KVK Büyük Şirketler İçin Zorunlu, Biz de Radarın Altında Kalırız
Teknolojinin hızlı gelişimi ve bireysel internetin yaygınlaşmasıyla paralel olarak hayatımıza giren Kişisel Verilerin Korunması kavramının bilinirliğinin artmasında şüphesiz ki Google, Facebook, Linkedin gibi büyük şirketlerde yaşanan ve milyonlarca kişiyi etkileyen veri ihlallerinin payı çok büyük. Aynı şekilde bankalar, sigorta şirketleri, e-ticaret şirketleri gibi görece büyük şirketlere yönelik uygulanan yaptırımlar orta ölçekli şirketlerin “Biz nasılsa Kanun radarı dışında kalırız” bakış açısına sahip olmasına ve yasal yükümlülüklerinden kaçınmasına sebep olabilmektedir. Ancak Kanun ve yaptırımların uygulanmasında esas alınan şirketin büyük, orta ya da küçük ölçekli olup olmaması ya da yıllık ciro miktarı gibi hususlar değil, “bir ihlal olması halinde etkilenen kişisel verinin miktarı, niteliği ve ihlalin doğurduğu etkiler” gibi hususlardır. Kanun’un uygulanmasında geçerli kurallar küçük büyük her şirket için geçerli olup yükümlülüklere aykırı hareket edilmesi halinde görece küçük ya da orta ölçekli bir şirkette uygulanacak yaptırımlar ile diğerleri arasında bir fark olmayacaktır.
Kişisel Veriler Bizim Veri Tabanımızda Değil, Biz Sorumlu Değiliz
Günümüzde şirketler verileri kaydetmek ve muhafaza etmek için fiziksel ve elektronik olmak üzere kendi veri merkezleri yanında dış kaynaklar, bulut bilişim teknolojileri gibi üçüncü taraf hizmetlerden yararlanabilmektedirler. Günümüzde şirketler verileri kaydetmek ve muhafaza etmek için fiziksel ve elektronik olmak üzere kendi veri merkezleri yanında dış kaynaklar, bulut bilişim teknolojileri gibi üçüncü taraf hizmetlerden yararlanabilmektedirler. Hatta bazı şirketlerin tüm faaliyetlerini CRM, muhasebe yazılımları gibi yurt içinde ve yurt dışında kurulu üçüncü taraf hizmet sağlayıcılar kullanarak yürüttükleri görülebilmektedir. Kanun’daki tanımıyla “kişisel verilerin işlenmesi”, verilerin otomatik ya da bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yöntemlerle elde edilmesi, kaydedilmesi, değiştirilmesi, aktarılması, sınıflandırılması ya da silinmesi gibi her türlü işlemdir. Veri sorumlusu, kişisel verileri elde ederken ve muhafaza ederken bunu bizzat kendisi yapabileceği gibi üçüncü taraf hizmet sağlayıcılardan da destek alabilir. Bu durum veri sorumlusu şirketin sorumluluklarını ortadan kaldırmamakta aksine hizmet sağlayıcı ile veri sorumlusu söz konusu kişisel verilerin güvenliğinden birlikte sorumlu olmaktadır. Dolayısıyla kişisel verilerin işlenmesinden yalnızca verilerin kendi sunucularında ve klasörlerinde muhafaza edilmesinin anlaşılması son derece hatalı bir yaklaşım olup şirketinizin bu hizmet sağlayıcılarının (veri işleyenler), veri güvenliğinin sağlanması konusunda yeterli niteliklere sahip olduğundan emin olması, gizlilik sözleşmeleri imzalaması ve belirli aralıklarla denetim yapması gerekmektedir. Aksi halde kişisel veri barındırma hizmeti aldığınız üçüncü taraflar nezdinde meydana gelen veri ihlallerinden sorumlu tutulabilirsiniz.
Çalışanlarımız İnternetten Metinleri Buldular, Biz Zaten Uyumluyuz
Kişisel Verilerin Korunması Kanunun yeni bir Kanun olması ve ülkemizde kişisel veri güvenliğine ve mahremiyetine ilişkin kültürün henüz yeterince yerleşmemiş olması gibi nedenlerle şirketler uyum projelerini maddi ve manevi olarak bir külfet olarak görmekte ve uyumluluk çalışmaları için zaman ve maddi kaynak ayırmaktan kaçınabilmektedir. Bundan hareketle tabiri caizse “KVKK işinin insan kaynakları ya da bilgi teknolojileri birimi tarafından çözülmesi”, benzer sektördeki şirketlerin kullandıkları aydınlatma, açık rıza metinleriyle politikalarının bazen neredeyse birebir kopyalanıp kullanılarak sürecin bir şekilde geçiştirilmesi gibi yöntemlere başvurabilmektedirler. Her ne kadar Kanun’da açıkça bir uyum projesi geçirilmesi yükümlülüğünden bahsedilmemekteyse de Kanun’daki temel ilkelere ve ikincil mevzuata uyumluluk, veri sorumlusunun tüm iş süreçlerinin detaylıca analiz edilmesi, bu analiz sonucu kişisel veri envanterinin çıkarılması, bu envanter üzerinden eksikliklerin tespit edilmesi ve iyileştirilerek uyumlu hale getirilmesinden oluşan hukuki, teknik ve kurumsal aksiyonların alındığı çok ayaklı ve kapsamlı bir uyum süreci geçirilmesiyle mümkün olabilmektedir. Her ne kadar Kanun’da açıkça bir uyum projesi geçirilmesi yükümlülüğünden bahsedilmemekteyse de Kanun’daki temel ilkelere ve ikincil mevzuata uyumluluk, veri sorumlusunun tüm iş süreçlerinin detaylıca analiz edilmesi, bu analiz sonucu kişisel veri envanterinin çıkarılması, bu envanter üzerinden eksikliklerin tespit edilmesi ve iyileştirilerek uyumlu hale getirilmesinden oluşan hukuki, teknik ve kurumsal aksiyonların alındığı çok ayaklı ve kapsamlı bir uyum süreci geçirilmesiyle mümkün olabilmektedir. Her bir veri sorumlusunun faaliyetleri, büyüklüğü ve organizasyonu farklı olduğundan başka bir veri sorumlusundan alınan belgelerin kullanılması, Kanundan kaynaklanan yükümlülüklerin sağlanması anlamına gelmeyeceği gibi aksine hatalı yaklaşımlar nedeniyle yükümlülüklere aykırılık ihtimali artacaktır. Örneğin kendi iş süreçlerini analiz etmeden, başka bir şirketin müşteri aydınlatma metnini internet sitesine ekleyen bir veri sorumlusu ilgili kişi müşterisini yanlış şekilde bilgilendirerek Kanun’daki aydınlatma yükümlülüğüne aykırı davranmış olacaktır.
Biz VERBİS’e Kayıt Olduk, Uyum Sürecini Tamamladık
Kişisel Verilerin Korunması Kanunuyla getirilen yükümlülüklerden biri de Veri Sorumluları Siciline (VERBİS) kayıt yükümlülüğü olup ilgili madde uyarınca istisna kapsamına girmeyen şirketler veri işlemeye başlamadan önce sicile kaydolmak zorundadır. Bu yükümlülüğün yerine getirilmesi için getirilen son tarih Kurul tarafından birkaç kez ertelemeye konu edildikten sonra son olarak 31 Aralık 2022 tarihinde sona ermiştir. Bu süreçte bazı veri sorumlularınca düşünüldüğünün aksine VERBİS’e kaydolmak Kanun’dan kaynaklanan yükümlülüklerden yalnızca bir tanesi olup tek başına Kanun’a uyumlu olunduğu anlamına kesinlikle gelmemektedir. Sicile kayıtla yükümlü olan veri sorumlularının ilgili Yönetmelik uyarınca kişisel veri envanteri oluşturmaları ve bu envantere dayalı olarak sicile bilgi girişi yapmaları gerekmektedir. Kişisel Verileri Koruma Kurulu sicile kayıt tarihinin uzatılmasına ilişkin verdiği 17 Aralık 2019 tarihli kararında[1] “Sicile kayıt ve bildirim yükümlülüğünün asıl amacının kişisel veri işlemede şeffaflık, kişisel verilerin gelişigüzel işlenmesinin önüne geçilerek kişisel veri işleme faaliyetlerinin disiplin altına alınması, bu alanda kültür ve farkındalık oluşması, veri sorumlularının kişisel verisini işlediği kişilere hesap verebilmesi” olduğu belirtmiş ve beyan edilen bilgilerin şirketin veri işleme faaliyetleriyle uyumlu, doğru ve güncel şekilde yapılması gerektiği eklemiştir.
Özetlemek gerekirse KVKK uyarınca kişisel veri işleyen her şirket VERBİS kayıt yükümlülüğü olsun olmasın Kanun’a, temel ilkelere ve mevzuatla getirilen ek yükümlülüklere uygun hareket etmekle yükümlüdür. Veri koruma mevzuatına uyumlu olmamak idari para cezası yaptırımı yanında ticari itibar kaybı, regülasyona uyum yükümlülüklerinin yeterince sağlanamaması nedeniyle müşteri, tedarikçi ve iş ortaklarıyla olan iş ilişkilerinin bozulması gibi birçok riski bir arada barındırmaktadır.
