Avukat Ali Osman Özdilek’le asansör sektöründeki firmaları da yakından ilgilendiren Kişisel Verileri Koruma Kanunu ile ilgili olarak yayın yönetmenimiz Turhan Korkmaz bir söyleşi gerçekleştirdi.
Turhan Korkmaz: Ali Osman bey öncelikle Kişisel Verileri Koruma Kanunu nedir? Ne anlama geliyor? Hangi amaçla mevzuatımıza kazandırılmıştır? Buradan başlayalım mı?
Ali Osman Özdilek: Kişisel verileri korumayla ilgili yasalar özellikle 70’li yıllarda Almanya’nın Hessen eyaletinde ilk kez ortaya çıkmış. Bundan önce dünyada böyle bir fikir yoktu. Sebebi ise 70’li yıllarda artık veri işlemede bilgisayarlar kullanılmaya başlanıyor. İnsan eliyle ya da diğer makinalarla yapılan veri işlemelerin çok ötesine geçen bir durum ortaya çıkıyor. Veri işlemenin hızı ve hacmi artıyor. Fakat 90’lı yılların ortalarına kadar başka bir regülasyona konu olmuyor bu durum. Bu tarihten sonra PC’ler artık evlere kadar girdiği için evlerde ve işyerlerinde yoğun bir kullanım olduğu için teknolojinin bu gelişimi insanlara ait bazı verilerin işlenmesi ve bunların daha sonra pazarlamaya döndürülmesi, paraya döndürülmesi yönünde ilk kıvılcımları ortaya çıkarıyor. Ve görülüyor ki insan verisi para etmeye başlamış. Ve bu ekonomik gücü kullanmak istiyorlar. Fakat buna karşılık deniyor ki, “Bir insanın kendi verisi adı-soyadı, adresi, kimlik no’su vs. gibi unsarlar anayasal güvence altında olan haklardır. Dolayısıyla “biz bunların korunması ile ilgili bir mekanizma oluşturalım” diyorlar. Özellikle kanun demiyorum dikkat ederseniz, bir mekanizmadan söz ediyorum. Çünkü klasik anlamda kanun dediğiniz zaman hukuk formasyonu şöyledir: İki kişi arasında bir uyuşmazlık çıktığı takdirde hukuk devreye girer, uyuşmazlığı çözdürür ve yaptırım verir. Bu klasik hukuktur. Fakat bu tür regülasyon denilen hususlar bir kere çok dinamiktir. Bir idari kurum vardır ve o kurum hızlı bir şekilde pazarı yani ilgili alanı düzenler. Meclisten karar çıkmasına gerek kalmadan hızlı bir düzenleme yapar ve yaptığı düzenlemelerin çoğu da arka planda teknik açılımlara sahiptir. O nedenle hukukun normal mantığından ve formasyonundan farklı bir yaklaşım gerektirir. Bu yüzden dünya üzerinde özellikle 90’lı yıllarda sonra özellikle ‘Compliance’ denilen bir kavram ortaya çıkmıştır. Biz Türk hukukuna bunu ‘Uyum’ diye çeviriyoruz. Bu konuyla ilgili bir örnek vermek isterim. Mesela 3G işi Türkiye’ye ilk geldiğinde Bakanlar Kurulu bir karar yayınladı bununla ilgili bir imtiyaz vermek için. Dedi ki; “Bu kararı uygulayan bana da gerekli parayı ödeyen adama ben 3G imtiyazı vereceğim.”
Orada biz bir uyum çalışması yaptık operatörlerden biri adına. Ne yaptık? İlgili regülasyon topu topu 3 sayfa bir şeydi. Ama bizim çalışmamız 1-1,5 yılı buldu neredeyse. Örneğin diyor ki; “Sen 3G işi ile ilgili Ar-Ge yapacaksın. Bu Ar-Ge’yi yaparken de Türk mühendis kullanacaksın.” Bunu uyum programına döktüğünüz zaman uyum sağlamanız gerekiyor ya… Herhangi bir mühendisi çalıştıramazsınız. Herhangi bir proje de yapamazsınız. Proje Ar-Ge olmalı. Çalıştıracağınız mühendis de Türk olmalı. Herşeyden önce mühendis olmalı. Elimizdeki kaynaklara baktığımızda elimizde mühendis var mı? Var. Peki ‘mühendis’ ne demek? Türk hukukunda karşılığı yok. Mühendis tanımının Türk hukukunda ne olduğunu bulmaya çalış, elindeki insan kaynağının buna uyup-uymadığını bulmaya çalış. Bunlardan hangileri Türk, onu tespit etmeye çalış. Eğer kişinin çifte vatandaşlığı varsa Türk müdür? değil midir? Bunun gibi bir sürü işle uğraştık. İşte bu bir uyum sürecidir. Yani arka planda regülasyonun söylediğini açmak zorundasınız. O açtığınız bölümlerde de sadece hukuk değil, teknoloji, idari konular ve hayatın diğer gerçekleri konuşuyor. Uyum süreci de Türk hukukuna özellikle bu kişisel verilerle birlikte hızlı bir şekilde giriş yapmış oldu. Kişisel verilerle ilgiili düzenlemelerin ortaya çıkmasının en büyük sebebi teknolojinin gelişimidir. 2000’li yılların ortalarına geldiğimizde artık geniş bantlı internetin yayılması ve internet teknolojisinin çok gelişmesi yani Web 2.0 dediğimiz dönemde teknolojinin çok hızlı ilerlemesi veri işleme hızını inanılmaz boyutlara çıkardı. İnsanlık tarihi boyunca üretilmemiş veriyi belki şu an dakikalar içinde üretiyoruz. Bu nedenle insanların daha fazla korunmaya ihtiyacı ortaya çıktı. Nitekim ilk kez Avrupa’da yayınlanan kişisel verilerin korunması direktifi, 95/46 EC sayılı direktifinin ne kadar doğru olduğunu bugün görebiliyoruz. Bu direktif konumuzla ilgili yayınlanan ilk düzenli direktiftir. Fakat geçen yılın mayıs ayından beri Avrupa Birliği bu veri koruma sistemini terk etti. Onun yerine çok daha gelişmiş olan GDPR’ı devreye aldı. Yani genel veri koruma regülasyonu (General Data Protection Regulation). Geçen yıl devreye girdi ve tek sebebi de teknolojinin aşırı gelişimidir.
Turhan Korkmaz: Kişisel Verileri Koruma Kurulu’nun ceza verme yetkisi olduğunu biliyoruz. Türkiye’de Kişisel Verileri Koruma Kanunu ‘(KVKK)’na tabi yaklaşık kaç şirket bulunmaktadır.
Ali Osman Özdilek: Az önce söylediğim gibi aslında tüm şirketler, dernekler ve kurumlar kanun kapsamı içerisinde. 2016 Nisan ayından beri her türlü yükümlülüğü yerine getirmiş olmak zorundalar. Yıl sonuna kadar uzatılan şey ise kanun dışına çıkmayı gerektirmeden devletin açtığı VERBİS denilen bir sistem var. VERBİS’e kişisel veri işleme envanteri girme süresi 31 aralık 2019 tarihine kadar uzatıldı. Ama bu şu demek değil. VERBİS’e tabi olan ya da olmayan bir firma kanunla bir ilişkisi var ya da yok diye bir durum sözkonusu değil. Herkes kanuna tabidir. Ama yıllık mali bilançonuz 25 Milyon TL ve üzeri ise, çalışan sayınız 50 kişi ve üzeri ise VERBİS’e girmeye zorunlusunuz. Bu şartları sağlamıyorsanız isi size kalmış. İster giriş yaparsınız ister yapmazsınız. Ama sorumluluğunuz ortadan kalkmıyor. Kanunla ilgili bütün yükümlülükler aynen devam ediyor. Bu noktada az önce saydığım kriterlere yaklaşık 55 bin firma tabidir. Bunların da Eylül ayına kadar sadece 2000’i VERBİS’e girebilmiş. Bu sebeple TOBB Başkanının Kişisel Verileri Koruma Kurul Başkanı ile yaptığı görüşme neticesinde bu süreç yıla sonuna kadar uzatıldı. Yılsonuna kadar bu firmalar VERBİS’e giriş yapmazlarsa 15 Bin TL’den başlayıp, 1 Milyon 200 Bin TL’ye varan cezalarla karşı karşıya kalacaklardır. Ama farklı farklı ihlallerden dolayı ceza miktarları toplanıp, daha yüksek rakamlarda ceza kesilmesi de mümkündür. Mesela Facebook’a verilen 1 Milyon 600 Bin TL ceza gibi. Bir de Türk hukuk sistemine ilk kez giren bir müessese var. O da kendini ihbar sürecidir. Yani bir firma veri çaldırdığı kişisel veriler bir üçüncü kişinin eline geçtiği taktirde kendisini kuruma ihbar etme seçeneği var. Kurum da kendi içinde yaptığı değerlendirmeden sonra bunu kamuoyuna duyurup duyurmamaya karar verebilir. Nitekim bir sürü firma kamuoyuna duyuruldu. Kendinizi ihbar ederseniz alınacak cezaların hafifletilmesi gibi bir durum da sözkonusu olabilir. Yani daha alt sınırdan ceza kesebilir. Ancak idari para cezası ne olursa olsun kamuoyuna ifşa olmak da bir cezadır. Bir diğer konu ise bunu Avrupa Birliği’nden aldık ve Türkçe’ye çevirdik. Böyle bir yasa çıktı. Avrupa Birliği kaynak kanunda bir hapis cezası yok. Sadece para cezası var. Fakat bizde ise Türk Ceza Kanunu’na atıfla birlikte aynı zamanda hapis cezası da alma durumu söz konusu. Mesela bir iş başvurusu var. Özgeçmişi elinizde tutuyorsunuz. Bu kişi işe alınmadığı halde özgeçmişinin o firmada tutulduğuna dair koruma kuruluna şikayette bulunursa idari para cezası zaten alınır ama veriyi silmeme suçundan dolayı 1 yıldan 3 yıla katdar hapis cezası ile de karşı karşıya kalınabilir. Veri her şekilde imha edilmelidir. Çünkü kanun der ki; “Amaç unsuru ortadan kalktıktan sonra veri elde tutulamaz.” Ancak işten çıkarılmış bir çalışanın, sözleşmesi feshedilmiş bir çalışanın verisi meşru menfaat kapsamında daha sonra açılabilecek bir dava sözkonusu ise ki kanunun 5. maddesidir bu. Bu gibi durumlarda veriler daha uzun süreler tutulabilir. Biz de uygulamada kişiyi işten çıkardık. İşleme ile ilgili amaç unsuru ortadan kalktı. Ama kişinin bana açacağı iş kanunu ile ilgili bir dava açması ihtimaline karşı 10 yıllık bir saklama zarureti olabiliyor.
Turhan Korkmaz: Asansör sektörüne gelirsek, bahsettiğiniz kriterlere sahip yani bünyesinde 50’yi aşkın çalışan bulunan ya da yıllık bilançosu 25 Milyon TL’yi aşan firmalarımızın olduğunu biliyoruz. Bu aşamada asansör üretici ya da montaj firmalarımıza önerileriniz nelerdir?
Ali Osman Özdilek: Bir kere bu kanundan kaçış yok. Kurul, 31 Aralık 2019’dan sonra VERBİS kaydını sorgulayacak. Bu yüzden bizim firmalarımızın bir an evvel kurula başcuru yapmaları lazım. Yani VERBİs sistemine erişebilmek için kullanıcı adı ve şifre başvurusu. Yığılma olmaya başladı. Bu başvuruları bir an önce asansör firmalarımız yapmalılar. Kullanıcı adı ve şifreniz geldiğinde ise diğer işleri yapmaya zamanınız kalmayabilir. Başvuru için ise pratiğe ilişkin bir tavsiyemiz de var. Başvuruyu ıslak imzalı bir evrakla yapmasınlar. Çünkü bu başvuruların kurulca cevaplandırılması ve gelme süresi çok uzun. Onun yerine KEP adresinizden sistemde var bir örneği. PDF bir dökümandır bu. Online olarak KEP’den gelen başvuruları kurul çok daha hızlı cevaplıyor şu an. Belirttiğiniz mail adresinize kullanıcı adı ve şifre geldikten sonra şirketin kanunen kurulun irtibat kuracağı bir kişiyi görevlendirmeleri gerekiyor. Bu irtibat kişisini VERBİS’e tanımlaması gerekiyor. Bu irtibatı kuracak kişi ise kendi e-devlet şifresi üzerinden VERBİS’e giriş yapacak. Ve artık VERBİS’in ara yüzlerine ulaşarak kişisel veri envanterini girecek. Ancak bu envanteri girebilmek için de şirketin içerisinde hangi verilerin kişisel veri olduğunun tespit edilebilmesi, hangi verinin hangi iş süresi içinde hangi amaçla işlendiğinin de bilinmesi lazım. Bu süre de en az 1-1,5 aylık bir süre anlamına geliyor. İşte bu süreci yönetebilmek de firmalar için çok zor. Bu noktada bir danışmanlık hizmetinin de alınması gerekiyor ki Jurcom teknoloji olarak bu hizmeti verebildiğimizi söylemek isterim. Tıpkı bir ISO belgesi alınırken bir danışmanlık firması ile anlaşılması gibi bir durum. Ancak aradaki fark ISO belgesi gönüllü, bu iş ise zorunludur. Dolayısıyla kişisel veri işleme envanteri denilen veri sicil yönetmeliğinde de tanımlanmış olan envanterin uygun bir şekilde çıkarılması lazım. Çıkarıldıktan sonra da uygun bir şekilde çalışılıp VERBİS işleme mantığına uygun olarak VERBİS’e girilmesi lazım. Bu 31 Aralık’a kadar yapılması lazım. Yapılmazsa belki de 500 Bin TLden başlayan cezalarla firmalarımızın karşı karşıya kalması söz konusu. İkinci olarak da kanun bazı dökümanların bir an önce yayınlanmasını istiyor. Şirketlerin zorunlu olarak yayınlaması gereken dökümanlar var. Öncelikle bir aydınlatma metni yayınlanması lazım. İlgili kuruluş ben çalışanımın şu verisini toplarım. Bunu şu sebeple işlerim. Örneğin maaş bordrosunu belirlemek için işlerim. Bu aydınlatma dökümanı işte bu bilgileri açık olarak anlatmakla sorumlu olunan dökümandır. Kişileri tamamen şeffaf bir şekilde bilgilendirmelisiniz. Yani bunu dış dünyaya yayınlamak zorundasınız. İçerideki insanlara da yayınlayacaksınız. Herkes haberdar olacak ve bu aydınlatma metninin ulaşılabilir bir yerde olması gerek. Hatta ziyaretçiler için de bir aydınlatma metni olabiliyor. Yani birden fazla bir aydınlatma metni de olabilir. Bunun haricinde veri saklama ve imha politikası yayınlamanız gerekiyor. İş yerinde o veri nasıl saklanacak ve ne zaman ne şekilde imha edilecek. Bir de kişinin rızası olmadan verinin açığa çıkması durumu var. Kişi bedeni ya da manevi bir zarara uğrarsa veya ayrımcılığa tabi tutulacağı bilgiler olma durumu var. Örneğin AİDS hastası olduğunuz ortaya çıktı ve işyerindekiler “Biz AİDS hastası biriyle aynı ortamda çalışmayız” dediler. Yani kişisel verisi ortaya çıkıyor ve ayrımcılığa tabi tutulmuş oluyor. Ya da Şii’lerin olduğu bir yer ya da ülkede çalışıyorsunuz ve Sünni olduğunuz ortaya çıkıyor. İş ortamınız kalmayabileceği gibi yaşamınız bile tehlikeye girmiş oluyor. Dolayısıyla kanun bunları ayrı bir kategoride düzenledi. 6. maddede bu konu yer alıyor. Sağlığa, cinsel yaşama, genetik ve biyolojik veriler, din, dil, ırk, mezhep, sendikalılık, dernek ve vakıf üyeliği bilgileri Türkiye özelinde kılık kıyafet gibi konular kişinin özel verileridir hükmü yer almaktadır. Açık rıza olmadan bu veriler işlenemiyor. Dolayısıyla özel nitelikli kişisel verilerin korunmasına dair alınacak yeterli önlemler için de bir politika yayınlanması gerekiyor. Özetlersek 31 Aralık’a kadar sadece şekli kısmı halledebilmek adına asansör firmalarının VERBİS sistemine giriş yapmaları ve kişisel verilere ilişkin zorunlu olan dökümanları yayınlamaları, çalışanlarıyla gizlilik sözleşmeleri yapmaları, varsa disiplin yönetmeliğini revize edeceksiniz ve çalıştığınız tüm firmalarla kişisel verilerin korunmasına dair ayrı bir sözleşme yapacaksınız. Bu başlangıçtır. Daha uygulama safhasına geçilmeden yapılacaklar listesidir.
Turhan Korkmaz: Ali Osman bey böylesine önemli bir konudaki bilgi ve birikiminizi okurlarımızla paylaştığınız için size çok teşekkür ederim.
Ali Osman Özdilek: Ben de size ve bu konuda aracılık eden gazetenize teşekkürlerimi iletmek isterim.
ALİ OSMAN ÖZDİLEK: İstanbul Barosu’na kayıtlı 20 yıllık avukat. Özyeğin Üniversitesi Hukuk Fakültesi öğretim üyesi. Yayınlanmış 9 kitabı bulunmakta. Hakemli ve hakemsiz dergilerde 200’ün üzerinde yayınlanmış makalesi var. İlk-orta-liseyi İstanbul’da bitiren Ali Osman Özdilek, Teknik Lise Bilgisayar ve robotik programlama bölümü mezunudur. Bir proje kapsamında açılan sınavla 36 öğrenciden biri olarak Japon lisesinden mezun olan Özdilek, okulda aldığı formasyonla hukuk fakültesinde uzmanlık alanı olan bilişim hukukuna temel oluşturmuş. İngilizce, Fransızca, İtalyanca ve Almanca bilen Ali Osman Özdilek üç dilde yayınlanmış sayısız makalesi ve ingilizce yayınlanmış iki kitabı da bulunmaktadır. İsviçre Freiburg Üniversitesi Hukuk Fakültesi Uluslararası Sözleşmeler ve Tahkim Yüksek Lisası’ndan onur derecesiyle mezun olan Özdilek, Özyeğin Üniversitesi’nde doktora çalışmalarına da devam etmektedir. 15 yıldır asansör sektörüne de hukuksal anlamda hizmet veren Özdilek Avrupa Asansörcüler Birliği (ELA)’nın Siber Güvenlik Komitesi’ne üye seçilmiştir. Aynı zamanda Özdilek Hukuk Bürosu’nun ve Hollanda merkezli Acadia Holding B.V. şirketinin (Jurcom) ortağı ve Türkiye’de de Jurcom Teknoloji A.Ş.’nin de sahibi olan Özdilek evli ve
5 çocuk babasıdır.