Söyleşi: Kişisel Verileri Koruma Kurumu Başkanı Prof. Dr. Faruk Bilir ile Kişisel Verileri Koruma Kanunu’na İlişkin Her Şey

Sayısal dönüşüm ekosisteminde kişisel verilerin önemini ve rolünü değerlendirir misiniz?

Dijital dönüşüm hareketleri dünyada ve ülkemizde ciddi bir gelişim gösterdi. Devam etmekte olan bu süreçte veri odaklı bir anlayışın ön plana çıktığını görmekteyiz. Dijital teknolojiler, önemli ölçüde kişisel verilerden yararlanmaktadır. Bugün gelinen noktada, veriden ve özellikle kişisel verilerden değer üretebilen şirketlerin değer kazandığını söylemek mümkündür.

Kişisel veriler her zaman değerliydi. Fakat dijitalleşme ile birlikte kendine uygulama alanları bulan veri temelli ekonomi sayesinde, bu değer yakından hissedilmeye başlandı. Sadece ekonomik açıdan değil, hizmet kolaylığı açısından da dijital dönüşüm ve kişisel veriler arasında doğrudan bir ilişki bulunmaktadır. Kişisel veriler, dijital dönüşümün gerçekleştirilmesinde kilit bir rol oynamaktadır. Şüphesiz ki; kişisel verilerin işlenmesi hayatı kolaylaştırmış ve pratik bir hale getirmiştir. Burada dikkat edilmesi gereken nokta, kişisel verilerin hukuka uygun olarak işlenmiş olması ve bulunduğu her ortamda güvenliğinin sağlanmış olmasıdır. Bu sayede hem temel hak ve özgürlüklere saygılı olunabilecek, hem de teknolojik gelişmelere uygun olarak veri temelli ekonomide daha rekabetçi bir noktaya ulaşılabilecektir.

6698 sayılı Kişisel Verilerin Korunması Kanunu ile kurulan Kişisel Verileri Koruma Kurumu’nun sorumluluk alanına giren konularla ilgili olarak bilgi alabilir miyiz?

Kurumumuz, kişisel verilerin temel hak ve özgürlüklere uygun şekilde işlenmesini sağlama amacıyla; Kanun kapsamında olmak kaydıyla kişilerin şikayetlerini karara bağlamak, ihlal iddiasının öğrenilmesi halinde re’sen inceleme yapmak ve Kanunda öngörülen idari yaptırımlara karar vermek yetkisine sahiptir. Bunun yanında, kişisel verilerin korunmasına ilişkin düzenleyici işlemler yapmak ve kişisel verilere dair hüküm içeren mevzuat taslakları hakkında görüş bildirmek de Kurumun görev alanı kapsamındadır.

Bu kapsamda Kurumumuz, kişisel verilerin korunmasıyla ilgili ulusal ve uluslararası gelişmeleri yakından takip ederek değerlendirme ve önerilerde bulunabilmektedir. Ayrıca ihtiyaç duyulması halinde özel sektör, kamu kurumları, sivil toplum kuruluşları, meslek örgütleri, üniversiteler ve uluslararası kuruluşlarla iş birliği yapmaktadır.

Kurumumuz, bir taraftan Kanunla verilen görevlerini yerine getirirken, diğer taraftan da ileri düzeyde kişisel veri farkındalığı oluşturmak, veri koruma bilincini geliştirmek ve veri korumayı bir kültür haline getirmek gibi amaçlar çerçevesinde de çalışmalar sürdürmektedir. Bu sayede hem bireyin korunması hem de veri temelli ekonomide özel ve kamusal aktörlerin rekabet kapasitelerini artırıcı bir ortamın meydana getirilmesi hedeflenmektedir.

Kurumunuzca bugüne kadar gerçekleştirilen çalışmalardan bahseder misiniz?

Kurumumuz, Kanunun kendisine verdiği görev ve yetkiler kapsamında çalışmalarına yön vermektedir. Bu kapsamda öncelikli olarak Kişisel Verilerin Korunması Kanunu ile ilgili ikincil düzenlemeler yapılmıştır. Bu çerçevede ilgili Yönetmelikler ve Tebliğler başta olmak üzere; kişisel verilerin korunmasıyla ilgili örnek teşkil etmesi bakımından içtihat niteliğindeki Kurul Kararları, Kurum internet sayfasında yayınlanmaktadır.

Bununla birlikte hem kişisel verileri işleyenler hem de verisi işlenen kişiler nezdinde veri koruma kültürü meydana getirmek amacıyla rehberler, broşürler, dokümanlar hazırlanmış, farkındalık ve bilgilendirme videoları ile kamu spotları yayınlanmıştır. ‘‘Unutulma Hakkının Arama Motorları Özelinde Değerlendirilmesi Broşürü’’, ‘‘Biyometrik Verilere İlişkin Rehber’’, ‘‘Yapay Zekâ Alanında Tavsiyeler’’ ve ‘‘Doğru Bilinen Yanlışlar’’ gibi çalışmalar son dönemde yapılan çalışmalardan bazılarıdır.

Kişisel verilerin korunması alanını ilgilendiren konularda Çarşamba Seminerleri gerçekleştirilmekte, Kanunun bilinirliğinin artırılması için farkındalık toplantıları yapılmakta, sektörler bazında Kanunun uygulanmasını kolaylaştırmak adına çalıştaylar düzenlenmektedir. Buna ek olarak; kişisel verilerin korunması hususunda meydana gelen soru ve sorunlara çözüm üretmek, güncel gelişmeleri değerlendirmek amacıyla konferanslar, paneller, sempozyumlar ve zirveler düzenlenmektedir.

Örneğin; 2 Eylül 2021 tarihinde Kurumumuz ile Türkiye Bilişim Derneği iş birliğinde Kişisel Verileri Koruma Zirvesi düzenlenmiş, Zirve’de verilerin korunması ve aktarımı, veri korumanın ekonomik etkisi ve geleceği gibi önemli konular masaya yatırılmıştır. Ayrıca İstanbul Üniversitesi ve Türk-Alman Üniversitesi iş birliğinde, 12-14 Kasım 2021 tarihleri arasında I. Uluslararası Kişisel Verileri Koruma Kongresi düzenlenmiştir. Kongre, Türkiye’den ve dünyadan kamu yöneticileri ve çalışanları, akademisyenler ve sivil toplum kuruluşları ile bu alana ilgi duyan tüm kesimlerin takibine açık olacak şekilde gerçekleştirilmiştir.

Kurumumuz tarafından, ülkemizin geleceğinin teminatı olan çocuklar ve gençler için ayrıca çalışmalar yapılmıştır. Örneğin; veri koruma bilincini erken yaşlarda zihinlere yerleştirebilmek için çocukların yaş gruplarına uygun olacak şekilde ‘‘Veri Tayfa’’ projesi iki etap şeklinde gerçekleştirilmiştir. Yine çocukların ve ebeveynlerin ilgisini kişisel verilerin korunmasına çekebilmek ve günlük hayatta alınabilecek önlemleri hatırlatmak için ‘‘Çocukların Kişisel Verilerinin Korunması’’ temalı broşürler hazırlanmıştır. Ortaokul ve lise öğrencilerine yönelik seminerler verilmiş, slogan ve karikatür yarışmaları düzenlenmiştir. Gençler için ise ‘‘Üniversite Gençliği Arasında Veri Koruma Gönüllüsü Yetiştirme Projesi’’ gerçekleştirilmiş, bu sayede gönüllüler aracılığıyla üniversiteler arasında kişisel veri farkındalığı yaygın hale getirilmiştir.

Akademik camiaya yönelik ise, yüksek lisans öğrencileri özelinde makale yarışmaları düzenlenmiştir. Yine bu alana katkı sunmak ve özgün çalışmaları teşvik etmek amacıyla Kişisel Verileri Koruma Dergisi yayımlanmaktadır.

Kurumumuz, kişisel verilerin yurt dışına aktarılabilmesiyle ilgili de gerekli çalışmaları yapmaktadır. Daha önce yurt dışına veri aktarımıyla ilgili olarak taahhütnameler yayımlanmış ve söz konusu taahhütnamelerde bulunması gereken asgari unsurlar belirlenmişti. Yurt dışına kişisel veri aktarımında hazırlanacak taahhütnamelerde usul ve esasa ilişkin dikkat edilmesi gereken hususlar hakkında duyuru yapılarak, taahhütnamelerin nasıl hazırlanması gerektiği açıklandı. Bunun yanı sıra, çok uluslu şirket toplulukları arasında yapılacak veri aktarımları bakımından uygulama pratiğini sağlama amacıyla Bağlayıcı Şirket Kuralları yayımlandı. Bağlayıcı Şirket Kuralları ile ilgili başvuru formu ve yardımcı doküman kamuoyu ile paylaşıldı.

Kamu kurumlarının da Kanuna uyum sağlaması için yakın geçmişte bir Seminer düzenlendi. Bu bilgi ışığında kamu kurumlarının Kanuna uyumu konusunda neler söylemek istersiniz?

Kanuna uyum açısından kamu kurumları ile özel şirketler arasında bir ayrım gözetilmemiştir. Bundan dolayı Kurumumuz hem kamu hem de özel sektörü kapsayacak şekilde etkinlikler düzenlemektedir. 2017 yılından beri kamu kurumları ve kamu kurumu niteliğindeki meslek kuruluşlarına yönelik farkındalık toplantıları, seminerler, VERBİS bilgilendirme toplantıları, paneller ve çalıştaylar düzenlenerek, Kanunun doğru uygulanabilmesi amaçlanmaktadır. Bu etkinliklerden yola çıkılarak, güncel gelişmeler ekseninde meydana gelen soru ve sorunların çözümüne yönelik adımlar atılmaktadır.

Sizin de belirttiğiniz gibi, 7 Aralık 2021 tarihinde kamu kurumlarının Kanuna uyumu hakkında yeni bir seminer düzenlenerek, kamu kurumlarının temsilcilerine Kanunun temel ilkeleri, veri işleme şartları, aydınlatma yükümlülüğü, kişisel veri güvenliği ve VERBİS gibi konularda bilgilendirmeler ve hatırlatmalar yapıldı.

Veri Sorumluları Sicil Bilgi Sistemi’ne, yani kısa adıyla VERBİS’e kayıt tarihleri birkaç defa uzatılmıştı. Kişisel Verileri Koruma Kurulu’nun kayıt tarihleri ile ilgili aldığı son kararda, VERBİS’e son kayıt tarihi 31 Aralık 2021 olarak belirlenmişti. Önceki süre uzatımlarının temel gerekçesini ve bu kapsamdaki genel düşüncelerinizi öğrenebilir miyiz?

Öncelikle şunu belirtmek isterim ki; VERBİS, halihazırda vatandaşların kullanımına ve bu sistem üzerinden sorgulama yapabilmelerine açık durumdadır. Birçok veri sorumlusu VERBİS’e kaydolmuş vaziyettedir.

VERBİS, kişisel veri işleme süreçlerinin şeffaflığı ve veri sorumlularının hesap verebilirliği açısından önem arz etmektedir. Dolayısıyla söz konusu yükümlülüğün Kanun ve mevzuata uygun olacak şekilde yerine getirilmelidir. Daha önceki süre uzatımlarının gerekçesi, VERBİS’e kaydolunduğu fakat bildirimlerin tamamlanmadığı üzerinedir.

Kurum tarafından yapılan bilgilendirmelerin ve duyuruların dikkate alındığı ancak buna rağmen kayıt ve bildirim yükümlülüğünün gerektiği gibi yerine getirilemediği Kurum tarafından tespit edilmiştir. Kuşkusuz, kişisel verilerin korunmasının ülkemizde yeni bir alan olmasını da göz önünde bulundurmak gerekmektedir. Bu nedenle Kurul, sektörden gelen başvuruları da dikkate almıştır. İyi niyet göstergesi olarak süre uzatımlarını uygun bulmuştur.

Son olarak tüm dünyayı olduğu gibi ülkemizi de etkileyen pandemi (küresel salgın) nedeniyle, VERBİS’e kayıt yükümlülüğünün gereği gibi yerine getirilmesi hususunda zorluklar yaşandığı gerekçesiyle, kayıt süreleri Kurul tarafından 2021 yılı sonuna kadar uzatılmıştır.

Buna göre; Kanunla ve Kurul Kararlarıyla belirlenen kriterleri taşıyan veri sorumlusu niteliğindeki gerçek ve tüzel kişilerin 31 Aralık 2021 tarihine kadar VERBİS’e kayıt işlemlerini tamamlamış olması gerekmektedir.

Kurulun yayımladığı önemli kararlardan biri unutulma hakkı ile ilgili karar. Söz konusu karara ilişkin talepler Kurul tarafından nasıl değerlendirilmektedir? 

Kişilerin ad ve soyadları ile arama motorları üzerinden yapacakları aramalar neticesinde çıkan sonuçların indekslenmeyecek şekilde teknik düzenlemeye tâbi tutulması konusunda, Kurul tarafından 2020 yılında yayımlanan unutulma hakkı kararı ile bazı usul ve esaslar belirlenmiştir. Kararda kişilerin ad ve soyadı ile arama motorları üzerinden yapılan aramalarda çıkan sonuçların indeksten çıkarılmasına dair her somut olay üzerinde kriterler belirlenmiştir. Bununla birlikte Kurul Kararı uyarınca arama motorları tarafından yapılması gerekenlerin taraflarına bildirilmesini teminen ülkemizde sıklıkla kullanılan arama motorlarına konuya ilişkin bilgilendirmeler yapılmıştır. Kişilerin unutulma hakkı kapsamındaki taleplerini arama motorlarına elektronik ortamda iletebilmeleri mümkündür. Örneğin Google, bu Kararın ardından elektronik ortamda ilgili kişiler için bir başvuru mekanizması oluşturmuştur.

Unutulma hakkı talebi ile veriler silindiğinde internet sitesinden de kaldırılacak mı?

Böyle bir talebin yerine getirilmesi söz konusu verilerin kaynaktan da silineceği anlamına gelmemektedir. Bu çerçevede arama sonuçlarının indeksten çıkarılmasına yönelik olarak unutulma hakkı talebi erişimin tamamen engellenmesi değil, bağlantıların kısmen kaldırılmasıdır. Dolayısıyla unutulma hakkı kapsamında internetten ulaşılan veriler internet ortamında tamamen yok olmamaktadır.

Veri ihlalleri tüm dünyada gündem olmaya devam etmektedir. Kanuna göre veri ihlali meydana geldiği takdirde, veri sorumlusu konumundaki bir gerçek kişi, bir şirket, kurum veya kuruluş Kurula ihlal bildirimi yapmak durumundadır. Bu bildirim yapılırken nelere dikkat etmelidir?

Veri ihlal bildirimi yapılmasındaki amaç, ihlal nedeniyle kişiler hakkında ortaya çıkabilecek olumsuz sonuçların önüne geçilmesi veya azaltılmasıdır. Bundan dolayı, Kanuna ve ilgili Kurul Kararına göre veri ihlali öğrenildiğinde en geç 72 saat içerisinde Kurula bildirim yapılmalıdır. Eğer haklı bir gerekçeden ötürü 72 saat içerisinde bildirim yapılamamış ise yapılacak bildirimle birlikte gecikmenin nedenleri de Kurula açıklanmalıdır.

Diğer yandan bildirim formunda yer verilen hususlar net bir şekilde belirtilmeli ve ortaya konulmalıdır. Formda istenen bilgilerin tamamını aynı anda sağlamak mümkün değil ise bu bilgilerin gecikmeye mahal vermeden aşamalı olarak sağlanması mümkündür.

Bir de bu tür durumlara ilişkin bir ‘‘veri müdahale planı’’ hazırlanarak belli aralıklarla gözden geçirilmelidir. Tabii bu esnada ihlalden etkilenen kişiler de makul olan en kısa süre içerisinde uygun yöntemlerle bilgilendirilmelidir.

Veri ihlali, bir şirket veya kuruluşun yetkilendirmiş olduğu, onun adına veri işleme faaliyetinde bulunan veri işleyen statüsündeki başka bir şirket nezdinde gerçekleşmiş ise bu durumda izlenmesi gereken yol nedir?

Kişisel verilerin güvenliğine ilişkin yükümlülüklerde veri işleyen, veri sorumlusu ile müşterek sorumluluğa sahiptir. Buradan hareketle, ihlalin veri işleyen nezdinde gerçekleşmesi halinde, veri işleyenin hiç gecikmeden veri sorumlusu olan şirket veya kuruluşa bildirimde bulunması gerekir. Kanun kapsamında Kurula yapılacak olan bildirimi ise veri sorumlusu konumundaki şirket veya kuruluş yapmalıdır.

Veri ihlalinden etkilenen kişilere yapılacak olan bildirimin içeriği nasıl olmalıdır? Bu kişilerle paylaşılması gereken bilgiler nelerdir?

Her şeyden önce ihlalden etkilenen kişilerin anlayabileceği, açık ve sade bir dille bilgi verilmelidir. İhlalden etkilenen kişilere asgari olarak; ihlalin ne zaman gerçekleştiği, hangi verilerin ihlalden etkilendiği, ihlalin olası sonuçları ve ihlalden etkilenen kişiler tarafından alınması önerilen tedbirler konusunda bilgiler verilmelidir.

Bununla birlikte ihlalden etkilenen kişilerin bilgi almalarını sağlayacak iletişim kanalları da yine kişilerin bilgisine sunulmalıdır.

Kişisel Verilerin Korunması Kanunu kapsamında yurt dışına aktarılacak kişisel veriler ile ilgili olarak, verinin aktarılacağı ülkedeki korumanın yeterli düzeyde olması koşulu aranmaktadır. Yeterli korumanın bulunduğu ülkelerin belirlenmesi ve duyurulması hususunda öngörülen bir tarih var mıdır?

Kişisel verilerin yurt dışına aktarılabilmesi için çeşitli yöntemler tercih edilebilir. Buna göre, kişisel verilerin yurt dışına aktarılmasında; taahhütname bir yöntemdir, bağlayıcı şirket kuralları diğer bir yöntemdir, kişilerden açık rıza alma yoluna gidilmesi ise başlı başına bir yöntemdir. Özellikle açık rıza yöntemi, yurt dışına kişisel veri aktarımında tek başına yeterlidir. Kişisel verilerin yurt dışına aktarılmasına ilişkin diğer kanunlarda yer alan hükümlerin saklı olduğunu da unutmamak gerekir. Diğer yandan, ‘‘yeterli korumanın bulunduğu ülke’’ veya başka bir ifadeyle ‘‘güvenli ülke’’ de izlenebilecek yöntemlerden biridir. Güvenli ülkelerin ilan edilmesi, Kurulun görev alanı içerisindedir. Ancak Kurul, buna karar verirken Kanunda düzenlenen hükümlere uygun hareket etmek zorundadır. Bu kapsamda Türkiye’nin taraf olduğu uluslararası sözleşmeler, kişisel veri talep eden ülke ile Türkiye arasında veri aktarımına ilişkin karşılıklılık durumu, kişisel verinin niteliği ile işlenme amaç ve süresi, verinin aktarılacağı ülkenin konuyla ilgili mevzuatı ve uygulaması, ilgili yabancı ülkede bulunan veri sorumlusu tarafından taahhüt edilen önlemler, Kurul tarafından değerlendirilmelidir.

Yeterli korumaya sahip ülkelerin belirlenmesinde esas alınacak kriterler Kurul tarafından belirlenmiş olup, güvenli ülke çalışmaları devam etmektedir. Güvenli ülke konusu, Kurulun da son derece önem verdiği konu başlıklarından biri olup, bu hususla ilgili önemli çalışmalar yürütülmektedir. Bu aşamada net bir tarih vermek doğru olmaz ancak gelişmeler ışığında gerekli bilgi paylaşımlarının yapılacağını söyleyebilirim.

Yapay zekâ, kendi kendini yöneten sistemler, davranışların interneti ya da sanal evren (metaverse) gibi yeni teknolojilerle toplanan kişisel verilerin korunması ayrı bir boyut kazanıyor. Bu doğrultuda gizliliğin sağlanabilmesine dönük yeni düzenlemelere gereksinim duyulabileceği öngörülüyor. Kişisel Verileri Koruma Kurumu nezdinde bu konularla ilgili bir çalışma yapması düşünülüyor mu? Bu tür konularda uluslararası ilgili kuruluşlarla iletişim kurulması ya da ortaklaşa çalışılması yönünde bir plan var mı?

Dijital dünya, çok büyük veri kütlelerinin bir araya gelmesi ve birtakım veri işleme tekniklerinin de etkileri sonucunda gün geçtikçe dijital evrene doğru dönüşmektedir. Bizler de veri üreten bireyler olarak, dijital evrenin genişlemesine katkıda bulunuyoruz. Özellikle web tabanlı uygulamaların 100 yıl sonra da farklı şekillerde insan hayatının içerisinde önemli bir yere sahip olacağını düşünmekteyim.

Elbette yapay zekâ gibi veriden değer üretebilen teknolojiler ile web 3.0 gibi, metaverse gibi dijital dünyayı dijital evrene dönüştürebilecek teknolojilerin ilerlemesi, kişisel verilerin korunmasına ilişkin yeni bakış açılarının ortaya koyulması gerekliliğini de gündeme getirmektedir. Kişisel verilerin korunması yaşayan bir süreçtir, teknolojik gelişmelerden etkilenmektedir.

Kişilerin verileri üzerinde hakimiyet sağlayabilmesi, kişisel verilerin korunmasının temelini teşkil etmektedir. Buradan hareketle Kurumumuz, hukuki ve teknolojik gelişmeleri izlemekte, veri koruma hukukunun bugünü ve geleceği için atılabilecek adımlara yönelik fikirler geliştirmektedir. Bilhassa yurt içindeki ve yurt dışındaki ilgili paydaşlarla da bu konular hakkında fikir alışverişleri yapılabilmektedir. 2022 yılında bu iletişimi geliştirerek birlikte daha etkin çalışmalar yapacağımıza inanıyorum.

Yapay zekâ alanında kişisel verilerin korunması için hangi adımlar atılabilir?

Yapay zekâ teknolojileri bugün birçok alanda karşımıza çıkmakta ve hayatımızı kolaylaştırmaktadır. Yapay zekâ, kullandığı verilerin kalitesi ve doğruluğu ile orantılı sonuçlara ulaşmaktadır. Algoritmalardan geçen verinin yanlış olması yapay zekânın ulaştığı sonuçların da yanlış olmasına neden olmaktadır.

Atılması gereken ilk adımlardan biri, yapay zekâ algoritmalarının uygulanacağı verilerin dikkatli bir şekilde seçilmesidir. Bunun için verilerin türü, kaynağı ve niteliği değerlendirilmelidir. Toplanan kişisel veriler üzerinde kişilerin belirli haklara sahip olduğu unutulmamalı, gereken her durumda kişiler aydınlatılmalıdır.

Yapay zekâ ile ilgili önemli konulardan bir diğeri, sorumluluğun kimde olduğunun belirlenmesidir. Bu durum dikkate alınarak, yapay zekâ teknolojilerinden yararlanılırken hesap verilebilirlik ilkesi kapsamında veri sorumlusunun kimliği tespit edilebilmelidir.

Yapay zekâ sistemleri, kişisel verilerin gizliliğini ve korunmasını sekteye uğratmayacak bir şekilde geliştirilmelidir. Bu bağlamda Kurumumuz yapay zekâ alanında kişisel verilerin korunması için birtakım tavsiyeler yayımlamıştır. Bu tavsiyeleri dikkate almanın da faydalı olacağını düşünüyorum.

Son dönemlerde sıklıkla konuşulan konulardan biri de biyometrik veriler ve bu verilerin güvenliğinin nasıl sağlanması gerektiği. Öncelikle biyometrik verilere örnek vererek biyometrik verilerin işlenmesinde özellikle gözetilmesi gereken ilkelerden bahsedebilir misiniz?

Biyometrik verileri, fizyolojik ve davranışsal olarak iki kategoride ele alabiliriz. Biyometrik veriler; kişinin unutmasının mümkün olmadığı, genel olarak değişmeyen ve kişiye özgü olma niteliği taşımaktadır. Kişilerin genellikle değişmeyen parmak izi, retinası, avuç içi, yüzü, el şekli, irisi gibi özellikleri fizyolojik özellikli biyometrik verileri oluşturmaktadır. Kişinin yürüyüş biçimi, klavyeyi tuşlama biçimi ve akıllı cihazları kullanırken ekranı kaydırmak için sergilediği hareketler gibi hususlar ise davranışsal özellikli biyometrik verilere örnek teşkil etmektedir.

Diğer tüm veri işleme faaliyetlerinde olduğu gibi biyometrik verilerin işlenmesinde de Kanunun temel ilkeleri öncelikli olarak esas alınmalıdır. Bu ilkelerden ise özellikle ölçülülük ilkesi hassasiyetle ele alınmalıdır. Ölçülülük ilkesine göre; işlenen veriler belirlenen amaçların gerçekleştirilmesine elverişli olmalıdır. Burada önemli olan, amacı gerçekleştirmeye yönelik yeterli verinin temin edilmesi, amaç için gerekli olmayan veri işleme faaliyetlerinden ise kaçınılmasıdır. Ölçülülük ilkesi olarak ifade edilen bu husus, veri işleme ile gerçekleştirilmesi istenen amaç arasında makul bir dengenin kurulması ve veri işlemenin amacı gerçekleştirecek ölçüde olması gerektiği anlamına gelir.

Kurumun yayımladığı Biyometrik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehberde, uyulması önemli olan başka bazı ilkelere de yer verilmiştir. Bunlar arasında “temel hak ve özgürlüklerin özüne dokunulmaması”, “biyometrik veri işleme yönteminin ulaşılmak istenen amaç bakımından gerekli olması”, “gereklilik ortadan kalktıktan sonra biyometrik verilerin gecikmeksizin imha edilmesi” gibi ilkeler yer almaktadır.

Avrupa Birliği’nde veriye ilişkin trafik bilgileri de koruma altına alınıyor. Bu kapsamda Avrupa Birliği Genel Veri Koruma Tüzüğü yani GDPR ile Kişisel Verilerin Korunması Kanunu’nun uyumlulaştırılması yönünde bir çalışmanız var mıdır?

Bildiğiniz üzere 95/46 sayılı Avrupa Birliği Direktifi temel alınarak hazırlanan Kişisel Verilerin Korunması Kanunu 7 Nisan 2016 tarihinde yürürlüğe girmiştir. Kişisel verilerin korunması alanında Avrupa Birliği üyesi olan ülkeler arasındaki uygulama farklılıklarını gidermeyi ve bireylere üst düzey koruma getirmeyi amaçlayan Avrupa Birliği Genel Veri Koruma Tüzüğü ise 25 Mayıs 2018 tarihinde yürürlüğe girmiştir. Dolayısıyla ülkemiz veri koruma mevzuatı, Avrupa Birliği mevzuatı ile önemli ölçüde örtüşmektedir.

Kurumumuz daha önce Kanunun, Avrupa Birliği standartlarıyla uyumlu hale gelmesi için bir çalışma başlatmıştı. Devam eden süreçte kişisel verilerin korunmasıyla ilgili hayata geçirilmesi planlanan reformlar çerçevesinde, söz konusu çalışmayı ilgili kurum ve kuruluşların da görüşlerini alarak genişlettik ve tamamlanma aşamasına getirdik. Kişisel verilerin yurt dışına aktarılması da dahil olmak üzere belirlenen konular özelinde bir KVKK-GDPR uyumunun sağlanması hedeflenmektedir.

Küresel Mahremiyet Asamblesi’nin 2022 yılındaki toplantısının Türkiye’de yapılmasına karar verildi. Bu konudaki düşünceleriniz nelerdir?

Kurumumuz, kişisel verilerin korunması alanında uluslararası ölçekte yapılan çalışmalara katkı sunabilme yeteneğine sahiptir. Avrupa Birliği kurum ve kuruluşları başta olmak üzere; diğer ülkelerin veri koruma otoriteleriyle iletişim kurulmasına önem veren Kurumumuz, aynı zamanda Küresel Mahremiyet Asamblesi’nin 26 Eylül 2017 tarihinde düzenlenen 39. toplantısında üye kabul edilerek akredite edilmiştir. Kurumumuz bu tarihten itibaren Konferansın çalışmalarını yakından takip etmekte, gerekli konularda ise iş birliği yapmaktadır. Bu kapsamda; 2019 yılındaki toplantıda 6 adet İlke Kararından 2 tanesine eş sponsorluk yapmış, 2020 yılında Küresel Mahremiyet Asamblesi’nin pandemi döneminde kişisel verilerin korunmasıyla ilgili yaptığı bazı çalışmalara Türkiye adına katkıda bulunmuş olup, COVID-19 Görev Gücü Çalışmalarını takip etmektedir. Ayrıca Küresel Mahremiyet Asamblesi’nin 2022 yılında düzenlenecek olan 44. toplantısının Türkiye’de düzenlenmesi için yaptığı adaylık başvurusu kabul edilmiş ve süreç olumlu sonuçlanmıştır. Dolayısıyla 2022 yılındaki toplantı Türkiye’de yapılacaktır. Bu önemli organizasyonun kişisel verilerin korunması bakımından ülkemize ve Asamble üyesi ülkelere olumlu katkılar sağlayacağı kanaatindeyim.

Devam eden çalışmalarınızla ilgili kısaca bilgi verir misiniz?

Kurumumuz Kanun ve uygulanmasıyla ilgili farkındalık ve bilinçlendirme faaliyetlerine devam etmektedir. Bu kapsamda yakın bir zamanda ‘‘Doğru Bilinen Yanlışlar 2’’yi yayınlayacağız. ‘‘Genetik veriler’’ ve ‘‘çerezlerle’’ ilgili çalışmalar da yürütüyoruz. Tamamlandığında bunları da kamuoyu ile paylaşacağız.

Kurumsal çalışmalarımız içerisinde sektör bazlı projelerimiz de bulunmaktadır. Bu konuda daha önce başlattığımız çalışmalara ek olarak; turizm sektörüne, sigortacılık sektörüne, telekomünikasyon sektörüne, sağlık sektörüne ve üniversitelere ilişkin uyum üzerinde çalışmalarımız devam etmektedir.

Bu çalışmaların yanı sıra Türkiye Odalar ve Borsalar Birliği ile ”Ticaret ve Sanayi Odaları İçin Bilgilendirme ve Farkındalık Projesi”ni başlattık. Proje ile ‘Ticaret ve Sanayi Odalarının Personeli ve Üyelerinin’, Kişisel Verilerin Korunması Kanunu hakkında bilgilendirilmesi amacıyla; sektör yoğunluğuna göre belirlenecek olan 15 ilde farkındalık ve bilgilendirme çalışmalarının gerçekleştirilmesini planlıyoruz. Proje kapsamında; ticaret ve Sanayi Odalarının personeli ile üyelerinin Kanun hakkında bilgilendirilmesini, kişisel veriler ve veri mahremiyeti konusunda farkındalığın artırılmasını, kişisel veri güvenliğinin önemine dikkat çekilmesini ve Kanuna uyum süreçlerinin hızlandırılmasını amaçlıyoruz.

Öte yandan ‘‘Üniversite Gençliği Arasında Veri Koruma Gönüllüsü Yetiştirme Projesi’’nin ilk etabını hukuk fakültesi öğrencileri için gerçekleştirilmiştik. Bu projenin ikinci etabının mühendislik fakültesi öğrencileriyle gerçekleştirilmesi için çalışmalar yürütüyoruz. Ayrıca şu anda derleme bir kitap çalışması da devam etmektedir. Bu çalışma tamamlandığında söz konusu çalışmanın kütüphanelerde yer alması ve bu alanda başvurulacak temel bir eser olması için çaba gösteriyoruz.

Ayrıca, Sertifika ile ilgili tebliğ ve buna ilişkin program yayınlandı. Bu konu ile ilgili diğer çalışmalar devam etmektedir

Son olarak istatistiksel bilgileri de paylaşabilir misiniz? Bugüne kadar kaç başvuru yapıldı, bunlardan kaç tanesi sonuçlandı? Bunun dışındaki diğer rakamlardan da bahsedebilir misiniz?

Kurulumuz, Kanunla verilen diğer görevlerini de yerine getirmektedir. Bu çerçevede 10 Aralık 2021 tarihi itibarıyla, Kurula şu ana kadar 11.295 ihbar ve şikâyet geldi. Bunlardan 9.943 tanesi sonuçlandırıldı. Bugüne kadar Kurula 713 adet veri ihlal bildirimi intikal etti, bunlardan 167 tanesi Kurul tarafından ilan edildi. Öte yandan Kurumun görev ve yetki alanına giren konularda 694 hukuki görüş verildi. Ayrıca yurt dışına veri aktarımı konusuyla ilgili yeterli nitelikleri taşıyan 4 adet taahhütnameye Kurul tarafından onaylandı.

 

Önceki Siber Güvenlik: Mirai Köleağ Saldırısı ve Çıkarılan Dersler
Sonraki Türkiye Geniş Katılım ile "Yazılım Envanteri"nin Taksonomisini Oluşturuyor

Benzer Yazılar