Haberleşme ile mahremiyet arasındaki denge gözetilmeli

Muhammed Ali YAHŞİ

Türkiye Bilişim Derneği ve Kişisel Verileri Koruma Kurumu’nun (KVKK) ortak çalışmasıyla gerçekleştirilen Kişisel Verileri Koruma Zirvesi, hukuk ve bilişim alanında uzman isimleri buluşturdu. Veri Yönetiminde Küresel Gelişmeler ana temasıyla 20 Eylül Çarşamba günü KVKK Ana Konferans Salonu'nda gerçekleşen zirvede Doğal Afetlerde ve İnsani Yardım Süreçlerinde Kişisel Verilerin İşlenmesi konusunda bir panel düzenlendi. KVKK Kurul Üyesi  Dr. Ayşenur KURTOĞLU moderatörlüğünde düzenlenen panelde, KVKK Veri Güvenliği ve Bilgi Sistemleri Dairesi Başkanı Ersin CAN, Dijital Dünyada Mahremiyetin Önemi ve Veri İhlallerinin Olumsuz Sonuçları, Hacettepe Teknokent Hukuk Müşaviri Av. Ilgın Müftüoğlu Yazıcı, Doğal Afetlerde Sosyal Medyanın Rolü ve Mahremiyet, Avukat M. Hakan Eriş, Afetlerde, Çocuklar ve Diğer Dezavantajlı Grupların Kişisel Veri Mahremiyeti,  Aile ve Sosyal Hizmetler Bakanlığı, Sosyal Yardım Uygulamaları Daire Başkanı Ali Saip Demiröz ise Aile ve Sosyal Hizmetler Bakanlığı’nın Afet Dönemlerinde Kişisel Verilerin İşlenmesi Konusundaki Tecrübeleri hakkında sunum yaptı.

“BU KANUNUN ÖZÜNDE İNSANI KORUMAK YER ALIYOR”

'Dijital Dünyada Mahremiyetin Önemi ve Veri

İhlallerinin Olumsuz Sonuçları’ hakkında sunum yapan KVKK Veri Güvenliği ve Bilgi Sistemleri Dairesi Başkanı Ersin Can, Teknolojinin gelişiminin hayal dahi edemeyeceğimiz yararlar sağlarken, kendimizle ilgili büyük boyutta kişisel veri paylaşmamıza yol açtığını ifade etti. Can: “Hatta paylaştığımız kişisel veriler sayesinde başkaları bizi bizden daha iyi tanıyor. Verinin elde edilmesi, kullanılması ya da aktarılmasından kaynaklı faydalar ile kişilerin veriler üzerindeki denetim hakları sürekli bir çatışma halinde olduğunu söyleyebiliriz. Kişiler doğru anda ve doğru yöntemlerle işlenen kişisel veriler sebebiyle fayda görürken kişisel verilerin hukuka aykırı şekilde yetkisiz kişilerin eline geçmesi sebebiyle de maddi manevi zararla karşı karşıya kalabilirler. Bahsettiğim bu faydaların elde edilebilmesi için bir denge göz edilmesi ve başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerin korunması gerekir. Bu sebeple son yıllarda kişisel verilerin korunması dünya gündeminde olduğu gibi ülkemiz gündeminde de önemli bir yere sahiptir” dedi. Can, Mahremiyet kavramının modern çağın en önemli insan haklarından ve insan hakları arasında tanımlanması en zor kavramlardan olduğunu ifade ederek, “Günümüzde mahremiyet unsuru teknolojinin gelişmesiyle oldukça hassas bir konuma gelmiştir. Daha önceleri bedensel gizlilik ile ilişkilendirilen mahremiyet kavramı teknoloji ile birlikte internet, kişisel verilerin gizliliği gibi farklı açılardan ele alınmaya başlanmıştır. Mahremiyetin bireyden bireye, dönemden döneme anlayışı ve sınırları değişebilmektedir. Bu sebeple mahremiyetin tanımlanması ve sınırlarının çizilmesi oldukça zordur” ifadelerini kullandı. Kullandığımız teknolojiler ile kişilerin birer veri kaynağına dönüşerek sürekli dijital ortamda veri üretmekte ve üretilen verilerin aralıksız bir şekilde toplanıp analiz edilmekte olduğunu belirten Can, “Bu analiz sonucunda tahmin ve varsayımlara dayalı bir şekilde karar alınabilmektedir. Daha da önemlisi bu analizler siyasal düşünce, cinsel yönelim ırk, din, sağlık, finans, sosyal bağlantılar ve arkadaşlık döngüleri istihbarat ve benzeri kişisel mahremiyetimizin ihlaline sebebiyet verebilmekte. Gizlilik ve mahremiyet endişeleri çoğunlukla izinsiz olarak kişisel verilerin paylaşımı, kişisel verilerin 3. Parti kişi ve kuruluşlarca kullanılması gibi başlıklar içermekte. Bireylerin daha iyi hizmet ya da ürünlere erişmek adına çevrimiçi ortamlarda daha fazla kişisel veri paylaşmaları söz konusu ortamda yaptıkları her şeyin kişilerin, bireylerin profillenmelerine zemin hazırlamaktadır” dedi. Kişisel verilerin korunmasının temel amacının kişinin özel hayatının gizliliğini güvence altına alarak kişiyi korumak olduğunu ifade eden Can, “Bu anlamda kişisel verilerin korunması kişinin özel hayatının gizliliğinin korunması hakkının özelliğini taşıyan bir türüdür. Bu hakkın özünde kişinin onur ve şahsiyetinin korunması yer alır. Kişisel Verilerin Korunması Kanunu, veri sorumlularına bir takım ödevler yüklemiştir. Veri sorumluları, kişisel verilerin hukuka aykırı olarak işlenmesini ve erişilmesini önlemek, ve kişisel verilerin muhafazasını sağlamak amacıyla güvenlik düzeyini temin etmeye yönelik her türlü teknik ve idari tedbiri almak zorundadır. Bu şekilde ülkemizde kişiler verilerin sınırsız bir şekilde ve gelişigüzel toplanması, yetkisiz kişilerin erişimine açılması, ifşası ya da kötüye kullanım sonucu kişilik haklarının ihlal edilmesinin önüne geçilmeyi amaçlamaktadır” diye konuştu. 

Yıllara göre kişisel veri ihlal bildirimlerinin sayısının her geçen gün artmakta olduğunu da ifade eden Can, “Veri sorumlusu çok ciddi anlamda bilişim altyapısına yatırım yapıyor milyonlarca liralık bir yatırım gerçekleştiriliyor. Müşterilerine karşı da her türlü sorumluluğu yerine getiriyor. Amacına göre kişisel verileri işlemiş ve koruyor. Ancak ilgili uygulamalarla o veriye erişimi olan bir banka görevlisi bile bu kişisel verileri alıp amacı dışında farklı platformlarda paylaşabiliyor. Bu durum da aslında Türk Ceza Kanunu’ndaki bir takım suç unsurlarını da barındırıyor. Diğer bir unsur ise farkındalıkla alakalı. Çok sık karşılaşıyoruz oltalama(fishing) saldırıları. Personelin bilinçsiz olması ya da farkındalığının zayıf olmasından kaynaklı gelen mailin içerisindeki linke tıklaması çok farklı sonuçlara yol açabiliyor. Fidye saldırısına kadar gidebilecek bir takım sonuçlar doğurabiliyor. Bu olumsuzluklar işletmelerin faaliyetlerin bir süre durmasına veya itibarının zedelenmesine sebep olabiliyor. Diğer bir yansıması olarak müşterilerine ait kişisel verilerin müşterilere olumsuz bir takım yansımalarının olmasına yol açabiliyor. Bu noktada veri ihlalleri artık lokal ölçekli olmaktan çıkmış küresel bir sorun haline gelmiş durumdadır” ifadelerini kullandı. 

“YAPAY ZEKA ALANINDA KİŞİSEL VERİLERİ KORUMA REHBERİNİ ÜÇ AY ÖNCE YAYINLADIK”

Gelişen teknoloji ile farklı terimlerin ortaya çıktığını, bunların en bilinenin ise yapay zeka olduğunu belirten Can, “Yapay zeka artık hayatımızın vazgeçilmez bir parçası. Önümüzdeki on yılda belki de çok daha farklı yapay zeka versiyonları ile karşılaşacağız. Ancak biz  yapay zeka alanında kişisel verilerin korunması rehberini üç sene önce hazırladık ve yayınladık. Genel olarak, geliştiriciler, üreticiler ve servis sağlayıcılarının bu yapay zeka araçları ile ilgili üretim gerçekleştirirken nelere dikkat etmeleri, hangi etik ilkelere dikkat etmeleri gerektiği ile ilgili bir rehber yayınladık. Bunun haricinde Kişisel Veri Güvenliği adında Kişisel Verileri Koruma Kanunu çerçevesinde alınması gereken teknik ve idari tedbirlerde yol gösterici bir kılavuz hazırladık. 

İÇERİĞİN PAYLAŞIMINI SAĞLARKEN TOPLUMSAL FAYDA GÖZETİLMELİ

Doğal Afetlerde Sosyal Medyanın Rolü ve Mahremiyet konusunda sunum gerçekleştiren  Hacettepe Teknokent Hukuk Müşaviri Av. Ilgın Müftüoğlu Yazıcı, Sosyal medyanın afetlerdeki etkisi ve önemini önce Haiti ardından Kahramanmaraş depreminde görüldüğünü ifade ederek, Sosyal medyanın arama kurtarma ve yardımlaşma süreçlerindeki rolünün büyük olduğunu belirtti. “Her ne kadar sosyal medya afetle ilgili hızlı bir iletişim sağlıyor desek de bir yandan da maalesef hızlı bilgi yayılımı bazı sahte bilgilerin ve spekülasyonların da hızla yayılmasına sebep veriyor. Bu da sosyal medyanın doğal afetlerde negatif etkisi” diyen Yazıcı, Konunun hukuk kısmına değinecek olunursa ilk olarak anayasanin 20. Maddesi, özel hayatın gizliliğine değinmek gerektiğini ifade ederek, “Özel hayatın gizliliğine göre herkes özel hayatına ve aile hayatına saygı gösterilmesine isteyebilir ve kendisiyle ilgili kişisel verilerin korunması talep etme hakkına da sahiptir” dedi. Afet durumlarında kişisel verilerin korunması yine Kişisel Verilerin Korunması Kanunu’nun genel ilkeleri doğrultusunda söz konusu olacağını belirten Yazıcı, “Kanunun 28. Maddesinde tamamen veya kısmen kanun kapsamı dışında tutulacak haller belirtilmiştir. Burada 'Ç' maddesinde kanunun uygulanmasına istisna haller arasında doğal afetleri de dahil edebileceğimizi görüyoruz. Fakat bununla birlikte maddede açıkça işleme yetkisinin milli savunma, kamu sağlığının korunması gibi hallerde veri işleme yetkisinin de yine kanunla görevlendirilmiş ve yetkilendirilmiş kurumlarca yapılabileceği de yine açıkça ifade edilmiştir. Bunun dışında yine afet hallerinde kişisel verilerin işlenmesi dediğimizde açık rıza dışında fiili imkansızlıkla alenileştirme halini temel alabiliriz. Özellikle bu fiili imkansızlığı alenileştirme ile ilgili tabiki bu verilerin orantılılık, amaçla sınırlı olma kapsamı içerisinde işlenmesinde büyük önem var” ifadelerini kullandı. 

“Özel hayatın gizliliğinden başlayarak aslında kişisel verilerin ne olduğu, neden korunması gerektiği, üçüncü kişilerin verileriyle ilgili toplumun bilinçlendirilmesinde yediden yetmişe çok büyük önem var” diyen Yazıcı, “Doğal afetler gibi olağanüstü durumlarda sosyal medyanın koruma düzenlemeleriyle de nasıl ilişkilendiridiğini bilmek ve farkında olmak da çok önemli. Çünkü sahtekarlık, dolandırıcılık gibi aktivitelere maalesef olanak sağladığı gördük. Bu da tam olarak afet dönemlerinin toplumda yarattığı psikolojik durumla da ilgili belki. Normalde evet demeyeceğimiz, tıklamayacağımız ya da girmeyeceğimiz süreçlere afet hallerinde dahil olabiliyoruz. Bu sebeple de bu kötü niyetli kullanıcıları dezenformasyona açık bilgi paylaşımlarının önüne geçmekte büyük fayda var” dedi. 

“Gerek sosyal medyadan bilgi, içerik paylaşırken gerek halı hazırda var olan bir içeriğin paylaşımını sağlarken toplumsal faydayı gözetmekte çok büyük fayda var hatta bu bir gerekliliktir” ifadelerini kullanan Yazıcı, “Afet anında ciddi hayati tehditler altındayken bölgedeki vatandaşları daha zor durumda bırakmamak adına bu önem taşıyor. Örneğin afet sonrasında enkazdan çıkarılırken çekilen fotoğraflar içimize dokunuyor ve bunların paylaşımını belki farkındalık yaratmak için yapıyoruz. Fakat bununla birlikte bu fotoğrafın da bir kişisel veri olduğunu unutmamak lazım. Özellikle çocuklara ilişkin ya da farklı özel gruplara ilişkin veri paylaşımları yaparken bu paylaşımın gerekliliğini, gerçekten bir kamusal fayda yaratıp yaratmayacağını irdelemek büyük önem taşıyor. Bunu haberleşme özgürlüğü olarak değerlendirirsek de gerek bireysel gerekse de ilgili haber ajansları tarafından her halükarda haberleşme özgürlüğü gibi bir menfaatle ilgili kişinin mahremiyet hakkı arasındaki dengeyi göz etmemiz bu durumlarda gerekli. O sebeple de yine veri işleme ve paylaşma süreçlerinde orantılılık ölçülülük ve amaçla sınırlılık her zaman gözetilmesi gereken üç unsur” diye konuştu.

“28-Ç’YE RAĞMEN BİRAZ ZORLANDIK”

Aile ve Sosyal Hizmetler Bakanlığı’nın Afet Dönemlerinde Kişisel Verilerin İşlenmesi hakkında konuşan Aile ve Sosyal Hizmetler Bakanlığı, Sosyal Yardım Uygulamaları Daire Başkanı Ali Saip Demiröz, Bakanlığın KVKK’yla ilgili çalışmaları hakkında bilgi verdi: “Genellikle vatandaşların başvuru esasına göre çalışır. Başvuru sırasında da kişilerin KVKK izinleri alınır, bilgilendirmeleri yapılır. Açık rıza metinleri onaylatılır. İzinler çerçevesinde standart bir şekilde yardım hak sahipliğinin belirlenmesi adına ve mükerrerliğin engellenmesi adına diğer kurumlardaki veriler sorgulanır doğal süreçler bu şekilde işler” dedi. Büyük bir afetle ilk defa pandemi döneminde karşılaştıklarını ifade eden Demiröz, “Aile Bakanlığı olarak pandeminin bize getirdiği en önemli sıkıntılardan bir tanesi doğal olarak sosyo ekonomik düzenin bozulması, işsizliğin bir anda artması,normal zamanda standart geliri olan insanların bir anda hiç beklemediği durumla karşı karşıya kalması ve dönemsel yoksulluk olarak adlandırdığımız durumun bariz bir şekilde ortaya çıkması oldu” dedi. Bakanlık olarak bu duruma nasıl tepki verdiklerini anlatan Demiröz, “Öncelikle normal zamanlarda korunmaya muhtaç ve sosyoekonomik açıdan dezavantajlı vatandaşlarımızı önceliklendirdik. Mevcut verilerimizi kullanarak vatandaşımızı son bir yıl içinde özellikle sosyal yardım alan vatandaşımızı destekledik. Bu dönemde ekstradan bir veri aktarımı veya paylaşımına ihtiyaç duymadık. Hızlı bir aksiyon alınması gerekiyordu, hızlı bir şekilde yaptık” diye konuştu. Bu dönemde 28-Ç maddesine dayanarak kurumlarla veri paylaşımını gerçekleştirdiklerini ifade eden Demiröz, “Bu dönemde çok fazla sıkıntı çektiğimizi söyleyemem. Çünkü verilerimiz, özellikle Sosyal Güvenlik ve İŞKUR ile mükerrer olma ihtimali içeriyor ödemeler anlamında. O dönem zaten Çalışma Bakanlığı ile de birleştiğimiz için bunlar ilgili kuruluş olsalar bile aynı Bakan’ın toplantı salonunda toplanıp hızlı bir şekilde veri aktarımlarını yapabildik. Ve böylece kişisel verileri çok detaylı olmayacak bir biçimde sadece ihtiyacımız olacak biçimde alabildik. Yaptığımız ödemelerde bu bilgileri dikkate alarak ödemelerimizi gerçekleştirdik” dedi.

6 Şubat depreminin kendileri için tecrübe olduğunu belirten Demiröz, “Bir gece önce evi, arabası olan insanlar sabah yemek yemek için sıraya girmek zorunda kaldı.  O bölgedeki vakıflarımız yıkıldığı için hizmet veremeyecek duruma geldi. Depolarda biriken bağışların ve bakanlığımızın temin ettiği ürünlerin yoğun bir şekilde dağıtılması gerekiyordu. Normal zamanlarda afet döneminde iş görmesi beklenen sistemlerden çok iyi de bir tepki alamayınca biz kendi küçük bir sistemimizi geliştirdik. Ayni yardımların koordinasyonlarını sağlamaya çalıştık bu sistemle. Buradada yine başvuru unsuruna dayanarak kişilerin bilgilerini aldık kaydettik ve mükerrerliğin önüne geçmeye çalıştık. Çünkü doğrudan karşılaştığımız bir durumdu. Zaten bildiğimiz bir senaryo ve bunun sahada da tekrarının tatbik edildiğini görünce mükerrerliği engellemek için yaklaşık 1.5 milyon kişi kaydını alarak deprem bölgesinde bilgilerini işledik ve mükerrerliği engelledik” diye konuştu.

Depremden sonra illerde nüfus yoğunluğu gözle görülür şekilde arttığını da ifade eden Demiröz, “Bu illerde de yine bu insanlara yardım edilmesi gerekiyordu. Bu süreçte de hızlıca 6 Şubat itibariyle deprem bölgesinde ikamet edenlerin bilgilerine ihtiyaç duyduğumuzu hesapladık. Bu bilgiyi alma konusunda aslında 28-Ç’ye rağmen biraz zorlandık. Yani bu noktada kurumsal taassupların bazen öne çıktığını gördük. Yani normalde ilk planda afet koordine edecek kurumdan talep ettik. Sonrasında kurum bizi verinin asıl kaynağına yönlendirdi. Biraz çetrefilli de olsa verileri aldık sistemimize işledik ve bu şekilde insanları mağdur olmasının önüne geçmeye çalıştık” dedi. İstisnai durumlarda bir şekilde veri alınıyor ama veriyi verenin de alanın da içinin rahat etmesi açısından kanunun daha açık hale gelmesinin mümkün olabileceğini söyleyen Demiröz, “Özellikle biz sosyal hizmet, sosyal yardım alanında çalıştığımız için insan odaklı, kişisel veri odaklı çalışmak durumunda kalıyoruz. Çok sayıda kişisel veriyle yüzyüze kalıyoruz. Çünkü işimiz bunu gerektiriyor. Bu anlamda diğerlerini bilmem ama belki bizim Bakanlığımızın istisnai tanımda isminin geçmesini talep edebiliriz” diyerek sözlerini tamamladı.