Türkiye’de internet üzerinden iş yapmak isteyen bütün şirketlerin başında bir bela var. Belanın adı Kişisel Verilerin Korunması Kanunu.
Kimse sözünü etmiyor, ne gazetelerde yazılıyor ne siyasetin gündemine geliyor ama, sadece internet üzerinden alış veriş siteleri değil, işinin bir tarafı internete değen neredeyse bütün şirketler bu belayla başa çıkabilmek için hükümetten yardım istiyor.
KVKK kısa adıyla bilinen kanun zamanında biz sıradan vatandaşların kişisel bilgilerinin korunması amacıyla çıkarıldı. Avrupa Birliği ile uyum sürecinin de önemli bir parçasıydı bu.
Ancak kanunun uygulanmasında bazı ciddi sorunlar var. Kanunla birlikte bir de Kişisel Verileri Koruma Kurulu oluşturuldu. Bu kurul, yasanın uygulamasını gözetiyor, yasayı ihlal edenlere de ceza uyguluyor.
Mevcut sorun, Türkiye’deki şirketlerin topladıkları kişisel verileri yurt dışına çıkarmasından kaynaklanıyor.
Kanunun 9. maddesi aynen şöyle:
“MADDE 9- (1) Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz.
(2) Kişisel veriler, 5 inci maddenin ikinci fıkrası ile 6 ncı maddenin üçüncü fıkrasında belirtilen şartlardan birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkede;
a) Yeterli korumanın bulunması,
b) Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması,
kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir.
(3) Yeterli korumanın bulunduğu ülkeler Kurulca belirlenerek ilan edilir.
(4) Kurul yabancı ülkede yeterli koruma bulunup bulunmadığına ve ikinci fıkranın (b) bendi uyarınca izin verilip verilmeyeceğine;
a) Türkiye’nin taraf olduğu uluslararası sözleşmeleri,
b) Kişisel veri talep eden ülke ile Türkiye arasında veri aktarımına ilişkin karşılıklılık durumunu,
c) Her somut kişisel veri aktarımına ilişkin olarak, kişisel verinin niteliği ile işlenme amaç ve süresini,
ç) Kişisel verinin aktarılacağı ülkenin konuyla ilgili mevzuatı ve uygulamasını,
d) Kişisel verinin aktarılacağı ülkede bulunan veri sorumlusu tarafından taahhüt edilen önlemleri,
değerlendirmek ve ihtiyaç duyması hâlinde, ilgili kurum ve kuruluşların görüşünü de almak suretiyle karar verir.
(5) Kişisel veriler, uluslararası sözleşme hükümleri saklı kalmak üzere, Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, ancak ilgili kamu kurum veya kuruluşunun görüşü alınarak Kurulun izniyle yurt dışına aktarılabilir.
(6) Kişisel verilerin yurt dışına aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.”
“Güvenli ülkeler” listesi hala yok
Yasa hükmünün açıkça emretmesine rağmen KVK Kurulu, “güvenli ülkeler” veya “yeterli koruma bulunan ülkeler”le ilgili bir liste yapıp yayınlamadı.
Ancak, online ticaret yapıyor olsun veya olmasın pek çok şirket, yurt dışındaki sunuculardan “hosting” hizmeti alıyor. Bunun bir sebebi, Türkiye’de yeterli hosting kapasitesinin bulunmaması, ama daha önemli sebebi sunucu kiraları ve fiyatları.
Çoğu zaman Amazon’dan, Microsoft’tan, Google’dan veya Yandex’ten hosting almak hem çok daha ucuz hem de çok daha kolay. Yurt dışında onbinlerce böyle hosting şirketi var. Mesele sadece hosting de değil. Eğer büyük verilerle uğraşıyorsanız o zaman hem büyük veri depolama kapasitesine hem de bu verilere çok hızlı ulaşılmasını sağlayacak internet hızına, yani bant genişliğine ihtiyacınız var. Bu iki ihtiyaç da yurt dışında daha kolay ve daha ucuza karşılanıyor.
Hostingi veya sunucuları yurt dışından almak demek, internet üzerindeki bütün bilgileri her gün yurt dışına göndermek, oradan bir bilgi almak gerektiğinde de yurt dışından geri getirmek demek.
Söz konusu olan internet ve bilgilerin dolaşımı olunca ulusal sınırlar çok da anlam taşımıyor aslında. Yasa, herhangi bir ayrım yapmadan “Kişisel veriler açık rıza olmadan yurt dışına çıkarılamaz” deyince, her gün onbinlerce kişi ve şirket kaçınılmaz biçimde bu yasayı çiğniyor.
Cumhurbaşkanı Erdoğan başta olmak üzere pek çok devlet yöneticisi aylardır video konferansı başlıca toplantı yolu olarak kullanıyor ve farkında olmadan KVKK’ya aykırı hareket etmiş oluyor.
Devletin kendisi de yasayı çiğniyor
Yasayı çiğneyen sadece özel sektör şirketleri de değil. Örneğin salgın döneminde Cumhurbaşkanı Recep Tayyip Erdoğan başta olmak üzere hükümet üyeleri ve her düzeyde kamu yöneticileri pek çok toplantılarını video konferans yöntemiyle yapmaya başladı. Bu video konferansların tamamında yurt dışındaki sunucular kullanıldı kaçınılmaz biçimde. Oysa, araya konan şifre algoritmaları sayesinde toplantılar gayet güvenliydi ama bizim yasamıza göre yine de yasa çiğnenmiş oldu.
Esasen kimse kişisel verilerin korunmasını da, Türk vatandaşı bireylere ait verilerin yurt dışına gitmesini de hafife alıyor değil. Ancak mevcut yasanın ve bu yasanın uygulamasının bir çeşit deli gömleği haline geldiği de anlaşılıyor.
Örneğin bizim yasamızda “Açık rıza” diye bir kavram var. Bir internet sitesine girdiniz, alışveriş yaptınız, paranızı öderken ister istemez kimlik bilgilerinizi de kredi kartı bilgilerinizi de paylaşıyorsunuz. O paylaşım için de site her seferinde sadece o sefer için geçerli olmak üzere “rıza”nızı istiyor. Bu veriyi yurt dışında, mesela Avrupa’da bir sunucuya gönderdiğinizde sorun başlıyor; çünkü AB ülkeleri tek seferlik “rıza”yı kabul etmiyor, çünkü bugün verilen bu rızanın yarın geri alınabileceğini düşünüyor. O yüzden AB ülkeleri için daha genel bir izne ihtiyaç var.
Bu teknik uyumsuzluklar Türkiyeli şirketleri de, Türkiye’de iş yapam yabancı şirketleri de derinden etkiliyor. Bir bilişimcinin verdiği örnekle, “Yarın otomobilimizi serviste tamir ettiremez hale gelebiliriz.” Malum, yeni otomobiller hep bilgisayarlı ve onları servise götürdüğünüzde ilk iş servis elemanları aracın bilgisayarını kendi bilgisayarlarına bağlıyor. Araçtaki pek çok veri bu servis bilgisayarına, oradan da belki otomobil şirketinin yurt dışındaki ana sunucusuna gidiyor.
Bazı şirketler, yaptıkları için doğası gereği süreki yurt dışına veri transfer ettikleri ve oradan da buraya veri getirdikleri için KVK Kurumu’na başvurup izin istemişler. Ama onların izin istemesi Kurum açısından bir nevi “itiraf” gibi kabul edilmiş, “Vay demek siz bizden izin almadan veri transferi yapıyordunuz” denerek ciddi idari para cezaları kesilmiş. Kurul bu iznin veri transferi yapılmazdan önce alınmasını istiyor.
Albayrak, “Kurtuluş e-dönüşümde” diyor ama…
Hazine ve Maliye Bakanı Berat Albayrak’ın son Yeni Ekonomik Program sunumunda en önemli konulardan birini şirketlerin e-dönüşümü oluşturuyordu. Bakan Albayrak, sunumunun bir yerinde aynen şöyle diyordu:
Berat Albayrak ekonominin kurtuluşunu e-dönüşümde görüyor ama bu haliyle KVKK şirketlerin elini ayağını bağlıyor.
“Ekonomik hayatın sürdürülebilirliğinin sağlanması, istihdam ve üretimde potansiyele ulaşabilmek için ekonomik faaliyetler, zaman ve mekândan bağımsız olarak büyük ölçüde hibrit sistemlerle yürütülecektir. Ekonomimizin bu sürece uyum sağlayabilmesi için dijital dönüşüme hız kazandırılması, e-hizmetlerin hayatın her alanında yaygınlaştırılması, yeni finansal çözümlerin üretilmesi ve yeni çalışma modelleri oluşturulması bir zorunluluk olarak ortaya çıkmaktadır.”
Bakanın bu sözlerine karşılık, burada anlatılmaya çalışılan KVKK sorununa bir çözüm aramak amacıyla bir araya gelen “Bilişim Teknolojileri STK’lar Platformu”nun yayınladığı bir basın açıklamasında, “Kişisel Verileri Koruma Kurulu’nun son dönemde aldığı bazı kararlar, dünya ekonomisini şekillendiren veri temelli ekonominin dinamiklerine uymayan, ciddi kısıtlamalar içeriyor. Bu kısıtlamalar sonucunda şirketler kanuna uyum sağlamak için ticari yaşamın gerçekleriyle bağdaşmayan hukuki dayanakları yaratmak zorunda kalmış ve zorlamalardan dolayı dünya ile iş yapamaz noktaya kadar gelmişlerdir” deniyor.
Adalet Bakanı Abdülhamid Gül’e mektup yazıldı.
Platform, sesini duyurabilmek amacıyla Adalet Bakanı Abdülhamid Gül’e de bir mektup yazmış. Mektupta uzun uzun sorunlar anlatıldıktan sonra bir dizi çözüm önerisi de sunuluyor. Sunulan öneride, KVK Kurulu’nun alması gereken bir karar ayrıntılarıyla anlatılıyor.
Kurul bu kararı alır mı?
Platformun Kurul’dan istediği, verileri yurt dışına göndermek isteyen şirketlerin genel bir izin almak için Ekim 2021’e kadar başvuru yapmasının önünün açılmasını ve o güne kadar geçecek sürede şirketlere yeni idari para cezası uygulanmamasını sağlayacak bir karar alması.
Platformun istediği ikinci karar ise, kurulun “güvenli ülkeler listesi”ni bir an önce oluşturması.