Kişisel veri vücudumuzun parçası gibi | KPMG | TR

Kişisel veri vücudumuzun parçası gibi, izinsiz kullanılamaz

Kişisel veri vücudumuzun parçası gibi

Türkiye’de kamu ve özel sektör kuruluşları, Kişisel Verilerin Korunması Kanunu sınavında... Teknolojinin etkisiyle çığ gibi büyüyen veri, mutlaka kontrol altına alınması gereken yeni bir durumu zorunlu kılıyor. Her bireyin en temel hakkı olan kişisel verilerinin gizliliği konusunda mevzuatta hızlı adımlar atılıyor. Peki Türkiye’de ‘yeni duruma’ uyum ne seviyede?

İlgili içerik

sinemcanturk-onurkucuk

KPMG Türkiye Bilgi Sistemleri Risk Yönetimi Bölüm Başkanı Sinem Cantürk ve KPMG Türkiye Hukuk Şirket Ortağı Av. Onur Küçük KVKK gerçeklerini anlattı:

  • Onur Küçük: Bu bir kültür meselesi. Sadece mevzuatın getirdiği düzenlemeler yetmiyor, bu kültürün yerleşmesi lazım. Resmi Gazete’de rastladığımız bir örnek, Anayasa Mahkemesi kararı yayımlanıyor, davaya konu olan kişilerin adları var. Hepimizin bilmesi gereken, fayda olan bir veri değil, silmek gerek. Kanunlar bunu birebir sağlamıyor olabilir. O yüzden bir kültür meselesidir diyoruz. Hepimizde zamanla yerleşecek. Veri canlı bir şey. Yola çıkacağız mesela trafiğe bakıyoruz, tıkalı diyor. Nereden biliyor bunu? Çünkü o sırada trafik uygulaması kullanan herkesten veri topluyor. Siz de o uygulamayı açtığınız andan itibaren vericisiniz. Bunu bilmiyorsunuz ya da farkında değilsiniz. Yanlış hatırlamıyorsam 2004’te Facebook’un kuruluşuyla insanlar kişisel verileri isteyerek ifşa etmeye başladı, diğeri de akıllı telefonlar. Akıllı telefonlarla takip edilmeye başladık. Çünkü veri gönderiyoruz. Ne kadar veri yolladığımız belli değil. Sonunda devletler dedi ki, “Bir dakika bu verinin toplanmasına ve paylaşmasına bir düzenleme getirmemiz lazım.” Avrupa kişisel verileri güvence altına almak için 1995’te harekete geçti, biz 2006’da yaptık.

Kişisel verilerimizin bize ait olduğunun ne kadar farkındayız?

  • OK: Kişisel veri bir hak. Vücudumuzun bir parçası gibi bize sorulmadan alınamaz, transfer edilemez, kullanılamaz.

Veriyi korumakla yükümlü sektörlerde durum ne?

  • Sinem Cantürk: Türkiye’de en olgun sektör finans sektörü. Bankacılık ve sigortacılık… BDDK’nın bilgi güvenliğine verdiği önem üzerine yaptığı çeşitli düzenlemeler aslında finans sektöründe belli bir olgunluk yaratmış. Finans sektörü neden daha çok olgun? Çünkü daha çok yabancı oyuncu var. O bakış açısı da finans sektörünü yönlendiriyor. Kanunu herkes ajandasına aldı ama perakende, finansın arkasından geliyor. Çünkü onlar da müşteriye çok dokunuyor.
  • OK: Tabii finans regüle bir sektör. Regülatörü var. Mevzuat çıktığında uyması gerektiğini biliyor. Uyuma verdikleri hassasiyet yüksek. En olgun olmayan sektör ise sağlık. Konuya uzak duruyorlar. Oysa sağlık verileri özel nitelikli kişisel veriler. Açık rızalar açısından bu çok hassas bir konu. Sağlık sektöründe böyle bir farkındalık yok. ‘Kişiyle ilişkilendirilen her türlü veri kişisel veridir’ diyor kanun. Yani bir kişiyle ilişkilendirilebilir olması yeterli. Geniş ama yanlış bir tanım değil. Örneğin; 34 ABC 123. Bu bir araç plakası. Kişisel veri olmaz değil mi. Ama araç sahibi, çalıştığı şirketin otoparkından yararlanmak için kayıt veriyorsa o andan itibaren kişisel veridir. Bu yüzden gidip neyin kişisel veri olup olmadığını uzmanların değerlendirmesi gerekiyor.
  • SC: Bir ekleme yapayım. Mesela orta ölçekteki bir banka. Bir tek müşteriyle ilgili ne kadar kişisel veri çıkıyor biliyor musunuz; ortalama 7-8 bin! Aklınıza hayalinize gelmez topladıkları veriler. Mevduat hesapları, açılış, kapanış, faiz, vade, kart harcamaları, ödemeler... Hepsi kişiye özel, kişiyle ilgili bilgiler.
     

Peki sağlıkta kaçtır bu sayı?

  • SC: Henüz rakam veremiyoruz ancak daha nitelikli veri topluyorlar.
  • OK: Bir de şu var; finans sektöründe çalışanlar bu konuda çok sıkı eğitimlere tabi tutuluyor. Müşteriyle yüz yüze gelenler özellikle... Bu doğru bir şey. Sağlık sektöründe aynı seviyede bir eğitim var mı çok emin değilim. Sağlık sektörünü finansla kıyaslayınca kişisel verilere ilişkin bir farkındalığın olması ve bunun korunmaya değer bir şey olduğunu şu anda bilme ihtimali düşük. Bu yüzden sağlık sektörünün çok daha fazla emek vermesi lazım. Tüketiciyle yüz yüze olan personelin, veri toplayan çalışanların eğitilmesi gerek. Çalışanları bu noktaya getirmezsek, hangi kontrolü sağlarsak sağlayalım yol alamayız. Bilgilerimizi açtığımız kişi, bilgilerin kişisel ve özel olduğunu anlamadığı sürece hiçbir zaman kanunla tam uyumlu hale gelemeyiz.
  • SC: Sağlıktan sonra telekomünikasyon sektörü müthiş büyük bir veriye sahip. Cep telefonu elimizden düşmüyor. Bizim yaptığımız her şey burada. Hobilerimiz, nasıl insanlar olduğumuz, kimi aradık, kime mesaj attık. Tüm analizimiz buradan çıkar. Bu bilgiler de operatörlerde. BTK nedeniyle onlar da regüle bir sektör. Ama kesinlikle yeterli değil. Çok hassas veri var telekomünikasyon dünyasında.

Nereden başlamak gerekiyor?

  • OK: Bir kere herkes elindeki veriyi bilebilmeli. Her kurum, kuruluş ne veri topladığını tespit etmeli, veri envanteri çıkarmalı. Bu, çalışmanın başlangıç noktası olmalı. Veri nereden geliyor, nasıl bir harita izliyor, nereden çıkıyor, nerede kayboluyor, yok olması gerekiyor? Veriyi canlı bir şey olarak görüp, dolaşımda nereleri gezdiğini görmemiz lazım. 7 bin veri için tek tek yapmak lazım.
  • SC: Mesela veriyi alıyor, hangi sektördeyse BDDK’ya gönderiyor evet, BTK’ya gönderiyor bu da evet. Ama bir iştiraki olan perakende zincirine onlar da başka bir ürün satsın diye gönderiyorsan bu pazarlama faaliyeti oluyor. Bunu yapacaksa izin alacak.

Verilerimizle ilgili haklarımızın farkında mıyız?

  • SC: Bazı durumlar teknik olabilir, sistemle alakalı olabilir, hukuk yorumu gerektirebilir ama en basit haliyle kişisel veri sahibi olarak mesela, ‘benim sigorta şirketimde verim var mı, sildin mi’ diye sorma hakkına sahibim. Ya da kişisel veriyi sakladığını bildiğimiz bir şirkete gidip ‘benim sende hangi kişisel verilerim var, nasıl saklıyorsun, kimlerle paylaştın’ diyebilirim. Şirket de 30 gün içerisinde bana bilgi vermek zorunda.

Siz nasıl bir hizmet sunuyorsunuz?

  • SC: Bizim yaptığımız çalışmada önce bu harita bu kanunla örtüşüyor mu örtüşmüyor mu ona bakıyoruz, analizini yapıyoruz. Fark analizini yapıp, uyumsuz noktaları tespit ediyoruz. Yapılması gerekenleri listeliyoruz.
  • OK: Talep üzerine ilerliyoruz. Biz yaşayan bir sistem bırakıyoruz. Yeni bir süreç eklenirse o zaman KVKK'ya nasıl uyum sağlamanız gerektiği yönünde bir politika ve prosedür de teslim ediyoruz. Bu süreci haritada şuraya ekleyeceksiniz, şuraya dokunması lazım şeklinde yol haritası bırakıyoruz. Bize ihtiyaç duyulmadan kendi kendine evrimleşebilecek bir sistem yaratmış oluyoruz. Her şirketin süreçleri, politikaları farklı olduğu için her şirket için yeniden dizayn edilen bir yapı bu. Danışmak istedikleri konularda danışmanlık görevlerimizi sürdürüyoruz.

Yapıyı kurduktan sonra bugüne kadar toplanmış bilgiler ne oluyor, uyum nasıl sağlanıyor?

  • OK: En son çalıştığımız şirkette ‘ne olacak’ dediler. Kullanmadıkları bir su kulesi varmış. Bütün datayı yok saymayı düşündüler. Bu zorlu bir soru. Bence kanunun mevcut tanımı tüm sektörlerin tüm sorularını yanıtlamıyor. Genel bir çerçeve koyuyor. Biraz daha kurulun rehberliğine ihtiyaç olduğunu düşünüyoruz. Çünkü gerçekten veri biriktiriyoruz, 60 yıllık çalışan verileri var mesela. ‘Bunları imha etmek zorundayız’ dediğimizde ilginç örneklerle karşılaşıyoruz. Mesela; bir çalışan ayrılmış gitmiş, ama başına bir şeyler gelmiş, hakkında ceza davası açılmış. Cinayetten yargılanıyor. O gün işte miydi, değil miydi? Cinayet günü işteyse o öldürmedi. Ama o veri SGK mevzuatı içinde dolmuş, imha edilebilirdi. Ama imha edilmemiş. Adam o gün işyerinde çıkıyor. Mahkemenin kararında önemli bir nokta oluyor. Önemli bir vaka. Verinin ne kadar saklanması gerektiğini şirketlere bıraktı kurul. Bu konuda bir anlayışın yerleşmesi gerekir. Kurulun yönlendirmesi soru işaretlerini ve farklı yorumları ortadan kaldırabilir.
  • SC: Bu gerçekten çok hassas bir konu. Avrupa’da da en çok tartışılan konulardan bir tanesi. Onlar da ‘silelim mi yok mu edelim’ şeklinde tartıştı. Avrupa’da yeni yapılan düzenlemeyle verinin silinmesindense ‘beni unut’ diye bir kavram getirme yoluna gidildi. Yani mesela ben şirketten ayrılmışım. Kanun, yasal saklama süren bitmiş diyor, Avrupa şöyle bir çözüm buluyor; silmeyelim ihtiyaç olabilir ama bunu su kulesine koyalım! Kapıyı kilitleyelim anahtar bizlerde olmasın, sistemde bir yerde dursun. Ulaşmamız gereken bir gün, ulaşacağımızı bileceğiz. Türkiye’de de verinin silinmesi, anonimleştirilmesi, yok edilmesi konusunda böyle bir çözüme gidilmesi yönünde ilerliyoruz.

Uygulamayla ilgili kuruldan başka beklentiler var mı?

  • OK: Elbette, sigorta sektöründe mesela. Şimdi kanun çıktı. İstisnalar da var. Bazı yerlerde mevzuatlar çatışıyor. İşte buralarda açıklamaya ihtiyaç var, rehberlik gerekiyor. Biz şu anda rehberlik için kendi yorumlarımızı katıyoruz, yön vermeye çalışıyoruz. Kurulun sektörlerle ilgili spesifik mevzuat çıkarması gerekiyor. Avrupa’da var. Demeli ki ‘sigorta sektöründe şu şu şu işler şöyle yapılacak’. Sağlık sigortalarında mesela. Sağlık verisini almadan sigorta şirketi fiyatlama yapamaz. Ama sağlık verisi kişisel veri ve açık rıza alınması gerekiyor. Şimdi kanunda bir yükümlülük daha var. Açık rızayı vermeyi reddedene hizmeti sunmayı reddedemezsin. Açık rıza vermese de o hizmeti sunacaksın. Ama şuna bakın. Ben sağlık sigortası için gidiyorum, benden istenen veriyi de vermeyeceğim. O zaman ben sana poliçe teklif edemem diyor. O zaman ben de kuruma şikayet ediyorum. Bana hizmet vermiyorlar diye…

Ya da iş kanunu diyor ki ‘çalışanın kimlik fotokopisini alacaksın’. Ama orada kan grubu var. Kan grubu sağlık verisi. Açık rıza gerekiyor. Ama açık rıza vermezse, işe almayabilirim. O zaman iş mahkemesine şikayet edebilir. Detaylara indikçe ortaya çıkan sorular var. Bunlar için yönlendirmeye ihtiyaç var. Kurulun aktif bir şekilde devreye girmesi, boşlukları doldurması gerekiyor.

İş dünyası kadar toplumda da bu konuda farkındalığa ihtiyaç var değil mi?

  • OK: Şirketlerin personeli eğitmesi kadar sivil toplum kuruluşlarının da faaliyete geçmesi gerektiğini düşünüyorum. Kişisel veri sahipleri derneği gibi bir kuruluş gerekiyor bence. Toplumu bilgilendirmek, vatandaşı bilinçlendirmek, genel bir farkındalığı artırma çalışması olmalı. Kurul, şirketler, danışmanlar ve STK’ların çalışacağı bir platforma ihtiyaç var.

Bize ulaşın

 

Teklif talebi

 

Gönder