Kişisel Verileri Koruma Kanunu – KVKK

Şirketlere ilişkin KVKK uyum süreci dahilinde yer alan Kişi Verilerinin Korunması Hukuku’nun ana kaynağı, 7 Nisan 2016 tarihli Resmi Gazete’de yayımlanarak yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu’dur. 

Kanunda öncelikle kişisel veri kavramı tanımlanmıştır. Buna göre KVKK ne demek sorusuna ilişkin olarak kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin olan her çeşit bilgiyi ifade etmektedir. Şirketler, yürüttükleri ticari faaliyetler neticesinde pek çok kişinin kişisel verilerine erişmektedir. Kanuna göre şirket tüzel kişiliği, bu verilere ilişkin olarak veri sorumlusu sıfatını taşımaktadır. Veri sorumlusu ise, verilerin işlenme amaç ve araçlarını belirleyen ve veri kayıt sisteminin kurulması ve yönetilmesi ile sorumlu kişiyi tanımlamaktadır. Bu kapsamda Kanundan doğan sorumlulukların yerine getirilmesi gerekmektedir. Şirketlerin KVKK ve ilgili mevzuat doğrultusunda KVKK uyum sürecini nasıl yürüteceğine, KVKK danışmanlığı üzerine ve yapılması gerekenlere ilişkin bazı temel bilgileri paylaşmakta fayda vardır:

Veri sorumlusu şirketler, 3 farklı kategorideki kişilerin verilerini veri sorumlusu sıfatıyla işlemektedirler. Bunlar;

• Şirket personeli ve iş başvurusunda bulunan personel adayları,
• Müşteriler,
• İş ortakları, tedarikçiler ve danışmanlarıdır.

Şirketlere ilişkin KVKK uyum süreci dahilinde şirketler bu üç grupta yer alan kişilerin verilerini KVKK danışmanlık hizmeti veren kişiler aracılığı ile koruma yükümlülüğü altındadır. Bu korumanın içeriği ise temel olarak; kişisel verilerin Kanun doğrultusunda işlenmesi, saklanması, paylaşılması, silinmesi ve anonim hale getirilmesi şeklindedir. Bununla birlikte, kişisel verilerin işlendiği ve saklandığı platformlarla ilgili gerekli teknik altyapının kurulması ve muhtemel siber ataklara karşı önlemlerin alınması da önem arz eden bir başka noktadır.

Kişisel verilerin işlenmesi ancak verisi işlenecek kişinin rızasının açık olarak önceden alınması şartı ile mümkündür. Bu kuralın istisnaları olmakla birlikte, çoğunlukla açık rıza şartı aranmaktadır. Bu hususta bazı belgelerin hazırlanması ve çalışmaların yapılması gerekmektedir. 

Aydınlatma metni, bilgilerin hangi amaçla edinildiğini, verilerin hangi ortamlarda muhafaza edildiğini, bu verilere kimlerin erişim izni olduğunu, verilerin kimlere aktarılabileceğini içeren metni ifade etmektedir. Veri politikası ile veri imha politikalarının da bu metinde mevcut olması gerekir. Şirketin aşağıdaki kişilere yönelik olarak aydınlatma metni hazırlaması gerekmektedir;

• Personeller veya iş başvurusunda bulunan adaylar
• Müşteriler
• Kamuoyu ile üçüncü kişiler

Aydınlatma metninin paylaşılmasının akabinde, kişilerin açık rızalarının alınması şartı yerine getirilmelidir. Açık rıza kesinlikle veriler işlenmeden önce alınmalıdır. Açık rızanın hem yazılı olarak hem de online olarak alınması mümkündür. İnternet sitelerini kullanarak veri toplayan firmaların, veri toplanan sitede aydınlatma metninin okunmasını sağladıktan sonra ilgili kişilerin kişisel verilerin işlenmesine çevrimiçi olarak izin vermesine imkan tanıyacak surette gerekli düzenlemeleri yapması gerekmektedir.

Aktif İnternet siteleri bulunan şirketlerin sitelerinde mutla surette gizlilik ve çerez politikalarının mevcut olması gerekmektedir.

İş ortakları, tedarikçiler, muhasebeciler, çağrı merkezleri vb. ortak iş yapılan şirketler ile KVKK danışmanlığı avukat desteği ile gizlilik sözleşmesi yapılması gerekmektedir.

Veri sorumlularının işledikleri verilere ilişkin olarak gerekli bir takım koruma tedbirlerini uygulama yükümlülüğü vardır. Siber ataklara karşı ihtiyaç duyulan teknolojik altyapı kurulmalı ve denetleme faaliyetleri yürütülmelidir. Aksi halde cezai ve hukuki yaptırımla karşılaşılması mümkündür. Şirketlerin personelinin ve müşterilerinin verilerinin gizliliğini tesis etme, başkaları tarafından söz konusu verilere izinsiz erişimleri engelleme, bunun için gerekli teknik altyapıyı kurmak gibi Kanun’dan doğan yükümlülükler mevcuttur. Veri güvenliğinin sağlanması amacıyla işveren başka bir işyeri veya şirketten hizmet alıyor olsa dahi bu husus şirketin kendi sorumluluğunu ortadan kaldırmamaktadır.

Şirketlerin müşterilerine ilişkin olarak elde etmiş oldukları iletişim bilgilerini, sonrasında bu kişilere ticari elektronik ileti göndermekte kullanabilmeleri için KVKK doğrultusunda ilgililerin açık rızalarının alınmış olması gerekir. Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik’te Değişiklik Yapılmasına Dair Yönetmelikte yer alan hükümler, ticari elektronik ileti göndermek isteyen şirketlerin İleti Yönetim Sistemi’ne kaydolmasını mecburi hale getirmiştir. İYS, şirketlerin arama, mesaj ve elektronik posta benzeri ticari ileti izinlerini muhafaza edip yönetebilecekleri, alıcıların verdikleri izinleri görüntüleyebilecekleri, kaldırabilecekleri ve saklayabilecekleri ulusal ölçekte bir veri tabanıdır.

Firmaların İleti Yönetim Sistemine İlişkin Zorunlulukları

Müşterilerin veri işlenmesi ile ilgili açık rızalarının İYS aracılığıyla online olarak alınması gerekmektedir. Firma, sistem üzerinden değil de kendi imkanları ile müşterinin açık rızasını almış ise, ispat yükü kendisine ait olmak üzere almış olduğu rıza beyanını üç iş günü içerisinde İleti Yönetim Sistemi’ne kaydetmelidir.

İleti Yönetim Sistemi’ne kaydedilmemiş onaylar geçersiz sayılmaktadır. Onayı alınmamış müşterilere ticari elektronik ileti gönderilmesi Kanun’a aykırıdır. İYS’ye hali hazırda bulunan onayların kaydedilmesi için son tarih 31 Mayıs 2021’dir. Söz konusu tarihten önce sisteme kaydedilmeyen onaylar geçersiz kabul edilecek ve bu alıcılara ticari elektronik ileti gönderilmesi Kanun’a aykırı olacaktır.

Yönetmelik gereği şirketler, ürün ve hizmetlerini tanıtmak, pazarlamak ya da tebrik ve dilekler gibi içeriklerle bilinirliğini artırmak için alıcıların elektronik iletişim adreslerine gönderilen ticari elektronik iletiler ile ilgili onay kayıtlarını, onayın geçerliliğinin ortadan kalktığı tarihten itibaren, ticari elektronik iletiler ile ilgili diğer kayıtları da kaydedildiği tarihten itibaren üç yıl süreyle saklamak zorundadırlar.

Kişisel verilerin yurt dışına aktarılması hususundaki ilk şart, ilgili kişinin açık rızasının alınmasıdır. Bunun haricinde ise, kişisel veri paylaşımının yapılacağı ülkenin bu verilerle ilgili yeterli korumayı sağlayıp sağlayamayacağını araştırılması ve sağlayamayacağının tespit edilmesi halinde veri paylaşımının yapılmaması gerekmektedir.

Kişisel Verilerin Koruma Kurulu, verilerin paylaşılabilmesi için yeterli koruma sağlayan ülkeleri bildirmektedir. Bu listede yer almayan bir ülke ile veri paylaşılacak ise uluslararası sözleşmeler, mütekabiliyet ilkesi ve paylaşılacak veri sorumlusu tarafından taahhüt edilen koruma önlemleri değerlendirilerek karar verilmelidir. Bilhassa multi nasyonel şirketlere ilişkin kişisel verileri yurtdışındaki merkez veya bağlı ortaklıkla söz konusu yükümlülüklere aykırı olarak paylaşmak KVKK doğrultusunda sorumluluk doğurabilecektir.

Firmaların veri sorumlusu adı altında VERBİS sistemine kaydı zorunludur. Şirketler işledikleri tüm verileri VERBİS’e yüklemek zorunda değildir. Bu konudaki yükümlülükleri, yalnızca işledikleri verilerle ilgili genel nitelikte bilgileri bildirmektir. Söz konusu bildirimde bulunulabilmesi amacıyla, şirketin kaydettiği tüm verilerin kategorize edilen envanteri çıkarılarak türleri belirlenmeli, veri işleme ile veri saklama amacı ve süresine ilişkin bilgi verilmeli, verilerin kimlere aktarılabileceği gibi başka hususlara ilişkin de bildirimde bulunulmalıdır. Konuya dair herhangi bir tereddüt yaşanması durumunda KVKK danışmanlık hukuk bürosu dahilindeki ilgili avukatlardan destek alınabilmektedir. VERBİS’e kaydedilmesi gereken bilgiler şu şekildedir:

• Veri sorumlusu ile varsa temsilcisinin kimlik ve adres bilgileri,
• Kişisel verilerin kullanım nedeni kapsamında belirlenecek işlenme amacı,
• Kişisel verilerin işlendikleri nedene göre ihtiyaç duyulabilecek zaman,
• Veri konusu kişi toplulukları ile bu kişilere ilişkin veri kategorileri hakkındaki bilgiler,
• Kişisel verilerin aktarılabileceği alıcı toplulukları,
• Yurt dışı ile paylaşılacak kişisel veriler,
• Kişisel veri korumasının sağlanması amacıyla uygulanan tedbirler

Şirketlere ilişkin KVKK uyum süreci dahilinde işlenen kişisel verilerin kanuna aykırı şekilde başkalarınca ele geçirilmesi durumunda, veri sorumlusu bu durumu 72 saat içinde Kişisel Verileri Koruma Kurumu’na bildirmek zorundadır. Bu bildirim, Kurum’a ait web sitesi üzerinden yapılabilmektedir. Veri sorumlusunun, verileri ihlal edilen ilgili kişileri tespit etmesi durumunda, bu kişilere de mümkün olan en kısa süre içerisinde bildirimde bulunması gerekmektedir.