Kişisel Verimizi Kim Koruyor?

24 Mart 2016 tarihinde TBMM tarafından kabul edilen ‘Kişisel Verilerin Korunması Yasası’ ile hayatımızda birçok değişiklik olacağına kesin gözüyle bakılıyor. Yasanın hukuki açıdan değerlendirmesini uzmanlar yapıyorlar ancak konunun bilişim sistemleri açısından da ele alınması ve kişisel verileri işlemek durumundakilerin uyması gereken kuralların gözden geçirilmesinde yarar var.

Yasa kişisel veriyi kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak tanımlamış. Bu tanımlama içindeki bilgileri herhangi bir veri kayıt sisteminin parçası olmak koşuluyla elde edilmesi, kaydedilmesi, saklanması, değiştirilmesi, açıklanması ve hatta sınıflandırılması gibi tüm işlemler ise kişisel verilerin işlenmesi olarak yasada tanım buluyor. Yasanın kesin hükmü ise kişisel verilerin kişilerin açık rızası olmadan işlenemeyeceği ve aktarılamayacağı şeklinde.

Hal böyleyken bilişim sistemlerinin, veritabanlarının ve büyük verilerin hayatımızın birçok alanına etkisinin olduğu bu dönemde ‘sokaktaki adamın’ hakları ve kişisel verileri kullanmak durumundaki firmaların sorumlulukları ve ödevleri neler olacak?

Öncelikle sıradan bir yurttaş olarak en temel haklarımızın kişisel verilerimizin amacına uygun olarak kullanılıp kullanılmadığını öğrenmek olduğunu bilmemiz gerekiyor. Ayrıca eğer kişisel verimiz işlenmişse buna ilişkin bilgi talep edebileceğimizi ve belirli koşulları sağlayarak bu verilerin silinmesini isteyebileceğimizi de unutmamalıyız. Doğal olarak kişisel verilerin hukuka aykırı olarak işlenmesi nedeniyle bir zarar oluşması durumunda bu zararın giderilmesi için hukuk yolları açık bırakılmış. Yine de temel sorumluluk yurttaşın kendisinde. Yani hangi firmaya veya kuruma hangi bilgisini verdiğine dikkat etmeli ve hatta bilgi taleplerine de yeterli düzeyde bir kuşkuyla yaklaşmalıdır.

Peki firmaların sorumlulukları neler olacak? İlk olarak kişisel verilerin korunmasından sorumlu olan firmalar, bu verilerin hukuka aykırı olarak erişilmesini ve işlenmesini de önlemeyle yükümlü. Yani firmalar kişisel verileri korumak için yalnız idari olarak değil teknolojik olarak da önlemler almak durumundadır. Eğer firmanın işleri açısından kişisel verilerin işlenmesi gerekli veya yasal bir zorunluluk değilse söz konusu kişisel verilerin hiç alınmaması ya da hemen silinmesinin sağlanması gerektiği söylenebilir. Bu arada işledikleri kişisel verilerin amaçlarına bağlı olarak azami ne kadar süreyle saklamak durumda olduğunu da firmanın bilmesi ve bu koşullara uygun veri altyapısını düzenlemesi gerekmektedir.

Firmalar öncelikli olarak ellerindeki verileri tanımlamalı ve bu verilerin hangilerinin kişisel veri olduğunu belirlemelidir. Bu süreç sonunda kişisel veri statüsünde değerlendirilen verilerin gerçekten işlevsel olarak firma çalışmalarında kullanılıp kullanılmadığının veya bu verileri tutmanın yasal bir gereklilik olup olmadığının belirlenmesi yerinde olacaktır. Ardından yapılacak en temel işlem ise verinin ne kadarlık bir süre için tutulacağının gerekçeleriyle birlikte belirlenmesidir. Ancak bu noktadaki firmaların zamanında topladıkları, ‘alalım bir kenarda dursun, yarın lazım olur’ düşüncesiyle gereksiz ve hatta artık olumsuz sonuçlar doğurabilecek olan bu verileri nasıl yok edeceklerini öğrenmesi gereklidir. Yeterli düzeyde bilgi sahibi olmayan bilişim personeliyle ve bilişim konusundan uzak yönetim anlayışı ile bu sürecin sağlıklı yürümesinin oldukça düşük bir olasılık olduğu gözardı edilmemelidir.

Firmalar, ‘Verilere kimler erişiyor?, kimler nasıl işliyor bunları?’ sorularının yanıtlarını izlemek ve gerekli kayıtları da almalılar. Eğer veri güvenliğini sağlayamıyorsa sonucunda da bu firmalar yaptırımlara katlanmak durumundalar. Firmaların kişisel verilerin yetkisiz olarak erişilmesi ve işlenmesine karşı alacakları önlemler yetersiz kalıp da yasa dışı yollardan bu verilerin başkaları tarafından elde edilmesi durumunda derhal yetkili kurumları bilgilendirmesi gerekiyor. Ancak bu bilgilendirme güvenlik ihlalinin daha sonra incelenmesini gerekliliğini ortadan kaldıran bir konu değil. Yani firmalar bilişim altyapısını oluştururken bu tip incelemelere olanak sağlayacak şekilde merkezi kayıt toplama, oturum yönetimi ve hatta parola yönetimi başta olmak üzere güvenlik katmanlarını kurmak durumundalar.

Sonuç olarak herkesin hassas olması gereken kişisel veriler konusunda ‘kara düzen, yaptım oldu’ devri bir daha açılmamak üzere kapandı. Hayırlı olsun.