KVKK hayatımıza girdiğinden bu yana “Uyum süreci”nde neler yapılması gerektiğine dair, birçok soru ve bilgi, hatta bilgi kirliliği etrafta hızla dolaşmaya başladı. Kariyer.net Strateji ve İş Geliştirme Genel Müdür Yardımcısı Barış Karadenizli, KVKK ile ilgili doğru bilinen yanlışları bu yazımızda anlattı.
KVKK ile ilgili başlıklarda işler hızlı gelişiyor. Konu hakkındaki ilginin nasıl geliştiğinin bir göstergesi olarak kvkk.gov.tr sitesine gelen trafiğin Haziran-Aralık 2019 arasındaki dağılımına bakalım…
Aralık ayı, 31 Aralık baskısından ötürü “Peak” trafik yaratmış. Benzer bir peak trafiğinin Haziran 2020’de olacağını da şimdiden öngörebiliriz. Tabii zaman baskısı olan her konuda olduğu gibi bu konuda da bilgi kirliliği oluşuyor.
Bu nedenle bu yazımda, piyasada oluşan “Şehir efsaneleri”nden bahsetmek istiyorum. Bazı başlıklarda yavaş yavaş ortak bir dil oluşması herkesin faydasına olacaktır. Umarım bu yazı da ortak dil oluşturmaya hizmet eden yazılardan biri olur.
1- Şirketlerin kişilere dair verisi olamaz. Kişilerin verileri “Kişilere” aittir
Sözleşme müzakereleri yaptığımız tüm taraflarda birkaç istisna hariç, karşımıza çıkan durum “Benim datam” konusu… “Kişi bana başvuru yapmış, o artık benim datam”…
Kurumların kişilere dair verisi “Kurumlara” ait değil. İlgili kişiler (Bireyler) tarafından belli bir süre ve amaç için “Emanet” edilmiş verilerdir. Aydınlatma yapıp gerekli ise izin (Açık Rıza) aldıysanız, belli bir süre için belli bir amaca yönelik olarak bunu kullanabilirsiniz;ama sonrasında imha etmekle (Elinizdeki verilerle bireyin ilişkisini koparmakla) yükümlüsünüz. Yani bir firmanın “Benim datam” tanımını “Bireylerin bana emanet ettiği data” olarak görmek önemli. Her durumda birey, verisinin akıbetine karar verebilir durumda. Patron birey, data “Birey”in datası… 😊
2- “Veri sahibi” diye biri yoktur
“Nasıl yok? Bireyler veri sahibi işte!” diyebilirsiniz. Çok fazla sözleşmede karşımıza çıkan bir tabir bu, ama maalesef hukuki tanımı yok. Bireylerin (Gerçek kişilerin) kanundaki tanımı “İlgili kişi”dir. Kurumlar ise ya “Veri sorumlusu”dur ya da “Veri işleyen”dir. Burada başka bir şapka yok, yani “Veri sahibi” en azından bugün kanunda tanımlı haliyle ne bireyleri ne de kurumları tanımlamıyor.
3 – Veri işleme faaliyeti yapanlar, nasıl oluyor da “Veri işleyen” olmuyor? “Veri sorumlusu” ve “Veri işleyen” nedir?
Bu konuda, hararetli telefon görüşmelerinde “Türkçe kelime oyunu yapmayın, bir veri işleme faaliyeti yapan nasıl veri işleyen olmuyor?” fırçası da yemiş biri olarak yazayım: Her veri işleme faaliyeti yapan taraf “Veri işleyen” değildir. Burada terimleri dikkatli konumlandırmak gerekiyor. Bunlar yabancı tanımlar oldukları için İngilizcelerine de değinerek açıklamaya çalışalım.
Bir veri işleme (Data processing) faaliyeti birçok mecra (Medium) üzerinden yapılabilir. İnternette bir sayfa, bir kağıt üzerinde yazılı bilgiler, hatta ad soyad anonsu yapılan bir hoparlör… Bu veri işleme faaliyetlerini yapanlar, (genellikle kurumlar) bu faaliyeti iki farklı şapka ile yapabilirler;
- Verinin nasıl işleneceğine karar veren taraflar
“Biz sizin verinizi alacağız, bunu “Müşteri”, “Çalışan adayı”, “Çalışan”, “Ziyaretçi”, “Öğrenci”, “Öğrenci velisi” vb. sıfatlarla sınıflandıracağız ve kendi veri kayıt sistemlerimizde saklayacağız.” Bu şekilde çalışan herkes veriyi “Veri sorumlusu” (Data controller) olarak işliyorlar. Birçok firma, okul, hastane “Veri işleme” faaliyetini “Veri sorumlusu” sıfatıyla yapıyor.
- Veri işleme faaliyetini yukarıdaki “Veri sorumlusu”nun talimatları ile yapan taraflar
Bu tarafların kendilerine iletilen veri ile ilgili karar alma hakları yoktur. Yukarıdaki “Veri sorumlusu”nun talimatlarıyla hareket etmektedirler. Bu yapılar, “Veri işleyen” (Data processor) ama veri güvenliği tedbirleri alma zorunlulukları olan taraflardır.
Örneklerle açıklayalım:
Mesela X bankası müşterilerinin aranması için dış kaynak kullanımı kurgusunda ayrı bir ”Çağrı Merkezi A.Ş.”yi kullanıyor olsun. Banka: “Sayın Çağrı Merkezi AŞ. bu sözleşme kapsamında sana kişisel verilerini aktardığım şu müşterilerimi ara, kampanyayı ilet, ilgilenenleri işaretle bana gönder” talimatı veriyor. Tipik bir veri işleyen senaryosu. Bu ilişki kapsamında herhangi bir veri “Ortalığa saçılırsa”, bankanın müşterilerinin ana muhattabı Çağrı Merkezi A.Ş. değil, “Banka”dır. (Banka tabii Çağrı Merkezi AŞ.’den ciddi tazminat talep edebilir, ama o iki tüzel kişiliğin arasındaki bir konu.)
Banka “Sana gönderdiğim tüm listeleri imha et” dediğinde Çağrı Merkezi A.Ş. “Dur şunun bir nüshasını da kendime alayım, yarın işime yarar” diyemez. İmha etmek ve “XXX tarihi itibarıyla imha ettim” dönüşünü bu örnekte bankaya yapmak zorunda. Ancak çağrı merkezi her verisi için “Veri işleyen” değildir. Mesela kendi çalışanlarına karşı “Veri sorumlusu”dur. Yani bir veri ilişkisinde veri işleyen olan bir kurum, başka bir veri ilişkisinde veri sorumlusu olabilir.
Bir başka örnek verelim:
Bir yazılım firması (Yazılım A.Ş.) düşünelim, “Müşteri Yönetimi Yazılımı” (CRM) paketleyip, satıyor olsun. Aynı durum burada da geçerli. Bu yazılımın içine eklenen herhangi bir bireyin verileriyle ilgili “Yazılım A.Ş.”nin bir karar alma yetkisi yoktur. Buradaki veriler, bireyler tarafından Yazılım A.Ş’nin müşterisi olan kuruma iletilmiş verilerdir. Kararları Yazılım A.Ş’nin müşterisi olan kurum alır, Yazılım A.Ş. de bu verileri veri güvenlik tedbirlerini de alarak saklar. Müşteri “Verileri imha et” dediğinde de imha eder.
Tabii “Yapay zekalı” bir dünyada bu çizgiler biraz karışmaya başlıyor. Bu da “Otomatik Karar Verme Mekanizmaları” (Automated Decision Making) tartışması. O ayrı bir yazının konusu olsun.
4- Tüm tedarikçiler “Veri işleyendir” efsanesi
Bir firmanın tüm tedarikçileri sorgusuz sualsiz o firmanın “Veri işleyenidir” gibi yanlış bir bakış açısının getirdiği sözleşme yorumlarına, ek protokol imzalatma çabalarıyla sıklıkla karşılaşıyoruz. Öyle ya, “Ben müşteriysem tedarikçi de benim talimatımla hareket edecek. Bu durumda da otomatikman benim veri işleyenim olacak, ötesi mi var?” gibi genellemeler maalesef doğru değil.
Her ne kadar tedarikçi genellikle işveren talimatı ile hareket ediyor ve kararı müşteri alıyor olsa da belli senaryolarda “Veri sorumlusundan veri sorumlusuna” da veriler aktarılabiliyor.
Bu konuda en bariz örneklerden biri Kariyer.net… Bireylerden aldığımız izinler ve diğer hukuki gerekçelerle topladığımız verileri, bizimle sözleşme ilişkisi içinde olan kurumlara aktarıyoruz. Verileri aktardığımız taraf da bizim talimatımızla hareket etmiyor (Kimi işe alacağına müşterilerimiz karar veriyor, biz işverene “Şunu al” talimatı vermiyoruz) biz de müşterilerimizin talimatıyla (Sana listesini aktardığım X,Y,Z isimli şahısların başvurularını topla ve bana ilet gibi ) hareket etmiyoruz. Bireylerin özgeçmiş verisi bize “İlgili kişiler”in emaneti. Nasıl koşullarda aktarım yapılacağını anlatıyoruz, alınan izinler çerçevesinde ilerliyoruz.
Mesela iş arayanlar, başvurularını geri çektiklerinde işveren tarafındaki yazılımlarımızda veriyi erişilemez hale getiriyoruz. Ayrıca sistemin dışına çıkmış (Yazdır, paylaş, indir gibi) veriler için her gün hizmet verdiğimiz firmalara bu durumları bildirip, “Birey başvurusunu geri çekmiştir, veri kayıt sistemlerinizde ilgili veri için imha süreçlerini çalıştırmanız gerekiyor” bilgilendirmesini yapıyoruz. Bir veri işleyen olsak, başvuru aktarıldıktan sonra bu kararı alamayız. Ancak bireylere karşı veri sorumlusu olduğumuz için bunu gerçekleştirebiliyoruz.
Özetle Kariyer.net kullanan tüm taraflar, “Veri sorumlusu” olarak verilerini yönetmek durumundalar. Bu konu 3 yılın sonunda nihayet yavaş yavaş oturmaya başlıyor. Hatta yeni devreye aldığımız KVKK Modülü ile işverenlerin kendi “Aydınlatma Metinleri”ni Kariyer.net’e ekleyebilecekleri bir kurguyu da hayata geçirerek, onların veri sorumlusu olarak gerçekleştirmeleri gereken faaliyetlerde yardımcı olmaya çalışıyoruz.
Özetle her tedarikçi veri işleyen değildir. Veri sorumlusu olarak kurumlara hizmet veren tedarikçiler de vardır.
5- Her veri için herkes izin alacak (mı)?
Bu da ayrı bir şehir efsanesi. Ortada bir sözleşme varsa, sözleşmedeki yükümlülüklerin yerine getirilebilmesi için kişisel verinin işlenmesi gerekliyse (İmza sirküleri ya da sisteme kullanıcı tanımlamak gibi) bu sözleşme yükümlülüklerinin yerine getirilebilmesi için “Aktarılan” tarafın izin almasına gerek yoktur. Ama aktaran taraf bu izni almak zorundadır. (Çalışanı da olsa, danışmanı da olsa) Aktarılan taraf da bu veriyi sonsuza dek işleyememektedir. Sözleşme yükümlülüklerinin yerine getirilmesine ve işleme gerekçesine dikkat etmek zorundadır.
Verilerinizin tutulması/saklanması ile size gelen mesajlar arasındaki ilişki daha da geniş bir başlıktır
Kişisel veriler diye ortalık yıkılıyor, bana bir sürü SMS geliyor. ”Bu işler ne olacak?” sorusu etrafımda en fazla gelen sorulardan biri.
Bunlar birbirine çok yakın, zaman zaman iç içe geçen konular da olsa, regulasyonları farklı başlıklar. Bu konu ana eksende Ticaret Bakanlığı’nın yönetiminde olan “Elektronik Ticaretin Düzenlenmesi Kanunu” (ETDK) kapsamına giren bir konu. Bu konu ocak ayı başında yayınlanan “İleti Yönetim Sistemi“ başlığı ile 2020’de daha derin uygulama bulacak ve daha keskin bir tartışma yaratacak.
KVKK ve ETDK kesişimi, oldukça ilginç başka bir alan. Burası da gelişmeye ve detaylanmaya devam edecek. Gelişmeleri takip eden, yukarıdaki gibi verilerini yöneten ve bireyin haklarına saygılı olan kurumlar, ister istemez öne çıkacak.
Bu da ayrı bir yazının konusu olsun.
Konuk yazar: Barış Karadenizli
Kariyer.net Strateji ve İş Geliştirme Genel Müdür Yardımcısı
