Kişisel Verileri Koruma Zirvesi Ankara’da Toplandı

Kişisel Verileri Koruma Kurulu Başkanı Prof. Dr. Faruk Bilir, Bilgi Teknolojileri ve İletişim Kurulu Başkanı Dr. Ömer Fatih Sayan ve e-Safe Kurucusu Musa Savaş’ın açılış konuşmalarıyla başlayan zirvede 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun ortaya çıkma sürecinden kanunun son zamanlarda yürürlüğe giren ikincil mevzuatına ve bu mevzuatların uygulanmasına kadar hem hukuki hem de teknik açıdan birçok konuya değinildi.

Kişisel Verileri Koruma Kurulu Başkanı Prof. Dr. Faruk Bilir, Bilgi Teknolojileri ve İletişim Kurulu Başkanı Dr. Ömer Fatih Sayan ve e-Safe Kurucusu Musa Savaş’ın açılış konuşmalarıyla başlayan zirvede 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun ortaya çıkma sürecinden kanunun son zamanlarda yürürlüğe giren ikincil mevzuatına ve bu mevzuatların uygulanmasına kadar hem hukuki hem de teknik açıdan birçok konuya değinildi.

Bilgi Teknolojileri ve İletişim Kurulu Başkanı Dr. Ömer Fatih Sayan dijital ekonomiye geçemediğimiz sürece geride kalacağımızı belirtmiş, dijital ekonominin en değerli madeni olan verinin işlenme esas ve usullerine yönelik düzenlemeleri sağlayan 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun önemini vurgulamıştır.

“Elektronik ortamda sunulan ve sayısı her geçen gün artan hizmetler bir yandan hayatımızı kolaylaştıyor, yaşam kalitemizi ve refah düzeyimizi arttırıyorlar ama arada sosyal ve viral içerikler dolaşıyor; hangi kişisel verilerinizin kimler tarafından nasıl saklandığını, biz bilerek ya da bilmeden bunların nerede tutulduğu konusunda bizim bir bilince ihtiyacımız olduğu aşikâr” diyen Dr. Ömer Fatih Sayan, “Veri madenciliği, büyük veri, yapay zekâ gibi kavramlar hayatımıza girmiştir. Günümüzün en değerli varlığı olan verinin hızlı işlenmesi, analiz edilmesi, güvenliğinin sağlanması ve ülkemizde bulunan mevzuata uygun olarak kullanılması ve işlenmesi gerekmektedir” vurgusuyla kişisel verilerin korunmasının önemine işaret etmiştir.

“Google, Facebook, Twitter gibi şirketlerin hizmetlerinin neden bize ücretsiz sunulduğu sadece düşünülmelidir, ücretsiz oluyorsa kişisel verileri konuştuğumuz bugünde bence en can alıcı soru budur. Ücretsizse değeri sizsiniz, sizin hiçbir şekilde, herhangi bir ücretle karşılayamayacağınız şekilde sizin verinizin işlenişi, bilgi ve teknolojilerin etkin kullanılması, verilmesi, altyapıların oluşturulması ve oluşturulan bu verilerin güvenliğinin sağlanmasının bir hukuki çerçevesi oluşturulmak zorundadır” sözleriyle Dr. Ömer Fatih Sayan; sosyal medyanın ve kişisel verilerin kullanılmasının tehlikelerini belirtmiş, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun değerini tekrar etmiştir.

Veri temelli ekonomiler bakımından kişisel verilerin korunmasında insan onuru ve insani değerlerin temel olduğunu belirten Prof. Dr. Faruk Bilir ise “Bizim kanunumuzun bize verdiği misyon ‘Kişisel veri korunacak ama aynı zamanda veri temelli ekonomiye geçiş de hızlandırılacak” diyerek ülkemizin yaklaşımını ortaya koymuş, bir Anayasal hak olarak düzenlenmiş kişisel verilerin korunması hakkının kullanılmasına yönelik temel ilke ve esasları tekrar etmiştir.

Prof. Dr. Faruk Bilir 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun iyi bir çerçeve olduğunu, 95/46 AB Direktifi ve Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi’ne Kanunumuzun uyumlu olduğunu belirtirken aynı zamanda kanunumuzun Avrupa Birliği’nde 25 Mayıs 2018 tarihinde yürürlüğe girecek olan Genel Veri Koruma Tüzüğü ile genel ölçüde uyumlu olduğunu vurgulamış ve önümüzdeki zamanlarda var olan “iyi uygulama örnekleri”nin daha fazla geliştirilmesi amacıyla Almanya Baden-Württemberg veri koruma kurulu ve İngiliz veri koruma kurumu olan “Information Commissioner’s Office” ile görüşüleceğini belirtmiştir.

“Büyük ölçüde çalışmalarımızı tamamladık ve bizi takip ediniz diyorum; bugün iki tane ilke kararı, devamında gelecek olan tebliğ, sicile başvuru usul ve esasları, yine kurul çalışmasıyla ilgili birtakım kararları günü ve zamanı geldiğinde açıklayacağız. En önemlisi ise veri sorumluları sicili anlamında Türkiye’de bir sistem kuruluyor; VERBİS adı altında. Bu tamamen dijital ortamda, elektronik ortamda hizmet verecek. Bu ortamda hem veri işleyen gerçek ve tüzel kişiler, kanun tabiriyle veri sorumluları bu sicilde kaydedilecek. Bu sicil kamuya açık ve şeffaf olacak, yine bununla birlikte VERBİS içerisinde bir başvuru bölümü olacak ve vatandaşlarımız bu yolla başvurularını bize iletecekler,” diyen Prof. Dr. Faruk Bilir, 25 Ocak 2018 tarihli ve 30312 sayılı Resmi Gazete’de yayınlanan Kişisel Verileri Koruma Kurulu Kararları ile ilgili olarak ayrıca kurulun özellikle çok fazla başvuru aldığı veya ihlallerin olduğunu düşündüğü alanlarda ilke kararlar ile düzenlemeler getirilebileceğini belirtmiş ve bu kararlara uyulmaması halinde kesilecek olan cezaların Kişisel Verilerin Korunması Kanunu madde 18’de belirtildiğini tekrarlamıştır. Alınmış bu kararların özellikle bankalarda birbirlerine çok yakın duran insanların birbirlerinin bilgilerini duymalarının önüne geçmek amaçlı olduğunu, söz konusu kurumların gerekli kurum içi düzenlemeleri yapacaklarını belirtti.

MADDE 18 – (1) Bu Kanunun;

a. 10’uncu maddesinde öngörülen aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar,
b. 12’nci maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar,
c. 15’inci maddesi uyarınca Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar,
d. 16’ncı maddesinde öngörülen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar, idari para cezası verilir.

Kişisel Verileri Koruma Kurulu 2. Başkanı Cabir Bilirgen moderatörlüğünde Kişisel Verileri Koruma Kurul Üyeleri Şaban Baba ve Dr. Cengiz Paşaoğlu ile yapılan Veri Sorumluları Sicili ve Veri Güvenliği paneli, Kurul 2. Başkanı Cabir Bilirgen’in veri sorumlusu kavramının yanlış anlaşıldığına yönelik açıklamasıyla başlamıştır. Veri sorumlusunun şirketin doğrudan kendisi olduğunu ve şirketlerin veri sorumlusu tayin ederek bir “günah keçisi” atayamayacaklarını belirten Cabir Bilirgen kişisel veri ihlallerinde doğrudan veri sorumlusunun sorumlu olacağını vurgulamış zamanda birçok konuya ışık tutan yayınlara önümüzdeki haftalar içerisinde 100 Soru 100 Cevap belgesinin de ekleneceğini müjdelemiştir.

Veri Sorumluları Sicili konusuna daha da netlik getiren Şaban Baba ise VERBİS sisteminin açılmasına ve sicile kayıt yükümlülüğünden muaf olacak olan veri sorumlularının listesinin yayınlanmasına az kaldığını belirterek Kayıt ve Bildirim Yükümlülüğünü yerine getirmeyen veri sorumlularını bekleyen 20.000 TL’den 1.000.000 TL’lik idari para cezalarına dikkat çekmiştir. VERBİS sisteminin tamamen korelasyon halindeki veri kategorileri, saklama süreleri yapılanması ile uyum içinde olacağı ve sistemin bir içeriğin doldurulmadan devam edilmesine izin vermeyeceğini vurgulamıştır.

Yakın zamanda yayınlanan Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler) broşürünü takiben özel nitelikli kişisel veri işleyen veri sorumlularına yönelik ek önlemlerin belirlendiği bir çalışmanın yayınlanacağını belirten Dr. Cengiz Paşaoğlu ise Kişisel Verilerin Korunması Kanunu kapsamında Veri Güvenliğinin Değerlendirilmesi sunumunu alınması gereken teknik önlemlere dair detaylar sunarak tamamlamıştır.

Dr. Cengiz Paşaoğlu, güvenli ülkeler listesinin hazırlanmasında Kanunun 9. maddesinde düzenlenmiş olan unsurlara dikkat edileceğini belirtmiştir. Güvenli olmayan ülkelere kişisel veri aktarımında alınması gereken taahhütnamenin hazırlanmakta olduğunu ve bu taahhütnamede Avrupa Komisyonu tarafından yayınlanmış Standart Sözleşmesel Hükümler (Standart Contractual Clauses) ve Bağlayıcı Şirket Kuralları (Binding Corporate Rules) benzeri ağırlaştırılmış hükümlerin var olacağı sinyalini vermiştir.

MADDE 9 – (4) Kurul yabancı ülkede yeterli koruma bulunup bulunmadığına ve ikinci fıkranın (b) bendi uyarınca izin verilip verilmeyeceğine;

  1. a. Türkiye’nin taraf olduğu uluslararası sözleşmeleri,
  2. b. Kişisel veri talep eden ülke ile Türkiye arasında veri aktarımına ilişkin karşılıklılık durumunu,
  3. c. Her somut kişisel veri aktarımına ilişkin olarak, kişisel verinin niteliği ile işlenme amaç ve süresini,
  4. d. Kişisel verinin aktarılacağı ülkenin konuyla ilgili mevzuatı ve uygulamasını,
  5. e. Kişisel verinin aktarılacağı ülkede bulunan veri sorumlusu tarafından taahhüt edilen önlemleri,
  6. değerlendirmek ve ihtiyaç duyması hâlinde, ilgili kurum ve kuruluşların görüşünü de almak suretiyle karar verir.

28 Ocak Veri Koruma Günü öncesinde gerçekleştirilen Türkiye’nin ilk Kişisel Verileri Koruma Zirvesi siber güvenliğin sağlanmasına yönelik panel ile devam ettirilmiş olup kişisel verileri korumanın hukuki yönü paneli ile tamamlanmıştır.