Geçen hafta Kişisel Verileri Koruma Kurulu’nun 2 yeni kararı dikkatimizi çekti. Bunlardan birisi Site Yönetimlerinin kişisel verilerinin korunması konusundaki sorumluluğu idi [1], diğeri ise yurtdışı ya da yurtiçindeki veri sorumlularının irtibat kişisi atamasıyla ilgiliydi[2]. Her 2 soruyu, Kişisel Verileri Koruma konusunda uzman bir hukukçu olan Avukat Mehmet Ali Köksal‘a sorduk :
Turk-internet.com: Kişisel Verileri Koruma Kurulu’nun son olarak açıkladığı apartman yönetimi ve yurt dışı veya yurt içindeki veri sorumlularının kontak kişisi belirlemesi ile ilgili iki adet kararı merak ediyor ve size sormak istiyoruz. Öncelikle, apartman yönetimi kişisel verilere nereden giriyor?
Mehmet Ali Köksal: Apartman yerine kat mülkiyeti kanuna tabii bina yönetimleri diyelim, çünkü yazlık sitede 300 villalık yer de olabilir. Bina olmak zoruna olmaksızın, kat mülkiyeti kanunu gereğince birlikte yönetilen, ortak alanları olan yerlerin yönetimleri ciddi kişisel veri işliyor. Örneğin, benim ne kadar yakıt tükettiğimi, sıcak veya soğuk sevdiğimi, benim ne kadar borcum olduğunu biliyor, bunu ilan edebiliyor. Bazen ifşa edebiliyorlar. Kapının önüne yazı asmak gibi amacını aşan uygulamalar olabiliyor. Bu alanda kişisel verileri işliyorlar, apartman yöneticisinin el kitabı tadında okul bilgisi ile yapıldığı için de sorumlu şekilde uygulamalar yapıyorlar.
Turk-internet.com: Peki, kararı nasıl değerlendiriyorsunuz?
Mehmet Ali Köksal: Karara iki açıdan bakmak gerek; Kişisel Verileri Koruma Kurumu son dönemde dikkati çeken bazı şeylere imza atıyor.
Hukuk yani olması gereken açısından bakacak olursak, örneğin; Kat mülkiyeti kanunu gereğince bu kişiler kişisel verileri işliyor. Peki, bu kişiler veri sorumlusu mu? Değil. Kanuni tarife uygun değil ama veri sorumlusu olarak kabul edilebiliyor. Burası eğer Türkiye Cumhuriyet’i Devleti hukuk devleti ise bunun böyle olmaması gerekiyor.
Hukukta boşluk mu var? Özel hukuka ilişkinse eğer tabii ki biraz kıyas yapılabilir ama ceza hukukunda kıyas olmaz. Aslında kanunun yüküm getirmediği apartman yönetimlerine yükümlülük getiriliyor. Ne ile? Kıyas yolu ile. O anlamda bence bu durum hukuka uygun olmayan bir karar. Çok net.
Bu durum yargının önüne gittiği zaman hukuk bilen ilk hâkim tarafından iptal edilmesi gerektiğini düşünüyorum.
Bu karar olması gereken bir durumu işaret ediyorsa, o zaman olması gereken yine şudur; Kurum kanun koyucuyu “Kişisel Verileri Korunması kanununuzda bir boşluk var” şeklinde uyarabilir.
Ya apartman yönetimlerine tüzel kişilik verilmesi ile veya kendine has farklı tüzel kişilik tanımlanmasıyla çözümlenebilir ya da Kişisel Verileri Koruma Kanunu kapsamında tüzel kişi olmayan yapıların değişmesi gerekir.
Bu neden önemli? Bakın, Türkiye için çok daha büyük bir sorundan söz edeyim. Zaten Verbis’te veri sorumlularınca yapılan bir sürü hatalı girişler var. Kurumun bazı kararlarında bu konuya dikkat çekilmişti.
Hatalı girişlerden bir kısmı şunu içeriyor, Yeni Havalimanı veya Yeni x köprüsü, otoyolu inşaatlarında binlerce kişi çalışıyor. Milyon dolarlık bütçeleri olan yerler, işletmeler ancak adi ortaklığa sahip. Adi ortaklığın tüzel kişiliği yok. Tüzel kişiliği olmadığı için, oradaki dev şantiyelerde çalışanların, veri sorumluları, adi ortaklar bu durumdan ve borçlarından sorumlu oluyorlar. Vergi dairesi de onların peşine düşebiliyorlar.
Bugün bunu kıyas yoluyla gündeme alırsak, yarın bir başka adi ortaklık “ben orada mı yoksa burada mı veri sorumlusuyum” diyerek tereddüte düşecek. Kurum, kaş yapayım derken göz çıkarmış olabilir.
Turk-internet.com: Bunun uzantısında bir şey sormak istiyorum, sosyal medyanın bu kadar geliştiği, dijital pazarlamada, big datanın(büyük veri) çılgınlığa ulaştığı bir dönemde, Kişisel Veri Kanunu’nun olmasını hepimiz çok istemiş, olması gerektiğini düşünüyorduk. Şimdi gitgide olması gerekenin çok üzerinde yayılıyor ve Kişisel Veriler Kanunu şirketlere veya bireylere biraz pahalıya mı mal olmaya başladı?
Mehmet Ali Köksal: Belki, şöyle düşünebiliriz; 95e 46 sayılı ile ilgili yasa [3] döneminde Avrupa Birliği’nde bu kadar terörize bir durum var mıydı?
Bunu sağlayan bizim gibi proje, danışmanlık yapan avukatlık büroları veya IT firmaları. Bazı IT firmaları bu durumla ilgili yanlarına avukat alarak çözümler sunmaya çalışıyorlar. Firmanın satışçısı bu durumu terörize edebiliyor. Bu algı oturduğu için, iş uyulması gereken bir hukuk normu olmaktan çıkıp, 3. Dünya ülkesi anlayışıyla para cezası yememek için yapılması gereken kurala dönüştü.
Üstelik “Türkiye’nin verisi Türkiye’de kalsın” sloganını doğru kurgulamazsanız, Türkiye’deki IT sektörü başta olmak üzere, birçok sektöre iyilik yapayım derken, kötülük yapmış olursunuz. Öncelikle, “veri Türkiye’de kalsın” dediğinizde Avrupa veya Dünya pazarına açılmaya çalışıyorsanız, siz de aynı tavırla karşılaşabilirsiniz. “Türkiye’nin verisi Türkiye’de kalsın” durumundan ziyade belki pandeminin etkisiyle, “Türkiye’nin parası Türkiye’ye kalsın” durumuna dönüştü. Bunu kontrolsüz ve düşünmeden yaparsanız bir yatırım gelmez.
Zaten karlılık gösteren sektörlerinize belki yatırımcı olarak gelen, bir sürü yabancı var. Bilişim derneklerimiz, bilişim vakfımız, bu konudaki iş adamları derneklerimiz bu konuları bu kadar açıklıkla masaya getirebiliyorlar mı? Ben emin değilim. Daha ziyade bugünü kurtarma derdiyle politikalar üretiliyor. Kısa, orta ve uzun vadeli planlamalar yapmadığımız için, şu an yapılan uygulama ile bambaşka sorunlara neden oluyoruz diye düşünüyoruz.
Turk-internet.com: Peki, Avrupa’da ki GDPR’ı konuşalım. Yakın tarihte Avrupa Birliği’nin kendi GDPR’ında uyulması zor bir kanun olarak sınıflandırdığına dair bir rapor sızdı [4]. Bu konuda ne düşünüyorsunuz?
Mehmet Ali Köksal: GDPR zaten uyulması zor bir kanun. Onların daha önce 95e 46 sayılı direktifini biz KVKK olarak yürürlüğe soktuk. Buna uyamadık. Bundan 3-5 katı daha zor kanun GDPR. Para cezaları korkunç. Şu an Türkiye’deki kurlar açısından da korkunç ötesi. Para cezasının üzerine 20 Milyon Euro, dile kolay. Türkiye’de bulunan çoğu şirketin batmasına neden olur. Eğer global cirosu bu rakamın üzerindeyse, global ciro ile orantılanıyor ve her şirkete yükümlülük sunuyor.
Açılan grup davalarında (Oracle ve Online reklamcılık alanında faaliyet gösteren firmalara vb.) çerezlerle yapılan veya online reklamcılıkta kullanılan, kişisel verilerden arındırılmış cihaz bilgileri ile gidip gelen, benim cihazımda aradığım x ürününü daha sonra başkası başka bir ürün aradığında reklam olarak görebiliyor. Aynı IP adresinden geldiğimi görebiliyor. Örneğin, Netflix hesabım gönderiliyor, Netflix’te hangi filmi veya diziyi izlediğim akıllı televizyondan gönderiliyor ve daha sonra bunların hepsi bir araya getirilip aslında ne izlediğimi, ne yediğimi, neyi giydiğimi, sipariş etmem nedeniyle, big data dediğimiz büyük bir yapı oluşuyor. Bununla ilgili online reklamcılık sektörünün büyük oyuncuları “Aslında bir verileri işlemiyoruz, bize işlenmiş verilerinizle bunları yapıyoruz” diyerek, kandırdılar.
Bunun üzerine, çok ciddi miktarda tazminat ödenmesi sonucunu doğurabilecek davalar açıldı. Bu hukuki güvenceyi azaltıyor. Küçük bir yayıncı olduğunuzu düşünün, siz de bu teknolojiyi kullanarak, bunca emek harcadığınız şeyin karşılığında, online reklamcılığı kullanarak belki küçük bir pastadan pay almaya çalışıyorsunuz. Siz bile geri adım atmaya başlıyorsunuz ve o zaman sorunlar başlıyor, bunun büyük tarafı var.
Teknolojiyi sağlayan firma, bunu ödeyebilecek gücü olabilir sonuçta. GDPR ile ilgili konuşulan aslında bu. Terörize olay orada biraz daha farklı boyutta. Çünkü her ne kadar, 2 yıllık geçiş öngörülse de kabul edilmeden önce metin 5,10 yıl tartışılan metin olsa da, ardında deneyim olsa da, öngörülmeyen durumlarla karşılaşılabiliyor.
Örneğin Hollanda’da bir firmanın Mısır’da bir yatırımı var ve orada ki personelin verisini işleyecek. Türkiye’de iki veri işlendi diye, orada ki buraya, burada ki oraya kayıt olacak gibi bir sürü sorun var. Doğal olarak Türkiye’deki iştiraki ile başka bir anlaşma yapması gerekecek. Bağlayıcı şirket kuralları denilen konular gündeme geliyor. 20 değişik ülkede faaliyet gösteren bir firmanın yapması, 20 ülkede bu konuyla ilgili uzman 20 hukukçuya danışması, merkezde bir araya getirilmesi, kurallar manzumesi yaratılması, hepsinde geçerli bir hal alması gerekiyor, bunlar zor işler, bu yüzden Dünya kişisel veri odağında kaotik hale geldi.
Ben de verinin konusu olan kişi olarak, benim verim üzerinde o ekonomi dönüyorsa, biraz olsun olması gerekiyor. İki tarafı da dengeli bir şekilde düşünerek belirli bir sürede kaostan kurtularak oluşturulur diye düşünüyorum.
Turk-internet.com: KVKK’nın ikinci kararına gelecek olursak, yurt içi ve yurt dışı sorumlarının bir kontak kişisi ataması. Yurt içindeki veri sorumlularının bir kontak kişisi belirlemesi neden sakıncalı?
Mehmet Ali Köksal: Hiçbir sakıncası yok. KVKK “bu işin meslek haline getirilmesini istemiyoruz” dedi. Açıkça bunu ifade etti.
Neden? Nedeni yok, yapılmasın, tamam. Bu bir tercih, bir politika ve düzenleyici otoriterinin politikayı belki böyle belirlemesi kabul edilebilirdi. Ben bundan memnun değildim ama böyle belirledi, yapacak bir şey yok.
Sonra bugünkü kararı aldı, yabancı şirketler için bir veri sorumlusunun iki alanda bulunabilme hakkı sağladı. Bence olması gereken bu.
Turk-internet.com: Yani, yurt dışındaki veri sorumlarının yurt içinde birden fazla veri irtibat kişisi ataması.
Mehmet Ali Köksal: Atılması zaten yasal zorunluluk ama örneğin 5 şirketin beni ataması. O zaman şu soru aklıma geliyor, Türkiye Cumhuriyeti Anayasası’nda bir hüküm var; Herkes eşittir. Eşitliği bozmak için temel bir neden veya anayasal bir dayanağınızın olması gerek. Herkes eşittir ama yabancılar ayrıcalıklıdır gibi olmadı mı bu?
Biraz önce Türkiye’nin verisi Türkiye’de kalsın derken, ulusalcı, milliyetçi bir yaklaşım söz konusuyken, yabancılarda bu kural geçerli değil denmesi, bence ters duruyor.
Sebebi ise; Bu işi yapabilecek çok fazla yer yok. Şirketler buna izin verseydi, şirket sahiplenmeyecekti ve bu alanda danışmanlık yapan bir kısmı avukat bir kısmı IT ile ilgilenen, hatta bunu meslek edinen çok niteliği olmayan kişiler, tüm şirketlerin irtibat kişisi olacaktı ve kurum buna bu yüzden evet demedi ama yabancılar için kurum belki şunu düşünüyor; “Zaten yabancılardan bu işi önüne gelen alamaz, daha nitelikli, bunu yapabileceğini ispat etmiş biri olacak”.
Bu da bana doğru gelmiyor. Anlıyorum nedenini, haklılık payı var ama bizim şirketlerimize güvenmeyip, yabancı şirketlere doğru seçim yapabilirler diye güvenmek ne kadar doğru? Çok açık ama doğru durmadı. Okununca insanın içini sızlatıyor.
Turk-internet.com: Bizim sorularımız bu kadar, kişisel verileri koruma konusunda başka bir şey eklemek ister misiniz?
Mehmet Ali Köksal: Kurum yakın zamanda bir karar aldı otomotiv firması üzerine. Buna bakınca kurum bence işi çığırından çıkardı. Kanunda olmayan bir maddeyi söyledi. Söyleyebilir mi? Bence söyleyemez. T
ürkiye Cumhuriyet’i eğer hukuk devletiyse o şekilde yürümemesi lazım. İki şey var; Kanun çıkarılalı 4 yıl, kurum kurulalı da neredeyse 4 yıl olacak. 4 yıldır faaliyette olan bir kurum, 4 yıldır kanunda getirilmiş bir yükümlülük var. Yükümlülük şu; “Güvenli ülkeler listesini açıklar. (Safe Harbour)”
Açıkladı mı? Açıklamadı. Açıklamayacaklar.
Görevi mi? Evet görevi. Yaptı mı? Hayır yapmadı. Engel olan bir durum söz konusu mu? Hayır, yok.
Kanunda yurt dışına aktarımla ilgili 2. Seçenek var. “Yurt dışına aktarım yapacak veri sorumlusu, yurt dışındaki veri sorumlusuyla taahhütname imzalar” olarak geçer.
Kurum dedi ki –ki bu benim eleştirdiğim bir konu- veri sorumlusuna aktarım yapacak, yurt dışına aktarılan veri sorumlusu değilse ki bu 2 şekilde mümkün; Öncelikle eğer yurt dışında aktarımı kendi sunucularıma yapıyorsam? Ben şirket olarak yurt dışında sunucu satın alabilirim. Burada, taahhütname alacak mıyım, almayacak mıyım? Bu sorunun cevabı yok.
İkincisi, ben yurt dışına aktarımı bir veri sorumlusuna değil de, bir veri işleyene yapıyorsam, bu durumda yurt dışına aktarım olacak mı? Kanunun dışına çıkmış mı oluyor, çıkmamış mı oluyor?
Benim açımdan kanunu öngöremez bir durum söz konusu. Samimiyetle söylüyorum, ben dâhil olmadığımı düşündüm kanunu okuyunca.
Biraz önceki konuya dönecek olursak, güvenli ülkeler listesini onaylamayan kurum, bugüne kadar kendisine taahhütname örneklerini yayınladıktan sonra kendisine yapılan taahhütname onay başlıklarının hiçbirini onaylamadı. “Virgülü eksik veya, ve yazması gerekiyor” dedi ve noter onaylı tercümeyi, kurumun kontrol edip reddetme hakkı bence noterlik kanunu gereği yok. Noter onaylıyor, tercümedeki sahteciliği tespit ettiyse noter ve tercüman hakkında suç duyurusunda bulunur. Sahte değilse, “ben beğenmedim” diyemez.
Yayınlanan taahhütname örneklerinden aşağı olmamak kaydıyla, daha önlemleri alanları dahi kabul etmedi ve bugüne kadar hiçbir şeyi onaylamadı. Bu konuda da görevini yapmadı. Türkiye kapalı bir ekonomi değil, eğer Türkiye ekonomisinde bir firma yurt dışına bir mal gönderiyorsa veya alıyorsa, veri transferi gerçekleşir. Kurumun kararında bahsettiği gibi de, veri transferi her zaman için açık rıza alınarak yapılamaz. Hatta çoğu durumda açık rıza alınmaz.
Çalışanımdan rıza aldım, alınan rıza kural olarak geçerli olmayabiliyor. Örneğin roket parçası üretti ve işten ayrıldı, ayrılırken de rızasını geri çekti, ben şimdi ne yapacağım? Yeniden mi üretim süreci oluşturacağım? O imza yerine başka imza koyup, evrakta sahtecilik mi yapacağım? Kurumun bunları düşünmeden, “açık rıza almak zorundasınız” dediği noktada Türkiye ekonomisini baltalıyor. Kurum görevini ihmal ederek, görevini kötüye kullanıyor. Görevini kötüye kullandıktan sonra da Türkiye ekonomisine zarar veriyor.
Bu hatadan kurumun bir an önce dönmesi gerekirken, kendi görevini yaparak çözebileceği hatalar, sorun haline getirip çözmüyor. Gereği yokken apartman yönetimi çok fazla veri işliyor diyor. E işlesin. Kaç kişiyi ilgilendiriyor ki? 1000 kişilik site yönetimi olsun, 5000 kişiyi ilgilendiriyor. KVKK ve CVK mevzuatı apartman yönetiminde 3-5 kişinin verisi için çıkmadı. Bu mevzuatın tarihsel kökeni, veri tabanlarına karşı bizi korumak.
Kurum yanlış yere bakıp, yanlış yere odaklanıp, Türkiye ekonomisine zarar vererek ve kanunu uygulamayarak görevini kötüye kullanıyor ve buna dur denilmesi gerekiyor. Sivil toplum kuruluşları, TÜSİAD dâhil, TBD Vakıf ve TÜBİDER, TÜBİSAD ile bu konuya eğilmek ve bir an önce kurumun ülke gerçeğine dönmesini sağlamak konusunda sorumluluk sahibi olduğunu düşünüyorum.
[3] KİŞİSEL VERİLERİN KORUNMASI ALANINDA ULUSLARARASI VE ULUSAL DÜZENLEMELER
[4] AB Yürürlüğe Girmesinin 2.Yılında GDPR Uygulama Raporu Yayınlandı