KVKK Kişisel Verilerin Korunması Kanunu ve General Data Protection Regulation (GDPR) Ekseninde Regülatif Görünümden Kesitler
Çiğdem Yorgancıoğlu- Cigdem Yorgancioglu
22 Mayıs 2018
ABD Başkanı Donald Trump'un seçim kampanyası ekibinde görev alan Londra merkezli veri analizi şirketi Cambridge Analytica’nın (CA), , 87 milyon Facebook kullanıcısının hesaplarından bir nevi psikometri tekniğiyle ABD seçmeninin davranışlarını öngörüp tercihlerini etkileme gayesiyle izinsiz olarak topladığı verileri ABD ve İngiltere'deki seçimleri etkilemek için kullandığı iddiasının ve Facebook'un kişisel verilerin 2015 yılının sonlarında toplandığını fark ettiği ancak kullanıcılarını uyarmadığının beyanlarının yarattığı sansasyon ve medyayı sallamasının üzerinden yaklaşık iki ay geçti. Skandalda doğrudan taraf olmasa dahi verilerin kullanılmasının önünü açarak sorumlu tutulma durumuna gelen, Facebook’un hadiseye doğrudan taraf olmaktan ziyade üçüncü parti iş ortaklarıyla çalışma biçiminde, firmalara bu derece kontrolsüz bir şekilde kişiselleştirilmiş veri aktarılmasını sağlayarak aslında bu işe bir nevi çanak tuttuğu görüşü hakim olması bir nebze de olsa sansasyonun önünü kesemediği gibi, kontrolsüz ilerlemeci teknolojik sıçramaların manipülasyon.yolu da dahil olmak üzere İnsan hakları özelinde kişiye ne derece zarar verebileceğinin farkıdalığının yanısıra Kişisel Verilerin Korunmasına yönelik regülasyonların ne derece önemli olduğunu bir kez daha anımsattı.
Türkiye’de 6698 Sayılı KVKK (Kişisel Verilerin Korunması Kanununun Resmi Gazete de yayımlanarak yürürlüğe girdiği 7.Nisan.2016 tarihinden bu yana gerek yürüttükleri hizmet ve gerekse de içerdikleri Yasal Süreçler özelinde bakıldığında süreci ilk başlatan sektörler Bankacılık ve Sigortacılık Kurumları olarak gözükmekte. teknik ve idari tedbirler özelinde baktığımızda uzunca bir süredir BDDK’nın Bilgi Sistemleri Yönetiminde Esas Alınacak İlkelere İlişkin Tebliği’ne tabi olan ve bilgi sistemleri alanında düzenli şekilde denetlenen kurumsal yapılarda ki bankalar da bu kategoride yer almakta sözkonusu tedbirlerin pek çoğunun hali hazırda uygulamada olduğu görülmekte. Keza SPK’nın uygulamasına başladığı Bilgi Sistemleri Yönetimi Tebliği uyarınca da SPK denetimindeki kurumlarda da bu tedbirlerin bir çoğu uygulama sürecinde. Artık Veri Sorumlusu sıfatıyla Kanun’un “Veri Sorumlusunun Aydınlatma Yükümlülüğü” başlıklı 10. maddesi üzeriine bir hayli konuşacağımız bir döneme giriyoruz. Anılan sektörlerde dahil olmak üzere pek çok iş kolunda müşterilerin Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,Kişisel verilerin silinmesini veya yok edilmesini isteme, Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme Kişisel verilerin düzeltilmesi, silinmesi ya da yok edilmesi halinde bu işlemlerin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme vb haklarının doğduğu bir dönemde Sözkonusu kanunun iki yıllık geçiş sürecinin 7.Nisan.2018 tarihinde dolduğunu da düşünürsek konuya ilişkin uzun bir süre daha düşünüp değerlendirmelerde bulunacağız. kişisel verileri işlenen gerçek kişileri yanısıra sözkonusu kısmen ya da tamamen otomatik veyahut herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen toplayan, muhafaza eden,, düzenleyen, değiştiren, yurtiçi ya da yurtdışına aktaran, açıklayan, alenileştiren, ifşa eden gerçek ve tüzel kişiler hakkında uygulanacak olan Kanun hükümlerinin gereği gibi anlaşılmaması neticesinde Kişisel verileri hukuka aykırı (Türk Ceza Kanunu ) olarak kaydedenlerin 1 yıldan 3 yıla kadar TCK madde 135) [i], hukuka aykırı olarak veren veyahut ele geçirenlerin 2 yıldan 4 yıla kadar, verileri yok etmeleri gerektiği halde yok etmeyenlerin 1 yıldan 2 yıla kadar hapis cezasıyla karşı karşıya kalmasının sözkonusu olabileceği de unutulmaması gereken husulardır ki ayrıca KVKK’da veri sorumlusuna yüklenen belirli yükümlülükleri ifa etmeyenlere Kurul tarafından 5 bin ila milyon Türk lirası idari para cezası verilebileceği de altı çizilmesi gereken bir başka konudur. Bu bağlamda tüm bileşenler alt alta konduğunda veri koruma yönetiminden kişisel verilerin işlenmesine,, veri koruma politikalarının oluşturulmasından konuya ilişkin , eğitim ve farkındalık çalışmalarının geliştirilmesine , denetim ve uyumluluk kontrollerine ve dahi veri koruma ve gizliliğe yönelik etki analizine ilişkin pek çok çalışma yapılması gerekliliği aşikardır.
Öte yandan kişisel veriyi işleyen kurumlar için kayda değer bir dönüşümü de beraberinde getiren ve kurumların : emanet aldıkları kişisel verilerle ilgili hesap verebilir olmak için Bilgi Güvenliği meselesi merkeze alınarak başta Erişim Güvenliği olmak üzere yazılım yetkilendirmeleri ,cihaz Kontrolü, veri tabanı yetkilendirmeleri, ağ Erişim yekilendirmeleri , P kontrolü, veri aktarım kontrolü, veri maskeleme, alarmlar gibi birçok güvenlik protokolü özelinde geliştirmeler gibi husularda neler yapması gerekliliği ile çalışmalar da hız kesmeyecek. İlaveten, Veri sahibinin rızası,Veri sahibi ile imza edilmiş bir sözleşmenin uygulanabilmesi veya sözleşmenin yürürlüğe girebilmesi bakımından veri işlemenin gerekli olması,hukuki bir yükümlülüğe uyumluluk içinde işlemenin gerekli olması,Veri işlemenin veri sahibinin veyahut bir başka kişinin yaşamsal faaliyetleri bakımından gerekli olması,Kamu yararının sağlanması üzere gerçekleştirilen işlemler yahut veri sorumlusuna verilmiş kanuni bir yetkinin icrası bakımından veri işlemenin gerekli olması, Veri sorumlusunun haklarını, özgürlüğünü kısıtlamamak kaydıyla; veri sorumlusu yahut üçüncü kişi tarafından hukuki bir yararın sağlanması bakımından veri işlemenin gerekli olması gibi GDPR madde 67’da düzenlenmiş hükümlerde KVKK’nın GDPR ile uyum yükümü altındakilerin belirlemesi ve dokümante etmesi gerekli görülen hukuka uygun işleme koşulları yine gündemdeki yerini koruyacaktır .
.
Avrupa Parlamentosu 14 Nisan 2016 tarihinde gerçekleştirilen oylamayla -General Data Protection Regulation (GDPR) kabul edilmişti ve yürürlüğe girmesinin de eli kulağında Gerek AB Vize Serbestisi görüşmelerinde yer alan başlıklardan birisi olması ve AB Müktesabatına uyum konusundaki Fasılların maddelerinden birisi olması hasebiyle mevcut konjonktürde ertelenmesi veya yürürlükten kaldırılması öngörülmeyen KVKK gerekse GDPR uygulamaları sonrası veri güvenliğine ilişkin hassasiyetlerin artması hasebiyle kurumların iş yapış şekilleri kökten değişeceği gibi tüketiciler artık izinsiz mesajlara maruz kalmayacak,.
Öncelikle GDPR ile ilntili olarak Avrupa veri koruma kanunu ile ilgili El Kitabını tavsiye etmekte fayda var. Mezkur El Kitabı, veri koruma alanında uzman olmayan kişileri bu yasa alanıyla tanıştırmak için tasarlanmış Avrupa veri koruma kanunu için kapsamlı bir kılavuzdur. Avrupa Konseyi ve Avrupa Birliği'nin geçerli yasal çerçeveleri hakkında genel bir bakış sunmakta ve hem Avrupa İnsan Hakları Mahkemesi hem de Avrupa Birliği Adalet Divanı'nın temel içtihatlarını açıklamaktadır.[ii]
Esasen GDPR özelinde düşündüğümüzde AB’’(Avrupa Birliği) nin konu üzerindeki ilk düzenlemesi 1950 tarihlere kadar gitmeke. Avrupa İnsan Hakları Sözleşmesi’ nin “Özel ve Aile Hayatına Saygı” kenar başlıklı 8. maddesinde “Herkes özel ve aile hayatına, konutuna ve yazışmasına saygı gösterilmesi hakkına sahiptir. Bu hakkın kullanılmasına bir kamu makamının müdahalesi, ancak müdahalenin yasayla öngörülmüş ve demokratik bir toplumda ulusal güvenlik, kamu güvenliği, ülkenin ekonomik refahna yönelik gerekli bir tedbir olması durumunda söz konusu olabilir.” hükmü bunun bir göstergesiidir. .
Convention 108 for the Protection of Individuals with Regard to Automatic Processing of Personal Data olarak bylinen 1981 senesinde yürürlüğe giren Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunmasına ilişkin 108 sayılı Konvansiyon[iii] veri korumasına dair bağlayıcılık açısından ilk düzenlemelerdendir ve bu Konvansiyon, gerek Avrupa Birliği üyesi ülkeler bakımından hem de üye olmayan ülkeler bakımından katılıma açık olması esası ile gündeme gelmesine binaen Türkiye de verilerin korunması bakımından AB uyumluluk çalışmaları çerçevesinde 108 sayılı Konvansiyona yönelik çalışmalar gerçekleştirmiştir. Son olarak 30.01.2016 itibarıyla kabul edilen 6669 sayılı Kişisel Verilerin Otomatik Olarak İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesinin Onaylanmasının Uygun Bulunduğuna Dair Kanun ile 108 sayılı Konvansiyonu onaylamıştır. 2108 sayılı Konvansiyonu müteakiben Avrupa Birliği nezdinde tam teşekküllü ilk düzenleme olarak adledilen ve 1995 yılında yürürlük kazanmış olan Kişisel Verilerin İşlenmesi ve Bu Tür Verilerin Serbest Dolaşımına Dair Bireylerin Korunmasına İlişkin 95/46/EC Direktifi (Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the Protection of Individuals with Regard to the Processing of Personal Data and on the Free Movement of Such Data) temelde AB vatandaşlarının mahremiyetinin ve toplanan kişisel verilerinin korunmasına ilişkin bir düzenleme olup, direktifin gayesi birinci maddesinde yer aldığı şekliyle “kişisel verilerin işlenmesi bakımından, bireylerin temel hak ve özgürlüklerinin korunması ve üye devletlerce verilen serbest dolaşımını engelleyecek düzenlemeler yapılmasının önüne geçilmesi” olarak belirlenmiştir. GDPR’ a uyumluluk süresi olarak yürürlük tarihinden itibaren iki yıllık bir süre öngörülmüştü ve bu süre de 25 Mayıs 2018 tarihi itibariyle sona erecek. Bu tarihe kadar Avrupa Birliği içinde, Avrupa Birliği vatandaşlarının verilerine erişim bakımından veri sorumlusu “controller” ve veri işleyen “processor” her bir şirket bakımından GDPR’ a uyum yükümünün yerine getirilmesi söz konusu. “controller” ve “processor terimlerinin GDPR içerisindeki tanımı, 95/46/EC ile 95/46 direktifi göz önünde bulundurularak düzenlenmiş bulunan Kişisel Verilerin Korunması Kanunu “KVKK” tanımları ile temel noktalarda benzerlik göstermekle, veri işleyen bakımından herhangi bir veri kaybı durumunda kayda değer biçimde daha fazla hukuki sorumluluk yüklüyor olması gibi spesifik yükümlülükler öngörülürken ,. Veri sorumluları ise, veri işleyenin dahil olduğu durumlarda özellikle sözleşmelerinin GDPR uyumluluğunu sağlamak zorunda. Tüm bunların yanında uyumluluk yükümün doğması bakımından spesifik kriterlere baktığımızda :Bir AB ülkesi içerisinde var olma,,AB içerisinde bulunulmasa da Avrupa’ da yaşayan (European Resident) kişilerin kişisel verilerini işleme,,250′ den fazla çalışanı olma,250′ den az çalışanı olmakla birlikte veri sahiplerinin hak ve özgürlüklerine etki eden veri işleme süreçlerinin bulunması ya da belli özel nitelikteki kişisel verileri içerme gibi unsurları görmekteyiz.
GDPR’ ın koruma alanı 95/46/EC direktifiyle 1998 senesinde İngiltere’ de yürürlüğe girmiş olan Veri Koruması Kanunu’ nda (Data Protection Act “DPA”)[iv] olduğu gibi kişisel veri olmakla, GDPR’ ın tanımı daha teferruatlı ve IP adresi gibi online belirteçlerin de kişisel veri olarak kabul edilebilir olduğu hususunu açıkça dile getirmekte. Bu haliyle GDPR’ daki daha geniş kapsamlı tanım, sektörler arası veri işleme biçimleri göz önünde bulundurularak ve teknolojinin değişkenliği de hesaba katılarak kaleme alınmış gibi görünmekte. Regülasyonla belirlenmiş spesifik kriterler çerçevesinde otomatik olarak işlenen veriler ile manuel şekilde dosyalama sistemleri aracılığıyla işlenen kişisel veriler GDPR’ ın muhafazası altına girmekte. Bu düzenleme 95/46/EC ile Data Protection Act ( DPA) tarafından bakıldığında GDPR ile daha geniş bir kapsama tekabül etmekte.
KVKK ile birlikte özel nitelikli veri olarak tanımlanan direktif e ilişkin düzenlemeler bakımından ise hassas kişisel veri (sensitive personal data) olarak tanımlanan veri biçimi GDPR madde 9 ile kişisel verilerin özel kategorileri (special categories of personal data) olarak tanımlanmakta olup, tanım görece mülga düzenlemeyle örtüşmekle beraber özel kategoriye giren bu veriler bakımından herhangi bir kişiyi özellikli olarak tanımlamaya yarayacak genetik ve biometrik veriler olarak alınabilir. GDPR ile detaylandırılmış bir diğer husus ise verilerin hukuka uygun işlenmesi. GDPR çatısı altında veri işlemenin hukuka uygunluğu bakımıdan uyumluluk yükümü olanların, kişisel veri işleme faaliyetlerine başlamadan önce çoğunlukla “işleme koşulları” olarak tanımlanan hukuka uygun bir temel belirlemeleri ve bu hukuka uygunluk temelini dokümante etmeleri gerekmekte. Hukuka uygunluk temeli oluşturma bakımından ise GDPR ile birlikte gelen değişikliklerden bir başkası da verileri işlenen kişilerin haklarının belirlenen temele göre değişiklik gösterebilecek olmasıdır ki . uyum yükümü altındaki bir şirketin veri toplama temeli veri işlenen kişi/lerin rızasına dayanmakta ise, başka bir deyişle kişilerin rızası hukuka uygunluk temeli olarak belirlenmişse; bu noktada verisi işlenen kişinin veri işleyene karşı kullanabileceği daha güçlü haklara sahip olacağı; söz gelimi verilerinin silinmesini talep edebileceği gibi konular bu bağlamda düşünülebilir.
Bu esnada 5651 Sayılı içerik sağlayıcı, yer sağlayıcı, erişim sağlayıcı ve toplu kullanım sağlayıcıların yükümlülük ve sorumlulukları ile internet ortamında işlenen belirli suçlarla içerik, yer ve erişim sağlayıcıları üzerinden mücadeleye ilişkin esas ve usulleri düzenlemek amacıyla çıkarılan “İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun” ile kurumların Internet erişim ve iç IP adres bilgilerini kayıt altına alarak saklama zorunluluğunun Emniyet Genel Müdürlüğü (EGM) [v] Siber Suçlarla Mücadele ekiplerinin bu kayıtları almaya yönelik girişimlerinde kanun gerekliliklerini icrası konusunda boşlukların dolması açısından ihlalde bulunan kurumlara idari yaptırıma gidilmesi gerekliliği konuları da parallel olarak gündeme getirilen hususlardandır.
Boğaziçi Üniversitesi’nde 1 Mart 2018'de Albert Long Hall'de Kişisel Veriler ve Siber Güvenlik Zirvesi isimli ve Siber Güvenlikte Güncel Tehditler,Kişisel Verilerin Korunması Kanunu (KVKK) Teknik Uygulamaları,KVKK Hukuki uygulamaları, Kritik Alt Yapılar ve Güvenliği, Kişisel Verilerin Korunması İçin Alınabilecek Teknik Önlemler Veri Etiketleme ve Sınıflandırmanın Önemi,Kişisel Veri İhlalleri ve Yapay Zeka,Platform Bağımsız Güvenlik Operasyon Merkezi,Siber Güvenliğin Kurumsal Boyutu gibi pek çok konunun irdelendiği etkinliğin ardından 14 Mayıs 2018 tarihinde İstanbul Barosu Bilişim Hukuku Komisyonu - Uygulama için Kişisel Verilerin Korunması başlıklı konferans etkinliğine İstiklal Caddesi’ndeki İstanbul Barosu Konferans Salonunda bizzat iştirak ettim İstanbul Barosu Başkanlığı Yönetim Kurulu Üyesi Av. Hasan Kılıç’ın açılış Konuşması’nın ardından AB Veri Koruması Genel Regülasyonu'na Dair Degerlendirmeler,KVKK Uyumluluk İçin Teknik Süreçler,Bankacılık ve Sigortacılık Sektöründe Kişisel Verilerin Korunması KVKK'nın Sağlık Sektörüne Etkileri ,İnsan Kaynakları Süreçlerinde KVKK E-Ticaret Sektöründe KVKK Uygulaması,VERBİS ve Kişisel Veri İşleme Envanteri,KVK Kurulunun Kararlarının Değerlendirilmesi gibi konular ele alındı. Yine bu hafta (yarın) 23 Mayıs 2018 tarihinde GDPR uyumluluk süresi müddet sonu arefesinde İstanbul Barosu Konferans Salonunda Yürürlük Arıfesınde Avrupa Genel Verı koruma tüzüğü "GDPR" konulu bir farkındalık konferası daha gerçekleşecek. Hukuk ve Ekonomi’de gelecek bölümlerde kaleme alacağım GDPR ve KVKK özelindeki Bilgi Güvenliği, Siber Suçlar, Siber Güvenlik, Özel Nitelikli Verilerin İşlenmesi, ve Özel Hayatın Gizliliği konulu makalelerimde, mezkur konferanslarda bahsedilen hususlara ve çıktılarından damıttığım değerlendirmelere de ayrıca değinilecektir.
[i] TCK – Türk Ceza Kanunu . Kişisel verilerin kaydedilmesi suçu Türk Ceza Kanunu m. 135’te “(1) Hukuka aykırı olarak kişisel verileri kaydeden kimseye bir yıldan üç yıla kadar hapis cezası verilir.(2) Kişisel verinin, kişilerin siyasi, felsefi veya dini görüşlerine, ırki kökenlerine; hukuka aykırı olarak ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin olması durumunda birinci fıkra uyarınca verilecek ceza yarı oranında artırılır. “ şeklinde, verileri hukuka aykırı olarak vermeye veya ele geçirme suçna dair ise TCK m. 136’da “Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, iki yıldan dört yıla kadar hapis cezası ile cezalandırılır.” düzenlemesi bulumakta.
[ii] Handbook on European data protection law---This Handbook is a comprehensive guide to European data protection law designed to familiarize people who are not specialized in the field of data protection with this area of law. It provides an overview of the Council of Europe’s and the European Union’s applicable legal frameworks and explains key jurisprudence of both the European Court of Human Rights and the Court of Justice of the European Union. https://www.coe.int/en/web/data-protection
[iii] Details of Treaty No.108 Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data https://www.coe.int/en/web/conventions/full-list/-/conventions/treaty/108
[iv] What is the Data Protection Act 1998?-- 1998's Data Protection Act (DPA) is the UK's data regulation law, which will, for the most part, be replaced by the EU's General Data Protection Regulation (GDPR) on 25 May, 2018. Up until that date, the DPA must be adhered to by companies and individuals collecting, storing and managing data within the UK. http://www.itpro.co.uk/data-protection/28085/what-is-the-data-protection-act-1998
[v] EGM Siber Suçlarla Mücadele Daire Başkanlığı https://www.egm.gov.tr/sayfalar/sibersuclarlamucadeledairebaskanligi.aspx
https://www.coe.int/en/web/data-protection
[1] TCK – Türk Ceza Kanunu . Kişisel verilerin kaydedilmesi suçu Türk Ceza Kanunu m. 135’te “(1) Hukuka aykırı olarak kişisel verileri kaydeden kimseye bir yıldan üç yıla kadar hapis cezası verilir.(2) Kişisel verinin, kişilerin siyasi, felsefi veya dini görüşlerine, ırki kökenlerine; hukuka aykırı olarak ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin olması durumunda birinci fıkra uyarınca verilecek ceza yarı oranında artırılır. “ şeklinde, verileri hukuka aykırı olarak vermeye veya ele geçirme suçna dair ise TCK m. 136’da “Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, iki yıldan dört yıla kadar hapis cezası ile cezalandırılır.” düzenlemesi bulumakta.
[1] Handbook on European data protection law---This Handbook is a comprehensive guide to European data protection law designed to familiarize people who are not specialized in the field of data protection with this area of law. It provides an overview of the Council of Europe’s and the European Union’s applicable legal frameworks and explains key jurisprudence of both the European Court of Human Rights and the Court of Justice of the European Union. https://www.coe.int/en/web/data-protection
[1] Details of Treaty No.108 Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data https://www.coe.int/en/web/conventions/full-list/-/conventions/treaty/108
[1] What is the Data Protection Act 1998?-- 1998's Data Protection Act (DPA) is the UK's data regulation law, which will, for the most part, be replaced by the EU's General Data Protection Regulation (GDPR) on 25 May, 2018. Up until that date, the DPA must be adhered to by companies and individuals collecting, storing and managing data within the UK. http://www.itpro.co.uk/data-protection/28085/what-is-the-data-protection-act-1998
[1] EGM Siber Suçlarla Mücadele Daire Başkanlığı https://www.egm.gov.tr/sayfalar/sibersuclarlamucadeledairebaskanligi.aspx
https://www.coe.int/en/web/data-protection
Comments