Kişisel Verilerin Korunması Şirket Uyum Süreci

Türkiye’de 2016 yılında yürürlüğe giren Kişisel Verilerin Korunması Kanunu (KVKK) ile başlayan kanuni uyum süreci, yıllar içinde giderek artan bir farkındalıkla devam ediyor. Hem özel hukuk tüzel kişileri hem de tüm kamu kurum ve kuruluşlar bu kanuna uygun bir biçimde süreçlerini yürütmek zorundadır. Zira Anayasamız, vatandaşlara kişisel verilerinin korunacağı noktasında önemli bir hak bahşetmiştir. Bu yazıda da KVKK uyum süreçlerinin etkisinin nasıl artırılabileceği ve şirketler açısından bu sürecin sürekliliğinin nasıl sağlanabileceği üzerinde duracağız.

*      6698 Sayılı Kanun ile Kişisel Verileri Koruma Kurulu’nun (Kurul) Eksiklikleri

Şirketlerin uyması gereken yükümlülüklere gelmeden önce KVKK ve Kurul‘un bazı eksikleri, tutarsızlıkları ve yeknesak olmayan kararlarından söz edeceğim. KVKK yürürlüğe girdiğinden bu yana KVKK’nın öngördüğü yükümlülüklere uymayan yine ilgili KVKK ile ihdas edilen Kurul ’dur. Örneğin; KVKK’nın 9/3. maddesine göre “Yeterli korumanın bulunduğu ülkeler Kurulca belirlenerek ilan edilir.” gibi açık bir hüküm bulunmasına rağmen. Kanun’un yürürlüğe girmesi üzerinden 8 yıl geçmiş ve henüz yeterli koruma bulunan ülkeler ilan edilmemiştir. Bu çelişki (ya da maksatlı gecikme hali) dolayısıyla sektörde yer alan paydaşlar tarafından, otoritenin kendisi bile KVKK’nın bazı maddelerine uymazken tüm şirketlerin mevzuata uyum sağlamasının beklenmesi samimi karşılamamakta. Yine bir diğer sorun Kurul tarafından verilen kararların yeknesak olmaması olarak karşımıza çıkıyor. Maalesef yayımlanan kararlardan gördüğümüz üzere, yayımlanan bazı kararlarda şirket unvanları yer almasına rağmen, bazı kararlarda ise yer almamakta. Yine kararlarda verilen idari para cezalarında hangi objektif kriterlere göre cezanın alt sınırdan veya üst sınırdan verildiği açık değil. Öncelikle bu konularda şeffaflık ve objektiflik sağlanması gerekiyor. Gerekçesi ne olursa olsun hangi durumlarda şirket unvanlarının kararlarda yer alacağı, hangi durumlarda yer almayacağı gibi herkes tarafından önceden bilinen somut kriterler getirilmeli. Bu tür kriterler getirilmesi halinde otoriteye karşı duyulan güven şiddetle artacaktır. Bununla birlikte KVKK’nın özel nitelikli kişisel verilerin işlenmesine ilişkin öngördüğü şartlar ile KVKK’nın istisna hükümlerinin ülkemizdeki ticaret kültürü, şirketlerin yapısı, yürürlükteki diğer mevzuat ve uygulanabilirlikler göz önüne alınarak, şüphesiz vatandaşların temel haklara zarar vermeden yeniden düzenlenmesi gerekiyor. Çünkü her şeyden önce yürürlükteki birçok mevzuat (ve buna paralel olarak kamu kurumu uygulamaları ve düzenleyici işlemleri) KVKK ile çelişmekte; şirketler Kurul’dan ceza yememek ile diğer idari otoritelerden ceza yememek için adeta ipte dans etmekte. Basit bir örnek olarak İSG mevzuatının “kişisel sağlık dosyası” oluşturma yükümlülüğü ile KVKK’nın 6/3’üncü maddesi verilebilir. İSG mevzuatına göre işverenler çalışanlarının kişisel sağlık dosyalarını oluşturmakla ve bunu saklamakla yükümlü; öte yandan yine İSG mevzuatına göre her şirketin bünyesinde işyeri hekimi bulunması zorunluluğu da şu an için mevcut değil. Bu durumda bünyesinde bir işyeri hekimi bulunmayan işverenlerin çalışanlarının sağlık verilerini toplaması İSG mevzuatına göre bir “zorunluluk”. Öte yandan KVKK’ya göre ise sağlık verileri ancak ve ancak çalışanın açık rızası ile toplanabilir. (Bu işyerinde hekim bulunmadığını hatırlatalım). Bu durumda çalışanın açık rıza vermemesi halinde işveren İSG mevzuatına göre idari para cezası yemeyi mi göze alacak yoksa KVKK’ya göre idari para cezası yemeyi mi göze alacak? Başka bir anlatımla; işveren zorla çalışandan açık rıza mı alacak; yoksa KVKK’ya uygun davranıp rıza vermeyen çalışanının kişisel sağlık dosyasını oluşturmayarak İSG mevzuatı kapsamında olası idari para cezalarına katlanacak mı? Kurul’a bu çelişkiyi ya da çelişkinin çözümü için görüşlerini yazılı olarak sorduğumuzda ise “hukuki mütalaa veremeyecekleri” gibi bir yanıtla karşılaşıyoruz. Kurul’un görevleri arasında vatandaşların kişisel verilerinin etkin bir şekilde korunması için etkin çalışma yapmak varsa; Kurul’un bu konuda -gerekiyorsa- “açıklayıcı bilgi” vermekten de çekinmemesi gerekiyor.

*      Şirketlerin Uyum Süreçleri

Şirketlerin KVKK’ya uyum sağlama süreçleri, kendileri açısından bu tür bilinmezlik ve sübjektif kriterler ile başladığını belirtelim. Özellikle son yıllarda kurumsal şirketlerde dahi personel sayısında azaltmaya gidilmesi ve bu uyum sürecinin ana kaynağı olması gereken şirket çalışanlarının uyum süreçlerine dahil olması, yoğun iş süreçlerinde ve kısıtlı ekonomik kaynaklarla “bir de” KVKK uyumu için insan kaynağı ayıramama durumu, uyum sürecinin ağır işlemesinin nedenlerinin en başında yer alıyor.

Bu nedenle, uyum sürecine başlarken, şirket yetkililerine, kişisel verilerin korunmasının önemi, Avrupa’daki veri koruma tarihçesi ve veri korumanın tarihi gerekçeleri, olası veri ihlalleri ve bu ihlallerin sonuçları hakkında kapsamlı ve uygulamalı eğitimler verilmesi gerekiyor. Teknik ve hukuki boyutlar, uyum sürecinde entegre bir şekilde ele alınmalı. Teknik uzmanlar, KVKK uyum sürecinde hukuk danışmanlarından sürekli bilgi alarak, süreci bütünsel bir yaklaşımla tamamlamalı. Aynı zamanda, hukuki/ idari uyum sürecinde teknik bilgiler de dikkate alınmalı ve bu bilgiler, ilgili yöneticiler veya şirket içinde oluşturulan Kişisel Veri Koruma Komitesi üyeleri tarafından sağlanan bilgilerle karşılaştırılmalı. Hukuki/ idari uyumun sağlamlaştırılması için şirket yönetimine eğitim verilmesi ve veri koruma/ veri mahremiyeti kültürünün şirketin temel değerlerine entegre edilmesi önemlidir.

*      İnsan Faktörünün Önemi 

KVKK uyum sürecinin kolay olmadığı ortada. Şirket yöneticilerinden gelen çeşitli dirençlerin üstesinden gelmek hem zaman hem de ikna yeteneği yüksek danışmanların katkısıyla mümkün. Bu nedenle, uyum süreci, sadece kişisel veri toplama aşamasında gerekli olan aydınlatma ve açık rıza metinleri, zorunlu politikalar veya prosedürlerin hazırlanıp “göstermelik” yönetim kurulu/ müdürler kurulu kararları alınmasıyla sınırlı kalmamalı. Şirket içi veri işleme süreçleriyle ilgili hazırlanan çeşitli politika ve prosedürlerin şirket çalışanlarının ve işleyiş sisteminin temel yapısına entegre edilmesi kritik öneme sahip. Bu noktada, insan faktörü devreye giriyor. Teknik tedbirler ne kadar ileri düzeyde olursa olsun, insan faktörü devrede olduğu sürece, devredeki bu “insan”ların veri mahremiyeti bilincine sahip olmamaları halinde, veri ihlalleri kaçınılmaz hale geliyor.

Sonuç olarak, KVKK’ya uyum süreci, şirketlerde düzenli olarak (en azından yılda 2 kez) çalışanlara yönelik farkındalık eğitimleriyle sürdürülmelidir. Bu eğitimlerde, Türkiye ve Avrupa’daki veri koruma otoritelerin kararları ele alınmalı; veri koruma otoritelerinin veri koruma yasalarını nasıl yorumladığı çeşitli örnek olaylar üzerinden incelenmeli.  Ayrıca veri toplama faaliyetlerinde yer alan her departman yöneticisine, veri envanteri oluşturma, güncelleme ve danışmanlık desteği alınacak alanların belirlenmesi konusunda özel eğitimler verilmeli. Daha yalın bir ifade ile şirket yöneticisi iş süreçleri ile ilgili kişisel veri konusunda yeni bir sürece girdiğini fark etmesi ve fark ettiği zaman danışman ile nasıl çalışması nasıl soru sorması gerektiğini bilmelidir. Bu sebeple; uyum süreçlerinde hukuki ve teknik danışman ile nasıl çalışılır, hangi sorular sorulmalıdır, süreç nasıl yürütülmelidir gibi konularında ayrıca eğitim verilmesi gerekmektedir. Sürecin teknik tarafında mutlaka teknik danışmanlar ile hukuk danışmanları aylık toplantılar ile bir araya gelmeli ve şirketin kullandığı yazılım ve uygulamaların ara yüzlerinden başlayarak her bir detayı tek tek ele almalı. Örneğin şirket tarafından kullanılan bir uygulama (yazılım)  üzerinde, X departmanının işlediği Y verisi ile ilgili veri maskeleme yapılıp yapılmayacağı, ilgili departman yöneticisi, teknik danışman ve hukuk danışmanının bir araya gelmesi ile belirlenmeli.

En önemlisi ise KVKK uyum süreci, sonu gelmeyecek bir yolculuk olduğu için, bu yolculuğun veri koruma alanında faaliyet gösteren teknik ve hukuki danışmanlarla sürdürülmesi, şirketlerin de bireylerin de olası bir veri ihlalinden en az zararla kurtulmaları, KVKK uyumu ve ülkemizde veri mahremiyeti kültürünün yerleşmesi için gerekli hale geliyor.

 Av. Fehmi Ünsal Özmestik LL.M