Emrullah Kandemir blog…

Kişisel Verilerin Korunması Kanunu Ne Getiriyor?

in Mevzuat by

Dijitalin yükselişi yaşam şeklimizi hızla değiştirdi. Artık bize özel reklamlara, konum bazlı kampanyalara, bir sms ya da telefonumuza gelen bildirimlerle indirimli kahve ve yemek davetlerine alışmakla kalmadık daha fazlasını da bekler olduk. Bunlar hayatımıza “olumlu” yansıdığını düşündüğümüz, mümkünse terk de etmeyeceğimiz kısımlar.
Bir yandan da –her ne kadar sağladığı konforu terk etmek istemesek de- hakkımızda bu kadar bilgi toplanmasının sonucu sonrası ne olur diye bir korkuyu da hissediyoruz.
Süreç Avrupa Birliği’nde başladı. AB, başta Facebook olmak üzere sosyal medya şirketlerine elde ettikleri verileri ülke/birlik sınırları dışına çıkarma yasağıyla başlayan ve hangi bilgileri nasıl elde ettiklerini açıklamaya, kullanıcıların da dilediği zaman kendileri hakkında bilgi toplanmasını engelleme hakkı sağlamaya ve nihayetinde de kişinin talep ederse hakkında elde ettikleri tüm bilgileri silmeye varan bir dizi kısıtlama getirdi. Bu konuda AB sınırları içerisinde halen yeni gelişmeler olmaya devam ediyor. ABD uzunca bir süre bu tarz kısıtlamalardan uzak durdu ama onlarda Trump’ın başkan seçildiği seçimlerin, Facebook kullanıcılarının profil bilgilerini kullanan Cambridge Analytica skandalıyla birlikte bunu konuşur oldular.
Cambridge Analytica politika ve oy kullanma gibi bir alana girdiği ve benzer yöntemlerle Rusya’nın da ABD başkanlık seçimlerini maniple ettiği konuşmalarının ortasında teşhir olduğu için bu kadar tepki çekti. Ama öte yandan, kişilerin daha günlük hatta anlık hayatlarına bakan, inceleyen, müdahil olan (ya da olduğu/olabileceği düşünülen), başına “nöro” alan pazarlama, psikoloji, yönetim vs. dallarda farklı farklı kurum ve kişiler gitgide artan bir yoğunlukla dijital ayak izlerimizi eşeliyorlar.[1]
Türkiye’de AB süreciyle uyumlu olarak geçtiğimiz yıl Kişisel Verileri Koruma Kanununu çıkardı ve kanun kurumlara tanıdığı bir yıllık hazırlık süresinin ardından 1 Mart 2018’de yürürlüğe girdi.[2]
Kanun yürürlüğe girdi girmesine ama pratikte ne şirketler bu süre zarfında hazırlıklarını yapabildi, ne de bu sürecin yol haritasını hazırlaması ve sonrasında da denetim ve takiplerini yapabilmesi amacıyla oluşturulan Kişisel Verileri Koruma Kurulu tam anlamıyla faaliyete geçemedi.[3]
Peki, bu kanun özellikle şirketlere ne gibi yükümlülükler getiriyor?
Öncelikle kanun, kişiyi tanımlayan her bilgiyi “kişisel bilgi” olarak kabul ediyor. (Kanundaki tam tanım “Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” şeklinde.) Şirketlere getirdiği yükümlülükler de bu tanım üzerinden şekilleniyor.
Kabaca üç tür yükümlülük getiriyor kanun şirketlere: 1) Kişisel bilgilerini edindiğiniz kişiye ne tür bilgiler edindiğinizi, hangi yollarla edindiğinizi, bu bilgileri hangi amaçla kullanacağınızı, kimlerle ve ne şekilde paylaşacağınızı ve ne kadar süreyle saklayacağınızın bilgisini açık şekilde vermenizi istiyor. 2) Kişinin, sizin açıkça verdiğiniz bilgiyle birlikte, kişisel verilerini size verdiğine dair açık rıza vermesi koşulunu getiriyor. 3) Topladığınız kişisel verilerin güvenliğinden sizi sorumlu tutuyor, fiziki ortamda tutuyorsanız fiziki tedbirleri, dijital ortamda tutuyorsanız siber güvenlik tedbirlerinizi (bilgi kriptolama vs.) almanız ve bunlara ulaşım noktasında da firma içinde yetkilendirmeleri yapmanız gerekiyor.
Şirketlerin kişisel bilgileri nasıl elde ettiklerine ve aynı zamanda kimlerden açık rıza almaları gerektiğine bakalım!
·         Şirketler çalışanlarının kişisel bilgilerine sahiptir.
·         Şirketler, iş başvurusu yapan ya da iş bulma siteleri üzerinden elde ettikleri bir aday datasına sahiptir.
·         Şirketler, fiziki ya da e-ticaret siteleri ile satış ya da üyelik ilişkisi kurdukları müşterilerinin bir kısım kişisel bilgilerine sahiptir.
·         Şirketler, kimi durumda da B2B ilişki içinde oldukları başka firmalar dolayısıyla da kişisel bilgilere sahip olabilirler.
Yasayla tanımlanmış istisna halleri hariç, başka her durumda kişisel bilgilerin paylaşımı, kullanımı, değerlendirilmesi şu anki durumda ancak açık rıza almış olma koşuluyla mümkün. Yani çalışanlarınızın kişisel bilgilerini (istisna halleri hariç) bir başka kurumla, firmayla paylaşamazsınız, örneğin çalıştığınız bankaya verip her birine kredi kartı çıkarmasını isteyemezsiniz. İş başvurusu yapan adayın muvafakatnamesini almadan önceki işyerini arayıp referans isteyemezsiniz. Müşterilerinizin bilgilerini bir başka firmayla paylaşamazsınız vs vs. Tüm bunlar için, yukarda aktardığım yükümlülükleri yerine getirmiş, kişilerden açık rızalarını (yada şartlı, kısıtlı) beyan eden muvafakatnamelerini almış olmanız gerekiyor. Bunların yapılmadığının tespiti halinde ise 25 bin TL ile 1 milyon TL arasında idari para cezaları öngörülmüş durumda.


[1] ABD’de yapılan bir araştırma, Amerikalıların Facebook beğenilerini (2012’de ortalama 250 beğeni) kullanan bilgisayar algoritmalarının bir insanın kişiliğini değerlendirmede kişinin iş arkadaşlarından, arkadaşlarından hatta aile üyelerinden daha iyi olduğu görüldü. (Anindya Ghose, Pazarlamacılar Kişilik Temelli Pazarlama Hakkında Neler Bilmeli?, HBR Türkiye Haziran 2018)
[2] Bu konuyla ilgili oluşturulan Kişisel Verileri Koruma Kurulu’nun faaliyetlerini https://kvkk.gov.tr/ internet sitesinden takip edebilirsiniz.
[3] İşin doğası ve yeni bir piyasada oluşturması nedeniyle konuyla en fazla ilgilenenler danışmanlık şirketleri. Onların da verdikleri bilgilere göre Kişisel Verileri Koruma Kurulu halihazırda sekreterya çalışması yürütmekte, henüz denetim aşamasına gelememişler ama yakın zamanda geleceklerini kabul edip ona göre davranmak en mantıklısı olacaktır.

Bir Cevap Yazın

Latest from Mevzuat

Dövizli Sözleşmeler – 2

Hükümet sonunda Dövizli Kira Sözleşmelerinin TL’ye çevrilmesinde nasıl bir yol izleneceği sorusuna
Go to Top