Kişisel Verileri Koruma Kanunu çıkalı 3 yıl oldu. Özellikle şirketler tarafında bazı gelişmeler görülüyor. Çünkü belli büyüklükteki şirketlerin kayıt olması zorunluluğu var.r Bu konudaki son uygulamaları konunun uzmanlarından hukukçu Mehmet Ali Köksal ile konuştuk:
Kişisel Verileri Koruma Kanunu ne zaman çıktı?
Kişisel Verilerin Korunması Kanunu 7 nisan 2016 tarihli Resmi Gazete’de yayımlandı. Yani bakıldığında 3,5 yıl oldu diyebiliriz.
Peki, uygulamalar ne zaman başladı?
Aslında Kanun 3,5 yıl önce yürürlüğe girdi, bazı hükümleri de 6 ay sonra yani 3 yıl önce yürürlüğe girdi. Bugün geldiğimiz yerde aslında Kanun 3 yıldır yürürlükte ama şirketlerin…
Kişisel Veriler Koruma Kurulu (KVKK) biraz daha sonra kuruldu değil mi?
Kişisel Verileri Koruma Kurulu’na atamalar bir miktar daha geç yapıldı ama asıl gündem olması 30 eylül 2019 tarihinde VERBİS kayıt yükümlülüğünün sona ermesi ile oluştu. Birçok şirket eğer çalışan sayısı 50’den fazlaysa, ya da 2018’deki bilanço toplamında aktif ya da pasif büyüklüğü 25 milyon TL’nin üzerinde ise VERBİS’e kayıt yükümlülüğü zorunluluğu…
VERBİS nedir?
Veri Sorumluları Sicil Sistemi’dir.
Niye buraya kayıtlı olunmak zorunda?
6698 sayılı Kanun, büyük şirketlerin kayıt sorumluluğunu getiriyor. Kurul istisnaları belirledi. Aslında zorunluluk Kanun gereği geliyor, istisnaları Kurul belirliyor: Hem çalışan sayısı 50’nin altında olan hem de bilanço toplamı 25 milyon’un altında olan şirketlerin kayıt istisnası kapsamında olduğuna karar verdi. Bunun dışında mali müşavirler, avukatlar, noterler gibi bazı meslek gruplarında kayıt yükümlülüğü istisnası getirildi. Siyasi partiler, dernekler, vakıflar aynı şekilde kayıt yükümlülüğünden istisna edildi.
Peki bu VERBİS’in ertelenmesi yine olur mu?
Muhtemelen olmayacaktır. Kurul zaten etkili ve uzun bir erteleme yapmadı. 3 aylık kısa bir erteleme yaptı.
Neden ertelendi?
Ertelemeyi yapmasının temel nedeni, 400 bin şirketin kayıt yükümlülüğü olduğu halde çok az şirketin kayıt yükümlülüğü yerine getirmesi ve bu nedenle de son anda bu kayıt yükümlülüğünün farkına varan şirketlerin üyesi oldukları odalar, sanayi kuruluşları üzerine, Ticaret Odası ya da Sanayi Odası üzerinden yani TOBB üzerinden Kurul’a ricada bulunmaları üzerine Kurul, TOBB ile yapığı bir görüşme neticesinde bu erteleme kararını verdi. Bundan sonra bir erteleme daha olur mu? Yüzde 99 olmaz. Yüzde 1 bir ihtimal olursa da 1 aylık bir erteleme olur; o da sistemlerin yine son güne bıraktığımızdan dolayı kilitlenmesi yüzünden olur diye tahmin ediyorum.
Peki buraya kayıtlı olmazsa ne olur bu 400 bin şirket ya da belli bir kısmı?
2016’nın rakamlarıyla, 1 milyon TL’ye varan –bugünün rakamlarıyla herhalde 1 milyon 320 bin civarında olması gereken, katsayı oranında artmış bir para cezası yaptırımıyla karşı karşıya kalırlar.
Mehmet Bey, şirketlerin Kişisel Veriler Kanunu’na giren varlıkları nelerdir? Sadece müşterileri mi?
Aslında kişisel veri düşündüğümüzden biraz daha geniş. Biz çalışma yaptığımız yüzden fazla şirkette ilk karşılaştığımız tepki, “ ya bizim kişisel veriler ile ilgili hiçbir işimiz yok. Biz üretim yapıyoruz örneğin biz çivi üretiyoruz, gıda üretiyoruz; bizi kişisel veri ile işimiz yok” denildiğini sıklıkla gördük. Aslında öyle değil. Yüzlerce çalışanı var. O yüzlerce çalışanın verisi var.
Kişisel verisi mi?
Aynı şekilde kişisel verisi var. Tedarikçilerin kişisel verisi var. Birçok şirketin şu refleks ile hareket ettiğini görüyoruz: “biz şirketlere ait veri tutuyoruz, kişilere ait kayıt tutmuyoruz.” Şirketlere ait kayıt tutarken, şirket evrakları arasında o şirketin yetkilisinin imza sirkülerini koyuyor musunuz? Evet koyuyoruz. Peki o zaman bu kişi gerçek kişi mi? Evet, gerçek kişi. Demek ki tedarikçi sayımız da fazla ya da en az onun kadar bir kişisel veri taşıyoruz. Yani aslında kişisel veri işlemediğimizi düşündüğümüz birçok yerde de kişisel veriyi farkında olmadan işliyoruz.
Peki, şirketler bu Kişisel Veriler Kanunu’na uyum göstermek için neler yapmak durumunda?
Aslında ilk ve en zor aşama, envanterini çıkarmak; kişisel veri envanterini çıkarması gerekiyor. Kişisel veri envanteri, hangi veriyi işlediği, neyi işlediği, ne süre ile işlemesi gerektiği, şirket içerisinde kimlerin bu veriye eriştiği, şirket dışından kimlere –örneğin, grup şirketleri ya da iş yapılan tedarikçiler veya başka amaçlar ile kimlere aktarıldığı, kamu kurum ve kuruluşlarına hangi durumlarda aktarıldığı gibi kayıtları bir tabloda tutuyor olması gerekiyor. Aynı tablo daha sonra verinin işlemesinin hukuki nedeninin ne olduğunu belirlemek için de hazırlanıyor. Örneğin ben müşterimin datasını niye işliyorum? Çalışanın datasını niye işliyorum? Bunların hepsini tek tek belirlemek ve sonrasında da bu verileri işlememi gerektiren sebep ortadan kalktıktan sonra ne kadar süre daha saklamam gerektiği gibi, hukuki yorumlarıyla gerektiği bir veri envanteri yapmamız gerekiyor.
Sizler bu durumda nasıl yardımcı oluyorsunuz firmalara?
Biz öncelikle her işin başı eğitim diyoruz ve şirketlerde ilk önce bir eğitim veriyoruz ve sonrasında iş birimleriyle toplantılar yaparak, kişisel veri envanterini çıkartmak için bir çalışma yapıyoruz. Bu çalışmayı yaparken şirketin halihazırda kullandığı tüm sözleşmeler, tüm formları alıp onlarla ilgili bir analiz yapıp onlardan yararlanarak, bir envanter taslağı oluşturuyoruz.
Çıkarttığımız envanter taslağını daha sonra birimler ile tekrar müzakere ederek, son şeklini veriyoruz. Bu envanter taslağından yararlanarak aydınlatma metinleri oluşturuyoruz. Yani şirketin genelde veri sitesinde yayınlanıyor ama aslında veri elde edilirken kişilere iletilmesi gerekirken aydınlatma yükümlülüğünü yerine getirdikleri metinleri hazırlıyoruz.
Bazen verileri kişinin açık rızasını alarak işlememiz gerekiyor. Bu durumda açık rızanın nasıl alınacağı, hangi yöntem ile alınacağına ilişkin firmalara destek olup açık rıza metinlerini birlikte çalışıyoruz. Sonrasında ilgili politika ve prosedürleri hazırlıyoruz. Politika ve prosedürlerden yararlanarak diğer metinleri hazırlayıp bunların hepsine birim bazlı yükümlülükler dediğimiz bir başka metin de hazırlıyoruz. Yani hangi birim şu anda ne yapmalı, bundan sonraki dönemde hangi periyotta nasıl bir çalışma yapması gerektiğini bildiriyoruz ve bunların hepsini bir rapor olarak kendilerine sunuyoruz.
Biliyorsunuz, bir müddet önce Gmail tartışması oldu. Buna nasıl bakıyorsunuz?
Bu aslında tamamen kanundan kaynaklanan bir konu. Kişisel verilerin işlenmesinin kanunda 2 maddede düzenlendiğini görüyoruz. 5.maddede normal kişisel Veriler, 6.maddesinde de özel nitelikli kişisel veriler. Sonra, verinin aktarılmasına ilişkin bir başka madde düzenlendi. Verilerin aktarılmasında da 5.madde ve 6.maddedeki koşulların arandığını görüyoruz. Yurt dışına verİ aktarımına sıra geldiğinde ise verinin yurt dışına aktarımı sırasında ek bir koşul olarak Kurul’un izninin devreye girdiğini görüyoruz.
Orada şöyle bir rejim var: eğer kişisel veriyi yurt dışına aktaracaksanız, ya ilgili kişiden rıza alacaksınız ya da 5.madde ya da 6.maddeye göre koşullar gerçekleşmiş olacak ve bu koşulara ek olarak Kurul’dan izin alacaksınız. Bunun için kullanılan ilk sistem, kişisel verilerin güvenli ülkelere aktarılması. Güvenli ülkeler Kurul tarafından baştan ilân edilen bir liste.
Türkiye’de Kişisel Verilerin Korunması Kurulu henüz bu anlamda el birliği yapıp bu listeyi açıklamadı. Listeyi açıklamadığı için kişisel verinin en iyi korunduğu dünyadaki bilinen coğrafya Avrupa Birliği olduğu halde Avrupa Birliği’ne bile veri aktarırken güveni ülke olarak kabul edemiyoruz. Bu yüzden Avrupa Birliği ülkelerine veri aktarırken ya ilgili kişinin rızasını almamız ya da Kurul’un iznini almamız gerekiyor. Bu da doğası gereği bazı durumlarda ilgili kişinin rızası ile ilerlemek mümkün olamıyor.
Örneğin, elektronik posta servisleri bunun başında geliyor. Elektronik posta sadece çalışan ya da müşteriniz gibi taraf olduğunuz kişiler değil, hiçbir zaman iletişime geçemeyeceğiniz kişilerin de size gönderebildiği kişisel verileri paylaştığı bir sistem olduğu için, alt yapı olduğu için, bu durumda Kurul’dan izin alarak ilerlemek gerekiyor ve bunun için bir taahhütname hazırlamak gerekiyor.
Yani yurt dışındaki veriyi aktardığınız yer ile Türkiye’deki veri sunucusu arasında bir taahhütname imzalanarak, verilerin güvenli bir şekilde aktarımının sağlanması arzulanıyor. Bu taahhütnameyi iki taraf imzaladıktan sonra Kurul’un önüne götürüp Kurul’dan izin alınabiliyor. Aslında işlemler böyle olması gerekirken, Kurul’un kararı sonrası sanki hiçbir şekilde yurt dışına veri aktarılamayacakmış gibi bir algı yaratıldı. Bu doğru değil. Biraz önce söylediğim sistem İle asıl olması gereken kişisel verilerin yurt dışına aktarılması sırasında Kanun’un öngördüğü koşulların yani güvenli ülkeler listesinin, o yok ise taahhütnamenin hazırlanması ya da kişin imzası ile ilerlemek buradaki sistem elektronik posta gibi servislerde taahhütname ile ilerlemek şu an için doğru yöntem olacaktır.
Son zamanlarda bu Kişisel Verileri Koruma Kurulu birkaç ceza verdi. Bunların arasında dikkatimizi çekenleri hemen söyleyelim: birkaç bankaya ceza verildi, bir turizm firmasına verildi ve Facebook’ verildi, 2 kere. Bunların detayı neydi?
Bankalarda daha çok risk merkezi ile bir sorun ile karşılaşıldı.
Biraz açalım mı?
Risk Merkezi şu aslında: ticaret hayatının gereği olarak kurulan, şirketlerin ve şahısların kredi kurumlarından aldıkları krediyi geri ödeyebilmeleri yani ekonomik sürdürülebilirliğin sağlanabilmesi için kurulan bir merkez. Bunu Bankacılık Kanunu gereği bankalar kurmuş durumda ve 5’ten fazla bankanın bir araya gelerek işletebildiği, kurabildiği bir yapı.
Şimdi Kredi Risk Merkezi’ne bütün finans kurumlarının raporlama yükümlülüğü var. Orada o raporlanan bilgilere bankalarda şubeler nezdinde yetkilendirilmiş personel tarafından erişilebiliyor. Sistemdeki bir zafiyetten kaynaklanan banka çalışanları tarafından aslında Risk Merkezi’nden sorgulama yapılmaması gereken kişilerin ya da kurumların sorgulamalarının yapılıp piyasada satıldığı değişik bankalarda normal olarak yansıdı ve bunlar Kurul’un önüne geldiğinde, Kurul bununla ilgili cezayı verdi.
Turizm tarafında müşteri datasının değişik yöntemler ile eklenmesi konusu gündeme geldi. Yani son ceza özellikle bu anlamda Local Area Network yani yerel ağdaki kullanıcı adı ve şifrenin ele geçirilmesi ile içeriden yapılan bir saldırı ve işte yetkilinin değiştirilmesi sistem zafiyetinden faydalanılmasına yönelik birden fazla saldırı tekniğini barındıran bir saldırı ile müşteri datasının ele geçirilmesi ve daha sonra da bunun web’de yayınlanmasıyla ortaya çıktığını görüyoruz.
Facebook zaten bilinen mahremiyetin olmadığı, o yüzden de her uygulamasının ayrı ayrı cezalandırılması gereken bir mecra olduğunu düşünüyorum. Çok bilinçli internet kullanıcısı da sanırım bu görüşü paylaşır. Facebook ile ilgili olarak en son yine dizaynındaki bir açıktan faydalanmak suretiyle bazı servislerinden doğum tarihi ve benzeri bilgilerin açığa çıkması, üçüncü kişilere ifşa olması gibi bir sorun tespit edildi ve bu yüzden de etkilenen kişi sayısı da dikkate alınarak, ciddi bir ceza verildi XXXa yakın bir cezanın verildiğini görüyoruz.
Peki şimdi şu noktaya geldik o zaman: şirketlerin nelere dikkat emesi lâzım?
Yani, aslında GDPR yani bizdeki mevzuatın daha gelişmişi olan Avrupa Birliği’nde bizim kanunlar benzer tarihli kabul edilip 2 yıl sonra yani 2018’in mayısında yürürlüğe giren Genel Veri Koruma Tüzüğü’nde bu konu çok güzel ifade edilmiş durumda: privacy by design, privacy by default. Yani bu iki ilkeye dikkat ettiğinizde, siz mahremiyeti ön plana aldığınızda aslında ceza yeme riskiniz neredeyse kalmıyor, minimuma iniyor ama tabii sistemler eskiden vardı; bu ilkeler yeni önemli hale geldi.
O yüzden de tasarımda bu gizlilik, mahremiyet ön planda olmadığı için sıklıkla sil baştan yapılması gerektiğini birçok şeyin anlıyoruz ama ben bir başka konuya şirketlerin önem vermesi gerektiğini de düşünüyorum.
Bunlardan birisi, bu iş böyle herhangi bir uyum gibi basit bir uyum değil yani bugün gidin Türkiye’deki en iyi danışmanlık firmasından bir danışmanlık aldınız ve muhteşem bir rapor hazırladınız, ben hep söylüyorum: güzel bir rapor yapmış olabilirsiniz; o rapor hiçbir işe yaramaz. Önemli olan uygulanabilir bir rapor olmasıdır ve firmanın kurulunda uygulama iradesinin olmasıdır.
Yönetim tarafında sponsoru olan ve uygulanabilir bir çıktı üreten bir uyum projesi yürütmeleri ve bu projenin de daha sonra sürdürülebilir hale getirilmesi gerekiyor. Çünkü bugün baktığımız yerde uyum projesini yaptınız, bitirdiğiniz anda bile başladığınız noktadan farklı bir noktaya geliyorsunuz. Ben bunu en iyi, ilk örneklerden biri olan bir sigorta şirketinde gördüm. Sigorta şirketi çok güzel uyum yapmış, aydınlatma metnini karşıma getirmişti müşteri. Aydınlatma metninde onay veripgeçiyordum. Çok doğru olmamakla birlikte iyi güzel, ne güzel, önem vermişler diyorsun.
Sonra arkasından aynı tarihlerde otomatik katılımlı bireysel emeklilik sistemi yürürlüğe girmişti. Otomatik katılımlı bireysel emeklilik sistemi için sigorta şirketi biran önce müşteri datası toplama iştahında olduğu için aynı tarihte bir birim sizin karşınıza aydınlatma getirip haklarınızı anlatırken, diğer birim o haklara aykırı bir şekilde sizden nereli olduğunuzu, kaç yaşında olduğunuzu, mesleğinizi, vesaire gibi ek bilgilerinizi alarak ürün ya da servis sunabilme telaşındaydı.
Oysaki bu ikisi çelişen şeyler ve büyük bir ihtimal ile iki farklı proje birbirinden habersiz yürütüldüğü için böyle bir sorun ile karşılaşıldı. Bu aslında güzel bir örnek çünkü birçok şirketin başına da gelebilme ihtimali yüksek bir örnek. Siz bir yanda uyum projesini yaparsınız, öbür taraftan haklı olarak birisi de şirketin gelirlerini arttırmak için güzel bir proje yapar ama uyum ekibine bununla ilgili haber vermediği için sizin uyum projesi baştan ölü doğar. Bu yüzden de konu sürdürülebilir, tüm şirketi kapsayacak şekilde yönetilebilir bir proje olmasıdır.
Peki, teşekkürler! Başka sorumuz yok. Sizin eklemek istediğiniz bir şey var mı?
Şirketlerin bu ekonomik kriz döneminde mutlaka bütçeyi kısmak ile ilgili bir haklı kaygıları olduğunu tahmin ediyorum ama buradan kıstıkları bütçe ister danışmanlık sonrasındaki bir ürün ya da geliştirme konusu ile ilgili olsun, ister danışmanlık projesinin kendisiyle ilgili olsun, fazlasıyla ceza olarak geri gelebilir. O yüzden ne almaları gerektiğine baştan dikkat etsinler. Şundan da kaçınsınlar: tabii ki haklılar, baştan ben ne gerekiyorsa bunu yapayım; hem ürün alayım hem danışmanlık alayım diye ürün tuzağına da düşmesinler. İkisini birlikte dengeli şekilde yapmak için önce iyi bir danışanlık alsınlar, o danışmanlığın belirli bir fazında ürün de gerekiyor ise ürün ile desteklesinler ve boşuna bir harcama da yapmasınlar. Gereksiz bir şeye de girmesinler. Teşekkür ederim!