Bir fikirden yola çıkıp büyümeyi amaç edinen bir iş modeline dönüşme ve kar elde etme girişimi ruhunun gerek Türkiye’de, gerekse dünyadaki yükselişine, teknoloji ve hukuk bir arada refakat etmektedir.
90’lı yıllardan bu yana yasal zemine kavuşturulmak üzere konuşulan ve en nihayetinde 2010 yılındaki Anayasa değişikliği ve 07 Nisan 2016 tarihinde yayımlanan 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) ile Türk hukukunda kanun düzeyinde yerini alan kişisel verilerin korunması, Avrupa Birliği nezdinde de (25 Mayıs 2018’de yürürlüğe girmek üzere) 2016 yılında çıkarılan General Data Protection Regulation (“GDPR”) ile yeniden yoğun bir şekilde gündemdeki yerini almıştır.
GDPR her ne kadar bir AB düzenlemesi olsa da çoğu zaman AB üyesi ülkeleri de aşan bir etkiye sahiptir. AB ile aynı ekonomik sistem içerisinde faaliyet göstermek isteyen herkes için uygulanacak tüm düzenlemelerin temelini GDPR oluşturmakta, kurallar, izinler, yasaklar ve yaptırımlar bu ilkeler üzerinde şekillenmektedir.
Türkiye açısından bakıldığında ise, Türkiye’de faaliyet göstererek kişisel verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen tüm gerçek ve tüzel kişiler öncelikle KVKK kapsamında olacaktır. AB ile bağlantılı faaliyet göstermeyenler için şimdilik GDPR kapsamında olmayacağı söylenebilecek ise de, start-up’ların çoğunun teknoloji ve internet odaklı olduğu düşünüldüğünde, bir şekilde AB üyesi ülkeler veyahut AB vatandaşı gerçek kişiler ile temasta olunacağı yüksek ihtimaldir.
Diğer yandan, gerek KVKK (1 milyon TL’ye varan), gerek KVKK’nin göndermesiyle Türk Ceza Kanunu (hapis cezaları), gerekse de GDPR (hangisi daha yüksek ise küresel cironun %4’ü veya 20 milyon Euro ve yasaklama yaptırımları), kişisel veri ile ilgili hükümlere uyulmaması halinde ağır yaptırımlar öngörmektedir.
Bu nedenle, en başından ulusal ve uluslararası kişisel veri mevzuatına uyumlu bir start-up, hem güvende olacak, hem de yatırımcılar açısından daha tercihe şayan olacaktır.
Ayrıca geçtiğimiz aylarda açıklanan Yargı Reformu Stratejisi’nin de hedefleri arasında “KVKK’nin, AB müktesebatı çerçevesinde gözden geçirilmesi ve uyumlaştırma çalışmalarının tamamlanması”nın olduğu da göz önüne alındığında, önümüzdeki dönemde KVKK ve GDPR’a uyumunun öneminin giderek artacağı da öngörülebilirdir.
Uyum süreçlerinin, yalnızca web sistemleri değil, web ile birlikte endpoint koruması, mail, cloud ve mobil açısından bütüncül biçimde hayata geçirilmesi önem taşımaktadır.
Peki, ne yapmalı? Bu soruyu, GDPR ve KVKK süreçleri bir arada değerlendirildiğinde, şu adımlarla kısaca aktarmak mümkündür:
- Hazırlık aşamasında, “Veri Mahremiyeti Etki Değerlendirmesi”ne (DPIA) duyulan ihtiyacın tespiti ve risk analizinin gerçekleştirilmesi önemlidir. Bu analiz ile birlikte, hem bir veri ve veri sahibi katalogu oluşacak, bilgi akışı sağlanacak, hem de mahremiyet ile ilgili riskleri tanımlanabilecektir.
- Koruma aşamasında, GDPR ve KVKK güvenlik gerekliliklerine uygun veri koruma ve güvenlik teknolojileri belirlenmelidir. Kötücül yazılımlara karşı korunma, sistem içerisindeki verinin GDPR ve KVKK ilkelerine uygun surette işlenmesi ve korunması (şifreleme, rumuzlandırma, kimlik doğrulama gibi) hep bu kapsamdadır.
- Algılama aşamasında, ihlaller ile diğer uyum sorunlarının tespiti yapılmalıdır. Bu sayede, mahremiyet çözümleri değerlendirilebilecektir.
- Bir yanıt ve müdahale sistemi kurulmalıdır. Bu sistem, hem veri sorumlusu ile veri sahibine yapılması gereken yasal bildirimlerin süresi içinde yapılmasını, hem de ihlal halinde, verinin korunması için derhal müdahale edilebilmesini sağlayacaktır. Bu sistemin hızlı bir çözüm sunması ve aksamayı minimize etmesi önemlidir.
- En nihayetinde sürecin sonlandırılması ve çıktıların kaydı yapılmalıdır. Faaliyet sektörüne göre big data (yığın veri) yoluyla davranışsal veri analizi yapılması da gerekebilir.
