Türkiye’de KVKK politikaları yeterli mi?

Avukat Esra Tekil, Wise TV’ye verdiği bu değerli röportajda, Türkiye’de kişisel verilerin korunması sürecinin mevzuat boyutu, pratik uygulamalar ve farkındalık eksiklikleri üzerine kritik değerlendirmelerde bulundu.

Kişisel verileri koruma konusunda Avrupa Birliği süreçlerini yakından takip eden hukukçular olsun, başka alanlarda çalışan kimseler olsun, uzmanlar olsun, bu konu her zaman onların gündemindeydi. Çünkü Avrupa Birliği’nde bu konuya gösterilen önem 90’lı yıllardan beri aslında biliniyordu, keza Amerika’da aynı şekilde. Fakat çok uzun bir süre bu konuda Türkiye’de regülasyon yapılmadı ve biliyorsunuz çok kısa bir süre önce Avrupa Birliği’nin eskiden beri uygulamakta olduğu en basit haliyle kişisel verileri koruma kanunu yürürlüğe girdi. Bu da aslında şundan kaynaklanıyor: Siz başka ülkelerle iş yaptığınızda artık sizden kişisel verilerin korunması ile ilgili bir politikanız, bir önleminiz bekleniyor. Yani bu beklentinin karşısında aslında bu yürürlüğe konuldu. Ama yeterli mi? Asla yeterli değil. Evet, Kişisel Verileri Koruma Kurumu var, bazı sektörlerde ciddi denetimler uygulanıyor, gereklilikler de bunlar yayınlandı, regülasyon kısmı tamamlandı fakat hala olması gerekenin çok daha gerisinde. Şu anda biliyorsunuz Avrupa Birliği’nde dünyada GDPR bu konuda en üst seviye olması gereken koruma olarak yürürlükte. Türkiye’de bazı firmalara, özellikle uluslararası alanda faaliyet gösteriyorlarsa veya yabancı şirketlerin Türkiye’deki iştirakiyse GDPR koşullarını karşılamaları isteniyor ama genele baktığınızda maalesef hala dünya uygulaması ve dünyada uygulanan koruma politikalarından bu konudaki regülasyon çok çok gerideyiz. En önemlisi regülasyonun dışında uygulamada bu konuyu yeterince ciddiye almıyoruz. Dolayısıyla şu andaki regülasyon ve uygulama da aslında sadece kağıt üstünde kalmış gibi gözüküyor. Yani firmalara baktığınızda birçoğunun KVKK politikaları ve bu konuda hukuken yapılması gereken düzenlemeler evet yapılmış fakat uygulamaya baktığınızda bunlar ne kadar uygulanıyor o kısımda ciddi eksiklik olduğunu düşünüyorum. Çünkü yapılması gerektiği için kağıt üzerinde yapılıyor, gerçekten bu konuda gereken hassasiyet gösterilmiyor. Türkiye’de kişisel veri ve bilgi güvenliği, sadece kişisel veri de değil, genel olarak bilgi güvenliğinin öneminin farkında değiliz. Bunun tabii ki regülasyonlar nedeniyle bu konuyu es geçemeyen, işte bankacılık, sigorta veya hastane gibi sağlık hizmetleri gibi sektörlerde bu konu tabii ki es geçilemiyor, onlar gereken önlemleri belli bir derecede almak zorundalar zaten ama genele baktığımızda belli ölçekteki şirketlerin dışında bireyler dahi kişisel verilerinin ne kadar önem arz ettiğinin ve şirketler de bilgi güvenliği kapsamında korumaları gereken ticari sırları olsun, başka bir özel şirkette kalması gereken bilgiler olsun, ticari bilgiler olsun bunların ne kadar önemli olduğunun farkında değiller. Dolayısıyla bu farkındalık da oluşmadığı için şu anda yapılan nedir? İşte regülasyon, kişisel verileri koruma kanununun öngördüğü düzenleme varsa işte VERBİS’e kayıt olacaksınız. Tamam, VERBİS’e kayıt olduk, ne bileyim kişisel verin korunmasıyla ilgili politika oluşturacaksınız, politikayı oluşturduk, envanterimiz oluşturduk fakat aslında bunların, örneğin bir şirketi ele alıyorsak, o şirkette o envanterin ciddi şekilde uygulanması lazım. Kim hangi konuda yetkili, hangi bilgiye kim erişebilir, burada güvenlik açıkları nedir, teknik açıklar nedir, bu teknik açıklar giderildi mi? İlk başta da bahsettiğim gibi hukuk, teknik ve idari birimlerin birlikte çalışması gereken ve sürekli güncellenmesi gereken, her zaman şirketin gündeminde olması gereken bir konu. Şu anda ise gördüğümüz aslında hani kanunun istediklerini yaptık mı? Evet yaptık. Bir denetim olduğunda biz bunu ispatlayabilir miyiz? Yaptık, politikamızı yaptık, VERBİS başvurumuzu yaptık, teknik birkaç önlemimizi de aldık. Bunlar aslında sadece bir olası bir denetimde, deyim yerindeyse başımız belaya girmesin, bir idari para cezasına maruz kalmayalım korkusuyla yapılan ama samimi bir şekilde aslında orada nasıl bir katma değer, nasıl bir bilginin hazine olduğunun farkında olup ben idari para cezası değil, ben bu bilgiyi kendim için korumalıyım bilinci hala yok. Bunun eksik olduğunu görüyorum.

Avrupa Birliği ve Kişisel Verilerin Korunması

Avrupa Birliği, kişisel verilerin korunması konusunda dünya genelinde öncü bir rol üstlenmiştir. 1990’lı yıllardan itibaren bu alanda önemli adımlar atılmış ve kişisel verilerin korunması, AB’nin temel politikalarından biri haline gelmiştir. Bu süreç, yalnızca Avrupa’da değil, dünya genelinde de önemli bir etki yaratmıştır. Özellikle Genel Veri Koruma Yönetmeliği (GDPR) ile birlikte, kişisel verilerin korunması konusunda standartlar belirlenmiş ve bu standartlar, uluslararası iş yapan şirketler için bir gereklilik haline gelmiştir.

Türkiye’de Kişisel Verilerin Korunması

Türkiye, kişisel verilerin korunması konusunda Avrupa Birliği’nin gerisinde kalmış olsa da, son yıllarda bu alanda önemli adımlar atmıştır. Kişisel Verileri Koruma Kanunu’nun yürürlüğe girmesi, Türkiye’deki şirketler için yeni bir dönemin başlangıcını işaret etmektedir. Ancak, bu kanunun uygulanması ve şirketlerin bu konuda bilinçlenmesi, hala istenilen seviyede değildir.

Regülasyonların Uygulanması ve Eksiklikler

Türkiye’de kişisel verilerin korunması konusunda yapılan regülasyonlar, kağıt üzerinde kalma tehlikesiyle karşı karşıyadır. Birçok şirket, yasal gereklilikleri yerine getirmiş olsa da, uygulamada ciddi eksiklikler bulunmaktadır. Bu durum, kişisel verilerin korunması konusunda yeterli hassasiyetin gösterilmediğini ortaya koymaktadır.

Farkındalık ve Bilinçlenme

Kişisel verilerin korunması, yalnızca şirketler için değil, bireyler için de büyük önem taşımaktadır. Ancak, Türkiye’de bu konuda yeterli farkındalık ve bilinçlenme henüz sağlanamamıştır. Özellikle ticari sırların ve özel bilgilerin korunması konusunda, şirketlerin ve bireylerin daha dikkatli olması gerekmektedir.

Teknik ve İdari Önlemler

Kişisel verilerin korunması, yalnızca hukuki düzenlemelerle sınırlı kalmamalıdır. Teknik ve idari önlemler de bu sürecin önemli bir parçasıdır. Şirketlerin, hangi bilgilerin kimler tarafından erişilebileceğini belirlemesi ve güvenlik açıklarını gidermesi gerekmektedir. Bu süreç, sürekli güncellenmeli ve şirketlerin gündeminde yer almalıdır.

Denetimler ve Yaptırımlar

Kişisel verilerin korunması konusunda yapılan denetimler, şirketler için caydırıcı bir etki yaratmaktadır. Ancak, bu denetimlerin yalnızca idari para cezalarıyla sınırlı kalmaması, şirketlerin bu konuda daha bilinçli hareket etmesini sağlamalıdır. Kişisel verilerin korunması, yalnızca yasal bir zorunluluk değil, aynı zamanda bir değer olarak görülmelidir.

Sonuç

Avrupa Birliği’nin kişisel verilerin korunması konusundaki öncü rolü, dünya genelinde önemli bir etki yaratmıştır. Türkiye, bu alanda önemli adımlar atmış olsa da, uygulamada hala eksiklikler bulunmaktadır. Kişisel verilerin korunması, yalnızca yasal bir zorunluluk değil, aynı zamanda bir bilinç ve farkındalık meselesidir. Şirketlerin ve bireylerin bu konuda daha dikkatli ve bilinçli hareket etmesi, kişisel verilerin korunması sürecinin daha etkin bir şekilde işlemesini sağlayacaktır.