25 Nisan Çarşamba Akşamı DigitalTalks İlkbahar18’de Neler Konuşuldu?

DigitalTalks İlkbahar18‘in üçüncü haftasında üç değerli konuğu ağırladık.

İlk oturumumuzda “Regulasyon ve İnovasyon Arasındaki İlişki” başlıklı sohbetimizde Esin Avukatlık Ortaklığı Bilgi Teknolojileri ve İletişim Takım Lideri Can Sözer ve GE Türkiye İnovasyon Direktörü Ussal Şahbaz bizlerleydi. Bu ufuk açıcı sohbetimizde paylaşılanların bir kısmını size aktarmak istiyoruz:

Ussal Şahbaz:

  • Ben biraz daha inovasyon kısmını anlatayım. İnovasyonun ne olduğunu biraz biliyoruz, biraz bilmiyoruz… İnovasyon denilen şey piyasada yapılan bir şey. İnovasyon hadisesi aslında müşterinin dertlerini iyi anlamak ve bu dertlere çözüm üretmekle alakalı. Teknolojiyle inovasyon da çok iç içe, bazen birbirlerinin yerlerine de kullanılıyor. Eskiden inovasyon startup şirketlerinden geliyordu. Eğlence, e-ticaret, sosyal medya vs. buralardan geliyordu.
  • Şimdi iki iç içe geçen trend var: 1. İnovasyon artık dikey tüketim alanlarına giriyor, bir yandan da imalat sanayine vs. giriyor. 2. Büyük şirketlere giriyor. Büyük şirketler eskiden olmadığı kadar inovatif aktivitelere giriyorlar. İnovatif dönüşümler görüyoruz, bir startup gibi davranabilir miyim diye bakıyor bazı büyük şirketler. Şirket içinde küçük küçük startuplar var olabilir mi diye düşünülüyor.
  • Ürün çıkar, test et, geri bildirim al, entegre et, değiştir… Böyle çalıştığınızda mutlaka regülasyonla ilgili bir mesela oluyor. Bu sizin veya bir müşterinizin başına gelebilir, yine de sizin iş modelinizi, inovasyon yaklaşımınızı etkiler. İnovasyona nasıl devam ederim diye düşünüldüğünde bazı yollar çıkıyor karşımıza: 1. Hukuki şeylere takılmadan küçük küçük denemeler yapmak 2. Hukuki anlamda değişiklikleri mümkün kılabilmek. 

Can Sözer:

  • Türkiye regulasyon açısından çok fazla yol aldı. AB yönergelerine uyum çerçevesinde birçok gelişmeye tanık olduk. Özel sektörde yeni teknolojileri, ürünleri getirmek isteyenler de bunları olumlu karşıladı. Kişisel verilerin korunması kanununun Türk mevzuatına tanıştırılması çok önemli bir adım. E-imza gibi bazı uygulamalar şirketlerin hızını artırdı; tüketicinin de lehine; büyük ölçekte, dolaylı yoldan şirketlerin lehine oldu. AB uyum sürecinde ürün standardı da gelmiş oldu. Bugün tüketiciye sunulan ürünler son 10-15 yıldaki mevzuatlara uygun ürünler… Bunlar aynı zamanda yabancı sermayenin Türkiye’ye gelmesini kolaylaştıran girişimler oldu.
  • Özellikle özel sektördeki şirketlerin hemen adapte olamadıkları regülasyonlar da oldu. Bunların bir kısmı kamu sağlığını etkileyen düzenlemelerdi. Bir kısmı da çok desteklenmeyen tütün, alkol ürünleri gibi ürünlerdeki sınırlamalardı. Genel olarak düzenleyici kurumların çok etkili olduğunu gördük…
  • Data lokalizasyonu yine çok hızlı adapte olamadığımız bir şey doğuracak. Bununla ilgili çalışmalar vardı aslında. Kapsam giderek genişliyor. Tüm datanın ve kişisel verilerin Türkiye’de tutulması gerekir gibi bir beklenti yabancı şirketlerin tedirginliğine sebep oluyor. Türkiye Rusya olur mu gibi bir soru var bir yandan da, bunu göreceğiz.

Ussal Şahbaz:

  • İnovasyon küresel oluyor, koyulan kurallar yerel oluyor. İnovasyonu yakalayamazsak başka ülkeler yakalıyor, inovasyonu yakalayamayan ülkeler de sonradan kendini adapte ediyor. Örneğin özel televizyonların Türkiye’de kurulması… Önce özel televizyonlar kuruldu, kurulduktan sonra yasa değişti.
  • Konu regülasyonun inovasyonu ne zaman, nerede yakaladığı. Çok kötümser olunacak bir noktada olduğumuz düşüncesinde değilim. Şimdi dijital ekonomide de AB perspektifi bizim için çok önemli. “Single digital market”ın bir parçası olmamız çok önemli. Yeni dijital uygulamaların çoğu yapay zeka teknolojisi ile yapılıyor. Bunun için çok fazla veri gerekiyor. En iyi yapay zeka şirketleri Çin ve Amerika’da; çünkü verilerin çoğu orada. Ne kadar büyük pazara erişim varsa yapay zeka teknolojisi o kadar iyi oluyor. Bizim gibi küçük pazarların mutlaka dijital piyasanın bir parçası olması lazım çünkü küçük pazarlar bu platformda tek başına var olamaz.
  • En önemli kısıt, belli teknolojilerin sınırlarını çizen regülasyonlar. Regülasyonların hedef tayin etmesi, sonuç koyması lazım. Onun altında sonuca gidilecek yollar şirketlere bırakılmalı, girişimcinin önünün açılması yeni iş modelleri anlamına gelebilir.

Can Sözer:

  • Yeni teknolojiler (blockchain, IoT vs.) konusunda iki türlü yaklaşım olabilir, esas soru da bu bana göre: 1. Bütün yeni teknolojileri karşılayacak regülasyonları önceden yapmalı mıyız? 2. Bekleyip, görüp sonra mı regülasyonlar yapmalıyız? Türkiye kendi başına bu alanlarda, yenilikçi alanlarda yeni düzenlemeler mi yapar? Yoksa AB mevzuatını mı örnek alır? Muhtemelen ikincisi. Bitcoin’i yasaklamayı düşünen ülkeler olduğunu görüyoruz; bu blockchain sistemindeki çok önemli bir segmenti elimine etmek demek. IoT, yapay zeka da böyle. Kamu bunların, regülasyon açıklarının farkında. Devlet aslında bu yenilikleri çok yakından takip ediyor. 

Ussal Şahbaz:

  • Bir teknoloji şirketinin kamu ile ilişkilerini sağlayan kurumlar, geleneksel şirketlerin kamu ile ilişkisini sağlayan aracılar işin teknoloji kısmını bilmiyor. Bilmedikleri için inovatif projelerin kamuya anlatılmasında yeterince başarılı olamıyorlar, hatta çoğu zaman bu topa girmiyorlar. Dikey alandaki inovasyonların kamuya iletilmesinde bir eksiklik var.
  • Çözümü ne peki? İki şey: Bu işi daha iyi bilen, kamu ile ilişkiler konusunda profesyoneller ve bu işe yönelik platformlar geliştirilebilir. Çünkü bu spesifik bir alan, aslında kamunun dinlediği bir alan ama doğru anlatabilen pek yok.

Can Sözer:

  • Bu tür yapılanmaların olduğu komitelerde performans açısından farklar görüyoruz. Benim kişisel gözlemim; daha çok farklı şirketin aynı dili konuşabildikleri, devlete iletebildikleri ortak bir düzlemde iletebildikleri ortamda başarıya ulaşılabiliyor. Ama çatışan çıkarlar söz konusuyken başarıya ulaşılamıyor.

Ussal Şahbaz:

  • Özellikle Türkiye’de kamunun çalışma biçiminde şöyle bir şey var: Bireysel hareket etmek yerine, bir platform vasıtasıyla, birkaç şirket ortak ses çıkarabildiğinde çok etkili oluyor. Hiçbir kamu problemi bir çeyrekte düzelmez, teknoloji konuları için de böyle. Daha uzun vadeli planlar yapmak gerekiyor… Amazon sağlık sektörüne gireceğini duyurduğunda bu alandaki şirketlerin hisseleri %20 düştü. İleride Amazon bankacılık sektörüne niye girmesin? Küçük bir bankayı satın alıp, lisans sahibi olabilir. Peki o zaman ne olacak? Buna hazırlanmak lazım, regülatörlerin de bunun önünü açabiliyor olması lazım.
  • Birçok durumda dijitalleşme kelimesinin üstünü çizip inovasyon yazarsanız o şekilde kullanabilirsiniz. Önemli olan uygulayabilecek kültüre, insan kaynağına sahip olmanız. Dijital düşünüp bir sonraki adımda müşterinin isteyebileceği şeyi bilmiyorsanız sorunlu bir durum söz konusu.

İkinci oturumumuzda ise Microsoft Ortadoğu & Afrika Ticaret Hukuku Direktörü Yasemin Genç ve Esin Avukatlık Ortaklığı Bilgi Teknolojileri ve İletişim Takım Lideri Can Sözer‘in katılımı ile Kişisel Verilerin Gizliliği, Olası Sorunlar ve Pratik Çözümler” başlıklı, oldukça öğretici bir sohbeti geride bıraktık. Sizinle bu oturumda paylaşılanların bir bölümünü paylaşmak istiyoruz:

Can Sözer:

  • Kişisel veri aslında evrensel bir kavram. İlk etapta herkes aynı şeyi anlamıyor ama. Gerçek kişiler, tüzel kişiler var. Bizim hukukumuz gerçek kişilerden bahsediyor. Kişisel veri ile belirli, belirlenebilir kişilerin verileri kastediliyor. Finansal kayıtlar, vergi kayıtları bizim kapsamımızın dışında. AB direktifini Türkçeleştirmiş olduğumuz için, AB’de de bu tanım bu şekilde. Amerika’nın bir GDPR (General Data Protection Regulation)’ı olmadığı için federal düzeyde farklı gizlilik yasaları var, her eyaletin tanımı farklı olabilir. AB’deki tanımın orada genişlediğini görüyoruz. Farklı verilerin oluşturduğu veri kombinasyonunun kişisel veri oluşturduğunu söyleyebiliriz.

Yasemin Genç:

  • Microsoft bu alanda her zaman yüksek hedefleri benimseyen bir firma oldu. AB tüzüğüyle getirilmiş olan kriterler bu konudaki standartları oldukça yükseltti. Biz de bu tüzüğe bakıyoruz.

Can Sözer:

  • Ne noktadayız, özetlemek lazım. Kanun yürürlüğe 7 Ekim 2016’da girdi, geçiş süreci öngörüldü ama bu geçiş sadece kanunun yürürlüğe girmesinden önceki zamanda toplanan verilerin sisteme girilmesiyle alakalıydı. Kanun tamamen yürürlükte. Ankara’da bağımsız bir otorite olarak kuruldu. Önce Adalet Bakanlığı’na bağlıydı, bu epey eleştirildi, şimdi herhangi bir üst kuruma bağlı olmadan çalışıyor. 2018 itibariyle kurum artık daha aktif; prensip kararları, duyurular vs. yayınlamaya başladı. Artık hızlı refleksleri olan bir kurum. 15-20 şirkete yaptırımlar uyguladı, şikayet prosedürleri netleşti. Veri sorumluları sicilinin kurulması söz konusu şimdi. Veri sorumlusu aslında tüzel kişinin kendisi, ama her veri sorumlusunun bir irtibat kişisi ataması gerekecek. Şirketteki personelden biri olabilir bu kişi. Kurum irtibata geçmek istediğinde kiminle iletişime geçeceğini bilmek istiyor. Yabancı şirketler için de bir temsilci atanması gerekecek, bu kişilerin kuruma tanıtılması gerekecek.

Yasemin Genç:

  • Microsoft olarak şu ana kadar uyguladığımız standartlar zaten KVK standardının üzerinde, o nedenle çok değişiklik yapmamız gerekmedi. Microsoft için şu an önemli olan, globalde yaptığımız çalışma AB tüzüğüne yönelik. Hangi organizasyon bu prensipleri nasıl uygulayacak? Bunlar biraz şirketlerin yapılarına, ihtiyaçlarına, iş süreçlerine göre değişecek şeyler. Müşterilerden sıklıkla şu sorular geliyor: Verinin nerede durduğunu bilmiyorum. Büyük yapılarda bu gerçekten büyük bir sorun. Veriler çok farklı yerlerde durabiliyor. Verinin merkezileştirilmesi, sınıflandırılması bir sorun. Verinin nerede olduğunun, ne tür verilere sahip olduklarının tespiti çok önemli bir konu.
  • Bu tür süreçleri politikaları nasıl tasarlayıp uygulayacaklarını bilmiyor olmaları önemli bir durum. Veri sahibinden nasıl izin alınacak? Talepleri nasıl karşılanacak? Verinize hakim değilseniz, bu talepleri yerine getirmek çok zor. Şirketlerin yaşadıkları en büyük sorun, regülasyonlar nasıl uygulanacak, bizim için ne anlama geliyor gibi soruların cevabının olmaması. 
  • O kadar çok regülasyon var ki. Önemli bir soru da, bu regülasyonların nasıl takip edileceği. Dünyada 750 regülatör her gün 200’ün üzerinde değişiklik yayınlıyor. Global bir şirketseniz bunun takip edilebilmesi bile başlı başına bir iş. Lokaldeki düzenlemeleri takip etmek önemli hale geliyor. Ben buna uydum bitti denemiyor bu nedenle.

Can Sözer:

  • Özellikle çalışan departman sayısının fazla olduğu, birkaç grup şirketin bir arada çalıştığı yapılarda “Chief Privacy Officer” diyebileceğimiz kişilerin çalışmasını çok faydalı buluyoruz. GDPR da bunu öneriyor.
  • İrtibat kişisine anlam yüklemek şirkete kalıyor, bu kişinin ne gibi fonksiyonları olacak? Şirkette eğitimlerin organize edilmesi, ilgili resmi taleplerin 30 gün içinde cevaplanması için içerdeki koordinasyonun sağlanması gibi olabilir. 
  • GDPR 25 Mayıs’ta yürürlüğe girecek, o nedenle ciddi bir panik var. AB’de de işler çok farklı değil. Orada da %70’in üzerinde uyumlu olmama sorunu mevcut. 
  • KVK ile ilgili en büyük sıkıntı şirketteki farklı fonksiyonların uyumunu sağlayabilmek. İş insanlarına bunun önemli bir konu olduğunu iletebilmek hukukçuların yaşadığı en büyük sıkıntılardan. “Ben kişisel veri işlemiyorum ki, bizim departmanda kişisel veri yok ki.” gibi yorumlar oluyor. Bu da kişisel veri işlemenin tam olarak ne olduğunun anlaşılmamasıyla alakalı. Kişisel verinin toplanması, görüntülenmesi, aktarılması hepsi birer işleme faaliyeti. İlla aktif bir faaliyet olmak zorunda değil…

Yasemin Genç:

  • Veri, müşterinin verisi. Verinin veri sahibi tarafından kontrol edilmesi, kullanımı da veri sahibinin isteğiyle doğru orantılı olmalı. Veri üzerinden bir iş modeline sahip değiliz, verilerin korunması bizim için önemli, uyumluluk, güvenlik çok önemli. Bunların hepsinin altında da şeffaflık çok kritik. Veriyle ne yapıyoruz ve yapmıyoruz. Bunları çok net bir biçimde paylaşıyor, yükümlüklerimizi paylaşıyor olmak çok önemli. Veri koruması güveni sağlayan unsurlardan biri, güvenin sağlanması da verinin kullanımını kolaylaştıran bir unsur. Böylece de inovasyon hızlanıyor. Algoritmaları eğitmek, doğru sonuca gidebilmek, yapay zeka için veriler gerekiyor. Verinin korunması, bu anlamda, dijital transformasyonu kolaylaştıran bir katalizör görevi görüyor bizim için.

Can Sözer:

  • Bizim kurumumuz da GDPR’da bu şekilde düşünüyor. Kişi verisi üzerinde hakimiyet sahibi olmalı, söz söyleyebilmeli. Ama birtakım araçlar tarafından üretilen datalar, big data dediğimiz, anonim olduğu sürece, kişilerle ilişkilendirilemediği noktada aslında pazarlama faaliyetleri için kullanılabilir, en azından yasa böyle söylüyor. Ama kişilerle ilişkilendirilememeli. Netflix’in mesela eski izlenme faaliyetlerine bakarak, big datayı topyekün kişilerden bağımsız toplulaştırılmış olarak kullanarak şimdi ödüller alan kendi filmlerini, dizilerini yapıyor.

Yasemin Sözer:

  • Sahibinden öte nasıl kullanılmalı konusu da sorulmalı; denge oluşturmak önemli. İnovasyonun gelişimi verinin çokluğuna bağlı ama çok olsun derken tabii etik kaygılar da gündeme geliyor. Hem inovasyonun devam edebilmesi hem de kişisel verilerin korunması ilerleyen zamanda da gündemimizde olacak.

Can Sözer:

  • Verinin tanımı nedir? Hangi veri kişisel bir veridir? Verinin işlenmesinin-aktarılmasının bir suça yol açıp açmadığı çok fazla bileşenin değerlendirilmesiyle varılabilecek bir sonuç. Kişisel veri kapsamı çok geniş. İletişim bilgileri, kimlik bilgileri… Bunlar kişisel veriler. Kanun, belirli veya belirlenebilir bir data der. Dolayısıyla kapsam çok geniş. Bir şeyin ihlal veya suç olup olmaması olay bazlı değerlendirilebilir ancak. “Açık rıza” isteyince uyumlu olacağım gibi bir motivasyon oluşuyor şirketlerde, ama açık rıza bir hizmetin karşılığı olmamalı, kurum da bunu söylüyor…
  • Gerçek kişiler de KVK kapsamında ihlal gerçekleştirirlerse prensip olarak KVK kapsamına tabi olurlar.

Yasemin Genç:

  • Kişisel verileri kim, ne kadar, ne süreyle, hangi sınırlamalarla kullanılıyor? Sadece teknolojik çözümler yeterli değil, organizasyonel değişiklikler, çalışanlara eğitimler vs. de gerekiyor.

Can Sözer:

  • İhlal başına 1 milyon TL’ye varabilen cezalar verebiliyor kurum. Dolayısıyla önümüzdeki dönemde çok fazla ceza beklemeliyiz. Grup şirketlerine, bankalara, yoğun veri işleyen şirketlere kesilen cezaları görebiliriz. Bu tür idari para cezası kesebilen kurumlarda genelde böyle olmuştur, ses getirebilmek adına.

Soru ve cevap bölümü ile zenginleşen sohbetimiz saat 21:45 gibi sona erdi.

Değerli paylaşımları için konuşmacılarımıza, tüm katılımcılarımıza, elmas sponsorumuz Türkiye İş Bankası‘na ve platin sponsorumuz Baker McKenzie’ye tekrar teşekkürlerimizi sunarız. 2 Mayıs Çarşamba akşamı görüşmek üzere.

Etiketler