USD 0,0000
EUR 0,0000
USD/EUR 0,00
ALTIN 000,00
BİST 0.000

Kişisel Veriler ve Hukuk

03-04-2018

Veri, günümüzün en önemli ticari değerlerindendir. Bugün bir ürünü kime satacağınız, hangi kitleye ulaşacağınız, bir hizmete hangi kesimin nasıl eriştiğini saptayacağınız, bunların hepsi aslında veriye dayanır. Big Data denilen kavram ve bunun nasıl analiz edileceği, dünya çapında her gün gündem konusu olmaya devam etmektedir. Ancak veri, aynı zamanda kişisel bir değerdir. Ticari olarak çok değerli olan veriler, aslında kişilerin kendi malıdır. Bu aşamada, kişisel verilerin sınıflandırılarak, hangi sınıfın nasıl korunacağını ve bunun yasal zeminini oluşturma ihtiyacı ortaya çıkmıştır.
Tüm dünyada çok tartışılan ve uzun zamandır yasal zemini bulunan kişisel veriler konusunda, Avrupa Konseyi üye ülkeler arasında kişisel veriler kanunu bulunmayan tek ülke olarak Türkiye kalmıştır. Bunun sonucunda, Mart 2016 tarihinde, Kişisel Verilerin Korunması Kanunu, Türk hukukuna eninde sonunda giriş yapmıştır.
Kanunumuz yürürlüğe girdiğinde, yine pek çok soruyu gündeme getirmiştir. Zira kanunumuz, Avrupa Birliği'nin 1995 yılında çıkarttığı Veri Koruma Direktifi baz alınarak hazırlanmıştır. Oysa ki AB o tarihlerde yeni bir mevzuat düzenlemesi üzerine çalışmaktaydı. Avrupa Birliği Genel Veri Koruma Yönetmeliği ('GDPR'), çoktan AB komisyonlarında görüşülmekteydi. Nihayet o yönetmelik de yayımlandı ve GDPR'ın AB bünyesinde Mayıs 2018'de yürürlüğe gireceği açıklandı. Böylece Türkiye, kanunu yeni çıkarmış olmasına rağmen AB mevzuatının gerisinde kaldı ve uygulamada karışıklığa sebep olacağı tartışmaları ortaya çıkmış oldu.
Hemen belirtmek gerekir ki GDPR, yani AB'nin yeni kişisel veriler yönetmeliği, uygulama açısından Türkiye'deki internet sitelerini de yakından ilgilendirmektedir. GDPR metnine göre, internet siteniz nerede kayıtlı olursa olsun, eğer bir AB vatandaşı sizin sitenize giriyorsa, siz de doğrudan GDPR'ın muhatabı olacaksınız. Buna, GDPR'ın kendi sınırları dışında geçerli olması (Extraterritorial effect) denmektedir. Yani, internet sitenize AB vatandaşı giriyor ve siz kanunen GDPR'a uyumlu değilseniz, AB üyesi ülkelerde erişim engelleme cezası ile karşı karşıya bile kalabilirsiniz.
Gelelim tekrar bizim kanunumuza. Kanun, öncelikle kişisel verinin tanımını yapıyor, kişisel verileri sınıflandırıyor, ardından tarafların hak ve yükümlülüklerini belirtiyor. Buna göre; kişisel verileri toplayan veya işleyen tarafın, bu konuda veri sahibini bilgilendirmesi gerekiyor. Bugün internet sitelerinde aşina olduğumuz Gizlilik Politikası, Çerez Politikası, Tanımlama Bilgileri Kullanımı veya Kullanım Şartları gibi metinler, işte bu yüzden yerleştiriliyor. Kanuna göre kişisel verileri kullanan tarafın, karşı tarafı bilgilendirme yükümlülüğü bulunuyor. Aynı şekilde karşı tarafın da istediği zaman, kişisel veriyi toplayan tarafa karşı bu konuda soru yöneltme hakkı bulunuyor.
Kanun, içeriğini bilhassa kısa tutup, detaylandırmaları Yönetmelik düzenlemelerine bırakmış. Bu konuda yakın zamanda çıkan iki önemli yönetmelik bulunuyor: Veri Sorumluları Sicili Hakkında Yönetmelik ve Kişisel Verilerin Silinmesi, Yok Edilmesi, veya Anonim Hale Getirilmesi Hakkında Yönetmelik. Bu iki yönetmelik de aslında firmalara oldukça fazla yükümlülük getiriyor.
İki yönetmeliğin de yürürlüğe girme tarihi Ocak 2018. Ancak iki yönetmelik de, uygulanmaları için büyük oranda Veri Sorumluları Sicil Bilgi Sistemi'nin ('VERBİS') kurulmasını bekliyor. Kanun kapsamında oluşturulmuş olan Kişisel Verilerin Korunması Kurulu tarafından kapsamı belirlenecek olan VERBİS, Veri Yönetimi Dairesi Başkanlığı tarafından kontrol edilecek.
Buna göre; kişisel veriyi toplayan veya işleyenler, VERBİS'e kayıt yaptıracak. Kayıt yaptırırken, kişisel verinin silinmesi, yok edilmesi, anonim hale getirilmesi hakkında politikalar belirleyecek. Bu politikalar ve daha yönetmelikte sayılan birçok husus hakkında bir özet oluşturacağı Kişisel Veriler Envanteri'ni VERBİS'e sunacak. Devamında, VERBİS'e sunduğu bu Envanter içinde yer alan hususları kendisine politika olarak belirleyecek ve kişisel verileri toplarken veya işlerken, bu sınırları aşmayacak. Sicile kaydolmayanlar hakkında para cezaları, milyon lirayı bulan cinsten. Ayrıca Kanun'da yer alan para cezaları da, hiç azımsanmayacak seviyelerde. Ancak söz konusu yönetmelikler her ne kadar şuan yürürlükte olsa da, henüz VERBİS kurulmadığından, bu hükümlerin uygulaması da henüz tam olarak yerleşmemiştir.
Bu kanun ve yönetmeliklerin dışında Kişisel Verileri Koruma Kurulu, aynı zamanda, yaptığı toplantılar sonucu bazı kararlar yayınlamaktadır. Buna göre; kişisel verilerin güvenlik yönetimi sisteminin ayrı bir politika olarak sürdürülmesi, çalışanlara bu konuda düzenli hukuk eğitimleri verilmesi ile gizlilik sözleşmeleri yapılması, hangi çalışanların bu verilere erişiminin olduğunun net bir şekilde belirlenmesi, şart kılınmıştır. Verilerin elektronik ortamda kayıtlı olması halinde, burada yazılımın güvenliği ve kriptografik olması hakkında kurallar getirilmiştir. Firmalara, internet sitelerinin SSL güvenlik sertifikası almaları hakkında resmi tavsiye verilmiştir. Kurul'un bu tavsiyeleri yönetmelik gereği uyulması gereken kurallar olduğundan, hiç şüphesiz takip edilmesinde fayda vardır.
Her ne kadar henüz VERBİS aktif olmasa da, kanun ve yönetmelikler yürürlükte olduğundan, belirttiğimiz gibi, firmaların üstüne düşen bazı sorumluluklar bulunmaktadır. Gizlilik ve Çerez Politikası oluşturmak, internet sitesi için SSL sertifikasyonu edinmek, şirket içinde bir kişisel veri koruma sorumlusu belirlemek, bu politikalara uygun hareket etmek, envanter hazırlamak, şüphesiz firmaların faydasına olacak ve olası ceza ile tedbirlerden de korunmalarına yol açacaktır.

SİZİN DÜŞÜNCELERİNİZ?