Kişisel Verilerin Korunması Kanununun (KVKK) yürürlüğe girmesinin üzerinden 3 yıl geçmesine rağmen, KVKK uyum süreçlerinin kimlerce daha iyi yürütüleceği bugünün en sıcak tartışmalarından biri. Bu konuya ilişkin olarak Ömer Altundal’ın 19 Kasım 2019 tarihinde “KVKK her kurumda süreci kimin yönettiğine göre şekil alıyor” başlıklı yazısına cevaben birkaç hususa değinmek istiyorum.
Konuya ilişkin olarak, öncelikle ve temelde şuna odaklanmak gerekir diye düşünüyorum: “KVKK verileri değil bireyleri korumayı hedefliyor.” Bu, verinin kişilerden ilk elde edildiği andan Şirketler bünyesinde kullanılması, saklanması, aktarılması vb. süreçlere kadar büyük bir aralığı kapsıyor. Bu süreçlerde ise KVKK’nın veri sorumluları için öngördüğü yükümlülüklerin yerine getirilmesi gerekiyor. Bu yükümlülükleri ise birbirinden ayrık düşünmemek ve/veya birini diğerinden üstün tutmamak gerektiği kanaatindeyim.
Ömer Altundal’ın yazısına birçok hususa değinerek cevap vermek istiyorum:
“Örneğin bir aydınlatma metninin yazılması için tekrar tekrar toplantılar yapılıp, “virgülü nereye koysak, enter’a 2 defa basıp paragrafın arasını açsak mı” gibi kanunun amacından çok çok uzak konularda patinaj çekilebiliyor.”Ö.A.
Aydınlatma metni hazırlanmasını sadece veri sorumlusunun bir yükümlülüğü olarak düşünmemek lazım. Bu aynı zamanda veri sahiplerinin hakkı olarak da karşımıza çıkıyor. Ayrıca veri sahiplerinin kendi verileri ile ilgili denetim ve kontrol sahibi olmasında da büyük rol oynuyor. Kanunun 10. maddesine bakıldığında, kişisel verilerin elde edilmesi sırasında veri sorumlusu bizzat veya yetkilendirdiği kişi aracılığıyla aşağıdaki bilgileri ilgili kişiye sağlamakla yükümlü:
-Veri sorumlusunun ve varsa temsilcisinin kimliği,
-Kişisel verilerin hangi amaçla işleneceği,
-Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
-Kişisel veri toplamanın yöntemi ve hukuki sebebi,
-11. maddede sayılan diğer hakları.
Özellikle 11. madde kapsamında tanınmış haklar vasıtasıyla kişiler, verileri üzerinde denetim ve kontrolü sağlayabiliyor. Bu haklar ise Kanunda şöyle sıralanmış:
-Kişisel verilerinin işlenip işlenmediğini öğrenme,
-Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
-Kişisel verilerinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
-Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
-Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
-Kişisel verilerin silinmesini veya yok edilmesini isteme,
-Kişisel verilerin düzeltilmesi, silinmesi veya yok edilmesine ilişkin işlemlerin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
-İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
-Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.
Bu yüzden “Aydınlatma metni, veri sahibinin itiraz süreci vb konular daha çok “şeffaflaşma” ile ilgili konular.” olmaktan bir adım daha öteye gidiyor. Bununla birlikte aydınlatma metni hazırlanması sürecini kopyala-yapıştır şeklinde basite indirgememek gerekiyor. Değişen koşullar üzerine güncellenmesi ve varsa hata ve eksiklerin giderilmesi de KVKK’daki ilkelere uygun hareket etme bakımından önemli. Ayrıca kişilerin anlayacağı sadelikte, kullanıcı dostu, katmanlı aydınlatmaların yapılmasına önem veriyoruz. Kurum’un da belirtiği üzere aydınlatma metinlerinde “açık, anlaşılabilir ve sade bir dil kullanılması” gerekir.
Öte yandan kişisel verilerin korunmasıyla veri güvenliği arasındaki ilişkiye farklı bir bakış açısı getirilmesinin yararlı olacağı düşüncesindeyim. Veri güvenliği, doğrudan verilerin güvenliğini hedeflemektedir. Ancak bu veriler, kişilerle ilgili olduğu ölçüde veri güvenliği, kişisel verilerin korunmasına hizmet edecektir. Bu yüzdendir ki veri güvenliği değil “kişisel verilerin korunması” denmiştir().
Bu noktada, kişisel verilerin güvenliğinin sağlanması bakımından, elbette IT uzmanlarıyla birlikte hareket edilmesi gerekli. Ancak bunu kişisel verilerin korunmasının esası olmaktan ziyade bir parçası olarak görmek doğru olacaktır. Çünkü amaç bireyleri ve onların mahremiyetini korumaktır. Bunu yapmanın yollarından biri de Şirket bünyesinde kişisel veri de barındıran sistemlerin güvenliğine ilişkin teknik tedbirlerin alınmasıdır. Ancak teknik tedbirlerin yanında çalışanlara kişisel verilerin güvenliğine ilişkin düzenli eğitimlerin verilmesi ya da Şirketin imzalayacağı sözleşmelerde gizlilik ve kişisel verilerin korunmasına yönelik hükümlere yer verilmesi de diğer bazı önemli hususları oluşturuyor.
Kurum, uyum sürecinde yardımcı birçok rehber, kılavuz ve doküman hazırlanmış hatta “ALO 198”i kurmuş olsa da kabul edelim ki uyum sürecinin sağlıklı bir şekilde tamamlanabilmesi hukukçuların da bu süreçte yer almasına bağlıdır. Yapılan işin 1136 Sayılı Avukatlık Kanunu kapsamında olması bir yana, söz konusu düzenlemenin yorumlanması, uygulanması ve yaşanabilecek hak ihlallerinin önüne geçilmesi bakımından hukukçuların bu sürecin dışında tutulmasının sağlıklı sonuçlar doğurmayacağını ifade etmek gerekiyor.
Kurum’un konuyla ilgili yaptığı açıklamada da altını çizdiği gibi “bu yükümlülüklerin ancak disiplinler arası ortak bir çalışmanın neticesinde yerine getirilebilir olduğu”dur. Disiplinler arası çalışmak önemli olduğu kadar da zor bir öğrenme süreci gerektirmektedir. Farklı altyapılarda ve değişik akademik çalışma alanlarından gelen insanlar arasında bir ortak dil oluşturulması çalışmalardan verimli sonuç alınması için bir zorunluluk haline gelmiştir.
Yazının başında da belirttiğim gibi, uyum süreçlerinde düzenlemenin öngördüğü yükümlülükleri birbirinden ayrık düşünmemek lazım. Bu yükümlülüklerin yerine getirilmesi teknik bazı çalışmaları da içereceğinden, IT uzmanları ve hukukçuların birlikte hareket etmesi de bu sürecin doğal bir sonucu olacaktır. Bu yüzden en iyi kim yapar değil de, “birlikte en iyi nasıl yaparıza” odaklanalım derim.
Siber Bülten abone listesine kaydolmak için formu doldurunuz
Çok aydınlatıcı bir yazı elinize sağlık. IT yerine BT kullanılmasının daha doğru olacağını düşünüyorum. Saygıyla…