A-

A+

2018 senesi Kişisel Verilerin Korunmasıyla dolu dolu geçti, peki 2019'da bizi neler bekliyor?

Her yeni seneye veda ederken, yılın kısa bir muhasebesini de yapmak adettendir. 2018 senesi gerçekten de her açıdan kişisel verilerin korunmasıyla dolu dolu geçti. 2019 şimdiden çok daha heyecanlı olacak gibi görünüyor.

2018 hayallerimizi gerçekleştirdiğimiz bir sene oldu

Bu sene, hayalini kurduğumuz bir şeyi başardığımız için çok mutluyuz. Kişisel verilerin korunması hukuku alanında çalışan bir grup değerli avukat meslektaşımız, akademisyenler ve bilişim teknolojileri  uzmanlarıyla birlikte 2018 başında Kişisel Verilerin Korunması Kanunu’nun (“KVKK”), uygulamalarına dair “hukuk ve iyi uygulama konuşmak ve üretmek” için bir araya geldik.

Her ay düzenli olarak toplanan 30-40 kadar uygulamacının katılımıyla  yürütülen  platform çalışmalarındaki uyum ve samimiyet, Haziran 2018’de Veri Koruma Derneği’nin kurulmasını teşvik etti. Dernek Ekim ayında, yabancı ve Türk uygulamacı ve akademisyenlerin katılımıyla, Yeditepe Üniversitesi ve Boğaziçi Üniversitesi ile birlikte “Uygulama ve Teori Bakımından Disiplinler Arası Kişisel Verilerin Korunması Sempozyumu”nu düzenledi.

Dernek ve Platform düzenli çalışmalarına aynı hızla devam ediyor. 2018 yılının ilk yarısında gerçekleşen Platform çalışmalarına dair özetler, bilgi olarak https://www.verikorumadernegi.org/ sitesinde  paylaşıldı.

GDPR ile yeni bir dönem

2018 senesi kişisel verilerin korunması açısından yeni bir dönemin başlangıcı oldu. Avrupa Veri Koruma Tüzüğü’nün (“GDPR”) Mayıs 2018 itibariyle uygulanmaya başlamasıyla birlikte, bu yenilikçi düzenleme Dünya’da hızla kabul görmeye başladı ve öncü rolünü üstlendi. KVKK, her ne kadar GDPR’dan önceki düzenleme olan Avrupa Birliği’nin 95/46/EC Direktifi’ni (“Direktif”) esas alınarak hazırlanmış olsa da, Kişisel Verileri Koruma Kurumu (“Kurum”) GDPR uygulamalarını yakından takip ediyor ve KVKK’yı yorumlarken de Avrupa Ekononmik Bölgesindeki diğer bağımsız otoritelerin ikincil düzenlemelerini göz ardı etmiyor. Kişisel Verileri Koruma Kurulu (“Kurul”) göreve başlayalı neredeyse 2 yıl olacak. Bu dönem içinde, Kurul üyelerinin, daire başkanlarının ve uzmanlarının çok yoğun emekleriyle, gerçekten farkındalık anlamında ciddi yol katedildi. Kurul düzenlediği etkinlikler ve Çarşamba Seminerleri ile uygulamacıları buluşturmaya devam ediyor. Bu açıdan uygulamacıların Kurum’un https://kvkk.gov.tr/ sitesini yakından takip etmelerini öneririz.

GDPR’ın yürürlüğe girmesiyle, AB’deki uygulamacılar da, kişisel verilerin korunması ile ilgili pek çok farklı konuda derinlemesine tartışmaya başladılar. Bu güncel tartışma ortamı, Türkiye’de Kişisel Verilerin Korunması Hukuku alanında çalışan bizler açısından da, global düzeyde derin hukuki tartışmaları yakından takip etme ve uygulamayı öğrenme imkanı tanıdı.

Avrupa’da bağımsız otoriteler arasında en dikkat çekenler ise İngiltere’nin ICO[1]’su (https://ico.org.uk), Fransa’nın CNIL’i[2] (http://www.cnil.fr/). Yine WP 29’un yerini alan EDPB[3] (https://edpb.europa.eu/)  ve Giovanni Buttarelli gibi çok aktif bir başkana sahip olan EDPS’i[4] (http://www.edps.europa.eu/EDPSWEB/

de izlemekte fayda var. Diğer yandan, IAPP[1]  de (https://iapp.org/ ) uygulamacılar için yakından takip edilmesi faydalı olan uluslararası organizasyonlardan biri.  

Dijitalleşme ve kaçınılmaz sonucu veri ihlalleri

Gerçekten 2018’de, hem Türkiye’de hem de Dünya’da dijital dönüşümün hızla gerçekleşmesine şahitlik ettik. Dönüşüm çoktan başladı ve bazı şeyler tahminlerimizden de hızlı gelişiyor. 2018’de kişisel veriler dışında, bol bol blockchain, endüstri 4.0 ve dijitalleşme konuştuk.

Kişisel verilerin korunması ve veri güvenliği zaten tüm bunların da ayrılmaz bir parçasıydı. Blockchain’in kişisel verilerin korunması açısından hem bir çözüm imkanı sunabileceğine hem de yıkıcı gücünü 2019’da daha da hissettireceğine dair inancımız tam.

Tüm bu hızlı değişimler veri ihlalleri açısından şirketleri ve kişileri daha kırılgan yaptı ve nitekim veri ihlali haberleri 2018’de gündemde çokça yerini aldı. Bunlardan en çok bilinenler arasında, Marriott Starwood hotels, Quora, Cambridge Analytica, Facebook ve British Airways vardı. En büyük 21 ihlale dair Business Insider’in bu konudaki haberine bakabilirsiniz https://www.businessinsider.com/. 2019’da bu gibi olumsuz gelişmelerin artmasını beklemek doğru olur. Daha önce de paylaştığımız Wall Street Journal gazetesi haberini de burada tekrar not etmekte fayda var https://www.wsj.com/articles/. Haberde, normal bir kişinin sosyal sigorta numarasına 0.05 Dolar, belirli bir kişiye ait sosyal sigorta numarasına ise 3 Dolar değer biçildiliği yazıyor. Tıbbi kayıtlara  5 Dolar, kredi kartı bilgileriyle birlikte kişisel veriler 7-11 Dolar olarak değer biçildiği belirtiliyor. Bir banka hesap kullanıcı ismi ve şifreleri için ise 1.100 Dolar!

Peki 2019’da bizi neler bekliyor?

Kişisel verilerin korunması ve veri güvenliği alanlarında çalışanlar için 2019’un da çok heyecanlı bir yıl olacağı kesin.

Türkiye açısından, sağlık verilerin işlenmesi ve yurtdışına aktarım gibi çok sıkıntılı iki başlıkta kanun koyucu ve bağımsız düzenleyici kurumların gerekli adımları atmalarını heyecanla bekliyoruz.

Bu arada Veri Sorumluları Sicili’ne kayıt yükümlüklerinin pek çok veri sorumlusu için açısından 2019 senesinde tamamlanması gerekiyor.[2] Uyum projelerinin tahminlerin üzerinde çok uzun sürebildiğini dikkate almak gerekli. Sicile kayıt olması zorunlu olan veri sorumlularının bunu dikkate almalarını ve vakit kaybetmeden kayıt yükümlüklerini yerine getirmelerini öneririz. Veri Sorumluları Siciline kayıttan istisna olanlar ise, KVKK’ya tabi olmaya devam ettiklerini unutmamalılar.

Son olarak, veri güvenliğini düzenleyen KVKK madde 12 hükmünün, Kurul kararları çerçevesinde çok önemli bir düzenleme olarak karşımıza çıktığını tekrar hatırlatalım. 2019 yılında teknik ve idari tedbirlerin alınması tüm veri sorumluları için bir öncelik olmalı.

 

 __________________________________________________________

[1] Information Commissioner’s Office

[2] Commission Nationale de l'Informatique et des Libertés

[3] European Data Protection Board 

[4] European Data Protection Supervisor

[5] International Association of Privacy Professionals

[6] Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan veri sorumluları ve yurtdışında yerleşik gerçek ve tüzel kişi veri sorumluları için süre 30 Eylül 2019’da dolacak. Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olmakla birlikte ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumluları için kayt yükümlülüğü ise 1 Ocak 2019 itibariyle başladı ve bu kişilerin de en geç 30 Mart 2020’ye kadar Veri Sicili’ne kayıt olmaları gerekecek.