Ancak iki yıl önce yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun” veya “KVKK”) hem bu alanı doğrudan düzenlemiş, hem de kişisel verilerin kanun ile uyumlu işlenmemesi halinde işletmeler açısından ciddi sonuçlar doğurabilecek ekonomik ve cezai yaptırımlar öngörmüştür. Bu nedenle de, kişisel verilerin korunması konusu iki yıldır tüm şirketlerin gündeminde yer bulmakta ve işletmeler iş süreçlerini kanun ile uyumlu hale getirmeye çalışmaktadırlar.
Kişisel verilere ilişkin düzenlemelerin AB’de ve ABD gibi sanayi toplumundan bilgi toplumuna geçişte öncü olan ülkelerde uzun yıllardır regüle ediliyor olması, bu konuda şirketlerin okuryazarlığını artırmış ve iş süreçlerinin mahremiyet odaklı tasarlanmasını sağlamıştır. Türkiye açısından baktığımızda ise ne yazık ki buna benzer bir kültür göremiyor, dolayısıyla da bugün gelinen noktada işletmeler açısından “tonla iş” ve “zihniyet değişimi”ni gerektiren bir süreçten geçiyoruz. Bu kültürü içselleştirmek ve tasarım veya uygulama aşamasında iş süreçlerine yansıtabilmek, “mevcut durumun tamamen değişmesi” anlamına geldiğinden, maliyet ve düşünce biçimi anlamında da büyük zorluklara gebe bir süreçten bahsedebiliriz.
Bu kültürü içselleştirmek adına Kanunun neyi kapsadığını doğru tanımlamak ve öğrenmek yerinde bir ilk adım olacaktır. Şimdi gelin buna ve devamında atılması gereken adımlara birlikte bakalım.
1. “Kişisel veri” ile “veri” ayrımının netleştirilmesi
Kişisel veriler bakımından uyumun sağlanması için işletmelerin atması gereken ilk adım işledikleri veri seti içerisinden hangilerinin “kişisel veri” olduğunu tespit etmektedir. Kişisel veriler hiçbir mevzuatta tek tek spesifik olarak belirtilmediğinden, kişisel veri deyince ilk bakışta doğrudan kişiye ait, örneğin ad, soyad, kimlik numarası ve bunun gibi veriler akla gelmektedir. Bu yaklaşım doğru olmakla birlikte eksiktir. Bugün tüm dünyada kabul gören yaklaşım uyarınca sadece kişiyi doğrudan işaret eden veriler değil, aynı zamanda dolaylı yoldan işaret edenler de kişisel veri olarak nitelendirilmektedir. Bu noktada kişisel veriler kavramının ülkemizdeki mevzuat açısından sadece gerçek kişilere ait verileri kapsadığını, tüzel kişilere ait verilerin kapsam dışında olduğunun da altını çizmek gerekir.
Bu doğrultuda, kişisel veriler dendiğinde en geniş kümeyi ele almak doğru bir yaklaşım olacaktır. Örneğin ilk bakışta kişisel veri olmadığı düşünülen bir kişinin finansal hesap ve işlem bilgileri, çevrimiçi davranışları ve tarihçesi (arama tarihçesi, IP numarası, cihaz bilgisi vb. veriler dahil), bireysel geçmişine ilişkin veriler, bugün tüm dünyada mevzuat çerçevesinde kişisel veri olduğu konusunda hiçbir şüphe olmayan verilerdir.
2. “İşleme” tanımının netleştirilmesi
İşleme eylemi ilk bakışta veri üzerinde dijital teknolojiler aracılığıyla yapılan ve veriden yeni bir anlam üretilmesi eylemi olarak kulağa gelse bile, Kanunun kastettiği işleme eylemi “verinin yaşam döngüsü içerisinde tüm eylemleri” içermektedir. Bu doğrultuda bir kişisel verinin elde edilmesinden başlayıp silinip yok edilmesine kadar devam eden bütün eylemler “veri işleme” olarak nitelendirilmektedir. Bu bağlamda, toplama, kaydetme, görüntüleme, depolama, aktarma, yayma, değiştirme, erişilebilir kılma ve silme/yok etme gibi bütün eylemler veri işleme sayılmaktadır ve Kanun kapsamına girmektedir.
Bu doğrultuda, işletmeler ürün ve hizmetlerini sunarken öncelikle hangi kişisel verilere sahip olduklarını, sonrasında ise bunların üzerinden hangi işleme eylemlerini gerçekleştirdiğini tespit etmelidirler.
3. Kişisel verilerin işlenme şartları
Bir sonraki adım ise kişisel verilerin işlenmesi için gerekli hukuki sebeplerin olup olmadığının tespiti olmalıdır. Hukuki sebeplerden en çok bilineni hiç şüphesiz açık rızadır. Bugün gelinen noktada, “açık rıza almadan kişisel veri işlemek kanuna aykırıdır” gibi yanlış bir inanış bulunmakta. Oysa ki bir kişisel verinin işlenebilmesi için ilgili kişiden açık rıza alınması veri işlemenin yollarından sadece birisidir, hatta son çare olarak tercih edilmesi gereken bir şarttır.
Şöyle ki, Kanun bir takım istisnalar belirlemiş ve bu istisnaların mevcut olduğu durumlarda ilgili kişiden açık rıza alınmadan bu verilerin işlenebileceğini öngörmüştür. Yeri gelmişken belirtmek gerekir ki, Kanun uyarınca açık rıza verilen durumlarda kişinin açık rızasını çekmesi mümkündür. Bu tür bir durumda ise ilgili veri işleme eylemini hemen durdurmak gerekir. Bu sonuçla karşılaşmak istemeyen veya istisna kapsamında veri işleyebilecek durumdayken açık rıza alarak “kullanıcıyı aldatma” pozisyonuna düşmemek için işletmelerin yapması gereken şey, işleme eylemlerinin hangi istisnaya girdiğini tespit etmek, eğer bir istisnaya girmiyor ise son çare olarak kullanıcıdan açık rıza almak olmalıdır.
Aslına bakılırsa bir işletmenin veri işleme eylemlerinin büyük bir kısmı kanunda belirtilen istisnalar kapsamına girmektedir. Bunlardan en önemlileri ise kanunun deyimiyle “bir sözleşmenin kurulması veya ifasıyla doğrudan ilgili olması” veya “veri sorumlusunun meşru menfaatleri için veri işlemenin zorunlusu olması”dır.
Bu istisnalar kapsamında bir e-ticaret sitesi kullanıcıların ad-soyad, adres, kart bilgisi vb. verilerini işlerken kullanıcıdan açık rıza almak zorunda değildir zira e-ticaret hizmetini sunabilmek için bu verileri işlemek zorundadır; ürünü göndermek için adrese, ödemeyi alabilmek için kredi kartı bilgilerine ihtiyacı vardır. Ancak kullanıcının hangi takımı tuttuğuna dair bir veri veya eşinin adının ne olduğuna dair bir veri, sunulan ürün veya hizmet ile bir ilişkisi yoksa istisna kapsamına girmeyecektir. İşte bu tür durumlarda kullanıcıdan açık rıza alınarak bu verinin işlenmesi gerekmekir.
Özetle, işletmeler işledikleri veriler için yeterli şartların olup olmadığını belirlerken veri bazında değil, söz konusu iş sürecindeki veri ve bu verinin işleme amacı doğrultusunda inceleme yapmalıdırlar.
4. Veri Sorumlusu / Veri İşleyen statüsünün belirlenmesi
Hangi kişisel veriler üzerinde, ne tür işleme eylemlerinin gerçekleştirdiğini tespit eden işletmelerin bir sonraki adımı ise kanunun öngördüğü bu aktörlerden hangisi olduğunu tespit etmektedir.
Kanun, veri işleyen gerçek veya tüzel kişileri iki kategoriye ayırır:
- Veri sorumluları: Bir verinin işleme amacını ve vasıtalarını belirleyen gerçek veya tüzel kişi.
- Veri işleyenler: Veri sorumlusunun verdiği yetkiye dayanarak işleme eylemini gerçekleştiren gerçek veya tüzel kişi.
Bu aşamadaki kritik ayrım ise şudur: Veri sorumlusu ile veri işleyen arasındaki ayrım, işletme veya veri türü bazında değil, iş süreci bazındadır. Bir örnekle netleştirelim: Bir teknoloji şirketi, kendi çalışanlarına ait verilerin (özlük hakları, İK süreçleri vb) işleme süreçleri bakımından veri sorumlusu iken, bir üçüncü partiye sunduğu hosting hizmeti esnasında ise veri işleyen konumunda olabilmektedir.
Kanun, veri sorumlularına ve veri işleyenlere bir takım ortak yükümlülükler getirdiği gibi, belirli noktalarda sorumluluk dengesini de farklılaştırmaktadır. Veri işleyen oldukları süreçler bakımından işletmeler, veri sorumlusu ile imzaladığı sözleşme çerçevesindeki yükümlülükleri yerine getirmek zorundadır.
İşletmelerin veri sorumlusu olduğu iş süreçleri bakımından ise sorumlulukları daha fazladır. Kanun uyarınca veri sorumluları şunlarla yükümlüdür:
Türkiye’deki son gelişmeler
Kanunun yürürlüğe girmesinden bu yana geçen iki yıllık süreçte Kişisel Verileri Koruma Kurumu faaliyete başladı ve bu alanda bir farkındalık oluşturmak amacıyla bir dizi önemli çalışmaya imza attı. Kurum’un hazırladığı ikincil hukuki düzenlemeler yakın zamanda yürürlüğe girerken, Kurum’un websitesinde yayınlanan rehberler de işletmelerin uyum sürecinde dikkate alması gerekenler hakkında iyi bir yol haritası görevi görmekte.
Yakın zamanda gerçekleşmesi beklenen en önemli gelişme ise Kurum tarafından işletilecek olan veri sorumluları sicilinin faaliyete geçecek olmasıdır. Yukarıda da değindiğim gibi, işletmelerin veri sorumlusu sıfatıyla veri işledikleri iş süreçleri bakımından sicile kaydolmaları ve bunu yaparken de veri işleme eylemlerini gösterir kişisel veriler envanterini doldurmaları kanuni bir zorunluluktur ve yerine getirilmemesi halinde 20.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası öngörülmektedir. Bu nedenle, bugüne kadar kişisel veriler hakkında adım atmamış işletmelerin bir an önce çalışmalarına başlaması yerinde olacaktır.
Unutulmamalıdır ki, kişisel verilerin korunması mevzuatına uyum sağlanması tek atışlık bir iş olmayıp, başlı başına bir süreçtir. Yazının başında da belirttiğimiz üzere veri koruma konusu bir kültür meselesi olup, işletmelerin tam anlamıyla uyumu sağlamak için bu kültürü benimsemesi ve iş süreçlerinin tasarımından icrasına her aşamasında içselleştirmesi gerekmektedir.
