Kişisel verileri korumak için şirketinizi karantinaya alır mıydınız?

Son günlerden gündemi en çok meşgul eden konuların başında Coronavirus geliyor. Yaklaşık 2 aydır adını sıklıkla duyduğumuz hatta günlük yaşamımızı etkileyen virüs için ellerimizi dikkatlice yıkamakla başlayan çeşitli önlemler alınıyor. Kimileri tarafından çok radikal olarak değerlendirilse bile ülkeyi karantinaya almaya kadar uzanan bu önlemlerin amacı, tabi ki henüz tedavisi bulunmamış bu virüs yayılmadan önüne geçmek.

Bu gibi kararlar alınırken birçok faktör hesaba katılarak bir değerlendirme yapılıyor. Durumun neyi etkilediği, alınacak tedbirlere de önemli ölçüde şekil veriyor. Coronavirus insan sağlığını etkilerken bilgisayar virüsleri, zararlı yazılımlar ve siber saldırılar da insanları, şirketleri ve bazı durumlarda ikisini de etkileyebiliyor.

Bunun bir sonucu olarak, son zamanlarda gündemi meşgul eden başka bir konunun kişisel verilerin işlenmesine ve korunmasına yönelik düzenlemeler olduğunu görüyoruz. Özellikle büyük veri işleme yetkinliklerinin artmasıyla kişisel verilerin satış, pazarlama, sağlık, üretim gibi birçok farklı konuda ve alanda kullanımı da günden güne artıyor. Dolayısıyla, bireylerin zarar görmesini engellemek amacıyla bu faaliyetleri kontrol altına almak ve belirli standartlar getirmek kaçınılmaz bir hal alıyor.

Neredeyse tüm Dünya üzerinde (kişisel) verilerin korunmasıyla ilgili yasa ve mevzuatlar bulunuyor. Bunların birçoğu sadece idari konulara değil belirli teknik konulara da uyumu gerekli kılıyor. Gerek ilgili yasa ve mevzuatlara uyum için, gerekse bilgi güvenliğinin sağlanması amacıyla bir takım teknik tedbirler alınması gerekiyor. Yukarıda da bahsettiğimiz, şirketleri ve şahısları etkileyen durumlara bazen en başından alınması gereken tedbirlerin alınmaması da sebep olabiliyor. Geçtiğimiz günlerde ikisi yurtdışı, biri yurt içi olmak üzere üç örneği sizlerle paylaşmak istiyoruz.

Kişisel verileri etkileyen karmaşık teknik konular mı?

1.örneğimiz, Danimarka Veri Koruma Kurumu tarafından 10 Mart 2020 tarihinde Gladsaxe ve Hørsholm belediyelerine sırasıyla 100.000 ve 50.000 Danimarka kronu ceza kesilmesine sebep olmuş. Cezanın sebebi, GDPR’da belirlenen güvenlik gereksinimlerine uyum sağlanmaması. Aslında 2 durum birbirinin neredeyse aynısı: 2 belediyeye ait içinde (özel nitelikli de dahil) kişisel veri içeren bilgisayarlar çalınmış ve iki olaydan yaklaşık 22.220 kişi etkilenmiş. Detaylara linkten ulaşabilirsiniz.

Bu durumun önüne geçmek için full disk encryption (tüm diskin şifrelenmesi) gibi alınabilecek çeşitli önlemler bulunuyor. Tüm diskin şifrelenmesi durumunda, şifrelemenin türüne göre değişiklik gösterse de temel olarak bilgisayara veya verilerin bulunduğu diske erişim sağlansa da ekstra bir şifre girmeden verilere erişmek mümkün olmuyor.

2. örneğimiz, Norveç Veri Koruma Kurumu (Datatilsynet) tarafından 26 Şubat tarihinde Rælingen belediyesine 73.600 EUR para cezası kesilmesine sebep olmuş. Cezanın sebebi, yukarıda örnekteki gibi, GDPR’da belirlenen güvenlik gereksinimlerine uyum sağlanamaması. Okullar ve fiziksel ya da zihinsel engelli öğrencilerin velileri arasında iletişim kurulmasını sağlayan uygulama üzerinde sağlık verilerinin işlenmesi. Detaylara linkten ulaşabilirsiniz.

KVKK’da da olduğu gibi, sağlık verileri özel nitelikli kişisel verileri işlemek için veri sahiplerinden veya velilerinden açık rıza alınması gerekiyor. Bu tarz durumların önüne geçmek için sadece işleme amacına yönelik kişisel verileri toplamak ve işlemek ve bu verileri işleyebilmek için veri sahiplerinden açık rıza alınması gerekiyor.

3. örneğimiz ise, tahminen 300 kişinin etkilendiği Doğa Sigorta’nın yaşadığı bir veri ihlali. İhlal, şirketin web sayfasına ait bir test sunucusunun hacklenmesiyle gerçekleşiyor. Burada dikkat çeken konu, test sistemlerinde gerçek kişilere ait kişisel verilerin bulunması. İyi uygulama örneklerinde test sistemlerinde kullanılacak veriler rastgele oluşturuluyor ya da anonimleştirme teknikleri kullanılarak veri sahiplerine erişilemeyecek şekilde değiştiriliyor.

Bu örnekler bize neyi anlatıyor?

Geldiğimiz nokta itibariyle, herhangi bir düzenleme olmasa bile, iş gücü kaybı, itibar kaybı, müşteri kaybı vb. kayıplar yaşamamak için alınabilecek tedbirler arasında:

  • Şirket BT altyapınızı faaliyet gösterdiğiniz alana göre standart güvenlik önlemlerini aksatmadan tamamlamanız,
  • Privacy by design ve privacy by default ilkelerini göz önünde bulundurmanız,
  • Şirket bünyesinde konu uzmanı personel bulundurmanız veya konu uzmanlarından destek almanız,
  • Çalışanlarınızın bilgi güvenliği konusunda farkındalığını artıracak faaliyetlerde bulunmanız,
  • Bilgi güvenliği konusundaki politika ve prosedürlerinizi sadece bir gerekliliği yerine getirmek amacıyla değil yasa ve mevzuatlara, şirket kültürünüze, iş süreçlerinize ve BT altyapınıza uygun olarak çalışanlarınızın en yüksek verimle faydalanabileceği şekilde hazırlamanız/güncellemeniz,
  • Yazılım geliştirme ve benzeri faaliyetlerde bulunuyorsanız süreçlerinizi veri güvenliği konusundaki iyi uygulama örnekleri ışığında güncellemeniz,
  • Yasalara ve mevzuatlara uyum konusundaki idari ve teknik konuları sürekli takip ederek şirket iş süreçlerinizi güncellemeniz,
  • Bilgi güvenliği konusundaki güncel gelişmeleri takip etmeniz

yer alıyor.

Sizlerin de herhangi bir zarara uğramamanız için, özellikle evden çalışma düzenine geçilen bu günlerde konuyu dikkatle ele almanızı tavsiye ediyoruz. Tıp alanında günden güne yaygınlaşan “koruyucu hekimlik” uygulamasının şirket bilgi güvenliği konusunda da geçerli olduğunu düşünüyoruz. Unutmayın, önlem almazsanız hasarı onarmanız gerekebilir, bu da ne yazık ki her zaman mümkün olmayabilir.

DUYMAYAN KALMASIN! ŞİRKET VERİLERİNİ YURT DIŞINA AKTARMAK ÇOK DAHA KOLAY: BAĞLAYICI ŞİRKET KURALLARI GELDİ!

Kişisel verilerin yurt dışına aktarılması Kişisel Verilerin Korunması Kanunu (“KVKK”) kapsamında uyum sürecinde olan şirketler bakımından en sıkıntılı konulardan bir tanesiydi. Nitekim KVKK kapsamında kişisel verilerin yurt dışına aktarılması 9. madde altında ilgili kişinin açık rızası ile veya yine aynı maddede öngörülen istisna hükümlerince mümkün olabiliyordu.

Hal böyle olunca, gerek güvenli ülkelerin açıklanmaması gerekse taahhüt mekanizmasının pratik bir yol olmaması özellikle çok uluslu şirketleri yurt dışına veri aktarımı bakımından zor durumda bırakıyordu.  Bu sebeple Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından çok uluslu şirketler arasında gerçekleştirilecek uluslararası veri aktarımlarında kullanılmak üzere bir diğer istisnai yöntem olarak “Bağlayıcı Şirket Kuralları” getirildi.

GDPR kapsamında uygulaması oldukça yaygın olan “Bağlayıcı Şirket Kuralları”, yeterli korumanın bulunmadığı ülkelerde faaliyet gösteren çok uluslu grup şirketleri için kişisel verilerin yurt dışına aktarımında kullanılan ve yeterli bir korumanın yazılı olarak taahhüt edilmesini sağlayan veri koruma kuralları olarak tanımlanabilir.

Kurul tarafından yapılan duyuruda, bu kapsama giren şirketlerin, ilgili formu doldurup gerekli talimatları izleyerek Kişisel Verileri Koruma Kurumu’na (“Kurum”) başvuruda bulunmaları gerektiği ifade ediliyor.

Kurul’un iznine tabi olacak bu başvuruları mercek altına almadan önce gelin yurt dışına veri transferinde ne gibi problemler yaşanıyordu kısaca hatırlayalım.

Türkiye’de kişisel verilerin yurt dışına aktarımı

Kanun’un 9. maddesinde yurt dışına veri aktarımı yapılması:

  • İlgilinin açık rızasının bulunması
  • Yeterli korumanın bulunduğu ülkelere veri aktarımında, Kanunda belirtilen hallerin varlığı
  • Yeterli korumanın bulunmadığı ülkelere veri aktarımında Kanunda belirtilen hallerin varlığında yeterli korumanın yazılı olarak taahhüt edilmesi ve Kurulun izninin bulunması

halinde yapılabilmekteydi.

Ancak ne var ki, ülkemizde hala güvenli ülkelerin açıklanmamış olması özellikle pek çok Avrupa Birliği (“AB”) üyesi ülke ile aynı veri tabanları üzerinden organizasyon içerisinde olan çok uluslu grup şirketleri bakımından problem yaratmaktaydı. Örneğin Kanun kapsamında çalışanlarından gerekmedikçe rıza almaktan imtina eden şirketler, yalnızca insan kaynakları verileri kullanılan ortak yurt dışı veri tabanlı uygulamalar sebebiyle çalışanlarından rıza almak zorunda kalmaktaydı.

Hal böyle olunca, son iki yıldır sektörde herkesin gözü kulağı “Bağlayıcı Şirket Kuralları’nın” ülkemizde de işletilip işletilmeyeceği üzerineydi.

Kurum beklenen açıklamayı 10 Nisan 2020’de yaptı. Peki süreç nasıl işliyor. Öncelikli olarak aklınıza takılabilecek soruları aşağıda toparlamaya çalıştık.

Nedir bu Bağlayıcı Şirket Kuralları?

Kurum tarafından yayınlanan usul ve esaslara göre, Bağlayıcı Şirket Kuralları, bir şirketler topluluğuna bağlı olarak Türkiye’de yerleşik bir veri sorumlusu tarafından, bu şirketler topluluğuna bağlı olarak yurtdışında bir veya daha fazla ülkede faaliyet gösteren şirketler, teşebbüsler ile ortak bir ekonomik faaliyette bulunan veya veri işleme faaliyetine ilişkin ortak bir karar mekanizması bulunan veri sorumlularına yapılacak olan kişisel veri aktarımları veya aktarım setlerinde uyulması gereken kişisel veri koruma kurallarını ifade eder.

Bağlayıcı Şirket Kurallarının mutlak suretle içermesi gereken temel başlıklar şu şekilde sıralanabilecektir:

  • Bağlayıcılık unsuru
  • Etkili uygulama
  • Kurum ile koordinasyon
  • Kişisel verilerin işlenmesi ve aktarılmasına ilişkin süreçler
  • Raporlama ve kayıt değişikliği mekanizmaları
  • Veri güvenliği
  • Hesap verilebilirlik
  • Yardımcı bilgi ve belgeler

Başvuruyu yapma yetkisi kime ait olacak?

Kurum tarafından yayınlanan usul ve esaslara göre, grubun Türkiye’de yerleşik merkezi var ise başvuruyu yapmaya bu teşebbüs yetkili olacak. Grubun Türkiye’de yerleşik merkezi yok ise Türkiye’de yerleşik bir Grup üyesinin kişisel verilerin korunması konusunda yetkilendirilmesi gerektiği belirtiliyor.

Başvuru için gerekli belgeler neler?

Başvuru için en temel belge elbette ki başvuru formu, bunun yanımda form ile birlikte “bağlayıcı şirket kuralları” metninin de Kurum’a iletilmesi gerekiyor. Bu kuralların hali hazırda pek çok çok uluslu şirket tarafından kaleme alındığını söyleyebiliriz. Bu aşamada Türkiye bakımından da çok fazla ayrıksı bir kural bulunmuyor. Ancak Kurum’un başvuru ile ilgili gerekli gördüğü diğer tüm bilgi ve belgeleri talep edebileceğini söylemekte fayda var. Dolayısıyla buradaki yetkinin geniş tutulduğunu rahatlıkla söyleyebiliriz.

Başvurular ne kadar sürede sonuçlandırılacak?

Başvurular Kurum’a elden veya posta yolu ile iletilebilecek. Resmi başvuru tarihinden itibaren de bir yıl içerisinde değerlendirilerek sonuca bağlanacaktır. Gerekmesi halinde bu sürenin altı aylık sürelerle uzatabileceği düzenlenmiştir.

Sonuç olarak

Uzunca bir süredir özel sektör tarafından beklenen Bağlayıcı Şirket Kuralları nihayet ülkemizde de yurt dışına veri aktarımı için bir hukuki yol olarak tanındı. Bununla birlikte zamanla başvuru süreçlerine ilişkin birtakım sorunlar ve aksamalar olabilmesi mümkün. Özellikle başvuruların değerlendirme süresinin sınırsız bir şekilde uzatılabilmesi özel sektör bakımından öngörülebilirliği düşürebilecek bir faktör olarak dikkate çarpıyor.

Karantinada Kişisel Verilerinizi Korumayı Unutmayın!

Blogumuz vasıtasıyla sizlere pek çok defa kişisel verilerin korunması alanındaki güncel gelişmeleri ve bunlara dair hukuki tartışmaları aktarıyor olduk. Bugün dünya genelinde olduğu gibi ülkemiz de küresel bir salgın ile karşı karşıya. Hal böyle olunca şu an bir kişisel verilerin korunması hukuku tartışmasının ne önemi var diye düşünebilirsiniz. Ancak resmin bütününe baktığımızda her geçen gün daha da artan bu salgına karşı şirketlerin önlemlerini artırdığını ve bu vesileyle de birtakım kişisel veri işleme senaryolarının oluştuğunu görüyoruz.

Bu yazımızla sizlere bu süreçte şirketlerin Kişisel Verilerin Korunması Kanunu (“KVKK”) nezdinde karşılaşabileceği başlıca sorunlara değinmeyi amaç edindik.

COVID-19 kapsamında ne gibi veriler işliyoruz? Bunları işlememizde bir hukuki dayanağımız var mı?

Kuşkusuz COVID-19 bir sağlık sorunu ve bu kapsamda ilk akla gelen husus sağlık verileri, yani özel nitelikli verilerin işlenmesine dair özel hususlar. Elbette KVKK’nın 6. maddesinden söz ediyoruz ve pek çoğumuzun bildiği üzere bu madde en çok da sağlık verilerinin rızadan istisnai olarak işlenmesi noktasında şirketlerin elini kolunu bağlar vaziyette.


Bu bakımından temel kuralın her ne kadar küresel bir salgın ile karşı karşıya olunsa da bu verilerin ilgili kişinin rızası dahilinde işlenmesi olduğu unutulmamalıdır. Bu yönüyle şirketler işlenen veri uyarınca gerekli aydınlatmayı yapmalı ve istisnai süreçler bulunmadığı sürece ilgili kişinin rızasını almalıdır.

Bu noktada hatırlatılması gereken en önemli konu, sürecin “sır saklama yükümlülüğü altında olan” işyeri hekimlerince yürütülmesidir. Böylelikle gerekli veri koruma önlemlerinin de alınmasıyla sağlık verileri bakımından rıza alma koşulu bertaraf edilebilecektir.

Bunun yanında alınan her verinin sağlık verisi olmadığına da değinmekte fayda var. Örneğin bir çalışanın son bir aydaki seyahat geçmişi özel nitelikli bir veri olarak kabul edilmeyecektir. Dolayısıyla bu veriler bakımından KVKK’nın 5.maddesinde yer alan daha geniş kapsamdaki istisnai hükümler söz konusu olabilecektir.

Her halükârda KVKK’nın 4. maddesinde yer alan temel ilkeler de göz ardı edilmemeli ve söz konusu kişisel veriler özellikle amacına uygun bir şekilde ve ölçülülük ilkesine uymak kaydıyla işlenmelidir.

Son olarak değinilmesi gereken husus, GDPR’ın özellikle özel nitelikli veriler bakımından KVKK’ya göre oldukça kapsamlı bir istisna rejimi barındırıyor oluşudur. Bu yönüyle özellikle Türkiye’de faaliyet gösteren ancak küresel ayağı da bulunan şirketlerin KVKK’nın bu noktadaki ayrıksı pozisyonunu göz ardı etmemeleri önem arz etmektedir.

Bir çalışanımızın COVID-19’a yakalandığından emin olduk. Peki, bu durumu kimler ile paylaşmalıyız? Diğer çalışanımızı ve kamu otoritelerini ne ölçüde bilgilendirebiliriz?

COVID-19’un yayılma hızı ve yıkıcı etkileri göz önüne alındığında, yetkili otoritelere bildirimlerin hızlı bir şekilde yapılması ve tedbirlerin ivedilikle alınması gerektiği açıktır.

KVKK anlamında, mevcut durum kamu güvenliğini ve kamu düzenini tehdit ettiğinden verilerin Sağlık Bakanlığı ve ilgili otoritelerce işlenmesinin önünde bir engel bulunmamaktadır. Ancak, sağlık verilerinin işveren tarafından otoritelere aktarımı, KVKK’ya tabi olacaktır. Çalışanın enfekte olduğu bilgisi sağlık verisi olarak kabul edileceğinden, özel nitelikli kişisel verilere ilişkin hükümler göz önüne alınmalıdır. Çalışanın rızasını alma yoluna gidilmesi tercih edilebilir. Ancak özellikle içinde bulunduğumuz durumun potansiyel mali etkileri göz önüne alınırsa, enfekte olan çalışanın iş güvenliği anlamında kendini baskı altında hissetme riski bulunmaktadır. Bu doğrultuda çalışanın rızasına dayanarak gerçekleştirilen işleme ve aktarım faaliyetleri riskli gözükmektedir. Diğer yandan, teoride bu bildirimlerin iş yeri hekimleri tarafından yapılması gerekeceği söylenebilir. Ancak, mevcut durumda bu yöntemin uygulanabilirliği tartışmalı olacaktır. Geniş pencereden incelediğimizde hekimler her zaman işyerinde bulunmayabilir. Salgının yayılma hızı düşünülürse, çalışan işyerine gelmeden ya da hekimi ziyaret etmeden de hastalık bildirimi yapabilir.

Bu durumda, kamu sağlığının korunması adına hızlı aksiyon alabilmek için şirketler, insan kaynakları gibi çalışana doğrudan temas eden birimleri içerisinde sınırlı sayıda ekipler oluşturularak, gerekli bildirimleri bu ekipler üzerinden gerçekleştirmeyi tercih edebilirler. Bu noktada, genel veri işleme prensipleri göz önüne alınarak, çalışanın enfekte olduğuna dair bilginin mümkün olduğunca dar bir çevrede bilinmesi, ekiplerin az sayıda (bir veya iki kişi) çalışandan oluşturulması gerekmekte ve enfekte olan çalışanın gizliliğine üst seviyede dikkat edilmelidir.

Bir diğer yandan, enfekte olan çalışanın gizliliği göz önüne alınarak, çalışanın kimliğinin şirket içerisinde duyurulmaması gerekmektedir. Ancak yukarıda da açıkladığımız üzere, maalesef salgın çok ciddi bir hızla yayılmaktadır. Bu doğrultuda, iş sağlığı ve güvenliğinin önemi göz önüne alınarak, diğer çalışanın sağlığının ve bağışıklığının korunması adına, şirket içerisinde COVID-19 enfekte bir çalışanın bulunduğunun isim belirtmeksizin duyurulması gerekebilir.

Şirket içerisinde yapılacak duyurularda şirket çalışanlarına COVID-19 enfekte bir çalışanın bulunduğu, evden çalıştığı ya da izinde olduğu belirtilmeli; ancak şirket içi seviye ya da ekip gibi çalışanın kim olduğunun tespitini sağlayacak detaylar paylaşılmamalıdır.

Pek çok şirket evden/uzaktan çalışma metodunu benimsemiş gözüküyor. Peki, uzaktan çalışan personeli takip edebilir miyiz?

Sosyal medya üzerinde ve Whatsapp gruplarında, şirketlerin evden çalışan personeli farklı şekillerde denetlediğine dair söylemlerle karşılaşmaktayız.

İşveren’in, çalışanlara teslim etmiş olduğu işlerin akıbetini takip etmek istemesi, yönetim hakkı kapsamında mümkündür. Ancak personelin çalışma takibini gerçekleştirirken, kişisel verilerin korunması kapsamındaki genel ilkelere riayet edilmesi çok önemlidir. Buradan doğabilecek olumsuz sonuçların yansıması yalnızca kişisel verilerin korunması alanında değil, iş hukuku açısından da işverenleri zor durumda bırakabilir.

Bu doğrultuda, çalışan cihazlarından konum takibi, web cam ve benzeri izleme teknolojileri aracılığıyla çalışanın kontrolü gibi ‘aşırı’ veri işleme faaliyetlerinden kaçınılmalı, çalışan ile günlük bazda gerçekleştirilecek telefon görüşmeleri gibi biraz daha düşük teknolojili ve eski usul metotların tercih edilmesi önerilmektedir.

Uzaktan çalışmanın doğurduğu riskleri veri güvenliği açısından ne şekilde minimize edebiliriz?

Pek çok şirket hali hazırda 21.yüzyılın gereklerine ve tehlikelerine ayak uydurmuş ve ofisteki çalışma cihazları ve sistemleri için veri güvenliğini üst düzeye taşımıştır. Ancak şirketlerin ister istemez evden çalışma metoduna eğilim gösterdiği bu dönemde, aynı güvenlik önlemlerinin evden/uzaktan çalışma için de uygulanması gerekmektedir.

COVID-19 salgınının bu kadar hızlı bir şekilde yayılmış olması sebebiyle, maalesef pek çok şirket her bir çalışana ayrı bir uzaktan çalışma cihazı tesis etme fırsatı bulamadı. Bu sebeple zaman zaman çalışanın şahsi cihazlarından ofis işlerini yürüttüğünü görmekteyiz.

Bu durumun doğurabileceği risklerin minimize edilmesi adına, başta şirket sistemlerine ve dokümanlarına VPN bağlantısı ile erişim, anti-virüs sistemlerinin ve güvenlik duvarlarının güncelliği ve işlerliğinin sağlanması olmak üzere, her türlü iyi piyasa uygulaması izlenmeli ve şirketler bünyesinde uygulamaya alınmalıdır.

Ek olarak, iş hayatındaki veri gizliliği (hem kişisel veri hem de ticari anlamda gizli bilgiler babında) ihlallerinin çok büyük oranı, çalışanın doküman gönderirken ya da uzaktan çalışırken kişisel e-posta hesaplarını kullanması neticesinde gerçekleşmektedir. Herkesin uzaktan çalışma metoduna geçtiği bugünlerde, çalışanın bu uygulamanın olumsuz sonuçları konusunda dikkatle bilgilendirilmesi gerekmektedir.

Sonuç olarak,

COVID-19 küresel bir salgın olsa da hukuksal açıdan da şirketler bakımından ele alınması gereken yeni konuları beraberinde getiriyor. Bu süreçle mücadele ederken şirketlerin hukuk düzenin gerekliliklerini yerine getirmesi de hala önem arz ediyor.

Kişisel verilerin korunması alanı bu süreci en yakından ilgilendiren regüle alanlardan bir tanesi. Pek çok veri koruma otoritesi bu süreçte uyulması gereken kurallara ilişkin yönlendirici açıklamalar yaparken ülkemizde Kişisel Verilerin Korunması Kurumu halen sessizliğini korumakta. Bu konuda Kurum’dan bir açıklama yapılması durumda sizleri bilgilendirmeye devam ediyor olacağız.

Veri Sorumlularına Yeni Yıl Hediyesi!

Veri sorumlularının Kişisel Verilerin Korunması Kanunu’ndan (KVKK) kaynaklanan bir yükümlülükleri de Veri Sorumluları Siciline (VERBİS) kaydolmak. Yeni yılın sonuna yaklaşırken veri sorumlularının gündeminde son kayıt tarihi 31 Aralık 2019 olan VERBİS başvuruları vardı. Oldukça kapsamlı ve zaman alan bir süreci içeren VERBİS başvuruları için son tarih, bugün yayınlanan Kurul kararı ile ertelendi!

Kurul, yayınladığı kararında VERBİS kayıt süreci aşamalarına ilişkin olarak veri sorumluların yaşadığı sorunlara değinerek, yalnızca VERBİS başvuru formlarının Kurum’a iletilmesi suretiyle VERBİS kayıt yükümlülüğünün yerine getirilmiş sayılmadığını bir kez daha hatırlattı. Bu kapsamda sürecin iki aşamalı olduğunu ve veri sorumlularının öncelikle oluşturdukları VERBİS başvuru formunu Kurum’a iletmeleri gerektiğini, daha sonra ise VERBİS’e giriş yaparak veri işleme bildirimini gerçekleştirmeleri gerektiğini hatırlatmak isteriz.

VERBİS kayıt süresinin uzatılmasının ardında, veri işleme faaliyetlerinde şeffaflık, disiplin ve hesap verilebilirlik gibi amaçların layıkıyla yerine getirilebilmesi saikinin yattığı anlaşılıyor. Öyle ki Kurul birçok veri işleme bildirimini incelediğini ve bunlarda ciddi yanlışlıklar ve mevzuata aykırılıklar tespit ettiğini açıkladı. Kurul’a göre yapılan bildirimlerde; kişisel veriler, işleme amaçları, alıcı grupları, veri konusu kişi grupları, alınan teknik ve idari tedbirler, yurtdışına veri aktarımı ve saklama süreleri gibi unsurlar da kendi içinde örtüşmüyor.

Bu kapsamda eksikliklerin giderilmesi için veri sorumlularına tanınan ek süreler ile VERBİS’e yeni kayıt tarihleri aşağıdaki tablodaki şekilde belirlendi:

Veri Sorumluları Erteleme Sonrası Kayıt için Son Tarih
Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan veri sorumluları;   Yurtdışında yerleşik veri sorumluları 30 Haziran 2020
Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan veri sorumluları 30 Eylül 2020
Kamu kurum ve kuruluşu veri sorumluları 31 Aralık 2020

VERBİS kayıt sürelerinin ikinci kez uzatıldığı dikkate alındığında, KVKK’da öngörülen yaptırımlar ile karşılaşmamak adına veri sorumlularının yeni kayıt sürelerine riayet etmeleri ve kayıt işlemlerini Kurum tarafından sağlanan detaylı kılavuzlar ışığında gerçekleştirmelerinin önem arz ettiği kanaatindeyiz. Bu uzatma kararı ile birlikte Kurul’un da vurguladığı bir hususa parmak basmak gerekiyor. VERBİS, şeffaflığın sağlanması, kişisel verilerin korunması alanında bir kültürün oluşturulması ve disiplinin sağlanması noktalarında önemli bir araç olmakla birlikte, veri sorumlularının VERBİS’e kayıt olmuş olmaları ve veri işleme bildiriminde bulunmaları KVKK’ya uyum yükümlülüğünün tamamen yerine getirildiği anlamına gelmiyor. Bu kapsamda veri sorumlularının VERBİS dışında, KVKK’dan kaynaklanan diğer yükümlülüklerini de ifa etmeleri gerekiyor.

California’da CCPA Dönemi

Geçtiğimiz ay Birleşik Devletler’in California eyaletinde büyük teknoloji firmalarını ilgilendiren önemli bir gelişme yaşandı. Buna göre 1 Ocak 2020’de yürürlüğe girecek olan California Consumer Privacy Act of 2018 (“CCPA”) ile California, Birleşik Devletler’de kapsamlı bir verilerin korunması mevzuatına sahip olan ilk eyalet olacak.

Neden büyük teknoloji firmalarını ilgilendiriyor?

Bilindiği üzere kişisel verilerin korunmasına ilişkin olarak Avrupa Birliği ve yerel mevzuatlar kapsam olarak kişisel verileri işleyen hemen hemen tüm teşebbüsleri kapsama alıyor. Bununla birlikte, kişisel veriler üzerinden milyonlar kazanan firmalarla küçük teşebbüslerin aynı kurallara tabi olması uzun bir süre eleştiri konusu olmuştu. Bu noktada CCPA’nin en önemli özelliği kişisel veriler ile ticari açıdan yakın ilişki sağlayan ve bundan yüksek kar elde eden firmaları hedef alıyor olması. Nitekim ilgili mevzuat yalnızca California’da yerleşik kişilerin verilerini işleyen ve aşağıda yer alan koşulların en az birini taşıyan teşebbüsleri kapsıyor. Bu çerçevede:

  • Gayri safi gelirin 25 milyon Amerikan Dolarını aşması,
  • Yılda 50.000’den fazla California’da yerleşik kişinin kişisel verilerinin satın alınması, satılması, alınması veya paylaşılması,
  • Yıllık net gelirin yarısının müşterilerin kişisel verilerinin satılmasından elde edilmesi,

koşullarından birinin taşınması halinde ilgili firma CCPA’in kapsamında olacak.

GDPR ile benzer mi?

Tanımlar maddesine bakıldığında ise genel olarak Avrupa Veri Koruma Tüzüğü (“GDPR”) ile paralel bir şekilde kişisel veri kavramının oldukça kapsayıcı şekilde tanımlandığını, böylelikle, ilgili kişi ile ilişkilendirilebilecek her türlü verinin, kişisel veri olarak kabul edildiğini görüyoruz.

Bunun karşın GDPR’a nazaran ilgili kişilerin haklarının oldukça geniş tutulduğunu söyleyebiliriz. Nitekim CCPA kapsamında ilgili kişiler hangi verilerinin işlendiğini ve bu verilerin kimlere satıldığını veri sorumlusundan öğrenebilecekler. Ayrıca, veri sorumluları kişisel verilerin üçüncü kişilere satılıp satılmaması noktasında ilgili kişiye seçim hakkı tanımak zorunda bırakılmış. Bu durum uzun vadede büyük teknoloji firmalarının epey bir canını yakacak gibi gözüyor.

Cezai Yaptırımlar oldukça ağır

CCPA her bir ihlal başına 2.500 Amerikan Doları ceza öngörüyor, kasıtlı ihlallerde ise bu rakam 7.500 Amerikan Dolarına kadar çıkabiliyor. Bir veri sızıntısı çerçevesinde on binlerce kişinin verisinin ihlal edileceği göz önüne alındığında, veri sorumluların oldukça yüksek miktarda idari yaptırımlar ile karşı karşıya kalabileceğini rahatlıkla söyleyebiliriz.

Bu noktada en önemli farklılıklardan biri ise CCPA kapsamında ilgili kişiler istedikleri takdirde toplu davaların yanında bireysel olarak da veri sorumlusu hakkında dava açarak tazminat talep edebiliyorlar.

Sonuç olarak

Birleşik Devletler’de kişisel verilerin korunması adına oldukça önemli bir gelişme yaşandı. Bu gelişmenin en önemli mesajı ise daha önce uluslararası vergi hukukunda da gördüğümüz üzere büyük teknoloji firmalarına yönelik, doğrudan bu firmaları hedef alan regülasyonların gün geçtikçe daha popüler hale gelebileceği. Dolayısıyla bu ve benzer düzenlemelerin yakın zamanda Avrupa’da ve ülkemizde de söz konusu olabileceğini öngörebiliriz.

Avrupa’da Yaz Sert Geçiyor: Rekabette Veri Güvenliği Fırtınasına Dikkat!

Avrupa rekabet soruşturmalarında hâkim durumdaki şirketlerin veri toplama ve işleme süreçleri rekabet otoritelerinin odak noktası haline geldi. Bu sert rüzgârdan en çok etkilenecek teşebbüsler ise teknoloji devleri olacak gibi görünüyor.

Almanya’nın rekabet otoritesi Bundeskartellamt’ın Facebook hakkında yürüttüğü soruşturmayla başlayan değişim rüzgârı, tüm Avrupa Birliği’ni etkisi altına almaya başladı. Facebook, Apple ve Microsoft gibi teknoloji devleri ulusal rekabet otoritelerince mercek altına alındıkça, rekabet hukuku soruşturmalarında veri güvenliği kurallarının incelenmesi yaygınlaşmaya başladı. Öyle ki, çeşitli evrelerde rekabet soruşturmalarında veri güvenliği kurallarının devreye girmesi tartışılıyor.

Avrupa Komisyonu Genel Sekreteri Martin Selmayr, son dönemde hem birleşme devralma hem de hâkim durumun kötüye kullanılması dosyalarında rekabet hukuku ve kişisel verilerin korunması kurallarının iç içe geçtiğini belirtti.[1] Aynı zamanda Avrupa Birliği veri koruma kurallarının da mimarlarından biri olan Selmayr, Brüksel’de gerçekleşen bir konferansta yaptığı konuşmada iki alanın da insan onuru, tercihler ve özgürlükler üzerine kurulduğunun altını çizerek, düzenlemelerde yeknesaklığın kaçınılmaz olduğuna işaret etti. Selmayr’ın konuşmasında dikkat çeken bir diğer nokta ise, rekabet soruşturmalarında kişisel verilerin korunmasına ilişkin endişelerin de incelenmesine kimsenin engel olamayacağını açıkça belirtmesi oldu.

Değişim rüzgârının öncüsü Bundeskartellamt başkanı Andreas Mundt da aynı konferansta yaptığı konuşmada Avrupa rekabet otoritelerinin hâkim durumun kötüye kullanılıp kullanılmadığının değerlendirirken Genel Veri Koruma Yönetmeliği’ni (“GDPR”) dikkate alması gerektiğini vurguladı. Rekabet hukukuna ilişkin yeni bir GDPR yaratmaktansa, var olan düzenlemenin uygulanmasının daha mantıklı olduğunu savunan Mundt, teknoloji devlerinin sahip olduğu pazar gücünün endişe verici olduğunu belirtti.

Bu süreç nasıl başladı?

Bundeskartellamt 2019’un başlarında sonuçlandırdığı soruşturmada, Almanya’da sosyal ağ pazarında hâkim durumda olan Facebook’un veri toplama ve işleme süreçlerinin hâkim durumun kötüye kullanılması teşkil ettiğine karar vermişti.[2] Facebook, kendi uygulamasının yanı sıra, Instagram, Whatsapp ve beğen-paylaş özelliği gömülü olan üçüncü taraf internet sitelerinden herhangi bir kısıtlama olmaksızın kullanıcı verisi toplamakta, daha sonra bu verileri Facebook kullanımı için bir şart olarak ileri sürmekteydi. Kullanıcılar rıza göstermeksizin uygulamayı kullanamadığından, kişisel verilerin işlenmesinin bir mal ve/veya hizmet sunumunun şartı olarak ileri sürülmemesi kuralına aykırılık söz konusuydu.

Başta veri koruma otoritelerinin yetki alanında görülebilecek bu konuya, Bundeskartellamt tarafından söz konusu verilerin hâkim durumun korunması ve güçlendirilmesi hususunda teşebbüslere önemli bir avantaj sağladığı gerekçesiyle müdahale etti ve Facebook’a iş yapış modelini düzeltmesi için toplamda 12 aylık bir süre tanıdı.

Fransa’dan işbirliği çağrısı

Fransız rekabet otoritesi Autorite de la Concurrence’in başkanı Isabelle de Silva, otoritenin geçtiğimiz yıla ilişkin yıllık raporunu sunduğu toplantıda rekabet soruşturmalarında veri toplama ve veri güvenliği konularına daha fazla ağırlık vereceklerinin sinyallerini verdi.[3] Teşebbüslerin veri işleme olduğu gibi, veri toplama yöntemlerinin de hakim durumun kötüye kullanılması teşkil edebileceğinin altını çizen de Silva, Bundeskartellamt’ın Facebook kararına atıf yaparak, kendilerinin de dijital platformları mercek altına aldığına işaret etti.

Hâlihazırda Autorite de la Concurrence ve Bundeskartellamt algoritmalar üzerine ortak bir çalışma hazırladığı biliniyor. Önümüzdeki Ekim ayında Mundt ve de Silva tarafından sunulması beklenen raporun algortimaların rekabet hukukundaki yerinin belirlenmesinin yanı sıra benzer işbirliklerinin devamını getireceği de öngörülüyor. Fransız rekabet otoritesinin Fransız telekomünikasyon otoritesi ARCEP ve veri koruma otoritesi CNIL ile veri gözetim ve denetimi alanlarında güçlerini birleştireceğini açıklayan de Silva, teknoloji devlerinin hâkim durum soruşturmalarında da Avrupa’da benzer bir iş birliğine ihtiyaç duyulduğunun altını çizdi.

Türkiye’de ne noktadayız?

Aslında rekabet kişisel verilerin korunması hukuku arasındaki yakın ilişki ve işbirliğini görmek için fazla uzağa gitmemize gerek yok. Nisan ayında Rekabet Kurumu eski başkanı Ömer Torlak ile Kişisel Verileri Koruma Kurumu Başkanı Faruk Bilir arasında gerçekleşen toplantıda Avrupa’daki rüzgârların Türkiye’yi de etkisi altına alacağının sinyalleri verilmişti. Kurum başkanları dosyalarda bilgi alışverişinde bulunacaklarını ve mevzuat uyumluluğunun şirketlerin uluslararası rekabet gücünü arttıracağını düşündüklerini belirtirken, iki Kurum arasında bir de İşbirliği Protokolü imzalandı.[4]

İşbirliği rüzgârlarının Avrupa’da ve ülkemizdeki rekabet hukuku iklimini ne şekilde değiştireceğini ise zaman gösterecek. 


[1] Newman, Matthew. “Facebook, Microsoft antitrust cases show convergence with data-privacy rules, EU officials say.” MLex Global Antitrust, MLex, 10 July 2019, 14:47.

[2] https://www.bundeskartellamt.de/SharedDocs/Entscheidung/EN/Fallberichte/Missbrauchsaufsicht/2019/B6-22-16.pdf?__blob=publicationFile&v=4

[3] Yaiche, Arezki. “Data-Collection Abuses among Priorities of French Competition Authority.” MLex Global Antitrust, MLex, 9 July 2019, 14:05.

[4] https://www.kvkk.gov.tr/Icerik/5431/-Kurumumuz-ile-Rekabet-Kurumu-Arasinda-Isbirligi-Protokolu-Imzalandi

Kişisel Verileri Koruma Kurulu’ndan dört yeni karar!

Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından son dönemde uygulamayı yakından ilgilendiren kararlar yayınlandı. Bu yazımızda, Kurul’un, kişisel verilerin güvenliğinin sağlanması ve korunması, Kurul kararlarına uyulması ve aydınlatma yükümlülüğünün yerine getirilmesi ile ilgili olan kararlara ilişkin bilgilendirmemizi bulabilirsiniz.

I. Teknik Servis Hizmeti Veren Veri Sorumlusunun Kurul Kararına Uymaması

Teknik servis hizmeti veren veri sorumlusu firma hakkında kişisel verileri ihlal ettiği gerekçesi ile Kurul’a gelen ihbar neticesinde, Kurul firmanın internet sitesinde servise bırakılan cihazlar için kişilere verilen sorgu numaralarının son iki hanesinin değiştirilerek başka cihaz sahiplerine ait cihaz kod numaralarına ulaşılabildiğini ve bunu takip eden linklerde ise ilgili kişilere ait kimlik bilgileri ile sahip oldukları cihazlara ilişkin kod numaralarına erişilebildiğini tespit etmişti. Kurul bu tespiti üzerine, veri sorumlusu tarafından söz konusu linklerin kullanımının durdurulmasına ve kişisel verilerin güvenliğine ilişkin gerekli idari ve teknik tedbirleri almaması sebebi ile veri sorumlusu firmanın 150.000 TL idari para cezası ödemesine karar vermişti.[1]

Kurul’un bu kararının şirkete tebliğinden sonra, Kurul tarafından veri sorumlusu firmanın internet sitesinde yapılan sorgulamada, internet sitesi üzerinden yönlendirilen çeşitli linkler aracılığı ile halen teknik servis hizmeti alan ilgili kişilerin sahip oldukları cihazların kod numaralarına ulaşılabildiği, kargo gönderileri sorgulama linki aracılığı ile firma tarafından ilgili kişilere gönderilen kargoları teslim alan kişilerin ad ve soyad bilgilerine açık bir şekilde erişilebildiği tespit edilmiş olup; veri sorumlusu firmanın Kurul Kararı’na uymadığı tutanağa bağlandı. Bunun üzerine Kurul, Kurul kararına uymama sebebi ile veri sorumlusu firmaya 50.000 TL idari para cezası uygulanmasına ve söz konusu sorgulama sistemine erişimin tamamen engellenmesine karar verdi.[2]

II. Sadakat kartları hizmet alımına engel mi? [3]

Tüketici şikayetleri ve Kurum’a intikal eden ihbarlar sonucunda Kurum bir marketi mercek altına aldı. Şikayetlerde marketin bazı alışveriş/hizmet alımlarında indirim ve puan biriktirme avantajı sağlayan sadakat kartlarının açık rızanın bir ürün veya hizmetin sunulmasına ilişkin koşul olarak ileri sürüldüğü, ihbarlarda ise marketin kart kullanımına ilişkin açık rıza alma esnasında “Veri İzni Alma Uygulaması” adı altında 0,01 TL’lik bir hizmet bedeli alındığı iddia edildi.

Yapılan incelemede, müşterilerin sadakat karta ilişkin açık rıza vermemeleri halinde kendilerine hizmet sunulmaması gibi bir durumun ortaya çıkmadığı, dolayısıyla hizmet veya ürün sunumunun açık rıza şartına bağlanmadığı anlaşıldı. Marketin savunmasından müşterilere çeşitli kanallardan yapılan duyuruların hukuka uygun olmayan şekilde elde edilen kişisel verilere meşruiyet kazandırılması için değil, aksine önceden alınan rızalara ilişkin matbu formdaki bazı eksiklik veya tahrifatların giderilmesi amacıyla alındığı anlaşıldığından konuya ilişkin bir işlem tahsis edilmedi.

“Veri İzni Alma Uygulaması” adı altında alınan hizmet bedelinin ise alışveriş kasalarına kurulan bilgi teknolojileri sisteminden kaynaklanan ve sehven yansıtılan bir bedel olduğu ve söz konusu bedelin müşteri kartlarına aynı tutarda indirim olarak yüklendiği anlaşıldığından, bu hususta da herhangi bir işlem yapılmamasına hükmedildi.

Bu süreçte marketin Üyelik Rıza metni ile Aydınlatma Metni arasında tutarsızlıklar tespit eden Kurul, bu tutarsızlıkların giderilmesine ve Aydınlatma metninin kanunun temel ilkeleri ile Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’e (“Tebliğ”) uygun hale getirilmesine hükmetti. Bu kararın arkasında yatan sebebin, marketin gıda ve ihtiyaç maddelerinin perakende olarak tüketiciye sunulması faaliyetinin kapsamını ve amacını aşan nitelikteki özel nitelikli kişisel verileri toplaması ve işlemesi olduğu anlaşıldı.

III. Siz siz olun başvurulara zamanında cevap verin![4]

İlgili kişinin hakları kapsamındaki taleplerini veri sorumlusu T.C. Ziraat Bankası A.Ş.’ye (“Banka”) bildirmesi ile başlayan süreç, Kurum’un önüne geldi. Kuruma yapılan şikayet başvurusunda Banka’nın kanuni yükümlülüğü olan 30 günlük sürede ilgili kişinin başvurusuna yanıt vermediği anlaşıldı.

Kurum’un konuya ilişkin açıklama talebini içeren yazısı Banka’ya teslim edilmekle beraber, Banka’dan herhangi bir dönüş yapılmamasını takiben Kurum, Kanun’un 18/3. maddesi çerçevesinde sorumlular ile gerekli tedbirleri almak ve denetimleri yapmakla yükümlü kişiler hakkında disiplin hükümlerine göre işlem yapılmasına karar verdi.

İlgili kişi başvurusuna ilişkin ise Banka tarafından cevap verilmesine ve Banka’nın kanuni yükümlülüklerine uyum konusunda azami dikkat ve özen göstermesi konusunda talimat verilmesi kararlaştırıldı. Son olarak Banka’nın internet sitesinde yer alan Aydınlatma Metni’ne ilişkin görüşlerini bildiren Kurul, ilgili metinde işlenen verilerin hangi hukuki sebebe dayandırıldığı belirtilmediği ve veri işleme amaçları ifadesinin belirsizlik yarattığı gerekçesiyle metnin gözden geçirilmesine ve Tebliğ’e uygun hale getirilmesine hükmetti.

IV. Kurul’a Yapılan Şikayet

İlgili kişi, bir şahsın kendisi ve ailesine ait kişisel verilere hukuk dışı yollar ile erişerek bu verileri ilgili kişinin rızası olmaksızın üçüncü kişiler ve İcra Müdürlükleri ile paylaştığı iddiası ile Kurul’a şikayette bulundu.

Kurul tarafından yapılan inceleme neticesinde, şikayet edilen şahsın kısmen veya tamamen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla gerçekleştirdiği bir veri işleme faaliyetinin olmadığı, dolayısıyla kendisinin veri sorumlusu olarak değerlendirilemeyeceği belirtildi.

Ek olarak, Kurul, şikayet edilenin eylemlerinin Türk Ceza Kanunu kapsamında suç niteliği taşıyabileceğini belirtmiş ve konunun ceza yargılaması konusu olabileceğini açıkladı. Bu nedenlerle, ilgili kişinin iddiası bakımından Kurul tarafından yapılabilecek bir işlem olmadığına karar verildi.[5]

Sonuç

Kurum kararlarınında veri sorumluları için önemli mesajlar içerdiği kanaatindeyiz. Bu kapsamda Kurul kararlarının yerine getirilmesinin önemi ve gerekliliğini ve Kurul’a yapılan şikayetlerde ortaya konan iddiaların ispat yükünün başvurucuda olduğunu hatırlatır, başkalarına ait kişisel verilerin ilgili kişilerin rızası olmadan elde edilmesinin Türk Ceza Kanunu kapsamında suç teşkil edeceğini dikkatinize sunarız. Ayrıca kararlardan Kurul’un veri sorumlularının aydınlatma metinlerini mercek altına aldığı anlaşılmakla, aydınlatma metinlerinizi Kanun’un temel ilkeleri ve Tebliğ kapsamında yeniden gözden geçirmenizin faydalı olabileceğini belirtmek isteriz.


[1] Kurul’un 14/02/2019 Tarihli ve 2019/23 Sayılı Kararı

[2] Kurul’un 05/03/2019 Tarihli ve 2019/52 Sayılı Kararı

[3] Kurul’un 25.03.2019 Tarihli ve 2019/82 Sayılı Kararı

[4] Kurul’un 02.05.2019 Tarihli ve 2019/122 Sayılı Kararı

[5] Kurul’un 01/03/2019 Tarihli ve 2019/47 Sayılı Kararı