Ekonomi Muhabirleri Derneği(EMD) Yönetim Kurulu, KVKK (Kişisel Verileri Koruma Kurumu) Başkanı Prof. Dr. Faruk Bilir’i ziyaret etti. Ziyaret sırasında kişisel verinin; kimliği belirli veya belirlenebilir bir gerçek kişiye ilişkin her türlü bilgi olduğunu dile getiren Bilir, “Bu konuda veri işlemek yetmiyor. Bu verinin muhafazasını, güvenliğini de sağlamamız gerekiyor” dedi.
Kişisel veri işlenmekte olan tüm sektörlerde, kişisel verisi işlenen kişiler tarafından şikâyet veya ihbar başvurusu yapılabilineceğini belirten Prof. Dr. Faruk Bilir, GSM sektörü, bankacılık, finans ve sigorta, telekomünikasyon, hastane ve sosyal medya gibi sektörler yoğunluklu olmak üzere şikâyet başvurularının geldiğini. Gelen başvuruların değerlendirilip, yaygın ihlal durumu veya çok sayıda benzer şikâyet gelmişse, Kurul tarafından ilke kararları alınarak yayınlandığını söyledi.
Bilir, “İlk ilke kararımız banko, masa ve gişe ile hizmet veren sektörlerle ilgili oldu. İster kamu kurumları olsun ister özel kurum ve kuruluşlar olsun; banko, masa ve gişe ile hizmet verirken işlemekte oldukları kişisel verilerin başkaları tarafından görülmesi ve duyulmasına engel olmak zorundalar. Böyle olaylarda bir sıramatik veya kiosklardan sıra numarası verirsiniz sırası gelen kişi, görevliyle baş başa görüşür ve gerekli bilgileri aktarır. Böylece kişisel veri ile ilgili tedbir alınmış olur” şeklinde konuştu.
“E-Devlet’te herhangi bir veri ihlali olmadı”
Kurum olarak, tüm Bakanlıklardan en az 25 temsilcinin katılımıyla 4 hafta boyunca 2 şer günlük seminerler verdiklerin söyleyen Bilir, “Şimdi de şubatın ikinci yarısında kamu kurumu niteliğindeki meslek kuruluşlarına bu Kanunu anlatacağız. Sadece veri işlemek yetmez. Bu verinin muhafazasını, güvenliğini de sağlamamız gerek” dedi.
Bu zamana kadar e-devlet ile ilgili bir şikayet veya veri ihlali gibi bir durum olmadığını, Kanunun kuruma rutin bir denetleme yetkisi vermediğini, ancak ihbar veya şikâyet üzerine inceleme yetkilerinin olduğunu aktaran Bilir, ceza miktarlarının kanunda açıkça belirlenmiş olup, bazı durumlarda 1 milyon liraya kadar idari para cezası düzenleme yetkisi verdiğini söyledi. Ayrıca idari yaptırım olarak veri işlemeyi ve yurt dışına veri aktarımını durdurabildikleri bilgisini de aktardı.
“Ceza miktarından ziyade işin itibar yönü önemli”
Bilir, “Biz kararlarımızı yeni bir kurum olduğumuz için anonimleştirerek yayınlıyoruz. Ceza miktarından ziyade bu işin bir de itibar yönü var. Mesela Türkiye’de saygın bir şirket. Bunun hakkında ceza kesip internette yayınladığımız zaman daha etkili olduğunu düşünüyoruz” şeklinde konuştu.
Global kuruluşlardan mail adresleri sosyal medya hesaplarında bilgi paylaşımı konusu ile ilgili çok yönlü bir araştırma yapıldığını, özel bir komisyon kurulduğunu ve komisyonun incelemelere devam ettiğini aktaran Bilir, “Örneğin dünya çapında mevcut olan bir sosyal medya hesabı Facebook. 2018 Nisan ayında biz inceleme başlattık, Facebook’la ilgili inceleme devam ediyor. Bilgilerimizi sosyal medya kuruluşlarına açık rızamız ile vermiş olabiliriz. Ancak Kanunla getirilen en önemli şey şu: Bu verilerin amaca uygun kullanılması Eğer bu veriler amaç dışı kullanılır ise bunun adı veri istismarı olur” dedi.
“Türkiye’de alışkanlıklarımızı değiştirmemiz gerekiyor”
“Kişisel veriler, bizim değerlerimiz, sınırlarımızdır” diyen Bilir, parmak iziyle bir yere giriş yaptığınız zaman sorgulanması gereken konuların olduğunu dile getirdi. Neden parmak izinin alındığını, bunun başka yollarla da sağlanabildiğini, parmak izi uygulamasında şikâyetler geldiği zaman ölçülülük ilkesine göre değerlendireceklerini belirten Bilir, “Parmak izi biyometrik ve önemli bir veri. Diğer taraftan yüz tanıma, retina gibi önemli veriler var. Bunları kaydettiğiniz zaman kanunda silme yok etme konuları da var. Bunlar bir şekilde siber aleme yansıdığı zaman silmek o kadar kolay değil. Bunlar başka yöntemlerle olmalı. Mesela bir kart verirsin o kart okutulur ve girilir” dedi.
Faruk Bilir, “Bizim bir ilke kararımız da şu. Bazı kişisel verilere erişme yetkisi olanlar var. Örneğin bir bankadaki personel bizlerin hesap bilgilerine erişebilir. Fakat bu, her istediği zaman keyfi olarak erişim sağlayabileceği anlamına gelmiyor. Böyle olursa da zaten bunların log kayıtları tutuluyor. Bu hukuka aykırı, aynı zamanda suç” şeklinde konuştu.
Kanun, verilerin işleme amacı ve vasıtalarını belirleyen, kayıt sisteminin kurulması ve yönetilmesinden sorumlu olan veri sorumlusu olduğunu gösterdiğine dikkat çeken Bilir, “Veri sorumlusu gerekli güvenlik önlemlerini alsaydı o ihlal yaşanmayacaktı. İdari tedbir olabilir, teknik tedbir olabilir. Biz diyoruz ki kurumunuzda çalışan personele bu konuda eğitim vermeniz gerekiyor. Türkiye’de alışkanlıklarımızı değiştirmemiz gerekiyor. Bu konuda bir kültür oluşturmamız gerekiyor. Birisi benden nüfus cüzdanımı istediği zaman ne için sorusunu sorabilmeliyim. Henüz yolun başındayız ve bu süreç, uzun bir süreç. Toplum haklarını öğrendiği zaman haklarının peşine düşecek ve sahip çıkacaktır.
Bütün veri işlemekte olanların kanuna göre kişiyi öncelikle aydınlatması gerektiğini söyleyen Bilir, “Bu veriyi niçin aldığını, bu veriyi kimlerle paylaşıp paylaşmayacağını, yurt dışına aktarıp aktarmayacağını, hangi verileri hangi sebeplerle işlediğini bize açıklaması gerekiyor” diye konuştu.
Bilir, “Kanun ve kişisel verilerin işlenmesine ilişkin ilgili mevzuat hakkında daha fazla bilgi almak için www.kvkk.gov.tr ziyaret edilerek veya 198 nolu Bilgi Danışma Hattımız aranarak bilgi edinilmesi mümkündür” diye ekledi.