Veri aktarımında sistem çalışmıyor firmalar çaresiz!

Kişisel verilerin korunmasında şirketlere verilen süre iki gün önce bitti ancak sistem işlemiyor. Veri sorumlusu şirketler, yurt dışına veri transferinin getirdiği kanun hükümlerini uygulamaya koymakta zorlanıyor. Kişisel Verileri Koruma Kurumu (KVKK) ‘Güvenli Ülkeler Listesi’ni yayımlamayınca şirketler çaresiz kaldı. Veri sorumluları, yurt dışına veri transferi hükümlerinde ‘açık rıza’ ya da ‘kurum izni’ çıkmazına girdi. Aksaklıklar yurtdışı ile yoğun temas halinde çalışan şirketleri kısıtlayınca Bilişim Teknolojileri STK’lar Platformu, çareyi Adalet Bakanı Gül’e mektup yollamakta buldu. Platform, hem izin sürelerinin uzun sürmesinden hem de izin için başvurduklarında yüksek cezalarla karşılaştıklarından dert yanıyor.

Sektörde faaliyet gösteren kuruluşları temsilen 9 dernek ve vakıftan oluşan Bilişim Teknolojileri STK’lar Platformu’nun ilettiği mektupta, oluşturulan işleyişin firmaları zor durumda bıraktığına, rekabet gücünü zayıflattığına ve yeni yatırımları engellediğine dikkat çekildi. KVKK’nın veri aktarımında 'Güvenli Ülkeler Listesi'ni hâlâ yayımlayamaması ve izin süreçlerinin uzamasının, şirketleri ticari faaliyetlerini yürütmekten alıkoyma noktasına getirdiği ifade edildi.

Bilişim hizmetleri veren şirketlerin, mevcut hukuki düzenlemelere uyum sağlayamadığı savunulan mektupta, çok büyük yatırımlarla hayata geçirilen teknolojik alt yapılarını da kullanamama tehlikesi ile karşı karşıya kalındığının altı çizildi. STK'lar verilerin güvenliğinin sağlanması önemli gereklilik olsa da, öngörülen hükümlerin şirketlerin ticari ilişkilerini kesintiye uğratacak, uygulanması güç veya imkânsız olmaması gerektiğini de vurguladı. Kişisel Verilerin Korunması Kanunu’na göre veri sorumlularının VERBİS’e kayıt olmaları için verilen ek süre 30 Eylül’de bitti. Kayıt olmayanlara 1 milyon TL’ye kadar ceza uygulanıyor. STK'lara göre kayıt olanlar, yurt dışına veri transferi ettikleri gerekçesiyle yüksek cezalarla karşılaşırken, transfer izni de alamadı.

“Yatırımı imkansızlaştırıyor”

Kanuna göre Kişisel Verileri Koruma Kurumu ‘Güvenli Ülkeler Listesi’ni yayımlamadığı için yurt dışına veri transferi ve yurt dışındaki teknolojik alt yapıları kullanmak sadece ‘veri sahibinin açık rızası’ veya ‘kurum izni’ ile mümkün. STK'lar, kurumun izin vermeme yönündeki eğiliminin ciddi sıkıntılar oluşturduğunu kaydetti.

‘Açık rıza' şartının, süreklilik taşıyan ticari işlemlerde yeniden yeniden alınmasının mümkün olmadığını söyleyen STK'lar, şunları kaydetti: “Dünya genelindeki ‘açık rıza’ sadece tek seferlik veri transferlerinde kullanılıyor. Zira veri sahibi her zaman açık rızasını geri alabiliyor. Açık rızaya dayalı olan ticari faaliyetin sürdürülmesi büyük oranda riske giriyor.” Açık rıza olmayınca şirketlere KVKK veri transferi izni veriyor. Ancak kurumun faaliyete başladığı 2017’den itibaren hiçbir firmaya yurt dışına aktarım için izin verilmediği belirtiliyor: “Mevcut aktarımını hukuki hale getirmek isteyen yabancı sermayeli bir şirket, ana merkezinin ve ana merkezinin kullandığı bazı şirketlerin alt yapıları üzerinden faaliyetlerini yürütmeyi tercih ettiğinde işleyeceği kişisel verilerin bu sistemlere aktarılması için kurum başvuru yoluna gidiyor. Fakat başvuru ardından da izin alabilmek için oldukça uzun bir süre beklemeleri gerekiyor. Hukuka uygun bir alt yapıda faaliyet göstermenin neredeyse imkânsız olması sebebiyle Türkiye’ye yönelik ticari yatırımların önü büyük oranda kesiliyor. Kurum’un bu konuda izin sürecini sürüncemede bırakıyor olması Türkiye için çok ciddi bir yatırım engeli teşkil ediyor.”

SEKTÖRÜN ACİL TALEPLERİ

• "Güvenli Ülkeler” in belirlenmesi konusunda somut adım atılmalı.

• "Kurul İzni" başvuruları, ticari amaçlı aktarımlar yönünden basitleştirilmeli, kapsamı ve çerçevesi netleştirilmeli, sonuçlandırma süreci hızlandırılmalı.

• Kurul, yapılan "başvuru" ile birlikte yurtdışına kişisel veri aktarımına başlayabilme imkanını tanımalı.

• KVKK'nın aktarımında kullanılması için izin almak üzere 30.10.2021 tarihine kadar Kurul'a başvuruda bulunulabilmeli.

• 30.10.2021 tarihine kadar yapılan başvurular süresinde usulüne uygun yapılmadığı, bu başvurulara konu olan yurtdışına kişisel veri aktarımının 'açık rıza' hukuki şartına dayanmadığı gerekçeleriyle Kurul tarafından ilgili veri sorumlusu hakkında idari tedbir ve ceza uygulanmamalı.

• Bu başvurunun kurum tarafından kayda alınması ile ilgili veri sorumlusunun başvuruda bulunduğu kapsam ve çerçeve içerisinde hukuka uygun olarak yurtdışına kişisel veri aktarımına devam edebilmeli.

• Aktarıma 'izin verilmez' ise ilgili kişisel verilerin Türkiye'ye getirilmesi ve yurtdışındaki kopyalarının silinmesi konusunda veri sorumlularına uygun bir zaman vermeli, katlanması güç veya imkansız olacak maliyetler ve külfetler yükletilmemeli.

• İzin değerlendirmesinde özel hayatın gizliliğini ihlalde "düşük" veya "orta" düzeyde risk taşıyan veri transferi konuları "izin verilmeme" kararına konu yapılmamalı

• Başvurular veri sorumlularının ticari faaliyetlerinin bir gereği olan; bu işlerle bağlantılı ve sınırlı olan kişisel veri işleme ve aktarma faaliyetleriyle sınırlı olmalı

• Başvurular kritiklik düzeyi yüksek olan "özel nitelikli kişisel veri", kamunun veri sorumlusu olarak işlediği kişisel veriler, ulusal güvenlik, kamu sağlığı ve kamu güvenliğini ilgilendiren kişisel veriler ile devlet tarafından kritiklik düzeyi üst düzeyde belirtilen verilerin yurtdışına transferine yönelik uygulanmamalı

• Ara çözümden sonra Kurul ilgili tüm tarafların bir araya gelmesini sağlayarak, uluslararası veri transferi başta olmak üzere kişisel verilerin korunmasına ilişkin mevzuatın ve uygulamaların ticari hayat ve uygulamalar üzerinde yarattığı gereksiz ve kaldırılamaz yükü belirlemeli

• Türkiye'nin kişisel verilerin korunması mevzuatı başta GDPR hükümleri olmak üzere, dünyadaki veri koruması hukuku içerisindeki en üst düzey standartları sağlayacak şekilde modernize edilmeli.

Video konferans dahi hukuka aykırı

Mevcut kanunla, ticari yaşamın önemli aktörlerinin yanı sıra Türkiye'deki kamu kurum ve kuruluşları dahi, video konferans alt yapılarını, sosyal medya hesaplarını ve elektronik posta olanaklarını kullanmaları sonucunda, yurt dışına veri transferlerinde bulunabiliyor. Kamu kurum ve kuruluşları dahi, kullandıkları yurtdışı kaynaklı bilgi teknolojileri alt yapıları süresince, yurtdışına aktardıkları kişisel veriler için açık rıza hukuki şartına dayanmamaları durumunda hukuka aykırılık riski ile karşı karşıya. Kanun'un düzenlemeleri uyarınca kamu kurum ve kuruluşlarının da bu noktada yurtdışı kaynaklı sistemleri kullanmaya devam etmeleri halinde kuruma izin başvurusunda bulunmaları gerekiyor. Devlet faaliyetlerinin durdurulamayacağına göre hukuki sonuçların hayatın olağan akışına uymadığının kabul edilmesi gerektiğini savunuyor.