KİŞİSEL VERİLERİN KORUNMASI KANUNU İLE UYUM SÜRECİ
Anayasa’nın 20’nci maddesinin son fıkrası ve Avrupa Birliği düzenlemeleri ile uyum çerçevesinde hazırlanan ve 7 Nisan 2016 tarihinde yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) ile birlikte kişisel verilerin korunması yasal bir zemine oturtulmuştur.[1]
Kanun’un odak noktasında gerçek kişilere ait kişisel verilerin korunması yer almaktadır. Bu kapsamda, müşteri, çalışan, ziyaretçi gibi temasta bulunulan gerçek kişilerin verilerini belirli bir sınıflandırma dahilinde işleyen gerçek ve tüzel kişilerin, veri sorumlusu olarak Kanun’da öngörülen düzenlemeler ile uyumu sağlamaları gerekmektedir.
Kanun, kişisel verilerin korunmasına ilişkin olarak Kanun’da öngörülen düzenlemelere uyumu denetlemek üzere bağımsız bir düzenleyici kurum olarak Kişisel Verileri Koruma Kurumu’nun kurulmasını öngörmüştür. Kurum’un karar organı olan ve tüm üyelerinin atanmasıyla birlikte çalışmaya başlayan Kişisel Verileri Koruma Kurulu (“Kurul”), Kanun’un uygulamasına ilişkin yönetmeliklerin hazırlanması konusunda çalışmalarına başlamıştır. Bu kapsamda, Kanun’un uygulanmasına ışık tutacak olan ikincil mevzuatın önümüzdeki aylarda yürürlüğe girmesi beklenmektedir. Bununla birlikte, Kanun’da öngörülen tüm hükümlerin halihazırda yürürlüğe girdiği dikkate alındığında, şirketlerin ve veri işleyen diğer kurum ve kuruluşların herhangi bir yaptırımla karşılaşmamak adına Kanun’a uyum çalışmalarını ivedilikle yapmaları önem arz etmektedir.
Kanun’da kişisel verilerin işlenmesine ilişkin yükümlülükler dikkate alındığında, üç aşamalı bir uyum sürecinden bahsetmek mümkündür. Bu aşamalar aşağıdaki gibidir:
1. Birinci Aşama: Rıza Alınması
Kanun’un 5 inci ve 6 ıncı maddelerinde, genel ve özel nitelikli kişisel verilerin işlenebilmesi için kural olarak veri sahibinin açık rızasının alınması gerektiği, ancak bazı istisnai hallerde veri sahibinin rızası olmaksızın da verilerin işlenebileceği düzenlenmiştir. Bu nedenle, uyum çalışmaları kapsamında, veri sorumluları tarafından işlenen veriler ile veri işleme amaçları tespit ve tasnif edilerek, gerçekleştirilen analiz sonuçlarına göre istisnai haller kapsamına giren ve girmeyen durumlar, hangi veri sahiplerinden rıza alınması gerektiği, rızanın içeriği ve nasıl temin edileceği hususları belirlenmeli ve rıza alınmasının gerekli olduğu durumlarda veri sahiplerinden rıza alınmasına yönelik çalışmalara başlanmalıdır.
2. İkinci Aşama: Aydınlatma Yükümlülüğünün Yerine Getirilmesi
Kanun’un 11 inci maddesi uyarınca, veri sorumlularının bizzat veya yetkilendirdikleri kişi aracılığıyla, veri sahiplerine karşı aydınlatma yükümlülüklerini yerine getirmeleri gerekmektedir.
Rıza gerekliliğinin aksine, aydınlatma yükümlülüğünün Kanun’un 28 inci maddesinin ikinci fıkrasında belirtilen oldukça sınırlı sayıda istisnası bulunmakta olup, Kanun’un 5 veya 6 ncı maddeleri uyarınca rıza alınması zorunlu olmayan durumlarda dahi, veri sorumlusunun aydınlatma yükümlülüğünün devam ettiğine dikkat edilmelidir.
Aydınlatma bildirimin asgari içeriği, Kanun’un 11 inci maddesinde tarif edilmekle birlikte, bildirimin nihai içeriği, hangi kanallar aracılığıyla yapılacağı ve bildirimde bulunulacak veri sahipleri, veri sorumlusu özelinde farklılaşabilmektedir. Bu nedenle, aydınlatma yükümlülüğünün yerine getirilmesine ilişkin süreç; veri sorumlusunun iş süreçleri, iç işleyişi, veri işleme amaç ve yöntemleri ile veri sorumlusu ve veri sahipleri arasındaki ilişkinin türü ve niteliği gibi kriterler göz önünde bulundurularak veri sorumlusu özelinde belirlenmeli ve yürütülmelidir.
3. Üçüncü Aşama: Veri Güvenliğinin Sağlanması ve Denetim
Kanun’a uyum çalışmaları kapsamında son temel aşama, veri güvenliğinin sağlanması ve uyum çalışmaları tamamlandıktan sonra da veri sorumlusunun veri işleme faaliyetlerinin Kanun’a uygunluğunun denetlenmesidir.
Veri sorumlularının yükümlülükleri, veri sahiplerinin rızalarını temin etmek ve bunlara aydınlatma bildiriminde bulunmakla sona ermemekte, veri sorumluları ayrıca (i) Kanun’un 12 nci maddesi uyarınca kişisel verilerin hukuka aykırı olarak işlenmesini ve verilere hukuka aykırı erişilmesini önleme ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alma ve (ii) Kanun’un 13 üncü maddesi uyarınca veri sahiplerinin başvurularını cevaplandırmak üzere gerekli sistemi kurma yükümlülükleri altındadır. Veri sorumluları, bu yükümlülüklerinin yerine getirilebilmesi amacıyla veri işleme faaliyetlerini düzenleyen kurum içi bir kişisel veri politikası oluşturmalı, iş süreçlerinin bahsi geçen politikaya uygunluğunu belirli periyotlar ile denetimlemeli ve verilerin kurum içinde ve dışında güvenliği için ihtiyaç duyulan tüm operasyonel, teknik ve hukuki tedbirleri almalıdır.
LBF PARTNERS OLARAK SUNDUĞUMUZ HUKUKİ HİZMETLER
LBF Partners olarak, kişisel verilerin korunması mevzuatına uyum çerçevesinde müvekkillerimize sunduğumuz hizmetler aşağıdaki gibidir:
Bu konuda hukuki desteğe ihtiyaç duymanız halinde, info@lbfpartners.com adresinden bizimle iletişime geçebilirsiniz.
[1] Kişisel Verilerin Korunması Kanunu’na ilişkin detaylı bilgiye ulaşmak için 24 Nisan 2016 tarihli “Kişisel Verilerin Korunması Kanunu’nun Getirdikleri” adlı bilgi yazısını www.lbfpartners.com/dosyalar/012855.pdf adresinden okuyabilirsiniz.