A-

A+

KİŞİSEL VERİLERİ KORUMA KURULU’NUN, KİŞİSEL VERİ İHLALİ BİLDİRİM USUL VE ESASLARINA İLİŞKİN KARARI

Kişisel Verileri Koruma Kurulu (“Kurul”), 24.01.2019 tarih ve 2019/10 sayılı kararı (“Karar”) ile, veri ihlal bildirimlerine dair bildirim süresi, yönetimi ve yapılması gerekenler gibi önemli bazı hususlara açıklık getirdi.

Kurul, veri ihlal bildirimlerine dair özetle:

  • Veri ihlal bildirimlerine dair Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) 12. maddesinde yer alan “en kısa sürede” ifadesinin 72 saat olarak yorumlanmasına ve bu kapsamda veri sorumlusunun ihlali öğrendiği tarihten itibaren gecikmeksizin ve en geç 72 saat içinde Kurul’a bildirim yapmasına, haklı bir gerekçe ile 72 saat içinde bildirim yapılamaması halinde, yapılacak bildirimle birlikte gecikmenin nedenlerinin de Kurul’a açıklanmasına,
  • Kurula yapılacak bildirimde ilan edilen Kişisel Veri İhlali Bildirim Formu”unun kullanılmasına,
  • Veri sorumlusunca söz konusu veri ihlalinden etkilenen kişilerin belirlenmesini müteakip ilgili kişilere de makul olan en kısa süre içerisinde, ilgili kişinin iletişim adresine ulaşılabiliyorsa doğrudan, ulaşılamıyorsa veri sorumlusunun kendi web sitesi üzerinden yayımlanması gibi uygun yöntemlerle bildirim yapılmasına,
  • Veri sorumlusu tarafından veri ihlallerine ilişkin bilgilerin, etkilerinin ve alınan önlemlerin kayıt altına alınması ve Kurul’un incelemesine hazır halde bulundurulmasına,
  • Veri ihlalinin veri işleyen nezdinde gerçekleşmesi halinde, veri işleyenin bu konuda herhangi bir gecikmeye yer vermeksizin veri sorumlusuna bildirimde bulunmasına,
  • Veri ihlalinin yurtdışında yerleşik veri sorumlusu nezdinde yaşanması halinde, bu ihlalin sonuçlarının Türkiye’de yerleşik ilgili kişileri etkilemesi ve ilgili kişilerin sunulan ürün ve hizmetlerden Türkiye’de faydalanmaları durumunda, bu veri sorumlusu tarafından da aynı esaslar çerçevesinde Kurul’a bildirimde bulunulmasına,
  • Bir veri ihlali müdahale planı hazırlanmasına ve bu planın belirli aralıklarla gözden geçirilmesine

karar verdi.

Hatırlarsanız, yeni yılda girerken blog’umuzda yayınlanan 2019da-bizi-neler-bekliyor başlıklı yazımızda, hızlı dijital değişimin veri ihlalleri açısından şirketleri ve kişileri daha kırılgan yaptığını ve nitekim veri ihlali haberlerinin 2018’de gündemde çokça yerini aldığını yazmıştık.

Kurul, bu Karar’ı ile uygulamacılara veri ihlalleri karşısında neler yapılması gerektiği konusunda net bir yol haritası çizmiş oldu.

Veri İhlali Nedir? Veri İhlali ne zaman olur?

Bildiğiniz üzere, Kanun veri ihlaline dair özel bir tanım öngörmemekte, ancak Kanun’un 12. maddesindeki düzenleme gereğince “işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hali”ni, bir veri ihlali olarak düzenlenmekte.

Diğer yandan Avrupa Genel Veri Koruma Tüzüğünde (“GDPR”), “kişisel veri ihlali; iletilen, saklanan veya sair şekilde işlenen kişisel verilerin kazara veya hukuka aykırı yollarla imha edilmesi, kaybı, değiştirilmesi, yetkisiz şekilde açıklanması veya bunlara erişime yol açan bir güvenlik ihlalidir” şeklinde tanımlanmakta.

Bu itibarla, Kanun’daki veri ihlali tanımı ile GDPR’daki veri ihlali tanımının oldukça farklı olduğunu bir kere daha hatırlayalım. [1]

Bu noktada, Kurul’a ya da veri sahiplerine bir bildirim yapılması gereğinin doğması için öncelikle, işlenen kişisel verilerin

  • kanuni olmayan yollarla ve
  • başkaları tarafından elde edilmesi

gerektiğini unutmamak gerekir. Burada özellikle üzerinde durulması gereken husus, verinin kanuni olmayan bir yolla bir başkası (yani 3. kişi) tarafından elde edilmesi gerektiğidir. Bunun haricindeki durumların Kanun’un 12. maddesi kapsamında bir bildirime tabi olmadığını varsaymak gerekir. Örneğin, elde edilme riskinin oluşması ihlal bildirimi için yeterli olmamalı, verinin elde edilmiş olması gerekmelidir.

(Küçük bir not: Kurul’un yayınlamış olduğu Kişisel Veri Bildirim Formu’da talep edilen bilgiler ışığında veri ihlali tanımına dair açıklamalarımızı aşağıda “Kişisel Veri İhlal Bildirim Formu nedir?” başlığı altında bulabilirsiniz).

Veri ihlal bildirimi kime yapılmalıdır ?

Veri ihlaline dair yukarıda belirtilen koşullar gerçekleştiğinde, Kanun gereği veri sorumlusu tarafından

  • hem Kurul’a
  • hem de veri sahiplerine

bilgi verilmesi gereklidir.

Kurul kararı ile veri işleyenlerin de veri sorumlularına “herhangi bir gecikmeye yer vermeksizin” bildirim yapmaları gerekliliğini hatırlatmıştır. Ancak, veri ihlal bildiriminin Kurul ve ilgili kişilere yapılması Kanun gereği veri sorumlusunun sorumluluğundadır.

Bu noktada, Kanun’un GDPR’dan en çok veri sahibine yapılacak bildirim açısından farklılaştığını söyleyebiliriz. Zira GDPR madde 34Kişisel veri ihlalinin gerçek kişilerin hakları ve özgürlükleri açısından yüksek bir riske sebebiyet vermesinin muhtemel olduğu hallerde, veri sorumlusu kişisel veri ihlalini gereksiz bir gecikmeye mahal vermeden veri sahibine iletir.” demektedir. Ayrıca, aşağıdaki koşulların herhangi birinin yerine getirilmesi durumunda, veri sahibine ilişkin bildirimin yapılması da gerekmez: 

a) veri sorumlusunun uygun teknik ve düzenlemeye ilişkin koruma tedbirleri uygulaması ve kişisel verileri bu verilere erişim yetkisi bulunmayan herkese okunamaz hale getiren şifreleme gibi tedbirler başta olmak üzere bu tedbirlerin kişisel veri ihlalinden etkilenen kişisel verilere uygulanmış olması;

b) veri sorumlusunun veri sahiplerinin hakları ve özgürlüklerine ilişkin yüksek riskin ortaya çıkmasının artık mümkün olmamasını sağlayan ek tedbirler alması;

c) bildirimin ölçüsüz bir çaba gerektirecek olması. Bu durumda, bunun yerine, veri sahiplerinin aynı etkililikle bilgilendirildiği kamuya yönelik bir bildirim veya benzeri bir tedbir uygulanır.

Veri ihlal bildirimi ne kadar sürede yapılmalıdır ?

2019/10 sayılı Karar uyarınca, artık, veri ihlal bildirimlerinin, veri sorumlusunun ihlali öğrendiği tarihten itibaren gecikmeksizin ve en geç 72 saat içinde Kurula bildirilmesi gereklidir. Haklı bir gerekçe ile 72 saat içinde bildirim yapılamaması halinde, yapılacak bildirimle birlikte gecikmenin nedenlerinin de Kurul’a açıklanması şarttır.

Kurul, Kanun’da yer alan “en kısa sürede” ifadesini GDPR ile uyumlu olarak en geç 72 saat olarak yorumlamış ve böylece konuya dair belirsizliği (ve muhtemel bir çelişkiyi) de ortadan kaldırmıştır.

Veri sorumlusu, ayrıca, söz konusu veri ihlalinden etkilenen kişilerin belirlenmesini müteakip ilgili kişilere de makul olan en kısa süre içerisinde, ilgili kişinin iletişim adresine ulaşılabiliyorsa doğrudan, ulaşılamıyorsa veri sorumlusunun kendi web sitesi üzerinden yayımlanması gibi uygun yöntemlerle bildirim yapmalıdır.

Burada websitesi ya da sair mecralar üzerinden veri ihlalinden etkilenen kişilerin bilgilendirilmesi yönteminde, ilgili kişilerin isimlerinin açıklanması gibi bir yol izlenmesi gerekmediğini düşünmekteyiz. Zira bu şekilde verileri ihlal edilmiş olma ihtimali olan ilgililerin kişisel verilerinin kamuya açık hale getirilmesi ayrıca bir veri ihlali sorunu / riski yaratabileceği (ya da riski arttırabileceği) gibi, bu şekilde bir ifşa da farklı bir süreçte kişisel verilerin işlenmesi anlamına gelecektir. Kanun açıkça veri ihlaline konu olmuş olabilecek kişilerin isim ve soyadlarını kamuya açık şekilde ifşa edilmesine dair bir düzenleme içermiyor olduğundan, verilerin işlenme şartları açısından ayrıca sorunlu bir durum da ortaya çıkabileceği düşünülmektedir.

Kişisel Veri İhlal Bildirim Formu nedir?

2019/10 sayılı Karar uyarınca, Kurul’a yapılacak bildirimlerde Kişisel Veri İhlali Bildirim Formu”unun kullanılması gereklidir. Formda yer alan bilgilerin aynı anda sağlanmasının mümkün olmadığı hallerde, bu bilgilerin gecikmeye mahal verilmeksizin aşamalı olarak Kurul’a gönderilmesi gerekir. Varsa formda yer verilen bilgileri destekleyici dokümanların da (inceleme raporu, ilgili kişilere bildirim yapıldığını tevsik edici belgeler vb.) forma eklenmelidir.

Form oldukça kapsamlı bir bildirimin yapılmasını öngörmektedir. Format olarak Avrupa Veri Koruma Otoritelerinin bildirim formlarında istenen bilgiler düzeyinde bilgiler istendiği dikkate alınırsa, Kurul’un veri ihlalleri açısından veri sorumlularından GDPR düzeyinde veri işleme faaliyetlerine hakimiyet beklediği anlaşılmaktadır.

Elbette bu düzeyde bilginin sağlanabilmesi için veri sorumlularının 3. kişi veri işleyenleri de dahil olmak üzere veri işleme faaliyetleri ve risklerine karşı gerekli uyum çalışmalarını yapmış olmaları ve süreçlerine üst düzeyde hakim olmaları gerekecektir.

Yeri gelmişken, ihlal bildirim formunda yer alan bazı hususlara dair düşüncelerimiz için ayrıca Kişisel Veri ihlal Bildirimi Formu’nun İçeriğine Dair Bazı Düşünceler yazımıza bakabilirsiniz.

Kurul’a yapılacak bildirim hangi yöntemle gönderilmeli?  

Kurul’a yapılacak bildirimler aşağıdaki şekilde yapılabilir:

  • Eğer yapılan bildirim ilk bildirimse doldurulan formun, [email protected] adresine “Kişisel veri ihlali bildirimi” konulu bir e-posta (KEP olması durumunda KEP kullanılarak) ekiyle gönderilmesi veya
  • Posta yolu ile veya elden gönderilmek istenmesi durumunda veri sorumlusunun şirket kaşesi ve imza yetkilisinin imzası ile onaylı olarak Kişisel Verileri Koruma Kurumu Nasuh Akar Mahallesi 1407. Sok. No:4, 06520 Balgat-Çankaya/Ankara adresine gönderilmesi

gereklidir.

Verileri İhlal Edilen Gerçek Kişilere yapılacak bildirimin içeriği ne olmalı?

Gerçek kişilere yapılacak bildirimin içeriği hakkında ilgili mevzuatta veya Kurul kararında bir hüküm bulunmamakla birlikte, GDPR’daki düzenlemeler dikkate alınırsa, bildirimde

  • açık ve sade bir dilde ihlalin mahiyetine yer verilmeli
  • ihlal ile ilgili veri sorumlusu bünyesinde irtibat kurulabilecek belirli bir kişinin isim ve iletişim bilgileri yer almalı
  • ihlalin olası sonuçları, ihlale yönelik alınan veya alınması düşünülen önlemler ile uygulanabiliyorsa İhlalin olası yan etkilerini azaltacak önlemler belirtilmelidir.

Verileri İhlal Edilen Gerçek Kişilere yapılacak bildirim hangi yöntemle yapılmalı?

İlgili kişinin iletişim adresine ulaşılabiliyorsa iletişim adresine doğrudan bildirimin alındığını ispat edebilecek bir yöntemle bildirmek (iadeli taahhütlü mektup, öncelikle kayıtlı elektronik posta adresi (KEP) yoksa e-mail gibi gönderinin ispatlanabileceği bilgi iletişim sistemleri yoluyla, noter vasıtasıyla)

Eğer ilgili gerçek kişilerin irtibat bilgilerine ulaşılamıyorsa, veri sorumlusunun kendi web sitesi üzerinden ihlalden etkilenen kişisel verilerin bilgilendirme yapılabilir.

Peki şimdi yapılması gerekenler ve alınması gereken tedbirler nelerdir?

  1. Veri ihlali müdahale planı hazırlanması zorunluluğu. Kurul’un Kararı ile birlikte, öncelikle (veri ihlali olmadan dahi) bir veri ihlali müdahale planı hazırlanması ve bu planın belirli aralıklarla gözden geçirilmesi gerekliliği doğdu. Kararda, müdahale planının, veri ihlali gerçekleşmesi halinde veri sorumlusu tarafından kendi nezdinde kimlere raporlama yapılacağı, Kanun kapsamında yapılacak bildirimler ile veri ihlalinin olası sonuçlarının değerlendirilmesi hususunda, kendi nezdindeki sorumluluğun kimde olduğunun belirlenmesi gibi konuları içermesi gerektiği belirtiliyor.

Burada dikkat edilmesi gereken husus, bu karar ile tüm veri sorumlularına (örneğin veri sorumluları siciline kayıt zorunluluğu olmayanlar da dahil) veri ihlali müdahale planının hazırlanması zorunluluğu getirilmiş olduğudur.

Veri ihlali acil eylem planı olarak da adlandırılan müdahale planın hazırlanması için öncelikle ihlal durumunda sürece dahil edilmesi gereken birimlerin/kişilerin kimler olduğunun belirlenmesi gereklidir. Bu kişiler genel olarak uyum komitelerinde görevli kişiler olabilir ancak hukuk, uyum, bilgi teknolojileri, insan kaynakları, finans gibi birimler dışında, duruma göre satış, pazarlama, halka ilişkiler birimlerinin de sürece hızlıca dahil edilmesi gerekecektir. Bu birimlerin bazılarının dahili organizasyon dışında yer alma durumunun da olabileceğini dikkate alarak planlama yapılması gerekir. Örneğin, pek çok şirkette şirket avukatı olmayabilir. Dışarıdan hukuk desteği alındığı hallerde, tercihan ihlal sürecinin yönetimi için hem veri sorumlusunun ve faaliyetlerini bilen hem de kişisel verilerin korunması mevzuatına hakim danışmanların seçilmesi faydalı olacaktır.

Müdahale planı hazırlanması belki de en zor çalışmalardan biridir. Veri sorumlusunun organizasyonel yapısı dikkate alınarak süreçlerin tasarlanmasını ve en çok da, görevlendirilen kişilerin zaman zaman tatbikatlar yaparak muhtemel bir veri ihlali halinde eylem planını uygulayabilmek için hazırlıklı olmalarını öneririz.

  1. Durum tespiti yapılması. Karar ile birlikte artık veri sorumlularının ihlal durumunu tespitinden itibaren en geç 72 saat içinde Kurul’a bildirim yapmaları gerekiyor. Bu süreyi iyi kullanmak, durumu doğru tespit etmek çok önemlidir. Bazen çok büyük bir veri ihlali gibi görünen bir durum, Kanun’da tanımlanmış olan veri ihlali kapsamına girmeyebilir. Ya da tam tersi, çok basit görünen bir ihlal durumu çok büyük sorunlara sebebiyet verebilir. İhlal bildirimi formu uyarınca veri sorumlusunun,
  • İhlalin gerçekleşme ve tespitinin tarihi/saatini
  • İhlalin kaynağını
  • Etkilenen kişisel veri kategorileri ve kişi gruplarını
  • Etkilenen tahmini kişi ve kayıt sayısını

bilmesi ve ayrıca raporlaması beklenmektedir.

Bunun için de veri sorumlusu durumu doğru tespit edebilecek altyapı ve donanıma sahip olmalıdır.

  1. İhlale dair etki analizi yapılması. Veri ihlali bildirim formunda veri sorumlularının ihlalin olası sonuçlarını değerlendirmeleri ve hem kendi organizasyonları açısından hem de ilgili kişiler açısından ihlalin potansiyel etkilerini derecelendirmeleri beklenmektedir. Bu da ancak bir risk ve etki analizi yapılmasıyla mümkün olabilecektir.
  1. İhlal durumunda belgelendirme ve kayıt tutulması yükümlülüğü. İhlale ilişkin bilgilerin, etkilerinin ve alınan önlemlerin kayıt altına alınması gereklidir. Belgeleme de, artık veri sorumluları açısından ihtiyari bir uygulama olmaktan çıkmış, bir yükümlülük haline gelmiştir. Nitekim, bu belgelerin daha sonra Kurul’un muhtemel incelemesine hazır halde bulundurulması gereklidir. Bu süreçte veri sorumluları, tüm gelişmeleri detaylı şekilde kayıt altına alan bir seyir defteri de tutabilirler. Tüm bu belgelerin, kronolojik bir sıra ile ve düzenli şekilde tutulması çok önemlidir.
  1. İhlale dair güncelleme/takip bildirimi yapılması. Veri sorumlularının yeni bulgular olması halinde Kurul’a ve ilgili gerçek kişilere yapılan bildirimlerini güncellemesi gereklidir.
  1. İyileşme zamanı ile ilgili tespit yapılması. Veri ihlali bildirim formunda veri sorumlularının ihlalin olası sonuçlarını değerlendirmeleri istenmektedir. Burada silinmiş/kaybolmuş verilerin geri kazandırılması/kurtarılması gibi bir iyileştirme çalışmasının söz konusu olduğu ve bunun süresine dair tahminin talep edildiği düşünülmektedir.
  2. Diğer kurumlara ve duruma göre sözleşmesel taraflara bildirimlerin yapılması. Veri sorumlusunun, tabi olduğu mevzuat çerçevesinde, Kurul dışında başka kurum, organizasyon ve resmi kuruluşlara da bildirim yapması gerekebileceğinden, bunların da zamanlı olarak ve ilgili mevzuata (ya da duruma göre sözleşmesel yükümlülüklere) uygun olarak gerçekleştirilmesi gerekir.
  1. Yabancı Veri Otoritelerine bildirim yapılması. Aynı şekilde yabancı veri otoritelerine de bildirim yapılması gereğinin doğup doğmadığının veri sorumlusunca tespit edilmesi gereklidir.
  1. Kişisel verilerin korunması için gerekli önlemlerin alınmış olup olmadığının gözden geçirilmesi. Veri ihlali bildirim formunda veri sorumlularının, ihlal ile ilgili olan çalışanlarının son bir yıl içinde kişisel veri koruma eğitimi alıp almadıklarına dair bilgi vermeleri gerekmektedir. Aynı şekilde ihlalin gerçeklemesinden önce veri sorumlusu tarafından alınmış teknik ve idari tedbirler de formda açıklanmalıdır.

İhlalden önce, veri sorumlusunun teknik ve idari tedbirler anlamında gerekli çalışmaları yapmış olması halinde bunları güncellemesi, yapmamış olması halinde ise, ivedilikle bu çalışmaları tamamlaması gereklidir.

  1. Veri işleyen – veri sorumlusu ilişkisinin düzenlenmesi. veri sorumlusunun, yukarıda doğrudan almakla sorumlu kılındığı tüm aksiyonları, 3. kişi veri işleyenleri tarafından işlenen ve veri sorumlusu olduğu verilerin ihlal edilmesi halinde de yerine getirmek zorunda olacağı da hiçbir zaman unutulmamalıdır.

Bu nedenle de Kanun uyum çalışmaları kapsamında veri sorumlusuyla veri işleyenin aralarındaki ilişkinin düzenlenmesi çok daha önemli bir hale gelmiştir.

Kurul kararı ile veri işleyenlerin de veri sorumlularına “herhangi bir gecikmeye yer vermeksizin” bildirim yapmaları gerekliliğini hatırlatmıştır. Veri işleyenlerin pek çok kez alt yapı sağlayıcısı/hizmet veren durumunda olduğu düşünülürse, muhtemel bir ihlalin kaynağının onlarda olma ihtimali yüksektir.

Örneğin teknik ve idari tedbirler bakımından dahi (formda açıkça belirtilmese de), salt veri sorumlusunun kendi organizasyonu değil aynı zamanda veri işleyenlerinin organizasyonu açısından da teknik ve idari tedbirlerin alınmış olup olmadığını gözden geçirmesi gereklidir. GDPR uygulamasında bu konu çok detaylı olarak düzenlenmektedir. Veri işleyenle çalışmaya başlamadan önce veri sorumlusunun veri işleyenin kendi bünyesinde gerekli teknik ve idari tedbirleri almış olduğunu denetlemesi ve bunu belgelemesi gerekmektedir.

Her ne kadar, Kanun GDPR’dan farklı olarak veri işleyen-veri sorumlusu ilişkisinin yazılı bir sözleşmeye dayanmasını zorunlu kılmasa da, gelinen noktada, veri sorumlularının veri işleyenleriyle olan ilişkilerinde veri güvenliğine dair tedbirlerin alınmış olup olmadığını araştırması ve hatta kendisinin beklenti, talep ve varsa talimatlarını da veri işleyene iletmiş olması gerektiğini düşünüyoruz.

Zira, Kanun’un 12. maddesi uyarınca , “veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, birinci fıkrada belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur.”

Aynı şekilde veri işleyenlerin de, veri sorumlularıyla çalışmaya başlamadan önce veri güvenliği başta olmak üzere veri işleme faaliyetleri açısından veri sorumlusuna sunulan hizmete dair alınan teknik ve idari tedbirleri veri sorumlularıyla mutabık kalarak düzenlemeleri ve veri sorumlularının ilave uyulmasını istediği talimatlarını istemesi ve bunları kayıt altına alması doğru olacaktır.

İdari yaptırımlar nelerdir?

En son, veri ihlalleri ile ilgili olarak Kanun uyarınca,

  • Kanun’un 12. maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar
  • Kanun’un 15. maddesi uyarınca Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar

idari para cezası verilebileceğini unutmamak gerekir.

Diğer yandan, kişilik hakları ihlal edilenlerin, genel hükümlere göre tazminat hakkı da saklıdır.

Son olarak; bir kere daha, veri güvenliğini düzenleyen Kanun’un 12. maddesinin, Kurul kararları çerçevesinde çok önemli bir düzenleme olarak karşımıza çıktığını altını çizerek hatırlatalım. 2019 yılında teknik ve idari tedbirlerin alınması tüm veri sorumluları için bir öncelik olmalı. Konuya dair hafızanızı tazelemek isterseniz, teknik ve idari tedbirlerle ilgili, 28 Kasım 2018 tarihli sunumumuzun video kayıtlarına Bölüm 1: https://youtu.be/zP6y39ooYGY ve Bölüm 2: https://youtu.be/-i7p1tn0ndk linklerinden ulaşabilirsiniz.

 

[1] GDPR’daki düzenlemeleri hatırlamak Kurul’un bu kararını anlamak için önemli, zira Kurul bahsi geçen kararının aynı zamanda “Avrupa Genel Veri Koruma Tüzüğünde de veri ihlal bildirimlerine ilişkin olarak Direktifin aksine detaylı düzenlemelere yer verildiği dikkate alındığında Kurul tarafından bu konuda alınacak kararlar arasında herhangi bir uyumsuzluğa mahal verilmemesi ve uygulamada bir standartlaşma sağlanabilmesini temin” amacını da taşıdığını açıkladı.