'Kişisel veriniz mahreminizdir'

Kişisel veriler, başkaları tarafından öğrenilmesi halinde kişinin mağdur olmasına ya da ayrımcılığa maruz kalmasına neden olabilir. Bu nedenle verileri paylaşırken dikkatli olmak gerekiyor. Bu konuda hem kişilere, hem kurumlara düşen yükümlülükler var

Türkiye’de artık ad, soyad, adres yada TC kimlik bilgisi ile sınırlı olmayan, içine araç plakamızdan, sağlık verilerimize, siyasi parti, dernek üyeliğinden, cinsel hayata yönelik kişisel verilerimizin korunmasından sorumlu bir kurum var. Kişisel Verileri Koruma Kurumu Başkanı Faruk Bilir, “Kişisel veriniz mahreminizdir” diyerek hem kişilere, hem de sektör ve kurumlara düşen yükümlülükleri Milliyet’e anlattı. Bilir, Türkiye’de kişisel verilerle ilgili alışkanlıkların değişmesi gerektiğini söyledi.

Kanun korumasında

- Kişisel veri kavramının içine neler giriyor?

Bize ait olan her şey. Kanunda kişisel veri, kimliği belirli veya belirlenebilir bir gerçek kişiye ilişkin her türlü bilgi olarak tanımlanmış. Yani bir gerçek kişiyi doğrudan ya da dolaylı tanımlayan, diğer insanlardan ayırt eden her şey. Adımız, soyadımız, TC kimlik numaramız, araç plakamız, adresimiz, kan grubumuz, biyometrik- genetik verilerimiz, ırkımız, sağlık bilgilerimiz, cinsel hayata ilişkin bilgilerimiz gibi. Kişisel verilerden bazılarına Kanun özel nitelikli kişisel veriler diyor. Kanun bu verileri daha sıkı koruma altına almış. Çünkü bu veriler, başkaları tarafından öğrenilmesi halinde kişinin mağdur olmasına ya da ayrımcılığa maruz kalmasına neden olabilecek nitelikte. Hayatın doğal akışına uygun olarak verilerin işlenmesi, bu yapılırken de belirli kurallara ve ilkelere uyulması gerekiyor.

- Ne gibi kurallar ve ilkelerden söz ediyoruz?

Bu Kurum, uzun süre gelişi güzel işlenen verilerin, dünyada da uygulanan standartlar çerçevesinde işlenmesini, korunmasını sağlamak için kuruldu. Kanunumuz, 3 temel amacı benimsiyor. Başta özel hayatın gizliliği olmak üzere temel hak ve hürriyetleri korumak. Veri işleyen gerçek ve tüzel kişilerin uyacakları usul ve esasları belirlemek. Buna sektörleri disiplin altına almak da diyebiliriz. Üçüncüsü de; kişilerin mahremiyetini ve verilerin güvenliğini sağlamak.

İsteme dayanağı olmalı

- Kişisel verilerin korunmasından ne anlaşılmalı?

İki şey anlamalıyız. Kişinin bizatihi kendisinin korunması ve verilerin güvenliğinin sağlanması. Kanunun veri işleme faaliyetinde bulunanlara belirli kurallara ve ilkelere uygun hareket etme zorunluluğu getiriyor. Böylece kişisel verilerin elde edilmesinin ve işlenmesinin disiplin altına alınması amaçlanıyor.

Kanunun, veri işleyen tüzel ya da gerçek, yurt içi ya da yurt dışında yerleşik kişilerden 4 temel beklentisi olduğunu söyleyebiliriz. Birincisi; kişisel veri işleyecekseniz, bunun bir dayanağı olmalı. Kişisel verilerin işlenmesi ancak belirli şartlar altında mümkün. Kanunlarda açıkça öngörülmeli, hukuki bir yükümlülüğün yerine getirilmesi için zorunlu olmalı yada bir sözleşme gereği gerçekleştirilmeli. Kanunda 8 başlıkta sayılıyor. Eğer bunlardan hiçbiri yok ise Kanun ‘veri işlenmemeli’ diyor.

İkincisi; veri işleme uluslararası düzenlemelerde de kabul edilen temel ilkelere uygun gerçekleştirilmeli. Kişinin zararına olacak şekilde verilerin işlenmemesi, veri işlemenin kötüye kullanılmaması ya da kişisel verisi işlenen kişilerin makul beklentisinin ötesine geçmemesi gerekir. Belirli bir amaç için ya da ölçülü ve sınırlı bir şekilde veri işlenmesi gerekir. Örneğin, bir alışveriş mağazasının benim kan grubuma ihtiyacı yok. Bunu istediği zaman, kanundaki temel ilkelere aykırı davranmış oluyor.

Üçüncüsü; verisi işlenen kişi bilgilendirilmelidir. Veri sizden niçin alınıyor, ne kadar saklanacak, yurtiçi-yurtdışına aktaracak mı, amacına uygun kullanacak mı? “Bu veriyi şu amaçlarla alıyoruz” denilmeli. Amaç ortadan kalktıktan sonra da bunların silineceğinin, yok edileceğinin veya anonim hale getirileceğinin taahhüt edilmesi gerekiyor. Dördüncüsü; veriyi işlemek yetmiyor. Bunların güvenliğini de sağlamak, bu anlamda gerekli idari ve teknik tedbirlerin alınması gerekiyor.

- Kişiler, verilerinin işlenmesi ve korunması konusunda sizce ne ölçüde bilgili?

Bir farkındalığın oluşmaya başladığını gözlemliyoruz. Kişisel verilerin korunması, mahremiyet odaklı, insan odaklı bir yaklaşım. Çünkü insan değerlidir. Ona ait olanlar da değerlidir. Herkes, anayasal hak olarak, kişisel verilerinin korunmasını isteme hakkına sahiptir.

Alışverişte telefon numarası vermek zorunlu değil

Alışverişte, sözleşmeye dayalı bir ilişki söz konusudur. Elektronik fatura düzenlenmesi gereken bir alışveriş değilse; ad, soyad ve adres bilgileri yeterlidir.

Telefon bilgisi de isteniyor ise, kişinin açık rızası alınmalıdır. Kişi, rızası ile vermediği sürece, telefon numarasının işlenmesi mümkün değil. Telefon numarasının niçin istendiği de müşteriye açıklanmalıdır.

İlgisiz kişiler verinizi görmemeli

Banko, masa veya gişe gibi uygulamalarla hizmet veren sektörlerde kişilerin verileri işlenirken ilgili olmayanlar tarafından görülmesini ve duyulması engellenmek zorundadır. Bunun için tedbir almalıdır. Diğer kişilerin, verilerinizi görmemesi-duymaması gerekiyor.

Kişisel verilere keyfi bakılamaz

Kişisel verilere ulaşma yetkisine sahip olmak, örneğin banka veya hastane çalışanlarının, ya da vergi dairesindeki memurların, her istediği zaman, keyfi olarak, bizim kişisel verilerimize ulaşabilecekleri anlamına gelmiyor. Kişinin onayı veya kanundaki diğer şartlardan birinin olması gerekiyor. Keyfi olarak verilere ulaşılması halinde, idari yaptırımlar, para cezaları söz konusu. Hukuka aykırılık varsa suç oluşturabiliyor.

‘Alışkanlıklarımız değişmeli’

Veriler konusunda bazı alışkanlıklarımızı değiştirmek zorundayız. İlerde lâzım olur gerekçesiyle ya da reklam, promosyon için amaca aykırı verilerin tutulması söz konusu. Otele gittiğimizde, ad-soyad-kimlik numarasının işlenmesi gerekiyor. Bekletmemek için hemen kimlik fotokopimiz alınıyor. Kimlik fotokopilerinde özel nitelikli, hassas verilerimiz var. Bunların işlenmesi daha sıkı şartlara bağlı. Kimlik fotokopimiz alınırsa, bunlar saklanırken bazı yerlerin yıldızlanması/karartılması gerekli. Gereğinden fazla veri işleme, amaca aykırı veri işlemeyi de içerir.

VERBİS şeffaflığı ve hesap verilebilirliği gerektiren sistem

Kanunun getirdiği yükümlülüklerden biri de Veri Sorumluları Siciline (VERBİS)kayıt. İnternet Türkiye’de veri işleyen gerçek ve tüzel kişilerin sisteme kaydolması zorunludur. VERBİS’te kesinlikle kişisel veriye yer verilmeyecek. Bir şirket veri olarak ad-soyad-kimlik numarası işliyorsa ‘kimlik bilgisi işliyorum’ diyerek VERBİS’e kayıt yaptıracak. Eğer işlediği verinin, VERBİS’te bir karşılığı yoksa, bu o veriyi işleyemeyecek demektir. Bu sisteme kayıt olmamanın 1 milyon TL’ye kadar para cezası var.