Anayasal güvence altında olması ve kanunlarda korunmasına karşın kişisel verilere ilişkin özel bir düzenlemenin olmamasının uluslar arası düzeyde sorunlar yaşattığına dikkat çekilirken yasa çalışmalarında tüketici STK’larının görüşünün alınmaması eleştirildi.
30. Ulusal Bilişim Kurultay’ında “Serbest kürsü” şeklinde yapılan “Kişisel verilerin korunması” oturumunda Türkiye’de daha çok bilgi güvenliği düzleminde ele alınan bankacılık ve finans sektöründeki sorunlar, kişisel bilgilerinin mahremiyetinin sağlanması, kişisel verilerin korunması açısından tartışmaya açıldı. Bu oturum, öncelikle daha kapsamlı bir çalışmaya dayanak oluşturacak bir durum tespitinin yapılabilmesini amaçladı. Sorunlar ortaya konulduktan sonra çözüm yolları bulunmaya çalışıldı. Panele katılan konuşmacılar Anayasal güvence altında olması ve kanunlarda korunmasına karşın kişisel verilere ilişkin özel bir düzenlemenin olmamasının uluslar arası düzeyde sorunlar yaşattığına dikkat çekerken yasa çalışmalarında tüketici STK’larının görüşünün alınmamasını eleştirdi.
Oturum Başkanı Bahçeşehir Üniversitesi Öğretim Üyesi Yardımcı Doç Dr. Elif Küzeci, T.C. Kimlik Numara’sının herhangi bir şekilde tartışılmadan kabul edilip uygulamaya konulduğunu anımsatıp kişisel verileri korumayı iç hukukun bir parçası haline getirilemediğine işaret etti. “Kişisel veri tanımı bazen dar ve yanlış tanımlanıyor” diyen Küzeci, kanunda “koruma” ve “kullanılması” ayrımının yapılmaması gerektiğini belirtti. Küzeci, “Kişisel verilerin korunması, kanunlarda var ama koruma, kullanma ve paylaşım yeterli değil” dedi.
Bankalararası Kart Merkezi’nin (BKM) yaptığı çalışmalardan söz eden BT Güvenlik, Uyum, Risk & Kalite Müdürü Berna Sirel, aralarında American Express, MasterCard Worldwide, Visa, Discover Financial Services gibi üyeleri bulunan PCI (Payment Card Industry) Güvenlik Standartları Konseyi Danışma Kurulu’nun Mart 2014’te İstanbul’da toplanacağını açıkladı.
1997’de kurulan Tüketici Bilincini Geliştirme Derneği (TÜBİDER) Başkanı Fuat Engin, konunun hukuksal boyutuna değindi. 2008’de gündeme gelen yasanın Meclis’e sevk edildiği ancak kadük kaldığını anımsatan Engin, 8 Haziran 2012’de Adalet Bakanlığı tarafından hazırlanan yeni yasanın da Başbakanlığa gönderildiğini ama ne olduğunun belli olmadığını vurguladı. Banka ve finans kurumlarının kişisel bilgilerimizi kullanımına ilişkin BTK’nın bir yönetmeliği bulunduğunu, 5464 sayılı Bankalar Kanunu’nda da konunun ele alındığına değinen Engin, “Görev ve sorumluluklar gerektiği şekilde yerine getirilmiyor, yeterli özen gösterilmiyor” diye konuştu.
Mevzuatın yeterli olmadığı ama kişisel verilerin Anayasa teminatı altında olduğunu söyleyen Engin, özellikle verilerin kişilerin bilgi ve onayı olmadan kullanımına ilişkin mevzuatın bir an önce çıkarılması ve “özen” yükümlülüğünün yerine getirilmesini istedi. Engin, BDDK’nın denetim sonuçlarını kamuoyu ile paylaşmasını da istedi.
Tüketiciyi Koruma Derneği (TÜKODER) Yönetim Kurulu Üyesi Haşmet Atahan, konuşmasında tüketici derneklerinin güçlü ve etkili olabilmesi için kanunlarla derneklere belli kaynaklar aktarılması gerektiğine işaret etti. Kişisel verilerin korunması konusunun tamamen boşlukta kalmasının “kabul edilebilir” bir durum olmadığını söyleyen Atahan, bir an önce bir yasa ile boşluğun doldurulmasını istedi, yasa çalışmalarında tüketici STK’larının katkısının alınmadığını vurguladı. Atahan, özellikle ikincil mevzuat ve düzenlemeler yapılırken toplumsal hassasiyetlerin göz önüne alınmasının önemini vurguladı. Kişisel verilere yönelik hırsızlıkların sistematik bir şekilde belli organizasyonlarca yapılmasının korkutucu ve ürkütücü bulduğunu belirten Atahan, “Devletin asıl görevi bu tür örgütlenme ve organizasyonları ortaya çıkarması, önlemesi ve cezalandırmasıdır” dedi.
Banka kartları ile ilgili verilerin BKM’de toplanmasının ciddi bir sorun olduğunu söyleyen Atahan, özellikle DASK sigortası kapsamında toplanan verilerin hangi amaçlarla ve nerede kullanılacağına ilişkin bir düzenleme olmadığına dikkat çekti.
Tüketiciler Derneği (TÜDER) Yönetim Kurulu Üyesi Rüçhan Derici ise yaptığı kısa konuşmasında, özellikle “veri setinin ne olduğuna ilişkin algı”yı çok net bir şekilde ortaya konulması gerektiğinin altını çizdi. Bilginin kaynağının da çok önemli olduğunu söyleyen Derici, “Örneğin log kayıtlarını düzenleyen bir tane bile mevzuat dudunuz mu?” diye sordu.
Oturumda Bankacılık Düzenleme ve Denetleme Kurulu (BDDK) Bankacılık Uzmanı Barış İşler, bankacılık sektöründeki kişisel verilerin kullanımına ilişkin bilgi verirken kurumun sadece bankaların yanında yer almadığını, tüketicileri de koruduğunu söyledi. İşler, “BDDK, bankalar ve tüketiciler arasında bir uzlaşı sağlamaya çalışıyor. Sadece bankaların yanında olduğumuz algı ve izlenimi yanlış” dedi.
BDDK Mobil Ödemeler Mustafa Fatih Boyraz ve Ahmet Tunç Bilgin, BDDK’nın mobil ödemelere ilişkin uygulamaları ve güvenlik önlemlerini anlattılar.
ING Bank Bilgi Yönetimi Kıdemli Başkan Yardımcısı Tolga Durdu, olaya kutuplaştırıcı değil genel bakılması gerektiğini belirtip bankacı da olsalar kendilerinin de birer tüketici olduklarına dikkat çekti. Bankacılığın en çok regüle edilen sektörlerden bir olduğunu bildiren Durdu, bankaların bilgileri çok kolay paylaştıklarına ilişkin algının yanlış olduğunu belirtip sözlerini “Bankalar bir ülkenin dolaşım sistemi gibidir. Yanlış algıyı silip güveni geri kazanmalıyız. Biz müşterinin kişisel verisini kullanıp bankaya nasıl kar getiririm diye değil müşteriye nasıl bir değer katarım diye düşünmeliyiz” şeklinde tamamladı.
Avukat Emre Berk ise oturumda konuya ilişkin yasa olmasa da kişisel verilerin koruma altında olduğunu, ancak özel bir düzenleme olmadığı için Türkiye’nin uluslararası düzeyde “güvensiz bir ülke” olarak değerlendirildiğine işaret etti. Berk, kişisel verilerin toplanmasında en önemli kriterin “verilerin amaca uygun olarak toplanması ve verinin niye toplandığının bilinmesi” olduğunu vurguladı.
Kuveyt Türk Bilgi Teknolojileri Grup Müdürü Hadi Rubacı de bankaların kişisel verileri kullanımına ilişki örnekler verdi.

Kaynak : 