Hit enter after type your search item

AV.MÜH.ÖMER ÖZER ile KİŞİSEL VERİLERİN KORUNMASI

/

Kişisel verilerin korunmasının önemine yönelik olayın hem bilişim hem de hukuki yönüyle yakından ilgili olan Av. Müh. Ömer Özer ile bir röportaj gerçekleştirdik ve kişisel verilerin korunması üzerine konuştuk.

1. Öncelikle, kişisel veri nedir ve neden korunması gerekir ?

6698 Sayılı KVKK madde 3. (1-e) de kanunun tanımladığı üzere kişisel veri gerçek bir kişinin kimliğini belirli ya da belirlenebilir kılacak, gerçek kişiye ait her türlü bilgidir. Kişisel veri tanımında dikkat edilmesi gereken temel hususlar, verinin bir gerçek kişiye ait olması koşulu ile kimliği belirli ya da belirlenebilir kılması koşuludur. Buradaki belirlenebilir kavramından anlaşılması gereken ise gerçek kişiyi doğrudan işaret etmese dahi farklı bilgilerle bir araya geldiğinde gerçek kişinin belirlenebilir hale gelmesidir.

Tanımlanan kişisel verileri genel nitelikli kişisel veriler ve özel nitelikli kişisel veriler olarak ikiye ayırmaktayız. Özel nitelikli kişisel veriler sağlık bilgisi, adli sicil bilgisi, kişilerin felsefi ve dini inanç bilgileri gibi, kişiler için daha hassas nitelikteki verilerdir.

Kişisel veriler, gerçek kişilere aittir. Günümüz internet ve iletişim toplumunda aslında internet ortamında kişisel verilerimizle yer almaktayız. Bu kişisel verilerimiz birçok ticari amaç güden şirketler tarafından da kullanılmaktadır. Pazarlama hedefi olarak bu veriler analiz edilerek kişilerin davranışsal hareketlerine göre reklam stratejilerinin hedefi haline gelmektedir. Günümüzde kişisel veriler yeni nesil petrol olarak adlandırılmaktadır. Bu petrolü elinde bulunduran firmalar ücretsiz hizmet sunarak bizlerin verilerini toplamakta ve bu veriler üzerinden ticaretlerini devam ettirmektedirler. Bunun en güzel örneği ise sosyal medya platformlarıdır. Örneğin gerçek kişiler tarafından ücretsiz olan sosyal medya uygulamaları aslında kişinin verilerini alarak bu hizmeti ücretsiz olarak sunmaktadır. Burada aslında para kişinin kendi bilgileridir ve şirketler bunları satarak paralar kazanmaktadır.

2.Kişisel Verilerin Korunması Kanunu kapsamında sahip olduğumuz haklar nelerdir, şikâyet süreci nasıl işlemektedir?

Her gerçek kişi kişisel verisi üzerinde de tasarruf hakkına sahiptir. Başka bir ifade ile kişisel verinin kullanım hakkı kişiye sıkı sıkıya bağlı bir haktır.

6698 Sayılı Kanun kapsamında, her ilgili kişi kişisel verilerinin işlenip işlenmediğini öğrenme, kişisel veriler işlenmişse bunlarla ilgili bilgi talep etme, kişisel verilerin hangi amaçla işlendiğini, amaca uygun kullanılıp kullanılmadığını, kişisel verilerinin kimlere aktarıldığının, gerektiğinde kişisel verilerinin düzeltilmesini ya da silinmesini veri sorumlusuna başvurarak talep edebilme haklarına sahiptir.

Kişisel veriler ile ilgili şikayetler Kişisel Verileri Koruma Kurumuna yapılmaktadır. Şikayet öncesinde ise başvuru sürecini tüketme zorunluluğu bulunmaktadır. Buna göre şikayet sürecinin işlenebilmesi için öncelikle ilgili kişinin, verisini işleyen “ veri sorumlusuna” yazılı olarak, mobil ya da e-imza ile, kayıtlı elektronik posta (KEP) adresi ya da veri sorumlusu nezdinde kayıtlı olan e-posta adresi ile başvuruda bulunması gerekmelidir.

 Bu başvuruya başvuru tarihinden itibaren 30 gün içinde cevap verilmemesi, başvurunun red edilmesi ya da verilen cevabın yetersiz bulunması halinde bu cevabın ulaştığı tarihten itibaren 30 gün içinde kuruma yazılı başvuruda bulunulmalıdır. Burada dikkat edilmesi gereken husus başvuru tarihinden itibaren 60 gün içinde bu başvurunun yapılması gerektiğidir.

3.Kişisel verilerin güvenliği hususunda en çok yapılan ihlaller nelerdir?

En çok yapılan ihlaller olarak, pazarlama stratejileri bağlamında veri sorumluları tarafından ilgili kişilerin rızaları olmadan ya da rızalarına aykırı işlenme amacına aykırı işlenmesi sorunu gelmektedir. Birçok gerçek kişi hangi kişilerin hangi kişisel verilerinin işlendiğini dahi bilememektedir. Bir otelde birden fazla kere konaklayan bir misafirin odada kullanım alışlanlıklarına ilişkin bilgilerin kayıtlı tutulması ve buna göre bir sonraki ziyarette odadaki alışkanlıklarına göre hizmetin verilebilmesi için davranışsal verilerinin saklanması durumu söz konusu olmaktadır. Bu durumundan ilgili kişinin haberi yoktur ancak şirketler bu verileri daha kaliteli hizmet verebilmek için kayıt altına almaktadır. İşlendikleri amaçla ölçülü olmayan bir işleme olması durumunda ise yapılan işlemenin ihlale sebebiyet vermesi muhtemeldir.

Bir diğer ihlal yöntemi ise maddi çıkar amacıyla kötü niyetli yazılımlar kullanılarak gerçek kişilerin kişisel verilerinin ele geçirilmesi ve bunun üzerinden maddi çıkar sağlanmaya çalışılmasıdır. Özellikle son dönemlerde ismi kamuoyu tarafından bilinen büyük şirketlerin verilerinin çalındığıyla ilgili haberler de gündemde yer almaya başlamıştır. Aslında tek bir eylemle milyonlarca kişinin kişisel verileri kötü niyetli kişilerin eline geçebilir hale maalesef gelmiştir. Bu sebeple kişisel veri barındıran veri sorumlularının özellikle teknolojik alanda koruma sağlaması ve idari anlamda farkındalığı arttırması çok önemlidir.

4.Kişisel Verileri Koruma Kurumu bünyesinde kişisel verilerin önemine yönelik birçok çalışma gerçekleştiriliyor. Çeşitli slogan, karikatür, makale yarışmalarıyla çocuk-genç demeden toplumun her kesimine kişisel verilerin ne demek olduğu öğretilmeye çalışılıyor. Bu çerçevede kişisel veriler konusunda toplumun bilinçlenmesi gayesiyle başka neler yapılması gerektiğini düşünüyorsunuz?

Kişisel veri kavramı ve onun güvenliği aslında bundan sonraki yaşamımımızın ve geleceğin en önemli konu başlıklarından biri olacaktır. Çünkü her geçen gün bilgisayar sistemlerinin gelişmiş olduğu günlerle karşılaşıyoruz ve bu böyle olmaya da devam edecek. Yapay zeka teknolojisinin yaygınlaşmasıyla birlikte de bir anlamda her dakika hatta her saniye kişisel verilerimizi çeşitli platformarla paylaşır hale geleceğiz. Kaldı şu an bile bir günde birçok insan yüzlerce verisini birçok yerle paylaşıyor.

Kurum böyle bir bilincin oluşması için etkili olabilir. Fakat bu bilincin oluşması için daha kapsamlı bir faaliyetin yürütülmesi de gerekmektedir. Özellikle kişisel verilerin ne olduğu ve nasıl ihlallere sebebiyet verebileceği ile ilgili tüm devlet kurumları tarafından etkinlikler ve bilinçlendirme çalışmaları düzenlenmelidir. Ayrıca başta hukuk fakülteleri olmak üzere tüm üniversitelerde hatta ilkokuldan itibaren her eğitim seviyesinde Kişisel Veriler hakkında programlı bir bilinçlendirme dersleri oluşturulmalıdır. Çünkü bu husus bir anlamda milli güvenlikle de ilgilidir. Bunların çok yakın bir gelecekte de gerçekleşebileceğini düşünüyorum.

5.Dijitalleşmenin bu kadar arttığı bir çağda verilerimizi korumamız mümkün mü? Bireysel olarak veri güvenliğimizi sağlamak için neler yapabiliriz?

Öncelikle verilerin güvenliğini sağlamanın neden önemli olduğunu anlarsak bu konuya da içten gelen bir motivasyonla daha çok dikkat edebiliriz. Bunun için de yukarıda belirttiğim üzere öncelikle toplumsal bir kişisel veri bilinci gerekiyor.

Kişisel verilerimizi korumamız her ne kadar bizden gün içinde yüzlerce binlerce veri istenen bir dünyada çok zor görünse de mümkündür. Bunun için biz öncelikle bizden talep edilen verileri paylaşıp paylaşmama konusunda dikkatli olmalıyız. Bir alışveriş sırasında ya da bir internet sitesine giriş yaparken bizden istenen verilerin neler olduğunu görerek riskli gördüğümüz ortamlarda ve uygulamalarda bir veri girişi gerçekleştirmemeliyiz.

Aynı şekilde bir gerçek hayat örneği verecek olursak, gitmiş olduğumuz bir spor salonu, salona girerken bizden parmak izi tanımlı sistem ile kapıyı açmamızı talep ediyorsa bunun gerekliliğini sorgulamalıyız. Spor yapmak amacıyla gidilen bir spor salonunun hassas veri kategorisinde yer alan ve her insana özgü çok önemli bir veri olan parmak izini bizden talep edebilmesi mümkün müdür? Bu tabii ki değildir çünkü bizden sadece ölçülü olabilecek ve kendi güvenliğini sağlamasına imkan sağlayacak en az veri alımı ile spor salonunun bize bir hizmet sunması gerekmektedir.

Tüm bu örneklerde belirttiğim üzere bunun sağlanması kişisel ve toplumsal bilincin artmasıyla mümkün olacaktır.

6.Geçtiğimiz günlerde Kişisel Verileri Koruma Kurumu, Amazon’un yurtdışına veri aktarımını onayladı. Bu olayın güncelliğini de düşündüğümüzde kişisel verilerin yurtdışına aktarımı ile ilgili ne düşünüyorsunuz, güvenilirlik çerçevesinde değerlendirebilir misiniz ve ne tarz çözümler getirilebilir?

Öncelikle amazon örneğinden önce dikkat çekmek istediğim husus hepimizin kullandığı mail sistemleri ve cep telefonu üzerinden kullandığımız uygulamalardır. Örneğin e-posta kullanımında g-mail mail uygulaması Google’ ın sunduğu bir hizmet olarak çok geniş bir kitle tarafından kullanılmaktadır. Biz oradan kişisel veri içeren bir mail attığımızda aslında bu mail yurt dışında bulunan Google sunucularına gitmektedir. Bu doğrudan yurtdışına veri aktarımıdır.

Kaldı ki son dönemde gündeme gelmiş ve çok fazla kullanılan mesajlaşma uygulaması olan whatsapp üzerinden ilerlersek, Bu uygulama ile dostlarımıza ya da ailelerimize atmış olduğunuz bir mesaj yine aynı şekilde yurt dışındaki sunuculara yönlenmekte ve kaydedilmektedir.

Öncelikle güvenlik konusunda ne yapabiliriz diye düşünecek olursak, bir işyeri mail sistemini kendi içerisinde kurabilir ve yurtdışına mail aktarımının ve dolayısıyla da kişisel verilerin yurtdışın aktarılmasının önüne geçebilecektir. Keza bizler de bireyler olarak kullandığımız uygulamaların hangi ülkeler üzerindeki sunucuları üzerinden hizmet verdiklerini inceleyecek olursa bunu değerlendirerek tercihlerimizi yapabiliriz.

Amazon yurt  dışına veri aktarımı kararının bir boyutu da günümüz dünyası gerçekleridir. Siz ben hiç dünyaya veri aktarmayayım da diyemezsiniz. Çünkü global dünyada bir ticaret hacmi ve iletişim sıklığı da söz konusu. Ben açıkçası kurum tarafından onun belirlediği kriterler çerçevesinde çok da geç olmadan verilen usülüne uygun kararların yararlı olabileceğini düşünüyorum.

7.Kişisel verilerin korunmasıyla ilgili toplum tarafından yaygın olarak yanlış bilinen bazı hususlar bulunuyor, bunlar konusunda bizleri bilgilendirebilir misiniz?

Bu konuda yanlış bilinen hususlardan en önemlisi kişisel verilerin çok da önemli olmadığı algısıdır. Özellikle bilinç eksikliği sebebiyle birçok insanımız kişisel verilerim paylaşılsa nolur paylaşılmasa nolur ne önemi var ki anlayışıyla olaya yaklaşmaktadır.

Ayrıca kişisel verinin çok nadiren gündeme geldiğini düşünen büyük bir kitle de mevcuttur. Örneğin attığı imzanın ya da çekildiği bir fotoğraftaki görüntüsünün kişisel veri olmadığını düşünen bir çok insanımız dahi mevcuttur.

Bir diğer yanlış bilinen husus ise kişisel verileri karşısında kontrolünün olmadığının gerçek kişiler tarafından düşünülmesidir. Halbuki kişisel veriler bir mutlak haktır. İnsanlar bunlar üzerinde mutlak tasarruf hakkına sahiptirler. Gerçek kişilerin rızaları olmadığı sürece bir başkası tarafından kanunda belirtilen istisnalar dışında bunlara dokunulamaz.

8. Whatsapp uygulaması ile ilgili yaşananlar hakkında ne düşünüyorsunuz, son gelişmeler ışığında bizleri bilgilendirebilir misiniz?

Bu soruya cevabı bir anlamda üstte açıklamış oldum aslında ama tekrar üzerinden geçecek olursam, WhatsApp özellikle Avrupa’da GDPR sebebiyle gündeme dahi getiremediği veri işleme ve aktarım şartlarını içeren bir rıza seçeneğini bizler için adeta şart koşmuş oldu. Bu seçeneğe verilecek onay ile WhatsApp tarafından alınan verilerin şirket politikaları doğrultusunda işlenmesi ve aktarımı meşruiyet kazanmış olacaktı. Bunun anlamı da şudur ki; Şirketler özellikle ücretsiz uygulamalardan oluşturulmuş WhatsApp gibi kullanıcıyı bir reklam nesnesi ve aynı zamanda öznesi olarak görmektedir. Yani kişinini profil fotoğrafı, paylaştığı fotoğraflar ya da mesajlaşırken kullanmış olduğu kelimeleri inceleyerek ve bu verileri yapay zeka ile işleyip kişinin ilgi alanı ile alakalı reklamları şirketin diğer uygulamaları olan Facebook gibi siteler üzerinden kullanıcıların tekrar kendilerine sunmayı amaç edinmektedir. Bunu sözleşme içerisinde de açıkça ifade etmişlerdir. Bu sayede şirket karlarının reklam gelirleriyle artması esas amaç olarak görünmektedir.

Bu haklı olarak beklenenin üstünde bir tepki gördü. Bu özellikle kişisel veri konusundaki bilincin artması için de çok olumlu bir kitle hareketi haline dönüşmüş oldu. En azından bu hususla birlikte kişisel veri ve onun önemini hiç bilmeyen bir kitlenin de kulağına bazı bilgiler ulaşmış oldu.

This div height required for enabling the sticky sidebar