KVKK UYUM SÜRECİ


KVKK UYUM SÜRECINI TAMAMLAMAK VE DENETIMDEN CEZASIZ ÇIKMAK İÇIN SON 5 AY
Ülkemizde kişisel verilerin güvenliği ve gizliliğine ilişkin yasal düzenleme olan 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“KVKK” veya “Kanun”) temel amacı, kişisel verilerin işlenmesi faaliyetlerinde belli kurallara ve ilkelere yönelik hareket edilerek kişisel verileri işlenen kişilerin temel hak ve özgürlüklerin korunmasıdır. Bu noktada ilk aşama veri sorumlularının VERBİS ismi verilen veri tabanına kaydolmasıdır. Uygulamada VERBİS kaydının yapılmasıyla KVKK uyarınca yüklenen yükümlülüklerin yerine getirildiğine yönelik büyük bir yanılgı olsa da, VERBİS kaydı yalnızca KVKK uyum sürecinde atılması gereken adımlardan biridir. Kısa adıyla VERBİS olarak bilinen “Veri Sorumluları Sicil Bilgi Sistemi” uyum sürecinde ortaya çıkan veri envanterinin işlendiği aleni bir sicil sistemidir.
KVKK’da düzenlemelerine uyum süreci için Kanun’un yürürlüğe girmesinin ardından 2 senelik bir geçiş süreci belirlenmiştir ve bu süre 7 Nisan 2018 tarihinde sona ermiştir ancak bu süre içinde henüz veri sorumlularının çok küçük bir kısmı bu faaliyetler kapsamda Kanun’a uyum sürecini tamamlayabilmiştir.
Uyum sürecinden ne anlaşılması gerektiğini açıklamadan önce, kişisel veri kavramının tanımlanması gerekmektedir. KVKK’daki tanımı ile kişisel veri “Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi” ifade eder. Diğer bir deyişle, bir gerçek kişiye ait tüm kimlik bilgileri ile bu kişinin kim olduğunun anlaşılmasını sağlayan ad-soyad, kılık-kıyafet, mahlas, sosyal medya hesap bilgileri gibi her türlü veri, kişisel veri olarak kabul edilecektir.
Kişisel verileri koruma yükümlülüğü ise bu verileri elinde bulunduran –sır saklama yükümlülüğü bulunan kişilere yönelik istisnalar vb. istisnalar hariç tutulmak kaydıyla– veri sorumlusu olan tüm gerçek kişilere ve şirketler, işletmeler, kamu kurum ve kuruluşları gibi tüzel kişilere yüklenmiştir.
50’den fazla çalışanı olan veya yıllık bilançosu 25 milyon TL’den fazla olan gerçek veya tüzel kişi veri sorumlularının 01.10.2018 tarihinde kayıt yükümlülükleri başlamış olup, son bir uzatma ile 30 Haziran 2020 tarihine kadar VERBİS kayıtlarını tamamlamaları gerekmektedir. Dolayısıyla veri sorumlularının kayıt yükümlülüklerini yerine getirmek için 6 aydan kısa bir süreleri kalmıştır. Ancak bu noktada tekrar hatırlatmak gerekir ki, bu sürenin uyum için de son olduğu düşüncesinden hızla uzaklaşılması gerekmektedir. Çünkü yukarıda da bahsettiğimiz üzere Veri Sorumluları’na Veri işleme faaliyetlerini kanuna uygun hale getirmeleri için verilen süre 7 Nisan 2018 tarihinde hali hazırda sona ermiş bulunmaktadır.
Uyum sürecinde yapılması gerekenler ise, Kanun uyarınca veri sorumlusu şirketlerin, VERBİS kaydının ardından idari (hukuk) ve teknik (IT) açıdan gerekli tüm tedbirleri alması olarak özetlenebilecektir. Buna göre şirketlerin öncelikli olarak uyum öncesi mevcut durumlarının tespiti ile KVKK açısından hangi faaliyetlerinin hukuka aykırı olduğunun belirlenmesi, bu hususların düzeltilmesi noktasında veri sorumlusu şirketlere bir uyum politikası hazırlanması gerekmektedir.
Veri sorumlusu şirketin ise, Kişisel Verilerin Korunması Hukuku alanında bilgili avukatlar tarafından hazırlanması gereken uyum politikasında belirtilen hususların düzeltilmesi için gerekli adımları atması gerekmektedir. Bu noktada yapılan değişikliklerin benimsenmesi, belirtilen esasların kurum içi işleyişin olağan bir parçası haline getirilmesi ve çalışanların bu konuda bilinçlendirilmesi, kişisel verilerin korunmasına yönelik hususların kurum kültürünün bir parçası haline getirilmesi gerekmektedir.
Uyum yükümlülüğünü yerine getirmeyen veri sorumluları ise Kurul tarafından ağır yaptırımlarla karşılaşmaktadır. Kurul KVKK’ya aykırılıkları şikayet üzerine veya kendiliğinden inceleyebilmektedir. Kurul şu ana kadar, kısaca örneklemek gerekirse;
• veri sorumlularının sistemlerinde yer alan güvenlik açıkları ve bu açıkların süresinde kurula bildirilmemesi sebebiyle,
• ticari ileti gönderilen kişilerin iletişim bilgilerinin kanuna uygun olmayan yollarla ele geçirilmesi sebebiyle, iletişim bilgileri kanuna uygun alınmışsa da kişilere aydınlatma yapılmaksızın ticari ileti gönderilmesi sebebiyle,
• belirli bir hizmetin sunulmasında kişisel veri işleme faaliyetinin mecburi tutulması ve bu konuda bir alternatif sunulmaması sebebiyle,
KVKK uyumunu gerçekleştirmeyen veri sorumlularına yönelik, 50’den fazla karar vermiş olup bu kararların neredeyse tamamında veri sorumlularına 1.180.000,00-TL’ye varan idari para cezalarına hükmetmektedir.
Bu riskin bilinci ile yapılması gerekenlerin başında, Kanun’da sayılan istisnalar hariç kişisel verileri, ilgili kişinin açık rızası olmaksızın işlememektir. Açık rızanın şekli ve alınma usulü düzenlemelerde henüz gösterilmemiş olmakla birlikte, açık rıza ispat edilebilirlik gereği yazılı olarak kişinin özgür iradesi sonucu hiçbir baskı altında kalmadan verilmelidir. Bunun sonucu olarak ise veri sorumluları ilgililerden açık rıza alırken, açık rızayı herhangi bir şarta veya koşula bağlamamalıdır.
Veri sorumlusu sıfatıyla hareket eden şirketler açısından kişisel verilerin işlenmesinde ve aktarımında Kanun’a uygun açık rıza alınması anlaşıldığı üzere son derece önemlidir. Açık rıza alınmadan yürütülecek kişisel veri işleme faaliyetlerinin doğru belirlenmesi, bunlar için gerektiği takdirde aydınlatma yükümlülüğünün yerine getirilmesi ve bunun ispatlanması, hukuka aykırı veri işlenmesinin önüne geçecek ve dolayısı ile veri sorumlularının ceza alma riskini bertaraf edebilecektir. Aydınlatma yükümlülüğü ise ilgili kişiye aydınlatma metinlerinin gönderilmesi, dinletilmesi, imza ettirilmesi gibi usullerle yerine getirilmektedir. Belirtilmelidir ki her işleme faaliyeti ve ilgili kişi grubu için olayın özelliklerine uygun, farklı aydınlatma metinleri hazırlanmalıdır.
Kanun’a göre veri sorumlularının bir diğer yükümlülüğü, bünyelerinde işledikleri kişisel verileri zamanı geldiğinde silmek, yok etmek veya anonim hale getirmektir. Belirtilen kurala göre, Kanun’a uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler re’sen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinmeli, yok edilmeli veya anonim hale getirilmelidir. Kullanılmayan verilerin saklama sürelerinin sona ermesi ile beraber imha edilmesi ve şirketin bir imha politikasına sahip olması gerekmektedir. Belirtilmelidir ki her veri tipinin ilişkili olduğu yasal düzenleme ve dolayısı ile saklama süreleri farklılık göstermektedir. Bu noktada da uyum sürecinin KVKK ve sair mevzuata hâkim avukatlar tarafından yürütülmesi gerekliliği göz önünde bulundurulmalıdır.
Tedbirler sadece yukarıda anılan idari/hukuki tedbirlerle sınırlı değildir. Kişisel veri işleme faaliyetleri yürüten bütün veri sorumluları, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve bunların muhafazasını sağlamak zorundadır. Bu kapsamda gerek fiziki ortamda saklanan belgelerin gerekse elektronik ortamda saklanan belgelerin güvenliğini sağlamak için her türlü teknik tedbirin ve bilişim güvenliğine yönelik tedbirlerin alınması gerekmektedir.
Tüm bunlara ek olarak veri sorumluları, kendilerinin verdiği yetkiye dayanarak veri işleme faaliyetlerini yürüten üçüncü şahısların da veri güvenliğini almasından, veri işleyen üçüncü şahısla birlikte müştereken sorumludur. Dolayısıyla, veri sorumluları veri işleyen gerçek veya tüzel üçüncü kişilerin alması gereken tedbirleri sıklıkla denetlemeli, bu kapsamda veri işleyen üçüncü kişilerle aralarındaki sözleşmeleri, KVKK’ya uygun hale getirmelidir.
Veri güvenliğine ilişkin alınan teknik ve idari tedbirlere rağmen işlenen kişisel verilerin Kanun’a aykırı şekilde başkaları tarafından elde edilmesi halinde ise veri sorumlularının bu durumu en kısa sürede ilgilisine ve Kurul’a bildirmesi gerekmektedir. Söz konusu yükümlülük Kurul kararlarına da konu olmakla birlikte, veri güvenliği politikalarının olmazsa olmazı haline gelmiştir zira veri ihlal bildiriminde bulunmayan veri sorumluları, ihlal sebebiyle aldıkları cezaların yanı sıra bu ihlali bildirmemeleri sebebiyle de ceza almak riski ile karşılaşmaktadır.
Sonuç olarak, KVKK uyum süreci 50’den fazla çalışanı olan veya yıllık bilançosu 25 milyon TL’den fazla olan gerçek veya tüzel kişi veri sorumluları için hali hazırda 7 Nisan 2018 tarihinde sona ermiş olmakla birlikte, VERBİS kayıt yükümlülüğü 30 Haziran 2020 tarihine kadar tamamlanması gereken kapsamlı bir süreçtir. Henüz bu süreci tamamlamamış olan Veri Sorumluları’nın en hızlı şekilde uyum süreçlerini tamamlamaları Kurum tarafından beklenmekle beraber; her an denetime ve cezaya karşı açık durumda oldukları unutulmamalıdır. Veri sorumluları çerçevesinde, ilgili kişilerin haklarının muhafazası ve KVKK ile yüklenen yükümlülüklerin yerine getirilmesi gerektiğinden bu konu bazında gerekli özen ve hassasiyetin gösterilmesi sanılandan çok daha fazla önem arz etmektedir.

ATG Hukuk Bürosu
Av. Gizem Akgüloğlu
Stj. Av. Ecem Seven
(g.akguloglu@atglawfirm.com)