Kişisel verileriniz ne kadar güvende?
Son günlerin en önemli konularından biri kişisel veri güvenliği. Kafalarda pek çok soru var. Kişisel verileriniz ne kadar güvende? Veri sahiplerinin hakları neler? Firmalar verilerimizi ne kadar koruyor? İşte, yanıtlar…
AYLIK 800 milyonun üzerinde aktif kullanıcı sayısı ile günümüzün en büyük sosyal medya ağlarından biri olan Facebook’un adı geçtiğimiz haftalarda bir skandal ile gündeme geldi. Ingiltere merkezli Cambridge Analytica adlı şirketin Facebook hesaplarından izinsiz bir şekilde kişisel verileri topladığı ortaya çıktı. Bu verilerin izinsiz bir şekilde toplanması neden önemliydi? Çünkü şirketin kişisel verileri kullanarak ABD ve İngiltere’deki siyasi seçimleri manipüle ettiğine yönelik ciddi iddialar mevcut. Skandal öyle büyüdü ki, Facebook CEO’su Mark Zuckerberg, konuyla ilgili olarak ABD Senatosu’nda ifade verdi. Zuckerberg’in ifadesinde dikkat çekici nokta ise şuydu: “Facebook’un veri sızıntısını önlemek için yeterince çaba kaydetmedik…” Neredeyse bütün kişisel bilgilerimizi gönüllüce verdiğimiz Facebook gibi devasa bir şirket kişisel verilerimizi koruyamıyorsa hangi şirket koruyabilir? Ya da soruyu şöyle soralım: Kişisel verilerin korunması neden önemli?
VERİLERİNİZ SİLİNEBİLİR
Pek çok şirket tüketicilerine daha iyi hizmet sunmak adına kişisel bilgilerimizi talep edebiliyor. Mesela Migros, CarrefourSA gibi zincir marketler müşterilerinin indirimlerden yararlanabilmesi için kişiye özel kartlar veriyor. Gratis, Watsons, Boyner gibi markalar da benzer hizmetleri sunuyor. Bu neden önemli, çünkü bu kartlara sahip olmak ve indirimlerden yararlanmak için ad, soyad ve telefon gibi kişisel bilgilerinizi paylaşmak durumundasınız. Telefon hattı kullanmak için doldurduğunuz kullanıcı sözleşmeleri ise çok daha detaylı bilgiler talep edebiliyor. Mail adresinizden tutun da TC kimlik numaranıza kadar pek çok kişisel bilginizi şirketlerle paylaşırken buluyorsunuz kendinizi.
Dediğimiz gibi şirketler bunları hizmet ve ürünlerini geliştirmek için kullanıyor. Ancak Facebook skandali ortaya çıkardı ki, şirketler kişisel verilerimizi tutma ve saklama konusunda yeterli hassasiyete sahip olmayabiliyor. Peki, kime, nasıl güveneceğiz?
Bu soruya kısmen 7 Nisan 2016 tarihinde yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması (KVK) Kanunu ile cevap vermek mümkün. Kanun çerçevesince işletmelere tanınan iki yıllık uyum süreci geçtiğimiz haftalarda doldu. Bu nedenle doğrudan müşteri bilgisine sahip olan pek çok firma kullanıcılarını SMS ve mail yağmuruna tuttu. Bu yolla kullanıcılara ulaşan sözleşmelerde onay seçenekleri vardı. Onaylandığı takdirde şirketler sözleşmeleri yenilemekle yükümlü ancak olumsuz geri dönüş halinde de o kullanıcılara ait verilerin silinmesi gerekiyor.
AÇIK RIZA YETERLİ DEĞİL
Ancak burada bir noktanın altını çizmek gerekiyor. Şirketler tarafından SMS ve mail yağmuruna tutulan pek kullanıcı olumlu ya da olumsuz geri dönüş yapmadı. Daha doğrusu bu yağmurdan bunalanlar SMS ve mail içeriğinde ne olduğuna bakmadı bile.
Paksoy Avukatlık Yönetici Ortağı Avukat Serdar Paksoy konuyla ilgili olarak, “Kanunun yayım tarihinden önce hukuka uygun olarak alınmış olan açık rızalar, 7 Nisan 2017 tarihine kadar aksi yönde bir irade beyanında bulunulmadıysa, geçerliliklerini korumaya devam ediyor” diye konuşuyor. Kanun uyum sürecinden yalnızca açık rıza aliminin anlaşılmaması gerektiğini Paksoy şu sözlerle açıklıyor:
“Geçtiğimiz günlerde yaşanan yoğun SMS ve e-mail gönderimleri ile ilgili olarak, ortada bir yanlış anlaşılma olduğunu düşünüyorum. Birçok şirket, kanundaki istisnalara dayanarak veya daha önce alınmış rızalara dayanarak kişisel veri işliyor olduğu halde, gereksiz bir şekilde açık rıza almak için bir çaba gösterdi. Hatta Kişisel Verileri Koruma Kurumu da, bu uygulamadan haberdar oldu ve internet sitesi üzerinden bir kamuoyu duyurusu yayınladı ve kişisel verilerin işlenmesi için yegâne hukuki sebebin açık rıza olmadığını bir kez daha hatırlatma gereği duydu. Hatta Kurul bir kararında, diğer kişisel veri işleme şartlarının yani istisnaların varlığı durumunda, buna rağmen açık rıza alınmasının ilgili kişinin yanıltılması ve yanlış yönlendirilmesi dolayısıyla veri sorumlu-sunca hakkın kötüye kullanılması anlamına geleceğini de açıkça belirtti.”
CEZAİ YAPTIRIMLAR VAR
Uyum süreci yalnızca kullanıcıların onayını almaktan ibaret değil. Bunun yanı sıra kullanıcıyı aydınlatmak da şirketlerin sorumluluklarından biri. Veri güvenliğine ilişkin idari ve teknik tedbirlerin alınması, yakın zamanda hizmete açılması beklenen VERBİS sistemi üzerinden yapılacak tescil işlemleri ve bunun öncesinde veri işleme envanterinin, veri saklama ve imha politikasının hazırlanması gibi birçok husus uyum sürecinin bir parçası.
“Bu nedenle; ilgili kişilerin bilgi alma, silme ve düzeltme taleplerinin şirketlerce süratli bir biçimde karşılanması büyük önem taşıyor” diyen Paksoy, şirketlerin, kişisel verilerle ilgili hakların kullanımını kolaylaştıracak mekanizmaları kurmak ve yönetmekle yükümlü olduklarının altını çiziyor. Bu yükümlülüklerini hakkıyla yerine getirmeyen şirketleri de birçok cezai yaptırım bekliyor. Mesela kanun kapsamında kişisel verilerin elde edilmesi sırasında ilgili kişilere karşı aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5 bin ile 100 bin TL arasında idari para cezası uygulanması söz konusu. Ayrıca kişisel verileri tutan ve işleyen işletmelere yükümlülüklerine uymamaları durumunda uygulanacak olan idari para cezaları 1 milyon TL’ye kadar çıkıyor.
BİLGİ EDİNMEK HAKKINIZ
Kanun şirketlere yükümlülükler getirdiği gibi kişisel veri sahiplerine de bilgi edinme hakkı sunuyor. Avukat Mehmet Durmaz, kanunun 11. Maddesine atıfta bulunarak kişisel veri sahiplerinin taleplerini yazılı olarak iletebileceğini ve şirketlerin bu talepleri inceleyerek sonuçlandırması gerektiğini söylüyor.
Bu kapsamda kişisel veri sahipleri neleri sorgulayabilir? Mesela kişisel verilerin işlenip işlenmediğini öğrenebilir, işlenmişse buna ilişkin bilgi talep edebilir, işlenme amacını ve amaca uygun kullanıp kullanılmadığını sorabilir, yurtiçi ve yurtdışmda verilerin aktarıldığı üçüncü kişileri bilebilir, verilerin silinmesini veya yok edilmesini talep edebilir.
Korkmaz, bu taleplere şirket tarafından en geç 30 günlük sürede geri dönüş yapılması gerektiğini ifade ediyor. Eğer başvuru bu sürede sonuçlandırılmazsa kişi, kanun kapsamında başvuruda bulunabilir. Durmaz, “Şayet aleyhine başvuruda bulunulan şirketin usulsüzlüğü tespit edilirse ciddi oranda idari para cezası ile cezalandırılma riski mevcut. Ayrıca kişinin cezai yollara başvurarak şirket yetkilileri hakkında Türk Ceza Kanunu’nun ilgili maddeleri kapsamında cezalandırılmalarını talep etme hakları var” diye anlatıyor.
VERİLERİMİZ FİRMALARIN ELİNDE
Şirketler kanun kapsamında çalışmalarına çoktan başladı. Ancak verilerimizi korumaya yönelik ne tür çalışmalar yaptıklarını merak ediyoruz. Yazımızın başında da belirttiğimiz gibi telekomünikasyon, perakende gibi sektörler pek çok kişinin verisini elinde tutup, işliyor. Bu nedenle özellikle bu sektörlerdeki firmalardan konuyla ilgili görüş almak istedik. Ancak pek çok firma görüş vermekten kaçındı. Vodafone Türkiye onlardan biri değil.
Vodafone Türkiye İcra Kurulu Başkan Yardımcısı Selçuk Karaçay söz konusu düzenlemeleri fırsata çevirerek uygulamalarını baştan ele aldıklarını ve yeniden yapılandırma için kaldıraç olarak kullanmayı tercih ettiklerini anlatıyor. “İlk adımda mevcut ürün ve iş aktivitelerimiz açısından KVKK’ya ne kadar uyumlu olduğumuzu tespit ettik” diye konuşan Karaçay, çalışanlarına farkındalık eğitimi verdiklerini söylüyor. Sebebi de basit: Çalışanlarının müşterilerin verilerine bu bilinçle yaklaşmalarını sağlamak.
Karaçay’ın anlattıkları önemli. Fakat pek çok kişi gün içinde telefondan ürün ya da hizmet pazarlayan onlarca, belki yüzlerce firmanın çağrılarıyla uğraşıyor. Örneğin, adını bile bilmediğiniz bir firmanın temsilcisi olduğunu söyleyen biri telefondan pastırma satmaya çalışabiliyor. Ya da termal bir otelin kampanyası için günlerce reklam ve tanıtım çağrılarına ve SMS’lerine maruz kalabiliyorsunuz. Ortada bu tür durumlarla uğraşmanın bıkkınlığından daha önemli bir problem mevcut. Bu, telefon numaralarımız gibi özel bilgilerimizin hiç bilmediğimiz yerlerde ve birilerinde olduğu anlamına geliyor. Bu noktada ilk aklan gelen operatörlerin bu bilgileri firmalarla paylaştığı oluyor.
VERİLER GÜVENCE ALTINDA MI?
Bu iddiayı Karaçay’a soruyoruz. Bu iddiadan Karaçay da rahatsız belli ki… “Operatörler bu tür verilere en çok sahip olan kurumlar olarak, asılsız iddialara da en çok maruz kalan kurumlar oluyor” diyen Karaçay, bu iddianın gerçeği yansıtmadığını belirtiyor. “Bu mesajlar genellikle piyasada yetkisiz rehberlik hizmeti veren tabiri yerindeyse ‘merdiven altı’ firmaların, piyasadan ne şekilde elde edildiği belli olmayan veri tabanlarını işleme sokan bir döngüden kaynaklanıyor” diyen Karaçay, şirketlerin, bu tür veri tabanlarına itibar etmemesi gerektiğini söylüyor. Peki bunun önüne nasıl geçilebilir?
“Vodafone Türkiye olarak, veri paylaştığımız istisnasız her firma ile yaptığımız sözleşmelerde, müşteri verilerinin nasıl işleneceği ve alınacak koruyucu önlemlerle ilgili maddelerimiz yer alıyor” diye konuşan Karaçay, bu noktada denetimler de uyguladıklarını söylüyor. Firmaların gönderdiği tanıtım ve reklam amaçlı SMS’ler ile ilgili olarak da şu açıklamayı yapıyor Karatay: “Düzenlemeler yapılırken özellikle izinli SMS veri tabanının operatörlerde tutulmasını talep ettik. Bunun nedeni abonelerimize ulaşacak ticari iletilerin kendi isteklerine uygun olarak iletilmesini sağlamaktı, örneğin istemedikleri takdirde abonelerimize SMS ulaşmasına engel olabilmekti, ancak maalesef bu talebimiz kabul görmedi. Bu nedenle izinli SMS veri tabanı operatörlerde tutulmadığından abonelerimiz aldıkları ticari iletilerin sorumlusu olarak operatörleri görmemeli.”
“Tüketiciler arasında ayrım yaratılmamalı”
Pek çok şirket tüketicilerin indirimli ürün ya da hizmetlerden yararlanması için kart veriyor. Bu kartları edinmek için bazı bilgilerinizi firmayla paylaşmanız gerekiyor. Kanun kapsamında eğer kart sahibi olduğunuz şirketlere olumlu geri dönüş yapmadıysanız üyelikleriniz yenilenmiyor, kartta birikmiş puanlarınız varsa da sıfırlanıyor. Bu nedenle tüketicilerin çoğu verilerinin işlenmesine açık rıza göstermek istemese de firmaların sunduğu avantajlardan yararlanmak için olumlu bildirim yapmak durumunda kaldı.
Bu durumu nasıl değerlendirdiğini sorduğumuzda Serdar Paksoy şöyle cevap veriyor:
“Günümüzde veri altın değerinde olduğundan, firmalar da özellikle satış ve pazarlama faaliyetlerini planlamak ve geliştirmek için veri tabanlarını oluşturmak ve oluşturdukları veri tabanlarını korumak isteyebiliyor. Ancak bu durum, açık rıza veren tüketiciler ile vermeyen tüketiciler arasında bir ayrım yaratmamalı. Sadakat programları çerçevesinde bu programa dahil olan tüketicilere birtakım avantajlar sağlanması hukuka aykırı bir durum değil, ancak dediğim gibi açık rıza vermekten imtina eden kişiler için olumsuz sonuçlar doğurmamalı. Kurul, açık rızanın, bir üyeliğin veya bir hizmetin sunulmasının koşulu olarak dayatılmasının, açık rızayı sakatlayacağı yönünde bir karar verdi ve hatta bu kararın ilgili bölümünü yayımladı.”
Meral Candan