Esasen fiziğimiz, eşyamız, ruh bütünlüğümüz gibi korunması gereken değerlerden biri de kişisel verilerimiz. Kanunumuzun gerekçesine göre de, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmekte. Bu bağlamda sadece kişinin adı, soyadı, doğum tarihi ve doğum yeri gibi onun kesin teşhisini sağlayan bilgiler değil, aynı zamanda kişinin fiziki, ailevi, ekonomik, sosyal ve sair özelliklerine ilişkin bilgiler de kişisel veri. İsim, tel numarası, taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, genetik bilgiler gibi veriler dolaylı da olsa kişiyi belirlenebilir kılabilme özellikleri nedeniyle kişisel verilerdir. Özetle kişisel veri kimliği belirli veya belirlenebilir gerçek kişiye İlişkin her türlü bilgiyi kapsıyor.
Kişisel verilerin korunmasına dair son on yılda uluslararası alanda yapılan düzenleme ve kabulleri, ulusal yasalar, diğer düzenlemeler ve kurumlar, kararlarımız takip ediyor. Mevzuatımıza göz atınca önce Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR), 6698 sayılı kanunumuz (KVKY), ardından çıkarılan onlarca yönetmelik ve tebliğlerle, daha taze sayılan KVKK uygulama kararlarıyla oluşan evriminin başındaki iç mevzuatımızı görüyoruz.
Mevzuatı uygulayacak, bu alana ilişkin görev ve yetkilerle donatılı kuruma bakınca da İdari ve mali özerkliğe sahip olduğunun altı çizilen Kişisel Verileri Koruma Kurulumuz (KVKK) oluştu. Kurul, kişisel verilerin, temel hak ve özgürlüklere uygun şekilde işlenmesini sağlamak, ilgili hakların ihlal edildiğini ileri sürenlerin şikâyetlerini karara bağlamak, şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen görev alanına giren konularda kişisel verilerin kanunlara uygun olarak işlenip işlenmediğini incelemek ve gerektiğinde bu konuda geçici önlemler almak, özel nitelikli kişisel verilerin işlenmesi için aranan yeterli önlemleri belirlemek, veri sorumluları sicilinin tutulmasını sağlamak, yanı sıra kanunda öngörülen idari yaptırımlara (ki yüksek miktarlarda para cezaları da buna dahil) karar vermek gibi önemli görev ve yetkilerle donatılı. Kurulun başkan ve yardımcısı dahil on üyesi var, yanı sıra teşkilatlanması.
Hal böyle iken, bilişim teknolojileri öyle bir hızla değişiyor ve gelişiyor ki daha taze dediğimiz mevzuatlar, emsaller, kurullar, kararlar bu hıza ve genişliğe ayak uydurmakta zorlanıyor.
Geçtiğimiz hafta içinde sosyal medya aracı Twitter’den bir hesaptan Kıbrıs’ta bir kumarhane zincirinde kumar oynayıp belli bir meblağın üzerinde para kaybeden kişilerin listesi yayımlandı.
Site bu haber ve bilgileri kısa sürede kaldırttı ancak olan olmuştu. Çarşaf çarşaf yayınlanan listelerde kişilerin adları, soyadları, özel telefon numaraları, kumarhane sicil numaraları ve ne kadar miktar para kaybettikleri kuruşuna kadar yer alıyordu. Sonrasında bu listeler interneti olan herkesin iki tıkta ulaşabileceği sosyal medya haber sitelerinde (gazetelerinde!) dolaşmaya başladı. Meraklı milyonlarca kişi de ünlüsünü ünsüzünü eş dost arkadaşını bu listelerde gördü.
Elbette bu ifşa hali, salt listelerde isimleri yayımlananların kişisel, ailesel, çevresel onurlarını zedelemekle, hukuksal anlamda sadece basit biçimde kişisel haklara tecavüz boyutunda düşünülemeyecek bir konu. Bilenler bilir, aynı zamanda gelirlerinin epey yüzdesini kumarla birleşik lüks otellerle turizme bağlayan bir ülkenin ekonomisini olumsuz derecede etkileyebilecek boyutlar riskler içereceğini tahmin etmek zor olmaz.
İşte size, özellikle hukuk dünyasına, kişisel verilerin korunmasına dair ağır surette ihlal hali ve beraberinde getirip neden olabileceği sonuçlara dair her yönüyle çokça tartışılabilecek kapsamlı bir örnek. Verileri kaynağında gerektiği gibi saklamayıp ifşasına yol açanlardan tutunuz, verileri yayımlayan sosyal medya haber siteleri gibi mecraların sorumlulukları tartışılacak. Sadece ilgili kurumların idari para cezası ceza kesmesi açısı değil şüphesiz, ifşaya uğrayan mağdurların tazminat hakları gibi bir yığın hukuk savaşına neden olabilecek bir süreç.
Olaydan çıkarılacak ders de açık. İşletme olarak şirket de olsak, şahıs da başkalarının kişisel verilerini iyi korumalı, ifşasına yol açabilecek her türlü girişime karşı önlemleri almalı, hatta bir ötesi, sigorta şirketiyle görüşülerek ihmal veya dikkatsizlikle ele geçirilmesinden doğabilecek tazminatları da varsa imkân bir güzel sigortalatmalı derim. Neticede bu Kişisel verileri Koruma işi öyle sadece veri sorumlusunu kayda geçirmekle oh bu iş bitti denilecek bir olay değil. Şimdilik bunun mutlaka farkında olmak ve üzerine eğilip çalışma yapmayı gerektiriyor.
Saygılarımla.