İMEAK DTO Ağustos ayı Meclis toplantısını gerçekleştirdi. İMEAK DTO Meclis Salonu’nda gerçekleştirilen toplantıya Hacettepe Üniversitesi’nden Prof. Dr. Turhan Menteş, “Kişisel Verileri Koruma Kanunu” isimli önemli bir sunum gerçekleştirdi. Kişisel verilerin güvenliği konusunun dünyada ve Türkiye’de yeni bir konu olduğunun altını çizen Menteş, kanunlar yeni olsa da uygulamaların eski olduğunu kaydetti. Bir kişinin kimliğini belirlemeye yarayan her türlü bilgiye kişisel bilgi denildiğini dile getiren Menteş, en çok kullanılan kişisel bilginin ise TC kimlik numarası olduğunu kaydetti.
Kişisel verilerin hayatın tüm alanlarında kullandığını ve kimsenin bunu sorgulamadığına işaret eden Menteş, “Bundan sonra sorulacak. Şu ana kadar sorulanlar var bundan sonra sorulacak olanlar var. Ama bundan sonra herkes dikkatli olmak zorunda çünkü artık kanunlar var. Ardından bir de devamı var” dedi.
İlk defa bir yasa bütün sektörleri ilgilendirecek şekilde çıktı
Avrupa’da 1995 yılında kişisel verilerin korunması direktifini yayınladığını 38 AB ülkesinin kendisini buna göre uyarlaması gerektiğini belirttiğini aktaran Menteş, bu direktifin gereği olarak AB ülkelerinin çok yol katettiğini belirterek, “Biz 2000 yılından itibaren uyum yasası kapsamında bu kanunun çıkartılması için çalıştık. Ben 2003-2006 yılları arasında bizzat çalıştım. O yıllarda bu kanun meclise 3 defa gönderildi. Ve üçünde de kadük oldu. Meclis gündemine almadı. Ve hayata geçmedi. 2010 yılından 2016’ya kadar bu kanundan hiç bahsedilmedi. Uyum yasalarından herkes ümidini kesmişken, birden 2016 yılında biz bu yasayı çıkarttık. 2016 yılında hazırlanan yasa 2006 yılında hazırlanan yasadır. 10 yıl gecikmeli çıkmış bir yasadır. İlk defa böyle bir yasa çıktı. Bütün kurum ve kuruluşlar bu kapsama alındı. İlk defa bir yasa bütün sektörleri ilgilendirecek şekilde çıktı. Ama çıkartılırken hiçbir uzmanı olmadan çıktı bu yasa. Cezalar var. Herkes ceza kısmıyla ilgileniyor” diye konuştu.
Dünyadaki bütün ülkeleri ilgilendiriyor
Yasanın temel mantığının bir kişinin kendi kişisel verisini nerde saklanıyorsa görme, düzeltme, silme, değiştirme, paylaşımını engelleme hakkına sahip olduğunu dile getiren Menteş, “Yasanın özü bu. Bunun en önemli kısmı da hiçbir kurum ve kuruluşun bundan muaf olmaması. İlk defa böyle bir yasa çıktı ve bu yasa şu anda dünyada bütün ülkeleri ilgilendiren yasa olarak geçiyor. Bunu herkes örnek alarak kendi ülkesinde de benzer yasaları çıkartmaya çalışıyor” ifadelerini kullandı.
Yaptırımlar ağır, cezalar yüksek
Yasada çok ağır kurallar olduğunu altını çizen Menteş, şöyle devam etti: “Yaptırımları ağır. En önemlisi rakamlar çok yüksek. Global bütçede yüzde 4’üne kadar var. Kişisel Verileri Koruma Kanunu’da, Avrupa Veri Koruma Tüzüğü de iki yıl kurum ve kuruluşlara hazırlık süresi verdi. Mayıs 2018’den itibaren cezalar Avrupa’da hızlıca işlemeye başladı. Çok ciddi bir ceza süreci başladı. Bizim 3 sayfalık yasamıza karşılık 88 sayfalık bir yasa var. 93 maddeden oluşuyor. Bu yasanın bir özelliği daha var. AB diyor dünyanın neresinde olursa olsun vatandaşımla ilgili yaptırım uygularım diyor.”
Mahremiyet politikasının belirlenmesi gerekiyor
Yasayla ortaya çıkan bir durum olduğunu ve bilgileri tutulan kişiler ve onların hakları ile kurumsal menfaat arasında bir denge oluşturulmak zorunluluğu olduğunu ifade eden Menteş, “Çünkü kişisel verileri sonuna kadar koruyacağım dediğiniz zaman iş yapamaz duruma gelebilirsiniz. Ama kurumsal menfaatleriniz kişisel verilerin işlemesini gerektirebilir. Daha iyi hizmet vermek için daha başka işler için. Bu ikisinin arasındaki dengenin çok iyi kurulması gerekiyor. Bunun için de alt yapınızın buna uygun hale getirmeniz gerekiyor. Bugüne kadar ne yapıldı? Kurum ve kuruluşlar bu konuyu kendi iç kaynaklarıyla çözme eğilimine geçtiler ve ilk yaptıkları, kanun olduğu için hukuk birimi veya müşavirine bu işi hallettirdiler. Kurum ve kuruluşlarda hemen bir aydınlatma metni hazırladı. Aydınlatma metninin bir kısmıyla halledilmeye çalışılıyor. Halbuki bu bir mahremiyet politikası gerektiriyor. Çünkü kişisel veriler kesinlikle dışarıdan uluslararası kuruluşlar tarafından bilgileri hacklenerek çalınıp saçılmıyor. Bu en çok kurum çalışanları üzerinden oluyor. Veya kurum içi çalışma yöntemlerinin buna müsait olması. Bir sürü kişisel veri ihlali bu şekilde gerçekleşebiliyor. Bunun için mahremiyet politikalarının belirlemesi ve bu konuda herkesin eğitilmesi gerekiyor. Kapıdaki güvenlik görevlisinden en üstteki genel müdüre kadar. Kişisel veri korumanın aşamalarıyla eğitimli olması ve bunun da aşamalı olması gerekiyor. Çünkü herkes aynı eğitimi değil baştaki veri saçılması ve farkındalık eğitimi yöneticiler içinde ihlal durumlarında ne yapılması gerektiğine dair bir eğitim verilmesi gerekiyor. Nasıl yöneteceğiz dediğimiz anda da risk yönetimi yapılması gerekiyor kişisel veri saçılmasına karşılık. Riskleri azaltmanız gerekiyor bu da kolay bir iş değil. Bununla ilgili teknik uygulama altyapısı uygulamanız gerekiyor bunun sürekli izlenebilmesi için. Yani kanuni olan bir sürecin geldiği nokta bu” ifadelerini kullandı.
Veri çalma ve sızdırmanın engellenmesi gerekiyor
Türkiye’de bunu hep hukuki bir uyumluluk olarak görüldüğünü aktaran Menteş, “Halbuki bu operasyon üst süreçlerini de buna uydurma ve bilgi güvenliği altyapısının kurulması yönünde kişisel veri güvenliğinin altyapısının kurulması yönünde bütünsel bir yaklaşım sergilenmesi gerekiyor. Bugüne kadar Türkiye’de genelde hukuki uyum çalışması yapılmaya çalışılıyordu. Ama operasyon üst süreçleri iyileştirilmiyor. Kültürel dönüşüm süreçleri gerçekleşmiyor. Bilgi güvenliği altyapısı yoksa kurulması gerekiyor. O olmadan hiçbir şey yapılamıyor. Elektronik ortamlarda veri çalma ve sızdırmanın engellenmesi gerekiyor” diye konuştu.
Deniz ticaretinde en çok müşteri bilgileri ve gemi planları çalınıyor
Denizcilikle ilgili uluslararası kaynaklardaki incelemelerindeki bilgileri de paylaşan Menteş, şunları söyledi: “Deniz ticaretiyle ilgili olarak en çok yapılan veri çalınma işlemleri 1) müşteri bilgilerinin çalınması, 2) gemi planlarının çalınması. Kayıtlara geçmiş en çok yapılan hırsızlıklar bunlar. Yani elektronik ortamda. Rotaların çalınması. Müşteri bilgilerinin dışında gemi rotalarının çalınması gibi bir sürü olay var. Ve bunların hepsi kayda geçmiş ve cezalandırılmış vakalar.”
Neler yapılmalı?
Sunumunda yapılması gerekenleri de başlıklar halinde veren Menteş, şu ifadeleri kullandı. “ilk olarak her kurumda veri envanterinin çıkartılması gerekiyor. Bütün iş süreçlerinin elden geçmesi gerekiyor. İş süreçlerinin sonunda toplanan kişisel verilerin ne olduğunu, kimlerle paylaşıldığının, nerede saklandığının, ne süreyle saklandığının, ne zaman imha edileceğinin, imha edilmesi gerekenler var mı? Belli süreçlerde kanunu olarak zorunlu olarak tutulması gerekenler var mı? gibi bilgilerin toplanıp değerlendirilmesi gerekiyor. Bu konuda müşteri dışında en çok talep kendi çalışanlarınızdan gelecek. Kişisel veri görme, izleme, düzeltme talebi en çok mevcut veya eski çalışanlarınızdan gelecek. Dolayısıyla insan kaynaklarının altyapısını da buna uygun bir şekilde yapmak gerekiyor.”
Veri akışının durdurulması Türkiye’de olabilecek en kötü şeylerden biri
Menteş, “Olayın özü şu; eğer bir kişisel veri sahibi size başvurduğu anda 1 ay içerisinde cevap vermiyorsanız kişisel veri kurumuna şikayet etme hakkına sahiptir. Burası da 15 gün içerisinde gereğini yapmazsa yasal yaptırıma gidiyor. İdari veya para cezası sürecini başlatıyor. Böyle bir süreç var ortada. Bu yönetilmesi kolay bir süreç değil. Büyük şirketlerin bu altyapının bir ay içerisinde nerde bir kişinin verisi var. Bu veriyi nasıl bulurum. Dediğiniz kısmı yapabilmek için daha önceden çok hazırlıklı olmalısınız. Birinci aşamada yapılması gerekeler bunlar. Hukuki ve teknik analizlerin bir arada yapıldığı veri etki analizlerinin bir arada yapıldığı ki bu etki analizi en önemli konu. AB Veri Koruma Tüzüğünde etki analizi yaptırmazsanız 10 milyon Euro’ya yakın para cezası kesiyor. Daha ihlal olmadan. Yetki analizi yapmamanız nedeniyle. Böyle ciddi bir süreç AB’de var ve çalışıyor. Para cezası keser öderiz diye düşünürseniz ama daha kötü bir şey yapıyorlar. Bir kere bütün dünyada bir ilan yapıyorlar. Bütün ülkelerin olduğu AB’nin tek merkezinden bir ilan yapılıyor. Daha da önemlisi eğer bu durum düzeltilmezse veri akışını durduruyor. Veri akışının durdurulması Türkiye’de olabilecek en kötü şeylerden biri. Özellikle AB vatandaşlarını taşıyan götüren yurtdışından özellikle turizm ile ilgili kişisel sağlıkla ilgili bir sürü alanınız var. Bundan daha hassas veriler ve bunlarla ilgili gerekli düzeltmeler yapılmazsa yaptırımlar ağırlaşıyor.”
7DENİZ - ÖZEL
