SMS yaması tutmadı, çünkü kişisel verileri koruma yasamız yok

Tüketiciler, 1 Mayıs'ta devreye giren Elektronik Ticaretin Düzenlenmesi Hakkında Kanun'a rağmen, izinsiz SMS ve maillerden hala kurtulamadı. Yönetmeliğin çıkması bekleniyor ama bu da sorunu tam olarak çözemeyecek. Çünkü yasanın üzerinde durması gereken zemin eksik, Türkiye'nin hala bir Kişisel Verileri Koruma Kanunu yok.

Konuyu uzun süredir gündeme getiren Türkiye Bilişim Vakfı (TBV) Başkanı Faruk Eczacıbaşı ve yasal süreçlere hakim olan avukat ve TBV Yönetim Kurulu Üyesi Yasin Beceni ile bu süreci ve iş dünyası için yaratabileceği fırsat ve tehditleri konuştuk. Eczacıbaşı, "Türkiye Bilişim Vakfı uzun bir süredir bir kişisel verilerin koruması yasası çıkması için çaba gösteriyor. Dünya 1940'larda bunu konuşuyordu, şimdi normlar içselleştirildi, artık verinin ekonomik bir değer olarak kullanılması yolunda hızla ilerliyorlar. Biz ise sürecin dışında kaldık" diyor.

Dünyada artık veri temelli bir ekonomiden bahsediliyor. Oysa Türkiye'de verilerin korunmasına dair bir norm belirlenemediği için her şey çerçevenin dışında gelişiyor. Aynen SMS ve e-postaların izinsiz gönderimini düzenleyen yasada olduğu gibi. Yasin Beceni, neden bu noktada olduğumuzu şu sözlerle tanımlıyor: "Bir nevi kendimize paralel bir evren kuruyoruz. Dünya belirli bir yönde giderken biz kendimize farklı bir pratik geliştiriyoruz. Son SMS yasasında olduğu gibi. Size bir yerlerden mesajlar, mailler geliyor. Bu, Türkiye'de insanların kişisel verilerinin herhangi bir sınırlanma olmadan dağıtılması, paylaşılması açısından bir kural olmadığını gösteriyor. Bununla ilgili bir elektronik ticaret kanunu çıktı. Aslında bizim kişisel verilerin korunması yasamız olsaydı o, kişisel verilerin amacı dışında kullanılamayacağını belirliyor zaten. Yani bizim bir kanunumuz olsaydı böyle bir düzenlemeye ihtiyaç olmayacaktı. Dolayısıyla biz bir nevi yama yapmaya çalışıyoruz."

100'e yakın düzenleme var ancak AB normunda yasa yok

TBV verilerine göre 2007 yılına kadar bütün dünyada yaratılan veriler bugün sadece 1 ayda yaratılıyor. Bu 1 ay, 2020 yılında 1 gün olacak. Yani veri anlamında evren hızla büyüyor. Ama bir yasamız olmadığı için ticari ve sosyal pratik bu ilkelerden yoksun olarak ilerliyor. "Yama yapılıyor ama yama tutmuyor çünkü bağlamından kopardığınız zaman anlamını da kaybediyor. Şimdi bizim ülkemizde kişisel verilerin korunması ile ilgili 100'e yakın düzenleme var. Ama temel estruman olan kişisel verilerin korunması kanunu olmadığı için bu düzenlemeler kendi bağlamlarını bulup uygulanabilir olmuyorlar. Son elektronik ticareti düzenleme yasası, bir şirketin sizin izniniz olmadan verilerinizi toplayıp bir profil oluşturmasını yasaklamıyor, size mail atmasını yasaklıyor. Oysa bir kanunumuz olsa o profillemeyi de yapamayacak, sizin cep telefonunuzu mailadresinizi 3'üncü kişilerle paylaşmasını engelleyecek. Bugün bir şirket kişisel verilerinizi nerede tuttuğunu, bu verilerle ne yaptığını size açıklamak zorunda. Bu Anayasal hakkınız. Ama "tutma benim verimi" dediğinizde buna karşı yaptırımınız ne olacak bu yok çünkü yasa ile düzenlenmedi."

Yasa 4 kez kadük oldu AB'nin en çok eleştirdiği bu

TBMM 4 yasama dönemidir bir kişisel verileri koruma yasası taslağı görüyor aslında ama taslak bir türlü yasalaşamadı. Bu kanunun hazırlanmasında da görevli olan Yasin Beceni, "4'üncü kez yasalaşmayarak kadük oldu. AB'nin her ilerleme raporunda Türkiye'yi en çok eleştirdiği alan bu... Bu taslak birçok yönüyle eleştirilebilir ama bir başlangıç noktası olması açısından önemli bir adım" dedi.

Peki neden böyle bir yasanın çıkarılmasından imtina ediliyor? Beceni şöyle yanıtlıyor: "Veri çok kıymetli bir hale geldi, herkes işlemek istiyor, devlet de şirketler de her şeyi bilmek istiyor. Kişisel verilerin korunması kanunu çıkarsa işler durur diye bir kaygı var. Ancak dünya artık entegre olmaya başladı.

Veri temelli ekonomi içinde ülkeler kişisel verilerin korunmasına ilişkin özen derecelerine göre sınıflandırıyor. Bu sınıflandırmada siz eğer kötü bir pozisyondaysanız ticaretiniz de sıkıntı yaşamaya başlıyor."

Türkiye kişisel veri korumada Uganda ve Kenya ile yan yana

Veri koruması hukuku ilk Avrupa'da yaygınlaştırıldığı için Avrupa diğer ülkeleri kategorize ediyor. Örneğin AB üyesi ülkeler güvenli ülke statüsünde. AB mevzuatını alarak kendi veri koruma statüsünü belirleyen ülkelere de güvenli kabul edilen ülkeler statüsü veriliyor. Arjantin, Yeni Zelanda, İsrail... Avrupa ile ticaret yapabilmesi için ülkelerin bu kriterlere uyuyor olması gerekiyor. Özel statüsü ülkeler var, örneğin ABD. Bunların dışında kalan Uganda, Kenya, Türkiye gibi ülkeler de güvensiz ülke statüsünde. Yani Avrupa'dan Türkiye'ye veri transferi güvensiz kabul edildiği için Avrupa'daki bir şirkete Türkiye'den hizmet vermek güçleşiyor, bazen imkansız hale geliyor.

Beceni bir örnek veriyor: "Bir şirket satın aldınız Almanya'dan, ama Türkiye güvensiz ülke olduğu için o şirketin datalarını Türkiye'ye getiremiyorsunuz malesef. İzin vermiyorlar. Amiyane tabirle deveye hendek atlatarak bunu yapabiliyorsunuz. Amerika'daki federal otorite de çok ciddi takip ediyor bu konuyu ve şirketlere ciddi cezalar kesiyor. Veri işleyen sistem olmadan artık ekonomik bir faliyette bulunmak imkansız. Şu anda bütün aktiviteler herhangi bir kural olmadan gerçekleşiyor, üretim, insan kaynakları, pazarlama gibi tüm aktivitelerinizde herhangi bir veri koruma kuralı olmadan dizayn ediyorsunuz. Oysa AB normlarına göre bunu yapamazsınız."

Mahremiyet müdürü dönemi başlıyor

Kişisel verilerin korunması ile ilgili düzenlemeler sıkılaştıkça ve cezalar arttıkça, bu alanda yeni iş alanları da oluşuyor. Örneğin AB'de hazırlanan yeni regülasyona göre belirli bir büyüklüğün üzerinde şirketler "privacy officer" (mahremiyet müdürü) istihdam etmek durumunda olacak. Yasin Beceni bilişim alanındaki hukuki süreçlere odaklanan bir avukat, aynı zamanda BTS Partners'ın kurucu ortağı. Almanya'da halihazırda bu düzenlemenin olduğunu anlatan Beceni, "Bu kişiler, şirket içinde veri mahremiyetine dair yeterliliklerin yerleşmesini denetleyecek. Bir ürün mü geliştirilecek, privacy off icer bunun veri mahremiyeti açısından uygunluğunu denetleyecek. Tüm süreçler kişisel veri koruma düzenlemelerine uygun mu değil mi bu kişiler bunu denetleyecek." Beceni, bu süreçte dizayn anlamında da mahremiyet kurallarının öneminin artacağını anlatıyor. "Yeni bir kavram daha gelişiyor, Pirvacy by design. Bu, Avrupa'ya sattığınız her tür hizmet ver ürünün mahremiyet kurallarına göre dizayn edilmesi gerekliliği anlamına geliyor. AB, privacy by design standardına uygun olmayan ürünleri artık satın almayacağını düzenliyor. Örneğin artık veri toplayan bir araç üreten her şirket, dizaynın her aşamasında kişisel veri güvenliği ile ilgili düzenlemelere uyduğunu kanıtlamak durumunda."

Güvensiz ülke olarak kalırsak İstanbul Finans Merkezi olamaz

Her tehdit beraberinde bir fırsat da barındırıyor. Türkiye eğer AB'ye uyumlu bir yasa çıkarıp güvenli ülke statüsüne kavuşursa, Ortadoğu ve Kuzey Afrika'da bu açıdan bir merkez haline gelebilecek. Beceni bu fırsatı şöyle ortaya koyuyor: "Güvenli liman haline gelebilirse Türkiye tüm bölgeye hizmet eden bir veri merkezi olabilir. Bu bölgede çok hızlı bir dijitalleşme var. Bu ülkelerin hiçbiri güvenli ülke sayılmazken biz bunu kazanırsak Türkiye'deki şirketler için çok önemli bir rekabet gücü yaratabilir. Veri koruma yasamızın olmaması İstanbul'un finans merkezi olmasında en önemli engeldir. Güvenli ülke olmazsanız kimse verisini göndermez ki..."

AB'nin yeni regülasyonu ile Türkiye'nin tüm büyük grupları milyonlarca euro ceza alabilir

Faruk Eczacıbaşı konu ile ilgili Türkiye'de bir bilgi eksikliği olduğunu da vurguluyor. Örneğin Avrupa Birliği'nde yeni bir regülasyon üzerinde çalışılıyor. Bu regülasyon henüz pek az kişi tarafından biliniyor.. Tüm üye ülkelerin iç hukukunun bir parçası olacak bu regülasyon taslağı kişisel verilerin korunması ile ilgili tüm kanunlarını ortadan kaldırıp AB'nin tek kişisel verilerin korunması kanunu olacak. Yasin Beceni ayrıntıları şöyle anlatıyor: "Bu tasarı, AB'de yerleşik olduğuna bakılmaksızın AB'de bir ticari faaliyet yürüten ve bunun neticesinde verileri toplayıp işleyen bir şirketin, düzenlemedeki ilkelere aykırı davranması halinde ceza almasını getirecek. Regülasyona göre bir ihlal halinde, o şirketin mensubu olduğu topluluğun global konsolide cirosunun yüzde 5'ine kadar ceza kesilmesi söz konusu olabiliyor. Bunu ceza başına 100 milyon euro ile sınırlıyorlar. Ama 10 aykırılık bulunursa ceza 1 milyar euroya çıkar. Türkiye'nin bütün büyük grupları, bütün büyük ihracatçıları bu tehlike ile karşı karşıya." Örneğin bir Türk şirketi Almanya merkezli bir şirketi satın aldı ve bu şirketin çalışanlarına, muhasebesine dair verileri Türkiye'deki genel merkeze getirdi. Güvenli ülkeler arasında veri transferinde bir izin almanıza gerek yok ama Türkiye güvensiz ülke statüsünde olduğu için hem otoriteden, hem o şirketin çalışanlarından, paydaşlarından gerekli izinlerin alınması gerekiyor. Eğer bu izinler alınmadıysa, denetime tabi tutulacak, çalışan verisi en hassas veri olarak kabul edildiği için şirket ciddi cezalarla karşı karşıya kalabilecek. Satın almayıp AB'ye ihracat yapan şirketler için de önemli bir tehdit söz konusu. AB'deki müşterilerinizin verileri elinizde, o verilerle eğer izin almadan ya da izin kapsamı dışında bir faaliyet yapıyorsanız yine ciddi cezalar alabileceksiniz. Çağrı merkezleri de bu noktada sıkıntı yaşayabilecek, çünkü AB ülkesinden bir veri transferi ciddi izinlere tabi olacak.

Başımıza iş açtılar gözüyle bakmayın dönüşüm için en az 5 yıl var

Görünen o ki, AB ile iş yapacak tüm şirketler kişisel verilerin koruması noktasında bir dönüşümden geçmek durumunda. Burada üst yönetimler etkili olacağı düşünülüyor. Faruk Eczacıbaşı bu noktada bir çağrı yapıyor: "Verinin ve veri işlemenin değerinin farkına varmalıyız. Çok önemli bir ekonomik değeri ellimizde tutuyoruz ancak bundan nasıl yaralanacağımızı tam olarak bilmiyoruz. Bunu öğrenerek işe başlamalıyız. Bakın dünyadaki en gözde meslek olarak önümüzdeki 10 yıl için veri analitiği mühendisliği gösteriliyor. Tüm şirketler olarak veriden nasıl ekonomik katma değer yaratmalıyız bunun planlamasını yapmalıyız. Ama bunu yaparken de bu işin evrensel hukuk kurallarına uygun bir pratik geliştirmeliyiz. Yoksa sürdürülebilir ve rekabetçi olamayız. Bu noktada tehlikenin tam olarak farkında değiliz. Ticari konulara odaklanırken bu tip konular gündemde gözden kaçabiliyor. Biz hem veriden ekonomik katma değer yaratmak hem de bu işin uluslararası alanda rekabet edebilmeyi sağlayacak hukuksal alt yapıya sahip olmak noktasında çok hazırlıksızız. Türkiye Bilişim Vakfı olarak yasalaşmasını istediğimiz tasarıyı bu işin evrensel hukuk altyapısını ticari yaşamımıza armağan edeceğinden dolayı çok önemsiyoruz. Buna 'başıma iş çıkardılar' olarak görmemek gerek diyoruz. Evet, dönüşümün bir maliyeti var ama bunu yapmazsanız rekabet edemeyeceksiniz artık. Bugünkü iş yapma biçimi sürdürülebilir değil." Anlaşılan o ki dev şirketler bu alanda çalışmaya başlamış bile. Faruk Eczacıbaşı, Eczacıbaşı Grubunun bu yolda önemli adımlar attığını belirtiyor. Büyük veri, şeylerin interneti, bulut bilişim... Geleceğin konuları bunlar ve her biri veri mahremiyetine dair kuralların içselleştirilmesini gerektiriyor. Beceni, "Dünyayla rekabet edebilmemiz için kişisel verilerin güvenliğine dair yasalara uymamız lazım. Ben şirketlere bugün başlasanız "uydum" diyebilmeniz en az 5 yıl gerektiriyor. Köklü bir dönüşümden bahsediyoruz" diyor.