Skip to main content

Arapça kökenli olan ve durum anlamına gelen “hâl” kelimesi ile Farsça kökenli olan ve hüzünlü, üzüntülü anlamına gelen “pürmelâl” kelimesinin birlikteliğinden oluşan “hâl-i pürmelâl” ifadesi, içerisinde bulunulan hüzünlü durum olarak dilimize çevrilebilir. Ben de bu ifadeyi, ülkemizde KVKK camiasının durumunu anlatmak için tercih ettim.

İşte hâl-i pürmelâlimizi anlatacağım bu makalenin ağzımızın tadını kaçırabileceğini düşündüğüm ve anlatmadan önce bir miktar da olsa ağzımızın tatlanmasını umduğum için makale görseli olarak Türk Lokumunu kullandım.

Konuya giriş yapacak olursak, dünya ne yazık ki boşluk kabul etmiyor. Özellikle salatalığı görünce eline tuz alıp koşmaya başlayanlar, çok akışkan bir hâle bürünüp buldukları tüm boşlukları doldurma gayretinde oluyorlar. Bunun birçok farklı gerekçesi var elbette fakat ehil olmayan kişi, büro, ofis ve şirketler nedeniyle ülkemizde KVKK artık ne yazık ki “ses var, görüntü yok” tadı vermeye başladı.

İnternette mesleki bir araştırma yaparken rastlantı eseri karşıma çıkan internet sitesinde gördüğüm bazı yanlışlar nedeniyle, piyasada çokça bilinen ve bazı büyük şirketlerin KVK mevzuatına uyum süreçleri yürüten bu firmanın (makalede X firması olarak bahsediyorum) internet sitesini incelemek istedim.

Kaç kişilik bir ekiple bu danışmanlık/uyum sürecini yürüttükleri bilgisine ilgili sayfa 404 hatası verdiği için ulaşamadım fakat sayfanın 2018 yılına ait bir kopyasında yer alan bilgilerden (Internet Archive) ekiplerinde yaklaşık 15 kişinin bulunduğunu gördüm.

Bu incelemeyi ilginç ve önemli kılan hususlardan birisi de “X firması” yöneticisinin camiada tanınan bir sima olması; özellikle Kişisel Verileri Koruma Kurumu ile kamu kurum ve kuruluşlarına ciddi anlamda eleştiriler yöneltmesi

Bu makalede “X firmasının” internet sitesinde yapmış olduğum yüzeysel inceleme neticesinde karşılaştığım kritik hatalara yer verdiğimi, basit denilebilecek hatalara ve detaylara ise hiç girmediğimi, ayrıca bu incelemede ele alınan “X firmasının” ülkemizde KVKK camiasının seviyesini yansıttığını düşündüğümü ifade etmeliyim.

İsim Sunucuları

Öncelikle “X Firmasına” ait internet sitesinin ad sunucuları (NS – name server):

  • NS-CLOUD-D1.GOOGLEDOMAINS.COM
  • NS-CLOUD-D2.GOOGLEDOMAINS.COM
  • NS-CLOUD-D3.GOOGLEDOMAINS.COM
  • NS-CLOUD-D4.GOOGLEDOMAINS.COM

adreslerine yönlendirilmiş. Bu da, alan adı yönetiminde Google Domains hizmetinin kullanıldığı anlamına geliyor. Ülkemizde Google Domains henüz tam anlamıyla hizmet vermiyor olsa da, başka firmalar üzerinden tescil edilen alan adlarıyla ilgili bazı işlemler Google Domains üzerinden gerçekleştirilebiliyor.

Eposta Sunucuları

İnternet sitesinin eposta sunucuları (MX – mail exchanger record), “alt1.aspmx.l.google.com” adresine yönlendirilmiş. Bu da, @xfirması.com uzantılı eposta alt yapısının Google sunucularına yönlendirildiği anlamına geliyor. Bildiğiniz üzere KVK Kurulunun bu konuda vermiş olduğu 2019/157 sayılı Karar‘da, bu durumu yurtdışına veri aktarımı olarak kabul etmişti. Dolayısı ile “X firmasının” bu şekilde yapılandırılan kurumsal eposta adreslerinin kullanımı nedeniyle kendisine eposta gönderenler kişilerden ve bu kurumsal epostayı kullanan çalışanlarından (verilerini yurtdışına aktarmış kabul edildiği için) açık rıza alması gerekiyor.

Alan dışındaki ziyaretçilerin makaleyi okuduklarında bu mantıksız durumu anlamaları için bir ilave yapayım: Yurtdışına kişisel veri aktarımına ilişkin istisnai yöntemlerden hiçbirisi KVK Kurumu tarafından bugüne kadar işletilmedi, yeterli koruma sağlayan ülkeler listesi yayımlanmadı, o yüzden yurtdışına veri aktarımında bugüne kadar açık rıza dışında bir yöntem kullanılamadı. Yürürlükteki mevzuat çerçevesinde yurtdışına veri aktarımının açık rıza dışında da mümkün olduğunu ileri süren görüşlerin bulunduğu şerhini de düşeyim.

Barındırma Hizmeti

Whois kayıtlarında gördüğüm kadarıyla “X Firmasının” internet sitesi “166.xx.xxx.90″ adresli IP üzerinden hizmet veriyor. Bu IP adresini araştırdığımda, sunucuları ABD’de bulunan GoDaddy firmasına çıktı yolum. Yani barındırma hizmeti (hosting) de yurtdışından temin ediliyor fakat bu durum, aydınlatma yükümlülüğünün yerine getirilmesinde ve açık rıza temininde göz önünde bulundurulmamış, gerekli düzenlemeler yapılmamış.

SSL sertifikası da bize yine GoDaddy firmasını işaret ediyor.

Aydınlatma & Açık Rıza

Siteye ilk girdiğinizde sayfanın altında tek satırlık bir çerez bildirimi çıkıyor. Bildirimin sonunda “İnternet sitemizi ziyaretinize devam etmeniz halinde bu sitede kullanılan çerezleri kabul etmiş sayılacaksınız.” ifadesi kullanılıyor. Bildirimin son bölümünde “Daha fazla bilgi” ve “Tamam” seçenekleri mevcut. “Daha fazla bilgi” bağlantısına tıkladığınızda sizi anasayfaya yönlendiriyor, yani bilgi alamıyorsunuz.

Öncelikle bu ifade, yani “kabul etmiş sayılacaksınız” ifadesi, açık rızanın unsurlarını karşılamıyor. KVK Kurumunun Uygulama Rehberi‘nde, Genel Veri Koruma Tüzüğü‘nün (GDPR) 32. resitalinde, Madde 29 Veri Koruma Çalışma Grubu’nun konuya ilişkin WP259 sayılı raporunda, doktrinde birçok eserde ve daha sayabileceğim sayısız kaynakta bu kuralı ve gerekçesini bulabilirsiniz.

Diğer taraftan bu ifade; Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ‘in 5 inci maddesinin birinci fıkrasının, “aydınlatma yükümlülüğünün yerine getirilmesi ile açık rızanın alınması süreçlerinin ayrı ayrı yerine getirilmesini” düzenleyen (f) bendine aykırılık teşkil ediyor. Bunu en son, KVK Kurulunun Amazon Türkiye hakkında verdiği Karar‘da görmüştük.

Aydınlatma yükümlülüğüne ilişkin bir diğer yanlış ise iletişim sayfasında bulunuyor. Aydınlatmaya özet bir şekilde yer verilmiş, detaylı bilgi için Gizlilik Politikası’na bağlantı verilmiş fakat bağlantıya tıklayınca yine 404 hatası çıkıyor, yani Gizlilik Politikası incelenemiyor.

Çerezler

İnternet sitesinde birkaç sayfayı ziyaret ettikten sonra bilgisayarıma çok sayıda çerez konumlandırıldı. Bunlardan üçü (1P_JAR, DV ve OTZ) Google’a ait çerezler. Bunların ne olduklarını araştırdım ve Google Analytics için kullanıldığı gördüm. Google Analytics‘te ziyaretçilere bir ID verildiği ve bu ID’nin farklı verilerle eşleştirildiğinde kimliği “belirlenebilir” bir gerçek kişiyi gösterme kabiliyeti bulunduğu (yani anonim veri olmadığı; pseudo anonim veri olduğu) için bu ID’ler kişisel veri olarak kabul ediliyor (KVKK, m. 3/1-d).

Dolayısı ile Google Analytics kullanılan internet sitelerinde ziyaretçilerden açık rıza alınması gerekiyor, nitekim mevzuat hükümleri uyarınca burada Google’a kişisel veri aktarımı yapılmış kabul ediliyor.

Güvenlik (?)

İnternet sitesine girdiğinizde bir yerde re-CAPTCHA işaretini görüyorsunuz. Yani sitede güvenlik (!) yine Google hizmetleri ile sağlanıyor. Daha önce bunu kullanan herhangi bir site görmemiştim, daha doğrusu muhtemelen bunu tercih eden internet siteleri olsa dahi re-CAPTCHA’nın görünmez olan versiyonu kullanılıyordur diye tahmin ediyorum.

Sonuç

Bu inceleme neticesinde karşımıza çıkan tabloda, hep birlikte almamız gereken bazı derslerin bulunduğunu düşünüyorum:

  • Camdan evimiz varsa, komşumuzun camına taş atmayalım.
  • Bilişimden anlamıyorsak, bilişim hukukçusu olmayalım (Şu anda Harvard Üniversitesinin hukukçular için bilgisayar bilimlerine giriş kursu ‘edX – CS50 for Lawyers‘ ücretsiz).
  • En basit işler için dâhi Google hizmetlerine başvuruyorsak, KVK mevzuatına uyum süreci yürütmeyelim lütfen. Nitekim bu durum, “mahremiyet” ve “kişisel verilerin korunması” kavramlarından hiçbir şey anlamadığımızı gösterir. Yurtdışında çalışan mahremiyet profesyonellerinin büyük bölümü GApps’ten (Google Uygulamaları) kaçarken bizim arkadaşlarımızın bu Google hayranlığı beni üzüyor.
  • Çok eleştirmek, çok şey bilmek anlamına gelmez. Hepimizin hataları, yanlışları, eksikleri olabilir, vardır da… Fakat lütfen yıkıcı eleştirilerden uzak duralım, yapıcı eleştirilere odaklanalım. Yıkmaya değil; yapmaya gayret edelim. Daha iyiyi hedeflerken, elimizdekinden de olmayalım. Marifet iltifata tâbidir, güzel işleri alkışlayalım.
  • Herşeyin makul bir açıklaması olabilir ve bu açıklamayı dışarıdakiler bilemeyebilir. Örneğin “X Firması” yöneticisi kendi internet sitesine hiç girmemiş olabilir, internet sitesinin mevzuata uyumu hususunda bir çalışanını görevlendirmiş olabilir, bu konuyu önemsememiş olabilir…
  • Salt siyasi ve ideolojik motivasyonlarla hareket etmeyelim, konuşmayalım. Bu devlet ve kurumlar hepimizin, hepimiz aynı geminin yolcularıyız, bu gemi su alırsa hep birlikte batarız.
  • Sosyal medyada eleştirmek kolay… Etkileşim getiriyor, popülerlik kazandırıyor olabilir fakat eleştirilerimiz dişe dokunuyor mu, işe yarıyor mu, eleştirdiğimiz kişi ve kurumların bundan haberi oluyor mu? Sosyal medyada eleştirmek yerine bir eposta ile hatalı olduğunu düşündüğümüz meseleyi bizzat ilgili kişinin kendisine iletirsek daha faydalı bir iş yapmış olabilir miyiz acaba?
  • Son bir çıkarım da hizmet alan kişi ve kurumlara gelsin… Lüks muhitlerdeki rezidanslarda konumlanan, bir sürü çalışanı bulunan, yurtdışındaki “bağımsız” kuruluşlar tarafından gerçekleştirilen objektif (!) değerlendirmeler neticesinde en başarılı seçilen kişiler ve bürolar sizi kurtarmaz. Bu bahsettiğim unsurlar ancak sizden daha fazla hizmet bedeli talep edeceklerinin bir göstergesi olabilir. Günün sonunda ihtiyaç duyacağınız şey, yapılan işlemlerin mevzuata gerçekten ne kadar uygun olduğudur; bu işlemleri yapanların kim oldukları değil!

KVK Kurumunun hataları yok değil (hiçbirimiz hatasız değiliz), bu hatalar eleştirilmez ve dile getirilmez de değil… Hatta bunlar bir şekilde dile de getirilmeli, farklı fikirler çarpıştırılmalı ki sonunda en güçlü olan fikirler ayakta kalabilsin, süreçler doğru bir şekilde kurgulanabilsin, gerek bu işin “hizmet veren” tarafları için gerek “hizmet alan” taraflar için kurallar net ve belirgin olabilsin… Dediğim gibi eleştirideki amaç ve hedef önemli, kusur ararsak herkeste ve her yerde mutlaka birşeyler buluruz, yıkmak istersek çok kolay yıkarız.

Son olarak, “X firması” ve yöneticisinin kimliğini tahmin eden kişiler olursa bunu lütfen ifşa etmeyin, ifşa edilmesini amaçlasaydım bunu ben de yapabilirdim. Bu makale ile neyin amaçlandığının anlaşılabilir olduğunu düşünüyor, verdiğim mesajın “X firması” ve yöneticisi de dâhil olmak üzere ilgililerine kolaylıkla ulaşacağını biliyorum. İnternet sitelerinin KVKK uyumuna ilişkin verdiğim hukuki danışmanlık hizmeti için de herhangi bir ücret talep etmiyorum.

Ülkemizde KVKK camiasının mensubu olup, ekmeğini helâl yoldan temin etme gayreti içerisinde olan herkesi saygıyla selamlıyorum…

Leave a Reply