Kişisel verilerin korunma kanunu (KVKK), kişisel verilerin işlenmesinin kontrol altına alınması ile temel hak ve özgürlüklerin korunmasını sağlayan düzenleyici ve denetleyici kurum olarak ifade edilmektedir. Kişisel verilerin korunması kanunun geçmişine bakmak gerekmektedir. Avrupa Konseyi tarafından, tüm üye ülkelerde  kişisel verilerin aynı standartta korunması ve sınır ötesi veri akışının sağlanması için  bazı ilkeler belirlenmiştir. Bu ilkelerin belirlendiği aşama da “Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunmasına İlişkin 108 Sayılı Sözleşme”, 28 Ocak 1981 tarihinde hazırlanmıştır. Türkiye bu sözleşmeye imza atan ilk ülkelerden biridir. Kanun maddesi 07 Nisan 2016 tarihinde resmi gazete'de yayımlanarak, kanunlaştırılmıştır. Türkiye ‘de bu konuda kanun kapsamında yükümlülük arasında yer almaktadır.  

Avrupa birliğinin uyum kapsamında hazırlanan ” 6698 sayılı Kişisel Verilerin Korunması Kanunu “ 18 Ocak 2016 tarihinde TBMM Başkanlığına sevk edilmiştir. Söz konusu olan bu metin 24 Mart 2016 Tarihinde TBMM genel kurulu tarafından tasarı olarak kabul edilip, kanunlaştırılmıştır. 07 Nisan 2016 tarihinde resmi gazete'de yayımlanarak yürürlüğe girmiştir.

Kişisel Veri Nedir?

KVKK kanununda kişisel veriler, özel nitelikli kişisel veriler ve kişisel veri olarak iki tanımı mevcuttur

Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir. Kişisel veriden söz edebilmek için verinin gerçek kişiye ilişkin olması bu kişininde belirli veya belirlenebilir olması gerekmektedir. Şirkette çalışan, çalışanlarımız, müşterilerimiz ile olan ilişkilerimiz, tedarikçilerimizde olan kişiler bunlar aslında bizim kişisel verilerini aldığımız irtibatta olduğumuz kişilerdir. Buna göre de kanun kapsamında yükümlülüklerimiz mevcuttur.

Kişisel verinin üç temel unsuru bulunmaktadır.

• Gerçek kişiye ilişkin olma

• Kişiyi belirli veya belirlenebilir kılması

• Her türlü bilgi

1. Gerçek kişiye ilişkin olma: Gerçek kişi ile ilişkili olması gerekmektedir. Kişisel veri gerçek kişiye ilişkin olup, tüzel kişilerle ilişkin veriler kişisel verinin tanımının dışındadır. Bir şirketin ticaret ünvanı, adresi gibi tüzel kişilere ait bilgiler KVKK kapsamının dışındadır. Çalışanımızın aile bilgileri, sağlık bilgileri, bununla ilgili olarak cep telefonu numarası gibi bilgiler gerçek kişiye ait olduğu için kanun kapsamında yer almaktadır.

1. Kişiyi belirli veya belirlenebilir kılması: Kişisel veri; ilgili kişinin doğrudan kimliğini gösterebileceği gibi o kişinin kimliğini doğrudan göstermemekle beraber, herhangi bir kayıt ile ilişkilendirilmesi sonucunda kişinin belirlenmesini sağlayan tüm bilgiler kişisel veri olarak kabul edilmektedir. 

1. Her türlü bilgi: Bu ifade oldukça geniştir. bir gerçek kişinin; adı, soyadı, doğum tarihi, doğum yeri bireyin sadece kimliğini ortaya koyan bilgiler değil telefon numarası, motorlu taşıt bilgisi, sosyal güvenlik bilgileri, pasaport numaraları, özgeçmişleri , resim, görüntü ve ses kayıtları, parmak izleri, e-posta adresleri, hobileri, tercihleri, etkileşimde bulunduğu kişiler dolaylı veya doğrudan belirlenebilir kılan tüm veriler kişisel veri olarak adlandırılabilir.

Özel nitelikli kişisel veri; başkaları tarafından öğrenildiği takdirde ilgili kişinin mağdur olabilmesine, ayrımcılığa maruz kalabilmesine neden olabilecek nitelikteki verilerdir. Kanunda, hangi kişisel verilerin özel nitelikli kişisel veri olduğu tek tek belirtilmiş olup, bu sayılanlar dışındakiler özel nitelikli kişisel veri olarak kabul edilmez. Bu bakımdan, özel nitelikli kişisel veriler sınırlı olarak sayıldığı söylenilmektedir. 

Özel Nitelikli Kişisel Veriler Nelerdir?

Özel nitelikli kişisel veriler; kişinin etnik kökeni siyasi düşüncesi, ırkı, felsefi inancı, dini, mezhebi, diğer inançları, kılık ve kıyafeti, dernek veya vakıf üyeliği, sendika üyeliği, sağlık bilgileri, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleri ile ilgili, biyometrik ve genetik veriler kanun kapsamında özel nitelikli kişisel veri olarak bahsedilmektedir.

Veri işleme nedir?

Kanun kapsamında kişisel verileri işlerken her topladığımız kişisel veri bu kanun kapsamda yer alıp almadığı incelenmektedir. Veri işleme, kanun kapsamında kişisel verilerin işlenmesi, elde edilmesi, kaydedilmesi, bunların depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, yurt içi, yurt dışı aktarımının yapılması, elde edilebilir hale gelmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler her türlü işlemi ifade etmektedir. 

Verileri alınması, kaydedilmesi, depolanması bunlarla ilgili bir sınıflandırma yapılması, üst yönetime kişilerin çalışmalarıyla ile ilgili oturdukları yer, konum, yaş ortalaması bu doğrultuda yönetime raporların sunulması gibi kişisel verileri saklanılmakta, muhafaza edilmekte ve kullanılmaktadır. 

KVKK Uyum Sürecinde, Bir Kâğıt Parçası Üzerine Gelişigüzel Yazılan Ad, Soyad ve Telefon Numaraları Kanun Kapsamında Sayılabilir Mi? 

6698 sayılı KVKK yürürlüğe girmesi ile birçok özel şirket KVKK uyum çalışmalarına başlamaktadır. Uyum sürecinde bir kağıt parçasını üzerine yazılan ad, soyad, telefon bilgilerinin KVKK kapsamında yer almamaktadır. KVKK kapsamında sayılabilmesi için işlenen kişisel verilerin bir kayıt sisteminin parçası olması, yani belirli kriterlere göre sınıflandırılarak işlenmesi gerekmektedir. Bir kağıt parçası üzerine ad-soyad, telefon bilgilerini yazıyorsak bu kişisel veri değildir, müşterimizin bilgilerini CRM sisteminde tutar ve sınıflandırırsak sistemde de izi varsa eğer, bu kişisel verileri koruma kanunu kapsamına girmektedir. 

Manuel yolla gelişigüzel kağıt parçasına yazılan kişisel bilgiler, kanun kapsamında sayılmayacaktır. Bu verileri keyfi bir biçimde kullanabileceğimiz anlamına da gelmemektedir. Zira 5237 sayılı Türk ceza kanunu kapsamında çeşitli yaptırımları söz konusudur. Kişisel verilerin sınırsız ve gelişigüzel toplanmasının, aslında yetkisiz kişilerin kullanması açısından amacı dışında kötüye kullanımı sonucu kişisel hakların ihlal edilmesinin önüne geçilmesi şüphesiz ki önemli bir unsurdur.

Kanun kapsamında kişisel verileri işlerken temel ilkeleri işlememiz gerekmektedir. Kişisel verileri koruma kurulu, bu temel ilkelere herhangi bir cezai durum söz konusu olduğunda bu temel ilkelere göre işlenip işlenmediğini sorgulamaktadır. Buna göre; Kanunda kişisel verilerin işlenmesinde sayılan temel ilkeler şunlardır:

• Hukuka ve dürüstlük kuralına uygun olma,
• Doğru ve gerektiğinde güncel olma,
• Beliri, açık ve meşru amaçlar için işlenme,
• İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, 
• İlgili mevzuatta öngörülen ve işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.

1) Hukuka ve Dürüstlük Kuralına Uygun Olma İlkesi: 

Hukuka ve dürüstlük kuralına uygun olması gerekmektedir. Kişisel verileri işlerken hukuka uygun olarak işlemek gerekmektedir. Örneğin; şirketler çalışanlarını işe alırken çeşitli mülakatlar yapmakta, mülakat sonuçları değerlendirilip ve iş hayatı başlamaktadır, bu iş hayatında özlük dosyasının oluşturulması iş kanunu kapsamında zorunludur. Özlük dosyasını oluştururken istenilen belgeler hukuka dayanmaktadır. Bu şekilde zaten bir işleme tabi olması söz konusudur.  

2) Doğru ve Gerektiğinde Güncel Olma İlkesi: 

Doğru ve gerektiğinde güncel olması gerekmektedir. Örnek vermek gerekirse bir kişinin veri sorumlusunda telefon numarasının doğru olmaması ya da artık ilgili kişi tarafından o telefon numarasının kullanılmaması o kişiye ilişkin gerçek bir veriyi yansıtmadığı ve bunun hatalı sonuçlar ortaya çıkarmasına neden olmaktadır. Örneğin, banka hesaplarında bulunan telefon numaraları, adres bilgileri güncel olmayabilir, bankaya adres bilgisinin değiştiğini ifade etmemiz gerekmektedir. Veri sorumlusu da bu kanun kapsamında dogru ve gerektiğinde güncel olma ilkesini temin edecek kanalları açık tutmalıdır

3) Beliri, Açık ve Meşru Amaçlar İçin İşlenme İlkesi: 

Beliri, açık ve meşru amaçlar için işlenme, örnek ile açıklamak gerekirse hazır giyim mağazasının müşterilerinin kimlik ve iletişim bilgilerinin işlenmesi meşru amaç kapsamındayken, annesinin kızlık soyadını işlemesi meşru amaç kapsamında değerlendirilmeyecektir.Bu ilkeye dayanarak firmaların bunu işlememesi gerekmektedir. Bu esasa uygun davranma aynı zamanda dürüstlük ilkesine uyum bakımından da önemlidir.

4) İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma İlkesi: 

İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması, örneğin tekstil firması tarafından müşterilere ilişkin kimlik ya da iletişim bilgileri tutulmakta, bunlar satış işlemlerinin takibi amacı ile bağdaştırılırken, müşterinin finansal geçmiş bilgisi, finansal geçmiş bilgisine yönelik tutulan verilerin toplanması amaçla bağdaştırılamaz ve ölçülü değildir.

5) İlgili Mevzuatta Öngörülen ve İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Edilmesi İlkesi: 

İlgili mevzuatta öngörülen ve işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi, kişisel verilerin korunması kanunu bugün itibari ile toplanan veriler değil, geçmiş yıllarda toplanan verileri de kapsamaktadır. Çalışanlarımızla ilgili on yılı geçen eski çalışanımızın dosyalarını muhafaza etmemiz gerekmektedir. Bunu idari ve teknik tedbirlere dayalı olarak verileri imha ve saklama politikası kapsamında muhafaza edilmesi gerekmektedir.

Açık rıza ve aydınlatma yükümlülüğü günümüzde kanunun kapsamına girdiğinden beri karşımıza çıkan kavramlardır. Açık rıza ve aydınlatma yükümlülüğü birbirine karıştırılmaktadır.

Açık Rıza: Kişisel verileri işlerken, belirli bir konuya ilişkin bilgilendirmeye dayanan özgür iradeyle açıklanan rıza şeklinde tanımlanmaktadır. Buna göre açık rızanın üç unsuru vardır: 

1. Belirli bir konuya ilişkin olması
2. Rızanın bilgilendirmeye dayanması
3. Özgür iradeyle açıklanması

Örneğin bir alışveriş sırasında kişisel verilerimin işlenmesi ve paylaşılmasını kabul ediyorum, şeklinde rıza alınarak kişisel verilerin işlenmesi kanun kapsamında değildir, açık rıza bir metin çerçevesinde hangi kişisel veriyi firmadan veya kişiden alacağımızla alakalı olarak o kişiyi aydınlatma yükümlülüğü ve burdan açık rıza alma olayıdır. Belirli bir çerçevesi vardır, bununla ilgili olarak sözlü, yazılı, elektronik ortamda açık rıza alınabilmektedir. Herhangi bir ceza geldiği takdirde sözlü olarak alınan açık rıza kanıtlanamayacağı için elektronik ortamda ve yazılı bir şekilde alınması önerilmektedir.

Aydınlatma Yükümlülüğü: Kanun, kişisel verileri işlenen ilgili kişilere, bu verilerin kim tarafından, hangi amaçlarla ve hukuki sebeplerle işlenebileceği aynı zamanda kimlere hangi amaçlarla aktarılabileceği hususunda bilgi edinme hakkı tanımaktadır. Bu hususlar çerçevesince, veri sorumlusunun aydınlatma yükümlülüğü kapsamında ele alınmaktadır. Tüketicilerin verileri işlenmeden önce aydınlatma yükümlülüğü maddesine bağlı olarak bilgi verilmeli, işlenmesi, paylaşılması ve benzeri durumlar için tüketicilerin açık rıza alınarak aydınlatılması kanun kapsamında zorunlu hale getirilmiştir.

Verbis Kayıt Sistemi, Veri sorumluları sicil kaydı, veri sorumlularının kayıt olmak zorunda oldukları ve veri işleme faaliyetleri ile ilgili bilgileri beyan ettikleri bir kayıt sistemidir. Verbis kayıt sistemi, veri sorumlusu dediğimiz şirket tarafından yapılmak zorundadır. Veri sorumlusu olarak adlandırdığımız ilgili kurum, kuruluş, firmalar veri sorumlusudur. 30 Eylül’e kadar verbis kayıt sistemine sorumlu olan firmalar kayıt yaptırmak zorundadır.

Verbis’e Hangi Firmalar Kayıt Yaptırmak Zorunda ?

• Yıllık çalışan sayısı 50’den fazla olan veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluların ile yurt dışında yerleşik tüm veri sorumluları 30.09.2020 tarihine kadar verbis sicile kayıt olmak zorundadır.
• Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olmakla birlikte ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişiler veri sorumluları 31.03.2021 tarihine kadar kayıt yaptırmak zorundadır.
• Kamu kurum ve kuruluşu veri sorumluları 31.03.2021 tarihine kadar kayıt yaptırmak zorundadır.

Kanuna göre, kamu kurumları dahil, kişisel verileri işleyen tüm kurum, işletme ve işverenler kanun kapsamındadır. Kanun kapsamında olan tüm kurum ve kuruluşların Veri Sicil Sistemine; Büyük işletmelerin 30.09.2020, Küçük işletmelerin 31.03.2021 ve Kamu kurumlarının ise 31.03.20201 tarihine kadar kayıt olmaları ve Kişisel Verileri Koruma Kurumuna hangi kişisel verileri, hangi amaçla, hangi kanuni dayanakla ve ne kadar süreyle işleyeceklerini bildirmeleri gerekmektedir. Aksi halde, hapis cezası dahil ağır cezaları bulunmaktadır.

İşletmeler KVKK yükümlülüklerini yerine getirmediği takdirde herhangi bir yaptırım söz konusu mudur? Şirketlerin yükümlülükleri nelerdir? 

Firmaları sıkıntıya sokan konu yükümlülük altında bahsettiğimiz işletmeler sorumlu olarak geçmektedir. 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nun yürürlüğe girmesiyle birlikte, kanun, firmalara ve işletme sahiplerine ciddi idari para cezaları getirmekle birlikte bazı durumlarda hapis cezaları da söz konusudur.

İdari para cezaları;

• Kişisel veri ihlali,
• Aydınlatma yükümlülüğünün ihlali, 
• Veri güvenliği yükümlülüğünün ihlali, 
• Sicile kayıt yaptırmamak, 
• Kurul kararlarına muhalefet, konularında idari para cezası mevcuttur. 

Hapis cezaları;

• Kişisel veri ihlali,
• Kişisel verileri hukuka aykırı olarak kaydetmek,
• Kişisel verileri hukuka aykırı olarak yaymak, başkalarına verme veya ele geçirme,
• Kişisel verileri süresi geçmesine veya ilgili kişi istemesine rağmen yok etmeme
• konularınında da cezai yaptırım bulunmaktadır.

Hem idari hem cezai yaptırımlar söz konusu kanun kapsamındadır. Firmalara önerimiz bir an önce bu işlemleri gerçekleştirip bu yaptırımlardan kaçınmalarıdır.

Albert Solino olarak KVKK süreçlerini KVKK danışmanlık yol haritası ile birlikte iki fazda gerçekleştirmekteyiz.

 İlk fazı KVKK uyum, temel altyapı süreçlerini oluşturmak olarak düşünebiliriz. Temel altyapı oluşturma süreçleri; süreç veya faaliyet bazında kişisel verilerin tespiti, tespit edilen kişisel verilerin niteliklerinin belirlenmesi, ilgili süreç prosedürlerinin oluşturulması ve bunun canlıya alınması, veri sorumlusuna farkındalık eğitimi, irtibat kişisine ve çalışanlara farkındalık eğitimi verilmesidir.

İkinci fazda KVKK uyum süreçleri kapsayan işveren tarafında karşılaşılabilecek önemli durumlarda rehberlik ve yol göstermek. KVKK yaşayan bir kanun bu noktada bu kanunla ilgili bir çok gri alanlar bulunmakta, kişisel verileri koruma kurulu bunlara yönelik kurul kararlarını açıklayarak gri alanların önüne geçmektedir. Bu konuda firmaların özelinde birebir takip etmeleri çok zor olmakla beraber, bu alanda değişen yönetmelikler hakkında firmaları bilgilendirme ile yükümlüyüz. 

KVKK kurul kararları, bu kararların işveren üzerinde yaratabileceği etkilere dair bilgilendirmeler, geçen zaman içerisinde karşılaşılan kişisel verilerin işlenmesi ve korunmasına dair güncel olaylara karşı görüş oluşturuyor, bunlara karşı strateji geliştiriyoruz. En çok karşılaştığımız olaylardan biri de siber saldırı, bir saldırı anında firmalara neler yapması gerektiğine dair yol gösterici olmakla beraber, bu siber saldırılara dair de stratejiler geliştirmekteyiz.

Verbis’e Kayıtta Son Tarih Nedir? 

Verbis kayıt sistemine ilgili firmaların 30.09.2020 tarihine kadar veri sistemine kayıt yaptırmaları gerekmektedir. Bunun cezai yükümlülükleri de mevcut bulunmaktadır. Verbis kayıt kuruluna kayıt olduktan sonra, firmalarımızın işi bitmiyor, yeni başlıyor diyebiliriz. Buna yönelik olarak verbis kayıt sistemine kaydı yaptırıldı, bilgiler toplandı, kurula iletildi ve sicile kaydı gerçekleştirildi. Bu noktadan sonra ilk olarak firmalarda ilgili süreçleri işletmekteyiz. Firma çalışanlarına , müşterilerine , tedarikçilerinden , iş ortaklarından hangi kişisel verileri saklıyor, hangilerini toparlıyor, muhafaza ediyor, nerede saklıyor, elektronik ortamda mı tutuyor, matbu döküman olarak mı var, bunlar incelenmektedir. Süreçsel olarak verbis kayıt sistemine kayıt olmadan önce bunların analizinin yapılması gerekmektedir.

KVKK Kapsamında Müşteriler Nelere Dikkat Etmelidir, Tavsiyeler Nelerdir? 

Firmalar açık rıza ve aydınlatma metnine dikkat etmesi gerekmektedir. Kurul burda her kişisel veri için aydınlatma yükümlülüğünün yapılmasını, bazı kişisel veriler içinde hem aydınlatma metni, hemde açık rızanın alınması taraftarı bununla ilgili cezai yükümlülükleri de ayrı ayrı saymaktadır. Firmalar çalışanının özlük dosyasındaki kişisel verilerini işlerken aydınlatma yükümlülüğü yapmak zorundayken, sağlık verilerini işlerken ilgili kişiden açık rıza almak zorundadır. Bu konuda da biri yurt dışı ve yurt dışı aktarımda kanun kapsamında önemli bir detaydır. Firmalar buna dikkat etmelidir. 

Yurt içinde aktarım yaparken veri işleyenlere aktarım yaparken, veri işleyenlerle ilgili sözleşmelerine ek protokollerin bulunması, hangi verileri işleyeceği, herhangi bir zafiyet anında nasıl önlem alınacağı bunları sözleşmelerinde birebir yazmak zorundadırlar. 

Yurt dışına veri aktarım yaparken ise yurt dışında hangi ülkeye veri aktarımı yapıyor, o ülkeye veri aktarımı yapmak zorunda mı gibi konuları detaylı olarak öğrenerek, bunlarla ilgili veri taahhütnameleri doldurup kuruldan onay alınması gerekmektedir.

İdari ve teknik tedbirler olarak söz konusu olan bir oluşumda var, idari tedbirler olarak saydığımız olayların, kişisel veri işleme noktalarını belirli bir prosedüre sürece dayandırılması gerekmektedir. Bununla ilgili olarak biran önce bu süreçlerin prosedürlerinin hazırlanması gerekmektedir. Çalışanlarla ilgili olarak çalışanların sözleşmeleri ne, ek sözleşmeleri ve ek protokoller eklenmekte bunlara dikkat etmeleri gerekmektedir.