Kişisel Verilerin Korunması Çalıştayından Notlar (İstanbul Bilgi Üniversitesi)

Kişisel verilerin korunması hakkında yapılan birçok konferanstan farklı olarak bugün (26 Nisan 2017) İstanbul Bilgi Üniversitesinde Bilişim ve Teknoloji Hukuku Enstitüsü tarafından düzenlenen Uygulama Sürecinde Kişisel Verilerin Korunması Çalıştayı ve Konferansında kamu ve özel sektör temsilcileri ilk kez Kişisel Verileri Koruma Kurulu üyeleriyle buluştu. Kişisel Verileri Koruma Kurumunun kuruluşuyla birlikte Kurum’da araştırmacı sıfatıyla yürüttüğüm çalışmaların ardından bu…

Kişisel verilerin korunması hakkında yapılan birçok konferanstan farklı olarak bugün (26 Nisan 2017) İstanbul Bilgi Üniversitesinde Bilişim ve Teknoloji Hukuku Enstitüsü tarafından düzenlenen Uygulama Sürecinde Kişisel Verilerin Korunması Çalıştayı ve Konferansında kamu ve özel sektör temsilcileri ilk kez Kişisel Verileri Koruma Kurulu üyeleriyle buluştu. Kişisel Verileri Koruma Kurumunun kuruluşuyla birlikte Kurum’da araştırmacı sıfatıyla yürüttüğüm çalışmaların ardından bu buluşmaya katılma fırsatı yakalamışken, programda tuttuğum notları buraya da kaydetmek istedim.

Çalıştaydan notlar

Programın ilk aşamasında davet edilen özel sektör ve STK temsilcileri ile akademisyenlerin katılımıyla bir çalıştay gerçekleştirildi. İstanbul Bilgi Üniversitesi Bilişim ve Teknoloji Hukuku Enstitüsü Direktörü Doç. Dr. Leyla Keser tarafından yapılan açılış konuşmasında çalıştayın temel amacının uygulamada yaşanan problemlerin Kurul üyelerine aktarılma fırsatının sağlanması olduğu vurgulandı. Bu amaçla her bir konu başlığı için on dakika belirlenerek öncelikle o konuya ilişkin bilimsel yaklaşım sunuldu ve sonrasında sektör ve STK temsilcileri, Kurul üyelerine sorularını yöneltti. Çeşitli sektör temsilcilerinin Kurul üyelerine yönelttiği sorulardan bir kısmı şöyleydi:

  • Kişisel verinin tanımlanmasına ilişkin olarak çeşitli mevzuatlarda (ör. Elektronik Haberleşme sektörüne ilişkin yönetmelik) yer alan farklı tanımlar, bir çelişki oluşturur mu?
  • Tüzel kişiliğin veri sorumlusu olarak belirlenmesi, o kurum içerisinde gerçekleştirilen her türlü hukuka aykırı veri işlemeden tüzel kişinin sorumlu olduğu anlamına mı gelmektedir?
  • Kişisel Verileri Koruma Kurumu, ilgili kişilerce yapılan ihlale ilişkin başvurularda suçun oluştuğu kanaatine varırsa, Kurum olarak re’sen suç duyurusunda bulunacak mıdır?
  • Kanun’un 5 ve 6. maddesinde ifade edilen “kanunlarda açıkça öngörülme” istisnası kapsamında yönetmelikler de değerlendirilebilir mi? Yoksa, kanun dışındaki yönetmelik, tebliğ ve sair diğer düzenleyici işlemler bu kapsamda değerlendirilemez mi?
  • AB düzenlemelerinden farklı olarak 6698 sayılı Kanun’da özel nitelikli veri olarak sayılan kılık ve kıyafete ilişkin veriler konusundaki belirsizliği gidermek adına Kurul’un ilke kararı alma düşüncesi var mıdır?
  • Veri sorumlusunun kişisel verileri yurtiçindeki üçüncü kişilere hukuka uygun bir şekilde aktarması için, aydınlatma formunda verilerin aktarılacağı gerçek ve tüzel kişileri ismen belirlemesi zorunlu mudur?
  • Kişisel verilerin yurtdışına aktarılması konusunda müşteriyle şirket arasında yapılan bir sözleşmede, Kurul tarafından güvenli olarak ilan edilmeyen bir ülkenin hukukunun uygulanacağı kararlaştırılmışsa, 6698 sayılı Kanun’un uygulama akıbeti ne olacaktır?
  • Bir vakada birden fazla kişinin kişisel verisinin hukuka aykırı şekilde işlenmesi durumunda, tek bir idari para cezasından mı, yoksa her bir ihlâl için ayrı ayrı yaptırımdan mı bahsedilecektir?
  • Ticari elektronik iletilerin gönderilmesi için rızası alınan kişilerin, 6698 sayılı Kanun kapsamında kişisel verilerinin işlenmesine rıza göstermemesi durumunda ne olacaktır? İkinci rıza, ilk rızayı geçersiz kılar mı?

Konferanstan notlar

Çalıştayın ardından iki oturum halinde gerçekleşen konferansın ilk oturumunda Kurul Başkanı Prof. Dr. Faruk Bilir ve Kurul üyeleri Cabir Bilirgen, Şaban Baba, Murat Karakaya, İhsan Ezel Büyüksekban ve Adalet Bakanlığı temsilcisi Tahir Akça; kendilerine yöneltilen soruları cevapladılar. İkinci oturumdaysa İstanbul Bilgi Üniversitesi Öğretim Görevlileri Yasin Beceni ve Batu Kınıkoğlu tarafından Avrupa Birliği Hukukuyla Türk Hukuku açısından karşılaştırmalı perspektiften sunumlar gerçekleştirdi. Konferanstan aldığım notlar şöyle:

  • Prof. Dr. Faruk Bilir: Sektörü ilgilendiren yönetmelik taslaklarını önümüzdeki günlerde internet sitemizde (kvkk.gov.tr) görüşe açmayı planlıyoruz.
  • Kanun’un uygulanmasına ilişkin tespit ettiğimiz sıkıntıların giderilmesi amacıyla, Kanun’un değiştirilmesi için bazı maddeler üzerinde çalışmalarımızı başlattık.
  • Sektörle buluştuğumuz bu toplantıların devamını Kişisel Verileri Koruma Kurumu nezdinde Ankara’da gerçekleştireceğiz.
  • Cabir Bilirgen: Vatandaş olarak tecrübe ettiğimiz bazı şirketlerin, Kanun’a aykırı uygulamalar gerçekleştirdiğine şahit oluyoruz. Bununla ilgili olarak çalışmalarımız sürüyor.
  • Murat Karakaya: Biz henüz yeni kurulmuş bir Kurul olarak, ilk kez cezai yaptırımlarla gündeme gelmek istemiyoruz. Bu sebeple, sektör ve STK’larla buluştuğumuz bu toplantı bizim için çok değerli.
  • Şaban Baba: Veri Sorumluları Siciline ilişkin yönetmelik taslağımız hazır, ancak sicile internet sitemiz üzerinden kayıtları almaya başlamamız için teknik çabalarımız sürüyor; dolayısıyla başlangıç için henüz bir tarih öngöremiyoruz.
  • İhsan Ezel Büyüksekban: Kanun’un hakkaniyete uygun bir şekilde icra edilebilmesi için Kurul ve Kurum olarak yoğun şekilde çaba gösteriyoruz. Ancak bu noktada şirketlerin Kanun tarafından kendilerine yüklenmiş ev ödevlerini de yerine getirmesi gerekir.
Kişisel Verileri Koruma Kurulu üyelerinin santralİstanbul kampüsü içerisinde yer alan Enerji Müzesinde hatıra fotoğrafı çektirmesiyle konferans sona erdi.