KVKK Nedir ve GDPR Hakkında Önemli Notlar
KVKK Nedir? Dijitalleşen dünya içerisinde çeşitli kuralların uygulanması gerekiyor. Özellikle kişisel verilerin korunması, paylaşılmasının önlenmesi ve toplanmasına sınır getirilmesi, söz konusu çerçeve içerisinde örnek gösterilebilir. KVKK nedir sorusunun cevabı ise aslında kelimenin açılımında yer alır. Kişisel Verilerin Korunması Kanunu olarak tanımlanan KVKK, kullanıcılara ait detayların başka şahıslar tarafından görüntülenmesini önlüyor.
KVKK Neden Önemli?
7 Nisan 2016 tarihinde yayınlanarak yürürlüğe giren KVKK, kişinin rızası olmadan verilerin işlenmesini, paylaşılmasını ve çeşitli noktalara dahil edilmesini önlüyor. Peki, KVKK neden önemli? Şöyle ki artık milyonlarca kullanıcı internet üzerinde çeşitli bilgilerini paylaşıyor. Burada sosyal medya uygulamaları, internet siteleri ve çeşitli sayfalar devreye giriyor.
Bahsi geçen platformlarda bilgi paylaşmak, doğrudan platform sahibinin bu bilgilere erişmesini sağlıyor. Kanun ise platform sahibine sınırlandırma getiriyor. Elektronik ticaretin her geçen gün yaygınlaştığı bir dönem içerisinde kredi kartı bilgileri dahi kolayca paylaşılıyor. Hal böyle olunca kişisel bilgilerin çıkan yasa ile korunması gerekiyor.
Kişisel verilerin çalınması ya da izinsiz bir şekilde işlenmesi halinde çok farklı durumların doğduğu görülebilir. Kimlik hırsızlığına kadar varan durum dahilinde ayrıca kredi kartı bilgilerinin paylaşılması gibi tehlikeler doğabilir. Tüm bunların önlenmesi ve verilerin korunması için KVKK son derece önem teşkil ediyor. Kanun sayesinde kullanıcıların internet üzerinde çok daha rahat ve özgür hareket etmeleri mümkün hale geliyor.
KVKK Kurallarına Uymamanın Cezası
Çıkarılan yasa, sadece önlem almayı sağlamakla kalmıyor aynı zamanda ceza verici bir özellik de taşıyor. Çeşitli kurumlar, sayfalar ve kişiler Kişisel Verilerin Korunması Kanunu çerçevesinde hareket etmez ise sonuç olarak idari ve para olmak üzere çeşitli cezalar ile karşılaşıyor. Böylelikle caydırıcı olma özelliği de üstlenen KVKK, geniş çerçevede verilerin işlenmesini önlemeyi başarıyor.
KVKK cezaları ise suça göre değişkenlik gösteriyor. Herhangi bir kişinin özel bilgilerini çalan ya da izinsiz alan kişiler, 1 ile 3 yıl olmak üzere hapis cezasına çarptırılabiliyorlar. Cezanın oranı ise genellikle suça göre değişkenlik gösteriyor.
İdari para cezaları ise yine işlenen suça yani yerine getirilmeyen maddeye ya da maddelere göre değişiyor. Suça göre 5.000 ile 1.000.000 TL oranlarında cezalar verilebiliyor. Kişinin haklarını bilmesi ve karşı tarafa ilişkin ne gibi söz haklarının olduğunu bilmesi önem teşkil ediyor. Bazı kuruluşlar, doğrudan karşı taraftan kişisel verilerini işlemeye ilişkin izin isteyebiliyorlar. Genellikle bu tarz durumlarda izin verilmemesi öneriliyor. Ancak son karar elbette kullanıcıya aittir.
Kişisel verilerin korunması ile ilgili Avrupa ve Türkiye’de yürürlüğe giren düzenlemeler tüm websitesi sahiplerini ve tüm kullanıcıları yakından ilgilendiriyor. Bu kapsamda birçok kaynak, haber, etkinlik ve video izlemiş birisi olarak çıkardığım tüm notları bu yazı ile sizlerle paylaşmak istedim.
KVKK ve GDPR İle İlgili Öne Çıkan Notlar
- Kişiyi veya belirli bir segmentteki topluluğu hedeflemeye yarayan her türlü veri, kişisel veri kapsamında,
- Çerezin kullanım amacı ve türüne göre kişisel veri koruma yükümlülükleri değişiyor,
- GDPR’a göre kişisel verilerin toplanıp işlenebilmesi için veri sahibi kişinin açık onayı şart, artık zımni onay yeterli olmuyor,
- Veri paylaşımı ve işlemesi için şirket envanterinin halka açık olarak paylaşılması şeffaflık şartı için öneriliyor,
- Google Analytics gibi birçok izleme aracı, gerekli tedbirlerin alınabilmesi için önemli güncellemeler yapıyor,
- KVKK ve GDPR’da belirsiz hükümlerin olması ve bunlara örnek karar teşkil edecek mahkeme kararlarının olmaması sebebiyle hukukçuların bile kafası karışık ve net değil,
- Başta pazarlama uzmanları olmak üzere herkes oldukça pesimist davranıyor.
Hukuki Notlar
KVKK ile veri işleyicilerin hukuki yükümlülükleri Türkiye Cumhuriyeti sınırları içerisinde geçerliyken yalnızca AB sınırları içerisinde geçerli olan GDPR ile bazı farklı hükümleri bulunuyor. GDPR, daha korumacı ve kişisel verinin güvenliğini çok sert sağlarken KVKK, hem kullanıcıyı hem de veri işleyeni korkutmayan hükümlere sahip.
AB sınırlarından herhangi bir kişisel veri, GDPR kapsamında değerlendirilmekteyken rızalı kabul edilen eski veriler için tekrar rızaya gerek bulunmuyor. Bu veriler manuel olarak (örneğin kağıt üzerinden) toplanıyorsa açık rızanın kayıt altına alınması gerekiyor.
Bir verinin işlenmesi için açık bir rıza olsa da Gizlilik Politikası gibi sayfalarda kullanıcıyı aydınlatma yükümlülüğü bulunuyor. Benzer sayfalar üzerinden aydınlatma bilgileri ise biraz ayrıntı istiyor. Örneğin Google Analytics gibi üçüncü taraflarla veri toplanıyorsa GDPR’a göre tüm üçüncü taraf envanterin bu sayfalarda listelenmesi öneriliyor. Ayrıca kişisel verilerin kullanmak, kaydetmek, paylaşmak gibi hangi şekillerde işleneceği hakkında açık bir bilgilendirme de yapılmalı.
Hizmet için zorunlu olmayan verileri kullanıcının paylaşmasını zorlamak için hizmeti onay alana kadar engellemek de mümkün değil. Örneğin Facebook Pixel kullanmak için kullanıcıdan izin isteyip kullanıcı izin verene kadar web sitesinde gezinmesi engellenemez.
KVKK’ya göre bunlara ek olarak, yurt dışına veri aktarımı için verinin aktarıldığı ülkenin güvenli ülke olarak nitelendirilmiş olması şarttır. Web sitesinin sunucusu yurt dışında ise toplanan verilerin yurt dışına aktarıldığı anlamına gelir.
Her iki metin için de kişisel verileri üç ana başlıkta toplayabiliriz:
- IP adresleri
- Çerezler
- Hedefleme verileri
IP Adresleri
Statik ve dinamik IP adresleri, kişisel veri kapsamında ayrı ayrı değerlendiriliyor. Statik IP adresleri koşulsuz şartsız kişisel veri statüsünde iken dinamik IP adresleri hakkında Avrupa’da ihtilaf bulunuyor. Türkiye’de ise Anayasa Mahkemesinin örnek bir kararına göre servis sağlayıcılarının dinamik IP adreslerinin hangi zaman diliminde kime ait olduğunu bilmeleri sebebiyle IP adresleri dinamik de olsa kişisel veri statüsünde. Yine Avrupa’da dinamik IP adresi ile birlikte bir kişisel veri de toplanıyorsa bu adres de kişisel veri statüsünde tutuluyor.
Çerezler
Bir web sitesinin doğru çalışması için gerekli olan çerezler, zorunlu çerezler olarak adlandırılıyor. Bu sebeple bu çerezler için açık izin gerekmiyor. Ancak GDPR’a göre izleme çerezleri gibi hizmeti doğrudan etkilemeyen çerezlerin kullanılması için kullanıcının açık onayı gerekiyor. Örneğin Google Analytics kullanılan bir web sitesinde, “__ga” gibi Google Analytics izleme çerezleri üretilir. Eğer kullanıcıdan açık onay alınmazsa onay alınana kadar Google Analytics aktifleştirilemiyor.
KVKK’ye göre ise bu gibi çerezler için rıza gerekse de bu rızanın açık veya zımni olup olmayacağı ile ilgili kesin bir hüküm bulunmuyor. Bu sebeple AB ülkelerinden herhangi bir şekilde trafik alan web sitelerinin kullanıcıdan açık onay almadan Google Analytics, Yandex Metrica, Hotjar, Facebook Pixel gibi izleme araçlarını aktifleştirmemeleri öneriliyor.
Hedefleme Verileri
Tekil veya segment bazlı hedeflenebilir her veri GDPR’a göre kişisel veridir. Örneğin bisiklet araması yapan kullanıcıya bisiklet reklamı göstermek veya sık seyahat edenler grubuna uçak bileti reklamları göstermek için kullanılan veriler bu gruba girer. Ancak KVKK’de bu konu hakkında kesin bir hüküm bulunmamaktadır. Bu tür verilerin hangi yolla toplandıklarına bakılmaksızın işlenmesi için açık onay gerekmektedir.
Pazarlama Notları
Ciddi oranda pesimist olan pazarlama uzmanları, %20-40 arası reklam gelir kaybı beklentisi içinde. Çünkü beklenene göre kullanıcılar verilerini paylaşmayı çoğunlukla reddedecek ve reklam sektörü eskisi gibi etkisiz, rastgele reklam yığınlarıyla dolacak. Bu eskiye dönme korkuları sebebiyle pazarlama uzmanları çoğunlukla kayba odaklanıyor ve çözüm aramıyor. Buna rağmen “bize bir şey olmaz” demeye devam edenler de var.
Pazarlama sektöründe ise creative dönemin başladığını söyleyebiliriz. Artık kullanıcı verileri çok daha nadir ve değerli olduğundan bu verilere ihtiyaç duymayan etkili pazarlama stratejileri geliştiriliyor. Örneğin 2019 yılı içinde geleceği söylenen E-Privacy Regulation adlı bir önerge ile çerez kullanımının yasağa yakın bir kısıtlamaya uğrayacağı tahmin ediliyor. Bu sebeple Alman şirketlerin GDPR’ı çoktan bünyelerine oturtup “çerezsiz nasıl yaşarız, ucuz ama etkili pazarlama dünyasını nasıl inşa ederiz” sorularının cevabını arıyor.
Ayrıca veri paylaşımını oyunlaştırarak bir ödüllü sisteme dönüştürmeyi düşünebiliriz. Böylece hem kişilerin verilerini güvenlik altına alabilir, hem veri yönetimi eğitimi verilerek insanlar bilinçlendirilebilir hem de bu değerli verileri kullanarak ilgili işlemlerin verimini kaybetmesini engelleyebiliriz.
Veri İşleme Notları
Gizlilik Politikalarında her yayıncı, şirket veya tacirin web sitelerinde ciddi düzenlemelere gitmesi gerektiği açıktır. Bu sırada veri sorumlusu kişilerin verileri en baştan gözden geçirmesi, veri toplayıcı araç envanterini belirlemesi ve uyum için gerekli diğer işlemleri yapması en az 20 milyon € olmak üzere %4 yıllık cirodan kurtaracaktır.
Bunu sağlamak için Google gibi üçüncü tarafların yayınladığı API ve geliştirici araçları iyi değerlendirilip kullanılmalıdır. Örneğin Google Analytics API’si ile tekil kullanıcı bazlı Analytics verilerinin silenebilmesi sağlanmalıdır. Kullanıcılar onay vermekte ne kadar rahat ve kolay bir sistem kullanıyorsa benze rahatlıkta da verilerini silebilmelilerdir.
Trajikomik bir not ile bitirelim. Avukat ve pazarlama uzmanlarının bulunduğu panel şakayla karışık bir görüşle sonlandırıldı: “GDPR’ı, KVKK’yı biz çözemediysek, hukukçu çözemediyse kullanıcı da çözemez; bize bir şey olmaz.”
Kullanıcıların, yayıncıların, şirketlerin bu konularda eğitilmesi şarttır. Pazarlama uzmanlarının ise daha optimist olmasını öneriyoruz. Hiçbir sistem değişikliği insanları geriye götürmez, çünkü her sistem değişikliğinde daha ileri giden birileri vardır. Pesimist duygularla kayba odaklanmak yerine çözüm yolları için çalışma ve faydaya odaklanmanız dileğiyle…