Türkiye’nin dijital dönüşüm yolculuğunda önemli bir adım olan 6698 sayılı Kişisel Verileri Koruma Kanunu’nda (KVKK) yapılan son değişiklikler, Microsoft’un Türkiye’de sunduğu bulut hizmetlerini nasıl etkiledi? Microsoft Türkiye Genel Müdürü Levent Özbilgin ve Microsoft Türkiye Hukuk Direktörü Oğuzhan Aslan ile, Türkiye’deki kurum ve işletmelerin kişisel verileri yurt dışına güvenli bir şekilde aktarabilmeleri için atılan adımları ve Microsoft’un bu konudaki stratejisini konuştuk.
6698 sayılı Kişisel Verileri Koruma Kanunu’nda (KVKK) yapılan son değişiklikler Türkiye’nin dijital dönüşüm yolculuğunda büyük bir adım. Türkiye’nin veri koruma standartlarını uluslararası düzeye çıkararak küresel rekabet gücünü artırıyor. Türkiye, güncel, Avrupa Birliği ile ve dünyanın geri kalanıyla harmonize edilmiş, eş güdümlü bir kanun paketi ile uluslararası standartlara uyum sağlıyor.
Verinin serbest dolaşımı çok önemli!
Kişisel verilerin yurt dışına aktarımı ve Microsoft’un bu alandaki uyum stratejisini değerlendiren Microsoft Türkiye Genel Müdürü Levent Özbilgin, “Günümüz bilişim dünyasında verinin dolaşımı çok önemli bir konu. Artık bilişim sistemleri tek bir lokasyon, tek bir paket içinde değil, sınırların ötesinde çalışan, muazzam bir global girişimi, bilişim dokusu içinde çalışan bulut sistemleri üzerinde çalışan bir küresel sistem” diyerek günümüzün bilgi sistemlerinin globalleşmesine dikkat çekiyor.
Microsoft’un bulut sistemleri, bu globalleşen dünyada güvenli veri akışı için önemli bir çözüm sunuyor. Özbilgin, “Aslında biz küresel bir bilgisayardan bahsediyoruz. Küresel bir bilgisayar sisteminden bahsedince de bu bilgisayar sisteminde işlenmesi gereken veriler var” diyerek kişisel verilerin bu sistemlerdeki yerini açıklıyor.
Kişisel veriler hangi koşullarda yurtdışına çıkarılacak?
Kişisel verilerin işlenmesi için yurt dışına aktarılması gerektiğinde, KVKK’nın getirdiği yeni kurallar devreye giriyor. O verilerin de işlenmesi için, o veri hangi koşullarda, hangi şartlarda, ne zaman ve nasıl yurt dışına çıkabilir? Bunun için kimlerin, hangi kişilerin, hangi kurumların rızası alınması lazım? Ve o rıza hangi koşullar altında alındıktan sonra o veriye ne yapılacak? Nasıl korunacak? Sorularını Microsoft, “kontrollü, uyumlu, gizli ve şeffaf” olmak üzere dört temel bulut güvenliği prensibine dayalı olarak cevaplıyor. Microsoft Türkiye Hukuk Direktörü Oğuzhan Aslan, “Biz ve bizim gibi faaliyette bulunan bilişim firmalarının aslında temel prensiplerinden bir tanesi veri. Verinin korunması bir insan hakkı. Mahremiyet bir insan hakkı. Eğer biz verimizi bir kişiye veya bir kuruma teslim ediyorsak bunun nasıl korunduğunu, nerelere, hangi şartlar altında transfer edildiğini şeffaf bir şekilde bilmek zorundayız” diyerek Microsoft’un prensiplerini açıklıyor.
GDPR’ye göre tasarlanan bulut hizmetleri KVKK ile uyumlu hale getirildi
Microsoft Türkiye Hukuk Direktörü Oğuzhan Aslan, Microsoft’un bulut hizmetlerinin GDPR’ye göre tasarlandığını ve KVKK ile uyumlu hale getirildiğini belirtiyor. “Microsoft aslında bütün bulut altyapısını buna göre dizayn etmekte. Mahremiyet bir insan hakkıdır prensibinden de, düsturundan da hareketle aslında bu dört temel güvenli bulut prensibine dayanarak bu sistemleri oluşturdu.” diyerek Microsoft’un uyum sürecini anlatıyor.
Kontrollü: Buluttaki verilerin kontrolü tamamen müşteriye ait.
Uyumlu: Bulut sistemleri özellikle veri koruma düzenlemelerine uyumlu olacak şekilde tasarlanıyor.
Gizli: Microsoft, bulut sistemlerinde muhafaza edilen kişisel verilerin mahremiyetini korumak için teknik ve idari tedbirler alıyor.
Şeffaf: Microsoft, buluttaki müşteri verilerine erişim konusunda şeffaf davranarak, herhangi bir erişim talebini müşteriye bildiriyor.
Türkiye’deki kurum ve işletmelere uyum sürecinde nasıl destek verilecek?
Microsoft sistemleri zaten 2018’de Avrupa Birliği’nin ilan ettiği GDPR yani Kişisel Verileri Koruma çerçevesine uygun geliştirildiği ve sürekli denetlendiği için Microsoft bulut müşterilerinin teknik olarak bu verilerin saklanması, Microsoft sistemlerinde işlenmesi ile ilgili ekstra bir teknolojik adım atmasına gerek yok. Sözleşmesel olarak ise müşterilerim zaten kanuna uygun olarak yurt dışına çıkartmak istedikleri veriler konusunda Microsoft ile olan sözleşmelerine güncellemeleri gerekiyor. Bunun için ne yapmaları lazım? Hukuk birimlerinin Microsoft ile zaten hali hazırda imzalamış olduğu standart kontratları bir de standart KVKK’nın zaten yayınlamış olduğu ve Microsoft’un da kendi kontratlarına kendi sözleşmelerine olduğu gibi hiçbir değişiklik olmadan eklediği eki de imzalamaları gerekiyor. Bundan sonra da bu imzaladıkları dokümanı da kuruma ibraz ederek işlemlerine devam edebiliyorlar.
Uluslararası şirketler Türkiye’ye gelir mi?
KVKK uyumunun uluslararası şirketleri Türkiye’ye çekmesi ve dijital dönüşümü hızlandırması bekleniyor. Yurt dışındaki firmalar, KVKK uyumu nedeniyle Türkiye’de faaliyet gösteremeyen veya bazı sistemlerinin kullanılmasına imkan bulamayan firmalar, Microsoft’un bulut hizmetini kullanan bu firmaların, bu yeni değişikliklerle Türkiye’ye gelmesinin önü açılıyor.
Microsoft Türkiye Genel Müdürü Levent Özbilgin, “Türkiye’nin özellikle bilişim dünyasında, küresel bilişim pazarındaki hakimiyetini de yere gelmesi açısından bu çok olumlu bir gelişme ve gerçekten şu anda uluslararası müşterilerimiz de Türkiye’de faaliyetlerini büyütmek isteyen, Türkiye’de yeni faaliyetler açmak isteyen uluslararası şirketler için büyük bir fırsat olduğunu düşünüyoruz. Yılın sonunda mı? Hayır fakat çok güzel bir başlangıç yaptık fakat daha fazla bulut hizmetlerinin özellikle çok kompleks ve şu anda dünya çapında en büyük etkisi olacağını düşündüğümüz yapay zeka gibi büyük bulut hizmetlerinin doğrudan Türkiye içinde çalışabilmesi için daha fazla özellikle regülatif anlamda almamız gereken bir rol olduğunu düşünüyoruz. Bu konuda da biz kamu paydaşlarımızla mümkün olduğu kadar elimizdeki bilgileri paylaşıyoruz, deneyimimizi paylaşıyoruz. Şu anda dünyadaki yapay zeka dönüşümü, yapay zeka ve yapay zeka üzerinde geliştirilen servislerin faydaları konusunda oldukça fazla bizim elimizde veri var ve bu gibi servislerin doğrudan Türkiye’den sağlanması için yapılması gereken ek regülatif konularda da özellikle sektörel anlamda, çünkü kimi sektörlerin veri regülasyonları standart regülasyonlardan daha da farklı olabiliyor. Biz de bunun sektörel iz düşümlerini tek tek analiz ederek bunu paydaşlarımızla paylaşıyor ve mümkün olduğu kadar Türkiye’nin bu konuda da uluslararası standartlarla eş güdümlü olarak gitmesini sağlamaya çalışıyoruz” diyor.