Kişisel verilerin güvenliği ile yasal düzenlemelerin etkilediği kesimlerin başında işi itibariyle kişisel verileri toplayan, saklayan ve işleyen meslek grupları geliyor. Avukatlar da meslekleri gereği farklı şekillerde kişisel veriler ile temas içinde bulunan gruplar arasında yer alıyor. Hatta kişisel verilerin avukatlık mesleğinin bir parçası haline geldiğini söylemek abartılı olmaz. Dolayısıyla, kişisel verilerin saklanması ve işlenmesine ilişkin düzenlemelerin kapsamında avukatlar da yer alıyor.
Durum böyle olmasına rağmen hem dünya da hem de Türkiye’de avukatlar veri ihlalleri ile sık sık gündeme geliyor. Yürürlüğe girdiği günden bu yana Facebook ve Microsoft gibi dünya devlerinde yaşanan veri ihlallerine ceza kesen Kişisel Verileri Koruma Kurumu’nda kişisel veriler ile ilgili düzenlemelere riayet etmeyen avukatlar da nasibini aldı.
BİR SMS’E 50 BİN TL CEZA
Geçtiğimiz sene bir avukata KVKK tarafından kesilen ceza uzun süre gündemdeki yerini korudu. Bir şirketler grubunun avukatlığını yapan kişi, gruba borçlu olan bir şahsın yeğenine borç meselesi ile ilgili SMS atınca konu KVKK’ya taşındı. Avukat işlemin bir personel hatası olduğunu savunsa da kurum bunu inandırıcı bulmadı ve avukata 50 bin TL ceza kesti. Kararın gerekçeleri arasında veri sorumlusu olan avukatın işleme düzenlemelerinden herhangi birine bağlı olmadan veriyi işlemesi yer aldı.
VERİ GÜVENLİĞİ İLKELERİ İÇSELLEŞTİRİLMELİ
Konuyla ilgili görüşlerine başvurduğumuz Kavlak Avukatlık Bürosu, yaptığı açıklamada avukatların kanuna göre ‘veri sorumlusu’ sıfatının bulunduğuna dikkat çekerek, avukatların kişisel verilerin hukuka aykırı olarak işlenmesini ve kişisel verilere hukuka aykırı olarak erişilmesini önleme yükümlülükleri olduğu vurgulandı.
KVKK, web sitesinde yayınladığı “Veri Sorumlusu ve Veri İşleyen” başlıklı dokümanda da veri sorumlusunu net bir şekilde tanımlıyor:
“Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından
ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder.”
Aynı dokümanda veri sorumlusunun aynı zamanda veri işleyen de olabileceğinin altı çizilerek, veri sorumlusunun tespiti için ‘toplanacak kişisel veri türleri, toplanan verilerin hangi amaçlarla kullanılacağı ve verilerin ne kadar süreyle saklanacağı’ gibi konularda karar verici olduğuna işaret ediliyor.
KİŞİSEL VERİLERİN ÜÇÜNCÜ KİŞİLERE İFŞA EDİLMESİNE 125 BİN TL CEZA
Avukatın veri sorumlusu olarak değerlendirildiği ve kanuna aykırı hareket ettiği için ceza aldığı bir başka olayda bu senenin başında yaşandı. KVKK’nın yayınladığı karar özetine göre, şikayetçi icra takibi yapan bir avukatlık bürosunun kendisine icra takibi ile ilgili attığı SMS’leri kardeşine de attığını belirterek durumu KVKK’ya taşıdı.
KVKK’nın savunmasını istediği avukat ise, KVKK’nın kamuoyu tarafından bilinmediği, içselleştirilmediği ve Kurul’un karar sayısının az olduğunu iddialarına savunmasında yer verdi. Savunma sonrasında KVKK avukatın, kişisel verilerin hukuka aykırı olarak işlenmesini ve kişisel verilere hukuka aykırı olarak erişilmesini önleme yükümlülüklerini yerine getirmediği ve genel ilkelere aykırı hareket ettiği sonucuna varılarak 125.000 TL idari para cezası uygulanmasına karar verdi.
Kararı değerlendiren Kavlak Avukatlık Bürosu uzmanları, KVKK’nın kararının başta ICO ve Avrupa’daki veri koruma otoritelerinin de konuya yaklaşımı ile benzeştiğini belirterek Kurul’un söz konusu kararındaki yaklaşım ve değerlendirmeleri de ilerleyen süreçler için emsal niteliğinde olabileceğine dikkat çekildi.
Kişisel Verileri Koruma Kurumu yayınladığı 2019/387 sayılı kurul kararı özeti ile veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorunluluğu bulunan kişisel verileri işleyen gerçek ve tüzel kişilerin sicile kayıt ve bildirim yükümlülüğünü yerine getirmeleri için verilen süreyi bir kez daha uzattı.
Yıllık çalışan sayısı 50’den fazla veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumlularına sicile kayıt ve bildirim yükümlülüğünü yerine getirmeleri için verilen süre 31 Aralık 20019 da dolacaktı. Kurul kararı ile bu süre 30.06.2020 tarihine kadar uzatıldı.
Kurul yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek veya tüzel kişi sorumlularının 30.09.2020,
Kamu Kurum ve Kuruluşu veri sorumluların sicile kayıt ve bildirim yükümlülüğünü yerine getirmesi için belirlediği sürenin ise 31.12.202 tarihine uzatılmasına karar verdi.
İŞLENEN VERİLERDE CİDDİ YANLIŞLIKLAR VAR
Kurul geçtiğimiz eylül ayında sektör temsilcilerinden gelen talep üzerine sicile kayıt için belirlenen son tarihi uzatarak yıl sonuna çekmişti. Kurul yayınladığı son duyuruda sürenin uzatılmasının nedenini girilen verilerin kanuna uygun olmaması olarak gösterdi:
“VERBİS veri tabanı üzerinden özellikle son günlerde iletilen bildirimlerle ilgili olarak yapılan araştırmada, bazı bildirimlerde işlendiği beyan edilen kişisel verilerle işleme amaçlarının, aktarım gerçekleştirildiği beyan edilen alıcı/alıcı gruplarının, veri konusu kişi gruplarının, alınan teknik ve idari tedbirlerin, özel nitelikli kişisel veriler için alınması gereken yeterli önlemlerin, yurtdışına veri aktarımının ve saklamaya ilişkin beyan edilen sürelerin örtüşmediği, bu konuda ciddi yanlışlıkların ve Kanuna/yönetmeliklere aykırılıkların olduğu görülmektedir.”
Konuyla ilgili sosyal medyada yorum yapan uzmanlar, bu durumun nedenlerinden birisinin de kanunun 18. maddesinde öngörülen yaptırımlarla karşılaşmamak adına KVKK tarafından belirlenen süre içerisinde bir kayıt gerçekleştirmek olduğunu ifade etti. 2020 yılında VERBİS ve kişisel verileri ile ilgili çalışma ve tartışmaların yoğunluğunun artarak devam edeceği belirtiliyor.
Siber Bülten olarak 2020’nin ülkemizdeki kişisel veri güvenliğinin olgunluğa eriştiği bir yıl olmasını diler, yeni yılınızı kutlarız.
Siber Bülten abone listesine kaydolmak için formu doldurunuz
Günümüzde pek çok sektörde kullanılmaya başlanana yapay zekâ ve makine öğreniminin öne çıkan özellikleri arasında, verileri programatik araçlardan ve insandan çok daha hızlı analiz edebilmesi ve verilerin nasıl işleneceğini kendi kendine öğrenebiliyor olması bulunuyor.
Özellikle son yıllarda hem kamu hem de özel sektörde sıklıkla kullanılan profilleme ve otomatik karar verme sistemleri, artan verimlilik ve kaynakların korunması bakımından bireylere ve kurumlara çeşitli faydalar sunarken aynı zamanda riskleri de beraberinde getiriyor. Bu sistemlerin aldığı kararlar bireyleri etkileyebiliyor ve karmaşık yapısı dolayısıyla kararlarının gerekçesini izlemek mümkün olamayabiliyor. Örneğin, yapay zekâ, bir kullanıcıyı belirli bir kategoriye kilitleyip, önerilen tercihlere göre kısıtlayabiliyor. Bu, dolayısıyla onların kitap, müzik veya haber yazısı gibi belirli ürün ve hizmetleri seçme özgürlüklerini de daraltabiliyor. (Article 29 Data Protection Working Party, WP251, sf.5)
Mayıs ayında Avrupa’da yürürlüğe girecek olan GDPR, profilleme ve otomatik karar vermenin bireylerin hakları üzerinde olumsuz bir etki doğuracak şekilde kullanılmaması için çeşitli hükümler barındırıyor. GDPR, profillemeyi madde 4’te şöyle tanımlıyor: “Profilleme, belirli bir şahısla ilgili onun kişisel yönlerini değerlendirmek için kişisel verilerinin kullanılması; özellikle bu kişinin işteki performansı, ekonomik durumu, sağlık bilgileri, ilgi alanları, güvenilirlik, davranış, konum veya hareketlerinin analiz edilmesi veya tahmin edilmesidir.” (WP251, sf.6) Profilleme, çeşitli kaynaklardan bireylerle ilgili elde edilen verilerin kullanılarak, kişilerle ilgili tahminlerde bulunmada kullanılır. Bu açıdan, yaş, cinsiyet, kilo gibi özelliklere dayanarak bireylerin değerlendirilmesi ya da sınıflandırılması olarak da düşünülebilir.
Otomatik karar verme ise insan müdahalesi olmaksızın teknolojik araçlarla (yapay zekâ gibi) karar verme özelliğidir. Otomatik karar verme herhangi bir veri türüne dayanabilir. Örneğin, kişiler tarafından doğrudan sağlanan veriler (ankete verilen cevaplar); kişilerden sağlanan veriler (uygulama aracılığıyla konum verisinin toplanması); önceden oluşturulmuş, türetme ya da sonuç çıkarmaya dayalı bireyin profili.
Potansiyel bir profilleme için ise üç yol vardır:
-i. Genel profilleme,
-ii. Karar verme temelli profilleme,
-iii. Yalnızca otomatik karar verme içeren profilleme (madde 22)
(ii) ve (iii) arasındaki fark, (ii)’de tamamen otomatik araçlarla üretilen bir profile dayalı insan kararı vardır. (iii)’te ise kararı algoritma verir ve karar anlamlı insan girdisi olmaksızın bireye otomatik olarak teslim edilir. (WP251, sf.8)
Burada karşılaşılacak önemli sorular ise şunlardır:
-Algoritma bu verilere nasıl erişiyor?
-Verinin kaynağı doğru mu?
-Algoritmanın verdiği karar, kişi üzerinde yasal etkiler doğuruyor mu?
-Bireyler otomatik işlemeye dayalı verilen karar karşısında birtakım haklara sahip olabilir mi?
-Veri sorumluları bu durumda ne gibi önlemler almak zorunda?
Günümüzde çoğu şirket müşterilerinin davranışlarını onlardan topladıkları verilerle analiz edebiliyor. Örneğin, bir sigorta şirketi, sürücünün sürüş davranışlarını izleyerek sigorta primlerini otomatik karar verme yoluyla belirleyebilir. Bunun yanında özellikle reklam ve pazarlama uygulamalarında farklı kişilerin verilerinden yola çıkarak yapılan profilleme ve otomatik karar verme sistemleri, diğer bireyler üzerinde de etkili sonuçlar doğurabiliyor. Varsayımsal olarak, bir kredi kartı şirketi, bir müşterinin kart limitini, kendi ödeme geçmişine dayanmadan aynı bölgede yaşayan ve aynı mağazadan alışveriş yapan diğer müşterileri analiz ederek azaltabilir. Dolayısıyla bu, başkalarının eylemlerine dayalı olarak, bir fırsattan mahrum kalma anlamına gelir.
Hataların hesabı veri sorumlusundan sorulacak
Bu nokta dikkat edilmesi gereken husus, toplanan veya paylaşılan verilerdeki hatalar ya da önyargılar otomatik karar verme sürecinde yanlış sınıflandırmalara ve kesin olmayan sonuçlara dayalı değerlendirmelere neden olup bireyler açısından olumsuz etkiler doğurabilmesidir. Kararlar güncel olmayan verilere dayanabilir ya da dışarıdan alınan veriler sistem tarafından yanlış yorumlanabilir. Yani otomatik karar vermede kullanılan veri doğru değilse bu durumda sonuçtaki karar ya da profilleme de doğru olmayacaktır.
Yapay zekâ ve makine öğrenmesinin kullanıldığı bu gibi sistemlerde oluşabilecek benzeri muhtemel hatalar karşısında “veri sorumlusunun” birtakım yükümlülükleri doğacaktır. Veri sorumlusu, kullanılan ya da dolaylı olarak elde edilen verilerin doğru ve güncel olması için yeterli önlemleri almalıdır. Ayrıca verilerin saklanma süreleri de doğruluk ve güncelliğin sağlanması için sakıncalar yaratabileceği gibi, orantılılık ilkesi ile de çelişeceğinden uzun süreli veri saklanması konusunda da veri sorumlusu gerekli adımları atmalıdır.
Diğer önemli husus ise özel nitelikli kişisel verilerin bu sistemlerce işlenip kullanılmasıdır. GDPR, özel nitelikli kişisel verilerin işlenmesinde ilgili kişinin açık rızasını aramaktadır. Ancak, bu durumda veri sorumlusunun unutmaması gereken şey, profillemenin özel nitelikli kişisel veri olmayan verilerin birleşimi ile özel nitelikli kişisel veri oluşturabilir olmasıdır. Örneğin, bir kişinin sağlık durumu, gıda alışverişi kayıtlarından, gıdaların kalite ve enerji içeriği ile ilgili verilerinden elde edilmesi ile mümkün olabilir. (WP251, sf.22)
GDPR, verileri kullanılarak otomatik karar verme işlemlerinden etkilenen kişilerin bu durum karşısında bazı hakları olduğundan da bahseder. GDPR’ın temelini oluşturan şeffaflık ilkesi göz önüne alındığında, madde 13 ve 14’e göre, veri sorumlusu bireylere açık bir şekilde profilleme veya otomatik karar verme sürecinin nasıl işlediğini açıklamalıdır.
Profilleme, hata riskini artıran bir tahmin unsuru içerebilir. Girdi verileri yanlış veya alakasız olabilir ya da bağlam dışı kalabilir. Bireyler kullanılan verilerin ve gruplandırmanın doğruluğunu sorgulamak isteyebilir. Bu noktada, madde 16’ya göre, ilgili kişinin düzeltme hakkı da söz konusu olacaktır.
Benzer şekilde, madde 17’de belirtilen silme hakkı da bu çerçevede ilgili kişi tarafından talep edilebilir. Profillemenin temeli için rıza gösterilirse ve bu rıza sonradan geri çekilirse veri sorumlusu profilleme için başka yasal dayanak olmadığı sürece ilgili kişinin kişisel verilerini silmek zorundadır.
Çocukların kişisel verilerinin önemi
Profilleme ve otomatik karar vermede dikkat edilmesi gereken bir başka nokta ise çocukların kişisel verilerinin kullanılmasıdır. Çocuklar özellikle çevrimiçi ortamlarda daha duyarlı olabilir ve daha kolay etkilenebilir. Örneğin, çevrimiçi oyunlarda profilleme, algoritmanın daha fazla kişiselleştirilmiş reklam sunmasının yanı sıra, oyunda para harcamasının daha olası olduğunu düşündüğü oyuncuları hedeflemesi için de kullanılabilir. GDPR madde 22’de işlemenin çocuklar ve yetişkinler ile ilgili olup olmadığı konusunda ayrım yapmıyor. Ancak yine de çocuklar bu tür pazarlama çalışmalarından kolayca etkilenebileceği için, veri sorumlusu, çocuklar için uygun önlemleri almalı ve bu önemlerin çocukların haklarını, özgürlüklerini ve meşru çıkarlarını korumada etkili olduğundan emin olmalıdır.
Sonuç olarak, yapay zekâ ve makine öğrenimi gibi sistemlere dayanarak yapılan profilleme ve otomatik karar verme, birey hakkında önemli sonuçlar doğurabilir. Bu teknolojiyle bağlantılı olarak toplanan verilerin, kişilerin rızası alınarak toplanması ya da yasal bir zemine oturtulması gerekir. Akabinde kullanılacak olan bu verilerin toplandıkları amaçla bağlantılı olarak kullanılması da önemlidir. Sistemin aniden alışılmadık kararlar almaya başlaması halinde ne gibi yol haritaları izleneceği de dâhil olmak üzere, veri sorumlusu gereken önlemleri almalı ve ilgili kişilerin hak ve özgürlüklerini de gözetmelidir.
Siber Bülten abone listesine kaydolmak için formu doldurun
