Giriş
2016 yılında 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (KVKK) yürürlüğe girmesi ile, aslında Avrupa’da otuz yılı aşkın süredir var olan, kişisel veri kavramı ile toplum olarak tanıştık. Bunu takip eden günlerde ise bu konu başlı başına kendine özgü bir hukuk alanı olarak Türk Hukuku’ndaki yerini aldı.
Kanun, yürürlüğe girdiği ilk zamanda genellikle hukukçuların çalışmalarına konu olsa da, diğer sektörler bakımından kişisel verilerin korunması hukuku pek de ciddiye alınmadı. Bu durum Kanun’un, yürürlüğe girmesinden önce işlenmiş olan kişisel verilerin, uyumlu hale gelmesi için son süre olan 7 Nisan 2018 tarihini geçmesinden ve VERBİS kaydı için (o tarihte) son süre olan 30 Eylül 2019’un yaklaşmasına kadar sürdü (şu an ise özel hukuk tüzel kişileri açısından 30 Haziran 2020). Uyanışın bu kadar uzun sürmesinin nedeni, Türkiye’de böyle bir Kanunu hiçbir kurumun uygulatamayacağı; zira Kanun tam olarak uygulanırsa iş yaşamının çıkmaza gireceği ve böylece Kanun’un bir şekilde denetimlerin gerçekleştirilmemesi, yaptırımların uygulanmaması yoluyla uygulanmayan ancak yürürlükte olan yani “kadük” kalan bir yasa halini alacağına dair inancın hakim olmasıydı.
Kişisel Verilerin Korunması Kurumu (Kurum) ise Kanun’un vermiş olduğu sürenin sonuna gelinmesi ile deyim yerindeyse sektörleri tek tek uyandırdı. Özellikle kendisine yapılan şikâyet başvurularından ve ihlal bildirimlerinden hareket ederek yaptırımlar uyguladı, hatta birçok kararında 6698 sayılı Kanun’u ihlal eden tüzel kişilerin ticaret unvanlarını açıklayarak ticari itibarlarını da etkiledi. Kısacası Kurum (ve tabi ki Kurul) Kanun’un tam olarak uygulanacağını açık bir biçimde gösterdi ve göstermeye devam ediyor.
KVKK’nın getirdiği yükümlülükleri ihlal eden tüzel kişilerin ifşası ile idari para cezalarında yeniden değerleme oranlarına göre yapılan artışlardan dolayı cezaların üst sınırı iki milyon Türk Lirasına yaklaşsa da o zamanki hali ile üst sınırı bir milyon Türk Lirasını bulan cezaların verilmeye başlanması tüm sektörlerde hareketlenme yaşanmasına yol açtı. Bir anda, özellikle müşterilerini doğrudan gerçek kişilerin oluşturduğu sektörler, şirketlerini kanuna uyumlu hale getirecek kişilerin ve kurumların arayışı içine girdiler. İstedikleri iki şey vardı; az para harcayarak uyumlu hale gelmek ve idari para cezalarından kaçınmak. Bunu gerçekleştirmek için veri sorumlularının karşısına iki farklı alanda faaliyet gösteren iki aktör ve iki seçenek çıktı: KVKK’ya uyumlu hale gelmek ve yasal yükümlülükleri yerine getirmek için ya bilişim şirketleri ile anlaşarak bilişim uzmanlarıyla ya da avukatlık büroları ile anlaşarak avukatlar ile çalışmak.
VERBİS kaydının son süresinin yeni uzatıldığı bugünlerde de bilişim şirketleri ve uzmanları ile avukatlık büroları ve avukatlar arasında uyum projelerinin yürütülmesi konusundaki çatışma, sıklıkla ve özellikle sosyal medyada yer almaya devam ediyor. Aslında ben de uyum projeleri yürüten bir avukatlık bürosunda yer aldığım için, öznel düşüncelerini yansıtıyor eleştirisinden kaçınmak için bugüne kadar bu tartışmaya girmek istemedim. Gelişmeleri ve tartışmaları yakından takip etmekle sınırlı kaldım. Ancak bugüne kadar sözlü olarak belirttiğimiz bu tartışmaya ilişkin görüşlerimi artık yazıya dökmek istedim.
1. Sorunun Ortaya Çıkma Nedeni
Öncelikle ifade etmeliyim ki, bu tartışmaların büyük çoğunluğunu (bazı önemli istisnalar olmakla birlikte) ortadaki kazanç pastasından pay kapma çabası oluşturmakta. Kanun koyucu tarafından belirli bir alanda düzenleme (regülasyon) yapılması, hele o alan düzenleme yapılana kadar hiç el atılmamış bir alansa, danışmanlık şirketleri ve avukatlar için önemli bir kazanç kapısı olmakta. Bunda da hukuka ya da etiğe aykırı, anormal bir durum söz konusu değil. Zira kapitalist olduğunu iddia eden bir ekonomik düzende herkes para kazanmanın ve kar elde etmenin peşinde, bunun da ne ayıbı ne de etik dışılığı söz konusu olmakta. Bu alandaki çatışmanın nedeni ise düzenlemenin yapıldığı konunun yaşamın hemen her alanına temas etmesi ve hem hukuk hem de veri güvenliği (özellikle de dijital veri) alanlarını ilgilendirmesi. İşte çatışma da burada başlıyor: Pasta kime ait olacak veya pastadan kim ne kadar pay alacak?
Tabi şunu öncelikle belirtmekte fayda var. Avukatlar tabi oldukları reklam yasağı ve bunun getirdiği alışkanlıklar nedeniyle bu konuda genellikle suskun kalmayı tercih ediyorlar. Bunda doğrudan pazarlama yapmak veya alanlarını savunmak gibi bir alışkanlıklarının olmaması da önemli bir etken. Ancak kendi aralarındaki dijital ve yüz yüze ortamlarda bunu konuştuklarını gözlemliyorum. Bilişim şirketleri ise bu konudaki alışkanlıkları ve zaten kar elde etmek amacıyla kurulmuş ticaret şirketi olmaları nedeniyle (kendi açılarından haklı olarak) akıllarından geçen her şeyi hem sosyal medyada hem de yaptıkları danışmanlık/ürün tanıtımlarında ifade ediyorlar.
Ben ise burada taraf tutmadan, mümkün olduğunca nesnelliğimi kaybetmeden (zira avukatlık yapıyorken tamamen tarafsız olmak ve görünmek mümkün değil) tespit etmiş olduğum bu soruna akılcı bir yanıt bulmaya çalışacağım.
Bu konuda gözüme çarpan ilk husus, aslında aynı amaç için gerçekleştirilen projeler arasında çok fazla fark olduğudur. Peki ortada tek bir yasa varken, uygulamada bu konuya olan yaklaşım neden bu iki ayrı aktör bazında ayrılıyor? Bakış açısındaki söz konusu farklılaşmanın sebebi ne? İşte bu yazının devamında bu soruların yanıtını arayarak avukatların kişisel verilerin korunmasındaki rolünü ortaya koymaya çalışacağız. Bunun için ilk olarak bilişim şirketler ve uzmanlarının konuya ilişkin yaklaşımını irdelemek gerekir.
2. Bilişim Şirketleri / Bilişim Uzmanlarının Rolü
Öncelikle uygulamada ben de ekibim ile birlikte bu projeleri gerçekleştirdiğim, bizzat içerisinde olduğum ve bu projelerin büyük bir çoğunluğunu (özellikle aksi yönde bir talep olmaması halinde) veri güvenliği alanında danışmanlık veren bilişim şirketleriyle ortak proje olarak yaptığımdan dolayı bilişim şirketleri ve hukuk bürolarının projelere bakış açıları arasındaki farka ve her iki tarafın rolüne değinilmesi gerektiğini düşünüyorum.
Bilişim şirketlerinin gerçekleştirdikleri projelere bakıldığında, projelerin daha çok veri güvenliği noktasına odaklandığını, veri sorumlularının “teknik tedbirler”e yönelik aksiyon adımlarının alınmasına yardımcı oldukları görülmektedir. Bu da bilişim uzmanlarının formasyonu gereği son derece normaldir, kendilerinden beklenen de budur. Ayrıca ürün satmak ve uygulamaya almaktan ziyade “27001” gibi standartları uygulamak için danışmanlık vermekte uzmanlaşmış şirketler, bir projenin nasıl yürütülmesi gerektiği, aşamalarının nasıl olacağı, girdiler ile çıktıların nasıl olması gerektiği, sürecin nasıl işletileceği, projenin zamanlaması ve zaman tablosuna uyumun nasıl sağlanacağı, projenin doğru şekilde ücretlendirilmesi ile denetlenmesi ve en önemlisi projeye dahil olan şirket çalışanlarının projenin yürütülmesi için motive edilmesi konularında avukatlardan daha bilgili ve deneyimlidir. Gördüğümüz kadarıyla proje geliştirme ve yönetme konusunda yalnızca “proje finansmanı” gibi alanlarda uzmanlaşmış avukatlar söz konusu bilişim uzmanları kadar bilgi birikimine sahip olabilmektedirler. Zira bir davayı baştan sona yürütmek ile bir projeyi baştan sona yürütmek farklı konulardır. KVKK konusunda çalışmaya başlayan avukatların en zorlandığı alanın ve bana en çok yöneltilen sorulardan birinin bu olduğunu rahatlıkla söyleyebilirim. Tabi bilişim uzmanlarının sahip olduğu teknik bilgi ve beceriyi ise avukatlardan zaten beklemediğimi (istisnai olarak her iki alanda çalışmış avukatlar dışında) ifade etmeliyim.
Buna karşın şunu rahatlıkla söyleyebilirim: Proje yapmayı iyi bilen bir şirketle iki ya da üç farklı proje birlikte yapıldıktan sonra, bir projenin nasıl yapılandırılması ve yürütülmesi gerektiği rahatlıkla öğrenilebiliyor (aynen icra takibinin usta-çırak ilişkisi içinde iki-üç defa yapıldıktan sonra öğrenilmesi gibi). Ancak bu yine de özellikle teknik isterleri çok olan büyük projelerde avukatların tek başına rol alabileceği anlamına gelmiyor. Ama proje yürütmek kısa zamanda öğrenilebilen ve bu işe giren avukatlar tarafından (kendileri proje yönetimini üstlenmeseler dahi, kontrol amacıyla) öğrenilmesi gereken bir süreç. Zira bu bilgi ve deneyimin avukatlık bürosunun klasik hukuk işlerine yansıtılmasının da birçok olumlu yönünün olduğunu ve bunu deneyimlediğimi ifade etmeliyim.
Öte yandan bir avukat (ayrıca bilgisayar mühendisliği vb. bir alanda öğretim görmemiş ve bu alanda çalışmamışsa) istediği kadar iyi teknoloji bilsin ya da bu alana ilgi duysun, bizzat veri güvenliği projeleri yapan ve/veya bu alanda danışmanlık veren bir bilişim uzmanı kadar bilgi birikimi ve deneyimine sahip olamaz. Tabi ki bunun istisnaları vardır, ancak istisnalar kaideyi bozmaz aksine güçlendirir. Dolayısıyla avukatların teknik konularda iş yapmaya girişmemesi, bu alanda destek alması gerekir.
İşte bu noktada bilişim şirketleriyle avukatlar arasındaki önemli fark ortaya çıkmaktadır. Uygulamada gördüğüm ve bu işi yapan avukatları da tanıdığım için, KVKK projelerinde yer alan avukatlar, veri güvenliğinin teknik boyutu hakkında bilgi ve deneyim sahibi olsalar da bu sorumluluğu üstlenmemekte, projeleri ya veri güvenliği şirketleriyle birlikte almakta ya da müvekkillerini bu şirketlere yönlendirmektedirler. Peki avukatlar kazanacakları parayı neden bu şekilde bölüşmeyi tercih etmektedirler? Avukatlık mesleğindeki en önemli motivasyon kaynaklarından birisinin para kazanmak olduğu yadsınamaz bir gerçektir, bir çoğumuz geçimimizi yalnızca avukatlıktan elde ettiğimiz kazançla sağlıyoruz, dolayısıyla mümkün olanın en fazlasını kazanmak çabası içindeyiz. Bunun nedeni basit: mesleki yaşamlarında hep sorunlu ve sorumluluk gerektiren örnekleri ve bunların yol açtığı zararları gören avukatlar, uzmanı olmadıkları bir konuda haklı olarak risk almamakta, bu konudaki sorumluluğu (olması gerektiği gibi) işin uzmanına devretmektedirler. Bunun istisnasına rastlamadığımı da ifade etmeliyim.
Yine uygulamada gördüğüm üzere maalesef aynı hassasiyeti bazı bilişim şirketleri ve uzmanları göstermemektedirler. Yazıyı okuyan bilişim uzmanlarının “biz böyle değiliz” diyeceklerini biliyorum. Gerçekte de bu alanda ciddi çalışma yapan ve buna göre ücretlendirmeye giden pek çok şirket bu alanda mutlaka bir avukat ile çalışmaktadır. Ancak az da olsa, belli sayıdaki bilişim şirketleri ve bilişim uzmanları bunu yapmamakta ve hukukçuluğa soyunmaktadır. Oysa avukatların büyük bir çoğunluğu (belki birkaç istisna hariç ancak ben hiç deneyimlemedim) yukarıda anlattığım nedenlerle, tabiri caizse “bu topa girmemektedir”. Oysa KVKK uyum projesi için pazarlama yapan bazı bilişim şirketlerinin işin hukuki kısmını da anlattıkları, hatta tanıtım yaptıkları şirketin orada hazır bulunan hukuk müşaviri tarafından siz hukukçu musunuz diye soru yöneltildiğinde “biz de artık bilişim hukukçusu olduk” dediklerini, bizzat bu ve benzeri olaylara tanıklık edenlerden öğrenmiş bulunmaktayım. Bunun her anlamda sınırı aşmak ve çok tehlikeli bir alana girmek olduğunu söylemem gerekir. Bu yalnızca etik değil aynı zamanda hukuki ve cezai sorumluluğu gerektiren bir durumdur.
Peki madalyonun öteki yüzünde, yani işin talep kısmında şirketler neden bir avukatın olmadığı projeyi tercih etmektedirler? Bunun birden çok yanıtı bulunmakta: 1. Bilgisizlik ve bilinçsizlik, zira bu konu oldukça yeni. 2. Yanlış yönlendirme ki bu da birinci başlıkla doğrudan bağlantılı. 3. Zaten aslında herkesin kendince hukuki konuları bildiğini düşünmesi (bu cezaya maruz kalındığında geçen bir düşünce), 4. Maliyet. Aslında en önemli neden maliyet sorunu. Zaten sıkışık bir piyasada sınırlı sermaye ile hareket etmek durumunda olan şirketler (veri sorumluları) haklı olarak en az maliyetle bu yükümlülüğü yerine getirmek (ya da bu sorunu başlarından atmak) istemektedirler. Kanun’a uyum söz konusu olduğunda hukukçulara danışmak yerine bilişim uzmanına danışmanın önemli bir nedeninin birçok bilişim şirketinin, hukuk bürolarının çalıştığı ücretten daha az ücrete çalışıyor olmalarından kaynaklandığını düşünüyorum.
Bu ücret farkı ise hem nitelik hem de nicelik farkından kaynaklanıyor. Öncelikle avukatlık ücretleri tüm dünyada olduğu gibi diğer pek çok sektöre göre yüksek (ülkemizde ABD ve Avrupa’ya göre çok düşük hatta yerlerde olduğunu söyleyebilirim, ABD’li veya Avrupalı bir avukatın bir saat danışmanlık için istediği 300 ya da 400 ABD doları ya da Avro civarındadır, bu projelerde bir avukatın adam/gün ücreti dahi buralara yaklaşamamaktadır) kalmakta, bu da mesleğin aynı hekimlik gibi zorlu bir lisans eğitimi, meslek içi eğitim ve uzun bir deneyim gerektirmesinden kaynaklanmakta hatta ücretin büyük çoğunu bu bilgiyle bezenmiş deneyim oluşturmaktadır. Öte yandan bu projelerde nicelik olarak da avukatların yapacağı kişiye özel (daha doğrusu veri sorumlusuna özel) işlerin sayısı çok fazla olmaktadır. Zira avukatlar projelerde hukuki açıdan şirketleri bir bütün olarak uyumlu hale getirerek adeta veri sorumluların bu zamana kadar sahip oldukları hukuki tüm uygulamaları baştan değiştirmektedir. Bu da tüm detaylara hakim olmayı ve en ince ayrıntısına kadar tüm süreçlerin yeniden yapılandırılmasını gerektirmektedir.
Uygulamada bazı bilişim şirketlerinin gerçekleştirdikleri projelerde uzmanlık alanlarında olmamasına rağmen adeta avukatlığa soyunarak hukuki danışmanlık vermeye dahi kalkıştıklarını görmekte ve duymaktayız. Kişisel verilerin korunması hukuku konusunda bilgi sahibi olmayan veri sorumluları ise bilişim uzmanlarının vermiş olduğu yetersiz, kimi zaman da yanlış tavsiyeler ile hareket etmekte ve idari para cezalarından, düşük ücretlere aldıkları danışmanlıklar “sayesinde” kurtulduklarını kanısına varmaktadırlar. Bunun bir yanılsamadan ibaret olduğunu ifade etmeliyim.
Bugüne kadar içerisinde yer aldığım projelerden bazılarında bizden önce yalnızca bilişim şirketlerinden danışmanlık hizmeti alınmıştı. Böylece doğrudan bilişim şirketleri tarafından gerçekleştirilen projelerin içeriklerini öğrenme imkânı edindim. Örneğin bir bilişim şirketi tarafından yürütülen uyum sürecinde veri sorumlusu Şirket’in bünyesinde bulunan bütün birimlerle tek tek konuşularak şirketlerin iş süreçlerinin çıkarılmasından ziyade, her departmanın süreciyle ilgili bir iki cümlelik anlatım yapılmış, ilgili süreçler bölünmediğinden işlenen kişisel veriler toplu bir şekilde kaleme alınmış ve dahası ilgili her bir münferit süreçte hangi kişisel verilerin toplandığı / işlendiği / saklandığı gösterilmemişti. Yapılan bu “tespit”lerin ardından; kişisel veri içeren doküman, belge, dosya vb. nin güvenliğinin sağlanması açısından kilitli dolap önlemleri, elektronik ortamda bulunan kişisel verilerin korunması amacıyla ise erişim loglama, şifreleme, yetki matrisi, sızma testi, veri kaybı önleme yazılımları gibi önlemleri, her bir münferit süreçte yer alan kişisel verilerin güvenliğinin sağlanması için tek tek yazılması yolundan kaçınılarak toplu bir şekilde sıralandığı raporlar teslim edilmişti. Doğru bir proje için bunların gerekli ancak yetersiz olduğunu ifade etmeliyim .
Projelerin bu şekilde eksik yapılmasından daha vahim olan ise hukuki konularda verilen önerilerdir. Bilişim şirketlerince hafife alınan bir diğer husus ise, yalnızca Kurul’un internet sitesinde yayınladığı rehberlere bakılarak aydınlatma metinlerinin yazılabileceği, envanterlerin yapılabileceği, çoğu şirketin bazı noktalarda birbirlerine benzer süreçler içerdiğinden aynı metinlerin şirketin kendisine özgülenerek farklı farklı aydınlatma metinlerinin yazılabileceğini savunmalarıdır. Aydınlatma metinlerinin açık rıza metinleriyle karıştırılması hususu da ayrı bir mesele oluşturmaktadır.
Ama buradan da şu sonuç çıkartılmamalıdır: “avukatların projeleri çok iyi, bilişim şirketlerine gitmeyin ve yalnızca avukatlarla bu projeleri yürütün.” Çıkarılması gereken sonuç; herkesin en iyi bildiği işi yaparak, kendi alanına ilişkin olan hususlarda çalışmasının, önerilerini de kendi alanlarına ilişkin konularda vermesinin en doğru yöntem olduğudur. Dolayısıyla bilişim uzmanları avukatlığa, avukatlar da bilişim uzmanlığına soyunmamalı herkes kendi açısından projeye yaklaşmalı ve mümkünse işbirliği yapmalıdır.
3. Avukatların Rolü
Yukarıda da bahsettiğim üzere aktörlerin konuya yaklaşım yönleri ile bakış açıları birbirinden farklıdır. Bilişim uzmanları veri güvenliğini sağlamaya odaklanırken avukatlar da hukuki yapılandırmaya odaklanmaktadır. İşte kişisel verilerin korunmasında avukatların konumunu belirleme zorunluluğu da burada doğmaktadır.
Biz avukatlar kişisel verilerin korunması konusunda özellikle gerçekleştirdiğimiz uyum projeleri ile şirketlerin tüm iş süreçlerini, sözleşmelerini, politika ve prosedürlerini inceliyoruz. Bu süreçlerde yasa ile uyumlu olmayan, düzeltilmesi gereken alanları ve eksiklikleri tespit ediyoruz ve gerekli düzenlemelerin yapılmasını proje kapsamında gerçekleştiriyoruz. Gerekirse yeni politika ve prosedürler oluşturuyor, sözleşmelere ekler hatta bazı sözleşmeleri baştan yazıyoruz. Bunların yapılabilmesi için de bilişim uzmanı değil, avukat olmak gerekiyor. Zira hukuk fakültesi mezunu bir avukatın dahi tüm mevzuata hakim olamadığı gününüzde, teknik alanlarda uzmanlaşmış bir kişinin hakim olmasını beklemek anlamsız olur.
İşte bu nokta son derece önemli. KVKK yukarıda da belirttiğim üzere, hukukun her alanına temas eden bir düzenleme ve kişisel verilerin korunması böyle bir hukuk dalı. Dolayısıyla bu hukuk dalında bir görüş ifade edebilmek ya da uyum projesi gibi süreçleri yönetebilmek için hukukun hemen her alanında bilgi sahibi olmak, bu alanlarda akıl yürütebilmek gerekiyor. İşte avukatları diğer alanlardaki uzmanlardan farklılaştıran da bu özellikleri oluyor. Zira hukuk fakültesinde anayasa hukukundan ceza hukukuna, idare hukukundan insan hakları hukukuna, kişiler hukukundan borçlar hukukuna, iş hukukunda milletlerarası özel hukuka kadar, hukukun tüm temel alanlarında ders alınıyor ve mezun olmak için bu ve diğer derslerin tamamını vermek gerekiyor. Her ne kadar uygulamada avukatlar farklı alanlarda uzmanlaşsalar da (örneğin benim ceza hukuku ve bilişim hukukunda uzmanlaşmam gibi), hukuk fakültesinde alınan bu hukukçu bakış açısı ve neyi nerede bulabileceğinize ilişkin bilgi, ama en önemlisi hukukun normlarının nasıl yorumlanacağı ve uygulanacağına ilişkin bilgi avukatların Kanun’un yorumlanması ve uygulanmasındaki farkını bariz bir şekilde ortaya çıkarıyor ve kendilerini bir adım öne çıkarıyor.
Bu önemli fark bilişim uzmanlarında (eğer hukuk fakültesinde öğretim görmediler ise) veya diğer bir sosyal bilim alanında öğrenim gören bir kişide bulunması mümkün olmayan bilgi birikiminden kaynaklanıyor. Zira hukuk fakültesinde yalnızca kuralların neler olduğu değil bu kuralların soyut bir uyuşmazlığa nasıl uygulanacağı ve bunun yöntemi öğretiliyor. Dolayısıyla hukuk fakültesi dışındaki herhangi bir fakültede alınan bir iki başlangıç seviyesindeki hukuk dersi ya da okunan birkaç hukuk kitabı bu nosyon eksikliğini gidermiyor.
Avukatlar meslek yaşamında da sürekli olarak uyuşmazlık çözmek veya ileride ortaya çıkması muhtemel uyuşmazlıkları öngörerek buna ilişkin sözleşme, ihtar vs. gibi önlemleri almaktadırlar. KVKK da teknik tedbirlerin yanı sıra ve bunlardan daha çok idari tedbirler başlığı altında kişisel veriler açısından ileride çıkması muhtemel risklerin en aza indirgenmesine yönelik çalışmaların yapılması ve bunun kanıtlanmasına üzerine kurulu bir kanun. Bu noktada avukatların geçmiş deneyimleri ve hukuki riskleri önlemeye ilişkin refleksleri devreye giriyor ve idari tedbirlerin alınması ve uygulanmasında önemli bir işlev görüyor.
Bunun gerekliliği bir örnek ile daha iyi anlaşılacaktır. Veri sorumlularının 6698 sayılı Kanun gereğince kişisel veri saklama ve imha politikası oluşturmaları gerekir. Politikaların oluşturulabilmesi için ise veri sorumlusunun faaliyetlerinin tabi olduğu tüm mevzuatların zamanaşımları ile hak düşürücü süreler bakımından incelenmesi ve veri sorumlusunun iş süreçleri de değerlendirilerek kişisel verilerin saklanması ve imhası için maksimum süreler belirlenerek ilgili prosedür oluşturulmalıdır. Yasalar çerçevesinde müvekkilinin istekleri doğrultusunda hareket eden biz avukatların ancak ve ancak, aldığı hukuk eğitimi ve mesleki tecrübe ile danışmanlık hizmeti verdikleri veri sorumlusu olan şirketlerin ihtiyaçlarını karşılaması mümkündür. Mevzuata hakim olmadan yapılan değerlendirmeler ve alınan kararlar sonucunda şirketlerin başka mevzuattan kaynaklanan yaptırımlarla ve davalarla karşılaşmaları ya da ticari faaliyetlerinin bir çıkmaza girmesi olasıdır. İşte avukatlar tam da bu noktada yer almaktadır.
Konunun bir boyutu bu olup diğer bir boyutu ise hukuki danışmanlık verilmesine yasal olarak yetkili kişilerin avukatlar olması ve bilişim uzmanlarının bu kapsamda yer almamasıdır.
1136 sayılı Avukatlık Kanunu’nun 35. maddesine göre, “Kanun işlerinde ve hukuki meselelerde mütalaa vermek, mahkeme, hakem veya yargı yetkisini haiz bulunan diğer organlar huzurunda gerçek ve tüzel kişilere ait hakları dava etmek ve savunmak, adli işlemleri takip etmek, bu işlere ait bütün evrakı düzenlemek, yalnız baroda yazılı avukatlara aittir”. Başka bir deyişle hukuki danışmanlık ancak avukatlar tarafından verilebilir. Bunun aksine davranışlar hukuka aykırılık oluşturur. Dolayısıyla hukuk fakültesi mezunu olsa dahi “baro levhasına yazılmak suretiyle avukat unvanını almayan kişilerin” hukuki tavsiyelerde bulunmak gibi bir işe girişmemeleri gerekir.
Bu noktada veri sorumlularını da uyarmak gerekir. Avukatlar yaptıkları mesleğin sorumluluklarının bilincinde olarak, hukuki tavsiye ve işlemlerini olması gerektiği gibi ve zamanında yapmakta ve yanlış bir tavsiye ya da eksik bir işlem neticesinde kendilerinin sorumluluklarının da (hukuki ve cezai) olacağını bilerek hareket etmekte hatta bunun için mesleki sorumluluk sigortası yaptırarak olası hatalar nedeniyle müvekkillerinin kayıplarını güvence altına almaktadırlar. Kısacası her açıdan müvekkilleri olan veri sorumlularını korumaktadırlar. Aynı hususun bilgisi ve deneyimi ne olursa olsun “avukat” sıfatını taşımayan bir başka kişi tarafından sağlanması mümkün değildir.
Türk Ticaret Kanunu gereğince “basiretli bir tacir” olarak davranması gereken bir şirket (veri sorumlusu) bu şekilde hareket etmeyerek hukuki tavsiyeleri bir avukat yerine işi ve uzmanlığı bu olmayan bir üçüncü kişiden aldığında, ortaya çıkabilecek zararlarını bu sıfatla hareket etmediği için tazmin ettirmesi de mümkün olmayacaktır.
4. Uyum Projelerindeki Aktörlerin Oranı Ne Olmalıdır?
Bu konuda bir ayrım yapmak gerekir. İş gücü açısından nasıl bir oran, işin niteliği açısından nasıl bir oran olmalıdır?
İş gücü (nicelik) açısından, projenin yapıldığı veri sorumlusunun niteliğine göre durum değişmekle birlikte, yarı yarıya ya da tarafları değişmekle birlikte %70 - %30’ kadar değişen oran bandında değişmektedir. Yapmış olduğumuz projelerde ortaya çıkan tablonun hep bu şekilde olduğunu matematiksel verilerle (adam/gün sayısı) ortaya koyabilirim.
Öte yandan işin niteliği bağlamında büyük bir fark bulunmaktadır. Zira bu kısımda karar verme ve yönlendirme devreye girmektedir. Bunu şu örnekle de açıklayabiliriz. Bir inşaatın yapım sürecinde işçilerin iş gücü ve harcadıkları zaman inşaat mühendisindekinden kat kat fazladır. Ancak çok daha kısa bir zaman diliminde statik hesaplarını yapan, inşaatın nasıl yapılacağına karar veren ve denetleyen inşaat mühendisidir. Dolayısıyla inşaat mühendisinin bir inşaattaki önemi nitelik açısından bir işçiye göre kat ve kat fazladır.
Bilişim şirketleri / uzmanları veri güvenliğine ilişkin teknik boşlukları tespit etmekte (bunu kişisel veri envanteri çıkarılması aşamasında yapmakta), boşluk raporunun oluşturulması esnasında görev almakta ve sonrasında uyum sürecinde veri güvenliğinin sağlanması için gerekli olan teknik hususları (ürün aldırma / üretme / uygulama) şeklinde hayata geçirmektedir. Geri kalan tüm kısmın (eğitimlerin verilmesi, kişisel veri envanterinin çıkarılması, sözleşmelerin yapılandırılması, prosedürlerin geliştirilmesi vs.) yapılması ve bunun sorumluluğu avukatlara kalmaktadır. Ayrıca herhangi bir ilgili kişinden ya da Kurum’dan bir başvuru ya da soru geldiğinde bunun yanıtlarının hazırlanmasında da daima avukatlardan destek alınmaktadır. Özellikle projelerin çoğunda, proje bitmesine rağmen avukatlardan danışmanlık hizmeti alınmaya devam edilmesi nitelik olarak ağırlığın avukatların üzerinde olduğunun en önemli kanıtlarından birisidir. Dolayısıyla buradaki oranın %80 hukuk, %20 bilişim uzmanlığını olduğunu söyleyebilirim.
Buna bilişim uzmanlarının hemen itiraz edeceklerini biliyorum. Ancak ikinci oranın işin niteliği ile ilgili olduğunu, iş gücü ya da kazancın paylaşılması ile ilgili bir oran olmadığının altını bir kez daha ve önemle çizmek isterim.
Bu nitelik farkını şöyle açıklayabiliriz: Çürük bir domatesi buzlukta saklamanın bir anlamı yoktur. Buzu çözüldüğünde o yine kullanılamaz ve zararlı bir çürük domatesidir. Dolayısıyla domatesler dondurulmadan önce bu işin uzmanı tarafından kontrol edilmeli ve hangisinin saklanıp hangisinin saklanmayacağına karar verilmelidir. Aynı durum kişisel veriler için de geçerlidir. Bilişim uzmanı tarafından veri güvenliği sağlanmadan önce, söz konusu verinin hukuka uygun mu elde edildiği ve işlendiği, veri işlemenin amacının ve hukuki dayanağının ne olduğu ve son saklama ile işleme süresinin ne olduğunun bir avukat tarafından belirlenmesi gerekir. Aksi takdirde istenildiği kadar iyi bir güvenlik sistemi kurulsun zaten saklanan verinin bizatihi kendisi hukuka aykırı olacaktır. Bu husus ise ancak bir avukat tarafından sağlıklı bir şekilde tespit edilebilir.
Bunun nedeni ise teknik kısımda zaten hali hazırda bilinen veri güvenliği risklerine karşı önlemler alınmasıdır. Geçmişte yaşanmış siber saldırılar, veri sızıntıları, veri kayıpları gibi örneklerden yola çıkılarak geleceğe ilişkin bir projeksiyon yapılmakta ve buna ilişkin donanımsal ve/veya yazılımsal önlemler alınmaya çalışılmaktadır. Hukuk tarafında ise avukatlar adeta sisler içinde yol almaktadır. Zira Kanun yeni olup buna ilişkin verilmiş Kurul kararları çok az, mahkeme kararı ise hiç yoktur. Her gün gelişen teknoloji yeni hukuki sorunların ortaya çıkmasına yol açmakta, veri sorumluları ise sorunlarına acil yanıt aramaktadır. Kişisel veri ihlali nedeniyle bir yaptırım olması halinde ise buna yanıt vermesi ve çözüm bulması istenen yine avukatlardır. Dolaysıyla işin nitelik olarak ağırlığının hukuk tarafında olduğu rahatlıkla söylenebilir.
Sonuç
Her iki aktör de bu aşamada kendi uzmanlık alanları çerçevesinde projelerini gerçekleştiriyor; ancak asıl sorun her iki aktörün de uyumun tamamen sadece kendi alanlarındaki yapılandırmalarla gerçekleşebileceğini iddia etmelerini noktasında başlıyor. Kişisel Verilerin Korunması Hukuku multidisipliner bir alandır. Özellikle yasanın yükümlülüklerinin yerine getirilmesi bakımından şirketlerin bilişim ve hukuk alanlarında tekrardan yapılandırılması gereklidir.
Bu konu, Kişisel Verilerin Korunması Kurumu’nun 6 Kasım 2019 tarihinde yayımladığı duyurusuna da konu olmuştur: “Şikâyet üzerine ya da re’sen yaptığı incelemelerde veri sorumlularının bu yükümlülükleri yerine getirip getirmediğini hukuki ve teknik açıdan birçok unsuru içeren geniş bir perspektiften değerlendirmekte ve karar vermektedir. Bu noktada Kurulun, sadece Kanun ve ikincil mevzuatta belirtilen yükümlülüklere uyumu göz önünde bulundurduğunun ve bu uyum çalışmalarının veri sorumlusu bünyesinde ya da dışarıdan destek almak suretiyle yürütülüp yürütülmediği konusunda bir değerlendirmede bulunmadığının belirtilmesi gerekmektedir. Nihayetinde, veri sorumlularının tabi olduğu yükümlülüklerin çeşitliliği gereği bu yükümlülüklerin ancak disiplinler arası ortak bir çalışmanın neticesinde yerine getirilebilir olduğu hususu da göz önünde bulundurulmalıdır”.
Kurum’un da duyurusunda vurguladığı gibi ortak bir çalışma ve iş birliği ile ancak tam bir uyum gerçekleştirilebilir. Yani bilişim uzmanlarının bilişim alanlarındaki bilgi ve tecrübelerini kullanarak veri güvenliği konusunda alınması gereken teknik tedbirler, avukatların da idari tedbirler ve hukuki konularda yardımcı olarak gerekli danışmanlığı sağlaması kişisel verilerin korunmasında hedeflenen sonuca ulaşılacaktır. Aksi halde şirketlerin kişisel verilerin korunması konusunda bir yönleri eksik kalacaktır.
Murat Volkan Dülger
Doç. Dr., Avukat, Öğretim Üyesi.
(Bu köşe yazısı, sayın Doç. Dr. Murat Volkan DÜLGER tarafından www.hukukihaber.net sitesinde yayınlanması için kaleme alınmıştır. Kaynak gösterilse dahi köşe yazısının tamamı özel izin alınmadan kullanılamaz. Ancak alıntılanan köşe yazısının bir bölümü, aktif link verilerek kullanılabilir. Yazarı ve kaynağı gösterilmeden kısmen ya da tamamen yayınlanması şahsi haklara ve fikri haklara aykırılık teşkil eder.)
