Kategori: Kişisel Verilerin Korunması

Karantinada Kişisel Verilerinizi Korumayı Unutmayın!

Yayın tarihi  ​​20 Mart 2020 Yazar , and
Kategoriler: Kişisel Verilerin Korunması

Blogumuz vasıtasıyla sizlere pek çok defa kişisel verilerin korunması alanındaki güncel gelişmeleri ve bunlara dair hukuki tartışmaları aktarıyor olduk. Bugün dünya genelinde olduğu gibi ülkemiz de küresel bir salgın ile karşı karşıya. Hal böyle olunca şu an bir kişisel verilerin korunması hukuku tartışmasının ne önemi var diye düşünebilirsiniz. Ancak resmin bütününe baktığımızda her geçen gün daha da artan bu salgına karşı şirketlerin önlemlerini artırdığını ve bu vesileyle de birtakım kişisel veri işleme senaryolarının oluştuğunu görüyoruz.

Bu yazımızla sizlere bu süreçte şirketlerin Kişisel Verilerin Korunması Kanunu (“KVKK”) nezdinde karşılaşabileceği başlıca sorunlara değinmeyi amaç edindik.

COVID-19 kapsamında ne gibi veriler işliyoruz? Bunları işlememizde bir hukuki dayanağımız var mı?

Kuşkusuz COVID-19 bir sağlık sorunu ve bu kapsamda ilk akla gelen husus sağlık verileri, yani özel nitelikli verilerin işlenmesine dair özel hususlar. Elbette KVKK’nın 6. maddesinden söz ediyoruz ve pek çoğumuzun bildiği üzere bu madde en çok da sağlık verilerinin rızadan istisnai olarak işlenmesi noktasında şirketlerin elini kolunu bağlar vaziyette.


Bu bakımından temel kuralın her ne kadar küresel bir salgın ile karşı karşıya olunsa da bu verilerin ilgili kişinin rızası dahilinde işlenmesi olduğu unutulmamalıdır. Bu yönüyle şirketler işlenen veri uyarınca gerekli aydınlatmayı yapmalı ve istisnai süreçler bulunmadığı sürece ilgili kişinin rızasını almalıdır.

Bu noktada hatırlatılması gereken en önemli konu, sürecin “sır saklama yükümlülüğü altında olan” işyeri hekimlerince yürütülmesidir. Böylelikle gerekli veri koruma önlemlerinin de alınmasıyla sağlık verileri bakımından rıza alma koşulu bertaraf edilebilecektir.

Bunun yanında alınan her verinin sağlık verisi olmadığına da değinmekte fayda var. Örneğin bir çalışanın son bir aydaki seyahat geçmişi özel nitelikli bir veri olarak kabul edilmeyecektir. Dolayısıyla bu veriler bakımından KVKK’nın 5.maddesinde yer alan daha geniş kapsamdaki istisnai hükümler söz konusu olabilecektir.

Her halükârda KVKK’nın 4. maddesinde yer alan temel ilkeler de göz ardı edilmemeli ve söz konusu kişisel veriler özellikle amacına uygun bir şekilde ve ölçülülük ilkesine uymak kaydıyla işlenmelidir.

Son olarak değinilmesi gereken husus, GDPR’ın özellikle özel nitelikli veriler bakımından KVKK’ya göre oldukça kapsamlı bir istisna rejimi barındırıyor oluşudur. Bu yönüyle özellikle Türkiye’de faaliyet gösteren ancak küresel ayağı da bulunan şirketlerin KVKK’nın bu noktadaki ayrıksı pozisyonunu göz ardı etmemeleri önem arz etmektedir.

Bir çalışanımızın COVID-19’a yakalandığından emin olduk. Peki, bu durumu kimler ile paylaşmalıyız? Diğer çalışanımızı ve kamu otoritelerini ne ölçüde bilgilendirebiliriz?

COVID-19’un yayılma hızı ve yıkıcı etkileri göz önüne alındığında, yetkili otoritelere bildirimlerin hızlı bir şekilde yapılması ve tedbirlerin ivedilikle alınması gerektiği açıktır.

KVKK anlamında, mevcut durum kamu güvenliğini ve kamu düzenini tehdit ettiğinden verilerin Sağlık Bakanlığı ve ilgili otoritelerce işlenmesinin önünde bir engel bulunmamaktadır. Ancak, sağlık verilerinin işveren tarafından otoritelere aktarımı, KVKK’ya tabi olacaktır. Çalışanın enfekte olduğu bilgisi sağlık verisi olarak kabul edileceğinden, özel nitelikli kişisel verilere ilişkin hükümler göz önüne alınmalıdır. Çalışanın rızasını alma yoluna gidilmesi tercih edilebilir. Ancak özellikle içinde bulunduğumuz durumun potansiyel mali etkileri göz önüne alınırsa, enfekte olan çalışanın iş güvenliği anlamında kendini baskı altında hissetme riski bulunmaktadır. Bu doğrultuda çalışanın rızasına dayanarak gerçekleştirilen işleme ve aktarım faaliyetleri riskli gözükmektedir. Diğer yandan, teoride bu bildirimlerin iş yeri hekimleri tarafından yapılması gerekeceği söylenebilir. Ancak, mevcut durumda bu yöntemin uygulanabilirliği tartışmalı olacaktır. Geniş pencereden incelediğimizde hekimler her zaman işyerinde bulunmayabilir. Salgının yayılma hızı düşünülürse, çalışan işyerine gelmeden ya da hekimi ziyaret etmeden de hastalık bildirimi yapabilir.

Bu durumda, kamu sağlığının korunması adına hızlı aksiyon alabilmek için şirketler, insan kaynakları gibi çalışana doğrudan temas eden birimleri içerisinde sınırlı sayıda ekipler oluşturularak, gerekli bildirimleri bu ekipler üzerinden gerçekleştirmeyi tercih edebilirler. Bu noktada, genel veri işleme prensipleri göz önüne alınarak, çalışanın enfekte olduğuna dair bilginin mümkün olduğunca dar bir çevrede bilinmesi, ekiplerin az sayıda (bir veya iki kişi) çalışandan oluşturulması gerekmekte ve enfekte olan çalışanın gizliliğine üst seviyede dikkat edilmelidir.

Bir diğer yandan, enfekte olan çalışanın gizliliği göz önüne alınarak, çalışanın kimliğinin şirket içerisinde duyurulmaması gerekmektedir. Ancak yukarıda da açıkladığımız üzere, maalesef salgın çok ciddi bir hızla yayılmaktadır. Bu doğrultuda, iş sağlığı ve güvenliğinin önemi göz önüne alınarak, diğer çalışanın sağlığının ve bağışıklığının korunması adına, şirket içerisinde COVID-19 enfekte bir çalışanın bulunduğunun isim belirtmeksizin duyurulması gerekebilir.

Şirket içerisinde yapılacak duyurularda şirket çalışanlarına COVID-19 enfekte bir çalışanın bulunduğu, evden çalıştığı ya da izinde olduğu belirtilmeli; ancak şirket içi seviye ya da ekip gibi çalışanın kim olduğunun tespitini sağlayacak detaylar paylaşılmamalıdır.

Pek çok şirket evden/uzaktan çalışma metodunu benimsemiş gözüküyor. Peki, uzaktan çalışan personeli takip edebilir miyiz?

Sosyal medya üzerinde ve Whatsapp gruplarında, şirketlerin evden çalışan personeli farklı şekillerde denetlediğine dair söylemlerle karşılaşmaktayız.

İşveren’in, çalışanlara teslim etmiş olduğu işlerin akıbetini takip etmek istemesi, yönetim hakkı kapsamında mümkündür. Ancak personelin çalışma takibini gerçekleştirirken, kişisel verilerin korunması kapsamındaki genel ilkelere riayet edilmesi çok önemlidir. Buradan doğabilecek olumsuz sonuçların yansıması yalnızca kişisel verilerin korunması alanında değil, iş hukuku açısından da işverenleri zor durumda bırakabilir.

Bu doğrultuda, çalışan cihazlarından konum takibi, web cam ve benzeri izleme teknolojileri aracılığıyla çalışanın kontrolü gibi ‘aşırı’ veri işleme faaliyetlerinden kaçınılmalı, çalışan ile günlük bazda gerçekleştirilecek telefon görüşmeleri gibi biraz daha düşük teknolojili ve eski usul metotların tercih edilmesi önerilmektedir.

Uzaktan çalışmanın doğurduğu riskleri veri güvenliği açısından ne şekilde minimize edebiliriz?

Pek çok şirket hali hazırda 21.yüzyılın gereklerine ve tehlikelerine ayak uydurmuş ve ofisteki çalışma cihazları ve sistemleri için veri güvenliğini üst düzeye taşımıştır. Ancak şirketlerin ister istemez evden çalışma metoduna eğilim gösterdiği bu dönemde, aynı güvenlik önlemlerinin evden/uzaktan çalışma için de uygulanması gerekmektedir.

COVID-19 salgınının bu kadar hızlı bir şekilde yayılmış olması sebebiyle, maalesef pek çok şirket her bir çalışana ayrı bir uzaktan çalışma cihazı tesis etme fırsatı bulamadı. Bu sebeple zaman zaman çalışanın şahsi cihazlarından ofis işlerini yürüttüğünü görmekteyiz.

Bu durumun doğurabileceği risklerin minimize edilmesi adına, başta şirket sistemlerine ve dokümanlarına VPN bağlantısı ile erişim, anti-virüs sistemlerinin ve güvenlik duvarlarının güncelliği ve işlerliğinin sağlanması olmak üzere, her türlü iyi piyasa uygulaması izlenmeli ve şirketler bünyesinde uygulamaya alınmalıdır.

Ek olarak, iş hayatındaki veri gizliliği (hem kişisel veri hem de ticari anlamda gizli bilgiler babında) ihlallerinin çok büyük oranı, çalışanın doküman gönderirken ya da uzaktan çalışırken kişisel e-posta hesaplarını kullanması neticesinde gerçekleşmektedir. Herkesin uzaktan çalışma metoduna geçtiği bugünlerde, çalışanın bu uygulamanın olumsuz sonuçları konusunda dikkatle bilgilendirilmesi gerekmektedir.

Sonuç olarak,

COVID-19 küresel bir salgın olsa da hukuksal açıdan da şirketler bakımından ele alınması gereken yeni konuları beraberinde getiriyor. Bu süreçle mücadele ederken şirketlerin hukuk düzenin gerekliliklerini yerine getirmesi de hala önem arz ediyor.

Kişisel verilerin korunması alanı bu süreci en yakından ilgilendiren regüle alanlardan bir tanesi. Pek çok veri koruma otoritesi bu süreçte uyulması gereken kurallara ilişkin yönlendirici açıklamalar yaparken ülkemizde Kişisel Verilerin Korunması Kurumu halen sessizliğini korumakta. Bu konuda Kurum’dan bir açıklama yapılması durumda sizleri bilgilendirmeye devam ediyor olacağız.

Veri Sorumlularına Yeni Yıl Hediyesi!

Yayın tarihi  ​​27 Aralık 2019 Yazar and
Kategoriler: Kişisel Verilerin Korunması

Veri sorumlularının Kişisel Verilerin Korunması Kanunu’ndan (KVKK) kaynaklanan bir yükümlülükleri de Veri Sorumluları Siciline (VERBİS) kaydolmak. Yeni yılın sonuna yaklaşırken veri sorumlularının gündeminde son kayıt tarihi 31 Aralık 2019 olan VERBİS başvuruları vardı. Oldukça kapsamlı ve zaman alan bir süreci içeren VERBİS başvuruları için son tarih, bugün yayınlanan Kurul kararı ile ertelendi!

Kurul, yayınladığı kararında VERBİS kayıt süreci aşamalarına ilişkin olarak veri sorumluların yaşadığı sorunlara değinerek, yalnızca VERBİS başvuru formlarının Kurum’a iletilmesi suretiyle VERBİS kayıt yükümlülüğünün yerine getirilmiş sayılmadığını bir kez daha hatırlattı. Bu kapsamda sürecin iki aşamalı olduğunu ve veri sorumlularının öncelikle oluşturdukları VERBİS başvuru formunu Kurum’a iletmeleri gerektiğini, daha sonra ise VERBİS’e giriş yaparak veri işleme bildirimini gerçekleştirmeleri gerektiğini hatırlatmak isteriz.

VERBİS kayıt süresinin uzatılmasının ardında, veri işleme faaliyetlerinde şeffaflık, disiplin ve hesap verilebilirlik gibi amaçların layıkıyla yerine getirilebilmesi saikinin yattığı anlaşılıyor. Öyle ki Kurul birçok veri işleme bildirimini incelediğini ve bunlarda ciddi yanlışlıklar ve mevzuata aykırılıklar tespit ettiğini açıkladı. Kurul’a göre yapılan bildirimlerde; kişisel veriler, işleme amaçları, alıcı grupları, veri konusu kişi grupları, alınan teknik ve idari tedbirler, yurtdışına veri aktarımı ve saklama süreleri gibi unsurlar da kendi içinde örtüşmüyor.

Bu kapsamda eksikliklerin giderilmesi için veri sorumlularına tanınan ek süreler ile VERBİS’e yeni kayıt tarihleri aşağıdaki tablodaki şekilde belirlendi:

Veri Sorumluları Erteleme Sonrası Kayıt için Son Tarih
Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan veri sorumluları;   Yurtdışında yerleşik veri sorumluları 30 Haziran 2020
Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan veri sorumluları 30 Eylül 2020
Kamu kurum ve kuruluşu veri sorumluları 31 Aralık 2020

VERBİS kayıt sürelerinin ikinci kez uzatıldığı dikkate alındığında, KVKK’da öngörülen yaptırımlar ile karşılaşmamak adına veri sorumlularının yeni kayıt sürelerine riayet etmeleri ve kayıt işlemlerini Kurum tarafından sağlanan detaylı kılavuzlar ışığında gerçekleştirmelerinin önem arz ettiği kanaatindeyiz. Bu uzatma kararı ile birlikte Kurul’un da vurguladığı bir hususa parmak basmak gerekiyor. VERBİS, şeffaflığın sağlanması, kişisel verilerin korunması alanında bir kültürün oluşturulması ve disiplinin sağlanması noktalarında önemli bir araç olmakla birlikte, veri sorumlularının VERBİS’e kayıt olmuş olmaları ve veri işleme bildiriminde bulunmaları KVKK’ya uyum yükümlülüğünün tamamen yerine getirildiği anlamına gelmiyor. Bu kapsamda veri sorumlularının VERBİS dışında, KVKK’dan kaynaklanan diğer yükümlülüklerini de ifa etmeleri gerekiyor.

Türkiye’nin adli bilişim uzmanına sahip ilk hukuk ekibi BASEAK’ta…

Dilara Yeşilyaprak Yayın tarihi  ​​15 Kasım 2019 Yazar
Kategoriler: Kişisel Verilerin Korunması, Regülasyonlar, Rekabet Hukuku, Rekabet Uyum Programı, Uluslararası Ticaret, Yerinde İncelemeler

Daha önce EY’ın Adli Teknoloji ve Keşif Hizmetleri (Forensic IT) departmanında Kıdemli Müdür olarak ve Sestek Ses ve İletişim Bilgisayar Teknolojileri’nde Ürün ve Teknoloji Danışmanlığı Takım Lideri olarak görev yapan Burak Aytekin; Kamu Politikaları, Regülasyon ve Rekabet ekibimize katıldı.

Aytekin, 12 yılı aşkın süredir elektronik keşif ve inceleme, veri analizi, siber güvenlik, kişisel verilerin korunması ve usulsüzlük incelemesi projelerinde ve yönetimlerinde yer almış bulunuyor. Rekabet hukuku, kişisel verilerin ve beyaz yakalı suçları dâhil olmak üzere çeşitli hukuk alanlarında gelişmiş adli BT araçlarını ve elektronik keşif yazılımlarını kullanma konusunda derin bir deneyime sahip olan Aytekin, aynı zamanda 2018 yılından beri Etik ve İtibar Derneği tarafından düzenlenen “Kurumsal Etik ve Uyum Yönetimi Sertifika Programı”nda ders veriyor. Aytekin, yazılım geliştirme konusundaki geçmişiyle bugüne kadar iki yazılım teknolojisi şirketi kurmuş olup müşteri taleplerine özel çözümler sunma konusunda pratik deneyime sahip.

Bu birikimi ile Kamu Politikaları, Regülasyon ve Rekabet ekibine çok önemli bir katkı sağlayacak ve ekibimize kapsamlı ve etkin soruşturma süreçleri ve uyum programları dâhil olmak üzere birçok konuda yardımcı olacak olan Burak Aytekin’e “Ekibimize hoş geldiniz!” demekten büyük mutluluk duyuyoruz!

California’da CCPA Dönemi

Yayın tarihi  ​​20 Eylül 2019 Yazar and
Kategoriler: Kişisel Verilerin Korunması

Geçtiğimiz ay Birleşik Devletler’in California eyaletinde büyük teknoloji firmalarını ilgilendiren önemli bir gelişme yaşandı. Buna göre 1 Ocak 2020’de yürürlüğe girecek olan California Consumer Privacy Act of 2018 (“CCPA”) ile California, Birleşik Devletler’de kapsamlı bir verilerin korunması mevzuatına sahip olan ilk eyalet olacak.

Neden büyük teknoloji firmalarını ilgilendiriyor?

Bilindiği üzere kişisel verilerin korunmasına ilişkin olarak Avrupa Birliği ve yerel mevzuatlar kapsam olarak kişisel verileri işleyen hemen hemen tüm teşebbüsleri kapsama alıyor. Bununla birlikte, kişisel veriler üzerinden milyonlar kazanan firmalarla küçük teşebbüslerin aynı kurallara tabi olması uzun bir süre eleştiri konusu olmuştu. Bu noktada CCPA’nin en önemli özelliği kişisel veriler ile ticari açıdan yakın ilişki sağlayan ve bundan yüksek kar elde eden firmaları hedef alıyor olması. Nitekim ilgili mevzuat yalnızca California’da yerleşik kişilerin verilerini işleyen ve aşağıda yer alan koşulların en az birini taşıyan teşebbüsleri kapsıyor. Bu çerçevede:

  • Gayri safi gelirin 25 milyon Amerikan Dolarını aşması,
  • Yılda 50.000’den fazla California’da yerleşik kişinin kişisel verilerinin satın alınması, satılması, alınması veya paylaşılması,
  • Yıllık net gelirin yarısının müşterilerin kişisel verilerinin satılmasından elde edilmesi,

koşullarından birinin taşınması halinde ilgili firma CCPA’in kapsamında olacak.

GDPR ile benzer mi?

Tanımlar maddesine bakıldığında ise genel olarak Avrupa Veri Koruma Tüzüğü (“GDPR”) ile paralel bir şekilde kişisel veri kavramının oldukça kapsayıcı şekilde tanımlandığını, böylelikle, ilgili kişi ile ilişkilendirilebilecek her türlü verinin, kişisel veri olarak kabul edildiğini görüyoruz.

Bunun karşın GDPR’a nazaran ilgili kişilerin haklarının oldukça geniş tutulduğunu söyleyebiliriz. Nitekim CCPA kapsamında ilgili kişiler hangi verilerinin işlendiğini ve bu verilerin kimlere satıldığını veri sorumlusundan öğrenebilecekler. Ayrıca, veri sorumluları kişisel verilerin üçüncü kişilere satılıp satılmaması noktasında ilgili kişiye seçim hakkı tanımak zorunda bırakılmış. Bu durum uzun vadede büyük teknoloji firmalarının epey bir canını yakacak gibi gözüyor.

Cezai Yaptırımlar oldukça ağır

CCPA her bir ihlal başına 2.500 Amerikan Doları ceza öngörüyor, kasıtlı ihlallerde ise bu rakam 7.500 Amerikan Dolarına kadar çıkabiliyor. Bir veri sızıntısı çerçevesinde on binlerce kişinin verisinin ihlal edileceği göz önüne alındığında, veri sorumluların oldukça yüksek miktarda idari yaptırımlar ile karşı karşıya kalabileceğini rahatlıkla söyleyebiliriz.

Bu noktada en önemli farklılıklardan biri ise CCPA kapsamında ilgili kişiler istedikleri takdirde toplu davaların yanında bireysel olarak da veri sorumlusu hakkında dava açarak tazminat talep edebiliyorlar.

Sonuç olarak

Birleşik Devletler’de kişisel verilerin korunması adına oldukça önemli bir gelişme yaşandı. Bu gelişmenin en önemli mesajı ise daha önce uluslararası vergi hukukunda da gördüğümüz üzere büyük teknoloji firmalarına yönelik, doğrudan bu firmaları hedef alan regülasyonların gün geçtikçe daha popüler hale gelebileceği. Dolayısıyla bu ve benzer düzenlemelerin yakın zamanda Avrupa’da ve ülkemizde de söz konusu olabileceğini öngörebiliriz.

Veri Koruma Hukuku’nun İhlali Tek Başına Rekabet Hukuku’nun İhlali Anlamına Gelir mi? : Düsseldorf Bölge Mahkemesi’ne Göre Hayır!

Yayın tarihi  ​​28 Ağustos 2019 Yazar and
Kategoriler: Hakim Durumun Kötüye Kullanılması, Kişisel Verilerin Korunması, Rekabet Hukuku, Telekomünikasyon, Teknoloji ve Medya

Hatırlanacağı üzere bu yılın başında Almanya Rekabet Otoritesi Bundeskartellamt, Facebook hakkındaki soruşturmasını neticelendirmişti. Soruşturma neticesinde Facebook’un rekabeti ihlal ettiği tespit edilmiş, herhangi bir para cezası uygulanmadan ihlale neden olan davranışlara son verilmesi yönünde bazı tedbirlerin uygulanmasına karar verilmişti.

Bundeskartellamt tarafından verilen kararda Facebook’un, kullanıcıların verilerini ölçüsüz bir şekilde topladığı ve başka internet siteleri üzerindeki eklentileri sayesinde kullanıcıların bilgisi olmaksızın veri toplayabildiği belirtilmişti. Bundeskartellamt Facebook’un bu davranışlarını Alman Rekabet Kanunu GWB’nin (Gesetz gegen Wettbewerbsbeschränkungen) hakim durumun kötüye kullanılmasını düzenleyen  hükmüne aykırılık olarak değerlendirmişti. Kararda Facebook’un bu davranışları AB Genel Veri Koruma Tüzüğü GDPR (General Data Protection Regulation) ekseninde de değerlendirilmişti.

Bundeskartellamt’ın Şubat ayında açıkladığı bu Facebook kararı pek çok eleştiriye hedef oldu. Eleştirilerin başında ise Facebook’un karara konu davranışlarının rekabet hukukundan ziyade veri koruma hukuku ile ilişkili olduğu, bu nedenle Bundeskartellamt’ın düzenleyici kurum olarak kendisine tanınan yetki alanının sınırlarını aştığı gelmekteydi. Facebook da hakkında verilmiş karara karşı aynı eleştiriyi getirmiş ve Bundeskartellamt’ın kararına karşı itiraz sürecini işleteceğini belirtmişti.

Geçtiğimiz günlerde Facebook’un itirazı ilk meyvesini verdi. Karara karşı itiraz mercii olan Düsseldorf Bölge Mahkemesi, Bundeskartellamt’ın Facebook hakkında verilmiş kararının yürütmesini durdurdu ve rekabet otoritesinin kararındaki tedbirlerin uygulanmamasına karar verdi. Düsseldorf Bölge Mahkemesi yürütmeyi durdurma kararında, Bundeskartellamt’ın kararında açık bir hukuka aykırılık olduğu konusunda ciddi şüphelerinin bulunduğunu belirtti ve “Facebook’un uygulamalarının veri koruma hukukuna aykırı oluşu doğrudan bir rekabet ihlaline işaret etmez” ifadeleriyle karara yönelik eleştirilerle benzer bir tavır sergiledi. Facebook’un davranışlarının yeni rakiplerin piyasaya girişine engel olduğuna yönelik herhangi bir değerlendirmenin Bundeskartellamt tarafından yeterince yapılmadığına dikkat çekilen yürütmeyi durdurma kararında, Google’ın nezdinde çok kapsamlı veriler barındırmasına karşın sosyal medya platformu Google+’ın piyasada tutunamayarak kapanması verinin tek başına rekabetçi avantaj sağlamayabileceği argümanına örnek olarak yer verildi.

Bundeskartellamt, Düsseldorf Bölge Mahkemesi’nin yürütmeyi durdurma kararının ciddi hukuki eksikliklerinin bulunduğunu belirterek kararın kaldırılması için temyiz merciine müracaat edeceğini açıkladı.

Avrupa’da Yaz Sert Geçiyor: Rekabette Veri Güvenliği Fırtınasına Dikkat!

Yayın tarihi  ​​17 Temmuz 2019 Yazar and
Kategoriler: Kişisel Verilerin Korunması

Avrupa rekabet soruşturmalarında hâkim durumdaki şirketlerin veri toplama ve işleme süreçleri rekabet otoritelerinin odak noktası haline geldi. Bu sert rüzgârdan en çok etkilenecek teşebbüsler ise teknoloji devleri olacak gibi görünüyor.

Almanya’nın rekabet otoritesi Bundeskartellamt’ın Facebook hakkında yürüttüğü soruşturmayla başlayan değişim rüzgârı, tüm Avrupa Birliği’ni etkisi altına almaya başladı. Facebook, Apple ve Microsoft gibi teknoloji devleri ulusal rekabet otoritelerince mercek altına alındıkça, rekabet hukuku soruşturmalarında veri güvenliği kurallarının incelenmesi yaygınlaşmaya başladı. Öyle ki, çeşitli evrelerde rekabet soruşturmalarında veri güvenliği kurallarının devreye girmesi tartışılıyor.

Avrupa Komisyonu Genel Sekreteri Martin Selmayr, son dönemde hem birleşme devralma hem de hâkim durumun kötüye kullanılması dosyalarında rekabet hukuku ve kişisel verilerin korunması kurallarının iç içe geçtiğini belirtti.[1] Aynı zamanda Avrupa Birliği veri koruma kurallarının da mimarlarından biri olan Selmayr, Brüksel’de gerçekleşen bir konferansta yaptığı konuşmada iki alanın da insan onuru, tercihler ve özgürlükler üzerine kurulduğunun altını çizerek, düzenlemelerde yeknesaklığın kaçınılmaz olduğuna işaret etti. Selmayr’ın konuşmasında dikkat çeken bir diğer nokta ise, rekabet soruşturmalarında kişisel verilerin korunmasına ilişkin endişelerin de incelenmesine kimsenin engel olamayacağını açıkça belirtmesi oldu.

Değişim rüzgârının öncüsü Bundeskartellamt başkanı Andreas Mundt da aynı konferansta yaptığı konuşmada Avrupa rekabet otoritelerinin hâkim durumun kötüye kullanılıp kullanılmadığının değerlendirirken Genel Veri Koruma Yönetmeliği’ni (“GDPR”) dikkate alması gerektiğini vurguladı. Rekabet hukukuna ilişkin yeni bir GDPR yaratmaktansa, var olan düzenlemenin uygulanmasının daha mantıklı olduğunu savunan Mundt, teknoloji devlerinin sahip olduğu pazar gücünün endişe verici olduğunu belirtti.

Bu süreç nasıl başladı?

Bundeskartellamt 2019’un başlarında sonuçlandırdığı soruşturmada, Almanya’da sosyal ağ pazarında hâkim durumda olan Facebook’un veri toplama ve işleme süreçlerinin hâkim durumun kötüye kullanılması teşkil ettiğine karar vermişti.[2] Facebook, kendi uygulamasının yanı sıra, Instagram, Whatsapp ve beğen-paylaş özelliği gömülü olan üçüncü taraf internet sitelerinden herhangi bir kısıtlama olmaksızın kullanıcı verisi toplamakta, daha sonra bu verileri Facebook kullanımı için bir şart olarak ileri sürmekteydi. Kullanıcılar rıza göstermeksizin uygulamayı kullanamadığından, kişisel verilerin işlenmesinin bir mal ve/veya hizmet sunumunun şartı olarak ileri sürülmemesi kuralına aykırılık söz konusuydu.

Başta veri koruma otoritelerinin yetki alanında görülebilecek bu konuya, Bundeskartellamt tarafından söz konusu verilerin hâkim durumun korunması ve güçlendirilmesi hususunda teşebbüslere önemli bir avantaj sağladığı gerekçesiyle müdahale etti ve Facebook’a iş yapış modelini düzeltmesi için toplamda 12 aylık bir süre tanıdı.

Fransa’dan işbirliği çağrısı

Fransız rekabet otoritesi Autorite de la Concurrence’in başkanı Isabelle de Silva, otoritenin geçtiğimiz yıla ilişkin yıllık raporunu sunduğu toplantıda rekabet soruşturmalarında veri toplama ve veri güvenliği konularına daha fazla ağırlık vereceklerinin sinyallerini verdi.[3] Teşebbüslerin veri işleme olduğu gibi, veri toplama yöntemlerinin de hakim durumun kötüye kullanılması teşkil edebileceğinin altını çizen de Silva, Bundeskartellamt’ın Facebook kararına atıf yaparak, kendilerinin de dijital platformları mercek altına aldığına işaret etti.

Hâlihazırda Autorite de la Concurrence ve Bundeskartellamt algoritmalar üzerine ortak bir çalışma hazırladığı biliniyor. Önümüzdeki Ekim ayında Mundt ve de Silva tarafından sunulması beklenen raporun algortimaların rekabet hukukundaki yerinin belirlenmesinin yanı sıra benzer işbirliklerinin devamını getireceği de öngörülüyor. Fransız rekabet otoritesinin Fransız telekomünikasyon otoritesi ARCEP ve veri koruma otoritesi CNIL ile veri gözetim ve denetimi alanlarında güçlerini birleştireceğini açıklayan de Silva, teknoloji devlerinin hâkim durum soruşturmalarında da Avrupa’da benzer bir iş birliğine ihtiyaç duyulduğunun altını çizdi.

Türkiye’de ne noktadayız?

Aslında rekabet kişisel verilerin korunması hukuku arasındaki yakın ilişki ve işbirliğini görmek için fazla uzağa gitmemize gerek yok. Nisan ayında Rekabet Kurumu eski başkanı Ömer Torlak ile Kişisel Verileri Koruma Kurumu Başkanı Faruk Bilir arasında gerçekleşen toplantıda Avrupa’daki rüzgârların Türkiye’yi de etkisi altına alacağının sinyalleri verilmişti. Kurum başkanları dosyalarda bilgi alışverişinde bulunacaklarını ve mevzuat uyumluluğunun şirketlerin uluslararası rekabet gücünü arttıracağını düşündüklerini belirtirken, iki Kurum arasında bir de İşbirliği Protokolü imzalandı.[4]

İşbirliği rüzgârlarının Avrupa’da ve ülkemizdeki rekabet hukuku iklimini ne şekilde değiştireceğini ise zaman gösterecek. 

[1] Newman, Matthew. “Facebook, Microsoft antitrust cases show convergence with data-privacy rules, EU officials say.” MLex Global Antitrust, MLex, 10 July 2019, 14:47.

[2] https://www.bundeskartellamt.de/SharedDocs/Entscheidung/EN/Fallberichte/Missbrauchsaufsicht/2019/B6-22-16.pdf?__blob=publicationFile&v=4

[3] Yaiche, Arezki. “Data-Collection Abuses among Priorities of French Competition Authority.” MLex Global Antitrust, MLex, 9 July 2019, 14:05.

[4] https://www.kvkk.gov.tr/Icerik/5431/-Kurumumuz-ile-Rekabet-Kurumu-Arasinda-Isbirligi-Protokolu-Imzalandi

Bu terazi (!) bu sıkleti çeker mi? : Teknoloji şirketlerinin finansal piyasalara girişi

Yayın tarihi  ​​12 Temmuz 2019 Yazar and
Kategoriler: Bankacılık, Kişisel Verilerin Korunması, Regülasyonlar, Rekabet Hukuku, Rekabet İktisadı, Telekomünikasyon, Teknoloji ve Medya

Facebook’un yakın zamanda duyurduğu kripto para Libra uluslararası finans düzleminde tartışıladursun, Uluslararası Ödemeler Bankası’na göre konu regülasyon ve rekabeti de içerecek şekilde geniş bir perspektiften ele alınmalı.

Klasik iktisatta paranın üç fonksiyonunun olduğu kabul edilir: (i) mübadele aracı olma (medium of exchange), (ii) değer saklama aracı olma (store of value), (iii) hesap birimi olma (unit of account). Son dönemlerde dillerden düşmeyen blokzincir teknolojisine dayalı kripto paraların bu fonksiyonları sağlayıp sağlayamadığı tartışma konusu. Kripto paraların en yaygını Bitcoin’in dahi bu fonksiyonları karşılayamadığı konusunda iktisatçılar neredeyse hemfikir. Bu nedenle kripto paraların piyasada yaygınlaşmadığı ve yaygınlaşmalarının da güç olduğu ifade ediliyor. Ancak piyasaya yeni bir oyuncu geliyor ve bu oyuncu terazinin (!) dengesini kendi lehine değiştirebilir. Facebook’un yakın zamanda tanıttığı Libra adlı kripto para, Big Tech olarak anılan büyük teknoloji şirketlerinin diğer piyasalara doğru yayılmacı politikalarının son örneklerinden biri. Visa, Mastercard, PayPal ve PayU gibi ödeme sistemi devlerinin de ortak olduğu Libra, diğer kripto paraların sağlayamadığı üç temel fonksiyonu sağlama yolunda ise hızlı bir çıkış yapabilecekmiş gibi görünüyor.

Teknoloji devlerinin regülasyon ve rekabet çevrelerinde yakından takip edildiği bir dönemde tanıtılan Libra, ülkelerin merkez bankalarının üye olduğu global düzenleyici otorite Uluslararası Ödemeler Bankası’nın da (BIS – Bank for International Settlements) dikkatini çekmiş durumda. BIS tarafından Libra’nın tanıtımının hemen ardından yapılan açıklama[1], Libra’nın global finansal istikrarda olumsuz etkiler doğurabileceğine yönelik çekinceler barındırıyor. Basel’li düzenleyici otorite tarafından yayımlanan yakın tarihli rapor da konuya daha geniş bir perspektiften yaklaşarak teknoloji devlerinin finansal piyasalara girişinin olası sonuçlarını ve olumsuzluklara karşı erkenden alınabilecek önlemleri değerlendiriyor[2].

Henüz on yılını tamamlamış olan 2008 yılındaki uluslararası finans krizinin ardından finansal piyasaların yerleşik oyuncuları bankalar, global ölçekte düzenleyici otoritelerin sıkı regülasyonları ile karşılaştılar. Krizlerin önüne geçilmesini ve finansal istikrarın teminini amaçlayan bu düzenlemeler bankalar bakımından ciddi uyum maliyetleri yaratıyor. Teknoloji devlerinin ise finansal piyasalarda boy gösterirken bu düzenlemelere tabi olmamaları ve uyum maliyetlerinden kurtulmaları, bankaların eşit olmayan bir oyun alanında rekabet edemedikleri algısının güçlenmesine ve şikayetlerin doğmasına yol açıyor. Buradaki endişelerin başında ise bu şirketlerin teknolojik üstünlüklerini ve geniş kullanıcı portföylerini kullanarak bankaları gelecekte kadük teşebbüsler haline getirmeleri var. Bu şekilde halihazırda problemler görülen finansal piyasalarda çok daha dar oligopollerle karşılaşılabileceği yönünde çekinceler var. Tüm bu çekincelere karşın BIS’in sloganı; aynı faaliyet için aynı regülasyon. Yakın zamanda finansal piyasaların yeni oyuncuları teknoloji devleri de finansal piyasaların kurallarına hızlı bir uyum sağlamak zorunda kalabilir.

BIS’in bu noktada yaptığı bir diğer önemli değerlendirme ise global ve yerel düzlemdeki birbirinden farklı konuları düzenleyen regülasyonların iç içe çalışma gerekliliği üzerine. BIS’in değerlendirmesine göre finansal piyasaların düzenleyici kurumlarının, kişisel verileri koruma kurumlarının ve rekabet otoritelerinin yakın temas içinde ortak bir politika izlemeleri gerekiyor. Nitekim BIS’in raporunda teknoloji devlerinin farklı piyasalarda varlık göstermeye başlamalarının analizi yapılırken farklı otoritelerin aksiyonlarının bu şirketleri ne yönde etkileyebileceği konusu bir pusula alegorisiyle değerlendiriliyor. Bu kapsamda Almanya rekabet otoritesi Bundeskartellamt’ın yakın zamanda verdiği Facebook kararının kişisel verilerin kullanımı bakımından teknoloji devlerine bir kısıtlama getirdiği değerlendirilirken, Çin’in yakın zamanda Baihang adlı dijital platforma kredi puanlaması lisansı vermesinin ve Hindistan’ın yeni Birleşik Ödemeler Arayüzü sisteminin ise piyasalara girişin önünü açan gelişmeler olduğu kabul ediliyor.

BIS’in yaptığı değerlendirmelerden en önemlisi ise düzenleyici otoritelerin rekabet değerlendirmesi konusundaki yetkinliklerine ilişkin. Zira belirtildiği şekilde teknoloji devlerinin mevcut avantajlarından yararlanarak çeşitli piyasalara giriyor olması öncelikli olarak bu piyasalardaki rekabeti ilgilendiriyor. Bu doğrultuda BIS’in de belirttiği üzere bu piyasaların düzenleyici otoritelerinin hızlı bir şekilde rekabet ve rekabet hukuku alanında yetkinliklerini artırmaları gerekiyor. BIS’e göre geç olmadan regülasyon ve rekabet politikalarının global düzlemde teknoloji devlerinin ilerleyişine adapte edilmesi gerekiyor. Regülasyon ve rekabet dünyasındaki tartışmalar Facebook’un Libra’sı sayesinde yakında şiddetlenecek gibi görünüyor.

[1] BIS Araştırma Dairesi Başkanı Hyun Song Shin’in Libra’ya dair açıklamaları için bkz. https://www.youtube.com/watch?v=QC8spl8u6Lg

[2] BIS Annual Economic Report 2019, s. 55-80.