriler genellikle kağıt ortamı da dediğimiz gerçek ortamlarda işleniyordu. Dolayısıyla alınan güvenlik önlemleri de buna yönelik şekilleniyordu. Fakat dijital dönüşümün hız kazanmasıyla birlikte, artık kişisel verilerin büyük oranda dijital ortamlar aracılığıyla elde edildiğini ve bu ortamlarda muhafaza edildiğini rahatlıkla söyleyebiliriz. Tam da bu noktada, verilerin güvenliği açısından siber güvenliğin önemi ortaya çıkıyor. Veri sorumlularının kişisel verilerin güvenliğini temin etmek amacıyla almaları gereken teknik ve idari tedbirleri göz önünde bulundurduğumuzda, işin teknik boyutunda önemli bir bölümün, siber güvenliğin etki alanı içerisinde yer aldığını görüyoruz. Buna dayanarak içinde bulunduğumuz dijital çağda siber güvenliğin, kişisel verilerin korunması sürecinde çok önemli bir faktör olarak karşımıza çıktığını söyleyebiliriz.”