(KVKK) Kişisel Verilerin Korunması Kanunu Nedir ?
Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir. Kişisel veriden bahsedebilmek için, verinin bir gerçek kişiye ait olması ve bu kişinin de belirli ya da belirlenebilir nitelikte olması gerekmektedir.
Anayasa Mahkemesi kararlarında kişisel verileri çok geniş yorumlamıştır. ”… Bu bağlamda adı, soyadı, doğum tarihi ve doğum yeri gibi bireyin sadece kimliğini ortaya koyan bilgiler değil; telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, IP adresi, e-posta adresi, hobiler, tercihler, etkileşimde bulunulan kişiler, grup üyelikleri, aile bilgileri, sağlık bilgileri gibi kişiyi doğrudan veya dolaylı olarak belirlenebilir kılan tüm veriler” kişisel veri olarak kabul edilmektedir (E. 2013/122, K. 2014/74, 9.4.2014; E. 2014/149, K. 2014/151, 2.10.2014; E. 2013/84, K. 2014/183, 4.12.2014; E. 2014/74, K. 2014/201, 25.12.2014; E. 2014/180, K. 2015/30, 19.3.2015; E. 2015/32, K. 2015/102, 12.11.2015).
Kişisel veriler kendi içinde ikiye ayrılmaktadır. Özel Nitelikli Kişisel Veriler ve Genel Nitelikli Kişisel Veriler.
( KVKK ) Kişisel Verilerin Korunması Kanunu’nun 6. Maddesinde sayılan veriler özel nitelikli kişisel verilerdir. Bu veriler kanunda sınırlı sayıda belirtildikleri için örneklerle çoğaltılamazlar.
Genel nitelikli kişisel veriler ise belirli veya belirlenebilir gerçek bir kişiye ait özel nitelikli kişisel veri olmayan her türlü bilgidir. Yani örneklerle çoğaltılabildiği için özel nitelikli kişisel veriler dışındaki tüm kişisel veriler genel niteliklidir.
Kişisel Verilerin İşlenmesi Ne Demektir?
Kişisel verilerin işlenmesi, kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade eder.
Kişisel Verilerin Korunması Kanunu (KVKK) Kimleri Kapsamaktadır?
Kanun, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin (kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi) parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır.
Bu kapsamda incelediğimizde kamu kurumlarının yanı sıra kişisel verilerle temas halindeki KOBİ’ler dahil tüm şirketlerin KVKK ile uyumlu hale gelmesi gerekmektedir. Bu uyum sürecinde ise hem çalışanların hem de müşterilerin kişisel verilerinin korunması için bir takım idari ve teknik tedbirlerin alınması gerekmektedir. Aksi halde şirketler ciddi idari para cezaları ile karşı karşıya kalabilmektedir. Hatta bazı veri ihlalleri adli cezalarını da beraberinde getirebilmektedir.
Yüksek Para Cezalarından Korunmak İçin Kişisel Veriler Nasıl Korunmalıdır?
Öncelikle veri sorumlusunun kanundaki tanımını açıklayalım. Kişisel verilerin işlenme amaç ve yöntemlerini belirleyen ayrıca veri kayıt sisteminin kurulumundan ve yönetiminden sorumlu olan gerçek ve tüzel kişilerdir. Bu tanımdan da anlaşılacağı üzere her şirket veri sorumlusu olarak farklı amaçlarla ve yöntemlerle kişisel veri işlemekte olup ve yine farklı bir veri kayıt sistemi kullanmaktadır. Bu farklılıklar sebebiyle de her şirketin KVKK uyum sürecini yönetirken kendine özgü idari ve teknik tedbirler alması gerekmektedir. Bazı firmalar internetteki KVKK politikalarını ve aydınlatma metinlerini kopyala yapıştır yaparak kendilerine uyarlamaya çalışmaktadır. Ancak böyle bir durumda olası bir şikayet veya ihbar üzerine kurul tarafından yapılacak incelemelerde cezalardan kaçınmak pek de mümkün olmayacaktır.
KVKK uyum süreci sadece politikalar ve aydınlatma metinlerinden ibaret değildir. İşlenen genel ve özel nitelikli kişisel verilere göre farklı idari ve teknik tedbirlerin alınması gerekmektedir. İdari tedbirler kapsamında her şirketin işleyişine göre özel olarak başlıca Kişisel Verilerin İşlenmesi ve Korunması Politikası, Kişisel Veri Saklama ve İmha Politikası , Özel Nitelikli Kişisel Verilerin İşlenmesi Politikası, Çerez Politikası, Personel / Müşteri / İnternet / Kamera Aydınlatma Metinleri , Personel / Kurumsal Gizlilik Sözleşmeleri , Açık Rıza Formları ve Katmanlı Aydınlatma hazırlanmalıdır ve tüm personele düzenli olarak farkındalık eğitimleri verilmelidir. Teknik tedbirler kapsamında ise veri ihlaline karşı risk analizi yaptırılmalı ve bu analiz doğrultusunda güncel anti virüs programları, erişim loglarının düzenli olarak tutulması, yedekleme, veri maskeleme, yetki matrisi, sabit ip, güvenlik duvarı, ağ güvenliği, anahtar yönetimi, sızma testi, saldırı tespit ve önleme gibi sistemleri kullanılmalıdır.
Bütün bu tedbirlerin yanı sıra yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan şirketlerin Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) kayıt yaptırması gerekmektedir. Kişisel Verileri Koruma Kurumu’nun (https://www.kvkk.gov.tr/ ) internet sitesi üzerinden yaptığı açıklamaya göre kayıt son tarihi olan 30.09.2020 geçmesine rağmen VERBİS yükümlülük şartlarını taşıyan birçok şirket henüz kayıt yaptırmamıştır. Ayrıca kayıt yaptıranlardan aralarında meşhur kurumsal şirketlerin de olduğu bir çok veri sorumlusunun yanlış veri envanteri hazırlayıp kayıt oldukları gözlemlenmektedir.
Yıllık çalışan sayısı 50’den az ve yıllık mali bilançosu 25 milyon TL’ den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan firmaların da VERBİS kayıt yükümlülüğü vardır. Bu firmaların başında ise ana faaliyetleri kişisel sağlık verileri olan eczaneler, klinikler, estetik merkezleri ve psikolojik danışmanlık merkezleri gelmektedir.
Kişisel Verileri Koruma Kurumu (KVKK) vergi daireleri ve SGK ile entegre sistem üzerinden inceleme yaptığı için iş koluna, çalışan sayısına ve mali bilançosuna göre VERBİS yükümlüsü şirketlerin tespitini rahatlıkla yapabilmektedir. Bu sebeple şirket yöneticilerinde ‘bizi tespit edemezler’ algısı oluşmamalıdır.
KVKK kapsamındaki diğer yükümlülüklerle ilgili ihbar ve şikayetleri de genellikle anlaşmazlık sonucu işten çıkan işçiler ve sorun yaşayan müşteriler yapmaktadır. Şirket KVKK ile uyumlu değilse özellikli işçi-işveren arasındaki uyuşmazlıklar üzerine yapılan arabuluculuk görüşmelerinde işçi vekili şirketin bu zaafını koz olarak kullanabilmektedir.
Sonuç itibariyle tek çalışanı olan KOBİ’lerden binlerce çalışanı olan büyük şirketlere kadar tüm işletmelerin kişisel verilerle temas halinde olmaları sebebiyle vakit kaybetmeksizin KVKK ile tam uyumlu olmaları gerekmektedir. Bu dönüşüm süreci de her işletmenin işleyişine özgü olarak yürütülmelidir. İnternetten kopyala yapıştır metinlerle bu süreci yönetmeye çalışan işletmelerin cezalardan korunması mümkün değildir. Cezalardan tam anlamıyla korunabilmek için KVKK alanında uzman avukatlardan hizmet alınması önerilmektedir.
Av. Arif Güngörür – KVKK Uzmanı