07.04.2016 tarihinde yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu’ndaki usul ve esaslara göre fazladan bilgi, belge alınmaması ve kişisel verilerin korunması zorunluluk haline gelmiş ve şirketler bünyesindeki tüm departmanların bu kanun hakkında bilgi sahibi olması ehemmiyet arz etmektedir.

Öncelikli olarak kısaca “kişisel veri” kavramından ve bu kanunun getirmiş olduğu yeniliklerden bahsedecek olursak;

 Kişisel veri “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” anlamına gelir. Bu kapsamda;  Ad-soyad, Doğum Tarihi, T.C Kimlik No,  Doğum Yeri gibi bireyin kimliğini ortaya koyan bilgiler; telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, genetik bilgiler, IP adresi, e-posta adresi, cihaz kimlikleri, etkileşimde bulunulan kişiler, grup üyelikleri, aile bilgileri, sağlık bilgileri, hobiler ve tercihler gibi kişiyi doğrudan veya dolaylı olarak belirlenebilir kılan tüm veriler kişisel veri olarak nitelendirilmektedir.

Kanun gereğince kişisel verilerin işlenmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem için kural olarak ilgili veri sahibi kişinin açık rızası aranmaktadır. Bir başka deyişle, kural olarak bir kişinin kişisel verilerini kaydedebilmek, saklayabilmek için açıkça o kişinin onayının alınması bir zorunluluk haline gelmiştir. Kişisel verilerin işlenmesi ise; Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade eder.

Bu bağlamda;  şirketlerin öncelikli olarak iç denetim gözetiminde birim yöneticileri,  bilgi teknolojileri (IT) departmanı ve hukuk birimi olarak beraber çalışma yürütüp, ilgili şirketin bulunduğu sektör ve organizasyon yapısı neticesinde kişisel veri süreçlerinin ve kişisel veri envanterinin mevcut durumu ile ilgili detaylı analiz gerçekleştirmeleri şarttır. 

Şirket süreçlerine ilişmiş ve kişisel veri olarak kabul edilebilecek bilgilere dair bir takım örnekler ise aşağıdaki şekilde verilebilir:

Web siteleri üzerinden alınan onaylar veya matbu formlar (bunların içeriklerinin yasaya göre değiştirilmesi gereklidir)
Şirketlerin  çağrı merkezleri (call centers) birimlerinde yapılan görüşmeler neticesinde üretilen kişisel veriler (belirtilenlerin ve varsa tüketiciye iletilen belgelerin  incelenmesi gereklidir)
Şirket sözleşmeleri (bunların kanun kapsamında incelenerek revize edilmesi şarttır. Örnek: Taksitli Satış Sözleşmeleri, Üyelik Sözleşmeleri vs. )
Şirket çalışanlarının parmak izleri (bunların kayıt altına alınmadan ve arşivlenmeden önce çalışanların açık rızasına sunulması şarttır)
Hastaneler için ameliyathane kayıt görüntüleri
İşletmeleri ziyarete gelen tedarikçilerin bilgileri
İş görüşmelerinde adaylardan alınan özel notlar (mülakattan önce doldurtulan formlar vs.)
Yukarıda vurgulanan kişisel veriler sektörden sektöre değişiklik göstermekte olup, her şirketin kişisel verilerini sınıflandırıp;  veri işleme,  veri aktarımı ve imha süreçlerinden geçirerek, işletme süreçlerinin uyumlaştırılması gerekmektedir. Kişisel verilerin imha edilmesi ise üç farklı yöntemle gerçekleştirilebilmektedir:

1-Kişisel Verilerin Silinmesi

2- Kişisel Verilerin tamamen Yok Edilmesi

3- Kişisel verilerin Anonimleştirilmesi (Anonimleştirmekten kastedilen,  kişisel verilerin başka verilerle  birleştirilmesi halinde hiçbir suretle kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir)

Yine bu kapsamda;  kanun, şirket içerisinde, tek kişi ya da kurul olmak üzere “Veri Sorumlusu”nun seçilip belirtilen şahsın “Veri Sorumlusu Sicili”ne kaydedilmesini öngörmektedir. Veri sorumluları ise kendi kurum ve kuruluşlarında kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yaptırmak zorundadır. Kanunda öngörülen bir diğer mevzu ise şirketlere getirilen  “Aydınlatma Yükümlülüğü”dür. Bir başka ifadeyle, şirketler kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere hangi amaçla aktarılabileceği, kişisel veri toplamının yöntemi ve hukuki sebebi gibi konularda aydınlatma ve ispat yükümlülüğüne tabi olmuştur.

Çok yakın bir zamanda şirketlerin bu kanun kapsamında uyumlaştırma yapıp yapmadığı hususunda Re’sen denetleme yetkisi olan “Kişisel Veri Koruma Kurulu” kurulmuştur. 6698 sayılı Kişisel Verilerin Korunması Kanunu’ndaki usul ve esaslara uyum sağlamayan şirketler için ise (Tüzel Kişi Sorumlu-İmza Sirkülerinde yer alan Tüm Yönetim) hapis ve para cezaları söz konusudur.  Verinin kaydedilmesi, işlenmesi, aktarılması ve yok edilmesi ile ilgili yasaya uymamanın cezası 1-6 yıl arası hapis, kanunda belirtilen yükümlülüklerin yerine getirilmemesinin karşılığı ise 5.000 TL - 1.000.000 TL arası para cezası olabilmektedir. Şirketlerin bir an önce kanuna uyum ile ilgili çalışmalarını tamamlamaları ve kurumsal farkındalık yaratmaları gerekmektedir.

Funda GÜZEL KIZIL (MA, CICA)

Yrd.Doç.Dr.Cevdet KIZIL (MBA, MS, PhD, CPA, CICA)