6698 sayılı Kişisel Verilerin Korunması Kanunu’nda yer alan tanıma göre kişisel veri; kimliği belirli veya belirlenebilir, gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir. Bu bilgilerin veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem ise “kişisel verilerin işlenmesi” olarak adlandırılır.

   Kural olarak, kişisel veriler ilgili kişinin açık rızası alınarak işlenebilir. Açık rıza, kanunda ‘‘Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza’’ şeklinde tanımlanmıştır. Rızanın verilme metodu ile ilgili kanunda bir düzenleme olmadığından rıza, elektronik imza, güvenli elektronik imza, ıslak imza, opt-in seçeneğinin işaretlenmesi gibi aktif yollar ile de alınabilecektir.

   Kanunun yayımı tarihi olan 7 Nisan 2016 tarihinden önce işlenmiş olan kişisel veriler, Kanunun yayımı tarihinden itibaren iki yıl içinde bu Kanun hükümlerine uygun hâle getirilir. Yani şirketlerin geçiş süresi olan 7 Nisan 2018’e kadar, kişisel veri işlenmesine ilişkin tüm müşterilerinin rızalarını almaları gerekmektedir ve ancak Kanun’dan kaynaklanan aydınlatma yükümlülüğü hali hazırda yürürlüktedir. Bu durumda müşterileriniz açısından yüz yüze olan görüşmelerde derhal rızanın alınması ve yapılacak işlemden ayrı olarak bir form şeklinde aydınlatma metninin müşteriye okutulup imzalatılması gerekmektedir. Avrupa Birliği uygulamaları aydınlatma formunun mutlaka ayrı bir form olmasını öngörmektedir. 

   Kişisel verilerin işlenmesine dair dikkat edilmesi gerekenler listesi oldukça uzun ve hassas bir konudur. Veri Sorumluları Sicili Hakkında Yönetmelik Taslak halinde olsa da yayımı tarihinde yürürlüğe gireceği düzenlenmekte ve geçiş için ek bir süre tanınmadığından Kişisel Veri Sorumlularının derhal çalışmalarını yaparak Yönetmeliğe hazır olmaları gerekmektedir. 

   Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişilere “veri sorumlusu” adını veriyoruz. Veri Sorumluları Sicili (“Sicil”), veri sorumlularının kayıt olmak zorunda oldukları ve veri işleme faaliyetleri ile ilgili bilgileri beyan ettikleri bir kayıt sistemidir. Yönetmelik yürürlüğe girdiğinde Kişisel verinin niteliği, sayısı, işlenme amacı, işlendiği faaliyet alanı, üçüncü kişilere aktarılma durumu, kişisel veri işleme faaliyetinin; kanunlarda açıkça öngörülüp öngörülmediği veya veri sorumlusunun hukuki yükümlülüğünü yerine getirmesi için gerekli olup olmadığı, kişisel verinin muhafaza edilme süresi, veri sorumlusunun istihdam ettiği çalışan sayısı işlenecektir. Bu bilgilere Kişisel Veri İşleme Envanteri ismi verilmekle beraber Sicile kayıt yükümlülüğü bulunan veri sorumluları bu envanteri düzenleme yükümlülüğü altındadır.

   Türkiye’de yerleşik olan veri sorumluları ile yurt dışında yerleşik olan ve tüzel kişi veri sorumlusu temsilcisi atayan veri sorumluları, sicile kayıt ve diğer işlemler için bir irtibat kişisi atamakla yükümlüdür. Atanan bu kişi, veri sorumlusunun temsilcisi değildir. İrtibat kişisi Kişisel Verileri Koruma Kurumu (“Kurum”) ve veri sorumlusu arasındaki iletişimin sağlanması ve yönetilmesinden sorumlu olacaktır. Yurtdışında yerleşik veri sorumlularının ise Türkiye’de yerleşik olan bir tüzel kişiyi ya da Türk vatandaşı bir gerçek kişiyi temsilci olarak atamaları gerekmektedir. Eğer tüzel kişiyi veri sorumlusu olarak atarlarsa söz konusu tüzel kişi Sicile kayıt ve diğer işlemlerini bir irtibat kişisi aracılığıyla yürütür.

   Sicile kayıt yükümlülüğü bulunan veri sorumluları Kişisel Veri Saklama ve İmha Politikası düzenleme yükümlülüğü altındadır.
   Sicile kayıt yükümlülüğü bulunmasına rağmen bu yükümlülüğünü yerine getirmeyen veri sorumluları hakkında 20.000 TL ila 1.000.000 TL arasında idari para cezası uygulanacaktır.

   Uygulamaya dönecek olursak; örneğin, güvenlik nedeniyle şirketlerin kapısında sorulan bilgiler dahi kişisel veri kapsamına girmektedir. Bu nedenle kart okuma sırasında gelen ziyaretçilerden alınan bilgiler için aydınlatma yükümlülükleri gerçekleştirilmeli, ‘’ziyaretçi verilerini güvenlik sebebiyle işliyorum’’ ibaresi Kişisel Veri Siciline bildirilecek envantere eklenmelidir. 

   Başka bir örnek ise Call Center aracılığı ile yapılan görüşmelerinde izlenecek yola ilişkindir. Görüşmelerde müşterinin herhangi bir kişisel verisini almadan önce aydınlatma metninin telefonla dinletilmesi ve müşteriden sesli kayıt sistemi ile rıza alınması gerekir. Aydınlatma yükümlülüğü veya rıza almak, e-mail ve sms aracılığıyla da mümkündür. Bu yollarla aydınlatma metni yollandığında müşterilerin aydınlatma metnini okuduğundan emin olmak için linkin açılarak metnin okunduğunu gösteren bir loglama sisteminin var olması gerekir. Böyle bir loglama sisteminin olmadığı durumlarda ‘’okudum+onayladım’’ kutucuğu eklenerek de işlem yapılabilir. Bu kutucuğun ayrıca açılması ve ekranda kalması yükümlülüklerin yerine getirilmesine ilişkin olası ihtilaflarda şirketlerin lehine olabilecektir. 

   Şirketlerin web sitelerinin de Kişisel Verilerin Korunması Kanununa göre dizayn edilmesi de gerekmektedir. Bu nedenle de web sitelerine müşterileri aydınlatmak için öncelikle bir aydınlatma metni konulması gerekir. Bunun yanı sıra, web sitesi aracılığı ile alınacak kişisel veriler için de müşterilerin rızalarını almak gerekir. Bunu sağlamak için sitelere ‘’Kullanıcı/Kullanıcılar, web sitesine girmeden önce yukarıda yer alan “Kişisel Verilerin Korunması Hakkında Bilgilendirme/Kişisel Veri Paylaşım İzni”ni okuduklarını, açıklanan tüm hususlara uyacaklarını kabul, beyan ve taahhüt etmişlerdir’’ şeklinde bir kutucuk eklenebilecektir. Ayrıca web sitesine şirketin veri işleme politikasının ne olduğunu göstermesi açısından içinde mutlaka verilerin silinmesi ve imhası kısımlarının da bulunduğu bir ‘’Veri İşleme Politikası’’ metni eklenebilir. 

   Ayrıca şirketlerin, Veri sorumlusu olarak Kişisel Verilerin Korunması Kanunu’na aykırı olarak gerçekleştirilebilecek her fiilden sorumluluğu bulunmaktadır. Veri Sorumlusu bankacılık işlemleri/hizmetleri, finansman sağlama işlemleri/hizmetleri, müşteri işlemleri/hizmetleri, acentelik, sigorta ve sair aracılık işlemleri/hizmetleri gibi her türlü işlemlerin/ilişkilerin/hizmetlerin sunulması ve yerine getirilmesi ile imzalanmış/imzalanacak sözleşmeler ile kurulmuş/kurulacak ilişkiler, yeni ürünlerin ve hizmetlerin sunulması, müşteri memnuniyetinin sağlanması ve daha iyi hizmet verilebilmesinin sağlanması, veri sorumlusu olan kuruluş ile aranızdaki hukuki, ticari ve sair her türlü ilişkilerin düzenlenmesi ve yürütülmesi, mevzuattan ve sözleşmelerden kaynaklanan yükümlülüklerinin yerine getirilmesi gibi amaçlar başta olmak ve fakat bu sayılanlarla sınırlı olmamak üzere her türlü mevzuat uyarınca gerçekleştirebilecek faaliyetlerde kullanılmak amacıyla kişisel verileri işleyebilecektir. 

   Veri Sorumlusunun öncelikle yapması gereken şey, şirketteki bütün departmanların teker teker hangi kişisel verileri işlediğini tespit etmek ve bu verilerin neden işlendiğini listelemektir. Silme işlemi için de böyle bir listenin hazırlanması gerekir. Verilerin alındıktan sonra 10 yıl saklanması gerektiğini de söylemekte fayda var. Veri Sorumlusu verileri tespit ettikten sonra bu verilerin nerelerden alındığını, nerelere aktarıldığını, verilerin hangi kanallar aracılığıyla alındığını, aydınlatma yükümlülüğünün yerine getirilip getirilmediğini de tespit etmek zorundadır. 

    Verileri kanundaki hükümlere aykırı olarak işleyen, aktaran, bulunduran şirketler hakkında ise hem cezai işlem hem de para cezası yaptırımları uygulanabiliyor. Kanun uyarınca; aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar, veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar, kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar, Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası veriliyor. 

   Ceza Kanunu bakımından ise Kişisel Verileri Verme, Yayma, Ele Geçirme Suçu (TCK 136) Özel Hayata ve Hayatın Gizli Alanına Karşı Suçlar üst başlığı altında karşılık bulmuş ve bağımsız bir suç olarak tanımlanmıştır. Kişisel verileri hukuka aykırı olarak verme, yayma veya ele geçirme 2 yıldan 4 yıla kadar hapis cezası ile cezalandırılır.

   Özetlersek, şirketlerin kişisel veri işleyip işlemediği, işliyorsa hangi kişisel verileri işlediğinin teker teker tespiti, işlenen verilerinin hangi birim tarafından işlendiğini, hangi amaçla işlediğini, şirket dışı üçüncü kişilere verileri aktarıp aktarmadığını, verileri aldığı bir kurum olup olmadığını, bütün bu verilerin denetimini yapıp yapmadığını listelemesi ve envanter çıkarması, oluşturduğu kişisel veri politikası doğrultusunda müşterileri aydınlatma yükümlülüğünü yerine getirmesi ve rıza alması gerekiyor. Bütün bu sürecin doğru işlemesi için de veri sorumlularının Avrupa Birliği ülkelerinde olduğu gibi tarafsız ve bağımsız kişilerden seçilip doğrudan şirketin CEO’suna bağlı olarak çalışması, bu konuda Veri Merkezi Departmanlarının kurulması, bu departmanın şirket içi tüm departmanların işlediği veriler ile sürelerini, üçüncü kişilerle yapılan sözleşmelerde onların edindiği kişisel verileri takip etmesi için görevlendirilmeleri ve VERBİS (Kişisel Verilerin İşlendiği Sicil) ile koordinasyondan sorumlu olmaları uygun olabilecektir. Ayrıca işe yeni giren tüm çalışanlara kişisel veri eğitimleri verilmesi ve her kurumda konuyla alakalı uzman bir hukukçu bulunması da sürecin doğru işlemesine büyük katkı sunacaktır.  
 

Avatar
Adınız
Yorum Gönder
Kalan Karakter:
Yorumunuz onaylanmak üzere yöneticiye iletilmiştir.×
Dikkat! Suç teşkil edecek, yasadışı, tehditkar, rahatsız edici, hakaret ve küfür içeren, aşağılayıcı, küçük düşürücü, kaba, müstehcen, ahlaka aykırı, kişilik haklarına zarar verici ya da benzeri niteliklerde içeriklerden doğan her türlü mali, hukuki, cezai, idari sorumluluk içeriği gönderen Üye/Üyeler’e aittir.