Her konuda olduğu gibi teknoloji dünyasında da anlaşmazlıklar yaşanıyor ve bu konuda haklılığınızı kanıtlamak için belli bir bilgi birikiminiz olmalı. Yıllardır bilişim ve teknoloji hukuku alanında faaliyet gösteren Av. Özlem Kurt ile kısa bir söyleşi gerçekleştirdik ve kendisine güncel konulardaki sorularımızı yönelttik. Bakın Av. Özlem Kurt, sorularımıza nasıl yanıtlar verdi…
Bilişim ve teknoloji hukuku denildiğinde ne anlamalıyız?
Bilişim ve teknoloji hukuku, görünüşte iki alandan ibaretmiş gibi algılanıyor. Bunlar Türk Ceza Kanunu kapsamında bilişim suçları ve KVKK yani Kişisel Verileri Koruma Hukuku . Aksine artık bilişim ve teknoloji hukukunun neredeyse hukukun tüm ana bilim dallarıyla kesişim kümesi vardır. Dolayısıyla da bu alanda çalışan bir hukukçunun yalnızca bir kısmını biliyorum ve bu alanda çalışıyorum deme lüksü olamaz. “Ben sadece KVKK’ya bakıyorum,” diyemezsiniz. Sözleşmeler, şirketler hukuku veya ticaret hukuku tarafında da yine bilişimle ilgili konular var. İnternet hukuku, elektronik haberleşme, elektronik ticaret, akıllı sözleşmeler, kripto varlıkları finansal teknolojileri ve daha birçok alanın ihtiyaca göre birlikte değerlendirilmesi gerekmekte.
Örneğin, artık boşanma davalarında bile en çok KVKK konuşuyoruz. İşin içine ses kaydı, kamera kaydı, cihaz takip yazılımları girdiğinde bilişimden bahsediyoruz. Bu örnekleri çoğaltmam mümkün. Bu örneklerden de anlıyoruz ki teknoloji, her alanda karşımıza çıkıyor. Bilişimin veya teknolojinin içinde olmadığı bir hukuk düzeni artık düşünülemez.
Bilişim hukuku tarafında en çok hangi konularda çalışıyoruz? Bir anlamda müşterileriniz bu alanda yaşadığı sorunlar neler?
Her ne kadar bu alandaki tüm başlıklarda hizmet veriyor olsak da en çok konuşulan ve dikkat çeken çalışma alanımız veri ihlalleri ve bilişim suçları haline geldi. Bu alanda hack’lenmeler ve kişisel veri ihlalleri oldukça yaygın. Ek olarak sosyal medya tarafındaki konular da bulunuyor. Diyelim ki sosyal medyada hesabınız kötü niyetli kişiler tarafından hack’lendi ve ele geçirildi. Bunu ilk etapta önemsemeyebilirsiniz. Yeni hesap açıp yolunuza devam edebilirsiniz. Fakat hack’lenmiş hesabınız için de şikayetçi olmanız gerekiyor. Zira bu hesapta, ileride suç unsuru oluşturacak şeyler gerçekleştirilebilir ve bunun sonucunda siz de suçlu duruma düşebilirsiniz. Dolayısıyla bu tarz durumlarla karşılaşınca hızlı aksiyon almak ve yetkili mercilere bildirmeniz gerekiyor.
Burada en önemli konu, zamanlama (hızlı hareket etmek) ve yapılacak şikayetin uygun kapsamda olmasıdır. Zincirin nasıl ilerlediğini ve teknik olarak şikayetin nasıl yapılacağını bilmek, mağdurlara çok büyük avantaj sağlayacaktır. Bu konuda hukukçuların en erken evrede devreye sokulması önemlidir.
Yoğun olarak çalıştığımız alanlardan veri sızıntıları ve ihlalleri, yani KVKK tarafı aslında çok hareketli bir alan. Güvenlik firmalarının yayınladığı rakamlara bakarsak, veri ihlallerinin yaklaşık yüzde 80’i hakkında hukuki bildirim yapılmıyor.
Türkiye’de fidye yazılım konusunda çok fazla konuşmuyoruz. Geçtiğimiz yıl, veri koruma hukukçuları ile Paris’te gerçekleştirilen bir etkinliğe katıldım. Etkinliğin ana konusu, fidye konu edilen ihlalleriydi.. Tartışılan konuların başında, “Fidyeyi nasıl vereceksiniz ve bunun hukuki statüsü” geliyordu. Bizim ülkemizde bu gibi konuları görmezden geliyoruz. Fidyeyi verip veriyi geri alıyorlar ama bildirim yapmıyorlar.
Türk hukukuna göre işletmeler şirket verisi çalındığında, KVKK’ya 72 saat içerisinde bildirim yapmak zorunda. Bu bildirimin ardından da kaybolan verinin durumuna göre cezai işlem uygulanıyor. Üstüne bir de veriyi kurtarmak için bir bedel ödemesi gerekiyor. Tüm bunların yanında bir de KVKK kurumundan gelecek reçeteye göre yükümlülükleri yerine getirmek için para harcamalı. Tabii itibar kaybı da işin içine girecek. İşte Türk şirketlerinin birçoğu, tüm bunlardan kaçmak için veri kayıplarında gün yüzüne çıkmıyor. Çünkü verilerin ifşasında, nereden çalındığını adres olarak göstermek ve kanıtlamak oldukça güç.
Peki şunu sorabilirsiniz: “Bir Avrupalı, ceza yiyeceğini bile bile niye kendini ihbar ediyor?” Çünkü, olur da ihlal nedeniyle kendisine karşı bir tazminat davası açılırsa canının yanacağını biliyor. Böylece buna göre hareket ediyor.
Bu konuda en iyi örneklerden biri, 3-4 yıl önce İspanya’da yaşanan bir olay. Büyük perakende zincirlerinden bir tanesi veri ihlali yaşadı. Tamamen içeriden kaynaklanan bir sorundan dolayı yaşandı bu ihlal. Firmanın çalışanlarının bazı özel verilerine bir kısım yöneticinin uzun süre eriştiği tespit edildi. Bir anlamda yetki izinlerinde kaçak yaşanmış diyebiliriz. Olay anlaşılmasının ardından perakende zinciri kendini ihbar etti ve Avrupa Komisyonu tarafından 36 milyon avro ile cezalandırıldılar. Firma, bu cezayı ödedi ve ihlale uğrayan çalışanlarına da birçok yan hak verdi.
Firmalara veri koruma konusundaki tavsiyeleriniz neler?
Öncelikle şunu söylemeleyim ki bizim yoğunlaştığımız alan veri yönetişimi. İşletmelerin de veri koruma alanına bu perspektiften bakması gerekiyor. Konu sadece kişisel verilerin korunması olarak ele alınmamalı. Şirketlerin her türlü ticari ve ekonomik verisinin korunması da en az kişisel verilerin korunması kadar önemidir. Burada siber güvenlik önlemlerinin teknik ve hukuki gereklilikler bakımından alınmasının önemini vurgulamak gerekiyor. Şirket yöneticilerine tavsiyem, öncelikle ellerindeki verilerin farkında olmalılar. Yani şu soruyu kendilerine sorabilirler: “Benim elimde ne veri var?“ Sonra bunların gerekli şekilde sınıflandırılması, hukuki alt yapısının, yetkilendirme ve erişim yapısının kurulması ve etkin işlemesi için denetim mekanizmasının kurulması büyük önem taşır:
Konu sadece KVKK değil. Bunu şöyle düşünebilirsiniz: Ortalığı temizliyorsunuz fakat halının altına bakmıyorsunuz. Etraf, ilk bakışta temiz görünüyor ama halının altını kaldırdığınızda neler var bilmiyoruz. Öncelikle orayı ayıklamak gerekiyor. Halının altında ne var bakmak lazım. Böylece gereksiz detayları usulüne uygun bir şekilde yok etmek gerekiyor. Ardından bir veri erişim sistemi kurulmalı. Burada işlenecek verileri doğru sınıflandırmak ve kimlerin erişebileceğini yönetmek gerekiyor. Tabii sonrasında da ileride yaşanabilecek risklere karşı çalışanların eğitilmesi gerekiyor. Çünkü yaşanan veri ihlallerinin çoğu içeriden kaynaklanan problemler. Bunun için yapılan düzenlemelerin sıkı tutulması ve işi veri ihlaline getirmeden tedbir alınması şart.
Son dönemin en popüler konularından biri de yapay zekâ. Yapay zekâ, sizin tarafınızda neleri değiştirecek? Yapay zekânın yaptığı bir yanlıştan kimler sorumlu tutulacak?
Bu konuyu sadece hukuk olarak görmemek gerekiyor. Çünkü yapay zekâ her alanda birçok şeyi değiştirecek. Yapay zekâ için hem bir avantaj hem de bir risk diyebiliriz. Bu konuyu biz de aramızda tartışıyoruz. Hali hazırda yasalarla düzenlemiş bir cevap yok. Prensip olarak sistemi hayata geçiren, yazılımı üreten ve ondan ticari bir kazanç sağlayanlar sorumlu tutulabilir. Tabii ki bunları şirketler yapacak. Birçok ihlal tipinde gördüğümüz gibi sorunlardan şirket yönetim kurulu başkanının haberi bile olmayacak. Yani burada sadece şirket yönetim kurulu başkanına atfedilecek bir ceza sorunu çözmeyecek. İhlale katılan çalışanlar da sorumlu tutulmalı. Bu nedenle çalışan ilişkilerinin ve sorumlulukların doğru belirlenmesi gerekecek. Bu da bizi yapay zeka ile hizmet ve ürün geliştirme alanında yapılacak sözleşmelerin önemine getiriyor.
Yapay zeka daha çok yeni ve hukuki düzenlemeler henüz çok dar kapsamda Özellikle Avrupa Birliği bu alanda proaktif davranarak insan hak ve özgürlükleri temelinde genel düzenlemeler yapıyor. Ama uygulamada yapay zeka çözümlerinden kim, ne zarar görecek, kim dava açacak, ne için davalar açılacak gibi somut olaylar daha tecrübe etmedik. Sadece ön görülerimiz var ve başta ABD olmak üzere bazı hali hazırda açılan davalar ve verilen mahkeme kararları var takip ettiğimiz. Bu alanlar kendisi kadar hukuki sonuç ve gereklilikleri de bilinmez ve bir o kadar da heyecan uyandıran alanlar. Biz Kurt Gürler Partners olarak bu alana çok yakın ilgi duyuyoruz ve öncü çalışmaları ve hazırlıkları yapmak için hızlı davranmaya çalışıyoruz.
İlgili haberler
>> Ofis Zorunluluğu Çalışanları Bezdiriyor; Araştırma Sonuçları Çok İlginç
