Kişisel Verilerin Korunması Alanındaki Güncel Gelişmeler


 2018 Türkiye için kişisel veriler alanında pek çok gelişmeyi yaşattı ve önceki seneye göre çok daha umut verici ve uygulamanın yavaş yavaş yerleştiğini hissettiğimiz ise en azından tartışma ortamlarının çoğaldığı ve gelişme kaydedilen bir yıl oldu. Dünya çapında, özellikle AB bünyesinde, kişisel verilerin korunması en çok konuşulan konuların başında geldi. Bazı veri sızıntıları ve ihlalleri çok konuşuldu, özellikle Facebook’taki veri ihlali dünya çapında çok ses getirmiş olsa da (halihazırda veri koruma otoritelerinin değerlendirmeleri sürüyor), esasen Türkiye’de bu veri ihlali çok ilgi çekmedi denilebilir.

Türkiye’de 2018 yılında kişisel verilerin korunması alanında pek çok gelişme yaşandı ve ekonomik yavaşlamaya rağmen 2018 yılının kişisel verilerin korunması alanında oldukça verimli ve aktif geçtiğini ve umut verici olduğunu söylemek mümkün. Veri Koruma Kurumu bu alanın gelişmesinde aktif rol aldı, STK’lar, uygulamacılar ve akademisyenlerle bir araya gelerek eğitimler, seminer ve çalıştaylar düzenledi ve uygulamaya yön verici aktivitelerde bulunarak sağlıklı çalışma ve tartışma ortamı yaratıldı.

Veri Koruma Kurulu tarafından verilen kişisel verilerin korunması ihlallerine ilişkin daha fazla karar örneği görüldü (toplamda 4 ilke kararı ve 11 ihlal kararı yayınlandı), bu kararlar uygulamaya ışık tutar nitelikte oldu ve ancak daha detaylı şekilde Kurul tarafından ilan edilirse daha iyi anlaşılacağı yönündeki geri bildirimleri Kurum’a iletildi. Kurul aldıkları ihlal bildirimi sayısının her geçen gün arttığına işaret etti, bu demek oluyor ki, 2019 yılında veri ihlallerine ilişkin kararları görmeye devam edeceğiz, ve verilen idari para cezalarına ilişkin örneklerimiz de çoğalacak.

Kişisel Verilerin Korunması Kanunu’nun 07 Nisan 2018 tarihi itibari ile uyumun sağlanması için veri sorumlularına verilen 2 yıllık geçiş sürecinin de tamamlanması ile, 2018 yılı uygulamacılar için yoğun bir yıl oldu.

Türkiye’de kişisel verilerin korunması alanında en çok tartışılan konuların başında değişmeyen iki konu vardı (i) kişisel verilerin yurt dışına aktarımı (güvenli ülke listesi yokluğunda aktarım hususu prosedürlere bağlı ve açık rızanın alınmasına genel olarak veri sorumlularını sevk ediyor) ve (ii) sağlık verilerinin işlenmesi (ki neredeyse bir istisnai durum dışında genel olarak açık rızanın alınmasını gerektiren bir veri işleme türüne girdiği için pratikte yaşanan sorunlar devam etmektedir). Bu iki konu hakkındaki tartışmalar devam etmekte ancak Kurul’un bu hususlarda çalışmalar yaptığı, revizyona ihtiyaç duyulduğu noktasındaki farkındalığı biliniyor ve özellikle güvenli ülke listesi çalışmalarının sürdüğü ancak karşılıklılık meseleleri ve yeterli önlemlerin değerlendirilmesi konularında Kurul’un çok emek ve zamanını alan, aynı zamanda Adalet Bakanlığı ile de istişare edilmesi gereken, dolayısıyla farklı unsurları da olan bir husus olduğunun altı çizildi. Bunun yanında yurt dışına veri aktarımının açık rıza alınmaksızın gerçekleştirilmesinin önünü açan taahhütname örnekleri Kurul tarafından hazırlanarak yayınlandı.

Sene içerisinde, bünyelerine gönüllü olarak kişisel verileri koruma sorumluları katan şirketler oldu bu da demektir ki büyük ve kurumsal şirketler nezdinde kişisel verilerin korunması alanındaki farkındalık arttı ve ihtiyaçlar çoğaldı.

Veri Koruma Kurulu nezdinde, Ticketmaster UK (Biletix Türkiye) ve çok yakın zamanda Marriott International, Inc. veri ihlali hususunda bildirimde bulundu ve bildirimler kamuyla paylaşıldı.

Yanısıra, Veri Koruma Sicili’ne kayıt yükümlülüğü altında olanlar için kayıtlar genel olarak 1 Ekim 2018 tarihi itibari ile başladı ve son tarih 30 Eylül 2019. Veri Koruma Siciline kayıt yükümlülüğü, Türkiye’de kurulu olmayıp, Türkiye’de kişisel veri işleyen veri sorumlularını da kapsadığını ve yükümlülüğün yerine getirilmesinin son tarihinin 30 Eylül 2019 olarak belirlendiğini de yabancı veri sorumluları için hatırlatalım.

2019 yılında Veri Koruma Kurumu’nun yine paydaşlar ile bir araya gelerek kişisel verilerin korunması hukukunun sağlıklı bir şekilde gelişmesinde aktif katkı sağlayarak uygulamaya destek olacağını öngörüyoruz. Kurulun kararları anonimleştirmeden yayınlamasının daha faydalı olacağı ve uygulamaya daha iyi ışık tutacağı konusundaki geri bildirimler akabinde kararların daha detaylı yayınlanacağını düşünüyoruz ki bu şekilde kararların daha net anlaşılması sağlanabilsin.

Geliştirilmesi ve revize edilmesi gereken konular hakkında somut adımların 2019 yılında atılmasını umuyoruz. Son olarak, kamunun özel sektör kadar kişisel verilerin korunması alanında hassas davranması gerektiği, bunun için öncelikle yeteri kadar ilgi ve bilgi sahibi olunması gerektiğinin altını çizmek gerekir. Kaldı ki kamu ve özel sektör arasında sorumluluk açısından hiçbir fark bulunmamakta. Diğer yandan, mahkemelerin de kişisel verilerin korunması alanındaki son gelişmeleri yakından takip etmeleri ve bu konuda bilgili olmaları çok önemli zira cezai sorumluluğu da getiren kişisel verilerin korunması hakkındaki düzenlemeler kapsamında savcılar ve ceza mahkemeleri nezdinde ele alınması gerekecek ve emsal oluşturacak kararlar olacaktır. Bu alanda yine bilgi ve ilgi eksikliğinin olduğunu gözlemlenmekte. Umuyoruz bu açıklar mevzuat revizyonları ve bu gibi yeni alanlarda mahkemelerin de farkındalıklarının artırılması ile önümüzdeki yıllarda hızlıca kapanır.

First published by Privacy Tracker, 07.01.2019