TEKNOLOJİ

DigitalAge | 23.02.2021 - 11:36

Geçtiğimiz yıl bilişim hukukunda yaşanan gelişmeler

Sosyal medya ile kişisel verilerin korunmasına ilişkin düzenlemeler ve yaptırımlar başta olmak üzere 2020’de bilişim hukukunda yaşanan gelişmeleri bu yazıda derledik.

2020’nin konusu herkes için Covid-19 salgınıydı. Salgınla birlikte uzaktan çalışma, uzaktan erişim ve dijital hizmetlerin önemi yadsınamaz şekilde kendini gösterdi. Bu bağlamda girişim ve bilişim hukuku dünyasında da birçok gelişme oldu. Aynı şekilde, kişisel verilerin korunmasına ilişkin düzenlemeler ve yaptırımlar da 2020’nin en çok konuşulanlarındandı. 2020’de bilişim hukukundaki değişiklikleri bu yazıda bir araya getirdik.

Uzaktan çalışma kavramı, ‘Freelancer’ dünyasını aştı

Covid-19 salgını sebebiyle birçok iş kolu ve iş yeri, bugüne kadar hiç antrenmanlı olmadığı uzaktan çalışma sistemine geçti veya en azından geçmeyi denedi. Bu kapsamda pek çok iş yeri çalışma saatlerinin bir bölümünün iş yerinden uzakta da verimli şekilde geçirilebileceğini fark etti; hatta bu farkındalık bazı şirketler için o denli büyüktü ki, bu şirketler fiziksel ofislerini küçülttü veya bazı departmanları tamamen ‘ev-ofis’ çalıştırma düzenine dahi geçtiler. Bunun temel sebebi ise uzaktan çalışırken de fiziksel iş yeri imkânlarının çalışanlar için ulaşılabilir kılınmasıydı. Bu durum, uzaktan çalışma sistemini verimlileştiren her türlü dijital imkânın ve dijital hizmetin değerinin ve öneminin anlaşılmasını da sağladı. Dolayısıyla 2020, her ne kadar yeni girişimler için fazlaca uygun bir sene olmadı ise de dijital hizmet sunan birçok girişimin altın yıllarından biri oldu diyebiliriz.

Kişisel verilerin korunması gündemden düşmedi

Kişisel Verilerin Korunması Kanunu’nun (KVKK), veri sorumluları için getirdiği yükümlülüklerden birisi de Veri Sorumluları Sicili’ne (VERBİS) kayıt yükümlülüğüdür. Hatırlanacağı üzere, çeşitli sebeplerden ötürü VERBİS kayıt yükümlülüğü son tarihi 2019 yılından bu yana birçok kez ertelendi. VERBİS kayıt yükümlülüğü için son tarih 30 Eylül 2020 olmasına rağmen Kişisel Verileri Koruma Kurulu (Kurul), 01 Ekim 2020 tarihinde; VERBİS kayıt yükümlülüğünü yerine getirmemiş olan veri sorumlularına bir yazı iletilmesine, bu yazıyla veri sorumlularına tanınan süre içerisinde VERBİS kayıt yükümlülüğünün yerine getirilmesi gerektiğine dair bir karar yayımladı. Kurul, bu kararıyla bir nevi VERBİS kayıt yükümlülüğüne ilişkin son tarihin ‘de facto’ olarak uzatılmasına karar vermiş oldu.

2020 yılında gündemden düşmeyen konularından bir diğeri de kişisel verilerin yurt dışına aktarımıydı. KVKK uyarınca, yurt dışına aktarım için (i) ilgili kişilerden açık rıza alınması, (ii) açık rıza alınmasını gerektirmeyen bir hukuki sebep varsa Kurul’dan yurt dışındaki veriler bakımından yeterli bir korumanın sağlanacağına dair yazılı taahhüt ile Kurul’dan izin alınması gerekir. Kurul 26 Ekim 2020 tarihinde bir duyuru yayımlayarak yurt dışına aktarıma ilişkin açıklamalarda bulundu. Kurul, veri sorumlularının yalnızca Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi’ne (108 Sayılı Sözleşme) dayanarak yurt dışına veri aktarmasının tek başına yeterli olmayacağını belirtti. Duyuruda, 108 Sayılı Sözleşme’ye taraf olan ülkelerin güvenli sayılmasının ve başka bir ek şart aranmaksızın verilerin bu ülkelere aktarılmasının; Kişisel Verileri Koruma Kurumu tarafından güvenli ülke statü tayini için yeterli sayılmayacağı da vurgulandı. Bu duyuru ile Kurul, veri sorumlularının yazılı bir korumayı taahhüt etmeleri gerektiğini ve Kurul’un yurt dışına aktarım için veri sorumlularına izin vermesi yönteminin benimsenmesini istediğini açıkça belirtmiş oldu.

2020 yılında kişisel veriler, Türkiye gündeminde olduğu kadar Avrupa gündemindeki yerini de korudu. Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) kapsamında birçok Avrupa ülkesindeki veri koruma otoritesi, kişisel veri ihlallerine ilişkin idari para cezalarına hükmetti. Bilindiği üzere GDPR kapsamında, kişisel veri ihlalinin mahiyetine göre 20 milyon Euro ya da şirketin yıllık küresel cirosunun yüzde 4’üne tekabül eden meblağdan hangisi daha yüksekse, o meblağa kadar idari para cezasına hükmedilebilmekte. Avrupa veri koruma otoriteleri ise kişisel verilerin korunmasının önemini ve ihlallerin niteliğini dikkate alarak rekor cezalar düzenliyor. 2020 yılındaki en yüksek idari para cezası ise çalışanların hukuka aykırı şekilde izlenmesi nedeniyle, H&M hakkında 35 milyon Euro ile Hamburg Veri Koruma Otoritesi tarafından düzenlenen ceza oldu. Varılmak istenen nokta dolayısıyla, kişisel verilerin korunmasına ilişkin yükümlülüklere uyulmamasının devam etmesi halinde rekor tutarlarda cezalara hükmedilmeye devam edeceğini düşünüyoruz.

2020 yılında, Avrupa Birliği hukukunun adeta yeniden yazılmasına olanak sağlayacak iki yeni yasa teklifi de Avrupa Komisyonu’na sunuldu. Dijital servislerin yönetişimine ilişkin kurallar içeren Dijital Servis Yasası ve Dijital Market Yasası’nın temel amaçlarından biri, çevrimiçi alışveriş platformları, içerik paylaşım platformları gibi çevrimiçi platformlar kapsamındaki dijital servisleri kullanan kişilerin temel hak ve özgürlüklerin korunduğu bir dijital ortam yaratmak. Bir diğer amaç ise, Avrupa pazarındaki ve global seviyedeki inovasyon, gelişme ve rekabetin teşvik edileceği bir alan yaratılması. Her iki teklif de henüz Avrupa Komisyonu’nda, ancak her ikisinin de küçük değişikliklerle Avrupa Komisyonu tarafından onaylanması bekleniyor.

Ticari İleti Sistemi ve İYS A.Ş. hayatımıza girdi

Ticari elektronik iletiler, Elektronik Ticaretin Düzenlenmesi Hakkında Kanun ve Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik (Yönetmelik) ile 2015 yılından bu yana hayatımızda. Bununla birlikte, 4 Ocak 2020 tarihinde yayımlanan Ticari İletişim ve Ticari Elektronik İletiler Hakkında Değişiklik Yapılmasına Dair Yönetmelik (Değişiklik Yönetmeliği) ile bu alanda esaslı değişiklikler ve düzenlemeler yapıldı. En önemli düzenleme ise şüphesiz Ticari Elektronik İleti Yönetim Sistemi’nin (İYS) ve bu sistemi yönetecek olan İYS A.Ş.’nin kurulması oldu.

Değişiklik Yönetmeliği ile ticari iletilere dair bir sistem kurulması ve tüm sistemin İYS üzerinden takip edilmesi amaçlanıyor. Bu kapsamda, ticari ileti göndermek isteyenlerin, öncelikle İYS’ye kaydolması gerekiyor. Yönetmelik’te sayılan yöntemlerin yanı sıra İYS üzerinden de ticari iletilere ilişkin onay alınabiliyor. Ayrıca, İYS üzerinden alınmayan onayların ve ticari ileti ret bildirimlerinin üç iş günü içerisinde İYS’ye kaydedilmesi gerekiyor. Buna göre İYS’ye kaydedilmeyen onaylar geçersiz kabul edilecek ve İYS üzerinde onayı bulunmayan alıcılara ticari elektronik ileti gönderilemeyecek. Bu sayede ticari elektronik iletilerin İYS üzerinden takip edilmesinin sağlanması amaçlanıyor.

İYS’ye kayıt yükümlülüğü kapsamında son kayıt tarihi de 2020 yılında birkaç kez ertelendi. Son kayıt tarihi olarak belirlenen 1 Aralık 2020, 30 Kasım 2020 tarihinde Ticaret Bakanlığı tarafından yapılan açıklama ile 150 binden fazla ticari elektronik ileti onayı olan hizmet sağlayıcılar için onay yükleme son tarihi olarak 31 Aralık 2020 tarihine ertelendi. 150 bin veya 150.000’den az ticari elektronik ileti onayı olan hizmet sağlayıcılar için ise son tarih 31 Mayıs 2021 tarihine ertelendi.

5651 sayılı İnternet Kanununda önemli değişiklikler yapıldı

2020 yılında yaşanan en önemli gelişmelerden bir diğeri, 31 Temmuz 2020 tarihinde 5651 sayılı İnternet Kanunu’nda (İnternet Kanunu) yapılan değişiklikler.

Bu değişiklikler ile ‘sosyal ağ sağlayıcı’ kavramı Türk hukukuna girdi. İnternet Kanunu’nda sosyal ağ sağlayıcı, “sosyal etkileşim amacıyla kullanıcıların internet ortamında metin, görüntü, ses, konum gibi içerikleri oluşturmalarına, görüntülemelerine veya paylaşmalarına imkân sağlayan gerçek ve tüzel kişiler” şeklinde tanımlandı. Bu tanımın mevzuata girmesiyle birlikte sosyal medya platformları, yer sağlayıcılık veya içerik sağlayıcılık sıfatlarına ek olarak sosyal ağ sağlayıcılık sıfatına da sahip olabilecek. Ayrıca sosyal medya platformlarının, sosyal ağ sağlayıcılığı kapsamında yeni yükümlülükleri de olacak. Türkiye’de günlük erişimi bir milyondan fazla olan yurt dışı kaynaklı sosyal ağ sağlayıcılarının, yükümlülüklerini yerine getirdiğinin temini için en az bir gerçek veya tüzel kişiyi Türkiye’de temsilci olarak belirlemesi gerekiyor. Bu yükümlülüğün yerine getirilmemesi halinde ise sosyal ağ sağlayıcılarına (i) idari para cezası, (ii) internet trafiği bant genişliğinin yüzde 50 daraltılması ve (iii) önceki yaptırımlara rağmen bu yükümlülüğün yerine getirilmemeye devam edilmesi halinde ise trafiği bant genişliğinin yüzde 90 daraltılması şeklinde yaptırımlar uygulanabilecek. Bu kapsamda Türkiye’de sosyal ağ sağlayıcı sıfatını haiz birçok büyük şirketin Türkiye’de temsilcilik açıp açmayacağı gündeme geldi ve bazı büyük sosyal medya platformları Türkiye’de temsilcilik için başvurularını gerçekleştirdi.
İnternet Kanunu’nda yapılan önemli değişikliklerden başka biri ise yurt dışı merkezli süjeler için Bilgi Teknolojileri ve İletişim Kurumu (BTK) tarafından elektronik tebligat yapılabileceği yönteminin benimsenmesidir. Değişiklikler sayesinde BTK, İnternet Kanunu’na tabi olan yurt dışında yerleşik süjeler hakkında düzenleyeceği idari para cezalarını, doğrudan muhataba elektronik posta veya diğer iletişim araçlarıyla tebliğ edebilecek. Bildirimin yapıldığı tarihi izleyen beşinci günün sonunda ise tebligat, Tebligat Kanunu uyarınca geçerli olarak yapılmış sayılacak. Bu değişiklikle BTK’nın yaptırımlarının uygulanabilirliği kolaylaşacak.

Bunlar yanında, GDPR’da düzenlenen ‘unutulma hakkı’, bugüne kadar Türk mevzuatında açıkça düzenlenmemişti. Yargıtay’ın çeşitli kararlarında dikkat çektiği unutulma hakkı, İnternet Kanunu’nda yapılan değişiklikler ile dolaylı da olsa mevzuatımıza girdi. Bu İnternet Kanunu’ndaki değişiklik ile kişilik hakkı ihlal edilen kişiye; haklarını ihlal eden internet siteleri ile isminin ilişkilendirilmesinin engellenmesini talep edebilme hakkı tanındı. Böylece mahkemenin başvuru yapan kişi lehine karar vermesi halinde kişi, bahse konu site ile ilişkilendirilmeyecek ve bu sayede unutulma hakkını kullanmış olacak.

Elektronik Kimlik Doğrulama Sistemi hayatımıza girdi

22 Ekim 2020 tarihinde yayımlanarak aynı gün yürürlüğe giren T.C. Kimlik Kartı Elektronik Kimlik Doğrulama Sistemi Yönetmeliği (Yönetmelik), dijitalleşme anlamında önemli adımlardan bir diğeri. Yönetmelik uyarınca, kimlik kartlarının, elektronik kimlik doğrulama işlemlerinde kullanılabilmesini sağlayan bir sistem (EKDS) kurulacak. EKDS’de kimlik doğrulama işlemiyle, kimlik kartını ibraz eden kişinin; kimlik doğrulama sertifikası, PIN, biyometrik veri, dijital fotoğraf veya kartın fiziksel güvenlik öğeleri kullanılarak doğrulanması ve geçerlenmesi sağlanacak. Yönetmelik, kimlik doğrulama hizmet sağlayıcısı, elektronik sertifika hizmet sağlayıcısı, kart erişim cihazı üreticisi gibi EKDS kapsamında görev alacak birçok süjeyi de tanıtıyor. Ayrıca, kimlik doğrulama işlemleri gerçekleştirilirken Yönetmelik’te detaylandırılan yöntemler kullanılacak.

İnternet alan adı tahsis yetkisi BTK’ya geçti

Orta Doğu Teknik Üniversitesi (ODTÜ) 1991 yılından beri Türkiye’de Nic.tr sistemi aracılığıyla, ICANN ve IANA rehberliğinde “.tr” uzantılı alan adlarının tahsis ve işlemlerini “Kayıt Otoritesi” sıfatıyla yönetmekteydi. 12 Aralık 2018 tarihinde imzalanan sözleşme ile ‘.tr’ uzantılı alan adlarına ilişkin Kayıt Otoritesi yetkisi BTK’ya devredildi. Bu sözleşmeyle internet alan adları için ‘.tr Ağ Bilgi Sistemi’nin (TRABİS) kurulması ve Ağustos 2020 itibariyle bu sistemin faaliyete geçmesi düzenlendi. Ağustos 2020 itibariyle, internet alan adı tahsisine ve mevcut alan adlarının yenilenmesine ilişkin işlemler TRABİS üzerinden geçekleştiriliyor.

Finans teknolojilerindeki gelişmeler desteklendi

Dijitalleşme, finans sektöründe yeni kripto para türlerinin ortaya çıkmasına, çok bilinenlerinin ise iyice değerlendirilmesine imkân sağladı. Bilindiği üzere, BTK ise Türkiye’de de kripto para kullanımına ilişkin regülasyonların düzenlenmesi amacıyla çalışmalara başladı. Bu kapsamda, BTK Sektörel Araştırma ve Strateji Geliştirme Dairesi tarafından Ağustos 2020 sonunda ‘Kripto Para Araştırma Raporu’ (Rapor) yayımlandı.

Raporda, dijital para kavramı, kripto para teknolojisine temel oluşturan blockchain ve dağıtılmış defter teknolojilerinin teknik özellikleri, kripto paranın kullanım alanları gibi pek çok konuda genel bilgilendirme yapılıyor. Raporun sonuç bölümündeyse BTK’nın kripto paraya ilişkin resmi olmayan değerlendirmesi yer alıyor. Kripto paraların; pek çok devlette yasal hale getirilmeye çalışılmasını, adem-i merkeziyetçi yapısını ve kriptografik koruma sayesinde güvenilir olmasını dikkate alarak BTK’nın kripto para kullanımına olumlu yaklaştığı sonucu çıkarılabilir.

Ayrıca raporda, 2019 yılında yürürlüğe giren 11. Kalkınma Planı kapsamında Türkiye Cumhuriyeti Merkez Bankası tarafından yerli kripto para birimi çıkartılacağına ve Sermaye Piyasası Kurulu’nun kripto paralar ile ilgili düzenleme ve denetleme çalışmalarının gelecekte kripto para piyasasındaki büyümeyi destekleyici nitelikte olacağı öngörüsüne de vurgu yapılıyor. Bu gelişmelerin, kripto para düzenlemelerinin hiç de uzak olmadığı şeklinde yorumlanması mümkün.

Av. Görkem Gökçe