Yrd. Doç. Dr. Türkay HENKOĞLU
Adnan Menderes Üniversitesi Yönetim Bilişim Sistemleri Bölümü Öz
Veri koruma konusu, bilgi güvenliği politikalarında teknik, idari ve hukuksal sorumlulukların sınırlarının belirlenmesinde en zorlu alanı oluşturmaktadır. Bu nedenle, kurumların elektronik bilgi varlıklarının korunmasına ilişkin projelerinde taahhütlerde bulunmaktan kaçındıkları konular arasında yer almaktadır. Her ne kadar son yıllarda bu konuda yapılan çalışmalarla konunun önemine dikkat çekilmeye çalışılsa da, hukuksal çerçevenin daha belirgin hale gelmesi ile birlikte veri korumaya ilişkin sorumlulukların benimsenmeye başlandığı görülmektedir. Ancak bununla beraber, kurumların bu konuya gösterdikleri hassasiyetin en önemli ölçüsü olarak görülen ve kişi hakları çerçevesinde veri sahiplerinin görmeyi arzuladığı aydınlatma yükümlülüğünün yerine getirilmesi konusunda önemli eksiklikler bulunmaktadır. Siber güvenlik, ağ güvenliği vd. teknik alt bilgi güvenliği önlemlerini öne çıkaran kurumların, veri koruma hukuku çerçevesinde yerine getirmek zorunda olduğu bilgilendirmeyi yapmadıkları görülmektedir. Bu durum bilgi güvenliği zincirinin önemli halkalarından biri olan veri koruma konusunda uygulama eksikliklerinin bulunduğunu göstermektedir. Aydınlatma yükümlülüğünün yerine getirilmesi hukuksal bir zorunluluk olmanın yanı sıra, veri sahiplerinin ilgili kuruma olan güvenlerinin artmasını sağlamaktadır. Aynı zamanda, hangi verileri topladığını, bunları nasıl kullandığını ve veri sahiplerinin veri toplama, depolama ve işleme eylemlerini etkilemek açısından sahip oldukları seçenekler hakkında bilgilendirme yapan kurumların, kişisel verilerin korunmasına yönelik vermiş olduğu öneme ve almış oldukları güvenlik önlemlerini hukuksal yükümlülükler kapsamındaki sorumluluk bilinciyle almış olduklarına ilişkin çıkarımda bulunulabilmektedir. Bu çalışmada, bilgi güvenliği süreçlerinde bütünlüğünü sağlayan ve aynı zamanda kişisel hakların korunması açısından büyük önem taşıyan veri koruma hukukundaki gelişmelere bağlı olarak ortaya çıkan yeni yükümlülüklere dikkat çekilmesi amaçlanmıştır. Çalışma kapsamında 182 üniversitesin 6698 Sayılı Kişisel Verilerin Korunması Kanunu sonrasında konuya bakışları, faaliyetleri ve veri sahiplerini aydınlatma yükümlülüğüne yaklaşımı incelenmiştir. Yapılan araştırmada, üniversiteleri yasal yükümlülükleri yerine getirme ve bildirimde bulunma konusunda zorlayan uygulamaların bulunduğu ve bu nedenlere bağlı olarak da sorumlulukların yerine getirilemediği görülmektedir. Veri depolama ortamlarının bulunduğu yerler, kurum içi veri transferinde kullanılacak araçlar, veri işleme politikaları ve veri erişim yetkilendirmelerinin bu çerçevede öncelikli olarak gözden geçirilmesi gerekmektedir. Bununla beraber, aydınlatma yükümlülüğünün yerine getirilmesine yönelik olarak görülen eksikliğin giderilmesi amacıyla, çalışma sonunda tüm üniversiteler tarafından kullanılabilecek kısa bir bilgilendirme metni örneği ve başvuru formu örneği oluşturulmuştur.
Giriş
Bilginin kaydedildiği ortamların bilişim teknolojilerinin gelişimine bağlı olarak değişmesi, bireylerin temas ettikleri her alanda kişisel verilerinin elektronik ortamlara kaydedilmesini onaylamak zorunda bırakmaktadır. Günlük yaşamda kargo şirketlerinden bankalara, sağlık kuruluşlarından e-devlet kapsamındaki tüm kamu kurum ve kuruluşlarına kadar birçok alanda kişisel veriler işlenmektedir. Bu veriler, kamu yararına faaliyet gösteren kurumların elektronik arşivlerinde de diğer faaliyet bilgileriyle olan ilişkisi nedeniyle önemli oranda yer tutmaktadır. Kişisel verinin elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, açıklanması, aktarılması, yeniden düzenlenmesi, sınıflandırılması ya da kullanılmasının engellenmesi ve veriler üzerinde gerçekleştirilen her türlü otomatik işlemi içine alan bilgi yönetim süreçleri, hukuksal çerçevede “kişisel verinin işlenmesi” olarak tanımlanan kapsam içinde yer almaktadır (6698 Sayılı Kanun, 2016; Avrupa Adalet Divanı, 2003; Avrupa Konseyi, 1981, 2016; Kişisel Verileri Koruma Kurumu, 2017a). Bu nedenle bilginin elektronik ortamdaki yolculuğu esnasında, arşiv işlemlerinin bir parçası olarak sabit diske aktarılma işlemi dahi, kişisel verinin işlenmesi açısından hukuksal sorumlulukların dikkate alınmasını gerektirmektedir. Dijital dönüşümün sağladığı hız ve kullanım kolaylığı ile orantılı olarak, risklerin daha kolay yöntemlerle daha yaygın hale gelmesi de kaçınılmaz olmuştur. Bu nedenle, kişisel verilerin korunmasına ilişkin hukuksal zorunlulukların gündeme geldiği her noktada, bu verilerin korunmasına yönelik bilgi güvenliği önlemleri ve idari sorumluluklar da sorgulanmaktadır. Kişisel verilerin güvenliğinin ve gizliliğinin korunması, temel hakların korunması kapsamında yer almaktadır. Bu çerçevede verilerin korunması, veri ile ilişkili olan bireylerin kişisel hak ve özgürlüğünün korunmasını hedef almaktadır (Anayasa Mahkemesi, 2008; Şimşek, 2008). Veri koruma konusunda alınacak önlemlerden bahsederken, hemen hemen tüm veri grupları içinde yer alan ya da bir bilginin (tarihsel olaylar vb.) hangi koşullarda oluştuğunu açıklarken başvurulan temel bilgi kaynakları içinde kişisel veriler yer almaktadır. Söz konusu veriler “kişisel veriler” olduğunda ise, kişisel hak ve özgürlükler açısından hukuksal sorumlulukların da dikkate alınması gerekmektedir (Anayasa Mahkemesi, 2008). Bu nedenle veri koruma konusuna verilen önem arttıkça ve alınacak önlemler detaylandırıldıkça, bu konunun hukuksal tarafında yapılması gerekenlere ilişkin liste uzamaktadır.
Kurum ve kuruluşlardaki veri sorumlularının veri koruma konusunda daha bilinçli olmalarını ve bu konuda veri sahiplerine taahhütte bulunmalarını sağlayan neden, kuşkusuz 6698 Sayılı Kişisel Verilerin Korunması Kanunu (KVKK) içerisinde yer alan aydınlatma yükümlülüğüne ilişkin düzenlemedir (6698 Sayılı Kanun, 2016). Farklı bir açıdan bakıldığında ise, KVKK çerçevesinde bilgilendirme yükümlülüğünün yerine getirilmemesi TCK’nın 135., 136., 137. ve 138. Maddeleri (TCK, 2004) ile yapılan düzenlemelerin de daha etkin kullanımını
sağlayacak ve veri koruma yükümlülüklerini yerine getirmeyen kurum ve kuruluşlar daha fazla yaptırıma maruz kalabileceklerdir.
KVKK öncesinde yapılan araştırmalar, kişisel hakların korunması kapsamında kişisel verilerin korunmasına yönelik farkındalığın, önlemlerin ve bu konudaki çalışmaların yeterli düzeyde olmadığını göstermektedir (DDK, 2013; Henkoğlu, 2015). KVKK sonrasında ise e-posta, SMS ve müşteri ilişkileri aracılığıyla kişisel verilerin korunmasına yönelik olarak yapılan bildirimlerin günlük yaşam içinde artması, tüm çevrelerde bu konu hakkındaki farkındalığın oluşmaya başladığını göstermektedir. Bir başka yaklaşımla; hukuksal düzenlemeler bu konuya yaklaşımda belirgin olarak iyileşme sağlanmasına katkı sunmaktadır. Her ne kadar veri korumaya yönelik olarak alınan önlemlerin etkinliğinin ölçülmesi mümkün olmasa da, kurum ve kuruluşların bu konudaki sorumluluklarının bilincinde olmaları ve sorumluluklarının farkında olduklarını veri sahibi ile paylaşmaları önemli bir aşama olarak nitelendirilebilir.
Aydınlatma Yükümlülüğünün Önemi
Elektronik ortamda saklanan bilginin yayılma hızı ve bireyler için içerdiği hayati riskler dikkate alındığında, Anayasa’nın 20. Maddesinde1açık olarak tanımlanan veri koruma ve bilgilendirilme hakkı (T.C. Anayasası, 1982) bireylerin kişisel haklarının korunması açısından büyük önem taşımaktadır. Bununla beraber, KVKK içinde tanımlanan aydınlatma yükümlülüğü, Kanunun 28. Maddesinin 2. Fıkrasında tanımlanan belirli istisnalar dışında yerine getirilmesi gereken yükümlülüklerden biridir. Aydınlatma, veri sorumlusu için bir borç olarak anlam kazanırken, veri sahibi için bir haktır. Aydınlatma yükümlülüğünün yerine getirilmesi veri sahibinin kişisel hakkını kullanabilmesine imkân sağlamakla birlikte, idarenin veri işleme ve koruma konusunda şeffaf olduğunun da önemli bir göstergesidir.
Bilgi hukuku ve veri koruma mevzuatı göz önüne alındığında en önemli ve ilk göze çarpan konu başlıklarından biri olarak “rıza şartı” dikkati çekmektedir. KVKK’nın 5. Maddesinin 2. fıkrasında tanımlanan istisnalar dışında, kişisel verilerin ilgili kişinin açık rızası2 olmaksızın işlenemeyeceği belirtilmektedir(6698 Sayılı Kanun, 2016). Bir irade beyanı olan açık rızanın kişinin özgür iradesi ile gösterilebilmesi için, veri sahibinin neye rıza gösterdiğini
1(Ek fıkra: 7/5/2010-5982/2 md.) Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Buhak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veyasilinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancakkanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.
2 KVKK, Madde:3; Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızadır.
bilmesi gerekir. Bu nedenle, KVKK’da önemle vurgulanan açık rızanın gösterilme durumu, aydınlatma yükümlülüğünün yerine getirilmesi ile doğrudan ilişkilidir. Bu çerçevede değerlendirildiğinde, veri sahibine yönelik bilgilendirmenin veri işlemeyle ilgili tüm aşamalarını kapsayacak nitelikte olması gerekmektedir.
Veri korumanın etkin olarak yapılabilmesi için, başlangıçtan itibaren (data protection by default) ve tasarımdan itibaren veri koruma (data protection by design) yaklaşımının benimsenmesi önem taşımaktadır. Bu yaklaşımın AB’nin veri koruma mevzuatında veri koruma direktifi gibi (Avrupa Konseyi, 1995) birçok düzenleme içinde benimsendiği görülmekle birlikte, kavramsal olarak güncel AB Genel Veri Koruma Tüzüğü’nde (General Data Protection Regulation - GDPR) de (Avrupa Konseyi, 2016)daha kuvvetli bir şekilde yer aldığı görülmektedir. Düzenlemede bu kavramların açık olarak ifade edilmesi, veri koruma yükümlülüğünün ilk aşamadan itibaren yerine getirilmesinin gerektiğini ve dolaylı olarak veri sahibinin bilgilendirilmesinin de bu çerçevede yerine getirilmesi gereken en öncelikli yükümlülüklerden biri olduğunu göstermektedir. KVKK, aydınlatma yükümlülüğü ve veri koruma yükümlülüğü için veri sorumlularını işaret etmektedir. Bu nedenle, bir kurum ya da kuruluşta KVKK’nın ne kadar dikkate alındığı veya başka bir ifade ile veri korumanın hukuksal koşullara uygun olarak yapılıp yapılmadığının anlaşılabilmesi için, veri sorumlusunun faaliyetlerinin gözlenmesi doğru bir yaklaşım olacaktır. Bu faaliyetler içerisinde en belirgin ve kolay ulaşılabilir olanı ise, hukuksal zorunluluklar çerçevesinde yapılan veri sahiplerine yönelik bilgilendirmedir. Bu konuda öncelikle kişisel verilerin işlenme şartlarının açık olarak tanımlanması, veri sahiplerinin sahip oldukları hakların tanımlanması ve bu çerçevede sorumlulukların belirlenmesi gerekmektedir.
Aydınlatma Yükümlülüğüne İlişkin Sorumluluğun Belirlenmesi
Veri güvenliğinin sağlanması ve aydınlatma yükümlülüğüne ilişkin sorumluluğun KVKK’nın 10. ve 12. Maddelerinde “veri sorumlusu” üzerinden tanımlandığı görülmektedir (6698 Sayılı Kanun, 2016). KVKK’nın 12. Maddesi gereğince veri sorumluları verinin hukuka aykırı olarak işlenmesini ve verilere hukuka aykırı olarak erişilmesini önlemek için gerekli her türlü teknik önlemi almanın yanı sıra, idari tedbirleri de almakla yükümlüdürler. Bu nedenle KVKK çerçevesinde veri güvenliği ve aydınlatma yükümlülüğüne ilişkin olarak, ilgili kişilerin haklarını veri sorumlusuna karşı ileri sürebilecekleri anlaşılmaktadır. Bununla beraber, aydınlatma yükümlülüğü ve veri güvenliğine ilişkin yükümlülüklerin yerine getirilmemesi halinde uygulanacak idari para cezasına ilişkin düzenleme KVKK’nın 18.Maddesinin 1. Fıkrasında yapılırken, devam eden 2. Fıkrada öngörülen cezanın veri sorumlusu olan gerçek kişiler ile özel hukuk tüzel kişileri
hakkında uygulanacağı ifadesi kullanılmıştır. Aynı maddenin 3. Fıkrasında da eylemlerin kamu kurum ve kuruluşlarında gerçekleşmesi halinde ilgili kişiler hakkında disiplin hükümlerine göre işlem yapılacağı belirtilmiştir.
Aydınlatma yükümlülüğü ve veri güvenliğinin sağlanmasına yönelik sorumluluğun tayini konusunda en fazla tereddüt edilebilecek husus, veri sorumlusu ile veriyi işleyenin belirlenmesi ve bunlar arasındaki ilişkiye bağlı olarak sorumluluğun kime ait olduğuna açıklık kazandırılmasıdır. KVKK gerekçeleri ile birlikte analiz edildiğinde veri sorumlusunun yükümlülüklerinin anlaşılır olduğu görülse de, bu konuda oluşabilecek tereddütlerin önüne geçilmesi için şu notların bilinmesinde fayda bulunmaktadır;
KVKK’nın 3. maddesinin (ı) bendine göre veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir3. Aynı maddenin (ğ) bendine göre veri işleyen, veri sorumlusu adına verileri işleyen gerçek veya tüzel kişilerdir.Buna göre veri işleyenin veri sorumlusunun talimatlarını yerine getirdiğiaçıktır. Tüzel kişiliğin içerisinde bulunan veri işleme faaliyetlerinden sorumlu
gerçek kişiler veri sorumlusu olarak nitelendirilemezler.
Veri sorumlusunun tüzel kişi olması halinde, bu sorumluluk tüzel kişiliği temsil yetkisi bulunan kişi ya da organlar tarafından yerine getirilmelidir. Bu kişi ya da organlar, tüzel kişilik içinde veri sorumlusunun yükümlülüklerini yerine getirmek amacıyla farklı kişi veya kişiler görevlendirse dahi, bu görevlendirme tüzel kişiliğin veri sorumlusu yükümlülüğünü ortadan kaldırmaz ve ilgili kişiyi veri sorumlusu yapmaz.
Dışarıdan hizmet veren ve veri sorumlusunun verdiği yetkiye dayanarak hareket eden şirketler, ilgili organizasyonun dışında olsalar dahi KVKK kapsamında “veri işleyen” olarak değerlendirilmektedir.
Bir gerçek veya tüzel kişi farklı faaliyetlere bağlı olarak4 aynı anda hem veri sorumlusu hem de veriyi işleyen kişi olabilmektedir.
Kurul tarafından veri sorumluları siciline kayıt zorunluluğuna istisna getirilmediği sürece5, sadece kendi çalışanlarına ilişkin kişisel veri işleyen bir şirket de KVKK kapsamında değerlendirilmektedir.
3 Bu kişiler, gerçek kişiler olabileceği gibi, kamu kurumları, şirketler, dernekler veya vakıflar gibi tüzel kişiler de olabilir.
4Örneğin, bir şirket kendi personeline ilişkin kişisel verileri işlerken veri sorumlusu, müşterisi olan şirketlere yönelik kişisel verileri işlerken veri işleyen durumunda olabilmektedir. 5 KVKK’nın 16. maddesinin 2. Fıkrası gereğince, işlenen kişisel verinin sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle veri sorumluları siciline kayıt zorunluluğuna istisna getirilebilir.
Veri Sorumlusunun Aydınlatma Yükümlülüğü ve Veri Güvenliğine İlişkin Yükümlülükleri Nelerdir?
KVKK’da doğrudan veri sorumlusunun yükümlülükleri arasında bulunan aydınlatma ve veri güvenliğine ilişkin yükümlülükler Kanunun 10. ve 12. Maddelerinde düzenlenmiştir. Buna göre veri sorumlusunun bilgi vermekle yükümlü olduğu ya da başka bir ifade ile bilgilendirme metninde yer alması gereken hususlar şunlardır;
Veri sorumlusunun kimliği,
Elde edilen kişisel verilerin hangi amaçla işleneceği,
İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, Kişisel veri toplamanın yöntemi ve hukuki sebebi,
Veri sahibinin veri sorumlusuna başvurması halinde, veri sahibinin haklarını düzenleyen 11 inci maddede sayılan diğer haklara ilişkin bilgilerdir6.
Veri sorumlusunun veri güvenliğine ilişkin yükümlülükleri ise şunlardır;
Kişisel verilerin hukuka aykırı olarak işlenmesini ve erişilmesini önlemek ve muhafazasını sağlamak için gerekli her türlü teknik ve idari tedbirleri almak zorundadır.
Kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, söz konusu tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumluluğu bulunmaktadır.
Kendi kurum ve kuruluşunda KVKK’nın uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak ya da yaptırmak zorundadır. Görevde ya da görevden ayrılmış olsa dahi, öğrenmiş olduğu kişisel
verileri KVKK’ya aykırı olarak açıklayamaz ve işleme amacı dışında kullanamaz.
Hukuka aykırı olarak kişisel verilerin başkaları tarafından elde edilmesi halinde, veri sorumlusu tarafından en kısa sürede veri sahibi ve Kurul’a bilgi verilmelidir.
Araştırmanın Kapsamı ve Yöntemi
Bu araştırma ile aydınlatma yükümlülüğünün yerine getirilmesine ilişkin mevcut durumun belirlenmesi, bu yükümlülüğün yerine getirilememesine neden olabilecek unsurların açığa çıkartılması, mevcut eksikliklerin giderilmesine yönelik temel uygulama çözümlerinin üretilmesi ve nihai olarak elde edilen bulgular neticesinde Veri Koruma Mevzuatı’na uygun bir bilgilendirme metni ile başvuru formu örneğinin sunulması amaçlanmıştır. Bu amaçla araştırmada,
6 KVKK kapsamında üniversiteler tarafından kullanılabilecek bilgilendirme metni ve başvuru formu önerisi EK:A ve EK:B’de sunulmuştur.
aydınlatma yükümlülüğünün mevzuata uygun olarak yerine getirilip getirilmediği, yükümlülüklerin yerine getirilmesine etki eden uygulamaların varlığı ve veri korumaya yönelik yasal düzenlemelerin tartışıldığı ya da bilgilendirmelerin yapıldığı etkinliklere üniversitelerde ne ölçüde yer verildiğine ilişkin sorulara cevap aranmaktadır. KVKK’da aydınlatma yükümlülüğünün nasıl ya da hangi iletişim araçlarıyla yerine getirileceğine ilişkin bir hüküm bulunmamaktadır. Bilgilendirme metninin ilgili kurumun internet sayfası üzerinden yapılması yeterli olabilmektedir. Bu nedenle tüm kamu ve özel kurumlarının daha kolay ve hızlı bir iletişim aracı olan web sayfalarını öncelikli olarak tercih ettikleri görülmektedir. Çalışmada, veri koruma konusundaki hukuksal değişimin üniversiteler üzerindeki etkisi, hızlı ve en doğru sonuç alınabilecek aydınlatma yükümlülüğünün yerine getirilmesi yönüyle incelenmiştir. Üniversitenin KVKK sonrasında veri sahiplerini aydınlatma yükümlülüğüne yaklaşımı web sayfalarından elde edilen bulgulara bağlı olarak değerlendirilmiştir.
Çalışmada araştırma yöntemi olarak nitel araştırma yöntemi tercih edilmiş ve bilgilendirme metinlerinin varlığına ilişkin veriler Yükseköğretim Kurulu üniversite listesinde yer alan 182 üniversitenin web sayfasından toplanarak içerik analizi tekniği ile incelenmiştir. Böylece aydınlatma yükümlülüğünün yerine getirilmesi sürecinin doğal ortamı olan web sayfaları üzerinden elde edilen verilerin gerçekçi ve bütüncül bir yaklaşım ile incelendiği nitel bir süreç izlenmiştir (Yıldırım ve Şimşek, 2011). Verilerin elde edilme sürecinde aydınlatma yükümlülüğüne ilişkin bilgi ve belgelerin varlığının yanı sıra, üniversitenin veri koruma konusundaki tüm etkinliklerine ilişkin veriler de toplanmıştır. Aydınlatma yükümlülüğünün yerine getirilmesine ilişkin veriler ile veri koruma konusundaki diğer üniversite etkinlikleri (politikaların varlığı, sempozyumlar, eğitim seminerleri, uyarı mesajları, uygulama önerileri vd.) ayrı olarak içerik analizi yöntemiyle değerlendirilmiş ve mevcut durumda görülen eksikliklerin giderilmesine (ya da yanlış uygulamalara) yönelik kısa öneriler sunulmuştur. Araştırma esnasında aydınlatma yükümlülüğünün yerine getirilememesine neden olabilecek uygulamaların (kurum içi veri transfer araçları, veri erişim yetkilendirmeleri ve veri depolama ortamları) görülmesi üzerine, bu husustaki teknik ve hukuksal uygulama çözümlerine de kısaca değinilmiştir. Bununla beraber, çalışmanın odak noktasını oluşturan aydınlatma yükümlülüğünün yerine getirilmesi için gereken ve araştırma sonucunda büyük ölçüde eksik olduğu görülen bilgilendirme metni örneği ve başvuru formu örneği, tüm üniversiteler tarafından kullanılabilecek bir form halinde oluşturulmuş ve çalışma eki olarak sunulmuştur.
Üniversitelerde Aydınlatma Yükümlülüğünün Yerine Getirilmesine İlişkin Mevcut Durum ve Uygulamaya Yönelik Öneriler
KVKK ve bu kanunun dikkate alınıp alınmadığının önemli göstergelerinden biri olan bilgilendirme faaliyetleri kişisel verilerin en fazla işlendiği kamunun tüm
alanlarını kapsaması açısından ayrı bir öneme sahiptir. Mevzuatta bankacılık (5411 Sayılı Kanun, 2005)ve e-ticaret (6563 Sayılı Kanun, 2014)gibi belirli alanlara yönelik olarak KVKK öncesinde yapılmış düzenlemeler bulunmaktadır. Bu nedenle bu alanlarda faaliyet gösteren kurum ve şirketlerin web sayfaları incelendiğinde KVKK’ya da kısa sürede uyum sağlamış oldukları görülmektedir. Kişi hakları ve gizliliğin sıkça tartışıldığı sağlık alanında da ilgili bakanlık tarafından KVKK’nın uygulamasına ilişkin hukuksal düzenlemelerin (Sağlık Bakanlığı, 2016)hızla yapıldığı görülmektedir.
KVKK öncesinde yapılan kapsamlı çalışmalar, üniversitelerin ve devlet kurumlarının veri koruma konusuna genel olarak “bilgi güvenliği” ile sınırlı olarak baktığı ve bu kapsamda teknik boyutta alınacak önlemler için bilgi işlem merkezlerini görevlendirdiklerini göstermektedir (DDK, 2013; Henkoğlu ve Uçak, 2016). Detaylı bir veri koruma kanununun olmaması, bilgi politikalarının bulunmaması, mevzuat içerisinden seçilen sorumlulukların anlaşılamaması ve veri sahiplerinin yeterli ölçüde bilgi sahibi olmaması, KVKK öncesinde veri koruma konusundaki uygulama eksikliklerinin başlıca nedenleri arasında sayılabilir. KVKK öncesinde üniversitelerde en fazla kişisel verinin kaydedildiği üç daire başkanlığını kapsayan çalışmaya katılım sağlayan 44 daire başkanının %66’sının hukuksal düzenlemeleri yetersiz bulduğu, diğer %34’ünü oluşturan katılımcıların da bu konuda fikirlerinin olmadığı görülmektedir (Henkoğlu, 2015). Çalışmanın ayrıntıları, uygulamaya ve politika geliştirmeye yönelik eksikliklerin en önemli nedenleri arasında hukuksal düzenlemelerdeki yetersizliğin bulunduğunu ortaya koymaktadır.
Bu çalışma kapsamında üniversite web sayfaları üzerinden yapılan analizde,