Dijital Biz Dergisi | Özel Röportaj

Av. Arb. Murat KEÇECİLER

Keçeciler & Partners

Kurucu Ortak

Nisan 2019

 

 

Av. Arb. Murat KEÇECİLER: “Kişisel Verileri Koruma Politikası Nasıl Şekillenmeli?”

 

6698 sayılı Kişisel Verilerin Korunması Kanunu kişisel veriyi korumak amacıyla uçtan uca bir denetim ve kontrol süreci öngörmekte. Veri koruma politikası bu temel amaç gözetilerek hazırlanmalı.

 

Sizi kısaca tanıyabilir miyiz?

1980 yılında Konya’da doğdum. İlk, Orta ve Lise eğitimimi Ankara’da Özel Ayşeabla Koleji’nde tamamladım. Daha sonra üniversite eğitimi için İstanbul’a geldim. Marmara Üniversitesi Hukuk Fakültesi’nde 1998-2002 yılları arasında hukuk eğitimi aldım 2002 yılında İstanbul Barosu’na kaydolarak avukatlık ruhsatımı aldım. Lisans eğitimimden sonra İstanbul Üniversitesinde Özel Hukuk alanında yüksek lisans çalışmasına başladım. Yüksek Lisansımı ¨Uluslararası Spor Uyuşmazlıklarının Tahkim Yoluyla Çözümlenmesi¨ isimli tezim ile başarılı şekilde tamamladım. Akademik çalışmalarıma Yeditepe Üniversitesi Sosyal Bilimler Enstitüsünde Özel Hukuk Doktora programında devam ediyorum. 2002 yılında Ulusoy Ticari Yatırımlar Holding hukuk müşavirliğinde avukat olarak başladığım kariyerime daha sonra Türkiye’nin ilk avukatlık ortaklılarından ASC Avukatlık Ortaklığında devam ettim. Daha sonra 2005 senesinde ¨Keçeciler&Partners Hukuk Bürosu¨ kurdum. Halen Keçeciler&Partners’da avukatlık mesleğine devam ediyorum. Birçok şirkete özel hukuk alanında danışmanlık verdiğimiz büromuzda, M&A alanında birçok projede yer aldık. Son dönemde KVKK süreç yönetimi projelerinde, çözüm ortaklarımız ile birlikte yer alıyoruz. Avukatlık mesleğinin yanı sıra birçok STK’da yönetici olarak görev yapıyorum. Bilişimciler ve BİLİŞİM GRUBU’nda yönetim danışmanı olarak görev yapıyorum. Konyalılar Eğitim Vakfı Kurucular Kurulu üyeliği, İstanbul Tahkim Merkezi (İSTAC) genel kurul ve denetim kurulu üyeliğimin yanı sıra TFF Tahkim Kurulu, Türkiye Genç İş Adamları Derneği (TÜGİAD) üyeliklerim devam ediyor. 2018 yılından itibaren Genç Türk Amerikan İş Adamları Derneği (TABA AmCham) başkanvekilliği görevini de sürdürüyorum. Bu görevlerimin yanı sıra birçok üniversitede ve gençlik yapılanmalarında Gençlik, Tahkim ve Bilişim Hukuku alanlarında panel ve seminerlere konuşmacı olarak katılıyorum.

 

Kanunu amacı nedir ve kanuna göre kişisel veri kısaca nedir?

Kanun kişisel veri olarak kabul edilen verinin elde edilmesi, saklanması, işlenmesi, paylaşılması, silinmesi ve anonimleştirilmesi gibi tüm süreçlerin kendisinin belirlediği standartlara bağlanmasını ve belirlenen kriterler uyarınca veri güvenliğinin sağlanmasını amaçlıyor. Bunun için de önemli idari para cezaları ve TCK destekli yaptırımlar öngörülüyor.

Kanuna göre Kişisel Verinin tanımını kısaca şu şekilde yapabiliriz: Kimliği belirli ya da belirlenebilir nitelikteki gerçek bir kişiye ilişkin her türlü bilgi kanun uyarınca kişisel veri.

 

Bu tanımlama çok geniş değil mi?

Evet, her türlü bilgi ifadesi son derece geniş. Hatta kanuna göre bir gerçek kişinin; adı, soyadı, doğum tarihi ve doğum yeri gibi bireyin sadece kimliğini ortaya koyan bilgiler değil; telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, IP adresi, e-posta adresi ve benzeri olarak kişiyi doğrudan veya dolaylı olarak belirlenebilir kılan tüm veriler, kişisel veri olarak kabul ediliyor.

 

Kanun kimleri kapsıyor? 

Kanun süje olarak üç tanım getirdi. Bunun ilki ¨İlgili Kişi¨. İlgili Kişi verinin sahibi olan gerçek kişi. Kanun ikinci olarak ¨Veri Sorumlusu¨ tanımını yaptı. Veri Sorumlusu; kişisel verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla verinin elde edilmesinden, muhafaza edilmesine ve işlenmesine kadarki süreçlerden sorumlu olan gerçek ve özel veya kamu hukuku tüzel kişilikleri. Bunların da yanında Kanun, Veri Yetkilisi tanımı da getirdi. Veri Yetkilisi ise Veri Sorumlusu adına veya onun verdiği yetki ile veriyi işleyen muhasebeci, avukat vb. kişiler. Veri yetkilisinin Kanuna aykırı fiil ve eylemlerinden de Veri Sorumlusu sorumlu.

 

Veri Sorumlusunun yükümlülükleri nelerdir?

Veri Sorumlusu; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almakla yükümlü. Bu tedbirlerin yanı sıra Veri Sorumlusu, İlgili Kişinin 6698 sayılı kanundan kaynaklanan başvurularını en geç 30 gün içinde cevaplandırmakla da yükümlü. Veri Sorumluları Kurum tarafından tutulan Veri Sorumlusu Siciline kaydolmak ve Kurul tarafından yayınlanan ilke kararlarına ve ikincil mevzuata uyumla yükümlü.

 

Bunlara uymama durumunda yaptırımlar nelerdir?

  • Sohbetimizin başında da ifade ettiğimiz üzere, Kanun veri sorumlusuna aykırılık durumlarında belli yaptırımlar düzenledi. Bu kapsamda TCK 136 uyarınca Kişisel Veriyi kanuna aykırı olarak üçüncü kişilere aykırı vermek, yaymak ve ele geçirilmesi 2 yıldan 4 yıla kadar hapis cezası ile cezalandırılıyor. Gene TCK 138 uyarınca kanunen belirlenen süre geçmiş olmasına rağmen kişisel verinin imha edilmemesi durumunda 1 yıldan 2 yıla kadar hapis cezası söz konusu olabilecek. Bunlara ek olarak, KVKK 17’inci maddesine göre 7’inci maddeye aykırı olarak elde edilen verinin silinmemesi veya anonimleştirilmemesi halinde veri sorumlusu 1 yıldan 2 yıl hapis cezası ile karşı karşıya kalabilecek.
  • Hapis cezalarının yanı sıra 6698 sayılı kanunun Aydınlatma Yükümlülüğün İhlali 5.000 TL – 100.000 TL arası, Veri Güvenliği Yükümlülüğün İhlalinde 15.000 TL – 1.000.000 TL arası, Kurul tarafından Verilen Kararların Yerine Getirilmemesi 25.000 TL – 1.000.000 TL arası para cezasına ve Veri Sorumluları Siciline Kaydolma Yükümlülüğünün İhlali 20.000 TL – 1.000.000 TL idari para cezasına hükmedebiliyor.

 

Veri Politikası ve uçtan uca denetim nedir?

Her Veri Sorumlusu, yasal yükümlülüklerini yerine getirmek ve 6698 sayılı Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorunda. Bu amaçla aktif ve uçtan uca denetim içeren bir veri politikası oluşturulmalı.  Bu nedenle etkin bir veri politikasında şu hususların bulunması gerekiyor;

  • Süreç yönetimlerini kapsaması gerekir,
  • Bilgilendirilmiş rıza ve rızanın elde edilmesine ilişkin yöntemlerin ve süreçleri içermeli,
  • Veri güvenliğini tesisi etmek amacıyla, kurum içi ve dışı veri işleyen kişilerin, kurumdan ayrıldıkları dönemi de kapsayacak şekilde “veri gizliliği” önlemlerini içermeli.
  • İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirmek zorunda. Bu bildirim prosedürünü içermesi gerekir,
  • İlgili kaşı başvurularının cevaplanmasına ilişkin yöntem, yetki ve süreçlerin açıkça belirlenmesi gerekir,

Bu kapsamda veri politikası hazırlanırken uzman danışmanlığı önemli. Veri politikasının hazırlanması kadar aktif olarak uygulanması ve bunun sürekli olarak gözetime tabi tutulması önemli. Bu amaçla verinin tespiti ve hangi kayıt sisteminde yer aldığının tespiti ve veriyi işleyen kişilerin yetkilerine uygun işlem yapıp yapmadığının gözlenmesi için yazılım desteği alınması elzem.

 

Kişisel veri güvenliği siber güvenlikten ayrı mıdır?

Hayır, veri güvenliği siber güvenlik kavramı içerisinde yer alan bir alt başlık. Siber güvenlik, bilgisayar ve sunucuları, mobil cihazlar, elektronik sistemler, ağlar ve kötü niyetli saldırılardan verileri savunma uygulamaları. Siber güvenlik kavramının hem kamu tarafı hem de özel teşebbüsler tarafı var. KVKK kişisel veriye ilişkin bir düzenleme getirdi. Buna karşın TCK’da bilişim suçları anlamında özel düzenlemeler var. Dünyada birçok ülkede bilişim suçları, internet suçları veya siber suçlar olarak tanımlanan suç tipleri ile mücadele için temel metinler ve düzenlemeler getirildi.

 

Siber suçlarla mücadelede durum nedir? 

Dünyada internetin yaygınlaşması ile artık suç ve suçlu tipleri de değişiyor. Siber suçlar sadece siber uzayda veya bilişim sistemleri ile bağlantılı suçlar olmaktan da çıkıyor.  Günümüzde hibrit ve kompleks suç tipleri oluşuyor. Bu arada siber güvenlik bir uluslararası ilişkiler alanı haline geliyor. Ülkeler siber saldırılara karşı koyma, karşı saldırı geliştirme vb. için özel stratejiler ve politikalar belirlemeye başladı. Gelecekte siber diplomasinim gelişmesi ve yaygınlaşması kaçınılmaz.

Dünyada siber suçlar ile mücadele için ortak bir tavır ve yaklaşım hali hazırda mevcut değil. Sınır aşan suçlar kategorisinde yer almaları nedeniyle de siber suç ve siber suçlular ile mücadelede ikili anlaşmalarının yanı sıra çok taraflı uluslararası anlaşmaların yapılması gerekiyor. Her ülkenin kendi mevzuatı anlamında siber suç tanımı mevcut. Bu nedenle bir yeknesaklık yok maalesef. Doğrudan herkesin kabul edebildiği bir şablon yok. Teknolojik bir arka planı olmasından dolayı da bu tanımlamanın kolay yapılabilmesi mümkün değil. Avrupa Konseyi’nde 2001 yılında imzalanan Budapeşte Anlaşması olarak adlandırılan siber suç sözleşmesi bu alanda önemli bir uluslararası önemli ve öncü bir metin. Türkiye 2010 senesinde imzacı oldu. 2014 senesinde de bu anlaşmayı yürürlüğe koyduk. 2016 yılında da TCK yer alan maddeleri sözleşmenin ceza hükümlerine ilişkin olan maddeleri uyumlaştırdık. Ceza Usulüne ilişkin yani, delillerin toplanması anlamında yer alan mevzuatımız sözleşmenin halen gerisinde. Adli bilişim tarafında bazı eksikliklerimiz bu sebeple halen devam ediyor. Bu anlamda jandarma ve polis teşkilatımızın önemli çabalar ortaya koyduğunu görüyoruz. Ancak savcılık tarafında bazı aksaklıkların olduğunu maalesef gözlemlemek mümkün.

 

Blockchain konusunda görüşleriniz nelerdir? 

Blokzincir teknolojisine ilişkin önemli bir beklenti söz konusu. Esasında yeni bir teknoloji değil. Kripto paralar olarak tanımlanan ve kamuoyunda Bitcoin ile popüler olan dijital paraların arkasında yer alan teknoloji olarak çok uzun zamandır mevcut olan bir teknoloji.  Zamanla blokzincir teknolojisinin veya uygulamasının farklı iş alanlarında da kullanılmasının mümkün olup olmayacağı tartışılmaya başlandı ve bu anlamda söz konusu yapının farklı sektörlerde uygulama bulmasının önünün açık olduğu konusunda önemli bir kabul ortaya çıktı. Hali hazırda özellikle teyit gerektiren noterlik, dış ticaret onayları vb. süreçlerde uygulanmasına ilişkin çalışmalar var. Ticaret Bakanlığımız gümrük işlemlerinde ve dış ticaret uygulamalarında anılan teknolojiden istifade etmek için çalışma başlattı.

 

Hangi alanlarda kullanım imkânı bulması söz konusudur?

Öncelikle söz konusu teknolojinin sağladığı güvenlik kriteri; veri, para vs. transferlerinde önemli bir imkân sağlıyor. Bu nedenle bankacılık ve finans sektöründe bu teknolojiye ilişkin önemli bir ilgi söz konusu. Bunun yanı sıra akıllı sözleşmeler olarak adlandırılan bir alanda söz konusu. Teknolojinin kullanımına ilişkin çalışmalar ve örnekler mevcut. Akıllı sözleşmelere ilişkin genel bir tanım ortaya koymak pek mümkün değil. En basit tabiri ile sözleşmede yer alan yükümlülüklerin blokzincirine bir kod olarak eklendiği sözleşmeler olarak ifade edebiliriz. Akıllı sözleşmelerde, sözleşmenin şartlarının yerine getirilip getirilmediğinin tespitinin ve buna mukabil ödeme yükümlülüğünün gerçekleştirilmesinin blokzinciri sistemine tabi bir algoritma ile takip edilmesi esasına dayanmakta. Örneğin, teyitli akreditif işleminde amir banka ödeme için teyit bankasının teyidine ihtiyaç duymakta. Teyit işlemi için gerekli duyulan şartların varlığı akıllı sözleşme söz konusu olduğunda sözleşme tarafından gerçekleştirilecek ve bu durumda teyit bankasının şartların gerçekleşip gerçekleşmediğine ilişin kontrol mekanizmasına ihtiyaç duyulmayacak. Bu teknoloji ile kaleme alınacak akıllı sözleşmeler açısından Ethereum önemli bir platform sunmakta. Zamanla bu tip sözleşmelerin daha yaygın hale gelmesi düşünülüyor. Bu durum ise yazılımcılar ile hukukçuların önemli bir iş birliğine girmelerini zorunlu kılacak.