Teknolojinin ve internet dünyasının ilerlemesiyle, şirketler tarafından elde edilen verilerin günden güne artması ile bilginin gücü oldukça önemli hale gelmiştir. Şirketler tarafından toplanan bu verilerin şirketler tarafından ekonomik sebeplerle analiz edilebilir olması, şirketlerin faaliyet gösterdikleri pazarda hızlı ve efektif büyümelerine olumlu katkısı olsa da hukuki açıdan da birçok sorunu beraberinde getirmektedir. Teknolojinin sunduğu ve Big Data (Büyük Veri) dediğimiz bu imkanlar karşısında elde edilen verilere erişim oldukça kolay hale geldi. Bu veriler arasında ise kişisel verilerin de yer alması, kişisel verilerin korunması ve güvenliklerinin sağlanması ihtiyacını ön plana çıkarmıştır. 

Bilindiği üzere; 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) 24 Mart 2016 tarihinde Türkiye Büyük Millet Meclisi tarafından kabul edilerek, 7 Nisan 2016 tarihinde yürürlüğe girmiş olup, kişisel veri işleyen tüzel kişilere birtakım yükümlülükler getirmiş ve Kanun kapsamına giren gerçek ve tüzel kişilerin Kanun’a uyumlu hale gelmeleri için verilerin süre, 7 Nisan 2018 tarihinde sona ermiştir. Bu tarih itibariyle kişisel veri işleyen bizler, Kanun kapsamında işlemiş olduğumuz verilerin güvenliğinden sorumluyuz ve Kanun’a aykırı hareket etmemiz halinde ise bizleri ihlalin tipine göre ihlal başına 5.000 TL’dan (beş bin Türk Lirası) 1.000.000 TL’na (bir milyon Türk Lirası) kadar idari para cezaları ve yine ihlalin niteliğine göre de 1,5 yıldan 5 yıla kadar hapis cezaları bekliyor. Peki bizler uyum süreci içerisinde ne kadar hazırlandık ve şu an ne kadar hazırız?

Önce Farkındalık! Vermiş olduğum eğitimlerde her zaman önceliğimizin “farkındalık” yaratmak olduğunu vurguluyorum. Şirketler “Veri Gizliliği, Veri Koruması, Veri İşlenmesi, Saklanması, Muhafaza Edilmesi” kavramlarına ne kadar aşina? Çalışanlarını ne kadar sürelerle eğitiyorlar? Çalışanlar bu kavramların farkında mı? Şirketler öncelikli olarak bu konuya eğilmeliler. Bu kapsamda, şirket çalışanlarına kişisel veri güvenliğine ilişkin rol ve sorumlulukları; görev tanımları içerisinde bildirilmeli, bu konuda şirket çalışanlarına eğitimler verilmeli ve bu konudaki rol ile sorumluluğun ve kişisel verinin şirket içerisindeki değerinin farkında olması sağlanmalıdır.

Çalışanların bu şekilde kişisel verilerin hukuka aykırı olarak açıklanmaması ve paylaşılmaması konularında eğitimler almaları ile birlikte, çalışanların dikkatsizliğinden, dalgınlığından veya tecrübesizliğinden kaynaklı kişisel veri güvenlik ihlallerinin önüne geçilebilecektir. Örneğin; çoğu çalışan, kişisel veri kavramını bile bilmediğinden ve kişisel veri güvenliğine ilişkin bir farkındalığı olmadığından kötü amaçlı yazılım içeren elektronik posta eklerini açabilmekte veya kişisel veri içeren bir elektronik postayı yanlış kişiye göndererek kişisel verileri, üçüncü kişilerin erişimine farkında olmadan sunabilmektedir.

Kurum Kültürü! Sürdürülebilirlik! Şirket bünyesinde kişisel verilerin işlenmesi ve korunmasına ilişkin farkındalık yaratıldıktan sonra, bu durumun şirketin kültürünün bir parçası olması sağlanmalıdır. Şirket olarak dilediğiniz kadar ilkeler belirleyin, prosedürler yazın, çalışanların farkındalığı ve eğitimi olmadan bir kültür oluşturamaz ve kültür haline getirip sürdürülebilirliğini sağlayamazsınız.

Mevcut Risklerin ve Tehditlerin Belirlenmesi Şart! Şirketiniz için Kanun kapsamında işlemiş olduğunuz veya işlemekte olduğunuz veya işleyeceğiniz kişisel verilerin hukuka uygun işlenmesini sağlamak ve gerekli idari ve teknik tedbirleri alarak bilgi güvenliğini sağlamak amacıyla; öncelikli olarak, işlediğiniz kişisel verilerin neler olduğunu, kimlerle paylaşıldığını ve nasıl güvenlik önlemlerine sahip olduğunuzu tespit etmeniz gerekmektedir. Bunun öncelikli yolu ise iş süreçlerinizi baz alan bir kişisel veri envanteri çıkartmanızdır. Bu veri envanteri; iş süreçleriniz bazında hangi tür verileri işlediğinizi, veri sahiplerine ilişkin kategorileri, veri sahibi olan ilgili kişinin veri sorumlusu (başka bir anlatımla şirket) ile ilişkisini (örneğin; müşteri verisi, çalışan verisi, tedarikçi verisi vb.), hangi amaç için toplandığı ve işlendiği, nasıl ve ne kadar süre ile saklandıklarını, söz konusu kişisel verilere kimlerin erişebildiğini, alınan gerekli teknik ve idari güvenlik önlemlerini, yurtdışına aktarılıp aktarılmadığını, aktarılıyor ise hangi ülkelere ve kimlere aktarıldığını, üçüncü kişilere aktarılıp aktarılmadığını, aktarılıyor ise kimlere aktarıldığını gösterecektir. Bu veri envanteri çıkarıldıktan sonra bir risk analizi yaparak, söz konusu kişisel verilerin korunmasına ilişkin ortaya çıkabilecek risklerin gerçekleşme olasılığının ve gerçekleşmesi durumunda yol açacağı kayıpların neler olabileceği belirlenerek, buna uygun bir aksiyon planının çıkartılması gerekmektedir.

Aksiyon planı! Bu konu tam bir leb-i derya. Çoğu şirket nereden başlayacağını bilemiyor. Sizlere tavsiyem aksiyon planınızı yaparken önceliklerinizi belirlemeniz. Risklerinizi doğru tanımlamalı ve risk-maliyet–fayda analizi yaparak önceliklerinizi belirlemelisiniz.

Kişisel Veri Güvenliği Politikaları ve Prosedürleri! Kişisel veri güvenliğine ilişkin politikalar hazırlanması, bu kapsamdaki risklerin önceden belirlenebilmesi ve önceden önlem alınabilmesi için faydalı olacağı gibi, şirket içerisinde de farkındalık yaratılmasını sağlayacaktır. Bu kapsamda, kişisel verilerin işlenmesine, saklanmasına, korunmasına, anonim hale getirilmesine veya imha edilmesine ilişkin politikalar ile özel nitelikli verilerin güvenliğine ilişkin politikalar ve prosedürler şirketlerin çalışma usul ve yöntemlerine uygun bir şekilde hazırlanmalıdır. Politikalar ve prosedürler, kişisel verilerin nasıl işlendiğini, hangi süreler ile saklandığını, alınan teknik ve idari güvenlik önlemlerinin neler olduğunu, hangi veri kategorilerinin işlendiğini açıklamalıdır. Hazırlanan politika ve prosedürler kapsamında da düzenli denetimler yapılmalı, geliştirilmesi gereken hususlar belirlenmeli ve yerine getirilmelidir.

Kurumsal İletişim – Kriz Yönetimi! Veri güvenliğinin ihlali durumunda alınması gereken aksiyon planları belirlenmeli, veri ihlallerinin olması durumunda derhal bildirim yapılabilmesi ve ihlale müdahale edilebilmesi için anında ihbar ve müdahale birimlerinin kurulması, hızlı ve efektif müdahalenin olmasını sağlayacaktır.

Teknik ve İdari Tedbirler Üst Seviyeye Çıkartılmalı! Günümüzde teknolojik imkanların da ilerlemesi ile veriler, fiziksel ortamlardan çok sanal ortamlarda saklanmaktadır. Bu kapsamda da kişisel verilerin siber saldırılara karşı korunması gerekmektedir. Kişisel Verileri Koruma Kurulu’nun tavsiye ettiği öncelikli yaklaşım, güvenlik duvarı ve ağ geçidir. Bu şekilde gerçekleşen ihlaller durdurulabilir ve çalışanların tehdit teşkil eden sitelere erişimi engellenebilir. Ayrıca, yetki kontrolü, yetki matrisi, erişim logları, kullanıcı hesap yönetimi, şifreleme, sızma testleri, saldırı tespit ve önleme sistemleri, veri maskeleme, güncel anti-virüs sistemleri, anahtar yönetimi gibi teknik güvenlik tedbirleri de alınarak kişisel verilerin güvenliği üst seviyelere çıkartılabilir.

Kişisel Verileri Koruma Kurulu’nun kararları dikkate alınmalıdır! Kişisel Verileri Koruma Kurulu çalışmalarına son sürat devam etmekte ve daha şimdiden 3 adet kararı bulunmakta.  Söz konusu kararlardan biri de 21 Aralık 2017 tarihinde almış olduğu “Banka, Gişe, Masa gibi Hizmet Alanlarında Kişisel Verilerin Korunmasına Yönelik Kurul Kararı”’dır. Karar uyarınca, banko/gişe/masa gibi bölümlerde yetkisi olmayan kişilerin yer almasını önleyecek ve aynı anda birbirlerine yakın konumda hizmet alanların birbirlerine ait kişisel verileri duymasını, görmesini, öğrenmesini veya ele geçirmesini engelleyecek nitelikte gerekli teknik ve idari tedbirleri alması gerekmektedir. Dolayısıyla, birden fazla çalışan ile birlikte bitişik düzende hizmet veren zincir mağazaların müşteri hizmetleri bölümünün de, söz konusu karar doğrultusunda gerekli önlemleri alması gerekecektir.

Veri Sorumluları Sicil Bilgi Sistemi “VERBİS”! Kişisel verileri işleyen şirketler şu an test aşamasında olan ve kısa bir süre içerisinde aktif hale gelmesi beklenen Veri Sorumluları Sicili’ne (“Sicil”) veri işlemeye başlamadan önce internet üzerinden kaydolmak zorundadırlar. Ancak işlenen verinin niteliği, sayısı, veri işleminin Kanun’dan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından, Sicil’e kayıt zorunluluğuna istisna getirilebilir. Şirketler, Sicil'e kayıt yükümlüsü oldukları günü müteakip 30 (otuz) gün içerisinde Sicil'e kaydolmak zorundadır. Kanun’daki şartlar doğrultusunda şirkete ilaveten 30 (otuz) günlük bir süre daha verilebilir. Sicil'e kayıt olmak zorunda olan veri sorumlusunun kayıt olmaması durumunda ya da kayıdın yönetmelikte belirlenen şartları sağlamaması durumunda 20.000 TL'den (yirmi bin Türk Lirası) 1.000.000 TL'ye (bir milyon Türk Lirası) kadar idari para cezası verilir. 

Aydınlatma Yükümlülüğü! Veri sorumlusu olarak şirketlerin veya yetkilendirdikleri kişilerin, aydınlatma yükümlülüğü bulunmaktadır. Buna göre, şirketler veya yetkilendirdikleri kişiler, aşağıdaki hususlar hakkında kişisel verisi işlenen ilgili kişilere bilgilendirme yapmakla yükümlüdür:

• Veri sorumlusunun kimliği,
• Kişisel verilerin hangi amaçla işleneceği,
• İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
• Kişisel veri toplamanın yöntemi ve hukuki sebebi,
• Kanun’da sayılan ilgili kişinin diğer hakları.

E-Ticaret yapan şirketler dikkat! Hali hazırda e-ticaret ile ilgilenen şirketler de, 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun (“E-Ticaret Kanunu”) uyarınca bir takım yükümlülükler altında. Ancak E-Ticaret Kanunu, her ne kadar kişisel veri işleyen E-ticaret faaliyetinde bulunan şirketlere kişisel verilerin saklanmasından ve güvenliğinden sorumlu tutsa ve 3. Kişilere aktarım konusunda veri sahiplerinin onayını arıyor olsa da bu yükümlülüğün nasıl yerine getirmesi gerektiğine ilişkin bir yol haritası sunmuyordu. Ancak Kanun ile birlikte artık bu yol haritası şirketlerin elinde var. Şirketlerin artık daha önceki gibi internet sitelerinin Gizlilik Politikası altında bir cümle ile geçiştiremeyecekleri bir sorumlulukları var.

E-Ticaret faaliyetinde bulunan şirketler; artık kişisel verileri toplamaya başladıkları andan itibaren Kanun kapsamında veri sorumlusu sayılmaktadır.  E-Ticaret faaliyetinde bulunan şirketler E-ticaret sitelerinin kullanıcılarından doğrudan topladığı kişisel verilerin çoğu, Kanun kapsamında sözleşmenin kurulması ve ifasıyla doğrudan ilgili olması sebebiyle ayrıca bir açık rıza mekanizmasına ihtiyaç duymasalar dahi veri sorumlusu olarak bu platformlar üzerinden işledikleri kişisel verilere ilişkin aydınlatma yükümlülükleri bulunmaktadır. Bu kapsamda da kullanıcı ve gizlilik sözleşmelerinin gözden geçirilmesi yeterli olmayacaktır. Kişisel veri işleyen diğer şirketler gibi E-ticaret faaliyetinde bulunan şirketler de elektronik ticaret siteleri üzerinden veri sahiplerinin Kanun kapsamında sayılan haklarını kullanabileceği, veri sahiplerinin taleplerinin yerine getirilmesi, kişisel verilerin işlenmesi, saklanması, yok edilmesi ve veri siciline kayıt mekanizmaları oluşturmak, açık ve net bilgilendirme metinleri ve politikaları oluşturmak ve veri güvenliğine ilişkin yükümlülüklerini yerine getirmekle sorumludurlar.

Şirketlerin Cezai ve İdari Sorumluluklarını göz ardı etmeyin! Kanun’un 17. Maddesi, 5237 sayılı Türk Ceza Kanunu’na (“TCK”) atıfta bulunarak kişisel verilere ilişkin suçları düzenlemektedir. Buna göre, Kanun’a aykırı davranan gerçek ve/veya tüzel kişilere TCK’nın 135. maddesi vd. uyarınca 1 (bir) yıldan 4 (dört) yıla kadar hapis cezası uygulanmaktadır. 

Şöyle ki;

• Kişisel Verilerin Kaydı: Hukuka aykırı olarak kişisel verileri kaydeden kimseye 1 (bir) yıldan 3 (üç) yıla kadar hapis cezası verilir.
• Kişisel Verileri Verme veya Ele Geçirme: Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, 2 (iki) yıldan 4 (dört) yıla kadar hapis cezası ile cezalandırılır.
• Kişisel Verileri Yok Etmeme: Kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlara görevlerini yerine getirmediklerinde 1 (bir) yıldan 2 (iki) yıla kadar hapis cezası verilir.

Peki şirketlerin yukarıda tanımlanan suçları işlemesi durumunda ne olacak? Bu durumda şirketler hakkında bunlara özgü güvenlik tedbirleri uygulanacaktır. Örneğin, şirketin faaliyet izni iptal edilebilir.

Bunun yanı sıra, Kurul tarafından Kanun hükümlerine aykırı hareket edenler hakkında her bir veri ihlali başına 5.000 TL’dan (beş bin Türk Lirası) 1.000.000 TL’na (bir milyon Türk Lirası) kadar idari para cezası verilebilir.

Dolayısıyla,

• Aydınlatma Yükümlülüğü yerine getirilmezse 5.000-TL’dan (beş bin Türk Lirası) 100.000-TL’na (yüz bin Türk Lirası),
• Veri güvenliğine ilişkin yükümlülükler yerine getirilmezse 15.000-TL’dan (on beş bin Türk Lirası) 1.000.000-TL’na (bir milyon Türk Lirası);
• Kurul tarafından verilen kararlar yerine getirilmezse 25.000-TL’dan (yirmi beş bin Türk Lirası) 1.000.000 -TL’na (bir milyon Türk Lirası),
• Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edilirse 20.000-TL’dan (yirmi bin Türk Lirası) 1.000.000-TL’na (bir milyon Türk Lirası) kadar idari para cezası Kurul tarafından verilebilecektir.

Ayrıca unutmamak gerekir ki, TCK uyarınca uygulanacak hapis cezalarının ve Kanun kapsamında uygulanacak idari para cezalarının yanı sıra, kişisel verilerinin ihlal edildiğini iddia eden kişilerin uğramış oldukları zararları, hukuk mahkemeleri nezdinde talep etme hakkı da bulunmaktadır.

Sonuç olarak, Türkiye’de veri işleyen şirketleri esaslı bir uyum, dönüşüm ve denetim süreci beklemektedir. Bu süreç şüphesiz ki pek kolay olmayacaktır. Kişisel verilerin korunması hususunu bir yasal zorunluluktan çok, bir kültür meselesi haline getirebilmek asıl mesele ve bunun için uzun bir yol bizleri bekliyor. Ancak gerek bahsetmiş olduğumuz hukuki riskleri bertaraf etmek gerekse de şirketin itibarı ve marka değeri açısından, ne kadar çabuk bu uyum sürecini tamamlarsak o kadar çok avantajlı konuma gelebileceğimizi de göz ardı etmemek gerekiyor.