Kişisel Verilerin Korunması Kanunu 6 Yaşında

Giriş

6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”), 7 Nisan 2016 tarihinde Resmî Gazete’de yayımlanarak yürürlüğe girdi. Geçtiğimiz bu 6 yıl içinde Kişisel Verileri Koruma Kurumu, ihbar ve/veya şikâyet yoluyla yaklaşık 12.086 tane başvuru almış ve bu başvurulardan 10.620 tanesini sonuçlandırmıştır. Bununla beraber veri sorumlusu bünyesinde gerçekleşen veri ihlallerini Kurum’a bildirme yükümlülüğü dolayısıyla Kurum’a toplamda 775 veri ihlal bildirimi yapılmıştır. Kurum, kişisel verilerin korunmasına yönelik ilgililerin başvurusu üzerine 756 hukuki görüş vermiştir. Kurum, şu ana kadar veri sorumlularına toplamda 74 milyon TL idari para cezası kesmiştir¹ .

KVKK’ya Uyum Neden Önemli?

Son on yılda algoritmaların büyük bir hızla geliştirildiğini, kişiselleştirilmiş alışveriş deneyimi sunan yeni nesil pazarlama sistemlerinin ortaya çıktığını, dijitalleşme trendinin yaygınlaştığını, siber saldırıların çok ciddi bir sorun olarak karşımıza çıktığını, sosyal medyanın giderek daha etkin hale geldiğini ve e-ticaretin hiç olmadığı kadar hayatımızın içinde olduğunu görüyoruz. Tüm bu gelişmelerin odak noktası olan veri artık sadece miktar olarak değil; niteliksel açıdan analiz edilerek işe yarar hale getiriliyor. Çok uluslu şirketlerin büyük veriyi analiz edebilmek için departmanlar kurduğu, yönetim kurullarında verinin kullanımı ve yönetiminden sorumlu üst düzey yöneticiler atandığı bir dünyada veriler hiç olmadığı kadar korunmaya muhtaç durumda.

KVKK, kişisel verilerin korunması ve belirli kurallar çerçevesinde işlenmesi amacıyla 2016 yılında yürürlüğe girdi. KVKK’nın yürürlük tarihinden bu yana geçen 6 yılda pek çok gelişmeye tanıklık ettik. KVKK’nın yürürlüğe girmesi ile oluşmaya başlayan mevzuat bugün; yönetmelikler, tebliğler, rehberler, kamuoyu duyuruları ve Kişisel Verileri Koruma Kurulu kararları ile kişisel veriyi ilgilendiren pek çok konuyla ilgili düzenlemeler içeriyor. Bunun yanında 5237 sayılı Türk Ceza Kanunu (“TCK”), Anayasa Mahkemesi kararları, banka, sigorta, telekomünikasyon gibi sektörlere özgü regülasyonlar kapsamında da kişisel verilerle ilgili pek çok düzenleme bulunuyor.

Hukuka uygun bir şekilde kişisel veri işleyebilmek için öncelikle şirket süreçlerinin KVKK ve ilgili mevzuata uyumlu hale getirilmesi gerekiyor. Kişisel veriler şirketlerde dağınık bir biçimde bulunuyor. Tek bir departmanın ya da fonksiyonun uhdesinde olmadığı için uyumluluğun tüm süreçlerde sağlanması gerekli. KVKK’ya uygun bir şekilde yürütülmeyen süreçler için kanunda 2.678.866 TL’ye varan cezalar öngörülüyor. 

KVKK’ya göre uyumluluğun sağlanmaması durumunda aşağıdaki idari para cezaları uygulanacaktır: 

Aydınlatma yükümlülüğünün yerine getirilmemesi : 13.391 TL’den 267.883 TL’ye kadar

Veri güvenliğine ilişkin yükümlülüklerin yerine getirilmemesi : 40.179 TL’den 2.678.863 TL’ye kadar

Kurul kararlarının yerine getirilmemesi : 66.965 TL’den 2.678.863 TL’ye kadar

VERBİS kayıt ve bildirim yükümlülüğüne aykırı hareket edilmesi : 53.572 TL’den 2.678.863 TL’ye kadar

Para cezalarının yanı sıra KVKK kapsamına alınan TCK’nın 135 – 140. maddeleri arasındaki hükümlerde de kişisel verilerin hukuka aykırı işlenmesi durumunda 1 yıldan 4,5 yıla kadar hapis cezası öngörülmüştür. Bu cezalar, TCK’da yer alan koşulların mevcut olması halinde şirket yöneticileri, yönetim kurulu üyeleri, yetkilendirilmiş sorumlu müdürler gibi doğrudan ya da dolaylı olarak şirketi temsile yetkili kişiler için uygulama alanı bulacaktır. 

Bunun yanında TCK’nın 140. maddesi uyarınca, TCK’da kişisel verilerin işlenmesine ilişkin düzenlenen suçların işlenmesi dolayısıyla tüzel kişiler hakkında güvenlik tedbirleri uygulanacağı belirtilmiştir. Buna göre, bir kamu kurumunun verdiği izne dayalı olarak faaliyette bulunan özel hukuk tüzel kişisinin organ veya temsilcilerinin iştirakiyle ve bu iznin verdiği yetkinin kötüye kullanılması suretiyle tüzel kişi yararına işlenen kasıtlı suçlardan mahkûm olunması halinde, söz konusu iznin iptaline karar verilecektir. İdari ve cezai tüm bu yaptırımlar aynı zamanda ceza alan şirket ve/veya kişi hakkında itibar kaybına sebep olacaktır.

Yönetim Kurulu Üyelerinin Sorumlulukları

Yukarıdaki yaptırımların yanı sıra kişisel verilere uyum sağlamamanın diğer bir sonucu olarak yönetim kurulu üyelerinin şahsi sorumluluğu doğabilir. Kişisel verilerin hukuka aykırı bir şekilde paylaşıldığı bir senaryoda savcılık, yönetim kurulu üyelerinin şahsen sorumlu tutulması için re’sen bir ceza kovuşturması başlatabilir. Bu durumda yöneticilerin kusur sorumluluğu olacağı için kusursuzluğun kanıtlanması gerekecektir. Yönetim kurulu üyelerinin kusursuzluklarını kanıtlamak için şirket çalışanlarına eğitim verilmesi, uyum süreçlerinin düzenli olarak takip edilmesi, periyodik denetim yükümlülüğünün yerine getirilmesi ve denetim bulgularının iyileştirilmesi gibi kişisel verilerin korunması alanında gerekli çalışmaların yapıldığını ilgili belgeler ile kanıtlanması gerekecektir. Kişisel verilerin korunması kapsamında yapılan tüm bu çalışmalar kusursuzluğun kanıtlanması noktasında kanıt teşkil edecektir. 

Özellikle çalışanlara çalıştıkları bölüm, pozisyon ve temas ettikleri veri türüne göre çeşitli eğitimler verilmesi büyük önem taşımaktadır. Uygulamada veri ihlallerinde, ihlalin kaynağının her zaman siber saldırılar gibi dış kaynaklı faktörler olmadığını, birçok veri ihlalinin personelin bilgisizliğinden/ihmalinden/kastından kaynaklandığını görüyoruz. Nitekim, Kişisel Verileri Koruma Kurumu da yayınlamış olduğu Kişisel Veri Güvenliği Rehberi’nde çalışanlara KVKK farkındalık eğitimi verilmesini ve bu eğitimlerin periyodik olarak tekrarlanmasını alınması gereken idari ve teknik tedbirler arasında saymıştır. 

Mevzuata Uyum için Neler Yapılmalı?

Kişisel verilerin korunması mevzuatına uyum sağlanması için alınması gereken bazı aksiyonları aşağıdaki gibi sıralayabiliriz:

• Kişisel veri envanterinin hazırlanması ve envanterin güncelliğinin sağlanması 
• VERBİS kaydının yapılması ve envanterdeki güncellemelerin VERBİS üzerinde de yapılması 
• Veri işleme faaliyetinin hukuka uygunluk ilkeleri bakımından değerlendirilmesi 
• KVKK politika ve prosedürleri ile aydınlatma ve açık rıza metinlerinin hazırlanması 
• Yurtiçi ve yurtdışı veri aktarımlarının değerlendirilmesi 
• Saklama ve imha politika/prosedürlerinin hazırlanması 
• Gerekli teknik ve idari tedbirlerin alınması 
• Yıllık KVKK uyum denetimlerinin yapılması/yaptırılması 
• Çalışanlara KVKK farkındalık eğitimlerinin verilmesi ve eğitimlerin sürekliliğinin sağlanması 
• Artan siber saldırılara karşı veri ihlal süreçlerinin güçlendirilmesi 
• Pazarlama (marketing) süreçlerinin KVKK ile e-ticaret mevzuatına uygun olarak gerçekleştirilmesi 
• Mevzuat gelişmelerinin takip edilerek süreçlerde gerekli görülen değişikliklerin yapılması.

Sonuç

Kişisel verilerin korunması bir süredir tüm dünyanın gündeminde olan bir konudur. KVKK başta olmak üzere yerel veri koruma mevzuatı ve gerekmesi halinde Avrupa Birliği veri koruma mevzuatı dikkate alınarak hukuki uyumluluğun sağlanması büyük önem arz etmektedir. Kişilerin daha bilinçli hale geldiği, dolayısıyla bu konuda hassasiyetin arttığı günümüzde şirketlere pek çok görev düşmektedir. Şirketlerin, kişisel verilerin korunmasında uyum ve devamında denetim süreçlerini gerçekleştirmeye yönelik çalışmalar yapması önemli taşımaktadır. Süreçlerin hukuka uygun yürütülmesi şirketleri maddi, cezai ve itibari yaptırımlardan koruyacaktır. 

Belirtmek isteriz ki, uyum ve denetim süreçlerinde bağımsız hareket eden profesyonellerden destek alınması işletme körlüğü yaşanmamasını ve eksikliklerin daha sağlıklı bir şekilde tespit edilmesini sağlayacaktır. Böylece doğması muhtemel idari ve cezai yaptırımlar daha etkin bir şekilde önlenebilecektir.

_{¹ Bu rakamlar Kişisel Verileri Koruma Kurumu Başkanı Prof. Dr. Faruk Bilir’in katıldığı bir organizasyonda sözlü olarak iletilmiştir.}