Site Rengi

DOLAR 8,6367
EURO 10,1730
ALTIN 487,27
BIST 1.419
Adana Adıyaman Afyon Ağrı Aksaray Amasya Ankara Antalya Ardahan Artvin Aydın Balıkesir Bartın Batman Bayburt Bilecik Bingöl Bitlis Bolu Burdur Bursa Çanakkale Çankırı Çorum Denizli Diyarbakır Düzce Edirne Elazığ Erzincan Erzurum Eskişehir Gaziantep Giresun Gümüşhane Hakkari Hatay Iğdır Isparta İstanbul İzmir K.Maraş Karabük Karaman Kars Kastamonu Kayseri Kırıkkale Kırklareli Kırşehir Kilis Kocaeli Konya Kütahya Malatya Manisa Mardin Mersin Muğla Muş Nevşehir Niğde Ordu Osmaniye Rize Sakarya Samsun Siirt Sinop Sivas Şanlıurfa Şırnak Tekirdağ Tokat Trabzon Tunceli Uşak Van Yalova Yozgat Zonguldak
İstanbul 31°C
Parçalı Bulutlu
İstanbul
31°C
Parçalı Bulutlu
Sal 26°C
Çar 23°C
Per 19°C
Cum 23°C

Kurumlarda Kişisel Verilerin Korunması Kanunu

Abdulkadir Kazancı
Kahramanmaraş doğumlu olup, ilkokul lise eğitimini Kahramanmaraş’ta tamamlayıp Çukurova Üniversitesi Hukuk Fakültesinden mezun olmuştur. 2016-2017 yılları arasında Çukurova Üniversitesi Kariyer Kulübünün kurucu, yönetim kurulu üyeliğini ve Genel Sekreterliğini yürütmüştür. 2016 yılından bu yana Kişisel Verilerin Korunması Kanunu hakkında çalışmakta ve 2018 yılından bu yana Kişisel Verilerin Korunması Kanunu hakkında danışmanlık ve kurumsal hukuk hizmetleri sunmaktadır. Neredeyse Yarım asırdır hukuk sektöründe faaliyet gösteren 1974 kuruluş tarihli Kazancı Hukuk ve Danışmanlık Bürosunun Yönetici Ortağıdır.
18.02.2021
A+
A-

Whatsapp, Kişisel E-Posta ve Benzeri diğer Kişisel Haberleşme Araçlarının Kullanılmasının Değerlendirilmesi

Kişisel Verilerin Korunması Meselesi Dünya’da ilk defa 1981 tarihinde 108 Sayılı Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi ile gündeme gelmiş olup neredeyse tüm devletlerin veri güvenliği kanunlarının temeli bu sözleşmeyle oluşturulmuştur.

Bu sözleşmenin bir tarafı olan Türkiye ise bu sözleşmeden sonra 2004 yılında Kişisel Verilerin ihlaline yönelik suçları Türk Ceza Kanunu’na eklemiş, 2010 yılında Kişisel Verilerin Korunması hakkını Anayasamızda tanımlamış ve son olarak 2016 yılı itibariyle Kişisel Verilerin Korunması Kanununu yürürlüğe koymuştur.

Kişisel Verilerin Korunması meselesi ile kanuni gerekçe tarafında bir milli güvenlik meselesi olarak addedilmekte ve bilhassa yurt dışı aktarım meselesi ek hassasiyetlerle düzenlenmektedir.

Kişisel Verilerin Korunması Kanunu Madde 12 lafzında;

“Veri güvenliğine ilişkin yükümlülükler

MADDE 12 – (1) Veri sorumlusu;

a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,

b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,

c) Kişisel verilerin muhafazasını sağlamak,

amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır,

(2) Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, birinci fıkrada belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur.

(3) Veri sorumlusu, kendi kurum veya kuruluşunda, bu Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır.

(4) Veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri bu Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder.

(5) İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.”

Şeklinde düzenlenmiş olup kanuni şartların uygulanmasının yanında kanunda yazmayan veya açıkça belirtilmemiş olsa dahi verilerin güvenliği için her türlü idari ve teknik tedbiri almakla veri sorumlularını yükümlü kılmıştır.

Diğer yandan Kişisel Verileri Koruma kurumunun yayınlamış olduğu asgari Teknik Tedbirler arasında “Yetki Matrisi, Yetki Kontrol, Erişim Logları, Kullanıcı Hesap Yönetimi, Log Kayıtları” sayılmıştır.

Devamında Kişisel Verilerin Korunması Kanunu Madde 9 lafzında;

Kişisel verilerin yurt dışına aktarılması

MADDE 9 – (1) Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz.

(2) Kişisel veriler, 5 inci maddenin ikinci fıkrası ile 6 ncı maddenin üçüncü fıkrasında belirtilen şartlardan birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkede;

a) Yeterli korumanın bulunması,

b) Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması,

kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir.

(3) Yeterli korumanın bulunduğu ülkeler Kurulca belirlenerek ilan edilir.

(4) Kurul yabancı ülkede yeterli koruma bulunup bulunmadığına ve ikinci fikranm (b) bendi uyarınca izin verilip verilmeyeceğine;

a) Türkiye’nin taraf olduğu uluslararası sözleşmeleri,

b) Kişisel veri talep eden ülke ile Türkiye arasında veri aktarımına ilişkin karşılıklılık durumunu,

c) Her somut kişisel veri aktarımına ilişkin olarak, kişisel verinin niteliği ile işlenme amaç ve süresini,

ç) Kişisel verinin aktarılacağı ülkenin konuyla ilgili mevzuatı ve uygulamasını,

d) Kişisel verinin aktarılacağı ülkede bulunan veri sorumlusu tarafından taahhüt edilen önlemleri,

değerlendirmek ve ihtiyaç duyması hâlinde, ilgili kurum ve kuruluşların görüşünü de almak suretiyle karar verir.

(5) Kişisel veriler, uluslararası sözleşme hükümleri saklı kalmak üzere, Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, ancak ilgili kamu kurum veya kuruluşunun görüşü alınarak Kurulun izniyle yurt dışına aktarılabilir.

(6) Kişisel verilerin yurt dışına aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.”

Şeklinde düzenlenmiş olup yurt dışına veri aktarımı meselesinde, diğer aktarım meselelerine kıyasen çok daha hassas davranmış ve Kişisel Verileri Koruma Kurumuna bu konuda ek yükümlülükler ve ek yetkiler getirmiştir.

Whatsapp Meselesi;

Malum olduğu üzere Whatsapp isimli haberleşme uygulaması özel hayatımızın birçok noktasında elzem bir hale gelmiş ve ne yazık ki profesyonel hayatta sağladığı kolaylıklardan dolayı büyük bir hız kazanma aracı olarak değerlendirilmektedir. Bu değerlendirme ise profesyonel iş hayatında, Whatsapp uygulamasının kullanılmasını haddinden fazla yaygınlaştırmış ve bir veri güvenliği açığı oluşturur hale gelmiştir.

Whatsapp’ın son dönemde yayınladığı yeni gizlilik politikası Türkiye genelinde büyük bir gündem oluşturmuş ve olumsuz tepkilere neden olmuştur.

Whatsapp sunucuları yurt dışında bulunan bir haberleşme programıdır. Çalışma prensibi itibariyle attığımız mesajlar yurt dışı sunucularına uğrayarak karşı tarafa iletilmektedir. Dolayısıyla aslında teknik manada Whatsapp üzerinden paylaşılan her bilgi yurt dışına da paylaşılmaktadır. Bu konuda henüz kurumun doğrudan bir kararı mevcut olmasa da bu konudaki kararı yakın zamanda beklenmektedir.

Ek olarak Kişisel Verileri Koruma Kurumunun 05.05.2020 tarih ve 2020/344 sayılı kararında “şahsi telefonlar üzerinden elektronik haberleşme programları kullanılarak kurum dışına aktarması” eylemi sakıncalı bir eylem olarak tespit edilmiş ve diğer sakıncalarla birlikte kurum aleyhine 1.000.000 TL idari para cezası uygulamıştır.

Neticeten tüm bu açıklamalar nezdinde; ek olarak KVK Kanunu Madde 12 kapsamında Whatsapp uygulamasının tüm özel/kamu kurumlarında yasaklanması; tüm KVK mevzuatı açısından daha uygun olup, oluşabilecek bilumum veri ihlallerinin önüne geçmede önemli bir adım olarak değerlendirilmektedir.

Kişisel E-Posta ve benzeri araçların kullanılmasının yasaklanması

Profesyonel hayat kişiler üzerinden değil kurumlar üzerinden yürümektedir. Bilhassa kamu kurumlarında,kişilerin değil kurumların varlığı söz konusudur. Bu ilkenin uygulanmasının önündeki en büyük engel ise “kişisellik” olup bu durumun ortadan kaldırılması büyük önem arz etmektedir.

İdare hukukunun temel çalışma kurallarından birisi olan “Kurumlardaki kişiler değişebilir lakin kurumlar kalıcıdır” kuralı gereği kişisel kullanım her halükârda sakıncaya yol açmaktadır.

Somutlama yoluyla konu toparlanacak olursa; kişisel e-posta ve diğer kişisel tüm araçlar kullanılarak yapılan işlemler o kişinin görev yerinin değişmesi veya diğer değişiklikler olması durumunda o kişiyle kaybolacak ve devamında erişilemez hale gelecektir.

Diğer yandan Kişisel Verileri Koruma Kurumu’nun yayınladığı tedbirler arasında mevcut olan “Yetki Matrisi, Yetki Kontrol, Erişim Logları, Kullanıcı Hesap Yönetimi, Log Kayıtları” tedbirlerinin uygulanabilmesi için de kişisel E-posta ve benzeri araçların kullanılmaması gerekmektedir.

Ek olarak Whatsapp meselesindeki yurt dışı aktarımı hususu gmail, Hotmail, yahoo gibi e-posta araçlarıyla paylaşılan bilgiler de yurt dışına aktarılıyor olarak değerlendirilmektedir. Dolayısıyla kurumsal E-Posta kullanılarak yerel sunucularda saklama faaliyetleri yürütülmelidir.

Neticeten yine KVK Kanunu Madde 12 ve diğer açıklamalarımız hasebiyle kişisel E-Posta ve benzeri araçların kullanılmasının yasaklanması tüm KVK mevzuatı ve diğer mevzuatlar açısından daha uygun olup, oluşabilecek bilumum veri ihlallerinin önüne geçmede önemli bir adım olarak değerlendirilmektedir.

YORUMLAR

Henüz yorum yapılmamış. İlk yorumu yukarıdaki form aracılığıyla siz yapabilirsiniz.