Bilgi tarih boyunca toplumların zenginliğinin en önemli kaynağı olmuştur. Özellikle 20’inci yüzyılın ortalarından itibaren iletişim ve bilişim alanında yaşanan gelişmeler bilginin elde edilebilmesini kolaylaştırmıştır.(1*) Bilgi çağının en önemli sermayesi bilgidir. Bugün ülkeler, kurumlar, şirketler hatta bireyler de sosyal medya araçları nedeniyle hızla dijitalleşmeye başlamıştır. Günümüzde kamu ve özel sektörün verdiği hizmetlerin büyük bölümü elektronik ortamlar üzerinde gerçekleşmektedir. Hizmet alırken veya hizmet verirken toplanan kişisel verilerin yaygın bir şekilde kötüye kullanımı, yasal düzenlemelerin yapılmasını da zorunlu hâle getirmiştir. Kişisel verilerin gizliliğinin ve kontrolünün kaybedilmesi, bireysel, sosyal ve kurumsal açıdan telafisi mümkün olmayan zararlara neden olabilir. Bilginin nimeti kadar külfeti de kurumları, toplumu ve kişileri doğrudan etkilemeye başlamıştır.
Birçok uluslararası belgede kişisel verilerin korunması ile ilgili hükümler yer almasına rağmen kişisel verilerin korunmasına ilişkin ilk hukuki düzenlemeler 1973 ve 1974 yıllarında Avrupa Konseyince hazırlanmıştır. Ülkemizde uzun yıllar Türkiye Büyük Millet Meclisi’nde yasa tasarısı olarak bekleyen Kişisel Verilerin Korunması Kanunu Tasarısı, 6698 sayılı Kişisel Verilerin Korunması Kanunu adı ile 18 Ocak 2016 tarihinde TBMM Başkanlığına sevk edilmiş, 24 Mart 2016 tarihinde TBMM Genel Kurulu tarafından kabul edilerek kanunlaşmış ve 7 Nisan 2016 tarihli ve 29677 sayılı Resmî Gazetede yayımlanarak yürürlüğe girmiştir.(2*)
Kişisel Verilerin Korunması Kanunu’na göre kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir. Avrupa Birliği Kişisel Verileri Koruma Tüzüğü de 2016 yılında General Data Protection Regulation (GDPR) yani Genel Veri Koruma Kanunu (GVKK) Türkiye ile aynı tarihlerde yürürlüğe girmiştir. Kişisel verilerin tanımlanması, ifade edilmesi ülkeye göre değişmekle birlikte tanımın içeriğinde büyük farklılıklar yoktur. Örneğin Almanya Verilerin Korunması Kanunu'nda kişisel veri şöyle tanımlanmıştır: Belirli ya da belirlenebilen bir gerçek kişinin kişisel ya da maddi ilişkilerine ait münferit veriler. Kişisel verileri alan ve işleyenler kanunda veri sorumlusu olarak tanımlanmıştır. Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişileri ifade etmektedir.
Ülkemizde kişisel verilerin korunmasına yönelik çalışmaları ve uygulamaları takip etmek üzere özerk bir kurum olan Kişisel Verileri Koruma Kurumu kurulmuştur. KVKK olarak ifade edilen kurumun misyonu: Anayasada öngörülen özel hayatın gizliliği ile temel hak ve özgürlüklerin korunması kapsamında, Ülkemizde kişisel verilerin korunmasını sağlamak ve buna yönelik farkındalık oluşturarak bilinç düzeyini geliştirmek, aynı zamanda veri temelli ekonomide özel ve kamusal aktörlerin uluslararası rekabet kapasitelerini artırıcı bir ortam oluşturmak. KVKK’nın misyonu: Kişisel verilerin korunması ile buna ilişkin vatandaşlık bilincinin oluşmasında etkin ve uluslararası alanda söz sahibi bir otorite olmak olarak tanımlanmıştır.
Kanun kapsamında şirketlere, devlet kurumlarına, üniversitelere, vakıflara, odalara, derneklere organizasyonlara 2018 Haziran ayına kadar Kişisel verilerin korunması ile ilgili bir yönetim sistemi kurup Kişisel Verilerin Koruma Kanunu’na uyum sağmaları için süre tanınmıştır. Ne yazık ki kurumlarımızın yasaya uyumlu çalışmaları için verilen süre dolmasına rağmen beklenen uyum süreci henüz sağlanamamıştır. Tüm kamu kurumlarımız, şirketlerimiz, üniversitelerimiz, vakıf ve derneklerimiz vb. KVKK’dan 2018 Haziran ayından bu yana geriye dönük olarak sorumluluk taşımaktadırlar.
Kişisel Verilerin Korunması Kanunu’nun en dikkat çekici yanı şirketlerin, kurumların yönetim kurullarını hedeflemesi olmuştur. Yasaya göre kişisel verilerin korunmasına yönelik bir sistem kurmayan Yönetim Kurulu üyeleri geriye dönük olarak da sorumluluk taşımaktadırlar.
Kanunda kişisel verilerin yanında özel nitelikli kişisel verilerin kullanımı belirli şartlara bağlanmıştır. Özel nitelikli kişisel veriler, başkaları tarafından öğrenildiği takdirde ilgili kişiler hakkında ayrımcılığa ve mağduriyete sebep olma riski taşıyan verilerdir. Bu nedenle, diğer kişisel verilere göre çok daha sıkı şekilde korunmaları gerekmektedir. Öte yandan, tüm temel hak ve özgürlüklerde olduğu gibi, bu koruma mutlak değildir ve diğer hak ve özgürlükler lehine sınırlanabilir. Bu sınırlamanın, demokratik hukuk devletinin gereklerine ve Anayasanın “Temel hak ve hürriyetlerin sınırlanması“ başlıklı 13. maddesinde yer alan esaslara uygun olarak gerçekleştirilmesi gerekmektedir. Kişisel verilerin korunması ile ilgili kanunlarda özel nitelikli kişisel verileri kategorize edip saymak, veri sınıflandırması yapmak bütün belirsizliklerin bertaraf edildiği anlamına da gelmemektedir.
Hassas veri türleri bazen kolayca örneklendirilebilir: Bir işverenin çalışanlarının sendika üyeliği kaydı; Bir uçak yolcusunun dini inancına uygun yemek tercihini gösteren bilgi; Belirli bir kişi için tekerlekli sandalye erişiminin gerekli olduğunu belirten otel rezervasyon bilgisi; Bir çalışanın apandisit ameliyatı için hastanede olduğunu gösteren kayıt; Bir müşterinin striptiz kulüplerine gitmeyi sevdiğini açıklayan piyasa bilgisi; Bir kişinin uyuşturucu madde bağımlısı olduğunu gösteren hastane kayıtları; Bir kişinin kara para aklama suçunu işlediğini gösteren bilgi.(3*)
Kişisel verilerin korunmasına yönelik kanuna uygun sistem kurmayan kurumların ilgililerini yasa kapsamında kabahatler için 5.000 ile 1.400.000 TL arasında idari cezası, kapatma kararı ve suçlar için 1 yıldan 4,5 yıla kadar hapis cezası tehlikesi beklemektedir.
Kurumlarımızın özellikle Avrupa Birliği kişisel verileri koruma mevzuatı olan GDPR’ye dikkat etmeleri gerekmektedir. Aday ülke olarak bu kanunları takip ediyor ve mevzuatımızı güncelleşiyoruz. Türkiye’deki bir kurumun GDPR kapsamına girmesi son derece kolaydır. Bir AB vatandaşının kişisel verisini ihlal eden, ifşa eden ya da AB vatandaşının kişisel verisini yetkisiz erişime uğratan her kurum GDPR kapsamındaki cezalarla muhatap olacaktır.
GDPR cezaları ülkemize göre çok daha ağırdır, olayın büyüklüğüne göre 10.000.000 Euro ve 20.000.000 Euro veya küresel cironun %2’si ile %4’üne varan yüksek para cezaları bulunmaktadır.
Genel bilgi güvenliği önlemlerini almadan kişisel verileri tam anlamıyla önlemek mümkün değildir. İşte bu nedenle tüzel kişilerin ISO 27001 bilgi güvenliği yönetim sistemi, ITIL, COBIT gibi sistemleri takip etmeleri önerilmektedir. Veri güvenliği sadece siber güvenlik önlemleri alarak da gerçekleştirilemez, matbu ortamlardaki, kişilerdeki veriler de bu eko sistemin içindedir.
Kurumlarımızdaki en büyük kafa karışıklığı kişisel verilerin ne olduğunun yeterince kavranamamasıdır. Örneğin her kurumda KVKK kapsamına giren kişisel veriler şunlardır: Çalışanlara ait veriler; müşterilere ait kişisel veriler, ziyaretçilere ait kişisel veriler; tedarikçi ve paydaşlara ait kişisel veriler; çalışan adaylarına ait kişisel veriler tüm kurumlarımızı doğrudan ilgilendiren kişisel veri grupları. Kurumlar KVKK ile ilgili bir yönetim sistemi kurmak zorundadır. Her kurum KVKK ile ilgili eğitim vermeli, organizasyon yapısını oluşturmalı, kurumlarda kişisel verilerin korunmasına dair idari ve teknik tedbirleri almalıdırlar. Kişisel verilerin korunmasına yönelik olarak geliştirilen politika, prosedür, talimat ve formlar da KVKK ile ilgili bir dokümantasyonun oluşturulmasını bir doküman yönetimi sistemini de beraberinde getirmektedir. Çünkü birçok karar, tebliğ veya yasa değişikliğinde hazırlanan dokümanların revize edilmesi gerekmektedir.
Birçok kurumda sistemin kanunun ruhuna uygun olarak kurulamadığını görülmektedir. Örneğin KVKK ile ilgili organizasyonları İnsan Kaynakları veya BT Bölümlerine bağlamak bu kanunu yeterince anlamamış olmak demektir. KVKK ile ilgili kurulacak bir organizasyonun doğrudan Yönetim Kurulu’na bağlanması gerekmektedir.
Son olarak şunu belirtmek gerekir ki 50’den çok çalışanı olanlar veya bilançosu 25 milyonun üzerinde olanlar, ya da her iki şarttan birini taşıyan şirketler 2019 yılın Eylül ayına kadar KVKK ile ilgili sistemi kurup, yasaya uyum sağlayarak, Kişisel Verileri Koruma Kurumu Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) kayıt olmaları yasal zorunluluktur. Örneğin KHK ile düzenlenen taşeron yasası sonrasında belediye şirketlerinin çoğu bu kapsama girmektedir. Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenleri 20.000 Türk lirasından 1.400.000 Türk lirasına kadar idari para cezalar bekliyor. Kimse yasadan muaf değildir. Geçici muafiyet VERBİS kaydına ilişkin süre ile ilgilidir.
**
Kaynak: 2015-2018 Bilgi Toplumu Strateji ve Eylem Planı (1*), kvkk.gov.tr (2*), Doç. Dr. Cemil Kaya, Avrupa Birliği Veri Koruma Direktifi ekseninde hassas (kişisel) veriler ve işlenmesi, dergipak.gov.tr (3*)
Birçok uluslararası belgede kişisel verilerin korunması ile ilgili hükümler yer almasına rağmen kişisel verilerin korunmasına ilişkin ilk hukuki düzenlemeler 1973 ve 1974 yıllarında Avrupa Konseyince hazırlanmıştır. Ülkemizde uzun yıllar Türkiye Büyük Millet Meclisi’nde yasa tasarısı olarak bekleyen Kişisel Verilerin Korunması Kanunu Tasarısı, 6698 sayılı Kişisel Verilerin Korunması Kanunu adı ile 18 Ocak 2016 tarihinde TBMM Başkanlığına sevk edilmiş, 24 Mart 2016 tarihinde TBMM Genel Kurulu tarafından kabul edilerek kanunlaşmış ve 7 Nisan 2016 tarihli ve 29677 sayılı Resmî Gazetede yayımlanarak yürürlüğe girmiştir.(2*)
Kişisel Verilerin Korunması Kanunu’na göre kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir. Avrupa Birliği Kişisel Verileri Koruma Tüzüğü de 2016 yılında General Data Protection Regulation (GDPR) yani Genel Veri Koruma Kanunu (GVKK) Türkiye ile aynı tarihlerde yürürlüğe girmiştir. Kişisel verilerin tanımlanması, ifade edilmesi ülkeye göre değişmekle birlikte tanımın içeriğinde büyük farklılıklar yoktur. Örneğin Almanya Verilerin Korunması Kanunu'nda kişisel veri şöyle tanımlanmıştır: Belirli ya da belirlenebilen bir gerçek kişinin kişisel ya da maddi ilişkilerine ait münferit veriler. Kişisel verileri alan ve işleyenler kanunda veri sorumlusu olarak tanımlanmıştır. Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişileri ifade etmektedir.
Ülkemizde kişisel verilerin korunmasına yönelik çalışmaları ve uygulamaları takip etmek üzere özerk bir kurum olan Kişisel Verileri Koruma Kurumu kurulmuştur. KVKK olarak ifade edilen kurumun misyonu: Anayasada öngörülen özel hayatın gizliliği ile temel hak ve özgürlüklerin korunması kapsamında, Ülkemizde kişisel verilerin korunmasını sağlamak ve buna yönelik farkındalık oluşturarak bilinç düzeyini geliştirmek, aynı zamanda veri temelli ekonomide özel ve kamusal aktörlerin uluslararası rekabet kapasitelerini artırıcı bir ortam oluşturmak. KVKK’nın misyonu: Kişisel verilerin korunması ile buna ilişkin vatandaşlık bilincinin oluşmasında etkin ve uluslararası alanda söz sahibi bir otorite olmak olarak tanımlanmıştır.
Kanun kapsamında şirketlere, devlet kurumlarına, üniversitelere, vakıflara, odalara, derneklere organizasyonlara 2018 Haziran ayına kadar Kişisel verilerin korunması ile ilgili bir yönetim sistemi kurup Kişisel Verilerin Koruma Kanunu’na uyum sağmaları için süre tanınmıştır. Ne yazık ki kurumlarımızın yasaya uyumlu çalışmaları için verilen süre dolmasına rağmen beklenen uyum süreci henüz sağlanamamıştır. Tüm kamu kurumlarımız, şirketlerimiz, üniversitelerimiz, vakıf ve derneklerimiz vb. KVKK’dan 2018 Haziran ayından bu yana geriye dönük olarak sorumluluk taşımaktadırlar.
Kişisel Verilerin Korunması Kanunu’nun en dikkat çekici yanı şirketlerin, kurumların yönetim kurullarını hedeflemesi olmuştur. Yasaya göre kişisel verilerin korunmasına yönelik bir sistem kurmayan Yönetim Kurulu üyeleri geriye dönük olarak da sorumluluk taşımaktadırlar.
Kanunda kişisel verilerin yanında özel nitelikli kişisel verilerin kullanımı belirli şartlara bağlanmıştır. Özel nitelikli kişisel veriler, başkaları tarafından öğrenildiği takdirde ilgili kişiler hakkında ayrımcılığa ve mağduriyete sebep olma riski taşıyan verilerdir. Bu nedenle, diğer kişisel verilere göre çok daha sıkı şekilde korunmaları gerekmektedir. Öte yandan, tüm temel hak ve özgürlüklerde olduğu gibi, bu koruma mutlak değildir ve diğer hak ve özgürlükler lehine sınırlanabilir. Bu sınırlamanın, demokratik hukuk devletinin gereklerine ve Anayasanın “Temel hak ve hürriyetlerin sınırlanması“ başlıklı 13. maddesinde yer alan esaslara uygun olarak gerçekleştirilmesi gerekmektedir. Kişisel verilerin korunması ile ilgili kanunlarda özel nitelikli kişisel verileri kategorize edip saymak, veri sınıflandırması yapmak bütün belirsizliklerin bertaraf edildiği anlamına da gelmemektedir.
Hassas veri türleri bazen kolayca örneklendirilebilir: Bir işverenin çalışanlarının sendika üyeliği kaydı; Bir uçak yolcusunun dini inancına uygun yemek tercihini gösteren bilgi; Belirli bir kişi için tekerlekli sandalye erişiminin gerekli olduğunu belirten otel rezervasyon bilgisi; Bir çalışanın apandisit ameliyatı için hastanede olduğunu gösteren kayıt; Bir müşterinin striptiz kulüplerine gitmeyi sevdiğini açıklayan piyasa bilgisi; Bir kişinin uyuşturucu madde bağımlısı olduğunu gösteren hastane kayıtları; Bir kişinin kara para aklama suçunu işlediğini gösteren bilgi.(3*)
Kişisel verilerin korunmasına yönelik kanuna uygun sistem kurmayan kurumların ilgililerini yasa kapsamında kabahatler için 5.000 ile 1.400.000 TL arasında idari cezası, kapatma kararı ve suçlar için 1 yıldan 4,5 yıla kadar hapis cezası tehlikesi beklemektedir.
Kurumlarımızın özellikle Avrupa Birliği kişisel verileri koruma mevzuatı olan GDPR’ye dikkat etmeleri gerekmektedir. Aday ülke olarak bu kanunları takip ediyor ve mevzuatımızı güncelleşiyoruz. Türkiye’deki bir kurumun GDPR kapsamına girmesi son derece kolaydır. Bir AB vatandaşının kişisel verisini ihlal eden, ifşa eden ya da AB vatandaşının kişisel verisini yetkisiz erişime uğratan her kurum GDPR kapsamındaki cezalarla muhatap olacaktır.
GDPR cezaları ülkemize göre çok daha ağırdır, olayın büyüklüğüne göre 10.000.000 Euro ve 20.000.000 Euro veya küresel cironun %2’si ile %4’üne varan yüksek para cezaları bulunmaktadır.
Genel bilgi güvenliği önlemlerini almadan kişisel verileri tam anlamıyla önlemek mümkün değildir. İşte bu nedenle tüzel kişilerin ISO 27001 bilgi güvenliği yönetim sistemi, ITIL, COBIT gibi sistemleri takip etmeleri önerilmektedir. Veri güvenliği sadece siber güvenlik önlemleri alarak da gerçekleştirilemez, matbu ortamlardaki, kişilerdeki veriler de bu eko sistemin içindedir.
Kurumlarımızdaki en büyük kafa karışıklığı kişisel verilerin ne olduğunun yeterince kavranamamasıdır. Örneğin her kurumda KVKK kapsamına giren kişisel veriler şunlardır: Çalışanlara ait veriler; müşterilere ait kişisel veriler, ziyaretçilere ait kişisel veriler; tedarikçi ve paydaşlara ait kişisel veriler; çalışan adaylarına ait kişisel veriler tüm kurumlarımızı doğrudan ilgilendiren kişisel veri grupları. Kurumlar KVKK ile ilgili bir yönetim sistemi kurmak zorundadır. Her kurum KVKK ile ilgili eğitim vermeli, organizasyon yapısını oluşturmalı, kurumlarda kişisel verilerin korunmasına dair idari ve teknik tedbirleri almalıdırlar. Kişisel verilerin korunmasına yönelik olarak geliştirilen politika, prosedür, talimat ve formlar da KVKK ile ilgili bir dokümantasyonun oluşturulmasını bir doküman yönetimi sistemini de beraberinde getirmektedir. Çünkü birçok karar, tebliğ veya yasa değişikliğinde hazırlanan dokümanların revize edilmesi gerekmektedir.
Birçok kurumda sistemin kanunun ruhuna uygun olarak kurulamadığını görülmektedir. Örneğin KVKK ile ilgili organizasyonları İnsan Kaynakları veya BT Bölümlerine bağlamak bu kanunu yeterince anlamamış olmak demektir. KVKK ile ilgili kurulacak bir organizasyonun doğrudan Yönetim Kurulu’na bağlanması gerekmektedir.
Son olarak şunu belirtmek gerekir ki 50’den çok çalışanı olanlar veya bilançosu 25 milyonun üzerinde olanlar, ya da her iki şarttan birini taşıyan şirketler 2019 yılın Eylül ayına kadar KVKK ile ilgili sistemi kurup, yasaya uyum sağlayarak, Kişisel Verileri Koruma Kurumu Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) kayıt olmaları yasal zorunluluktur. Örneğin KHK ile düzenlenen taşeron yasası sonrasında belediye şirketlerinin çoğu bu kapsama girmektedir. Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenleri 20.000 Türk lirasından 1.400.000 Türk lirasına kadar idari para cezalar bekliyor. Kimse yasadan muaf değildir. Geçici muafiyet VERBİS kaydına ilişkin süre ile ilgilidir.
**
Kaynak: 2015-2018 Bilgi Toplumu Strateji ve Eylem Planı (1*), kvkk.gov.tr (2*), Doç. Dr. Cemil Kaya, Avrupa Birliği Veri Koruma Direktifi ekseninde hassas (kişisel) veriler ve işlenmesi, dergipak.gov.tr (3*)
