Kişisel veri, kişisel verilerin korunması veya kısaca KVK kavramları son dönemde sıkça duyduğumuz kavramlar arasında yer almaktadır. Esasen kişisel veriler günlük hayatta çokça karşılaştığımız ancak pek çok kez ehemmiyet vermediğimiz bilgilerdir. Peki, neden yakın zamanda bu kadar önemsenmeye başlandı? Kişisel verilerin korunması neden önemlidir? Şirketlerin bu konuda rolü ne olmalıdır? Bu yazımızda konuyla ilgili genel nitelikte bilgiler vermeye çalışacağız.
Öncelikle kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiye verilen addır. Bu sebeple sadece gerçek kişilere ilişkin bilgiler kişisel veridir. Bu bilgiler kişinin; ad-soyadı, kimlik numarası, e-posta adresi, telefon numarası ve adresi gibi kendisine ait her nev’iden bilgi olabilmektedir. İnsan sosyal bir varlık olmasının gereği olarak ihtiyaçlarını giderebilmek ve düzeni sağlamak adına kendisine ait bu bilgileri paylaşmak zorunda kalabilmektedir. Normal şartlarda toplumda etkileşim içinde olan bireylerin birbirlerine ait bu bilgileri öğrenmesi bir sakınca teşkil etmeyebilir. Fakat teknolojinin gelişmesiyle birlikte söz konusu bilgileri korumak giderek zorlaşmakta olup bu bilgilerin saniyeler içinde sınırsız sayıda kişiye ulaşması mümkün hale gelmiştir. Öyle ki yüz tanıma sistemleri, ziyaret ettiğimiz web siteleri ve yaptığımız parasal işlemlerle dahi adeta gözlem altındayız. Bilgilerimizi kolayca elde eden kişilerin de bunu ne amaçla kullanacağını, başkalarına iletip iletmeyeceğini kestirmek mümkün değildir. Bu sebeple kişisel verilerimiz korunmalıdır. Bu koruma ise bir anlamda kişinin verileri üzerinde kontrol sahibi olması demektir.
Bu durumu öngören kanun koyucu ilk olarak Anayasa md. 20’de kişisel verilerin korunmasını güvence altına almış sonrasında ise 2016 tarihinde 6698 sayılı Kişisel Verilerin Korunması Kanunu yürürlüğe koymuştur. Konunun anlaşılabilmesi adına kanunda geçen kavramlara kısaca değinmekte fayda var. Kişisel veri kavramını yukarıda açıklamıştık. Bunun dışında özel nitelikli kişisel veriler, başkaları tarafından öğrenildiği takdirde kişinin mağdur olabilmesine veya ayrımcılığa uğramasına neden olabilecek nitelikteki verilerdir. Bunlar kanunda sınırlı olarak sayıldığından arttırılması mümkün değildir. Örneğin; kişilerin ırkı, kökeni, inancı, ceza mahkûmiyeti vs. Veri kayıt sistemi, kişisel verilerin işlendiği sistemdir. Örneğin; iş başvuru formlarının tutulduğu dosyalar, veri tabanlarındaki bilgiler. Kişisel verilerin işlenmesi ise verilerin elde edilmesi, kaydedilmesi, depolanması, değiştirilmesi, aktarılması, silinmesi gibi veriler üzerindeki her türlü işlemi ifade eder. Verilerin işlenmesi bilgisayar gibi tam veya yarı otomatik araçlarla olabileceği gibi veri kayıt sisteminin parçası olan manuel araçlarla da yapılabilir. Veri sorumlusu, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişilerdir. Esasen bu kişiler verilerin işleme amaçlarını ve vasıtalarını belirlediğinden verilerin korunması noktasında yükümlülükleri bulunmaktadır. Son olarak veri işleyen de veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiye denmektedir.
Mezkûr kanunda kişisel verilerin işlenmesinde uyulacak genel ilkelere yer verilmiştir. Bu ilkeler veri işleme faaliyetinin anayasası konumunda olduğundan mutlaka uyulması gerekmektedir. Bunlardan ilki kişisel verilerin hukuka ve dürüstlük kurallarına uygun işlenmesidir. Buna göre kişisel veriler mevzuata uygun olarak işlenmeli ve bu hak kötüye kullanılmamalıdır. Kişisel Verileri Koruma Kurulu bir kararında havayolu şirketinin önlü arkalı kimlik fotokopisi istemesini dürüstlük kuralına aykırı bulmuştur. Kişisel veriler doğru ve gerektiğinde güncel olmalıdır. Yani veriler toplanma aşamasında doğru toplanmalı, toplama araçları hatasız çalışmalı ve verilerin sonradan değişmesi halinde güncelleme imkânı tanınmalıdır. Kişisel Verileri Koruma Kurulu bir kararında adresini güncellemeyen müşterinin kartını eski adrese teslim eden bankayı gerekli araştırmayı yapmadığı için kusurlu bulmuştur. Bunun yanında kişisel veriler belirli, açık ve meşru amaçlar için işlenmelidir. Bu noktada hukuken kabul edilebilir bir amacı olmayan, muğlak veya belli olmayan amaçlar açısından veri işleme faaliyeti yapılamayacaktır. Örneğin; ihtiyaç olmadığı halde bir kurumun e-posta adresi toplaması, şirketin ihtiyacı olmadığı halde aday havuzu oluşturması gibi. Veriler işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olmalıdır. Örneğin; perakende satışlarda düşük tutarlar için müşterinin kimlik numarası saklanamaz. Bunların doğal bir sonucu olarak kişisel veriler gerekli olan süre kadar muhafaza edilmelidir. Bu süre kanunda öngörülmemişse amaca uygun olarak makul bir süre belirlenmelidir.
Açıklamalarımız doğrultusunda ticari şirketler kanunen veri sorumlusu olarak kabul edilmektedir. Bu sebeple kişisel verilerin korunması ve işlenmesi noktasında bahsi geçen ilkelere ve kanundaki diğer şartlara uymak zorundadır. İlk olarak şirketler çalışanları, müşterileri, ziyaretçileri ve iş başvurularında adayların kişisel verilerine erişim sağlayabilmektedir. Bu yüzden şirketler toplayacakları verileri neden ve nasıl toplayacaklarını kanundaki ilkeler uyarınca belirledikten sonra ilgili kişileri aydınlatmalıdır. Aydınlatma yükümlülüğü, veri sorumlusunun en temel yükümlülüğü olup ispat külfeti de veri sorumlusuna aittir. Aydınlatmanın açık ve anlaşılır bir dille yapılması gerektiği gibi eksik, yanıltıcı ve muğlak ifadelere yer verilmemelidir. Bu aydınlatma yazılı, sözlü veya sesli olarak her şekilde yapılabilir. Aydınlatmanın kapsamı ise kanunda belirlenmiş olup veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere;
*Veri sorumlusunun ve varsa temsilcisinin kimliği,
*Kişisel verilerin hangi amaçla işleneceği,
*İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
*Kişisel veri toplamanın yöntemi ve hukuki sebebi,
*11 inci maddede sayılan diğer hakları, konusunda bilgi vermekle yükümlüdür
Bunun dışında veri sorumlusu konumundaki şirketler söz konusu kişisel verilerin hukuka aykırı işlenmesini, verilere erişilmesini engellemekle yükümlüdür. Bu konuda her türlü tedbiri almak zorundadır. Kişisel verilerin işlenmesini gerektiren sebepler ortadan kalktığında, veri sorumlusu bu verileri ilgili kişinin talebi üzerine ya da resen siler, yok eder veya anonim hale getirir. Veri sorumluları bütün bunların öncesinde VERBİS’e (Veri Sorumluları Siciline) kaydolmak zorundadır. (VERBİS’le alakalı hususlar başka bir yazının konusudur) Veri sorumlusu olan şirketler ayrıca ilgili kişilerin taleplerine cevap vermeli ve kurul kararlarını yerine getirmelidir. Aksi halde veri sorumluları hukuki, idari ve cezai yaptırımlarla karşılaşabileceklerdir.
Görüleceği üzere kişisel verilerin korunması özellikle veri sorumlusu şirketler açısından ciddi sonuçlar doğurabilmektedir. Bu sebeple konuyla ilgili süreç yönetiminde danışmanlık alınması tavsiye edilmektedir.