Kişisel Verilerin Korunması Kanunu 07.04.2016 tarihinde Resmi Gazete’de yayımlanarak yürürlüğü girmiştir. Maalesef, ülke gündeminin yoğunluğundan olsa gerek birçok orta ölçekli şirket hala ilgili Kanun’un öneminin farkında değildir. Maalesef toplum olarak “kervan yolda düzülür” düşüncesini bir yana bırakarak çalışmalarımızı disiplinli bir şekilde devam ettirmeliyiz. Zira ilgili Kanun gereğince kurul kurulmuş ve Kanuna uygun düzenlemelerini yapmayan tüm şirketlere gerekli idari para cezaları düzenlenmesi mümkün hale gelmiştir. Hatta bazı ihlaller, Türk Ceza Kanunu gereğince hapis cezası ile yaptırıma bağlanmıştır. Tahminimce; şirketler ve kurumlar açısından mevcut düzenlemenin önemi, ilgili kurul tarafından yapılacak ilk denetimlere müteakip idari para cezalarının düzenlemeye başlaması ile anlaşılacaktır.
Toplum olarak kişisel veri kavramı ile yakın süreçte tanışmamız sebebiyle önemine çok vakıf olmadığımızı düşünüyorum. Son yıllarda, belki de internet kullanımı, sosyal medya dijital pazarlama ve benzeri mecraların kullanımının artması ile birlikte kişisel veri ve önemi ile riskleri bireysel açıdan dikkatimizi çekmeye başlamıştır.
Kanun kapsamında kişisel veri kavramı kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak tanımlanmıştır. Bir de Kanun’da özel nitelikli kişisel veri kavramı yer almaktadır. Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir. Kişisel verilerin işlenmesi ise kişisel verinin otomatik ya da manuel yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, düzenlenmesi, sınıflandırılması, aktarılması, devralınması, kullanımının engellenmesi gibi sınırlı olmamak kaydıyla veriler üzerinde gerçekleştirilebilecek her türlü işlem anlamına gelmektedir. Veri sorumlusu ve veri işleyen sıfatları da Kanun’da tanımlanmıştır. Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişidir. Söz konusu Kanun’un temel prensipleri ise verilerin işlenmesinde hukuka ve dürüstlük kuralına uygun olma, doğru ve gerektiğinde güncel olma, belirli, açım ve meşru amaçlarla işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi gerekmektedir.
Kanun’un yürürlüğe girmesi birlikte kişisel verilerin işlenmesi mehaz Avrupa Birliği direktifinde olduğu gibi bir takım şartlara bağlanmıştır. Kanun’a göre esas olan yani temel prensip: Kişisel verilerin ilgilisinin açık rızası olmaksızın işlenemeyeceğidir. Ancak Kanun’da bu esasa bir takım istisnalar getirilmiştir. Bir başka ifade ile belli istisnalar kapsamında açık rızanın aranmayacağı haller yazılmıştır. Bu istisnalardan özellikle “Sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması” önem arz etmektedir. Zira, şirketler açısından hizmet sözleşmeleri, işçi-işveren ve/veya tedarikçi-satıcı ilişkilerinde Kanun’da belirtilen istisnaya sıklıkla başvurulabilecektir.
Ancak istisnalar açık rızaya ilişkin olup, Kanun’un 10. ve 12. Maddeleri'nde belirtilen veri sorumlusunun yükümlülükleri ile 11. Madde'de belirtilen ilgili kişinin hakları bu istisnadan etkilenmemektedir. Başka bir ifade ile açık rızaya ilişkin istisna olsun ya da olmasın Veri Sorumlusu veya yetkilendirdiği kişi, ilgili kişiyi şu hususlar çerçevesinde aydınlatmakla yükümlü olup ispat yükü de kendi üzerindedir: “veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi, ilgili kişinin 11’inci maddede sayılan diğer hakları”
Ayrıca yine Veri Sorumlusu'na 12. Madde ile kişisel verilerin hukuka aykırı olarak işlenmesini ve erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak konusunda her türlü teknik ve idari tedbiri alma yükümlülüğü yüklenmiştir. Kişisel veriler bizzat veri sorumlusu tarafından işlenmese dahi, veri sorumlusu ile veri işleyen müştereken sorumlu tutulmuştur. Bu durumda, tüm şirketlerin bilgi güvenliği noktasında profesyonel hizmet alması ve/veya mümkün ise sigorta poliçelerine bu klozu ekletmeleri tavsiye edilir. Ayrıca mevcut verilerin silinmesi ile ilgili de 7’nci madde ile bir yükümlülük yüklenmiştir. Buna göre; işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler re'sen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir. Bu madde ise müşteri ilişkileri ve pazarlama bölümlerini bir hayli zorlayacaktır.
Kanun kapsamındaki yaptırımlar önem arz etmektedir. Suçlar bakımından Kanun ile Türk Ceza Kanunu’nun 135 ilâ 140’ıncı maddeleri arasında düzenlenen suçlara atıf yapılmıştır. İdari para cezasının öngörüldüğü durumlar ise şu şekildedir;
Aydınlatma yükümlülüğünün ihlali halinde, 5.000 Türk Lirası'ndan 100.000 Türk Lirası'na kadar
Veri güvenliğine ilişkin 12. Madde'de düzenlenen yükümlülüklerin ihlali halinde 15.000 Türk Lirası'ndan 1.000.000 Türk Lirası'na kadar
Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk Lirası'ndan 1.000.000 Türk Lirası'na kadar
16'ncı Madde'de öngörülen Veri Sorumluları Sicili'ne kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk Lirası'ndan 1.000.000 Türk Lirası'na kadar idari para cezasına hükmolunmaktadır.
Son olarak; 6698 Sayılı Kanun gereğince, çıkartılacak yönetmelikler ve ilgili Kurul tarafından yapılacak çalışmalar sonrasında, Kanun maddelerindeki bazı muğlaklıkların uygulama aşamasında giderileceğini düşünüyoruz. Ancak bu süreçte, şirketlerin özellikle 3. Kişiler ile yaptığı sözleşmelerini, personelleri ile yapılan sözleşmeleri, müşterilerinden kişisel veri toplama yöntemlerini, müşterilerine karşı bilgilendirme yükümlülüğünü, hizmet aldıkları firmalar veya hizmet verilen firmalar ile yaptıkları sözleşmelerini, daha yalın bir ifade ticari hayattaki tüm işlem ve süreçlerini 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında ivedilikle düzenlemesi mümkün ise eski sözleşmelerini tadil etmeleri ve/veya ek sözleşmeler ile kendilerini koruma altına almaları tavsiye edilmektedir. Aksi halde; Kurul’un denetimlerine başlaması halinde birçok şirket açısından sıkıntılı bir süreç yaşanabilecektir.