Privacy By Design – Privacy By Default

GİRİŞ

Tasarımla mahremiyet (privacy by design) ve başlangıçtan itibaren mahremiyet (privacy by default) 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda (KVKK) yer almayan ancak Avrupa Birliği mevzuatının bir parçası olan iki ilkedir. Her iki ilke de Avrupa Birliği Genel Veri Koruma Tüzüğü’nün (GDPR) 25. Maddesinde karşımıza çıkmaktadır. Her ne kadar Türk Veri Koruma Hukuku’nun bir parçası olmasalar bile ülkemizde bulunan veri sorumluları için iyi uygulamaya (good practice) bir örnek teşkil etmesi ve Avrupa Birliği Genel Veri Koruma Tüzüğü’nün (GDPR) 3.maddesi uyarınca belli şartlar dahilinde söz konusu tüzüğün Türkiye’deki veri sorumluları için yükümlülükler doğurması sebebiyle bu iki ilke incelemeye değerdir. Ayrıca, 6698 sayılı KVKK’nın 1998 sayılı AB Direktifi’ni esas aldığı bilinse de GDPR’ın Türk Veri Koruma Hukuku üzerindeki etkileri değerlendirildiğinde yakın zamanda bu iki ilkenin hukukumuza doğrudan aktarılması da şaşırtıcı olmayacaktır.

Privacy by design

Privacy by design kişisel veri işleme faaliyeti içeren herhangi bir sistemin, hizmetin, ürünün veya sürecin tasarım aşamasında ve daha sonra proje süresi boyunca gizlilik ve veri koruma sorunlarını göz önünde bulundurulmasını sağlayan bir yaklaşımdır.[1] Bu sayede projelerin başından beri veri koruma ve mahremiyete uygun olarak geliştirilmesini öngörür. Böylelikle, daha tasarım aşamasında veri koruma ilkelerine uygun geliştirilen bir proje için daha sonrasında kişisel verilerin korunmasına ilişkin uyumsuzlukları gidermeye yönelik değişiklik yapılmasını gerektirmeyecektir. Özünde bu yaklaşım, veri korumayı kişisel veri işleme faaliyetlerine ve iş uygulamalarına entegre etmek gerektiği anlamına gelir. Geniş bir uygulama alanına sahip olan bu ilke, AB Veri Koruma Hukuku’nda yeni bir ilke olmayıp GDPR ile yasal bir gereklilik haline gelmiştir.[2]

Privacy by design yaklaşımı özellikle geliştirilecek olan bir proje veya uygulamanın tasarımından sorumlu olan mühendisler, yazılımcılar ve diğer iş birimleri tarafından proje veya uygulamanın başlangıç noktasından itibaren göz önünde bulundurulmalı ve hukukçuların bu süreçlere danışmanlık ederek gerekli bilgilendirmeleri yapması sağlanmalıdır.

Privacy by default

Privacy by default, bir ürün veya hizmet piyasaya sunulduğunda, en katı gizlilik ayarlarının en baştan itibaren geçerli olması gerektiği anlamına gelir. Yani “önce gizlilik” yaklaşımının belirlenmesi esastır. Bu doğrultuda bir ürünün ve hizmetin kullanımını sağlamak için kullanıcı tarafından verilen kişisel veriler yalnızca ürünü veya hizmeti sağlamak için gereken süre boyunca saklanmalıdır. Ayrıca, veri işlenmeye başlamadan önce hangi verilerin ne şekilde işleneceğini konusunda kişiler uygun şekilde bilgilendirilmeli ve yalnızca ürün veya hizmetin amacı doğrultusunda veri minimizasyonu ilkesi doğrultusunda yalnızca gereken veriler işlenmelidir.[3]

Temel İlkeler

Privacy by design ilkesi ilk olarak Ontario Bilgi ve Gizlilik Kurulu temsilcisi Ann Cavoukian tarafından geliştirilmiştir. Bu ilkeyi oluşturan ve privacy by default ilkesini de içeren toplam 7 ilke bulunmaktadır. Bu ilkeler aşağıdaki gibi sıralanabilir:[4]

• Reaktif değil proaktif, düzeltici değil önleyici

• Gizliliğin varsayılan olması

• Gizliliğin tasarıma yerleştirilmiş olması

• Tam fonksiyonellik, sıfır toplam değil pozitif toplam

• Uçtan uca güvenlik

• Görülebilirlik ve şeffaflık

• Kullanıcı gizliliğine saygı, kullanıcı merkezli olma

SONUÇ

GDPR ile birlikte yasal bir gereklilik olarak karşımıza çıkan privacy by design ve privacy by default ilkeleri kişisel verilerin korunmasını temin etmek amacıyla çok önemli rol oynama potansiyeline sahiptir. Bu bakımdan, her ne kadar ülkemiz mevzuatında doğrudan yer almasa da veri sorumlularının kişisel veri işleme faaliyetleri noktasında bu ilkeleri de göz önünde bulundurmalarının faydalı olacağı düşünülmektedir.

Bu doğrultuda start uplar için ilk adım risk analizini ortaya koyup işlenecek kişisel verilerin KVKK ve gerektiğinde GDPR uyumlarını değerlendirmektir. Potansiyel riskler değerlendirildikten sonra privacy by default ilkesi uyarınca toplanacak kişisel verilerin en aza indirileceği, ilgili kişilerin sahip olduğu hakları kullanmalarına olanak veren ve işlenme amacı ortadan kalktığında verilerin zaman geçirmeksizin silineceği bir sistemin oturtulması gerekmektedir. Daha sonrasında veri güvenliğine ilişkin sorumluluk dağıtımları yapılmalı ve gerekli tüm idari ve teknik önlemler hayata geçirilmelidir. Bu doğrultuda çalışanların KVK eğitimleri almaları sağlanmalı ve yapılacak düzenli denetimlerle uygulamaların KVKK/GDPR uyumu sürekli hale getirilmelidir.

KAYNAKÇA

[1]https://www.ics.ie/news/what-is-privacy-by-design-a-default

[2]https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/accountability-and-governance/data-protection-by-design-and-default/

[3]https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/obligations/what-does-data-protection-design-and-default-mean_en

[4]https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/accountability-and-governance/data-protection-by-design-and-default/

YAZAR

Murat Gülgün

Rumeysa Budak