Günümüzde dijital pazarlama ve yapay zekanın birleşmesiyle ve teknoloji kullanıcılarının verilerinin değerli hale gelmesiyle “6698 sayılı Kişisel Verilerin Korunması Kanunu gereği…” ile başlayan sözleşme maddeleri, internet sitesi uyarıları, anket açıklamaları ve daha nicesini hayatımızın birçok alanında görmeye başladık. 2016 yılının sonunda, üye olduğunuz AB merkezli birçok platformdan gizlilik sözleşmesinin güncellenmesiyle ilgili e-postalar almışsınızdır. Bunun sebebi de daha öncesinde birçok AB mevzuatında yeri olsa da geniş kapsamlı olarak ilk defa (EU) 2016/679 Genel Veri Koruma Tüzüğü (GDPR) ile kişisel verilerin korunması ve işlenmesiyle ilgili büyük çaplı düzenlemeler yapılmasıdır. Avrupa Komisyon’un Gizlilik Politikaları sayfasından kapsamını da öğrenebilirsiniz. 24.03.2016 tarih ve 6698 sayılı Kişisel Verilerin Korunması Kanunu ile ülkemizde de resmi olarak ilk çalışmalara başlanmış ve ilgili kanun gereği Kişisel Verileri Koruma Kurumu kurulmuştur. Yeni bir alan olduğu için kanuna göre tanımları belirtmek de gerekir. 6698 sayılı Kanunun 3. maddesine göre;
a) Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı,
6698 sayılı Kişisel Verilerin Korunması Kanunu
b) Anonim hâle getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini,
c) Başkan: Kişisel Verileri Koruma Kurumu Başkanını,
ç) İlgili kişi: Kişisel verisi işlenen gerçek kişiyi,
d) Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,
e) Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,
f) Kurul: Kişisel Verileri Koruma Kurulunu,
g) Kurum: Kişisel Verileri Koruma Kurumunu,
ğ) Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi,
h) Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini,
ı) Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi,
ifade eder.
Konuyla alakalı hiçbir bilgisi olmayanlar başta bu kanun ve kuruma kayıt olunmasıyla verilerin toplandığı bir yapı oluşturulmuş gibi bir algıya kapılabilir. Aksine bu kurumun amacı tamamen halkı bilgilendirmek ve veri işleyen her gerçek ve tüzel kişinin bir listesini yaparak kişisel veriler üzerinden dolandırıcılığa karşı caydırıcı bir sistem oluşturmaktır. Kesinlikle verileri toplama veya talep etme gibi bir yetkisi bulunmamaktadır. Bunu da başta belirtmekte fayda var.
Kişisel veri kavramını biraz daha açalım. Sadece e-posta, telefon, ev adresi gibi bilgiler ile sınırlı olduğunu düşünmeyin. Şu anda bu yazıyı okuduğunuz cihazı ele alalım. Tarayıcınız çerez (cookie) denilen dosyaları cihazınıza indirmiş durumda. Cihaz veya işletim sistemi fark etmiyor. Bu dosyaları indirerek de bazı anonim bilgilerinizi web sitesi yöneticilerine göndermeyi kabul etmiş sayılıyorsunuz. Mesela ekran boyutunuz, işletim sisteminiz, bu siteye nereden girdiğiniz, hangi siteden yönlendirildiğiniz, kullandığınız cihazın marka ve model bilgilerini daha siteye girer girmez anonim veri olarak göndermiş oluyorsunuz. Yine de korkmayın, güvenilir bir tarayıcı kullanıyorsanız ve girdiğiniz site “https://” alan adıyla açılıyorsa bu bilgilerden fazlasını alamaz. Günümüz akıllı telefonlar, giyilebilir teknolojiler ve diğer cihazlar adım sayımızdan uyku düzenimize kadar birçok bilgiyi çıkarabiliyor, hatta konum bilgilerinizin işlenmesi açıksa günlük hareketinize bağlı olarak ev adresinizi ve iş adresinizi tahmin edebiliyor. Diğer yandan bilgisayarınıza veya mobil cihazlarınıza birçok program yüklüyorsunuz. Orada “Hizmet Koşulları”nı “Onaylıyorum” dediğiniz anda da o programlar birçok verinize erişim imkanı sağlıyor. Tabii yine burada işletim sisteminizin etkin bir güvenlik altyapısının bulunması önemli. Güvenlik duvarı dediğimiz bu yapı bir yere kadar sizin bilgilerinizi süzerek sizi temel seviyede de olsa koruyor. Eğer korsan yazılımlar kullanıyorsanız cihazınızda daha gizli verilerinizin başka bir yere gönderilmesiyle ilgili bir izin vermiş olabilirsiniz. Ne kadar dikkatli olursak olalım toplanan veriler anonim de olsa farklı platformlardan gelen verilerimizle birlikte eşleştirilerek bize ait olduğu da tespit edilebiliyor.
İşte burada parça parça işlenen veriler ortak bir platformda sizinle ilişkilendirildiği zaman sizi sizin kadar tanıyan yapay zeka sistemleri ortaya çıkabilir ve bu bilgileriniz yanlış kişilerin eline geçerse büyük çaplı dolandırıcılığa varan olaylarla karşılaşabilirsiniz.
Çeviri sektörünün paydaşları olarak bizi ilgilendiren kısma gelince aslında bizi doğrudan ilgilendiren hiçbir kısmı yok desem yeridir. Maalesef merkezi bir yasal düzenlememiz, denetleme mekanizmamız ve farkındalık çalışmalarımız bulunmadığı için çeviri sektörüne yönelik olarak KVKK kapsamında da özel bir çalışma bulunmamaktadır. Bu yüzden kanun ve yönetmelikleri inceledikten sonra KVKK Kurul Kararları‘na göre neler yapmamız gerektiğini kendimiz araştırıp bulmamız gerekiyor. 01.01.2019 tarihinden itibaren veri işleyen her gerçek ve tüzel kişinin Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) kayıt zorunluluğu getirilmiştir. 02.04.2018 tarihli ve 2018/32 sayılı Kurul Kararına göre noterler, sivil toplum kuruluşları, siyasi partiler, avukatlar, muhasebeciler ve mali müşavirlerin VERBİS’e kayıt zorunluluğu bulunmamaktadır. Yine diğer kurul kararlarında farklı koşullara göre istisnalar da bulunmaktadır. Diğer yandan çeviri hizmet talepleriyle gelen verilerin çeşitliliğinden dolayı 31.01.2018 tarihli ve 2018/10 sayılı Kurul Kararına göre de “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler”i karşılamak zorunda olduğumuzu da söyleyebilirim. İstisnalardan bahsederken KESİNLİKLE bu kurallara uymak zorunda olmadığımızı düşünmeyin. Kanuna göre şartları karşılayan herkes bu kurallara UYMAK ZORUNDA. İstisnalar sadece VERBİS’e kayıt zorunluğunu ortadan kaldırıyor.
Çeviri sektöründe olsun olmasın veri sorumlusu sıfatını haiz her gerçek veya tüzel kişinin yükümülülükleri aşağıdaki şekildedir;
- Aydınlatma Yükümlülüğü
- Veri Güvenliğine İlişkin Yükümlülükler
- Veri Sorumluları Siciline Kayıt Yükümlülüğü
- İlgili Kişiler Tarafından Yapılan Başvuruların Cevaplanması Yükümlülüğü
- Kurul Kararlarının Yerine Getirilmesi Yükümlülüğü
KVKK sürekli olarak bilgilendirme etkinlikeri düzenlemektedir. Sayfalarından nerede ve ne zaman olduğuna bakabilirsiniz. Ben de Ankara Ticaret Odası’yla birlikte düzenledikleri bir panele katılma fırsatı yakaladım.
Aldığım notlara ve uzmanların detaylı açıklamarına göre sistemi kısaca anlatayım. Eğer kişisel verileri bir şekilde topluyorsanız ve bir işlemden geçiriyorsanız öncelikle aydınlatma yükümlülüğünüzü yerine getirerek verisini aldığınız kişiye bu veriyle ne yapacağınızı, nasıl işleyeceğinizi, ne kadar süreyle veriyi tutacağınızı (yazılı veya sözlü olarak) detaylıca anlatmak zorundasınız. Veri sahibinin aklına takılan bir soru kalmamalı. Sonrasında veri sahibinin, aydınlatma (yazılı veya sözlü) açıklamamıza dayanarak açık rızasıyla artık veri üzerinde çalışmalarımıza izin vermesi gerekir. Tabii burada veri üzerinde yine tam yetkili değiliz. Veri sahibinin açık rızada bulunduğu koşullar kapsamında yetkiliyiz. Bu süreçte KVKK yükümlülüklerimizin yanında mesleğimizin bağlı olduğu kanun, yönetmelik ve merkezi meslek odaları veya yetkili kuruma bağlı olarak hizmetinizi yerine getirmeniz gerekir. Veri işleme sürecinizde şartlardan biri de bağlı olduğunuz kanun ve yönetmeliklere göre yetkili kurum veya kuruluşlar tarafından denetlemenizin yapılmasıdır. Yani KVKK tek başına sadece bu süreçte veri korumayla ilgili neler yapılacağını belirlemektedir.
Çeviri hizmeti üzerine örneklendirirsek çeviri hizmet sağlayıcı olan bizlerden hizmet talebi bulunanlara işi alım sürecinde metni nasıl bir süreçten geçireceğimizi detaylıca açıklamak zorundayız. Eğer bilgisayar destekli çeviri yazılımı (CAT) kullanıyorsak, o da metni daha sonra kullanmak üzere işleyeceğinden, hizmet talep edene bunun bilgisini de vermemiz gerekir. Daha sonrasında açık rızasını (yazılı veya sözlü) aldıktan sonra bu sürece uyarak hizmet vermemiz gerekir. Eğer hizmet talep eden çeviri sürecinde makine çevirisi sistemlerine metninin yüklenmesini veya herhangi başka bir çevirmene metnin iletilmesini istemiyorsa bu şartlara uymak zorundayız. Tabii çeviri hizmet sağlayıcı olarak sizi denetleyecek bir kurum veya kuruluşun da bu temel şartları karşıladığınızı onaylaması gerekir. Bu anlattıklarımı çok karmaşık işler olarak algılamayın. Eğer müşteriyi büroda karşılıyorsanız standart bir açıklamayı görünür bir yere asarak; internet siteniz üzerinden alıyorsanız bir gizlilik sözleşmesine yönlendirerek veya hizmet alınmasıyla ilgili bir makbuz veya fatura teslim ediyorsanız görünür bir yerine bu açıklamaları yerleştirerek aydınlatma yükümlülüğünüzü yerine getirebilirsiniz.
Çeviri sektörüyle ilgili asıl sorun denetleme sürecinde. Sektörün denetlebilirliğinin olmaması da aslında KVKK’ya göre bizi güvensiz hale getirmektedir. Kişisel verilerin korunmasının bir ihtiyaçtan zorunluluk haline geldiği bu süreçte bu durumun anlaşılmasının da yakın olduğunu söyleyebilirim. Belki bakarsınız bunca sene beklediğimiz kanun ve merkezi denetleme yapısı KVKK gerekçesiyle daha hızlı çıkabilir. Benim tavsiyemse bu konu üzerinden Kişisel Verileri Koruma Kurumuna baskı yaparak böyle bir ihtiyacın gerekliliği konusunda kurumu ikna etmek. Halihazırda kuruma bireysel olarak vermiş olduğum, çeviri sektörünün KVKK’ya göre güvenli olmadığına dair bir görüş dilekçesi de bulunmakta ama ben tek başıma ancak bir şube müdürüyle görüşebildim. Kurumun genel olarak bu konu üzerine çalışmalar başlatması için kurum başkanı ve yönetim kurulunun bu konuda farkındalığının olması gerekmektedir. Bu blog yazım aslında bir bilgilendirme metni olmasının yanısıra güzel bir fırsatı değerlendirme çağrısıdır. Karşımızda yeni gelişmeye başlayan ve diğer kurumları etkileyebilme potansiyeli yüksek olan bir kurum bulunmaktadır. Eğer çeviri sektörü konusunda farkında bir kurum olarak gelişmesini sağlayabilirsek belki biz de sektör gelişimi konusunda bir yerden etkin bir şekilde bir fırsat yakalayabiliriz.
