Hacettepe Üniversitesi Teknokent Kişisel Verilerin Yönetimi Sempozyumu’nun ardından

Yazan: Derya Güçdemir, M.S.

Kişisel Verilen Yönetimi Derneği (KVYD) ve Hacettepe Teknokent A.Ş. tarafından, 7 Mart 2019 tarihinde kişisel verilerin korunmasına yönelik farkındalık oluşturmak, bilinç geliştirmek, kişisel verilerin yönetimini ele almak ve veri güdümlü ekonomide gerek özel gerek kamusal aktörlerin uluslararası rekabet kapasitesini artırmak amacıyla Kişisel Verilerin Yönetimi Sempozyumu gerçekleştirildi[1].

Kişisel Verilerin Yönetiminde Düzenleyicilerin Yaklaşımı isimli oturumda, Kişisel Verileri Koruma Kurumu (KVKK) 2. Başkanı Cabir Bilirgen, kişisel sağlık verilerinin hastaların sağlığını geliştirmek dışında kullanılmaması, araştırma amacı dışında başka bir amaçla yaklaşılmaması ve hukuki gereklilik halinde yalnızca veri tabanı yöneticisinin erişebilmesi gerektiğini belirtti. Bu bağlamda, verinin gerek teknik gerek idari yönden korunmasının gerekli olduğunun altını çizdi. Sudo veri, veri anonimleştirme, veri silme, veri yok etme ve veri sahipliği kavramlarından bahsederek en çok çalınan verinin kişisel veriler olduğunu, bu çerçevede verilerin kurumlar tarafından amacına uygun olarak ve sadece açık rıza ile yeteri kadar toplanması gerektiğini vurguladı. Aksi takdirde, hastaların güvenlik ve mahremiyet gibi kaygılardan dolayı sağlıkları ile ilgili her şeyi anlatmadığını ve hasta hikayesinin eksik kaldığını, mahremiyetin bu yüzden önemli olduğunu söyledi. Yapılan ihlaller karşısında ise Türkiye’de yaptırımların uyarı mahiyetinde olduğunu ve GDPR (General Data Protection Regultion)’dan içtihat oluşturduğumuzu paylaştı. Daha kökten çözümler için veri koruma kültürünü oluşturmanın gerekliliğinden ve bunun kurumsal kültürün bir parçası olması gerektiğinden bahsetti. Örneğin, bu noktada kurumlarda kişisel veri dairesinin neden olmadığını düşünebiliriz. Bunun yanında, okullarda kişisel veri kulüpleri kurulması yönünde MEB ile çalışmalar yaptıklarını vurguladı.

Aynı oturumda, T.C. Sağlık Bakanlığı, Sağlık Bilgi Sistemleri Genel Müdürü Dr. M. Mahir Ülgü, kişisel sağlık verileri hakkındaki regülasyonlardan ve tıpta kaydın öneminden bahsetti. Elektronik ortamda tutulan bilgiler ile ilgili olarak verilerin çeşitliliği ve büyüklüğünden bahsederek bilgi işlem güvenliğinin önemine değindi. Saha eğitimleriyle 500.000’den fazla sağlık çalışanının 453.000 kadarına bilgi güvenliği ile ilgili farkındalık eğitimleri verildiğini vurguladı. ISO 27001 Bilgi Güvenliği Yönetim Sistemi, kamu net ve e-nabızdan bahsetti. Hasta verileriyle ilgili olarak, sadece hukuki dayanaklar dahilinde yeteri kadar veriyi açtıklarını ve hangi hekimin hangi hastanın sağlık kayıtlarına baktığına dair log tutulduğunu belirtti. E-nabız sisteminde paylaşım ayarları kısmında “hiçbir hekim verilerimi görmesin” kısmını işaretleyerek verilerin erişime kapatılabileceğini ve hekimin talebi ve hastanın rızası doğrultusunda sadece tek kullanımlık SMS şifresiyle giriş yapılabileceğini anlatarak, sağlık bakanlığının veri koruma ve güvenliği konusunda attığı adımları paylaştı.

Kişisel Verilerin İşlenmesi ve Korunması Arasındaki Denge isimli oturumda, Kişisel Verileri Koruma Kurumu (KVKK), Veri Yönetimi Daire Başkanlığı’nda Uzman olarak çalışan Ahmet Miraç Sönmez, anayasanın 20. maddesinin 3. Fıkrasından (özel hayatın gizliliği) ve 2016 yılında kabul edilen Kişisel Verilerin Korunması Kanunu’ndan bahsetti. Verimlilik elde edebilmek için verilerin korunarak işlenmesi gerektiğini, işlendiğinde ise amaçla bağlantılı, sınırlı ve ölçülü olması gerektiğini vurguladı. Veri ve özel nitelikli veri arasındaki fark, zımni rıza, kişisel verilerin işlenmesinde veri sorumlusunun yükümlülükleri, 6698 Kişisel Verilerin Korunması Kanunu madde 10 (aydınlatma yükümlülüğü), madde 12 (veri güvenliği) ve Veri Sorumluları Sicil Bilgi Sistemi (VERBİS) gibi konulara değindi. Verilerin uluslararası transferinin açık rıza ile mümkün olduğunu belirtti.

Aynı oturumda T.C. Sağlık Bakanlığı, Sağlık Bilgi Sistemleri Genel Müdürlüğü, Sistem Yönetimi ve Bilgi Güvenliği Dairesi Başkanı M. Fatih Uluçam, verilerin herkesi ilgilendirdiği konusunda oluşması gereken farkındalıktan, bireylerin kendi haklarını çok iyi bilmesi gerektiğinden ve verilerin kötü ellere geçmesini engelleyen kişi ve aktörlerin öneminden bahsetti. Ankara Yıldırım Beyazıt Üniversitesi Hukuk Fakültesi Dr. Öğretim Üyesi Mehmet Bedii Kaya kişisel verilerin işlenmesi ve korunmasıyla ilgili olarak herkesin kendisiyle ilgili kişisel verinin korunmasını isteme hakkına sahip olduğunu vurguladı. Bu hakkın sınırlarının neler olabileceğinden ve hakların kötüyü kullanımı karşısında hukuki korumadan bahsetti. Verilerin dışarıya açılması hakkında, verilerin kötüye kullanılmasına, şirketin ticari sırlarının ortaya çıkmasına ve yanlı algoritmalara yönelik duyulan endişeden bahsetti. Daha yansız sonuçlara ulaşmak için algoritmanın başka bir algoritma tarafından denetlenebileceğini söyledi. Veri temelli ekonominin ancak hukuki belirlilikle sürdürülebilir olduğunu vurguladı.

Ulusal ve Uluslararası Yönleriyle Kişisel Verilerin Korunmasına Hukukçu Yaklaşımı isimli oturumda Hacettepe Üniversitesi Hukuk Fakültesi Dr. Öğr. Üyesi Ertuğrul Akçaoğlu mevzuat okuyabilmenin hukuk bilmek anlamına gelmediğini, kişisel verilerin yönetimi ve korunması konusunda hukukçular, mühendisler ve diğer paydaşlarla birlikte süreci yönetebilmenin, birbirimizi ve kullandığımız dilleri anlayabilmenin önemine dikkat çekti. Kişisel verinin aslında Adem ile Havva’nın karşılaştığı zamandan beri var olduğunu, yeni bir olgu olmadığını tartıştı. KVKK’nın 2016’dan daha önce zaten var olduğunu, bunu medeni kanunda, kişilik haklarında, vergi kanununda ve TCK’da görebileceğimizi belirtti. 2016 yılında ise kişisel verilerin korunmasıyla ilgili başka bir perspektif kazandığımızı vurguladı. Terminoloji konusunda yaşanılan sıkıntıya dikkat çekmek için ‘controller’ kelimesinin Türkçe’ye ‘veri sorumlusu’ olarak çevrilmesine işaret etti. Controller dediğimizde, denetime ek olarak yönetim kısmı olduğunu da düşünebilir miyiz? Ya da veri sorumlusu dediğimizde, kanun bize sana hesap sormaya geldim mi demek istiyor? AB’nin şu anda GDPR ile çöpe atmış olduğu 1995 tarihli Veri Koruma Direktifi’nden KVKK’yı çıkartmış olduğumuzu vurguladı. İlkeleri öğrenmemiz ve özümsememiz gerektiğinin altını çizdi. Eksiklerimizin farkına vararak, diyalog ve iş birliği içinde olmamız, aynı terimlerle konuşmamız ve var olan diğer kanunların amaçlarıyla KVKK’nın amaçlarının uyumlu olması gerektiğini belirti. Aynı oturumda Ankara Barosu Üyesi Av. Ela Erturan kişisel verilerin korunmasının uygulamadaki yansımalarına / farklılıklarına ve ayrıca bu süreçlerin veri sorumlusu ve veriyi işleyen taraf için nasıl olması gerektiğine yönelik bir sunum yaptı. Hukuki sebeplerin olmaması dahilinde verilerin silinmesi gerektiğine, verilerin güvenliğinden sadece IT birimlerinin sorumlu olmadığına ve hukuku iyi bilmenin önemine dikkat çekti.

Sağlık Hizmetleri ve Araştırmalarında Veri Mahremiyeti ve Bilgi Güvenliği isimli oturumda T.C. Sağlık Bakanlığı’nda Danışman olarak çalışan Uzm. Dr. Sinan Korukluoğlu hastaların sosyal medyada sağlık verilerini ve sağlıkları ile ilgili durumları paylaşmasını eleştiren bir sunum yaptı. Gazi Üniversitesi Tıp Fakültesi, Halk Sağlığı Anabilim Dalı Öğretim Üyesi Prof. Dr. F. Nur Baran Aksakal veri mahremiyeti ve bilgi güvenliği konusunda tarafların bulaşıcı hastalıklar ya da salgınlar konusunda veri toplamak ya da toplanan veriye erişim sağlamak isteyebileceğini fakat bunun bilgisel mahremiyet çerçevesinde gerçekleşmesi gerektiğini belirtti. Veri mahremiyeti derslerinin olmamasına dikkat çekerek, ‘veri, ‘bilgi ve ‘enformasyon terimleri arasındaki ayrımı ortaya koydu. Etik kodların ve aynı dili konuşmanın öneminden bahsetti. MSD Türkiye Klinik Araştırmalar Kalite Müdürü Ayşe Ceren klinik araştırmalardaki veri mahremiyeti ve bilgi güvenliği konusundaki pratiklere değindi. Kısıtlı erişimin öneminden, sosyal medya uygulamaları aracılığıyla belge göndermenin yanlışlığından ve firma dışına çıkan verinin kodlanmış veri olduğundan bahsetti.  Kişisel Verileri Koruma Kurumu (KVKK)’da Uzman olarak çalışan Cennet Alas Şekerbay, veri mahremiyeti ve veri koruma kültürünün oluşmasının öneminden bahsetti. 2016’dan beri bu kültürün gelişmekte olduğunu, fakat hala oturmadığını ve yaptırımlarla birlikte ilerleyebileceğini belirtti. Pseudonymization ve anonimleştirme gibi kavramlardan ve belirli durumlarda verinin ‘tanımlanabilir” olmasına ihtiyaç duyabileceğinden bahsetti.

Son olarak, verinin güvenliğini ve mahremiyetini sağlamak için ilk önce veri koruma kültürünün bireysel, toplumsal ve kurumsal düzeyde gelişmesi gerektiğini görebiliyoruz. Cabir Bilirgen’in de belirttiği üzere, bedava peynirin sadece fare kapanında olduğunu hatırlayarak ‘ücretsiz hizmet’ sağlayan platformların ve şirketlerin verilerimizi nasıl kullandığı konusunda eleştirel yaklaşmalıyız. Verilerimiz üzerindeki haklarımızı bilmeli ve gerektiğinde talep etmeliyiz. Mehmet Bedii Kaya’nın da belirttiği üzere, hukuki belirliliğin veri güdümlü ekonominin sürdürülebilirliği için temel olduğunu benimsemeli ve kanunların/düzenlemelerin verimli bir şekilde uygulanabilmesi için paydaşlar olarak aynı dili ve kodları kullanmanın önemini kavramalıyız.

[1] https://www.hacettepeteknokent.com.tr/tr/duyurular/55/kisisel-verilerin-yonetimi-sempozyumu

Reklamlar

Bir Cevap Yazın

Aşağıya bilgilerinizi girin veya oturum açmak için bir simgeye tıklayın:

WordPress.com Logosu

WordPress.com hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap /  Değiştir )

Google fotoğrafı

Google hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap /  Değiştir )

Twitter resmi

Twitter hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap /  Değiştir )

Facebook fotoğrafı

Facebook hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap /  Değiştir )

Connecting to %s

%d blogcu bunu beğendi: