Bilgi teknolojilerinin her geçen gün gelişmesiyle birlikte milyonlarca veri depolanıyor. Bu veriler başta pazarlama şirketleri olmak üzere pek çok şirket tarafından hedef kitleye ulaşmak için kullanılıyor. Ancak iznimiz olmadan elde edilen verilerin kullanımı çoğu zaman mahremiyetimizi ihlal ediyor. Bu hafta Bilişim Hukuku Uzmanı Av. F. Ünsal Özmestik’le bir araya geldik ve Kişisel Verilerin Korunması Kanunu hakkında konuştuk.
Öncelikle “kişisel veri” kavramı ile başlayalım. Konuyu biraz açabilir misiniz? Hangi veriler “kişisel veri” olarak değerlendiriliyor?
Kişisel veri kavramı ile yakın süreçte tanışmamız sebebiyle önemine çok vakıf olmadığımızı düşünüyorum. Son yıllarda, belki de internet kullanımı, sosyal medya dijital pazarlama ve benzeri mecraların kullanımının artması ile birlikte kişisel veri ve önemi ile riskleri bireysel açıdan dikkatimizi çekmeye başladı. Bu kavramla birlikte hayata geçirilen kanun kapsamında kişisel veri kavramı kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak tanımlanmıştır. Bir de Kanun’da özel nitelikli kişisel veri kavramı yer almaktadır. Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.
– Kanuna uymayan şirketler yandı, hapis cezası uygulanabilir!
Kişisel verilerin korunması kanunu ile birlikte ne tür yaptırımlar geliyor?
Kişisel Verilerin Korunması Kanunu 07.04.2016 tarihinde Resmi Gazete’de yayımlanarak yürürlüğü girdi. Kanun gereğince kurul kurulmuş, taslak yönetmelikler yayınlanmış bazı yönetmelikler ise 01.01.2018 tarihinden itibaren uygulanmaya başlayacak. Kanuna uygun düzenlemelerini yapmayan tüm şirketlere gerekli idari para cezaları düzenlenmesi mümkün hale geldi. Hatta bazı ihlaller, Türk Ceza Kanunu gereğince hapis cezası ile yaptırıma bağlandı.
Big data (Büyük veri) kavramı ile birlikte pazarlama konusunda firmalar ciddi atılımlarda bulundular. Ancak artık veri toplarken çok daha dikkatli olmak zorundalar. Verilerin işlenmesi konusunda artık nasıl bir yol izlenecek?
Kişisel verilerin işlenmesi ise kişisel verinin otomatik ya da manuel yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, düzenlenmesi, sınıflandırılması, aktarılması, devralınması, kullanımının engellenmesi gibi sınırlı olmamak kaydıyla veriler üzerinde gerçekleştirilebilecek her türlü işlem anlamına gelmektedir. Veri sorumlusu ve veri işleyen sıfatları da Kanun’da tanımlanmıştır. Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişidir. Söz konusu Kanun’un temel prensipleri ise verilerin işlenmesinde hukuka ve dürüstlük kuralına uygun olma, doğru ve gerektiğinde güncel olma, belirli, açım ve meşru amaçlarla işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi gerekmektedir.
Bu yasa ile birlikte hangi veriler koruma altında?
Kanun’un yürürlüğe girmesi birlikte kişisel verilerin işlenmesi mehaz Avrupa Birliği direktifinde olduğu gibi bir takım şartlara bağlanmıştır. Kanun’a göre esas olan yani temel prensip: Kişisel verilerin ilgilisinin açık rızası olmaksızın işlenemeyeceğidir. Ancak Kanun’da bu esasa bir takım istisnalar getirilmiştir. Bir başka ifade ile belli istisnalar kapsamında açık rızanın aranmayacağı haller yazılmıştır. Bu istisnalardan özellikle “Sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması” önem arz etmektedir. Zira, şirketler açısından hizmet sözleşmeleri, işçi-işveren ve/veya tedarikçi-satıcı ilişkilerinde Kanun’da belirtilen istisnaya sıklıkla başvurulabilecektir.
Ancak istisnalar açık rızaya ilişkin olup, Kanun’un 10. ve 12. Maddesinde belirtilen veri sorumlusunun yükümlülükleri ile 11. Maddede belirtilen ilgili kişinin hakları bu istisnadan etkilenmemektedir. Başka bir ifade ile açık rızaya ilişkin istisna olsun ya da olmasın Veri Sorumlusu veya yetkilendirdiği kişi, ilgili kişiyi şu hususlar çerçevesinde aydınlatmakla yükümlü olup ispat yükü de kendi üzerindedir: “Veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi, ilgili kişinin 11’inci maddede sayılan diğer hakları”
O halde şirketlere büyük yükümlülükler düşüyor. Veriyi toplama ve saklama noktasında nelere dikkat edilecek? Veriler ne şekilde saklanabilecek?
Veri sorumlusuna 12. madde ile kişisel verilerin hukuka aykırı olarak işlenmesini ve erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak konusunda her türlü teknik ve idari tedbiri alma yükümlülüğü yüklenmiştir. Kişisel veriler bizzat veri sorumlusu tarafından işlenmese dahi, veri sorumlusu ile veri işleyen müştereken sorumlu tutulmuştur. Bu durumda, tüm şirketlerin bilgi güvenliği noktasında profesyonel hizmet alması ve/veya mümkün ise sigorta şirketleri ile görüşerek poliçelerine bu riski bertaraf edebilecek bir klozun ekletilmesi için çalışma yapılmaya başlanması tavsiye edilir.
Yasaya uygun olmayan verilerle ilgili şirketlerin ne yapması gerekiyor?
Mevcut kişisel verilerin silinmesi ile ilgili de 7’nci madde ile bir yükümlülük yüklenmiştir. Buna göre; işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler re’sen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir. Bu madde ise müşteri ilişkileri ve pazarlama bölümlerini bir hayli zora sokacağa benziyor.
Kanun kapsamındaki yaptırımlar önem arz etmektedir. Suçlar bakımından Kanun ile Türk Ceza Kanunu’nun 135 ilâ 140’ıncı maddeleri arasında düzenlenen suçlara atıf yapılmıştır.
Bu süreçte şirketlere ne tavsiye edersiniz?
6698 Sayılı Kanun gereğince, uygulamada birçok firma kişisel veriler kanuna uyum süreci için çalışmalarına başlamıştır. Gerek teknik gerekse de hukuki açıdan alt yapılarını kanuna ve kurul‘un internet sitesinde açıkladığı kılavuzlara göre uygun hale getirmeye çalışmaktadır. 6698 sayılı Kişisel Verilerin Korunması Kanunu ve yönetmelikler gereğince hukuki açıdan eski sözleşmelerini tadil etmeleri ve/veya ek sözleşmeler ile kendilerini koruma altına almaları aynı zamanda teknik açıdan uzmanlar ile çalışarak veri envanterleri tasniflendirmeleri tavsiye edilmektedir. Aksi halde; Kurul’un denetimlerine başlaması halinde birçok şirket açısından sıkıntılı bir süreç yaşanabilir. Bu nedenle kanuna uygun olmayan verilerin silinmesi ve yok edilmesi gerekmektedir.
Fakat şirketler açısından bir başka problem ise mevcut regülasyona uyum sürecinde şirketlerin ciddi sayılabilecek bütçeler ayırmak zorunda kalmasıdır. Zira kanun sadece bir sektöre yönelik düzenleme getirmemektedir. Kişisel veri ile temas eden tüm şirketler mevcut regülasyon kapsamında ellerinde fiziki veya dijital verilerini uyumlu hale getirmek hukuki alt yapılarına düzenlemek zorundadır. Bir başka ifade ile bankacılık, sağlık, sigorta, enerji ve benzeri sektörlerdeki büyük ölçekli şirketlerin gerekli bütçeleri ayırabileceklerinde hiç şüphe yoktur. Ancak orta ölçekli şirketler ile esnaf, kobi olarak nitelendirilebilecek işletmelerin uyum süreçlerini tamamlamaları bu şartlarda ekonomik açıdan pek mümkün görünmemektedir.