Personal Data Protection for Companies (Şirketler İçin KVKK)

ŞİRKETLER İÇİN KVKK

Öncelikle, muhtemelen duymayan kalmamıştır ama yine de tekrarlamakta fayda var.  Veri sorumluları sicil bilgi sistemine kayıt son tarihleri yaklaşık 6 ay kadar uzatıldı. Birçok şirket için Veri Sorumluları Sicili ’ne kayıt için son tarih artık 31.06.2020. Peki, şirketiniz Kişisel Verilerin Korunması Kanunu’na (KVKK) hazır mı? Muhtemelen değil. Zira, halihazırda diğer yükümlülükleri bir kenara koyduğumuzda dahi yalnızca sicil kayıt başvurusunda bulunan şirket sayısı olması gerekenin çok çok altında.

Peki, nedir bu KVKK, neden yürürlüğe girdi? 6698 Sayılı Kişisel Verileri Koruma Kanunu 2016 yılında resmî gazetede yayımlanarak, mevzuatımıza girdi. Fakat kişisel verileri koruma mevzuatı bundan daha eski. Kanun özünde sizin, benim gibi gerçek kişilerin kişisel verilerini (kimliği tanımlanabilir kılacak her türlü veriyi) korumak, bir başka değişle mahremiyetimizi sağlama amacı taşımakta. Kanunun mevzuatımızda yer almasının en büyük sebebi ise şüphesiz Avrupa Birliği uyum süreci kapsamında atılması gereken 6 adımdan biri olması. 

Kişisel veri kavramı ise hafife alınmamalı; isim ve soy-isim bilgisinden, plaka numarasına; bilgisayarınızın IP adresinden parmak izine bunların hepsi birer kişisel veridir. Uygulamada ise özlük dosyalarında adli sabıka kaydı veya sağlık raporları bulundurmayan şirket bulmak oldukça güç. Fakat kanun kapsamında parmak izi gibi biyometrik veriler, adli sicil kayıtları gibi ceza mahkumiyeti verileri veya sağlık bilgileri özel nitelikli kişisel veri olarak sınıflandırılmakta ve bu tür verilerin işlenmesi durumunda ekstra bir takım tedbir ve yükümlülükler öngörülmüş.

Ayrıca, KVKK ile mevzuatımıza yeni bir kavram daha kazandırıldı, veri sorumlusu… Veri sorumlusu, kişisel verilerin işlenmesi sırasında amaç ve araçları belirleyen gerçek veya tüzel kişidir. Örneğin; personellerin özlük dosyaları bakımından veri sorumlusu işveren firmadır. Burada dikkat edilmesi gereken, uygulamada sıklıkla karıştırıldığını gördüğümüz bir hususa değinmek isterim. Veri sorumlusu, şirket personelleri (insan kaynakları, hasta kabul personeli vs.) değil; fakat şirketin tüzel kişiliğidir.

Kişisel Verileri Koruma Kanununu incelediğimizde şirketlerin personellerine, etkileşim içerisinde oldukları tüketicilere veya ilgili kişilere karşı birtakım yükümlülükleri olduğu, kanuna aykırılıkların tespiti durumunda ise 2020 yılı için 1.802.640-TL’ye kadar idari para cezası ile karşılaşılacakları açıkça düzenlenmiş.

Şirketlerin KVKK kapsamında yükümlülükleri nelerdir? Kanun tarafından şirketlere getirilen yükümlülükler birkaç başlık altında toplanabilir. Bunlardan en önemli olanlarından bir tanesi şüphesiz ki, veri sorumlularının aydınlatma yükümlülüğü (KVKK Mad. 10). Aydınlatma yükümlülüğü, ilgili kişinin talebine bağlı veya herhangi bir şekil şartına bağlı olmaksızın yerine getirilmesi gereken bir yükümlülüktür. Şirketler, hazırlayacak oldukları veri envanteri doğrultusunda aydınlatma metinleri oluşturmak ve uygun platformlar aracılığı ile ilgili kişileri aydınlatmak ile yükümlüdür. Söz konusu aydınlatma yükümlülüğü, uygulamada internet sitesi üzerinde yer alan metinler, telefon görüşmeleri öncesinde seslendirilme gibi farklı platformlar üzerinden gerçekleştirilebilmektedir. Ayrıca, önemle eklemek de fayda var ki, aydınlatma metinlerinin envanter doğrultusunda hazırlanması, muğlak veya kafa karışıklığına sebebiyet verebilecek ifadelere yer verilmeden gerçekleştirilmesi gerekmektedir.

Şirketler tarafından dikkat edilmesi gereken bir diğer yükümlülük ise, kanunun getirmiş olduğu ilke ve düzenlemeler doğrultusunda, gerekli her türlü teknik ve idari tedbiri alma yükümlülüğüdür (KVKK Mad. 12). Tabii ki, makul çerçevelerde bir hastane tarafından yerine getirilmesi gereken yükümlülük ile demir-çelik şirketinden beklenen tedbirler farklılık gösterecektir. Bu kapsamda alınması gereken idari tedbirlere gizlilik sözleşmeleri, personel disiplin yönetmelik ve iş sözleşmelerinde KVKK atıfları veya şirket içi kişisel veri işleme politikaları; teknik tedbirlere ise anti-virüs, güvenlik duvarı, yedekleme sistemleri gibi veri güvenliği yazılımları örnek olarak gösterilebilir.

Veri Sorumlusu Şirketler, ayrıca ilgili kişilerin başvuruları veya Kişisel Verileri Koruma Kurumu’nun istemiş olduğu bilgi ve belgeleri öngörülen yasal süreler içerisinde cevaplama yükümlülüğü (KVKK Mad. 13-15) bulunmaktadır. Söz konusu cevapların hazırlanması kapsamında ilgili tebliğde belirtili şekil şartlarına uygun bir yanıtın gerçekleştirilmesi önem teşkil etmektedir.

Kişisel Verileri Koruma Kanunu Mad. 16 kapsamında öngörülmüş bir diğer yükümlülük ise, Veri Sorumluları Sicil kayıt yükümlülüğüdür. Bu kapsamda birden çok aşama öngörülmüş olmakla birlikte; 50’den fazla personeli olan (bir yıl içerisinde bildirmiş olduğu Muhtasar ve Prim Hizmet Beyannamesinin en az 7’sinde) veya bir yıllık mali bilançosunda 25.000.000-TL’den fazla aktif veya pasif toplamı olan şirketler için son kayıt tarihi 31.06.2020. Sicil kaydının gerçekleştirilebilmesi için öncelikle şirket bünyesinde bir kişisel veri envanterinin hazırlanması da oldukça önemli. Veri Sorumluları Sicili, hesap verilebilirlik ve kamuya açıklık ilkeleri doğrultusunda hazırlanmış bir sistem. Herkese de açık. Herhangi bir bedel ödemeksizin veya üyelik kaydı oluşturmaksızın internet sitesi üzerinden (www.verbis.kvkk.gov.tr) sicil kaydını tamamlamış şirketleri sorgulayabilirsiniz.

Önemle eklemek gerekir ki, Veri Sorumluları Siciline kayıt tarihlerinin uzatılmasına ilişkin Kişisel Verileri Koruma Kurumu’nun 2019/387 sayılı kararında da önemle altı çizildiği üzere sicile beyan edilen bilgilerin tüm kişisel veri işleme faaliyetlerini kapsayacak şekilde doğru, güncel ve güvenilir bilgilerin de beyan edilmesi gerekmektedir. Hatta kurum konuya ilişkin yapmış olduğu incelemede birçok şirket tarafından beyan edilen bilgilerin örtüşmediği, bu konuda ciddi yanlışlıkların ve Kanuna/yönetmeliklere aykırılıkların olduğu görüldüğünü ifade etmiştir. Bu kapsamda kişisel veri işleme envanteri hazırlamadan gelişigüzel sicile kayıt ve bildirim gerçekleştiren veya envanter hazırlama süreçlerini tamamlayamadığı için süresinde kayıt ve bildirim yükümlülüğünü yerine getiremeyecek olan şirketlerin ivedilikle eksikliklerini gidermesi gerekmektedir.

Belirtili yükümlülükler haricinde, toplamakta olduğunuz kişisel verileri- ilgili diğer hukuki işleme şartlarından hiçbirine dahil olmaması durumunda – ilgili kişilerden açık rıza almak gibi bir takım başka yükümlülükleriniz de olduğunu ve tabii her halükârda kişisel verileri “hukuka, dürüstlük kurallarına uygun, doğru ve güncel olarak, belirli açık ve meşru amaçlar için ve amaçla sınırlı olarak işleme ile yalnızca işlendikleri amaç için gerekli olan süre kadar muhafaza etme” ilkelerini her aşamada göz önünde bulundurmanız gerektiğini belirtelim.

Kişisel Verileri Koruma Kurulunun vermiş olduğu kararlara örnek vermek gerekir ise borçlunun yeğenine mesaj atmış olduğu için bir avukata kesilen 50.000-TL’lik para cezası, spor salonlarının girişlerinde alınan parmak izinin mevzuat kapsamında orantılı olmadığı kararı, aynı konuya ilişkin birden fazla ileti gönderen varlık şirketine 20.000-TL ve hatta Facebook’a gerçekleştirmiş olduğu iki farklı ihlal sebebi ile 3.000.000-TL’nin üstünde idari para cezası dikkati çeken yalnızca bazıları. Kurulun bir başka kararında ise, şirket personelinin daha önce çalışmakta olduğu şirket kapsamında edindiği kişisel bilgileri, yeni şirketi bünyesinde işlediği, ilgili kişileri aradığı bir olayda kurum 75.000-TL idari para uygulanmasına karar verildi.  

Tüm bu kavram ve yükümlülükler, ilk defa haberdar olunması durumunda kafa karıştırıcı olabilir. Konuya ilişkin olarak uzman bir danışmanlık firması ile çalışılması durumunda ise, süreç o kadar da yıpratıcı değil. Doğru yapılmış birkaç dokunuş ve yavaşça şirketiniz kültürüne yapılacak bir KVKK entegrasyonu şirketinizi yüksek idari para cezalarından koruyacak, uyum sürecini rahatlıkla tamamlamanızı sağlayacaktır.

Saygılarımla,

Av. Mustafa YOLCU – 05.01.2020