Kişisel verilerin Türkiye’deki gelişimi ve işletmeler için adım adım KVK rehberi

Kişisel verilerin Türkiye’deki gelişimi ve işletmeler için adım adım KVK rehberi kisisel-verilerin-korunmasi-kanunu-kvkk-gdpr

Sosyal ağlar, büyük veri, bulut bilişim ve yapay zeka gibi teknolojilerdeki gelişmeler, kendi alanlarındaki yeniliklerin yanı sıra kişisel verilerin toplanması, saklanması ve anlamlı hale getirilmesi noktasında da daha önce görülmemiş imkanları bizlere sunuyor. Hal böyleyken, kişisel verilerin korunması kavramı, konuyla yakından ilgili olan iş dünyasının ve bireylerin bu paradigma değişimine uyum sağlaması için anlaması ve gündelik pratiklerine yansıtması gereken konuların belki de en başında geliyor.

Kişisel verilerin korunmasına ilişkin yasal düzenlemelerin temel amacı, bu verilerin ticaret hayatındaki yaşamsal döngüsünün bireylerin mahremiyetine saygı duyan bir çerçeveye oturtulması ihtiyacından doğuyor. Bu bağlamda, bu düzenlemeler yaygın kanının aksine hiçbir zaman verinin ticaret hayatında kullanılmasını engellemeye çalışmamakta, bunun yerine verinin ticaret hayatında dolaşımı esnasında veri işleyen kişileri, belirli ilkelere bağlı kalmalarını sağlamakla yükümlendiriyor.

Bu bilgiler ışığında, öncelikle kişisel verilerin korunmasının Türkiye’deki geçmişine değinecek, sonrasında da işletmelerin KVK ile uyum sağlamak için ilk aşamada yapmaları gerekenlerden söz edeceğiz.

Kişisel verilerin Türkiye’deki gelişimi

Türkiye’de kişisel verilerin korunmasına ilişkin ilk düzenleme, 2010 yılında anayasal anlamda yapılmıştır. Ancak anayasa doğrudan pratik hayata etki eden bir fonksiyona sahip olmadığı için, bu düzenlemenin sonuçlarını uygulama anlamında direkt hayatımıza etki edecek şekilde göremedik. Yine Türk Ceza Kanunu’nda uzun zamandır kişisel verilerin elde edilmesi vb. konulara ilişin bir takım hükümler mevcut olsa da, mahkemelerin ve savcılıkların uygulamada bu hükümleri işletme konusundaki çekingen tavrı nedeniyle pratikte kişisel verilerin korunması anlamında somut adımlar atılamamıştır.

Ancak iki yıl önce yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun” veya “KVKK”) hem bu alanı doğrudan düzenlemiş, hem de kişisel verilerin kanun ile uyumlu işlenmemesi halinde işletmeler açısından ciddi sonuçlar doğurabilecek ekonomik ve cezai yaptırımlar öngörmüştür. Bu nedenle de, kişisel verilerin korunması konusu iki yıldır tüm şirketlerin gündeminde yer bulmakta ve işletmeler iş süreçlerini kanun ile uyumlu hale getirmeye çalışmaktadırlar.

Kişisel verilere ilişkin düzenlemelerin AB’de ve ABD gibi sanayi toplumundan bilgi toplumuna geçişte öncü olan ülkelerde uzun yıllardır regüle ediliyor olması, bu konuda şirketlerin okuryazarlığını artırmış ve iş süreçlerinin mahremiyet odaklı tasarlanmasını sağlamıştır. Türkiye açısından baktığımızda ise ne yazık ki buna benzer bir kültür göremiyor, dolayısıyla da bugün gelinen noktada işletmeler açısından “tonla iş” ve “zihniyet değişimi”ni gerektiren bir süreçten geçiyoruz. Bu kültürü içselleştirmek ve tasarım veya uygulama aşamasında iş süreçlerine yansıtabilmek, “mevcut durumun tamamen değişmesi” anlamına geldiğinden, maliyet ve düşünce biçimi anlamında da büyük zorluklara gebe bir süreçten bahsedebiliriz.

Bu kültürü içselleştirmek adına Kanunun neyi kapsadığını doğru tanımlamak ve öğrenmek yerinde bir ilk adım olacaktır. Şimdi gelin buna ve devamında atılması gereken adımlara birlikte bakalım.

1. “Kişisel veri” ile “veri” ayrımının netleştirilmesi

Kişisel veriler bakımından uyumun sağlanması için işletmelerin atması gereken ilk adım işledikleri veri seti içerisinden hangilerinin “kişisel veri” olduğunu tespit etmektedir. Kişisel veriler hiçbir mevzuatta tek tek spesifik olarak belirtilmediğinden, kişisel veri deyince ilk bakışta doğrudan kişiye ait, örneğin ad, soyad, kimlik numarası ve bunun gibi veriler akla gelmektedir. Bu yaklaşım doğru olmakla birlikte eksiktir. Bugün tüm dünyada kabul gören yaklaşım uyarınca sadece kişiyi doğrudan işaret eden veriler değil, aynı zamanda dolaylı yoldan işaret edenler de kişisel veri olarak nitelendirilmektedir. Bu noktada kişisel veriler kavramının ülkemizdeki mevzuat açısından sadece gerçek kişilere ait verileri kapsadığını, tüzel kişilere ait verilerin kapsam dışında olduğunun da altını çizmek gerekir.

Bu doğrultuda, kişisel veriler dendiğinde en geniş kümeyi ele almak doğru bir yaklaşım olacaktır. Örneğin ilk bakışta kişisel veri olmadığı düşünülen bir kişinin finansal hesap ve işlem bilgileri, çevrimiçi davranışları ve tarihçesi (arama tarihçesi, IP numarası, cihaz bilgisi vb. veriler dahil), bireysel geçmişine ilişkin veriler, bugün tüm dünyada mevzuat çerçevesinde kişisel veri olduğu konusunda hiçbir şüphe olmayan verilerdir.

2. “İşleme” tanımının netleştirilmesi

İşleme eylemi ilk bakışta veri üzerinde dijital teknolojiler aracılığıyla yapılan ve veriden yeni bir anlam üretilmesi eylemi olarak kulağa gelse bile, Kanunun kastettiği işleme eylemi “verinin yaşam döngüsü içerisinde tüm eylemleri” içermektedir. Bu doğrultuda bir kişisel verinin elde edilmesinden başlayıp silinip yok edilmesine kadar devam eden bütün eylemler “veri işleme” olarak nitelendirilmektedir. Bu bağlamda, toplama, kaydetme, görüntüleme, depolama, aktarma, yayma, değiştirme, erişilebilir kılma ve silme/yok etme gibi bütün eylemler veri işleme sayılmaktadır ve Kanun kapsamına girmektedir.

Bu doğrultuda, işletmeler ürün ve hizmetlerini sunarken öncelikle hangi kişisel verilere sahip olduklarını, sonrasında ise bunların üzerinden hangi işleme eylemlerini gerçekleştirdiğini tespit etmelidirler.

3. Kişisel verilerin işlenme şartları

Bir sonraki adım ise kişisel verilerin işlenmesi için gerekli hukuki sebeplerin olup olmadığının tespiti olmalıdır. Hukuki sebeplerden en çok bilineni hiç şüphesiz açık rızadır. Bugün gelinen noktada, “açık rıza almadan kişisel veri işlemek kanuna aykırıdır” gibi yanlış bir inanış bulunmakta. Oysa ki bir kişisel verinin işlenebilmesi için ilgili kişiden açık rıza alınması veri işlemenin yollarından sadece birisidir, hatta son çare olarak tercih edilmesi gereken bir şarttır.

Şöyle ki, Kanun bir takım istisnalar belirlemiş ve bu istisnaların mevcut olduğu durumlarda ilgili kişiden açık rıza alınmadan bu verilerin işlenebileceğini öngörmüştür. Yeri gelmişken belirtmek gerekir ki, Kanun uyarınca açık rıza verilen durumlarda kişinin açık rızasını çekmesi mümkündür. Bu tür bir durumda ise ilgili veri işleme eylemini hemen durdurmak gerekir. Bu sonuçla karşılaşmak istemeyen veya istisna kapsamında veri işleyebilecek durumdayken açık rıza alarak “kullanıcıyı aldatma” pozisyonuna düşmemek için işletmelerin yapması gereken şey, işleme eylemlerinin hangi istisnaya girdiğini tespit etmek, eğer bir istisnaya girmiyor ise son çare olarak kullanıcıdan açık rıza almak olmalıdır.

Aslına bakılırsa bir işletmenin veri işleme eylemlerinin büyük bir kısmı kanunda belirtilen istisnalar kapsamına girmektedir. Bunlardan en önemlileri ise kanunun deyimiyle “bir sözleşmenin kurulması veya ifasıyla doğrudan ilgili olması” veya “veri sorumlusunun meşru menfaatleri için veri işlemenin zorunlusu olması”dır.

Bu istisnalar kapsamında bir e-ticaret sitesi kullanıcıların ad-soyad, adres, kart bilgisi vb. verilerini işlerken kullanıcıdan açık rıza almak zorunda değildir zira e-ticaret hizmetini sunabilmek için bu verileri işlemek zorundadır; ürünü göndermek için adrese, ödemeyi alabilmek için kredi kartı bilgilerine ihtiyacı vardır. Ancak kullanıcının hangi takımı tuttuğuna dair bir veri veya eşinin adının ne olduğuna dair bir veri, sunulan ürün veya hizmet ile bir ilişkisi yoksa istisna kapsamına girmeyecektir. İşte bu tür durumlarda kullanıcıdan açık rıza alınarak bu verinin işlenmesi gerekmekir.

Özetle, işletmeler işledikleri veriler için yeterli şartların olup olmadığını belirlerken veri bazında değil, söz konusu iş sürecindeki veri ve bu verinin işleme amacı doğrultusunda inceleme yapmalıdırlar.

4. Veri Sorumlusu / Veri İşleyen statüsünün belirlenmesi

Hangi kişisel veriler üzerinde, ne tür işleme eylemlerinin gerçekleştirdiğini tespit eden işletmelerin bir sonraki adımı ise kanunun öngördüğü bu aktörlerden hangisi olduğunu tespit etmektedir.

Kanun, veri işleyen gerçek veya tüzel kişileri iki kategoriye ayırır:

  • Veri sorumluları: Bir verinin işleme amacını ve vasıtalarını belirleyen gerçek veya tüzel kişi.
  • Veri işleyenler: Veri sorumlusunun verdiği yetkiye dayanarak işleme eylemini gerçekleştiren gerçek veya tüzel kişi.

Bu aşamadaki kritik ayrım ise şudur: Veri sorumlusu ile veri işleyen arasındaki ayrım, işletme veya veri türü bazında değil, iş süreci bazındadır. Bir örnekle netleştirelim: Bir teknoloji şirketi, kendi çalışanlarına ait verilerin (özlük hakları, İK süreçleri vb) işleme süreçleri bakımından veri sorumlusu iken, bir üçüncü partiye sunduğu hosting hizmeti esnasında ise veri işleyen konumunda olabilmektedir.

Kanun, veri sorumlularına ve veri işleyenlere bir takım ortak yükümlülükler getirdiği gibi, belirli noktalarda sorumluluk dengesini de farklılaştırmaktadır. Veri işleyen oldukları süreçler bakımından işletmeler, veri sorumlusu ile imzaladığı sözleşme çerçevesindeki yükümlülükleri yerine getirmek zorundadır.

İşletmelerin veri sorumlusu olduğu iş süreçleri bakımından ise sorumlulukları daha fazladır. Kanun uyarınca veri sorumluları şunlarla yükümlüdür:

Türkiye’deki son gelişmeler

Kanunun yürürlüğe girmesinden bu yana geçen iki yıllık süreçte Kişisel Verileri Koruma Kurumu faaliyete başladı ve bu alanda bir farkındalık oluşturmak amacıyla bir dizi önemli çalışmaya imza attı. Kurum’un hazırladığı ikincil hukuki düzenlemeler yakın zamanda yürürlüğe girerken, Kurum’un websitesinde yayınlanan rehberler de işletmelerin uyum sürecinde dikkate alması gerekenler hakkında iyi bir yol haritası görevi görmekte.

Yakın zamanda gerçekleşmesi beklenen en önemli gelişme ise Kurum tarafından işletilecek olan veri sorumluları sicilinin faaliyete geçecek olmasıdır. Yukarıda da değindiğim gibi, işletmelerin veri sorumlusu sıfatıyla veri işledikleri iş süreçleri bakımından sicile kaydolmaları ve bunu yaparken de veri işleme eylemlerini gösterir kişisel veriler envanterini doldurmaları kanuni bir zorunluluktur ve yerine getirilmemesi halinde 20.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası öngörülmektedir. Bu nedenle, bugüne kadar kişisel veriler hakkında adım atmamış işletmelerin bir an önce çalışmalarına başlaması yerinde olacaktır.

%20 indirim fırsatı! Girişimciye Dönüş, SHERPA Blog okurlarına %20 indirimli! 2 ay sürecek online girişimcilik eğitimleriye problemi gözlemekten fikir bulmaya, müşteriyi doğrulamaktan yatırımcı sunumuna kadar tüm girişimcilik adımlarını video ve araçlarla adım adım öğren. İndirim kodunu almak için giriş yap ya da kayit ol.

Unutulmamalıdır ki, kişisel verilerin korunması mevzuatına uyum sağlanması tek atışlık bir iş olmayıp, başlı başına bir süreçtir. Yazının başında da belirttiğimiz üzere veri koruma konusu bir kültür meselesi olup, işletmelerin tam anlamıyla uyumu sağlamak için bu kültürü benimsemesi ve iş süreçlerinin tasarımından icrasına her aşamasında içselleştirmesi gerekmektedir.

Bugün ilk makalen bizdendi.

Daha fazlası için SHERPA Blog okuru olmalısın.
Giriş Yap Ücretsiz kaydol

Benzer Yazılar

İLGİNİ ÇEKEBİLİR
Girişimciler için ilham verici TED konuşmaları girisimciler-icin-ted

Girişimciler için ilham verici TED konuşmaları

Gizle
SENİN İÇİN ÖNERİYORUZ
Cesur geçişler ve canlı renkler

Cesur geçişler ve canlı renkler

Gizle