Global Data Protection Regülation – Avrupa Birliği Genel Veri Koruma Tüzüğü
Bilindiği üzere Türkiye Cumhuriyeti Anayasasının 20. Maddesinde kişisel verilerin korunması anayasal bir hak olarak düzenlenmiş olup detayları kanuni düzenlemelere bırakılmıştı. Bu konuyla ilgili olarak 7 Nisan 2016 günlü Resmi Gazete’de yayınlanarak yürürlüğe girmiş bulunan 6698 sayılı KVKK (Kişisel Verilerin Korunması Kanunu) bu alanda son derece geniş kapsamlı devrimsel nitelikte değişiklikleri içeren bir kanun olarak günlük yaşamımıza girmişti. Bu kanunun hazırlanmasında , 1995 yılında AB’ (Avrupa Birliği) de GDPR (Avrupa Birliği Genel Veri Koruma Tüzüğü) olarak Avrupa mevzuatına giren kişisel verilerin korunması ile ilgili hususlar baz alınmıştır.
Ancak kanunun çıktığı tarihten bu yana uygulama aşamaları sürekli ertelendiğinden henüz tam olarak hayata geçirilemediği de bir vakıadır. Yazının başlığını okuyunca KVKK’ yı tam olarak öğrenemeden bir de GDPR’ mı geliyor diye düşünebilirsiniz? Bununla birlikte KVKK’ nın AB muadili olan GDPR’ ın ülkemiz dış ticaretine etkileri olacağı düşüncesiyle bu konuda farkındalık yaratmaya destek olmak amacıyla bu yazıyı kaleme alıyorum. Evet, ülkemiz ekonomisinde özellikle AB’ ye ihracat yapan sektörlerde faaliyet gösteren şirketlerimiz ile AB vatandaşlarına hizmet veren sektör şirketleri için mutlaka uyulması gereken yeni kurallara ilişkin hazırlıklarımızı yapmamız gerekiyor.
Ülkemiz ile AB arasındaki 2020 yılı ihracat rakamlarına göre toplam 143 milyar dolarlık ihracatımızın 69 milyar doları yani %41,3’ ünün AB ülkelerine olduğu göz önüne alındığında ihracatta ilk sırada yer alan birliğin bu şartlarını yerine getiremeyen şirketlerimiz için büyük sıkıntıların ortaya çıkacağı aşikârdır. Ayrıca turizm sektöründe AB’ den ülkemize gelen turist sayısında da TÜİK rakamlarına göre diğer ülkelere oranla ,AB ilk sırada yer alıyor.
Gelişmiş ve gelişmekte olan ülkeler için büyük önem arz eden kişisel verilerin, bundan sonra daha da önemli hale geleceği ve verilerin kötüye kullanımı ya da resmi makamlar arasında belli bir standartta uygun güvenlikli bir ortamda paylaşılması bir zorunluluk olacak gibi görünüyor. Bizim de bu kurallara uygun olarak düzenlemelerimizi ve altyapımızı hazırlamak üzere gerekli çalışmaları ivedilikle başlatmamız gerekiyor.
25 Mayıs 2018 yılında AB’de yürürlüğe giren GDPR’ ın geçiş sürecinden sonra sıkıntı yaracağını öngören ihracatçı şirketlerimiz, geçen yılın başında bu konuyla ilgili olarak çalışmalarına başlamıştı. TOBB (Türkiye Odalar ve Borsalar Birliği) çatısı altında çalışmalarını sürdüren AB’ ye ihracat yapan şirketlerin yer aldığı sektör meclislerinden Dayanıklı Tüketim Malları Meclisi öncülüğünce Otomotiv Sanayi Meclisi, Telekomünikasyon Meclisi ve Makine ve Teçhizat İmalatı Meclisleri’nin katılımıyla organize edilmiş olan ‘’AB’ ye ihracat ve Dijital Dönüşümün Etkisi Çalıştayı’’ sonuç raporuna göre bu konuyla ilgili olarak farkındalık yaratmak ve ülkemizde uygulamada olan KVKK kanunundaki eksiklikler ve yapılması gereken düzenlemelere ilişkin çözüm ve önerilerde bulunmak üzere ‘’Dijitalleşme Görev Gücü’’ adlı bir çalışma grubu oluşturulmuştu. Bu çalışma grubu sadece GDPR’ la ilgili konuları değil, aynı zamanda Türkiye’nin GDPR uyumlu ülke olması için yapılması gerekenler, AB ‘de bu yıl hizmete girmesi planlanan GAIA –X bulut platformuna ilişkin ülkemizin bu konudaki politikasının belirlenmesi, yine halihazırda
telekomünikasyon alanında AB’de uygulamaya girmiş olan ücretsiz serbest dolaşıma (free roaming) ülkemizin de katılımı konularıyla ilgili görüşler ortaya koymak üzere çalışmaları sürdürmektedir.
Dijitalleşme Öncü Grubunun geçen yıl hazırladığı durum tespit raporundan aşağıdaki bazı kısa bilgiler, bu konunun ekonomimiz açısından ne kadar önemli olduğunu ve çözüm bekleyen sorunları ortaya koyması açısından aydınlatıcı olacaktır;
“Otomotiv sanayi ihracatının %84’ü AB’ye gerçekleşmektedir. Otomotiv sanayinin ağırlıklı olarak AB’ye yoğunlaşmış olan ihracat hedefleri ve faaliyetleri göz önüne alındığında özellikle bu bölgelerde mobilite alanındaki teknolojik gelişmeler doğrultusunda ülkemizdeki mevzuat (veri paylaşımı, veri işleme hakları ve hizmetleri, veri güvenliği) altyapısının bu gelişmelere uyumlu olarak dikkate alınması sürdürülebilir rekabetçilik açısından kritik görülmektedir. Bu yüzden AB ile dijital uyum otomotiv sektörü için son derece önemlidir.
Otomotiv sektörü tarafından, bir kaza anında ya da acil durumlarda araç ile acil çağrı cevap noktası (112 Merkezi) arasında bir ses kanalının kurulması için tasarlanan eCall sistemi hakkında bilgi verilmiştir. eCall uyumlu araç içi modüle sahip olan bir araç kaza yaptığında, kaza durumu bu modül tarafından otomatik olarak algılanmaktadır. eCall sistemi ile kaza algılaması sonrasında modül, otomatik olarak 112’yi aramakta, ve asgari veri setinin (Şasi Numarası, GPS bilgileri, GPS bilgisinin güvenilirlik seviyesi, acil çağrı, araç tipi, gönderim zamanı, aracın baktığı yön vb.) araçtan acil çağrı cevap noktasına iletilmesi ve araç ile aynı acil çağrı cevap noktası arasında bir ses kanalının kurulmasını sağlamak üzerine kurgulanmıştır. Bu sayede, kaza veya herhangi acil bir durumda araçtan 112 servisine
otomatik veya manuel olarak bilgi gönderimi sağlanması ve 112 servis operatörleriyle bağlantı kurularak karayolunda can ve mal güvenliğinin temin edilmesi hedeflenmektedir.
2016 yılında Sanayi ve Teknoloji Bakanlığı tarafından ilgili paydaş görüşleri (BTK dahil) alındıktan sonra, ülkemizde AB mevzuatından uyumlaştırılan eCall Yönetmeliği kapsamında yerli operatör kullanımına yönelik bir hüküm olmadığı için araç üreticileri global çözüm ortakları ile uygulamalarını geliştirmişlerdir. Ancak, 22.01.2018 tarihli BTK Kurul Kararına göre mevzuat zorunlu uygulamasına (31.03.2018) çok kısa bir süre kala haberleşme yapacak araçların yetkilendirilmiş operatör ile çalışması zorunlu hale geldiği resmi olarak duyurulmuştur. Ülkemizde faaliyet gösteren üreticiler geliştirme faaliyetleri kapsamında yerel operatörler ile görüşme süreçlerine hızlı bir şekilde başlamıştır ancak global iş süreçlerinde belirsizlikler bulunduğu düşünülmektedir. Mevcut BTK mevzuatı gereği verilerin ülke içinde tutulması doğrultusunda bazı sınırlamalar getirilmiştir. Ayrıca halen uzaktan profil
değişimine imkân sağlayacak (eSIM/eUICC) teknolojinin BTK tarafından hayata geçirilmesi sürecinin yürütüldüğü ve 29.02.2020 tarihinde devreye gireceği belirtilmiş olsa da iş modelinin nasıl yapılandırılacağına ilişkin netleştirilmesi gerekli görülen hususların bulunduğu değerlendirilmektedir. Bahsi geçen belirsizlikler ülkemizde yeni modellerin geliştirilmesi ve yatırım süreçlerine olumsuz etkisi olmaktadır.
Önümüzdeki süreçte ise gerek araçtan araca ve altyapıya haberleşme, gerekse katma değerli servis teknolojilerinin geliştiğini göreceğiz. Bu teknojiler sorun yaşadığımız eCall teknolojisinden daha karmaşık ve çok boyutlu teknolojiler olup, veri güvenliği, bulut bilişim, verinin işlenmesi, iletilmesi, saklanması gibi konularda katılımcı, net ve öngörülebilir bir mevzuat hazırlama ve yayım sürecine gerek duyulmaktadır. Bu yeni teknolojilerin ülkemizde ülke çıkarlarına uygun, güvenli ve güvenilir şekilde devreye girmesi için yol haritası hazırlığı gerekli görülmektedir. BTK’nın temel olarak güvenlik kaygıları olduğu bilinmekle birlikte, milli çıkarlarımızı göz önüne alacak şekilde aynı zamanda sektörde teknolojik gelişmelerin de önünü açacak, uygulanabilir bir yapı konusunda paydaşların birlikte çalışmasının önemli olduğu değerlendirilmektedir.
Rekabetçilik açısından BTK’nın otomotiv sektörüne ilişkin düzenlemelerinde sektörü paydaş olarak
görmesi ve etkin bir iletişim kanalının yapılandırılmasına ihtiyaç vardır. 5G’nin yaygınlaşması ile birlikte
benzer problemler dayanıklı tüketim malları için de geçerli olacağı düşünülmektedir. Bu nedenle ortak
sektörel problemlerin ortaya konup ortak çözümler üretilmesi ve ilgili düzenleyici kurumlar ile görüşülmesi gerekmektedir. Otomotiv sektörünün ayrıca 5G bağlı araçların test edilmesi için Türkiye’de 5G altyapısı desteği veren test yollarına ihtiyaç vardır.
Türkiye’deki veri merkezlerinin ve buradan sağlanan hizmetlerin yabancı muadilleri yerine tercih edilmesi, bu merkezlerin sürdürülebilirliği ve rekabetçi olması açısından son derece kritiktir. Bu konuda teşvikler verilmesi, kamu spotlarıyla farkındalık yaratılması önemli olacaktır.
Yurtdışı kaynaklı Bulut Hizmet Sağlayıcılarının verdikleri hizmetlerin siber güvenlik hizmetleri açısından ne kadar güvenli olduğu tartışmalıdır. AWS, Google Cloud, Microsoft Azure gibi piyasada dominant olan ABD kökenli bulut servis sağlayıcıları firmalara verdikleri hizmetlerde ve yaptıkları anlaşmalarda esnek ve şeffaf olmamakta, büyüklerinden dolayı dayatmacı bir anlayış benimsemektedirler. Bu yüzden Türkiye’nin yerli ve milli, uluslararası alanda rakipleriyle mücadele edebilen, veri merkezleri Türkiye içinde ve Türkiye dışında olan bir bulutunun olması gelecek yıllar için önemlidir.
AB bulutu olan GAIA-X projesinin Türkiye tarafından yakından takibi önemlidir. Almanya’nın başını çektiği GAIA-X projesi içinde Alman makine üreticileri firmaları da yer almaktadır. GAIA-X AB için ticari anlamda geç kalmış bir proje gibi görünse de regulatif ve finansal destekli yaklaşımlarla projenin hayata geçirilmesi mümkün olabilir. GAIA-X projesi AWS ve Microsoft tarafından da yakından takip edilmektedir.
ENISA’nın aldığı kararlar, yayınladığı bildiriler Türkiye’nin AB ihracatında yer alan connected, IOT ürünler ve otonom bağlı araçlar için önemlidir. ENISA’nın TOBB bünyesinde yer alan bir ekiple takip edilmesi ve ENISA’nın kurduğu expert gruplar içinde Türkiye’nin TOBB tarafında temsil edilmesi Türkiye’nin AB’ye akıllı ürün ihracatı yapan sektörleri için kritiktir. BTK’nın da ENISA ile ortak çalışmaları bulunmaktadır.”
Daha önce sektörde bu sıkıntıları öngören şirketler raporda belirtilen hususları muhtelif merciilere aktarmış olmalarına rağmen somut bir muhatap bulamadıklarından zaman kaybettiler. Fakat TOBB’un bu konudaki inisiyatif almasıyla birlikte konuyla ilgili uzmanların katkılarıyla hazırlanan bilgi ve raporlarını ilgili değişik kurumlara iletilebilme şansı buldu. Bu konuda öncülük yapan TOBB başta olmak üzere destek veren tüm şirket ve çalışanlarına teşekkür etmeyi bir borç biliyorum.
Bu yazıda, konuyla ilgili olarak farkındalık yaratmaya destek verirken bundan sonraki yazımda KVKK ile GDPR’ın en hızlı ve basit bir şekilde uyumu konusundaki sorunlu noktaları ve çözüm önerilerini paylaşacağım.