Bilişim STK'ları, kişisel verileri koruma konusunu masaya yatırdı
Kişisel Verileri Koruma Kurumu (KVKK) Başkanı Prof. Dr. Faruk Bilir, Ocak 2017'de göreve başladıklarını anımsatarak, "O günden bugüne kadar hem yurt içi hem yurt dışı olmak üzere bize toplam 4 bin 839 ihbar ve şikayet başvurusu yapıldı, bu başvuruların 3 bin 769 tanesini sonuçlandırdık. Bu kapsamda yaklaşık 30 milyon TL idari yaptırım uyguladık. Bugüne dek bize 282 veri ihlal bildirimi yapıldı, bu bildirimlerin 55'ini ilan ettik." dedi.
Türk Telekom ana sponsorluğunda düzenlenen "Bilişim STK'ları ve KVKK" konulu video konferansta, sektörün profesyonelleri Kişisel Verileri Koruma Kanunu'nu ele aldı.
KVKK Başkanı Prof. Dr. Faruk Bilir toplantıdaki konuşmasında, şu ana kadar yaptıkları çalışamalar hakkında bilgi verdi.
Kişisel verilerin korunmasının, kişinin kendisinin korunması anlamına geldiğini belirten Bilir, kanunun amaçlarını temel hak ve özgürlüklerin korunması, mahremiyet hakkı, veri işlemede uyulacak usul ve esasların düzenlenmesi ve veri işleme faaliyetinin disipline altına alınması olarak sıraladı.
Kanunla, kişinin korunması ile veri temelli ekonomi arasında bir denge tesis edilmek istendiğine işaret eden Bilir, şunları kaydetti:
"Ocak 2017'de göreve başladık, o günden bugüne kadar hem yurt içi hem yurt dışı olmak üzere bize toplam 4 bin 839 ihbar ve şikayet başvurusu yapıldı, bu başvuruların 3 bin 769 tanesini sonuçlandırdık. Bu kapsamda yaklaşık 30 milyon TL idari yaptırım uyguladık. Bugüne dek bize 282 adet veri ihlal bildirimi yapıldı, bu bildirimlerin 55'ini ilan ettik. Avrupa ile kıyasladığımızda bu sayı çok düşük ama bunda kanunun yeni olmasının, farkındalığın yeterince oluşmamasının da payı var. Kanun ve mevzuatla ilgili olarak da 384 konu hakkında da hukuki görüş beyan ettik."
Özellikle Kovid-19 sürecinde bir takım kamuoyu duyuruları yaptıklarını anımsatan Bilir, bu alanda yaptıkları duyurular hakkında bilgi verdi.
Bilir, güvenliğin farkındalık ile mümkün olduğunu dile getirerek, bununla ilgili devam eden projeler olduğunu, ve farkındalık konusunda çalışmaya devam edeceklerini dile getirdi.
"VERBİS'e kayıt süresi daha önce üç defa uzatıldı, eylülde dolacak"
Konuşmasında STK'lardan gelen talep ve önerilere de yanıt veren Prof. Dr. Faruk Bilir, Kurul'un daha önce üç defa Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) kayıt olmak için tanınan süreyi uzattığını anımsatarak, bu sürenin eylül ayında dolacağını bildirdi.
STK'lardan gelen görüşler üzerine, Kişisel Verileri Koruma Kanunu ile Avrupa Birliği Genel Veri Koruma Tüzüğü'nün (GDPR) uyumluluğu konusuna değinen Bilir, yaklaşık 6 aydır KVKK-GDPR uyumluluğu üzerine çalıştıklarını, çalışma sona erdiğinde detayları paylaşacaklarını aktardı.
Bilir, kurulun genel yetkisinin olmadığı değerlendirmesine ilişkin, "Evet, genel denetim yetkimiz yok. Şikayet ve ihbar üzerine denetim yapabiliyoruz fakat rutin denetim yetkimiz yok. Bunun için bir kanun değişikliği gerekmekte, bununla ilgili notlarımız var. Kişisel verilerin korunması konusunda genel denetim yetkisinin daha verimli olacağını düşünüyoruz." ifadelerini kullandı.
"Kamu kurumları, KVKK'dan muaf değil"
Kamu kurumlarının KVKK'dan muaf olmadığının altını çizen Bilir, sadece özel şirketler ile kamu kurumlarına uygulanan yaptırımlar arasında fark bulunduğunu söyledi.
Bilir, güvenli ülkeler listesi ile çalışmaların devam ettiğini dile getirerek, bunun uzun soluklu bir çalışma olduğunu, bunun ne zaman açıklanacağına ilişkin bir süre vermenin şu an için doğru olmayacağını aktardı.
Bilir, şunları kaydetti:
"Yurt dışına veri aktarımında davranış kuralları ve model sözleşmelerle ilgili çalışmalarımız bitmek üzere, yakın zamanda bunu paylaşacağız. Yanı sıra, kişisel verilerin korunması konusunda sektörel bazda da, sektör sektör davranış kurallarının oluşturulması gerekir, bununla ilgili usül ve esaslarımızı da yakında yayınlayacağız.
BTK ve KVKK arasındaki protokolün önemine dikkati çekildi, protokol metnimiz hazır, kuruldan çıktı, BTK'dan gelecek cevabı bekliyoruz. Bu protokolün de en kısa zamanda hayata geçeceğine inanıyorum."
Kişisel verilerin korunması çerçevesinde, sertifikasyon, biyometrik ve genetik raporu gibi çalışmaların, çocukların kişisel verilerinin korunması ile ilgili yaptıkları çalışmaların da yakın zamanda yayınlacağını aktaran Bilir, konuşması çerçevesinde STK temsilcilerini kuruma davet ederek, bu toplantıyı yüz yüze yapma çağrısında bulundu.
"Kişisel verileri koruma kavramı ile siber güvenlik birlikte ele alınmalı"
Türkiye Bilişim Derneği (TBD) Genel Başkanı Rahmi Aktepe kişisel verilerin sektör için önemli olduğunu belirterek, konunun paydaşlarının çok fazla olduğunu söyledi.
Aktepe, "Kişisel verilerin korunması konusunda etkin bir sistemin oluşturulabilmesi için, dijital vatandaşlık bilincinin artırılması, kişisel verilerin korunması konusunda toplumda farkındalık yaratılması, veri ihlallerinin engellenmesine yönelik teknik önlemlerin oluşturulabilmesi için de milli ve yerli çözümlerin geliştirilmesini çok önemsiyoruz." değerlendirmesinde bulundu.
Kişisel verileri koruma kavramı ile siber güvenliğin birlikte ele alınması gerektiğini vurgulayan Aktepe, pandemi döneminde uzaktan çalışma, uzaktan eğitim, alışveriş gibi konuların online yapıldığını anımsattı.
Aktepe, bu durumlardan dolayı da kişisel ve kurumsal verilerin dolaşımının aynı derecede arttığına dikkati çekerek, "Bireysel ve kurumsal anlamda tam hazır olmadığımız aşamada gerçekleştirmek zorunda kaldığımız söz konusu dijital uygulamalarda bazı güvenlik zafiyetleri oluştu. Sosyal mühendislik ve kimlik avı saldırılarında da büyük artış gözlendi." dedi.
Kişisel verilerin bireyler ve toplumlar için öneminden bahseden Aktepe, konunun sadece şahsi değil, milli bir mesele haline geldiğini dile getirdi.
"Kişisel Verilerin Korunması Kanunu'nu çok önemsiyoruz"
Bilişim Sanayicileri Derneği (TÜBİSAD) Başkanı Erman Karaca, bilgi ve iletişim teknolojilerinin, hayatın içindeki önemine işaret ederek, bunun pandemi sürecinde daha da anlaşıldığını söyledi.
Kişisel verilerin korunması kanununu çok önemsediklerini dile getiren Karaca, bu konuda sektör olarak çözülmesini bekledikleri sorunları paylaştı.
Karaca, "Ticari yaşamda seçim şansına sahip olmak önemli. Türk şirketleri, global pazarlarda rekabet edecek şirketler olarak, dünyanın en büyük ekonomileri arasında yer alacak bir ülke olarak, rakiplerimizle en az aynı hukuki imkanlara ve teknik ticari seçim şanslarına sahip olmamız önemli. Her ülkenin veri lokalizasyonu konusunda belli hassasiyetleri var. Bu hassasiyetlerin de ticaret yapmayı ve sektörlerin küresel ticaretteki ticaret şartlarını zorlaştırmaması gerektiğini düşünüyoruz." değerlendirmesinde bulundu.
"BTK ile KVKK arasında protokol imzalanmasının faydalı olacağını düşünüyoruz"
Serbest Telekomünikasyon İşletmecileri Derneği (TELKODER) Başkanı Halil Nadir Teberci, regülasyona tabi bir sektör olduklarına işaret ederek BTK ile KVKK arasındaki süre değişiklikleri konusunda yaşadıkları sıkıntılardan bahsetti.
Teberci, bu yetki sınırlarının belirlenmesi konusunda BTK ile KVKK arasında bir protokol imzalanmasının faydalı olacağına dikkati çekerek, protokol imzalanması talebinde bulundu.
Kişisel verilerin korunması ile ilgili ciddi çalışmalar yaptıklarının altını çizen Teberci, "KVKK ile birlikte bir eğitim çalıştayı düzenleme önerimiz var, bunun faydalı olacağını düşünüyoruz. Verilerin Türkiye'de tutulmasının büyük faydası var fakat veri merkezi tanımı yok. Kişisel verilerin tutulduğu veri merkezinin bir tanımı yapılmalı, veri merkezleri ile ve altyapı ile ilgili bir çalışma yapılmalı." ifadelerini kullandı.
"Mobil iletişim sektörü, kuralları oluşturulamamış bir sektör durumunda"
Mobil İletişim Araçları ve Bilgi Teknolojileri İş Adamları Derneği (MOBİSAD) Başkanı Mustafa Kemal Turnacı, kişisel verilerin korunması ile ilgili üyeleri bilgilendirmek için çalışmalar yürüttüklerini ve buna devam edeceklerini bildirdi.
Turnacı, mobil iletişim sektörünün, kurallarının en çok oluşturulması gereken sektörlerin başında gelmesine rağmen özellikle sahada kuralları oluşturulamamış bir sektör durumunda olduğunu söyledi.
Bu kuralsızlık nedeniyle de kişisel verilerin korunması konusunda, vatandaşın ve sektörün yaşayacağı mağduriyetlerden kaygı duyduklarını belirten Turnacı, şu değerlendirmelerde bulundu:
"Usulün esasın önüne geçtiği bir çok durumda üyelerimizin ciddi yaptırımlarla karşı karşıya gelmesi endişesini taşıyoruz. Sektörümüzde kişisel veri işleyen, tedarik edebilen 22 bin civarında noktamız var ancak sektörümüzün hiç bir sertifikasyon programı yok. Sektörümüzde sertifikasyon programı gerçekleştirilmeli, bu programda KVKK ile eğitim programları oluşturulmalı, sektördeki firmalara belli donanımlar sağlanmalı."
Yazılım Sanayicileri Derneği (YASAD) Başkanı Gönül Kamalı, Telekomünikasyon Uydu ve Yayıncılık İş İnsanları Derneği (TUYAD) Başkanı Hayrettin Özaydın, Kişisel Verilerin Yönetimi Derneği (KYVD) Başkanı Ahmet Hicabi Erdinç ve Teknolojide Kadın Derneği (wtech) Kurucu Başkanı Zehra Öney, kişisel verileri koruma konusunun kendi sektörlerine etkileri ve taleplerine ilişkin değerlendirmelerde bulundu.