29 Aralık 2017
Kişisel Verilerin Korunması Kanunu (KVK Kanunu) 07.04.2016 tarihli Resmi Gazete ’de yayımlanarak yürürlüğe girmiştir. Kanun kişisel verilerin işlenmesi, aktarılması, veri güvenliği ve bunlara uyulmaması halinde getirdiği yükümlülüklerle bu konuda önemli bir boşluğu doldurmakla birlikte aynı zamanda kişisel verilerle ilişkili çalışan kişi ve kurumlara da bazı yükümlülükler getirmiştir.
Kişisel veri kanundaki tanıma göre, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi, kişisel veriyi ifade etmektedir. Kanunun gerekçesinde kişisel verinin kapsamı daha da genişletilmiş ve kişisel verilerin, sadece bireyin adı, soyadı, doğum tarihi ve doğum yeri gibi onun kesin teşhisini sağlayan bilgiler değil, aynı zamanda kişinin akli, psikolojik, fiziki, kültürel, ekonomik, sosyal ve sair özelliklerine ilişkin veriler olduğu ifade edilmiştir. “İsim, telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, genetik bilgiler gibi veriler dolaylı da olsa kişiyi belirlenebilir kılabilme özellikleri nedeniyle kişisel verilerdir” denilmiştir. Yani kanun gerekçesiyle birlikte ele alındığında son derece kapsamlı bir kişisel veri tanımı ortaya çıkmakta ve bu noktada dikkat edilmesi gereken noktaların sınırı özellikle şirketler için genişlemektedir.
Şöyle ki, günümüzde şirketler faaliyet alanlarına göre çok çeşitli sebeplerle kişisel verileri veya özel nitelikli kişisel verileri (sağlık, biyometrik özellikler, üyelikler, cinsel yaşam, ırk, din, vs.) işlemektedir. Hal böyle olunca da getirilen KVK Kanunu ile birlikte dikkat edilmesi gereken noktalar artmakta ve bu konuda gösterilmesi gereken özen önem kazanmaktadır. Kanunla getirilen hususları şu şekilde toparlamak mümkündür;
KVK Kanunu’nun getirdiği önemli düzenlemelerden biri veri kayıt sistemi bir diğeri ise veri sorumlusudur. Buna göre kişisel verileri işleyen şirketler, “veri sorumlusu” olarak şirket içinde veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olacaklardır. Aynı zamanda veri sorumlusu şirketler bir gerçek veya tüzel kişiyi de “veri işleyen” sıfatıyla tayin edeceklerdir.
Bu noktada kanun, veri sorumlusuna veri güvenliğini sağlamak açısından birtakım yükümlükler yüklemiştir. Veri sorumlusu öncelikle kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, bu verilere hukuka aykırı erişimi engel olmak, muhafazasını sağlamak amacıyla gerekli teknik ve idari tedbirleri almakla yükümlüdür.
Kanun 10.maddesiyle veri sorumlusuna bir “aydınlatma görevi” de getirmiştir. Buna göre veri sorumlusu veya yetkilendirdiği kişi ilgili kişilere, bu verilerin hangi amaçla işleneceği, işlenen bu kişisel verilerin kimlere ve hangi amaçlarla aktarılacağı, bu verilerin toplanma yöntemi ve hukuki sebebi hakkında bilgi vermekle yükümlü tutulmuştur. Bununla birlikte herkes veri sorumlusuna başvurarak kendisiyle ilgili kişisel veri işlenip işlenmediğini öğrenme, buna ilişkin bilgi talep etme, işleniş amacının uygun olup olmadığını öğrenme ve bu verilerin yurt içi ve dışında aktarıldığı üçüncü kişileri bilme ve bunların silinip yok edilmesini isteme haklarına sahiptir.
Veri sorumlusuna getirilen en önemli görevlerden biri ise kendi kurum ve kuruluşunda bu Kanun hükümlerinin uygulanmasını sağlamak, bu amaçla gerekli denetimleri yapmak ve yaptırmaktır.
6698 sayılı yasa, Kişisel Verileri Koruma Kurumu ve Kişisel Verileri Koruma Kurulu kurulmasını ve söz konusu Kurula şikâyet halinde ya da ihlal iddiasının öğrenilmesi durumunda re’sen ihlali gerçekleştiren şirketin kayıtlarına ilişkin inceleme yapma yetkisi vermiştir. Bu kanun hükümlerine aykırılık halinde ise 1.000.000 TL’ye kadar idari para cezası kesebilecektir. Ayrıca, Türk Ceza Kanununda da suç olarak yer bulmuş ve bu kanunun düzenlemelerine aykırılık durumunda 1 yıldan 4,5 yıla kadar hapis cezası öngörülmüştür.
Kanun 07.04.2016 tarihinde yürürlüğe girmiş olup, şirketlere ise uyum çalışmaları için altı aylık bir süre tanınmıştır. Buna göre 07.10.2016 tarihinden itibaren yasada öngörülen şartlara ve veri işlemeye dair koşullara uymayan şirketlerin çeşitli müeyyideler ile karşılaşacağı öngörülmüştür. Bu nedenle de şirketlerin bu konuda hassasiyet göstermeleri kaçınılmaz bir gereklilik halini almıştır. Tüm bunların ışığında şirketlerin alabileceği önlemler ise şu şekilde sıralanabilir;
I) Öncelikle süreci sağlıklı bir şekilde yürütebilmek adına atılması gereken ilk adım “envanter” çıkarmaktır. Şöyle ki firma içinde kimler hangi kişilere ait kişisel verileri işliyor ya da saklıyor veya bu kişisel verileri başka üçüncü kişilere aktarıyor mu? İlk iş olarak bunların saptanması gerekmektedir zira şirket bünyesinde her bir kişisel veri o kurum için bir sorumluluk arz etmekte olup sorumluluğun sınırlarını saptayıp buna göre hareket etmek çok önemlidir. Daha sonra ise saklanan bu kişisel verilerin hangilerinin o işin yapılması için gerçekten gerekli olduğunu ne kadarının ise alınmasının gerekli olmadığının analizi yapılacaktır. Bu da saptandıktan sonra örneğin firmanın işlemleri için gerekliliği olmayan ya da kanunen zorunlu kılınmamış veriler alınmayacak ya da alınmış ise de hemen silinmesi sağlanacaktır. O halde ilk adım olarak yol haritasını çıkarmak adına envanter çıkarılmalı daha sonra bundan yola çıkarak elimizdekiler üzerinden süreç yönetilmelidir.
II) Tüm bu analizler yapıldıktan sonra ikinci adım ise “firma içerisinde ihtiyacın ve sorumlukların belirlenmesi” aşamasıdır. Yukarıda bahsedildiği şekilde kurum bünyesinde veri sorumlusu belirlenecek, konuya firma içerisinde liderlik yapacak ekip oluşturulacak ve ekibin hangi verileri ne şekilde güvence altına alacağı saptanacaktır. Bu bağlamda sistemin düzgün bir şekilde işleyebilmesi için gerekli teknik alt yapı da oluşturulmalıdır. Son olarak da kurulan bu sistemin düzgün bir şekilde işlediğinden emin olmak ve oluşabilecek muhtemel hataları minimuma indirmek adına bir denetim mekanizması getirilecektir.
III) Üçüncü adım olarak ise “veriler tek tek önem derecelerine göre sınıflandırılmalıdır”. Bu değerlendirme ışığında hangi verinin nasıl korunacağını saptamak gereklidir. Şöyle ki bazı verilerin bütün çalışanlar tarafından bilinmesi gerekirken bazı verilerin ise sadece sınırlı sayıda kişinin erişimine açılması gerekiyor olabilir. Bu noktada yapılması gereken şey şirkettekilere minimum yetki vererek işe başlamak, işin gereklilikleri durumunda ise yetkiyi genişletmektir. Örneğin, bir şirket çalışanı işlemleriyle ilgili olarak kişinin sadece ismi ya da e-mail adresine ihtiyaç duyuyor ise bu kişiye kişinin telefon numarası, kimlik numarası gibi veriler verilmemeli yani şirket çalışanın erişim yetkisi sadece işin gerekliliği ile sınırlandırılarak veri güvencesi de sağlanmış olacaktır.
IV) Konuyla ilgili şirketlerin üzerinde durması gereken bir diğer önemli nokta ise “siber güvenliğin” sağlanmasıdır. Siber güvenlik konusu günümüzde giderek önem kazanmış olup, şirketlerin de bu konuda gerekli alt yapıyı ve yatırımı yapmaları gerekmektedir. Özellikle Türkiye’deki şirketler incelendiğinde siber saldırılara karşı güvenlik önlemlerinin olması gerekenin altında olduğu saptanmış olup, bu konuda gerekli yatırımın yapılması şart olmuştur. Zira birçok şirket barındırdıkları kişisel veriler ile siber saldırılar için muhtemel bir hedef haline gelmişlerdir.
Sonuç olarak, 6698 sayılı KVK Kanunu ile kişisel verilere, bunların işlenmesi ve saklanmasına yönelik pek çok düzenleme getirilmiş olup, bunlara uyulmaması halinde ise ciddi yaptırımlar öngörülmüştür. Kişisel veri kavramı hayatın çok içinde ve herkesin temas halinde olduğu bir konu olmakla birlikte özellikle işleri gereği kişilerin verilerine sürekli erişim sağlayan şirketler açısından önemli bir sorumluluk getirmiştir. Bu bağlamda şirketlerin üzerine düşen görevler yukarıda sayılmış olup, bu doğrultuda hareket edilmesi halinde veri güvenliği açısından bir sorun çıkmayacaktır.
Ayrıca belirtmek gerekir ki tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin usul ve esasları belirleyecek olan “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik” taslak halindedir. Yönetmelik yürürlüğe girdiği takdirde işbu yönetmelik hükümleri kişisel verilerin silinmesinden, yok edilmesinden veya anonim hale getirilmesinden sorumlu olan gerçek ve tüzel kişiler hakkında uygulanacaktır.
Kurucu Üyesidir.
