25 Mayıs 2018 tarihinde GDPR resmi olarak geçerliliğine kavuştu. O güne gelene kadar Türkiye dahil pek çok ülke panik halinde biz buna nasıl uyum sağlarız korkusu başlamıştı. Artık bir GDPR-KVKK projesi yönettiğim günleri geride bırakıp, daha çok BT Yönetişim alanında çalışsam da uzaktan da olsa takip ediyorum. Güzel gelişmeler de görüyorum.
Türkiye olarak örneğin bu konuda pek çok şirket çalışmalara başladı, epey de yol aldı. Bireyler de kendi kişisel verilerinin artık ne olduğunun farkında ve eskisine göre kişisel veriler hakkında daha hassas davranıyorlar.
Bununla beraber bundan bir sene önce KVKK’ya hepimiz epey kızgındık, bir kanun yaratılmıştı ancak yurtdışına veri gönderimi, kişisel veri işleme envanteri gibi yeterli adreslenmemiş açık noktalar vardı. Son bir sene boyunca KVKK pek çok seminer yaptı bununla beraber herkese açık pek çok rehber yayınladı. İnternette de farkındalık yaratan youtube videoları sayesinde tüm şirketlerin üzerindeki farkındalık yaratma baskısını üzerinden aldı.
GDPR Zero Day Etkinliği’nden Notlar ve Bugün
Bir sene önce 25 Mayıs 2018 tarihinde GDPR Zero Day Etkinliğine gitmiş ve epey bir notlar almıştım. Teknik aksaklıklara rağmen değerli konuşmacıları ile oldukça faydalı bir etkinlik oldu. O günkü notların bir kısmı hala belki bize ışık tutabilir, bazılarına o gün yazdığım notlarla ilgili güncellemeler ekledim.
GDPR’a Hazır Mıydık?
Ne GDPR ne de KVKK kurumların veri kullanarak değer yaratmasını engellemeye çalışmıyor. Aksine kişilere ait verileri hukuka uygun olarak işleme ve saklama çerçevelerini çiziyor.
Avrupa birliği yıl 1970’lerden beri kişisel verilerle ilgili kanunlar üzerinde çalışıyor. Teknoloji ilerlerken aynı zamanda kişisel veri korumaya yönelik yeni kanunlar çıkarıyordu. Türkiye’de teknoloji ilerledikten sonra bu kanun çıktığı için altyapısal olarak yeterli hazırlığımız yok.
Kişisel verilerle ilgili yasal düzenlemelere uyumun bir kültür değişikliği gerektiği defalarca farklı konuşmacılar tarafından dile getirildi.
GDPR’ı iki sene önce herkes Avrupa’nın sorunu sanıyordu, ancak her ülkenin sorumluluğu olduğunu öğrenmesi geç oldu. Dünyanın %85’i GDPR’ın uygulamasına hazır değil, bazı firmalar GDPR uygulamasından sakınmak için Avrupa ülkelerine web sitesi trafiğini engelledi.
7 Nisan ve öncesinde gelen açık rıza taleplerini Kişisel Veri Kurumu gereksiz olarak nitelendirdi. Ancak hukuka aykırı oluşundan bahsetmedi. Aynı paniğin sadece Türkiye değil tüm dünyada olduğu belirtildi.
VERBİS
KVKK işini tamamlamadı, yeni kararlar yolda. VERBİS’in testi tamamlanmak üzere. Şikayet hattı için çağrı merkezi personeli sayısı da arttırılacak. VERBİS’teki Kişisel Veri İşleme Envanteri gibi şablonu belli bir kayıt tutmaya GDPR zorlamıyor, ancak tüm risk analizleri ve önlemlerin temelini envanterin oluşturduğunu düşündüğünüzde zaten o envanteri GDPR’da da çıkarmanız gerekiyor. (Bugünkü geldiğimiz durumda VERBİS tamamlandı ve kılavuzu da yayınlandı.)
VERBİS üzerinde irtibat kişisi tanımlarken bir kişi sadece bir firmaya hizmet verebilir bilgisi verildi. Hukuk ve danışmanlık firmaları ile grup şirketleri açısından için üzücü haber.
GDPR ve KVKK – Teknik Önlemler ve Sorumluluk
GDPR ile KVKK arasında teknik önlemler anlamında taleplerde büyük farklar yok. Kişisel Veriler Koruma Kurulu bu önlemlerin detaylarını kanun ve kararların içinde değil, rehberlerin içinde tanımlıyor ve iyi uygulama örneklerini rehber olarak sunmaya çalışıyor. Buradaki temel amaç farklı büyüklükteki şirketlerin uyum sağlamasını kolaylaştırmak ve şirketlerin risk temelli yaklaşım uygulayarak uygun önlemleri kendisinin belirmelemesine imkan vermek.
Ne zaman GDPR’dan ne zaman KVKK’dan sorumluyum sorusu çok geldi. Özellikle web sitesinin AB ülkeleri tarafından ulaşılması konusu genel tedirginlik sebebiydi. AB ülkelerinde yaşayan kişileri hedef alma ve davranışlarını izleme durumu var ise GDPR’dan sorumlu olunduğu değinildi. Örneğin Antalya’da eviniz var ve Almanca ilan verip, Euro para birimiyle fiyat veriyorsunuz. Evet, GDPR’a tabisiniz.
Yurt Dışına Veri Çıkışı
Yurt dışına veri çıkarma konusu elbette ki gündemdeydi. GDPR’da konu daha komplike, ancak veri çıkarılabilecek ülkeler tanımlı. Amerika konusunda farklı bilgiler vardı, Amerika’da veri barındıranlar araştırmalı. KVKK’da yurtdışına veri transferi ve veri barındırma konusu çok net. İlgili kişinin açık rızası varsa veri yurtdışına çıkabilir. Açık rıza yok, ancak veri transferi yapılan ülkede gerekli önlem varsa veri yurtdışına çıkabilir. Açık rıza yok, verinin çıktığı ülkede yeterli koruma yok ise alıcı ülkenin yazılı veri korumaya ilişkin taahhütü ile Kişisel Veri Koruma Kurulu onayı gereklidir. (Benim yorumum: Yeterli koruma olan ülke listesi henüz yok, ancak AB ülkeleri ile İngiltere’nin bu kapsama girdiğini ülkelerindeki regülasyonların kapsamı sebebi ile yeterli varsayabiliyoruz. Hukukçuların bir kısmı aksi görüştedir.) (Son durum: KVKK bu konuyu anlatan bir video eklemiş onu da paylaşıyorum. Ülkeler yayınlandı mı araştırmadım, göz attığımda göremedim. Yakın zamanda hala bu konularla ilgili tartışmalar gözlemledim, hatta yine bir yazımda bu durumu eleştirdim. 10 Mayıs 2019 tarihinde KVKK, Avrupa Veri Koruma Otoriteleri Konferansında KVKK’nın Akreditasyon Başvurusu Kabul Edildiğine dair bilgilendirme var. Yani kim kime güvenilir ülke olduğunu onaylatmaya çalışıyor, o gözle yeterli koruma konusuna bakmak gerek.)
GDPR’da Olup KVKK’da Olmayan Konular
GDPR’daki 22/1 otomatik veri işleme maddesi kapsamı aslında otomatik karar sistemlerini içeriyor. Customer sentiment analysis, behavioral analytics, predictive support, fraud detection, customer segmentation konuları bu maddede yer alıyor. KVKK’da bu konu işlenmiyor. (Hala işlediğini gözlemlemedim)
Unutulma hakkı GDPR’da mevcut, KVKK’da mevcutta yeri yok, ancak bir yargıtay genel kurul kararında “yeni bir sayfa açma hakkı” olarak tanımlanmış. Unutulmanın sınırı nedir konusunda kesin çizgiler yok, ancak şu parametreler önemlidir: kişisel haklar, bilgiye ulaşma hakkı ve gelecek nesillerin bilgi edinme hakkı. Eğer toplumsal bir figürseniz, örneğin siyasi bir figür, unutulma hakkınızı toplumun bilgiye ulaşma hakkı sebebi ile kullanamayacaksanız.
Unutulma hakkıyla ilgili arama motorlarına değinildi. Bu konu KVKK’da olmayan, GDPR’da tanınmış bir haktır. Arama motorlarına delisting talep edilerek ilgili kişiye ait web sayfasının indeksi kaldırılabiliyor. Konuyla ilgili Google’ın şeffaflık raporu’nda yer alan kaldırılan url oranı paylaşıldı.
Çerezler GDPR’da kişisel veri olarak tanımlanmış ve kullanım amacı ile ilgili kurumlardan beklentiler tanımlı. KVKK’da henüz çerezler tanımlı değil. Çerezler ile ilgili katılımcı reklam firmasından tepkiler vardı. Çerezlerin kullanıcıların hayatını kolaylaştırdığı, web sitelerinin gelirlerinin çerezlerden kaynaklı hedeflenmiş reklamlardan geldiği, kullanıcıların kendisi ile ilgili reklamlardan hoşlanmadığını dile getirdi. Ancak hukukçular çerezlerin kullanımının yasak olmadığını, ancak kullanıcının seçim hakkı olması gerektiğini hatırlattı. (Bugün pek çok blog sayfasında çerez uyarısı için çözümler çıkmış durumda.)
İhlal bildirimi için GDPR’da resmi süre 72 saatken, bu seminerin yapıldığı gün KVKK için belirlenmiş herhangi bir zaman dilimi yoktu. En kısa zamanda iletiniz tarzında bir yaklaşım vardı. (Son durum: 2019 yılında bu konuyu netleştirerek 72 saatte bildirim konusunda KVKK da karar kıldı, konuyla ilgili bilgilendirmeyi link‘teki gibi gerçekleştirdi.)
Etkinliğin Son Sözü
Son olarak etkinlikle ilgili yorumlarıma gelecek olursak: Bir üniversite için başarılı buldum, kar amacı gütmeden yapılan iyi niyetli, reklamı az içeriği dolu dolu bir etkinlikti. Teknik aksaklıklar yaşamamak adına ön kayıt alınmasında fayda olabilirdi. Terzi kendi söküğünü dikemez derler, ancak etkinlikte toplanan kişisel verilerimizle ilgili bilgilendirme yapıldı. Özellikle böyle bir etkinlikte atlanmaması gereken bir konuydu, tebrikler.
Güzel etkinlik için teşekkürlerimi sunar, katılan herkese faydalı olduğunu umarım. Katılamayan için de elimden geldiğince günü özetlemeye çalıştım. Umarım bulan ve okuyan kişilere fayda sağlarım.