Geçmişten günümüze; kapımızdaki KVKK

Geçmişten günümüze; kapımızdaki KVKK

6698 sayılı Kişisel Verilerin Korunması Kanunu, nam-ı diğer “KVKK”. Yani kişisel verileri koruyan kanun. Eminim hiç yabancı gelmedi size. Eminim diyorum; çünkü işiniz kapsamında kişisel verilere bir şekilde temas ediyorsanız, başka bir ifadeyle kişisel verileri kullanarak iş yapıyorsanız, şu sıralar en sıcak gündem maddeniz olmalı.

Baysal Sezgin Hukuk Bürosu Yönetici Ortağı
Özlem Baysal Sezgin

Yok, eğer çizginin karşı tarafındaysanız yani; birileri tarafından sizin kişisel verileriniz işleniyorsa bu durumda da son dönemde “Değerli müşterimiz kişisel verilerinizin gizliliğini önemsiyoruz.

Kişisel Verilerin Korunması Kanunu çerçevesinde kişisel verilerinizin işlenmesi, kullanım amaçları ve haklarınızı içeren bilgilendirme metnine xxxx adresinden ulaşabilirsiniz.” şeklinde mesajlara, bilgilendirme yazılarına ya da aramalara sıklıkla muhatapsınız demektir.

Uzun zamandan beri üzerinde çalışılmasına rağmen bir türlü mutlu sonu yakalayamayan KVKK, sonunda 7 Nisan 2016 tarihinde Resmi Gazete’de yayımlandı. Kanun’un yürürlük maddesi gereğince bazı maddeleri Kanun’un yayımı tarihinde, bazı maddeleri ise yayımı tarihinden 6 ay sonra yürürlüğe girdi. Yani KVKK, tüm hükümleri ile birlikte 7 Ekim 2016 tarihi itibariyle hayatımızda.
Bundan böyle Kanun’un yayımı itibariyle, kişisel verisini yeni işlemeye başlayacağınız müşteri, çalışan, üye, öğrenci vs. her kimse bu işleme faaliyetinin Kanun’a uyumlu olması gerekiyor.
Ya bu zamana kadar işlenmiş olan kişisel veriler.
Az değil, kanun koyucu bunlar için iki senelik süre vermişti.
Bak, kontrol et, uyumlu hale getir yoksa sil, yok et ya da anonim hale getir demişti.
Göz açıp kapayıncaya kadar geçti zaman. 7 Nisan 2018, geldi çattı.

Bitiş çizgisine yaklaştığımız şu sıralarda zaman tünelinde kısa bir yolculuk yapmak, kişisel verilerin korunması konusu hangi yolları kat ederek buralara geldi bakmak, amacını kavramak ve bu işi sahiplenmek için günün sonunda konunun ucu nasıl hepimize dokunuyor anlamak iyi olur sanırım.

Evet, doğduğumuz andan itibaren oluşmaya başlayan ve sahibi olduğumuz kişisel veriler artık koruma altında.

Halbuki ne kadar kolay talep edilir, kullanılır, paylaşılır hale gelmişti. Büyük, küçük, özel, kamu her sektörden gerçek ve tüzel kişilerce ele geçirilebilir ve üzerine stratejiler geliştirilebilir olmuştu. Tüm işlerin merkezinde, ekonominin temelinde yatıyordu.
Nasıl da herkes için kontrolsüz bir güçtü. Şirketler arası rekabette en etkin silahtı.

Belirtmek gerekir ki, belirli sektörler ve yasal düzenlemeleri saymazsak, Kişisel Verilerin Korunması Kanunu’nun yürürlüğe girmesi ile birlikte ülkemizde yeni yeni fark edilmeye, konuşulmaya ve tartışılmaya başlayan kişisel verilerin korunması konusu aslında dünyadaki birçok hukuk düzeninde yıllardır incelenen ve yasal düzenlemelerin yapıldığı bir alan.

Peki ne değişti?
Neden ihtiyaç duyuldu da bu Kanun hayatımıza girdi?
Kişisel veri hangi ara bir Kanun ile korunacak kadar değerli hale geldi?
Bu konuda dünya ne durumda?
Gerçekten gerekli miydi?
…………….
Anlatmaya başlıyorum.

Çok eskilere götüreceğim önce sizleri.
Yıllar yıllar öncesine, Antik Çağ’a….
Ne alakası var demeyin. Kişisel verilerin korunması konusu sadece günümüzün konusu değil.
İzlerini çok eski zamanlarda görmek mümkün.
Nerede mi?
Örneğin kimin yazdığı konusunda bir kesinlik bulunmasa da tıbbın babası olarak kabul edilen Hipokrat’ın adıyla anılan “Hipokrat Yemini”nde.
Zaman içinde değişik versiyonlarıyla karşımıza çıkan bu yeminde şöyle bir ifade geçer; “….… sanatımın icrası esnasında yada günlük hayatımda bana gelen ve yayılmaması gereken bilgileri sır olarak tutacağım ve hiçbir zaman açmayacağım ….”
Düşünsenize ….
O zaman bile, kişisel verilerin korunması etik açıdan hekimlik mesleğinin icrasının bir gereği olarak yerini almış.
Sebebi, bugün olduğu gibi o gün de kişisel verilerin kişilerin özel hayatlarının gizliliği bakımından büyük öneme sahip olmasında yatıyor.

Çok değil 1960’lı yıllara kadar kişiler kendilerine ait bilgileri, sadece istedikleri belirli kimselerle paylaşırdı. “Söyleme sırrını dostuna, dostun söyler dostuna” paylaşılan bilgideki en önemli riskti.
Çünkü o zamanlar ne internet ya da dünyanın her yerinden herkes tarafından ulaşılabilir “Facebook” gibi sosyal medya ortamları vardı, ne de kendisine, ailesine ya da tanıdık tanımadık 3. kişilere ait bilgileri, fotoğrafları, bulundukları yerleri paylaşan insanlar.
Tüketicinin reklamlar ile buluşma yeri basılı, işitsel, görsel mecralardı. Reklam sektörü internete yabancıydı. Kişilerin çevrimiçi faaliyetlerinin izlenmesi, analiz edilerek profillenmesi, profilleme tipine uygun reklamlarla eşleştirilmesi ve kişiye gösterilmesi söz konusu bile değildi. Cookie denilince akla sadece kurabiye gelirdi. Geleneksel medyadan yeni medyaya göç başlamamıştı.
Ticaret, müşteri/alıcı ile satıcının yüz yüze gelmesini gerektirirdi. Ticaretin elektronik versiyonu hayatımıza girmemişti.
Yapay zeka mı, o da neydi?

Özetle ne insanoğlu teknoloji ile yoğrulmaya başlamıştı, ne de özel ya da kamu sektörü için kişisel veri kıymetli bir varlık haline gelmişti.

70’li yıllara gelindiğinde, devletlerin, bilgisayarların sunduğu imkanlarla kişisel verileri toplama çalışmaları üzerine, kişisel verilerin devlete karşı korunması yönünde bir mücadele başladı. Paralelinde devletlere büyük şirketler de eklendi. Böylece kişisel verilerin korunmasına yönelik ilk ulusal hukuk düzenlemeler ortaya çıkmış oldu.
Kim derdi ki bir gün gelecek bilgisayar ve türevleri kişisel veri işlemeyi kolaylaştıracak, bilgi iletişim teknolojilerinin ve hizmetlerinin yaygınlaşmasıyla globalleşen dünyada 70’li yılların ilk olarak devlete karşı verilen mücadelesi günümüzde hem devletlere, şirketlere ve uluslararası aktörlere karşı verilen bir mücadele olarak yüzünü gösterecek.

1980’li yıllara gelindiğinde ise, bu ulusal düzenlemelere paralel olarak kişisel verilerin korunması bağlamında uluslararası hukuk belgelerinde düzenlemeler yapılmaya başlandı. Kişisel verilerin korunması hakkı özel hayatın gizliliği genel kavramından bağımsız ayrı ele alınmaya başlandı. Veri koruma hukuku bakımından uluslararası öneme sahip olan; OECD tarafından düzenlenmiş, kişisel verilere ve ülkelerarası veri transferine ilişkin ilk uluslararası belge olma niteliğine sahip 1980 tarihli “Mahremiyetin ve Kişisel Verilerin Sınır Ötesi Aktarımının Korunması Hususunda OECD Rehber İlkeleri” ile Birleşmiş Milletlerin kişisel verilerin korunmasına ilişkin olarak 1990 tarihli “Bilgisayarla İşlenmiş Kişisel Veri Dosyalarına İlişkin Kılavuz” ve Avrupa Konseyi’nin özel olarak kişisel verilerin korunmasına yönelik olarak kabul ettiği ve Türkiye’nin de ilk imzalayan ülkeler arasında bulunduğu diğerlerinden farklı olarak hukuki açıdan da bağlayıcı olan 1981 tarihli “108 sayılı Kişisel Verilerin Otomatik İşlenmesi Sırasında Bireylerin Korunmasına İlişkin Sözleşme” ortaya çıktı.

Takvimler 1995’i gösterdiğinde Avrupa Birliği, üye devletlerinde kişisel verilerin işlenmesi sürecinde kişi hak ve özgürlüklerin korunması ve üye devletler arasında ortak bir hukuk düzeninin sağlanması amacıyla 24.10.1995 tarihinde “Kişisel Verilerin İşlenmesi Sırasında Gerçek Kişilerin Korunması ve Serbest Dolaşımına İlişkin Direktif’i (95/46/EC Veri Koruma Direktifi) yürürlüğe koydu.

Dünyada hukuki çerçevede bu gelişmeler yaşanırken tabi ki teknoloji yerinde saymıyordu.
Özellikle 90’lı yılların ikinci yarısından sonra bilişim teknolojileri dünyasında baş döndürücü büyük ve kapsamlı değişimler yaşanmaya başlandı. Bugün geldiğimiz noktada da günümüzde kullanılan teknolojilerin o günden bugüne nasıl bir ivme kazandığını ve gelişim kaydettiğini görüyoruz. Bu teknolojiler sayesinde veri toplama, depolama, paylaşma, verileri otomatik olarak işleme tabi tutma kapasitesindeki artışa şahitlik ediyoruz. Çünkü bilgi iletişim teknolojileri o günden bugüne sadece gelişmekle kalmadı bilginin ekonomik bir değeri olduğu fikrini de beraberinde getirdi. Verinin ve veri işlemenin değerini, veriden katma değer yaratmanın rekabette yarattığı farkı gözler önüne serdi. E veri bu derece kıymetliyken ve teknoloji o verilere ulaşmayı mümkün kılarken ne özel ne de kamu sektörü tarafında buna ilgisiz kalmak elbette ki imkansızdı.

Ah! teknolojideki bu gelişmeler, nasıl da işimizi kolaylaştırıyor aslında. Evde oturduğumuz yerden bankadaki işimizi görürken, akşam yiyeceğimiz yemeğin siparişini verebiliyoruz. Bir yere mi gideceğiz ilk kez gidecek olmamıza rağmen sanki defalarca gitmiş gibi ilk denemede varış noktasını bulabiliyoruz. İhtiyacımız olan bir ürünü vitrin vitrin gezmeye gerek kalmadan -hatta dünyanın bir ucundan- alabiliyor ya da karşımıza çıkan bir reklamın, aklımızda belki de hiç yokken iyi olabilir/lazımdı fikrini uyandırmasıyla belki de kullanmayacağımız bir ürünün sahibi olabiliyor, öngörülü teknolojinin(!) nimetlerinden yararlanabiliyoruz.

Ama ya madalyonun diğer yüzü …
Nereye gittiğimizin, neye ilgi duyduğumuzun ve satın aldığımızın, hangi hastalıklarımızın olduğunun, kimlerle iletişime geçtiğimizin tespit edilmesi, bir dizi işlemle davranış ve tutumlarımız hakkında bilgi sahibi olmak suretiyle kişiliklerimiz ile ilgili profil çıkarılması ve davranışlarımızın yönlendirilmesi bu kadar kolayken …
Üstelik te kişisel verilerimizin farklı boyutlarda, bilgimiz dahi olmaksızın tanımadığımız kimselerce işlenmesi bu derece mümkünken …
Kim kendini rahat hissedebilir ve özel hayatının gizliliğinden bahsedebilir.
Kim hiçbir baskı altında kalmaksızın hayatını devam ettireceğini maddi ve manevi kişiliğini serbestçe geliştirme hakkına sahip olduğunu iddia edebilir.
Kim endişelenmez birileri tarafından bu kadar gözlenirken…

Yanlış hatırlamıyorsam 2017 sonlarıydı. Youtube’da Zeynep Tüfekçi’nin bir konuşmasını izledim.
İnsanların yapay zeka ile ilgili korkularının, genelde ya dünyayı ele geçiren robotlardan ya da George Orwell’in yazdığı “Bin Dokuz Yüz Seksen Dört” isimli romanından esinlenerek dijital gözetlenme kaygısından ibaret olduğunu, oysa ki kontrolden çıkmış robotların çok uzak bir tehdit, “Okyanusya” isimli otoriter rejimin de 21. yüzyıl için doğru bir distopya olmadığını söylüyordu.
Asıl korkmamız gereken şeyin yapay zekanın kendi başına bize ne yapacağı değil, güç sahibi insanların bizi kontrol ve manipüle etmek adına yeni, bazen saklı, bazen belirsiz ve beklenmeyen şekilde bunu nasıl kullanacakları olduğunu dile getiriyordu. Yakın gelecekteki bağımsızlığımızı ve itibarımızı tehdit eden teknolojinin büyük kısmının veri ve dikkatimizi toplayıp reklamcı ve benzerlerine satan Facebook, Google, Amazon, Alibaba, Tencent gibi şirketler tarafından geliştirildiğini vurguluyordu.

Büyük bir hızla gerçekleşmekte olan teknolojik gelişmeler, bir yandan işimizi kolaylaştırsa ve memnuniyetimizi kazansa da diğer yandan birey olarak teknoloji karşısında acizliğimiz sebebiyle güvensizlik hissini ve ciddi endişeleri beraberinde taşıdı. Çünkü tüm bu köklü dönüşüm temel hak ve hürriyetlere müdahale edebilmeyi kolay hale getirdi.

Zaman tünelindeki yolculuğumuza devam edelim; malum ne ülkemizdeki gelişmelerden ne de Avrupa Birliğinin son fırça darbesinden bahsettik.

Kişisel verilerin korunması konusu Avrupa Birliği’nde bu derece büyük bir yol kat etmişken 2016 senesine kadar ülkemizde kişisel verilerin korunmasına ilişkin hali hazırda esas bir Kanun bulunmuyordu. 2004 senesinde Türk Ceza Kanunu’nda kişisel verilerin hukuka aykırı olarak kaydedilmesi, elde edilmesi, verilmesi, Kanunların belirlediği sürelerin geçmesine rağmen verilerin silinmemesi suç olarak düzenlenmişti. Ancak kişisel verilerin işlenmesine yönelik özel bir kanunun bulunmaması sebebiyle bu fiillerin ne zaman hangi durumlarda hukuka aykırı olacağının belirlenmesi kesin olarak mümkün olmuyordu. Bununla birlikte çeşitli kanunlarda kişisel verilerle ilgili düzenlemeler de yer almaktaydı. 2010 senesinde kişisel verilerin korunması hakkı ilk olarak Anayasada yerini buldu ve kişisel verilerin korunmasına ilişkin esas ve usullerin kanunla düzenleneceği hükme bağlandı. Aslında Kişisel Verilerin Korunması Kanunu üzerine çalışmalar uzun zamandan beri sürmekteydi. Ancak maalesef bir sonuca ulaşılamıyor hep bir teşebbüs aşamasında kalıyordu.

Hafızam beni yanıltmıyorsa yıl 2004 Kişisel Verilerin Korunması Kanunu’nun ilk tasarısı çıkmıştı. O dönemde Turkcell’de çalışıyordum. Malum fazlaca kişisel verinin söz konusu olabildiği bir sektör elektronik haberleşme sektörü ve elbette ki bu Kanun kritik öneme sahipti bizim için. Hemen bir çalışma başlatmıştık. Kanun çıkmadan mevcut durumu tespit etmek, iş planı yapmak, aksiyonlarımızı belirlemek ve uyum sürecine zaman kaybetmeksizin başlamak için tüm şirket içi birimlerle toplantı yapmış ve durduğumuz yeri belirlemiştik. Amaç Kanun çıktığında vakit kaybetmeksizin süreci başlatmaktı.
Şimdi bakıyorum da ne kadar proaktifmişiz. Birçok şirketin Kanun çıkmasına rağmen başlatmadığı çalışmayı biz daha ilk tasarı da hayata geçirmiştik.

Ülkemizde KVKK üzerinde çalışmalar yürütüldüğü sıralarda Avrupa Birliği’nde de tekrar kıpırdanmalar başlamıştı. Evet Avrupa Birliğinde kişisel verilerin korunması konusu bize göre neredeyse evrimini tamamlamış gibi gözükmekle birlikte, teknolojinin gelişimi karşısında hızla boyut değiştirmiş ve bambaşka boyutlara taşınmıştı. Globalleşen dünyada bilgi iletişim teknolojileri hizmetlerinin yaygınlaşması ve ülkeler arasında artan veri trafiği nedeniyle uluslararası öneme sahip bir konu haline gelmişti.
Malum Veri Koruma Direktifi 1995 senesine kadar olan gelişmeleri baz alarak oluşturulmuştu. 1995 senesinden beri teknolojideki gelişmelerin baş döndürücü hızla devam ettiği küreselleşen dünyada direktif demode kalmıştı ve üye devletlerin uygulamaları arasındaki makas iyice açılmıştı. Direktifin hem modernize edilmesi hem de üye devletlerin uygulamaları arasındaki farkın giderilmesi gerekiyordu. Bu ihtiyaçlar doğrultusunda Avrupa Birliği 4 Mayıs 2016 tarihinde General Data Protection Regulation’ı (GDPR) yani Türkçe çevirisi ile Genel Veri Koruma Regülasyonunu AB Resmi Gazetesi’nde yayımladı. GDPR, 25 Mayıs 2018 tarihinden itibaren yürürlüğe girerek 95/46/EC sayılı Veri Koruma Direktifi’nin uygulamasını sona erdirecek.

İşte dünyadaki Kişisel Verilerin Korunmasına ilişkin tüm bu hukuki düzenlemelerin –elbette ki ülkemizde de KVKK’nın- yürürlüğe girmesinin temelinde, bireysel hak ve özgürlüklerin zarar göreceğine ilişkin endişeler karşısında kişisel mahremiyetin korunmasının hukuki düzenlemeler eliyle hayata geçirilmesi yatmakta. Üstelik gerçek kişilerin kişisel verilerinin korunmasını hedefleyen bu düzenlemeler, kişisel verilerin işlenmesinin ticari ilişkiler bakımından önemli faydaları bulunduğunu da göz ardı etmiyor. Bu sebeple hedefe ulaşırken kişisel veri işleme faaliyetlerini önleyerek değil, bireyin kişisel verilerinin korunmasındaki menfaati ile bu verilerin işlenmesine duyulan ihtiyaç ve bu işlemlerin sağladığı fayda arasında denge kurmak suretiyle gerçekleştiriyor. Hiç kuşkusuz hayatın her alanının hukukla bağlantılı olduğu günümüz toplumunda gelecek terazisinin bir kefesinde yer alan teknolojinin sağladığı imkanlar ile diğer kefesindeki hukuk düzenlemelerinin koruduğu mahremiyetin dengesinin önemi tartışılmaz.

Sizi bilmiyorum ama ben bunun büyük bir fırsat, büyük bir kazanım olduğunu düşünüyorum.
Bu kanun kişisel verileri koruma ile ilgili kültürün olması gereken düzeye gelmesi açısından büyük önem taşımakta.

Belki bugün bize ilave iş yükü getirdiğini düşündüğümüz bu düzenlemeler aslında geleceğimizin; kişisel verilerimizin geleceğini, hangi kapsamda kullanılabileceğini belirleme ve bunlar üzerinde tasarruf hakkımızın, özgür bir biçimde kişiliğimizi geliştirme, birtakım korkulardan uzak bir şekilde sosyal hayata serbestçe katılma hakkımızın garantisi.

Hal böyle iken hepimizin sırf ticari açıdan düşünmeyip çizginin sadece öteki tarafından bakmayıp, günün sonunda birey olduğumuzu unutmadan bu Kanun’u sahiplenmemiz gerekiyor. Nitekim çizginin ne tarafında olursak olalım her birimiz kişisel verisi işlenen kişilerden biriyiz.
Bu Kanun’u masamızın üzerindeki alelade bir iş gibi düşünmeyip hayata geçirilmesi ve uygulanması için her birimizin üzerine düşen bir sorumluluk olarak görmek lazım. Biz değil ama bizden sonrakiler ne ile karşılaşır bilgi iletişim teknolojileri ve yapay zeka nelere gebedir ya da daha nasıl boyut değiştirir bilmiyoruz.

Zeynep Tüfekçi’nin konuşmasında belirttiği gibi “with prodigious potential comes prodigious risk”

Kanun yayımlandı mutlu sona ulaştı dedim ama doğrusunu söylemek gerekirse daha yeni başlıyoruz.

Sonuç olarak siz…
Hazır olanlardan mısınız, yoksa beklemede olanlardan mı?
Bunu bir fırsat olarak görenlerden misiniz yoksa angarya olarak görenlerden mi?
Ticaretinize vurulan bir darbe olduğunu düşünenlerden misiniz yoksa her şeyden önce ben bireyim temel hak ve özgürlüklerim önceliğimdir diyenlerden mi?

Categories: GÖRÜŞLER

About Author

Write a Comment

Your e-mail address will not be published.
Required fields are marked*