Sonda yazacağım şeyi başta yazacağım bu kez. Bu Kanun yani 6698 Sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) yaptırım olarak ceza hukuku yaptırımlarını öngördüğünden oldukça dikkat edilmesi gereken bir yasa metni. Yani özetle Kanun’a aykırı bir çok davranışta kendinizi savcının ya da ceza hakiminin karşısında bulabilirsiniz. Bu nedenle KVKK kapsamında hazırlık yaparken iki kere dikkatli olmak ve son derece iyi hazırlık yapmak şart. Peki bu hazırlık nasıl yapılacak? Öncelikle şirketinizin temas ettiği kişisel verilerin niteliğini ve büyüklüğünü etüt etmenizde fayda var. Gerçekten çok fazla kişisel veriye temas eder haldeyseniz işin uzmanlarından profesyonel bir danışmanlık almanız da kaçınılmaz. Ama işlediğiniz veriler kişisel veri niteliğinde değilse ya da miktar olarak azsa belki biraz daha basit çalışmalarla işinizi yürütebilirsiniz. Bu yazımda hukuki detaylara girmeksizin KVKK’da açıklanan hususlarda şirketlere yol gösterici nitelikle mümkün olduğunda yalın bir bilgi seti vermeye çalışacağım. Elbette burada yazılanlar sadece bir ışık tutma amacıyla kaleme alınan bilgi ve düşüncelerdir. Her şirketin kendi özelinde kişisel veri akışlarını değerlendirmesi ve ona göre çözümler üretmesi gereklidir.
Kişisel veri nedir ne değildir onu netleştirerek devam edelim. Kişisel veri; kimliği açıkça belli olan ya da çeşitli yollarla belirlenebilir hale getirilebilen gerçek kişilere ait her türlü veri olarak tanımlanabilir. Bu tanımdan hareketle öncelikle neyin kişisel veri olmadığını söyleyelim. Gerçek kişiye ait olmayan yani tüzel kişilere ait bilgiler bu kanun kapsamında kişisel veri olarak kabul edilmiyor. KVKK kapsamında olması için mutlaka gerçek kişiye ait veriler olması şart. Örnek vermek gerekirse; gerçek kişiye ait TC Kimlik No, ad-soyad, adres, telefon numarası, e-posta adresi, fiziki adres gibi bir şekilde gerçek kişi ile ilişkilendirilebilecek her türlü veri kişisel veri olarak kabul edilmektedir.
Kişisel verilerin işlenmesi dediğimizde kişisel veriyi herhangi bir şekilde kullanmak, depolamak, saklamak, kaydetmek, değiştirmek, aktarmak gibi tüm işlemler kişisel verilerin işlenmesi olarak değerlendirilmektedir. Önemli olan bu işleme faaliyetinin tamamen ya da kısmen otomatik olan ya da otomatik olmasa dahi belirli bir veri kayıt sisteminin parçası olarak gerçekleştiriliyor olması gerekli. Yani şirketinizin CRM sistemine kaydedilen veriler, sunucularda tutulan kişisel veri içeren dosyalar, ya da fiziki olarak tuttuğunuz sistemli arşiv odaları kişisel verinin işlenmesi olarak kabul edilir. Ama bir çalışanın masasının üstündeki ajandasına bir telefon görüşmesi sırasında rastgele bir şekilde yazdığı telefon numarası ve ad-soyad kişisel veri işleme olarak kabul edilmeyecektir.
Bu noktada KVKK’da yer alan iki süjeden bahsetmek yerinde olacaktır.
Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve araçlarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi. Yani kişisel verileri kendi adına toplayan kişi veri sorumlusu olarak kabul edilmektedir. Örneğin; abc.com e-ticaret sitesi alışveriş sırasında müşterilerin verilerini topladığı için veri sorumlusu sıfatına sahiptir.
Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi. Örneğin; abc.com e-ticaret sitesinin topladığı verilere pazarlama iletileri göndermek için anlaştığı xyz ajansı veri işleyen olarak kabul edilmektedir.
Kişisel verilerin işlenmesi, yurt içinde ya da yurtdışında üçüncü kişilere aktarılması veri sahibinin açık rızası ile mümkündür. Açık rızanın detaylarına girmeden evvel KVKK’da sayılan istisnaların yani veri sahibinin açık rızası olmadan kişisel verilerin işlenebileceği durumları ele almak uygun olur. Aşağıda bu istisna halleri ve bu halleri örnek olarak gösterilebilecek durumları yazdım. Buna göre;
- Kanunlarda açıkça öngörülmesi, örneğin, polis tarafından bir suçun soruşturması sebebiyle şüphelinin parmak izinin alınması, Tüketici Kanunu ilgili yönetmelikleri kapsamında Mesafeli Satış Sözleşmelerinin saklanması zorunluluğu,
- Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması; örneğin, bir trafik kazası sonrasında ilgili kişinin bilincinin yerinde olmadığı bir durumda üzerinin aranarak kişisel bilgilerinin kullanılması,
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması; örneğin, imzalanan bir sözleşme gereği karşı tarafın banka hesap bilgilerinin kayıt edilmesi, nakliye işlemi için nakliye şirketi ile paylaşılan adres telefon gibi bilgilerin bu amaçla kullanılması,
- Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması; örneğin, bir işletme sahibinin çalışanına maaş ödeyebilmesi için banka hesap numarası, evli olup olmadığı, çocuğunun bulunup bulunmadığı gibi bilgileri kullanması bu istisna kapsamında açık rıza olmasa da mümkündür,
- İlgili kişinin kendisi tarafından alenileştirilmiş olması; örneğin, sosyal medya mecraları üzerinden cep telefonu ve ad soyadını paylaşan kişi artık o bilgiyi kamuya açık hale getirmiştir ve isteyenlerin o datayı alması mümkün olur,
- Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması; örneğin, personeliniz tarafından açılan bir dava da ona ilişkin bazı bilgilerin mahkeme sunulması hakkın tesisi bakımından açık rıza olmasa da mümkündür,
- İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması; örneğin, bir işyeri sahibi işyerindeki organizasyonu düzenlemek, personelin terfiini yaptırmak gibi amaçlarla çalışanın temek haklarını zedelememek koşuluyla bazı kişisel verilerini rıza olmaksızın işleyebilir, bu istisna olay bazında değerlendirilmesi gereken ve veri sorumlularına hareket imkanı sağlayabilecek türden bir istisnadır diyebiliriz.
KVKK’da açık rızanı ne şekilde alınması gerektiğine ilişkin bir detay bulunmamaktadır. İleride yönetmeliklerde bir detaylı bir düzenleme getirilirse elbette o usule göre açık rıza alınması gerekecektir ama şu an için veri sahibinin net bir şekilde hiçbir şüpheye yer kalmayacak içerikte onayını almak veri işleme için yeterli olacaktır.
Kişisel verilerin aktarımı yani üçüncü kişilerle paylaşımı konusu da oldukça önemli bir konudur. KVKK bu konuda bir yasaklama getirmemiş ilgili kişinin açık rızasını almak kaydıyla yurt içi ya da yurtdışına veri aktarımı yapılabileceğini hükme bağlamıştır. Hatta yukarıda yazdığımız istisnaların varlığı halinde açık rıza olmadan da veri aktarımı yapılabilmesi mümkündür. Yurtdışına veri aktarımı durumunda aktarım yapılacak ülkede yeterli bir kişisel veri korumasının olması da gereklidir. Hangi ülkelerde yeterli koruma bulunduğu konusu yine KVKK’da detayları açıklanan Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından belirlenecek ve ilan edilecektir. Bu Kurul’un henüz oluşumunu tamamlanmış olmadığından, Kurul’un düzenlemesi gereken alanlar konusunda henüz net olarak bir tespitte bulunmak mümkün olmamaktadır.
Veri işleme için izni alındıktan ve bu izin kapsamında veriler işlendikten sonra söz konusu verileri işleme amacı ortadan kalktığı anda bunların kullanımı sona erdirilmelidir. Bu durumda KVKK’nın veri sorumlusuna getirdiği üç yol bulunmaktadır: söz konusu kişisel veriyi silmek ya da yok etmek veya anonim hale getirmek. Enteresan kavramlar değil mi? Silmek denildiğinde, kişisel verinin bulunduğu ortamdan geri dönülemez şekilde imha edilmesi, yok etmek dediğimiz de verilerin kaydedildiği ortamın imha edilmesi anlaşılmaktadır. Anonim hale getirmek ise, ilgili kişisel verinin başka verilerle eşleştirilse dahi kişisel veri sahibi gerçek kişi ile bir bağının kurulamayacağı hale getirilmesi demektir, örneğin istatistik amaçlı kullanılacak şekilde bir ürünü alan kaç kişi olduğunu, kişisel bilgilerinden arındırılmış şekilde, saptanması anonim hale getirmek sayılabilir.
KVKK henüz yokken her şirket milyonlarca kişisel veriyi topladı ve işledi. Peki şimdi o veriler ne olacak? KVKK buna ilişkin de bir yol öngörmüş durumda. 7 Nisan 2016 tarihinden önce işlenmiş olan kişisel veriler 7 Nisan 2018 tarihine kadar KVKK’ya uygun hale getirilmek zorundadır. Yani, KVKK iki yıllık bir geçiş süreci öngörmüş ve veri sorumlularına bu konuda önemli bir zaman tanımıştır. Eğer bu süre içinde elde bulunan kişisel veriler uyumlu hale getirilemez ise ya da getirilmesi mümkün değil ise söz konusu kişisel verileri derhal silme, yok etme ya da anonim hale getirme yollarından biri uygulanarak imha edilmesi gerekmektedir. KVKK’dan önce de bazı şirketler kişisel verileri işlerken bir şekilde izin, rıza almaktaydılar. Kanun bunları düşünerek 7 Nisan 2016 tarihinin öncesinde hukuka uygun şekilde alınan rızaları, bu türden rıza ile işlenen veri sahiplerinden 7 Nisan 2017 tarihine kadar aksine bir açıklama ya da itiraz gelmemesi durumunda KVKK’ya uygun rıza olarak kabul edilmektedir. Yani KVKK öncesinde bir şekilde veri işleme rızası aldıysanız içiniz rahat olsun diyebiliriz.
Şirketinizde ciddi miktarda kişisel veri işleniyorsa, KVKK’ya bir an evvel uyum süreci çalışmalarınızı başlatmanız şart. Aksi halde başta da yazdığım gibi hapis cezalarıyla yüz yüze kalma riskiniz bulunmaktadır. Bunun yanında 1 milyon TL’yi bulan para cezaları da cabası. Tavsiyem konusunda uzman bir hukukçudan uyum çalışmaları için destek almanız olur. Bu hizmet kapsamında kişisel veri ile temas anından başlayarak, kişisel veri kullanılan her noktanın tespiti ve KVKK’ya uygun hale getirilmesi süreçlerini gözden geçirip düzeltmek durumundasınız. Ayrıca bilgi sistemlerinizdeki açıkları tespit etmek adına bu konuda uzman danışmanlardan da destek almayı düşünün. Bu süreçler de birkaç hafta da tamamlanan çalışmalar değil. O nedenle daha fazla geç kalmadan uyum sürecinizi tavsiye ederim.