Kişisel veri, dünya genelinde özellikle son yıllarda sıkça gündeme gelen önemli kavramlardan biri. Kişisel verilerin önemi ve değeri kadar konuşulan bir konu daha var; o da veri ihlalleri. Küçük ve orta ölçekli şirketler gibi çok uluslu büyük şirketlerin de zaman zaman veri ihlalleriyle gündeme gelmesi, konunun etraflıca masaya yatırılmasını gerekli hale getirmekte. Bu nedenle 6698 sayılı Kişisel Verilerin Korunması Kanunu ile kurulan ve Türkiye’deki yetkili veri koruma otoritesi olan Kişisel Verileri Koruma Kurumu’nun Başkanı Prof. Dr. Faruk BİLİR ile bir röportaj gerçekleştirerek akıllarda kalan sorulara yanıt bulmaya çalıştık…
Kanuna göre kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi kişisel veri olarak adlandırılmakta. İlk akla gelen örnekler olarak ad-soyad, T.C. kimlik numarası, araç plakası, sağlık bilgileri, finansal bilgileri sayabiliriz. Tabii bununla da sınırlı değil. Çok geniş bir alanı kapsıyor. Dijitalleşme ile birlikte veri işleme faaliyetleri akıl almaz boyutlara ulaştı. Sizin bu konudaki düşünceleriniz nelerdir?
Kişisel veri; kişiye ait olan, kişiyi işaret eden her türlü bilgidir. Dijitalleşmeden önce kişisel veriler büyük oranda gerçek ortamda kağıt üzerinde tutuluyordu. Teknolojinin gelişmesiyle birlikte bu durum değişti ve bugün kişisel veriler önemli ölçüde dijital ortamlarda işleniyor. Bunun sonucunda dijital bir dünya meydana geldi. Hatta bu dijital dünya, çok büyük veri kütlelerinin bir araya gelmesi ve birtakım veri işleme tekniklerinin de etkileri sonucunda dijital bir evrene dönüştü diyebiliriz. Bizler de bireyler olarak her gün dijital ortamlarda vakit geçirerek, veri üreterek dijital evrenin genişlemesine katkıda bulunuyoruz.
Söylediklerinizi özetlersek; dijital dünya, artık dijital evrene dönüştü diyorsunuz. Bu da kişisel verileri işleyen gerçek ve tüzel kişilerin yani Kanundaki ifadeyle veri sorumlularının, kişisel verilerin korunmasıyla ilgili yükümlülüklerinin önemini artırıyor. Söz konusu yükümlülüklerden bahsedebilir misiniz?
Veri sorumlusu; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır. Bu kapsamda veri sorumlusu kendi kurum veya kuruluşunda, Kişisel Verilerin Korunması Kanunu hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak durumundadır.
Öte yandan bir veri ihlali meydana geldiyse, bu durumu en kısa sürede ilgilisine ve Kişisel Verileri Koruma Kuruluna ‘Kişisel Veri İhlali Bildirimi’ yapmak suretiyle açıklamalıdır.
Peki ‘Kişisel Veri İhlali Bildirimi’ nedir? Bildirim kim tarafından, nasıl yapılmalıdır?
Kişisel veri ihlali bildirimi; veri sorumlusu veya yetkilendirdiği kişilerce işlenen kişisel verilerin, kanuni olmayan yollarla başkaları tarafından elde edilmesi durumunda, veri sorumlusu tarafından Kişisel Verileri Koruma Kuruluna ve ihlalden etkilenen ilgili kişilere yapmak zorunda olduğu bildirimdir. İhlale konu olan veri sorumlusu yurt dışında yerleşik ise bu ihlalin sonuçlarının Türkiye’de yerleşik kişileri etkilemesi ve kişisel verisi işlenen ilgili kişilerin sunulan ürün ve hizmetlerden Türkiye’de faydalanmaları durumunda yine Kurula ve ihlalden etkilenen kişilere bildirim yapılması gerekir.
Bildirim, Kurum internet sitesinde bulunan ‘’Veri İhlali Bildirim Formu’’nun doldurularak Kurula iletilmesi ve ayrıca ihlalden etkilenen kişilere gerekli bilgilendirmenin yapılması şeklinde gerçekleştirilir.
‘‘VERİ İŞLEYEN, KİŞİSEL VERİLERİN GÜVENLİĞİNE İLİŞKİN VERİ SORUMLUSU İLE MÜŞTEREK SORUMLULUĞA SAHİP’’
Veri ihlali bildirimi, veri sorumlusu tarafından yapılır dediniz. Diyelim ki; veri ihlali, veri sorumlusu şirket veya kuruluşun yetkilendirmiş olduğu, onun adına veri işleme faaliyetinde bulunan veri işleyen statüsündeki başka bir şirket nezdinde gerçekleşti. Bu durumda nasıl bir yol izlenmeli?
Kişisel verilerin güvenliğine ilişkin yükümlülüklerde veri işleyen, veri sorumlusu ile müşterek sorumluluğa sahiptir. Buradan hareketle, ihlalin veri işleyen nezdinde gerçekleşmesi halinde veri işleyenin hiç gecikmeden veri sorumlusu olan şirket veya kuruluşa bildirimde bulunması gerekir. Kanun kapsamında Kurula yapılacak olan bildirimi ise veri sorumlusu konumundaki gerçek kişi, şirket veya kuruluş yapmalıdır.
Gerçek kişi de veri sorumlusu olabilir mi?
Elbette. Veri sorumlusu, kişisel verilerin işleme amaçlarını ve araçlarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. Ancak şunu da ekleyeyim; tüzel kişilerde veri sorumlusu; tüzel kişinin bizzat kendisidir, bünyesindeki bir gerçek kişi değildir.
Veri sorumlusu statüsündeki bir gerçek kişi, bir şirket veya kuruluş veri ihlal bildirimi yaparken hangi hususlara dikkat etmelidir?
Kanuna ve ilgili Kurul Kararına göre veri ihlali öğrenildiğinde gecikmeksizin ve en geç 72 saat içerisinde Kurula bildirim yapılmalıdır.
Eğer haklı bir gerekçeden ötürü 72 saat içerisinde bildirim yapılamamış ise yapılacak bildirimle birlikte gecikmenin nedenleri de Kurula açıklanmalıdır. Zaten bildirim formunda buna ilişkin bir bölüm yer almaktadır.
Diğer yandan bildirim formunda yer verilen hususlar net bir şekilde belirtilmeli ve ortaya konulmalıdır. Formda istenen bilgilerin tamamını aynı anda sağlamak mümkün değil ise bu bilgilerin gecikmeye mahal vermeden aşamalı olarak sağlanması mümkündür. Bir de bu tür durumlara ilişkin bir ‘‘veri müdahale planı’’ hazırlanarak belli aralıklara gözden geçirilmeli, gerekmesi halinde güncellenmelidir. Tabii bu esnada ihlalden etkilenen kişiler de makul olan en kısa süre içerisinde uygun yöntemlerle bilgilendirilmelidir.
Belli esaslara göre Kurula bildirim yapılıyor. Çizdiğiniz çerçeveye göre ihlalden etkilenen kişilere nasıl bir bildirim yapılmalı? Bu kişilerle hangi bilgiler paylaşılmalı?
Her şeyden önce ihlalden etkilenen kişilerin anlayabileceği, açık ve sade bir dille bilgi verilmeli ve asgari olarak; ihlalin ne zaman gerçekleştiği, kişisel veri/özel nitelikli kişisel veri şeklinde kategorize edilerek hangi verilerin ihlalden etkilendiği, ihlalin olası sonuçları, olumsuz etkilerin azaltılması için alınan ve ilgili kişilerce alınması önerilen tedbirler konusunda bilgiler verilmelidir.
Buna ek olarak ihlalden etkilenen kişilerin bilgi almalarını sağlayacak iletişim kanalları da yine kişilerin dikkatine sunulmalıdır. İhlalden etkilenen kişileri bilgilendirme zorunluluğundaki temel amaç; ihlal nedeniyle bu kişiler hakkında ortaya çıkabilecek olumsuz sonuçların ivedilikle önüne geçilmesi veya en aza indirgenmesidir.
Zaman zaman veri ihlal bildirimlerinin Kurum internet adresinde yayınlandığını görüyoruz. Bildirimde bulunulan her ihlal yayınlanıyor mu, yayınlanmıyorsa hangi ölçütler baz alınarak yayınlanmıyor, bunu öğrenebilir miyiz?
Kurul, belli kriterler dahilindeki ihlal bildirimlerini Kurum internet adresi üzerinden veya uygun gördüğü yöntemle ilan etmektedir. Dolayısıyla her gelen bildirim yayınlanmamaktadır.
Veri ihlali bildirimleri; etkilenen kişi sayısı, ihlalden etkilenen kişisel veriler, etkilenen kişi gruplarının kimler olduğu, kişisel verisi işlenen ilgili kişilere bildirim yapılıp yapılmadığı, veri güvenliğine ilişkin yükümlülüklerin yerine getirilip getirilmediği ve ihlalin boyutu çerçevesinde ihlalin büyüklüğü ve meydana gelebilecek zararlar gibi kriterler kapsamında değerlendirmeye tâbi tutularak yayınlanmakta veya yayınlanmamaktadır.
Veri ihlal bildirimi konusundaki istatistikleri paylaşabilir misiniz? Bugüne kadar kaç tane bildirim yapıldı, bunlardan kaç tanesi bahsettiğiniz değerlendirmelerin ardından yayınlandı? Veri güvenliğine ilişkin yükümlülüklerin yerine getirilmemesi durumunda Kanundaki yaptırım ne şekildedir? İhlal bildirimlerinin haricindeki rakamlar nelerdir? Bugüne kadar uygulanan ceza miktarı nedir?
Kanunun 12. maddesinde öngörülen veri güvenliğine ilişkin yükümlülüklerin yerine getirilmemesi durumunda 15.000 Türk Lirasından 1.000.000 Türk Lirasına kadar idari yaptırım uygulanmaktadır.
Temmuz ayı itibariyle Kurula şu ana kadar 270 veri ihlal bildirimi intikal etmiş olup, bunlardan 52 tanesi Kurum internet sayfasında yayınlanarak ilan edilmiştir.
Bununla birlikte bugüne kadar 4719 ihbar ve şikayet başvurusu alındı. Bunlardan 3690 tanesi sonuçlandırıldı. Kurulun görev ve yetki alanına giren 378 konuda ise hukuki görüş verildi.
Yapılan işlemlerin ardından bugüne kadar toplamda 29 milyon 47 bin 828 Türk Lirası idari yaptırım uygulandı.
‘‘HER VERİ İHLALİ, VERİ SORUMLUSU TARAFINDAN GEREKLİ ÖNLEMLERİN ALINMADIĞI ANLAMINA GELMEZ’’
Veri sorumlusu gerekli bütün önlemleri almasına rağmen yine de bir veri ihlali ile karşılaştığı takdirde Kurulun bu duruma bakış açısı nedir?
Teknoloji, insanlığın yararına kullanıldığı gibi kötü niyetli kişi veya gruplar tarafından farklı amaçlarla da kullanılabilmektedir. Teknolojinin gelişmesiyle doğru orantılı olarak siber saldırılar da karmaşık bir yapıya bürünmektedir. Bu duruma bağlı olarak şunun altını çizmek isterim ki; her veri ihlali, veri sorumlusu tarafından gerekli tedbirlerin alınmadığı anlamına gelmez. Böyle bir tabloyla karşılaşıldığında Kurul; veri sorumlusu proaktif bir yaklaşım sergilemiş mi, Kurum tarafından yayınlanan Kişisel Veri Güvenliği Rehberi’nde belirlenen tedbirleri uygulamış mı, özel nitelikli kişisel veri işlemiş ise bunlar için ek tedbirler uygulamış mı, kişisel verilerin gizliliği ve bütünlüğü için gerekli aksiyonları almış mı, bunları göz önünde bulundurur. Kişisel Verileri Koruma Kurulu her ihlal bildirimini kendi özel şartları içerisinde ele almaktadır.
‘‘KAPATTIĞINIZ KÖŞEDEN GOL YEMEYİN’’
Alınan önlemlerin dışında önümüzde duran bir gerçek daha var. O da çalışan hatası. Evet, dış tehdit ve risklere karşı son derece güçlü bir siber güvenlik hattı kurulabilir. Fakat veri güvenliğine yönelik iç tehditler her zaman şirketler için ciddiye alınması gereken bir zaaf olmuştur. Özetlersek; çalışan hatası veya kötüye kullanım her zaman için potansiyel bir tehdit. Peki buna karşı neler yapılabilir, ne tür önlemler alınabilir?
Son derece önemli bir noktaya değindiniz. Klişe bir ifade olacak ama bir zincirin gücü, en zayıf halkası kadardır. Diğer halkalar ne kadar güçlü olursa olsun, asıl belirleyici olan zayıf halkadır. Veri güvenliğine dair güncel bir sistem kurmak güzel bir gelişmedir fakat tek başına yeterli değildir. Eğer siz çalışanlarınızı yeterince eğitmediyseniz, belli periyotlarla konunun önemine dikkat çekmiyorsanız aldığınız teknik tedbirler bir noktadan sonra yetersiz kalacaktır. Teknik ve idari tedbirler bir bütündür. Bunları kısmi uygularsanız, kısmi güvenlik sağlarsınız. Bu bakımdan teknik tedbirlerle birlikte idari tedbirlere de önem verilmeli. Örneğin çalışanların eğitilmesi ve farkındalık çalışmaları kapsamında bilgi ve bilinç düzeyinin yüksek ve güncel tutulması… Bilinmelidir ki; güvenlik, farkındalıkla mümkündür. Neden farkındalıkla mümkündür, bir örnek vereyim. Küresel ölçekte kişisel verilerin güvenliği için en çok e-posta güvenliği, oltalama saldırıları gibi konularda hatırlatmalar, uyarılar yapılıyor ve hatta eğitimlere konu oluyor. İlginç olan ise çalışanların istemeden de olsa veri ihlallerine karışmasının ana nedenlerinden biri; yine e-posta üzerinden yapılan saldırılar ve e-posta güvenliğinin yeterince sağlanamaması.
İşte bu durum, farkındalık eksikliğinden kaynaklanıyor. Bu sorunu çözmenin en iyi yolunun, farkındalık çalışmalarının verilen eğitimlerin bir parçası haline getirmek olduğunu düşünüyorum. Dolayısıyla çalışanların dikkatsizlik, dalgınlık veya tecrübesizlik gibi etkenlere bağlı olarak meydana gelebilecek veri ihlallerine karşı farkındalık eğitimleri alarak bilinçlendirilmeleri gerektiğine inanıyorum. Futbol tabiri ile ifade etmem gerekirse veri sorumlularına şu tavsiyede bulunmak isterim; farkındalığa önem verin, kapattığınız köşeden gol yemeyin…
Kötüye kullanım riskine karşı ise idari tedbirler kapsamında hukuka uygun şekilde gizlilik sözleşmeleri imzalanabilir.
‘‘KİŞİSEL VERİ GÜVENLİĞİNİN ANA BİLEŞENLERİNDEN BİRİSİ SİBER GÜVENLİKTİR’’
Kişisel verilerin dijital ortamlarda da korunabilmesi açısından siber güvenliğin önemi hakkında neler söylemek istersiniz?
Kamuda ve özel sektörde hızla devam eden dijitalleşme sürecine baktığımızda, dijital ortamlardaki veri işleme faaliyetlerinin gerçek ortama kıyasla çok daha yoğun olduğunu net bir şekilde söyleyebiliriz. Bu çerçevede dijital ortamların taşıdığı niteliklere göre bir ön çalışma yapılıp, bu çalışma kapsamında önlemlerin alınması gerekir.
Kişisel veri güvenliğinin ana bileşenlerden biri siber güvenliktir. Siber güvenlik, dijital teknolojilerin yaygınlaşması ve sınırları aşan yapısı sebebiyle, siber saldırıların boyut değiştirmesine bağlı olarak veri güvenliğinin temin edilmesinde çok önemli bir kavram haline gelmiştir. Siber güvenliğe dair çalışanların sınırlı bilgileri olsa dahi ilk müdahaleyi yapabilmeleri, kişisel veri güvenliğinin sağlanması bakımından büyük önem taşımaktadır. Artık birey olarak da bir parçası olduğumuz dijital evrende kişisel veri güvenliğini sağlayabilmenin yolu, siber güvenliğin tesis edilmesinden geçmektedir.
Yapılan bir araştırmaya göre dünya genelinde ve ülkemizde COVID-19 salgınıyla birlikte siber saldırılar neredeyse iki kat artmış vaziyette. Salgını fırsat bilen kötü niyetli kişiler dolaylı olarak, dijital imkanlardan yararlanarak hayatın olağan akışının devam ettirilmesine karşı da bir tehdit haline geldi. Türkiye özelinde bakacak olursak Mart, Nisan ve Mayıs aylarında siber saldırıların dikkat çekici şekilde arttığını görüyoruz. Bu tehdide karşı veri ihlali yaşamamak adına sizce neler yapılabilir?
Konuyu kişisel verilerin korunması ile ilgili çerçevede ele alacak olursak, COVID-19 salgınıyla birlikte siber saldırıların artış göstermesi elbette tesadüf değil. Kişisel veriler her zaman önemliydi. Gelişen teknoloji ile çeşitli veri işleme yöntemlerinin ortaya çıkması, verilerin analiz edilerek değer elde edilmesiyle birlikte bu önem daha da arttı. Yakın gelecekte ise bu önemin çok daha yakından hissedileceğini düşünüyorum.
Kişisel verilerin hayatımızı nasıl etkilediğini anlamamız ve buna göre hareket etmemiz lazım. Bu bakımdan kişisel veri işleyen veri sorumluları her şeyden önce sürdürülebilir ve inovasyona dayalı bir veri koruma politikası oluşturmalıdır. Veri güvenliğine ilişkin oluşturulan sistemler statik bir yapıda olmamalı, teknolojik gelişmeler kapsamında güncellemelere açık olmalı ve yeniliklere cevap verebilecek nitelikte olmalıdır. Bir de kişisel verilerin korunması bireysel, toplumsal ve kurumsal kültürün bir parçası olarak görülmelidir. Kişisel verilerin güvenliğinin sağlanması açısından oluşturulan şirket politikalarının doğru ve eksiksiz yürütülmesi için konuyla ilgili birimlerce profesyonel ve çözüm odaklı bir yaklaşım sergilenmelidir.
Diğer ülkelerle kıyasladığımızda, Ülkemizin COVID-19 salgını sürecini sağlık alanında olduğu gibi kişisel verilerin korunması ve dijitalleşme alanında da başarıyla yönettiği kanaatindeyim. İçinde bulunduğumuz kontrollü sosyal hayat sürecinde de bu başarının devam edeceği kanısındayım.
‘‘SOSYAL MEDYA ŞİRKETLERİ KANUNDAN İSTİSNA DEĞİL’’
Geçtiğimiz günlerde Kurul, bazı sosyal medya platformları için resen inceleme yürütüldüğünü açıkladı. Açıklamada kişisel verilere yönelik veri güvenliği açığı haberleri ve ihbarlar üzerine harekete geçildiği ifade edildi. Daha önce çokça kullanılan bir sosyal medya şirketine üst sınırdan ceza uygulanmıştı. Sosyal medya şirketlerinden beklenen nedir? Beklentiler karşılanmaz ise Kişisel Verilerin Korunması Kanunu açısından bu tür şirketleri neler bekliyor?
Hukuka ve dürüstlük kurallarına uygun şekilde veri işleme, bütün veri sorumluları için geçerli olduğu gibi sosyal medya şirketleri için de geçerlidir. Bu tür platformlar veri güvenliğini ön planda tutmalı, kişisel verilerin korunması amacıyla kişileri yanıltıcı ve zararlı içeriklerin önüne geçmek için gerekli mekanizmaları oluşturmalıdır. Özetle; veri koruma bilinci ve bireyin mahremiyetine saygı, sosyal medyanın dışında değil merkezinde olmalıdır. Sosyal medya şirketleri Kanundan istisna değil. Dolayısıyla 6698 sayılı Kanunla ilgili yükümlülüklerini yerine getirmeleri gerekmektedir. Aksi takdirde idari yaptırımların uygulanması kaçınılmazdır.
‘‘SİBER VATAN BİLİNCİ İLE MÜMKÜN OLDUĞUNCA YERLİ VE MİLLİ ÇÖZÜMLERİ TERCİH ETMELİYİZ’’
Dijitalleşme demişken, yakın zamanda dijital farkındalık ve siber vatan kavramları gündeme geldi. Kişisel verilerin geleceği ve yapay zeka başta olmak üzere bu kavramlar hakkında ne düşünüyorsunuz? Bunlara ek olarak dijital okuryazarlık da çokça üzerinde durulan bir kavram. Kişisel verilerin korunması ile dijital okuryazarlık arasında bir bağlantı kurulabilir mi?
Kişisel veriler, geçmişte ve günümüzde olduğu gibi gelecekte de önemini koruyacaktır. Kişisel Verilerin Korunması Kanunu, bireyin korunması ile veri temelli ekonomi arasında denge unsuru olup yapay zeka, büyük veri, nesnelerin interneti gibi veriden değer üretebilen teknolojilerden yararlanılmasına engel teşkil etmemektedir. Bununla birlikte bu tür teknolojilerden yararlanılırken insan onurunu merkeze alan bir anlayış benimsenmelidir.
Artık dijital çağdayız. Dolayısıyla veri koruma ve uyum süreçlerinin içinde bulunduğumuz çağın gerçekleriyle örtüşmesi gerekiyor. Bu kapsamda dijital farkındalığa gereken önemi vermeli, siber vatan bilinci ile kişisel veri işleme süreçlerinde mümkün olduğunca yerli ve milli çözümleri tercih etmeliyiz.
Dijital okuryazarlığı, akıllı cihaz kullanma becerileri çerçevesinde bilgiye ulaşma, değerlendirme, doğrulama ve gerçeği taklitten ayırt edebilme yeteneklerini kazanmak şeklinde ifade edebilirim.
‘Hakikatin önemsizleşmesi’ olarak da adlandırabileceğimiz ‘post-truth’ dönemde, çeşitli algılarla kişisel verilerin istismar edilmesi ve bunun sonucunda bireylerin maddi ve manevi mağduriyetlerle karşılaşması tehlikesine karşı yanıltıcı içeriklerden uzak durarak, resmi makamlarca teyit edilmiş bilgileri dikkate alarak dijital okuryazarlığımızı geliştirmeliyiz.
‘‘SAYGIN OLMAK İÇİN, SAYGILI OL’’
Çok kısaca kişisel veri işleyen kişilere, şirketlere, kuruluşlara son olarak hangi mesajı vermek istersiniz?
Çok kısa dediniz, o halde tek bir cümleyle ifade ediyorum; saygın olmak için, kişisel verilere saygılı olmak gerekir.
#Dijital Dünya, #KVKK, #Prof. Dr. Faruk Bilir, #Kişisel Veriler Koruma Kurumu
Son Yorumlar