Dijital dünyanın sağladığı en büyük avantajlardan biri kullandığımız elektronik cihazların küçülmesi oldu. Bulut ve benzeri ortamların yaygınlaşmasıyla da verilerin saklandığı ve ortak çalışmayı mümkün kılan alanlara hızlı erişim imkânına sahip olduk. Bunlar da beraberinde mekândan bağımsız çalışmayı olanaklı hale getirdi. Teknolojinin gelişiminin bir sonucu olarak birçok şirket artık çalışanlarına en az biri bilgisayar olacak şekilde cep telefonu, tablet gibi şirket cihazları sunuyor. Şu anda bir şirket telefonu, iki şirket bilgisayarı ve bir sunucuyla şirket cihazı sayısında başı çekenlerden biri ben olabilirim. Bu avantajı kullanmak isteyen şirketlerin çalışanlarına ağırlıklı olarak laptop gibi taşınabilir cihazları temin ettiğini söylememiz mümkün.
Bu durum her ne kadar işimizi kolaylaştırsa da zaman zaman sıkıntılı durumlara da sebep olabiliyor. Dünyanın birbirine en uzak iki noktası arasında milisaniyeler içinde veri transferi yapabiliyoruz. Bu kolaylık ise gerek iş yerlerinin aldıkları önlemler gerekse başka sebeplerle birleşince kişisel verilerimiz ve işle ilgili verilerin yan yana saklanmasıyla sonuçlanabiliyor.
Artık şirketler, çalışanlarına teslim ettikleri cihazlar için kullanım politikası vb. dokümanlar veya her bilgisayarı açtığımızda karşımıza çıkan messagebox[1] vb. uygulamalarla cihazların sadece iş amaçlı kullanılmasını telkin ediyorlar. Bizlerse bu uyarılara rağmen pratikliğin de bir sonucu olarak işle ilgili cihazları kişisel konular için kullanmaya ve özel hayatımıza kadar uzanan kişisel verileri iş için kullandığımız cihazlarda saklamaya devam edebiliyoruz.
Peki, bu durum neden sorun teşkil ediyor?
Bütün veriler şirket bilgisayarında mutlu ve huzurlu bir şekilde depolanırken ve işlenirken sorun ne olabilir? Bu sorunun cevabını, Facebook’un Avrupa Komisyonu ile yaşadığı bir problemi örnek göstererek açıklayabiliriz. Son günlerde belirli yaş aralığında popülerliği biraz azalsa da Facebook günümüzün en çok kullanılan sosyal paylaşım ortamlarının başında yer alıyor. Dolayısıyla, birçok hukuki incelemeye de taraf oluyor.
Bu incelemeler kapsamındaki yerinde incelemeler veya bilgi talepleri sebebiyle oldukça yüklü veriler belirli otoritelerin erişimine açılıyor. Hatta bu veriler zaman zaman ilgili otoritelerle paylaşılıyor. İşte sorun da tam bu noktada başlıyor: Veriler otoritelerle paylaşılırken verilerin kişisel veya işle alakalı olup olmadığını ayırt etmek mümkün olmayabiliyor.
Özel hayatın gizliliği gibi konular birçok ülkede anayasal haklar arasında yer alıyor; ayrıca KVKK ve GDPR gibi düzenlemelerle günden güne daha belirgin bir şekilde regüle edilir hale geliyor. Verilerin otoritelerle ayrıştırılmadan paylaşılması ise bu tarz düzenlemelerin ihlali anlamına gelebiliyor.
Ekibimizin uzmanlık alanına giren rekabet hukuku düzenlemeleri de sık sık benzer tartışmalara sahne oluyor. Ülkemizde yıllardır beklenen kanun değişikliği sonrasında Rekabet Kurumu personeline dijital verileri inceleme ve kopyalama yetkisi verildi. Kurum personelinin bu yetki dâhilindeki hakları da geçtiğimiz ay yayımlanan kılavuz[2] ile biraz daha belirginleşti. Konuyla ilgili olarak en çok sorulan sorulardan biri olan kişisel cep telefonlarının ve diğer mobil iletişim cihazlarının yerinde inceleme kapsamında incelenip incelenemeyeceği konusu da cevap bulmuş oldu.
Problem ortada, peki çözümü var mı?
Kişisel verilerimizi içeren ortamların incelenmesi talep edildiğinde göstereceğimiz ilk tepki biraz da refleks olarak olumsuz oluyor. Kılavuzda, bu tür cihazların hızlı bir gözden geçirme işlemi sonrasında işle ilgili kullanıldığının tespit edilmesi durumunda inceleme kapsamına dâhil edilebileceği belirtiliyor. Kılavuzda ayrıca, yerinde incelemenin teşebbüs sınırlarında tamamlanmasının öngörüldüğü bilgisi paylaşılırken gerekmesi durumunda verilerin taşınabilir depolama cihazlarına kopyalanıp mühürlenerek incelenmek üzere Kurumun Ankara’daki adli bilişim laboratuvarına götürülebileceği söyleniyor. Taşınabilir iletişim cihazları ise bu duruma istisna teşkil ediyor. Bu cihazların incelemesi teşebbüs sınırlarında tamamlanacak ve incelemede tespit edilen veriler dışındaki hiçbir veri teşebbüs sınırları dışına çıkarılmayacak.
Taşınabilir iletişim cihazları konusunda durum biraz daha net. Kurum tarafından alınan diğer veriler içinse bir çözüm sunuluyor. Mühürlü olarak alınan depolama cihazları açılacağı ve inceleneceği zaman Kurum tarafından ilgili teşebbüslere incelemeye eşlik etmesi amacıyla bir temsilci göndermesi için davet yollanacak. İnceleme de bu temsilci nezaretinde gerçekleşecek. Uygulama şu anda AB tarafından uygulanana paralellik göstermekle birlikte Facebook dosyasındaki çözüm biraz daha farklı.
Verilerin incelenebilmesi için dosyayla ilgili hâkimlerden birinin yönlendirmesiyle sanal bir ortam yaratılmış. Bunun için son yıllarda özellikle şirket satın alımları ve birleşmelerinde tercih edilen sanal veri odası (virtual data room)[3] kullanılmış. Yüklü miktarda verinin aynı anda incelenmesini sağlayan, ayrıca verilere erişimi de kontrol altında tutmanızı mümkün kılan bu uygulamaya hem Facebook temsilcilerinin, hem de otorite personelinin erişimine izin verilmiş. Buradaki önemli husus ise verilere erişimin sadece otoritenin belirli personeline açılmış olması. İki tarafın dokümanın içeriği konusunda uyuşmazlığa düşmesi durumunda ise hakemlik edecek bir çözüm mekanizması oluşturulmuş.
Bu çözümün bir standart oluşturup oluşturmayacağı konusunda henüz bir bilgi yok fakat tarafların itibarı ve benzer sorunların birçok farklı coğrafyada ve kanun kapsamında yaşandığı göz önünde bulundurulduğunda diğer incelemelere/soruşturmalara örnek olması gayet mümkün. Rekabet Kurumunun ve diğer rekabet otoritelerinin konuyu nasıl çözeceğini biz de yakından takip ediyoruz. Gelişmeleri sizlerle farklı kanallarda paylaşmaya devam edeceğiz.
[1] Kullanıcıya bilgi iletilmesini ve yanıt alınabilmesini sağlayan küçük bir pencere biçimindeki yazılım birimi.
[2] Detaylı bilgi için https://www.rekabet.gov.tr/Dosya/kilavuzlar/yerinde-inceleme-kilavuz1-20201009091644514-pdf
[3] Birden fazla tarafın paylaşımına ve incelemesine konu olan dijital belgelerin saklanması, dağıtımı ve işlenmesi için kullanılan çevrimiçi bir veri saklama alanı.
