BLOG / Söyleşi
Sayın Keçeciler kendinizi bizlere ve okurlarımıza kısaca tanıtır mısınız?
1980 yılında Konya’da doğdum, İlk, Orta ve Lise eğitimimi Ankara’da Özel Ayşeabla Kolejinde tamamladım. Daha sonra üniversite eğitimi için İstanbul’a geldim. Marmara Üniversitesi Hukuk Fakültesinde 1998-2002 yılları arasında hukuk eğitimimi başarılı bir şekilde tamamladım. 2002 yılında İstanbul Barosuna kayıt olarak avukatlık ruhsatımı aldım. Lisans eğitimimden sonra İstanbul Üniversitesi Hukuk Fakültesinde Özel Hukuk alanında yüksek lisans çalışmama başladım. Yüksek Lisansı ¨Uluslararası Spor Uyuşmazlıklarının Tahkim Yoluyla Çözümlenmesi¨isimli tezim ile başarılı şekilde tamamladım. Akademik çalışmalarıma Yeditepe Üniversitesi Sosyal Bilimler Enstitüsünde Özel Hukuk Doktora programında devam etmekteyim. 2002 yılında Ulusoy Ticari Yatırımlar Holding hukuk müşavirliğinde avukat olarak başladığım kariyerime daha sonra Türkiye’nin ilk avukatlık ortaklılarından ASC Avukatlık Ortaklığında devam ettim. Daha sonra 2005 senesinde¨Keçeciler&Partners Hukuk Bürosunu kurdum. Halen Keçeciler&Partners’da avukatlık mesleğine devam etmekteyim. Bir çok şirkete özel hukuk alanında danışmanlık verdiğimiz büromuzda, M&A alanında bir çok projede yer aldık. Son dönemde KVKK süreç yönetimi projelerinde, çözüm ortaklarımız ile birlikte yer almaktayız. Avukatlık mesleğinin yanı sıra birçok STK’da yönetici olarak görev yapmaktayım. Bilişimciler ve Bilişim gruplarında yönetimdanışmanı olarak görev yapıyorum. Konyalılar Eğitim Vakfı Kurucular Kurulu üyeliği, İstanbul Tahkim Merkezi (İSTAC) genel kurul kurulu üyeliklerinin yanı sıra TFF Tahkim Kurulu, Türkiye Genç İş Adamları Derneği (TÜGİAD)üyeliliklerinde bulundum Bu görevlerimin yanı sıra birçok üniversitede ve gençlik yapılanmalarında Gençlik, Tahkim ve Bilişim Hukuku alanlarında panel ve seminerlere konuşmacı olarak katılıyorum.
Kanunu Amacı Nedir ve Kanuna Göre Kişisel Veri Kısaca Nedir ?
Kanun kişisel veri olarak kabul edilen verinin elde edilmesinden,saklanmasın, işlenmesine, paylaşılmasına ve son olarak imha edilmesine kadar kişisel veriye ilişkin tüm süreçlerin kendisinin belirlediği standartlara uygun şekilde yürütülmesini işlemektedir. Bu kapsamda Kanun kişisel verilere ilişkin güvenliğini sağlanmasını amaçlamaktadır. Bunun içinde önemli idari para cezaları ve TCK destekli yaptırımlar öngörülmüştür.
Kanuna göre Kişisel Verinin tanımını kısaca şu şekilde yapabiliriz; Kimliği belirli ya da belirlenebilir nitelikteki gerçek bir kişiye ilişkin her türlü bilgiyi kanun kişisel veri olarak tanımlamıştır.
Bu tanımlama çok geniş değil mi ?
Evet her türlü bilgi ifadesi son derece geniştir. Hatta kanuna göre bir gerçek kişinin; adı, soyadı, doğum tarihi ve doğum yeri gibi bireyin sadece kimliğini ortaya koyan bilgiler değil; telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, IP adresi, e-posta adresi ve benzeri olarak kişiyi doğrudan veya dolaylı olarak belirlenebilir kılan tüm veriler, kişisel veriolarak kabul edilmektedir. Hatta başka veriler ile bir araya geldiğinde bir kişinin kimliğini ayırt edici şekilde belirlemeye yarıyorsa kişinin takma adı, lakabı dahi kişisel veri olarak değerlendirilmektedir.
Kanundan etkilenenler kimlerdir?
Kanun süje olarak üç tanım getirmiştir. Bunun ilki ¨İlgili Kişisidir¨ ilgili kişi verinin sahibi olan gerçek kişidir. Burada özellikle belirtmek gerekir ki kanun gerçek kişilerin verilerini korumaktadır. Bu nedenle, şirket sırları, know-how, müşteri portföyü vb ticari sır niteliğindeki tüzel kişilere ait veriler kanun açısından koruma altında değildir.
Kanun ikinci kişi grubu olarak ¨Veri Sorumlusu¨ tanımını yapmıştır. Veri sorumlusu; kişisel verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla verinin elde edilmesinden, muhafaza edilmesine ve işlenmesine kadar ki süreçlerden sorumlu olan gerçek ve özel veya kamu hukuku tüzel kişilikleridir. Burada kamu tüzel kişileri dahil tüzel kişilerin veri sorumlusu olduğunun altını çizmekte fayda var. Bu anlamda Cumhurbaşkanlığı ve Bakanlıklar dahil tüm devlet kurum ve kuruluşları kanunen veri sorumlusudur ve kişisel veri işlenmesine ilişkin yükümlüklere tabidirler. Elbette kamu kurumlarının veri işlemeye ilişkin istisnaları özel hukuk tüzel kişilerine nazaran daha fazladır. Veri sorumlusu olmak açısından kişisel verileri bir veri kayıt sisteminde işlenmesi önemlidir. Burada teknolojik bir veri kayıt sistemi kullanmayan, analog veya kağıt ortamında dahi olsa bir kayıt sistemi ile veri tutanlarında Veri Sorumlusu statüsü taşıyacaklarına dikkat çekmek isterim
Bu iki kategoriye ek olarak Kanun, ¨Veri İşleyen¨ tanımını dagetirmiştir. Veri İşleyen ise Veri Sorumlusu adına veya onun verdiği yetki ile veriyi işleyen, ticari ileti aracıları, muhasebeci, avukat vb kişilerdir. Veri İşleyenlerin Kanuna aykırı fiil ve eylemlerinden de Veri Sorumlusu sorumludur.
Veri Sorumlusunun Yükümlülükleri Nelerdir ?
Veri Sorumlusu; Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, Kişisel verilere hukuka aykırı olarak erişilmesini önlemek, Kişisel verilerin güvenli şekilde muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür. Bu tedbirlerin yanısıra Veri Sorumlusu, İlgili kişinin 6698 sayılı kanundan kaynaklanan başvurularını en geç 30 gün içinde cevaplandırmakla da yükümlüdür. Veri sorumluları Kurum tarafından tutulan Veri Sorumlusu Siciline kayıt olmakla ve Kurul tarafından yayınlana ilke kararlarına ve ikincil mevzuata uyumla da yükümlüdür. Bir veri ihlali meydana geldiğinde 72 saatiçinde kuruma bildirim yapmakta Veri Sorumlularının yükümlülükleri arasındadır.
Bunlara Uymama Durumunda Yaptırımlar Nelerdir ?
Yukarıda da ifade ettiğimiz üzere,Kanun veri sorumlusuna aykırılık durumlarında belli yaptırımlar düzenlemiştir. Bu kapsamda TCK 136 uyarınca Kişisel Veriyi kanuna aykırı olarak üçüncü kişilere vermek, yaymak ve ele geçirilmesi 2 yıldan 4 yıla kadar hapis cezası ile cezalandırılacak bir suç olarak tanımlanmıştır. Gene TCK 138 uyarınca kanunen belirlenen süre geçmiş olmasına rağmen kişisel verinin imha edilmemesi durumunda 1 yıldan 2 yıla kadar hapis cezası söz konusu olabilecektir. Bunlara ek olarak, KVKK 17’inci maddesine göre 7’inci Maddeye aykırı olarak elde edilen verinin silinmemesi veya anonimleştirilmemesi halinde veri sorumlusu 1 yıldan 2 yıla kadar hapis cezası ile karşı karşıya kalabilecektir.
Hapis cezalarının yanı sıra 6698 sk Aydınlatma Yükümlülüğün İhlali durumunda 5.000 TL – 100.000 TL, Veri Güvenliği Yükümlülüğün İhlalinde 15.000TL - 1.000.000 TL arası, Kurul tarafından Verilen Kararların Yerine Getirilmemesi 25.000 TL – 1.000.000 TL arası ve Veri Sorumluları Siciline Kaydolma Yükümlülüğünün İhlali halindei se 20.000 TL - 1.000.000 TL arası idari para cezasına hükmede bilmektedir.
Veri Politikası ve Uçtan Uca Denetim Nedir ?
Her Veri sorumlusu, yasal yükümlülüklerini yerine getirmek ve 6698 sayılı Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır. Bu amaçla aktif ve uçtan uca denetim içeren bir veri politikası oluşturulmalıdır. Bu nedenle etkin bir veri politikasında şu hususların bulunması gerekmektedir;
· Süreç yönetimlerini kapsaması gerekir,
· Bilgilendirilmiş rıza ve rızanın elde edilmesine ilişkin yöntemlerin ve süreçleri içermelidir,
· Veri güvenliğini tesisi etmek amacıyla, kurum içi ve dışı veri işleyen kişilerin, kurumdan ayrıldıkları dönemi de kapsayacakşekilde ¨veri gizliliği¨ önlemlerini içermelidir.
· İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumuen kısa sürede ilgilisine ve Kuruma bildirmek zorundadır. Bu bildirim prosedürünü içermesi gerekir,
· İlgili kaşı başvurularının cevaplanmasına ilişkin yöntem, yetki ve süreçlerin açıkça belirlenmesi gerekir,
· Veri kullanım amaçları net belirlenmeli ve bu amaçlar veya ilgili kişinin rızası ortadan kalktıktan ve yasal saklama süreleride dolduktan sonra verilerin imha edilmesine ilişkin usul ve esasların yeralması gerekir.
Bu kapsamda veri politikası hazırlanırken uzman danışmanlığı önemlidir. Veri politikasının hazırlanması kadar aktif olarak uygulanması ve bunun sürekli olarak gözetime tabi tutulması önemlidir. Çünkü Kişisel Veri Korunması bir uyum sürecidir. Tüm uyum süreçlerinde olduğu gibi bu süreç sürekli update edilmesi gereken, yaşayanbir süreçtir. Bunun yanı sıra verinin tespiti ve hangi kayıt sisteminde yer aldığının tespiti ve veriyi işleyen kişilerin yetkilerine uygun işlem yapılıp yapmadığının gözlenmesi açısından bazı teknik yazılımların kullanılması da elzemdir.
Kişisel Veri Politikası Hazırlanırken Nelere Dikkat Edilmelidir?
Öncelikle, bu politikanın her kurumun kendi kurum kültürüne ve ihtiyaçlarına göre şekilleneceğini unutmamak gerek. Kurumun yayınladığı rehberler yol gösterici niteliktedir. Uygulamada firmaların belli bir deneyim olmaksızın farklı farklı firmaların kullandıkları metinleri kopyala yapıştır şekilde kullandıkları görülmektedir. Bu durum ciddi sorunlara yol açmakta ve şirketler anlamsız riskler almaktadır.
Kişisel Veri Politikası idari ve teknik tedbirler bütünüdür. Covid dönemi göstermiştir ki artık evden çalışma yöntemleri daha sık kullanılacaktır. Sosyal mesafe nedeniyle organizasyon içinde aynı binada dahi olunsa toplantıların online veya video konferans yöntemleriile yapılması yaygınlaşacaktır. Artan dijitalleşme ile siber güvenlik riskleri de peşi sıra artmaktadır. Bu nedenle idari tedbirler kapsamında hazırlanan metinlerin teknik tedbirler ile desteklenmediği yapılar, kişisel veri güvenliğinden çok ağır bedeller ödeyebilirler. Siber güvenlik içinde veri güvenliği özellikli bir alandır. Bu nedenle konusunda uzman teknik ekipler ile bu veri güvenliğinin sağlanması elzemdir.
İdari ve teknik tedbirler hazırlanırken organizasyonel olarak veri sorumlusunun tüm birimlerinin sürece katkı yapması gerekmektedir. Çünkü, Kişisel Veri Politikası aynı zamanda bir kurumsallaşma sürecidir de bu nedenle tüm birimlerin katkısı ile yürümesi ileride organizasyon içinde yapılacak her değişikliğin veya yeni bir işlemin kişisel veri etki değerlendirilmesinin gözetilmesi içinde önemlidir. Bu şekilde örgütsel yapıdaki her bir paydaş ve oyuncunun kişisel veri güvenliği farkındalığı da daha hızlı bir şekilde sağlanacaktır.
Kişisel Veri Güvenliği Siber Güvenlikten Ayrı mıdır ?
Hayır, Veri güvenliği siber güvenlik kavramı içerisinde yer alan bir alt başlıktır. Siber güvenlik,bilgisayar ve sunucuları, mobil cihazlar, elektronik sistemleri, ağları düzenli olarak kontrol eden ve bu yapıların kötü niyetli saldırılardan koruyan kişisel veriler dahil tüm verilerin güvenliğini tesis etmeye çalışan bir kavramdır. Siber güvenlik kavramının hem kamu tarafı hemde özel teşebbüsler tarafı vardır. KVKK kişisel veriye ilişkin bir düzenleme getirmiştir. Buna karşın TCK’da Bilişim suçları anlamında özel düzenlemeler vardır. 5651 sayılı kanunda siber güvenlik için ayrıntılı ve özel düzenlemelerde yapılmıştır. Dünyada birçok ülkede bilişim suçları, internet suçları veya siber suçlar olarak tanımlanan suç tipleri ile mücadele için temel metinler ve düzenlemeler getirilmiştir.
Siber Suçlarla Mücadelede Durum Nedir?
Dünyada internetin yaygınlaşması ile artık suç ve suçlu tipleri de değişmektedir. Siber suçlar sadece siber uzayda veya bilişim sistemleri ile bağlantılı suçlar olmaktan da çıkmaktadır. Günümüzde hibrit ve kompleks suç tipleri oluşmaktadır. Bu arada siber güvenlik bir uluslararası ilişkiler alanı haline gelmektedir. Ülkeler siber saldırılara koyma, karşı saldırı geliştirme vb için özel stratejiler ve politikalar belirlemeye başlamıştır. Gelecekte siber diplomasinin gelişmesi ve yaygınlaşması kaçınılmazdır.
Dünyada siber suçlar ile mücadele için ortak bir tavır ve yaklaşım hali hazırda mevcut değildir. Sınır aşan suçlar kategorisinde yer almaları nedeniyle de siber suç ve siber suçlular ile mücadelede ikili anlaşmalarının yanı sıra çok taraflı uluslararası anlaşmaların yapılması gerekmektedir. Her ülkenin kendi mevzuatı anlamında siber suç tanımı mevcut, bu nedenle bir yeknesaklık yok maalesef. Doğrudan herkesin kabul edebildiği bir şablon yok. Teknolojik bir arka planı olmasından dolayı da bu tanımlamanın kolay yapılabilmesi kolay değil.
Avrupa Konseyi’nde 2001 yılında imzalanan Budapeşte Anlaşması olarak adlandırılan siber suç sözleşmesi bu alanda önemli ve öncü uluslararası bir metindir. Türkiye 2010 senesinde bu anlaşmaya imzacı oldu. 2014 senesinde de bu anlaşmayı yürürlüğe koyduk. 2016 yılında da TCK yer alan maddeleri sözleşmenin ceza hükümlerine ilişkin olan maddeleri ile uyumlaştırdık. Ceza Usulüne ilişkin maddelerimiz ise sözleşmenin halen gerisindedir. Adli bilişim tarafında bazı eksikliklerimiz bu sebeple halen devam ediyor. Bu anlamda jandarma ve polis teşkilatımızın önemli çabalar ortaya koyduğunu görüyoruz. Ancak savcılık tarafında bazı aksaklıkların olduğunu maalesef gözlemlemek mümkün.
Bizlere vakit ayrıdığınız ve sorularımıza cevap verdiğiniz için teşekkür ederiz
Ben bana bu fırsatı ve imkanı verdiğiniz için sizlere teşekkür ederim