Dr. M. Çağrı BAĞATUR & Av. Büşra YANLIÇ
7 Nisan 2016 tarihinde yürürlüğe giren Kişisel Verilerin Korunması Kanunu’nun (Kanun ve/veya KVKK) uygulanmasında 2021 yılı itibariyle 5 yılı aşkın bir süreyi geride bıraktık. Kanun’un ardından yürürlüğe giren Yönetmelik ve Tebliğler, uygulanan yüksek miktarlı idari para cezaları, Kanun ile getirilen VERBİS (Veri Sorumluları Bilgi Sicili) kayıt yükümlülüğünün son tarihi derken şirketlerin büyük bir çoğunluğu kişisel verilerin korunması kavramıyla en azından birkaç kez karşı karşıya kalmış ya da bu alanda çalışmalar yapmış oldu. Sicile kayıtla yükümlü olan şirketlerin bir kısmı, iş süreçlerinin Kanun’a uygunluğunu detaylıca analiz ederek diğer bir deyişle KVKK uyum süreçlerinden geçerken bir kısmı ise sadece VERBİS’e bir şekilde giriş yapmakla yetindiler. Veri koruma ve gizlilik ile mevzuata aykırılığın, yüksek miktarlı idari para cezaları ve daha da önemlisi ticari itibar kaybı şeklinde ağır yaptırımlarının bulunduğu günümüzde, özellikle veri sorumlularının uyum sürecini tekrar tekrar gözden geçirmelerinin bir zorunluluk olduğuna şüphe yoktur. Ancak uygulamada bu zorunluluk şirketlerce çok çeşitli sebeplerle geri plana atılabilmekte ve uygulanmasından kaçınılabilmektedir. Kanun’un yürürlüğe girmesinden bu yana onlarca farklı sektörden şirketle yürüttüğümüz uyum çalışmaları sırasında Türkiye’de Kişisel Verilerin Korunmasıyla ilgili hatalı kabul edilebilecek bazı yaygın yaklaşımlar olduğunu tespit ettik. Bu hatalı yaklaşımların paylaşımının uyumlu olmak kavramını yeniden gözden geçirmek isteyen şirketler için bir fırsat olabileceğini düşündük. Yazımızda yer verdiğimiz bu yaygın hatalı yaklaşımlar üzerinden sizler de şirketinizin uyumluluk seviyesini ve gerekliliklerini bir kez daha gözden geçirmek isteyebilirsiniz. 
Biz Kişisel Veri Tutmuyoruz, KVKK Bize Uygulanmaz
Kişisel veri, Kanun’daki tanımıyla kimliği belirli ya da belirlenebilir “gerçek kişiye” ilişkin her türlü bilgidir. Bir şirket günlük işleyişi sırasında gerçek kişi tüm paydaşları olan (çalışanlar, çalışan
adayları, taşeron çalışanları, müşteriler ve tedarikçileri gibi) taraflardan kimlik, iletişim, finansal ve ticari bilgiler, görüntü ve ses kayıtları gibi birçok kategoride kişisel veri elde etmekte ve uzun süreler boyunca muhafaza etmektedir. Örneğin Bir veri sorumlusu olarak şirket yalnızca çalışan istihdamı kapsamında dahi kimlik, özlük bilgileri, performansına ilişkin bilgiler, sağlık durumu, eski hükümlülüğüne ilişkin bilgiler gibi kişisel ve özel nitelikli kişisel verilerini işlemekte, çalışanı elektronik ve fiziki ortamda gözetim altında tutabilmekte ve iletişimini izleyebilmektedir. Çalışanın kendisi yanında aile ve yakınları, referans kişisi gibi üçüncü tarafların kişisel verilerinin de işlendiği birçok süreç karşımıza çıkmaktadır. Nitekim Kişisel Verileri Koruma Kurulu’nun 20 Mayıs 2020 tarihli kararına[1] konu olan olayda çalışan, işveren tarafından kişisel verilerinin işlenme ve saklanma süreçleriyle ilgili detaylı bilgi verilmediği, genel nitelikte muvafakatname ile yetinildiği ve açık rızası alınmaksızın vermek zorunda bırakıldığı parmak izi şeklindeki biyometrik verisinin saklanmasında yeterli güvenlik önlemleri alınıp alınmadığı ve üçüncü taraflarla paylaşılıp paylaşılmadığı hakkında bilgi verilmediğinden bahisle önce işverene ardından Kişisel Verileri Koruma Kurulu’na başvurmuş ve Kurul tarafından tespit edilen hukuka aykırılıklar nedeniyle veri sorumlusu işverene 250.000 TL idari para cezası uygulanmıştır. Örnekten de anlaşılacağı üzere sektör ve iş süreçlerine göre Kanun’un uygulanma alanı çok büyük değişiklikler gösterebilmekle birlikte aktif olarak faaliyetini sürdüren her veri sorumlusu kişisel veri işlemekte ve Kanun’un radarına girmektedir.
