28 Ocak Veri Koruma Günü vesilesiyle Avukat Tayfun Orkun Genç, kişisel verilerin korunmasının önemi ve bireylerin bu konuda dikkat etmesi gereken hususlar üzerine çarpıcı açıklamalarda bulundu.
Avukat Genç, kişisel verilerin kapsamına değinerek şu ifadeleri kullandı: “Bireyleri ilgilendiren tüm veriler esasen kişisel veridir. Buna isim ve soyisim de dâhildir. Kişininn fotoğrafı, aile fertlerinin isimleri, dini inancı, siyasi görüşü, kan grubu gibi bireyle doğrudan ya da dolaylı olarak ilişiklendirilebilecek her türlü bilgi kişisel veri olarak kabul edilir.” Genç, kişisel verilerin “özel nitelikli” ve “normal kişisel veriler” olarak ikiye ayrıldığını belirtirken, özel nitelikli verilerin korunmasında daha sıkı önlemlere ihtiyaç duyulduğunun altını çizdi.
Kişisel Verilerin Korunması Kanunu’nun Geçmişi ve Önemi
Avukat Tayfun Orkun Genç, kişisel verilerin korunmasına ilişkin kanuni düzenlemelerin Türkiye’de 2010 yılında Anayasa’nın 20. maddesine eklenen bir madde ile başladığını ifade etti. 2016 yılında ise Kişisel Verilerin Korunması Kanunu’nun yürülüğe girdiğini ve bu kapsamda Kişisel Verileri Koruma Kurulu’nun oluşturulduğunu söyledi. Avrupa’da bu alandaki düzenlemelerin çok daha erken yıllarda başladığına dikkat çeken Genç, “Türkiye’nin bu alandaki adımları gecikmiştir” dedi.
“Verilerimizin korunması, temel hak ve özgürlüklerimizin ayrılmaz bir parçasıdır” diyen Genç, kişisel verilerin gizliliğinin ihlal edilmesinin bireylerin özel hayatına doğrudan bir müdahale anlamı taşıdığını vurguladı.
Veri Sorumlularının Yükümlülükleri
Avukat Tayfun Orkun Genç, kişisel verilerin işlenmesi ve korunması sürecinde veri sorumlularının uymaları gereken kuralları şu şekilde açıkladı:
“Öncelikle biz veri sahibiyiz, verilerimizi işleyen kişiler de veri sorumlusu. Buna örnek olarak bir kuyumcu şirketini düşünün. Bizden verileri aldı. Banka bilgilerimizi, hesap bilgilerimiz, isim, soy isim, iletişim gibi gerekli olan tüm bilgileri aldı. Ama almaması gereken ikametgah bilgimi de aldı. Bu yaptığı iş ve elde etmek istediği hedef kitle ile ilgili alakasız bir şey. Bu tarz durumlarda veri sorumlusuna giderek ‘siz bizim böyle bir bilgimizi aldınız, bu veriyi almamanız gerekiyordu’ diyoruz. Bu noktada belirli opsiyonlarımız var. Bunu neden aldığıyla ilgili bir cevap isteyebiliriz. Bu cevapla birlikte gereksiz alındığını tespit edebiliyorsak bunun silinmesini isteyebiliriz. Veri sorumlusuna şu bilgilerimi imha et, sil diyoruz. Veri sorumlusu kendisine gelen başvuruyu azami 30 günü geçmemek kaydıyla en kısa zamanda ilgilisine bildirir diyor. Bu bildiri mail ya da fizikken tebliğ yoluyla da olabilir. Bu geri dönüş hiç sağlanmazsa bizim başvurumuzu kabul etmediği anlamına geliyor. Bu 30 gün dolduktan sonra bir cevap gelmediyse biz kişisel verileri koruma kuruluna başvurabiliriz. Diyebiliriz ki, x firması bizim kanuna ve mevzuata aykırı olarak bazı bilgimi aldı. Bu faaliyet kapsamında gerekli olmayan bilginin ben yok edilmesini istedim, bununla ilgili gerekli açıklama yapılmadı yahut bununla ilgili gerekli bir önleyici tedbir alınmadı diyerek kurula şikayet edebiliriz. Kurulda yine 30 gün süre zarfında karşı taraftan yani veri sorumlusundan bunun savunmasını alır. Savunmasına itibar edip etmemesine göre de ceza verir. Bu cezanın üst limiti 1 milyon TL’ye varan idari para cezası mevcut bununla ilgili. Eğer aydınlatma yükümlülüğüne aykırı hareket edildiyse 20 bin TL ile 1 milyon lira arası, eğer bunun anonim hale getirilmesi ya da silinmesi gerekiyorsa ve biz bu ödevimizi yerine getirmediysek 50 bin ile 1 milyon TL arası olacak şekilde cezaları değişiyor.”
Bireylerin Veri Koruma Bilinci
Avukat Genç, bireylerin de kişisel verilerini koruma konusunda bilinçli hareket etmeleri gerektiğini belirtti. “Her ortamda gereksiz bilgi paylaşımı yapılmamalı, çerez politikaları ve KVKK aydınlatma metinleri dikkatle incelenmelidir” diyen Genç, “Öncelikle veri güvenliğini bizim kendimizin sağlaması lazım. Biz şahıs olarak her verimizi her ortamda paylaşmamız gerekiyor. Örneğin bir alışveriş sitesinde gerekli olan verilerimizi paylaşabiliriz. İsim, soy isim, iletişim bilgileri, banka bilgileri, adres bilgisi gibi bilgileri sağlayabiliriz ama güvenilir olmayan yerlerde zaten biz bu bilgilerimizi gereksiz olarak paylaştığımızda bir sıfır geriden başlıyoruz. Yani veriyi işleme yetkisi olmayan, ya da işleyecek veriyi gereksiz olarak bizim verdiğimiz durumlarda biz bu güvenliği başlarken kendimiz bertaraf ediyoruz. İkincisi bununla ilgili zaten alışveriş ya da sosyal medya üzerindeki sitelerde bir çerez politikası olabilir. Bu politikada KVKK aydınlatma metni olabilir. KVKK onay formu sunuluyor. Bunlara dikkat etmemiz lazım. Bunlar olduğu sürece bir sıkıntı yok demektir. Çünkü sağlayıcı sana diyor, KVKK aydınlatma metni var bunu oku. Burada bu bilgileri niçin aldığını, hangi alıcı gruplarıyla paylaştığını, güvenliğini nasıl sağladığını, silinmesi gerektiği durumlarda nasıl imha edilebileceğini sizlere sunuyorlar zaten. Yani hizmet sağlayıcısının herhangi bununla ilgili bir KVKK aydınlatma ve onay formu olmadan, yine aynı şekilde bazı sağlayıcılar daha kapsamlı yapıyor. Güvenlik önlemlerinin neler olduğunu belirtiyor. Bunlara bizlerin dikkat etmesi lazım. Bu bilgilendirmeyi yapmayan sitelerden uzak durmamız gerekiyor çünkü yeri geliyor devletin elinden verilerimiz çalınıp elde edilebiliyor. Bunun korumasını kimi zaman devlet kurumları dahi yapamazken herhangi bir sitenin yapması daha zor. Yapabilme olasılığı da güç” açıklamalarında bulundu.
Veri Koruma Konusunda Gençlerin ve Çocukların Bilinçlendirilmesi
Genç, sosyal medya kullanımı ve veri güvenliği konularında gençler ve çocukları bilinçlendirmek üzere ikili bir denetim mekanizmasının gerekli olduğunu belirtti. “Devletin sosyal medya kullanımını denetlemesi ve ebeveynlerin bu konuda farkındalıklarını artırması çok önemlidir” diyerek şu açıklamalarda bulundu; “Çocukları, gençleri, bireyleri bilinçlendirme noktasında bununla ilgili ikili bir denetim mekanizması oluşturulabilir. Birincisi yine BTK tarafından sağlayıcılarla koordineli bir şekilde belirli bir yaş grubunun en azından sosyal medya platformunun kısıtlı olarak kullanabilmesi de gündeme gelmişti. Burada devletin kontrolünün olması gerekiyor. Çünkü sosyal medyayı 18 yaş altı işlevi şeklinde kullanmıyor. İkincisi, bunları sosyal medya platformlarının denetlemesi gerekiyor. Bugün bir banka benim ben olduğumu bir yüz tanıma ya da kimlik eşleştirme sistemi ile bakıyor ve doğruluyor. Bu tarz şekilde yine devletin, sosyal medya sağlayıcılarının, özelde ebeveynlerin bunun dikkatini yapması gerekiyor. Kimi zaman biz benim ismim, kimliğim gibi verilere ulaşsalar ne olacak gibi düşünebiliyoruz ama bunun temelde küçük yaşlarda alınması demek, bizim erişebilirliğin çalınması demek oluyor.”
Avukat Tayfun Orkun Genç, kişisel verilerin korunmasına ilişkin kanuni düzenlemelerin uygulanmasında farkındalık yaratmanın önemine değinerek, bu alandaki sorunların büyük ölçüdü kanunlardan değil, uygulamadaki eksikliklerden kaynaklandığını vurguladı. Genç, “Bununla ilgili bizim kanunumuz ve kurulun ilke kararları güzel. Az çok bir araştırma yaptığımızda ülkemizdeki temel sorun kanunun eksik olması değil, kanunun düzgün uygulanmaması. Ya da kurulların eksik çalışması değil, kurul kararlarının yaygınlaştırılıp düzenli uygulanmaması. Kişisel veriler bizim için önemsiz olan veriler değil. Dediğim gibi bizi erişilebilir kılacak veriler. Bizi diğer bireylerden ayırt edebilecek tüm özel verilerimiz, bu verilerimiz. Bunların erişilebilir olması ya da bunların güvenilirliğinin sağlanmaması, bizim şahsi olarak ayrıştırılabilecek özelliklerimizi kendi elimizle veri sağlayıcılarına ya da kötü amaçlı elde edebilecek yazılımlara teslim etmememiz gerekiyor. Bunun güvenliğini başlıca bizim, kendimizin oluşturması gerekiyor. İkinci olarak bireylerin bununla ilgili kendi denetimini yapması gerekiyor. Bizi biz yapan özel bilgi ve verilerimizin paylaşılması, bizi diğer bireylerden ayrıştıracak olan etkeni ortadan kaldırıyor” diye konuştu.