Kişisel Verilerin Korunması İçin Firmalar Ne Yapmalı?

Kişisel Verilerin korunması Kanunu

6698 sayılı Kişisel Verilerin Korunması Kanunu 7 Nisan 2016’da Resmi Gazete’de yayımlanarak yürürlüğe girdi ve artık kanun tam anlamıyla uygulamanın bir parçası haline geldi.

Çıkarılan kanunun amacı, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir.

Bu kanun hükümleri, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanacaktır.

Veri Sorumlusu kimdir, görevleri nelerdir?

Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişileri ifade etmektedir. Veri sorumlusu sıfatı taşıyanlar, kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sisteminin kurulması ve yönetilmesi işlemlerinden sorumludur.

Veri sorumlusunun kanunda tanımlanan temel görevlerinden ilki aydınlatma yükümlüğüdür. Veri sorumlusu, kişisel verilerin elde edilmesi sırasında ilgili kişilere, kendi kimliği, veri toplamanın yöntemi ve hukuki sebebi, verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği ve ilgili kişilerin hakları konusunda bilgi vermekle ve ilgili kişileri bu anlamda aydınlatmakla yükümlüdür. Veri somlusunun, kişisel verilerin korunması kapsamında diğer bir görevi ise verilerin güvenliğini sağlamaktır. Veri sorumlusunun veri güvenliği kapsamında, kişisel verilerin hukuka aykırı olarak erişilmesini ve işlenmesini önlemek, kişisel verilerin muhafazasını sağlamak ve gerekli denetimleri yapmakla yükümlüdür.

Söz konusu yükümlülükler son derece önemli olup kanunda ciddi yaptırımlara bağlanmıştır. Bu kapsamda aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 TL’den 100.000 TL’ye kadar ve veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 TL’den 1.000.000 TL’ye kadar para cezası öngörülmüştür.

Kişisel Verinin İşlenmesi Nedir?

Kişisel verilerin işlenmesi, kişisel verilerin kısmen veya tamamen otomatik yollarla veya herhangi bir veri kayıt sistemine eklenmek üzere manuel yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem anlamına gelmektedir. Nitekim ilgili Avrupa Birliği Direktifinde de kişisel verilerin işlenmesi tanımında “otomatik ve otomatik olmayan” ibaresine yer verilerek işleme açısından verinin işlenme şeklinin bu anlamda önemli olmadığı vurgulanmıştır.

Kişisel Verilerin İşlenme Şartları

Kişisel verilerin işlenmesi için temel şart, ilgili kişinin açık rızasının alınmasıdır. Dolayısıyla kişisel verilerin korunması amacıyla ilgili şahıs açıkça rıza göstermediği sürece kişisel veriler işlenemez. Ancak genel kural bu olmakla birlikte aşağıdaki belirtilen durumlarda kişisel verilerin işlenmesi için ilgili kişinin rızası aranmayacaktır.

• Kanunlarda kişisel verinin işleneceğinin açıkça öngörülmesi.
• Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
• Bir sözleşmenin kurulması veya ifasıyla doğrudan alakalı olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
• Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
• İlgili kişinin kendisi tarafından alenileştirilmiş olması.
• Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
• İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

Kişisel veriler, işlenmeyi gerektiren sebeplerin sona ermesi durumunda resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinecek, yok edilecek veya anonim hale getirilecektir. Bu itibarla kişisel verini işlenmesini gerektiren sebep ve durumlar ortadan kalktığında ya da kişisel veri sahibi talep ettiğinde artık kişisel veri işlenemeyecek ve silinerek yok edilecek ya da anonim hale getirilecektir.

Özel Nitelikli Kişisel Veri Ne demektir ?

Özel nitelikli kişisel veri, kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerdir. Görüldüğü üzere, Kişisel Verilerin Korunması Kanunu, bir takım kişisel verileri “özel nitelikli kişisel veri” kapsamında değerlendirmiş ve ilgilinin rızası olmaksızın bu tür verilerin işlenmesini yasaklamıştır. Bu kapsamda olmak üzere kişilerin ırkı, siyasi düşüncesi, felsefi inancı, dini inancı, mezhebi veya diğer inançları ile dernek, vakıf veya sendika üyeliği, sağlık bilgileri ile özel yaşamları dair bilgiler ile herhangi suçtan mahkumiyete dair tüm bilgiler “özel veri” sayılmış ve bu tür özel verilerin işlenmesi prensip olarak yasaklanmış ve bu verilerin işlenmesi belirli şartlara bağlanmıştır..

KVK Kanununa Neden İhtiyaç Duyuldu?

Son yıllarda akıllı cep telefonlarının yaygınlaşması, e-posta pazarlama kavramının önem kazanması, lokasyon bazlı pazarlamanın ortaya çıkması, sosyal medya kavramının hayatımıza girmesi, web sayfasında yapılan gezinmelerin takip edilebilmesi ve eskisi gibi tek taraflı değil çift yönlü etkileşimin başlaması sonrasında kişisel veriler önem kazandı. Firmalar müşterilerin verilerini her kanaldan toplamaya ve farklı kampanyalar yapmak için kullanmaya başladılar.

Büyük veri (Big Data) diye de adlandırılan bilgiler o kadar arttı ki firmalar bunları tekilleştirmek ve her bilgiyi işleyebilmek için oldukça yüklü yatırımlar yaptılar ve hala da devam ediyorlar. Zamanla müşteriler kendilerine gelen mesajların içeriklerini görünce kendilerine ait birçok verinin firmalarda olduğunu görmeye ve bundan da rahatsızlık duymaya başladılar. Bu aşamada da insanlarda kişisel verilerinin ne kadar gizli kaldığı, bunların başka yerler ile paylaşılıp paylaşılmadığı ve bunlara kimlerin erişiminin olduğu gibi konularda soru işaretleri oluşmaya başladı.

KVK Kanunun Getirdiği Yükümlülükler ve Ön Plana Çıkan Konular

Konuyla alakalı yapılan seminerlerde veya yazılan makalelerde verinin gizlilik içinde korunması hep gündeme gelmiş ama çoğu firma tarafından çok da önemsenmemiştir. Bunun en büyük sebebi de belki de konuyla alakalı ne yapılması gerektiği ile alakalı bir çalışmanın yapılmamış olması, yapılmış olsa bile bunun şu andaki gibi yasalaşmamasından kaynaklanıyordu. Teknolojik yatırımların yapılıp bilgilerin her türlü siber saldırıya karşı korunuyor olması belki de firmalar için yeterli bir sebepti ancak şirket içinde çalışanların da bu konuda özenli olması gerektiği kısmı gözden kaçırılmıştı. İşte bu sebeplerden dolayı konuyla alakalı yasal bir düzenlemenin ortaya çıkması gerekliği doğdu ve geç de olsa bununla alakalı bir kanun çıkmış oldu. Kanun konuyla alakalı herkese sorumluluklar yüklemekle beraber bunlara uyulmaması halinde yaptırımları sadece para ile sınırlandırmıyor gereken durumlarda hapis cezası da içeriyor.

Firmaların dikkat etmesi gereken noktalara baktığımızda ön plana aşağıdaki maddeler çıkıyor.

• Kişisel veriler ilgili kişinin açık rızası olmadan işlenemeyeceği
• Veri hangi amaçla alındıysa o şekilde kullanılması
• İlgili kişinin açık rızası olmadan üçüncü parti firmalar/kişiler ile paylaşılmaması
• İlgili kişinin açık rızası olmaksızın yurt dışına aktarılamayacağı, eğer aktarılıyorsa kişisel verinin aktarılacağı yabancı ülkede yeterli korumanın bulunması.
• Bu şartın karşılanamadığı durumlarda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve kurulun izninin bulunması
• Verilerin işlenmesini gerektiren sebeplerin ortadan kalkması, ilgili kişinin talebi veya belirlen sürenin geçmesi sonrasında veri sorumlusu tarafından silinmesi

Bahsedilenlerin yanında veri sorumlusunun herkesi aydınlatma yükümlülüğü vardır, buna göre veri sorumlusunun kişisel verilerin hangi amaçla işleneceği, bunların kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi konusunda bilgi vermekle alakalı yükümlülüğü bulunuyor.

Veri sorumlusu ayrıca kişisel verilerin hukuka aykırı olarak işlenmesini ve bunlara hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.

Verisi işlenen herkes veri sorumlusuna başvurarak kendisiyle ilgili kişisel veri işlenip işlenmediğini öğrenme, işlenmişse buna ilişkin bilgi talep etme, bunların işlenme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme, yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme, öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, işlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme ve kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme haklarına sahiptir.

Kanundan önce işlenmiş olan kişisel verilerin, yayınlandığı tarihten iki yıl içinde bu kanun hükümlerine uygun hale getirilmesi yükümlülüğü getirildi. Böylece, kanuna uyum sağlanabilmesi açısından iki yıllık bir geçiş öngörüldü.

Bu iki yıllık süreç gösteriyor ki aşağıda belirtilen ispat yükümlülüğünden dolayı kurumların her türlü dataya dayalı iletişimini bu konudaki uzman şirketler tarafından gerçekleştirmesi riskleri en aza indirgeyecektir.

• Verilerin verisi işlenen ilgili kişilerin açık rıza beyanı alınarak izinli toplanmış olmasının ispatı
• Verinin verilen izin dışında başka bir işlem için kullanılmamış olduğunun ispatı
• Verisi işlenen ilgili kişilerin istediği andan gönderi listelerinden çıkabilme imkanının tanınması

Firmaların KVK Kanununa göre yapması gerekenler aşağıda sıralanmıştır:

KVK Kanunu Çerçevesinde Firmaların Yapması gerekenler

1. Kişisel verilerin korunmasına ilişikin bir veri politikası ve veri imha politikası hazırlayarak kamuoyuyla paylaşmalı,
2. Aydınlatma metni hazırlayarak, verilerini işleyeceği kişilerin açık rızasını almadan önce okutmalı,
3. İlgili kişilerin haklarını arayabilmeleri için Başvuru formu hazırlamalıdır
4. Web siteleri olan firmalar, gizlilik ve çerez politikası hazırlayarak web sitelerin koymalı,
5. Web sitelerinden kişisel veri alan firmalar bu bilgileri almadan önce aydınlatma metnini okuttuktan sonra ilgili kişilerin açık rızaların online olarak almalı,
6. Tüm departmanların faaliyetleri sonucu topladığı kişisel veriler için, Kişisel Veri Envanteri hazırlanarak kurumun VERBİS kaydı yapılmalı ve hazırlanan envanter VERBİS’e bildirilmeli,
7. Mali müşavir, hukuk müşaviri, call center, data center gibi dış alım yapılan firmalarla gizlilik sözleşmeleri düzenlemeli,
8. İşlemek üzere topladığı verilerin korunması için gerekli tüm idari ve teknik tedbirleri almalı,
9. Bütün tedbirlere rağmen veri ihlali gerçekleşirse 72 saat içerisinde verisi işlenen ilgili kişiye ve KVK Kurumuna ihlali bildirmesi gereklidir.