Günümüzün en can alıcı konularından birisi, hukukla-bilişimin kesişim noktasında yer alan “Kişisel Verilerin Korunması”. Firmalar kadar bireyler de yeni öğreniyorlar. Bu konuda çeşitli sorular var. Biz de bu soruları Köksal & Partners’dan Avukat Mehmet Ali Köksal’a sorduk.
turk-internet.com: Mehmet Bey sizinle Kişisel Verileri Koruma Kanunu’nun son uygulamalarını konuşmak istiyoruz. Özellikle şirketler tarafında galiba bazı gelişmeler var. İsterseniz önce turk-internet.com okuyucularına hatırlatalım! Kişisel Verileri Koruma Kanunu ne zaman çıktı?
Avukat Mehmet Ali Köksal : Kişisel Verilerin Korunması Kanunu 7 nisan 2016 tarihli Resmi Gazete’de yayımlandı. Yani bakıldığında 3,5 yıl oldu diyebiliriz.
turk-internet.com: Peki, uygulamalar ne zaman başladı?
Avukat Mehmet Ali Köksal : Kanun 3,5 yıl önce, bazı hükümleri de 6 ay sonra yani 3 yıl önce yürürlüğe girdi. Bugün geldiğimiz yerde Kanun 3 yıldır yürürlükte.
turk-internet.com: KV Kurulu biraz daha sonra kuruldu değil mi?
Avukat Mehmet Ali Köksal : Kişisel Verileri Koruma Kurulu’na atamalar bir miktar daha geç yapıldı. Ama asıl gündem olması 30 Eylül 2019 tarihinde VERBİS kayıt yükümlülüğünün sona ermesi ile oluştu. Şirketlerin eğer çalışan sayısı 50’den fazlaysa, ya da 2018’deki bilanço toplamında aktif ya da pasif büyüklüğü 25 milyon TL’nin üzerinde ise VERBİS’e kayıt yükümlülüğü zorunluluğu var.
turk-internet.com: VERBİS nedir? Kim ve niye buraya kayıt olunmak zorunda?
Avukat Mehmet Ali Köksal : VERBİS, Veri Sorumluları Sicil Bilgi Sistemi’dir. 6698 sayılı Kanun, büyük şirketlerin kayıt sorumluluğunu getiriyor. Kurul istisnaları belirledi. Yani zorunluluk Kanun’dan kaynaklanıyor, istisnaları ise Kurul belirliyor. Hem çalışan sayısı 50’nin altında olan hem de yıllık mali bilanço toplamı 25 milyon Türk Lirası’nın altında olan şirketlerin kayıt istisnası kapsamında olduğuna karar verildi. Bunun dışında mali müşavirler, avukatlar ve noterler gibi bazı meslek gruplarına da kayıt yükümlülüğü istisnası getirildi. Siyasi partiler, dernekler, vakıflar da aynı şekilde kayıt yükümlülüğünden istisna edildi.
turk-internet.com: Peki bu VERBİS’in ertelenmesi yine olur mu?
Avukat Mehmet Ali Köksal : Muhtemelen olmayacaktır. Kurul zaten etkili ve uzun bir erteleme yapmadı. 3 aylık kısa bir erteleme yaptı.
turk-internet.com: Neden erteledi?
Avukat Mehmet Ali Köksal : Ertelemeyi yapmasının temel nedeni, yaklaşık 400 bin şirketin kayıt yükümlülüğü olduğu halde çok az şirketin kayıt yükümlülüğü yerine getirmesi. Son anda bu kayıt yükümlülüğünün farkına varan şirketlerin üyesi oldukları odalar, sanayi kuruluşları yani Ticaret Odası ya da Sanayi Odası üzerinden Kurul’a ricada bulunmaları üzerine Kurul, TOBB ile yaptığı bir görüşme neticesinde bu erteleme kararını verdi.
Bundan sonra bir erteleme daha olur mu? Yüzde 99 olmaz. Yüzde 1 bir ihtimal olursa da 1 aylık bir erteleme olur; o da sistemlerin yine son güne bıraktığımızdan dolayı kilitlenmesi yüzünden olur diye tahmin ediyorum.
turk-internet.com: Bu 400 bin şirketin hala bir kısmı buraya kayıt olmazsa ne olur ?
Avukat Mehmet Ali Köksal : 2016’nın rakamlarıyla, 1 milyon TL’ye varan –bugünün rakamlarıyla herhalde 1 milyon 320 bin civarında olması gereken, katsayı oranında artmış bir para cezası yaptırımıyla karşı karşıya kalırlar.
turk-internet.com: Şirketlerin Kişisel Veriler Kanunu’na giren varlıkları nelerdir? Müşterileri mi?
Avukat Mehmet Ali Köksal : Aslında kişisel veri kavramı düşündüğümüzden biraz daha geniş. Biz çalışma yaptığımız yüzden fazla şirkette ilk karşılaştığımız tepki olarak, “bizim kişisel veriler ile ilgili hiçbir işimiz yok. Biz üretim yapıyoruz. Örneğin biz çivi üretiyoruz, gıda üretiyoruz; bizim kişisel veri ile işimiz yok” denildiğini sıklıkla gördük. Aslında öyle değil. Yüzlerce çalışanı var. O yüzlerce çalışanın kişisel verisi var.
Aynı şekilde tedarikçilerin kişisel verisi var. Birçok şirketin şu refleks ile hareket ettiğini görüyoruz: “biz şirketlere ait veri tutuyoruz, kişilere ait kayıt tutmuyoruz.”
Şirketlere ait kayıt tutarken, şirket evrakları arasında o şirketin yetkilisinin imza sirkülerini koyuyor musunuz? Evet koyuyoruz. Peki o zaman bu kişi gerçek kişi mi? Evet, gerçek kişi. Demek ki tedarikçi sayımız da fazla ya da en az onun kadar bir kişisel veri taşıyoruz. Yani aslında kişisel veri işlemediğimizi düşündüğümüz birçok yerde de kişisel veriyi farkında olmadan işliyoruz.
turk-internet.com: Peki, şirketler bu Kişisel Veriler Kanunu’na uyum göstermek için neler yapmak durumunda?
Avukat Mehmet Ali Köksal : İlk ve en zor aşama olarak; kişisel veri envanterinin çıkarılması gerekiyor. Kişisel veri envanteri, hangi veriyi işlediği, neyi işlediği, ne süre ile işlemesi gerektiği, şirket içerisinde kimlerin bu veriye eriştiği, şirket dışından kimlere –örneğin, grup şirketleri ya da iş yapılan tedarikçiler veya başka amaçlar ile kimlere aktarıldığı, kamu kurum ve kuruluşlarına hangi durumlarda aktarıldığı gibi kayıtları bir tabloda tutuyor olması gerekiyor.
Aynı tablo daha sonra verinin işlemesinin hukuki nedeninin ne olduğunu belirlemek için de hazırlanıyor. Örneğin ben müşterimin verisini niye işliyorum? Çalışanın verisini niye işliyorum? Bunların hepsini tek tek belirlemek ve sonrasında da bu verileri işlememi gerektiren sebep ortadan kalktıktan sonra, ne kadar süre daha saklamam gerektiği gibi, hukuki yorumları gerektiren bir veri envanteri yapmamız gerekiyor.
turk-internet.com: Sizin gibi Hukuk Büroları Verbis kaydı olması gereken firmalara nasıl yardımcı oluyor?
Avukat Mehmet Ali Köksal : Biz öncelikle her işin başı eğitim diyoruz. Şirketlerde önce bir eğitim veriyoruz. Sonrasında iş birimleriyle toplantılar yaparak, kişisel veri envanterini çıkartmak için bir çalışma yapıyoruz. Bu çalışmayı yaparken şirketin halihazırda kullandığı tüm sözleşmeleri, tüm formları alıp onlarla ilgili bir analiz yapıp onlardan yararlanarak, bir envanter taslağı oluşturuyoruz.
Çıkarttığımız envanter taslağını daha sonra birimler ile tekrar müzakere ederek, son şeklini veriyoruz. Bu envanter taslağından yararlanarak aydınlatma metinleri oluşturuyoruz. Bu metinler, genelde Şirketin internet sitesinde yayınlanıyor. Veri elde edilirken kişilere iletilmesi gereken, aydınlatma yükümlülüğünü yerine getirdikleri metinleri hazırlıyoruz.
Bazen verileri kişinin açık rızasını alarak işlememiz gerekiyor. Bu durumda açık rızanın nasıl alınacağına, hangi yöntem ile alınacağına ilişkin firmalara destek olup açık rıza metinlerini firmalarla birlikte çalışıyoruz.
Sonrasında ilgili politika ve prosedürleri hazırlıyoruz. Politika ve prosedürlerden yararlanarak diğer metinleri hazırlayıp bunların hepsine birim bazlı yükümlülükler dediğimiz bir başka metin de hazırlıyoruz.
Yani hangi birim şu anda ne yapmalı, bundan sonraki dönemde hangi periyotta nasıl bir çalışma yapmalı bunları bildiriyoruz ve bunların hepsini bir rapor olarak kendilerine sunuyoruz.
turk-internet.com: Bir de biliyorsunuz, bir müddet önce Gmail tartışması oldu. Buna nasıl bakıyorsunuz?
Avukat Mehmet Ali Köksal : Bu aslında tamamen kanundan kaynaklanan bir konu. Kişisel verilerin işlenme şartlarının kanunda 2 maddede düzenlendiğini görüyoruz. 5. maddede normal kişisel veriler, 6. maddesinde de özel nitelikli kişisel veriler yer almakta.
Sonra, verinin aktarılmasına ilişkin bir başka madde düzenlendi. Verilerin aktarılmasında da 5. madde ve 6. maddedeki koşulların arandığını görüyoruz. Yurt dışına veri aktarımına sıra geldiğinde ise verinin yurt dışına aktarımı sırasında ek bir koşul olarak Kurul’un izninin devreye girdiğini görüyoruz.
Orada şöyle bir rejim var: eğer kişisel veriyi yurt dışına aktaracaksanız, ya ilgili kişiden rıza alacaksınız ya da 5. madde veya 6. maddede yer alan koşullar gerçekleşmiş olacak ve bu koşulara ek olarak Kurul’dan izin alacaksınız.
Bunun için kullanılan ilk sistem, kişisel verilerin güvenli ülkelere aktarılması. Güvenli ülkeler Kurul tarafından ilan edilmesi gerekli bir liste.
Türkiye’de Kişisel Verileri Koruma Kurulu henüz bu anlamda el birliği yapıp bu listeyi açıklamadı. Listeyi açıklamadığı için dünyada kişisel verilerin en iyi korunduğu bölge Avrupa Birliği olduğu halde Avrupa Birliği’ne bile veri aktarırken güvenli ülke olarak kabul edemiyoruz. Bu yüzden Avrupa Birliği ülkelerine veri aktarırken ya ilgili kişinin rızasını almamız ya da Kurul’un iznini almamız gerekiyor.
Doğası gereği bazı durumlarda ilgili kişinin rızası ile ilerlemek mümkün olamıyor. Örneğin, elektronik posta servisi hizmetleri bunun başında geliyor. Elektronik posta servisi hizmetleri sadece çalışanınız ya da müşteriniz gibi taraf olduğunuz kişilerin değil, hiçbir zaman iletişime geçemeyeceğiniz kişilerin de kullanarak size ileti gönderebildiği, kişisel verilerin paylaşıldığı bir sistem, alt yapı olduğu için, bu durumda Kurul’dan izin alarak ilerlemek gerekiyor.
Bunun için bir taahhütname hazırlamak gerekiyor. Yani yurt dışındaki veriyi aktardığınız yer ile Türkiye’deki veri sunucusu arasında bir taahhütname imzalanarak, verilerin güvenli bir şekilde aktarımının sağlanması arzulanıyor.
Bu taahhütnameyi iki taraf imzaladıktan sonra Kurul’un önüne götürüp Kurul’dan izin alınabiliyor. Aslında işlemlerin böyle olması gerekirken, Kurul’un kararı sonrası sanki hiçbir şekilde yurt dışına veri aktarılamayacakmış gibi bir algı yaratıldı. Bu doğru değil.
Biraz önce söylediğim gibi Kanun kişisel verilerin yurt dışına aktarılmasında üç yol öngörmüş: Güvenli ülkeler listesi, o yok ise taahhütname hazırlanması veya ilgili kişilerin açık rızasının alınması. Elektronik posta gibi servislerde şu an için doğru yöntem taahhütname ile ilerlemek olacaktır.
turk-internet.com: Mehmet Ali Bey, son zamanlarda Kişisel Verileri Koruma Kurulu birkaç ceza verdi. Bunların arasında dikkatimizi çekenleri hemen söyleyelim: Birkaç bankaya ceza verildi, bir turizm firmasına verildi ve 2 kere Facebook’a verildi. Bunların detayı neydi?
Avukat Mehmet Ali Köksal : Bankalarda daha çok Risk Merkezi ile ilgili bir sorun ile karşılaşıldı. Risk Merkezi şu aslında: ticaret hayatının gereği olarak kurulan, şirketlerin ve şahısların kredi kurumlarından aldıkları krediyi geri ödeyebilmeleri yani ekonomik sürdürülebilirliğin sağlanabilmesi için kurulan bir merkez. Bunu Bankacılık Kanunu gereği bankalar kurmuş durumda ve 5’ten fazla bankanın bir araya gelerek işletebildiği, kurabildiği bir yapı.
Kredi Risk Merkezi’ne bütün finans kurumlarının raporlama yükümlülüğü var. Orada o raporlanan bilgilere bankalarda şubeler nezdinde yetkilendirilmiş personel tarafından erişilebiliyor.
Sistemdeki bir zafiyetten yararlanan banka çalışanları tarafından aslında Risk Merkezi’nden sorgulama yapılmaması gereken kişilerin ya da kurumların sorgulamalarının yapılıp piyasada satıldığı kamuoyuna yansıdı. Bunlar Kurul’un önüne geldiğinde, Kurul bununla ilgili cezayı verdi.
Turizm tarafında müşteri verisinin değişik yöntemler ile veri tabanına eklenmesi konusu gündeme geldi. Son ceza özellikle bu anlamda Local Area Network yani yerel ağdaki kullanıcı adı ve şifresinin ele geçirilmesi ile içeriden yapılan bir saldırı ile ilgilidir. Yetkilinin değiştirilmesi sistem zafiyetinden faydalanılmasına yönelik birden fazla saldırı tekniğini barındıran bir saldırı ile müşteri verisinin ele geçirilmesi ve daha sonra da bunun web’de yayınlanmasıyla ortaya çıktığını görüyoruz.
Facebook’un zaten mahremiyetin olmadığı, o yüzden de her uygulamasının ayrı ayrı cezalandırılması gereken bir mecra olduğunu düşünüyorum. Bilinçli bir internet kullanıcısı da sanırım bu görüşüme katılır. Facebook ile ilgili olarak en son yine dizaynındaki bir açıktan faydalanmak suretiyle bazı servislerinden doğum tarihi ve benzeri bilgilerin açığa çıkması, üçüncü kişilere ifşa olması gibi bir sorun tespit edildi ve bu yüzden de etkilenen kişi sayısı da dikkate alınarak, ciddi bir ceza verildi.
turk-internet.com: Peki şimdi şu noktaya geldik o zaman: şirketlerin nelere dikkat emesi lâzım?
Avukat Mehmet Ali Köksal :
Aslında GDPR yani bizdeki mevzuatın daha gelişmişi olan Avrupa Birliği’nde 2018’in Mayısında yürürlüğe giren Genel Veri Koruma Tüzüğü’nde bu konu çok güzel ifade edilmiş durumda: privacy by design, privacy by default. Yani bu iki ilkeye dikkat ettiğinizde ve mahremiyeti ön plana aldığınızda aslında ceza yeme riskiniz neredeyse kalmıyor, minimuma iniyor.
Ama tabii sistemler eskiden de vardı; bu ilkeler yeni önemli hale geldi. O yüzden de tasarımda bu gizlilik, mahremiyet ön planda olmadığı için birçok şeyin sıklıkla sil baştan yapılması gerektiğini anlıyoruz ama ben bir başka konuya şirketlerin önem vermesi gerektiğini de düşünüyorum.
Bunlardan birisi, bu iş böyle herhangi bir uyum gibi basit bir uyum değil yani bugün gittiniz Türkiye’deki en iyi danışmanlık firmasından bir danışmanlık aldınız ve muhteşem bir rapor hazırlattınız, ben hep söylüyorum: güzel bir rapor yapmış olabilirsiniz; o rapor hiçbir işe yaramaz. Önemli olan uygulanabilir bir rapor olmasıdır ve firmanın kurulunda uygulama iradesinin olmasıdır.
Yönetim tarafında sponsoru olan ve uygulanabilir bir çıktı üreten bir uyum projesi yürütülmesi ve bu projenin de daha sonra sürdürülebilir hale getirilmesi gerekiyor.
Çünkü bugün baktığımız yerde uyum projesini yaptınız, bitirdiğiniz anda bile başladığınız noktadan farklı bir noktaya geliyorsunuz. Ben bunu en iyi, ilk örneklerden biri olan bir sigorta şirketinde gördüm. Sigorta şirketi çok güzel uyum yapmış, aydınlatma metnini karşıma getirmişti müşteri. Aydınlatma metninde kontrol edip geçiyordum. Çok doğru olmamakla birlikte iyi güzel, ne güzel, önem vermişler diyorsun.
Sonra arkasından aynı tarihlerde otomatik katılımlı bireysel emeklilik sistemi yürürlüğe girdi. Otomatik katılımlı bireysel emeklilik sistemi için sigorta şirketi bir an önce müşteri verisi toplama iştahında olduğu için aynı tarihte bir birim sizin karşınıza aydınlatma getirip haklarınızı anlatırken, diğer birim o haklara aykırı bir şekilde sizden nereli olduğunuzu, kaç yaşında olduğunuzu, mesleğinizi, vesaire gibi ek bilgilerinizi alarak ürün ya da servis sunabilme telaşındaydı. Oysaki bu ikisi çelişen şeyler ve büyük bir ihtimal ile iki farklı proje birbirinden habersiz yürütüldüğü için böyle bir sorun ile karşılaşıldı.
Bu aslında güzel bir örnek çünkü birçok şirketin başına da gelebilme ihtimali yüksek bir örnek. Siz bir yanda uyum projesini yaparsınız, öbür taraftan haklı olarak birisi de şirketin gelirlerini arttırmak için güzel bir proje yapar ama uyum ekibine bununla ilgili haber verilmediği için şirketinize yapılan uyum projesi baştan ölü doğar. Bu yüzden de konu sürdürülebilir, tüm şirketi kapsayacak şekilde yönetilebilir bir proje olmasıdır.
turk-internet.com: Peki, teşekkürler! Başka sorumuz yok. Sizin eklemek istediğiniz bir şey var mı?
Avukat Mehmet Ali Köksal : Şirketlerin bu ekonomik kriz döneminde bütçeyi kısmak ile ilgili haklı kaygıları olduğunu tahmin ediyorum ama buradan kıstıkları bütçe, ister danışmanlık sonrasındaki bir ürün ya da geliştirme konusu ile ilgili olsun, isterse danışmanlık projesinin kendisiyle ilgili olsun, fazlasıyla ceza olarak geri gelebilir. O yüzden şirketler hangi hizmeti almaları gerektiğine baştan dikkat etsinler.
Şundan da kaçınsınlar: tabii ki haklılar, baştan ben ne gerekiyorsa bunu yapayım; hem ürün alayım hem danışmanlık alayım diye ürün tuzağına da düşmesinler. İkisini birlikte dengeli şekilde yapmak için önce kapsamlı bir danışmanlık alsınlar, o danışmanlığın belirli bir fazında ürün de gerekiyor ise ürün ile desteklesinler ve boşuna bir harcama da yapmasınlar. Gereksiz bir şeye de girmesinler. Teşekkür ederim! turk-internet.com: Teşekkürler!