Bugün Prof. Dr. Faruk Bilir ile kişisel verilerin korunmasına dair gelişen süreci ve kurumu konuşacağız. Kurum gayet yoğun çalışıyor. Takip edebildiğim kadarıyla 35 adet rehber ve broşür; akademik kitap, bilgi notu, sözlük ve kılavuz olarak çeşitlenen farklı türde 21 adet doküman, 13 sayı olmak üzere akademik nitelikli hakemli bir dergi olan Kişisel Verileri Koruma Dergisi, 9 sayı olmak üzere her sayıda tematik bir konu ile 3 aylık periyotlarla çevrimiçi yayınlanan KVKK Bülten, 72 adet hem çocuklara hem yetişkinlere yönelik olmak üzere farkındalık ve bilgilendirme videosu, 56 bölüm podcast yayınlanmış. Ulaşan ihbarlar ve yayınlanan kararlar haberlere konu oluyor. Ama yeterince farkında mıyız bilmiyorum. İşte bugün kıymetli Başkanımızla kişisel verilere dair konuşacağız...

Prof. Dr. Faruk Bilir

Kimdir

1971 yılında Yozgat Sorgun'da doğmuştur. Selçuk Üniversitesi Hukuk Fakültesi Hukuk Anabilim Dalından sırasıyla Lisans, Kamu Hukuku alanında Yüksek Lisans ve Doktora derecelerini almıştır. Çalışma hayatına 1995 yılında Selçuk Üniversitesi Hukuk Fakültesi Anayasa Hukuku Anabilim Dalında Araştırma Görevlisi olarak başlamış; 2001-2008 yılları arasında Yrd. Doç. Dr., 2008-2013 yılları arasında Doç. Dr., 2013-2014 Prof. Dr. unvanlarıyla öğretim üyesi olarak görev yapmıştır. Selçuk Üniversitesi Hukuk Fakültesi Anayasa Hukuku Anabilim Dalında 2006-2013 yılları arasında Anabilim Dalı Başkan Yardımcılığı, 2011-2013 yılları arasında Anabilim Dalı Başkanlığı görevlerini yürütmüştür. 2014- 2015 yılları arasında KTO Karatay Üniversitesi Hukuk Fakültesi Dekanı olarak görev yapmıştır. 2016 yılında Çalışma ve Sosyal Güvenlik Bakanlığı Hukuk Müşavirliğinde I. Hukuk Müşavirliği görevini vekâleten yürütmüştür.

Anayasa hukuku, siyaset bilimi, parlamento hukuku, hükümet sistemleri, insan hakları alanında çalışan Prof. Dr. Faruk BİLİR'in "Türkiye'de Milletvekilliği ve Milletvekilliğinin Sona Ermesi", "Siyasi Partilerde Parlamento Adaylarının Belirlenmesi (Karşılaştırmalı Bir İnceleme)", "Avrupa İnsan Hakları Mahkemesinin Yargılama Yetkisi", "Türk Anayasa Hukuku", Anayasa Hukuku Uygulamaları, "Yeni Anayasa Yeni Mutabakat" ve "100 Soruda Hükümet Sistemleri ve Başkanlık Sistemi" isimli kitapları ve çeşitli makaleleri bulunmaktadır. Prof. Dr. Faruk BİLİR, İngilizce bilmekte olup, evli ve iki çocuk babasıdır.

Cumhurbaşkanımız tarafından 15 Aralık 2016 tarihinde Kişisel Verileri Koruma Kurulu üyesi ve 30 Ocak 2017 tarihinde Kişisel Verileri Koruma Kurumu Başkanı olarak seçilmiştir. Halen bu görevine devam etmektedir.

Başkanım ilk sorum sizin için basit bir soru olabilir. Ancak meselenin anlaşılması adına önemli. Kişisel veriler neden önemli, niye koruyoruz

Kişisel veriler, temelde insanın kimliğini ve özünü yansıtan değerler... İnsanın kendine özgü niteliklerini barındıran bu veriler, insan olmanın doğal bir parçasıdır. Bu nedenle kişisel verilerin korunması, yalnızca teknik ya da hukuki bir önlem değil, aynı zamanda temel bir insan hakkı... Kişisel verilerin güvenliğinin sağlanmasının özünde, "insan onurunun ve itibarının korunması" düşüncesi yatar. Çünkü insanı insan yapan en temel unsurlardan biri mahremiyettir. Mahremiyet ise yalnızca fiziksel alanla sınırlı değil. Düşüncelerimiz, duygularımız, dijital izlerimiz, kısacası kişisel verilerimiz bu alanın ayrılmaz bir parçası... Bu sebeple mahremiyet hakkı, bireye sunulmuş bir seçenek değil; doğuştan gelen bir hak, devredilemez bir değer...

Anladığım kadarıyla mahremiyeti sağlayarak özgürlüğümüzü güçlendiriyoruz bu yaklaşımla...

Evet tam da böyle. Mahremiyet aynı zamanda özgürlüğün temel taşlarından biri. Özgür birey; kendine ait olanı belirleyebilen, onu paylaşma ya da paylaşmama hakkını elinde tutan kişidir. Bu yüzden kişisel verilerin korunması, yalnızca bireyin değil, aynı zamanda demokratik toplum düzeninin, hukuk devletinin ve insan haklarına dayalı yönetimin de teminatıdır.

Kişisel verilerin korunmasına dair çabalarınız çok önemli Başkanım bunu biliyoruz, kurumun kurucu başkanısınız, kuruluş evresi nasıl geçti, neler yaşandı Teorik bir konuyu pratiğe geçirmek hayli zor olsa gerek...

Dünyada kişisel verilerin korunması ile ilgili çalışmalar 1970li yıllarda konuşulmaya başladı. 1980li yıllarda ise hukuki düzenlemelerin konusu oldu. Ülkemizde de bu alanda ayrı bir kanun oluşturulması için başlatılan çalışmalar 1989 yılına dayanır. Takip eden 2000 ve 2008 yıllarında kişisel verilerin korunmasına ilişkin kanun yapma girişimleri olmuşsa da bu girişimler çeşitli nedenlerle sonuçsuz kaldı...

2010 yılında yapılan Anayasa değişikliği ile kişisel verilerin korunmasını isteme hakkı temel bir hak olarak tanındı ve kişisel verilerin korunmasına ilişkin esas ve usullerin kanun ile düzenleneceği öngörüldü. Böyle olunca da "Kişisel Verilerin Korunması Kanunu Tasarısı" TBMM Başkanlığına sunuldu...

Yasamız böyle doğdu yani...

Evet işte bu tasarı 24 Mart 2016 tarihinde kabul edilerek kanunlaştı ve 6698 sayılı Kişisel Verilerin Korunması Kanunu hayatımıza girdi. Yasanın tatbikinin ilk adımı olarak 12 Ocak 2017'de ise Kişisel Verileri Koruma Kurulu üyeleri Yargıtay Birinci Başkanlık Kurulu huzurunda yemin ederek görevlerine başladı...

Temel olarak neler ele alındı

Kişisel Verileri Koruma Kurumunun kurulması, vatandaşların hak arama hürriyetinin genişletilmesinin yanı sıra, ülkemizin hukukun üstünlüğü, temel hak ve özgürlükler, rekabetçi ve kapsayıcı bir ekonomi, sürdürülebilir kalkınma ve katılımcı demokrasi alanlarında Avrupa Birliği ile uyum yönündeki vizyonunun açık bir tezahürüdür. Nitekim, 6698 sayılı Kişisel Verilerin Korunması Kanununun AB Genel Veri Koruma Tüzüğü ile uyumu için çalışmalar devam etmekte, bu hedef ülkemizin On İkinci Kalkınma Planı, Yargı Reformu Stratejisi, Uluslararası Doğrudan Yatırım Stratejisi ve 2026-2028 Orta Vadeli Program gibi üst politika belgelerinde yer almakta...

Zahmetli geçtiğini biliyoruz, bir kurumu kurmak mevzuat alt yapısını teşkil etmek veya tanıtımı için materyaller hazırlamak yorucu ama zevkli olsa gerek...

Aynen öyle, zevkli ve heyecan verici. Zira kuruluş evresinde konu bizim açımızdan çok yeniydi... Bu aşamada alanında uzmanlığı bulunan kişilerle görüşme ve çalışmalar yapmak bize ivme kazandırdı... Ayrıca Kurul üyelerimizle sürekli bir araya gelerek, düzenli toplantılar yaparak ikincil mevzuat ve diğer dokümanlar hazırlandı. Yurtdışındaki muadil kuruluşların bu konudaki çalışmaları incelendi. Bu kapsamda Yönetmelikler, Tebliğler ve kamuyu aydınlatmaya yönelik pek çok bilgilendirici yazılı ve görsel doküman hazırlanıp yayımlandı. Kamunun, vatandaşların ve veri sorumlularının da konuyu öğrenmelerine yönelik olarak pek çok ilde farkındalık faaliyetlerine başladık, tüm ülkede eğitimler verdik ve halen de vermeye devam ediyoruz.

Kurumun, kişisel verilerin korunmasına ilişkin yaptığı ikincil düzenlemeler ile rehberlik çalışmaları hakkında bilgi verebilir misiniz

6698 sayılı Kişisel Verilerin Korunması Kanunu, kişisel verilerin korunmasına ilişkin genel çerçeveyi belirlemiştir. Bununla birlikte Kanun, uygulamada belirsizliklerin önüne geçmek, veri sorumlularına yol göstermek ve vatandaşların haklarını daha etkin kullanabilmesini sağlamak amacıyla ikincil düzenlemelerin hayata geçirilmesini de öngördü. Böylece Kurumumuz yayımladığı sekiz yönetmelik ve üç tebliğ ile bu alandaki uygulama standartlarını netleştirme yolunda önemli adımlar attı. Kurumumuz, çeşitli konularda rehber ve dokümanlar da yayımlamakta. Yapay zekadan mobil uygulamalara, sohbet robotlarından deepfake'e, bankacılık sektöründen çerez uygulamalarına, unutulma hakkından biyometrik ve genetik verilere kadar pek çok konuda çalışmalarımız var.

FARKINDALIĞI SÜRDÜRÜLEBİLİR KILMAK GEREKİYOR

Kurumun, cezalandırıcı bir görünümü yok...

Daha çok öğreten, uyaran ve yol gösteren yönü ağır basıyor.

Bu bilinçli bir tercih sanırım. Bu yolu seçmeye sizi ne sevk etti

Bir kurum görev alanında ne kadar etkin varlık gösterse de farkındalığın yetersiz olması nedeniyle ihlal tanımlanamadığında veya başvuru yollarına erişilemediğinde koruma mekanizması eksik kalıyor... İhlali önleme, görünür kılma ve telafiyi hızlandırma işleviyle de farkındalık aynı zamanda kişisel verilerin korunması alanında Kurumumuzun pro-aktif yaklaşımına toplumsal bir katkı hedefliyoruz. Bu nedenle bilinçlendirme ve farkındalık çalışmalarına ağırlık verdik... Cezalandırmak yerine veri sorumlularına ve toplumun geneline yönelik yönlendirici olmanın daha faydalı olduğunu düşünüyoruz. Hukuka aykırı olduğunu gördüğümüz ve Kurumun önüne gelen vakalarda harekete geçiyoruz ama önceliğimiz aykırılığı gidermek ve bir daha olmaması yönünde gerekli aksiyonları almak oluyor. Önemli olanın veri koruma konusunda toplumun farkındalığının artırılması olduğunu düşünüyoruz ve bu yönde çalışmalarımıza ağırlık veriyoruz. Farkındalığı sürdürülebilir hale getirmek istiyoruz. Herkes hakkını bilmeli. Neye rıza gösteriyor bilerek izin vermeli... Bu sayede sorunların vuku bulmadan kaynağında çözümünün tüm toplum açısından faydalı olduğu kanaatindeyiz. Ancak bazı durumlarda, Kanunda öngörülen yaptırımların uygulanıp uygulanmaması konusunda Kanun çok net. Kurula takdir yetkisi tanımıyor. Bunun için de Kanunda öngörülen idari yaptırımları uyguluyoruz...

Kişisel verilerin korunması noktasında hangi aşamadayız

Dünya örnekleri açısından baktığımızda konumumuz nedir

Kişisel verilerin korunması konusunda ilk uluslararası bağlayıcı sözleşme olan 108 Sayılı Sözleşmeyi imzalayan ilk ülkelerden biriyiz... Sözleşmenin iç hukuka dahil edilmesi amacıyla 95/46 sayılı AB Veri Koruma Direktifini esas alan 6698 sayılı Kişisel Verilerin Korunması Kanunu yayımlandı ve Kişisel Verileri Koruma Kurumu oluşturuldu... Dolayısıyla ülkemiz veri koruma alanına özgü kapsamlı bir kanuna ve bu alanda bağımsız bir denetleyici düzenleyici otoriteye sahip. Bu önemli ve büyük bir adım. Daha sonra ülkemizin AB müktesebatı ile uyum hedefleri doğrultusunda 2024 yılında bazı değişiklikler yaparak uluslararası düzenlemelere uyumlu hale getirdik mevzuatımızı.

TÜRKİYE KİŞİSEL VERİLERİN KORUNMASINDA

ÖNEMLİ BİR NOKTADA

Uluslararası üyelikler ve faaliyetler de yoğun takip edebildiğim kadarıyla...

Bu alandaki kurumlar ile irtibatımız üst düzeyde... Kurumumuz kişisel verilerin korunması ve mahremiyet alanında uluslararası düzlemde en önemli platformlardan biri olan Global Privacy Assembly'nin 2017 yılından bu yana üyesi... 2022 yılında Asamble'nin 44'üncü toplantısına ev sahipliği yaptı. 2019 yılından bu yana Kurumumuz Avrupa Veri Koruma Otoriteleri Konferansının üyesi... 2024 yılında Türkiye, Malezya, Azerbaycan, Katar, Fas, Tunus ve Mali Veri Koruma Otoriteleri arasında gerçekleşen İstişare Toplantısını, Kurumumuz ev sahipliğinde İstanbul'da düzenledik... Gelecek yıl da Avrupa ülkeleri bağlamında çok önemli bir bölgesel yapılanma olan Avrupa Veri Koruma Otoriteleri Bahar Konferansı'na ev sahipliği yapacağız ve 100'den fazla Avrupalı temsilciyi Ülkemizde bir araya getireceğiz.

Geçtiğimiz yıl 6698 Sayılı Kanun'un üç ana maddesinde değişiklik yapıldı.

Bu değişikliğin temel hedefinden ve bu hedef doğrultusunda Kanun değişikliği ile uygulamada değişen pratiklerden bahseder misiniz

Bu değişiklikle özel nitelikli kişisel verilerin işlenme şartlarını, yurt dışına veri aktarımını ve kişisel verilerin korunmasına ilişkin kabahatleri ele alan maddeler düzenlendi. Yasanın altıncı maddesinde değişiklik yapıldı. Bu değişiklikle özel nitelikli kişisel veriler arasındaki ayrım kaldırılmış oldu ve özel nitelikli kişisel veriler için yeni veri işleme şartları getirildi. Yine dokuzuncu maddede değişiklik yapıldı. Kişisel verilerin yurt dışına aktarımına ilişkin üç basamaklı bir sistem getirildi... Buna göre Kanun'un beşinci ve altıncı maddelerinde yer alan işleme şartlarından birinin varlığı halinde, ilk olarak "yeterlilik kararı" aranacak. Yeterlilik kararı yoksa uygun güvencelerden biri talep edilecek. Uygun güvencelerden herhangi birinin de sağlanamaması durumunda, Kanun'da belirtilen istinai aktarım hallerinden birinin varlığına bakılacak. Yani yurtdışına aktarımda mutlaka bu basamaklardan birinin karşılanması gerekecek...

Yurt dışına aktarımda yeni yöntemler öngörüldü sanırım, cezalara itiraz yeri de değişti...

Yurtdışına aktarımda yeni yöntemler getirildi ve dediğiniz kapsamda da bir değişiklik oldu. Artık veri işleyenler de yurt dışına aktarım yapabilecek. Yapılan değişiklikle Kurulca verilen idari para cezalarına karşı Sulh Ceza Hakimliklerine başvuru yolu kaldırılarak idare mahkemelerinde dava açma yolu getirildi. Ayrıca kabahatlere de bir ekleme yapılarak yurt dışına veri aktarımı için hazırlanan standart sözleşmenin imzalanmasından itibaren beş iş günü içerisinde Kuruma bildirilmemesi halinde idari para cezası uygulanacağı düzenlendi.

VERİ GÜVENLİĞİNİ DAHA ÇOK ANLATMALIYIZ,

BU SADECE KURUMUN GÖREVİ DEĞİL HERKES KATKI SUNMALI

Veri güvenliği vatandaş tarafından yeterince anlaşılıyor mu

Zira şunu biliyoruz, bizim önem vermediğimiz veriler kötü niyetli kişilerce kullanılabilir. Nelere dikkat etmeli kişiler

Kişisel verilerin korunması, mahremiyet ve veri güvenliği konularında vatandaşlarımızda farkındalığın belirgin biçimde arttığını görmekteyiz. 2025 yılı itibariyle CİMER, posta veya e-şikâyet modülü kanalıyla Kurumumuza gelen şikâyet, bilgi ve istek başvurularından ve ALO 198 Bilgi Danışma Hattımıza gelen çağrılardan bunu anlayabiliyoruz. Ayrıca farkındalık son yıllarda belirgin biçimde artsa da bazı kullanıcıların veri güvenliğini "temel kavramlar" düzeyinde kavradığını ancak günlük pratiklerine yeterince yansıtamadığını görüyoruz... Temel bilgilerin, pratikte izin yönetimi, parola alışkanlıkları, kimlik avı, oltalama saldırısını ayırt etme gibi davranışlara dönüştürülmesi için farkındalığın önemli olduğunu düşünüyoruz. Halka açık olarak gerçekleştirdiğimiz Çarşamba Seminerleri, sosyal medya paylaşımlarımız, rehberlerimiz, akademik kitap çalışmalarımız, podcast yayınımız bu alanda farkındalığı artırma yönündeki gayretlerimizin bir ürünü... Mutlaka takip edilmeli...

Bilinçlenme yükselince, ihbarlarda arttı mı

Özellikle son yıllarda gerçekleşen ihlallerin medyaya yansıması neticesinde kullanıcılar, kendilerine ait kişisel veriler açısından risk ve tehlikenin daha fazla farkına varmaya başladılar. Kötü niyetli kişilere karşı ihtiyatlı davranmak amacıyla şifrelerin güvenliği, şüpheli görünen e-postaları ve mesajları açmama ya da linklere tıklamama yönünde halkımızın bilinç düzeyinde artış var. Öncelikle verilerimizin güvenliği bizi dijital dünyada bekleyen tehlikelere karşı güvenliğimiz demektir. Cumhurbaşkanımızın da belirttiği gibi, "sınırlarımızın güvenliği ne kadar önemliyse, elektronik sistemlerimizin ve verilerin güvenliği de o derece önemlidir". Maddi ve manevi pek çok riskle karşı karşıya kalmamak için vatandaşlarımızın alanında uzman kamu kurum ve kuruluşlarının uyarı ve tavsiyelerini takip etmeleri ve verilerinin istenmesi, toplanması ve paylaşımı konusunda iki kere düşünmelerini öneririm.

ÇOCUKLARIN GÜVENLİĞİ İÇİN

ÖZEL ÇALIŞMALAR YAPILIYOR

Çocukların korunması anayasal ortak ödevimiz.

Bu konuda Kurumun çok güzel uygulamaları var.