Dijital hayat her geçen gün biraz daha hızlanıyor. Sabah uyandığımız andan gece uyuyana kadar fark etmeden sayısız dijital etkileşimin içinde yer alıyoruz.

Bir uygulama ile yemek söylüyor, bir diğeriyle taksi çağırıyor, sosyal medyada vakit geçiriyor, alışverişlerimizi tek tıkla tamamlıyoruz. Tüm bu kolaylıklar hayatı daha pratik hale getiriyor gibi görünse de, arka planda sessizce büyüyen çok daha kritik bir gerçek var: Bizden toplanan veriler.

Ve bu noktada kaçınılmaz bir soruyla karşı karşıya kalıyoruz: “Bizim verilerimize kim sahip çıkıyor?”

Türkiye’de bu sorunun hukuki cevabı oldukça net. 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), kişisel verilerin nasıl toplanacağını, hangi amaçlarla işleneceğini, ne kadar süre saklanacağını ve nasıl korunacağını açık bir şekilde düzenliyor. Ancak uygulamaya bakıldığında tablo her zaman bu kadar net değil. Birçok kurum KVKK’yı hâlâ yalnızca “ceza almamak için uyulması gereken bir zorunluluk” gibi görüyor. Oysa bu yaklaşım, kanunun ruhunu anlamaktan oldukça uzak.

Çünkü KVKK sadece bir hukuk metni değil; aynı zamanda mahremiyetin, güvenin ve insan onurunun korunmasına yönelik temel bir çerçevedir.

Formla Başlayan Belirsizlik

Günlük hayatımızda neredeyse her yerde veri toplama süreçleriyle karşılaşıyoruz. Bir bankada hesap açarken, bir mobil uygulamaya üye olurken ya da basit bir form doldururken aynı süreç tekrar ediyor: Ad, soyad, telefon numarası, adres, bazen gelir bilgisi, bazen de çok daha hassas kişisel detaylar…

Peki sonra ne oluyor?

• Bu veriler kim tarafından görülüyor?
• Hangi sistemlerde saklanıyor?
• Üçüncü kişilerle paylaşılıyor mu?
• Ve en önemlisi: Ne zaman ve nasıl siliniyor?

KVKK bu sorulara oldukça net cevaplar verir. Kişisel veriler yalnızca gerekli olduğu kadar toplanmalı, belirli bir amaç için kullanılmalı, amaç ortadan kalktığında silinmeli ya da anonim hale getirilmelidir. Ayrıca kişi, kendi verisi üzerinde her zaman bilgi alma ve kontrol hakkına sahiptir.

Yani aslında her veri, onu toplayan kurum için bir “emanet”, veri sahibi için ise vazgeçilmez bir haktır.

Kaybolan Bir Bellek, Kaybolan Güven

Gerçek hayatta yaşanan basit görünen bir olay bile büyük sonuçlar doğurabilir.

Bir şirket düşünün. Çalışanlara ait bilgiler bir USB belleğe kaydediliyor. İçinde maaş bilgileri, telefon numaraları, kimlik detayları ve performans notları var. Bu bellek bir gün kayboluyor.

İlk tepki genellikle şu oluyor: “Ufak bir aksilik.”

Ama sonuçlar hiç de ufak olmuyor.

• Yasal yaptırımlar ve yüksek para cezaları
• Olası tazminat davaları
• En önemlisi ise geri kazanılması çok zor olan güven kaybı

Çalışanların ve müşterilerin zihninde tek bir soru kalıyor:
“Bizim bilgilerimiz gerçekten güvende mi?”

İşte KVKK tam da bu noktada devreye girer. Sadece bir uyum zorunluluğu değil, kurumların güven inşa etmesini sağlayan temel bir sistemdir.

Açık Rıza Gerçekten Açık mı?

Modern dijital dünyada en sık karşılaşılan durumlardan biri de “açık rıza” ekranlarıdır. Yeni bir uygulama indiriyorsunuz veya bir sosyal medya platformuna kayıt oluyorsunuz. Karşınıza uzun bir izin listesi çıkıyor:

• Rehbere erişim
• Konum takibi
• Fotoğraflara tam erişim
• Mikrofon kullanımı

Altında ise küçük bir ifade: “Devam etmek için kabul etmelisiniz.”

Peki burada gerçekten özgür bir seçim var mı?

Bir platformun yalnızca arkadaş önerisi sunabilmek için tüm rehberinize erişmesi gerçekten gerekli mi?

KVKK bu konuda çok net bir sınır çizer: Açık rıza, bilgilendirilmiş, özgür iradeyle ve belirli bir amaç için verilmiş olmalıdır. Zorlama, yönlendirme veya “ya kabul et ya kullanma” mantığı gerçek anlamda açık rıza değildir.

Dahası, bireylerin verdikleri rızayı istedikleri zaman geri çekme hakkı da vardır.

Kanun Ne Söylüyor? Aslında Çok Basit

KVKK’nın özü karmaşık maddelerden ibaret değildir. Temel prensip oldukça nettir:

Doğru veriyi, doğru sebeple, doğru süre boyunca işle.

Bunun yanında bazı temel ilkeler vardır:

• Şeffaf ol
• Gereksiz veri toplama
• Veriyi güncel tut
• Amacı biten veriyi sil
• Güvenliği hem teknik hem idari olarak sağla

Kısacası: Veriye sahip değiliz, veriden sorumluyuz.

Bu Bir Kültür Meselesi

KVKK uyumu yalnızca belgelerle, klasörlerle veya web sitelerine eklenen gizlilik metinleriyle sağlanmaz. Bu, bir kurumun tüm yapısına işlemesi gereken bir kültürdür.

Bu kültür şu soruyla başlar:
“Bu veriyi gerçekten toplamak zorunda mıyım?”

Ve şu alışkanlıklarla devam eder:

• Şeffaf veri envanteri oluşturmak
• Çalışanları düzenli olarak eğitmek
• Gereksiz veriyi hiç toplamamak
• Saklama süresi dolan veriyi güvenli şekilde imha etmek
• Veri ihlali yaşandığında şeffaf olmak ve gizlememek

Bu yaklaşım sadece hukuki bir zorunluluk değil, aynı zamanda bir markanın güvenilirliğini ve karakterini belirleyen en önemli unsurlardan biridir.

Sonuç: Dijital Dünyada Güven En Değerli Varlık

Dijital çağda veri artık yeni petrol değil, doğrudan kimliğimizdir. Bu nedenle veriyi korumak sadece teknik bir görev değil, aynı zamanda etik bir sorumluluktur.

KVKK, kurumlara bir yük değil; doğru yönetildiğinde güven inşa eden güçlü bir çerçevedir. Çünkü unutulmamalıdır ki:

Veri güvenliği sağlanmadığında, en büyük kayıp yalnızca bilgi değil, güvendir.

Didem TÜRKMEN – Siber Güvenlik Uzmanı