KİŞİSEL VERİLERİN KORUNMASI KANUNU KAPSAMINDA KURUMSAL DÖNÜŞÜM SÜRECİ

KİŞİSEL VERİLERİN KORUNMASI KANUNU KAPSAMINDA KURUMSAL DÖNÜŞÜM SÜRECİ

6698 sayılı Kişisel Verilerin Korunması Hakkında Kanun’un (“KVKK” veya “Kanun”) 2016 yılından Avrupa Birliği uyum süreci kapsamında yürürlüğe girmesi ile birlikte ülkemizde faaliyet gösteren özel hukuk ve kamu hukuku kişilerinin Kanun ve ilgili mevzuat hükümlerine uyum sağlaması ve kurumsal dönüşüm gerçekleştirme gereği ortaya çıkmıştır. Bu kapsamda, Güzel Hukuk Bürosu olarak biz de bu makalemizde Kanun’un kısaca kapsamını ve kısaca kurumsal dönüşüm sürecinin nasıl gerçekleştirilmesi gerektiğini kaleme alacağız.

  1. Kişisel Veri ve Özel Nitelikli Kişisel Veri Nedir?

Kişisel Veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir. Kimlik bilgileri, iletişim bilgileri, dernek veya vakıf üyelikleri, sağlık bilgileri, genetik ve biyometrik veriler, mali bilgiler, kamera kayıtları veya fotoğraflar kişisel veri kapsamında sayılabilecek verilerdendir. Burada bir verinin kişisel veri olarak nitelenebilmesi için iki unsurun bulunması gerektiğini ifade etmemiz gerekir:

  • Gerçek kişiye ilişkin bir veri olmalı,
  • İlgili gerçek kişinin kimliği belirli veya belirlenebilir olmalı,

Söz konusu unsurlardan anlaşılacağı üzere tüzel kişilere ilişkin verilerle anonim veriler Kanun’un kapsamı dışında kalmaktadır.

Kişisel verilerin daha sıkı korunan bir alt kategorisi olarak nitelenebilecek özel nitelikli kişisel veriler, Kanun’da sınırlı sayma yoluyla belirlenmiştir. Bunlar; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileridir. Özel nitelikli kişisel verilerin kıyas yoluyla genişletilmesi mümkün değildir.

Kural olarak özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır. Sağlık ve cinsel hayata ilişkin kişisel veriler ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.

Özel nitelikli kişisel verilerin işlenmesi durumunda, Kurul tarafından belirlenen yeterli önlemlerin alınması zorunludur.[1]

  1. Kişisel Verilerin Korunması Hakkında Mevzuat

2010 yılında Türkiye Cumhuriyeti Anayasası’nda yapılan değişiklik ile gerçek kişilere ait kişisel veriler Anayasal koruma altına alınmıştır. Söz konusu değişiklik ile Anayasa’nın 20/3. maddesinde şu ifadelere yer verilmiştir:

Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.

Anayasanın 20. maddesine dayanılarak çıkarılan Kanun ise 24 Mart 2016 tarihinde yürürlüğe girmiştir. Kanun veri sahiplerinin bilgilerini veri işleyen özel hukuk ve/veya kamu hukuku kişilerine emanet ettiği andan itibaren; kişisel veriyi nasıl kullanacağını, işleneceğini ve/veya aktarılacağını, kimlerin erişim izni olması gerektiğini, verilerin silinmesine kadar tüm aşamalardaki ‘hesap verilebilirliği’ düzenlemeyi hedeflemiştir. Kanun’un yürürlüğe girmesini takiben yönetmelik ve tebliğ gibi ikincil düzenlemeler yürürlüğe konmuştur.

  1. KVKK Kapsamında Kurumsal Dönüşümün Gerekliliği

Günümüzde birçok özel hukuk tüzel kişisi, kamu kurum ve kuruluşu, yabancı kuruluş veya gerçek kişi kendi faaliyetleri kapsamında çok sayıda kişisel veri elde etmekte ve kullanmaktadır. Söz konusu veri işleyenler, daha iyi hizmet sunmak veya ticaret hacmini artırmak üzere daha fazla kişisel veriye ulaşmayı ve üçüncü kişilerle paylaşmayı hedeflemektedir. Daha fazla kişisel veri işlemeye yönelmek; işlenen kişisel verilerin sağladığı kolaylık ve avantajlar nedeniyle ekonomik katkı veya verilen hizmet kalitesinde artış sağlamakla birlikte veri güvenliğine dair çeşitli risk ve ihlal ihtimallerini de gündeme getirmektedir. Kanun kapsamında, veri ihlallerine ilişkin özel hukuk gerçek ve tüzel kişileri bakından ciddi para cezaları öngörülmüş olmakla birlikte, kamu çalışanları bakımından da disiplin hükümlerinin uygulanmasına yer verilmiştir. Bu kapsamda, yeni bir mevzuat olarak hayatımıza girmiş olan Kişisel Verilerin Korunması mevzuatı hakkında, tüm paydaşların en azından farkındalık düzeyinde bilgi sahibi olması gerekmektedir. Bunun için de KVKK mevzuatına ilişkin kurumsal dönüşüm sürecinin gerçekleştirilmesi büyük önem arz etmektedir.

  1. KVKK Kapsamında Kurumsal Dönüşüm Süreci Aşamaları

       Kanun kapsamında özellikle özel hukuk ve kamu hukuku tüzel kişileri için yürütülecek olan kurumsal dönüşüm süreci belirli aşamaları içermektedir. Söz konusu aşamaların eksiksiz yerine getirilmesi halinde, Kanun’un öngördüğü idari yaptırımlarla karşılaşma riski oldukça azalacaktır.

  • Mevcut Durum ve Kapsam Tespiti

         Tarafımızca mevzuat hükümleri göz önünde bulundurularak hazırlanmış olan soru setlerinin cevaplanması ile ilgili kurumsal dönüşüm sürecine dahil olan özel hukuk veya kamu hukuku tüzel kişilerinin KVKK kapsamında hangi aşamada olduğu tespit edilecektir. Halihazırda alınmış idari/teknik tedbir mevcutsa, bu tedbirlerin mevzuat hükümlerine uygunluğu denetlenerek, gerekli düzelme önerileri paylaşılacaktır.

Kurumsal dönüşüm sürecindeki özel hukuk veya kamu hukuku tüzel kişilerinin çalışanları ile mülakatlar yapılarak ilgili tüzel kişilik bünyesindeki işleyiş ve kişisel verilerin korunması noktasındaki farkındalık düzeyi tespit edilecektir. Mevcut durumun tespiti üzerine verilecek hizmet kapsamı ve çalışma takvimi düzenlenecektir.

  • Detaylı Analiz ve Raporlama

         KVKK kurumsal dönüşüm sürecine ilişkin yol haritası belirlendikten sonra «Due Diligence» yapılarak ilgili veri sorumlusunun ihtiyaçlarına yönelik detaylı Analiz Raporu hazırlanacaktır. Rapor’da sorunların ve bu sorunların çözümü için alınacak idari ve teknik tedbirlere yer verilecektir. Raporla birlikte ilgili veri sorumlusunun ihtiyaç duyduğu aydınlatma metinleri, açık rıza metinleri ve kişisel veri politikaları oluşturularak paylaşılacaktır.

  • İdari ve Teknik Tedbirler

Her veri sorumlusunun kişisel verilerin korunması noktasında alması gereken farklı idari ve teknik tedbirler mevcuttur. Kurumsal dönüşüm sürecine dahil olan özel hukuk veya kamu hukuku tüzel kişilerinin hangi tedbirlere ihtiyaç duyduğu birinci ve ikinci aşamada belirlenecek ve bu kapsamda gerekli idari ve teknik tedbirlerin alınması noktasında danışmanlık verilecektir. Söz konusu tedbirlerden bazıları şunlardır:

  • İdari Tedbirlerden Bazıları
  • Tüzel kişilik içi çalışma ve iş bölümü analizi yapılarak yetkilendirme matrisi düzenlenmesi
  • Tüzel kişilik çalışanları ve üçüncü kişilerle yapılan sözleşmelerin revize edilmesi
  • Veri envanterinin hazırlanması ve gerektiğinde süreç içerisinde güncellenmesi
  • Gerekli ise Veri Sorumluları Sicili’ne kaydının gerçekleştirilmesi
  • Tüzel kişiliğin kişisel veri politikasının hazırlanması
  • Şikayet yönetimi protokolünün hazırlanması
  • Çalışan/Müşteri/Ziyaretçi/Veri İşleyen aydınlatma ve onay metinlerinin hazırlanması
  • Web sitesi kişisel veri aydınlatma ve onay metinlerinin hazırlanması
  • Özel nitelikli kişisel verilere ilişkin politika hazırlanması
  • Kurumsal dönüşüm sürecine dahil olan tüzel kişiliğe özel idari/hukuki tüm belgelerin hazırlanması
  • Teknik Tedbirlerden Bazıları
  • Tüzel kişilik içerisinde yetki matrisi oluşturulması
  • Erişim logları tespitine yönelik güncellemelerin yapılması
  • Kullanıcı hesap yönetimi ve şifrelemelerin mevzuat hükümleri uyarınca güncellenmesi
  • Gerekli hallerde veri maskelemeye yönelik güncellemelerin yapılması
  • Veri kaybı önleme yazılımlarının uygulanması
  • Yedeklemelerin mevzuat hükümlerine uygun yapılmasının sağlanması
  • Silme, yok etme, anonim hale getirme işlemlerinin mevzuat hükümlerine uygun yerine getirilmesinin sağlanması
  • Sunuculara ve internet sitesine sızma testi yapılarak veri güvenliğinin sağlanıp sağlanmadığı tespit edilerek, gerekli güncellemeler yapılacaktır.
  • Kurumsal dönüşüm sürecine dahil olan tüzel kişiliğe özel gerekli tüm teknik tedbirlerin alınması
  • Uygulama Desteği ve Eğitim

         Uygulama desteği ve eğitim olmaksızın yapılacak bir KVKK dönüşümü, birtakım sözcüklerin kağıtlarda yazılı olmasından başka bir anlam ifade etmeyecektir. Bu kapsamda, kişisel verilerin korunması mevzuatının ilgili özel hukuk ve kamu hukuku tüzel kişilikleri bünyesinde uygulanır hale gelmesi için gerekli desteğin sağlanması ve her çalışanın KVKK mevzuatından haberdar olması için eğitimlerin verilmesi büyük önem arz etmektedir. Verilecek eğitimleri takiben talep edilirse ölçme değerlendirme yapılarak, tüm çalışanların kendi sorumluluklarının bilincinde olmasının sağlanması da KVKK kapsamında kurumsal dönüşüm sürecinin tamamlanması için gereklidir.

  • Denetim

KVKK dönüşümünün tamamlanmasını takiben, Kanun’dan kaynaklanan idari ve teknik gerekliliklerin, ilgili veri sorumlusu özel hukuk veya kamu hukuku tüzel kişiliği çalışanları tarafından uygulanıp uygulanmadığının değerlendirilmesi ile birlikte denetim raporu hazırlanarak KVKK kapsamında gerçekleştirilmiş olan kurumsal dönüşüm sürecinin uygulamadaki karşılığı tespit edilecektir. Denetim raporu ile hedeflenen, gerekli tedbirlerin hazırlanmasına, eğitimlerin verilmesine ve uyarıların yapılmasına rağmen, mevzuat hükümlerine aykırı süreçlerin yürütüldüğünün tespiti halinde gerekli tedbirleri almakla yükümlü yöneticilerin söz konusu eksikliklerden haberdar olmasını sağlamaktır.

  1. Kişisel Veri İhlali Halinde Cezalar

         İlgili gerçek kişilerin kişisel verilerinin işlenmesi halinde Kişisel Verilerin Korunması Kurulu tarafından uygulanacak idari para cezaları ile Türk Ceza Kanunu’nda yer verilen suç nedeniyle hapis cezası söz konusu olabilmektedir. Ayrıca, idari para cezası uygulanmayan kamu hukuku tüzel kişileri bakımından veri ihlali gerçekleşmesi halinde sorumlu kamu görevlisi hakkında disiplin cezası uygulanması söz konusu olabilmektedir.

  • İdari Para Cezaları

Kanun’da ön görülmüş olan idari para cezaları 2021 yılı için şu şekildedir:

  • Aydınlatma yükümlülüğünün ihlali halinde alt sınır 9.834,00 TL ve üst sınır 196.686,00 TL olmak üzere idari para cezasına Kurul tarafından hükmedilebilecektir.
  • Veri güvenliğine ilişkin ihlal halinde alt sınır 29.503,00 TL ve üst sınır 1.966.862,00 TL olmak üzere idari para cezasına Kurul tarafından hükmedilebilecektir.
  • Kurul kararlarını yerine getirmeme halinde alt sınır 49.172,00 TL ve üst sınır 1.966.862,00 TL olmak üzere idari para cezasına Kurul tarafından hükmedilebilecektir.
  • Veri Sorumluları Sicili’ne kayıt ve bildirim yükümlülüğüne aykırılık halinde alt sınır 39.337,00 TL ve üst sınır 1.966.862,00 TL olmak üzere idari para cezasına Kurul tarafından hükmedilebilecektir.
  • Hapis Cezası

Türk Ceza Kanunu’nun m.135-140. arasında kişisel veri ihlallerine karşı 1 yıldan 4,5 yıla kadar hapis cezası öngörülmüştür. İşbu makale kapsamına dahil olmadığı için detaylarına girmesek de kişisel verilerin özellikle maddi kazanç için hukuka aykırı şekilde işlenmesi durumunda hapis cezası ile karşı karşıya kalma riskinin bulunduğunu belirtmek isteriz.

  1. Sonuç

Anayasal koruma altına alınmış ve Kanun’un yürürlüğe girmesiyle birlikte korumaya ilişkin usul ve esasları belirlenmiş olan kişisel verilere ilişkin ihlallerle ve neticeten idari ve cezai yaptırımlarla karşı karşıya kalmamak için tüm özel hukuk ve kamu hukuku tüzel kişilerinin KVKK kapsamında kurumsal dönüşüm sürecinin gerçekleştirmeleri büyük önem arz etmektedir.

Saygılarımızla,

Av. Bekir Bozdağ

[1] 31/01/2018 tarih ve 2018/10 sayılı Kişisel Verilerin Korunması Kurulu Kararı

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir