Etik ve Uyum Yönetimi

Veri İhlali Bağlamında Whistleblowing (Bilgi İfşası)

Günümüzde, medya ve sair kanallarda yayınlanan haberler ile tüzel kişiliklerde yaşanan yolsuzluk, çevre düzeninin korunmasına ilişkin kurallara aykırılıklar, veri ihlalleri ve birtakım kanun karşıtı eylemler toplumda büyük yankılar uyandırmaktadır. Organizasyon içerisinde yaşanan ihlal ve kanuna aykırılıkların açığa çıkarılması noktasında whistleblowing kavramı büyük önem arz etmektedir.

Whistleblowing (Bilgi ifşası)  teriminin tanımını yapmak gerekirse; kurum içerisinde yaşanan hukuka ve/veya etik değerlere uygun olmayan fiillerin, kurum içerisinde veya dışarısındaki kişilere zarar vermemesi adına ilgili fiiller hakkında bilgi sahibi kişiler -genellikle kurum bünyesindeki çalışanlar-  tarafından yetkili otoritelere bildirilmesidir. Organizasyon bünyesinde bilgi ifşasına sebebiyet veren yanlış uygulamalara; kamu sağlığına aykırı faaliyetler, vergi kaçakçılığı, kaçak işçi çalıştırma ve kişilere dair verilerin ihlali örnek olarak gösterilebilecektir.

Geçtiğimiz sene tüm dünyada büyük yankı uyandıran Facebook–Cambridge Analytica veri ihlali bu kapsamda önemli bir örnek oluşturmaktadır. 2018 yılında bilgi ifşacısı Christopher Wylie’nin açıklaması üzerine patlak veren skandalda; veri analiz şirketi olarak faaliyet gösteren Cambridge Analytica’nın Facebook’ta yer alan 50 milyon kullanıcıya ait kişisel verileri usulsüz bir şekilde kullandığı ortaya çıkmıştır.

Cambridge Analytica ve benzer pek çok ihlal, bilgi ifşasının ne kadar önemli olduğunu gösterir niteliktedir. Zira kurum içerisinde yaşanan hukuka veya etik ilkelere aykırılıklar çoğu zaman yalnızca o organizasyonu etkilememekte toplum menfaatinde de birtakım zedelenmelere yol açmaktadır. Hal böyle olunca, bilgi ifşası hukuki güvenliğin sağlanması açısından çok önemli bir rol oynamakta fakat bilgi ifşacıları için de bir o kadar riskler taşımaktadır. Şöyle ki; organizasyon içerisinde gördüğü bir yanlışı söylemesi durumunda kişinin karşılaşabileceği maddi ve manevi yaptırımların caydırıcı bir rol oynayacağı aşikârdır. İş ilişkisinin sonlandırılması, işyerinde dışlanma ve bir şekilde kurum içerisinde “istenmeyen adam” ilan edilme bunların yalnızca birkaç örneği olarak sayılabilecektir.

Buradan hareketle; organizasyonlar ve büyük ölçekte kişiler açısından şeffaflığın sağlanmasına hizmet eden “whistleblowing” kurumunun devletlerce regüle edilmesi önemli bir gereklilik haline gelmiştir. Zira bu yönde bir düzenlemenin varlığı bilgiyi ifşa eden kişiler açısından güvence yaratacağı gibi kurumlar açısından da hukuka ve etik kurallara uygun hareket etme kültürünün yerleşmesini sağlayacaktır.

Bu bağlamda; bilgi ifşacılarının nasıl korunacağına ilişkin düzenlemeler içeren geçici anlaşma, 12 Mart 2019 tarihinde Avrupa Parlamentosu ve Avrupa Birliği üyeleri tarafından imzalanmıştır. Anlaşma henüz resmi olarak onaylanmamış olsa dahi söz konusu husus bakımından büyük önem arz etmektedir.  Getirilen düzenleme ile whistleblowing sistemine ilişkin süreçler belirli bir standart dâhilinde incelenmiş ve bilgi ifşacılarına yönelik korumalar sağlanmıştır. Avrupa Komisyonunun kabul ettiği yenilikler arasında; kurum bünyesinde açık bir raporlama sisteminin oluşturulması, güvenli raporlama kanallarının oluşturulması ( öncelikle bilginin kurum içerisinde raporlanabilmesi gibi) ve organizasyon içerisinde dışlanma, misillemeye maruz kalma vb. davranışlara yönelik korumaların getirilmesi sayılabilecektir.

Türkiye’de konu hakkında henüz bir düzenleme olmamakla birlikte bilgi ifşasına konu olayların her geçen gün artması sebebiyle regülasyonların yapılması kaçınılmaz bir hal almaktadır. Özellikle de 7 Nisan 2016 tarihinde tüm şirketlerin gündemine yerleşen Kişisel Verilerin Korunması Kanunu’nun (KVKK) varlığı bu açıdan önemli görülmektedir. Getirilen bu düzenleme ile birlikte şirketler için yepyeni bir sorumluluk alanı yaratılmış ve artık kurum bünyesinde kişiye dair verilerin nasıl muhafaza edileceği, kimlere aktarılabileceği, nasıl imha edileceği ve ilgili veriler kapsamında bir ihlal yaşanması durumunda şirket içerisinde kırmızı alarm durumunun nasıl işletileceğine kadar pek çok sürecin sınırları çizilmiştir.

KVKK düzenlemiş olduğu 11.maddesiyle verisi işlenen gerçek kişilere organizasyona karşı birtakım taleplerde bulunma hakkı tanımış olsa da Kanun ve alt düzenlemelerinin getirdiği yükümlülüklerin veriyi işleyen Kurum bünyesinde de doğru bir şekilde yerine getirilip getirilmediği noktasında bilgi ifşası önemli bir hale gelecektir. Birkaç örnek üzerinden izah etmek gerekirse; KVKK 4.maddesinde kişisel verilerin işlenmesi esnasında uyulması gereken ilkeleri saymış olup “veri minimizasyonu” bunlardan biri olarak düzenlenmiştir. İşbu ilke uyarınca organizasyon kapsamında işlenen verilerin sadece gerekli olduğu ölçüde kullanılması esastır. Aynı şekilde Kanun veri güvenliğinin sağlanması amacıyla kurum bünyesinde idari ve/veya teknik her türlü tedbirin alınması gerektiğini belirtmiş ve verinin işlenmesinde bir menfaatin kalmaması durumunda da Kanun’da öngörülen imha metotlarından biri ile imhanın gerçekleştirilmesini emretmiştir. Sayılan bu temel yükümlülüklere organizasyon bünyesinde ne denli uyulup uyulmadığı noktasında ise “whistleblowing” kurumu önem arz etmektedir. Şöyle ki kurum bünyesinde işlenen verilerin gerçekten de minimize edilerek kullanılıp kullanılmadığı ya da gerekli güvenlik önlemlerinin alınıp alınmadığı konusunda en doğru bilgiye sahip kişi bizzat organizasyonun içerisinde yer alan kişi olacaktır.

KVK Kurulu’nun 24.01.2019 tarihinde veri ihlaline istinaden işletilecek süreci belirlediği kararı bu noktada büyük önem taşımaktadır. Şöyle ki; organizasyon bünyesinde bir veri ihlali yaşanması durumunda şirket bu durumu öğrendiği andan itibaren en geç 72 saat içerisinde Kurul’a bildirmekle yükümlü kılınmıştır. Kurulun da yaşanan bu ihlali kendi resmi internet sitesinde veya başka bir yöntem ile ilan etme hakkı KVKK’da düzenlenmiş olup şu ana kadar tüzel kişiliklerde yaşanan pek çok ihlalin KVK Kurumuna ait resmi web sitesinde ifşa edildiği görülmektedir. Hal böyle olunca organizasyonlar için şöyle bir ikilem ortaya çıkmaktadır; yaşanan ihlalin kanuni yükümlülük çerçevesinde bildirilmesi ya da internet veya sair platformlarda ifşa edilip ticari itibarın zedelenmesi.

Bu kapsamda şirketlerin kendi içerisinde bilgi ifşasına ilişkin politika ve prosedürleri belirlemeleri büyük önem arz etmektedir. Zira bu sayede kurum içerisinde yaşanan bir usulsüzlük, ihlal vb. hallerde organizasyon kendiliğinden harekete geçecek ve bir nevi kurum içerisinde bir denetim mekanizması oluşturulacaktır.

Sonuç olarak; gelişmekte olan teknoloji ve yönetim biçimleri iş yapış şekillerini büyük ölçüde etkilemekte olup izlenmesi gereken farklı davranış modellerinden birisi de hiç kuşkusuz “whistleblowing” dir. Ülkemizde bu kapsamda henüz bir düzenleme mevcut olmasa da Avrupa Birliği bünyesinde kabul edilen bu kavram tüm dünya açısından önem arz etmekte ve zamanla organizasyonlar bünyesindeki süreçlere de eklenmesi beklenmektedir.

KAYNAKÇA

1- https://www.theguardian.com/news/2018/mar/17/cambridge-analytica-facebook-influence-us-election

2– http://dergipark.gov.tr/download/article-file/403128, Sayfa 127

3- http://europa.eu/rapid/press-release_IP-19-1604_en.htm

4- Kişisel Verilerin Korunması Kanunu Md.3 /1/ (e) “Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,”

5- Kişisel Verilerin Korunması Kanunu, Md.4/1 / (ç) bendinde yer alan işlendikleri, amaçla bağlantılı, sınırlı ve ölçülü olma ilkesi

6- Kişisel Verilerin Korunması Kanunu, Md.12/1/( c) “Veri sorumlusu, kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır”

7- https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/bc1cb353-ef85-4e58-bb99-3bba31258508.pdf

8-  https://www.kvkk.gov.tr/Icerik/5362/Veri-Ihlali-Bildirimi

9-  Kişisel Verilerin Korunması Kanunu, Md.12/5 “…Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.”

https://www.theguardian.com/news/2018/mar/17/cambridge-analytica-facebook-influence-us-election
http://dergipark.gov.tr/download/article-file/403128, Sayfa 127
http://europa.eu/rapid/press-release_IP-19-1604_en.htm
Kişisel Verilerin Korunması Kanunu Md.3 /1/ (e) “Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,”
Kişisel Verilerin Korunması Kanunu, Md.4/1 / (ç) bendinde yer alan işlendikleri, amaçla bağlantılı, sınırlı ve ölçülü olma ilkesi
 Kişisel Verilerin Korunması Kanunu, Md.12/1/( c) “Veri sorumlusu, kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır”
https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/bc1cb353-ef85-4e58-bb99-3bba31258508.pdf
https://www.kvkk.gov.tr/Icerik/5362/Veri-Ihlali-Bildirimi
Kişisel Verilerin Korunması Kanunu, Md.12/5 “…Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebili