“Kişisel verileri korumak, marka değeri ve rekabet gücünü artırır”

Prof.Dr. Faruk Bilir
KVKK (Kişisel Verileri Koruma Kurumu) Başkanı

Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi kişisel veridir. Kişisel veriler; kişiyi doğrudan veya dolaylı olarak tanımlanabilir hale getiren bilgilerdir. Kişisel verilerin korunması ise kısa ve öz olarak, kişinin kendisinin korunmasıdır. Kişisel verilerin korunmasını isteme hakkı, insan haklarının korunmasına yönelik önemli mekanizmalardan biri, temel bir insan hakkı olma niteliği taşımaktadır. Kişisel verilerin korunması bir araçtır, amaç ise verilerin korunması aracılığıyla kişinin bizzat kendisinin korunmasıdır.
Bilişim teknolojilerinin hızla ilerlemesi, mal ve hizmetlerin sunulmasında veriye dayalı yönetim anlayışının benimsenmesi ve günlük yaşamın işleyişi içerisinde kişi, kurum ve kuruluşların önemli ölçüde veri işleme faaliyetinde bulunması, kişisel verilerin korunmasına yönelik ihtiyacı artırmıştır. Bu hak sayesinde bireyler, kendilerine ait veriler üzerinde kontrol ve denetim sağlama imkanına kavuşmuştur.

Dünya’da ve ülkemizde, dijital dönüşüm hareketleri son yıllarda ciddi bir ivme kazandı. Devam eden bu süreçte veri odaklı bir anlayışın gözle görülür bir biçimde önplana çıktığını görmekteyiz. Dijital teknolojiler, önemli ölçüde kişisel verilerden yararlanmaktadır. Gelinen noktada, veriden ve özellikle kişisel verilerden değer üretebilen şirketlerin değer kazandığını söylemek mümkündür.
Aslında kişisel veriler her zaman değerliydi. Ancak dijitalleşmeyle birlikte kendine uygulama alanları bulan veri temelli ekonomi sayesinde, bu değer yakından hissedilmeye başlandı. Sadece ekonomik açıdan değil, hizmet kolaylığı açısından da dijital dönüşüm ve kişisel veriler arasında doğrudan bir ilişki bulunmaktadır. Kişisel veriler, dijital dönüşümün gerçekleştirilmesinde kilit bir rol oynamaktadır. Şüphesiz ki; kişisel verilerin işlenmesi hayatı kolaylaştırmış ve pratik bir hale getirmiştir. Burada dikkat edilmesi gereken nokta, kişisel verilerin hukuka uygun olarak işlenmiş olması ve bulunduğu her ortamda güvenliğinin sağlanmış olmasıdır. Bu sayede hem temel hak ve özgürlüklere saygılı olunabilecek, hem de teknolojik gelişmelere uygun olarak veri temelli ekonomide daha rekabetçi bir noktaya ulaşılabilecektir.

2010 Anayasa değişikliğinin kazanımlarından biri olan Kişisel Verilerin Korunması Kanunu, 7 Nisan 2016’da yürürlüğe girmiştir. Kanunla birlikte, kişisel verilerin korunması alanında düzenleyici işlemler yapma yetkisine sahip Kişisel Verileri Koruma Kurumu kurulmuştur. Kanun, temel hak ve özgürlüklerin korunmasını ve kişisel veri işlemede uyulacak usul ve esasların düzenlenerek veri işleme faaliyetinin disiplin altına alınmasını amaçlamakta, kişisel verisi işlenen gerçek kişileri korumaktadır. Kanunu; temel ilkeler, kişisel veri işleme şartları, ilgili kişinin hakları ve veri sorumlusunun yükümlülükleri olmak üzere dört ana başlık halinde incelemek mümkündür.
Dijital dönüşümün temel bileşenlerinden biri, veri güvenliğidir ve öncelikli olarak gözetilmesi gereken hususlardan bir tanesi de kişisel verilerin korunmasıdır. Kanun, kişisel verilerin korunmasıyla veri temelli ekonomi arasında bir denge tesis etmektedir. Bu çerçevede kişisel verilerin güvenliğini sağlamak, teknolojik ve ekonomik gelişmelerden geri kalmayı gerektirmemektedir. Bundan dolayı Kanun’la ilgili bilinmesi gereken en temel bilgilerden biri; Kanun’un kişisel verilerin işlenmemesini değil, kişisel verilerin hukuka uygun şekilde işlenmesini amaçlıyor olmasıdır. Bu amaç doğrultusunda Kanun; kişisel verilerin, belirli ilke ve şartlar çerçevesinde işlenmesine imkan tanımaktadır.

Teknolojinin ve dijitalleşmenin hızla ilerlediği günümüzde, elbette ülkemizin bu gelişmelerin dışında kalması beklenemez. Bilindiği gibi ülkemiz, dijital dönüşüm faaliyetlerini ‘Milli Teknoloji Hamlesi’ adı altında yürütmekte ve bu kapsamda son derece başarılı adımlar atarak yoluna devam etmektedir. Üstelik söz konusu adımları atarken; ilgili her durumda kişisel verilerin korunması konusunda da gereken hassasiyeti gösteren bir yaklaşım sergilemektedir. Ülkemizin bugüne kadar olduğu gibi, bundan sonraki süreçte de insanın onurunu merkeze alan, insan odaklı bir anlayışla; bu alandaki çalışmalarını sürdüreceğine inanıyorum.
Öncelikli olarak uzaktan çalışma gibi yöntemlerden yararlanıldığı takdirde kişisel veriler, Kanun’da açıkça belirtilmiş olan veri işleme şartlarına uygun işlenmelidir. Uzaktan çalışma amacıyla kullanılan bazı yazılımların bulut hizmet sağlayıcılar aracılığıyla hizmet verebildiği ve bu yazılımlara ait veri merkezlerinin yurt dışında olabileceği göz önünde bulundurulmalıdır. Veri merkezlerinin yurt dışındaki platformları kullanması durumunda ise yurt dışına veri aktarımı söz konusu olacağından, Kanun’un yurt dışına veri aktarımını düzenleyen maddesinde belirtilen şartlara uygunluk sağlanması gerekmektedir.

Bunun yanı sıra kişisel verilerin güvenliğinin sağlanması bakımından, Kurum tarafından daha önce yayımlanan Kişisel Veri Güvenliği Rehberi’nde genel çerçevesi çizilen teknik ve idari tedbirler uygulanmalıdır.
Ayrıca çalışanlara kişisel verilerin korunmasıyla ilgili farkındalık ve bilgilendirme eğitimleri verilmeli, diğer yandan kişisel veri işleme süreçlerinde mümkün olduğunca yerli ve milli çözümler tercih edilmelidir.
Bir veri ihlali yaşandığı takdirde, Kanun gereği veri ihlal bildirimi yapılmalıdır. Kişisel veri ihlali bildirimi; veri sorumlusu sıfatını haiz gerçek ve tüzel kişiler veya bunların yetkilendirdiği kişilerce; işlenen kişisel verilerin, kanuni olmayan yollarla başkaları tarafından elde edilmesi durumunda, veri sorumlusunun Kurul’a ve ihlalden etkilenen kişilere yapmak zorunda olduğu bildirimdir. Bildirim, Kurum internet sitesi www.kvkk.gov.tr’de bulunan ‘Veri İhlali Bildirim Formu’nun doldurularak Kurul’a iletilmesi ve ayrıca ihlalden etkilenen kişilere gerekli bilgilendirmenin yapılması şeklinde gerçekleştirilir.
Bu tür durumlara karşı önceden hazırlıklı olabilmek adına bir çeşit kriz yönetimi olan ‘Veri İhlali Müdahale Planı’ hazırlanmalıdır. Bundan dolayı şirket, kurum ve kuruluşlar tarafından kimlere raporlama yapılacağı, yapılacak bildirimlerle ihlalin olası sonuçlarının değerlendirilmesi hususunda sorumluluğun kimde olduğunun belirlenmesi gibi konuları içeren bir veri ihlali müdahale planı hazırlanmalı, belirli aralıklarla gözden geçirilmelidir.

Kanuna uyum sağlamak; yalnızca bireylerin verilerinin güvence altında olmasını değil, aynı zamanda verimli ekonomik ilişkilerin kurulmasını da mümkün hale getirmektedir. Bu bağlamda, dijital dönüşüm sürecinde kişisel verilerin korunması mevzuatına uyum sağlayan şirketlerin ve kuruluşların sadece itibarı değil, marka değeri ve rekabet gücü de artmaktadır. Bu nedenle ulusal ve uluslararası ölçekte rekabet gücünün artması için veri korumanın şirketlerde yerleşik bir kültür haline gelmesi gerekir.
Toplum genelinde kişisel verilerin korunması noktasında ciddi bir mesafe katedildiğini gözlemliyoruz. Kurum olarak bu farkındalığın ve veri koruma bilincinin artması yönünde çalışmalarımızı sürdürmekteyiz. Diğer taraftan, gerek Kurumumuza gelen görüşler, başvurular gerekse Kurum dışı etkinliklerimizde bize yöneltilen sorular çerçevesinde hem kamu, hem özel sektör nezdinde Kanuna uyum için özen gösterildiğini görmekteyiz. Biz de Kurum olarak paydaşlarımızla bir araya gelip Kanun’a uyum sürecinde karşılaşılan soru ve sorunların aşılabilmesi için işbirliği ve fikir alışverişinde bulunuyoruz.