Kişisel Verilerin Korunması Hakkında Bilinmesi Gerekenler

Günümüzde bilginin hızla dijitalleşmesi ile birlikte kişisel veri denilen kavram da önem kazanmıştır. Peki, günlük hayatımızda sıkça duyduğumuz kişisel veri nedir? Kişisel veri, kimliği belirli veya belirlenebilir kılan her tülü bilgi anlamına gelir. Kişisel verilerimiz bizi biz yapan, diğer kişilerden ayrılmamızı sağlayan her türlü bilgidir. Haliyle bu bilgilerin kimin elinde bulunacağı, ne şekilde kullanılacağı, hangi tür korumalara sahip olacağı gibi birçok konu önem kazanmaktadır. Bu yazımızda kişisel verilerin korunması konusunda Kişisel Verilerin Korunması Kanunu düzenlemeleri ışığında yapılması gerekenleri ele alacağız.

Kişisel Verilerin Korunması Neden Önemlidir?

Kişisel Verilerin Korunması Kanunu, 7 Nisan 2016 tarihinde Resmi Gazete’de yayımlanarak yürürlüğe girmiştir. Kanunun amacı; kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir.

Kişisel veriler, bahsedildiği gibi bir kişiyi tanımlayan verilerden oluşmaktadır. Özel hayatın gizliliğinin korunması kapsamında sayılmasının sebebi ise her bireyin eşsiz bilgilerinin bu veriler içerisinde saklanıyor olmasıdır. Aynı zamanda kişisel verilerin korunmasının toplumsal açıdan etkileri de oldukça önemlidir. Örneğin, bağlantımız olmayan bir şirket tarafından özel cep telefonumuzdan aranmamız özel hayatın gizliliği ile alakalı iken, bize ait özel cep telefonu numaramızın başkalarına menfaat sağlanmak amacıyla pazarlanması ve şirketlerin kişilerin tercihleri ve tüketim alışkanlıkları doğrultusunda faaliyetlerini ve satış politikalarını şekillendirmesi toplumsal bir amaç ile alakalıdır. Söz konusu durum, piyasalarda rekabeti bozucu işlemlerin meydana gelmesine, haksız kazanç yollarının genişlemesine ve vergilendirilmeyen kazançlar oluşması sonucunda genel ekonominin etkilenmesi gibi çok faktörlü zarar verici sonuçlara ulaşılmasına neden olacaktır.

Bu sebeplerle, kanunlarda belirlenen usul ve esasların yanı sıra Kişisel Verileri Koruma Kurulu’nun incelemeleri ile de bu alan sürekli denetlenmektedir. Kurul tarafından ihlallerin içeriği ve ağırlığına göre idari para cezası ile erişimin engellenmesi veya durdurulması gibi cezalara hükmedilmektedir. Aynı zamanda Türk Ceza Kanunu’nun 136. maddesi kapsamında suç teşkil eden eylemler de oluşabilmektedir.

Kişisel Verileri Koruma Kanunu’nun Hayatımıza Etkileri Nelerdir?

Kişisel Verileri Koruma Kanunu (KVKK) ile, kişisel verilerin sınırsız biçimde ve gelişigüzel toplanması, yetkisiz kişilerin erişimine açılması, ifşası veya amaç dışı ya da kötüye kullanımı sonucu kişilik haklarının ihlal edilmesinin önüne geçilmiş olur. Bir diğer anlatımla; kişisel verilerin korunması, verilerden ziyade veri sahibi kişileri korur.

Veri Sorumluları için ise Kanun, şeffaf yönetim ilkelerini kurum kültürlerine katmalarını, veri minimizasyonu yaparak gereksiz data maliyetlerinden kaçınmalarını ve faaliyetleri kapsamında veri işleme süreçlerini disiplin altına almalarını sağlayacaktır. Bunların neticesinde ise, Veri Sorumlularının, faaliyetlerini gözden geçirdikleri için verim artışı yaşamaları, gereksiz kaynak israfının önüne geçmeleri ve şeffaf yönetim ilkeleri neticesinde ticari itibarlarının artması söz konusu olacaktır.

Kişisel Verileri Koruma Kanunu ile Uyum Nedir?

Kişisel Verileri Koruma Kanunu ile Veri Sorumlularına, faaliyetlerine uygun veri envanteri hazırlama, Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) kayıt olma ve bildirimde bulunma, Saklama ve İmha Politikası hazırlama, kişisel veri güvenliğine ilişkin teknik ve idari tedbirleri alma gibi yükümlülükler yüklenmiştir. Bu yükümlülüklerinin yerine getirilmesi için gerekli aksiyonlar alınması ve doküman setleri oluşturulması gerekmektedir. Sonrasında ise ara ara denetimler yapılarak kanuni şartların yerine getirilip getirilmediği kontrol edilmelidir. Bu aşamada kurulan sistemin işleyip işlemediğini kontrol etmek büyük önem arz etmektedir. Alınan tedbirlerin sürekliliğinin sağlanması şirketin KVKK’ya uyum sağlamaları açısından en önemli adımlardan biridir. İşte bu yükümlülüklerin yerine getirilmesi için gerçekleştirilecek faaliyetlerin tamamına KVKK uyum süreci diyebiliriz.

KVKK Uyum Kapsamında Yapılması Gerekenler

  1. Veri İşleme Envanteri

KVKK kapsamında Veri Sorumlularının öncelikle iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini, kişisel veri işleme amaçları ve hukuki sebepleri, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek bir envanter oluşturmaları gerekmektedir. Bu envanterde işledikleri kişisel verilerin işlenme amaçları için gerekli olan azami süre belirlenmeli ve yabancı ülkelere aktarımı öngörülen kişisel veriler ve veri güvenliğine ilişkin alınan tedbirler detaylı olarak açıklanmalıdır.

  1. Saklama ve İmha Politikası

Veri Sorumlularının, şirketler nezdinde gerçekleştirilmekte olan saklama ve imha faaliyetlerine ilişkin iş ve işlemler konusunda usul ve esasları belirlemek amacıyla politika hazırlamaları gerekmektedir. Bu Politika sayesinde Veri Sorumlusu tarafından, veri sahiplerine hesap verilebilirliği sağlamak amacıyla verilerin ne kadar süre ile muhafaza edileceği, bu verilerin hangi süreler sonunda imha edileceği bildirilmiş olur. Veri Sahiplerinin verilerinin silinmesi, yok edilmesi veya anonimleştirilmesini isteme hakları saklıdır. Bu uygulamalar ile Veri Sorumluları verilerin yönetiminde bir disiplin oluşturmuş olurlar ve veri saklama maliyetlerini de öngörebilir hale gelirler.

  1. Aydınlatma Metni

KVKK, kişisel verileri işlenen ilgili kişilere bu verilerinin kim tarafından, hangi amaçlar ve hukuki sebepler ile işlenebileceği, kimlere hangi amaçlar ile aktarılabileceği hususunda bilgi edinme hakkı tanımakta ve bu hususları Veri Sorumlusu’nun aydınlatma yükümlülüğü kapsamında ele almaktadır. Buna göre Veri Sorumlusu, KVKK’nın 10. maddesi çerçevesinde kişisel verilerin elde edilmesi sırasında bizzat veya yetkilendirdiği kişi aracılığı ile ilgili kişiye bilgilendirme yapmakla yükümlüdür. Söz konusu aydınlatma metninde, Veri Sorumlusu’nun ve varsa temsilcinin kimliği, kişisel verilerin hangi amaç ile aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi, Kanun’un 11. maddesinde sayılan ilgili kişinin hakları aydınlatma metninde yer almak zorundadır. Kanun’un 18. maddesinde aydınlatma yükümlülüğünü yerine getirmeyen Veri Sorumluları hakkında 5.000 Türk Lirası’ndan 100.000 Türk Lirası’na kadar idari para cezası uygulanabileceği belirtilmiştir.

  1. Açık Rıza

KVKK’ya göre açık rıza; belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür irade ile açıklanan rızadır. Kanun’un 5. maddesinin 1. fıkrasında Kanun’da belirlenen istisnalar haricinde, kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemeyecek, üçüncü kişilere ve yurt dışına aktarılamayacaktır. Kanun’da ayrı ayrı belirtilmiş olan bu maddelere uyulmaması halinde kurumlar idari para cezasına çarptırılabilecektir.

Veri Sorumlularının işledikleri kişisel verilere ilişkin olarak ilgili kişilerden alacakları açık rızaların içermesi gereken hususlar vardır. Bunlardan en önemlisi açık rızanın belirli bir konuya ilişkin olmasıdır. Rızanın bilgilendirmeye dayanması gerekmektedir ve özgür irade ile açıklanmalıdır.

  1. VERBİS

Veri Sorumluları Sicil Bilgi Sistemi (VERBİS) Kanun’un 16. maddesi gereği Veri Sorumlularının kayıt olmak zorunda oldukları ve veri işleme faaliyetleri ile ilgili bilgileri beyan ettikleri bir kayıt sistemidir. Kişisel verileri işleyenler, veri işleme faaliyetine başlamadan önce VERBİS’e kayıt olmak zorundadırlar. VERBİS kamuya açık olarak tutulur.

Her Veri Sorumlusu Kanun’a uyum sağlamakla mükellef olmakla birlikte Verbis’e kayıt olmak için bazı şartlar gerekmektedir. Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi Veri Sorumluları Sicil’e kayıt yükümlülüğü altındadır.

  1. Sözleşmelerin KVKK’ya Uyarlanması

KVKK uyum sürecinde Veri Sorumlularının sözleşmelerinin de bu sürece uyarlanması gerekmektedir. Bu kapsamda mevcut sözleşmelere ek protokoller hazırlanabileceği gibi KVKK ile uyumlu olarak yenilenmesi de mümkün olabilmektedir. Sözleşmelerin uyarlanması kapsamında iş sözleşmelerine ek protokoller, tedarikçi sözleşmelerine ek olarak aydınlatma metinleri, gizlilik sözleşmeleri hazırlanabilmektedir. Yeni imzalanacak sözleşmelerde ise mutlaka kişisel verilerin korunmasına yönelik hükümlerin bulundurulması önerilir.

  1. Kişisel Verileri Koruma Komitesi Oluşturulması

Kişisel verileri koruma politikalarını yönetmek ve politikalarda belirlenen süreçlerin yürütülmesini sağlamak, denetimlerin sağlanması, farkındalık oluşturulması gibi konularda şirket içerisinde aktif çalışan bir Kişisel Verileri Koruma Komitesi oluşturulması, uyum sürecinin sürekliliği bakımından oldukça faydalıdır. Kişisel veri işleme faaliyeti en küçük işletmeden en büyük işletmeye kadar, faaliyet devam ettiği sürece yaşayan bir organizma gibidir. Dolayısıyla, Veri Sorumlusu’nun uyum kapsamında aldığı önlemlerin faaliyetlere devam edildiği sürece ayakta tutulması gerekir. Kişisel Verileri Koruma Komitesi bu görevi aktif olarak yerine getirebilir. Komite şirket içerisinde çalışanlardan oluşturulabileceği gibi, tamamen şirket dışından kişilerden de oluşturulabilir. Komitenin faaliyetlerinin mevzuata ve güncel gelişmelere uyumlu şekilde yürütülmesinde Komite içerisinde hukuk müşavirlerinden faydalanılması yararlı olacaktır.

Uyum Denetimleri Nasıl Yapılır?

Veri Sorumlusu gerçek ve tüzel kişilerin Kanun’a uyum sağlaması kadar söz konusu uyum çalışmalarının denetiminin sağlanması da oldukça önem arz etmektedir. Uyum denetimleri ile; Veri Envanteri’nin şirket faaliyetleri doğrultusunda güncel tutulması sağlanır, güncellenen Veri Envanteri’ne ve şirket faaliyetlerine uygun olarak VERBİS girişlerinin yapılması sağlanır.

Kişisel verilerin korunması hususunda alınması gerekli idari ve teknik tedbirlerin denetimleri sağlanarak mevcut duruma göre alınması gereken aksiyonlar tespit edilir, tespit edilen aksiyonların uygulanabilirliği kurgulanarak bunlar için bir uygulama stratejisi oluşturulur.

Bu denetim faaliyetlerinde güncel mevzuata uygunluk denetimlerinin yerindeliğini araştırması için hukuk danışmalarından destek alınması denetimlerin verimliliğini arttıracaktır. Keza, teknik tedbirler kapsamında da teknik uzmanlardan destek alınması tedbirlerin uygulanabilirliği açısından kolaylık sağlar. Veri Sorumlularının hukuk ve teknoloji alanında danışmanlık almaları bu denetimlerin amacına hizmet etmesinde önemli role sahiptir.

Denetime Hazır Mısınız?

Yukarıda sayılan tüm adımları eksiksiz ve Kanun’a uygun bir şekilde yerine getirdiyseniz ve faaliyetleriniz çerçevesinde kişisel veri uyum süreçlerinizi aktif olarak yürütüyorsanız denetime hazırsınız!

Ancak bugüne kadar edindiğimiz tecrübeler neticesinde Veri Sorumlularının yukarıda bahsedilen adımlardan biri veya birkaçını fark etmeden atlama veya uygulamama yoluna gittiğini görmekteyiz. Unutulmamalıdır ki Kanun’a bir bütün olarak uyum sağlanmalıdır. Gerekli tedbirlerin bir bütün olarak alınmaması halinde çeşitli yaptırımlarla karşılaşılması olasıdır. Dolayısıyla KVKK uyum sürecinin titizlikle yönetilmesi gerekmektedir.