Av. Arb. Kerim Altıntaş / MÜSİAD Genel Başkan Yardımcısı

Kişisel Verilerin Korunması Kanunu (KVKK), 7 Nisan 2016 tarihinde Resmi Gazete'de yayınlanarak yürürlüğe girdi. Ancak kanunun geçici maddesi gereği veri sorumlularının yükümlülüğü, yayım tarihinden itibaren iki yıl sonra yani 6 Nisan 2018 tarihinde yürürlüğe girecekti. 

Veri sorumluları bu süre içinde işledikleri tüm verileri hesap verebilirlik ve doğrulanabilirlik ilkeleri ile kanuna uygun hale getirmekle yükümlüydüler. Yine veri sorumluları, bu süre içinde tüm teknik altyapılarını kurmak durumundaydılar. 

Bu süreçte en çok cevabı aranan sorular şunlardı: Hangi veriler, ne kadar süreyle, nasıl ve nerede saklanacak, nasıl işlenebilecek, daha sonra nasıl anonim hale getirilecek veya ne tür bir silme, yok etme politikası uygulanacak? Veri sızıntısı veya hırsızlığı hallerinde nasıl bir müdahale planı izlenebilecek? Verilerin etkin güvenliği nasıl sağlanacak? Veri sorumlularının bu ve benzeri sorulara cevap vererek süreci değerlendirmesi beklenmekteydi.

Kişisel Verileri Koruma Kurulu, 12 Ocak 2017 tarihinde Yargıtay Birinci Başkanlık Kurulu huzurunda yemin ederek göreve başladı. Göreve başladıktan sonra birçok ikincil mevzuatları ve rehberleri hazırlayarak kamuoyuna sundu. 

Ancak veri sorumlularının çok büyük bir kısmının kendilerine tanınan bu iki yıllık süreyi verimli geçirmediklerini, hazırlıklarını tamamlayamadıklarını düşünüyorum. Bunda tabii ki sistemin tamamen yeni olması, konunun ve yapılması gerekenlerin anlaşılmasının zor olması yanında ikincil mevzuat ve rehberlerin kamuoyuna sunulmasında yaşanılan gecikme de etkili. İki yıllık sürenin sona ereceği tarih olan 6 Nisan 2018 tarihinden birkaç gün öncesinden itibaren başlayan kısa mesaj yağmurları da zaten bunun en büyük göstergesi.

MARKALAR İŞLERİNİ SONA BIRAKTI

Markaların iki yıllık bu geçiş sürecinde yaptığı en büyük iletişim, 6 Nisan 2018 tarihinden birkaç gün önceki SMS ve elektronik posta iletişimi. Kişisel verilerimizi korumakla yükümlü dünyaca bilinen büyük markalar ve yerel markalar, yapmaları gereken işlemleri son günlere bırakmayı tercih etti. 

Gönderilen bazı SMS ve elektronik postaların içerikleri, bunlarda yer alan linklere tıklandığında okunması istenilen metinlerin dilinin sade ve anlaşılabilir olmadığını tespit edebiliyoruz. Verisi işlenecek olan her bir birey, hangi verilerinin kaydedileceğini, işleneceğini, nerelerde kullanılacağını ve kimlerle paylaşılacağını açık bir şekilde anlayabilmeli. Bu anlamda bazı markaların kişiler ile iletişimini kurmada sıkıntı yaşadığını düşünüyorum.

Şunu da ifade etmekte fayda var, kişilerden çok genel kapsamlı, muğlak ifadeler barındıran, genel geçer her şeye onay verilmesi şeklinde yorumlanabilecek ve ‘Battaniye Rıza’ kavramı ile tanımlanan rızalar hukuken geçersiz olma riski ile karşı karşıya.

Zaman içerisinde veri sorumluları veri işleme politikalarında değişiklik yapabilir. Bu politika değişikliği nedeniyle veri sorumlusu daha önce sizden onayını almadığı bir veriyi de artık işlemek isteyebilir. Bu politikaların kişiden alınan rıza ile anahtar kilit ilişkisi içinde olması gerekir. Aksi takdirde veri sorumlusu, politikası değiştiğinde kişilerden ikinci bir rıza almak zorunda kalacaktır. 

ELEŞTİRİLER HAKLI

Bazı markaların kullanıcı bilgilerinin güncellenmesi konusunda yaptığı iletişimlere kullanıcı tarafından hafif tehdit içerdiği nedeniyle gelen eleştiriler konusu var tabii… Maalesef ki bu eleştirilerin haklı olduğunu düşünüyorum. Gönderilen SMS veya elektronik posta içeriklerinde ya havuç uzatma tekniği kullanılıyor ya da sunulan fırsatları kaybetme riski ortaya konuluyor. Örneğin gönderinin ilk kısımlarında şimdiye kadar faydalandığınız avantajlar ve ayrıcalıklarınız sıralanarak bunların devamını istiyor iseniz kişisel verilerinizin işlenmesine onay vermeniz isteniyor. 

Bu noktada veri sorumlularının şunu çok iyi ayırt etmesi gerekiyor. Kişisel verilerinin işlenmesine rıza göstermeyen bir kimseye hizmet sunmaktan kaçınamazsınız. Hukuk sistemimiz böyle bir dikteyi kabul etmemektedir. Örneğin, internetten ürün alacağım. Siparişimi tamamlama esnasında Mesafeli Satış Sözleşmesi’ni onaylıyorum. Ancak o esnada karşıma kişisel verilerimin işlenmesi için de rıza beyanı çıkıyor. Ben rıza beyanını kabul etmesem dahi siparişimin tamamlanması gerekiyor. İlgili markanın da yapması gereken; benden o sipariş için aldığı kişisel verilerimi yalnızca siparişimin gereklerini yerine getirmek ve örneğin kanunen zorunlu olan faturayı düzenlemek, bunun dışında başka hiçbir işleme tabi tutmamaktır.

YASA SORUNLARA DERMAN OLACAK MI?

KVKK’dan önceki fiili durumda her türlü kişisel verilerimiz veri sorumluları tarafından herhangi bir sınırlama ve denetime tabi olmaksızın istenildiği gibi kullanılabiliyordu. Bu durum, özel hayatın gizliliği, temel hak ve hürriyetler çerçevesinde bakıldığında bariz hak ihlaliydi. KVKK’dan sonra ise bu alanda hakların korunması noktasında önemli bir merhale katedilmiştir. 

KVKK ile getirilen işleme şartlarına uyum sağlama, verileri silme, yok etme, anonimleştirme, teknik ve idari tedbirleri alma, aydınlatma yükümlülüğü gibi yeni düzenlemeler kişisel veri sahiplerini veri sorumlularını karşısında güçlü konuma getirdi. KVKK’dan önce kişisel veri sahiplerinin hiçbir şekilde bu tarz hakları veya imkanları yoktu. 

KVKK ile getirilen bu düzenlemeler, her türlü kişisel verimizin herkes tarafından işlenilmesine engel olarak mahiyette. Ancak bu düzenlemelerin başarılı olabilmesi için en önemli etken, veri sorumlularının samimi bir istek ile bu insan haklarına saygı duymakta göstereceği duruş olacaktır. Veri sorumlusu markalar tarafından ‘özel hayatın gizliliği ve ihlal yasağı’, ‘unutulma hakkı’ olarak tanımlanan insan haklarına saygı duyulmaz ve üstünkörü bir şekilde mevzuat uygulanılmaya çalışılır ise çok fazla başarı elde edilemeyecek. KVKK ile korunmak istenen haklar tam olarak bireylere verilemeyecek. Bu nedenle bu kanun başarısında en önemli aktör markalarımızdır. Markalar, artık müşteri sadakati oluşturmak için müşteriye saygı duymak, kişisel haklarını korumak için samimi bir çaba içinde olmak zorunda. 

ZİHNİYET DEĞİŞİYOR

KVKK ile getirilen en önemli şey zihniyet değişimi. Tüketim dünyasında her türlü veri pazarlama enstrümanı olarak kullanılıyor ve her birey bir tüketim aracı olarak görülüyor. O nedenle bireylerin ürettiği veya sahip olduğu veriler bu amaçla işlenmekte veya saklanıyor. KVKK ile kişisel verilerin sınırsız biçimde ve gelişigüzel toplanması, yetkisiz kişilerin erişimine açılması, kötüye kullanılmasının veya ifşa edilmesinin önlenmesine yönelik tedbirler getirildi. Bu zihniyet değişiminde artık özel hayatın gizliliği ön plana alındı. 
‘Big data’ senaryolarının konuşulduğu günümüzde verinin ne kadar önemli olduğu yadsınamaz bir gerçek. Son günlerde Facebook üzerinden milyonlarca kişinin kişisel verilerinin istihbarat veya pazarlama amacı ile üçüncü kişiler ile paylaşıldığı tespit edildi, bir anda bütün dünya bu ihlallere dikkat kesildi. Bu tarz ihlallerin dikkat çekmesinin temel sebebi, kimsenin kendi onayı veya bilgisi olmaksızın kişisel bilgilerinin kullanılmasını istememesi. KVKK ile getirilen yeni sistem esas olarak ‘zihniyet değişimi’ getirdi.