Kişisel Verilerin Korunması Kanununa Uyum Süreci

SORU 1: SİZCE KVKK’YA UYUM SÜRECİNİ TÜRKİYE OLARAK NASIL GEÇİRDİK?

Kişisel Verilerin Koruma Kanunu 07.04.2016 tarihinde Resmi Gazetede yayınlanarak yürürlüğe girdi. Ancak kanunun geçici maddesi gereği veri sorumlularının yükümlülüğü yayım tarihinden itibaren 2 yıl sonra yani 06.04.2018 tarihinde yürürlüğe girecek idi.

Veri sorumluları bu süre içinde işledikleri tüm verileri hesap verebilirlik ve doğrulanabilirlik ilkeleri ile kanuna uygun hale getirmekle yükümlü idiler. Yine veri sorumluları, bu süre içinde tüm teknik alt yapılarını kurmak durumunda idiler.

Bu süreçte en çok cevabı aranan sorular şunlar idi. Hangi veriler, ne kadar süreyle, nasıl ve nerede saklanacak, nasıl işlenebilecek, daha sonra nasıl anonim hale getirilecek veya ne tür bir silme, yok etme politikası uygulanacak?  Veri sızıntısı veya hırsızlığı hallerinde nasıl bir müdahale planı izlenebilecek? Verilerin etkin güvenliği nasıl sağlanacak? Veri sorumlularının bu ve benzeri sorulara cevap vererek süreci değerlendirmesi beklenmekteydi.

Kişisel Verileri Koruma Kurulu 12.01.2017 tarihinde Yargıtay Birinci Başkanlık Kurulu huzurunda yemin ederek göreve başlamıştır. Göreve başladıktan sonra birçok ikincil mevzuatları ve rehberleri hazırlayarak kamuoyuna sunmuşlardır.

Ancak veri sorumlularının çok büyük bir kısmı kendilerine tanınan bu 2 yıllık süreyi verimli geçirmediklerini, hazırlıklarını tamamlayamadıklarını düşünüyorum. Bunda tabii ki sistemin tamamen yeni olması, konunun ve yapılması gerekenlerin anlaşılmasının zor olması yanında ikincil mevzuat ve rehberlerin kamuoyuna sunulmasında yaşanılan gecikme de etkili. İki yıllık sürenin sona ereceği tarih olan 6 Nisan 2018 tarihinden birkaç gün öncesinden itibaren başlayan kısa mesaj yağmurları da zaten bunun en büyük göstergesi.

SORU 2: MARKALARIN BU SÜREÇTE YAPTIĞI İLETİŞİMİ VE SÜRECİ TAMAMLAMA ADINA ÇALIŞMALARINI NASIL DEĞERLENDİRİRSİNİZ?

Markaların 2 yıllık bu geçiş sürecinde yaptığı en büyük iletişim 6 Nisan 2018 tarihinden birkaç gün önceki SMS ve elektronik posta iletişimidir. Kişisel verilerimizi korumakla yükümlü dünyaca bilinen büyük markalar ve yerel markalar yapmaları gereken işlemleri son günlere bırakmayı tercih etmiştir.

Gönderilen bazı SMS ve elektronik postaların içerikleri, bunlarda yer alan linklere tıklandığında okunması istenilen metinlerin dilinin sade ve anlaşılabilir olmadığını tespit edebiliyoruz. Verisi işlenecek olan her bir birey hangi verilerinin kaydedileceğini, işleneceğini, nerelerde kullanılacağını ve kimlerle paylaşılacağını açık bir şekilde anlayabilmeli. Bu anlamda bazı markaların kişiler ile iletişimini kurmada sıkıntı yaşadığını düşünüyorum.

Şunu da ifade etmekte fayda var, kişilerden çok genel kapsamlı, muğlak ifadeler barındıran, genel geçer her şeye onay verilmesi şeklinde yorumlanabilecek ve “Battaniye Rıza” kavramı ile tanımlanan rızalar hukuken geçersiz olma riski ile karşı karşıya.

Zaman içerisinde veri sorumluları veri işleme politikalarında değişiklik yapabilir. Bu politika değişikliği nedeniyle veri sorumlusu daha önce sizden onayını almadığı bir veriyi de artık işlemek isteyebilir. Bu politikaların kişiden alınan rıza ile anahtar kilit ilişkisi içinde olması gerekir. Aksi taktirde veri sorumlusu, politikası değiştiğinde kişilerden ikinci bir rıza almak zorunda kalacaktır.

SORU 3: BAZI MARKALARIN KULLANICI BİLGİLERİNİN GÜNCELLENMESİ KONUSUNDA YAPTIĞI İLETİŞİMLERE KULLANICI TARAFINDAN HAFİF TEHDİT İÇERDİĞİ NEDENİYLE ELEŞTİRİLER GELDİ. SİZ BU KONUDA NE SÖYLEMEK İSTERSİNİZ?

Maalesef ki bu eleştirilerin haklı olduğunu düşünüyorum. Gönderilen SMS veya elektronik posta içeriklerinde ya havuç uzatma tekniği kullanılıyor yada sunulan fırsatları kaybetme riski ortaya konuluyor. Örneğin gönderinin ilk kısımlarında şimdiye kadar faydalandığınız avantajlar ve ayrıcalıklarınız sıralanarak bunların devamını istiyor iseniz kişisel verilerinizin işlenmesine onay vermeniz isteniyor.

Bu noktada veri sorumlularının şunu çok iyi ayırt etmesi gerekiyor. Kişisel verilerinin işlenmesine rıza göstermeyen bir kimseye hizmet sunmaktan kaçınamazsınız. Hukuk sistemimiz böyle bir dikteyi kabul etmemektedir. Örneğin internetten ürün alacağım. Siparişimi tamamlama esnasında Mesafeli Satış Sözleşmesi’ni onaylıyorum. Ancak o esnada karşıma kişisel verilerimin işlenmesi için de rıza beyanı çıkıyor. Ben rıza beyanını kabul etmesem dahi siparişimin tamamlanması gerekiyor. İlgili markanın da yapması gereken; benden o sipariş için aldığı kişisel verilerimi yalnızca siparişimin gereklerini yerine getirmek ve örneğin kanunen zorunlu olan faturayı düzenlemek, bunun dışında başka hiçbir işleme tabi tutmamaktır.

Markalarımız, en büyük veli nimetleri müşterilerini tehdit ederek veya fırsatlardan yoksun bırakarak kişisel verileri işleme imkanını elde etmek yönteminden uzaklaşmalıdırlar.

SORU 4: KVKK İLE İLGİLİ BİLGİLENDİRMELER KULLANICILARA AĞIRLIKLI OLARAK SON BİRKAÇ GÜN İÇERİSİNDE GELDİ. BUNUN HER İKİ TARAF İÇİN DE BİR TELAŞA NEDEN OLDUĞU DÜŞÜNCESİNDEYİM. SİZ BU KONUDA NE SÖYLEMEK İSTERSİNİZ? BU İŞİ SON DAKİKAYA BIRAKMAK YERİNE DAHA GENİŞ GENİŞ YÖNETMEK DAHA DOĞRU OLMAZ MIYDI?

Tabii ki kişisel veriler gibi hassas bir konuyu son dakikaya sığdırmak doğru değil. Daha önce ifade ettiğim gibi, aslında veri sorumluların bu süreci yönetmek için önlerinde tam iki yıl vardı. Bu süre içinde hem kendi sistemlerini oluşturacaklar hem de ilgili rızaları alacaklardı. Ama çok büyük bir kitle bu işi son ana bıraktı. İç işleyişinde teknik alt yapıyı oluşturmak ve elindeki verileri analiz etmek için bu süreyi değerlendirmiş ise de bunun veri sahiplerine yansıması tam olarak sizin ifade ettiğiniz tespit idi.

KVKK kapsamında düzenlendiği şekli ile ihlale yol açan eylemlerde bulunan veri sorumluları için çok ciddi idari para cezaları öngörülmüştür. İhlalin kapsamına göre bu tutarlar 5.000,00 TL ile 1.000.000,00 TL arasında değişmektedir. Bu para cezasına bir de veri sahibi kişinin genel hükümlere göre tazminat davası açma hakkını da ekleyebilirsiniz.

Netice itibari ile aslında ciddi hak ihlallerine sebep olabilecek ve veri sorumluları için de ciddi yaptırımları olan bu alanda markalar kendilerine tanınan 2 yıllık geçiş sürecini çok daha etkin geçirmeliydi. Son anda yapılan bilgilendirmeler, veri sahiplerinde aslında bıkkınlık da oluşturdu. Bir çok kişinin gelen mesajları veya elektronik postaları okumadan sildiğine inanıyorum. Veri sahiplerindeki bu bıkkınlık haliyle veri sorumlularının beklentilerini de karşılayamadı. Süreç içerisinde yığılma olmadan rıza isteseydi onay alma ihtimali çok daha yüksek iken son ana bırakılma sebebi ile veri sahipleri tarafından görmezden gelindi. Bu da sürecin etkinliğini oldukça zedeledi.

SORU 5: 6 NİSAN GERİDE KALDI, HERKESİN MERAK ETTİĞİ İSE BUNDAN SONRA NE OLACAĞI. YASA VERİ SAHİPLERİNİN ŞİMDİYE KADAR YAŞADIĞI SORUNLARA DERMAN OLACAK MI SİZCE?

KVKK’dan önceki fiili durumda her türlü kişisel verilerimiz veri sorumluları tarafından herhangi bir sınırlama ve denetime tabi olmaksızın istenildiği gibi kullanılabiliyordu. Bu durum, özel hayatın gizliliği, temel hak ve hürriyetler çerçevesinde bakıldığında bariz hak ihlali idi. KVKK’dan sonra ise bu alanda hakların korunması noktasında önemli bir merhale kat edilmiştir.

KVKK ile getirilen işleme şartlarına uyum sağlama, verileri silme, yok etme, anonimleştirme, teknik ve idari tedbirleri alma, aydınlatma yükümlülüğü gibi yeni düzenlemeler kişisel veri sahiplerini veri sorumlularını karşısında güçlü konuma getirmiştir. KVKK’dan önce kişisel veri sahiplerinin hiçbir şekilde bu tarz hakları veya imkanları yoktu.

KVKK ile getirilen bu düzenlemeler, her türlü kişisel verimizin herkes tarafından işlenilmesine engel olarak mahiyette. Ancak bu düzenlemelerin başarılı olabilmesi için en önemli etken, veri sorumlularının samimi bir istek ile bu insan haklarına saygı duymakta göstereceği duruş olacaktır. Veri sorumlusu markalar tarafından “özel hayatın gizliliği ve ihlal yasağı”, “unutulma hakkı” olarak tanımlanan insan haklarına saygı duyulmaz ve üstünkörü bir şekilde mevzuat uygulanılmaya çalışılır ise çok fazla başarı elde edilemeyecektir. KVKK ile korunmak istenen haklar tam olarak bireylere verilemeyecektir. Bu nedenle bu kanun başarısında en önemli aktör markalarımızdır. Markalar, artık müşteri sadakati oluşturmak için müşteriye saygı duymak, kişisel haklarını korumak için samimi bir çaba içinde olmak zorundadırlar.

SORU 6: YENİ KANUNU ÇOK KONUŞTUK, YAZDIK, ANLATTIK. PEKİ SİZE GÖRE KVKK’NIN VERİ SORUMLULARININ HAYATINA GETİRDİĞİ EN ÖNEMLİ YENİLİK VE DEĞİŞİKLİKLER NELER?

KVKK ile getirilen en önemli şey zihniyet değişimidir. Tüketim dünyasında her türlü veri pazarlama enstrümanı olarak kullanılmakta ve her birey bir tüketim aracı olarak görülmekte. O nedenle bireylerin ürettiği veya sahip olduğu veriler bu amaçla işlenmekte veya saklanmaktadır. KVKK ile kişisel verilerin sınırsız biçimde ve gelişigüzel toplanması, yetkisiz kişilerin erişimine açılması, kötüye kullanılmasının veya ifşa edilmesinin önlenmesine yönelik tedbirler getirilmiştir. Bu zihniyet değişiminde artık özel hayatın gizliliği ön plana alınmıştır.

“Big Data” senaryolarının konuşulduğu günümüzde verinin ne kadar önemli olduğu yadsınamaz bir gerçektir. Son günlerde Facebook üzerinden milyonlarca kişinin kişisel verilerinin istihbarat veya pazarlama amacı ile 3.kişiler ile paylaşıldığı tespit edilmiş, bir anda bütün dünya bu ihlallere dikkat kesilmiştir. Bu tarz ihlallerin dikkat çekmesinin temel sebebi herkes kendi onayı veya bilgisi olmaksızın kişisel bilgilerinin kullanılmasını istememesidir. KVKK ile getirilen yeni sistem esas olarak “zihniyet değişimi” getirmiştir.

Av. Kerim ALTINTAŞ