Kişisel verilerin korunmasında iç denetimin rolü KVKK’da masaya yatırıldı

ICT Media

9 Mayıs 2024 00:33

ICT Media organizatörlüğünde, Kamu İç Denetçileri Derneği (KİDDER) tarafından “Kişisel Verilerin Korunmasında İç Denetimin Rolü” toplantısı Kişisel Verileri Koruma Kurumu (KVKK) Konferans Salonu’nda gerçekleştirildi.

ICT Media Genel Yayın Yönetmeni Murat Pehlivan’ın açılış konuşmasıyla başlayan etkinlikte kürsüye daha sora KİDDER Genel Başkanı Mustafa Beğen geldi. Beğen, kamu uygulamalarında hem organizasyon hem de bilgi teknolojileri alanında iç denetçilerinin rolünün ön plana çıktığı bir dönemin yaşandığını söyledi. Beğen, “Kamu İç Denetimi Genel Faaliyet Raporlarını incelediğimizde kamu kurumlarının pek çoğunda danışmanlık ve denetim faaliyetlerini görüyoruz. Bu da aslında mevcut durumu doğrular bir nitelik olarak karşımıza çıkıyor. Dolayısıyla dijitalleşmenin her geçen gün artarak devam ettiği ve daha fazla kişisel veri üreteceğimiz önümüzdeki süreçte de iç denetçilerin rolü, görev ve sorumlulukları artarak devam edecektir” dedi.

Bilir: Kanunun kendisi kadar uygulanması da önemli

KVKK Başkanı Prof. Dr. Faruk Bilir etkinliğin açılışında bir konuşma yaptı. Bilir, günümüzde nesnelerin interneti, yapay zekâ ve bulut bilişim gibi sistemler sayesinde insanlığın hiç olmadığı kadar veri temelli bir hayatın içinde yaşadığına dikkat çekti. Denetim sürecinin; hislerin değerlendirilmesi, hislere karşı kontrollerin belirlenmesi ve veri güvenliğinin temin edilmesi bakımından ciddiyetle ele alınması gereken bir konu olduğunu vurgulayan Bilir, “Veri güvenliği denetimlerde ve özellikle iç denetimde risk teşkil eden bir süreç olarak sorgulanması gereken önemli bir noktadır. Kanunun veri güvenliğiyle ilgili yükümlülükleri düzenleyen maddesinde veri sorumlusunun kendi kurum ve kuruluşunda kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimlerini yapmak veya yaptırmak zorunda olduğu hükme bağlanmıştır. Bu çerçevede kişisel verileri işleyen gerçek ve tüzel kişilerin sürdürülebilir veri koruma politikaları oluşturmaları gerekir. Bir kanunun kendisi kadar o kanunun uygulanması da önemlidir. Kanunun iyi uygulanması her şeyden önce kanunun doğru anlaşılması ve doğru yorumlanmasına bağlıdır. Kişisel verileri korunması kanununda yapılan değişikliklerin amacına uygun olarak yorumlanması da son derece önem taşımaktadır” dedi. Kişisel Verileri Koruma Kanununda yapılan son değişiklikler hakkında bilgiler de veren Bilir şöyle devam etti: “Kanun değişikliği 12 Mart 2024 tarihli Resmi Gazetede yayınlandı. Bu değişiklikler 1 Haziran 2024’te yürürlüğe girecek. Yapılan düzenlemeyle özel nitelikli kişisel verilerin işlenmesi, yurt dışına veri aktarımı ve kabahatler maddelerinde değişiklikler yapıldı ve kanuna geçici bir madde eklendi. Yapılan değişikliklerin verinin sınırsız işenmesi ya da yurt dışına aktarımın denetimsizliği şeklinde yorumlanmaması gerekir. 6. Maddede yapılan değişikliklerle veri işleme şartları genişletilmekte yurt dışına veri katarımda ise denetim kontrolde yeni yöntemlerin getirildiği aşamalı bir aktarım modeli benimsenmiştir. Kanun değişikliği yapılırken Avrupa Veri Koruma Tüzüğü kısa adıyla GDPR esas alınmıştır. Değişikliklerin temel amacı uygulamada ortaya çıkan ihtiyaçları karşılamaktır. Değişiklik kişisel verilerin işlenmesi ve aktarılmasında sınırları kaldırmamış yeniden çizmiştir. Özel nitelikli kişisel veri kategorileri yeni değişiklikle de korunmaktadır. Yapılan değişiklik bu veri kategorileri arasındaki ayrımın kaldırılmış olmasıdır. Genel Genel Veri Koruma Tüzüğü esas alınarak yeni veri işleme şartları getirilmiştir.”

Faruk Bilir, KVKK ile ilgili istatistik veriler de paylaştı. Buna göre kuruma bugüne kadar yaklaşık 41 bin başvuru yapıldı. Bunlardan 39 bin 155’i sonuçlandırıldı. Bin 395 veri ihlal bildirimi yapıldı. Kurul bu bildirimlerinden 331 tanesini kamuoyuyla paylaştı. Bugüne kadar 596 milyon 571 bin idari para cezası uygulandı, bin 108 hukuki görüş verildi. Yurt dışına veri aktarımında 9 taahhütnameye kurum tarafından onay verildi. Kişisel verilerin korunması konusunda bireylerin farkındalığının yeterli düzeye ulaşmasının en az yasal ve teknik düzenlemelerin varlığı kadar önemli olduğunu vurgulayan Bilir, “Belirtmek gerekir ki sosyal mühendislik saldırıların hedefinde ne güvenlik duvarı ne veri tabanı ne de güvenlik sunucusu vardır. Onlar için hedef sadece insandır. Eğer sadece bir yazılım olsaydı zafiyeti gidermek için gerekli çalışmalar yapılır ve güvenli hale getirilirdir. Fakat söz konusu insan olduğunda güvenlik zafiyeti ancak çalışanların veri güvenliği konusunda yeterli farkındalığa sahip olmasıyla gidilebilir. Bu nedenle kurum ve kuruluşlarında kişisel veri farkındalığını arttırmaya yönelik çalışmalara ağırlık verilmesinin önem kazandığına inanıyorum” şeklinde konuştu.

Kıral: Kişisel verileri küçük ödüller karşılığında paylaşıyoruz

Etkinlikte İDKK Üyesi, Ankara Sosyal Bilimler Üniversitesi öğretim üyesi Doç. Dr. Halis Kıral da davetli konuşmacı olarak yer aldı. Kıral, kişisel verilerin korunması konusunda insan bilincinin davranışa nasıl dönüştüğü konusunu anlattı. İnsan hayatında devrim yaratan dijital teknolojilerin gündelik hayatın tamamını kayıt altına alınmasını sağladığını belirten Kıral “Bizler insanlık tarihi boyunca hangi bilgiyi kiminle ne şekilde paylaşacağımıza daha çok kendimiz karar verdik. Dijital çağla birlikte paylaşacağımız bilgi üzerindeki hakimiyetimizi kaybetme noktasına geldik” dedi. İnsanların veri gizliliği konusunda kaygı duyduklarını belirtmelerine karşın, bu endişelerini davranışa yansıtmadıklarını vurgulayan Kıral, “Bu noktada sormamız gereken soru şu gerçekten kişisel veri gizliliğini önemsiyor muyuz? Araştırmalar kişisel veri gizliliği veya mahremiyetin insanların yüzde 95’inde birincil endişe kaynağı olduğunu gösteriyor. Ama öte yandan bireyler kişisel bilgileri çok küçük ödüller karşılığında, sosyal medyada beğenilme, başkaları tarafından fark edilme dikkat çekme uğruna kolaylıkla paylaşabiliyor. O zaman akla şu ikinci soru geliyor. Kişisel veri konusunda bu tutumlarımız neden davranışa yansımıyor. Tüm davranışlarımızda olduğu gibi kişisel verilerin paylaşımı konusunda da neyi kiminle paylaşacağımıza ilişkin kararlarımızı rasyonel olarak vermiyoruz. Günde yüzlerce karar veriyoruz. Bu kararların hepsinde fayda ve maliyeti araştırarak karar verdiğimizi söylemek çok güç. Daha çok karar verirken bilişsel ön yargılar, birtakım sezgiler bir takım kısa yollar kullanıyoruz. Bunlardan en önemlisi iyimserlik ön yargısı. Hepimiz riskli bir olayın başkalarının başına geleceğini ancak bizim başımıza gelmeyeceğini düşünüyoruz. Belki de insanoğlu risk konusundaki en büyük yanılgısı tam bu noktada ortaya çıkıyor. Bu benim başıma gelmez yanılgısı en büyük risk yanılgısıdır. Eğer riskli bir olay birilerinin başına geliyorsa bu pek ala bizim de başımıza gelebilir. Özellikle bu iyimserlik hali gençlerde ergenlerde çok daha sık görülüyor. İyimserlik ön yargısı insanların riskleri hafife almalarına neden oluyor. İyimserlik ön yargısının dışında bir de çok sık kullandığımız ön yargı aşırı güvenme. Kendimize aşırı güveniriz. Bilgi, becerilerimize aşırı güveniriz. Aşırı güven bizi birtakım hatalara sevk etmektedir. İyimserlik ve aşırı güven dışında kararlarımızı alırken yaptığımız hatalardan biri de duygular. Biz kararlarımızı duygularla veririz, rasyonel değil. Bize iyi gelen konularda riskleri hafife alırız, ama sevmediğimiz konularda riskleri abartma eğilimindeyiz. Kişisel veri konusunda araştırma şunu gösteriyor. İnternet kullanıcıları olumlu duygularla karşılaştıkları zaman kendi kişisel bilgilerini daha fazla ifşa etme durumuna giriyorlar. Dolayısıyla olumlu duygu bizi birtakım yanılsamalara sevkediyor. Kişisel verilerin korunmasında zihinsel tuzakların yanı sıra bir diğer önemli konuda biz modern çağda dijital çağın tehlikelerini fark edebilecek ve onunla mücedele edebilecek davranışlara, iç gücü ve sezgilere sahip değiliz. Bu iç güdü ve sezgiler henüz oluşmuş değil. Bilgi ve beceriye sahip olmak kadar bunları göstermekte son derece önemliydi. Görünür olma çabası ilkel bilincimizin derinliklerine kazınmıştır. Bunu çok iyi bilen sosyal medya devleri bizim bu dürtümüze oynamaktadır.”

Özçelik: Gizlilik ihlalleri arttı

Kamu Gözetim Kurulu Başkanı Dr. Hasan Özçelik de etkinlikte bir konuşma yaptı. Özçelik, günümüzdekurumların teknolojiye bağımlılığı, toplanan verilerin büyüklüğüyle paralel bir şekilde yetkisiz erişim ve potansiyel gizlilik ihlallerinin de arttığına dikkat çekti. Buna paralel olarak verilerin korunması ve gizliliğin sağlanmasına yönelik düzenlemelerin de arttığını vurgulayan Özçelik, “Ülkeler ve standart belirleyici kuruluşlar kişisel verileri korumak için giderek daha kapsamlı çerçeveler belirlemektedir. Bununla birlikte verilerin korunması ihtiyacı iç denetçiler tarafından ele alınması gereken bir ihtiyaç alanı olarak ortaya çıkıyor. Verilerin korunması gizlilik risklerinin anlaşılması ve değerlendirilmesi iç denetçilerinin risk yönetimi ve denetimi hakkında objektif bir tavsiye sağlama sorumluluğu büyük önem taşımaktadır. Bu nedenle iç denetim açısından söz konusu gelişmelerin etkisi ve takibi son derece önemlidir. Birçok açıdan verilerin korunması konusunda artan endişeler son 25 yılda yaşadığımız büyük teknolojik gelişmelerin kaçınılmaz doğal bir sonucudur” dedi. Nesnelerin interneti, veri odaklı yeni teknolojiler, internete bağlı güvenlik kameraları ve akıllı saatlerin yaygınlaşmasıyla birlikte özellikle tüketicilerin kişisel verilerinin korunması ve güvenlikle ilgili soru işaretlerini arttırdığını söyleyen Özçelik değerlendirmesini şöyle sürdürdü: “Tüketicilerin artan endişeleri kurumlar ile iç denetçileri, kişisel verilerin korunması ve gizliği konularını ele alma noktasında harekete geçirmeye zorlamaktadır. Yapay zekâ ve makine öğrenmesi teknolojileri muazzam miktarda veri toplamakta ve çeşitli veri noktalarını bireysel davranışlar ve tercihler hakkında yeni iç görüler sunacak şekilde birbirine bağlayarak yeni veriler üretmektedir. Hızla büyüyen bir başka teknoloji olan blok zincir de yüksek miktarda veri topladığı için veri güvenliği noktalarında çeşitli soruları beraberinde getirmektedir. Her ne kadar blok zincir ağlarındaki verilerin kişisel veri olup olmadığı henüz netlik kazanmasa da bu verilerin kişisel veri kabul edilmesi halinde yapısı itibariyle bir veri toplama olan blok zincir teknolojisinde kişisel verilerin depolanması muhafazası ve kişinin haklarının ne kapsamda korunacağı hususları gündeme gelecektir. Siber suçlar verilerin korunması ve gizliği konusunda hızla dikkate alınması gereken bir alan olarak karşımıza çıkmaktadır. Yakın zamanda yaşanan siber saldırı örnekleri siber suçlarla ilgili risklerin boyutu ve kapsamını gözler önüne sermektedir. 2023 yılında ABD’de siber suçların neden olduğu parasal kayıp bir önceki yıla göre yüzde 21 artış göstererek 12,5 milyar dolara ulaşmıştır. Kişisel verilerin korunması temel haklardan birini oluşturmaktadır. Bu nedenle bu verilerin toplanması, işlenmesi, saklanması konusunda dikkat etmek sadece yasal bir zorunluluk değil aynı zamanda kurumsal sorumluluğu da beraberinde getirmektedir. Teknolojik gelişmelerle birlikte şekillenen bu sorunun altını çizen düzenlemeler giderek yaygınlaşıyor. Özellikle GDPR bu alanda en kapsamlı çalışma olarak öne çıkmaktadır. Söz konusu kanun sadece AB üyelerini değil belli kriterleri yerine getiren diğer ülkeleri de kapsamaktadır. Türkiye’de ise 2016 yılından bu yana 6698 sayılı KVKK, kişisel verileri korumaya yönelik temel verileri içermektedir.” Hasan Özçelik, gizliğin kurumsal bir risk olarak üst sıralarda yer aldığı günümüzde iç denetimin de rolünün arttığına dikkat çekti.

Kişisel Veri Denetimi Kurum Uygulamaları panelde tartışıldı

Etkinlikte, KİDDER Yönetim Kurulu Başkan Yardımcısı Dr. Yenal Arslan’ın oturum başkanlığında “Kişisel Veri Denetimi Kurum Uygulamaları” başlıklı bir panel gerçekleştirildi. Panele Kişisel Verileri Koruma Kurumu Uzman Yardımcısı Büşra Durmuşoğlu, Param Bilgi Teknolojileri Denetim Direktörü Dr. Fırat Beştepe, İçişleri Bakanlığı İç Denetçi Mine Zeybek ve GovernID Genel Müdürü Mustafa Özçakır konuşmacı olarak katıldı. Büşra Durmuşoğlu, KVKK kanununda yapılan son değişiklikler hakkında bilgiler paylaştı. Değişiklik yapılan 6 madde ile veri işleme şartlarının genişletildiğini bildiren Durmuşoğlu, “Normalde bu maddede açık rıza alınmadan kişisel verilerin işlenemeyeceği hükmü yer alıyordu. Bu ifade kaldırılarak bütün özel nitelikli kişisel veriler aynı şartlara tabi tutuldu ve işleme şartları genişletildi. Bildiğiniz gibi kanunda cinsel hayata ve sağlık verilerine ilişkin özel nitelikli kişisel verilerin işlenmesi farklı bir işleme şartına tabiiydi. Bu fark şimdi kaldırıldı. Yurt dışına veri aktarımı konusunda köklü bir değişiklik oldu diyebiliriz. Normal şartlar altında öncelikle bir açık rıza alınması gerekiyordu bu açık rıza yoksa kurulun yeterlilik kararı olmasına bakılıyordu. Daha sonra taahhütname faktörüne bakılıyordu. Yeni düzende aslında aşamalı bir sistem öngörülmüş oldu.” dedi. Durmuşoğlu kanun değişikliğinin uygulama şekillerini belirleyecek rehber ve doküman hazırlıklarının devam ettiğini söyledi.

Dr. Fırat Beştepe Kişisel Verileri Koruma Kanunu’nda özel sektör ve kamu ayrımının bulunmadığına dikkat çekti. “Eğer siz bir veriyi işliyorsanız, siz veri sorumlusunuzdur” diyen Beştepe, veri sorumlusunun bir şahıs olabileceği gibi bir kurum da olabileceğine dikkat çekti. Kamunun kişisel verileri “daha müstesna amaçlar” için kullandığını belirten Beştepe, “Asıl olan şey bizim veri güvenliğini sağlıyor olmamızdır. Hele ki kamuda. Kamudan sadece beklentimiz o verinin güvenli bir şekilde korunması güvenli bir şekilde işlenmesidir. İç denetimin de katkı vereceği nokta da burası. Kamu iç denetçileri olarak bu denetimleri düzgün yürütürsek elbette bu katkı verici olacaktır. Özel sektörün kişisel verileri kullanma amacı kamudan farklı. Ticari faaliyetleri geliştirmek müşteri davranışlarını anlamak. Ya da süreçleri optimize etmek. Özel sektörde maddi ve finansal motivasyonlar devreye giriyor. Kamuyla özel sektör alanında önemseme düzeyinde fark var. Bir diğer fark ise vatandaş ve müşteri farkı. Bu çok önemli bir fark. Vatandaş müşteri farkı özel sektörün konuyu biraz daha ciddiye almasına neden oluyor.” dedi. Mine Zeybek ise KVKK kapsamında kişisel verileri işleyenlerin çeşitli yükümlülükleri bulunduğunu söyledi. Bunların kurumdan kuruma göre değişiklik gösterdiğini belirten Zeybek, İçişleri Bakanlığı olarak yaptıkları çalışmalar hakkında bilgiler verdi. Mustafa Özçakır ise veri güvenliğinin ne olduğuyla ilgili yoğun bir bilginin var olduğunu ancak nasıl yapılması gerektiği konusunda birtakım eksiklikler gözlendiğini kaydetti. Veri korumanın hem özel hem de kamu kurumlarında bir kültüre dönüştürülmesi gerektiğini belirten Özçakır, “İşin içine girdiğimizde erkesin merak ettiği konu şu bir sihirli düğme var mı bassak bütün kurumumuz uyumlu hale gelse, istenen her şeyi yapabilir olsak. Maalesef bunu sağlayabilecek bir sihirli düğme yok. Zaman içerisinde oluşacaktır. Mümkün olduğunca da otomasyona bağlı oluşacaktır” dedi. Kişisel verilerin korunmasında IT birimleri ile hukuk birimlerinin birlikte çalışması gerektiğini vurgulayan Özçakır, “Her süreç için ayrı bir aydınlatma yapılması lazım. Vatandaşın veriyi vermeden önce o verinin süreç bazlı ne yapılacağını takip etmesi lazım. Bu bile başlı başına yönetilmesi gereken bir iş haline dönüşüyor. Yönetecek, uygulayacak ve bunların kontrollerini yapacak birim ayrı. Bunların hepsinin bir noktada birleştirilmesi lazım. Bizim odaklandığımız konu bu ayrı paydaşları tek bir uygulamanın içinde birleştirebilmek.” Diye konuştu.

“Kişisel Veri Denetiminde İç Denetimin Yeri” konuşuldu

İzmir Bakırçay Üniversitesi Doç. Dr. Sezer Bozkuş Kahyaoğlu oturum başkanlığını yaptığı “Kişisel Veri Denetiminde İç Denetimin Yeri” başlıklı panel gerçekleştirildi. Panele konuşmacı olarak Eski KİDDER Başkanı ASO Genel Sekreter Yardımcısı Dr. Ahmet Dinçer, Eski KİDDER Başkanı ve Birleşmiş Milletler Gıda Tarım Örgütü İzleme ve Değerlendirme Uzmanı Bahadır Topal, TUSAŞ İç Denetim Başkanlığı İdari ve Mali Denetimler Baş denetçisi Ayşe Başdemir Atak ile İç Denetim Uyumlaştırma Dairesi Eski Başkanı, Danışman Mehmet Bülbül konuşmacı olarak katıldı. Ayşe Başdemir Atak, iç denetimcilerden beklenen en temel görevin kurumsal yönetişim, risk yönetimi ve şirketlerin iç kontrol sistemleri etkinliği konusunda güvence denetimleri yapmak olduğunu söyledi. Denetim mesleği içerisinde 25 yılı aşkın bir süredir çalıştığını belirten Atak, bunun son 11 yılını savunma sanayi alanında geçirdiğini bildirdi. Atak, KVKK’nın çıktığı tarihten itibaren kişisel verilerin ve bilgi güvenliğinin korunması amacıyla TUSAŞ’ta yaptıkları çalışmalar hakkında bilgiler verdi. Atak, “TUSAŞ bir banka ve e ticaret firması gibi milyonlarca müşteriyle çalışmasa dahi çok fazla kişisel veriye temas edebiliyor. Çok sayıda kişisel veriyi de işliyor. TUSAŞ 2020 yılında prosedürlerini tamamladı. 2021 yılı itibariyle kişisel veri güvenliği kurulunu kurdu. Bu kurul insan kaynakları, hukuk başkanlığı ve bilgi teknolojileri başkanlığı uhdesinde genel müdür yardımcılığı seviyesinde temsil edilen bir kurul. Bu kurul daha alt seviyede kendisinin belirleyeceği kurumlarda detaylı çalışmalar yapmak üzere kişisel veriler güvenliği alt komisyonu kurdu. Güvenlik hususlarında TUSAŞ’ın iki seviyeli icra grupları var. 2023 yılının sonunda yaptığımız denetimle majör bir problemle karşılaşmadığımızı tespit ettik” dedi. Dr. Ahmet Dinçer ise ASO’nun veri koruma ve veri gizliği konusunda yaptığı çalışmalar hakkında bilgi verdi. Dinçer, “Dijital bir dünyaya geçiyoruz. Buna hazırlık anlamında birçok firma çalışıyor. Büyük veri toplanıyor. Verinin kişiselleştirilmesi var, geliştirilmiş veri var. Özel sektöre yayılan bu kamuya da yayılıyor. Kamuya yayılırken bu veri setinin hem kullanılması hem ayrıştırılması noktasında birçok kuruma rol düşüyor. Bunların içindei gerçek süreçlerin doğrulunuğu denetleyecek olan iç denetim süreçleri. Yani içi detim birimlerinin buradaki fonksiyonu çok kritik. Bu iç denetim birimlerinin bu role açık olması gerekiyor” dedi. Mehmet Bülbül, idarenin içinde yer alan ve idarenin çalışmalarını denetleyen tüm mekanizmaların iç denetimi oluşturduğunu vurguladı. Bu görevi yerine getiren yaklaşık 17 bin kişinin olduğunu bildiren Bülbül, “Bunlardan 900’ü iç denetimci. Diğerlerinin unvanları faklı. Ancak raporlama, yetişme, mesleğe alınma biçimi farklı da olsa bu kişilerde benzer işleri yapıyorlar” dedi. Bahadır Topal ise kurumsal olarak iç denetçilerin her türlü yeni yaklaşım ve devletin düzenleyeceği oluşumlarda yer almaya hazır olması gerektiğini kaydetti. Topal, iç denetim mesleğinin önünün açılmasıyla birlikte devlete çok daha iyi şekilde hizmet edeceklerini söyledi. Etkinlikte, katılımcılara KİDDER tarafından plaketler de verildi.