Dijital dönüşümde insan haklarını güvence altına almak için bir adım öne çıkın

Kişisel verilerin korunması, verilerle ilgili temel insan hak ve özgürlüklerinin korunmasıdır.

Hükümet , 17 Nisan 2023 tarihinde, kişisel veri haklarını koruma, kişisel veri ihlali eylemlerini önleme, bireylerin ve kuruluşların hak ve çıkarlarını etkileme gerekliliklerini karşılayan, 1 Temmuz 2023 tarihinden itibaren yürürlüğe giren kişisel verilerin korunmasına ilişkin 13/2023/ND-CP sayılı Kararnameyi (Kararname) yayınladı.

Önemli Noktalar

Kararname, kişisel verilerin korunmasını ve ilgili kurum, kuruluş ve kişilerin kişisel verileri koruma sorumluluğunu düzenleyen hukuki bir belgedir.

Kişisel verilerin korunması, öncelikle veriyle ilgili temel insan hak ve özgürlüklerinin korunmasıdır. Kişisel Verilerin Korunması Hakkında Kanun Hükmünde Kararname hükümleri, yürürlükteyken her bireyin kişisel hak ve özgürlüklerinin ihlal edilmesini önlemeyi amaçlamaktadır.

Aynı zamanda kişisel verilerin güvenliği ayrı bir önem taşımaktadır, çünkü verilerin çalınması halinde ekonomik ve sosyal kayıplara, şantaj, dolandırıcılık, malvarlığı gaspı, iftira, şeref ve haysiyete tecavüz, cinsel istismar gibi risklere yol açabilmekte, kurum, kuruluş, işletme ve kişilerin hak ve meşru menfaatlerini doğrudan etkileyebilmekte, maddi ve manevi sonuçlar doğurabilmektedir.

İkinci olarak, kişisel veri sahiplerinin haklarını destekleyin ve saygı gösterin. Kişisel veri sahiplerinin hakları arasında erişim hakkı, kişisel verilerin işlenmesine rıza gösterme veya göstermeme hakkı, bilgilendirilme hakkı ve veri silinmesini talep etme hakkı yer alır.

Ayrıca, veri sahipleri, kişisel verilerinin başkaları tarafından ihlal edilmesine karşı kendilerini koruma hakkına da sahiptir. Veri sahipleri, Kararname hükümlerinin ihlali nedeniyle kişisel verilerinin korunması hakkına zarar verilmesi halinde zararlarının tazminini talep etme hakkına sahiptir. Kararname ayrıca, ilgili kişinin rızası olmaksızın kişisel verilerin toplanmasının, aktarılmasının veya satın alınmasının ve satılmasının hukuka aykırı olduğunu açıkça hükme bağlamaktadır.

Ancak, ilgili kişinin kişisel verilerini koruma hakkı mutlak bir hak olmayıp, kişinin veya başkalarının hayatı ve sağlığının korunması; millî savunma, güvenlik, toplum düzeni ve emniyetine ilişkin acil durumlar; sözleşmeden doğan yükümlülüklerin yerine getirilmesi veya özel kanunlarda öngörülen kamu kurumlarının faaliyetlerinin yürütülmesi gibi acil durumlarda sınırlandırılabilir.

İstisna hükmü, kişi ve kuruluşların haklarının güvence altına alınması, ancak bu hakların kullanılmasında diğer kişi ve kuruluşların meşru hak ve menfaatlerinin veya ulusal çıkarların ihlal edilmemesi ilkesinin uygulanmasını amaçlamaktadır.

Üçüncüsü, kişisel verilerin korunması konusunda uluslararası entegrasyon sürecini teşvik etmek. Kararname, kişisel verilerin korunmasına ilişkin uluslararası uygulama ve düzenlemelerle uyumludur. Birçok gelişmiş ülke, kişisel verilerin korunması konusunu yasallaştırmıştır ve bu, Vietnam'ın inceleme ve referans alma konusunun temelini oluşturmaktadır.

Ayrıca, Vietnam'ın üyesi olduğu veya Vietnam ile işbirliği yaptığı uluslararası kuruluşlar, bilgi ve kişisel verilerin gizliliği ve korunması konusunda sözleşmeler, tavsiyeler ve standartlar yayınlamıştır. Bunlar arasında Ekonomik İşbirliği ve Kalkınma Örgütü'nün (OECD) gizlilik ilkeleri, Avrupa Konseyi'nin bilgi ve kişisel verilerin otomatik işlenmesine ilişkin bireylerin korunmasına ilişkin Sözleşmesi, BM'nin bilgisayarlı kişisel veriler ve bilgi dosyalarına ilişkin yönergeleri, Asya- Pasifik Ekonomik İşbirliği (APEC) Gizlilik Çerçevesi, bilgi ve kişisel verilerin gizliliği ve korunmasına ilişkin uluslararası standartlar (Madrid Kararı), AB Genel Veri Koruma Tüzüğü (GDPR) yer almaktadır.

Ayrıca, ülkemiz ile diğer ülke ve bölgeler arasındaki iş birliğini geliştirme sürecinde, 80'den fazla ülke kişisel verilerin korunmasına ilişkin yasal düzenlemeler yayınlamış olup, bunların birçoğu Vietnamlı kuruluşlar ve bireyler için geçerli hükümler içermektedir. Bu nedenle, kişisel verilerin korunmasına ilişkin özel ve ayrıntılı düzenlemeler, yabancı kişi ve kuruluşlar da dahil olmak üzere Vietnam'da eşitlik ve yasalara saygı ortamı yaratmayı amaçlamaktadır.

Zorluklar

Şu anda Kararnamenin uygulanmasında hala çok sayıda önemli zorluk bulunmaktadır.

Öncelikle, işletme çalışanlarının yönetimindeki zorluklar. Günümüzde birçok işletme, aynı yönetim ekosistemine sahip ana şirket ve bağlı şirket modeli oluşturmakta ve çalışan bilgilerine ortak sistemden kolayca erişilebilmektedir.

Ancak, Vietnam yasalarına göre, her şirket (ana şirketler ve bağlı şirketler dahil) ayrı ve bağımsız bir tüzel kişilik olarak kabul edilir, dolayısıyla aynı ekosistemde yer alan şirketler tarafından, işletmenin iç yönetim sürecine hizmet etmek amacıyla çalışanların kişisel verilerinin aktarılması da işletmenin kişisel verileri koruma sorumluluğunun ihlali olarak değerlendirilebilir.

Öte yandan, hâlihazırda pek çok işletme Kararname’yi uygulamada zorluklarla karşı karşıya olup, çalışanların kişisel verilerinin Kararname’ye uygun şekilde yönetilmesi ve korunmasına ilişkin mekanizma ve düzenlemeleri henüz tamamlamamıştır.

İkinci olarak, kredi kuruluşlarının faaliyetlerine ilişkin yasal düzenlemelerle tutarlı değildir. Şu anda kredi kuruluşlarının faaliyetleri, aşağıdakiler gibi özel yasal düzenlemelerle düzenlenmektedir: 2010 tarihli Kredi Kuruluşları Kanunu (2014'te değiştirilip eklenmiştir); Kara Para Aklamanın Önlenmesine Dair Kanun; kredi kuruluşlarının ve yabancı banka şubelerinin müşteri bilgilerinin gizliliğinin korunması ve ifşa edilmesine ilişkin 117/2018/ND-CP sayılı Kararname; Devlet Bankası'nın bankacılık faaliyetlerinde bilgi sistemlerinin güvenliğini Kanun'un altında bir düzeyde düzenleyen 09/2020/TT-NHNN sayılı Genelgesi.

Öte yandan, bankacılık faaliyetleri açısından veri işleme, kişisel verileri etkilemektedir: Kişisel verilerin toplanması, kaydedilmesi, analiz edilmesi, onaylanması, depolanması, düzenlenmesi, kamuya açıklanması, birleştirilmesi, erişilmesi, geri çağrılması, kodlanması, kodlarının çözülmesi, kopyalanması, paylaşılması, iletilmesi, sağlanması, aktarılması, silinmesi, yok edilmesi veya bunlarla ilgili diğer eylemler, müşterilere hizmet sunmak ve bankacılık faaliyetlerindeki riskleri yönetmek, parasal sistemin emniyetini ve güvenliğini sağlamak için zorunlu olduğundan, kişisel müşteri verilerinin işlenmesine ilişkin birçok faaliyet müşterilerin onayına ihtiyaç duyamaz ve duymazken, Kararname'nin 2. maddesinin 3. fıkrası ve 1. maddesinin 9. fıkrası, diğer Kanunlarda aksi öngörülmediği sürece, kişilerin kişisel verilerinin işlenmesi hakkında bilgi edinme hakkına sahip olduğunu öngörmektedir.

Veya 9. maddenin 2. fıkrasında, ilgili kişinin kişisel verilerinin işlenmesine rıza göstermeme hakkına sahip olduğu; ilgili kişinin, 9. maddede başka bir Kanunda hüküm bulunmayan haller hariç olmak üzere, verileri silme, erişme, verilerin işlenmesinin kısıtlanmasını isteme ve verilerin işlenmesine itiraz etme hakkına sahip olduğu düzenlenmiştir. Dolayısıyla, Kararnamenin tek tip bir yönlendirme olmaksızın katı bir şekilde uygulanması kafa karıştırıcı ve yersiz olacaktır.

Ayrıca, kredi kuruluşları tarafından hizmet ve ürün sunumunun tek bir ürün üzerinde çok sayıda işlemle gerçekleştirilmesi, her bir ürün üzerindeki işlemin çok sayıda farklı adımı içermesi ve çok büyük müşteri dosyalarına ilişkin verilerin toplanması, değerlendirilmesi, analiz edilmesi ve sağlanması ile ilgili olması, Kararnamede Kişisel Veri Sorumlusu ve İşleyicinin her türlü veri işleme faaliyetinde bulunurken tüm işleme süreçlerinde veri sahibinin (müşterinin) onayını almasını (Madde 11) ve veri işleme faaliyetini gerçekleştirmeden önce kişisel veri sahibine bildirimde bulunmasını (Madde 13) zorunlu kılması kredi kuruluşlarının faaliyetleri önündeki bir diğer engel olmaya devam etmektedir.

Ayrıca, kredi kuruluşlarının faaliyetlerine ilişkin bilgi işlem sistemleri ve diğer mevzuat düzenlemelerini Kararname ile uyumlu hale getirmeleri, sözleşme ve anlaşma şablonlarının Kararname ile uyumlu hale getirilmesi zorunluluğu, bankacılık faaliyetleri açısından önemli zorluklar yaratmaktadır.

Üçüncüsü, birçok kişi kişisel verilerinin nasıl korunacağını bilmiyor ve farkında değil, bu nedenle sosyal paylaşım platformlarında kişisel bilgilerini kolayca paylaşıyor ve istemeden de olsa kötü niyetli kişilerin bu bilgileri kötü amaçlar için kullanmasına olanak sağlıyor.

Bazı kişiler, kişisel mahremiyetin sağlanması noktasında kişisel verilerin korunmasının değerini yeterince kavrayamamakta, kişisel bilgilerini paylaşmaktan çekinmekte, bu durum, hem kişisel verilerin korunmasına ilişkin devlet yönetiminin yürütülmesinde hem de kişisel verilerin korunması kanununa aykırılıkların araştırılması ve ele alınmasında yetkililere zorluk çıkarmaktadır.

Ayrıca, kişisel verilerin alım satımı durumu, bilgi sızdırma riski, ekonomik ve sosyal sorunları etkileyen büyük sonuçlar doğurmaktadır. Dolandırıcılık olayları, arama ve mesajlar yoluyla spam reklamlar hala karmaşık olup, insanların hayatlarını etkilemektedir.

Kişisel verilerin güvenliği özellikle önemlidir çünkü verilerin çalınması durumunda ekonomik ve sosyal kayıplara yol açabilir, kurum, kuruluş, işletme ve bireylerin haklarını ve meşru menfaatlerini doğrudan etkileyebilir. (Kaynak: Shutterstock)

Kararnamenin uygulamaya konulması

Vietnam, 70 milyondan fazla kullanıcısıyla dünyanın en yüksek internet geliştirme ve uygulama hızına sahip ülkelerinden biridir. Ülkemiz nüfusunun üçte ikisinden fazlasının kişisel verileri, dijital ortamda ve siber uzayda farklı biçimlerde ve ayrıntı düzeylerinde saklanmış, yayınlanmış, paylaşılmış ve toplanmıştır.

Kararname, dijital dönüşümde insan haklarının sağlanması, kişisel verilerin korunması ve güvenliğinin sağlanması uygulamalarındaki eksiklik ve yetersizliklerin giderilmesi, Vietnam'da kişisel veri işleme faaliyetlerine doğrudan katılan veya bu faaliyetlerle ilgili olan yurt içi ve yurt dışı kurum, kuruluş ve kişilerin sorumluluğunun artırılması yönünde bir atılım niteliğindedir.

Kararnamenin uygulamada gerçekten etkili olabilmesi için aşağıdaki hususlara odaklanılması gerekmektedir:

Öncelikle, işletmelerin çalışan haklarını koruma sorumluluğunu artırın. İşletmeler, işgücü kullanımında çalışanların bilgilerini toplamalı ve saklamalıdır. İşgücü yönetimi amacına hizmet etmek için işverenler ve işletmeler, çalışanlardan çok sayıda kişisel bilgi alır ve yönetir, ancak bilgileri yönetme ve işleme konusunda dikkatsiz davranırlarsa, bu durum öngörülemeyen sonuçlara yol açacaktır.

İşletmelerin Kararnamenin etkilerini dikkatlice incelemeleri ve kapsamlı bir şekilde değerlendirmeleri, kişisel verilerin işlenmesine ilişkin prosedür ve talimatları yeni düzenlemelere uygun olarak derhal gözden geçirmeleri ve güncellemeleri; Kararname hükümlerine dayalı mekanizmalar oluşturmayı ve yönetişim düzenlemeleri oluşturmayı değerlendirmeleri; bu mekanizmaları ve düzenlemeleri işletme süreci boyunca sürdürmeleri ve bunlara uymaları gerekmektedir.

İkinci olarak, kredi kuruluşlarının kredi faaliyetlerindeki zorlukların ortadan kaldırılması . Devlet Bankası'nın, kredi sektöründe kişisel verilerin korunmasına ilişkin ortak yönergeler yayınlamak için ilgili bakanlıklarla, özellikle de Kamu Güvenliği Bakanlığı ile yakın iş birliği içinde olması ve bu sayede hem kredi kuruluşlarının müşteri verilerini koruma konusundaki operasyonel sorumluluklarının artırılmasını hem de özel gereksinim ve görevlerin yerine getirilmesini sağlaması gerekmektedir.

Üçüncüsü, Kararname'nin gerçekten yürürlüğe girmesi için, hukukun yaygınlaştırılması konusunda etkili bir propaganda ve eğitim çalışması yapılması gerekmektedir. Özellikle, Kararname'nin medeni haklara ve insan haklarına saygı ve korumayı en üst düzeyde amaç edinerek yayımlanmasının gerekliliği vurgulanmalıdır. Ve her şeyden önce, kişisel veri sahibi, kişisel verilerin korunması konusunda farkındalığını ve sorumluluğunu tam olarak anlamalı ve geliştirmelidir.